基于PKI的并行签名系统和方法技术方案

本申请公开了一种基于PKI的并行签名系统和方法，涉及，包括：根密钥管理模块，用于对可拓展签名模块的进行注册处理和注销处理，其中，所述根密钥管理模块在处理所述可拓展签名模块的注册时，利用根私钥对所述可拓展签名模块的公钥证书进行签名；可拓展签名模块，用于向所述根私钥模块请求注册以及请求注销，以及利用自身的私钥对数据进行签名，不同的可拓展签名模块具有不同的私钥和不同的公钥证书；签名请求网关，用于接收外部系统的签名请求，并根据签名请求选择一个可拓展签名模块对签名请求中的数据进行签名，将所述可拓展签名模块签名后的数据返回到外部系统。本申请可以保障根私钥的安全性。根私钥的安全性。根私钥的安全性。

【技术实现步骤摘要】
基于PKI的并行签名系统和方法


[0001]本申请涉及加密技术，特别是一种基于PKI的并行签名系统和方法。

技术介绍

[0002]数字货币是新一代货币，它与现有的流通币等价。发行机构会以发行货币的方式发行产生加密字符串，这些加密字符串便是代表有面额的真实货币。用户可以在钱包中真实存储和管理这些货币。同时发行机构会运营数字货币登记中心，记录货币在流转过程中的所有权转换关系。数字货币登记中心采用公钥相关联的字符串标记货币的所有权。用户在使用货币时，需要利用自己的私钥对交易进行签名，数字货币登记中心会根据货币的编号与对应的公钥对交易本身进行验证，在确定货币所有者的身份后，进行货币所有权的转换，将对应的货币所有权标记为新的公钥。本质上，数字货币的交易支付过程即是货币所有权的转移过程。
[0003]由于现有数字货币是基于公钥密码学签名实现具体功能的系统，系统中进行数字签名的性能会成为整个系统的重要性能瓶颈点。而现有的数字签名算法流程依赖于系统所管理的私钥，出于安全性考虑，私钥需要被妥善保管，甚至需要被放置于专有的密码学硬件中，因此如何对现有的签名模式进行平衡，实现安全性与性能的平衡。
[0004]通用的对私钥进行管理的方案是使用TEE或者SE芯片来完成。通用的TEE方案允许用户随意导入导出私钥，其实现原理是将固定的内存区域与CPU寄存器组进行保护，防止违规访问。这种方案可以一定程度上保证安全性，同时其运算资源也并不是那么宝贵，可以不仅仅运行密钥相关的代码。而SE中的计算资源则较为宝贵，往往导入SE中的私钥是不允许随意导出的，同时SE的计算资源也比较宝贵，性能不高，但在高安全性要求的场景下往往需要使用SE来进行，这种场景同时又可能会有高性能的场景需求，因此需要在这种情况下去平衡性能与安全性。
[0005]公钥基础设施是一种基于数字签名实现的数字证书体系，通过CA的签名认证来保证分发的公钥的安全性。这种只要保证根公钥的安全性即可保证整个公钥树下所有公钥的可信任性。本质上，数字证书是一种将公钥与认证信息进行绑定的一种数据结构，通过这种模式，数字证书可以形成链式的数据认证模式，保证用户公钥的安全性。
[0006]综上所述，现有密码学的每一个数字签名都需要私钥的参与，这导致了根私钥有泄露的风险。考虑到高安全性的需求，私钥放置于硬件中会受到安全保护硬件的性能限制，这种性能限制难以直接突破。由于私钥的敏感性，将私钥并行部署时势必会对私钥的隐秘性造成威胁，而单纯的密码加密服务会成为系统的性能瓶颈。

