[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN114679275A - 一种数字签名验签方法、平台及系统 - Google Patents

一种数字签名验签方法、平台及系统 Download PDF

Info

Publication number
CN114679275A
CN114679275A CN202210013110.6A CN202210013110A CN114679275A CN 114679275 A CN114679275 A CN 114679275A CN 202210013110 A CN202210013110 A CN 202210013110A CN 114679275 A CN114679275 A CN 114679275A
Authority
CN
China
Prior art keywords
certificate
platform
signature verification
management
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210013110.6A
Other languages
English (en)
Other versions
CN114679275B (zh
Inventor
钱建诚
黄庄庄
李黎明
叶明�
米俊霖
吕茂婷
赵建波
张未卿
叶宇航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Rural Commercial Bank Co ltd
Original Assignee
Chengdu Rural Commercial Bank Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Rural Commercial Bank Co ltd filed Critical Chengdu Rural Commercial Bank Co ltd
Priority to CN202210013110.6A priority Critical patent/CN114679275B/zh
Publication of CN114679275A publication Critical patent/CN114679275A/zh
Application granted granted Critical
Publication of CN114679275B publication Critical patent/CN114679275B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种数字签名验签方法、平台及系统,该平台包括:签名验签前端子平台,用于提供业务应用连接加密及密钥交易平台的前端支持;签名验签应用子平台,用于提供数据安全服务;签名验签管理子平台,用于进行核心证书数据管理、密钥管理服务和平台管理协调;数据库,用于核心证书数据的存储。在平台中采用线程池运行结构,提高服务响应速度。平台运行在双活数据中心上,避免数据中心故障后业务出现大面积中断。

