CN117744093A

CN117744093A - 一种数字签名方法、装置、设备以及存储介质

Info

Publication number: CN117744093A
Application number: CN202311816808.2A
Authority: CN
Inventors: 王卓岩; 李健; 丁肇伟; 柏宝增; 郭泽生; 高旭; 杜军委
Original assignee: Shenzhen Zhengyuan Xingjie Information Technology Co ltd
Current assignee: Shenzhen Zhengyuan Xingjie Information Technology Co ltd
Priority date: 2023-12-26
Filing date: 2023-12-26
Publication date: 2024-03-22

Abstract

本发明公开了一种数字签名方法、装置、设备以及存储介质。该方法包括：响应于目标用户发出的EFI签名申请，确定原始EFI文件，控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，以确定P7签名；在P7签名中签署时间戳，得到P7签名值，并控制时间戳服务器根据第二签名证书私钥基于P7签名值进行时间戳签名，以得到时间戳P7；根据时间戳P7、原始EFI文件以及P7签名，确定目标EFI文件，并根据目标EFI文件对EFI签名申请进行响应。本发明的技术方案，可以控制签名服务平台、签名服务器以及时间戳服务器交互，为目标用户所在计算机进行签名，使得符合认证的硬件驱动被加载，实现计算机安全启动。

Description

一种数字签名方法、装置、设备以及存储介质

技术领域

本发明涉及计算机技术领域，尤其涉及一种数字签名方法、装置、设备以及存储介质。

背景技术

随着计算机技术的发展，为了防御恶意软件攻击，市面上大多电脑设备启动时都会开启安全启动模式，为了保证电脑设备各硬件驱动的正常安全工作，需要预先为该电脑设备进行签名，使得后续符合认证的硬件驱动才会被加载。

因此，如何控制签名服务平台、签名服务器以及时间戳服务器交互，为目标用户所在计算机进行签名，使得符合认证的硬件驱动被加载，实现计算机安全启动，是目前亟待解决的问题。

发明内容

本发明提供了一种数字签名方法、装置、设备以及存储介质，以控制签名服务平台、签名服务器以及时间戳服务器交互，为目标用户所在计算机进行签名，使得符合认证的硬件驱动被加载，实现计算机安全启动。

根据本发明的一方面，提供了一种数字签名方法，包括：

响应于目标用户发出的EFI签名申请，确定原始EFI文件，控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，以确定P7签名；

在P7签名中签署时间戳，得到P7签名值，并控制时间戳服务器根据第二签名证书私钥基于P7签名值进行时间戳签名，以得到时间戳P7；

根据时间戳P7、原始EFI文件以及P7签名，确定目标EFI文件，并根据目标EFI文件对EFI签名申请进行响应。

根据本发明的另一方面，提供了一种数字签名装置，包括：

第一确定模块，用于响应于目标用户发出的EFI签名申请，确定原始EFI文件，控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，以确定P7签名；

第二确定模块，用于在P7签名中签署时间戳，得到P7签名值，并控制时间戳服务器根据第二签名证书私钥基于P7签名值进行时间戳签名，以得到时间戳P7；

响应模块，用于根据时间戳P7、原始EFI文件以及P7签名，确定目标EFI文件，并根据目标EFI文件对EFI签名申请进行响应。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的数字签名方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的数字签名方法。

本发明实施例的技术方案，响应于目标用户发出的EFI签名申请，确定原始EFI文件，控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，以确定P7签名；在P7签名中签署时间戳，得到P7签名值，并控制时间戳服务器根据第二签名证书私钥基于P7签名值进行时间戳签名，以得到时间戳P7；根据时间戳P7、原始EFI文件以及P7签名，确定目标EFI文件，并根据目标EFI文件对EFI签名申请进行响应。通过这样的方式，可以控制签名服务平台、签名服务器以及时间戳服务器交互，为目标用户所在计算机进行签名，使得符合认证的硬件驱动被加载，实现计算机安全启动。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种数字签名方法的流程图；

图2是本发明实施例二提供的一种数字签名方法的流程图；

图3是本发明实施例三提供的一种数字签名装置的结构框图；

图4是本发明实施例四提供的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“目标”、“候选”、“备选”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

