基于移动终端的数字签名方法、装置以及移动终端制造方法及图纸

本发明专利技术公开了一种基于移动终端的数字签名方法、装置以及移动终端，其中的方法包括：接收到业务应用或外部设备通过数字签名服务应用发送的待签名业务数据；根据移动终端设备环境确定与待签名业务数据相对应的数字签名证书的部署方式；根据部署方式获取数字签名证书接口，使用数字签名证书对待签名业务数据进行相应地签名处理。本发明专利技术的方法、装置以及移动终端，将数字签名证书应用与移动终端环境相结合，利用软硬件保护方法安全地存储数字签名证书，采用不同安全级别的数字签名部署方案，提供一站式、体验无差别、尽可能安全的移动智能终端数字签名产品，提升数字签名应用的安全性、便捷性、易部署性，节省用户购买额外硬件U盾的成本。

【技术实现步骤摘要】
基于移动终端的数字签名方法、装置以及移动终端
本专利技术涉及信息安全
，尤其涉及一种基于移动终端的数字签名方法、装置以及移动终端。
技术介绍
随着互联设备的移动和消费市场日益成熟、不断壮大，安全性成为越来越引起人们关注的问题。2015年到2016年，网上银行的转帐比例从35％下降到19％，但从整体来看，2016年全年网银交易额将近2000万亿，其交易规模远超过手机银行，大额转账、复杂交易以及特殊授权业务等依然着力于个人网银。因此，鉴于手机银行的不安全性与网银U盾的携带不方便，握奇在2014年提出了PC端U盾向手机盾迁移。目前，在手机上实现盾功能主要采用蓝牙Key、音频Key等方式。基于硬件实现的方式，需要用户购买相关的硬件，需要手机银行修改相关接口和该硬件进行通信，造成一定的开发难度并增加了用户成本。
技术实现思路
有鉴于此，本专利技术要解决的一个技术问题是提供一种基于移动终端的数字签名方法、装置以及移动终端。根据本专利技术的一个方面，提供一种基于移动终端的数字签名方法，包括：接收到业务应用或外部设备通过数字签名服务应用发送的待签名业务数据其中，数字签名服务应用用于提供统一的数字证书签名接口；根据移动终端设备环境确定与所述待签名业务数据相对应的数字签名证书的部署方式；其中，所述数字签名证书的部署方式包括：数字签名证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中、数字签名证书存储在TEE系统的可信应用TA中、数字签名证书存储在eSE的Applet中；根据所述部署方式获取所述数字签名证书，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理；所述业务应用或外部设备通过所述数字签名服务应用接收签名处理结果。可选地，所述根据所述部署方式获取数字签名证书接口、使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：将所述数字证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中；在进行签名服务时，基于分布式运算方式对所述待签名业务数据分别进行签名运算，将签名结果通过所述数字签名服务应用返回给所述业务应用或外部设备。可选地，所述数字签名服务应用在其内部存储所述数字证书的第一部分，所述证书管理系统中存储所述数字证书的第二部分；所述数字签名证书的第一部分包括：私钥的第一部分；所述数字签名证书的第二部分包括：私钥的第二部分。可选地，所述根据所述部署方式获取数字签名证书接口、使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：如果所述数字签名证书存储在数字签名TA中时，所述业务应用或外部设备将待签名业务数据通过数字签名服务应用发送给所述数字签名TA；所述数字签名TA获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，业务应用或外部设备通过数字签名服务应用接收签名结果。可选地，所述数字签名服务应用对于所述数字签名证书存储在TEE系统的可信应用TA中的部署方式提供相应的功能；证书管理系统通过所述数字签名服务应用对所述数字签名TA中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书；TAM系统通过所述数字签名服务应用对所述数字签名TA进行管理，包括：安装、更新、删除数字签名TA。可选地，所述根据所述部署方式获取数字签名证书接口，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：如果所述数字签名证书存储在所述Applet中时，所述数字签名服务应用对于所述数字签名证书存储在Applet中的部署方式提供相应的功能；所述业务应用或外部设备将所述待签名业务数据通过数字签名服务应用发送给所述数字签名TA；所述数字签名TA将所述待签名业务数据发送给所述Applet；所述Applet获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，并将签名结果返回所述数字签名TA。可选地，如果所述数字签名证书存储在所述Applet中，REE侧的业务应用和所述Applet通信进行数字签名处理；其中，所述Applet获取在其内部存储的所述数字签名证书并基于所述数字签名证书对REE侧的业务应用发送的待签名业务数据进行签名处理，并将签名结果返回给REE侧的业务应用。可选地，证书管理系统通过所述数字签名服务应用和所述数字签名TA对所述Applet中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书；TSM系统通过所述数字签名服务应用和所述数字签名TA对所述Applet进行管理，包括：进行个人化，安装、更新、卸载Applet。根据本专利技术的另一方面，提供一种基于移动终端的数字签名装置，包括：数据接收模块，用于接收业务应用或外部设备通过数字签名服务应用发送的待签名业务数据；其中，数字签名服务应用用于提供统一的数字证书签名接口；部署方式选择模块，根据移动终端设备环境确定与所述待签名业务数据相对应的数字签名证书的部署方式；其中，所述数字签名证书的部署方式包括：数字签名证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中、数字签名证书存储在TEE系统的可信应用TA中、数字签名证书存储在eSE的Applet中；数字签名服务应用，用于根据所述部署方式获取所述数字签名证书，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理；其中，所述业务应用或外部设备通过所述数字签名服务应用接收签名处理结果。可选地，将所述数字证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中；在进行签名服务时，基于分布式运算方式对所述待签名业务数据分别进行签名运算；将签名结果通过所述数字签名服务应用返回给所述业务应用或外部设备。可选地，所述数字签名服务应用在其内部存储所述数字证书的第一部分，所述证书管理系统中存储所述数字证书的第二部分；所述数字签名证书的第一部分包括：私钥的第一部分；所述数字签名证书的第二部分包括：私钥的第二部分。可选地，还包括：数字签名TA；所述数字签名服务应用，用于如果所述数字签名证书存储在所述数字签名TA中时，将所述待签名业务数据发送给所述数字签名TA；所述数字签名TA，用于获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，其中，所述业务应用或外部设备将所述待签名业务数据发送给所述数字签名服务应用，并通过所述数字签名服务应用接收签名结果。可选地，所述数字签名服务应用对于所述数字签名证书存储在TEE系统的可信应用TA中的部署方式提供相应的功能，通过所述数字签名服务应用对所述数字签名TA中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书TAM系统通过所述数字签名服务应用对所述数字签名TA进行管理，包括：安装、更新、删除数字签名TA。可选地，还包括：运行在eSE中的Applet；所述数字签名服务应用，用于如果所述数字签名证书存储在所述Applet中时，所述数字签名服务应用对于所述数字签名证书存储在Applet中的部署方式提供相应的功能；所述业务应用或外部设备将所述待签名业务数据通过数字签名服务应用发送给所述数字签名TA；所述数字签名TA，用于将所述待签名业务数据发送给所述Applet；所述Applet，用于获取在其内部存储的所述数字签名证书并基于所述数字签名证书本文档来自技高网...

