一种签名程序加密方法及装置、解密方法及装置与流程

本说明书涉及信息安全，尤其是涉及一种签名程序加密方法及装置、解密方法及装置。

背景技术：

1、现有的客户端签名程序通常部署在终端机器上，同时在服务端部署一套数据库系统，通过服务端操作记录来审核操作记录的合规性，而目前客户端签名程序的保护方式是使用敏感介质保护，即通过硬件加密认证的方式来保护客户端程序的使用，比如u盾、加密狗等，这种通过硬件加密认证的方式的优点是其私钥保存在硬件内部，安全性高，但存在使用不便、应用场景有限的缺陷，在一些不允许外设插入的电脑上无法实现对本地程序的保护，并且由于客户端程序没有数据库系统，仅在服务端部署一套数据库系统，无法通过服务端记录操作日志，而在客户端记录存在删除或篡改记录的风险，因此亟需一种签名程序加密方法，在扩大加密应用场景的同时提高对签名程序的保护力度。

技术实现思路

1、鉴于目前客户端签名程序的保护方式是使用敏感介质保护，即通过硬件加密认证的方式来保护客户端程序的使用，存在使用不便、应用场景有限的缺陷，并且由于客户端程序没有数据库系统，仅在服务端部署一套数据库系统，无法通过服务端记录操作日志，而在客户端记录存在删除或篡改记录的风险，提出了本方案以便克服上述问题或者至少部分地解决上述问题。

