随着我国《电子签名法》《密码法》的施行,各行业数字化转型过程中对无纸化、电子签约、电子证照、印章电子化管理的需求迫切,法律为采用数字签名技术的应用奠定了法律基础,众多行业纷纷采用电子化管理模式,提升管理效率,降低运营成本,目前在数字签名领域采用硬件USB Key是非常成熟的方案,在电子政务、招投标、电子证照等业务领域应用广泛。
但随着近年来移动互联网的迅猛发展,如4G,5G移动网络,移动终端安全技术等趋于完善,用户体验的迫切要求,基于传统硬件USB Key的电子签名方式已经不能满足客户需求,这种管理方式带来用户携带不便、丢失补办速度慢等问题,用户体验较差,已经越来越落伍。
国富安安信签移动APP签名系统主要基于移动端协同安全技术,密钥安全分割分散存储,设备指纹,用户可靠身份鉴别等技术,通过移动app,云端多系统协同完成数字签名。
安信签移动认证app支持Ios和Android 版本。用户安装app后可完成传统usbkey安全操作,系统通过融合CA数字证书、硬件SE、密钥安全算法、生物识别、设备指纹、app安全加固等多维度安全技术,为用户提供移动终端安全服务,实现“扫码“即可完成安全操作。
移动App用户可通过手机号开通app使用账号,系统发送验证码,认证通过后,开通用户访问账号,访问账号只能登录app,不能进行业务操作。
用户登陆app系统后,默认需要用户需要在系统中做实名认证,通过后才可以进行业务操作。按照系统建设模式的不同,分为以下几种情况:
通过个人实名认证后,可进行个人签字,业务系统安全扫码登录。
通过企业实名认证后,可进行企业盖章业务。
业务系统和安信签进行身份信息集成(如AD域等)后,可采用业务系统的身份和权限。
系统提供针对个人,企业身份的实名认证。
个人实名:通过公安部公民身份信息数据源,通过用户身份证号码,姓名,人脸识别,活体检测等方式对个人用户进行实名认证。
企业实名:通过上传企业营业执照,法人信息,对企业名/组织机构代码/统一社会信用代码,法人信息进行核验。
特殊情况下,对持有港澳台、外国护照用户,通过上传认证所需的证明材料后,由系统后台人工对所上传的证明材料进行审核。
用户实名认证后,系统会自动和CA证书申请系统关联并同步用户印模等信息。只有通过实名认证后的用户才可以进行签名、盖章操作。
如用户业务中用户已经通过线上、线下等申请材料,完成了实名审核认证,安信签系统支持和业务系统进行集成、同步用户认证等信息,共享认证结果。
通过移动app扫描业务系统的二维码,当用户扫描二维码信息以后,移动App将当前会话信息,时间戳,终端特征值,签名密码,本地计算结果等信息加密处理后,发送到电子签名服务端,由后台系统进行验证,验证通过后完成电子签名。
目前,大部分业务系统使用密码认证的方式,安全性较低。业务系统通过api集成安信签以后,可实现通过二维码登录,用户身份认证在手机上完成,提升业务系统的安全性。同时,由于用户不需要记忆复杂的密码,提升用户的操作体验。
允许客户设置专门的签名密码,每次签名时,需要输入独立的签名密码,单独验证,在服务端保存的密钥及密钥片段等信息通过签名密码加密,用户不授权无法使用。
提供针对用户签名笔迹/印章印模的创建、修改,删除功能,用户在设备上可以通过手写、扫描、上传等方式完成操作。
系统对用户使用的移动终端进行识别和管理,每个用户对应唯一的手机操作终端,用户首次实名认证通过后,系统会自动绑定使用的终端。用户在个人手机丢失、损坏、更换等情况下,可以向管理员申请变更,服务端系统生成新的签名密钥及授权码,用户在新手机app完成登录后重新绑定确权,原手机权限自动注销。
安信签移动app在带有指纹识别和人脸识别的手机上,支持指纹认证和人脸识别认证,基于fido协议,通过指纹和人脸识别确认用户身份,避免用户多次输入密码,提升用户操作体验。
用户通过智能手机,即可完成电子签章、电子签名、身份认证、数据加解密等安全应用。能够实现手机作为操作中心,可替代物理硬件UKEY的使用,用户不必再随身携带硬件,减少了安装驱动、硬件丢失、损坏等传统UKEY的使用较复杂,管理成本高等问题。极大的降低业务使用的推广成本,大大提升应用方便性和用户体验。符合移动互联网环境下的用户使用习惯,可在能源、金融、电子政务、企业等多个行业领域使用。
从系统兼容性、过渡性考虑,允许用户同时办理usbkey介质和移动app。两种方式下,系统使用各自独立的签名证书,证书具有不同的序列号; 在部分双证书项目中,如有加密证书,两种模式下,可通过云端共享使用加密证书,可实现ukey加密,移动app解密,反之亦可。移动app模式下,如果用户介质丢失,损坏,证书补办业务将变得更加简单,由于不需要邮寄物理硬件ukey,即时生效,客服工作量大大降低。
由于大部分用户不可能在一个时间点全部取消usbkey的使用,需要考虑平滑过渡方案,本方案可确保usbkey和移动签名app两种方式并行使用,逐步替换,业务系统少量集成改造后,两种模式的操纵可互通。
安信签移动版本app使用申请流程和传统usbkey基本一致,从系统兼容性、过渡性考虑,允许用户同时办理usbkey介质和移动app,并可按照业务实际使用情况,确定过渡时间长短。
在具备TEE,SE环境的手机终端上,系统支持将密钥存储在手机SE 硬件模块中,由专用的安全芯片保障密钥的安全。密钥和数据通过SE中进行保护,在用户使用生物特征识别或者输入密码验证通过后,即可访问位于SE中的密钥来实现数字签名等操作,降低被窃取或篡改的风险。
多因素认证
系统支持生物特征、手机指纹、签名密码、用户登录口令、手机本地设备密钥等多因素手段对用户操作进行认证保护,具备很强的认证强度,认证因素可根据客户的需求安全等级进行调整,满足业务需求具有很好的灵活性和适应性。
可支持TEE、SE存储,国密密钥分割算法,云端管理等方式管理用户密钥,灵活满足不同的业务场景。
安信签移动签名系统作为一款能够替代UKEY的产品,产品的安全性设计十分重要,产品通过一系列技术手段保障密钥储存、数据传输、系统交互、用户操作安全性,具有完善的防渗透、防逆向、防篡改的底层架构能力。