数字签名方法和系统、应用服务器和云密码服务器的制造方法

数字签名方法和系统、应用服务器和云密码服务器的制造方法
【专利摘要】一种数字签名方法，包括：根据应用服务器的加密证书向云密码服务器发起签名请求；通过云密码服务器响应签名请求，获取对称密钥的密文；根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文；在对数据报文进行验签和对称解密后，利用云密码服务器的私钥对待签名原文数据进行数字签名，获得原文数据签名值；根据原文数据和预先植入到应用服务器中签名公钥证书对原文数据签名值进行验证。本发明还提供一种数字签名系统、数字签名应用服务器和云密码服务器，本发明的技术，可以降低数字签名成本，保证密码运算能力，可以为用户提供稳定性更高的签名服务。
【专利说明】数字签名方法和系统、应用服务器和云密码服务器
【技术领域】
[0001]本发明涉及密码学【技术领域】，特别是涉及一种数字签名方法和系统、应用服务器和云密码服务器。
【背景技术】
[0002]基于PKI体系的数字签名技术在信息化系统中的应用日益得到普及。在签名技术的应用中，服务器端签名是一种较为普遍的签名应用模式，其基本实现原理是通过在信息化系统的应用服务器端部署直连的密码机，通过密码机提供的API接口对服务器端待签名原文数据进行数字签名，签名过程使用的私钥信息只存储在本地部署的密码机上且唯一，完成服务器端签名的原文数据和签名值由信息化系统发布给终端用户或其它信息化系统，终端用户或其它信息化系统可结合原文信息及签名值验证发布信息的完整性和真实性。
[0003]信息化系统结合自身业务需求要实现服务器端签名必须购置本地部署的密码机。由于目前密码机设备自身的特殊性，采购成本一般较高。信息化系统要实现一个简单签名业务功能需要投入较高的系统建设成本。
[0004]使用本地部署的密码机进行服务器端签名时，密码机设备成为了信息化系统的重要组成部分，这样密码机同时也成为了信息化系统应用的风险点，存在单点故障风险和维护成本，一旦该设备出现故障会直接影响到信息化系统的具体业务功能。
[0005]另外，在上述技术中，一般情况下密码机硬件的密码运算能力是有限，即其并发处理能力有限的，当需要同时为信息化系统的大量用户提供签名服务时，密码机无法实现按业务所需的密码运算，而且随着用户量的递增以及业务处理能力的扩充，密码机的运算能力就会达到峰值，而由于唯一性的因素，也无法实现按业务需求进行密码运算能力和并发能力的动态扩展，难以为信息化系统提供稳定性更高的签名服务。

【发明内容】

[0006]基于此，有必要针对上述问题，提供一种成本低、应用风险低并能依据应用性能需求进行动态扩展的数字签名方法及其支撑系统。
[0007]一种数字签名方法，包括如下步骤:
[0008]根据应用服务器的加密证书向云密码服务器发起签名请求；
[0009]通过所述云密码服务器响应所述签名请求，获取对称密钥的密文；
[0010]根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文；
[0011]在对所述数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值；
[0012]根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
[0013]一种数字签名系统，包括:[0014]签名请求模块，用于根据应用服务器的加密证书向云密码服务器发起签名请求；
[0015]签名响应模块，用于通过所述云密码服务器响应所述签名请求，获取对称密钥的密文；
[0016]原文签名模块，用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文；
[0017]数字签名模块，用于在对所述数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值；
[0018]签名验证模块，用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
[0019]上述数字签名方法和系统，通过云密码服务器向应用服务器提供密码运算服务，应用服务器通过调用云密码服务器完成数字签名的密码运算相关操作，无需为应用服务器部署本地的密码机设备，降低了数字签名成本，也避免了密码机成为了信息化系统应用的风险点的问题。同时，由于云密码服务器可以基于主流的通用服务器硬件来构建，具有海量计算能力、海量存储、动态扩展等技术特点，密码运算能力得到保证，运算资源可以进行复用，签名服务动态扩展性能好，可以按业务需求进行密码运算能力和并发能力的动态扩展，从而可以为用户提供稳定性更高的签名服务。
