本發(fā)明公開了一種基于數(shù)字證書的簽名方法、系統(tǒng)、裝置及存儲介質(zhì)，方法包括：獲取待簽名數(shù)據(jù)和第一數(shù)字證書應用名，并根據(jù)待簽名數(shù)據(jù)和第一數(shù)字證書應用名創(chuàng)建簽名請求；根據(jù)第一數(shù)字證書應用名在預先建立的數(shù)字證書庫中確定第一數(shù)字證書，并獲取第一數(shù)字證書的第一私鑰；根據(jù)第一私鑰對待簽名數(shù)據(jù)進行數(shù)字簽名。本發(fā)明采用數(shù)字證書應用名對數(shù)字證書進行管理及調(diào)用，避免了證書DN或證書序列號重復造成不能正確獲取數(shù)字證書的問題，當數(shù)字證書因過期等原因更新后也無需更改數(shù)字證書應用名，相比傳統(tǒng)的簽名驗簽方法而言，本發(fā)明使得簽名驗簽安全服務的部署及維護更加方便，提高了簽名驗簽服務器的簽名驗簽效率，可廣泛應用于信息安全技術領域。

技術領域

本發(fā)明涉及信息安全技術領域，尤其是一種基于數(shù)字證書的簽名方法、系統(tǒng)、裝置及存儲介質(zhì)。

背景技術

傳統(tǒng)簽名驗簽服務器一般以證書屬性的使用者DN或證書序列號為關鍵字進行證書管理及使用。具體來講就是從CA(證書頒發(fā)機構)頒發(fā)的證書，管理員可將其導入存儲到簽名驗簽服務器，并可通過證書使用者DN或證書序列號查詢對應的證書，應用服務器在使用簽名驗簽服務器的證書服務接口時，輸入使用者DN或證書序列號及簽名數(shù)據(jù)等接口參數(shù)即可完成簽名、驗簽等密碼安全功能。但這種基于使用者DN或證書序列號管理或使用證書的方法，存在如下缺點：

1)證書DN(Distinguished Name)信息比較多，例如含有國家名，省份名，城市名稱，組織名稱等，而證書序列號是一串十六進制數(shù)據(jù)，難以記憶與管理，尤其在證書數(shù)量多的時候，查詢管理十分不便；

2)在實際應用中一些CA簽發(fā)證書時，并未完全保證使用者DN的唯一性，即可能存在多個證書的使用者DN相同的情況，如CFCA簽發(fā)的國密雙證書，簽名證書和加密證書的使用者DN值相同，根據(jù)使用者DN做查詢條件時，并不能查詢到唯一確定的證書；若有多個不同CA簽發(fā)的證書，證書序列號也存在重復的可能；

3)證書因過期等原因，需由CA重新簽發(fā)新證書，新證書的證書序列號一般會與原證書序列號不同，簽名驗簽服務器進行證書更新后，應用服務器在使用簽名驗簽服務器的證書服務接口時，證書序列號輸入?yún)?shù)需進行相應的調(diào)整，這給應用系統(tǒng)部署及維護帶來不便。

名詞解釋：

數(shù)字證書：由國家認可的，具有權威性、可信性和公正性的第三方認證機構(CA)進行數(shù)字簽名的一個可信的數(shù)字化文件。

證書DN：在數(shù)字證書的主體名稱域中，用于唯一標志用戶的X.500名稱，通常包括國家名，省份名，城市名稱，組織名稱等信息。

證書序列號：在一個證書認證機構所簽發(fā)的證書中用于唯一標識數(shù)字證書的一個整數(shù)。

簽名驗簽服務器：用于服務端的，為應用實體提供基于PKI體系和數(shù)字證書的數(shù)字簽名、驗證簽名等運算功能的服務器，可以保證關鍵業(yè)務信息的真實性、完整性和不可否認性。

發(fā)明內(nèi)容

為解決上述技術問題，本發(fā)明的目的在于：提供一種基于數(shù)字證書的簽名方法、系統(tǒng)、裝置及存儲介質(zhì)，使得簽名驗簽安全服務的部署及后期維護更加方便，提高了簽名驗簽服務器的簽名驗簽效率。

本發(fā)明一方面所采取的技術方案是：

一種基于數(shù)字證書的簽名方法，包括以下步驟：

獲取待簽名數(shù)據(jù)和第一數(shù)字證書應用名，并根據(jù)所述待簽名數(shù)據(jù)和所述第一數(shù)字證書應用名創(chuàng)建簽名請求；

根據(jù)所述第一數(shù)字證書應用名在預先建立的數(shù)字證書庫中確定第一數(shù)字證書，并獲取所述第一數(shù)字證書的第一私鑰；

根據(jù)所述第一私鑰對所述待簽名數(shù)據(jù)進行數(shù)字簽名。

進一步，所述簽名方法還包括建立數(shù)字證書庫的步驟，其具體包括：