构建自主可控的安全启动签名体系与数字身份生态

战略背景：国际厂商主导的安全启动体系存在供应链风险

在当前国内服务器与个人电脑生态中，安全启动环节高度依赖国际厂商的证书签名体系。根据CFCA分析，国际厂商主导了从证书认证、签名服务到根证书预置的全流程，导致基础安全密钥使用面临“卡脖子”风险。同时，国内缺乏统一的安全启动国家标准，行业推广受到限制，且尚无对外提供签名运营服务的国内技术产品。

解决方案：构建国产化安全启动体系与数字身份基础设施

CFCA作为工信部信创工委会WG35“安全启动签名组”组长单位，牵头制定四项关键标准：代码安全规范、代码审计规范、代码签名规范和代码签名运营规范。通过建立由具备运营资质的独立第三方机构运营的中国签名体系，依托国产密码算法SM2的核心竞争力，推动国内安全启动标准化。

技术验证结果显示：CFCA签名方案支持现有安全启动流程及国际RSA算法，BIOS和OS无需适配，仅需导入RSA证书并重新签名即可使用。在国产化环境下，实现了服务器、BIOS、OS、国密算法SM2的全流程国产自主可控，并在项目系统中完成应用验证。

量化成效：多架构环境下的兼容性验证通过

在具体项目测试验证中，CFCA安全启动方案在两种主流架构上均表现稳定：

• ARM架构：昆仑服务器（适配修改）+ openEuler操作系统 → 验证通过
• x86架构：百款服务器（未修改）+ openEuler操作系统 → 验证通过

该方案确保了服务器启动过程中使用软件的合法性，有效避免了系统无法启动、植入后门等安全风险。

“腾讯公司拥有26年互联网服务经验，覆盖10亿级用户，具有丰富的安全实践经验。我们与CFCA合作，共同增强金融安全能力。” —— 左小军，CFCA产品中心专家

数字身份生态：构建多层次身份认证体系

CFCA基于证书发放量优势，定位为网络可信身份服务商和基础技术产品提供商，提供从首次核验到多次鉴别的一体化解决方案。身份认证体系分为三个级别：

1. 法定信任基础级：基于居民身份证法等法定证件
2. 第三方作证级：基于电子签名法的CA证书/key（CFCA核心业务）
3. 业务凭证级：银行账号、手机号码等业务系统凭证

CFCA数字身份能力覆盖自然人、法人和设备/应用三大领域，整合了公安一所身份证核验、银联银行卡认证、运营商手机号认证等多源验证渠道。

联合价值：腾讯安全与CFCA协同增强金融安全

腾讯安全与CFCA的合作聚焦供应链安全和移动端安全两大维度：

• 供应链安全涵盖软件准入、开源治理、漏洞管理、版本管理等七个关键环节
• 移动端安全为安卓、IOS、鸿蒙APP及微信小程序、公众号提供全链路保护，包括兼容性测试、应用性能测试、仿冒监测、应用加固等能力

通过结合CFCA的数字身份认证体系与腾讯的互联网安全实践经验，为金融行业提供更加安全可靠的技术基础设施。