一种数字签名验签方法、平台及系统与流程

1.本发明属于数字加密技术领域，尤其涉及一种数字签名验签方法及系统。


背景技术：

2.基于pki体系的数字签名验签广泛应用于金融行业各个业务系统，如网银系统的ukey和控件、无纸化系统、支付系统等都会使用签名验签功能。应用安全基础平台用于证书管理，保证数据完整性、机密性和不可抵赖性，对算法可信度、实时响应率和响应时间等有非常高的要求。我国一直采用国外制定的安全协议和加密算法，无法满足关键系统、设备的安全、自主、可控，网络安全形势不容乐观。安全可信的国产密码算法是我国自主研发创新的一套数据加密算法，经过多年的发展，已经颁布多个算法标准，如金融行业常用的sm2、sm3、sm4。
3.现有技术缺陷：企业内部无全生命周期的基于pki体系的证书管理系统，通常使用第三方证书，导致企业每年购买证书的费用高达上百万；对不同厂商不同品牌型号的签名设备无法形成统一管理，往往是不同的签名设备提供独立的服务接口，外部系统在使用时无法集成多个厂商服务接口，导致签名设备无法复用，同时无法做到双中心双活部署。


技术实现要素：

4.有鉴于此，本发明提供一种数字签名验签方法、平台及系统，通过建数字证书签名验签平台为用户提供签名验签工作。
5.为解决以上技术问题，本发明提供一种数字签名验签平台，包括：签名验签前端子平台，用于提供业务应用连接加密及密钥交易平台的前端支持；签名验签应用子平台，用于提供数据安全服务；签名验签管理子平台，用于进行核心证书数据管理、密钥管理服务和平台管理协调；数据库，用于核心证书数据的存储。
6.作为一种改进，所述签名验签前端子平台包括：接口模块，用于提供外部调用的函数接口；通讯模块，用于与签名验签应用子平台进行通信；报文格式拼装模块，用于将请求报文组合成签名验签应用子平台能识别的报文格式。
7.作为一种进一步的改进，所述签名验签前端子平台还包括：配置模块，用于配置api通信服务；集群负载算法模块，用于选择具体的签名验签平台应用子平台服务器ip地址；日志模块，用于支持打印日志；
8.字符处理及基础算法模块，用于提供字符转换、计算md5值。
9.作为另一种更进一步的改进，所述签名验签应用子平台包括：tcp通讯模块，用于通过tcp通讯协议与签名验签前端子平台、签名验签管理子平台进行通信；线程调度模块，用于对签名验签应用子平台的服务线程进行池化管理，负责服务线程的启动、服务线程调度、管理维护；密码机设备管理模块，用于与密码机、签名验签验签设备建立短连接，完成设备状态管理、负责与设备进行通讯、为接口提供完整的设备指令接口；密钥缓存管理模块，用于实现对密钥缓存建立、数据存储、数据清理及缓存维护机制。
10.作为一种改进，所述签名验签应用子平台还包括：日志管理模块，用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志；设备监控模块，用于准实时检测监控密码机状态、线程运行状态、系统各进程运行状态。
11.作为一种改进，所述签名验签管理子平台包括：tcp通讯模块，用过通过tcp通讯协议与签名验签应用子平台进行通信；线程调度模块，用于对签名验签管理子平台的证书管理服务线程进行池化管理，负责服务线程的启动、服务线程调度、管理维护；集群管理模块，用于实现对签名验签管理子平台进行集群管理，对签名验签管理子平台的数据同步及数据更新进行管理与控制；数据库管理模块，用于维护与数据库之间的连接，与数据库进行通讯并执行对数据库相应的操作。
12.作为一种改进，所述签名验签管理子平台还包括：界面管理模块，用于提供图形界面管理接口，支持web应用服务的接入；日志管理模块，用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志；设备监控模块，用于准实时检测监控签名设备状态、线程运行状态、系统各进程运行状态。
13.作为一种改进，所述数字签名验签平台运行在双活数据中心上。
