CN101282222B - 基于组合对称密钥的数字签名方法 - Google Patents
基于组合对称密钥的数字签名方法 Download PDFInfo
- Publication number
- CN101282222B CN101282222B CN2008101131014A CN200810113101A CN101282222B CN 101282222 B CN101282222 B CN 101282222B CN 2008101131014 A CN2008101131014 A CN 2008101131014A CN 200810113101 A CN200810113101 A CN 200810113101A CN 101282222 B CN101282222 B CN 101282222B
- Authority
- CN
- China
- Prior art keywords
- digital signature
- file
- user
- signature
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
基于CSK的数字签名方法是在网站上建立数字签名验证中心,对签名文件进行验证,在客户机端建立加密系统和数字签名协议,每个用户人手一把密码钥匙硬件设备,签名用户使用密码钥匙对文件进行数字签名,且数字签名协议采用组合对称密钥技术对文件进行数字签名,并实现签名密钥一次一变,验证签名用户也使用密码钥匙,对签名文件进行验证,数字签名验证中心首先对验证签名用户的身份进行认证,再进行签名文件的验证,且身份认证协议和数字签名验证协议,都采用组合对称密钥技术来完成,从而,实现文件的数字签名和签名文件的验证。
Description
技术领域:
本发明涉及信息安全领域,用于办公自动化文件审批过程中的数字签名。
背景技术:
目前,国内外都采用非对称密码算法来建立数字签名系统,如:PKI技术,但是,PKI技术存放在数字签名验证中心的公钥容易受到黑客的攻击,黑客能通过篡改用户公钥来进行冒名顶替攻击,同时,用户进行文件的数字签名的密钥即:私钥更新维护的成本较高,另外,基于非对称密码算法的数字签名和签名文件验证的速度较慢,总之,现有的数字签名产品都不能满足市场的需求。
发明内容:
基于组合对称密钥的数字签名方法是运用计算机、网络、密码和芯片技术,建立签名密钥组合生成、一次一变的数字签名体系,其实施步骤如下:
在客户机端密码钥匙的芯片里,建立客户端加密系统和数字签名协议,每个用户人手一把密码钥匙硬件设备,在客户端签名用户使用密码钥匙对文件进行数字签名,且数字签名协议采用组合对称密钥技术对文件进行数字签名,并实现签名密钥一次一变,在网站上建立数字签名验证中心,在数字签名验证中心的网络服务器和加密卡里,建立网络服务器端加密系统和数字签名验证协议,对签名文件进行验证,验证签名用户也使用密码钥匙,在客户端通过数字签名验证中心对签名文件进行验证,数字签名验证中心首先对验证签名用户的身份进行认证,再进行签名文件的验证,且身份认证协议和数字签名验证协议,都采用组合对称密钥技术来完成,从而,实现文件的数字签名和对签名文件的验证,该基于组合对称密钥的数字签名方法用软件和硬件相结合的方式来实现,具体方法如下:
1、在客户机端设置基于USB接口内置CPU的智能卡芯片即:密码钥匙,每个用户人手一支密码钥匙硬件设备,来对文件进行数字签名或对签名文件进行验证。
2、在网站上,使用网络服务器和加密卡建立数字签名验证中心,加密卡是基于PCI接口内置CPU智能芯片的硬件设备。
3、在密码钥匙的芯片中建立客户端的加密系统,将对称密码算法、组合对称密钥生成算法、一组“密钥种子”表的元素和用户的标识,预先存放在智能卡的芯片里。
4、每个网络用户对应一组标识,用户的标识如:用户号或身份证号,由18~36数字组成,每位数字占4比特,共占9~18字节,每个用户的标识都不同,并具有唯一性。
5、“密钥种子”表中的元素用加密卡芯片中的随机数发生器产生,保证该元素具有随机性,每个网络用户的“密钥种子”都不同,每个网络用户的“密钥种子”占1.312K~1.68K字节,并组成M×N“密钥种子”表A,表A的每个元素为0.5或1字节,
其中:表A的元素为:Vij,i=0~M-1,就j=0~N-1。
6、对称密码算法使用国内的SMS4、SM1或国际上通用的对称密码算法如:RC4、RC5、DES。
7、组合对称密钥技术是指:用组合对称密钥生成算法来生成对称密钥,组合对称密钥生成算法是由时间戳和随机数组成的算法,对“密钥种子”表中的元素进行选取,其中:时间戳负责确定“密钥种子”表A中元素的行,随机数负责确定“密钥种子”表A中元素的列,并将确定的表行与列交叉的元素选出,共选出N个元素并合成一组对称密钥。
8、组合对称密钥生成算法的建立和具体实现过程,
