[发明专利]数字签名生成方法和装置

说明书

本发明涉及一种数字签名生成方法和装置，其方法包括：服务器接收目标客户端发送的第一签名请求，所述第一签名请求包括所述目标客户端根据私钥公开份额执行签名操作得到的第一部分签名结果，服务器根据所述第一部分签名结果和私钥私密份额确定最终签名结果。或者，服务器接收目标客户端发送的第二签名请求后，根据私钥私密份额执行签名操作得到第二部分签名结果；将所述第二部分签名结果返回给所述目标客户端，所述目标客户端根据私钥公开份额和所述第二部分签名结果确定最终签名结果。根据本发明的方案，一方面有效发挥云计算的便利性，随时随地签署，可以降低系统部署和实施成本。另一方面确保用户私钥的安全性，同时还支持存储海量用户密钥。

技术领域

本发明涉及密码学与信息安全技术领域，特别涉及一种数字签名生成方法和装置。

背景技术

数字证书认证机构(CA)可以为企业签发用于电子发票业务的电子发票专用证书。企业通过互联网连接税务机关建设的电子发票业务系统，为消费者开具增值税电子发票。由于一个企业可能有多个电子发票业务员，要求他们在获得授权的条件下，都可以同时独立地完成开具电子发票的业务。任何一位发票业务员所开具的电子发票，均应由企业的电子发票专用证书来签署数字签名。

为了便于企业方便地完成开具电子发票的业务，要求在云环境中集中管理所有企业的电子发票专用证书及对应的私钥，企业的管理员可以为多个电子发票业务员赋予开具电子发票的权限。与此同时，云签名平台需要支持存储海量密钥，并且满足电子发票业务的性能要求，支持大量企业用户并发处理。

传统的数字签名方案包括：

一)移动证书签名方案

基本思路：为企业的特定员工签发移动证书，在系统中使用机构证书对个人的移动证书进行授权，获得授权的移动证书可以在电子发票系统中生成电子发票的数字签名。

存在问题：出具发票的主体是企业，而数字签名却由个人订户证书来生成，不具备法律效力。

二)代理签名方案

基本思路：在一个代理签名方案中，一个被指定的代理签名者可以代表原始签名者生成有效的签名。企业管理人员使用机构数字证书来签署委托，授权特定人员的移动证书可以执行代理签名的权限，然后由移动证书来生成电子发票的数字签名。

存在问题：尽管此方案可以解决数字签名法律效力的问题，但是代理签名方案的签名结果与标准数字签名并不相同。代理签名方案所产生的PDF交换文档格式的电子发票，无法被类似Adobe Reader的PDF阅读器正确识读并验证数字签名的有效性，而必须由定制的PDF客户端来进行验证，因此用户体验不佳。

三)电子发票专用证书多副本方案

基本思路：CA为企业签发多个电子发票专用证书的副本，每个持有电子发票专用证书副本的个人均可以代表企业生成电子发票的数字签名。

存在问题：

(1)按照常规的数字证书签发流程，每一张电子发票专用证书的副本均有不同的签名密钥对，对应不同的密钥标识符。不同的用户可能收到由不同电子发票专用证书签署的电子发票，不利于鉴别电子发票的真伪。

(2)电子发票专用证书副本由企业中的多位员工保管，增加了电子发票专用证书的管理复杂度，增加了电子发票专用证书遗失的风险，相应地吊销证书的可能性也会提高，给用户及CA机构带来成本。

一种改进的数字签名方案是云签名服务平台方案，这种方案的基本思路：企业的电子发票专用证书及其私钥均托管在GDCA(云计算服务提供商)建设的云签名服务平台，在云环境中集中管理及使用密钥。在企业授权的个人要生成电子发票数字签名时，通过PC或移动设备的目标客户端软件连接云签名服务平台，调用云签名服务平台的API来完成电子发票签名。这种云签名服务平台方案具有诸多优点，例如，保证了数字签名的法律效力，便于验证数字签名的有效性，降低了电子发票证书管理的复杂度等等。