Description

一种数字签名验签方法、平台及系统
技术领域
本发明属于数字加密技术领域,尤其涉及一种数字签名验签方法及系统。
背景技术
基于PKI体系的数字签名验签广泛应用于金融行业各个业务系统,如网银系统的UKEY和控件、无纸化系统、支付系统等都会使用签名验签功能。应用安全基础平台用于证书管理,保证数据完整性、机密性和不可抵赖性,对算法可信度、实时响应率和响应时间等有非常高的要求。我国一直采用国外制定的安全协议和加密算法,无法满足关键系统、设备的安全、自主、可控,网络安全形势不容乐观。安全可信的国产密码算法是我国自主研发创新的一套数据加密算法,经过多年的发展,已经颁布多个算法标准,如金融行业常用的SM2、SM3、SM4。
现有技术缺陷:企业内部无全生命周期的基于PKI体系的证书管理系统,通常使用第三方证书,导致企业每年购买证书的费用高达上百万;对不同厂商不同品牌型号的签名设备无法形成统一管理,往往是不同的签名设备提供独立的服务接口,外部系统在使用时无法集成多个厂商服务接口,导致签名设备无法复用,同时无法做到双中心双活部署。
发明内容
有鉴于此,本发明提供一种数字签名验签方法、平台及系统,通过建数字证书签名验签平台为用户提供签名验签工作。
为解决以上技术问题,本发明提供一种数字签名验签平台,包括:签名验签前端子平台,用于提供业务应用连接加密及密钥交易平台的前端支持;签名验签应用子平台,用于提供数据安全服务;签名验签管理子平台,用于进行核心证书数据管理、密钥管理服务和平台管理协调;数据库,用于核心证书数据的存储。
作为一种改进,所述签名验签前端子平台包括:接口模块,用于提供外部调用的函数接口;通讯模块,用于与签名验签应用子平台进行通信;报文格式拼装模块,用于将请求报文组合成签名验签应用子平台能识别的报文格式。
作为一种进一步的改进,所述签名验签前端子平台还包括:配置模块,用于配置API通信服务;集群负载算法模块,用于选择具体的签名验签平台应用子平台服务器IP地址;日志模块,用于支持打印日志;
字符处理及基础算法模块,用于提供字符转换、计算MD5值。
作为另一种更进一步的改进,所述签名验签应用子平台包括:TCP通讯模块,用于通过TCP通讯协议与签名验签前端子平台、签名验签管理子平台进行通信;线程调度模块,用于对签名验签应用子平台的服务线程进行池化管理,负责服务线程的启动、服务线程调度、管理维护;密码机设备管理模块,用于与密码机、签名验签验签设备建立短连接,完成设备状态管理、负责与设备进行通讯、为接口提供完整的设备指令接口;密钥缓存管理模块,用于实现对密钥缓存建立、数据存储、数据清理及缓存维护机制。
作为一种改进,所述签名验签应用子平台还包括:日志管理模块,用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志;设备监控模块,用于准实时检测监控密码机状态、线程运行状态、系统各进程运行状态。
作为一种改进,所述签名验签管理子平台包括:TCP通讯模块,用过通过TCP通讯协议与签名验签应用子平台进行通信;线程调度模块,用于对签名验签管理子平台的证书管理服务线程进行池化管理,负责服务线程的启动、服务线程调度、管理维护;集群管理模块,用于实现对签名验签管理子平台进行集群管理,对签名验签管理子平台的数据同步及数据更新进行管理与控制;数据库管理模块,用于维护与数据库之间的连接,与数据库进行通讯并执行对数据库相应的操作。
作为一种改进,所述签名验签管理子平台还包括:界面管理模块,用于提供图形界面管理接口,支持Web应用服务的接入;日志管理模块,用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志;设备监控模块,用于准实时检测监控签名设备状态、线程运行状态、系统各进程运行状态。
作为一种改进,所述数字签名验签平台运行在双活数据中心上。
作为一种改进,在DNS服务器中动态维持双活数据中心的IP地址,并针对用户请求向用户返回双活数据中心中的一个出口IP;当双活数据中心中的一个出现故障,DNS服务器将其对应的IP暂停使用,并将后续用户DNS请求引导到剩余正常工作的数据中心出口。
本发明还提供一种数字签名验签系统,包括:证书认证中心服务器,用于接收来自证书认证中心管理终端、证书注册中心服务器的证书管理请求,进行数字证书的注册、申请、发放、作废、注销等管理工作,发布证书和证书的CRL列表;证书认证中心管理终端,用于进行证书认证系统策略管理、证书模板管理和证书管理;证书注册中心服务器,用于向证书认证中心服务器发送证书管理请求,进行数字证书的申请、下载、更新、冻结、解冻、作废;密钥管理中心服务器,用于实现加密证书的密钥管理服务,进行加密密钥的产生、发放、保存、恢复和密钥历史管理;证书在线状态查询服务器,用于提供证书的状态在线查询服务;用户终端,安装有证书下载控件,用于密钥生成、证书下载、证书更新、证书作废和密钥历史获取;加密机,用于为证书认证中心服务器、证书注册中心服务器、密钥管理中心服务器、证书在线状态查询服务器加密。
