徐祺+崔久強(qiáng)

摘要：針對(duì)傳統(tǒng)電子簽名建設(shè)成本高、維護(hù)成本高、資源利用率低等缺點(diǎn)，對(duì)云計(jì)算環(huán)境下的電子簽名服務(wù)模式進(jìn)行了研究，設(shè)計(jì)了云模式電子簽名系統(tǒng)架構(gòu)，詳細(xì)研究了基于USB-key客戶端私鑰簽名模式、基于服務(wù)端私鑰托管的簽名模式和基于私鑰分割的簽名模式的業(yè)務(wù)流程，分析了三種簽名模式的優(yōu)缺點(diǎn)和應(yīng)用場(chǎng)景，最后說(shuō)明未來(lái)電子簽名資源的“云化”發(fā)展將成主流趨勢(shì)。

關(guān)鍵詞：云計(jì)算；電子簽名；服務(wù)模式

引言

隨著信息技術(shù)的快速發(fā)展和信息化應(yīng)用的深入普及，信息安全問(wèn)題也不斷涌現(xiàn)?；赑KI的密碼體系是解決信息安全問(wèn)題的主要手段，電子簽名是密碼體系的主要內(nèi)容之一。電子簽名技術(shù)能夠解決網(wǎng)絡(luò)交易中用戶的身份認(rèn)證、交易數(shù)據(jù)的完整性鑒別、用戶交易行為的不可抵賴性等問(wèn)題，我國(guó)于2005年4月1日起正式實(shí)施的《電子簽名法》為電子簽名提供了法律基礎(chǔ)和保障。在《電子簽名法》中明確規(guī)定：本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)；本法所稱數(shù)據(jù)電文，是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。當(dāng)前，以電子簽名為技術(shù)的電子簽名服務(wù)在電子政務(wù)、電子商務(wù)和社會(huì)公共服務(wù)等領(lǐng)域得到了廣泛應(yīng)用。

1傳統(tǒng)電子簽名服務(wù)

傳統(tǒng)的電子簽名大多數(shù)采用C/S的系統(tǒng)架構(gòu)，具體如圖1所示，包括電子簽名服務(wù)端和電子簽名客戶端兩部分，通過(guò)電子簽名、密碼信封、電子簽章、可信時(shí)間戳等技術(shù)向用戶和應(yīng)用提供可靠電子簽名服務(wù)。

電子簽名客戶端包括瀏覽器和應(yīng)用客戶端，通過(guò)SDK的方式調(diào)用。電子簽名服務(wù)端包括簽名驗(yàn)簽服務(wù)器、電子簽章服務(wù)器和時(shí)間戳服務(wù)器等，向用戶提供簽名驗(yàn)簽名服務(wù)、電子簽章服務(wù)和可信時(shí)間戳服務(wù)，當(dāng)在應(yīng)用系統(tǒng)中需要對(duì)交易數(shù)據(jù)進(jìn)行確認(rèn)時(shí)，業(yè)務(wù)應(yīng)用可以通過(guò)SDK安全中間件來(lái)調(diào)用，用以解決傳輸數(shù)據(jù)的完整性鑒別、用戶交易行為的不可抵賴性等問(wèn)題。但隨著應(yīng)用業(yè)務(wù)和交易數(shù)據(jù)的不斷增加，原有的電子簽名模式也逐漸不能適應(yīng)新的業(yè)務(wù)需要，具體如下：

1）建設(shè)成本高。目前通常是通過(guò)負(fù)載或集群的方式提高服務(wù)性能，需要增加大量的硬件設(shè)備，導(dǎo)致硬件投入、能源消耗和管理費(fèi)用不斷增加。

2）維護(hù)成本高。目前電子簽名大多與應(yīng)用系統(tǒng)之間是緊耦合，對(duì)原有業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)部署、系統(tǒng)集成帶來(lái)較大的改動(dòng)，需要專業(yè)的人員進(jìn)行專業(yè)維護(hù)。