(1)时间戳为:8~10位数字组成,即:“年”由4位数字组成即:XKX0年~XXX9年共取10年,“月”由2位数字组成即:1月~12月,“日”由2位数字组成即:1日~31日,“时”由2位数字组成即:0时~23时,如:2007101819,表示2007年10月18日19点,当时间戳为8位时,M=82,当时间戳为10位时,M=105,随机数由N组二进制数组成,为64或160比特,每组随机数为:4或5比特,当随机数为64比特时,取随机数每4比特组成1组,共16组即:N=16,当随机数为160比特时,取随机数每5比特组成1组,共32组即:N=32;
(2)用1312~1680组元素组成M行N列表A,M=82或105,N=16或32,当取时间戳为10位数字时,M=105,即:时间戳为年、月、日、时,“年”对应表A中的第1~10行,共10行,“月”对应表A中的第11~22行,共12行,“日”对应表A中的第23~53行,共31行,“时”对应表A中的第54~77行,共24行,表A还有28行不对应时间戳,当取时间戳为8位数字时,M=82,即:时间戳为年、月、日,“年”对应表A中的第1~10行,共10行,“月”对应表A中的第11~22行,共12行,“日”对应表A中的第23~53行,共31行,表A还有29行不对应时间戳;
(3)表A的元素总量Z=MXN组,当M=82,N=16时,表A的元素取1字节,Z=1312组,占1312字节,当M=105,N=16时,表A的元素取1字节,Z=1680组,占1680字节,当M=82,N=32时,表A的元素取0.5字节,Z=2624组,占1312字节,当M=105,N=32时,表A的元素取0.5字节,Z=3360组,占1680字节;
(4)根据时间戳从表A的元素中选取“行”,共N行,其方法是:从表A的第1~10行共10行中取1行即:用时间戳“年”数字中个位数的数值,作为取表A中“年”对应的行数,如:时间戳为:2009XXXXXX,则:取表A中的第9行,从表A的第11~22行共12行中取1行即:用时间戳“月”数字的数值,作为取表A中“月”对应的“行”,如:时间戳为:20XX11XXXX,则:取表A中的第21行,从表A的第23~53行共31行中取1行即:用时间戳“日”数字的数值,作为取表A中“日”对应的“行”,如:时间戳为:20XXXX30XX,则:取表A中的第52行,从表A的第54~77行共24行中取1行即:用时间戳“时”数字的数值,作为取表A中“时”对应的“行”,如:时间戳为:20XXXXXX21,则:取表A中的第74行,再将表A的第78行~第M行共M-78+1行取出,共计:32行;
(5)用时间戳选出了表A的“行”后即:共选取了32行,设为:Q1,Q2,……,Q32,再根据随机数从Q1,Q2,……,Q32的每行中选取列,得到行与列交叉处表A的元素,其方法是:当随机数为64比特时,取随机数每4位组成1组,共16组即:N=16,用这16组随机数的二进制数值即:0~15种数值,设为:L1、L2、……、L16,来对表A的“列”进行选取,即:用L1来选取Q1行的第L1列,再用L2来选取Q2行的第L2列,……,用L16来选取Q16行的第L16列,共选出16组元素,用L1来选取Q17行的第L1列,用L2来选取Q18行的第L2列,……,用L16来选取Q32行的第L16列,共选出16组元素,并将这两部分16组元素合并成32组元素,当随机数为160比特时,取随机数每5位一组,共32组即:N=32,用这32组随机数的二进制数值即:0~31种数值,设为:L1、L2、……、L32,来对表A的“列”进行选取,即:用L1来选取Q1的第L1列,用L2来选取Q2的第L2列,……,用L32来选取Q32的第L32列,共选出N=32组元素;
(6)设对称密钥的长度为128比特,将从表A中选出的32组元素合并成对称密钥K,若元素为:8比特,将对称密钥K对折并进行模二加,使对称密钥K变成128比特,若元素为:4比特,则对称密钥K为128比特。
9、在客户机端建立数字签名协议,在客户机端密码钥匙的芯片中,采用HASH函数对文件进行“摘要”,得到该文件的数字“指纹”,利用组合对称密钥生成算法,生成对称密钥K1,再用对称密钥K1对文件的数字“指纹”进行加密,生成文件的数字“指纹”密文即:对文件进行数字签名。
10、数字签名协议是客户机端用户对文件进行数字签名的具体过程,用户J在客户机端插入智能卡,点击客户机端的数字签名按钮,由客户机产生时间戳1和随机数1,将该文件、时间戳1和随机数1一并输入密码钥匙的芯片中,利用“摘要”算法如:HASH函数,将文件进行“摘要”,获得文件的数字“指纹1”,客户机端加密系统根据组合对称密钥生成算法,从“密钥种子”表A中选出N个元素,并合成一组对称密钥K1,再用对称密钥K1将文件的数字“指纹1”加密成密文即:对文件进行数字签名。
11、用户J将数字签名后的文件发送给验证签名用户K或者发送到网络站上,发送的数据W包括:用户J的用户标识、时间戳1、随机数1、文件和文件的数字签名。