本发明还提供一种数字签名验签方法,其特征在于包括:申请数字证书;对数字证书申请进行审核;审核通过后生成数字证书并将证书生成完毕的标识反馈给申请人;申请人下载数字证书并利用数字证书进行签名和验签。
作为一种改进,所述申请数字证书包括:用户终端将申请人资料上传至证书注册中心服务器;注册中心服务器接收到申请人资料后在数据库中进行比对,如果该申请人没有注册则进行注册;如果已经注册则从注册中心服务器中获取用户UID,并将UID、申请的证书类型、证书有效期,和证书主题记录到注册中心服务器的数据库。
作为一种改进,所述对数字证书申请进行审核包括:注册中心服务器对数字证书申请进行审核,核验申请人的真实身份;若核验通过注册中心服务器则将记录设置为通过状态,并向证书认证中心服务器发出生成证书的请求。
作为一种改进,所述审核通过后生成数字证书并将结果反馈给申请人包括:证书认证中心服务器将申请人的身份信息生成数字签名;证书认证中心服务器将申请人的身份信息和数字签名一起生成数字证书;证书认证中心服务器向注册中心服务器发送证书生成完毕的标识,注册中心服务器将该标识转发至用户终端。
作为一种改进,所述申请人下载数字证书包括:用户终端利用证书生成完毕的标识向注册中心服务器发出下载证书的请求;注册中心服务器将下载证书的请求转发至证书认证中心服务器;注册中心服务器接收到证书认证中心服务器反馈的数字证书后将数字证书写入申请人证书载体并交予申请人。
作为一种改进,申请人进行签名和验签时通过API调用签名验签前端子平台的签名验签接口;在签名验签应用子平台缓存中查找对应的证书信息,若证书信息存在于签名验签应用子平台缓存中则将证书信息连同报文一起发送至硬件签名设备中;若证书信息不存在则通过签名验签管理子平台在数据库中查找并将该证书信息连同报文一起发送至硬件签名设备,同时将该证书信息保存至签名验签应用子平台缓存。
作为一种改进,申请人进行证书更新时通过API调用签名验签应用子平台的证书更新服务;签名验签应用子平台调用签名硬件设备完成证书更新后将证书数据发送至其对应的签名验签管理子平台;签名验签管理子平台将证书数据更新至对应的数据库后,将证书更新的消息传递给其他签名验签管理子平台;其他签名验签管理子平台接收到证书更新的消息后进行证书数据更新,并将更新后的证书数据分发到所有的签名验签应用子平台;各个签名验签应用子平台接收到证书更新数据后对各自本地缓存中的证书数据进行更新。
本发明的有益之处在于:
1、线程池。签名验签应用子平台和管理子平台均使用了线程池的运行结构。通过线程池的利用,一方面减少对系统资源的消耗,另一方面加快系统的任务处理,提供了服务的响应速度。
2、证书缓存。名验签平台设计了缓存机制,处理联机交易服务时直接从缓存中获取证书密钥信息,以提高服务的处理效率。
签名验签应用子系统会与管理子系统交互,将管理子系统中的证书信息加载到缓存中。签名验签平台在处理业务应用的证书相关交易请求时,不需每次都向管理子系统请求,可以根据策略的控制,将缓存中的证书信息中取出,提高了服务的响应速度。
3、证书数据同步。了使得签名验签平台应用子系统集群中各个节点的证书信息的保持一致,平台采用了证书数据同步机制。
通过管理子系统的证书信息分发机制,集群中的所有应用子系统节点证书数据会一致。集群中的所有应用子系统节点都可以对外提供服务。在收到更新证书数据操作时,首先将证书数据更新到数据库中。然后通知其它管理子系统节点,等待其它管理子系统节点更新证书数据成功后,提交证书数据更新。并将证书数据分发到证书所属的各个应用子系统节点,以便应用子系统节点更新缓存。在管理子系统中,收到证书数据更新操作后,证书数据通知模块负载通知应用子系统更新缓存中的证书数据。
4、全业务系统安全可信密码算法。
5、双活数字中心架构,避免数据中心故障后业务出现大面积中断。
6、全局负载GTM,最优传输线路,保障响应时间最低。
7、Oracle RAC,数据库的高可用性和负载均衡。
附图说明
图1为本发明中数字签名验签平台的原理图。
图2为本发明中数字签名验签系统的原理图。
图3为本发明的流程图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面结合具体实施方式对本发明作进一步的详细说明。
如图1所示,本发明一种数字签名验签平台,具体包括:
签名验签前端子平台,用于提供业务应用连接加密及密钥交易平台的前端支持;API采用了负载均衡技术,能够支持业务应用访问签名验签平台应用子系统集群,提高服务性能和高可用。
签名验签应用子平台,用于提供数据安全服务。
签名验签管理子平台,用于进行核心证书数据管理、密钥管理服务和平台管理协调。
数据库,用于核心证书数据的存储。数据层是签名验签平台的核心证书数据的存储。本发明中优选采用采用了Oracle数据库实现数据存储及存取管理。管理子系统数据库模块负责与数据层进行交互,采用了TCP长连接方式。
所述签名验签前端子平台具体又包括:
接口模块,用于提供外部调用的函数接口。
通讯模块,用于与签名验签应用子平台进行通信。
报文格式拼装模块,用于将请求报文组合成签名验签应用子平台能识别的报文格式。
配置模块,用于配置API通信服务。
集群负载算法模块,用于选择具体的签名验签平台应用子平台服务器IP地址。
日志模块,用于支持打印日志。
字符处理及基础算法模块,用于提供字符转换、计算MD5值等。
所述签名验签应用子平台具体由以下几个技术模块进行支撑:
TCP通讯模块,用于通过TCP通讯协议与签名验签前端子平台、签名验签管理子平台进行通信;通讯模块负责报文管理,数据接收后进行报文解析,并将报文传入加密服务线程池。
线程调度模块,用于对签名验签应用子平台的服务线程进行池化管理,负责服务线程的启动、服务线程调度、管理维护等;通过分派调度服务任务,完成业务逻辑流程处理,协同各功能模块完成最终的业务请求。
密码机设备管理模块,用于与密码机、签名验签验签设备建立短连接,完成设备状态管理、负责与设备进行通讯、为接口提供完整的设备指令接口;密码机设备指令接口采用了指令队列技术。
密钥缓存管理模块,用于实现对密钥缓存建立、数据存储、数据清理及缓存维护等机制。
日志管理模块,用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志。
设备监控模块,用于准实时检测监控密码机状态、线程运行状态、系统各进程运行状态等。
所述验签管理子平台能由以下几个技术模块进行支撑:
TCP通讯模块,用过通过TCP通讯协议与签名验签应用子平台进行通信;通讯模块负责报文管理。
线程调度模块,用于对签名验签管理子平台的证书管理服务线程进行池化管理,负责服务线程的启动、服务线程调度、管理维护;通过分派调度服务任务,完成业务逻辑流程处理,协同各功能模块完成最终的业务请求签名设备管理:与密码机建立短连接,完成设备状态管理、负责与设备进行通讯、为接口提供完整的设备指令接口。密码机设备指令接口采用了指令队列技术。
集群管理模块,用于实现对签名验签管理子平台进行集群管理,对签名验签管理子平台的数据同步及数据更新进行管理与控制。
数据库管理模块,用于维护与数据库之间的连接,与数据库进行通讯并执行对数据库相应的SQL操作。
界面管理模块,用于提供图形界面管理接口,支持Web应用服务的接入;管理员可以通过Web浏览器通过Web应用服务访问签名验签平台的管理界面。
日志管理模块,用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志;
设备监控模块,用于准实时检测监控签名设备状态、线程运行状态、系统各进程运行状态。
另外,实施例中数字签名验签平台运行在在双活数据中心上,在这种工作模式下,用户所有的业务系统同时在两个数据中心运行,同时为用户提供服务,当某个数据中心的应用系统出现问题时,有另一个数据中心的应用来持续的提供服务。
双活数据中心的优点在于:一、充分利用资源,避免了一个数据中心常年处于闲置状态而造成浪费。通过资源整合,双活数据中心的服务能力是双倍的。二、双活数据中心如果断了一个数据中心,另外一个数据中心还在运行,对用户来说是不可感知的。
本发明还具有全局负载GTM即应用在双活数据中心下的负载均衡,为解决实现数据中心间的流量负载与业务的冗余;将用户定位到最近、响应最快的数据中心;实现双活数据中心业务的灵活切换。
具体为,通过智能DNS解析在DNS服务器中动态维持几个后台数据中心的IP地址,针对用户请求按照算法返回最适合的出口IP。如果其中一个数据中心出口出现问题,DNS服务器便将其对应的IP地址暂停使用,并将后续的用户DNS请求引导到其他仍在正常工作的数据中心出口,从而在广域网上实现后台资源的负载均衡。
如图2所示,另外本发明还提供一种数字签名验签系统,作为上述数字签名验签平台的硬件支撑,具体包括:
证书认证中心服务器(CA Server,Certificate Authority Server),用于接收来自证书认证中心管理终端、证书注册中心服务器的证书管理请求,进行数字证书的注册、申请、发放、作废、注销等管理工作,发布证书和证书的CRL列表。
