本發(fā)明涉及電子加密技術(shù)，具體涉及一種能夠?qū)崿F(xiàn)快速電子簽名的電子簽名方法和電子簽名終端。

背景技術(shù)：

對(duì)于電子商務(wù)、電子政務(wù)、網(wǎng)絡(luò)交易等基于I nternet的企業(yè)應(yīng)用來說，終端高速簽名使用的需求和范圍日益增大，所以在終端上保證應(yīng)用數(shù)據(jù)的安全性和快速高效簽名至關(guān)重要。現(xiàn)有的智能密碼鑰匙存在簽名速度慢，并發(fā)性支持不好及擴(kuò)容費(fèi)用高的問題。高速簽名的終端方案則是針對(duì)此類問題而開發(fā)的產(chǎn)品，為保障應(yīng)用數(shù)據(jù)在計(jì)算機(jī)和終端的使用安全都提供了極大的便利和可靠性，也滿足了企業(yè)應(yīng)用簽名高速的強(qiáng)需求。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)現(xiàn)有技術(shù)中所存在的問題，本發(fā)明的目的在于基于網(wǎng)絡(luò)的多進(jìn)程多并發(fā)特點(diǎn)，提供一種能夠?qū)崿F(xiàn)快速簽名的電子簽名方法和電子簽名終端，解決傳統(tǒng)智能密碼鑰匙效率低的問題。

為達(dá)到上述發(fā)明目的，本發(fā)明的技術(shù)方案如下：

一種電子簽名方法，包括：

(1)主安全芯片獲取經(jīng)過服務(wù)主機(jī)解析的簽名業(yè)務(wù)數(shù)據(jù)；

(2)在至少兩個(gè)運(yùn)算安全芯片中查詢是否存在空閑狀態(tài)的運(yùn)算安全芯片，若存在，則將簽名業(yè)務(wù)數(shù)據(jù)發(fā)送給空閑狀態(tài)的運(yùn)算安全芯片進(jìn)行電子簽名；

若不存在，則在確定存在運(yùn)算安全芯片處于空閑狀態(tài)后，將簽名業(yè)務(wù)數(shù)據(jù)發(fā)送給相應(yīng)的空閑狀態(tài)運(yùn)算安全芯片進(jìn)行電子簽名；

(3)所述主安全芯片接收經(jīng)過運(yùn)算安全芯片電子簽名后的簽名數(shù)據(jù)并將該簽名數(shù)據(jù)傳送給服務(wù)主機(jī)。

進(jìn)一步地，上述電子簽名方法，步驟(2)中確定存在運(yùn)算安全芯片處于空閑狀態(tài)的方法為：主運(yùn)算安全芯片接收到來自運(yùn)算安全芯片電子簽名后的簽名數(shù)據(jù)即確定存在相應(yīng)的運(yùn)算安全芯片處于空閑狀態(tài)。

進(jìn)一步地，上述電子簽名方法，所述服務(wù)主機(jī)通過網(wǎng)絡(luò)接口接收由上層業(yè)務(wù)應(yīng)用通過PKI接口調(diào)用API接口發(fā)送的簽名業(yè)務(wù)數(shù)據(jù)并進(jìn)行解析；所述服務(wù)主機(jī)將來自主安全芯片的簽名數(shù)據(jù)傳送給上層業(yè)務(wù)應(yīng)用。

相應(yīng)地，本發(fā)明還提供了一種電子簽名終端，包括密碼服務(wù)單元和服務(wù)主機(jī)；

所述密碼服務(wù)單元包括：

主安全芯片，用于查詢運(yùn)算安全芯片的空閑狀態(tài)，獲取簽名業(yè)務(wù)數(shù)據(jù)并將該簽名業(yè)務(wù)數(shù)據(jù)傳遞給空閑的運(yùn)算安全芯片，接收來自運(yùn)算安全芯片的簽名數(shù)據(jù)并將該簽名數(shù)據(jù)傳送；

