CN115085942A - 一种基于分布式UKey服务的数字签名方法及系统 - Google Patents
一种基于分布式UKey服务的数字签名方法及系统 Download PDFInfo
- Publication number
- CN115085942A CN115085942A CN202210894659.0A CN202210894659A CN115085942A CN 115085942 A CN115085942 A CN 115085942A CN 202210894659 A CN202210894659 A CN 202210894659A CN 115085942 A CN115085942 A CN 115085942A
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- signature
- ukey
- service
- digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于分布式UKey服务的数字签名方法及系统,涉及信息安全技术领域,包括数字证书客户端软件和数字证书签名和验证系统,数字证书客户端软件安装在数字证书用户的智能终端上,用于读取数字证书信息并且向数字证书签名和验证系统注册分布式UKey服务;实现调用UKey证书私钥完成对原文的签名运算;数字证书签名和验证系统用于实现网络服务、分布式UKey签名服务注册/注销、签名及验证服务以及用户标识与证书绑定;本发明解决了UKey集成开发套件浏览器兼容的问题。
Description
技术领域
本发明涉及信息安全技术领域,特别是一种基于分布式UKey服务的数字签名方法及系统。
背景技术
目前,数字证书应用日益广泛,采用Usb Key(即UKey)存储数字证书是一种被普遍认为安全级别较高的数字证书签名方式。当前,PC端UKey数字证书的集成方式,采用集成开发套件调用客户端服务的方式进行集成,由于浏览器兼容问题造成很大的安全问题,浏览器对于Http和Https调用本地服务限制越来越多,通过webSocket调用方式,有些浏览器又不支持webSocket协议,造成集成开发困难,特别是浏览器升级后,造成用户使用UKey数字证书进行数字签名时出现不可预知问题。从而,在Web应用集成时,采用在浏览器集成套件直接调用PC客户端服务方式,存在着浏览器兼容和浏览器协议不支持的诸多问题。
发明内容
为解决现有技术中存在的问题,本发明的目的是提供一种基于分布式UKey服务的数字签名方法及系统,本发明通过服务端和PC客户端软件协同签名的方式来代替业务系统在浏览器内调用本地服务完成数字签名的方法,从而有效解决UKey集成开发套件浏览器兼容等问题。
为实现上述目的,本发明采用的技术方案是:一种基于分布式UKey服务的数字签名系统,包括:
数字证书客户端软件:安装在数字证书用户的智能终端上,用于读取数字证书信息并且向数字证书签名和验证系统注册分布式UKey服务;完成底层数字证书驱动的管理,以及调用国密标准数字证书接口通过UKey数字证书实现数字签名;与数字证书签名和验证系统保持通信连接并接收签名指令,且验证UKey数字证书PIN码,实现调用UKey证书私钥完成对原文的签名运算;
数字证书签名和验证系统:用于实现网络服务、分布式UKey签名服务注册/注销、签名及验证服务以及用户标识与证书绑定。
作为本发明的进一步改进,所述网络服务具体用于实现底层的网络通信服务,以及与数字证书客户端软件保持网络连接,且通过网络心跳确认数字证书客户端软件是否在线;
所述分布式UKey签名服务注册/注销用于负责数字证书客户端软件在UKey插入用户的智能终端时,数字证书客户端软件发起注册服务请求,并且根据注册服务请求的数字证书唯一标识,在已经绑定的用户标识和数字证书标识之间建立在线映射关系,满足后续根据用户标识对签名原文的数字签名需要;在UKey拔出用户的智能终端时,数字证书客户端软件发起注销请求,此时注销数字证书服务在线状态;
签名及验证服务具体用于响应业务系统的数字签名请求,并且根据用户标识找到对应的数字证书客户端软件,并且把数字签名请求转发至对应的数字证书客户端软件,由数字证书客户端软件在用户的智能终端完成数字签名;收到用户的智能终端数字签名值之后,对签名值进行验证,验证通过返回签名值至业务系统;
用户标识与证书绑定具体用于建立业务系统内唯一的用户标识和数字证书之间的绑定关系。