证书认证中心管理终端(CA Server,Certificate Authority Server),用于进行证书认证系统策略管理、证书模板管理和证书管理。
证书注册中心服务器(RA Server,Registration Authority Server),用于向证书认证中心服务器发送证书管理请求,进行数字证书的申请、下载、更新、冻结、解冻、作废。
密钥管理中心服务器(KMC Server,Key Management Center Server),用于实现加密证书的密钥管理服务,进行加密密钥的产生、发放、保存、恢复和密钥历史管理。
证书在线状态查询服务器,用于提供证书的状态在线查询服务。
用户终端,安装有证书下载控件,用于密钥生成、证书下载、证书更新、证书作废和密钥历史获取。
加密机,用于为证书认证中心服务器、证书注册中心服务器、密钥管理中心服务器、证书在线状态查询服务器加密。
如图3所示,本发明还提供一种数字签名验签方法,具体包括:
S1申请数字证书;
S2对数字证书申请进行审核;
S3审核通过后生成数字证书并将证书生成完毕的标识反馈给申请人;
S4申请人下载数字证书并利用数字证书进行签名和验签。
步骤S1具体包括:
S11用户终端将申请人资料上传至证书注册中心服务器;
S12注册中心服务器接收到申请人资料后在数据库中进行比对,如果该申请人没有注册则进行注册;如果已经注册则从注册中心服务器中获取用户UID,并将UID、申请的证书类型、证书有效期,和证书主题记录到注册中心服务器的数据库。
步骤S2具体包括:
S21注册中心服务器对数字证书申请进行审核,核验申请人的真实身份;
S22若核验通过注册中心服务器则将记录设置为通过状态,并向证书认证中心服务器发出生成证书的请求。
步骤S3具体包括:
S31证书认证中心服务器将申请人的身份信息生成数字签名;
S32证书认证中心服务器将申请人的身份信息和数字签名一起生成数字证书;
S33证书认证中心服务器向注册中心服务器发送证书生成完毕的标识,注册中心服务器将该标识转发至用户终端。
步骤S4具体包括:
S41用户终端利用证书生成完毕的标识向注册中心服务器发出下载证书的请求;
S42注册中心服务器将下载证书的请求转发至证书认证中心服务器;
S43注册中心服务器接收到证书认证中心服务器反馈的数字证书后将数字证书写入申请人证书载体并交予申请人;
S44申请人利用证书进行签名验签工作。
另外,用户第通过三方应用系统通过API调用签名验签接口时,会调用证书信息,并将证书与报文一起送到硬件签名设备中。为了减小系统开销,本发明中采用了证书缓存机制,具体包括以下步骤:
S51申请人进行签名和验签时通过API调用签名验签前端子平台的签名验签接口;
S52在签名验签应用子平台缓存中查找对应的证书信息,若证书信息存在于签名验签应用子平台缓存中则将证书信息连同报文一起发送至硬件签名设备中;若证书信息不存在则通过签名验签管理子平台在数据库中查找并将该证书信息连同报文一起发送至硬件签名设备,同时将该证书信息保存至签名验签应用子平台缓存。
由于平台运行在双数据中心上,当申请人进行了证书更新后还要进行证书数据同步,其具体步骤包括:
S61申请人进行证书更新时通过API调用签名验签应用子平台的证书更新服务;
S62签名验签应用子平台调用签名硬件设备完成证书更新后将证书数据发送至其对应的签名验签管理子平台;
S63签名验签管理子平台将证书数据更新至对应的数据库后,将证书更新的消息传递给其他签名验签管理子平台;
S64其他签名验签管理子平台接收到证书更新的消息后进行证书数据更新,并将更新后的证书数据分发到所有的签名验签应用子平台;
S65各个签名验签应用子平台接收到证书更新数据后对各自本地缓存中的证书数据进行更新。
证书信息是放在签名验签管理子平台的数据库中的,同时会存储在签名验签应用子平台的本地缓存中,而签名验签管理子平台和签名验签应用子平台都不止一台服务器,因此就有了证书信息的数据同步机制。以有两个应用子平台(A、B)和管理子平台(a、b)为例
第三方系统通过API接口调用应用子平台(A)的证书更新服务,应用子系统调用签名硬件设备更新完成后发送至管理子平台(a)。首先管理子平台(a)将证书数据更新到数据库中,然后通知b管理子平台,等待b管理子平台节点更新证书数据成功后,提交证书数据更新。并将更新后的证书数据分发到各个应用子平台(A、B),应用子平台收到更新信息后会将缓存到本地的证书信息进行更新。
以上仅是本发明的优选实施方式,应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (17)

