一种基于分布式UKey服务的数字签名方法及系统技术方案

本发明专利技术公开了一种基于分布式UKey服务的数字签名方法及系统，涉及信息安全技术领域，包括数字证书客户端软件和数字证书签名和验证系统，数字证书客户端软件安装在数字证书用户的智能终端上，用于读取数字证书信息并且向数字证书签名和验证系统注册分布式UKey服务；实现调用UKey证书私钥完成对原文的签名运算；数字证书签名和验证系统用于实现网络服务、分布式UKey签名服务注册/注销、签名及验证服务以及用户标识与证书绑定；本发明专利技术解决了UKey集成开发套件浏览器兼容的问题。成开发套件浏览器兼容的问题。成开发套件浏览器兼容的问题。

【技术实现步骤摘要】
一种基于分布式UKey服务的数字签名方法及系统


[0001]本专利技术涉及信息安全
，特别是一种基于分布式UKey服务的数字签名方法及系统。

技术介绍

[0002]目前，数字证书应用日益广泛，采用Usb Key（即UKey）存储数字证书是一种被普遍认为安全级别较高的数字证书签名方式。当前，PC端UKey数字证书的集成方式，采用集成开发套件调用客户端服务的方式进行集成，由于浏览器兼容问题造成很大的安全问题，浏览器对于Http和Https调用本地服务限制越来越多，通过webSocket调用方式，有些浏览器又不支持webSocket协议，造成集成开发困难，特别是浏览器升级后，造成用户使用UKey数字证书进行数字签名时出现不可预知问题。从而，在Web应用集成时，采用在浏览器集成套件直接调用PC客户端服务方式，存在着浏览器兼容和浏览器协议不支持的诸多问题。