運(yùn)算安全芯片，至少有兩個(gè)，用于接收來自主安全芯片的簽名業(yè)務(wù)數(shù)據(jù)，根據(jù)該簽名業(yè)務(wù)數(shù)據(jù)進(jìn)行電子簽名，并將電子簽名后的簽名數(shù)據(jù)傳遞給主安全芯片；

證書灌裝安全芯片，用于將證書信息傳遞給主安全芯片；

所述服務(wù)主機(jī)，與所述主安全芯片通訊連接，用于獲取簽名業(yè)務(wù)數(shù)據(jù)，對(duì)其進(jìn)行解析并將解析后的簽名業(yè)務(wù)數(shù)據(jù)傳遞給所述主安全芯片；也用于獲取來自主安全芯片的簽名數(shù)據(jù)并傳送該簽名數(shù)據(jù)。

進(jìn)一步地，上述電子簽名終端，所述服務(wù)主機(jī)通過網(wǎng)絡(luò)接口獲取來自上層業(yè)務(wù)應(yīng)用的簽名業(yè)務(wù)數(shù)據(jù)。

進(jìn)一步地，上述電子簽名終端，所述上層業(yè)務(wù)應(yīng)用的簽名數(shù)據(jù)通過PKI接口所調(diào)用的API接口發(fā)送給所述網(wǎng)絡(luò)接口。

進(jìn)一步地，上述電子簽名終端，所述服務(wù)主機(jī)和所述主安全芯片通過USB接口實(shí)現(xiàn)通訊連接。

進(jìn)一步地，上述電子簽名終端，所述密碼服務(wù)單元設(shè)置有外部接口，所述外部接口包括與所述證書灌裝安全芯片連接的USB接口和輸入設(shè)備接口；

該與所述證書灌裝安全芯片連接的USB接口用于生產(chǎn)、證書預(yù)制和證書更新。

進(jìn)一步地，上述電子簽名終端，所述密碼服務(wù)單元還與顯示單元通訊連接；所述服務(wù)主機(jī)還與COM接口連接；

所述COM接口，用于配置IP、查詢MAC和加入設(shè)備的可信IP。

進(jìn)一步地，上述電子簽名終端，所述運(yùn)算安全芯片使用的非對(duì)稱密對(duì)相同。

本發(fā)明具有以下有益效果：

1、基于網(wǎng)絡(luò)的多進(jìn)程多并發(fā)特點(diǎn)，采用多個(gè)運(yùn)算安全芯片同時(shí)進(jìn)行電子簽名，解決了傳統(tǒng)智能密碼鑰匙效率低的缺點(diǎn)；

2、終端的各個(gè)端口權(quán)限分離，便于安全管理；

3、支持PKI體系，可以快速部署與企業(yè)簽名應(yīng)用；

4、通過網(wǎng)絡(luò)接口接收數(shù)據(jù)，避免重置引起的數(shù)據(jù)丟失造成的訪問不穩(wěn)定。

附圖說明

圖1為本發(fā)明具體實(shí)施例的電子簽名方法的流程圖。

圖2為本發(fā)明具體實(shí)施例的電子簽名終端的結(jié)構(gòu)框圖。

圖3為本發(fā)明具體實(shí)施例的密碼服務(wù)單元的結(jié)構(gòu)框圖。

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)的描述。

如圖1所示，本發(fā)明針對(duì)網(wǎng)絡(luò)的多進(jìn)程多并發(fā)特點(diǎn)，提供了一種電子簽名方法，包括：

(1)主安全芯片獲取簽名業(yè)務(wù)數(shù)據(jù)，S201；

(2)在至少兩個(gè)運(yùn)算安全芯片中查詢是否存在空閑狀態(tài)的運(yùn)算安全芯片，S202；

若存在，則將簽名業(yè)務(wù)數(shù)據(jù)發(fā)送給空閑狀態(tài)的運(yùn)算安全芯片進(jìn)行電子簽名,S203a；若不存在，則在確定存在運(yùn)算安全芯片處于空閑狀態(tài)后，將簽名業(yè)務(wù)數(shù)據(jù)發(fā)送給相應(yīng)的空閑狀態(tài)運(yùn)算安全芯片進(jìn)行電子簽名，S203b；

