CN111651745A - 基于密码设备的应用授权签名方法 - Google Patents

Abstract

本发明涉及一种基于密码设备的应用授权签名方法，属于计算机网络信息安全领域。用户通过托管机构申请密码设备USBKey和企业证书，并在托管机构中将企业证书与托管机构申请的授权证书做绑定完成授权；用户采用密码设备USBKey+第三方托管机构授权签名来代替自身使用的数字签名服务器；用户使用密码设备USBKey做签名，托管机构验证用户的结果，通过企业证书查询对应的授权证书，并对用户提供的数据做签名，将数据返回给用户；用户将托管机构通过签名服务器加密的数据，发送给待验签用户完成业务请求；业务通讯过程中都使用了加密技术保证了数据的完整性、不可抵赖性。既减少了经济成本，还保证通讯过程中的信息安全。实用性强。

Description

基于密码设备的应用授权签名方法

技术领域

本发明涉及计算机网络信息安全领域，特别涉及一种基于密码设备的应用授权签名方法，适合于中小型企业使用的签名方法。

背景技术

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。网络的安全，主要是网络信息安全，需要采取相应的安全技术措施，提供适合的安全服务。数字签名机制作为保障网络信息安全的手段之一，可以解决伪造、抵赖、冒充和篡改问题。

数字签名服务器成本相对较高，小型企业受限经济成本无法直接购买签名服务器硬件设备，因此急需设计一种适合小型企业使用的签名方案。从而减少中小企业的经济成本，达到推动了国家信息安全行业快速发展的目的。

发明内容

本发明的目的在于提供一种基于密码设备的应用授权签名方法，解决了现有技术存在的上述问题。本发明采用密码设备USBKey代替部分硬件设备，通过成本较低的密码模块与硬件设备组合使用的方案保障信息安全性，既减少了经济成本，又保证通讯过程中的信息安全。

本发明的上述目的通过以下技术方案实现：

基于密码设备的应用授权签名方法，包括如下步骤：

步骤（1）应用授权流程：

用户通过托管机构申请密码设备USBKey和企业证书，并在托管机构中将企业证书与托管机构申请的授权证书做绑定完成授权；用户采用密码设备USBKey代替数字签名服务器；

步骤（2）业务签名流程：

用户使用密码设备USBKey做签名，托管机构验证用户的结果，通过企业证书查询对应的授权证书，并对用户提供的数据做签名，将数据返回给用户；用户将托管机构通过签名服务器加密的数据，发送给待验签的用户完成业务请求；业务通讯过程中都使用了加密技术保证了数据的完整性、不可抵赖性。

步骤（1）所述的应用授权流程，具体操作步骤如下：

步骤（1.1）用户联系托管机构提交授权申请；

步骤（1.2）用户采集授权证书申请信息，并提交至托管机构；

步骤（1.3）托管机构收到申请后，联系第三方CA服务器申请授权证书，CA服务器生成授权证书并写入密码设备USBKey中，然后托管机构将密码设备USBKey交给用户；

步骤（1.4）用户采集企业信息，即企业证书申请信息，包括企业名称、统一编码、详细地址，使用密码设备USBKey对企业信息做签名，将采集的企业信息、签名值、授权证书的公钥证书，提交至托管机构，申请企业证书；

步骤（1.5）托管机构通过签名服务器验证授权证书签名值，确保用户提交的企业信息未被篡改；验证成功后托管机构使用签名服务器通过采集的企业信息生成企业证书的P10申请书；

步骤（1.6）将P10申请书提交至第三方CA服务器申请企业证书并存储在托管机构的数字签名服务器中；

步骤（1.7）用户使用密码设备USBKey生成随机数，并使用授权证书对随机数做签名，将签名值、随机数、授权证书的公钥证书发送到托管机构，申请绑定企业证书；

步骤（1.8）使用托管机构签名服务器验证签名值，并确定申请企业身份；

步骤（1.9）托管机构管理员登录数字签名服务器WEB管理端，查看并审核提交请求是否正确；查询申请授权的企业并用授权证书的公钥和签名服务器中对应的企业证书做绑定；绑定前检查授权证书和企业证书是否已经存在绑定关系；使用授权证书的唯一标识和用户证书做绑定，并提交绑定申请，等审核管理员审核；