图1是本发明实施例一提供的一种数字签名方法的流程图；本实施例适用于签名服务平台与签名服务器和时间戳服务器交互，为目标用户所在计算机进行签名的情况，该方法可以由数字签名装置来执行，该装置可以采用软件和/或硬件的方式实现，并可集成于具有数字签名功能的电子设备中，如签名服务平台中。如图1所示，该数字签名方法包括：

S101、响应于目标用户发出的EFI签名申请，确定原始EFI文件，控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，以确定P7签名。

其中，目标用户可以是厂商企业用户，具体可以是OS(Operating System)操作系统如麒麟操作系统和欧拉操作系统厂商，还可以是固件驱动厂商，如网卡、硬盘以及RAID(Redundant Arrays of Independent Disks，磁盘阵列)卡的提供商。EFI签名申请是指目标用户请求将原始EFI(Extensible Firmware Interface，可拓展固件接口)文件进行签名的请求，目标用户得到签名后的EFI文件后可以实现自身计算机的安全启动。原始EFI文件例如可以是未签名的boot64.efi文件。第一签名证书私钥可以为UEFI(UnifiedExtensible Firmware Interface，统一可扩展固件接口)签名证书私钥。P7签名是指P7级签名格式的电子签名。

可选的，目标用户可以通过预先注册的账号信息登录签名服务平台，向签名服务平台提交未签名的原始EFI文件，签名服务平台确定原始EFI文件之后，可以通知管理员进行审核，管理员可以根据目标用户的标识，比如名称或编号，确定是否为熟悉的或者有合作的厂商，若是则审核通过。

可选的，在管理员审核通过的情况下，签名服务平台可以将原始EFI文件发送至签名服务器，以控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，得到P7签名。

可选的，响应于目标用户发出的EFI签名申请，确定原始EFI文件，包括：响应于目标用户发出的EFI签名申请，执行预设的EFI文件加载脚本，以对签名申请进行解析，得到原始EFI文件的属性数据；根据EFI文件的文件结构，对属性数据进行拼接处理，以得到原始EFI文件。

其中，预设的EFI文件加载脚本例如可以通过JAVA语言编写的代码脚本，EFI文件结构与PE文件结构相同，主要包括如下5个部分，DOS部分、PE文件头(PE Header)、可选头信息、节数据(Sections)以及签名信息。Dos Header为DOS部分的头部信息，可以根据DosHeader数据校验文件类型是否合法，以及获取签名信息的地址数据；可以根据PE Header数据校验文件结构是否为合法的EFI结构；可选头信息，主要包含数据校验值(Checksum)，用于校验数据是否被篡改，以及签名信息表(Signature Table)，用于定位签名的地址及长度。节数据(Sections)用于存放结构的主要数据。原始EFI文件的属性数据可以包括以下至少一种：Dos Header数据、PE Header地址数据、PE Header数据、Optional Header数据以及Sections数据。

示例性的，可以通过如下JAVA脚本代码，实现对原始EFI文件的加载：

File file＝new File(tempFilePath)；

RandomAccessFile access＝new RandomAccessFile(file,"rw")；

int readLength＝0；

示例性的，可以通过如下JAVA脚本代码，实现对原始EFI文件属性数据中的DosHeader数据的解析获取：

byte[]dosHeader＝new byte[60]；

access.read(dosHeader)；

readLength+＝60；

示例性的，可以通过如下JAVA脚本代码，实现对原始EFI文件属性数据中的PEHeader地址数据的解析获取：

byte[]peHeaderAddress＝new byte[4]；

access.read(peHeaderAddress)；

readLength+＝4；

int peHeaderAddressInt＝convertBytes2Int(peHeaderAddress)；

示例性的，根据PE Header地址数据，可以通过如下JAVA脚本代码，实现对原始EFI文件属性数据中的PE Header数据的解析获取：

byte[]peHeader＝new byte[peHeaderAddressInt-40]；

access.read(peHeader)；

readLength+＝peHeaderAddressInt-40；

示例性的，可以通过如下JAVA脚本代码，实现对原始EFI文件属性数据中的Optional Header数据的解析获取：

byte[]optionalHeaderData＝new byte[64]；

access.read(optionalHeaderData)；

readLength+＝64；

示例性的，可以通过如下JAVA脚本代码，实现对原始EFI文件属性数据中的Checksum地址的解析获取：

int checkSumIndex＝readLength；

access.skipBytes(4)；

readLength+＝4；

示例性的，可以通过如下JAVA脚本代码，实现对原始EFI文件属性数据中的Signature Table地址的解析获取：

int signatureTableIndex＝readLength；

access.skipBytes(8)；

readLength+＝8；

示例性的，可以通过如下JAVA脚本代码，实现对原始EFI文件属性数据中的Sections数据的解析获取：

byte[]sections＝new byte[(int)in.length()-readLength]；

access.read(sections)；

可选的，确定原始EFI文件的属性数据之后，可以通过Dos Header数据、PE Header地址数据、PE Header数据、Optional Header数据、Sections数据拼接得到签名原文，也就是原始EFI文件。

