远程签名权限验证方法、装置、存储介质及处理器与流程

本发明涉及信息安全，具体地涉及一种远程签名权限验证方法、一种远程签名权限验证装置、一种机器可读存储介质及一种处理器。

背景技术：

1、数字签名是一种将现实世界中的盖章、签字的功能在计算机世界中进行实现的技术。使用数字签名可以识别篡改和伪装，还可以防止否认。

2、随着信息技术及通信网络基础建设的飞跃发展，为了提升系统的安全性，越来越多的行业采用远程签名的方式进行签名，通过调用远程签名接口实现签名。然而，现有技术在进行远程签名过程中，往往不对远程签名接口的使用者进行身份限制，导致使用者可以任意调用远程签名接口。在业务操作中，只要获取了接口的网络地址和设参条件，就可完成对文件的签名操作，从而降低了签名需求的安全性和可靠性，

3、因此，现有远程签名权限验证存在没有对使用者的身份进行认证过滤，导致存在一定的安全风险的问题。

技术实现思路

1、本发明实施例的目的是提供一种远程签名权限验证方法、一种远程签名权限验证装置、一种机器可读存储介质及一种处理器，该远程签名权限验证方法可以对使用者的身份进行多层次的验证，以确定调用签名服务进行签名的使用者是否合法，在最大程度上确保签名的安全性和可靠性。

2、为了实现上述目的，本技术第一方面提供一种远程签名权限验证方法，应用于签名系统端，包括：

3、在进行签名操作之前，检测是否有ukey接入，并在检测到有ukey接入的情况下，获取所述ukey的基本信息，所述基本信息至少包括管理识别码和ukey证书；

4、对所述管理识别码进行验证；

5、在所述管理识别码验证通过的情况下，基于预设的根证书信息对所述ukey证书进行验证，得到权限验证结果；

6、其中，所述ukey的基本信息与使用者账号绑定。

7、在本技术实施例中，所述基于预设的根证书信息对所述ukey证书进行验证，得到权限验证结果，包括：

8、对所述ukey证书进行解析，得到证书有效起止日期和证书签名信息；

9、获取当前系统时间；

10、基于所述当前系统时间和证书有效起止日期，判断所述ukey证书是否在有效期内；

11、确定所述ukey证书在有效期内，基于预设的根证书信息和证书签名信息，验证所述ukey证书是否合法，得到权限验证结果。

12、在本技术实施例中，所述证书签名信息包括签名数据块以及对应的签名值；

13、所述基于预设的根证书信息和证书签名信息，验证所述ukey证书是否合法，得到权限验证结果，包括：

14、对预设的根证书信息进行解析，得到根证书公钥值；

15、基于所述根证书公钥值、签名数据块和对应的签名值，采用密码机对所述ukey证书进行验签，得到权限验证结果。

16、在本技术实施例中，所述ukey证书的申请过程包括：

17、由ukey发放单位获取ukey使用者发出的发行ukey证书申请，并验证所述发行ukey证书申请是否通过；

18、确定所述发行ukey证书申请通过，由ukey发放单位开放远程访问ra注册系统的权限；

19、在远程访问ra注册系统的权限开放成功的情况下，通过选择主站模板，向ra注册系统申请证书，以得到ukey证书。

20、在本技术实施例中，还包括：

21、在所述权限验证结果为验签通过的情况下，获取由所述密码机输出的随机数；

22、基于所述随机数，调用签名接口对所述ukey进行签名，得到签名值；

23、基于所述签名值、随机数和ukey证书，验证对所述ukey进行签名的合法性，得到签名验证结果。

24、在本技术实施例中，在调用签名接口对所述ukey进行签名之后，包括：

25、计算当前ukey签名次数；

26、判断当前ukey签名次数是否超出预设的签名次数阈值；

27、确定当前ukey签名次数没有超出预设的签名次数阈值，输出签名值。

28、在本技术实施例中，还包括：

29、在权限验证结果为通过的情况下，获取待签文件数据、ukey证书序列号和ukey证书标识；

30、基于所述待签文件数据、ukey证书序列号和ukey证书标识，调用签名系统向外提供的签名接口进行签名操作，得到签名结果。

31、在本技术实施例中，所述基于所述待签文件数据、ukey证书序列号和ukey证书标识，调用签名系统向外提供的签名接口进行签名操作，得到签名结果，包括：

32、基于所述ukey证书序列号查询得到对应的使用者账号信息；其中，所述使用者账号信息包括使用者签名权限；

33、校验所述ukey证书标识是否在所述使用者签名权限中，得到校验结果；

34、在所述校验结果为通过的情况下，基于所述ukey证书标识获取签名所需信息；

35、基于所述签名所需信息，对所述待签文件数据进行签名，得到签名结果。

36、本技术第二方面提供一种远程签名权限验证装置，应用于签名系统端，包括：

37、获取模块，用于在进行签名操作之前，检测是否有ukey接入，并在检测到有ukey接入的情况下，获取所述ukey的基本信息，所述基本信息至少包括管理识别码和ukey证书；其中，所述ukey的基本信息与使用者账号绑定；

38、第一验证模块，用于对所述管理识别码进行验证；

39、第二验证模块，用于在所述管理识别码验证通过的情况下，基于预设的根证书信息对所述ukey证书进行验证，得到权限验证结果。

40、在本技术实施例中，所述第二验证模块包括：

41、解析单元，用于对所述ukey证书进行解析，得到证书有效起止日期和证书签名信息；

42、时间获取单元，用于获取当前系统时间；

43、判断单元，用于基于所述当前系统时间和证书有效起止日期，判断所述ukey证书是否在有效期内；

44、验证单元，用于确定所述ukey证书在有效期内，基于预设的根证书信息和证书签名信息，验证所述ukey证书是否合法，得到权限验证结果。

45、在本技术实施例中，所述证书签名信息包括签名数据块以及对应的签名值；

46、所述验证单元包括：

47、根证书解析子单元，用于对预设的根证书信息进行解析，得到根证书公钥值；

48、验签子单元，用于基于所述根证书公钥值、签名数据块和对应的签名值，采用密码机对所述ukey证书进行验签，得到权限验证结果。

49、在本技术实施例中，还包括：

50、随机数生成子单元，用于在所述权限验证结果为验签通过的情况下，获取由所述密码机输出的随机数；

51、ukey签名子单元，用于基于所述随机数，调用签名接口对所述ukey进行签名，得到签名值；

52、签名验证子单元，用于基于所述签名值、随机数和ukey证书，验证对所述ukey进行签名的合法性，得到签名验证结果。

53、本技术第三方面提供一种处理器，被配置成执行上述的远程签名权限验证方法。

54、本技术第四方面提供一种机器可读存储介质，该机器可读存储介质上存储有指令，该指令在被处理器执行时使得所述处理器被配置成执行上述的远程签名权限验证方法。

55、通过上述技术方案，通过在签名操作之前检测ukey，并基于ukey中的管理识别码和ukey证书对使用者的身份进行多层次的验证，以确定调用签名服务进行签名的使用者是否合法，在最大程度上确保签名的安全性和可靠性，从而加固签名系统向外暴露的签名接口的使用权限，进而达到专人专用的签名权限控制。所用到的ukey是一种硬件设备，从而可以实现硬件和软件相结合的方式进行权限验证，提高了权限验证的可靠性。

56、本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。