本發(fā)明涉及信息安全，尤其涉及一種使用多數(shù)字證書(shū)進(jìn)行簽名的方法、系統(tǒng)及計(jì)算機(jī)設(shè)備。

背景技術(shù)：

1、在當(dāng)今信息化時(shí)代，經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型已進(jìn)入高速發(fā)展時(shí)期，電子簽名技術(shù)與應(yīng)用已經(jīng)深入到整個(gè)世界經(jīng)濟(jì)發(fā)展的各個(gè)領(lǐng)域。基于商用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行簽名的電子簽名技術(shù)，逐步成為驗(yàn)證用戶身份、確保數(shù)據(jù)和信息安全的重要方法之一。

2、盡管電子簽名技術(shù)帶來(lái)了諸多便利，但現(xiàn)有的電子簽名證書(shū)在使用過(guò)程中仍存在一些缺點(diǎn)，比如，現(xiàn)有的電子簽名證書(shū)多以各種形式的數(shù)字證書(shū)來(lái)同時(shí)進(jìn)行電子簽名及用戶身份校驗(yàn)，這導(dǎo)致了證書(shū)格式的多樣性和復(fù)雜性，使得電子簽名證書(shū)在使用上容易出現(xiàn)混亂，其安全性顯著降低。

3、因此，需提出一種使用多數(shù)字證書(shū)進(jìn)行簽名的方法、系統(tǒng)及計(jì)算機(jī)設(shè)備。

技術(shù)實(shí)現(xiàn)思路

1、本說(shuō)明書(shū)提供一種使用多數(shù)字證書(shū)進(jìn)行簽名的方法、系統(tǒng)及計(jì)算機(jī)設(shè)備，通過(guò)使用身份鑒別證書(shū)進(jìn)行身份驗(yàn)證，可以有效防止身份冒用和欺詐行為；通過(guò)電子簽名證書(shū)進(jìn)行簽名能夠確保傳輸或存儲(chǔ)的信息在未經(jīng)授權(quán)的情況下不會(huì)被篡改或偽造。

2、本技術(shù)提供的一種使用多數(shù)字證書(shū)進(jìn)行簽名的方法采用如下的技術(shù)方案，包括：

3、獲取使用者的認(rèn)證信息；所述認(rèn)證信息包括：身份鑒別證書(shū)；

4、基于身份認(rèn)證條件對(duì)所述使用者和所述身份鑒別證書(shū)進(jìn)行校驗(yàn)，得到校驗(yàn)結(jié)果；

5、基于校驗(yàn)結(jié)果獲取進(jìn)行簽名的原始文件和電子簽名證書(shū)；

6、使用所述電子簽名證書(shū)對(duì)所述原始文件進(jìn)行簽名。

7、可選的，所述獲取使用者的認(rèn)證信息，包括：

8、獲取所述使用者提交的簽名指令；

9、基于所述簽名指令，向所述使用者展示身份認(rèn)證方式；

10、基于所述使用者對(duì)所述身份認(rèn)證方式的選擇結(jié)果，獲取所述使用者對(duì)應(yīng)的認(rèn)證信息。

11、可選的，所述基于所述使用者對(duì)所述身份認(rèn)證方式的選擇結(jié)果，獲取所述使用者對(duì)應(yīng)的認(rèn)證信息，包括：

12、當(dāng)所述使用者選擇通過(guò)所述身份鑒別證書(shū)進(jìn)行認(rèn)證時(shí)，讀取所有可用的數(shù)字證書(shū)；

13、對(duì)每個(gè)所述數(shù)字證書(shū)進(jìn)行解析，提取其中的證書(shū)區(qū)別信息；查找所述證書(shū)區(qū)別信息中的密鑰功能，將認(rèn)證功能對(duì)應(yīng)的數(shù)字證書(shū)作為身份鑒別證書(shū)。

14、可選的，所述基于身份認(rèn)證條件對(duì)所述使用者和所述身份鑒別證書(shū)進(jìn)行校驗(yàn)，得到校驗(yàn)結(jié)果，包括：

