本申請提供一種基于托管密鑰授權簽名方法、裝置、系統及存儲介質。其中，基于托管密鑰授權簽名方法至少包括：獲取用戶終端發送的密鑰申請信息，其中，密鑰申請信息包括密鑰算法信息、用戶聯系信息、第一PIN碼；計算第一PIN碼的摘要值并保存第一PIN碼的摘要值；調用硬件密碼模塊生成公私鑰對并為公私鑰對分配密鑰標識，其中，公私鑰對包括私鑰密文、公鑰明文，私鑰密文由硬件密碼模塊中的保護密鑰加密；根據第一PIN碼、密鑰標識構建第一加密密鑰；根據第一加密密鑰、密鑰算法信息對私鑰密文進行加密，并得到托管密鑰；將托管密鑰、密鑰標識、公鑰明文、用戶聯系信息、第一PIN碼的摘要值存儲在托管密鑰庫中。與現有技術相比，本申請具有更優的簽名便捷性和簽名防偽造性。

技術領域

本申請涉及密碼技術領域，具體而言，涉及一種基于托管密鑰授權簽名方法、裝置、系統及存儲介質。

背景技術

現有的授權簽名方式一般有兩種，第一種是通過專用硬件介質(如USBKey)的電子簽名方式，該方式因為簽名私鑰受簽名者獨立控制，安全性較高，但手機等移動終端因不存在USB接口則無法使用，使得其使用場景受限，另外由于需要隨時隨地攜帶專用硬件介質，這種方式進一步增加了使用不方便性。

另一種授權簽名方式是用協同密碼計算的電子簽名方式，該方式在終端、服務器兩個節點(或多個節點)分別生成并保存簽名私鑰分量、兩個節點獨立進行密碼運算，并將兩個節點的計算結果進行整合得到最終簽名結果，該方式在完成電子簽名的同時，不會向任何一個參與節點泄漏完整的私鑰信息，從而降低了單個節點受到攻擊導致的私鑰泄漏風險。該方式極大提高了操作的便捷性，但在私鑰分量在存儲、計算過程中，相關設備存在滲透風險，私鑰分量容易泄露，尤其對于能夠直接接觸到用戶托管密鑰數據的內部人員，如數據庫管理員、內網管理員等很難實現設備防御。

發明內容

本申請實施例的目的在于提供一種基于托管密鑰授權簽名方法、裝置、系統及存儲介質，用以實現用戶無需使用專用設備就可以表達簽名意愿，對托管的密鑰進行授權使用，提高了簽名授權的便捷性；同時用于降低私鑰的泄露風險，提高簽名的防偽造性。

為此，本申請第一方面公開一種基于托管密鑰授權簽名方法，所述方法應用于托管密鑰簽名系統中，其中，所述托管密鑰簽名系統包括硬件密碼模塊，所述方法包括:

獲取用戶終端發送的密鑰申請信息，其中，所述密鑰申請信息包括密鑰算法信息、用戶聯系信息、第一PIN碼；

計算所述第一PIN碼的摘要值并保存所述第一PIN碼的摘要值；

調用所述硬件密碼模塊生成公私鑰對并為所述公私鑰對分配密鑰標識，其中，所述公私鑰對包括私鑰密文、公鑰明文，所述私鑰密文由所述硬件密碼模塊中的保護密鑰加密；

根據所述第一PIN碼、所述密鑰標識構建第一加密密鑰；

根據所述第一加密密鑰、密鑰算法信息對所述私鑰密文進行加密，并得到托管密鑰；

將所述托管密鑰、所述密鑰標識、所述公鑰明文、所述用戶聯系信息、所述第一PIN碼的摘要值存儲在托管密鑰庫中。

本申請第一方面的方法能夠通過硬件密碼模塊生成托管密鑰，其中，私鑰密文能夠被硬件密碼模塊進行第一重加密，使得私鑰密文只能通過硬件密碼模塊解密獲得，這樣一來，外部攻擊者即使突破系統防御邊界，也只能獲取托管密鑰，而不能夠在沒有硬件密碼模塊的前提下獲得私鑰明文，進而無法進行簽名操作。另一方面，通過第一PIN碼能夠對私鑰明文進行二次加密，這樣一來，即使托管方內部存在惡意人員，由于惡意人員不具備第一PIN碼，其也無法利用用戶的簽名私鑰偽造用戶簽名。

再一方面，本申請第一方面的方法能夠實現密鑰托管，進而在用戶終端不需要專用的密碼硬件(如USBKey)或者其它設備(如必須注冊的手機)支持，即不依賴專用的客戶端環境。