CN103490892B - 数字签名方法和系统、应用服务器和云密码服务器 - Google Patents
数字签名方法和系统、应用服务器和云密码服务器 Download PDFInfo
- Publication number
- CN103490892B CN103490892B CN201310381873.7A CN201310381873A CN103490892B CN 103490892 B CN103490892 B CN 103490892B CN 201310381873 A CN201310381873 A CN 201310381873A CN 103490892 B CN103490892 B CN 103490892B
- Authority
- CN
- China
- Prior art keywords
- signature
- data
- ciphertext
- server
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
一种数字签名方法,包括:根据应用服务器的加密证书向云密码服务器发起签名请求;通过云密码服务器响应签名请求,获取对称密钥的密文;根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文;在对数据报文进行验签和对称解密后,利用云密码服务器的私钥对待签名原文数据进行数字签名,获得原文数据签名值;根据原文数据和预先植入到应用服务器中签名公钥证书对原文数据签名值进行验证。本发明还提供一种数字签名系统、数字签名应用服务器和云密码服务器,本发明的技术,可以降低数字签名成本,保证密码运算能力,可以为用户提供稳定性更高的签名服务。
Description
技术领域
本发明涉及密码学技术领域,特别是涉及一种数字签名方法和系统、应用服务器和云密码服务器。
背景技术
基于PKI体系的数字签名技术在信息化系统中的应用日益得到普及。在签名技术的应用中,服务器端签名是一种较为普遍的签名应用模式,其基本实现原理是通过在信息化系统的应用服务器端部署直连的密码机,通过密码机提供的API接口对服务器端待签名原文数据进行数字签名,签名过程使用的私钥信息只存储在本地部署的密码机上且唯一,完成服务器端签名的原文数据和签名值由信息化系统发布给终端用户或其它信息化系统,终端用户或其它信息化系统可结合原文信息及签名值验证发布信息的完整性和真实性。
信息化系统结合自身业务需求要实现服务器端签名必须购置本地部署的密码机。由于目前密码机设备自身的特殊性,采购成本一般较高。信息化系统要实现一个简单签名业务功能需要投入较高的系统建设成本。
使用本地部署的密码机进行服务器端签名时,密码机设备成为了信息化系统的重要组成部分,这样密码机同时也成为了信息化系统应用的风险点,存在单点故障风险和维护成本,一旦该设备出现故障会直接影响到信息化系统的具体业务功能。
另外,在上述技术中,一般情况下密码机硬件的密码运算能力是有限,即其并发处理能力有限的,当需要同时为信息化系统的大量用户提供签名服务时,密码机无法实现按业务所需的密码运算,而且随着用户量的递增以及业务处理能力的扩充,密码机的运算能力就会达到峰值,而由于唯一性的因素,也无法实现按业务需求进行密码运算能力和并发能力的动态扩展,难以为信息化系统提供稳定性更高的签名服务。
发明内容
基于此,有必要针对上述问题,提供一种成本低、应用风险低并能依据应用性能需求进行动态扩展的数字签名方法及其支撑系统。
一种数字签名方法,包括如下步骤:
根据应用服务器的加密证书向云密码服务器发起签名请求;
通过所述云密码服务器响应所述签名请求,获取对称密钥的密文;
根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文;
在对所述数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值;
根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
一种数字签名系统,包括:
签名请求模块,用于根据应用服务器的加密证书向云密码服务器发起签名请求;
签名响应模块,用于通过所述云密码服务器响应所述签名请求,获取对称密钥的密文;
原文签名模块,用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文;
数字签名模块,用于在对所述数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值;
签名验证模块,用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
上述数字签名方法和系统,通过云密码服务器向应用服务器提供密码运算服务,应用服务器通过调用云密码服务器完成数字签名的密码运算相关操作,无需为应用服务器部署本地的密码机设备,降低了数字签名成本,也避免了密码机成为了信息化系统应用的风险点的问题。同时,由于云密码服务器可以基于主流的通用服务器硬件来构建,具有海量计算能力、海量存储、动态扩展等技术特点,密码运算能力得到保证,运算资源可以进行复用,签名服务动态扩展性能好,可以按业务需求进行密码运算能力和并发能力的动态扩展,从而可以为用户提供稳定性更高的签名服务。
