一种电子签名方法及电子签名终端技术

本发明专利技术公开了一种电子签名方法，包括：主安全芯片获取签名业务数据；查询是否存在空闲状态的运算安全芯片，若存在，则将签名业务数据发送给空闲状态的运算安全芯片进行电子签名。本发明专利技术还公开了一种电子签名终端，包括密码服务单元和服务主机；所述密码服务单元包括：主安全芯片，用于查询运算安全芯片的空闲状态，获取签名业务数据并将该签名业务数据传递给空闲的运算安全芯片；运算安全芯片，至少两个，接收来自主安全芯片的签名业务数据并进行电子签名；证书灌装安全芯片，用于传递证书信息给主安全芯片。本发明专利技术具有以下有益效果：基于网络的多进程多并发特点，采用多个运算安全芯片同时进行电子签名，解决了传统智能密码钥匙效率低的缺点。

Electronic signature method and electronic signature terminal

The invention discloses an electronic signature method, including: the main security chip to get the signature service data; operational safety chip, check whether the existence of idle state if it exists, will sign the business data is transmitted to the idle state of the operational security chip electronic signature. The invention also discloses an electronic signature terminal, including password service unit and service host; the cryptographic service unit includes a main safety chip for idle state query operation security chip, access to business data and transfer the signature of the signature data to the business operation security chip free; operational safety chip, at least two receiving data from the main business, the signature of the security chip and electronic signature certificate; filling security chip, used to transmit the information to the main chip security certificate. The invention has the following beneficial effects: Based on the multi process and multi concurrent characteristics of the network, a plurality of arithmetic security chips are used to simultaneously carry out the electronic signature, and the shortcomings of the low efficiency of the traditional intelligent cipher keys are solved.