示例性的，可以通过如下JAVA脚本代码，实现拼接处理：byte[]signText＝addBytes(addBytes(addBytes(addBytes(addBytes(dosHeader,peHea derAddress),peHeader),optionalHeaderData),optionalHeaderData2),sections)。

可选的，控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，以确定P7签名，包括：控制签名服务器根据目标用户的账号信息，确定证书标识，并根据证书标识，从目标账号对应的签名证书私钥中确定第一签名证书私钥；控制签名服务器，基于预设加密算法，采用第一签名证书私钥对原始EFI文件进行数字签名，以得到的P7签名。

其中，证书标识是指签名服务器为目标用户的证书生成的唯一标识，通过该唯一标识可以确定出目标账号对应的签名证书、加密证书以及签名证书私钥等信息。预设加密算法例如可以是SM3_SM2国密算法。

可选的，可以调用预设加密算法的加密函数，通过执行预设加密脚本代码实现对原始EFI文件进行数字签名，得到的P7签名，例如，可以基于如下JAVA脚本代码进行数字签名：

byte[]p7SignDate＝PKCS7.p7Sign(signText)；

可选的，本发明在响应于签名申请进行签名之前，可以在目标用户注册账号时自动为其下发证书，并将目标用户账号和证书标识进行绑定，以便于签名服务器根据证书标识，确定目标账号对应的签名证书私钥进行数字签名和时间戳签名。具体的，响应于目标用户发出的EFI签名申请，确定原始EFI文件之前，还包括：若检测到目标用户在签名服务平台的注册事件，则控制签名服务平台与签名服务器交互，确定证书请求文件；根据证书请求文件，与公钥基础设施PKI交互，获取PKI签发的签名证书、加密证书以及签名证书私钥，并发送至签名服务器，以确定证书标识；将证书标识和目标用户的账号信息进行关联。

其中，注册事件是指目标用户在签名服务平台注册账号的事件。证书请求文件例如可以是P10证书请求文件，其是由OpenSSL等工具生成的文本文件，其中包含了证书请求者的身份信息、公钥以及其他相关信息。PKI(Public Key Infrastructure，公钥基础设施)是一组由硬件、软件、参与者、管理政策与流程组成的基础架构，其目的在于创造、管理、分配、使用、存储以及撤销数字证书。

需要说明的是，通过将证书标识和目标用户的账号信息进行关联，可以便于后续目标用户申请EFI签名时快速匹配对应的证书私钥进行签名，提高签名的效率和准确率。

S102、在P7签名中签署时间戳，得到P7签名值，并控制时间戳服务器根据第二签名证书私钥基于P7签名值进行时间戳签名，以得到时间戳P7。

其中，P7签名值是指在P7签名中添加时间戳之后的签名。第二签名证书私钥可以为TSA(Time-Stamp Authority)签名证书私钥。

可选的，可以根据确定P7签名的时间，在P7签名中签署时间戳，得到P7签名值，进一步的，可以将P7签名值发送至时间戳服务器，以指示时间戳服务器采用第二签名证书私钥进行时间戳签名并反馈时间戳P7。

需要说明的是，时间戳服务器采用第二签名证书私钥进行时间戳签名的方式，与签名服务器采用第一签名证书私钥对原始EFI文件进行数字签名的方式类型，二者可以采用相同的加密算法，也可以采用不同的加密算法，本发明对此不做限制。

S103、根据时间戳P7、原始EFI文件以及P7签名，确定目标EFI文件，并根据目标EFI文件对EFI签名申请进行响应。

其中，目标EFI文件是指对原始EFI文件签名完成的文件。

可选的，根据时间戳P7、原始EFI文件以及P7签名，确定目标EFI文件，包括：将时间戳P7部署到P7签名中，以得到最终P7签名；根据EFI文件的文件结构，将最终P7签名添加至原始EFI文件中的签名信息区域，以得到目标EFI文件。其中，签名信息区域可以是指EFI文件结构尾部签名信息对应的区域。