一种数字签名应用服务器,包括:
签名请求单元,用于根据本地的加密证书向云密码服务器发起签名请求;
原文签名单元,用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文;其中,所述密文为云密码服务器响应所述签名请求后回传的所述对称密钥的密文。
签名验证单元,用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证;其中,所述原文数据签名值为所述云密码服务器利用自身产生的私钥对所述待签名原文数据进行数字签名后回传的签名值。
上述数字签名应用服务器,通过利用云密码服务器来提供密码运算服务,在执行用户的签名时,通过调用云密码服务器完成数字签名的密码运算相关操作,无需部署本地的密码机设备,降低了数字签名成本,也避免了密码机成为了信息化系统应用的风险点的问题。同时,由于云密码服务器可以基于主流的通用服务器硬件来构建,具有海量计算能力、海量存储、动态扩展等技术特点,密码运算能力得到保证,运算资源可以进行复用,签名服务动态扩展性能好,可以按业务需求进行密码运算能力和并发能力的动态扩展,从而可以为用户提供稳定性更高的签名服务。可以应用到多个不同的信息化系统中,实现针对不同信息化系统进行签名,满足不同信息化系统调用各自私钥的需求和密钥管理安全的需求。
一种数字签名云密码服务器,该的云密码服务器设于云端,包括:
签名响应单元,用于通过云密码服务器响应签名请求,获取对称密钥的密文回传至执行签名的应用服务器;其中,所述签名请求为所述应用服务器根据所持有的加密证书提交的签名请求;
数字签名单元,用于在对所述应用服务器提交的数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值,并回传至应用服务器;其中,所述数据报文为应用服务器根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到的签名信息,以及密文组装而成的数据报文。
上述数字签名云密码服务器,是基于云密码机的构建,可以向应用服务器执行签名提供密码运算服务,云密码服务器完成数字签名的密码运算相关操作,执行签名的应用服务器无需部署本地的密码机设备,降低了数字签名成本,也避免了密码机成为了信息化系统应用的风险点的问题。同时,云密码服务器可以基于主流的通用服务器硬件来构建,具有海量计算能力、海量存储、动态扩展等技术特点,密码运算能力得到保证,运算资源可以进行复用,签名服务动态扩展性能好,可以按业务需求进行密码运算能力和并发能力的动态扩展,从而可以为用户提供稳定性更高的签名服务。
附图说明
图1为一个实施例的数字签名方法的流程图;
图2为一个应用示例数字签名方法的流程图;
图3为一个实施例的数字签名系统的结构示意图;
图4为一个实施例的数字签名应用服务器结构示意图;
图5为一个实施例的数字签名云密码服务器结构示意图。
具体实施方式
下面结合附图对本发明的数字签名方法的具体实施方式作详细描述。
参见图1,图1为一个实施例的数字签名方法的流程图,主要包括以下步骤:
S101、根据应用服务器的加密证书向设于云端的云密码服务器发起签名请求。
在本步骤中,可以由应用服务器接受用户签名请求,利用云服务模式及相关PKI技术,根据本地的加密证书向设于云端的云密码服务器请求云签名服务。
S102、通过所述云密码服务器响应所述签名请求,获取对称密钥的密文。
在本步骤中,可以由云密码服务器通过统一的接口为各个应用服务器提供签名服务,响应各个应用服务器的签名请求,验证签名证书有效性后,产生随机对称密钥,并对对称密钥进行加密获得对称密钥的密文。
S103、根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文。
在本步骤中,可以由应用服务器本地的加密私钥解密出对称密钥,再使用对称密钥对待签名原文数据进行对称加密得到密文数据,然后对密文数据执行数字签名得到签名信息,并将密文和签名信息组装成数据报文提交至云密码服务器。
S104、在对所述数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值。
在本步骤中,可以由云密码服务器对应用服务器提交的数据报文进行验签和对称解密,再根据云密码服务器的私钥对待签名原文数据进行数字签名,获得应用服务器对应的原文数据签名值。
S105、根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
在本步骤中,可以由各个应用服务器从云密码服务器获取待签名原文的原文数据签名值,进一步利用预先植入到应用服务器中的签名公钥证书,对原文数据签名值进行验证,确定待签名原文数据签名值的有效性。