12、在数字签名验证中心建立服务器端加密系统,将对称密码算法、组合对称密钥生成算法和一组专用对称密钥KS1,写入数字签名验证中心网络服务器端加密卡的芯片中,并将全体网络用户的“密钥种子”集合即:“密钥种子”表A的元素,用加密卡中的一组专用对称密钥KS1分别加密成密文,得到全体网络用户的“密钥种子”表A的密文元素,并与全体网络用户的标识存放在数字签名验证中心服务器的数据库中,在加密系统进行加密或解密过程中,先将用户的“密钥种子”表A的密文元素,用对称密钥KS1解密成明文,再根据时间戳1和随机数1组成的组合对称密钥生成算法,对用户的“密钥种子”表A的明文元素进行选取,将选出的明文元素合并成一组临时的对称密钥K2。
13、在数字签名验证中心建立数字签名验证协议,在加密卡的芯片中,利用组合对称密钥生成算法生成对称密钥K2,使用对称密钥K2将文件的数字“指纹”密文解密,得到数字“指纹”的明文,并对文件进行再次“摘要”,得到该文件的数字“指纹”,经过对比两端文件的数字“指纹”是否相同,来验证对文件进行数字签名的用户身份是否正确。
14、数字签名验证中心的数字签名验证协议,是对签名文件进行验证的具体过程,验证签名用户K收到用户J发送来的数据W,或验证签名用户K从网络站上得到数据W后,验证签名用户K在客户机端插入智能卡,点击验证按钮,向数字签名验证中心发出对签名文件的验证请求,数字签名验证中心首先对验证签名用户K进行身份认证,当确定验证签名用户K为合法用户后,再对签名文件进行验证,其验证过程是:验证签名用户K的客户机端将数据W发送给数字签名验证中心,数字签名验证中心收数据W后,数字签名验证协议再根据数据W中用户J的用户标识,从数字签名验证中心服务器的数据库中选出用户J对应的“密钥种子”表A的密文元素,再与时间戳1、随机数1、文件和文件的数字签名一起发送给加密卡的芯片里,在芯片里用一组专用对称密钥KS1将该“密钥种子”表A的密文元素解密,根据时间戳1和随机数1组成的组合对称密钥生成算法,从该“密钥种子”表A明文元素中取出N组明文元素,并合并成一组对称密钥K2,用K2来解密文件的数字签名,得到文件的数字“指纹1”,再对文件进行“摘要”,得到该文件的数字“指纹2”,经过对比数字“指纹1”和数字“指纹2”是否相同?来判别文件是否为用户J的签名,若两者不同,则文件不是用户J的签名,若两者相同,文件是用户J的签名,数字签名验证中心将验证结果发送给验证签名用户K的客户机。
15、在网站上的文件名后设置签名文件的验证按钮,验证签名用户在未打开文件的情况下,点击签名文件的验证按钮,客户机端向数字签名验证中心发出对签名文件进行验证的请求,数字签名验证中心首先对该验证签名用户进行身份认证,若是非法用户,则数字签名验证中心终止签名文件的验证,若是合法用户,则数字签名验证中心接收数据W,并实施签名文件的验证。
16、在客户机上设置签名文件的验证按钮即:在计算机屏幕的上方、下方或在鼠标右键上设置签名文件的验证按钮,当验证签名用户点击文件名打开文件后,点击签名文件的验证按钮,客户机端向数字签名验证中心发出对签名文件进行验证的请求,数字签名验证中心首先对该验证签名用户进行身份认证,若是非法用户,则数字签名验证中心终止签名文件的验证,若是合法用户,则数字签名验证中心接收数据W,并实施签名文件的验证。
17、数字签名验证中心同时具有对签名文件进行验证功能和对用户进行身份认证的功能,即:具有数字签名验证中心和用户身份认证中心功能,两中心都是根据网络用户相同的“密钥种子”和组合对称密钥生成算法,生成对称密钥,来实现签名文件的验证和用户身份认证。
18、用户身份认证协议,首先,验证签名用户K的客户机端向数字签名验证中心发出对签名文件进行验证的请求,数字签名验证中心前端的WEB服务器产生时间戳2和随机数2,并发送给验证签名用户K的客户机端,同时产生认证生命周期T,客户机端的密码钥匙收到后,利用组合对称密码生成算法,生成一组对称密钥KK1,来加密时间戳2和随机数2生成认证口令1,用户身份认证协议将验证签名用户K的标识、时间戳2、随机数2和认证口令1,一并发送给WEB服务器,WEB服务器对比时间戳2和随机数2是否由WEB服务器生成,且计算认证生命周期T是否结束,若两者只要有一者未通过,则为非法用户,若两者都通过,则WEB服务器将验证签名用户K的标识、时间戳2、随机数2和认证口令1发送给数字签名验证中心,数字签名验证中心的服务器根据验证签名用户K的标识,定位验证签名用户K对应的“密钥种子”表A的密文元素,将该“密钥种子”表A的密文元素、时间戳2、随机数2和认证口令1输入加密卡的芯片中,在芯片中用对称密钥KS1解密“密钥种子”表A的密文元素,得到该“密钥种子”表A的明文元素,再根据时间戳2和随机数2组成的组合对称密钥生成算法,从该“密钥种子”表A的明文元素中取出N组明文元素,合成一组对称密钥KK2,来加密时间戳2和随机数2生成认证口令2,通过对比认证口令1和认证口令2是否相同?来判别验证签名用户K的身份是否合法,合法用户能够对签名文件进行验证,非法用户则退出数字签名验证中心。
19、利用组合对称密钥技术对文件进行数字签名,由客户机端产生一次一变的时间戳和随机数,再根据组合对称密钥生成算法,生成的对称密钥也一次一变,对称密钥具有临时性,使用后就清除,不重复使用,从而,实现签名密钥一次一变,提高数字签名协议的安全等级。
