CN101883096B - 电子签名工具之间安全传递数据的方法、装置及系统 - Google Patents
电子签名工具之间安全传递数据的方法、装置及系统 Download PDFInfo
- Publication number
- CN101883096B CN101883096B CN201010199404.XA CN201010199404A CN101883096B CN 101883096 B CN101883096 B CN 101883096B CN 201010199404 A CN201010199404 A CN 201010199404A CN 101883096 B CN101883096 B CN 101883096B
- Authority
- CN
- China
- Prior art keywords
- data
- electric signing
- signing tools
- tools
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开一种电子签名工具之间安全传递数据的方法、装置及系统。该方法包括:由输出数据的电子签名工具U1获取一个加密证书Cs;向电子签名工具U1输入加密码,并通过输入的加密码由所述电子签名工具U1生成对称加密密钥K;电子签名工具U1用生成的对称加密密钥K对需要传递的数据D进行加密,得到加密数据Ds;电子签名工具U1用获取的加密证书Cs对所述加密数据Ds进行加密,得到第二加密数据Dss作为加密输出数据;将加密输出数据经计算机向接收数据的电子签名工具U2传送。该方法通过电子签名工具自身对需要传递的输出数据进行双重加密后再经由计算机传送,提高两个电子签名工具之间经由计算机传递数据的安全性,其实用性强、安全性高。
Description
技术领域
本发明涉及电子技术应用领域,尤其涉及一种电子签名工具之间安全传递数据的方法、装置及系统。
背景技术
目前,随着网上银行的普及,越来越多的人使用移动加密证书(通常是USBKey),有的高端移动加密证书中增加了密码管理功能,用户可以将自己平时使用的密码存在USB Key内,需要时,可通过计算机控制或者使用USB Key上的按键或键盘控制,在USB Key的显示屏上显示相应的密码值。当用户在一个USB Key上输入保存好需要的密码后,如果需要将这些内容传输到另一个USB Key上,或进行备份时,必须通过计算机才能在两个USB Key之间进行数据传递,由于数据传递必须通过计算机进行,就存在了一定的安全风险。
发明内容
鉴于上述现有技术存在的问题,本发明实施例提供一种电子签名工具之间安全传递数据的方法及装置,能在两个电子签名工具之间安全地进行数据传递。
本发明的目的是通过下述技术方案实现的:
本发明实施例提供一种电子签名工具之间安全传递数据的方法,包括:
由输出数据的电子签名工具U1获取一个加密证书Cs,所述加密证书Cs为接收数据的电子签名工具U2内存储的加密证书;
向所述电子签名工具U1输入加密码,并通过输入的所述加密码由所述电子签名工具U1生成对称加密密钥K;
所述电子签名工具U1用生成的所述对称加密密钥K对需要传递的数据D进行加密,得到加密数据Ds;
所述电子签名工具U1用获取的所述加密证书Cs对所述加密数据Ds进行加密,得到第二加密数据Dss作为加密输出数据;
将所述加密输出数据经计算机向接收数据的电子签名工具U2传送。
本发明实施例还提供一种电子签名工具之间安全传递数据的装置,包括:显示装置和输入装置、电路板,所述输入装置和显示装置均与电路板电连接,并进行数据交换;还包括:
数字证书获取模块、加密码处理模块、加密模块和第二加密模块和输出单元;
所述数字证书获取模块,获取一个加密证书Cs,所述加密证书Cs为接收数据的电子签名工具U2的加密证书;
所述加密码处理模块,接收输入的加密码,并通过输入的所述加密码生成对称加密密钥K;
所述加密模块,用所述加密码处理模块生成的所述对称加密密钥K对需要传递的数据D进行加密,得到加密数据Ds;