14.作为一种改进，在dns服务器中动态维持双活数据中心的ip地址，并针对用户请求向用户返回双活数据中心中的一个出口ip；当双活数据中心中的一个出现故障，dns服务器将其对应的ip暂停使用，并将后续用户dns请求引导到剩余正常工作的数据中心出口。
15.本发明还提供一种数字签名验签系统，包括：证书认证中心服务器，用于接收来自证书认证中心管理终端、证书注册中心服务器的证书管理请求，进行数字证书的注册、申请、发放、作废、注销等管理工作，发布证书和证书的crl列表；证书认证中心管理终端，用于进行证书认证系统策略管理、证书模板管理和证书管理；证书注册中心服务器，用于向证书认证中心服务器发送证书管理请求，进行数字证书的申请、下载、更新、冻结、解冻、作废；密钥管理中心服务器，用于实现加密证书的密钥管理服务，进行加密密钥的产生、发放、保存、恢复和密钥历史管理；证书在线状态查询服务器，用于提供证书的状态在线查询服务；用户终端，安装有证书下载控件，用于密钥生成、证书下载、证书更新、证书作废和密钥历史获取；加密机，用于为证书认证中心服务器、证书注册中心服务器、密钥管理中心服务器、证书在线状态查询服务器加密。
16.本发明还提供一种数字签名验签方法，其特征在于包括：申请数字证书；对数字证书申请进行审核；审核通过后生成数字证书并将证书生成完毕的标识反馈给申请人；申请人下载数字证书并利用数字证书进行签名和验签。
17.作为一种改进，所述申请数字证书包括：用户终端将申请人资料上传至证书注册中心服务器；注册中心服务器接收到申请人资料后在数据库中进行比对，如果该申请人没有注册则进行注册；如果已经注册则从注册中心服务器中获取用户uid，并将uid、申请的证书类型、证书有效期，和证书主题记录到注册中心服务器的数据库。
18.作为一种改进，所述对数字证书申请进行审核包括：注册中心服务器对数字证书申请进行审核，核验申请人的真实身份；若核验通过注册中心服务器则将记录设置为通过状态，并向证书认证中心服务器发出生成证书的请求。
19.作为一种改进，所述审核通过后生成数字证书并将结果反馈给申请人包括：证书认证中心服务器将申请人的身份信息生成数字签名；证书认证中心服务器将申请人的身份
信息和数字签名一起生成数字证书；证书认证中心服务器向注册中心服务器发送证书生成完毕的标识，注册中心服务器将该标识转发至用户终端。
20.作为一种改进，所述申请人下载数字证书包括：用户终端利用证书生成完毕的标识向注册中心服务器发出下载证书的请求；注册中心服务器将下载证书的请求转发至证书认证中心服务器；注册中心服务器接收到证书认证中心服务器反馈的数字证书后将数字证书写入申请人证书载体并交予申请人。
21.作为一种改进，申请人进行签名和验签时通过api调用签名验签前端子平台的签名验签接口；在签名验签应用子平台缓存中查找对应的证书信息，若证书信息存在于签名验签应用子平台缓存中则将证书信息连同报文一起发送至硬件签名设备中；若证书信息不存在则通过签名验签管理子平台在数据库中查找并将该证书信息连同报文一起发送至硬件签名设备，同时将该证书信息保存至签名验签应用子平台缓存。
22.作为一种改进，申请人进行证书更新时通过api调用签名验签应用子平台的证书更新服务；签名验签应用子平台调用签名硬件设备完成证书更新后将证书数据发送至其对应的签名验签管理子平台；签名验签管理子平台将证书数据更新至对应的数据库后，将证书更新的消息传递给其他签名验签管理子平台；其他签名验签管理子平台接收到证书更新的消息后进行证书数据更新，并将更新后的证书数据分发到所有的签名验签应用子平台；各个签名验签应用子平台接收到证书更新数据后对各自本地缓存中的证书数据进行更新。
23.本发明的有益之处在于：
24.1、线程池。签名验签应用子平台和管理子平台均使用了线程池的运行结构。通过线程池的利用，一方面减少对系统资源的消耗，另一方面加快系统的任务处理，提供了服务的响应速度。