[0020]一种数字签名应用服务器，包括:
[0021]签名请求单元，用于根据本地的加密证书向云密码服务器发起签名请求；
[0022]原文签名单元，用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文；其中，所述密文为云密码服务器响应所述签名请求后回传的所述对称密钥的密文。
[0023]签名验证单元，用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证；其中，所述原文数据签名值为所述云密码服务器利用自身产生的私钥对所述待签名原文数据进行数字签名后回传的签名值。
[0024]上述数字签名应用服务器，通过利用云密码服务器来提供密码运算服务，在执行用户的签名时，通过调用云密码服务器完成数字签名的密码运算相关操作，无需部署本地的密码机设备，降低了数字签名成本，也避免了密码机成为了信息化系统应用的风险点的问题。同时，由于云密码服务器可以基于主流的通用服务器硬件来构建，具有海量计算能力、海量存储、动态扩展等技术特点，密码运算能力得到保证，运算资源可以进行复用，签名服务动态扩展性能好，可以按业务需求进行密码运算能力和并发能力的动态扩展，从而可以为用户提供稳定性更高的签名服务。可以应用到多个不同的信息化系统中，实现针对不同信息化系统进行签名，满足不同信息化系统调用各自私钥的需求和密钥管理安全的需求。
[0025]一种数字签名云密码服务器，该的云密码服务器设于云端，包括:
[0026]签名响应单元，用于通过云密码服务器响应签名请求，获取对称密钥的密文回传至执行签名的应用服务器；其中，所述签名请求为所述应用服务器根据所持有的加密证书提交的签名请求；
[0027]数字签名单元，用于在对所述应用服务器提交的数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值，并回传至应用服务器；其中，所述数据报文为应用服务器根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到的签名信息，以及密文组装而成的数据报文。
[0028]上述数字签名云密码服务器，是基于云密码机的构建，可以向应用服务器执行签名提供密码运算服务，云密码服务器完成数字签名的密码运算相关操作，执行签名的应用服务器无需部署本地的密码机设备，降低了数字签名成本，也避免了密码机成为了信息化系统应用的风险点的问题。同时，云密码服务器可以基于主流的通用服务器硬件来构建，具有海量计算能力、海量存储、动态扩展等技术特点，密码运算能力得到保证，运算资源可以进行复用，签名服务动态扩展性能好，可以按业务需求进行密码运算能力和并发能力的动态扩展，从而可以为用户提供稳定性更高的签名服务。
【专利附图】

【附图说明】
[0029]图1为一个实施例的数字签名方法的流程图；
[0030]图2为一个应用示例数字签名方法的流程图；
[0031]图3为一个实施例的数字签名系统的结构示意图；
[0032]图4为一个实施例的数字签名应用服务器结构示意图；
[0033]图5为一个实施例的数字签名云密码服务器结构示意图。
【具体实施方式】
[0034]下面结合附图对本发明的数字签名方法的【具体实施方式】作详细描述。
[0035]参见图1，图1为一个实施例的数字签名方法的流程图，主要包括以下步骤:
[0036]S101、根据应用服务器的加密证书向设于云端的云密码服务器发起签名请求。
[0037]在本步骤中，可以由应用服务器接受用户签名请求，利用云服务模式及相关PKI技术，根据本地的加密证书向设于云端的云密码服务器请求云签名服务。
[0038]S102、通过所述云密码服务器响应所述签名请求，获取对称密钥的密文。
[0039]在本步骤中，可以由云密码服务器通过统一的接口为各个应用服务器提供签名服务，响应各个应用服务器的签名请求，验证签名证书有效性后，产生随机对称密钥，并对对称密钥进行加密获得对称密钥的密文。
[0040]S103、根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文。
[0041]在本步骤中，可以由应用服务器本地的加密私钥解密出对称密钥，再使用对称密钥对待签名原文数据进行对称加密得到密文数据，然后对密文数据执行数字签名得到签名信息，并将密文和签名信息组装成数据报文提交至云密码服务器。