步骤（1.10）使用审核管理员登录数字签名服务器，对绑定信息进行审核，审核通过后，将绑定关系存储到服务器中。

步骤（2）所述的业务签名流程，具体操作步骤如下：

步骤（2.1）用户将从托管机构获取的存储有授权证书的密码设备USBKey插入应用服务器上；

步骤（2.2）用户操作应用服务器发起业务请求；

步骤（2.3）应用服务器系统将需要签名的数据传入密码设备USBKey中，并使用设备中的私钥证书对数据做数字签名操作获取签名值；

步骤（2.4）用户将签名值、公钥证书、算法、原文数据一起提交给托管机构；

步骤（2.5）托管机构接收数据后调用签名服务器做签名验证，验证成功后通过应用的公钥证书查找对应绑定的企业证书；

步骤（2.6）使用企业证书对原文数据再次做签名操作获取签名值，并将签名值返回给企业应用；

步骤（2.7）企业接收托管机构的签名值、算法、公钥证书、原文数据，并将这些信息转发给待验签用户；

步骤（2.8）待验签用户调用自己的数字签名服务器验证传入的数据，并给企业返回成功或失败的结果。

本发明的有益效果在于：现有技术中，企业之间（公对公）业务都使用数字签名服务器（硬件设备）保障信息的安全性（伪造、抵赖、冒充和篡改），这种方案的经济成本较高。本发明应用授权签名采用密码模块代替部分硬件设备，通过成本较低的密码模块与硬件设备组合使用的方案保障信息安全性，此方案既减少了经济成本，同时保证通讯过程中的信息安全。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1、图2为本发明的用户授权（应用授权）流程图；

图3为本发明的应用授权签名业务（业务签名）流程图。

具体实施方式

下面结合附图进一步说明本发明的详细内容及其具体实施方式。

随着计算机的普及和计算机网络的发展，网络信息安全也越来越受到关注。基于PKI（公钥基础设施）体系延伸的数字签名是保证信息安全（完整性、不可抵赖性）的常用方法。但由于签名服务器硬件设备成本较高，为给应用大量减少了经济成本，推动网络信息安全的进步。本发明采用成本较低的密码设备USBKey代替签名服务器硬件，通过应用授权的方式将密码设备USBKey和数字签名服务器做绑定。中小企业使用成本较小对密码设备USBKey做签名，托管机构验证签名可信后使用授权到密钥再次对信息做签名完成应用授权过程。极大减小成本的同时保证通讯中的信息安全。

参见图1、图2及图3所示，本发明的基于密码设备的应用授权签名方法，包括如下步骤：

步骤（1）应用授权流程：

用户通过托管机构申请密码设备USBKey和企业证书，并在托管机构中将企业证书与托管机构申请的授权证书做绑定完成授权；用户采用密码设备USBKey代替数字签名服务器；

步骤（2）业务签名流程：

用户使用密码设备USBKey做签名，托管机构验证用户的结果，通过企业证书查询对应的授权证书，并对用户提供的数据做签名，将数据返回给用户；用户将托管机构通过签名服务器加密的数据，发送给待验签的用户完成业务请求；业务通讯过程中都使用了加密技术保证了数据的完整性、不可抵赖性。

步骤（1）所述的应用授权流程，具体操作步骤如下：

步骤（1.1）用户联系托管机构提交授权申请；

步骤（1.2）用户采集授权证书申请信息，并将信息提交至托管机构；

步骤（1.3）托管机构收到申请后，联系第三方CA服务器申请授权证书，CA服务器生成授权证书并写入密码设备USBKey中，然后托管机构将密码设备USBKey交给用户；

步骤（1.4）用户采集企业信息（企业证书申请信息），包括企业名称、统一编码、详细地址等），使用密码设备USBKey对企业信息做签名，将采集的企业信息、签名值、授权证书的公钥证书，提交至托管机构，申请企业证书；

