技術領域

本發明涉及信息安全領域，特別是涉及一種基于多證書多用途的數字簽名方法和系統。

背景技術

隨著網絡銀行的快速發展，智能密鑰設備作為身份認證的有效設備，也已被推廣應用。智能密鑰設備通常使用自身保存的數字證書進行身份認證，數字證書可按照類型分為通用證書、專用證書和混用證書。其中，通用證書僅能用于非交互式簽名，支持RSA算法和SM2算法；專用證書僅能用于交互式簽名，支持RSA算法和SM2算法；混用證書可用于交互式簽名和非交互式簽名，支持RSA算法。交互式簽名是指在智能密鑰設備上對部分待簽數據進行顯示、并需要由用戶進行人工復核的簽名方式，而非交互式簽名不會對在智能密鑰設備上對待簽數據進行顯示，也不需要由用戶進行人工復核。

發明人在實現本發明的過程中，發現現有技術至少存在以下缺陷：

對于僅保存有專用證書的智能密鑰設備而言，由于專用證書無法進行非交互式簽名，該智能密鑰設備將無法進行雙向SSL(Secure Socket Layer，安全套接層)認證。

發明內容

本發明提供了一種基于多證書多用途的數字簽名方法和系統，以解決現有技術中僅保存有專用證書的智能密鑰設備無法進行雙向SSL認證的缺陷。

本發明提供了一種基于多證書多用途的數字簽名方法，應用于包括上層應用、安全控件、中間件和智能密鑰設備的系統中，所述智能密鑰設備中存儲有通用證書、專用證書和混用證書中的至少兩種數字證書，所述中間件將所述智能密鑰設備中的通用證書或混用證書注冊到瀏覽器的證書存儲區中，并使用注冊的證書進行非交互式簽名，所述方法還包括以下步驟：

S1、所述安全控件接收來自所述上層應用的證書標識、哈希名和報文數據；

S2、所述安全控件判斷所述證書標識是否有效，如果是，則執行步驟S3；否則，向所述上層應用返回異常信息，結束流程；

S3、所述安全控件判斷與所述證書標識對應的證書是否為專用證書或混用證書，如果是，則獲取與所述證書標識對應的密鑰標識，并執行步驟S4；否則，向所述上層應用返回異常信息；

S4、所述安全控件向所述中間件發送所述報文數據、所述哈希名和所述密鑰標識；

S5、所述中間件向所述智能密鑰設備發送所述報文數據、所述密鑰標識以及與所述哈希名對應的哈希標識；

S6、所述智能密鑰設備對所述報文數據中的顯示數據進行顯示，并在檢測到預設按鍵被觸發后，使用與所述密鑰標識對應的私鑰，按照與所述哈希標識對應的簽名機制，對所述報文數據進行簽名，得到第一簽名結果，將所述第一簽名結果發送給所述中間件；

S7、所述中間件將所述第一簽名結果發送給所述安全控件；

S8、所述安全控件根據所述第一簽名結果、所述報文數據以及與所述證書標識對應的證書生成簽名數據，將所述簽名數據發送給所述上層應用。

本發明還提供了一種基于多證書多用途的數字簽名系統，包括上層應用、安全控件、中間件和智能密鑰設備；

所述安全控件，包括：

第一接收模塊，用于接收來自所述上層應用的證書標識、哈希名和報文數據；接收來自所述中間件的第一簽名結果；

第一判斷模塊，用于判斷所述第一接收模塊接收到的所述證書標識是否有效；

第二判斷模塊，用于在所述第一判斷模塊判斷出所述證書標識有效時，判斷與所述證書標識對應的證書是否為專用證書或混用證書；

第一獲取模塊，用于在所述第二判斷模塊判斷出與所述證書標識對應的證書是專用證書或混用證書時，獲取與所述證書標識對應的密鑰標識；

第一生成模塊，用于根據所述報文數據、與所述證書標識對應的證書和所述第一接收模塊接收到的所述第一簽名結果生成簽名數據；

第一發送模塊，用于向所述中間件發送所述報文數據、所述哈希名和所述第一獲取模塊獲取到的所述密鑰標識，將所述第一生成模塊生成的所述簽名數據發送給所述上層應用；

在所述第一判斷模塊判斷出所述證書標識無效時，向所述上層應用返回異常信息；在所述第二判斷模塊判斷出與所述證書標識對應的證書不是專用證書或混用證書時，向所述上層應用返回異常信息；

所述中間件，包括：

注冊模塊，用于將所述智能密鑰設備中的通用證書或混用證書注冊到瀏覽器的證書存儲區中；

第一簽名模塊，用于使用所述注冊模塊注冊的證書進行非交互式簽名；

第二接收模塊，用于接收來自所述安全控件的所述報文數據、所述哈希名和所述密鑰標識；接收來自所述智能密鑰設備的第一簽名結果；