所述第二加密模块,用所述数字证书获取模块获取的加密证书Cs对所述加密模块加密得到的加密数据Ds进行加密,得到第二加密数据Dss作为加密输出数据;
所述输出单元,用于将所述第二加密模块加密后得到的加密输出数据经计算机向接收数据的电子签名工具U2传送。
本发明实施例进一步提供一种电子签名工具之间安全传递数据的方法,包括:
接收输出数据的电子签名工具U1经计算机传送的加密输出数据,所述加密输出数据数据中只包含第二加密数据Dss;
向电子签名工具U2输入加密码,所述加密码与传递所述加密输出数据的电子签名工具U1所输入的加密码相同,利用输入的所述加密码由所述电子签名工具U2生成对称解密密钥K’,所述生成对称解密密钥K’的方法与传送所述加密输出数据的电子签名工具U1生成对称加密密钥K的方法相同;
电子签名工具U2用其内部的加密证书Cs的私钥对接收的所述加密输出数据中的第二加密数据Dss进行解密,得到解密数据Ds’;
电子签名工具U2用生成的对称解密密钥K’对所述解密数据Ds’进行解密得到数据D即为输出数据的电子签名工具U1传递的输出数据。
本发明实施例进一步提供一种电子签名工具之间安全传递数据的装置,包括:显示装置和输入装置、电路板,所述输入装置和显示装置均与电路板电连接,并进行数据交换;还包括:
接收单元和解密码处理模块、解密模块和第二解密模块;
所述接收单元,用于接收输出数据的电子签名工具U1由计算机传送的加密输出数据,所述加密输出数据只包含第二加密数据Dss;
所述解密码处理模块,接收输入的加密码,所述加密码与传递所述加密输出数据的电子签名工具U1所输入的加密码相同,并利用输入的所述加密码生成对称解密密钥K’,所述生成对称加密密钥K’的方法与传送所述加密输出数据的电子签名工具U1生成对称加密密钥K的方法相同;
所述解密模块,用于利用内部存储的加密证书Cs的私钥解密接收的所述加密输出数据中的第二加密数据Dss,得到解密数据Ds’;
所述第二解密模块,用所述解密码处理模块生成的所述对称解密密钥K’对所述解密模块解密得到的解密数据Ds’进行解密,解密后得到输出数据D即为输出数据的电子签名工具U1需要传递的数据。
本发明实施例进一步提供一种电子签名工具之间安全传递数据的系统,包括:
电子签名工具U1、电子签名工具U2和计算机;所述电子签名工具U1与电子签名工具U2分别与计算机连接,通过计算机交换需要传递的数据;
所述电子签名工具U1采用上述第二项所述的装置,作为输出数据的电子签名工具,用于需要传递的数据加密为加密输出数据后由计算机向所述电子签名工具U2发送;
所述电子签名工具U2采用上述第四项所述的装置,作为接收数据的电子签名工具,用于接收从电子签名工具U1经计算机发送的加密输出数据,并对所述加密输出数据解密得到电子签名工具U1所传递的数据。
通过本发明实施例提供的技术方案可以看出,本发明实施例中通过外部输入方式向电子签名工具输入加密码来生成对称加密密钥,由电子签名工具用生成的对称加密密钥与获取的加密证书对需要传递的输出数据进行双重加密,将加密后的加密输出数据再经由计算机向接收数据的电子签名工具传送,有效保证了所传递数据的安全,提高了两个电子签名工具之间经由计算机传递数据的安全性。具有实用性强、便于普及和安全性高的优点。
附图说明
图1为本发明实施例一提供的电子签名工具之间安全传递数据的方法的流程图;
图2为本发明实施例一提供的电子签名工具之间安全传递数据的方法的另一种流程图;
图3为本发明实施例二提供的电子签名工具之间安全传递数据的装置的框图;
图4为本发明实施例二提供的电子签名工具之间安全传递数据的装置的另一结构框图;
图5为本发明实施例三提供的电子签名工具之间安全传递数据的方法的流程图;
图6为本发明实施例三提供的电子签名工具之间安全传递数据的方法的另一种流程图;
图7为本发明实施例四提供的电子签名工具之间安全传递数据的装置的结构框图;
图8为本发明实施例四提供的电子签名工具之间安全传递数据的装置的另一结构框图;
图9为本发明实施例四提供的电子签名工具之间安全传递数据的系统。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