步骤（1.5）托管机构通过签名服务器验证授权证书签名值，确保用户提交的企业信息未被篡改；验证成功后托管机构使用签名服务器通过采集的企业信息生成企业证书的P10申请书；

步骤（1.6）将P10申请书提交至第三方CA服务器申请企业证书并存储在托管机构的数字签名服务器中；

步骤（1.7）用户使用密码设备USBKey生成随机数，并使用授权证书对随机数做签名，将签名值、随机数、授权证书的公钥证书发送到托管机构，申请绑定企业证书；

步骤（1.8）使用托管机构签名服务器验证签名值，并确定申请企业身份；

步骤（1.9）托管机构管理员登录数字签名服务器WEB管理端，查看并审核提交请求是否正确；查询申请授权的企业并用授权证书的公钥和签名服务器中对应的企业证书做绑定；绑定前检查授权证书和企业证书是否已经存在绑定关系；使用授权证书的唯一标识和用户证书做绑定，并提交绑定申请，等审核管理员审核；

步骤（1.10）使用审核管理员登录数字签名服务器，对绑定信息进行审核，审核通过后，将绑定关系存储到服务器中。

步骤（2）所述的业务签名流程，具体操作步骤如下：

步骤（2.1）用户将从托管机构获取的存储有授权证书的密码设备USBKey插入应用服务器上；

步骤（2.2）用户操作应用服务器发起业务请求；

步骤（2.3）应用服务器系统将需要签名的数据传入密码设备USBKey中，并使用设备中的私钥证书对数据做数字签名操作获取签名值；

步骤（2.4）用户将签名值、公钥证书、算法、原文数据一起提交给托管机构；

步骤（2.5）托管机构接收数据后调用签名服务器做签名验证，验证成功后通过应用的公钥证书查找对应绑定的企业证书；

步骤（2.6）使用企业证书对原文数据再次做签名操作获取签名值，并将签名值返回给企业应用；

步骤（2.7）企业接收托管机构的签名值、算法、公钥证书、原文数据，并将这些信息转发给待验签用户；

步骤（2.8）待验签用户调用自己的数字签名服务器验证传入的数据，并给企业返回成功或失败的结果。

实施例：

参见图1、图2及图3所示，本发明的基于密码设备的应用授权签名方法，包括如下步骤：

步骤（1）应用授权流程：

用户（中小企业）通过托管机构申请密码设备（USBKey）和企业证书，并在托管机构中将企业证书与托管机构申请的授权证书做绑定完成授权；用户（中小企业）采用密码设备（USBKey）代替数字签名服务器，极大的节约了经济成本；

步骤（1.1）用户联系托管机构提交授权申请；

步骤（1.2）用户采集应用的信息，并将信息提交至托管机构；

步骤（1.3）托管机构收到申请后，联系第三方CA服务器申请授权证书，CA服务器生成授权证书并写入密码设备USBKey中，然后托管机构将密码设备USBKey交给用户；

步骤（1.4）用户采集企业信息（企业名称、统一编码、详细地址等），使用密码设备USBKey对企业信息做签名，将采集的信息、签名值、授权证书的公钥证书，提交至托管机构，申请企业证书；

步骤（1.5）托管机构通过签名服务器验证授权证书签名值，确保用户提交的采集信息未被篡改；验证成功后托管机构使用签名服务器通过采集的信息生成企业证书的P10申请书；

步骤（1.6）将P10申请书提交至第三方CA服务器申请企业证书并存储在托管机构的数字签名服务器中；

步骤（1.7）用户使用密码设备USBKey生成随机数，并使用授权证书对随机数做签名，将签名值、随机数、授权证书的公钥证书发送到托管机构，申请绑定企业证书；

步骤（1.8）使用托管机构签名服务器验证签名值，并确定申请企业身份；

步骤（1.9）托管机构管理员登录数字签名服务器WEB管理端，查看并审核提交请求是否正确。查询申请授权的企业并用授权证书的公钥和签名服务器中对应的企业证书做绑定。绑定前检查授权证书和企业证书是否已经存在绑定关系。使用授权证书的唯一标识和用户证书做绑定，并提交绑定申请，等审核管理员审核；