[0042]S104、在对所述数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值。
[0043]在本步骤中，可以由云密码服务器对应用服务器提交的数据报文进行验签和对称解密，再根据云密码服务器的私钥对待签名原文数据进行数字签名，获得应用服务器对应的原文数据签名值。[0044]S105、根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
[0045]在本步骤中，可以由各个应用服务器从云密码服务器获取待签名原文的原文数据签名值，进一步利用预先植入到应用服务器中的签名公钥证书，对原文数据签名值进行验证，确定待签名原文数据签名值的有效性。
[0046]本发明的数字签名方法，结合了云服务技术及相关PKI技术，以云签名的方式向由设于云端的云密码服务器提交签名请求和提交待签名数据的密文，由云密码服务器通过统一接口向应用服务器提供签名云服务，实现了在云端构建云密码机，可以实现向多个应用服务器的用户提供云签名服务，用户要进行签名时，通过应用服务器调用云端的云密码服务器提供的统一接口，提交签名请求，执行相关数字签名操作流程，即可完成签名过程。
[0047]相比现有数字签名技术，本发明的技术方案中无需分别在应用服务器部署本地的密码机设备，而是通过统一接口调用云端的云密码服务器来实现数字签名密码机的功能，降低了用户的数字签名成本。
[0048]另外，将签名过程密码相关处理运算都统一交由云密码服务器完成，可以充分利用云服务模式的优点，从而可以有效保证签名过程中的密码运算能力，云密码服务器的运算资源可以得到更好的复用，提高了资源利用率，由于云端计算能力具有良好的扩展性能，可以按业务需求动态扩展云密码服务器的密码运算能力和并发能力，动态扩展签名服务性能，从而为用户提供稳定性更高的签名服务。
[0049]为了更加清晰本发明的技术方案，下面阐述数字签名方法的优选实施例。
[0050]对于步骤SlOl中所述加密证书，可以包括个人证书、机构证书、设备证书等签名证书。
[0051]在一个实施例中，步骤S102具体包括:
[0052]a、通过云密码服务器验证所述加密证书的有效性。
[0053]优选的，云密码服务器可以通过证书链验证、有效期验证、CRL验证等方式来确认加密证书的有效性，另外，云密码服务器也可以通过应用服务器加密证书的唯一标识确定信息化系统的有效性。
[0054]b、在确认所述加密证书有效后，随机产生对称密钥。
[0055]具体的，云密码服务器可以通过应用服务器发起签名请求的加密证书验证及其证书唯一标识确定信息化系统的有效合法身份，在验证有效身份后，随机产生对称密钥。
[0056]C、根据所述加密证书对所述对称密钥进行加密，获得对称密钥的密文，然后回传给应用服务器。
[0057]在一个实施例中，步骤S103具体包括:
[0058]d、利用所述应用服务器本地的加密私钥解密出所述对称密钥。
[0059]e、根据所述对称密钥对待签名原文数据进行加密得到密文数据。
[0060]f、利用所述应用服务器的签名私钥对所述密文数据进行数字签名获得签名信息。
[0061]在本实施例中，应用服务器可以利用云密码服务器通过统一接口回传的对称密钥，从而既可以为所属的信息化系统提供云签名服务，也可以确保各个信息化系统的密钥使用的安全需求。
[0062]在一个实施例中，步骤S104具体包括:[0063]g、根据所述加密证书验证所述签名信息。
[0064]具体的，可以由云密码服务器基于前述步骤获取的应用服务器的签名证书(伴随加密证书一起获取)，对应用服务器提交的签名信息进行验证，确定签名信息的完整性和有效性。
[0065]h、在验证签名通过后，根据所述对称密钥对所述数据报文进行验签和对称解密获得原文数据。
[0066]1、确定所述云密码服务器对应的私钥，利用该私钥对所述待签名原文数据进行数字签名，获得原文数据签名值。
[0067]具体的，可以根据加密证书的唯一标记确定云密码服务器的私钥，再利用该私钥对待签名原文数据进行数字签名得到原文数据签名值；在此过程中，所述唯一标记可以为证书HASH值或扩展信息标记。
[0068]在本实施例中，可以由云密码服务器根据应用服务器提交的签名信息，获取原文数据签名值，回传至应用服务器，实现提供数字签名服务功能。
[0069]需要声明的是，本发明的数字签名方法，还可以包括如下技术特征:
[0070]所述应用服务器与云密码服务器之间的通信环境，可以是互连网环境或其它网络环境。
[0071]所述统一接口可以是以Web Service技术提供的数字签名服务接口。