3）資源利用率低。傳統(tǒng)的電子簽名服務(wù)通過(guò)重復(fù)部署硬件設(shè)備來(lái)提高性能，不能實(shí)現(xiàn)硬件資源的自動(dòng)調(diào)配和自適應(yīng)擴(kuò)展，導(dǎo)致資料利用率不高。

2云計(jì)算環(huán)境下電子簽名服務(wù)

在云計(jì)算環(huán)境下傳統(tǒng)的電子簽名服務(wù)模式已經(jīng)不能適應(yīng)，需要根據(jù)云計(jì)算自身的特點(diǎn)和應(yīng)用場(chǎng)景，對(duì)電子簽名服務(wù)進(jìn)行研究和設(shè)計(jì)，將電子簽名作為一種云服務(wù)提供給用戶。

2.1云模式電子簽名系統(tǒng)架構(gòu)

結(jié)合云計(jì)算環(huán)境的網(wǎng)絡(luò)部署和業(yè)務(wù)應(yīng)用情況，云計(jì)算環(huán)境下電子簽名實(shí)現(xiàn)模型如圖2所示，包括資源層、管理層和服務(wù)層。

各層次的主要內(nèi)容及關(guān)系具體如下：

1）資源層。該層包括物理資源層和資源池層，向上層提供邏輯計(jì)算和資源存儲(chǔ)。物理資源層包括提供電子簽名服務(wù)的物理設(shè)備，包括簽名驗(yàn)簽服務(wù)器、電子簽章服務(wù)器和時(shí)間戳服務(wù)器等安全產(chǎn)品。資源池層是將物理資源進(jìn)行虛擬化整合形成虛擬化資源池，通過(guò)Xen、KVM或Docker等虛擬化技術(shù)對(duì)硬件設(shè)備進(jìn)行虛擬化，形成電子簽名服務(wù)池、電子簽章服務(wù)池、時(shí)間戳服務(wù)池等，具有動(dòng)態(tài)分配和自動(dòng)調(diào)整功能。

2）管理層。管理層位于資源層與服務(wù)層之間，是云模式環(huán)境下電子簽名的核心層，由業(yè)務(wù)管理、資源配置和監(jiān)控審計(jì)等功能模塊組成，實(shí)現(xiàn)云計(jì)算環(huán)境下的電子簽名基礎(chǔ)設(shè)施的資源管理，并通過(guò)資源調(diào)度完成對(duì)虛擬資源能力的動(dòng)態(tài)分配，保障電子簽名資源能夠?yàn)闃I(yè)務(wù)應(yīng)用提供服務(wù)。

3）服務(wù)層。服務(wù)層與具體業(yè)務(wù)應(yīng)用對(duì)接，實(shí)現(xiàn)電子簽名的具體業(yè)務(wù)應(yīng)用，包括服務(wù)接口、注冊(cè)管理和訪問(wèn)控制等模塊。

在云計(jì)算環(huán)境下電子簽名模型的框架下，對(duì)用戶的簽名模式進(jìn)行研究，包括基于USB-key客戶端私鑰簽名模式、基于服務(wù)端私鑰托管的簽名模式和基于私鑰分割的簽名模式。

2.2基于USB-key客戶端私鑰簽名模式

常規(guī)的電子簽名模式是基于USB-key客戶端私鑰簽名，該方式在USB-key介質(zhì)芯片內(nèi)完成數(shù)據(jù)加密解密、簽名驗(yàn)證及身份認(rèn)證的整個(gè)過(guò)程。目前常用的USB-Key是在其CPU內(nèi)置加密算法的加密型USB-Key，利用內(nèi)置的加密算法對(duì)用戶的身份進(jìn)行認(rèn)證和數(shù)字簽名。USB-key是智能卡和讀卡器的結(jié)合體，它采用USB接口的連接方式，即插即用，體積也很小，與智能卡相比速度更快，使用更加簡(jiǎn)單方便。USB-key內(nèi)部有一個(gè)安全存儲(chǔ)區(qū)域，專門用來(lái)存放用戶的數(shù)字證書和私鑰，用戶只能通過(guò)廠商編程接口訪問(wèn)內(nèi)部數(shù)據(jù)，這樣就保證了保存在USB-key中的數(shù)字證書無(wú)法被復(fù)制。而且，每一個(gè)USB-key都帶有PIN碼保護(hù)，用戶必須同時(shí)擁有USB-key和PIN碼才可以使用數(shù)字證書。

