某应用系统为等保3级,用户采用手机端APP通过互联网进行业务访问,为保障APP端身份鉴别的密评合规,通过协同签名服务实现了基于国密算法的身份鉴别以及传输过程中的机密性、完整性保护。
APP应用端证书下载
在APP端实现了用户个人数字证书的线上注册、申请、下载,流程如下:
APP集成协同签名客户端(SDK);
APP通过协同签名客户端调用协同签名服务提供的接口申请SM2联签公钥;
协同签名服务生成SM2公钥并返回给协同签名客户端;
协同签名客户端生成请求数字证书的CSR文件,然后提交给CA申请证书;
CA根据获取的公钥签发数字证书并返回给协同签名客户端。
在提交CA获取证书时,协同签名客户端可根据CA的管理要求完成数字证书申请的身份认证。
手机端APP身份鉴别
身份鉴别实现说明如下:
APP集成协同签名客户端(SDK);
用户首次使用APP时下载SM2软证书(密钥分片)到本地;
用户登录APP时通过本地软证书基于协同签名机制生成完整签名值;
APP服务端验证签名值以确定身份正确性。
协同签名客户端SDK为二级软件密码模块,可达到与硬件智能密码钥匙相同的密钥保护安全强度,认证过程中用户无需使用任何硬件介质,满足等保3级系统应用和数据层面身份鉴别相关要求。
数据传输过程中的机密性、完整性保护
数据安全传输实现说明如下:
APP集成协同签名客户端SDK;
用户首次使用APP时下载SM2软证书(密钥分片)到本地;
APP端上传重要数据时通过服务端公钥进行数据加密,服务端通过私钥进行解密;
服务端下发重要数据时通过用户公钥进行数据加密,APP端通过软证书以及协同签名服务实现数据解密。
密文采用数字信封方式封装,加解密过程中自动通过SM3算法实现数据完整性保护。
协同签名客户端SDK为二级软件密码模块,可达到与硬件智能密码钥匙相同的密钥保护安全强度,认证过程中用户无需使用任何硬件介质,满足等保3级系统应用和数据层面数据传输机密性相关要求。