【技术保护点】
1.一种基于移动终端的数字签名方法，其特征在于，包括：接收到业务应用或外部设备通过数字签名服务应用发送的待签名业务数据，其中，数字签名服务应用用于提供统一的数字证书签名接口；根据移动终端设备环境确定与所述待签名业务数据相对应的数字签名证书的部署方式；其中，所述数字签名证书的部署方式包括：数字签名证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中、数字签名证书存储在TEE系统的可信应用TA中、数字签名证书存储在eSE的Applet中；根据所述部署方式获取所述数字签名证书，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理；所述业务应用或外部设备通过所述数字签名服务应用接收签名处理结果。

【技术特征摘要】
1.一种基于移动终端的数字签名方法，其特征在于，包括：接收到业务应用或外部设备通过数字签名服务应用发送的待签名业务数据，其中，数字签名服务应用用于提供统一的数字证书签名接口；根据移动终端设备环境确定与所述待签名业务数据相对应的数字签名证书的部署方式；其中，所述数字签名证书的部署方式包括：数字签名证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中、数字签名证书存储在TEE系统的可信应用TA中、数字签名证书存储在eSE的Applet中；根据所述部署方式获取所述数字签名证书，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理；所述业务应用或外部设备通过所述数字签名服务应用接收签名处理结果。2.如权利要求1所述的方法，其特征在于，所述根据所述部署方式获取数字签名证书接口，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：将所述数字证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中；在进行签名服务时，基于分布式运算方式对所述待签名业务数据分别进行签名运算，将签名结果通过所述数字签名服务应用返回给所述业务应用或外部设备。3.如权利要求2所述方法，其特征在于，所述数字签名服务应用在其内部存储所述数字证书的第一部分，所述证书管理系统中存储所述数字证书的第二部分；所述数字签名证书的第一部分包括：私钥的第一部分；所述数字签名证书的第二部分包括：私钥的第二部分。4.如权利要求1所述方法，其特征在于，所述根据所述部署方式获取数字签名证书接口，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：如果所述数字签名证书存储在数字签名TA中时，所述业务应用或外部设备将待签名业务数据通过数字签名服务应用发送给所述数字签名TA；所述数字签名TA获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，业务应用或外部设备通过数字签名服务应用接收签名结果。5.如权利要求4所述的方法，其特征在于，还包括：所述数字签名服务应用对于所述数字签名证书存储在TEE系统的可信应用TA中的部署方式提供相应的功能；证书管理系统通过所述数字签名服务应用对所述数字签名TA中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书；TAM系统通过所述数字签名服务应用对所述数字签名TA进行管理，包括：安装、更新、删除数字签名TA。6.如权利要求1所述方法，其特征在于，所述根据所述部署方式获取数字签名证书接口，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：如果所述数字签名证书存储在所述Applet中时，所述数字签名服务应用对于所述数字签名证书存储在Applet中的部署方式提供相应的功能；所述业务应用或外部设备将所述待签名业务数据通过数字签名服务应用发送给所述数字签名TA；所述数字签名TA将所述待签名业务数据发送给所述Applet；所述Applet获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，并将签名结果返回所述数字签名TA。7.如权利要求1所述方法，其特征在于，还包括：如果所述数字签名证书存储在所述Applet中，REE侧的业务应用和所述Applet通信进行数字签名处理；其中，所述Applet获取在其内部存储的所述数字签名证书并基于所述数字签名证书对REE侧的业务应用发送的待签名业务数据进行签名处理，并将签名结果返回给REE侧的业务应用。8.如权利要求6所述方法，其特征在于，还包括：证书管理系统通过所述数字签名服务应用和所述数字签名TA对所述Applet中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书；TSM系统通过所述数字签名服务应用和所述数字签名TA对所述Applet进行管理，包括：进行个人化，安装、更新、卸载Applet。9.一种基于移动终端的数字签名装置，其特征在于，包括：数据接收模块，用于接收业务应用或外部设备通过数字签名服务应用发...

【专利技术属性】
技术研发人员：秦立仓，李勃，
申请(专利权)人：北京握奇智能科技有限公司，北京握奇数据股份有限公司，
类型：发明
国别省市：北京,11