1.一种数字签名验签平台,其特征在于包括:
签名验签前端子平台,用于提供业务应用连接加密及密钥交易平台的前端支持;
签名验签应用子平台,用于提供数据安全服务;
签名验签管理子平台,用于进行核心证书数据管理、密钥管理服务和平台管理协调;
数据库,用于核心证书数据的存储。
2.根据权利要求1所述的一种数字签名验签平台,其特征在于所述签名验签前端子平台包括:
接口模块,用于提供外部调用的函数接口;
通讯模块,用于与签名验签应用子平台进行通信;
报文格式拼装模块,用于将请求报文组合成签名验签应用子平台能识别的报文格式。
3.根据权利要求2所述的一种数字签名验签平台,其特征在于所述签名验签前端子平台还包括:
配置模块,用于配置API 通信服务;
集群负载算法模块,用于选择具体的签名验签平台应用子平台服务器IP 地址;
日志模块,用于支持打印日志;
字符处理及基础算法模块,用于提供字符转换、计算MD5值。
4.根据权利要求1所述的一种数字签名验签平台,其特征在于所述签名验签应用子平台包括:
TCP通讯模块,用于通过TCP通讯协议与签名验签前端子平台、签名验签管理子平台进行通信;
线程调度模块,用于对签名验签应用子平台的服务线程进行池化管理,负责服务线程的启动、服务线程调度、管理维护;
密码机设备管理模块,用于与密码机、签名验签验签设备建立短连接,完成设备状态管理、负责与设备进行通讯、为接口提供完整的设备指令接口;
密钥缓存管理模块,用于实现对密钥缓存建立、数据存储、数据清理及缓存维护机制。
5.根据权利要求4所述的一种数字签名验签平台,其特征在于所述签名验签应用子平台还包括:
日志管理模块,用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志;
设备监控模块,用于准实时检测监控密码机状态、线程运行状态、系统各进程运行状态。
6.根据权利要求1所述的一种数字签名验签平台,其特征在于所述签名验签管理子平台包括:
TCP 通讯模块,用过通过TCP通讯协议与签名验签应用子平台进行通信;
线程调度模块,用于对签名验签管理子平台的证书管理服务线程进行池化管理,负责服务线程的启动、服务线程调度、管理维护;
集群管理模块,用于实现对签名验签管理子平台进行集群管理,对签名验签管理子平台的数据同步及数据更新进行管理与控制;
数据库管理模块,用于维护与数据库之间的连接,与数据库进行通讯并执行对数据库相应的操作。
7.根据权利要求6所述的一种数字签名验签平台,其特征在于所述签名验签管理子平台还包括:
界面管理模块,用于提供图形界面管理接口,支持Web 应用服务的接入;
日志管理模块,用于进行日志缓存管理、日志队列管理与维护及根据日志级别策略设置更新相应日志;
设备监控模块,用于准实时检测监控签名设备状态、线程运行状态、系统各进程运行状态。
8.根据权利要求1所述的一种数字签名验签平台,其特征在于:所述数字签名验签平台运行在双活数据中心上。
9.根据权利要求8所述的一种数字签名验签平台,其特征在于:在DNS服务器中动态维持双活数据中心的IP地址,并针对用户请求向用户返回双活数据中心中的一个出口IP;当双活数据中心中的一个出现故障,DNS服务器将其对应的IP暂停使用,并将后续用户DNS请求引导到剩余正常工作的数据中心出口。
10.一种数字签名验签系统,其特征在于包括:
证书认证中心服务器,用于接收来自证书认证中心管理终端、证书注册中心服务器的证书管理请求,进行数字证书的注册、申请、发放、作废、注销等管理工作,发布证书和证书的CRL列表;
证书认证中心管理终端,用于进行证书认证系统策略管理、证书模板管理和证书管理;
证书注册中心服务器,用于向证书认证中心服务器发送证书管理请求,进行数字证书的申请、下载、更新、冻结、解冻、作废;
密钥管理中心服务器,用于实现加密证书的密钥管理服务,进行加密密钥的产生、发放、保存、恢复和密钥历史管理;