步骤（1.10）使用审核管理员登录的数字签名服务器，对绑定信息进行审核，审核通过后，将绑定关系存储到服务器中；

步骤（2）业务签名流程：

用户（中小企业）使用密码设备（USBKey）做签名，托管机构验证用户（中小企业）的结果，通过企业证书查询对应的授权证书，并对用户（中小企业）提供的数据做签名，将数据返回给用户（中小企业）；用户（中小企业）将托管机构通过签名服务器加密的数据，发送给待验签用户完成业务请求；业务通讯过程中都使用了加密技术保证了数据的完整性、不可抵赖性。

步骤（2.1）用户将从托管机构获取的存储有授权证书的密码设备（USBKey）插入应用服务器上；

步骤（2.2）用户操作应用服务器发起业务请求；

步骤（2.3）应用服务器系统将需要签名的数据传入密码设备USBKey中，并使用设备中的私钥证书对数据做数字签名操作（PKCS#1、PKCS#7）获取签名值；

步骤（2.4）用户将签名值、公钥证书、算法、原文数据一起提交给托管机构；

步骤（2.5）托管机构接收数据后调用签名服务器做签名验证，验证成功后通过应用的公钥证书查找对应绑定的企业证书；

步骤（2.6）使用企业证书对原文数据再次做签名操作获取签名值，并将签名值返回给企业应用；

步骤（2.7）企业接收托管机构的签名值、算法、公钥证书、原文数据，并将这些信息转发给待验签用户；

步骤（2.8）待验签用户调用数字签名服务器验证传入的数据，并给企业返回成功或失败的结果。

签名服务器方案对比：

相同的安全性：数据完整性、不可抵赖、身份验证。

低廉的成本：只需要购买用户证书，不需要购买签名服务器；需要购买第三方证书托管及签名服务（远低于签名服务器价格）。

名词解释：

1、摘要（Hash）

消息摘要是一种加密算法，主要特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。

2、PKI

PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全通信。

3、数字证书

数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证，人们可以在网上用它来识别对方的身份。

4、数字签名

数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

5、USBKey

USBKey是一种通过USB (通用串行总线接口)直接与计算机相连、具有密码签名和验证功能、可靠高速的小型存储设备。

6、应用授权

托管机构将应用信息与企业证书做授权绑定的过程称为应用授权。

7、CA（CA, Certificate Authority）

证书颁发机构即颁发数字证书的机构。是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

8、数字签名服务器

数字签名服务器是一款基于PKI（公钥基础设施）体系开发的带有加密能力的硬件加密设备。

本发明的数字签名原理：

数字签名是属于信息安全领域，数字签名使用了公钥加密领域的技术实现，数字签名属于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算：一个运算用于签名，另一个运算用于验证签名（验签）。

通过使用数字签名技术，将摘要信息（数字摘要是将任意长度的消息变成固定长度的短消息，这里描述的是对原文使用 HASH 函数生成的一个摘要信息）使用发送者的私钥加密，与原文一起发送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用 HASH 函数对收到的原文产生一个摘要信息，与解密的摘要信息对比：如果对比结果相同，则说明收到的信息是完整的、在传输过程中没有被修改；否则，则说明信息被修改过，所以说数字签名能够验证信息的完整性。

数字签名的作用是：保证信息传输的完整性、进行信息发送者的身份认证、防止交易中的抵赖发生。

本发明的算法支持如下：

摘要：MD5、SHA-1、SHA224、SHA256、SHA384、SHA512、SM3；

数字证书：SM2（国密）、RSA（国际）；

数字签名：RSA（国际）、SM2（国密）、ECC（椭圆）。

本发明的数字签名满足格式：

数字签名满足PKCS#1和PKCS#7（简称Detach、Attach）规范。

满足相关标准：

《GMT 0003.2-2012 SM2椭圆曲线公钥密码算法第2部分：数字签名算法》

《GMT 0004-2012 SM3密码杂凑算法》

《GMT 0010-2012 SM2密码算法加密签名消息语法规范》

《GMT 0009-2012 SM2密码算法使用规范》。

以上所述仅为本发明的优选实例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡对本发明所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于密码设备的应用授权签名方法，其特征在于：包括如下步骤：