2、一方面，本说明书的一些实施例的目的在于提供一种签名程序加密方法，所述方法包括：

3、获取签名程序针对某个用户的唯一标识符；

4、根据所述唯一标识符生成第一加密密钥；

5、利用预设的第二加密密钥对所述签名程序的目标信息进行加密，得到加密签名结果；其中，所述目标信息包括所述第一加密密钥、所述签名程序的签名私钥及操作日志；

6、利用所述第一加密密钥加密所述第二加密密钥，得到加密密文；

7、将所述加密密文、加密签名结果以及加密目标信息后的签名程序形成加密后签名程序。

8、进一步地，获取签名程序针对某个用户的唯一标识符后，进一步包括：

9、生成所述唯一标识符对应的设备标识码；

10、判断所述设备标识码是否在预设的设备列表中；

11、若所述设备标识码不在预设的设备列表中，则终止签名程序加密操作，并返回安全告警。

12、进一步地，所述预设的设备列表利用如下步骤建立得到：

13、获取若干个待运行签名程序的机器的硬件配置信息；

14、在各硬件配置信息的指定位置中插入特定字符串，得到对应的硬件配置加密信息；

15、将所述硬件配置加密信息输入至预设的国密算法中，生成与所述机器对应的若干个设备标识；

16、根据所述若干个设备标识建立预设的设备列表。

17、进一步地，建立所述设备列表后，进一步包括：

18、利用堡垒机对所述待运行签名程序的机器进行远程管理，并记录管理日志，以将所述管理日志与所述操作日志进行匹配验证。

19、进一步地，根据所述唯一标识符生成第一加密密钥，包括：

20、对所述唯一标识符进行加盐处理；

21、将加盐处理结果输入至预设的国密算法中，得到所述第一加密密钥。

22、进一步地，所述第二加密密钥通过如下步骤得到：

23、将预设的随机数与混淆因子进行混合穿插；

24、将混合穿插结果输入至预设的国密算法中，得到所述第二加密密钥。

25、进一步地，利用预设的第二加密密钥对所述签名程序的目标信息进行加密，得到加密签名结果，进一步包括：

26、采用预设的第二加密密钥对所述签名程序的目标信息通过对应的国密算法加密，得到加密签名结果；所述加密签名结果包括第一加密密钥密文、签名私钥密文及操作日志密文。

27、进一步地，利用第二加密密钥对目标加密信息进行加密，得到加密签名结果后，进一步包括：

28、将所述第一加密密钥密文、签名私钥密文存储至第一存储区域，将所述操作日志密文存储至第二存储区域。

29、进一步地，返回所述加密密文及加密签名结果后，进一步包括：

30、将所述第一加密密钥、第二加密密钥及目标信息进行不可逆销毁，并对销毁过程进行记录。

31、基于同一发明构思，本说明书的一些实施例还提供了一种签名程序解密方法，所述方法包括：

32、获取加密后签名程序中的唯一标识符，其中，所述加密后签名程序包括加密密文、加密签名结果以及加密目标信息后的签名程序；

33、根据所述唯一标识符生成第一解密密钥；

34、利用所述第一解密密钥解密所述加密密文，得到第二解密密钥；

35、利用所述第二解密密钥对所述加密签名结果进行部分解密，得到第一加密密钥；

36、校验所述第一解密密钥与所述第一加密密钥是否匹配；

37、若匹配，则对所述加密签名结果进行全解密。

38、进一步地，根据所述唯一标识符生成第一解密密钥，进一步包括：

39、在加密目标信息后的签名程序中获取非加密的所述签名程序的唯一标识符；

40、对所述唯一标识符进行加盐处理；

41、将加盐处理结果输入至预设的国密算法中，得到所述第一解密密钥。

42、进一步地，在对所述加密签名结果进行全解密之后还包括，利用所述签名程序的签名私钥对目标文件进行签名。

43、另一方面，本说明书的一些实施例还提供一种签名程序加密装置，所述装置包括：

44、获取模块，用于获取签名程序针对某个用户的唯一标识符；

45、加密密钥生成模块，用于根据所述唯一标识符生成第一加密密钥；

46、信息加密模块，用于利用预设的第二加密密钥对所述签名程序的目标信息进行加密，得到加密签名结果；其中，所述目标信息包括所述第一加密密钥、所述签名程序的签名私钥及操作日志；

47、密钥加密模块，用于利用所述第一加密密钥加密所述第二加密密钥，得到加密密文；

48、形成模块，用于将所述加密密文、加密签名结果以及加密目标信息后的签名程序形成加密后签名程序。

49、基于同一发明构思，另一方面，本说明书的一些实施例还提供一种签名程序解密装置，所述装置包括：

50、接收模块，用于获取加密后签名程序中的唯一标识符，其中，所述加密后签名程序包括加密密文、加密签名结果以及加密目标信息后的签名程序；

51、解密密钥生成模块，用于根据所述唯一标识符生成第一解密密钥；

52、解密模块，用于利用所述第一解密密钥解密所述加密密文，得到第二解密密钥；

53、部分解密模块，用于利用所述第二解密密钥对所述加密签名结果进行部分解密，得到第一加密密钥；

54、校验模块，用于校验所述第一解密密钥与所述第一加密密钥是否匹配；

55、全解密模块，用于若匹配，则对所述加密签名结果进行全解密。

56、另一方面，本说明书的一些实施例还提供了一种计算机设备，包括存储器、处理器、以及存储在所述存储器上的计算机程序，所述计算机程序被所述处理器运行时，执行上述方法的指令。

57、另一方面，本说明书的一些实施例还提供了一种计算机存储介质，其上存储有计算机程序，所述计算机程序被计算机设备的处理器运行时，执行上述方法的指令。

58、本说明书的一些实施例提供的一个或者多个技术方案，至少具有如下的技术效果：

59、本说明书的实施例自动获取签名程序针对某个用户的唯一标识符，并根据该唯一标识符生成第一加密密钥，但并不直接利用第一加密密钥对目标信息进行加密，而是利用预设的第二加密密钥对目标信息进行加密，得到加密签名结果，再利用第一加密密钥对第二加密密钥进行加密，得到加密密文，将所述加密密文、加密签名结果以及加密目标信息后的签名程序形成加密后签名程序，从而利用双重密钥对签名程序进行加密，降低了客户端记录存在删除或篡改记录的风险，在扩大加密应用场景的同时提高对签名程序的保护力度。

60、上述说明仅是本说明书的一些实施例技术方案的概述，为了能够更清楚了解本说明书的一些实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本说明书的一些实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本说明书的一些实施例的具体实施方式。