证书在线状态查询服务器,用于提供证书的状态在线查询服务;
用户终端,安装有证书下载控件,用于密钥生成、证书下载、证书更新、证书作废和密钥历史获取;
加密机,用于为证书认证中心服务器、证书注册中心服务器、密钥管理中心服务器、证书在线状态查询服务器加密。
11.一种数字签名验签方法,其特征在于包括:
申请数字证书;
对数字证书申请进行审核;
审核通过后生成数字证书并将证书生成完毕的标识反馈给申请人;
申请人下载数字证书并利用数字证书进行签名和验签。
12.根据权利要求11所述的一种数字签名验签方法,其特征在于所述申请数字证书包括:
用户终端将申请人资料上传至证书注册中心服务器;
注册中心服务器接收到申请人资料后在数据库中进行比对,如果该申请人没有注册则进行注册;如果已经注册则从注册中心服务器中获取用户UID,并将UID、申请的证书类型、证书有效期,和证书主题记录到注册中心服务器的数据库。
13.根据权利要求11所述的一种数字签名验签方法,其特征在于所述对数字证书申请进行审核包括:
注册中心服务器对数字证书申请进行审核,核验申请人的真实身份;
若核验通过注册中心服务器则将记录设置为通过状态,并向证书认证中心服务器发出生成证书的请求。
14.根据权利要求11所述的一种数字签名验签方法,其特征在于所述审核通过后生成数字证书并将结果反馈给申请人包括:
证书认证中心服务器将申请人的身份信息生成数字签名;
证书认证中心服务器将申请人的身份信息和数字签名一起生成数字证书;
证书认证中心服务器向注册中心服务器发送证书生成完毕的标识,注册中心服务器将该标识转发至用户终端。
15.根据权利要求11所述的一种数字签名验签方法,其特征在于所述申请人下载数字证书包括:
用户终端利用证书生成完毕的标识向注册中心服务器发出下载证书的请求;
注册中心服务器将下载证书的请求转发至证书认证中心服务器;
注册中心服务器接收到证书认证中心服务器反馈的数字证书后将数字证书写入申请人证书载体并交予申请人。
16.根据权利要求11所述的一种数字签名验签方法,其特征在于:
申请人进行签名和验签时通过API调用签名验签前端子平台的签名验签接口;
在签名验签应用子平台缓存中查找对应的证书信息,若证书信息存在于签名验签应用子平台缓存中则将证书信息连同报文一起发送至硬件签名设备中;若证书信息不存在则通过签名验签管理子平台在数据库中查找并将该证书信息连同报文一起发送至硬件签名设备,同时将该证书信息保存至签名验签应用子平台缓存。
17.根据权利要求11所述的一种数字签名验签方法,其特征在于:
申请人进行证书更新时通过API调用签名验签应用子平台的证书更新服务;
签名验签应用子平台调用签名硬件设备完成证书更新后将证书数据发送至其对应的签名验签管理子平台;
签名验签管理子平台将证书数据更新至对应的数据库后,将证书更新的消息传递给其他签名验签管理子平台;
其他签名验签管理子平台接收到证书更新的消息后进行证书数据更新,并将更新后的证书数据分发到所有的签名验签应用子平台;
各个签名验签应用子平台接收到证书更新数据后对各自本地缓存中的证书数据进行更新。
CN202210013110.6A 2022-01-06 2022-01-06 一种数字签名验签方法、平台及系统 Active CN114679275B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210013110.6A CN114679275B (zh) 2022-01-06 2022-01-06 一种数字签名验签方法、平台及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210013110.6A CN114679275B (zh) 2022-01-06 2022-01-06 一种数字签名验签方法、平台及系统