技术实现思路

[0003]为解决现有技术中存在的问题，本专利技术的目的是提供一种基于分布式UKey服务的数字签名方法及系统，本专利技术通过服务端和PC客户端软件协同签名的方式来代替业务系统在浏览器内调用本地服务完成数字签名的方法，从而有效解决UKey集成开发套件浏览器兼容等问题。
[0004]为实现上述目的，本专利技术采用的技术方案是：一种基于分布式UKey服务的数字签名系统，包括:数字证书客户端软件：安装在数字证书用户的智能终端上，用于读取数字证书信息并且向数字证书签名和验证系统注册分布式UKey服务；完成底层数字证书驱动的管理，以及调用国密标准数字证书接口通过UKey数字证书实现数字签名；与数字证书签名和验证系统保持通信连接并接收签名指令，且验证UKey数字证书PIN码，实现调用UKey证书私钥完成对原文的签名运算；数字证书签名和验证系统：用于实现网络服务、分布式UKey签名服务注册/注销、签名及验证服务以及用户标识与证书绑定。
[0005]作为本专利技术的进一步改进，所述网络服务具体用于实现底层的网络通信服务，以及与数字证书客户端软件保持网络连接，且通过网络心跳确认数字证书客户端软件是否在线；所述分布式UKey签名服务注册/注销用于负责数字证书客户端软件在UKey插入用户的智能终端时，数字证书客户端软件发起注册服务请求，并且根据注册服务请求的数字证书唯一标识，在已经绑定的用户标识和数字证书标识之间建立在线映射关系，满足后续根据用户标识对签名原文的数字签名需要；在UKey拔出用户的智能终端时，数字证书客户端软件发起注销请求，此时注销数字证书服务在线状态；签名及验证服务具体用于响应业务系统的数字签名请求，并且根据用户标识找到
对应的数字证书客户端软件，并且把数字签名请求转发至对应的数字证书客户端软件，由数字证书客户端软件在用户的智能终端完成数字签名；收到用户的智能终端数字签名值之后，对签名值进行验证，验证通过返回签名值至业务系统；用户标识与证书绑定具体用于建立业务系统内唯一的用户标识和数字证书之间的绑定关系。
[0006]作为本专利技术的进一步改进，建立业务系统内唯一的用户标识和数字证书之间的绑定关系具体通过在签发UKey数字证书或进行UKey数字证书激活时进行绑定；或者根据用户唯一标识与数字证书序列号对应关系表格进行批量导入。
[0007]本专利技术还提供一种基于分布式UKey服务的数字签名方法，采用如上所述的基于分布式UKey服务的数字签名系统实现，所述的数字签名方法具体包括以下步骤：S10、分布式UKey服务注册：数字证书客户端软件在智能终端侧启动之后，与数字证书签名和验证系统保持网络长连接；在有UKey插入智能终端时，数字证书客户端软件自动识别数字证书，并且在数字证书签名和验证系统注册分布式UKey服务，注册完成之后等待数字证书签名和验证系统的签名指令；S20、数字证书签名和验证系统与数字证书客户端软件协同签名：数字证书签名和验证系统在收到业务系统的签名请求之后，向数字证书客户端软件发送签名指令，并且把业务系统的签名原文发送到数字证书客户端软件，数字证书客户端软件收到签名指令和原文后，调用UKey数字证书私钥对签名原文进行数字签名，并且把签名值返回给数字证书签名和验证系统，数字证书签名和验证系统对签名值进行验证通过后，返回至业务系统，完成数字签名；S30、分布式UKEY服务注销：数字证书客户端软件发现UKey证书拔出，或网络断开之后，数字证书签名和验证系统注销分布式UKey服务。
[0008]作为本专利技术的进一步改进，所述步骤S10具体包括以下步骤：S1001、数字证书客户端软件启动之后自动连接数字证书签名和验证系统，并且与数字证书签名和验证系统建立网络长连接，通过网络心跳方式记录数字证书客户端软件在线状态以及网络信息；S1002、用户把UKey插入运行有数字证书客户端软件的智能终端上；S1003、数字证书客户端软件自动识别UKey数字证书；S1004、数字证书客户端软件向数字证书签名和验证系统获取随机数nonce；S1005、数字证书签名和验证系统返回随机数nonce；S1006：数字证书客户端软件收到数字证书签名和验证系统返回的随机数nonce之后，调用UKey进行签名，等待用户输入UKey PIN码；UKey数字证书用户输入PIN码；S1007、UKey驱动程序验证PIN码正确情况下，调用UKey内的数字证书私钥对随机数nonce进行数字签名；S1008、数字证书客户端软件把随机数nonce签名值发送到数字证书签名和验证系统，请求注册分布式UKey服务，数字证书签名和验证系统通过表格方式保存分布式UKey服务；S1009、数字证书签名和验证系统收到随机数nonce签名值后，对签名值进行验证，验证通过后，注册成功；其中，验证随机数nonce的签名值，需要验证数字证书的有效性，且