作为本发明的进一步改进,建立业务系统内唯一的用户标识和数字证书之间的绑定关系具体通过在签发UKey数字证书或进行UKey数字证书激活时进行绑定;或者根据用户唯一标识与数字证书序列号对应关系表格进行批量导入。
本发明还提供一种基于分布式UKey服务的数字签名方法,采用如上所述的基于分布式UKey服务的数字签名系统实现,所述的数字签名方法具体包括以下步骤:
S10、分布式UKey服务注册:数字证书客户端软件在智能终端侧启动之后,与数字证书签名和验证系统保持网络长连接;在有UKey插入智能终端时,数字证书客户端软件自动识别数字证书,并且在数字证书签名和验证系统注册分布式UKey服务,注册完成之后等待数字证书签名和验证系统的签名指令;
S20、数字证书签名和验证系统与数字证书客户端软件协同签名:数字证书签名和验证系统在收到业务系统的签名请求之后,向数字证书客户端软件发送签名指令,并且把业务系统的签名原文发送到数字证书客户端软件,数字证书客户端软件收到签名指令和原文后,调用UKey数字证书私钥对签名原文进行数字签名,并且把签名值返回给数字证书签名和验证系统,数字证书签名和验证系统对签名值进行验证通过后,返回至业务系统,完成数字签名;
S30、分布式UKEY服务注销:数字证书客户端软件发现UKey证书拔出,或网络断开之后,数字证书签名和验证系统注销分布式UKey服务。
作为本发明的进一步改进,所述步骤S10具体包括以下步骤:
S1001、数字证书客户端软件启动之后自动连接数字证书签名和验证系统,并且与数字证书签名和验证系统建立网络长连接,通过网络心跳方式记录数字证书客户端软件在线状态以及网络信息;
S1002、用户把UKey插入运行有数字证书客户端软件的智能终端上;
S1003、数字证书客户端软件自动识别UKey数字证书;
S1004、数字证书客户端软件向数字证书签名和验证系统获取随机数nonce;
S1005、数字证书签名和验证系统返回随机数nonce;
S1006:数字证书客户端软件收到数字证书签名和验证系统返回的随机数nonce之后,调用UKey进行签名,等待用户输入UKey PIN码;UKey数字证书用户输入PIN码;
S1007、UKey驱动程序验证PIN码正确情况下,调用UKey内的数字证书私钥对随机数nonce进行数字签名;
S1008、数字证书客户端软件把随机数nonce签名值发送到数字证书签名和验证系统,请求注册分布式UKey服务,数字证书签名和验证系统通过表格方式保存分布式UKey服务;
S1009、数字证书签名和验证系统收到随机数nonce签名值后,对签名值进行验证,验证通过后,注册成功;其中,验证随机数nonce的签名值,需要验证数字证书的有效性,且随机数nonce的哈希值相同;
S1010、建立数字证书客户端、注册数字证书以及对应的用户ID之间的对应关系,并标记为在线。
作为本发明的进一步改进,所述步骤S20具体包括以下步骤:
S2001、用户在浏览器内确认对业务数据进行数字签名,向业务系统的数字证书签名和验证系统发送业务签名请求;
S2002、业务系统在数字证书签名和验证系统端形成签名原文,然后向数字证书签名和验证系统发送签名请求,并且把签名原文的Hash值和用户ID发送给数字证书签名和验证系统;
S2003、数字证书签名和验证系统通过用户ID找到对应的分布式UKey服务,并且向数字证书客户端发出签名指令,同时把签名原文的Hash值发送到对应的数字证书客户端软件;
S2004、数字证书客户端软件接收到签名指令和签名原文Hash值后,调用UKey的驱动程序,让用户输入证书PIN码,并且进行验证,验证通过进入S2005;
S2005、数字证书客户端软件调用UKey驱动,通过UKey私钥完成数字签名;
S2006、数字证书客户端软件把签名值返回数字证书签名和验证系统;
S2007、数字证书签名和验证系统接收到签名值后,对签名值进行验证,验证成功进入S2007.1;验证失败进入S2007.2;
S2007.1、向业务系统返回签名值;
S2007.2、向业务系统返回签名失败消息;
S2008、业务系统接收到签名值后,对签名值进行保存;如果签名失败,则返回签名失败的消息。
作为本发明的进一步改进,所述步骤S30具体包括以下步骤:
S3001、用户拔出UKey;
S3002、数字证书客户端软件向数字证书签名和验证系统发送注销请求,请求参数为证书序列号,进入S3004;
S3003、数字证书签名和验证系统监测到数字证书客户端软件网络断开;