[0072]所述应用服务器可以为信息化系统提供数字签名服务，也可以为个人提供数字签名服务。
[0073]所述应用服务器与云密码服务器之间的通信过程，所涉及的数字证书可以采用SM2、RSA密码运算或其它各种算法的对称密码运算，从而确保通信数据的安全和可信。
[0074]云密码服务器可以采用虚拟化技术、资源调用管理技术以及与云服务相关的管理和控制技术，实现密码运算能力或并发能力能按应用服务器的业务需求而进行动态的增强或扩展。
[0075]为了更加清晰本发明的技术方案，下面阐述基于本发明的数字签名方法实现的应用示例。
[0076]在本应用示例中，包括用于为信息化系统或个人提供数字签名服务的应用服务器，以及设于云端的云云密码服务器，应用服务器与云密码服务器之间通过通信网络进行连接。
[0077]参考图2所示，图2为一个应用示例数字签名方法的流程图，主要包括如下步骤:
[0078]S201、应用服务器获取应用端本地的加密证书和签名证书，并向云云密码服务器发起云签名请求。
[0079]S202、应用服务器向云云密码服务器发送本地应用端的加密证书和签名证书。
[0080]S203、云密码服务器验证应用服务器加密证书的有效性。
[0081]S204、云密码服务器产生随机的对称密钥。
[0082]S205、云密码服务器根据应用服务器的加密证书对随机产生对称密钥进行加密。
[0083]S206、云密码服务器将加密后的对称密钥信息回传给应用服务器。
[0084]S207、应用服务器使用本地加密私钥完成对称密钥信息的解密，获取到明文的对称密钥。[0085]S208、应用服务器使用对称密钥对需要进行云签名的数据原文进行加密。
[0086]S209、应用服务器使用本地的签名私钥对加密后的密文数据进行数字签名。
[0087]S210、应用服务器将原文加密后的密文及密文的签名值提交至云密码服务器。
[0088]S211、云密码服务器基于在步骤S202中接收的应用服务器签名证书对密文的签名值进行验签名，确定密文信息的完整性和有效性。
[0089]S212、云密码服务器通过存储的对称密钥完成原文数据的解密操作，还原出原文信息。
[0090]S213、云密码服务器通过所述加密证书或签名证书的唯一标识确定应用服务器需要进行云签名服务的对应私钥信息，通过对应私钥完成对原文数据的数字签名。
[0091]S214、云密码服务器向应用服务器回传原文的签名值及签名私钥对应的签名证书。
[0092]S215、应用服务器对云密码服务器的数字签名信息进行验证，确定签名值的有效性。
[0093]下面结合附图对本发明的数字签名系统的【具体实施方式】作详细描述。
[0094]参考图3，图3示出了一个实施例的数字签名系统的结构示意图，包括:
[0095]签名请求模块301，用于根据应用服务器的加密证书向云密码服务器发起签名请求；
[0096]签名响应模块302，用于通过所述云密码服务器响应所述签名请求，获取对称密钥的密文；
[0097]原文签名模块303，用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文；
[0098]数字签名模块304，用于在对所述数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值；
[0099]签名验证模块305，用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
[0100]对于签名请求模块301中发起签名请求时所应用的加密证书，可以包括个人证书、机构证书、设备证书等。
[0101 ] 在一个实施例中，所述签名响应模块302进一步用于:
[0102]通过云密码服务器验证所述加密证书的有效性；
[0103]在确认所述加密证书有效后，随机产生对称密钥；
[0104]根据所述加密证书对所述对称密钥进行加密，获得对称密钥的密文。
[0105]在一个实施例中，所述原文签名模块303进一步用于:
[0106]利用所述应用服务器本地的加密私钥解密出所述对称密钥；
[0107]根据所述对称密钥对待签名原文数据进行加密得到密文数据；
[0108]利用所述应用服务器的签名私钥对所述密文数据进行数字签名获得签名信息。
[0109]在一个实施例中，所述数字签名模块304进一步用于:
[0110]根据所述加密证书验证所述签名信息；
[0111]在验证签名通过后，根据所述对称密钥对所述数据报文进行验签和对称解密获得原文数据；
[0112]确定所述云密码服务器对应的私钥，利用该私钥对所述待签名原文数据进行数字签名，获得原文数据签名值。
[0113]本发明的数字签名系统与本发明的数字签名方法一一对应，在上述数字签名方法的实施例阐述的技术特征及其有益效果均适用于数字签名系统的实施例中，在此不再赘述。
[0114]下面结合附图对本发明的数字签名应用服务器的【具体实施方式】作详细描述。
[0115]参考图4，图4为一个实施例的数字签名应用服务器结构示意图，该应用服务器包括:
[0116]签名请求单元401，用于根据本地的加密证书向云密码服务器发起签名请求；
[0117]原文签名单元402，用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文；其中，所述密文为云密码服务器响应所述签名请求后回传的所述对称密钥的密文。
[0118]签名验证单元403，用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证；其中，所述原文数据签名值为所述云密码服务器利用自身产生的私钥对所述待签名原文数据进行数字签名后回传的签名值。
[0119]本发明的数字签名应用服务器，可以利用云密码服务器来提供云签名服务，在进行签名时，根据本地持有的加密证书向云密码服务器发起签名请求，就可以调用云密码服务器来执行密码运算相关处理，既实现针对不同信息化系统进行签名的需求，又可以保证不同信息化系统调用各自私钥的需求和密钥管理安全的需求，从而可以应用到多个不同的信息化系统/用户系统中执行签名服务。
[0120]下面结合附图对本发明的数字签名云密码服务器的【具体实施方式】作详细描述。
[0121]参考图5，图5为一个实施例的数字签名云密码服务器结构示意图，该云密码服务器设于云端，包括:
[0122]签名响应单元501，用于通过云密码服务器响应签名请求，获取对称密钥的密文回传至执行签名的应用服务器；其中，所述签名请求为所述应用服务器根据所持有的加密证书提交的签名请求；
[0123]数字签名单元502，用于在对所述应用服务器提交的数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值，并回传至应用服务器；其中，所述数据报文为应用服务器根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到的签名信息，以及密文组装而成的数据报文。
[0124]本发明的数字签名云密码服务器，是基于云密码机的构建，可以向执行应用服务器的提供统一的云签名服务，应用服务器在进行签名时，可以调用云密码服务器来完成签名中的密码运算相关处理操作，这样，执行签名的应用服务器就无需在本地部署密码机设备来执行密码运算，从而降低了签名成本和建设的成本，可以为应用服务器的各个信息化系统/用户系统提供云签名服务。
[0125]同时，本发明的数字签名云密码服务器，是基于云模式构建，云计算系统具有良好的扩展性能，可以便利地扩展服务器资源，进一步的，通过虚拟化技术和资源调动管理技术，可结合应用服务器进行的签名业务的需求，动态的调整密码运算的能力和并发能力，可随着应用服务器中信息化系统用户量数的增加和业务进行扩展，从而提供长期稳定的云签名服务。
[0126]在对上述数字签名云密码服务器和数字签名云密码服务器的应用中，进一步通过PKI体系的SM2、RSA密码运算和数字证书认证，进行信息化系统调用云签名服务过程中的身份确认，并通过确认的合法身份进行私钥信息的管理和使用。通过SM2、RSA密钥运算和对称密码运算，保证基于互联网环境明文数据传输和签名产生及验证的信息安全。云密码服务器日常维护和管理可以统一由云服务中心完成，当出现异常情况时，可以由云服务中心完成切换或重构，进一步降低信息化系统的应用风险和维护成本。
[0127]以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种数字签名方法，其特征在于，包括如下步骤: 根据应用服务器的加密证书向云密码服务器发起签名请求； 通过所述云密码服务器响应所述签名请求，获取对称密钥的密文； 根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文； 在对所述数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值； 根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
