本發明公開了一種基于數字證書的簽名方法、系統、裝置及存儲介質，方法包括：獲取待簽名數據和第一數字證書應用名，并根據待簽名數據和第一數字證書應用名創建簽名請求；根據第一數字證書應用名在預先建立的數字證書庫中確定第一數字證書，并獲取第一數字證書的第一私鑰；根據第一私鑰對待簽名數據進行數字簽名。本發明采用數字證書應用名對數字證書進行管理及調用，避免了證書DN或證書序列號重復造成不能正確獲取數字證書的問題，當數字證書因過期等原因更新后也無需更改數字證書應用名，相比傳統的簽名驗簽方法而言，本發明使得簽名驗簽安全服務的部署及維護更加方便，提高了簽名驗簽服務器的簽名驗簽效率，可廣泛應用于信息安全技術領域。

技術領域

本發明涉及信息安全技術領域，尤其是一種基于數字證書的簽名方法、系統、裝置及存儲介質。

背景技術

傳統簽名驗簽服務器一般以證書屬性的使用者DN或證書序列號為關鍵字進行證書管理及使用。具體來講就是從CA(證書頒發機構)頒發的證書，管理員可將其導入存儲到簽名驗簽服務器，并可通過證書使用者DN或證書序列號查詢對應的證書，應用服務器在使用簽名驗簽服務器的證書服務接口時，輸入使用者DN或證書序列號及簽名數據等接口參數即可完成簽名、驗簽等密碼安全功能。但這種基于使用者DN或證書序列號管理或使用證書的方法，存在如下缺點：

1)證書DN(Distinguished Name)信息比較多，例如含有國家名，省份名，城市名稱，組織名稱等，而證書序列號是一串十六進制數據，難以記憶與管理，尤其在證書數量多的時候，查詢管理十分不便；

2)在實際應用中一些CA簽發證書時，并未完全保證使用者DN的唯一性，即可能存在多個證書的使用者DN相同的情況，如CFCA簽發的國密雙證書，簽名證書和加密證書的使用者DN值相同，根據使用者DN做查詢條件時，并不能查詢到唯一確定的證書；若有多個不同CA簽發的證書，證書序列號也存在重復的可能；

3)證書因過期等原因，需由CA重新簽發新證書，新證書的證書序列號一般會與原證書序列號不同，簽名驗簽服務器進行證書更新后，應用服務器在使用簽名驗簽服務器的證書服務接口時，證書序列號輸入參數需進行相應的調整，這給應用系統部署及維護帶來不便。

名詞解釋：

數字證書：由國家認可的，具有權威性、可信性和公正性的第三方認證機構(CA)進行數字簽名的一個可信的數字化文件。

證書DN：在數字證書的主體名稱域中，用于唯一標志用戶的X.500名稱，通常包括國家名，省份名，城市名稱，組織名稱等信息。

證書序列號：在一個證書認證機構所簽發的證書中用于唯一標識數字證書的一個整數。

簽名驗簽服務器：用于服務端的，為應用實體提供基于PKI體系和數字證書的數字簽名、驗證簽名等運算功能的服務器，可以保證關鍵業務信息的真實性、完整性和不可否認性。

發明內容

為解決上述技術問題，本發明的目的在于：提供一種基于數字證書的簽名方法、系統、裝置及存儲介質，使得簽名驗簽安全服務的部署及后期維護更加方便，提高了簽名驗簽服務器的簽名驗簽效率。

本發明一方面所采取的技術方案是：

一種基于數字證書的簽名方法，包括以下步驟：

獲取待簽名數據和第一數字證書應用名，并根據所述待簽名數據和所述第一數字證書應用名創建簽名請求；

根據所述第一數字證書應用名在預先建立的數字證書庫中確定第一數字證書，并獲取所述第一數字證書的第一私鑰；

根據所述第一私鑰對所述待簽名數據進行數字簽名。

進一步，所述簽名方法還包括建立數字證書庫的步驟，其具體包括：