S3004、数字证书签名和验证系统根据数字证书序列号或数字证书客户端软件的网络地址,查找到对应的记录,对用户状态标记为下线,并且解除数字客户端、数字证书序列号、用户ID之间的绑定关系。
本发明的有益效果是:
本发明通过分布在用户PC电脑客户端数字证书客户端软件和服务器上部署的数字证书签名和验证系统协同签名,来解决浏览器直接调用数字证书客户端软件提供的签名服务所带来的浏览器兼容问题;更进一步通过服务端接口集成代替客户端通过浏览器不同协议(http、hppts或webSocket等协议)与业务系统集成的方式,可大大降低系统实现的复杂度和业务系统集成复杂度。
附图说明
图1为本发明实施例中Ukey数字签名系统的结构示意图;
图2为本发明实施例中用户证书绑定表示意图;
图3为本发明实施例中Ukey数字签名方法的整体流程图;
图4为本发明实施例中分布式UKey数字证书服务注册流程图;
图5为本发明实施例中分布式UKey服务列表示意图;
图6为本发明实施例中数字证书签名和验证系统与数字证书客户端软件协同签名的流程图;
图7为本发明实施例中分布式数字证书服务注销的流程图;
图8为本发明实施例的原理图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
实施例
如图1所示,一种基于分布式UKey服务的数字签名系统,包括:
1)数字证书客户端软件:
数字证书客户端软件安装在数字证书用户的PC电脑上,实现读取数字证书信息并且向数字证书签名和验证系统注册分布式UKey服务;完成底层数字证书驱动的管理,以及调用国密标准数字证书接口实现通过UKey数字证书实现数字签名;数字证书客户端软件还负责与数字证书签名和验证系统保持通信连接,并且接收数字证书签名和验证系统的签名指令,且展现证书PIN码输入界面,验证证书PIN码,实现调用UKey数字证书私钥完成对原文的签名运算。
2)数字证书签名和验证系统:
数字证书签名和验证系统分为四个核心板块:网络服务、分布式UKey签名服务注册/注销、签名及验证服务、用户标识与证书绑定。
网络服务负责底层的网络通信服务,以及与数字证书客户端软件保持网络连接,且通过网络心跳确认数字证书客户端软件在线。
分布式UKey签名服务注册/注销负责数字证书客户端软件在UKey插入用户PC侧电脑时,数字证书客户端软件发起注册服务请求,并且根据注册服务请求的数字证书唯一标识,在已经绑定的用户标识和数字证书标识之间建立在线映射关系,满足后续根据用户标识对签名原文的数字签名需要;在UKey拔出时,数字证书客户端软件发起注销请求,此时注销数字证书服务在线状态。
签名及验证服务负责响应业务系统的数字签名请求,并且根据用户标识找到对应的客户端,并且把数字签名请求转发至对应的客户端,由客户端在用户PC侧电脑完成数字签名;收到用户PC侧数字签名值之后,对签名值进行验证,验证通过返回签名值至业务系统。
用户标识与证书绑定负责建立业务系统内唯一的用户标识和数字证书之间的绑定关系,此关系的建立可以在签发UKey数字证书或进行UKey数字证书激活时进行绑定,也可以根据用户唯一标识(如身份证号)与数字证书序列号对应关系表格批量导入,绑定关系示意如图2所示。
如图3所示,本实施例还提供一种基于分布式UKey服务的数字签名方法,具体包括以下步骤:
S10、分布式UKey服务注册:数字证书客户端软件在PC侧启动之后,与数字证书签名和验证系统保持网络长连接;在有UKey插入PC电脑时,数字证书客户端软件自动识别数字证书,并且在数字证书签名和验证系统注册分布式UKey服务,注册完成之后等待数字证书签名和验证系统的签名指令;
S20、数字证书签名和验证系统(简称:服务端)与数字证书客户端软件(简称:客户端)协同签名:服务端在收到业务系统的签名请求之后,向客户端发送签名指令,并且把业务系统的签名原文发送到客户端,客户端收到签名指令和原文后,调用UKey证书私钥对签名原文进行数字签名,并且把签名值返回给服务端,服务端对签名值进行验证通过后,返回至业务系统,完成数字签名。
S30、分布式UKEY服务注销:数字证书客户端软件发现UKey证书拔出,或网络断开之后,数字证书签名和验证系统注销分布式UKey服务。
如图4所示,分布式UKey服务注册流程具体包括:
S1001、客户端启动之后自动连接服务端,并且与服务端建立网络长连接,通过网络心跳方式记录客户端的在线状态以及网络信息;
S1002、用户把UKey插入运行有数字证书客户端软件的PC电脑上;
S1003、数字证书客户端软件自动识别UKey数字证书;