步骤（1）应用授权流程：

用户通过托管机构申请密码设备USBKey和企业证书，并在托管机构中将企业证书与托管机构申请的授权证书做绑定完成授权；用户采用密码设备USBKey代替数字签名服务器；

步骤（2）业务签名流程：

用户使用密码设备USBKey做签名，托管机构验证用户的结果，通过企业证书查询对应的授权证书，并对用户提供的数据做签名，将数据返回给用户；用户将托管机构通过签名服务器加密的数据，发送给待验签的用户完成业务请求；业务通讯过程中都使用了加密技术保证了数据的完整性、不可抵赖性。

2.根据权利要求1所述的基于密码设备的应用授权签名方法，其特征在于：步骤（1）所述的应用授权流程，具体操作步骤如下：

步骤（1.1）用户联系托管机构提交授权申请；

步骤（1.2）用户采集授权证书申请信息，并提交至托管机构；

步骤（1.3）托管机构收到申请后，联系第三方CA服务器申请授权证书，CA服务器生成授权证书并写入密码设备USBKey中，然后托管机构将密码设备USBKey交给用户；

步骤（1.4）用户采集企业信息，即企业证书申请信息，包括企业名称、统一编码、详细地址，使用密码设备USBKey对企业信息做签名，将采集的企业信息、签名值、授权证书的公钥证书，提交至托管机构，申请企业证书；

步骤（1.5）托管机构通过签名服务器验证授权证书签名值，确保用户提交的企业信息未被篡改；验证成功后托管机构使用签名服务器通过采集的企业信息生成企业证书的P10申请书；

步骤（1.6）将P10申请书提交至第三方CA服务器申请企业证书并存储在托管机构的数字签名服务器中；

步骤（1.7）用户使用密码设备USBKey生成随机数，并使用授权证书对随机数做签名，将签名值、随机数、授权证书的公钥证书发送到托管机构，申请绑定企业证书；

步骤（1.8）使用托管机构签名服务器验证签名值，并确定申请企业身份；

步骤（1.9）托管机构管理员登录数字签名服务器WEB管理端，查看并审核提交请求是否正确；查询申请授权的企业并用授权证书的公钥和签名服务器中对应的企业证书做绑定；绑定前检查授权证书和企业证书是否已经存在绑定关系；使用授权证书的唯一标识和用户证书做绑定，并提交绑定申请，等审核管理员审核；

步骤（1.10）使用审核管理员登录数字签名服务器，对绑定信息进行审核，审核通过后，将绑定关系存储到服务器中。

3.根据权利要求1所述的基于密码设备的应用授权签名方法，其特征在于：步骤（2）所述的业务签名流程，具体操作步骤如下：

步骤（2.1）用户将从托管机构获取的存储有授权证书的密码设备USBKey插入应用服务器上；

步骤（2.2）用户操作应用服务器发起业务请求；

步骤（2.3）应用服务器系统将需要签名的数据传入密码设备USBKey中，并使用设备中的私钥证书对数据做数字签名操作获取签名值；

步骤（2.4）用户将签名值、公钥证书、算法、原文数据一起提交给托管机构；

步骤（2.5）托管机构接收数据后调用签名服务器做签名验证，验证成功后通过应用的公钥证书查找对应绑定的企业证书；

步骤（2.6）使用企业证书对原文数据再次做签名操作获取签名值，并将签名值返回给企业应用；

步骤（2.7）企业接收托管机构的签名值、算法、公钥证书、原文数据，并将这些信息转发给待验签用户；

步骤（2.8）待验签用户调用自己的数字签名服务器验证传入的数据，并给企业返回成功或失败的结果。

Images