[发明专利]基于安全组件的可信身份令牌的连续电子签名方法及系统

权利要求书

1.一种基于安全组件的可信身份令牌的连续电子签名方法，其特征在于，包括以下步骤：

S1、业务系统向安全组件申请电子签名；

S2、所述安全组件获取电子签名参数；

S3、所述安全组件判断是否存在有效的可信身份令牌；若存在跳转到S4继续执行，若不存在跳转到S5继续执行；

S4、所述安全组件对比所述电子签名申请参数与安全身份数据，通过验证跳转S9继续执行，不通过验证跳转S5继续执行；

S5、所述安全组件与电子签名系统建立安全传输通道，并将所述电子签名申请参数发送给电子签名系统；

S6、在所述电子签名系统完成意愿认证，授权安全组件使用用户密钥；

S7、所述电子签名系统配合时间戳服务器创建所述可信身份令牌；

S8、所述电子签名系统对所述可信身份令牌做电子签名；并发送给所述安全组件；

S9、所述安全组件使用所述可信身份令牌加密所述电子签名申请参数，生成所述安全身份数据；

S10、所述安全组件配合签名验签服务器完成电子签名，返回结果给所述业务系统；

重复S1至S10，实现连续电子签名。

2.根据权利要求1所述的基于安全组件的可信身份令牌的连续电子签名方法，其特征在于，所述安全组件形态包括SDK、EXE或DLL库。

3.根据权利要求1所述的基于安全组件的可信身份令牌的连续电子签名方法，其特征在于，所述电子签名申请参数，包括所述业务系统承载的物理终端标识、所述业务系统标识、所述业务系统登录账号、一组随机数。

4.根据权利要求3所述的基于安全组件的可信身份令牌的连续电子签名方法，其特征在于，所述电子签名申请参数中，所述随机数由所述安全组件生成。

5.根据权利要求1所述的基于安全组件的可信身份令牌的连续电子签名方法，其特征在于，S3中所述安全组件判断是否存在有效的可信身份令牌，具体如下：

S31，所述安全组件配合签名验签服务器验证所述可信身份令牌数字签名有效性；验证通过继续S32，验证失败则跳转S5继续执行；

S32，所述安全组件验证配合时间戳服务器验证所述可信身份令牌是否处于有效期内，验证通过继续S4，验证失败跳转S5继续执行。

6.根据权利要求1所述的基于安全组件的可信身份令牌的连续电子签名方法，其特征在于，S4中所述安全组件对比所述电子签名申请参数与安全身份数据,具体如下：

S41，所述安全组件使用对称加密算法，解密所述安全身份数据；

S42，所述安全组件对比已解密的安全身份数据与所述电子签名申请参数，对比内容有，所述业务系统承载的物理终端标识、所述业务系统标识、所述业务系统登录账号，两者一致情况下继续S43，两者不一致情况下跳转S5继续执行；

S43，所述安全组件对比已解密的安全身份数据与所述电子签名申请参数，对比内容有，所述随机数，两者不一致情况下继续S44，两者一致情况下跳转S5继续执行；

S44，所述安全组件使用对称加密算法，用可信身份令牌加密所述电子签名申请参数，替换所述安全身份数据。

7.根据权利要求1所述的基于安全组件的可信身份令牌的连续电子签名方法，其特征在于，所述S7中所述电子签名系统配合时间戳服务器创建所述可信身份令牌，具体如下：

S71，所述电子签名系统按照签署人意愿创建所述可信身份令牌；

S72，所述电子签名系统解析所述电子签名申请参数获取所述业务系统承载的物理终端标识、所述业务系统标识、所述业务系统登录账号、所述随机数；

S73，所述电子签名系统使用摘要算法，计算述业务系统承载的物理终端标识、所述业务系统标识、所述业务系统登录账号、随机数的哈希值；

S74，所述电子签名系统组合所述哈希值、时间戳生成所述可信身份令牌；

S75，所述电子签名系统按照签署人意愿设置所述可信身份令牌的有效时间；所述可信身份令牌的有效时间由安全策略与用户意愿共同决定。