密话大咖｜南京CA张循：让密码创新数字认证，铸就数智可信基石

在第十一届上交会商用密码展暨密码应用与创新发展大会上，数观天下作为独家战略合作媒体，联合上海市商密协会一起推出特别访谈栏目——《数观密话》。

本期《数观密话》，我们对话南京数字认证有限公司（以下简称“南京CA”）总经理 张循先生，深入了解这家第三方电子认证服务领先机构，聊聊数字可信领域的商用密码实践。

商密企业：南京CA

南京数字认证有限公司（简称“南京CA”、“NJCA”)，成立于2018年， 是用友旗下点聚子公司，作为依法设立的第三方电子认证服务机构，获得国家工业和信息化部颁发《电子认证服务许可证》、国家密码管理局颁发《电子认证服务使用密码许可证》、获批电子政务电子认证服务资质。

公司坚持自主创新技术路线，凭借产品服务能力、核心技术水平、人才团队建设优势，不断拓展数字证书在不同领域应用，为实现我国网络空间安全可信提供创新产品和解决方案，助力数字化安全建设，为数字经济安全发展贡献力量。

 

Q：张总您好，很荣幸邀请您作为《数观密话》的对话嘉宾，请您跟我们的粉丝朋友们打个招呼吧

大家好，我是南京数字认证有限公司的总经理张循。

公司成立于2018年，2022年点聚收购大部分股份，成为用友旗下点聚控股的一家独立子公司。

公司目前获得工信部颁发的“电子认证服务许可证”、国家密码管理局颁发的“电子认证服务使用密码许可证”以及获批电子政务电子认证服务资质，是依法设立的第三方电子认证服务机构。

 

Q：本次商密展大会上，请问您带来的什么新亮点?

本次大会上，我们在创新发布环节上发布了新品：Trusthub可信云服务平台。

给大家介绍一下这个新产品 ：

平台有三种形态，云服务形态、私有化部署形态和混合模式，主要面向GBCX，G代表政府，B代表商业，C代表个人，X代表所有具有身份需求的对象。

在产品前端形态上，我们提供PC端、移动端、H5端、小程序SDK。在所有可能使用信息化和身份认证的场景中，都有一个使用路径和组件。在业务设计上，我们将密码能力、AI能力作为平台的基础技术底座，赋能于平台的架构和PasS能力。

针对业务场景，目前已覆盖数字化政务、金融、车联网以及物联网等领域。

 

Q：张总，您刚刚提到AI作为底座的一种能力，具体如何在平台中发挥作用的呢？

我举个例子吧：

南京CA定位为可信身份服务商，颁发数字证书。

从根本业务上，数字证书需要鉴别用户身份。目前最基础的应用就是在核验用户身份的过程中使用了AI的技术能力，如人像比对、OCR身份证识别。

第二，我们会使用AI的推理能力。比如手机号码，那就涉及到不同运营商，其中包括虚拟运营商，还有手机号码开户的时间长短等。我们通过多年来的在线核验经验建立风险判断模型，利用AI学习各个维度数据，在对用户进行判断时，整体会精确到风险区域进行综合评判。从去年开始，模型不断优化，目前人工介入率已降低超过50%。

 

Q：公司日常发布的证书有哪几个类型？

从服务对象纬度，分为企业机构证书、个人证书和设备证书。

从有效期纬度，分为长效证书、短效证书和事件证书。

 

Q：在时间方面，长期、短期或者事件的这三类型证书的密钥管理方式有何不同？

出于合规性等因素的考虑，目前长效证书和短效证书的密钥都在硬件中保管，可以由用户提供密码设备，如传统的UKey、手机盾。

事件证书具有特殊形态，处于合规考虑，我们的密钥不交付给用户，这点与行业常规做法不同。

在具体应用中，用户提交个人信息通过在线核验，核验完成后由系统自动响应，客户签署后密钥销毁，即一次性使用密钥，实现了用户身份核验与签署的二合一，从而避免密钥泄露风险。

 

Q：贵公司主要业务覆盖金融、政务、医疗等行业，那么这三个行业对数据的敏感性以及客户隐私的要求都非常高。在实施数字签名时，如何结合密码技术的应用？

CA机构的密码技术主要关注合规性。通过按照国家或国际标准执行通用性要求实现通用验证。

在签署前进行一些前置处理，如脱敏处理。在签署后，在对是否保留、如何保留以及如何加密发送给业务系统等方面会有更高的要求。

目前国家在推进商用密码应用安全性评估，在实际项目中，我们按照密评要求服务客户，保证其数据在存储、传输等过程中的机密性和完整性。

 

Q：新发布Trusthub平台主要运用了哪些算法？

平台主要使用国密的SM2、SM3、SM4和SM9，SM9相对少一点。

 

Q：我们看到了许多基于抗量子的研究和创新成果发布，请问贵公司在这方面有哪些布局和落地实践？

目前国内并未发布抗量子相关的标准，我们保持跟进态度。本次会议中，也看到使用量子密钥发生器生成密钥的创新应用，很有启发。

我们在自己的产品中应用了一些此类量子技术，同时使用更高密码位数，保证数据安全。

 

Q：很多厂商在讲CPasS，您如何看待CPasS（密码即服务）的业务模式？

在云化大趋势下，CPasS将成为必然趋势。

Trusthub平台本身就包含CPasS方案。在保证密钥保管、分发以及中间链路安全性的前提下，这是一种节约资源的方法，这时我们可以实现几台密码机支撑一个密码云。

在信创条件下，使用信创CPU内部集成的安全处理器、密码协处理器的资源，最大程度借助通用算力，将节省大量资源。

 

Q：在云服务中有两部分，一个是云租户，另一个是云平台。您认为在云租户的密码安全方向上，责任如何划分？

我认为云租户租赁的订阅服务，需要由云服务运营商负责。

比如，我们在云上建立一个Trusthub平台，作为平台的运营方，必须由我们来对用户负责。

直接来讲，用户使用虚拟化密码产品时，仍然需要使用有商用密码型号认证证书的密码产品，那么认证证书的所有者需要承担责任。

 

Q：前面您提到了密码资源池，南京CA在这方面走在行业前列。您是否有比较宝贵的经验与我们分享？

经验谈不上，说说一些想法。

在信创条件下，密码资源池更多在于算力的融合，能够使用信创原生的国密能力来解决一些密码方面的问题。而密码资源池并不局限于密钥、签名或者加密，更多还在于满足用户在安全和密码方面的需求，使得用户更聚焦于自己的业务方面，而不需要为网络安全问题焦虑。

南京CA发布Trusthub，也是基于这样的考量。

 

Q：您是第几次参加商密展？第三届商密大会是基于上交会的大平台，您公司是否有出海计划？

每年都来，每年都能遇到遇到一些老朋友，也能接触到更多的新朋友，看到整个行业的新变化。

目前我们紧跟用友集团出海战略，布局跨境签署和跨境身份认证业务，服务一些中国企业的出海项目，也在与国内厂商以及东盟地区企业沟通合作证书互通、互认和互签等事宜。