某應用系統為等保3級，用戶采用手機端APP通過互聯網進行業務訪問，為保障APP端身份鑒別的密評合規，通過協同簽名服務實現了基于國密算法的身份鑒別以及傳輸過程中的機密性、完整性保護。

APP應用端證書下載

在APP端實現了用戶個人數字證書的線上注冊、申請、下載，流程如下：

1. APP集成協同簽名客戶端（SDK）；

2. APP通過協同簽名客戶端調用協同簽名服務提供的接口申請SM2聯簽公鑰；

3. 協同簽名服務生成SM2公鑰并返回給協同簽名客戶端；

4. 協同簽名客戶端生成請求數字證書的CSR文件，然后提交給CA申請證書；

5. CA根據獲取的公鑰簽發數字證書并返回給協同簽名客戶端。

6. 在提交CA獲取證書時，協同簽名客戶端可根據CA的管理要求完成數字證書申請的身份認證。

手機端APP身份鑒別

身份鑒別實現說明如下：

1. APP集成協同簽名客戶端（SDK）；

2. 用戶首次使用APP時下載SM2軟證書（密鑰分片）到本地；

3. 用戶登錄APP時通過本地軟證書基于協同簽名機制生成完整簽名值；

4. APP服務端驗證簽名值以確定身份正確性。

   協同簽名客戶端SDK為二級軟件密碼模塊，可達到與硬件智能密碼鑰匙相同的密鑰保護安全強度，認證過程中用戶無需使用任何硬件介質，滿足等保3級系統應用和數據層面身份鑒別相關要求。

數據傳輸過程中的機密性、完整性保護

數據安全傳輸實現說明如下：

1. APP集成協同簽名客戶端SDK；

2. 用戶首次使用APP時下載SM2軟證書（密鑰分片）到本地；

3. APP端上傳重要數據時通過服務端公鑰進行數據加密，服務端通過私鑰進行解密；

4. 服務端下發重要數據時通過用戶公鑰進行數據加密，APP端通過軟證書以及協同簽名服務實現數據解密。

密文采用數字信封方式封裝，加解密過程中自動通過SM3算法實現數據完整性保護。

協同簽名客戶端SDK為二級軟件密碼模塊，可達到與硬件智能密碼鑰匙相同的密鑰保護安全強度，認證過程中用戶無需使用任何硬件介質，滿足等保3級系統應用和數據層面數據傳輸機密性相關要求。