25.2、证书缓存。名验签平台设计了缓存机制，处理联机交易服务时直接从缓存中获取证书密钥信息，以提高服务的处理效率。
26.签名验签应用子系统会与管理子系统交互，将管理子系统中的证书信息加载到缓存中。签名验签平台在处理业务应用的证书相关交易请求时，不需每次都向管理子系统请求，可以根据策略的控制，将缓存中的证书信息中取出，提高了服务的响应速度。
27.3、证书数据同步。了使得签名验签平台应用子系统集群中各个节点的证书信息的保持一致，平台采用了证书数据同步机制。
28.通过管理子系统的证书信息分发机制，集群中的所有应用子系统节点证书数据会一致。集群中的所有应用子系统节点都可以对外提供服务。在收到更新证书数据操作时，首先将证书数据更新到数据库中。然后通知其它管理子系统节点，等待其它管理子系统节点更新证书数据成功后，提交证书数据更新。并将证书数据分发到证书所属的各个应用子系统节点，以便应用子系统节点更新缓存。在管理子系统中，收到证书数据更新操作后，证书数据通知模块负载通知应用子系统更新缓存中的证书数据。
29.4、全业务系统安全可信密码算法。
30.5、双活数字中心架构，避免数据中心故障后业务出现大面积中断。
31.6、全局负载gtm，最优传输线路，保障响应时间最低。
32.7、oracle rac，数据库的高可用性和负载均衡。
附图说明
33.图1为本发明中数字签名验签平台的原理图。
34.图2为本发明中数字签名验签系统的原理图。
35.图3为本发明的流程图。
具体实施方式
36.为了使本领域的技术人员更好地理解本发明的技术方案，下面结合具体实施方式对本发明作进一步的详细说明。
37.如图1所示，本发明一种数字签名验签平台，具体包括：
38.签名验签前端子平台，用于提供业务应用连接加密及密钥交易平台的前端支持；api采用了负载均衡技术，能够支持业务应用访问签名验签平台应用子系统集群，提高服务性能和高可用。
39.签名验签应用子平台，用于提供数据安全服务。
40.签名验签管理子平台，用于进行核心证书数据管理、密钥管理服务和平台管理协调。
41.数据库，用于核心证书数据的存储。数据层是签名验签平台的核心证书数据的存储。本发明中优选采用采用了oracle数据库实现数据存储及存取管理。管理子系统数据库模块负责与数据层进行交互，采用了tcp长连接方式。
42.所述签名验签前端子平台具体又包括：
43.接口模块，用于提供外部调用的函数接口。
44.通讯模块，用于与签名验签应用子平台进行通信。
45.报文格式拼装模块，用于将请求报文组合成签名验签应用子平台能识别的报文格式。
46.配置模块，用于配置api通信服务。
47.集群负载算法模块，用于选择具体的签名验签平台应用子平台服务器ip地址。
48.日志模块，用于支持打印日志。
49.字符处理及基础算法模块，用于提供字符转换、计算md5值等。
50.所述签名验签应用子平台具体由以下几个技术模块进行支撑：
51.tcp通讯模块，用于通过tcp通讯协议与签名验签前端子平台、签名验签管理子平台进行通信；通讯模块负责报文管理，数据接收后进行报文解析，并将报文传入加密服务线程池。
52.线程调度模块，用于对签名验签应用子平台的服务线程进行池化管理，负责服务线程的启动、服务线程调度、管理维护等；通过分派调度服务任务，完成业务逻辑流程处理，协同各功能模块完成最终的业务请求。
53.密码机设备管理模块，用于与密码机、签名验签验签设备建立短连接，完成设备状态管理、负责与设备进行通讯、为接口提供完整的设备指令接口；密码机设备指令接口采用了指令队列技术。
54.密钥缓存管理模块，用于实现对密钥缓存建立、数据存储、数据清理及缓存维护等机制。
55.日志管理模块，用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志。
56.设备监控模块，用于准实时检测监控密码机状态、线程运行状态、系统各进程运行状态等。
57.所述验签管理子平台能由以下几个技术模块进行支撑：
