[发明专利]一种基于多证书多用途的数字签名方法和系统

说明书

技术领域

本发明涉及信息安全领域，特别是涉及一种基于多证书多用途的数字签名方法和系统。

背景技术

随着网络银行的快速发展，智能密钥设备作为身份认证的有效设备，也已被推广应用。智能密钥设备通常使用自身保存的数字证书进行身份认证，数字证书可按照类型分为通用证书、专用证书和混用证书。其中，通用证书仅能用于非交互式签名，支持RSA算法和SM2算法；专用证书仅能用于交互式签名，支持RSA算法和SM2算法；混用证书可用于交互式签名和非交互式签名，支持RSA算法。交互式签名是指在智能密钥设备上对部分待签数据进行显示、并需要由用户进行人工复核的签名方式，而非交互式签名不会对在智能密钥设备上对待签数据进行显示，也不需要由用户进行人工复核。

发明人在实现本发明的过程中，发现现有技术至少存在以下缺陷：

对于仅保存有专用证书的智能密钥设备而言，由于专用证书无法进行非交互式签名，该智能密钥设备将无法进行双向SSL(Secure Socket Layer，安全套接层)认证。

发明内容

本发明提供了一种基于多证书多用途的数字签名方法和系统，以解决现有技术中仅保存有专用证书的智能密钥设备无法进行双向SSL认证的缺陷。

本发明提供了一种基于多证书多用途的数字签名方法，应用于包括上层应用、安全控件、中间件和智能密钥设备的系统中，所述智能密钥设备中存储有通用证书、专用证书和混用证书中的至少两种数字证书，所述中间件将所述智能密钥设备中的通用证书或混用证书注册到浏览器的证书存储区中，并使用注册的证书进行非交互式签名，所述方法还包括以下步骤：

S1、所述安全控件接收来自所述上层应用的证书标识、哈希名和报文数据；

S2、所述安全控件判断所述证书标识是否有效，如果是，则执行步骤S3；否则，向所述上层应用返回异常信息，结束流程；

S3、所述安全控件判断与所述证书标识对应的证书是否为专用证书或混用证书，如果是，则获取与所述证书标识对应的密钥标识，并执行步骤S4；否则，向所述上层应用返回异常信息；

S4、所述安全控件向所述中间件发送所述报文数据、所述哈希名和所述密钥标识；

S5、所述中间件向所述智能密钥设备发送所述报文数据、所述密钥标识以及与所述哈希名对应的哈希标识；

S6、所述智能密钥设备对所述报文数据中的显示数据进行显示，并在检测到预设按键被触发后，使用与所述密钥标识对应的私钥，按照与所述哈希标识对应的签名机制，对所述报文数据进行签名，得到第一签名结果，将所述第一签名结果发送给所述中间件；

S7、所述中间件将所述第一签名结果发送给所述安全控件；

S8、所述安全控件根据所述第一签名结果、所述报文数据以及与所述证书标识对应的证书生成签名数据，将所述签名数据发送给所述上层应用。

本发明还提供了一种基于多证书多用途的数字签名系统，包括上层应用、安全控件、中间件和智能密钥设备；

所述安全控件，包括：

第一接收模块，用于接收来自所述上层应用的证书标识、哈希名和报文数据；接收来自所述中间件的第一签名结果；

第一判断模块，用于判断所述第一接收模块接收到的所述证书标识是否有效；

第二判断模块，用于在所述第一判断模块判断出所述证书标识有效时，判断与所述证书标识对应的证书是否为专用证书或混用证书；

第一获取模块，用于在所述第二判断模块判断出与所述证书标识对应的证书是专用证书或混用证书时，获取与所述证书标识对应的密钥标识；

第一生成模块，用于根据所述报文数据、与所述证书标识对应的证书和所述第一接收模块接收到的所述第一签名结果生成签名数据；

第一发送模块，用于向所述中间件发送所述报文数据、所述哈希名和所述第一获取模块获取到的所述密钥标识，将所述第一生成模块生成的所述签名数据发送给所述上层应用；

在所述第一判断模块判断出所述证书标识无效时，向所述上层应用返回异常信息；在所述第二判断模块判断出与所述证书标识对应的证书不是专用证书或混用证书时，向所述上层应用返回异常信息；

所述中间件，包括：

注册模块，用于将所述智能密钥设备中的通用证书或混用证书注册到浏览器的证书存储区中；

第一签名模块，用于使用所述注册模块注册的证书进行非交互式签名；

第二接收模块，用于接收来自所述安全控件的所述报文数据、所述哈希名和所述密钥标识；接收来自所述智能密钥设备的第一签名结果；