Publications (2)

Publication Number Publication Date
CN114679275A true CN114679275A (zh) 2022-06-28
CN114679275B CN114679275B (zh) 2024-04-12

Family

ID=82071301

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210013110.6A Active CN114679275B (zh) 2022-01-06 2022-01-06 一种数字签名验签方法、平台及系统

Country Status (1)

Country Link
CN (1) CN114679275B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2518670A1 (en) * 2010-09-07 2012-10-31 ZTE Corporation System and method for remote payment based on mobile terminal
CN103368902A (zh) * 2012-03-27 2013-10-23 湖南亲安网络科技有限公司 数据交互方法
CN104052597A (zh) * 2013-03-11 2014-09-17 江苏国盾科技实业有限责任公司 一种基于sm2算法的证书签发系统
CN108432180A (zh) * 2015-11-13 2018-08-21 维萨国际服务协会 用于基于pki的认证的方法和系统
CN110598482A (zh) * 2019-09-30 2019-12-20 腾讯科技(深圳)有限公司 基于区块链的数字证书管理方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2518670A1 (en) * 2010-09-07 2012-10-31 ZTE Corporation System and method for remote payment based on mobile terminal
CN103368902A (zh) * 2012-03-27 2013-10-23 湖南亲安网络科技有限公司 数据交互方法
CN104052597A (zh) * 2013-03-11 2014-09-17 江苏国盾科技实业有限责任公司 一种基于sm2算法的证书签发系统
CN108432180A (zh) * 2015-11-13 2018-08-21 维萨国际服务协会 用于基于pki的认证的方法和系统
CN110598482A (zh) * 2019-09-30 2019-12-20 腾讯科技(深圳)有限公司 基于区块链的数字证书管理方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114679275B (zh) 2024-04-12

Similar Documents

Publication Publication Date Title
EP4181460A1 (en) Service communication method, system and apparatus, and electronic device
WO2020143470A1 (zh) 发放数字证书的方法、数字证书颁发中心和介质
US9021264B2 (en) Method and system for cloud based storage
CN103051631B (zh) PaaS平台与SaaS应用系统的统一安全认证方法
US10819701B2 (en) Autonomous secrets management for a managed service identity
CN109660340B (zh) 一种基于量子密钥的应用系统及其使用方法
US8799119B1 (en) System and method for usage billing of hosted applications
US9710798B1 (en) System and method for usage billing of hosted applications
CN102111378A (zh) 签名验证系统
US20140068745A1 (en) Client credentials data structure and method of employing the same
Koufil et al. A credential renewal service for long-running jobs
US10592942B1 (en) System and method for usage billing of hosted applications
Collins et al. Online payments by merely broadcasting messages (extended version)
CN118368063B (zh) 一种面向海量密钥管理的集群实现方法和装置
CN114679275A (zh) 一种数字签名验签方法、平台及系统
CN118337786A (zh) 云边协同下基于Kubernetes的服务容器调度方法及系统
US11895227B1 (en) Distributed key management system with a key lookup service
US20200244632A1 (en) Redundant Device Locking Key Management System
CN115102786A (zh) 一种基于信创环境的电子政务国产云密码服务平台
CN106470248A (zh) Dnssec签名服务的热备方法及系统
CN114448986B (zh) 一种基于MC集中管理系统的License控制方法
CN111342970A (zh) 一种数字证书管理方法及系统
US11538078B1 (en) System and method for usage billing of hosted applications
CN116192853B (zh) 一种多集群管理的方法
CN108566444A (zh) 一种云服务的网络传输方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant