一種提供簽名服務(wù)的方法及系統(tǒng)技術(shù)方案

本發(fā)明專利技術(shù)提供一種提供簽名服務(wù)的方法及系統(tǒng)，該方法步驟包括：在待簽名的Web網(wǎng)頁中嵌入瀏覽器與本地HTTP服務(wù)通信的腳本代碼；當(dāng)待簽名的Web網(wǎng)頁獲取數(shù)字簽名時，瀏覽器先根據(jù)上述腳本代碼與本地HTTP服務(wù)建立可靠通信信道，再向本地HTTP服務(wù)發(fā)送簽名請求，本地HTTP服務(wù)依次檢驗請求發(fā)起方所在瀏覽器身份、請求簽名服務(wù)的Web網(wǎng)頁；如果上述檢驗通過，則本地HTTP服務(wù)向用戶請求簽名授權(quán)，簽名授權(quán)后返回簽名數(shù)據(jù)至上述瀏覽器。本發(fā)明專利技術(shù)無需對瀏覽器進(jìn)行改動，只需在待簽名Web網(wǎng)頁中嵌入與本地HTTP服務(wù)通信的腳本代碼和在本地運行一個HTTP服務(wù)，就可以實現(xiàn)瀏覽器調(diào)用本地服務(wù)的功能。

【技術(shù)實現(xiàn)步驟摘要】
一種提供簽名服務(wù)的方法及系統(tǒng)
本專利技術(shù)涉及計算機(jī)技術(shù)、信息安全
，尤其涉及一種提供簽名服務(wù)的方法及系統(tǒng)。
技術(shù)介紹
在B/S架構(gòu)系統(tǒng)中，出于安全性考慮，一般不允許瀏覽器直接訪問系統(tǒng)提供的各種組件和應(yīng)用接口。對于一個完整的系統(tǒng)，往往很多時候又需要使用諸如視頻播放、剪貼板等功能，而這些功能由系統(tǒng)的應(yīng)用接口提供。因此，通過在瀏覽器中調(diào)用ActiveX控件，實現(xiàn)調(diào)用系統(tǒng)提供的各種組件和應(yīng)用接口的功能，是一種很好的解決方式。ActiveX是以微軟COM(ComponentObjectModel，部件對象模型)為理論基礎(chǔ)建立起來的技術(shù)，通過建立帶有接口的對象，ActiveX控件能被其他COM組件或者程序調(diào)用，為代碼的重用提供一種簡化途徑。使用ActiveX控件可以輕松地在Web頁面中插入多媒體、交互式對象、各種文檔格式及復(fù)雜的程序。ActiveX控件主要和IE瀏覽器配合使用，目前ActiveX控件多由第三方開發(fā)。然而，由于大多數(shù)ActiveX控件的接口對外部環(huán)境是開放的，攻擊者很容易發(fā)現(xiàn)并利用控件中的漏洞攻擊用戶主機(jī)，嚴(yán)重影響網(wǎng)絡(luò)安全。此外，Chrome、Firefox、AppleSafari等非IE內(nèi)核的瀏覽器不支持ActiveX控件，這樣就造成了一些應(yīng)用系統(tǒng)使用的局限性。比如，銀行系統(tǒng)的網(wǎng)上銀行業(yè)務(wù)，非常依賴于ActiveX技術(shù)，ActiveX安全技術(shù)防止鍵盤鉤子，對于一般用戶而言，必須安裝ActiveX控件才能登陸網(wǎng)上銀行。與此同時，微軟公司宣布自家取代IE瀏覽器的新一代瀏覽器Edge瀏覽器將不再支持長久以來用于IE瀏覽器的ActiveX、VBScript等10多項擴(kuò)展及界面技術(shù)，并轉(zhuǎn)向以JavaScript與HTML5為基礎(chǔ)的標(biāo)準(zhǔn)技術(shù)。微軟公司表示，ActiveX技術(shù)在各種瀏覽器中不通用，其重要性在HTML5出現(xiàn)后逐漸降低，未來Edge瀏覽器將內(nèi)置AdobeFlash和PDF閱讀器。為解決此問題，目前較普遍的方案是針對不同的瀏覽器開發(fā)類似于ActiveX控件的組件，由于每個瀏覽器的實現(xiàn)方式不相同，第三方需要為不同的瀏覽器開發(fā)不同的插件。例如，F(xiàn)irefox的NPAPI插件。用戶在使用不同的瀏覽器時，需要下載不同的插件，這對用戶造成很大困擾。不同瀏覽器插件實現(xiàn)的標(biāo)準(zhǔn)不同，同一個第三方服務(wù)為支持不同的瀏覽器，實現(xiàn)的插件存在的安全隱患也會不同，這樣勢必會帶來更多的安全問題。
技術(shù)實現(xiàn)思路
本專利技術(shù)的目的在于提供一種提供簽名服務(wù)的方法及系統(tǒng)，該方法及系統(tǒng)能夠支持不同的瀏覽器，提供安全的數(shù)字簽名服務(wù)，且便于實現(xiàn)。為達(dá)到上述目的，本專利技術(shù)所采用的技術(shù)方案為：一種提供簽名服務(wù)的方法，其步驟包括：1)在待簽名的Web網(wǎng)頁中嵌入瀏覽器與本地HTTP服務(wù)通信的腳本代碼；2)當(dāng)待簽名的Web網(wǎng)頁獲取數(shù)字簽名時，瀏覽器先根據(jù)上述腳本代碼與本地HTTP服務(wù)建立可靠通信信道，再向本地HTTP服務(wù)發(fā)送簽名請求，本地HTTP服務(wù)依次檢驗請求發(fā)起方所在瀏覽器身份、請求簽名服務(wù)的Web網(wǎng)頁；3)如果上述檢驗通過，則本地HTTP服務(wù)向用戶請求簽名授權(quán)，簽名授權(quán)后返回簽名數(shù)據(jù)至上述瀏覽器。進(jìn)一步地，該方法步驟還包括：如果檢驗未通過，則返回錯誤信息并警示用戶。進(jìn)一步地，步驟1)中所述腳本代碼包括網(wǎng)頁中使用的腳本語言和特征相同的具有動態(tài)功能及發(fā)送HTTP請求功能的語言；所述發(fā)送HTTP請求功能包括發(fā)送HTTP請求包和請求方法，其中所述請求方法包括GET、POST、HEAD、PUT和DELETE方法。進(jìn)一步地，步驟1)中所述本地HTTP服務(wù)運行在客戶主機(jī)上，并監(jiān)聽特定的端口；所述本地HTTP服務(wù)運行在客戶主機(jī)上是指其作為一個或多個相關(guān)聯(lián)的可執(zhí)行程序，或者作為一個系統(tǒng)服務(wù)，且本地HTTP服務(wù)的啟動時間是在開機(jī)界面初始化時或在用戶主動運行本地HTTP服務(wù)時；所述特定的端口是指本地HTTP服務(wù)綁定的一個特定的端口或者綁定的一組特定的端口。進(jìn)一步地，步驟2)中所述信道是指解釋W(xué)eb網(wǎng)頁的瀏覽器與本地HTTP服務(wù)建立HTTP連接或者保護(hù)信息安全性傳輸?shù)姆椒ǎ凰霰Ｗo(hù)信息安全性傳輸?shù)姆椒ㄊ侵窪iffie-Hellman密鑰協(xié)商方法，其中所述Diffie-Hellman密鑰協(xié)商方法是指解釋W(xué)eb網(wǎng)頁的瀏覽器與本地HTTP服務(wù)進(jìn)行密鑰協(xié)商，得到密鑰后對通信的數(shù)據(jù)進(jìn)行加密。進(jìn)一步地，步驟2)中所述本地HTTP服務(wù)檢驗瀏覽器身份的過程包括以下步驟：1)本地HTTP服務(wù)預(yù)先維護(hù)一個信任列表，該信任列表中包含瀏覽器的詳細(xì)信息及瀏覽器可執(zhí)行程序二進(jìn)制數(shù)據(jù)的哈希值；2)當(dāng)檢驗瀏覽器身份時，根據(jù)瀏覽器發(fā)送的請求，查詢?yōu)g覽器的端口號；3)根據(jù)上述瀏覽器的端口號查詢?yōu)g覽器的進(jìn)程號，進(jìn)而獲取瀏覽器所在的路徑，得到瀏覽器的詳細(xì)信息；其中所述瀏覽器的詳細(xì)信息包括瀏覽器的名字、版本號、二進(jìn)制數(shù)據(jù)；4)將瀏覽器可執(zhí)行程序的二進(jìn)制數(shù)據(jù)進(jìn)行哈希運算，得到的結(jié)果與上述信任列表中的哈希值進(jìn)行比對，若信任列表中存在該值，則瀏覽器身份檢驗通過，否則判定瀏覽器身份檢驗未通過。更進(jìn)一步地，所述瀏覽器身份檢驗未通過時，提示用戶該簽名請求的瀏覽器可執(zhí)行程序不在上述信任列表中，如果用戶選擇信任該瀏覽器可執(zhí)行程序，則在上述信任列表中添加該瀏覽器可執(zhí)行程序的詳細(xì)信息以及該瀏覽器可執(zhí)行程序二進(jìn)制數(shù)據(jù)的哈希值；如果用戶選擇不信任該瀏覽器可執(zhí)行程序，則結(jié)束處理。進(jìn)一步地，步驟2)中所述本地HTTP服務(wù)檢驗請求簽名服務(wù)的Web網(wǎng)頁的過程包括以下步驟：1)本地HTTP服務(wù)預(yù)先維護(hù)一個信任列表，該信任列表中包含Web網(wǎng)頁的域名信息及其哈希值；2)當(dāng)檢驗請求簽名服務(wù)的Web網(wǎng)頁時，簽名請求的HTTP請求報文的請求頭Referer字段獲取Web網(wǎng)頁的域名信息，并將其與上述信任列表中的域名信息比對，若信任列表中存在該域名信息，則判定請求簽名服務(wù)的Web網(wǎng)頁檢驗通過，否則判定請求簽名服務(wù)的Web網(wǎng)頁檢驗未通過；其中所述Web網(wǎng)頁的域名信息是指本地HTTP服務(wù)能夠與Web網(wǎng)頁所在的服務(wù)器進(jìn)行通信且確認(rèn)簽名請求的真實性的信息。更進(jìn)一步地，所述請求簽名服務(wù)的Web網(wǎng)頁檢驗未通過時，提示用戶該簽名請求的Web網(wǎng)頁的域名信息不在上述信任列表中，如果用戶選擇信任該Web網(wǎng)頁的域名，則在上述信任列表中添加該Web網(wǎng)頁的域名信息；如果用戶選擇不信任該Web網(wǎng)頁的域名，則結(jié)束處理。進(jìn)一步地，步驟3)中所述本地HTTP服務(wù)向用戶請求簽名授權(quán)是指讓用戶輸入口令或者個人身份號碼(PIN,PersonalIdentificationNumber)并檢驗，若檢驗通過則用戶簽名授權(quán)。進(jìn)一步地，步驟3)中所述簽名數(shù)據(jù)是指本地HTTP服務(wù)使用自身實現(xiàn)的簽名模塊進(jìn)行簽名的結(jié)果，或者調(diào)用硬件簽名設(shè)備USBKey進(jìn)行簽名的結(jié)果。一種提供簽名服務(wù)的系統(tǒng)，包括Web服務(wù)器、瀏覽器、本地HTTP服務(wù)；所述Web服務(wù)器用于提供Web服務(wù)，在待簽名的Web網(wǎng)頁中嵌入瀏覽器與本地HTTP服務(wù)通信的腳本代碼；所述瀏覽器用于訪問Web服務(wù)器，執(zhí)行待簽名的Web網(wǎng)頁中嵌入的腳本代碼；所述本地HTTP服務(wù)用于提供簽名服務(wù)，運行并等待待簽名的Web網(wǎng)頁中腳本的簽名請求，檢驗瀏覽器身份和請求簽名服務(wù)的Web網(wǎng)頁，當(dāng)上述檢驗通過后向用戶請求簽名授權(quán)并返回簽名數(shù)據(jù)至上述瀏覽器。進(jìn)一步地，所述本地本文檔來自技高網(wǎng)...

【技術(shù)保護(hù)點】
一種提供簽名服務(wù)的方法，其步驟包括：1)在待簽名的Web網(wǎng)頁中嵌入瀏覽器與本地HTTP服務(wù)通信的腳本代碼；2)當(dāng)待簽名的Web網(wǎng)頁獲取數(shù)字簽名時，瀏覽器先根據(jù)上述腳本代碼與本地HTTP服務(wù)建立可靠通信信道，再向本地HTTP服務(wù)發(fā)送簽名請求，本地HTTP服務(wù)依次檢驗請求發(fā)起方所在瀏覽器身份、請求簽名服務(wù)的Web網(wǎng)頁；3)如果上述檢驗通過，則本地HTTP服務(wù)向用戶請求簽名授權(quán)，簽名授權(quán)后返回簽名數(shù)據(jù)至上述瀏覽器。

【技術(shù)特征摘要】
1.一種提供簽名服務(wù)的方法，其步驟包括：1)在待簽名的Web網(wǎng)頁中嵌入瀏覽器與本地HTTP服務(wù)通信的腳本代碼；2)當(dāng)待簽名的Web網(wǎng)頁獲取數(shù)字簽名時，瀏覽器先根據(jù)上述腳本代碼與本地HTTP服務(wù)建立可靠通信信道，再向本地HTTP服務(wù)發(fā)送簽名請求，本地HTTP服務(wù)依次檢驗請求發(fā)起方所在瀏覽器身份、請求簽名服務(wù)的Web網(wǎng)頁；3)如果上述檢驗通過，則本地HTTP服務(wù)向用戶請求簽名授權(quán)，簽名授權(quán)后返回簽名數(shù)據(jù)至上述瀏覽器。2.如權(quán)利要求1所述的方法，其特征在于，步驟1)中所述腳本代碼包括網(wǎng)頁中使用的腳本語言和特征相同的具有動態(tài)功能及發(fā)送HTTP請求功能的語言；所述發(fā)送HTTP請求功能包括發(fā)送HTTP請求包和請求方法，其中所述請求方法包括GET、POST、HEAD、PUT和DELETE方法。3.如權(quán)利要求1所述的方法，其特征在于，步驟1)中所述本地HTTP服務(wù)運行在客戶主機(jī)上，并監(jiān)聽特定的端口；所述本地HTTP服務(wù)運行在客戶主機(jī)上是指其作為一個或多個相關(guān)聯(lián)的可執(zhí)行程序，或者作為一個系統(tǒng)服務(wù)，且本地HTTP服務(wù)的啟動時間是在開機(jī)界面初始化時或在用戶主動運行本地HTTP服務(wù)時；所述特定的端口是指本地HTTP服務(wù)綁定的一個特定的端口或者綁定的一組特定的端口。4.如權(quán)利要求1所述的方法，其特征在于，步驟2)中所述本地HTTP服務(wù)檢驗瀏覽器身份的過程包括以下步驟：1)本地HTTP服務(wù)預(yù)先維護(hù)一個信任列表，該信任列表中包含瀏覽器的詳細(xì)信息及瀏覽器可執(zhí)行程序二進(jìn)制數(shù)據(jù)的哈希值；2)當(dāng)檢驗瀏覽器身份時，根據(jù)瀏覽器發(fā)送的請求，查詢?yōu)g覽器的端口號；3)根據(jù)上述瀏覽器的端口號查詢?yōu)g覽器的進(jìn)程號，進(jìn)而獲取瀏覽器所在的路徑，得到瀏覽器的詳細(xì)信息；其中所述瀏覽器的詳細(xì)信息包括瀏覽器的名字、版本號、二進(jìn)制數(shù)據(jù)；4)將瀏覽器可執(zhí)行程序的二進(jìn)制數(shù)據(jù)進(jìn)行哈希運算，得到的結(jié)果與上述信任列表中的哈希值進(jìn)行比對，若信任列表中存在該值，則瀏覽器身份檢驗通過，否則判定瀏覽器身份檢驗未通過；5)當(dāng)瀏覽器身份檢驗未通過時，提示用戶該簽名請求的瀏覽器可執(zhí)行程序不在上述信任列表中，如果用戶選擇信任該瀏覽器可執(zhí)行程序，則在上述信任列表中添加該瀏覽器可執(zhí)行程序的詳細(xì)信息以及該瀏覽器可執(zhí)行程序二進(jìn)制數(shù)據(jù)的哈希值；如果用戶選擇不信任該瀏覽器可執(zhí)行程序，則結(jié)束處理。5.如權(quán)利要求1所述的方法，其特征在于，步驟2)中所述本地HTTP服務(wù)檢驗請求簽名服務(wù)的Web網(wǎng)頁的過程包括以下步驟：1)本地HTTP服務(wù)預(yù)先維護(hù)一個信任列表，該信任列表中包含Web網(wǎng)頁的域名信息及其哈希值；所述Web網(wǎng)頁的域名信息是指本地HTTP服務(wù)能夠與Web網(wǎng)頁所在的服務(wù)器進(jìn)行通信且確認(rèn)簽名請求的真實性的信息；2)當(dāng)檢驗請求簽名服務(wù)的Web網(wǎng)頁時，簽名請求的HTTP請求報文的請求頭Referer字段獲取Web網(wǎng)頁的域名信息，并將其與上述信任列表中的域名信息比對，若信任列表中存在該域名信息，則判定請求簽名服務(wù)的Web網(wǎng)頁檢驗通過，否則判定請求簽名服務(wù)的Web網(wǎng)頁檢驗未通過；3)當(dāng)請求簽名服務(wù)的Web網(wǎng)頁檢驗未通過時，提示用戶該簽名請求的Web網(wǎng)頁的域名信息不在上述信任列表中，如果用戶選擇信任該Web網(wǎng)頁的域名，則在上述信任列表中添加該Web網(wǎng)頁的域名信息；如果用戶選擇不信任該Web網(wǎng)頁的域名，則結(jié)束處理。6.如權(quán)利要求1所述的方法，其特征...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：王平建，左石城，王瓊霄，趙宇航，曹宏瑾，常歡，
申請(專利權(quán))人：中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心，
類型：發(fā)明
國別省市：北京,11