本發(fā)明提供了一種提供新型的手機(jī)通用簽名方法和裝置。由用戶智能手機(jī)專用軟件和后臺專用設(shè)備組成的數(shù)字證書應(yīng)用裝置，集中封閉地完成證書應(yīng)用相關(guān)全部邏輯，滿足證書應(yīng)用的用戶零負(fù)擔(dān)、工作站零附件、應(yīng)用零侵?jǐn)_以及高安全的要求；擺脫傳統(tǒng)信任體系對數(shù)字證書終端安全介質(zhì)的依賴以及由此引發(fā)的諸多不便，極大突破了當(dāng)前網(wǎng)絡(luò)信任保障體系的局限性，順應(yīng)互聯(lián)網(wǎng)形勢下對于安全認(rèn)證、電子簽署等剛需“快速便捷、普遍適用”的要求。

技術(shù)領(lǐng)域

本發(fā)明提供了一種新型的手機(jī)通用簽名方法和裝置。利用通用的用戶智能手機(jī)以及配套后臺裝置，實(shí)現(xiàn)一種新型的數(shù)字證書應(yīng)用方法和裝置，替代傳統(tǒng)USBKey、SDKey等專用硬件安全介質(zhì)，減少互聯(lián)網(wǎng)環(huán)境下針對數(shù)字證書的特定要求，方便用戶使用和應(yīng)用加載，順應(yīng)互聯(lián)網(wǎng)形勢下對于安全認(rèn)證、電子簽署等剛需“快速便捷、普遍適用”的要求。

背景技術(shù)

長期以來基于安全考慮，終端用戶使用數(shù)字證書必須依賴于專用硬件介質(zhì)，比如USBKey、SDKey等，這一特定要求首先直接制約了證書用戶規(guī)模的擴(kuò)張；其次，這類介質(zhì)與宿主工作站保持直接連接并共用網(wǎng)絡(luò)連接，邏輯和物理均不可分割，這帶來諸多不便的同時，使得介質(zhì)自身很容易成為攻擊點(diǎn)而成為致命安全隱患；再次，為了安全起見，每次關(guān)鍵操作，這類專用硬件介質(zhì)的調(diào)用都必須經(jīng)過口令、指紋等外部認(rèn)證手段，這一方面嚴(yán)重影響用戶體驗(yàn)，尤其是在醫(yī)院、辦事大廳、營業(yè)網(wǎng)點(diǎn)等需要頻繁簽名的場合，同時也是又一個安全隱患；最后，這種方式使得應(yīng)用加載的工作繁雜，應(yīng)用程序改動較大，一旦應(yīng)用不當(dāng)，由此產(chǎn)生的隱患將遍布四處，防不勝防。凡此種種，嚴(yán)重阻礙了以數(shù)字證書為標(biāo)志的PKI作為互聯(lián)網(wǎng)公共基礎(chǔ)設(shè)施的推廣普及。本發(fā)明利用智能手機(jī)以及配套后臺裝置，提供一種新型安全的手機(jī)簽名方法和裝置，減少互聯(lián)網(wǎng)環(huán)境下針對數(shù)字證書的特定要求，方便用戶使用和應(yīng)用加載，適應(yīng)互聯(lián)網(wǎng)形勢下對于安全認(rèn)證、電子簽署等剛需“快速便捷、普遍適用”的要求。

