移动签名技术在智能电池管理中有什么样的应用

随着电力业务应用向移动互联网的延伸，可以使用移动作业终端对变电站蓄电池实现智能管理，快捷有效地检测出失效电池并预测蓄电池使用性能变化趋势，科学地对变电站蓄电池进行运行评估，筛选出可修复蓄电池和不可修复蓄电池分别进行修复和回收再利用，确保变电站内蓄电池的安全稳定运行。

目前，传统的安全认证和电子签名手段已经无法满足移动作业终端的安全应用需求：以用户名+口令形式的认证方式容易被破解；采用短信验证码认证时，短信内容容易被劫持；动态口令容易被钓鱼；作为最高安全级别的USBKey智能密码钥匙，也存在使用不方便、分发管理困难、成本高的问题。如何为智能电池管理系统提供基于移动作业终端的可靠身份认证和电子签名服务是急需解决的问题。

数字签名[1]作为数据的密码运算结果，提供以下特性：数据源可认证性、数据完整性和签名者不可抵赖性。数字签名技术和移动终端的身份认证技术结合，形成基于移动终端的数字签名模型，即为移动签名。移动签名具有可靠、便捷等特点，可推动电力业务移动平台安全架构的发展，为智能电池管理等电网业务保驾护航。

传统数字签名方案和移动数字签名方案有着重大区别：前者基于已有的传统公钥基础设施和密钥分发机制建立，签名操作运行在本地环境，常见如USBKey、SD卡等设备；后者则涉及签名方与远程服务平台之间的安全网络数据交换，需解决签名方使用便捷和签名私钥安全传输等问题。因此，本文提出一种在移动作业环境下用于生成数字签名的技术方案，并讨论了该方案在智能电池管理中的应用。云签名方案通过将私钥（主要用于用户端数字签名）分割成服务端和用户端两部分的方式，实现了服务端私钥的集中管理，同时，又确保了数字证书与另一部分用户私钥的安全。

1 方案的目标

在移动作业环境下用于生成数字签名的方案目标如下：

（1）基于移动应用模式，实现移动签名，通过移动设备如掌机等，完成智能电池管理业务的移动签名应用；

（2）完成对智能电池管理安全应用平台的密码算法升级，采用国密SM1、SM2、SM3、SM4系列算法，实现相关的数据加密、签名等操作；

（3）实现数字证书及其私钥的安全存储，重点讨论在移动终端环境下，密钥在移动签名服务平台的安全存储和应用；

（4）将传统的密码机、签名验签服务等密钥服务基础设施，迁移到智能电池管理平台的安全应用层，为移动签名提供相关密码服务。

2 方案的组成

在传统的数字签名应用中，采用现有的PKI体系（公共密钥基础设施），用于签名的数字证书和私钥都存储在本地的安全介质（如USBkey、SD卡等），签名操作一般由客户端安全组件调用安全介质中的相关接口，本地实现。经过近几年的发展，传统的数字签名应用已广泛用于企业信息化、电子政务、金融、医疗、保险等领域，但随着移动终端设备的普及，传统的数字签名应用在易用性上已无法满足移动终端的应用需求，本方案将提出一种基于移动签名的应用方案。

2.1 初始化

移动签名应用以移动终端代替传统的安全介质，进行数字证书和密钥的安全存储。应用的过程中首先要完成初始化工作，如图1所示，初始化过程中，主要进行客户端APP安装和移动签名服务注册。移动签名服务注册的过程中需要提交手机号码、设备指纹特征等信息，智能平台将通过加解密服务，解密注册信息，并通过手机验证码等信息校验用户身份，校验成功后，移动平台完成与已有智能电池管理业务账号的关联，完成初始化。

2.2 分发密钥

移动签名应用中，密钥的分发采用密钥分割的方式，完成签名私钥的安全存储，如图2所示。完成移动签名服务注册后，用户通过APP提取设备指纹特征，向CA系统提交数字证书申请，CA系统向智能平台密码服务申请密钥对，智能平台密码服务将证书公钥返回给CA系统，并将私钥分割[2]为m1和m2两部分，m1作为用户密钥，通过安全方式返回给客户端，m2作为服务端密钥存储在云平台密码服务模块。

2.3 移动签名的实现

智能平台上的智能电网业务向用户的移动终端推送待签名请求，签名应用流程如图3所示，移动终端可以通过扫描二维码、专用网络接收等方式，接收待签名数据，使用用户密钥m1完成对业务数据的签名，并加密上传至智能平台，智能平台接收并解密终端签名数据，使用服务端密钥m2实现移动签名，将客户端签名与服务端签名一起合成最终移动签名，智能电池管理系统存储该移动签名。

3 安全性分析

3.1 数据隔离安全性

在移动应用模式下，用于移动签名的服务端密钥存储在智能平台的密码服务模块中，客户端用户共享智能平台提供的签名服务，使得多个用户数据可能在同一网络中进行数据传输，在同一磁盘中进行数据存储，在同一内存区中进行数据处理，这为用户间数据的非法访问提供了便利条件。因此，智能平台应采取有效措施对不同用户的云端密钥m2进行隔离，并在签名调用过程中，严格验证用户身份与服务端私钥之间的对应关系，并拒绝任何对未关联服务端私钥的使用请求，保证数据的安全隔离。

3.2 算法安全性

该方案中数字证书采用国家密码管理局审批通过的SM2密码算法，对称密码算法采用SM1或SM4算法，摘要算法采用SM3算法。在算法使用上，符合国家电网的相关管理要求，保证密码算法上的自主、安全、可控。

3.3 密钥安全性

由于本文方案采用私钥分割方案，并对服务端密钥采用集中管理，同时需要将用户密钥传送到客户端使用，因此在应用中还需要从以下3个方面考虑对私钥数据的保护：

（1）私钥的服务端密钥应存储在密码机等安全密码介质中，密码机作为密钥服务基础设施，为智能平台提供数据加解密、电子签名等密码相关服务。

（2）私钥的用户密钥存储以密文方式存储在客户端中。

（3）采用专用网络和加密传输等措施来完成客户端与移动签名服务平台之间的交互，且每一次交互都要求携带随机数，以防止重放攻击。

3.4 数字签名的有效性

数字签名即电子签名，在2005年4月1日颁布的《中华人民共和国电子签名法》中明确提出了数据电文符合法律法规规定的书面形式、原件形式和保存形式的要求以及可靠电子签名的要求，并在第十四条明确规定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。本方案中，所涉数字签名要符合法律的相关要求，实现“可靠的电子签名”需要考虑以下几点：

（1）在签发电子签名所使用的数字证书时，所有者的数字身份必须经过有效核实，确保真实有效，本方案中可通过员工档案或移动运营商身份信息库对用户的身份进行核实。

（2）电子签名只能被它的所有者使用。他人如果使用的，必须有电子签名所有者的明确授权才有效。本方案中，用于电子签名的私钥仅由移动终端用户本人控制，符合《电子签名法》的相关规定，安全、有效。

（3）电子签名本身和它附着的业务数据应是有相应的技术保障其不能任意改动的，本方案中，无论是电子签名本身还是它附着的业务数据均实现了安全存储，无法改动。

综上，本方案实现的数字签名符合《电子签名法》的相关规定，是可靠、有效的。

4 需要改进的方面

4.1 改进身份鉴别方案

本方案采用了移动终端设备实现移动签名应用，鉴于设备本身便携、易遗失的特点，需改进客户端的身份鉴别方案。在调用用户私钥进行数字签名的过程中，需增加Pin码校验、指纹校验、人脸识别等多种用户身份鉴别方式，并与设备特征相关联，使得用户只能在已注册的、获得授权的设备中使用数字证书及用户私钥，确保用户私钥安全。

4.2 完善客户端变更方案

客户端变更或遗失后，可能存在用户私钥遗失的问题，需要完善客户端的变更方案。首先，需停用并注销服务端存储的服务端密钥m2，再由服务端的密码服务模块重新签发密钥对，并重新完成密钥的安全分发，完成对数字证书公钥的更新。在密钥分发的过程中，需严格校验用户的手机号码或其它身份信息，防止非法用户冒用他人身份，获取数字证书及用户私钥。

5 智能电池管理应用举例

智能电池管理可使用移动作业终端，通过远程智能平台对变电站蓄电池在线检测、修复及评估体系，快捷有效地检测出失效电池并预测蓄电池使用性能变化趋势，科学地对变电站蓄电池进行运行评估，确保变电站内蓄电池的安全稳定运行。

为保证智能平台的应用安全，需要对系统用户进行有效管控，对用户下发的所有操作指令进行有效追责，下面以智能电池管理系统为例，说明移动签名在智能电池管理中的业务应用，如图4所示。

图4以用户登录认证为例，简述了用户通过移动签名技术登录智能电池管里系统的应用流程：

（1）首先用户通过移动作业终端向智能电池管理系统发送登录认证请求；

（2）智能电池管理系统接收登录请求，并返回二维码登录信息；

（3）移动APP扫描该二维码，确认待签信息，移动作业终端通过Pin码或指纹等方式鉴别用户身份，校验无误后，使用移动作业终端上存储的用户密钥m1，对待签数据进行数字签名；

（4）智能平台上的相关密码服务接收并解密终端签名数据，并使用服务端密钥m2实现待签数据的服务端签名；

（5）将客户端签名和服务端签名进行组合，生成最终的移动签名，并将该移动签名发送给智能电池管理系统；

（6）智能电池管理系统存储移动签名，并校验签名的有效性，校验成功，允许用户登录，返回客户端成功登录的消息。

在智能电池管理业务应用中，用户可以依托手机、掌机等移动作业设备，登录智能平台，完成智能电池管理业务操作。为确保智能平台的安全运行，可采用本方案中的移动签名技术解决智能电池管理业务中的身份认证、关键业务数字签名/验签等需求。

6 结束语

为确保在移动作业终端上，实现对变电站蓄电池智能管理的安全应用，本文提出了一种基于国密算法的移动签名技术，并从数据隔离、密钥安全、算法安全、签名有效性四个方面分析了方案的安全性，同时针对用户身份鉴别、客户端变更两个应用场景，提出了方案实施的改进建议。最后，以智能电池管理系统用户登录场景为例，验证本方案的实用性。本方案需要改进的地方还有很多，移动签名方案的安全模型，如私钥的分割算法，仍需进一步完善。