58.tcp通讯模块，用过通过tcp通讯协议与签名验签应用子平台进行通信；通讯模块负责报文管理。
59.线程调度模块，用于对签名验签管理子平台的证书管理服务线程进行池化管理，负责服务线程的启动、服务线程调度、管理维护；通过分派调度服务任务，完成业务逻辑流程处理，协同各功能模块完成最终的业务请求签名设备管理：与密码机建立短连接，完成设备状态管理、负责与设备进行通讯、为接口提供完整的设备指令接口。密码机设备指令接口采用了指令队列技术。
60.集群管理模块，用于实现对签名验签管理子平台进行集群管理，对签名验签管理子平台的数据同步及数据更新进行管理与控制。
61.数据库管理模块，用于维护与数据库之间的连接，与数据库进行通讯并执行对数据库相应的sql操作。
62.界面管理模块，用于提供图形界面管理接口，支持web应用服务的接入；管理员可以通过web浏览器通过web应用服务访问签名验签平台的管理界面。
63.日志管理模块，用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志；
64.设备监控模块，用于准实时检测监控签名设备状态、线程运行状态、系统各进程运行状态。
65.另外，实施例中数字签名验签平台运行在在双活数据中心上，在这种工作模式下，用户所有的业务系统同时在两个数据中心运行，同时为用户提供服务，当某个数据中心的应用系统出现问题时，有另一个数据中心的应用来持续的提供服务。
66.双活数据中心的优点在于：一、充分利用资源，避免了一个数据中心常年处于闲置状态而造成浪费。通过资源整合，双活数据中心的服务能力是双倍的。二、双活数据中心如果断了一个数据中心，另外一个数据中心还在运行，对用户来说是不可感知的。
67.本发明还具有全局负载gtm即应用在双活数据中心下的负载均衡，为解决实现数据中心间的流量负载与业务的冗余；将用户定位到最近、响应最快的数据中心；实现双活数据中心业务的灵活切换。
68.具体为，通过智能dns解析在dns服务器中动态维持几个后台数据中心的ip地址，针对用户请求按照算法返回最适合的出口ip。如果其中一个数据中心出口出现问题，dns服务器便将其对应的ip地址暂停使用，并将后续的用户dns请求引导到其他仍在正常工作的数据中心出口，从而在广域网上实现后台资源的负载均衡。
69.如图2所示，另外本发明还提供一种数字签名验签系统，作为上述数字签名验签平台的硬件支撑，具体包括：
70.证书认证中心服务器(ca server,certificate authority server)，用于接收来自证书认证中心管理终端、证书注册中心服务器的证书管理请求，进行数字证书的注册、申
请、发放、作废、注销等管理工作，发布证书和证书的crl列表。
71.证书认证中心管理终端(ca server,certificate authority server)，用于进行证书认证系统策略管理、证书模板管理和证书管理。
72.证书注册中心服务器(ra server,registration authority server)，用于向证书认证中心服务器发送证书管理请求，进行数字证书的申请、下载、更新、冻结、解冻、作废。
73.密钥管理中心服务器(kmc server,key management center server)，用于实现加密证书的密钥管理服务，进行加密密钥的产生、发放、保存、恢复和密钥历史管理。
74.证书在线状态查询服务器，用于提供证书的状态在线查询服务。
75.用户终端，安装有证书下载控件，用于密钥生成、证书下载、证书更新、证书作废和密钥历史获取。
76.加密机，用于为证书认证中心服务器、证书注册中心服务器、密钥管理中心服务器、证书在线状态查询服务器加密。
77.如图3所示，本发明还提供一种数字签名验签方法，具体包括：
78.s1申请数字证书；
79.s2对数字证书申请进行审核；
80.s3审核通过后生成数字证书并将证书生成完毕的标识反馈给申请人；