实施例一
本实施例提供一种电子签名工具之间安全传递数据的方法,可用在两个电子签名工具(电子签名工具可以是USB Key)之间通过计算机进行数据传递,保证传递数据的安全性,如图1所示,该方法包括:
步骤S1,输出数据的电子签名工具U1获取一个加密证书Cs,该加密证书Cs为接收数据的电子签名工具U2内存储的加密证书;
上述步骤S1输出数据的电子签名工具U1获取的加密证书Cs可以是:电子签名工具U1内部预置的受信任的根证书机构信任的CA签发给接收数据的电子签名工具U2的加密证书;或通过电子签名工具U1的显示屏显示证书的关键内容(如证书签发机构信息和/或证书的所有者信息),由电子签名工具U1上的按键或键盘确认后的得到的接收数据的电子签名工具U2内存储的加密证书。
步骤S2,向所述电子签名工具U1输入加密码,并通过输入的所述加密码在所述电子签名工具U1中生成对称加密密钥K;
上述步骤S2可以是通过安全的输入方式向电子签名工具U1输入若干位的加密码,如通过电子签名工具U1的按键或键盘在电子签名工具U1上输入若干位的加密码;或通过与电子签名工具U1连接的计算机配合在电子签名工具U1上输入若干位的加密码。
步骤S3,由电子签名工具U1用生成的所述对称加密密钥K对传递的数据D进行加密,得到加密数据Ds;
步骤S4,在电子签名工具U1中用所述加密证书Cs对所述加密数据Ds进行加密,得到第二加密数据Dss作为加密输出数据;
步骤S5,将所述加密输出数据经计算机向接收数据的电子签名工具U2传送。
图1所示的处理方法,对需要传递的数据经生成的对称加密密钥K和加密证书Cs进行双重加密,并且生成对称加密密钥K的加密码是通过外部输入方式输入到电子签名工具中的,也提高了生成对称加密密钥K的安全性,在后续经计算机向接收的电子签名工具U2传递该双重加密后的加密输出数据时,有效保证了所传递数据的安全性,进而提高了两电子签名工具之间传递数据时的安全性。
如图2所示,上述方法还可以采用下述步骤进行处理:
步骤S11,输出数据的电子签名工具U1获取一个加密证书Cs,该加密证书Cs为接收数据的电子签名工具U2内存储的加密证书;
步骤S12,向所述电子签名工具U1输入加密码,并通过输入的所述加密码在所述电子签名工具U1中生成对称加密密钥K;
步骤S13,由电子签名工具U1用生成的所述对称加密密钥K对传递的数据D进行加密,得到加密数据Ds;
上述步骤S11、S12、S13的具体处理方法与上述图1所示方法中的步骤S1、S2、S3的处理方法基本相同,在此不再重复。
步骤S14,电子签名工具U1对所述加密数据Ds计算报文鉴别码M,并将所述加密数据Ds与报文鉴别码M合并得到第一加密数据Dsd;
步骤S15,在电子签名工具U1中用所述加密证书Cs对所述第一加密数据Dsd进行加密,得到第二加密数据Dss;
步骤S16,电子签名工具U1使用其内部的签名证书Cc的私钥对所述第二加密数据Dss进行签名,得到签名数据S;
步骤S17,将所述第二加密数据Dss、签名数据S和电子签名工具U1的签名证书Cc作为加密输出数据;
步骤S18,将所述加密输出数据经计算机向接收数据的电子签名工具U2传送。
图2所示的加密处理方法,在对需要传递的数据用生成的对称加密密钥K和加密证书Cs进行双重加密基础上,还增加了使用该电子签名工具U1内部的签名证书Cc进行签名、及用加密数据Ds计算报文鉴别码M的步骤,即又增加了一重签名加密,从而使接收端的电子签名工具U2可利用签名数据和报文鉴别码M对接收的数据进行检验后再解密,进一步提高了数据传递的安全性。
本实施例中通过电子签名工具U1自身对需要传递的数据进行双重或三重加密,再经由计算机传送加密后的加密输出数据,提高了两个电子签名工具之间经由计算机传递数据的安全性。具有实用性强、便于普及和安全性高的优点。
实施例二
本实施例提供一种电子签名工具之间安全传递数据的装置,可以作为输出数据的电子签名工具,如图3所示,该装置包括:机壳、显示装置21和输入装置23、电路板22,显示装置21和输入装置23均嵌装在机壳上,电路板设置在机壳内,所述输入装置23和显示装置21均与电路板22电连接,并进行数据交换,该装置还包括:
数字证书获取模块241、加密码处理模块242、加密模块243和第二加密模块244和输出单元25,数字证书获取模块241、加密码处理模块242、加密模块243和第二加密模块244和输出单元25均设置在电路板上;
所述数字证书获取模块241,获取一个加密证书Cs,该加密证书Cs为接收数据的电子签名工具U2内存储的加密证书;
所述加密码处理模块242,接收输入的加密码,并通过输入的所述加密码生成对称加密密钥K;
所述加密模块243,将需要传递的数据D用所述加密码处理模块生成的所述对称加密密钥K加密,得到加密数据Ds;
所述第二加密模块244,用所述数字证书获取模块获取的加密证书Cs对所述加密模块加密得到的加密数据Ds进行加密,得到第二加密数据Dss作为加密输出数据;
所述输出单元25,用于将所述加密单元加密后得到的加密输出数据经计算机向接收数据的电子签名工具U2传送。
图3所示的装置,可以对需要传递的数据用生成的对称加密密钥K和加密证书Cs进行双重加密,可以在后续经计算机向接收的电子签名工具U2传递时,保证传递中数据的安全性。
如图4所示,上述装置还可以包括:
第一加密模块245、第三加密模块246和签名处理模块247;
所述第一加密模块245,用于对所述加密模块243加密后得到的所述加密数据Ds计算报文鉴别码M,并将所述加密数据Ds与报文鉴别码M合并得到第一加密数据Dsd;
所述第三加密模块246,用于用所述数字证书获取模块241获取的加密证书Cs对所述第一加密模块245加密得到的加密数据Dsd进行加密,得到第二加密数据Dss;
所述签名处理模块247,使用内部的签名证书Cc的私钥对所述第三加密模块246加密得到的第二加密数据Dss进行签名,得到签名数据S;将所述第二加密数据Dss、签名数据S和签名证书Cc作为加密输出数据。
图4所示装置,在对需要传递的数据用生成的对称加密密钥K和加密证书Cs进行双重加密基础上,还增加了使用该电子签名工具U1内部的签名证书Cc进行签名、及用加密数据Ds计算报文鉴别码M的处理模块,通过签名对所传递数据又增加一重加密,从而使接收端的电子签名工具U2可利用签名数据和报文鉴别码M对接收的数据进行检验后再解密,进一步提高了数据传递的安全性。
本实施例的装置作为输出数据的电子签名工具时,可以对需要传递的数据进行双重或三重加密,再经由计算机传送加密后的加密输出数据,有效保证了所传递数据的安全,进而提高了两个电子签名工具之间经由计算机传递数据的安全性。具有实用性强、便于普及和安全性高的优点。
实施例三
本实施例提供一种电子签名工具之间安全传递数据的方法,可用在两个电子签名工具(电子签名工具可以是USB Key)之间通过计算机进行数据传递,保证传递数据的安全性,该方法包括:
步骤S21,接收输出数据的电子签名工具U1经计算机传送的加密输出数据,接收到的加密数据中只包含第二加密数据Dss;
步骤S22,向电子签名工具U2输入加密码,所述加密码与传递所述加密输出数据的电子签名工具U1所输入的加密码相同,利用输入的所述加密码由所述电子签名工具U2生成对称解密密钥K’,所述生成对称解密密钥K’的方法与传送所述加密输出数据的电子签名工具U1生成对称加密密钥K的方法相同;
上述步骤S21中可以通过安全的输入方式向电子签名工具U2输入若干位的加密码,可以是通过电子签名工具U2的按键或键盘在电子签名工具U2上输入若干位加密码;或通过与电子签名工具U2连接的计算机配合在电子签名工具U2上输入若干位加密码。
步骤S23,电子签名工具U2用其内部的加密证书Cs的私钥对接收的所述加密输出数据中的第二加密数据Dss进行解密,得到解密数据Ds’;
步骤S24,电子签名工具U2用生成的对称解密密钥K’对所述解密数据Ds’进行解密得到数据D即为输出数据的电子签名工具U1传递的输出数据。
图5所示的处理方法,可以对接收的加密输出数据进行双重解密后得到从输出数据的电子签名工具U1传递的数据,提高了两个电子签名工具之间传递数据的安全性,具有简单、实用、易普及的优点。
如图6的所示,上述方法还可采用下述步骤进行处理:
步骤S211,接收输出数据的电子签名工具U1经计算机传送的加密输出数据,接收到的加密数据中包含:第二加密数据Dss、签名数据S和签名证书Cc;
可以对接收的所述加密输出数据中的签名证书Cc的合法性进行确认,该确认步骤为用电子签名工具U2内预置的受信任的根证书校验签名证书Cc;或者通过电子签名工具U2的显示屏显示签名证书Cc的关键内容(证书签发机构信息和/或证书的所有者信息),通过电子签名工具U2上的按键或键盘进行确认;
步骤S212,向电子签名工具U2输入加密码,所述加密码与传递所述加密输出数据的电子签名工具U1所输入的加密码相同,利用输入的所述加密码由所述电子签名工具U2生成对称解密密钥K’,所述生成对称加密密钥K’采用与传送所述加密输出数据的电子签名工具U1生成对称加密密钥K相同的方法;
步骤S213,电子签名工具U2用所述加密输出数据中的签名证书Cc对所述签名数据S进行校验,通过后进行步骤S214;
步骤S214,电子签名工具U2用其内部的加密证书Cs的私钥对所述加密输出数据中的第二加密数据Dss进行解密,得到第一解密数据Dsd’;
步骤S215,电子签名工具U2按照数据长度从所述第一解密数据Dsd’分离出解密数据Ds’和报文鉴别码M’;
步骤S216,电子签名工具U2用生成的所述对称解密密钥K’对所述解密数据Ds’校验报文鉴别码M’,通过后执行步骤S217;
步骤S217,电子签名工具U2用生成的所述对称解密密钥K’对所述解密数据Ds’进行解密后得到数据D即为从输出数据的电子签名工具U1传递的数据。
图6所示的处理方法,可以对接收的加密输出数据进行三重解密,并且,在三重解密过程中,对数据进行校验,校验通过后再进行解密处理,进一步提高了解密数据的安全性,也保证了两个电子签名工具之间传递数据的安全性,具有简单、实用、易普及的优点。
本实施例中通过对接收的加密输出数据进行双重或三重解密,得到从输出数据的电子签名工具U1传递的数据,提高了两个电子签名工具之间传递数据的安全性,具有简单、实用、易普及的优点。
实施例四
本实施例提供一种电子签名工具之间安全传递数据的装置,可以作为接收数据的电子签名工具,如图7所示,该装置包括:机壳、显示装置41和输入装置43、电路板42,显示装置41和输入装置43均嵌装在机壳上,电路板设置在机壳内,所述输入装置43和显示装置41均与电路板42电连接,并进行数据交换,该装置还包括:
接收单元44和解密码处理模块451、解密模块452和第二解密模块453;
所述接收单元44,用于接收输出数据的电子签名工具U1由计算机传送的加密输出数据;
所述解密码处理模块451,接收输入的加密码,所述加密码与传递所述加密输出数据的电子签名工具U1所输入的加密码相同,并利用输入的所述加密码生成对称解密密钥K’,所述生成对称加密密钥K’的方法与传送所述加密输出数据的电子签名工具U1生成对称加密密钥K的方法相同;
所述解密模块452,用于利用内部的加密证书Cs的私钥解密接收的所述加密输出数据中的第二加密数据Dss,得到解密数据Ds’;
所述第二解密模块453,用所述解密码处理模块452生成的所述对称解密密钥K’对所述解密模块解密得到的解密数据Ds’进行解密,得到输出数据D即为输出数据的电子签名工具U1需要传递的数据。
图7所示的装置,可以对接收的加密输出数据进行双重解密后得到从输出数据的电子签名工具U1传递的数据,提高了两个电子签名工具之间传递数据的安全性,具有简单、实用、易普及的优点。
如图8所示,上述装置还可以包括:
校验模块454、第一解密模块455、分离模块456、第二校验模块457和第三解密模块458;
所述校验模块454,用于利用所述加密输出数据中的签名证书Cc对所述签名数据S进行校验;
所述第一解密模块455,用于在所述校验模块校验通过后,利用内部的加密证书Cs的私钥对所述加密输出数据中的第二加密数据Dss进行解密,得到第一解密数据Dsd’;
所述分离模块456,用于按照数据长度从所述第一解密模块解密得到的所述第一解密数据Dsd’分离出解密数据Ds’和报文鉴别码M’;
所述第二校验模块457,用于利用所述解密码处理模块生成的所述对称解密密钥K’,对所述分离模块分离的解密数据Ds’校验报文鉴别码M’;
所述第三解密模块458,用于当所述第二校验模块校验通过后,用所述解密码处理模块生成的所述对称解密密钥K’对所述分离模块分离得到的解密数据Ds’进行解密,解密后得到输出数据D即为从输出数据的电子签名工具U1传递的数据。
图8所示装置,可以对接收的加密输出数据进行双重解密,并且,在双重解密过程中,对数据进行校验,校验通过后再进行解密处理,进一步提高了解密数据的安全性,也保证了两个电子签名工具之间传递数据的安全性,具有简单、实用、易普及的优点。
本实施例的装置通过对接收的加密输出数据进行双重解密,得到从输出数据的电子签名工具U1传递的数据,提高了两个电子签名工具之间传递数据的安全性,具有简单、实用、易普及的优点。
实施例五
本实施例提供一种电子签名工具之间安全传递数据的系统,如图8所示,该系统包括:电子签名工具U151、电子签名工具U252和计算机53;其中,电子签名工具U151采用上述实施例二中给出的装置,作为输出数据的电子签名工具;电子签名工具U252采用上述实施例四中给出的装置,作为接收数据的电子签名工具;
电子签名工具U151与电子签名工具U252分别与计算机53连接,通过计算机53将电子签名工具U151需要输出的数据传递至电子签名工具U252;
电子签名工具U1用于对需要传递的数据进行加密后得到加密输出数据,并将加密输出数据经计算机向接收数据的电子签名工具U2传送;
电子签名工具U2用于接收从电子签名工具U1经计算机传送的加密输出数据,并对所述加密输出数据进行解密得到电子签名工具U1所传递的数据。
下面结合两个电子签名工具之间进行数据安全传递的过程对上述图11所示的系统作进一步说明。
(一)数据导出:
(1)输出数据的电子签名工具U1获得一个用于加密的加密证书Cs,该加密证书Cs可以是电子签名工具内部预置的受信任的根证书机构信任的CA签发的,也可以通过电子签名工具U1的显示屏显示证书的关键内容(比如证书签发机构,证书的所有者等等),由用户手工通过电子签名工具U1上的按键或键盘确认;
(2)电子签名工具U1通过安全输入的方法(比如通过USB Key的按键或键盘在电子签名工具U1上输入,或者通过计算机和电子签名工具U1配合在电子签名工具U1上输入)由用户输入若干位加密码,并在电子签名工具U1内部通过加密码生成对称加密密钥K(方法可以是通过加密码计算HASH值的结果的前若干位作为密钥,也可以直接将加密码补位到需要的密钥长度);
(3)电子签名工具U1内部将需要输出的数据明文D使用对称加密密钥K加密,获得加密数据Ds;
(4)电子签名工具U2对加密数据Ds计算报文鉴别码M(用于解密时判断解密密钥的正确性和数据的完整性),将加密数据Ds和报文鉴别码M合并获得第一加密数据Dsd;
(5)电子签名工具U1使用加密证书Cs对获得的第一加密数据Dsd进行加密,获得第二加密数据Dss;
(6)电子签名工具U1使用自己内部的证书Cc的私钥对第二加密数据Dss进行签名,获得签名数据S;
(7)电子签名工具U1将第二加密数据Dss、签名数据S以及电子签名工具U1内部的证书Cc(作为加密输出数据)输出给计算机,由计算机向接收数据的电子签名工具U2传送。
上述加密处理过程,若需要简化,可以去掉步骤(4)或步骤(6),若省略步骤(4),则步骤(5)中电子签名工具U1则使用加密证书Cs对获得的加密数据Ds进行加密,得到第二加密数据Dss。
(二)数据导入:
(1)计算机将输出数据的电子签名工具U1的证书Cc发送给接收数据的电子签名工具U2,如果需要,电子签名工具U2可以对证书Cc的合法性进行确认(可以是电子签名工具内部预置的受信任的根证书校验证书,也可以通过USB Key的显示屏显示证书Cc的关键内容比如证书签发机构,证书的所有者等等,由用户手工通过USB Key上的按键或键盘确认);
(2)电子签名工具U2通过安全输入的方法(比如通过USB Key的按键或键盘在USBKey上输入,或者通过计算机和USB Key配合在USB Key上输入)由用户输入与电子签名工具U1获得的相同的加密码,并在电子签名工具内部利用加密码通过与电子签名工具U1相同的方法生成对称解密密钥K’(方法可以是通过加密码计算HASH值的结果的前若干位作为密钥,也可以直接将加密码补位到需要的密钥长度);
(3)计算机将由电子签名工具U1输出的第二加密数据Dss和签名数据S发送给电子签名工具U2;
(4)电子签名工具U2使用证书Cc校验签名数据S,通过后进行步骤(5),若不通过则结束解密处理;
(5)电子签名工具U2使用自己内部存储的加密用的加密证书Cs(即加密用的数字证书)的私钥解密第二加密数据Dss,获得第一解密数据Dsd’;
(6)电子签名工具U2按照数据长度从第一解密数据Dsd’中分离出解密数据Ds’和报文鉴别码M’;
(7)电子签名工具U2使用生成的对称解密密钥K’对解密数据Ds’校验报文鉴别码M’,通过后则进行步骤(8),若不通过则结束解密处理;
(8)电子签名工具U2利用对称解密密钥K’对解密数据Ds’进行解密获得明文的传送数据D即为电子签名工具U1传递的数据;
(9)电子签名工具U2保存解密后得到的从电子签名工具U1传递的数据D。
上述解密处理过程,针对数据导出时若简化去掉了步骤(4)或(5),则数据导入
相应也可简化,可去掉步骤(1)、(4)、(6)和(7)。
综上所述,本本发明实施例中通过电子签名工具自身对需要传递的输出数据进行加密,再经由计算机传送,提高了两个电子签名工具之间经由计算机传递数据的安全性。具有实用性强、便于普及和安全性高的优点。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (17)
1.一种电子签名工具之间安全传递数据的方法,其特征在于,包括:
由输出数据的电子签名工具U1获取一个加密证书Cs,所述加密证书Cs为接收数据的电子签名工具U2内存储的加密证书;
向所述电子签名工具U1输入加密码,并通过输入的所述加密码由所述电子签名工具U1生成对称加密密钥K;
所述电子签名工具U1用生成的所述对称加密密钥K对需要传递的数据D进行加密,得到加密数据Ds;
所述电子签名工具U1用获取的所述加密证书Cs对所述加密数据Ds进行加密,得到第二加密数据Dss作为加密输出数据;
将所述加密输出数据经计算机向接收数据的电子签名工具U2传送。
2.如权利要求1所述的电子签名工具之间安全传递数据的方法,其特征在于,所述方法还包括:
得到加密数据Ds后,电子签名工具U1对所述加密数据Ds计算报文鉴别码M,并将所述加密数据Ds与报文鉴别码M合并得到第一加密数据Dsd;电子签名工具U1用所述加密证书Cs对所述第一加密数据Dsd进行加密,得到第二加密数据Dss;
电子签名工具U1使用其内存储的签名证书Cc的私钥对所述第二加密数据Dss进行签名,得到签名数据S;
将所述第二加密数据Dss、签名数据S和电子签名工具U1的签名证书Cc作为加密输出数据。
3.如权利要求1所述的电子签名工具之间安全传递数据的方法,其特征在于,所述由输出数据的电子签名工具U1获取一个加密证书Cs为:
输出数据的电子签名工具U1内部预置的受信任的根证书机构信任的CA签发给接收数据的电子签名工具U2的加密证书;或通过电子签名工具U1的显示屏显示证书的关键内容,由电子签名工具U1上的按键或键盘确认后得到的接收数据的电子签名工具U2内存储的加密证书。
4.如权利要求3所述的电子签名工具之间安全传递数据的方法,其特征在于,所述通过电子签名工具U1的显示屏显示证书的关键内容包括:
证书签发机构信息和/或证书的所有者信息。
5.如权利要求1所述的电子签名工具之间安全传递数据的方法,其特征在于,所述向所述电子签名工具U1输入加密码包括:
通过安全的输入方式向电子签名工具U1输入若干位的加密码。
6.如权利要求5所述的电子签名工具之间安全传递数据的方法,其特征在于,所述通过安全的输入方式向电子签名工具U1输入若干位的加密码包括:
通过电子签名工具U1的按键或键盘在电子签名工具U1上输入若干位的加密码;或通过与电子签名工具U1连接的计算机配合在电子签名工具U1上输入若干位的加密码。