【技术实现步骤摘要】
一种电子签名方法及电子签名终端
本专利技术涉及电子加密技术，具体涉及一种能够实现快速电子签名的电子签名方法和电子签名终端。
技术介绍
对于电子商务、电子政务、网络交易等基于Internet的企业应用来说，终端高速签名使用的需求和范围日益增大，所以在终端上保证应用数据的安全性和快速高效签名至关重要。现有的智能密码钥匙存在签名速度慢，并发性支持不好及扩容费用高的问题。高速签名的终端方案则是针对此类问题而开发的产品，为保障应用数据在计算机和终端的使用安全都提供了极大的便利和可靠性，也满足了企业应用签名高速的强需求。
技术实现思路
针对现有技术中所存在的问题，本专利技术的目的在于基于网络的多进程多并发特点，提供一种能够实现快速签名的电子签名方法和电子签名终端，解决传统智能密码钥匙效率低的问题。为达到上述专利技术目的，本专利技术的技术方案如下：一种电子签名方法，包括：(1)主安全芯片获取经过服务主机解析的签名业务数据；(2)在至少两个运算安全芯片中查询是否存在空闲状态的运算安全芯片，若存在，则将签名业务数据发送给空闲状态的运算安全芯片进行电子签名；若不存在，则在确定存在运算安全芯片处于空闲状态后，将签名业务数据发送给相应的空闲状态运算安全芯片进行电子签名；(3)所述主安全芯片接收经过运算安全芯片电子签名后的签名数据并将该签名数据传送给服务主机。进一步地，上述电子签名方法，步骤(2)中确定存在运算安全芯片处于空闲状态的方法为：主运算安全芯片接收到来自运算安全芯片电子签名后的签名数据即确定存在相应的运算安全芯片处于空闲状态。进一步地，上述电子签名方法，所述服务主机通过网络接口接收由上层业务应用通过PKI接口调用API接口发送的签名业务数据并进行解析；所述服务主机将来自主安全芯片的签名数据传送给上层业务应用。相应地，本专利技术还提供了一种电子签名终端，包括密码服务单元和服务主机；所述密码服务单元包括：主安全芯片，用于查询运算安全芯片的空闲状态，获取签名业务数据并将该签名业务数据传递给空闲的运算安全芯片，接收来自运算安全芯片的签名数据并将该签名数据传送；运算安全芯片，至少有两个，用于接收来自主安全芯片的签名业务数据，根据该签名业务数据进行电子签名，并将电子签名后的签名数据传递给主安全芯片；证书灌装安全芯片，用于将证书信息传递给主安全芯片；所述服务主机，与所述主安全芯片通讯连接，用于获取签名业务数据，对其进行解析并将解析后的签名业务数据传递给所述主安全芯片；也用于获取来自主安全芯片的签名数据并传送该签名数据。进一步地，上述电子签名终端，所述服务主机通过网络接口获取来自上层业务应用的签名业务数据。进一步地，上述电子签名终端，所述上层业务应用的签名数据通过PKI接口所调用的API接口发送给所述网络接口。进一步地，上述电子签名终端，所述服务主机和所述主安全芯片通过USB接口实现通讯连接。进一步地，上述电子签名终端，所述密码服务单元设置有外部接口，所述外部接口包括与所述证书灌装安全芯片连接的USB接口和输入设备接口；该与所述证书灌装安全芯片连接的USB接口用于生产、证书预制和证书更新。进一步地，上述电子签名终端，所述密码服务单元还与显示单元通讯连接；所述服务主机还与COM接口连接；所述COM接口，用于配置IP、查询MAC和加入设备的可信IP。进一步地，上述电子签名终端，所述运算安全芯片使用的非对称密对相同。本专利技术具有以下有益效果：1、基于网络的多进程多并发特点，采用多个运算安全芯片同时进行电子签名，解决了传统智能密码钥匙效率低的缺点；2、终端的各个端口权限分离，便于安全管理；3、支持PKI体系，可以快速部署与企业签名应用；4、通过网络接口接收数据，避免重置引起的数据丢失造成的访问不稳定。附图说明图1为本专利技术具体实施例的电子签名方法的流程图。图2为本专利技术具体实施例的电子签名终端的结构框图。图3为本专利技术具体实施例的密码服务单元的结构框图。具体实施方式下面结合附图和实施例对本专利技术进行详细的描述。如图1所示，本专利技术针对网络的多进程多并发特点，提供了一种电子签名方法，包括：(1)主安全芯片获取签名业务数据，S201；(2)在至少两个运算安全芯片中查询是否存在空闲状态的运算安全芯片，S202；若存在，则将签名业务数据发送给空闲状态的运算安全芯片进行电子签名,S203a；若不存在，则在确定存在运算安全芯片处于空闲状态后，将签名业务数据发送给相应的空闲状态运算安全芯片进行电子签名，S203b；(3)所述主安全芯片接收经过运算安全芯片电子签名后的签名数据并将该签名数据传送,S204。如此，多个运算安全芯片能够同时进行电子签名任务，解决了因现有技术方案中真正起到签名作用的运算安全芯片只有一个，遇到多进程多并发的签名业务时排队等候产生的签名效率低下的不利情况。进一步地，服务主机通过网络接口接收来自上层业务应用的签名业务数据,S102；该签名业务数据由上层业务应用通过PKI接口调用的API接口发送,S101。该签名业务数据经过服务主机解析后，正确的签名业务数据被主安全芯片获取,S103。经由电子签名后的签名数据由主安全芯片传送给服务主机，服务主机将该签名数据反馈给相应上层业务应用，S205。对应的，本专利技术具体实施方式还提供了相应的一种电子签名终端，包括密码服务单元和服务主机；服务主机，与主安全芯片通讯连接，用于获取签名业务数据，对其进行解析并将解析后的签名业务数据传递给所述主安全芯片；也用于获取来自主安全芯片的签名数据并传送该签名数据。所述密码服务单元包括：主安全芯片，用于查询运算安全芯片的空闲状态，获取签名业务数据并将该签名业务数据传递给空闲的运算安全芯片，接收来自运算安全芯片的签名数据并将该签名数据传送；运算安全芯片，至少有两个，用于接收来自主安全芯片的签名业务数据，根据该签名业务数据进行电子签名，并将电子签名后的签名数据传递给主安全芯片；证书灌装安全芯片，用于将证书信息的传递给主安全芯片，证书灌装安全芯片连接在主安全芯片上，且该证书灌装芯片与用于生产、证书预制和证书更新的USB接口连接。所述上层业务应用的签名数据通过PKI接口所调用的API接口发送给所述网络接口。所述服务主机通过网络接口获取来自上层业务应用的签名业务数据。所述服务主机和所述主安全芯片通过USB接口实现通讯连接。所述密码服务单元设置有外部接口，所述外部接口包括与所述证书灌装安全芯片连接的USB接口和输入设备接口(例如：输入设备例如键盘，可在查看设备IP等配置信息或交易信息过程中进行选择等操作)。所述密码服务单元还与显示单元(本实施例中为LCD/LED屏)通讯连接，(例如显示单元与证书灌装芯片连接)用来显示相关信息；所述服务主机还与COM接口连接；COM接口，用于配置IP、查询MAC和加入设备的可信IP。多个所述的运算安全芯片使用的非对称密对相同，以便保证签名业务的一致性。上层业务应用通过PKI接口调用为相应的API接口后，本专利技术的签名终端进行电子签名的过程如下：服务主机通过网络接口接收来自API接口的签名业务数据。服务主机搭载的操作系统参照现有技术方案正确解析出签名业务数据并将该签名业务数据发送到主安全芯片，若服务主机在解析过程发现签名业务数据错误，则将错误信息通过网络接口反馈。主安全芯片将本文档来自技高网...