(3)所述主安全芯片接收經(jīng)過運(yùn)算安全芯片電子簽名后的簽名數(shù)據(jù)并將該簽名數(shù)據(jù)傳送,S204。

如此，多個(gè)運(yùn)算安全芯片能夠同時(shí)進(jìn)行電子簽名任務(wù)，解決了因現(xiàn)有技術(shù)方案中真正起到簽名作用的運(yùn)算安全芯片只有一個(gè)，遇到多進(jìn)程多并發(fā)的簽名業(yè)務(wù)時(shí)排隊(duì)等候產(chǎn)生的簽名效率低下的不利情況。

進(jìn)一步地，服務(wù)主機(jī)通過網(wǎng)絡(luò)接口接收來自上層業(yè)務(wù)應(yīng)用的簽名業(yè)務(wù)數(shù)據(jù),S102；該簽名業(yè)務(wù)數(shù)據(jù)由上層業(yè)務(wù)應(yīng)用通過PKI接口調(diào)用的API接口發(fā)送,S101。該簽名業(yè)務(wù)數(shù)據(jù)經(jīng)過服務(wù)主機(jī)解析后，正確的簽名業(yè)務(wù)數(shù)據(jù)被主安全芯片獲取,S103。經(jīng)由電子簽名后的簽名數(shù)據(jù)由主安全芯片傳送給服務(wù)主機(jī)，服務(wù)主機(jī)將該簽名數(shù)據(jù)反饋給相應(yīng)上層業(yè)務(wù)應(yīng)用，S205。

對(duì)應(yīng)的，本發(fā)明具體實(shí)施方式還提供了相應(yīng)的一種電子簽名終端，包括密碼服務(wù)單元和服務(wù)主機(jī)；

服務(wù)主機(jī)，與主安全芯片通訊連接，用于獲取簽名業(yè)務(wù)數(shù)據(jù)，對(duì)其進(jìn)行解析并將解析后的簽名業(yè)務(wù)數(shù)據(jù)傳遞給所述主安全芯片；也用于獲取來自主安全芯片的簽名數(shù)據(jù)并傳送該簽名數(shù)據(jù)。

所述密碼服務(wù)單元包括：

主安全芯片，用于查詢運(yùn)算安全芯片的空閑狀態(tài)，獲取簽名業(yè)務(wù)數(shù)據(jù)并將該簽名業(yè)務(wù)數(shù)據(jù)傳遞給空閑的運(yùn)算安全芯片，接收來自運(yùn)算安全芯片的簽名數(shù)據(jù)并將該簽名數(shù)據(jù)傳送；

運(yùn)算安全芯片，至少有兩個(gè)，用于接收來自主安全芯片的簽名業(yè)務(wù)數(shù)據(jù)，根據(jù)該簽名業(yè)務(wù)數(shù)據(jù)進(jìn)行電子簽名，并將電子簽名后的簽名數(shù)據(jù)傳遞給主安全芯片；

證書灌裝安全芯片，用于將證書信息的傳遞給主安全芯片，證書灌裝安全芯片連接在主安全芯片上，且該證書灌裝芯片與用于生產(chǎn)、證書預(yù)制和證書更新的USB接口連接。

所述上層業(yè)務(wù)應(yīng)用的簽名數(shù)據(jù)通過PKI接口所調(diào)用的API接口發(fā)送給所述網(wǎng)絡(luò)接口。所述服務(wù)主機(jī)通過網(wǎng)絡(luò)接口獲取來自上層業(yè)務(wù)應(yīng)用的簽名業(yè)務(wù)數(shù)據(jù)。

