[发明专利]一种协同签名方法

说明书

本发明涉及数字签名技术领域，具体涉及一种协同签名方法，本申请在生成密钥时，直接将密钥保存到服务器中，并生成相应的密钥id，在用户进行协同签名时，首先检测密钥id对应的证书状态，然后将证书状态正常的密钥id展示给用户，只需要用户选择使用的密钥id，通过用户授权即可，无需用户自身保存密钥，从而解决了用户协同签名手机端密钥容易丢失的问题。

技术领域

本发明涉及数字签名技术领域，具体涉及一种协同签名方法。

背景技术

协同签名服务器是基于SM2、SM3、SM4国产密码算法设计的一款安全私钥分量托管协同签名系统，为用户操作终端提供安全合规的终端用户身份认证方案。

当前，手机和服务器，直接协同签名的时候，手机端计算签名的一部分中间结果，服务器在计算并合成真正的签名结果，但是现有的协同签名手机端所保存的密钥，通常是已文件的形式保存，并使用口令的形式保护，文件容易丢失或者损坏(如卸载App)。

发明内容

有鉴于此，本发明的目的在于提供一种协同签名方法，以克服目前协同签名客户手机端密钥容易丢失的问题。

为实现以上目的，本发明采用如下技术方案：

一种协同签名方法，包括：

客户端通过用户输入的用户信息登录第一服务器；

所述第一服务器通过预先生成的第一服务器私钥生成第一服务器公钥；

第二服务器通过预先生成的第二服务器私钥生成第二服务器公钥；

所述第二服务器根据所述第一服务器公钥和所述第二服务器公钥生成协同公钥，并将所述协同公钥和所述第二服务器公钥发送给所述第一服务器；

所述第一服务器根据所述第一服务器公钥、所述第二服务器公钥和所述协同公钥生成密钥id，并存储所述第一服务器公钥、所述第二服务器公钥和所述协同公钥；

所述第一服务器根据用户选择的密钥id，通过所述密钥id对应的所述第一服务器私钥生成第一CSR编码，并通过所述第一服务器私钥生成中间结果；

所述第一服务器通过协同公钥加密将所述CSR编码和所述中间结果发送给所述第二服务器；

所述第二服务器根据所述第二服务器私钥生成第二CSR编码，并根据所述第二服务器私钥和所述中间结果生成完整签名；

所述第二服务器根据所述完整签名将所述第一CSR编码和所述第二CSR编码合成完整CSR，并将所述完整CSR通过所述协同公钥加密发送给所述第一服务器；

所述第一服务器将所述完整CSR发送给CA，生成证书；

所述客户端获取用户待签名数据，并将所述待签名数据发送给所述第一服务器；

所述第一服务器检测所述用户所以密钥id对应的证书状态，并将所述证书状态正常的密钥id发送给所述客户端；

所述客户端将用户选择的签名密钥id发送给所述第一服务器；

所述第一服务器根据所述待签名数据生成hash值，并通过所述签名密钥id对应的所述第一服务器私钥生成签名中间结果，并通过所述签名密钥id对应的所述协同公钥进行加密发送给所述第二服务器；

所述第二服务器获取用户的授权指令，并通过所述授权指令，根据所述第二服务器私钥和所述签名中间结果生成完整签名结果，并通过所述协同公钥将所述完整签名结果加密发送给所述第一服务器，从而完成签名。

进一步的，以上所述的方法，所述第二服务器通过预先生成的第二服务器私钥生成第二服务器公钥，包括：