基于USB-key的數(shù)字簽名過(guò)程是：用戶通過(guò)USB-key產(chǎn)生密鑰對(duì)，再向電子認(rèn)證服務(wù)機(jī)構(gòu)申請(qǐng)數(shù)字證書，將從電子認(rèn)證服務(wù)機(jī)構(gòu)處申請(qǐng)到的數(shù)字證書保存在USB-key中，CSP可以通過(guò)命令從USB-key中讀取證書，但是任何命令都無(wú)法讀出用戶的私鑰。在數(shù)字簽名時(shí)，CSP向USB-key發(fā)送一個(gè)簽名命令即可，USB-key內(nèi)部便會(huì)自動(dòng)進(jìn)行簽名運(yùn)算，并將簽名結(jié)果送出，這就保證了所有的運(yùn)算都在USB-key內(nèi)部進(jìn)行，私鑰永不出USB-key，可不限定簽名次數(shù)，適用于對(duì)電子簽名業(yè)務(wù)較多的場(chǎng)景。

2.3基于服務(wù)端私鑰托管的簽名模式

從以上分析可知，基于USB-key客戶端私鑰簽名模式的優(yōu)點(diǎn)在于私鑰始終保存在用戶的USB-key中，為用戶安全的簽署電子文件提供了保障。但是由于USB-key具有較高的成本，若用戶只使用一次或少數(shù)的簽名而購(gòu)買USB-key從成本角度而言不便于應(yīng)用推廣，因此若用戶僅使用一次性簽名或少數(shù)次簽名可采用基于服務(wù)端私鑰托管的簽名模式。

基于服務(wù)端私鑰托管的簽名模式是代理簽名模式的一種演變形式。代理簽名模式包括兩個(gè)角色，原始簽名人和代理簽名人，原始簽名人可以將他的數(shù)字簽名權(quán)力委托給代理簽名人，代理簽名人代表原始簽名人生成的數(shù)字簽名，稱為代理簽名。

基于服務(wù)端私鑰托管的簽名模式中的原始簽名人是用戶自己，代理簽名人是服務(wù)端簽名驗(yàn)簽服務(wù)器、代理簽名是服務(wù)端簽名驗(yàn)簽服務(wù)器自身產(chǎn)生的私鑰進(jìn)行的數(shù)字簽名，具體流程如圖3所示：

（1）用戶對(duì)某一業(yè)務(wù)應(yīng)用系統(tǒng)交易數(shù)據(jù)進(jìn)行一次性電子簽名。

（2）待簽名業(yè)務(wù)應(yīng)用系統(tǒng)對(duì)用戶進(jìn)行身份認(rèn)證（如人臉識(shí)別、口令認(rèn)證等身份認(rèn)證手段），通過(guò)認(rèn)證后將用戶認(rèn)證信息及簽名請(qǐng)求發(fā)送至簽名驗(yàn)簽服務(wù)端。

（3）簽名驗(yàn)簽服務(wù)端隨機(jī)生成一對(duì)簽名密鑰對(duì)，將簽名公鑰與用戶身份信息進(jìn)行綁定，并發(fā)送再次確認(rèn)消息（如短信、令牌信息等）給用戶，以確認(rèn)是由用戶自身發(fā)出的對(duì)該筆業(yè)務(wù)的電子簽名。