本发明的数字签名方法,结合了云服务技术及相关PKI技术,以云签名的方式向由设于云端的云密码服务器提交签名请求和提交待签名数据的密文,由云密码服务器通过统一接口向应用服务器提供签名云服务,实现了在云端构建云密码机,可以实现向多个应用服务器的用户提供云签名服务,用户要进行签名时,通过应用服务器调用云端的云密码服务器提供的统一接口,提交签名请求,执行相关数字签名操作流程,即可完成签名过程。
相比现有数字签名技术,本发明的技术方案中无需分别在应用服务器部署本地的密码机设备,而是通过统一接口调用云端的云密码服务器来实现数字签名密码机的功能,降低了用户的数字签名成本。
另外,将签名过程密码相关处理运算都统一交由云密码服务器完成,可以充分利用云服务模式的优点,从而可以有效保证签名过程中的密码运算能力,云密码服务器的运算资源可以得到更好的复用,提高了资源利用率,由于云端计算能力具有良好的扩展性能,可以按业务需求动态扩展云密码服务器的密码运算能力和并发能力,动态扩展签名服务性能,从而为用户提供稳定性更高的签名服务。
为了更加清晰本发明的技术方案,下面阐述数字签名方法的优选实施例。
对于步骤S101中所述加密证书,可以包括个人证书、机构证书、设备证书等签名证书。
在一个实施例中,步骤S102具体包括:
a、通过云密码服务器验证所述加密证书的有效性。
优选的,云密码服务器可以通过证书链验证、有效期验证、CRL验证等方式来确认加密证书的有效性,另外,云密码服务器也可以通过应用服务器加密证书的唯一标识确定信息化系统的有效性。
b、在确认所述加密证书有效后,随机产生对称密钥。
具体的,云密码服务器可以通过应用服务器发起签名请求的加密证书验证及其证书唯一标识确定信息化系统的有效合法身份,在验证有效身份后,随机产生对称密钥。
c、根据所述加密证书对所述对称密钥进行加密,获得对称密钥的密文,然后回传给应用服务器。
在一个实施例中,步骤S103具体包括:
d、利用所述应用服务器本地的加密私钥解密出所述对称密钥。
e、根据所述对称密钥对待签名原文数据进行加密得到密文数据。
f、利用所述应用服务器的签名私钥对所述密文数据进行数字签名获得签名信息。
在本实施例中,应用服务器可以利用云密码服务器通过统一接口回传的对称密钥,从而既可以为所属的信息化系统提供云签名服务,也可以确保各个信息化系统的密钥使用的安全需求。
在一个实施例中,步骤S104具体包括:
g、根据所述加密证书验证所述签名信息。
具体的,可以由云密码服务器基于前述步骤获取的应用服务器的签名证书(伴随加密证书一起获取),对应用服务器提交的签名信息进行验证,确定签名信息的完整性和有效性。
h、在验证签名通过后,根据所述对称密钥对所述数据报文进行验签和对称解密获得原文数据。
i、确定所述云密码服务器对应的私钥,利用该私钥对所述待签名原文数据进行数字签名,获得原文数据签名值。
具体的,可以根据加密证书的唯一标记确定云密码服务器的私钥,再利用该私钥对待签名原文数据进行数字签名得到原文数据签名值;在此过程中,所述唯一标记可以为证书HASH值或扩展信息标记。
在本实施例中,可以由云密码服务器根据应用服务器提交的签名信息,获取原文数据签名值,回传至应用服务器,实现提供数字签名服务功能。
需要声明的是,本发明的数字签名方法,还可以包括如下技术特征:
所述应用服务器与云密码服务器之间的通信环境,可以是互连网环境或其它网络环境。
所述统一接口可以是以Web Service技术提供的数字签名服务接口。
所述应用服务器可以为信息化系统提供数字签名服务,也可以为个人提供数字签名服务。
所述应用服务器与云密码服务器之间的通信过程,所涉及的数字证书可以采用SM2、RSA密码运算或其它各种算法的对称密码运算,从而确保通信数据的安全和可信。
云密码服务器可以采用虚拟化技术、资源调用管理技术以及与云服务相关的管理和控制技术,实现密码运算能力或并发能力能按应用服务器的业务需求而进行动态的增强或扩展。
为了更加清晰本发明的技术方案,下面阐述基于本发明的数字签名方法实现的应用示例。
在本应用示例中,包括用于为信息化系统或个人提供数字签名服务的应用服务器,以及设于云端的云云密码服务器,应用服务器与云密码服务器之间通过通信网络进行连接。
参考图2所示,图2为一个应用示例数字签名方法的流程图,主要包括如下步骤:
S201、应用服务器获取应用端本地的加密证书和签名证书,并向云云密码服务器发起云签名请求。
S202、应用服务器向云云密码服务器发送本地应用端的加密证书和签名证书。
S203、云密码服务器验证应用服务器加密证书的有效性。
S204、云密码服务器产生随机的对称密钥。
S205、云密码服务器根据应用服务器的加密证书对随机产生对称密钥进行加密。
S206、云密码服务器将加密后的对称密钥信息回传给应用服务器。
S207、应用服务器使用本地加密私钥完成对称密钥信息的解密,获取到明文的对称密钥。
S208、应用服务器使用对称密钥对需要进行云签名的数据原文进行加密。
S209、应用服务器使用本地的签名私钥对加密后的密文数据进行数字签名。
S210、应用服务器将原文加密后的密文及密文的签名值提交至云密码服务器。
S211、云密码服务器基于在步骤S202中接收的应用服务器签名证书对密文的签名值进行验签名,确定密文信息的完整性和有效性。
S212、云密码服务器通过存储的对称密钥完成原文数据的解密操作,还原出原文信息。