81.s4申请人下载数字证书并利用数字证书进行签名和验签。
82.步骤s1具体包括：
83.s11用户终端将申请人资料上传至证书注册中心服务器；
84.s12注册中心服务器接收到申请人资料后在数据库中进行比对，如果该申请人没有注册则进行注册；如果已经注册则从注册中心服务器中获取用户uid，并将uid、申请的证书类型、证书有效期，和证书主题记录到注册中心服务器的数据库。
85.步骤s2具体包括：
86.s21注册中心服务器对数字证书申请进行审核，核验申请人的真实身份；
87.s22若核验通过注册中心服务器则将记录设置为通过状态，并向证书认证中心服务器发出生成证书的请求。
88.步骤s3具体包括：
89.s31证书认证中心服务器将申请人的身份信息生成数字签名；
90.s32证书认证中心服务器将申请人的身份信息和数字签名一起生成数字证书；
91.s33证书认证中心服务器向注册中心服务器发送证书生成完毕的标识，注册中心服务器将该标识转发至用户终端。
92.步骤s4具体包括：
93.s41用户终端利用证书生成完毕的标识向注册中心服务器发出下载证书的请求；
94.s42注册中心服务器将下载证书的请求转发至证书认证中心服务器；
95.s43注册中心服务器接收到证书认证中心服务器反馈的数字证书后将数字证书写入申请人证书载体并交予申请人；
96.s44申请人利用证书进行签名验签工作。
97.另外，用户第通过三方应用系统通过api调用签名验签接口时，会调用证书信息，并将证书与报文一起送到硬件签名设备中。为了减小系统开销，本发明中采用了证书缓存
机制，具体包括以下步骤：
98.s51申请人进行签名和验签时通过api调用签名验签前端子平台的签名验签接口；
99.s52在签名验签应用子平台缓存中查找对应的证书信息，若证书信息存在于签名验签应用子平台缓存中则将证书信息连同报文一起发送至硬件签名设备中；若证书信息不存在则通过签名验签管理子平台在数据库中查找并将该证书信息连同报文一起发送至硬件签名设备，同时将该证书信息保存至签名验签应用子平台缓存。
100.由于平台运行在双数据中心上，当申请人进行了证书更新后还要进行证书数据同步，其具体步骤包括：
101.s61申请人进行证书更新时通过api调用签名验签应用子平台的证书更新服务；
102.s62签名验签应用子平台调用签名硬件设备完成证书更新后将证书数据发送至其对应的签名验签管理子平台；
103.s63签名验签管理子平台将证书数据更新至对应的数据库后，将证书更新的消息传递给其他签名验签管理子平台；
104.s64其他签名验签管理子平台接收到证书更新的消息后进行证书数据更新，并将更新后的证书数据分发到所有的签名验签应用子平台；
105.s65各个签名验签应用子平台接收到证书更新数据后对各自本地缓存中的证书数据进行更新。
106.证书信息是放在签名验签管理子平台的数据库中的，同时会存储在签名验签应用子平台的本地缓存中，而签名验签管理子平台和签名验签应用子平台都不止一台服务器，因此就有了证书信息的数据同步机制。以有两个应用子平台(a、b)和管理子平台(a、b)为例
107.第三方系统通过api接口调用应用子平台(a)的证书更新服务，应用子系统调用签名硬件设备更新完成后发送至管理子平台(a)。首先管理子平台(a)将证书数据更新到数据库中，然后通知b管理子平台，等待b管理子平台节点更新证书数据成功后，提交证书数据更新。并将更新后的证书数据分发到各个应用子平台(a、b)，应用子平台收到更新信息后会将缓存到本地的证书信息进行更新。
108.以上仅是本发明的优选实施方式，应当指出的是，上述优选实施方式不应视为对本发明的限制，本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说，在不脱离本发明的精神和范围内，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。