15、基于口令認(rèn)證條件對(duì)所述使用者進(jìn)行口令驗(yàn)證；

16、提取所述身份鑒別證書(shū)的關(guān)鍵信息，對(duì)所述身份鑒別證書(shū)進(jìn)行第一驗(yàn)證。

17、可選的，所述關(guān)鍵信息包括：原始信息和認(rèn)證密鑰信息；

18、所述提取所述身份鑒別證書(shū)的關(guān)鍵信息，對(duì)所述身份鑒別證書(shū)進(jìn)行第一驗(yàn)證，包括：

19、調(diào)取所述身份鑒別證書(shū)的原始信息，對(duì)所述身份鑒別證書(shū)進(jìn)行有效性驗(yàn)證；

20、調(diào)取所述身份鑒別證書(shū)的認(rèn)證密鑰信息，結(jié)合隨機(jī)信息對(duì)所述使用者進(jìn)行真實(shí)性驗(yàn)證。

21、可選的，所述基于校驗(yàn)結(jié)果獲取進(jìn)行簽名的原始文件和電子簽名證書(shū)，包括：

22、基于所述證書(shū)區(qū)別信息識(shí)別并調(diào)取電子簽名證書(shū)；

23、獲取需要進(jìn)行簽名的原始文件。

24、可選的，所述使用所述電子簽名證書(shū)對(duì)所述原始文件進(jìn)行簽名，包括：

25、按照預(yù)設(shè)簽名算法對(duì)所述原始文件進(jìn)行哈希，得到所述原始文件的摘要；

26、基于簽名私鑰對(duì)所述原始文件的摘要的加密，生成數(shù)據(jù)密文；

27、對(duì)所述原始文件的摘要、所述數(shù)據(jù)密文、所述電子簽名證書(shū)進(jìn)行完整性校驗(yàn)；

28、基于完整性校驗(yàn)結(jié)果，將所述數(shù)據(jù)密文和所述原始文件進(jìn)行合并，得到目標(biāo)簽名文件。

29、本技術(shù)提供的一種使用多數(shù)字證書(shū)進(jìn)行簽名的系統(tǒng)采用如下的技術(shù)方案，包括：

30、第二獲取模塊，用于獲取使用者的認(rèn)證信息；所述認(rèn)證信息包括：身份鑒別證書(shū)；

31、身份鑒別模塊，用于基于身份認(rèn)證條件對(duì)所述使用者和所述身份鑒別證書(shū)進(jìn)行校驗(yàn)，得到校驗(yàn)結(jié)果；

32、簽名預(yù)處理模塊，用于基于校驗(yàn)結(jié)果獲取進(jìn)行簽名的原始文件和電子簽名證書(shū)；

33、簽名模塊，用于使用所述電子簽名證書(shū)對(duì)所述原始文件進(jìn)行簽名。

34、可選的，所述第二獲取模塊，包括：

35、簽名指令獲取子模塊，用于獲取所述使用者提交的簽名指令；

36、身份認(rèn)證展示子模塊，用于基于所述簽名指令，向所述使用者展示身份認(rèn)證方式；

37、認(rèn)證信息獲取子模塊，用于基于所述使用者對(duì)所述身份認(rèn)證方式的選擇結(jié)果，獲取所述使用者對(duì)應(yīng)的認(rèn)證信息。

38、可選的，所述認(rèn)證信息獲取子模塊，包括：

39、數(shù)字證書(shū)讀取單元，用于當(dāng)所述使用者選擇通過(guò)所述身份鑒別證書(shū)進(jìn)行認(rèn)證時(shí)，讀取所有可用的數(shù)字證書(shū)；

40、證書(shū)區(qū)別信息提取單元，用于對(duì)每個(gè)所述數(shù)字證書(shū)進(jìn)行解析，提取其中的證書(shū)區(qū)別信息；

41、身份鑒別證書(shū)識(shí)別單元，用于查找所述證書(shū)區(qū)別信息中的密鑰功能，將認(rèn)證功能對(duì)應(yīng)的數(shù)字證書(shū)作為身份鑒別證書(shū)。

