[发明专利]一种电子签名方法及电子签名终端

权利要求书

1.一种电子签名方法，包括：

(1)主安全芯片获取经过服务主机解析的签名业务数据；

(2)在至少两个运算安全芯片中查询是否存在空闲状态的运算安全芯片，若存在，则将签名业务数据发送给空闲状态的运算安全芯片进行电子签名；

若不存在，则在确定存在运算安全芯片处于空闲状态后，将签名业务数据发送给相应的空闲状态运算安全芯片进行电子签名；

(3)所述主安全芯片接收经过运算安全芯片电子签名后的签名数据并将该签名数据传送给服务主机。

2.如权利要求1所述的电子签名方法，其特征在于，步骤(2)中确定存在运算安全芯片处于空闲状态的方法为：主运算安全芯片接收到来自运算安全芯片电子签名后的签名数据即确定存在相应的运算安全芯片处于空闲状态。

3.如权利要求1或2所述的电子签名方法，其特征在于，所述服务主机通过网络接口接收由上层业务应用通过PKI接口调用API接口发送的签名业务数据并进行解析；所述服务主机将来自主安全芯片的签名数据传送给上层业务应用。

4.一种电子签名终端，其特征在于，包括密码服务单元和服务主机；

所述密码服务单元包括：

主安全芯片，用于查询运算安全芯片的空闲状态，获取签名业务数据并将该签名业务数据传递给空闲的运算安全芯片，接收来自运算安全芯片的签名数据并将该签名数据传送；

运算安全芯片，至少有两个，用于接收来自主安全芯片的签名业务数据，根据该签名业务数据进行电子签名，并将电子签名后的签名数据传递给主安全芯片；

证书灌装安全芯片，用于将证书信息传递给主安全芯片；

所述服务主机，与所述主安全芯片通讯连接，用于获取签名业务数据，对其进行解析并将解析后的签名业务数据传递给所述主安全芯片；也用于获取来自主安全芯片的签名数据并传送该签名数据。

5.如权利要求4所述的电子签名终端，其特征在于，所述服务主机通过网络接口获取来自上层业务应用的签名业务数据。

6.如权利要求5所述的电子签名终端，其特征在于，所述上层业务应用的签名数据通过PKI接口所调用的API接口发送给所述网络接口。

7.如权利要求4所述的电子签名终端，其特征在于，所述服务主机和所述主安全芯片通过USB接口实现通讯连接。

8.如权利要求4所述的电子签名终端，其特征在于，所述密码服务单元设置有外部接口，所述外部接口包括与所述证书灌装安全芯片连接的USB接口和输入设备接口；

该与所述证书灌装安全芯片连接的USB接口用于生产、证书预制和证书更新。

9.如权利要求4-8任一所述的电子签名终端，其特征在于，所述密码服务单元还与显示单元通讯连接；所述服务主机还与COM接口连接；

所述COM接口，用于配置IP、查询MAC和加入设备的可信IP。

10.如权利要求4-8任一所述的电子签名终端，其特征在于，所述运算安全芯片使用的非对称密对相同。