S213、云密码服务器通过所述加密证书或签名证书的唯一标识确定应用服务器需要进行云签名服务的对应私钥信息,通过对应私钥完成对原文数据的数字签名。
S214、云密码服务器向应用服务器回传原文的签名值及签名私钥对应的签名证书。
S215、应用服务器对云密码服务器的数字签名信息进行验证,确定签名值的有效性。
下面结合附图对本发明的数字签名系统的具体实施方式作详细描述。
参考图3,图3示出了一个实施例的数字签名系统的结构示意图,包括:
签名请求模块301,用于根据应用服务器的加密证书向云密码服务器发起签名请求;
签名响应模块302,用于通过所述云密码服务器响应所述签名请求,获取对称密钥的密文;
原文签名模块303,用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文;
数字签名模块304,用于在对所述数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值;
签名验证模块305,用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
对于签名请求模块301中发起签名请求时所应用的加密证书,可以包括个人证书、机构证书、设备证书等。
在一个实施例中,所述签名响应模块302进一步用于:
通过云密码服务器验证所述加密证书的有效性;
在确认所述加密证书有效后,随机产生对称密钥;
根据所述加密证书对所述对称密钥进行加密,获得对称密钥的密文。
在一个实施例中,所述原文签名模块303进一步用于:
利用所述应用服务器本地的加密私钥解密出所述对称密钥;
根据所述对称密钥对待签名原文数据进行加密得到密文数据;
利用所述应用服务器的签名私钥对所述密文数据进行数字签名获得签名信息。
在一个实施例中,所述数字签名模块304进一步用于:
根据所述加密证书验证所述签名信息;
在验证签名通过后,根据所述对称密钥对所述数据报文进行验签和对称解密获得原文数据;
确定所述云密码服务器对应的私钥,利用该私钥对所述待签名原文数据进行数字签名,获得原文数据签名值。
本发明的数字签名系统与本发明的数字签名方法一一对应,在上述数字签名方法的实施例阐述的技术特征及其有益效果均适用于数字签名系统的实施例中,在此不再赘述。
下面结合附图对本发明的数字签名应用服务器的具体实施方式作详细描述。
参考图4,图4为一个实施例的数字签名应用服务器结构示意图,该应用服务器包括:
签名请求单元401,用于根据本地的加密证书向云密码服务器发起签名请求;
原文签名单元402,用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文;其中,所述密文为云密码服务器响应所述签名请求后回传的所述对称密钥的密文。
签名验证单元403,用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证;其中,所述原文数据签名值为所述云密码服务器利用自身产生的私钥对所述待签名原文数据进行数字签名后回传的签名值。
本发明的数字签名应用服务器,可以利用云密码服务器来提供云签名服务,在进行签名时,根据本地持有的加密证书向云密码服务器发起签名请求,就可以调用云密码服务器来执行密码运算相关处理,既实现针对不同信息化系统进行签名的需求,又可以保证不同信息化系统调用各自私钥的需求和密钥管理安全的需求,从而可以应用到多个不同的信息化系统/用户系统中执行签名服务。
下面结合附图对本发明的数字签名云密码服务器的具体实施方式作详细描述。
参考图5,图5为一个实施例的数字签名云密码服务器结构示意图,该云密码服务器设于云端,包括:
签名响应单元501,用于通过云密码服务器响应签名请求,获取对称密钥的密文回传至执行签名的应用服务器;其中,所述签名请求为所述应用服务器根据所持有的加密证书提交的签名请求;
数字签名单元502,用于在对所述应用服务器提交的数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值,并回传至应用服务器;其中,所述数据报文为应用服务器根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到的签名信息,以及密文组装而成的数据报文。
本发明的数字签名云密码服务器,是基于云密码机的构建,可以向执行应用服务器的提供统一的云签名服务,应用服务器在进行签名时,可以调用云密码服务器来完成签名中的密码运算相关处理操作,这样,执行签名的应用服务器就无需在本地部署密码机设备来执行密码运算,从而降低了签名成本和建设的成本,可以为应用服务器的各个信息化系统/用户系统提供云签名服务。
同时,本发明的数字签名云密码服务器,是基于云模式构建,云计算系统具有良好的扩展性能,可以便利地扩展服务器资源,进一步的,通过虚拟化技术和资源调动管理技术,可结合应用服务器进行的签名业务的需求,动态的调整密码运算的能力和并发能力,可随着应用服务器中信息化系统用户量数的增加和业务进行扩展,从而提供长期稳定的云签名服务。