2.根据权利要求1所述的数字签名方法，其特征在于，通过所述云密码服务器响应所述签名请求，获取对称密钥的密文的步骤包括: 通过云密码服务器验证所述加密证书的有效性； 在确认所述加密证书有效后，随机产生对称密钥； 根据所述加密证书对所述对称密钥进行加密，获得对称密钥的密文。
3.根据权利要求1所述的数字签名方法，其特征在于，所述根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息的步骤包括: 利用所述应用服务器本地的加密私钥解密出所述对称密钥； 根据所述对称密钥对待签名原文数据进行加密得到密文数据； 利用所述应用服务器的签名私钥对所述密文数据进行数字签名获得签名信息。
4.根据权利要求1所述的数字签名方法，其特征在于，在对所述数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值的步骤包括: 根据所述加密证书验证所述签名信息； 在验证签名通过后，根据所述对称密钥对所述数据报文进行验签和对称解密获得原文数据； 确定所述云密码服务器对应的私钥，利用该私钥对所述待签名原文数据进行数字签名，获得原文数据签名值。
5.根据权利要求1所述的数字签名方法，其特征在于，所述加密证书包括:个人证书、机构证书或设备证书。
6.一种数字签名系统，其特征在于，包括: 签名请求模块，用于根据应用服务器的加密证书向云密码服务器发起签名请求； 签名响应模块，用于通过所述云密码服务器响应所述签名请求，获取对称密钥的密文； 原文签名模块，用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文；数字签名模块，用于在对所述数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值； 签名验证模块，用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证。
7.根据权利要求6所述的数字签名系统，其特征在于，所述签名响应模块进一步用于: 通过云密码服务器验证所述加密证书的有效性； 在确认所述加密证书有效后，随机产生对称密钥； 根据所述加密证书对所述对称密钥进行加密，获得对称密钥的密文。
8.根据权利要求6所述的数字签名系统，其特征在于，所述原文签名模块进一步用于: 利用所述应用服务器本地的加密私钥解密出所述对称密钥； 根据所述对称密钥对待签名原文数据进行加密得到密文数据； 利用所述应用服务器的签名私钥对所述密文数据进行数字签名获得签名信息。
9.根据权利要求6所述的数字签名系统，其特征在于，所述数字签名模块进一步用于: 根据所述加密证书验证 所述签名信息； 在验证签名通过后，根据所述 对称密钥对 所述数据报文进 行验签和对称解密获得原文数据； 确定所述云密码服务器对应的私钥，利用该私钥对所述待签名原文数据进行数字签名，获得原文数据签名值。
10.根据权利要求6所述的数字签名系统，其特征在于，所述加密证书包括:个人证书、机构证书或设备证书。
11.一种数字签名应用服务器，其特征在于，包括: 签名请求单元，用于根据本地的加密证书向云密码服务器发起签名请求； 原文签名单元，用于根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到签名信息，将密文和签名信息组装成数据报文；其中，所述密文为云密码服务器响应所述签名请求后回传的所述对称密钥的密文。 签名验证单元，用于根据所述原文数据和预先植入到应用服务器中签名公钥证书对所述原文数据签名值进行验证；其中，所述原文数据签名值为所述云密码服务器利用自身产生的私钥对所述待签名原文数据进行数字签名后回传的签名值。
12.—种数字签名云密码服务器，其特征在于，该云密码服务器设于云端，包括: 签名响应单元，用于通过云密码服务器响应签名请求，获取对称密钥的密文回传至执行签名的应用服务器；其中，所述签名请求为所述应用服务器根据所持有的加密证书提交的签名请求； 数字签名单元，用于在对所述应用服务器提交的数据报文进行验签和对称解密后，利用所述云密码服务器的私钥对所述待签名原文数据进行数字签名，获得原文数据签名值，并回传至应用服务器；其中，所述数据报文为应用服务器根据解密获得的对称密钥对待签名原文数据进行对称加密获得密文数据，并对密文数据执行数字签名得到的签名信息，以及密文组装而成的数据报文。
【文档编号】H04L29/06GK103490892SQ201310381873
【公开日】2014年1月1日 申请日期:2013年8月28日 优先权日:2013年8月28日
【发明者】汪毅, 刘, 张永强, 廖卫民 申请人:广东数字证书认证中心有限公司