网银UKey登录数据签名和验签流程

最近工作接触到网银登录的安全认证这一块，在网上查看了很多数字证书和数字签名相关的知识，看完后收获很大，但仍然没有形成清晰的认识，在此做一个简短的自我回顾，一是相关知识点做一个全面梳理，二是加深记忆，防止日后忘记。

首先，数字证书和数字签名相关的知识参考如下文章：What is a Digital Signature?，我就不班门弄斧了，毕竟自己也是一知半解...

下面浅谈一下自己的理解：

• 用户A在银行开通了数字证书，银行给他一个UKey，UKey里面存放CA生成的一对公私钥和银行提供的公钥；
• A访问登录页面时，服务器生成一个32位随机数，并用该随机数生成随机因子，传入客户端，客户端使用js函数生成一次性公钥；
• 点击登录，安全控件生成时间戳ts，获取公钥pk和报文，将报文用一次性公钥加密生成c1，报文+时间戳用hash算法生成摘要d，并用CA私钥加密摘要生成d1，银行公钥加密一次性公钥pk生成pk1，将hash算法、pk1、d、d1、c1一起发送给服务器；
• 服务器从证书中获取CA公钥，解密d1生成d2；
• 银行用自己的私钥解密pk1得到一次性公钥；
• 将c1用一次性公钥使用对称解密算法解密出原报文+时间戳，并用hash算法生成摘要d3；
• 比较d3与d2，如果一致说明数据在发送途中未被篡改；
• 验签成功。

问题：证书信息会连同报文一起发送至服务端吗？

应该会吧，服务器是通过拿到证书后获取的CA公钥。