在对上述数字签名云密码服务器和数字签名云密码服务器的应用中,进一步通过PKI体系的SM2、RSA密码运算和数字证书认证,进行信息化系统调用云签名服务过程中的身份确认,并通过确认的合法身份进行私钥信息的管理和使用。通过SM2、RSA密钥运算和对称密码运算,保证基于互联网环境明文数据传输和签名产生及验证的信息安全。云密码服务器日常维护和管理可以统一由云服务中心完成,当出现异常情况时,可以由云服务中心完成切换或重构,进一步降低信息化系统的应用风险和维护成本。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (12)
1.一种数字签名方法,其特征在于,包括如下步骤:
根据应用服务器的加密证书向云密码服务器发起签名请求;
通过所述云密码服务器响应所述签名请求,获取对称密钥的密文;
根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文提交至云密码服务器进行验签和对称解密;
在对所述数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值;
根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
2.根据权利要求1所述的数字签名方法,其特征在于,通过所述云密码服务器响应所述签名请求,获取对称密钥的密文的步骤包括:
通过云密码服务器验证所述加密证书的有效性;
在确认所述加密证书有效后,随机产生对称密钥;
根据所述加密证书对所述对称密钥进行加密,获得对称密钥的密文。
3.根据权利要求1所述的数字签名方法,其特征在于,所述根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息的步骤包括:
利用所述应用服务器本地的加密私钥解密出所述对称密钥;
根据所述对称密钥对待签名原文数据进行加密得到密文数据;
利用所述应用服务器的签名私钥对所述密文数据进行数字签名获得签名信息。
4.根据权利要求1所述的数字签名方法,其特征在于,在对所述数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值的步骤包括:
根据所述加密证书验证所述签名信息;
在验证签名通过后,根据所述对称密钥对所述数据报文进行验签和对称解密获得原文数据;
确定所述云密码服务器对应的私钥,利用该私钥对所述待签名原文数据进行数字签名,获得原文数据签名值。
5.根据权利要求1所述的数字签名方法,其特征在于,所述加密证书包括:个人证书、机构证书或设备证书。
6.一种数字签名系统,其特征在于,包括:
签名请求模块,用于根据应用服务器的加密证书向云密码服务器发起签名请求;
签名响应模块,用于通过所述云密码服务器响应所述签名请求,获取对称密钥的密文;
原文签名模块,用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文提交至云密码服务器进行验签和对称解密;
数字签名模块,用于在对所述数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值;
签名验证模块,用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
7.根据权利要求6所述的数字签名系统,其特征在于,所述签名响应模块进一步用于:
通过云密码服务器验证所述加密证书的有效性;
在确认所述加密证书有效后,随机产生对称密钥;
根据所述加密证书对所述对称密钥进行加密,获得对称密钥的密文。
8.根据权利要求6所述的数字签名系统,其特征在于,所述原文签名模块进一步用于:
利用所述应用服务器本地的加密私钥解密出所述对称密钥;
根据所述对称密钥对待签名原文数据进行加密得到密文数据;
利用所述应用服务器的签名私钥对所述密文数据进行数字签名获得签名信息。
9.根据权利要求6所述的数字签名系统,其特征在于,所述数字签名模块进一步用于:
根据所述加密证书验证所述签名信息;
在验证签名通过后,根据所述对称密钥对所述数据报文进行验签和对称解密获得原文数据;
确定所述云密码服务器对应的私钥,利用该私钥对所述待签名原文数据进行数字签名,获得原文数据签名值。
10.根据权利要求6所述的数字签名系统,其特征在于,所述加密证书包括:个人证书、机构证书或设备证书。
11.一种数字签名应用服务器,其特征在于,包括:
签名请求单元,用于根据本地的加密证书向云密码服务器发起签名请求;
原文签名单元,用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到签名信息,将密文和签名信息组装成数据报文;其中,所述密文为云密码服务器响应所述签名请求后回传的所述对称密钥的密文;
签名验证单元,用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证;其中,所述原文数据签名值为所述云密码服务器利用自身产生的私钥对所述待签名原文数据进行数字签名后回传的签名值。
12.一种数字签名云密码服务器,其特征在于,该云密码服务器设于云端,包括:
签名响应单元,用于通过云密码服务器响应签名请求,获取对称密钥的密文回传至执行签名的应用服务器;其中,所述签名请求为所述应用服务器根据所持有的加密证书提交的签名请求;
数字签名单元,用于在对所述应用服务器提交的数据报文进行验签和对称解密后,利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名,获得原文数据签名值,并回传至应用服务器;其中,所述数据报文为应用服务器根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据,并对密文数据执行数字签名得到的签名信息,以及密文组装而成的数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310381873.7A CN103490892B (zh) | 2013-08-28 | 2013-08-28 | 数字签名方法和系统、应用服务器和云密码服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310381873.7A CN103490892B (zh) | 2013-08-28 | 2013-08-28 | 数字签名方法和系统、应用服务器和云密码服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103490892A CN103490892A (zh) | 2014-01-01 |
| CN103490892B true CN103490892B (zh) | 2017-06-13 |
Family
ID=49830866
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310381873.7A Active CN103490892B (zh) | 2013-08-28 | 2013-08-28 | 数字签名方法和系统、应用服务器和云密码服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103490892B (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104184594B (zh) * | 2014-09-16 | 2017-12-01 | 数安时代科技股份有限公司 | 文档联合签名方法和系统 |
| CN104683107B (zh) * | 2015-02-28 | 2019-01-22 | 深圳市思迪信息技术股份有限公司 | 数字证书保管方法和装置、数字签名方法和装置 |
| CN105227294B (zh) * | 2015-09-29 | 2018-08-03 | 北京江南天安科技有限公司 | 密码机及其实现方法和加解密系统及其方法 |
| CN106027475B (zh) * | 2016-01-21 | 2019-06-28 | 李明 | 一种密钥获取方法、身份证信息的传输方法及系统 |
| CN106330462A (zh) * | 2016-09-05 | 2017-01-11 | 广东省电子商务认证有限公司 | 一种支持多算法的pdf签名方法及系统 |
| CN107846274B (zh) * | 2016-09-19 | 2021-09-14 | 中国移动通信有限公司研究院 | 一种控制方法及终端、服务器、处理器 |
| CN107104788B (zh) * | 2017-04-18 | 2020-05-08 | 深圳奥联信息安全技术有限公司 | 终端及其不可抵赖的加密签名方法和装置 |
| CN107040920A (zh) * | 2017-06-21 | 2017-08-11 | 壹家易(上海)网络科技有限公司 | 数据传输系统及数据传输方法 |
| CN107707536A (zh) * | 2017-09-26 | 2018-02-16 | 武汉默联股份有限公司 | 商业健康保险直赔直付系统与商保公司之间数据传输方法及系统 |
| CN108449315B (zh) * | 2018-02-05 | 2021-02-19 | 平安科技(深圳)有限公司 | 请求合法性的校验装置、方法及计算机可读存储介质 |
| CN110474898B (zh) * | 2019-08-07 | 2021-06-22 | 北京明朝万达科技股份有限公司 | 数据加解密和密钥分布方法、装置、设备及可读存储介质 |
| CN111162902A (zh) * | 2019-12-31 | 2020-05-15 | 航天信息股份有限公司 | 一种基于税务证书的云签服务器 |
| CN111447214B (zh) * | 2020-03-25 | 2022-07-05 | 北京左江科技股份有限公司 | 一种基于指纹识别的公钥密码集中服务的方法 |
| CN112165385B (zh) * | 2020-08-20 | 2022-09-09 | 中船重工(武汉)凌久高科有限公司 | 一种用于Web应用系统的通用数字签名方法 |