所述服務(wù)主機(jī)和所述主安全芯片通過USB接口實(shí)現(xiàn)通訊連接。

所述密碼服務(wù)單元設(shè)置有外部接口，所述外部接口包括與所述證書灌裝安全芯片連接的USB接口和輸入設(shè)備接口(例如：輸入設(shè)備例如鍵盤，可在查看設(shè)備IP等配置信息或交易信息過程中進(jìn)行選擇等操作)。

所述密碼服務(wù)單元還與顯示單元(本實(shí)施例中為LCD/LED屏)通訊連接，(例如顯示單元與證書灌裝芯片連接)用來顯示相關(guān)信息；所述服務(wù)主機(jī)還與COM接口連接；COM接口，用于配置IP、查詢MAC和加入設(shè)備的可信IP。

多個(gè)所述的運(yùn)算安全芯片使用的非對(duì)稱密對(duì)相同，以便保證簽名業(yè)務(wù)的一致性。

上層業(yè)務(wù)應(yīng)用通過PKI接口調(diào)用為相應(yīng)的API接口后，本發(fā)明的簽名終端進(jìn)行電子簽名的過程如下：

服務(wù)主機(jī)通過網(wǎng)絡(luò)接口接收來自API接口的簽名業(yè)務(wù)數(shù)據(jù)。服務(wù)主機(jī)搭載的操作系統(tǒng)參照現(xiàn)有技術(shù)方案正確解析出簽名業(yè)務(wù)數(shù)據(jù)并將該簽名業(yè)務(wù)數(shù)據(jù)發(fā)送到主安全芯片，若服務(wù)主機(jī)在解析過程發(fā)現(xiàn)簽名業(yè)務(wù)數(shù)據(jù)錯(cuò)誤，則將錯(cuò)誤信息通過網(wǎng)絡(luò)接口反饋。

主安全芯片將接收到的簽名業(yè)務(wù)數(shù)據(jù)發(fā)送給空閑狀態(tài)的運(yùn)算安全芯片進(jìn)行簽名業(yè)務(wù)(若同一時(shí)間內(nèi)處于空閑狀態(tài)的運(yùn)算安全芯片存在多個(gè)則按照順序或者隨機(jī)發(fā)送)，并可將簽名情況通過作為顯示單元的LED或LCD顯示出來；當(dāng)接收到簽名業(yè)務(wù)數(shù)據(jù)時(shí)查無空閑狀態(tài)的運(yùn)算安全芯片，則主安全芯片接收到來自運(yùn)算安全芯片的簽名數(shù)據(jù)后，確定出現(xiàn)了空閑狀態(tài)的運(yùn)算安全芯片，主安全芯片此時(shí)將所述簽名業(yè)務(wù)數(shù)據(jù)發(fā)送給相應(yīng)的空閑狀態(tài)的運(yùn)算安全芯片進(jìn)行簽名業(yè)務(wù)。在此過程中，由于比現(xiàn)有技術(shù)多了選擇空閑運(yùn)算安全芯片的步驟，本發(fā)明技術(shù)方案能夠利用多個(gè)運(yùn)算安全芯片進(jìn)行電子簽名，大大降低了多個(gè)電子簽名業(yè)務(wù)所需的等待時(shí)間，解決了電子簽名速度低的問題。運(yùn)算安全芯片將電子簽名后產(chǎn)生的簽名數(shù)據(jù)傳送給主安全芯片，主安全芯片接收到上述簽名數(shù)據(jù)，將其發(fā)送給服務(wù)主機(jī)，經(jīng)由服務(wù)主機(jī)將該簽名數(shù)據(jù)反饋給相應(yīng)上層業(yè)務(wù)應(yīng)用。

顯然，本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣，倘若對(duì)本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其同等技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。