技術領域：

本發明涉及一種網絡安全技術，特別涉及一種實現數字簽名和驗證簽名服務系統。

背景技術：

隨著互聯網技術的發展，越來越多的經濟活動(如電子商務/電子政務等)可以通過互聯網進行，而由于互聯網的特殊性，導致交易活動的參與方無法確認對方的真實身份及其行為的有效性。為此網上交易需要面對和解決以下問題：

(1)身份認證(authentication)

由于互聯網的特殊性，網上交易的雙方可能彼此都無法確認對方的真實身份，因此交易雙方需要解決“你是誰”的問題。

(2)數據完整性(integrity)

為了確保信息在存儲、使用、傳輸過程中不被非授權用戶篡改，同時也為了防止被授權用戶不適當的篡改，保持信息內外部的一致性，需要通過數字簽名技術來保證數據的完整性。

(3)交易的不可否認性(non-repudiation)

在交易過程中和交易完成后交易雙方可能會發生糾紛，為了防止任何一方對交易過程和交易后果的無理抵賴和否認，需要保存交易憑證或憑據，以備第三方的權威認證和責任認定。

發明內容：

本發明針對現行網上交易所要解決的技術問題，而提供一種提供數字簽名和驗證簽名服務的簽名驗證系統，該系統可以被廣泛地應用在網上銀行/證券/保險等電子商務和電子政務活動中，用于確認用戶身份、保障信息完整性、保證交易的不可否認性(抗抵賴)。

為了達到上述目的，本發明采用如下的技術方案：

簽名驗證系統，包括客戶端模塊、應用服務端模塊、服務端模塊；所述客戶端模塊包括客戶端應用模塊、簽名驗證模塊、用于存放證書和提供算法的客戶端密碼模塊，所述應用服務端模塊包括應用業務模塊和API接口模塊，所述服務端模塊包括簽名驗證服務模塊、用于存放證書和提供算法的服務端密碼模塊；所述客戶端應用模塊(即瀏覽器)調用簽名驗證模塊完成對數據的簽名，并將數簽名結果傳至應用業務模塊，所述簽名驗證模塊調用客戶端密碼模塊完成相應的證書操作和密碼運算；所述應用業務模塊獲取客戶端的簽名結果，調用API接口模塊與服務端模塊進行通訊，發送并接收、解析返回數據；所述服務端模塊中的簽名驗證服務模塊調用服務端密碼模塊進行簽名和驗證簽名的運算，將結果返回給應用業務模塊。

所述客戶端模塊中的簽名驗證模塊為一個ActiveX插件。

所述服務端模塊中的簽名驗證服務模塊包含簽名驗簽模塊，黑名單管理模塊，監控模塊，熱備模塊，負載均衡模塊，日志服務模塊，配置模塊；

所述簽名驗簽模塊接收API接口模塊發來的簽名驗簽請求，分析請求包，調用服務端密碼模塊數據進行簽名或者驗證簽名，再將結果發送到API接口模塊；

所述黑名單管理模塊從指定的發布點上獲取最新的黑名單后通知簽名驗簽模塊進行黑名單更新；

所述監控模塊監控簽名驗簽模塊，黑名單管理模塊，熱備模塊，日志服務模塊和配置模塊的運行狀態；

所述日志服務模塊負責簽名驗證服務模中其它各模塊的日志和報警；

所述熱備模塊實現兩個服務端模塊之間的相互聯系，并實現系統的無縫切換；

所述負載均衡模塊將請求報文分別負載到兩個服務端模塊中進行運算，提升整體性能；

所述配置模塊提供系統配置頁面，實現與用戶的交互。

所述黑名單管理模塊與簽名驗簽模塊配合完成的黑名單的動態更新，并通過一下步驟實現：所述黑名單管理模塊到遠程的發布服務器上獲取新的黑名單，下載完成以后將其組織存放在指定路徑的文件中，然后用信號的方式通知簽名驗簽模塊進行黑名單更新，簽名驗簽模塊得到更新信號后動態載入黑名單，完成在線更新。

所述黑名單管理模塊在遠程發布服務器上獲取新的黑名單時，進行一級索引。

所述監控模塊配合熱備模塊進行熱備切換，所述監控模塊實時探測簽名驗簽模塊、黑名單管理模塊、日志服務模塊、配置模塊的運行狀態，必要時重啟相應模塊；在簽名驗簽模塊發生多次故障，并重啟多次后還不能正常運行時，監控模塊通知熱備模塊，進行熱備切換。

所述配置模塊完成相應的配置修改以后，只能通過監控模塊控制服務端業務模塊中其它各模塊的啟動和停止。

根據上述技術方案得到的本發明具有如下特點：

安全性：系統設置專用網絡接口管理系統，系統關閉所有不需要的服務和端口(如FTP、SSH等)，只保留服務端口，避免外界的攻擊。

易用性：系統所有管理操作均采用WEB方式，操作簡單方便。

多種類型簽名數據支持：支持原文數據簽名、文件簽名、哈希后簽名及PKCS7等格式簽名數據的驗證。