| CN112511295B (zh) * | 2020-11-12 | 2022-11-22 | 银联商务股份有限公司 | 接口调用的认证方法、装置、微服务应用和密钥管理中心 |
| CN112653701B (zh) * | 2020-12-24 | 2023-03-14 | 北京安信天行科技有限公司 | 一种应用密码安全使用监测方法及系统 |
| CN112733201B (zh) * | 2021-01-05 | 2024-07-02 | 福建嘉恒信息科技有限公司 | 一种基于量子密钥通道的安全电子签名方法和系统 |
| CN112671804A (zh) * | 2021-01-21 | 2021-04-16 | 国网新疆电力有限公司信息通信公司 | 基于对称及非对称技术的数据安全防护方法及装置 |
| CN114448662B (zh) * | 2021-12-20 | 2024-05-10 | 交通银行股份有限公司 | 一种银企通信系统及通信方法 |
| CN114189483B (zh) * | 2022-02-14 | 2022-05-17 | 北京安盟信息技术股份有限公司 | 一种云环境下多用户密码服务流量按需控制方法及系统 |
| CN115208567B (zh) * | 2022-08-15 | 2024-04-09 | 三未信安科技股份有限公司 | 一种基于云密码机的可信计算模块实现系统及方法 |
| CN117118759B (zh) * | 2023-10-24 | 2024-01-30 | 四川省数字证书认证管理中心有限公司 | 用户控制服务器端密钥可靠使用的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369889A (zh) * | 2007-08-13 | 2009-02-18 | 深圳兆日技术有限公司 | 一种对文档进行电子签名的系统和方法 |
| CN101883118A (zh) * | 2010-07-08 | 2010-11-10 | 长春吉大正元信息技术股份有限公司 | 针对大数据量的数字签名方法 |
| CN103001976A (zh) * | 2012-12-28 | 2013-03-27 | 中国科学院计算机网络信息中心 | 一种安全的网络信息传输方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101359991A (zh) * | 2008-09-12 | 2009-02-04 | 湖北电力信息通信中心 | 基于标识的公钥密码体制私钥托管系统 |
| CN101447873A (zh) * | 2008-12-25 | 2009-06-03 | 杭州东信金融技术服务有限公司 | 一种安全的认证和加密通信方法 |
| US20110167258A1 (en) * | 2009-12-30 | 2011-07-07 | Suridx, Inc. | Efficient Secure Cloud-Based Processing of Certificate Status Information |
| CN102316452A (zh) * | 2011-07-18 | 2012-01-11 | 辽宁国兴科技有限公司 | 一种基于云端利用nfc通信技术的双重鉴权登录系统 |
-
2013
- 2013-08-28 CN CN201310381873.7A patent/CN103490892B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369889A (zh) * | 2007-08-13 | 2009-02-18 | 深圳兆日技术有限公司 | 一种对文档进行电子签名的系统和方法 |
| CN101883118A (zh) * | 2010-07-08 | 2010-11-10 | 长春吉大正元信息技术股份有限公司 | 针对大数据量的数字签名方法 |
| CN103001976A (zh) * | 2012-12-28 | 2013-03-27 | 中国科学院计算机网络信息中心 | 一种安全的网络信息传输方法 |
Non-Patent Citations (1)
| Title |
|---|
| "基于云计算架构的数字签名系统设计";史纪鹏;《学术研究》;20120926;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103490892A (zh) | 2014-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103490892B (zh) | 数字签名方法和系统、应用服务器和云密码服务器 | |
| CN106961336B (zh) | 一种基于sm2算法的密钥分量托管方法和系统 | |
| CN112199649B (zh) | 基于区块链的移动边缘计算下的匿名身份验证方法 | |