技术实现思路

[0007]有鉴于此，为了解决上述至少一个技术问题，本申请的目的在于：提供一种基于PKI的并行签名系统和方法，以在提升私钥安全性和系统效率。
[0008]第一方面，本申请实施例提供了：
[0009]一种基于PKI的并行签名系统，包括：
[0010]根密钥管理模块，用于对可拓展签名模块的进行注册处理和注销处理，其中，所述根密钥管理模块在处理所述可拓展签名模块的注册时，利用根私钥对所述可拓展签名模块的公钥证书进行签名；
[0011]可拓展签名模块，用于向所述根私钥模块请求注册以及请求注销，以及利用自身的私钥对数据进行签名，不同的可拓展签名模块具有不同的私钥和不同的公钥证书；
[0012]签名请求网关，用于接收外部系统的签名请求，并根据签名请求选择一个可拓展签名模块对签名请求中的数据进行签名，将所述可拓展签名模块签名后的数据返回到外部系统。
[0013]在部分实施例中，当所述根密钥管理模块对所述可拓展签名模块进行注册处理时，包括：
[0014]所述根密钥管理模块接收所述可拓展签名模块的私钥派生请求；
[0015]所述根密钥管理模块从所述私钥派生请求中获得所述可拓展签名模块的公钥证书和标志；
[0016]所述根密钥管理模块使用根私钥对所述可拓展签名模块的公钥证书进行签名；
[0017]所述根密钥管理模块将经过根私钥签名的公钥证书发送给所述可拓展签名模块；
[0018]所述根密钥管理模块将所述可拓展签名模块的公钥证书和标志记录在可拓展签名模块列表中。
[0019]在部分实施例中，当所述根密钥管理模块对所述可拓展签名模块进行注销处理时，包括：
[0020]所述根密钥管理模块接收所述可拓展签名模块的销毁请求；
[0021]所述根密钥管理模块从所述销毁请求中获取可拓展签名模块的公钥证书；
[0022]所述根密钥管理模块根据从销毁请求中获取的公钥证书和可拓展签名模块列表验证该可扩展签名模块的有效性；
[0023]当该发送销毁请求的可拓展签名模块有效时，所述根密钥管理模块根据所述销毁请求生成吊销证书；
[0024]所述根密钥管理模块利用根私钥对所述吊销证书进行签名并返回到发送销毁请求的可拓展签名模块；
[0025]所述根密钥管理模块将发送销毁请求的可拓展签名模块在可拓展签名模块列表移除或者标记为无效。
[0026]在部分实施例中，所述可拓展签名模块向所述根私钥模块请求注册时，包括：
[0027]所述可拓展签名模块生成一个唯一的标志、随机生成一个私钥和所述私钥对应的公钥证书；
[0028]所述可拓展签名模块向所述根密钥管理模块发送私钥派生请求，所述注册请求中携带公钥证书和所述标志；
[0029]所述可拓展签名模块将所述根密钥管理模块利用根私钥签名后的公钥证书保存；
[0030]所述可拓展签名模块将经过根私钥签名后的公钥证书发送给签名请求网关进行注册；
[0031]所述可拓展签名模块监听签名请求网关的签名请求，并利用自身的私钥进行签名
处理。
[0032]在部分实施例中，所述可拓展签名模块向所述根私钥模块请求注销时，包括：
[0033]所述可拓展签名模块根据自身的标志和公钥证书生成销毁请求；
[0034]所述可拓展签名模块使用自身的私钥对销毁请求进行签名后发送到根密钥管理模块；
[0035]所述可拓展签名模块接收所述根密钥管理模块的吊销证书；
[0036]所述可拓展签名模块将所述吊销证书发送给签名请求网关，以销毁存储在签名请求网关中的公钥证书；
[0037]所述可拓展签名模块停止服务。
[0038]在部分实施例中，所述签名请求网关存储有一个可拓展签名模块的映射表，所述映射表中记录了所有可扩展签名模块的标志和每个可扩展签名模块对应的公钥证书。
[0039]在部分实施例中，所述根据签名请求选择一个可拓展签名模块对签名请求中的数据进行签名，具体为：
[0040]从签名请求中获取需要签名的数据，并转换成哈希值；
[0041]选择一个可拓展签名模块对所述哈希值进行签名。
[0042]在部分实施例中，所述根密钥管理模块基于SE芯片运行。
[0043]在部分实施例中，所述签名请求网关在将所述可拓展签名模块签名后的数据返回到外部系统的同时，发送可拓展签名模块的公钥证书本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于PKI的并行签名系统，其特征在于，包括：根密钥管理模块，用于对可拓展签名模块的进行注册处理和注销处理，其中，所述根密钥管理模块在处理所述可拓展签名模块的注册时，利用根私钥对所述可拓展签名模块的公钥证书进行签名；可拓展签名模块，用于向所述根私钥模块请求注册以及请求注销，以及利用自身的私钥对数据进行签名，不同的可拓展签名模块具有不同的私钥和不同的公钥证书；签名请求网关，用于接收外部系统的签名请求，并根据签名请求选择一个可拓展签名模块对签名请求中的数据进行签名，将所述可拓展签名模块签名后的数据返回到外部系统。2.根据权利要求1所述的基于PKI的并行签名系统，其特征在于，当所述根密钥管理模块对所述可拓展签名模块进行注册处理时，包括：所述根密钥管理模块接收所述可拓展签名模块的私钥派生请求；所述根密钥管理模块从所述私钥派生请求中获得所述可拓展签名模块的公钥证书和标志；所述根密钥管理模块使用根私钥对所述可拓展签名模块的公钥证书进行签名；所述根密钥管理模块将经过根私钥签名的公钥证书发送给所述可拓展签名模块；所述根密钥管理模块将所述可拓展签名模块的公钥证书和标志记录在可拓展签名模块列表中。3.根据权利要求2所述的基于PKI的并行签名系统，其特征在于，当所述根密钥管理模块对所述可拓展签名模块进行注销处理时，包括：所述根密钥管理模块接收所述可拓展签名模块的销毁请求；所述根密钥管理模块从所述销毁请求中获取可拓展签名模块的公钥证书；所述根密钥管理模块根据从销毁请求中获取的公钥证书和可拓展签名模块列表验证该可扩展签名模块的有效性；当该发送销毁请求的可拓展签名模块有效时，所述根密钥管理模块根据所述销毁请求生成吊销证书；所述根密钥管理模块利用根私钥对所述吊销证书进行签名并返回到发送销毁请求的可拓展签名模块；所述根密钥管理模块将发送销毁请求的可拓展签名模块在可拓展签名模块列表移除或者标记为无效。4.根据权利要求1所述的基于PKI的并行签名系统，其特征在于，所述可拓展签名模块向所述根私钥模块请求注册时，包括：所述可拓展签名模块生成一个唯一的标志、随机生成一个私钥和所述私钥对...

【专利技术属性】
技术研发人员：杜猛，苏锐，李胜，李榕浩，
申请(专利权)人：深圳华数云计算技术有限公司，
类型：发明
国别省市：