（4）用戶手段收到簽名驗(yàn)簽服務(wù)端發(fā)來(lái)的確認(rèn)信息后給予確認(rèn)。

（5）簽名驗(yàn)簽服務(wù)端收到確認(rèn)消息后利用該用戶對(duì)應(yīng)的私鑰對(duì)該筆交易數(shù)據(jù)進(jìn)行電子簽名。

基于服務(wù)端私鑰托管的簽名模式優(yōu)點(diǎn)是節(jié)省用戶成本，簽名速度快，缺點(diǎn)是私鑰托管至服務(wù)端安全性降低，導(dǎo)致私鑰安全可控性存在漏洞，但該模式能夠確保用戶私鑰只能用戶安全運(yùn)算，無(wú)法導(dǎo)出算法卡被復(fù)制復(fù)用；私鑰使用過(guò)一次后即立即進(jìn)行銷毀，防止用戶私鑰保護(hù)碼使用后泄露導(dǎo)致的安全風(fēng)險(xiǎn)，每筆業(yè)務(wù)均對(duì)應(yīng)唯一的私鑰，采用此種模式時(shí)服務(wù)端簽名驗(yàn)簽服務(wù)器需由可信的第三方提供運(yùn)營(yíng)服務(wù)。同時(shí)為了保障私鑰的安全性，確保電子簽名的行為是由用戶主動(dòng)發(fā)起的，防止行為的不可抵賴性，在服務(wù)端還需要增加簽名審計(jì)模塊和策略配置模塊，簽名審計(jì)模塊實(shí)現(xiàn)對(duì)用戶電子簽名的司法舉證，策略配置模塊用來(lái)提供用戶確認(rèn)簽名行為的通訊機(jī)制，如使用短信、令牌信息或指紋等生物特征信息。

2.4基于私鑰分割的簽名模式

密鑰分解是近代密碼學(xué)討論的一個(gè)重要問(wèn)題，旨在解決如何將密鑰合理劃分成幾個(gè)子密鑰，分配給參與保密工作的每個(gè)人，使得只有其中達(dá)到指定個(gè)數(shù)的任意幾個(gè)人出示其所持子密鑰才能將原密鑰恢復(fù)，從而解密出明文。文件安全分割則是指將一個(gè)文件分割成n個(gè)子文件，規(guī)定必須完全具備其中任意m（1≤m≤n）個(gè)子文件才能將原文件恢復(fù)，而從其中任意不足m個(gè)子文件都不能恢復(fù)原文件。這樣就保證了當(dāng)其中任意n-m個(gè)子文件損壞時(shí)仍能將原文件恢復(fù)，而其中任意不足m個(gè)子文件泄密時(shí)也不足以使原文件暴露。

基于私鑰分割的簽名模式是在密鑰分解的基礎(chǔ)上而來(lái)的，在云計(jì)算環(huán)境下，簽名驗(yàn)簽服務(wù)器是分布式部署在網(wǎng)絡(luò)中，用戶的簽名密鑰可由多臺(tái)虛擬簽名驗(yàn)簽服務(wù)器提供，根據(jù)密鑰分解的原理，將用戶簽名密鑰分割成n個(gè)子簽名密鑰，規(guī)定必須完全具備其中任意m（1≤m≤n）個(gè)子簽名密鑰才能將原密鑰恢復(fù)，而從其中任意不足m個(gè)子簽名密鑰都不能恢復(fù)原簽名密鑰。

（1）用戶對(duì)某一業(yè)務(wù)應(yīng)用系統(tǒng)交易數(shù)據(jù)進(jìn)行電子簽名業(yè)務(wù)。

（2）待簽名業(yè)務(wù)應(yīng)用系統(tǒng)對(duì)用戶進(jìn)行身份認(rèn)證（如人臉識(shí)別、口令認(rèn)證等身份認(rèn)證手段），通過(guò)認(rèn)證后將用戶認(rèn)證信息及簽名請(qǐng)求發(fā)送至簽名驗(yàn)簽服務(wù)集群。

