本發(fā)明涉及數(shù)字簽名技術(shù)領(lǐng)域，具體涉及一種協(xié)同簽名方法，本申請(qǐng)?jiān)谏擅荑€時(shí)，直接將密鑰保存到服務(wù)器中，并生成相應(yīng)的密鑰id，在用戶(hù)進(jìn)行協(xié)同簽名時(shí)，首先檢測(cè)密鑰id對(duì)應(yīng)的證書(shū)狀態(tài)，然后將證書(shū)狀態(tài)正常的密鑰id展示給用戶(hù)，只需要用戶(hù)選擇使用的密鑰id，通過(guò)用戶(hù)授權(quán)即可，無(wú)需用戶(hù)自身保存密鑰，從而解決了用戶(hù)協(xié)同簽名手機(jī)端密鑰容易丟失的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)字簽名技術(shù)領(lǐng)域，具體涉及一種協(xié)同簽名方法。

背景技術(shù)

協(xié)同簽名服務(wù)器是基于SM2、SM3、SM4國(guó)產(chǎn)密碼算法設(shè)計(jì)的一款安全私鑰分量托管協(xié)同簽名系統(tǒng)，為用戶(hù)操作終端提供安全合規(guī)的終端用戶(hù)身份認(rèn)證方案。

當(dāng)前，手機(jī)和服務(wù)器，直接協(xié)同簽名的時(shí)候，手機(jī)端計(jì)算簽名的一部分中間結(jié)果，服務(wù)器在計(jì)算并合成真正的簽名結(jié)果，但是現(xiàn)有的協(xié)同簽名手機(jī)端所保存的密鑰，通常是已文件的形式保存，并使用口令的形式保護(hù)，文件容易丟失或者損壞(如卸載App)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種協(xié)同簽名方法，以克服目前協(xié)同簽名客戶(hù)手機(jī)端密鑰容易丟失的問(wèn)題。

為實(shí)現(xiàn)以上目的，本發(fā)明采用如下技術(shù)方案：

一種協(xié)同簽名方法，包括：

客戶(hù)端通過(guò)用戶(hù)輸入的用戶(hù)信息登錄第一服務(wù)器；

所述第一服務(wù)器通過(guò)預(yù)先生成的第一服務(wù)器私鑰生成第一服務(wù)器公鑰；

第二服務(wù)器通過(guò)預(yù)先生成的第二服務(wù)器私鑰生成第二服務(wù)器公鑰；

所述第二服務(wù)器根據(jù)所述第一服務(wù)器公鑰和所述第二服務(wù)器公鑰生成協(xié)同公鑰，并將所述協(xié)同公鑰和所述第二服務(wù)器公鑰發(fā)送給所述第一服務(wù)器；

所述第一服務(wù)器根據(jù)所述第一服務(wù)器公鑰、所述第二服務(wù)器公鑰和所述協(xié)同公鑰生成密鑰id，并存儲(chǔ)所述第一服務(wù)器公鑰、所述第二服務(wù)器公鑰和所述協(xié)同公鑰；

所述第一服務(wù)器根據(jù)用戶(hù)選擇的密鑰id，通過(guò)所述密鑰id對(duì)應(yīng)的所述第一服務(wù)器私鑰生成第一CSR編碼，并通過(guò)所述第一服務(wù)器私鑰生成中間結(jié)果；

所述第一服務(wù)器通過(guò)協(xié)同公鑰加密將所述CSR編碼和所述中間結(jié)果發(fā)送給所述第二服務(wù)器；

所述第二服務(wù)器根據(jù)所述第二服務(wù)器私鑰生成第二CSR編碼，并根據(jù)所述第二服務(wù)器私鑰和所述中間結(jié)果生成完整簽名；

所述第二服務(wù)器根據(jù)所述完整簽名將所述第一CSR編碼和所述第二CSR編碼合成完整CSR，并將所述完整CSR通過(guò)所述協(xié)同公鑰加密發(fā)送給所述第一服務(wù)器；

所述第一服務(wù)器將所述完整CSR發(fā)送給CA，生成證書(shū)；

所述客戶(hù)端獲取用戶(hù)待簽名數(shù)據(jù)，并將所述待簽名數(shù)據(jù)發(fā)送給所述第一服務(wù)器；

所述第一服務(wù)器檢測(cè)所述用戶(hù)所以密鑰id對(duì)應(yīng)的證書(shū)狀態(tài)，并將所述證書(shū)狀態(tài)正常的密鑰id發(fā)送給所述客戶(hù)端；

所述客戶(hù)端將用戶(hù)選擇的簽名密鑰id發(fā)送給所述第一服務(wù)器；

所述第一服務(wù)器根據(jù)所述待簽名數(shù)據(jù)生成hash值，并通過(guò)所述簽名密鑰id對(duì)應(yīng)的所述第一服務(wù)器私鑰生成簽名中間結(jié)果，并通過(guò)所述簽名密鑰id對(duì)應(yīng)的所述協(xié)同公鑰進(jìn)行加密發(fā)送給所述第二服務(wù)器；

所述第二服務(wù)器獲取用戶(hù)的授權(quán)指令，并通過(guò)所述授權(quán)指令，根據(jù)所述第二服務(wù)器私鑰和所述簽名中間結(jié)果生成完整簽名結(jié)果，并通過(guò)所述協(xié)同公鑰將所述完整簽名結(jié)果加密發(fā)送給所述第一服務(wù)器，從而完成簽名。

進(jìn)一步的，以上所述的方法，所述第二服務(wù)器通過(guò)預(yù)先生成的第二服務(wù)器私鑰生成第二服務(wù)器公鑰，包括：