随机数nonce的哈希值相同；S1010、建立数字证书客户端、注册数字证书以及对应的用户ID之间的对应关系，并标记为在线。
[0009]作为本专利技术的进一步改进，所述步骤S20具体包括以下步骤：S2001、用户在浏览器内确认对业务数据进行数字签名，向业务系统的数字证书签名和验证系统发送业务签名请求；S2002、业务系统在数字证书签名和验证系统端形成签名原文，然后向数字证书签名和验证系统发送签名请求，并且把签名原文的Hash值和用户ID发送给数字证书签名和验证系统；S2003、数字证书签名和验证系统通过用户ID找到对应的分布式UKey服务，并且向数字证书客户端发出签名指令，同时把签名原文的Hash值发送到对应的数字证书客户端软件；S2004、数字证书客户端软件接收到签名指令和签名原文Hash值后，调用UKey的驱动程序，让用户输入证书PIN码，并且进行验证，验证通过进入S2005；S2005、数字证书客户端软件调用UKey驱动，通过UKey私钥完成数字签名；S2006、数字证书客户端软件把签名值返回数字证书签名和验证系统；S2007、数字证书签名和验证系统接收到签名值后，对签名值进行验证，验证成功进入S2007.1；验证失败进入S2007.2；S2007.1、向业务本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于分布式UKey服务的数字签名系统，其特征在于，包括:数字证书客户端软件：安装在数字证书用户的智能终端上，用于读取数字证书信息并且向数字证书签名和验证系统注册分布式UKey服务；完成底层数字证书驱动的管理，以及调用国密标准数字证书接口通过UKey数字证书实现数字签名；与数字证书签名和验证系统保持通信连接并接收签名指令，且验证UKey数字证书PIN码，实现调用UKey证书私钥完成对原文的签名运算；数字证书签名和验证系统：用于实现网络服务、分布式UKey签名服务注册/注销、签名及验证服务以及用户标识与证书绑定。2.根据权利要求1所述的基于分布式UKey服务的数字签名系统，其特征在于，所述网络服务具体用于实现底层的网络通信服务，以及与数字证书客户端软件保持网络连接，且通过网络心跳确认数字证书客户端软件是否在线；所述分布式UKey签名服务注册/注销用于负责数字证书客户端软件在UKey插入用户的智能终端时，数字证书客户端软件发起注册服务请求，并且根据注册服务请求的数字证书唯一标识，在已经绑定的用户标识和数字证书标识之间建立在线映射关系，满足后续根据用户标识对签名原文的数字签名需要；在UKey拔出用户的智能终端时，数字证书客户端软件发起注销请求，此时注销数字证书服务在线状态；签名及验证服务具体用于响应业务系统的数字签名请求，并且根据用户标识找到对应的数字证书客户端软件，并且把数字签名请求转发至对应的数字证书客户端软件，由数字证书客户端软件在用户的智能终端完成数字签名；收到用户的智能终端数字签名值之后，对签名值进行验证，验证通过返回签名值至业务系统；用户标识与证书绑定具体用于建立业务系统内唯一的用户标识和数字证书之间的绑定关系。3.根据权利要求2所述的基于分布式UKey服务的数字签名系统，其特征在于，建立业务系统内唯一的用户标识和数字证书之间的绑定关系具体通过在签发UKey数字证书或进行UKey数字证书激活时进行绑定；或者根据用户唯一标识与数字证书序列号对应关系表格进行批量导入。4.一种基于分布式UKey服务的数字签名方法，其特征在于，采用如权利要求1
‑
3任一项所述的基于分布式UKey服务的数字签名系统实现，所述的数字签名方法具体包括以下步骤：S10、分布式UKey服务注册：数字证书客户端软件在智能终端侧启动之后，与数字证书签名和验证系统保持网络长连接；在有UKey插入智能终端时，数字证书客户端软件自动识别数字证书，并且在数字证书签名和验证系统注册分布式UKey服务，注册完成之后等待数字证书签名和验证系统的签名指令；S20、数字证书签名和验证系统与数字证书客户端软件协同签名：数字证书签名和验证系统在收到业务系统的签名请求之后，向数字证书客户端软件发送签名指令，并且把业务系统的签名原文发送到数字证书客户端软件，数字证书客户端软件收到签名指令和原文后，调用UKey数字证书私钥对签名原文进行数字签名，并且把签名值返回给数字证书签名和验证系统，数字证书签名和验证系统对签名值进行验证通过后，返回至业务系统，完成数字签名；
S30、分布式UKEY服务注销：数字证书客户端软件发现UKey证书拔出，或网络断开之后，数字证书签名和验证系统注销分布式UKey服务。5.根据权利要求4所述的基于分布式UKey服务的数字签名方法，其特征在于，所述步骤S10具体包括以下步骤：S...

【专利技术属性】
技术研发人员：支红杰，周江，张晓军，张红，
申请(专利权)人：四川省数字证书认证管理中心有限公司，
类型：发明
国别省市：