20、利用组合对称密钥技术对文件进行数字签名,签名密钥是通过算法来生成,不需要进行对称密钥的更新维护,从而,大大降低加密系统的维护成本。
21、客户机端的加密系统和数字签名协议受到密码钥匙芯片的保护,数字签名验证中心的加密系统和数字签名验证协议也受到服务器端加密卡芯片的保护,同时,数字签名验证中心全体网络用户的“密钥种子”是被加密成密文后存放,从而,能防止黑客用“木马”病毒来攻击客户机和服务器两端的加密系统,提高数字签名体系的安全等级。
22、采用对称密码算法来进行数字签名,即:用对称密码算法来加密或解密文件的数字“指纹”,从而,提高数字签名和签名文件的验证速度。
附图说明:
图1:用户对文件进行数字签名的流程图
图2:验证签名用户对签名文件进行验证的流程图
具体实施方式:
以下结合附图说明用户对文件进行数字签名和验证签名用户对签名文件进行验证的实现步骤:
图1:说明用户对文件进行数字签名的过程,首先,用户J在客户机端插入密码钥匙硬件设备,在客户机上点击对文件进行数字签名按钮,客户机里产生时间戳1和随机数1,将该文件、时间戳1和随机数1一并输入密码钥匙的芯片中,利用“摘要”算法如:HASH函数,将文件进行“摘要”,得到文件的数字“指纹1”,密码钥匙芯片中客户机端加密系统根据时间戳1和随机数1组成的组合对称密钥生成算法,从用户J的“密钥种子”表A中选出N个元素,并合成一组对称密钥K1,用对称密钥K1将文件的数字“指纹1”加密成密文即:对文件进行数字签名,对文件进行数字签名后,用户J将签名文件发送给验证签名用户K或者发送到网络站上,发送的数据W包括:用户J的用户标识、时间戳1、随机数1、文件和文件的数字签名。
图2:说明验证签名用户对签名文件进行验证的过程,首先,验证签名用户K在客户机端插入一把密码钥匙硬件设备,验证签名用户K点击签名文件的验证按钮,向网站上数字签名验证中心发出对签名文件的验证请求,网站的WEB服务器产生一组时间戳2和随机数2,并发送给验证签名用户K的客户机端,同时,WEB服务器产生认证生命周期T,客户机端的密码钥匙芯片收到时间戳2和随机数2后,根据时间戳2和随机数2,以及组合对称密码生成算法,从验证签名用户K的“密钥种子”表A中选出N个元素,并合成一组对称密钥KK1,来加密时间戳2和随机数2生成认证口令1,用户身份认证协议将验证签名用户K的标识、时间戳2、随机数2和认证口令1发送给WEB服务器,WEB服务器对比时间戳2和随机数2是否由WEB服务器生成,且计算认证生命周期T是否结束,若两者都通过,则WEB服务器将验证签名用户K的标识、时间戳2、随机数2和认证口令1,发送给数字签名验证中心,数字签名验证中心根据验证签名用户K的标识,定位验证签名用户K对应的“密钥种子”表A的密文元素,将“密钥种子”表的密文元素、时间戳2、随机数2和认证口令1输入加密卡的芯片中,在加密卡芯片中,用对称密钥KS1解密“密钥种子”元素密文,再根据时间戳2和随机数2组成的组合对称密钥生成算法,生成一组对称密钥KK2,来加密时间戳2和随机数2生成认证口令2,通过对比认证口令1和认证口令2来判别验证签名用户K的身份是否合法,若两者不相同,则为非法用户,非法用户退出数字签名验证中心,若两者相同,则为合法用户,合法用户能够对签名文件进行验证,节下来,客户机端再将数据W包括:用户J的用户标识、时间戳1、随机数1、文件和文件的数字签名,一并发送给数字签名验证中心,数字签名验证协议再根据用户J的用户标识,从网络服务器的数据库中选出用户J对应的“密钥种子”表A的密文元素,再与时间戳1、随机数1、文件和文件的数字签名一起发送给加密卡的芯片里,在芯片里用一组专用对称密钥KS1将该“密钥种子”表A的密文元素解密,根据时间戳1和随机数1组成的组合对称密钥生成算法,从该“密钥种子”表A的明文元素中取出N组明文元素,并合成一组对称密钥K2,用K2来解密文件的数字签名,得到文件的数字“指纹1”,再对文件进行“摘要”,生成该文件的数字“指纹2”,经过对比数字“指纹1”和数字“指纹2”是否相同?来判别文件是否为用户J的签名,若两者不同,则文件不是用户J的签名,若两者相同,文件是用户J的签名,数字签名验证中心并将验证结果发送给验证签名用户K的客户机。
Claims (8)