S1004、数字证书客户端软件向数字证书签名和验证系统获取随机数;
S1005、数字证书签名和验证系统返回随机数(nonce);
S1006、数字证书客户端收到服务端返回的随机数(nonce)之后,调用UKey进行签名,等待用户输入UKey PIN码;UKey证书用户输入PIN码;
S1007、UKey驱动程序验证PIN码正确情况下,调用UKey内的数字证书私钥对随机数(nonce)进行数字签名;
S1008、数字证书客户端把nonce签名值发送到数字证书签名和验证系统,请求注册分布式UKey服务,数字证书签名和验证系统通过如图5所示的列表方式保存分布式UKey服务;
S1009、数字证书签名和验证系统收到nonce签名值后,对签名值进行验证,验证通过后,注册成功;验证nonce的签名值,需要验证数字证书的有效性,且nonce的哈希值相同。
S1010:建立数字证书客户端、注册数字证书以及对应的用户ID之间的对应关系,并标记为在线。
如图6所示,服务端和客户端协同签名具体包括:
S2001、用户在浏览器内确认对业务数据进行数字签名,向业务系统服务端发送业务签名请求;
S2002、业务系统在服务器端形成签名原文(签名原文是具体原文的Hash值),然后向数字证书签名和验证系统发送签名请求,并且把签名原文的Hash值和用户ID发送给数字证书签名和验证系统;
S2003、数字证书签名和验证系统通过用户ID找到对应的分布式UKey服务,并且向数字证书客户端发出签名指令,同时把签名原文的Hash值发送到对应的数字证书客户端软件;
S2004、数字证书客户端软件接收到签名指令和签名原文Hash值后,调用UKey的驱动程序,让用户输入证书PIN码,并且进行验证,验证通过进入S2005;
S2005、数字证书客户端软件调用UKey驱动,通过UKey私钥完成数字签名;
S2006、数字证书客户端软件把签名值返回数字证书签名和验证系统;
S2007、数字证书签名和验证系统(服务端)接收到签名值后,对签名值进行验证,验证成功进入S2007.1;验证失败进入S2007.2;
S2007.1、向业务系统返回签名值;
S2007.2、向业务系统返回签名失败消息;
S2008、业务系统接收到签名值后,对签名值进行保存;如果签名失败,则返回签名失败的消息。
如图7所示,分布式UKEY服务注销具体包括:
S3001、用户拔出UKey;
S3002、数字证书客户端软件向数字证书签名和验证系统发送注销请求,请求参数为证书序列号,进入S3004;
S3003、数字证书签名和验证系统监测到数字证书客户端软件网络断开;
S3004、数字证书签名和验证系统根据数字证书序列号或数字证书客户端软件的网络地址,查找到对应的记录,对用户状态标记为下线,并且解除客户端、证书序列号、用户ID之间的绑定关系。
如图8所示,根据图8中编号为“1,2,3,4,5,6”的6个步骤对本实施例的原理进行进一步的说明:
步骤1、数字证书客户端软件运行在用户PC电脑上,客户端软件在运行时,与数字证书签名和验证系统保持网络长连接;在PC上插入或拔出UKey证书之后,客户端软件自动发现证书的插入和拔出事件;在插入UKey证书之后,数字证书客户端软件自动注册分布式UKey证书服务;在拔出UKey之后,自动注销对应的分布式UKey证书签名服务;在注册分布式UKey证书服务时,验证数字证书的有效性,并且只有证书有效才能注册成功,否则提示用户更新或变更UKey数字证书。
步骤2、用户访问业务系统,在业务系统内操作发起数字签名请求,业务系统后台服务收到数字签名请求后,准备签名原文,并且调用数字证书签名和验证系统的服务来实现数字签名。
步骤3、业务系统通过安全的网络通道调用数字证书签名和验证系统的服务,把签名原文传递给数字证书签名和验证系统,数字证书签名和验证系统根据签名用户的唯一用户标识ID,找到对应的UKey证书签名服务以及其客户端,并且计算出签名原文Hash值。
步骤4、数字证书签名和验证系统把Hash值通过安全网络通道传递给数字证书客户端软件。
步骤5、数字证书客户端软件接收到签名请求后,通过调用UKey的签名底层驱动功能,在UKey内完成数字签名。
步骤6、数字证书客户端软件把签名值传递给数字证书签名和验证系统,由数字证书签名和验证系统把签名值返回给业务系统,完成签名处理。
本实施例在实施部署时,首先建立业务系统用户ID和证书序列号之间的一对一绑定关系,便于后期分布式UKey服务注册。