發(fā)明內(nèi)容

1. 一種新型的手機(jī)通用簽名方法和裝置。首先，用戶、用戶手機(jī)、用戶工作站均在專用后臺裝置登記注冊，并通過手機(jī)申請代表用戶身份的手機(jī)證書；用戶需要在工作站進(jìn)行包括簽名在內(nèi)的證書應(yīng)用操作時，用戶通過工作站向后臺裝置發(fā)送對應(yīng)的操作請求，中間裝置根據(jù)注冊的綁定關(guān)系向用戶手機(jī)轉(zhuǎn)發(fā)對應(yīng)的操作請求，并將操作結(jié)果依次返回到用戶工作站，其間，用戶、用戶工作站、用戶手機(jī)之間均經(jīng)過安全身份驗(yàn)證，所加載應(yīng)用是否需要驗(yàn)證身份，視具體應(yīng)用場景而定；用戶根據(jù)應(yīng)用場景可以選擇免除每次針對證書關(guān)鍵操作的外部認(rèn)證，包括口令、指紋等認(rèn)證方式，實(shí)現(xiàn)免口令操作，而不影響安全性。2.本發(fā)明提供了一種新型便捷通用的安全簽名方法。如發(fā)明1所述，利用通用智能手機(jī)替代USBKey類專用安全介質(zhì)的方法，避免了互聯(lián)網(wǎng)環(huán)境下針對數(shù)字證書的特定設(shè)備要求；并通過包括但不限于證書私鑰的分割存儲和使用、自封閉獨(dú)立處理、以及特定訪問控制權(quán)限設(shè)定、安全通道建立等手段，保證其安全等級；3. 本發(fā)明提供了一種新型的應(yīng)用與證書完全獨(dú)立的方法。如發(fā)明1所述，本發(fā)明通過用戶業(yè)務(wù)與證書操作在邏輯和物理上的完全分離，從根本上提高了針對安全登錄、電子簽署等證書關(guān)鍵操作進(jìn)行網(wǎng)絡(luò)攻擊的難度；4. 本發(fā)明提供了一種新型安全的用戶免口令證書應(yīng)用方法。如發(fā)明1所述，在業(yè)務(wù)邏輯和證書操作完全分離獨(dú)立的前提下，用戶根據(jù)應(yīng)用場景通過一定的安全策略設(shè)置，可以選擇免外部認(rèn)證，包括用戶口令、指紋等，既方便用戶，也不影響使用的安全性；5. 本發(fā)明提供了一種新型的工作站零附件應(yīng)用證書的方法。如發(fā)明1所述，本發(fā)明通過用戶業(yè)務(wù)邏輯與證書應(yīng)用操作在邏輯和物理上的完全分離，實(shí)現(xiàn)了用戶業(yè)務(wù)工作站在使用數(shù)字證書時的零附件要求；6. 本發(fā)明提供了一種新型的應(yīng)用零侵?jǐn)_應(yīng)用證書的方法。如發(fā)明1所述，用戶工作站和應(yīng)用系統(tǒng)后臺不需要安裝任何專門軟硬件，通過用戶手機(jī)專用軟件和后臺專用設(shè)備，集中封閉地完成證書應(yīng)用相關(guān)全部邏輯，實(shí)現(xiàn)了對應(yīng)用系統(tǒng)的零侵?jǐn)_，避免了應(yīng)用程序直接調(diào)用證書應(yīng)用邏輯所四處潛藏的安全隱患；7.本發(fā)明提供了一種新型的手機(jī)通用簽名裝置。由用戶手機(jī)專用軟件和后臺專用設(shè)備組成的數(shù)字證書應(yīng)用裝置，集中封閉地完成證書應(yīng)用相關(guān)全部邏輯，通過實(shí)現(xiàn)包括但不限于發(fā)明1、2、3、4、5、6所述部分或者全部新型方法，滿足證書應(yīng)用的用戶零負(fù)擔(dān)、工作站零附件、應(yīng)用零侵?jǐn)_以及高安全的要求；8. 本發(fā)明涉及一種新型裝置，該裝置是一個邏輯概念，具體存在形式可以是硬件設(shè)備、軟件邏輯模塊、服務(wù)平臺或者云平臺等，其部署方式可以是獨(dú)立部署的專用設(shè)備或者平臺，也可以與其他設(shè)備和系統(tǒng)集成在一起。9.本發(fā)明涉及的代替USBKey類專用介質(zhì)的不限于智能手機(jī)，也可以是pad或者其他專用智能終端設(shè)備。智能終端包括但不限于智能手機(jī)、pad、物聯(lián)網(wǎng)智能傳感器或者其他專用智能終端；10.本發(fā)明涉及的數(shù)字證書應(yīng)用是指以非對稱密鑰體系為基礎(chǔ)的數(shù)字證書技術(shù)，不限于具體密碼算法。11.本發(fā)明涉及一種新型設(shè)計思想和方法，不受具體實(shí)現(xiàn)技術(shù)、設(shè)備形態(tài)和部署方式的限制。12.本發(fā)明提供了一種提供新型數(shù)字證書應(yīng)用的方法與裝置。極大地突破了當(dāng)前網(wǎng)絡(luò)信任保障體系的局限性，經(jīng)濟(jì)有效地解決了目前復(fù)雜網(wǎng)絡(luò)環(huán)境下數(shù)字證書應(yīng)用的諸多關(guān)鍵問題，對于鞏固完善新一代網(wǎng)絡(luò)信任基礎(chǔ)設(shè)施體系具有重要意義，適應(yīng)新形勢下網(wǎng)絡(luò)世界對網(wǎng)絡(luò)信任安全保障的要求，有較強(qiáng)一定的市場價值。