1.基于组合对称密钥的数字签名方法,是采用组合对称密钥技术并运用计算机、网络、密码和芯片技术来建立数字签名系统,其中:组合对称密钥技术是采用组合对称密钥生成算法,对“密钥种子”表中的元素进行选取,共选出N=16或N=32个元素,并合成一组对称密钥;数字签名系统是在客户机端密码钥匙的芯片里,建立客户端加密系统和数字签名协议,每个用户人手一把密码钥匙硬件设备,在客户端签名用户使用密码钥匙对文件进行数字签名,签名过程是采用HASH函数对文件进行“摘要”,得到该文件的数字“指纹1”,利用组合对称密钥生成算法,生成对称密钥K1,再用该对称密钥K1对文件进行数字签名,并实现签名密钥一次一变;在网站上建立数字签名验证中心,在数字签名验证中心的网络服务器和加密卡里,建立网络服务器端加密系统和数字签名验证协议,对签名文件进行验证,验证签名用户也使用密码钥匙,在客户端通过数字签名验证中心对签名文件进行验证,签名文件的验证过程,是数字签名验证中心利用组合对称密钥生成算法,生成一组对称密钥K2,再用K2来解密文件的数字签名,得到文件的数字“指纹1”,再对文件进行“摘要”,得到该文件的数字“指纹2”,经过对比数字“指纹1”和数字“指纹2”是否相同,来判别文件是否为合法用户的签名,数字签名验证中心首先对验证签名用户的身份进行认证,再进行签名文件的验证,其中:用户身份进行认证过程,是验证签名用户在客户机端利用组合对称密码生成算法,生成一组对称密钥KK1,来加密时间戳和随机数生成认证口令1,在数字签名验证中心,利用组合对称密钥生成算法,生成一组对称密钥KK2,来加密时间戳和随机数生成认证口令2,通过对比认证口令1和认证口令2是否相同,来判别验证签名用户K的身份是否合法;且用户身份认证协议和数字签名协议,都采用组合对称密钥技术来完成,从而,实现文件的数字签名和对签名文件的验证。
2.根据权利要求1的方法,其特征在于:
(1)在客户机端建立客户端加密系统,将对称密码算法、组合对称密钥生成算法、一组“密钥种子”表的元素和网络用户的标识,预先存放在一支基于USB接口的智能卡芯片即:一把密码钥匙硬件设备里,每个网络用户的“密钥种子”表中的元素互不相同,且“密钥种子”表中的元素用加密卡芯片中随机数发生器产生,保证该元素具有随机性;
(2)在客户机端建立数字签名协议,在客户机端密码钥匙的芯片中,采用HASH函数对文件进行“摘要”,得到该文件的数字“指纹1”,利用组合对称密钥生成算法,生成对称密钥K1,再用对称密钥K1对文件的数字“指纹1”进行加密,生成文件的数字“指纹1”密文即:对文件进行数字签名;
(3)组合对称密钥技术是采用组合对称密钥生成算法来生成对称密钥,组合对称密钥生城算法是由时间戳和随机数组成,对“密钥种子”表中的元素进行选取,其中:时间戳负责确定“密钥种子”表中元素的行,随机数负责确定“密钥种子”表中元素的列,并将确定的“密钥种子”表行与列交叉的元素选出,共选出N=16或N=32个元素并合成一组对称密钥;
(4)设对称密钥的长度为128比特,从表A中选出的N=16或N=32组元素合并成对称密钥K,若表A元素为:8比特,将对称密钥K对折并进行模二加,使对称密钥K变成128比特,若元素为:4比特,则对称密钥K为128比特。
3.根据权利要求1的方法,其特征在于:
(1)在数字签名验证中心建立服务器端加密系统,将对称密码算法、组合对称密钥生成算法和一组专用对称密钥KS1,写入数字签名验证中心网络服务器端加密卡的芯片中,并将全体网络用户的“密钥种子”集合即:“密钥种子”表的元素,用加密卡中的一组专用对称密钥KS1分别加密成密文,得到全体网络用户的“密钥种子”表的密文元素,并与全体网络用户的标识存放在数字签名验证中心服务器的数据库中,在加密系统进行加密或解密过程中,先将用户的“密钥种子”表的密文元素,用对称密钥KS1解密成明文,再根据组合对称密钥生成算法,对用户的“密钥种子”表的明文元素进行选取,将选出的明文元素合并成一组临时的对称密钥K2;
(2)在数字签名验证中心建立数字签名验证协议,在加密卡的芯片中,利用组合对称密钥生成算法生成对称密钥K2,使用对称密钥K2将文件的数字“指纹”密文解密,得到数字“指纹”的明文,并对文件进行再次“摘要”,得到该文件的数字“指纹”,经过对比两端文件的数字“指纹”是否相同,来验证对文件进行数字签名的用户身份是否正确。
4.根据权利要求2的方法,其特征在于:
数字签名协议是客户机端用户对文件进行数字签名的具体过程,用户J在客户机端插入智能卡,点击客户机端的数字签名按钮,由客户机产生时间戳1和随机数1,将该文件、时间戳1和随机数1一并输入密码钥匙的芯片中,利用“摘要”算法HASH函数,将文件进行“摘要”,获得文件的数字“指纹1”,客户机端加密系统根据组合对称密钥生成算法,从“密钥种子”表中选出N=16或N=32个元素,并合成一组对称密钥K1,再用对称密钥K1将文件的数字“指纹1”加密成密文即:对文件进行数字签名。
5.根据权利要求3的方法,其特征在于:
数字签名验证中心的数字签名验证协议是:数字签名验证中心收到验证签名用户K的客户机端发送来的数据W后,数字签名验证协议根据数据W中用户J的用户标识,从数字签名验证中心服务器的数据库中选出用户J对应的“密钥种子”表的密文元素,再与时间戳1、随机数1、文件和文件的数字签名一起发送给加密卡的芯片里,在芯片里用一组专用对称密钥KS1将该“密钥种子”表的密文元素解密,根据时间戳1和随机数1组成的组合对称密钥生成算法,从该“密钥种子”表明文元素中取出N=16或N=32组明文元素,并合并成一组对称密钥K2,用K2来解密文件的数字签名,得到文件的数字“指纹1”,再对文件进行“摘要”,得到该文件的数字“指纹2”,经过对比数字“指纹1”和数字“指纹2”是否相同,来判别文件是否为用户J的签名,若两者不同,则文件不是用户J的签名,若两者相同,文件是用户J的签名,数字签名验证中心将验证结果发送给验证签名用户K的客户机。
6.根据权利要求1的方法,其特征在于:
(1)数字签名验证中心同时具有对签名文件进行验证功能和对用户进行身份认证的功能,即:具有数字签名验证中心和用户身份认证中心功能,两中心都是根据网络用户相同的“密钥种子”和组合对称密钥生成算法,生成对称密钥,来实现签名文件的验证和用户的身份认证;
(2)用户身份认证协议,首先,验证签名用户K的客户机端向数字签名验证中心发出对签名文件进行验证的请求,数字签名验证中心前端的WEB服务器产生时间戳2和随机数2,并发送给验证签名用户K的客户机端,同时产生认证生命周期T,客户机端的密码钥匙收到后,利用组合对称密码生成算法,生成一组对称密钥KK1,来加密时间戳2和随机数2生成认证口令1,用户身份认证协议将验证签名用户K的标识、时间戳2、随机数2和认证口令1,一并发送给WEB服务器,WEB服务器对比时间戳2和随机数2是否由WEB服务器生成,且计算认证生命周期T是否结束,若两者只要有一者未通过,则为非法用户,若两者都通过,则WEB服务器将验证签名用户K的标识、时间戳2、随机数2和认证口令1发送给数字签名验证中心,数字签名验证中心的服务器根据验证签名用户K的标识,定位验证签名用户K对应的“密钥种子”表的密文元素,将该“密钥种子”表的密文元素、时间戳2、随机数2和认证口令1输入加密卡的芯片中,在芯片中用对称密钥KS1解密“密钥种子”表的密文元素,得到该“密钥种子”表的明文元素,再根据时间戳2和随机数2组成的组合对称密钥生成算法,从该“密钥种子”表的明文元素中取出N=16或N=32组明文元素,合成一组对称密钥KK2,来加密时间戳2和随机数2生成认证口令2,通过对比认证口令1和认证口令2是否相同?来判别验证签名用户K的身份是否合法,合法用户能够对签名文件进行验证,非法用户则退出数字签名验证中心。
7.根据权利要求3的方法,其特征在于:
(1)客户机端的加密系统和数字签名协议受到密码钥匙芯片的保护,数字签名验证中心的加密系统和数字签名验证协议也受到服务器端加密卡芯片的保护,同时,数字签名验证中心全体网络用户的“密钥种子”是被加密成密文后存放,从而,能防止黑客用“木马”病毒来攻击客户机和服务器两端的加密系统,提高数字签名体系的安全等级;
(2)采用对称密码算法来进行数字签名,即:用对称密码算法来加密或解密文件的数字“指纹”,从而,提高数字签名和签名文件的验证速度。
8.根据权利要求2的方法,其特征在于:
利用组合对称密钥技术对文件进行数字签名,由客户机端产生一次一变的时间戳和随机数,再根据组合对称密钥生成算法,生成的对称密钥也一次一变,从而,实现签名密钥一次一变,且免更新维护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101131014A CN101282222B (zh) | 2008-05-28 | 2008-05-28 | 基于组合对称密钥的数字签名方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101131014A CN101282222B (zh) | 2008-05-28 | 2008-05-28 | 基于组合对称密钥的数字签名方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101282222A CN101282222A (zh) | 2008-10-08 |
| CN101282222B true CN101282222B (zh) | 2011-09-28 |
Family
ID=40014519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101131014A Active CN101282222B (zh) | 2008-05-28 | 2008-05-28 | 基于组合对称密钥的数字签名方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101282222B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111897545A (zh) * | 2020-06-28 | 2020-11-06 | 东风汽车集团有限公司 | 应用于ecu的安全访问方法和系统 |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101938740B (zh) * | 2009-07-02 | 2016-12-07 | 中兴通讯股份有限公司 | 一种地震海啸警报系统信息发布方法及系统 |
| CN102035801B (zh) * | 2009-09-28 | 2014-05-14 | 西门子(中国)有限公司 | 一种用于防止攻击的方法和装置 |
| CN101917623B (zh) * | 2010-09-03 | 2012-11-21 | 杭州海康威视数字技术股份有限公司 | 编码码流的防篡改加密方法、检测方法及装置 |
| CN101969438B (zh) * | 2010-10-25 | 2013-10-09 | 胡祥义 | 一种物联网的设备认证、数据完整和保密传输实现方法 |
| CN102611553A (zh) * | 2011-01-25 | 2012-07-25 | 华为技术有限公司 | 实现数字签名的方法、用户设备及核心网节点设备 |
| CN102546179A (zh) * | 2011-12-31 | 2012-07-04 | 珠海市君天电子科技有限公司 | 一种服务器端和客户端之间的身份验证方法 |
| CN103259768B (zh) * | 2012-02-17 | 2018-06-19 | 中兴通讯股份有限公司 | 一种消息认证方法、系统和装置 |
| CN102664893B (zh) * | 2012-04-23 | 2015-06-24 | 重庆理工大学 | 自适应重传与分段嵌入签名的数据传输方法 |
| CN102904721B (zh) * | 2012-09-20 | 2015-04-08 | 湖北省电力公司电力科学研究院 | 用于智能变电站信息安全控制的签名、认证方法及其装置 |
| CN104363099A (zh) * | 2014-11-27 | 2015-02-18 | 南京泽本信息技术有限公司 | 一种手机安全协处理芯片 |
| CN104506503B (zh) * | 2014-12-08 | 2019-11-05 | 北京北邮国安技术股份有限公司 | 一种基于广电单向传输网络的安全认证系统 |
| KR102285791B1 (ko) * | 2014-12-29 | 2021-08-04 | 삼성전자 주식회사 | 사용자 인증 방법 및 사용자 인증을 수행하는 전자 장치 |
| CN105117658B (zh) * | 2015-07-28 | 2018-11-30 | 北京后易科技有限公司 | 一种基于指纹认证的密码安全管理方法与设备 |
| CN106055966B (zh) * | 2016-05-16 | 2019-04-26 | 邵军利 | 一种认证方法及系统 |
| CN106357396B (zh) * | 2016-09-23 | 2019-11-12 | 浙江神州量子网络科技有限公司 | 数字签名方法和系统以及量子密钥卡 |
| CN106452740B (zh) * | 2016-09-23 | 2019-11-22 | 浙江神州量子网络科技有限公司 | 一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法 |
| CN106452741B (zh) * | 2016-09-23 | 2019-11-26 | 浙江神州量子网络科技有限公司 | 基于量子网络实现信息加解密传输的通信系统和通信方法 |
| CN106992863A (zh) * | 2016-10-18 | 2017-07-28 | 北京中认环宇信息安全技术有限公司 | 电子签名方法及装置 |
| CN106712938B (zh) * | 2016-12-26 | 2020-09-04 | 浙江神州量子网络科技有限公司 | 一种量子白板通信方法和系统 |
| CN108259407B (zh) * | 2016-12-28 | 2020-09-11 | 航天信息股份有限公司 | 一种基于时间戳的对称加密方法及系统 |
| CN107154848A (zh) * | 2017-03-10 | 2017-09-12 | 深圳市盾盘科技有限公司 | 一种基于cpk认证的数据加密与存储方法及装置 |
| CN107045614A (zh) * | 2017-05-05 | 2017-08-15 | 北京图凌科技有限公司 | 一种文件处理方法及装置 |
| CN107205035B (zh) * | 2017-06-15 | 2020-11-10 | 公安部交通管理科学研究所 | 一种基于互联网的驾驶人考试预约管理方法 |
| CN108449568A (zh) * | 2018-01-31 | 2018-08-24 | 苏州科达科技股份有限公司 | 用于视频会议的身份认证方法及装置 |
| CN109728914B (zh) * | 2019-01-23 | 2022-04-08 | 北京奇艺世纪科技有限公司 | 数字签名验证方法、系统、装置及计算机可读存储介质 |
| CN109788000A (zh) * | 2019-03-05 | 2019-05-21 | 广州车行易科技股份有限公司 | 一种基于Http网络传输数据的加密算法 |
| CN110245466B (zh) * | 2019-06-19 | 2021-08-24 | 苏州科达科技股份有限公司 | 软件完整性保护和验证方法、系统、设备及存储介质 |
| CN111770081B (zh) * | 2020-06-28 | 2021-11-05 | 国网江苏省电力有限公司信息通信分公司 | 基于角色认证的大数据机密文件访问方法 |
| CN115396105A (zh) * | 2022-10-28 | 2022-11-25 | 苏州浪潮智能科技有限公司 | 一种文件验证系统、方法、计算机设备及存储介质 |
-
2008
- 2008-05-28 CN CN2008101131014A patent/CN101282222B/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111897545A (zh) * | 2020-06-28 | 2020-11-06 | 东风汽车集团有限公司 | 应用于ecu的安全访问方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101282222A (zh) | 2008-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101282222B (zh) | 基于组合对称密钥的数字签名方法 | |
| US11855983B1 (en) | Biometric electronic signature authenticated key exchange token | |
| CN109040067B (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
| CN102075522B (zh) | 一种结合数字证书和动态密码的安全认证与交易方法 | |
| CN101674304B (zh) | 一种网络身份认证系统及方法 | |
| CN101022337A (zh) | 一种网络身份证的实现方法 | |
| CN109921894B (zh) | 数据传输加密方法、装置及存储介质、服务器 | |
| US11764971B1 (en) | Systems and methods for biometric electronic signature agreement and intention | |
| CN102291418A (zh) | 一种云计算安全架构的实现方法 | |
| CN104270338A (zh) | 一种电子身份注册及认证登录的方法及其系统 | |
| CN101136750A (zh) | 一种网络实名制的实现方法 | |
| CN101197667A (zh) | 一种动态口令认证的方法 | |
| CN103152362B (zh) | 基于云计算的大数据文件加密传输方法 | |
| CN101662469A (zh) | 基于USBKey网上银行交易信息认证的方法和系统 | |
| CN105281902B (zh) | 一种基于移动终端的Web系统安全登录方法 | |
| CN101552672A (zh) | 一种基于标识认证的全球网络实名制实现方法 | |
| CN101808077B (zh) | 信息安全输入处理系统和方法以及智能卡 | |
| CN109379176B (zh) | 一种抗口令泄露的认证与密钥协商方法 | |
| CN102833075A (zh) | 基于三层叠加式密钥管理技术的身份认证和数字签名方法 | |
| CN102025503A (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| WO2008031301A1 (fr) | Procédé d'authentification d'identité en ligne point à point | |
| CN104202163A (zh) | 一种基于移动终端的密码系统 | |
| CN101282216B (zh) | 带隐私保护的基于口令认证的三方密钥交换方法 | |
| CN104079413A (zh) | 增强型一次性动态口令的认证方法及系统 | |
| CN109687977A (zh) | 基于多个密钥池的抗量子计算数字签名方法和抗量子计算数字签名系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 100091 No. 4, building 22, West 1, Hongqi hospital, Beijing, Haidian District Patentee after: Hu Xiangyi Address before: 100044 Beijing city Xicheng District Xizhimen Street No. 138, room 620. Patentee before: Hu Xiangyi |