本实施例中,数字证书客户端软件启动后与数字证书签名和验证系统建立网络长连接,通过网络心跳来维持网络连接;在UKey数字证书插入用户PC端时,自动识别数字证书,并且完成分布式UKey服务注册。
本实施例中,业务系统在进行签名时,不再通过浏览器调用本地服务进行签名,而是通过向业务系统服务端发起请求,且业务系统服务端通过向数字证书签名和验证系统发出签名请求,数字证书签名和验证系统通过保存的服务列表找到对应客户端,通过客户端和服务端协同完成签名。
本实施例可有效解决在浏览器内调用本地服务完成电子签名所带来的安全风险问题和数字证书集成开发套件与PC电脑上不同版本的浏览器兼容性问题。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (7)
1.一种基于分布式UKey服务的数字签名系统,其特征在于,包括:
数字证书客户端软件:安装在数字证书用户的智能终端上,用于读取数字证书信息并且向数字证书签名和验证系统注册分布式UKey服务;完成底层数字证书驱动的管理,以及调用国密标准数字证书接口通过UKey数字证书实现数字签名;与数字证书签名和验证系统保持通信连接并接收签名指令,且验证UKey数字证书PIN码,实现调用UKey证书私钥完成对原文的签名运算;
数字证书签名和验证系统:用于实现网络服务、分布式UKey签名服务注册/注销、签名及验证服务以及用户标识与证书绑定。
2.根据权利要求1所述的基于分布式UKey服务的数字签名系统,其特征在于,所述网络服务具体用于实现底层的网络通信服务,以及与数字证书客户端软件保持网络连接,且通过网络心跳确认数字证书客户端软件是否在线;
所述分布式UKey签名服务注册/注销用于负责数字证书客户端软件在UKey插入用户的智能终端时,数字证书客户端软件发起注册服务请求,并且根据注册服务请求的数字证书唯一标识,在已经绑定的用户标识和数字证书标识之间建立在线映射关系,满足后续根据用户标识对签名原文的数字签名需要;在UKey拔出用户的智能终端时,数字证书客户端软件发起注销请求,此时注销数字证书服务在线状态;
签名及验证服务具体用于响应业务系统的数字签名请求,并且根据用户标识找到对应的数字证书客户端软件,并且把数字签名请求转发至对应的数字证书客户端软件,由数字证书客户端软件在用户的智能终端完成数字签名;收到用户的智能终端数字签名值之后,对签名值进行验证,验证通过返回签名值至业务系统;
用户标识与证书绑定具体用于建立业务系统内唯一的用户标识和数字证书之间的绑定关系。
3.根据权利要求2所述的基于分布式UKey服务的数字签名系统,其特征在于,建立业务系统内唯一的用户标识和数字证书之间的绑定关系具体通过在签发UKey数字证书或进行UKey数字证书激活时进行绑定;或者根据用户唯一标识与数字证书序列号对应关系表格进行批量导入。
4.一种基于分布式UKey服务的数字签名方法,其特征在于,采用如权利要求1-3任一项所述的基于分布式UKey服务的数字签名系统实现,所述的数字签名方法具体包括以下步骤:
S10、分布式UKey服务注册:数字证书客户端软件在智能终端侧启动之后,与数字证书签名和验证系统保持网络长连接;在有UKey插入智能终端时,数字证书客户端软件自动识别数字证书,并且在数字证书签名和验证系统注册分布式UKey服务,注册完成之后等待数字证书签名和验证系统的签名指令;
S20、数字证书签名和验证系统与数字证书客户端软件协同签名:数字证书签名和验证系统在收到业务系统的签名请求之后,向数字证书客户端软件发送签名指令,并且把业务系统的签名原文发送到数字证书客户端软件,数字证书客户端软件收到签名指令和原文后,调用UKey数字证书私钥对签名原文进行数字签名,并且把签名值返回给数字证书签名和验证系统,数字证书签名和验证系统对签名值进行验证通过后,返回至业务系统,完成数字签名;
S30、分布式UKEY服务注销:数字证书客户端软件发现UKey证书拔出,或网络断开之后,数字证书签名和验证系统注销分布式UKey服务。
5.根据权利要求4所述的基于分布式UKey服务的数字签名方法,其特征在于,所述步骤S10具体包括以下步骤:
S1001、数字证书客户端软件启动之后自动连接数字证书签名和验证系统,并且与数字证书签名和验证系统建立网络长连接,通过网络心跳方式记录数字证书客户端软件在线状态以及网络信息;
S1002、用户把UKey插入运行有数字证书客户端软件的智能终端上;
S1003、数字证书客户端软件自动识别UKey数字证书;
S1004、数字证书客户端软件向数字证书签名和验证系统获取随机数nonce;