可选的，可以通过设置EFI文件Signature Table属性值，将时间戳P7部署到P7签名中，例如，可以基于如下JAVA脚本代码，实现Signature Table属性值的设置：

access.seek(signatureTableIndex)；

access.write(convertInt2Bytes(signatureHeaderIndex))；

access.write(convertInt2Bytes(p7SignLength))；

access.seek(signatureHeaderIndex)；

可选的，可以基于如下JAVA脚本代码，将最终P7签名追加到EFI文件尾部，以得到目标EFI文件：

access.write(convertInt2Bytes(p7SignLength))；

access.write(sigHeaderVersion)；

access.write(p7Sign)；

for(int i＝0；i<((～p7Sign.length+1)&0x07)；i++)

{

access.write(0)；

}

可选的，计算签名原文进行签名后需要重新部署Checksum数据，具体可以采用如下代码“modifyChecksum(access,checkSumIndex)；”。

可选的，本发明将目标EFI文件反馈至目标用户之后，可以指示目标用户所属计算机或电脑设备根据目标EFI文件，在其本地的基本输入输出系统BIOS中进行安全启动验证，实现安全启动。具体的，根据目标EFI文件对EFI签名申请进行响应之后，还包括：控制目标用户所在的计算机主板根据目标EFI文件，确定各硬件驱动的签名，并判断签名是否符合认证；若是，则将控制权转递至计算机的操作系统，以指示电脑启动，实现目标用户基本输入输出系统BIOS下的安全启动。

示例性的，目标用户所属计算机或电脑设备开启UEFI的安全验证后，计算机的主板可以根据TPM(Trusted Platform Module)芯片记录的硬件签名(也就是目标EFI文件中记载的各硬件驱动的签名)对各硬件进行判断，只有符合认证的硬件驱动才会被加载，从而使得硬件设备仅使用信任软件进行启动，实现安全启动。

实施例二

图2是本发明实施例二提供的一种数字签名方法的流程图；本实施例在上述实施例的基础上，提出了一种签名服务平台、签名服务器以及时间戳服务器交互对EFI签名申请进行处理实现目标用户所在计算机的安全启动的优选实例，该方法包括：

S201、若检测到目标用户在签名服务平台的注册事件，则控制签名服务平台与签名服务器交互，确定证书请求文件。

S202、根据证书请求文件，与公钥基础设施PKI交互，获取PKI签发的签名证书、加密证书以及签名证书私钥，并发送至签名服务器，以确定证书标识。

S203、将证书标识和目标用户的账号信息进行关联。

S204、响应于目标用户发出的EFI签名申请，执行预设的EFI文件加载脚本，以对签名申请进行解析，得到原始EFI文件的属性数据。

S205、根据EFI文件的文件结构，对属性数据进行拼接处理，以得到原始EFI文件。

S206、在管理员审核通过的情况下，控制签名服务器根据目标用户的账号信息，确定证书标识，并根据证书标识，从目标账号对应的签名证书私钥中确定第一签名证书私钥。

S207、控制签名服务器，基于预设加密算法，采用第一签名证书私钥对原始EFI文件进行数字签名，以得到的P7签名。

S208、在P7签名中签署时间戳，得到P7签名值，并控制时间戳服务器根据第二签名证书私钥基于P7签名值进行时间戳签名，以得到时间戳P7。

S209、将时间戳P7部署到P7签名中，以得到最终P7签名。

S210、根据EFI文件的文件结构，将最终P7签名添加至原始EFI文件中的签名信息区域，以得到目标EFI文件。

可选的，确定目标EFI文件之后，可以根据目标EFI文件对EFI签名申请进行响应，并控制目标用户所在的计算机主板根据目标EFI文件，确定各硬件驱动的签名，并判断签名是否符合认证；若是，则将控制权转递至计算机的操作系统，以指示电脑启动，实现目标用户基本输入输出系统BIOS下的安全启动。

本发明的技术方案，可以使得目标用户提交要签名申请的单个EFI驱动或者UEFI启动的shim(垫片)文件，即原始EFI文件，待安全保密管理员审核通过后，利用签名服务平台集成使用EFI Singer工具对企业已提交的原始EFI文件进行签名操作，签名完成后，企业用户可下载已签名的EFI文件进行安全启动。通过JAVA语言开发EFI Singer工具技术实现EFI应用程序的签名，该工具安全性更高、稳定性更高、更健壮，而且能够跨多个平台，具备通用性。

实施例三

图3是本发明实施例三提供的一种数字签名装置的结构框图；本实施例可适用于签名服务平台与签名服务器和时间戳服务器交互，为目标用户所在计算机进行签名的情况，本发明实施例所提供的数字签名装置可执行本发明任一实施例所提供的数字签名方法，具备执行方法相应的功能模块和有益效果；该数字签名装置可以采用硬件和/或软件的形式实现，并配置于具有数字签名功能的设备中，如签名服务平台中。

如图3所示，该数字签名装置具体包括：

第一确定模块301，用于响应于目标用户发出的EFI签名申请，确定原始EFI文件，控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，以确定P7签名；

第二确定模块302，用于在P7签名中签署时间戳，得到P7签名值，并控制时间戳服务器根据第二签名证书私钥基于P7签名值进行时间戳签名，以得到时间戳P7；

响应模块303，用于根据时间戳P7、原始EFI文件以及P7签名，确定目标EFI文件，并根据目标EFI文件对EFI签名申请进行响应。

进一步的，第一确定模块301具体用于：

响应于目标用户发出的EFI签名申请，执行预设的EFI文件加载脚本，以对签名申请进行解析，得到原始EFI文件的属性数据；

根据EFI文件的文件结构，对属性数据进行拼接处理，以得到原始EFI文件。

进一步的，第一确定模块301还用于：

控制签名服务器根据目标用户的账号信息，确定证书标识，并根据证书标识，从目标账号对应的签名证书私钥中确定第一签名证书私钥；

控制签名服务器，基于预设加密算法，采用第一签名证书私钥对原始EFI文件进行数字签名，以得到的P7签名。

进一步的，响应模块303具体用于：

将时间戳P7部署到P7签名中，以得到最终P7签名；

根据EFI文件的文件结构，将最终P7签名添加至原始EFI文件中的签名信息区域，以得到目标EFI文件。

进一步的，其中，第一签名证书私钥为UEFI签名证书私钥；第二签名证书私钥为TSA签名证书私钥。

进一步的，上述装置还用于：

若检测到目标用户在签名服务平台的注册事件，则控制签名服务平台与签名服务器交互，确定证书请求文件；

根据证书请求文件，与公钥基础设施PKI交互，获取PKI签发的签名证书、加密证书以及签名证书私钥，并发送至签名服务器，以确定证书标识；

将证书标识和目标用户的账号信息进行关联。

进一步的，上述装置还用于：

控制目标用户所在的计算机主板根据目标EFI文件，确定各硬件驱动的签名，并判断签名是否符合认证；

若是，则将控制权转递至计算机的操作系统，以指示电脑启动，实现目标用户基本输入输出系统BIOS下的安全启动。

实施例四

图4是本发明实施例四提供的电子设备的结构示意图。图4示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图4所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(ROM)12、随机访问存储器(RAM)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序，来执行各种适当的动作和处理。在RAM 13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。

电子设备10中的多个部件连接至I/O接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如数字签名方法。

在一些实施例中，数字签名方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时，可以执行上文描述的数字签名方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行数字签名方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims

1.一种数字签名方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，响应于目标用户发出的EFI签名申请，确定原始EFI文件，包括：

3.根据权利要求1所述的方法，其特征在于，控制签名服务器根据第一签名证书私钥对原始EFI文件进行数字签名，以确定P7签名，包括：

4.根据权利要求1所述的方法，其特征在于，根据时间戳P7、原始EFI文件以及P7签名，确定目标EFI文件，包括：

将时间戳P7部署到P7签名中，以得到最终P7签名；

5.根据权利要求1所述的方法，其特征在于，其中，第一签名证书私钥为UEFI签名证书私钥；第二签名证书私钥为TSA签名证书私钥。

6.根据权利要求1所述的方法，其特征在于，响应于目标用户发出的EFI签名申请，确定原始EFI文件之前，还包括：

将证书标识和目标用户的账号信息进行关联。

7.根据权利要求1所述的方法，其特征在于，根据目标EFI文件对EFI签名申请进行响应之后，还包括：

8.一种数字签名装置，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一项所述的数字签名方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的数字签名方法。