【技术保护点】
一种电子签名方法，包括：(1)主安全芯片获取经过服务主机解析的签名业务数据；(2)在至少两个运算安全芯片中查询是否存在空闲状态的运算安全芯片，若存在，则将签名业务数据发送给空闲状态的运算安全芯片进行电子签名；若不存在，则在确定存在运算安全芯片处于空闲状态后，将签名业务数据发送给相应的空闲状态运算安全芯片进行电子签名；(3)所述主安全芯片接收经过运算安全芯片电子签名后的签名数据并将该签名数据传送给服务主机。

【技术特征摘要】
1.一种电子签名方法，包括：(1)主安全芯片获取经过服务主机解析的签名业务数据；(2)在至少两个运算安全芯片中查询是否存在空闲状态的运算安全芯片，若存在，则将签名业务数据发送给空闲状态的运算安全芯片进行电子签名；若不存在，则在确定存在运算安全芯片处于空闲状态后，将签名业务数据发送给相应的空闲状态运算安全芯片进行电子签名；(3)所述主安全芯片接收经过运算安全芯片电子签名后的签名数据并将该签名数据传送给服务主机。2.如权利要求1所述的电子签名方法，其特征在于，步骤(2)中确定存在运算安全芯片处于空闲状态的方法为：主运算安全芯片接收到来自运算安全芯片电子签名后的签名数据即确定存在相应的运算安全芯片处于空闲状态。3.如权利要求1或2所述的电子签名方法，其特征在于，所述服务主机通过网络接口接收由上层业务应用通过PKI接口调用API接口发送的签名业务数据并进行解析；所述服务主机将来自主安全芯片的签名数据传送给上层业务应用。4.一种电子签名终端，其特征在于，包括密码服务单元和服务主机；所述密码服务单元包括：主安全芯片，用于查询运算安全芯片的空闲状态，获取签名业务数据并将该签名业务数据传递给空闲的运算安全芯片，接收来自运算安全芯片的签名数据并将该签名数据传送；运算安全芯片，至少有两个，用于接收来自主安全芯片的签名业务数据，根据该...

【专利技术属性】
技术研发人员：刘跃雷，
申请(专利权)人：北京握奇智能科技有限公司，
类型：发明
国别省市：北京,11