S1005、数字证书签名和验证系统返回随机数nonce;
S1006:数字证书客户端软件收到数字证书签名和验证系统返回的随机数nonce之后,调用UKey进行签名,等待用户输入UKey PIN码;UKey数字证书用户输入PIN码;
S1007、UKey驱动程序验证PIN码正确情况下,调用UKey内的数字证书私钥对随机数nonce进行数字签名;
S1008、数字证书客户端软件把随机数nonce签名值发送到数字证书签名和验证系统,请求注册分布式UKey服务,数字证书签名和验证系统通过表格方式保存分布式UKey服务;
S1009、数字证书签名和验证系统收到随机数nonce签名值后,对签名值进行验证,验证通过后,注册成功;其中,验证随机数nonce的签名值,需要验证数字证书的有效性,且随机数nonce的哈希值相同;
S1010、建立数字证书客户端、注册数字证书以及对应的用户ID之间的对应关系,并标记为在线。
6.根据权利要求5所述的基于分布式UKey服务的数字签名方法,其特征在于,所述步骤S20具体包括以下步骤:
S2001、用户在浏览器内确认对业务数据进行数字签名,向业务系统的数字证书签名和验证系统发送业务签名请求;
S2002、业务系统在数字证书签名和验证系统端形成签名原文,然后向数字证书签名和验证系统发送签名请求,并且把签名原文的Hash值和用户ID发送给数字证书签名和验证系统;
S2003、数字证书签名和验证系统通过用户ID找到对应的分布式UKey服务,并且向数字证书客户端发出签名指令,同时把签名原文的Hash值发送到对应的数字证书客户端软件;
S2004、数字证书客户端软件接收到签名指令和签名原文Hash值后,调用UKey的驱动程序,让用户输入证书PIN码,并且进行验证,验证通过进入S2005;
S2005、数字证书客户端软件调用UKey驱动,通过UKey私钥完成数字签名;
S2006、数字证书客户端软件把签名值返回数字证书签名和验证系统;
S2007、数字证书签名和验证系统接收到签名值后,对签名值进行验证,验证成功进入S2007.1;验证失败进入S2007.2;
S2007.1、向业务系统返回签名值;
S2007.2、向业务系统返回签名失败消息;
S2008、业务系统接收到签名值后,对签名值进行保存;如果签名失败,则返回签名失败的消息。
7.根据权利要求6所述的基于分布式UKey服务的数字签名方法,其特征在于,所述步骤S30具体包括以下步骤:
S3001、用户拔出UKey;
S3002、数字证书客户端软件向数字证书签名和验证系统发送注销请求,请求参数为证书序列号,进入S3004;
S3003、数字证书签名和验证系统监测到数字证书客户端软件网络断开;
S3004、数字证书签名和验证系统根据数字证书序列号或数字证书客户端软件的网络地址,查找到对应的记录,对用户状态标记为下线,并且解除数字客户端、数字证书序列号、用户ID之间的绑定关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210894659.0A CN115085942B (zh) | 2022-07-28 | 2022-07-28 | 一种基于分布式UKey服务的数字签名方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210894659.0A CN115085942B (zh) | 2022-07-28 | 2022-07-28 | 一种基于分布式UKey服务的数字签名方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115085942A true CN115085942A (zh) | 2022-09-20 |
| CN115085942B CN115085942B (zh) | 2022-11-15 |
Family
ID=83242396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210894659.0A Active CN115085942B (zh) | 2022-07-28 | 2022-07-28 | 一种基于分布式UKey服务的数字签名方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115085942B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301104A (zh) * | 2014-06-20 | 2015-01-21 | 齐亚斌 | 一种数字证书签名的方法和系统 |
| CN104573554A (zh) * | 2014-12-30 | 2015-04-29 | 北京奇虎科技有限公司 | 加载安全密钥存储硬件的方法和浏览器客户端装置 |
| WO2016008447A1 (zh) * | 2014-07-17 | 2016-01-21 | 天地融科技股份有限公司 | 实现智能密钥设备模式间切换的方法和装置 |
| CN106936792A (zh) * | 2015-12-30 | 2017-07-07 | 卓望数码技术(深圳)有限公司 | 安全认证方法和系统以及用于安全认证的移动终端 |
| US20170359185A1 (en) * | 2014-12-30 | 2017-12-14 | Beijing Qihoo Technology Company Limited | Method for loading website security information and browser apparatus |
| CN108259440A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 基于云计算的USBKey身份认证在B/S架构应用的方法和系统 |
| CN111831998A (zh) * | 2020-07-28 | 2020-10-27 | 武汉市测绘研究院 | 一种离线状态下bs应用服务绑定硬件码的身份验证方法 |
| CN112398649A (zh) * | 2020-11-13 | 2021-02-23 | 浪潮电子信息产业股份有限公司 | 一种利用USBKey和CA进行服务器加密的方法及系统 |
| CN112905979A (zh) * | 2021-02-16 | 2021-06-04 | 中企云链(北京)金融信息服务有限公司 | 电子签名授权方法以及装置、存储介质、电子装置 |
| US20210385225A1 (en) * | 2020-06-08 | 2021-12-09 | Evidian | Computerized device and method for authenticating a user |
-
2022
- 2022-07-28 CN CN202210894659.0A patent/CN115085942B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104301104A (zh) * | 2014-06-20 | 2015-01-21 | 齐亚斌 | 一种数字证书签名的方法和系统 |
| WO2016008447A1 (zh) * | 2014-07-17 | 2016-01-21 | 天地融科技股份有限公司 | 实现智能密钥设备模式间切换的方法和装置 |
| CN104573554A (zh) * | 2014-12-30 | 2015-04-29 | 北京奇虎科技有限公司 | 加载安全密钥存储硬件的方法和浏览器客户端装置 |
| US20170359185A1 (en) * | 2014-12-30 | 2017-12-14 | Beijing Qihoo Technology Company Limited | Method for loading website security information and browser apparatus |
| CN106936792A (zh) * | 2015-12-30 | 2017-07-07 | 卓望数码技术(深圳)有限公司 | 安全认证方法和系统以及用于安全认证的移动终端 |
| CN108259440A (zh) * | 2016-12-29 | 2018-07-06 | 航天信息股份有限公司 | 基于云计算的USBKey身份认证在B/S架构应用的方法和系统 |
| US20210385225A1 (en) * | 2020-06-08 | 2021-12-09 | Evidian | Computerized device and method for authenticating a user |