（3）簽名驗(yàn)簽服務(wù)集群隨機(jī)生成一對(duì)簽名密鑰對(duì)，并將私鑰按照密鑰分解的方式進(jìn)行存儲(chǔ)，將簽名公鑰與用戶身份信息進(jìn)行綁定，并發(fā)送再次確認(rèn)消息（如短信、令牌信息等）給用戶，以確認(rèn)是由用戶自身發(fā)出的對(duì)該筆業(yè)務(wù)的電子簽名。

（4）用戶手段收到簽名驗(yàn)簽服務(wù)端發(fā)來(lái)的確認(rèn)信息后給予確認(rèn)。

（5）簽名驗(yàn)簽服務(wù)集群收到確認(rèn)消息后查找用戶對(duì)應(yīng)的子私鑰，并按照密鑰分解的理論，將任意m（1≤m≤n）個(gè)子簽名密鑰根據(jù)算法將原密鑰恢復(fù)，再利用該密鑰對(duì)交易數(shù)據(jù)進(jìn)行電子簽名。

基于私鑰分割的簽名模式是基于USB-key客戶端私鑰簽名模式和基于服務(wù)端私鑰托管的簽名模式折中方案，用戶可不用具備客戶端的USB-key介質(zhì)，也能夠?qū)崿F(xiàn)電子簽名服務(wù)，即節(jié)約了經(jīng)濟(jì)成本又實(shí)現(xiàn)多簽名服務(wù)，同時(shí)保障了用戶私鑰存在單一簽名驗(yàn)簽服務(wù)設(shè)備上的安全性。同時(shí)為了保障私鑰的安全性，確保電子簽名的行為是由用戶主動(dòng)發(fā)起的，防止行為的不可抵賴性，在服務(wù)端也需要增加簽名審計(jì)模塊和策略配置模塊。

3結(jié)論

云計(jì)算具有計(jì)算能力強(qiáng)、按需提供服務(wù)、高可靠性和IT基礎(chǔ)設(shè)施投入低等優(yōu)點(diǎn)，對(duì)企業(yè)商業(yè)模式創(chuàng)新、技術(shù)創(chuàng)新和應(yīng)用創(chuàng)新上都帶來(lái)了很大的機(jī)遇，越來(lái)越受到政府、學(xué)術(shù)界和產(chǎn)業(yè)界等各領(lǐng)域的重視。本文分析了云計(jì)算環(huán)境下基于USB-key客戶端私鑰簽名模式、基于服務(wù)端私鑰托管的簽名模式和基于私鑰分割的簽名模式，三種簽名模式的優(yōu)缺點(diǎn)如表1所示。云計(jì)算環(huán)境下的電子簽名服務(wù)模式是通過(guò)動(dòng)態(tài)分配電子簽名服務(wù)、電子簽章服務(wù)和可信時(shí)間戳服務(wù)等，向最終用戶提供隨時(shí)可用、安全可靠的電子簽名云服務(wù)。在該模式下，電子簽名具有按需使用、隨時(shí)使用，電子簽名資源能夠動(dòng)態(tài)調(diào)整、自動(dòng)擴(kuò)展，電子簽名設(shè)備能夠資源共享、集約管理，電子簽名管理能夠動(dòng)態(tài)管理、遠(yuǎn)程監(jiān)控等諸多優(yōu)點(diǎn)，為云計(jì)算環(huán)境下的電子政務(wù)、電子商務(wù)、社會(huì)公共服務(wù)和企業(yè)內(nèi)部應(yīng)用提供電子認(rèn)證服務(wù)基礎(chǔ)，實(shí)現(xiàn)云計(jì)算環(huán)境下用戶身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定等功能，為我國(guó)電子認(rèn)證服務(wù)產(chǎn)業(yè)向云計(jì)算模式跨越提供技術(shù)參考和服務(wù)咨詢，也為我國(guó)云計(jì)算產(chǎn)業(yè)的跨越式發(fā)展提供電子認(rèn)證安全服務(wù)支撐。