| Zhang et al. | Secure and efficient data storage and sharing scheme for blockchain‐based mobile‐edge computing | |
| CN110247757B (zh) | 基于国密算法的区块链处理方法、装置及系统 | |
| CA2772136C (en) | System and method for providing credentials | |
| CN109003083A (zh) | 一种基于区块链的ca认证方法、装置及电子设备 | |
| CN111355745A (zh) | 基于边缘计算网络架构的跨域身份认证方法 | |
| CN106341232B (zh) | 一种基于口令的匿名实体鉴别方法 | |
| CN102984127A (zh) | 一种以用户为中心的移动互联网身份管理及认证方法 | |
| Memon et al. | Design and implementation to authentication over a GSM system using certificate-less public key cryptography (CL-PKC) | |
| CN107483191A (zh) | 一种sm2算法密钥分割签名系统及方法 | |
| Yan et al. | Anonymous authentication for trustworthy pervasive social networking | |
| CN102883321A (zh) | 一种面向移动微技的数字签名认证方法 | |
| Zhu et al. | Generating correlated digital certificates: framework and applications | |
| CN113468580B (zh) | 多方协同签名的方法和系统 | |
| Babu et al. | Fog‐Sec: Secure end‐to‐end communication in fog‐enabled IoT network using permissioned blockchain system | |
| Ouda et al. | Security protocols in service-oriented architecture | |
| Parameswarath et al. | Privacy-Preserving User-Centric Authentication Protocol for IoT-Enabled Vehicular Charging System Using Decentralized Identity | |
| Son et al. | A new outsourcing conditional proxy re‐encryption suitable for mobile cloud environment | |
| Ray et al. | Design of mobile-PKI for using mobile phones in various applications | |
| CN111181730A (zh) | 用户身份生成及更新方法和装置、存储介质和节点设备 | |
| Han et al. | Secure and efficient public key management in next generation mobile networks | |
| CN114301612A (zh) | 信息处理方法、通信设备和加密设备 | |
| Bai | Comparative research on two kinds of certification systems of the public key infrastructure (PKI) and the identity based encryption (IBE) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 528200 science and technology road, Nanhai Software Science Park, Nanhai Town, Nanhai District, Foshan, Guangdong Applicant after: Age of security Polytron Technologies Inc Address before: 528200 science and technology road, Nanhai Software Science Park, Nanhai Town, Nanhai District, Foshan, Guangdong Applicant before: Guangdong Certificate Authority Center Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |