隨著電力業務應用向移動互聯網的延伸，可以使用移動作業終端對變電站蓄電池實現智能管理，快捷有效地檢測出失效電池并預測蓄電池使用性能變化趨勢，科學地對變電站蓄電池進行運行評估，篩選出可修復蓄電池和不可修復蓄電池分別進行修復和回收再利用，確保變電站內蓄電池的安全穩定運行。

目前，傳統的安全認證和電子簽名手段已經無法滿足移動作業終端的安全應用需求：以用戶名+口令形式的認證方式容易被破解；采用短信驗證碼認證時，短信內容容易被劫持；動態口令容易被釣魚；作為最高安全級別的USBKey智能密碼鑰匙，也存在使用不方便、分發管理困難、成本高的問題。如何為智能電池管理系統提供基于移動作業終端的可靠身份認證和電子簽名服務是急需解決的問題。

數字簽名[1]作為數據的密碼運算結果，提供以下特性：數據源可認證性、數據完整性和簽名者不可抵賴性。數字簽名技術和移動終端的身份認證技術結合，形成基于移動終端的數字簽名模型，即為移動簽名。移動簽名具有可靠、便捷等特點，可推動電力業務移動平臺安全架構的發展，為智能電池管理等電網業務保駕護航。

傳統數字簽名方案和移動數字簽名方案有著重大區別：前者基于已有的傳統公鑰基礎設施和密鑰分發機制建立，簽名操作運行在本地環境，常見如USBKey、SD卡等設備；后者則涉及簽名方與遠程服務平臺之間的安全網絡數據交換，需解決簽名方使用便捷和簽名私鑰安全傳輸等問題。因此，本文提出一種在移動作業環境下用于生成數字簽名的技術方案，并討論了該方案在智能電池管理中的應用。云簽名方案通過將私鑰（主要用于用戶端數字簽名）分割成服務端和用戶端兩部分的方式，實現了服務端私鑰的集中管理，同時，又確保了數字證書與另一部分用戶私鑰的安全。

1 方案的目標

在移動作業環境下用于生成數字簽名的方案目標如下：

（1）基于移動應用模式，實現移動簽名，通過移動設備如掌機等，完成智能電池管理業務的移動簽名應用；

（2）完成對智能電池管理安全應用平臺的密碼算法升級，采用國密SM1、SM2、SM3、SM4系列算法，實現相關的數據加密、簽名等操作；

（3）實現數字證書及其私鑰的安全存儲，重點討論在移動終端環境下，密鑰在移動簽名服務平臺的安全存儲和應用；

（4）將傳統的密碼機、簽名驗簽服務等密鑰服務基礎設施，遷移到智能電池管理平臺的安全應用層，為移動簽名提供相關密碼服務。

2 方案的組成

在傳統的數字簽名應用中，采用現有的PKI體系（公共密鑰基礎設施），用于簽名的數字證書和私鑰都存儲在本地的安全介質（如USBkey、SD卡等），簽名操作一般由客戶端安全組件調用安全介質中的相關接口，本地實現。經過近幾年的發展，傳統的數字簽名應用已廣泛用于企業信息化、電子政務、金融、醫療、保險等領域，但隨著移動終端設備的普及，傳統的數字簽名應用在易用性上已無法滿足移動終端的應用需求，本方案將提出一種基于移動簽名的應用方案。

2.1 初始化

移動簽名應用以移動終端代替傳統的安全介質，進行數字證書和密鑰的安全存儲。應用的過程中首先要完成初始化工作，如圖1所示，初始化過程中，主要進行客戶端APP安裝和移動簽名服務注冊。移動簽名服務注冊的過程中需要提交手機號碼、設備指紋特征等信息，智能平臺將通過加解密服務，解密注冊信息，并通過手機驗證碼等信息校驗用戶身份，校驗成功后，移動平臺完成與已有智能電池管理業務賬號的關聯，完成初始化。

2.2 分發密鑰

移動簽名應用中，密鑰的分發采用密鑰分割的方式，完成簽名私鑰的安全存儲，如圖2所示。完成移動簽名服務注冊后，用戶通過APP提取設備指紋特征，向CA系統提交數字證書申請，CA系統向智能平臺密碼服務申請密鑰對，智能平臺密碼服務將證書公鑰返回給CA系統，并將私鑰分割[2]為m1和m2兩部分，m1作為用戶密鑰，通過安全方式返回給客戶端，m2作為服務端密鑰存儲在云平臺密碼服務模塊。

2.3 移動簽名的實現

智能平臺上的智能電網業務向用戶的移動終端推送待簽名請求，簽名應用流程如圖3所示，移動終端可以通過掃描二維碼、專用網絡接收等方式，接收待簽名數據，使用用戶密鑰m1完成對業務數據的簽名，并加密上傳至智能平臺，智能平臺接收并解密終端簽名數據，使用服務端密鑰m2實現移動簽名，將客戶端簽名與服務端簽名一起合成最終移動簽名，智能電池管理系統存儲該移動簽名。

3 安全性分析

3.1 數據隔離安全性

在移動應用模式下，用于移動簽名的服務端密鑰存儲在智能平臺的密碼服務模塊中，客戶端用戶共享智能平臺提供的簽名服務，使得多個用戶數據可能在同一網絡中進行數據傳輸，在同一磁盤中進行數據存儲，在同一內存區中進行數據處理，這為用戶間數據的非法訪問提供了便利條件。因此，智能平臺應采取有效措施對不同用戶的云端密鑰m2進行隔離，并在簽名調用過程中，嚴格驗證用戶身份與服務端私鑰之間的對應關系，并拒絕任何對未關聯服務端私鑰的使用請求，保證數據的安全隔離。

3.2 算法安全性

該方案中數字證書采用國家密碼管理局審批通過的SM2密碼算法，對稱密碼算法采用SM1或SM4算法，摘要算法采用SM3算法。在算法使用上，符合國家電網的相關管理要求，保證密碼算法上的自主、安全、可控。

3.3 密鑰安全性

由于本文方案采用私鑰分割方案，并對服務端密鑰采用集中管理，同時需要將用戶密鑰傳送到客戶端使用，因此在應用中還需要從以下3個方面考慮對私鑰數據的保護：

（1）私鑰的服務端密鑰應存儲在密碼機等安全密碼介質中，密碼機作為密鑰服務基礎設施，為智能平臺提供數據加解密、電子簽名等密碼相關服務。

（2）私鑰的用戶密鑰存儲以密文方式存儲在客戶端中。

（3）采用專用網絡和加密傳輸等措施來完成客戶端與移動簽名服務平臺之間的交互，且每一次交互都要求攜帶隨機數，以防止重放攻擊。

3.4 數字簽名的有效性

數字簽名即電子簽名，在2005年4月1日頒布的《中華人民共和國電子簽名法》中明確提出了數據電文符合法律法規規定的書面形式、原件形式和保存形式的要求以及可靠電子簽名的要求，并在第十四條明確規定了“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”。本方案中，所涉數字簽名要符合法律的相關要求，實現“可靠的電子簽名”需要考慮以下幾點：

（1）在簽發電子簽名所使用的數字證書時，所有者的數字身份必須經過有效核實，確保真實有效，本方案中可通過員工檔案或移動運營商身份信息庫對用戶的身份進行核實。

（2）電子簽名只能被它的所有者使用。他人如果使用的，必須有電子簽名所有者的明確授權才有效。本方案中，用于電子簽名的私鑰僅由移動終端用戶本人控制，符合《電子簽名法》的相關規定，安全、有效。

（3）電子簽名本身和它附著的業務數據應是有相應的技術保障其不能任意改動的，本方案中，無論是電子簽名本身還是它附著的業務數據均實現了安全存儲，無法改動。

綜上，本方案實現的數字簽名符合《電子簽名法》的相關規定，是可靠、有效的。

4 需要改進的方面

4.1 改進身份鑒別方案

本方案采用了移動終端設備實現移動簽名應用，鑒于設備本身便攜、易遺失的特點，需改進客戶端的身份鑒別方案。在調用用戶私鑰進行數字簽名的過程中，需增加Pin碼校驗、指紋校驗、人臉識別等多種用戶身份鑒別方式，并與設備特征相關聯，使得用戶只能在已注冊的、獲得授權的設備中使用數字證書及用戶私鑰，確保用戶私鑰安全。

4.2 完善客戶端變更方案

客戶端變更或遺失后，可能存在用戶私鑰遺失的問題，需要完善客戶端的變更方案。首先，需停用并注銷服務端存儲的服務端密鑰m2，再由服務端的密碼服務模塊重新簽發密鑰對，并重新完成密鑰的安全分發，完成對數字證書公鑰的更新。在密鑰分發的過程中，需嚴格校驗用戶的手機號碼或其它身份信息，防止非法用戶冒用他人身份，獲取數字證書及用戶私鑰。

5 智能電池管理應用舉例

智能電池管理可使用移動作業終端，通過遠程智能平臺對變電站蓄電池在線檢測、修復及評估體系，快捷有效地檢測出失效電池并預測蓄電池使用性能變化趨勢，科學地對變電站蓄電池進行運行評估，確保變電站內蓄電池的安全穩定運行。

為保證智能平臺的應用安全，需要對系統用戶進行有效管控，對用戶下發的所有操作指令進行有效追責，下面以智能電池管理系統為例，說明移動簽名在智能電池管理中的業務應用，如圖4所示。

圖4以用戶登錄認證為例，簡述了用戶通過移動簽名技術登錄智能電池管里系統的應用流程：

（1）首先用戶通過移動作業終端向智能電池管理系統發送登錄認證請求；

（2）智能電池管理系統接收登錄請求，并返回二維碼登錄信息；

（3）移動APP掃描該二維碼，確認待簽信息，移動作業終端通過Pin碼或指紋等方式鑒別用戶身份，校驗無誤后，使用移動作業終端上存儲的用戶密鑰m1，對待簽數據進行數字簽名；

（4）智能平臺上的相關密碼服務接收并解密終端簽名數據，并使用服務端密鑰m2實現待簽數據的服務端簽名；

（5）將客戶端簽名和服務端簽名進行組合，生成最終的移動簽名，并將該移動簽名發送給智能電池管理系統；

（6）智能電池管理系統存儲移動簽名，并校驗簽名的有效性，校驗成功，允許用戶登錄，返回客戶端成功登錄的消息。

在智能電池管理業務應用中，用戶可以依托手機、掌機等移動作業設備，登錄智能平臺，完成智能電池管理業務操作。為確保智能平臺的安全運行，可采用本方案中的移動簽名技術解決智能電池管理業務中的身份認證、關鍵業務數字簽名/驗簽等需求。

6 結束語

為確保在移動作業終端上，實現對變電站蓄電池智能管理的安全應用，本文提出了一種基于國密算法的移動簽名技術，并從數據隔離、密鑰安全、算法安全、簽名有效性四個方面分析了方案的安全性，同時針對用戶身份鑒別、客戶端變更兩個應用場景，提出了方案實施的改進建議。最后，以智能電池管理系統用戶登錄場景為例，驗證本方案的實用性。本方案需要改進的地方還有很多，移動簽名方案的安全模型，如私鑰的分割算法，仍需進一步完善。