42、可選的，所述身份校驗(yàn)?zāi)K，包括：

43、口令驗(yàn)證子模塊，用于基于口令認(rèn)證條件對(duì)所述使用者進(jìn)行口令驗(yàn)證；

44、第一驗(yàn)證子模塊，用于提取所述身份鑒別證書(shū)的關(guān)鍵信息，對(duì)所述身份鑒別證書(shū)進(jìn)行第一驗(yàn)證。

45、可選的，所述關(guān)鍵信息包括：原始信息和認(rèn)證密鑰信息；

46、可選的，所述第一驗(yàn)證子模塊，包括：

47、有效性驗(yàn)證單元，用于調(diào)取所述身份鑒別證書(shū)的原始信息，對(duì)所述身份鑒別證書(shū)進(jìn)行有效性驗(yàn)證；

48、真實(shí)性驗(yàn)證單元，用于調(diào)取所述身份鑒別證書(shū)的認(rèn)證密鑰信息，結(jié)合隨機(jī)信息對(duì)所述使用者進(jìn)行真實(shí)性驗(yàn)證。

49、可選的，所述簽名預(yù)處理模塊，包括：

50、第一預(yù)處理單元，用于基于所述證書(shū)區(qū)別信息識(shí)別并調(diào)取電子簽名證書(shū)；

51、第二預(yù)處理單元，用于獲取需要進(jìn)行簽名的原始文件。

52、可選的，所述簽名模塊，包括：

53、第一簽名子模塊，用于按照預(yù)設(shè)簽名算法對(duì)所述原始文件進(jìn)行哈希，得到所述原始文件的摘要；

54、第二簽名子模塊，用于基于簽名私鑰對(duì)所述原始文件的摘要的加密，生成數(shù)據(jù)密文；

55、第三簽名子模塊，用于對(duì)所述原始文件的摘要、所述數(shù)據(jù)密文、所述電子簽名證書(shū)進(jìn)行完整性校驗(yàn)；

56、第四簽名子模塊，用于基于完整性校驗(yàn)結(jié)果，將所述數(shù)據(jù)密文和所述原始文件進(jìn)行合并，得到目標(biāo)簽名文件。

57、本說(shuō)明書(shū)還提供一種計(jì)算機(jī)設(shè)備，其中，所述計(jì)算機(jī)設(shè)備包括：

58、處理器；以及，

59、存儲(chǔ)計(jì)算機(jī)可執(zhí)行指令的存儲(chǔ)器，所述可執(zhí)行指令在被執(zhí)行時(shí)使所述處理器執(zhí)行上述任一項(xiàng)方法。

60、本說(shuō)明書(shū)還提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其中，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)一個(gè)或多個(gè)程序/指令，所述一個(gè)或多個(gè)程序/指令被處理器執(zhí)行時(shí)，實(shí)現(xiàn)上述任一項(xiàng)方法。

61、本說(shuō)明書(shū)還提供一種計(jì)算機(jī)程序產(chǎn)品，其中，所述計(jì)算機(jī)程序產(chǎn)品包括：計(jì)算機(jī)程序/指令，所述計(jì)算機(jī)程序/指令被處理器執(zhí)行時(shí)，實(shí)現(xiàn)上述任一項(xiàng)方法。

62、本技術(shù)中，通過(guò)獲取使用者的認(rèn)證信息；所述認(rèn)證信息包括：身份鑒別證書(shū)；基于身份認(rèn)證條件對(duì)所述使用者和所述身份鑒別證書(shū)進(jìn)行校驗(yàn)，得到校驗(yàn)結(jié)果；基于校驗(yàn)結(jié)果獲取進(jìn)行簽名的原始文件和電子簽名證書(shū)；使用所述電子簽名證書(shū)對(duì)所述原始文件進(jìn)行簽名,通過(guò)將這兩種功能分離到不同的證書(shū)中，減少單個(gè)證書(shū)被濫用或泄露的風(fēng)險(xiǎn)，即使某個(gè)證書(shū)被非法獲取，攻擊者也無(wú)法同時(shí)擁有用于身份驗(yàn)證和簽名的完整權(quán)限，從而增加了系統(tǒng)的整體安全性。