2018,全球电子签约市场发展进入快车道。美国电子签约巨头docusign将在4月底正式ipo上市,国内电子签约领跑者上上签也在同期得到晨兴、经纬中国、dcm、顺为等一线资本投资,完成b轮1亿元融资。
随着网贷平台必须实现电子合同存证等金融政策的落地,国内电子签约市场还将迎来一轮高增长。在快速发展的背后,电子合同冒签、密钥盗用等安全问题也成为全社会关注焦点。与传统u盾等硬件解决方案不同,一直以技术优势领先行业的上上签率先推出签约安全化产品——“上上签手机盾”,无需u盾硬件,就能保证用户在手机端拥有完全自主的签署意愿,从根本上防止他人从服务器端在没有授权的情况下代理用户签名。上上签手机盾同时还能保证合同数据更加安全私密,再次从技术层面上带领电子签约行业进入移动安全自主的新时代。
从u盾到手机盾上上签加速安全签约方案进化
与传统纸质合同相比,电子签约已是“跨越次元”的全面升级,不仅成本更低、速度更快,在安全方面也更加可靠。借助第三方电子签约平台签署合同,严格的实名认证、数字签名与时间戳技术的运用、第三方公证机构的接入等共同构建起强大的数据安全链,保证签署方身份真实、合同内容无法篡改。
在整个电子签约安全链中,u盾是体现操作者自主性的非常核心的一环。u盾作为一个独立设备,仅能被持有者一个人配合pin码使用。通过调用usbkey安全证书,在电脑pc端终端设备上,能有效认证用户意愿。但是随着移动互联网时代到来,u盾容易丢失、不同电脑之间不兼容、必须安装驱动程序等缺点越来越影响用户体验,移动端更便捷安全的解决方案呼之欲出。
自去年开始,上上签就将“手机盾”列入战略研发项目,着力研发可替代u盾的手机端产品。用户只需安装集成了“上上签手机盾”的app,就能实现设备加密、运算加密和操作加密等全部功能。与传统的“短信验证码”相比,上上签手机盾的安全层级更高,既拥有u盾自主性,又摆脱了u盾的硬件载体。用户只需要预设一个专属pin码,在签约时校验pin码即可完成签署。即使手机遗失或被盗,他人无法同时获取手机与pin码来签署合同。上上签手机盾实现了“丢手机不丢密码”的安全防护,签约意愿完全掌握在用户手里。若用户更换手机,只需重新验证身份并设定新的专属pin码,就可以继续享受“上上签手机盾”带来的安全自主的便利。
上上签手机盾使用便捷,既可集成在app、api接口中,也可与pc端兼容使用。当用户在pc端签署合同时,系统会生成二维码,用户使用手机盾app扫码签署,系统会将签名结果反馈给服务器从而完成操作。
引入密钥分割技术上上签将安全自主带入云时代
虽然功能类似,但u盾由于硬件的功能限制,只能通过运行在pc上的中间件来实现加密算法,因此在加密运算过程中,用户密钥就会出现在内存中,有可能被技术高超的黑客获取。
而上上签手机盾引入密钥分割技术,将传统的密钥分割为客户端密钥因子与服务器端密钥因子两个组成部分,用户手机端与第三方服务器端分别存储各自部分的密钥因子,类似古代调兵遣将使用的“虎符”,两者相配才能完成签约,以此保证密钥的安全存储。
用户手机端的密钥因子采用加密存储,且与手机设备强关联,用户每次更换手机都需重新校验身份。服务器端密钥因子存储则采用硬件级加密,密钥因子不会明文出现在服务器之外。每次签署,密钥因子的调用都要求用户输入专设pin码,充分保证了密钥因子的安全。
在抗风险、处理数据的能力上,手机盾优势更是明显。上上签手机盾无缝支持云计算环境,在系统的承载能力、业务的响应能力上都远远超出u盾,可以有效的支撑海量用户业务系统的并发能力,同时在服务器端采用热备冗余技术,极大提升系统的抗风险能力。
近日来,facebook爆发的用户数据泄露事件,使得数据安全居于风口之上,电子签约密钥保护升级也成为大势所趋。行业人士表示,上上签手机盾的出现,完全颠覆了之前u盾安全防护生态,全新升级的安保标准,也将助推整个电子签约行业进入安全自主云时代。