(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221079825 6.6 (22)申请日 2022.07.06 (71)申请人 北京神州安 付科技股份有限公司 地址 102200 北京市昌平区回龙观龙域中 街1号院1号楼龙域中心 A座1102室 (72)发明人 张敏　赵宁宁　崔焕　管巫浩　 (74)专利代理 机构 北京专赢专利代理有限公司 11797 专利代理师 刘伟 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) (54)发明名称 一种数据包签名与验签系统 (57)摘要 本发明公开了一种数据包签名与验签系统， 包含移动终端和协同签名系统， 协同签名系统将 密钥分割成多份， 每份称为秘密份额， 然后将其 中的一份秘密份额保存在移动终端， 其余的保存 在软件密码服务平台中； 当移动终端中的应用程 序需要调用密码模块使用用户SM2密钥进行数字 签名时， 本发明采用密钥分割和协同签名技术， 由移动终端、 协 同签名系统各自独立生成密钥、 独立存储密钥， 在签名阶段由双方协作共同完成 数字签名。 本发 明可以在用户移动端无需额外硬 件介质的条件 下， 为用户提供出安全合规的数字 签名服务。 权利要求书1页 说明书4页 附图2页 CN 115174116 A 2022.10.11 CN 115174116 A 1.一种数据包签名与验签系统， 其特征在于， 包含移动终端和协同签名系统， 所述移动 终端内设密码模块， 协同签名系统将密钥分割成多份， 每份称为秘密份额， 并存储分割的部 分密钥， 然后 将其中的一份秘密份额保存在移动终端， 其余的保存在软件密码服务平台中； 当移动终端中的应用程序需要调用密码模块使用密钥进行数字签名时， 软件密码服务平台 分别使用自己的秘密份额进行密码运算， 最后 将各软件密码服务平台计算的结果合并形成 最后的、 使用密钥进行密码运 算的结果。 2.根据权利要求1所述的一种数据包签名与验签系统， 其特征在于， 所述移动终端为PC 或手机端。 3.根据权利要求2所述的一种数据包签名与验签系统， 其特征在于， 所述密码模块， 作 为安全的软件载体保护用户密钥和证书的安全， 通过密钥分割， 保存部 分密钥， 密码模块提 供密码运 算、 数字签名、 协同解密和证书服 务。 4.根据权利要求2所述的一种数据包签名与验签系统， 其特征在于， 所述协同签名系统 通过预先设计好的密钥分割策略， 对密钥进 行分割处理， 提供签名、 验签接口函数供服务端 调用。 5.根据权利要求2所述的一种数据包签名与验签系统， 其特征在于， 所述协同签名系统 内设PCI密码卡。 6.根据权利要求1所述的一种数据包签名与验签系统， 其特征在于， 所述移动终端使用 密码模块内的密钥进行协同签名， 并将协同签名结果 提供给签名API。 7.根据权利要求1所述的一种数据包签名与验签系统， 其特征在于， 所述协同签名系统 对外开放密码应用接口， 允许移动终端调用。权　利　要　求　书 1/1 页 2 CN 115174116 A 2一种数据 包签名与验签 系统 技术领域 [0001]本发明涉及网络安全技 术领域， 具体是一种数据包签名与验签系统。 背景技术 [0002]随着密码应用及国产密码算法在电子政务、 金融、 电力、 交通、 医疗等各个领域的 显著推广， 安全应用方案的部署日益增多， 密钥管理作为安全应用系统中的重要组成部分 也变得越来越重要和复杂， 密钥管理不善可能使组织机构遭受不必要的安全风险。 [0003]因此需要提供一种能够保障密码安全的系统。 发明内容 [0004]本发明的目的在于提供一种数据包签名与验签系统， 以解决上述背景技术中提出 的问题。 [0005]为实现上述目的， 本发明提供如下技 术方案： 一种数据包签名与验签系统， 包含移动终端和协同签名系统， 所述移动终端内设 密码模块， 协同签名系统将密钥分割成多份， 每份称为秘密份额， 并存储分割的部分密钥， 然后将其中的一份秘密份额保存在移动终端， 其余的保存在软件密码服务平台中； 当移动 终端中的应用程序需要调用密码模块使用密钥进 行数字签名时， 软件密码服务平台分别使 用自己的秘密份额进行密码运算， 最后将各软件密码服务平台计算的结果合并形成最后 的、 使用密钥进行密码运 算的结果。 [0006]作为本发明的进一 步技术方案： 所述移动终端为PC或手机端。 [0007]作为本发明的进一步技术方案： 所述密码模块， 作为安全的软件载体保护用户密 钥和证书的安全， 通过密钥分割， 保存部 分密钥， 密码模块提供密码运算、 数字签名、 协同解 密和证书服 务。 [0008]作为本发明的进一步技术方案： 所述协同签名系统通过预先设计好的密钥分割策 略， 对密钥进行分割处 理， 提供签名、 验签接口函数 供服务端调用。 [0009]作为本发明的进一 步技术方案： 所述协同签名系统内设PCI密码卡。 [0010]作为本发明的进一步技术方案： 所述移动终端使用密码模块内的密钥进行协同签 名， 并将协同签名结果 提供给签名API。 [0011]作为本发明的进一步技术方案： 所述协同签名系统对外开放密码应用接口， 允许 移动终端调用。 [0012]与现有技 术相比， 本发明的有益效果是： 本发明采用密钥分割和协同签名技术， 由移动终端、 协同签名系统各自独立生成 密钥、 独立存储密钥， 在签名阶段由双方协作共同完成数字签名。 本发 明可以在用户移动端 无需额外硬件介质的条件下， 为用户提供 出安全合 规的数字签名服 务。说　明　书 1/4 页 3 CN 115174116 A 3