后疫情时代 CFCA引领多领域云端协同签名加密新实践

（原标题：后疫情时代 CFCA引领多领域云端协同签名加密新实践）

随着产业数字化的推进，越来越多企业选择将业务系统部署在云服务中，降低了硬件服务器成本和运维成本，但也存在业务敏感信息在传输过程中被窃取、被拦截或被篡改的风险，给企业带来了信息安全传输隐患。银企云产品能够有效解决这些安全问题。

一、什么是银企云？

银企云是中国金融认证中心（CFCA）针对云端信息加密传输场景推出的遵循国密标准、具有自主发明专利的安全传输服务平台。银企云不依靠企业部署硬件设备来维护密钥和签名安全，而是通过采用密钥分散技术和协同签名技术，以软件平台形式保证了密钥安全和业务信息安全传输。

银企云产品已通过国家密码管理局检测中心检测，并且获得了商用密码产品认证证书。目前在多家国有银行、股份制银行、政策性银行、商业银行、区块链科技企业、国家电力公司等都有成功案例。

二、银企云是如何保障信息安全的？

(1)通信安全机制——双向SSL通信通道

在客户端与服务端及核心业务系统之间的通信通道均采用SSL双向通信通道，通道对用户和服务器进行双认证，确保数据能够正确发送。数据加密传输，能够有效防止数据中途被窃取。

(2)密钥安全机制——密钥分散技术

银企云系统的用户私钥以密钥分量的形式分别存储在银企云系统客户端和服务端，系统的客户端私钥使用多因子加密保存在用户客户端本地，用户服务端私钥使用密码机进行安全保存，以实现用户私钥安全存储。同时，银企云系统通过用户私钥与设备指纹进行绑定的方式，防止用户私钥被非法复制到其他设备使用。当发生用户私钥泄露等特殊情况时，银企云服务端可以通过停用操作停止用户客户端对密钥的调用。

(3)签名安全机制——协同签名技术

不同于以往的客户端签名形式，银企云系统将用户签名过程交由客户端和服务端分别完成，在客户端和服务端完成签名操作后，系统返回签名结果给客户端由客户端合成完整的签名加密文件。签名过程仅由用户客户端发起，以满足电子签名法中用户私钥仅由用户本人使用的相关政策要求。同时，电子签名的任何改动，数据电文内容和形式的任何改动，都会造成其哈希值和电子签名中不同，造成验签失败。

图1协同签名技术原理图

三、银企云能做什么？

银企云适用于银行、证券、保险、政务、区块链等多个场景领域。

(1)银行、集团公司、大型金融机构：在银企直联、小微融资贷款、电子招投标、单据签署等多业务场景下得以大力推广和应用。

(2)中、小微企业：协助中、小微企业解决云端系统交互问题，真正助力中、小微企业上云系统信息传输安全，为云上信息安全传输保驾护航。

(3)政务工作：依靠协同签名技术和密钥分散技术实现政务内网与政务外网信息互联互通，协助政务门户网站进行隐私信息脱敏，信息数据加密，实现信息加密传输。

(4)区块链和其他科技企业：协助企业进行同步信息加密传输，信息加密储存，以“云端+纯软”形式实现数据防篡改。

随着产业信息化进程推进，金融、保险、证券等全行业全领域商用密码改造工作如火如荼，银企云具有商用密码产品二级安全资质，能够有效合规解决企业国密改造问题，助力全领域、全行业实现企业信息化。