| CN111831998A (zh) * | 2020-07-28 | 2020-10-27 | 武汉市测绘研究院 | 一种离线状态下bs应用服务绑定硬件码的身份验证方法 |
| CN112398649A (zh) * | 2020-11-13 | 2021-02-23 | 浪潮电子信息产业股份有限公司 | 一种利用USBKey和CA进行服务器加密的方法及系统 |
| CN112905979A (zh) * | 2021-02-16 | 2021-06-04 | 中企云链(北京)金融信息服务有限公司 | 电子签名授权方法以及装置、存储介质、电子装置 |
Non-Patent Citations (3)
| Title |
|---|
| JINSUO ZHANG;STACEY FRANKLIN JONES: ""uKey: A Unified Key Management and Authentication Automation Middleware For Heterogeneous System"", 《FOURTH INTERNATIONAL CONFERENCE ON INFORMATION TECHNOLOGY (ITNG"07)》 * |
| 周广辉: "USBKey用户认证平台的研究和实现", 《信息安全与通信保密》 * |
| 王飞龙等: "基于USB Key的身份认证系统设计与实现", 《信息工程大学学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115085942B (zh) | 2022-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102710640B (zh) | 请求授权的方法、装置和系统 | |
| CN101316282B (zh) | 终端的远程控制方法和相关设备 | |
| CN103119975B (zh) | 用户账户恢复 | |
| CN110417730B (zh) | 多应用程序的统一接入方法及相关设备 | |
| CN108650098B (zh) | 用户自定义验证方式的方法及装置 | |
| CN111404695B (zh) | 令牌请求验证方法和装置 | |
| EP3851983B1 (en) | Authorization method, auxiliary authorization component, management server and computer readable medium | |
| CN109379388B (zh) | 一种身份识别方法、终端及可穿戴设备 | |
| CN102822835B (zh) | 个人便携式安全网络访问系统 | |
| CN106161475A (zh) | 用户鉴权的实现方法和装置 | |
| CN107819766B (zh) | 安全认证方法、系统及计算机可读存储介质 | |
| CN111163063B (zh) | 边缘应用管理方法及相关产品 | |
| JP2008097263A (ja) | 認証システム、認証方法およびサービス提供サーバ | |
| CN113190724A (zh) | 用户银行信息的查询方法、移动终端及服务器 | |
| CN114299643A (zh) | 门锁的管理方法、装置、存储介质及电子设备 | |
| CN115085942B (zh) | 一种基于分布式UKey服务的数字签名方法及系统 | |
| WO2015096483A1 (zh) | 一种终端应用的注册方法、装置和系统 | |
| CN109460647B (zh) | 一种多设备安全登录的方法 | |
| CN114338224B (zh) | 一种智能硬件跨平台控制方法及系统 | |
| CN102083066A (zh) | 统一安全认证的方法和系统 | |
| CN115190483B (zh) | 一种访问网络的方法及装置 | |
| CN102693506B (zh) | 一种支持移动交易业务流程运行的设备和方法 | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 | |
| CN110035116A (zh) | 用户关联的方法和装置 | |
| CN116055137A (zh) | 物联网系统认证授权适配系统、方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |