一种应用在线签名方法及系统技术方案

本发明专利技术公开了一种应用在线签名方法及系统，包括步骤：管理端生成并发送应用签名请求至签名端，应用签名请求包括待签名应用文件、身份验证信息、根证书ID以及数字证书；签名端接收应用签名请求，根据身份验证信息、根证书ID以及数字证书判断应用签名请求的合法性，若合法，则对待签名应用文件进行在线签名；本发明专利技术通过在线应用签名替换原有线下的UKEY应用签名，不仅保证了了终端的应用安全，又能实现终端应用管理的信息化，有效减少线下人为因素所导致的易丢失、被利用的风险，也避免了线下签名所带来的人工成本、管理成本以及操作脱节的问题。

An Online Signature Method and System

The invention discloses an application online signature method and system, including steps: the management side generates and sends application signature requests to the signature side, application signature requests include application files to be signed, authentication information, root certificate ID and digital certificate; the signature side receives application signature requests, and judges application signature requests according to authentication information, root certificate ID and digital certificate. Legitimacy, if it is legal, the signature application file is signed online; By replacing the original UKEY application signature with the online application signature, the invention not only ensures the application security of the terminal, but also realizes the informationization of the terminal application management, effectively reduces the risk of loss and utilization caused by the off-line human factors, and avoids the people brought by the off-line signature. Work cost, management cost and operation disconnection.

【技术实现步骤摘要】
一种应用在线签名方法及系统
本专利技术涉及应用管理领域，特别涉及一种应用在线签名方法及系统。
技术介绍
随着互联网技术的发展，智能终端在各个行业的运用也迅速崛起。尤其在收单行业，由于智能POS机具有支付、行业应用、社交等多种功能，故而对智能POS机的安全性管控提出了越来越高的要求。如何保证各个行业的应用被安全可靠的安装到智能POS机上是重中之重。现有技术中，管理平台均是使用线下UKEY对应用进行签名，在终端进行验签来保证应用的可靠性。这种方式将带来以下缺点：1、应用签名使用的证书管理复杂，需要大量的人工管理成本。2、密钥需要借助UKEY进行存储，这样就带来大量的UKEY成本、UKEY管理的繁重工作，UKEY的人工管理，同样存在易丢失、被利用的风险。3、应用签名依赖于UKEY就意味着应用开发者无法在线上完成应用的上架及发布，而需要先进行线下UKEY签名后，再进行线上操作，导致操作脱节。
技术实现思路
本专利技术所要解决的技术问题是：提供一种应用在线签名方法及系统，实现了在线签名，既验证了应用的可靠性，也减少了线下人为因素带来的风险。为了解决上述技术问题，本专利技术采用的技术方案为：一种应用在线签名方法，包括步骤：S1、管理端生成并发送应用签名请求至签名端，所述应用签名请求包括待签名应用文件、身份验证信息、根证书ID以及数字证书；S2、签名端接收所述应用签名请求，根据所述身份验证信息、根证书ID以及数字证书判断所述应用签名请求的合法性，若合法，则对所述待签名应用文件进行在线签名。为了解决上述技术问题，本专利技术采用的另一种技术方案为：一种应用在线签名系统，包括管理端和签名端，所述管理端包括第一存储器、第一处理器及存储在第一存储器上并可在第一处理器上运行的第一计算机程序，所述签名端包括第二存储器、第二处理器及存储在第二存储器上并可在第二处理器上运行的第二计算机程序，所述第一处理器执行所述第一计算机程序时实现以下步骤：S1、生成并发送应用签名请求至签名端，所述应用签名请求包括待签名应用文件、身份验证信息、根证书ID以及数字证书；所述第二处理器执行所述第二计算机程序时实现以下步骤：S2、接收所述应用签名请求，根据所述身份验证信息、根证书ID以及数字证书判断所述应用签名请求的合法性，若合法，则对所述待签名应用文件进行在线签名。本专利技术的有益效果在于：一种应用在线签名方法及系统，由管理应用的管理端生成并发送应用签名请求至签名端，签名端根据应用签名请求内的身份验证信息、根证书ID以及数字证书判断应用签名请求的合法性，在请求合法的情况下，对待签名应用文件进行在线签名，从而实现了对应用的在线签名，不仅保证了了终端的应用安全，又能实现终端应用管理的信息化，有效减少线下人为因素所导致的易丢失、被利用的风险，也避免了线下签名所带来的人工成本、管理成本以及操作脱节的问题。附图说明图1为本专利技术实施例的一种应用在线签名方法的流程示意图；图2为本专利技术实施例的对应用进行审核时的流程示意图；图3为本专利技术实施例的对应用进行签名时的流程示意图；图4为本专利技术实施例的一种应用在线签名系统的结构示意图。标号说明：1、一种应用在线签名系统；2、管理端；3、第一处理器；4、第一存储器；5、签名端；6、第二处理器；7、第二存储器；8、终端；9、第三处理器；10、第三存储器。具体实施方式为详细说明本专利技术的
技术实现思路
、所实现目的及效果，以下结合实施方式并配合附图予以说明。本专利技术最关键的构思在于：管理端生成并发送应用签名请求至签名端，签名端在验证应用签名请求的合法性之后，对待签名应用文件进行在线签名。在此之前，为了便于理解本专利技术的技术方案，对于本专利技术中涉及的英文缩写、设备等进行说明如下：(1)、POS：在本专利技术中为PointOfSale的缩写，其中文解释为销售终端，它是一种多功能终端，把它安装在信用卡的特约商户和受理网点中与计算机联成网络，就能实现电子资金自动转账的。(2)、UKEY：它是一种通过USB直接与计算机相连、具有密码验证功能且可靠高速的小型存储设备。(3)、ID：在本专利技术中为IDentity的缩写，其中文解释为身份标识号码，它是一个序列号，也叫帐号，是一个编码，而且是唯一的。(4)、MD5：MD是Message-Digest的缩写，5是第五代，MD5消息摘要算法是一种被广泛使用的密码散列函数。(5)、HASH：音译哈希，意译为散列，就是把任意长度的输入通过散列算法变换成固定长度的输出，该输出就是散列值，也就是本文中的HASH值。(6)、SM2：SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法。(7)、SM4：又有称为SM4.0以及SMS4.0等等，它是国家密码管理局于2012年3月21日发布的一种分组密码标准。(8)JWT：在本专利技术中为JsonWebToken的缩写，它定义了一种用于简洁，自包含的用于通信双方之间以JSON对象的形式安全传递信息的方法。请参照图1至图3，一种应用在线签名方法，包括步骤：S1、管理端生成并发送应用签名请求至签名端，所述应用签名请求包括待签名应用文件、身份验证信息、根证书ID以及数字证书；S2、签名端接收所述应用签名请求，根据所述身份验证信息、根证书ID以及数字证书判断所述应用签名请求的合法性，若合法，则对所述待签名应用文件进行在线签名。从上述描述可知，本专利技术的有益效果在于：由管理应用的管理端生成并发送应用签名请求至签名端，签名端根据应用签名请求内的身份验证信息、根证书ID以及数字证书判断应用签名请求的合法性，在请求合法的情况下，对待签名应用文件进行在线签名，从而实现了对应用的在线签名，不仅保证了了终端的应用安全，又能实现终端应用管理的信息化，有效减少线下人为因素所导致的易丢失、被利用的风险，也避免了线下签名所带来的人工成本、管理成本以及操作脱节的问题。进一步地，所述步骤S1之前还包括：S01、管理端收到包括初始应用文件的上传请求，按照所述上传请求的操作类型，得到与所述操作类型相匹配的审核步骤、审核账号以及审核权限；S02、管理端根据所述审核步骤将所述上传请求发送至第一步骤的第一审核账号，若收到所述第一审核账号返回的审核通过信息，则进行下一步骤的审核，直至完成所述审核步骤中的所有步骤。从上述描述可知，引入了应用审核流程，可对开发者上传的应用进行多步审核，且每步审核可设置多人同时并行审核，以保证应用的合法性。进一步地，所述步骤S01中的操作类型包括新应用提交、新版本提交、应用修改以及版本修改；所述步骤S01中的审核步骤包括至少两个步骤且每个步骤的审核账号为至少一个；所述步骤S01中的审核权限包括下载查看应用权限、修改应用标签权限、修改应用分类权限、删除应用参数权限以及允许签名权限。从上述描述可知，引入审核人权限控制，通过控制审核人的下载查看应用权限、修改应用标签权限、修改应用分类权限、下载协议合同、设置付费模式、付费比例等权限的精细化控制，通过审核权限的精细化控制，尽可能少的泄露应用的相关属性、业务规则等，从而保证应用的安全性及业务的保密性。进一步地，所述步骤S02之后还包括步骤：S03、管理端若收到最终审核账号返回的审核通过信息，则判断所述最终审核账号是否具有允许签名权限，若有，则审核通过的所述初始应用文件本文档来自技高网...

【技术保护点】
1.一种应用在线签名方法，其特征在于，包括步骤：S1、管理端生成并发送应用签名请求至签名端，所述应用签名请求包括待签名应用文件、身份验证信息、根证书ID以及数字证书；S2、签名端接收所述应用签名请求，根据所述身份验证信息、根证书ID以及数字证书判断所述应用签名请求的合法性，若合法，则对所述待签名应用文件进行在线签名。

【技术特征摘要】
1.一种应用在线签名方法，其特征在于，包括步骤：S1、管理端生成并发送应用签名请求至签名端，所述应用签名请求包括待签名应用文件、身份验证信息、根证书ID以及数字证书；S2、签名端接收所述应用签名请求，根据所述身份验证信息、根证书ID以及数字证书判断所述应用签名请求的合法性，若合法，则对所述待签名应用文件进行在线签名。2.根据权利要求1所述的一种应用在线签名方法，其特征在于，所述步骤S1之前还包括：S01、管理端收到包括初始应用文件的上传请求，按照所述上传请求的操作类型，得到与所述操作类型相匹配的审核步骤、审核账号以及审核权限；S02、管理端根据所述审核步骤将所述上传请求发送至第一步骤的第一审核账号，若收到所述第一审核账号返回的审核通过信息，则进行下一步骤的审核，直至完成所述审核步骤中的所有步骤。3.根据权利要求2所述的一种应用在线签名方法，其特征在于，所述步骤S01中的操作类型包括新应用提交、新版本提交、应用修改以及版本修改；所述步骤S01中的审核步骤包括至少两个步骤且每个步骤的审核账号为至少一个；所述步骤S01中的审核权限包括下载查看应用权限、修改应用标签权限、修改应用分类权限、删除应用参数权限以及允许签名权限。4.根据权利要求3所述的一种应用在线签名方法，其特征在于，所述步骤S02之后还包括步骤：S03、管理端若收到最终审核账号返回的审核通过信息，则判断所述最终审核账号是否具有允许签名权限，若有，则审核通过的所述初始应用文件即为待签名应用文件，之后执行步骤S1，所述最终审核账号为所述审核步骤中最终步骤所对应的审核账号。5.根据权利要求1所述的一种应用在线签名方法，其特征在于，所述步骤S1中管理端生成并发送应用签名请求至签名端之前还包括：S10、管理端通过HTTPS协议以及会话密钥建立起与所述签名端的安全通信链路。6.根据权利要求5所述的一种应用在线签名方法，其特征在于，所述步骤S10具体为：S101、管理端生成会话秘钥、第一签名私钥以及第一加密公钥，使用会话秘钥对所述第一加密公钥进行加密以得到第一已加密公钥，使用会话秘钥对由用户名以及密码组成的MD5值进行加密以得到已加密MD5值；S102、管理端获取预先设置的平台公钥，使用所述平台公钥对所述会话秘钥进行加密以得到已加密会话秘钥，将第一已加密公钥、已加密会话秘钥以及已加密MD5值发送至签名端；S103、签名端通过加密机上预先设置的平台私钥解密所述已加密会话秘钥以得到会话秘钥，使用所述会话秘钥解密所述第一已加密公钥以得到第一加密公钥，使用所述会话秘钥解密已加密MD5值以得到MD5值；S104、签名端获取所述MD5值内的用户名及密码，判断所述用户名及所述密码是否合法，若合法，则产生第二签名私钥以及第二加密公钥，使用第一加密公钥加密第二加密公钥以得到第二已加密公钥，使用平台私钥对所述第二已加密公钥进行签名后返回至管理端；S105、管理端使用平台公钥验证所述第二已加密公钥的合法性，使用第一签名私钥对第二已加密公钥进行解密以得到第二加密公钥，若验证所述第二已加密公钥为合法的，则建立起使用会话密钥进行数据交换的安全通信链路。7.根据权利要求6所述的一种应用在线签名方法，其特征在于，所述第一签名私钥与第一加密公钥为采用国密认证算法的非对称公私钥对；所述第二签名私钥以及第二加密公钥为采用国密认证算法的非对称公私钥对；所述会话秘钥为对称密钥；使用所述会话秘钥进行加密或解密的算法为SM4算法；使用所述平台公钥进行加密或解密的算法、使用所述平台私钥进行加密或解密的算法均为SM2算法。8.根据权利要求1所述的一种应用在线签名方法，其特征在于，所述步骤S1具体为：S11、管理端判断是否为首次应用签名，若是，则执行步骤S12，否则执行步骤S13；S12、管理端生成并发送证书请求至签名端，接收所述签名端返回的根证书ID以及数字证书；S13、管理端生成并发送应用签名请求至签名端，所述应用签名请求包括待签名应用文件、身份验证信息、根证书ID以及数字证书。9.根据权利要求8所述的一种应用在线签名方法，其特征在于，所述步骤S12具体为：S121、管理端生成并发送根证书请求至签名端；S122、签名端接收并保存所述根证书请求，通过加密机生成根证书，并将与所述根证书对应的根私钥保存至加密机，返回所述根证书ID至管理端；S123、管理端接收所述根证书ID，生成并发送数字证书请求至签名端；S124、签名端接收所述数字证书请求，通过加密机生成数字证书，并将与所述数字证书对应的数字私钥保存至加密机，返回所述数字证书至管理端；S125、管理端接收并保存所述数字证书。10.根据权利要求9所述的一种应用在线签名方法，其特征在于，所述步骤S2具体为：S21、签名端接收所述应用签名请求，根据所述身份验证信息判断在所述管理端上的登录账号是否具有应用签名权限，若有，则执行步骤S22，否则执行步骤S25；S22、签名端根据所述根证书ID提取所述根证书，使用所述根证书验证所述数字证书的合法性，若验证通过，则执行步骤S23，否则执行步骤S25；S23、签名端根据所述数字证书验证所述应用签名请求的来源是否合法，若合法，则对所述待签名应用文件进行在线签名，生成已签名应用文件，否则执行步骤S25；S24、签名端返回已签名应用文件至管理端；S25、签名端返回签名失败信息至管理端。11.根据权利要求1所述的一种应用在线签名方法，其特征在于，所述步骤S2中对所述待签名应用文件进行在线签名的具体步骤为：签名端抽取所述待签名应用文件上第一指定位置的二进制流，对所述二进制流进行HASH计算得到HASH值，使用SM2算法对所述HASH值进行加密，得到已加密HASH值，将已加密HASH值散列分布至所述待签名应用文件上的第二指定位置，生成并返回已签名应用文件至管理端。12.根据权利要求11所述的一种应用在线签名方法，其特征在于，所述步骤S2之后还包括步骤：S31、管理端获取所述已签名应用文件，发布已签名应用文件至应用市场；S32、终端获取所述已签名应用文件，根据第二指定位置抽取所述已签名应用文件上的已加密HASH值，得到所述待签名应用文件，使用SM2算法对所述已加密HASH值进行解密，得到HASH值，判断所述第一指定位置的二进制流与所述HASH值是否一致，若是一致，则安装所述待签名应用文件。13.根据权利要求1所述的一种应用在线签名方法，其特征在于，所述步骤S1中身份验证信息为JWT，所述JWT包括用户名。14.根据权利要求13所述的一种应用在线签名方法，其特征在于，生成所述步骤S1中JWT的步骤为：管理端获取用户名以及密码，将所述用户名以及密码发送至签名端；签名端接收所述用户名以及密码，验证所述用户名以及密码是否合法，若是，则生成包括用户名的JWT。15.一种应用在线签名系统，包括管理端和签名端，所述管理端包括第一存储器、第一处理器及存储在第一存储器上并可在第一处理器上运行的第一计算机程序，所述签名端包括第二存储器、第二处理器及存储在第二存储器上并可在第二处理器上运行的第二计算机程序，其特征在于，所述第一处理器执行所述第一计算机程序时实现以下步骤：S1、生成并发送应用签名请求至签名端，所述应用签名请求包括待签名应用文件、身份验证信息、根证书ID以及数字证书；所述第...

【专利技术属性】
技术研发人员：黄建银，高明鑫，苏金田，陈瑞兵，
申请(专利权)人：福建联迪商用设备有限公司，
类型：发明
国别省市：福建,35