7.一种电子签名工具之间安全传递数据的装置,包括:显示装置和输入装置、电路板,所述输入装置和显示装置均与电路板电连接,并进行数据交换;其特征在于,还包括:
数字证书获取模块、加密码处理模块、加密模块、第二加密模块和输出单元;
所述数字证书获取模块,获取一个加密证书Cs,所述加密证书Cs为接收数据的电子签名工具U2的加密证书;
所述加密码处理模块,接收输入的加密码,并通过输入的所述加密码生成对称加密密钥K;
所述加密模块,用所述加密码处理模块生成的所述对称加密密钥K对需要传递的数据D进行加密,得到加密数据Ds;
所述第二加密模块,用所述数字证书获取模块获取的加密证书Cs对所述加密模块加密得到的加密数据Ds进行加密,得到第二加密数据Dss作为加密输出数据;
所述输出单元,用于将所述第二加密模块加密后得到的加密输出数据经计算机向接收数据的电子签名工具U2传送。
8.如权利要求7所述的电子签名工具之间安全传递数据的装置,其特征在于,所述装置还包括:
第一加密模块、第三加密模块和签名处理模块;
所述第一加密模块,用于对所述加密模块加密后得到的所述加密数据Ds计算报文鉴别码M,并将所述加密数据Ds与报文鉴别码M合并得到第一加密数据Dsd;
所述第三加密模块,用于用所述数字证书获取模块获取的加密证书Cs对所述第一加密模块加密得到的第一加密数据Dsd进行加密,得到第二加密数据Dss;
所述签名处理模块,使用内部的签名证书Cc的私钥对所述第三加密模块加密得到的第二加密数据Dss进行签名,得到签名数据S;将所述第二加密数据Dss、签名数据S和签名证书Cc作为加密输出数据。
9.一种电子签名工具之间安全传递数据的方法,其特征在于,包括:
接收输出数据的电子签名工具U1经计算机传送的加密输出数据,所述加密输出数据中只包含第二加密数据Dss;
向电子签名工具U2输入加密码,所述加密码与传递所述加密输出数据的电子签名工具U1所输入的加密码相同,利用输入的所述加密码由所述电子签名工具U2生成对称解密密钥K’,所述生成对称解密密钥K’的方法与传送所述加密输出数据的电子签名工具U1生成对称加密密钥K的方法相同;
电子签名工具U2用其内部的加密证书Cs的私钥对接收的所述加密输出数据中的第二加密数据Dss进行解密,得到解密数据Ds’;
电子签名工具U2用生成的对称解密密钥K’对所述解密数据Ds’进行解密得到数据D即为输出数据的电子签名工具U1传递的输出数据。
10.如权利要求9所述的电子签名工具之间安全传递数据的方法,其特征在于,所述方法还包括:若接收到的所述加密输出数据中还包括:签名数据S和签名证书Cc;
在生成对称解密密钥K’后,电子签名工具U2用所述加密输出数据中的签名证书Cc对所述签名数据S进行校验,校验通过后电子签名工具U2用其内部存储的加密证书Cs的私钥对所述加密输出数据中的第二加密数据Dss进行解密,得到第一解密数据Dsd’;
电子签名工具U2按照数据长度从所述第一解密数据Dsd’分离出解密数据Ds’和报文鉴别码M’;
电子签名工具U2用生成的所述对称解密密钥K’对所述解密数据Ds’校验报文鉴别码M’,校验通过后电子签名工具U2用生成的所述对称解密密钥K’对所述解密数据Ds’进行解密,解密后得到数据D即为从输出数据的电子签名工具U1传递的数据。
11.如权利要求10所述的电子签名工具之间安全传递数据的方法,其特征在于,所述方法还包括:
对接收的所述加密输出数据中的签名证书Cc的合法性进行确认的步骤,该步骤为用电子签名工具U2内预置的受信任的根证书校验签名证书Cc;或者通过电子签名工具U2的显示屏显示签名证书Cc的关键内容,通过电子签名工具U2上的按键或键盘进行确认。
12.如权利要求11所述的电子签名工具之间安全传递数据的方法,其特征在于,所述通过电子签名工具U2的显示屏显示签名证书Cc的关键内容为:
证书签发机构信息和/或证书的所有者信息。
13.如权利要求9所述的电子签名工具之间安全传递数据的方法,其特征在于,所述向电子签名工具U2输入加密码为:
通过安全的输入方式向电子签名工具U2输入若干位的加密码。
14.如权利要求13所述的电子签名工具之间安全传递数据的方法,其特征在于,所述通过安全的输入方式向电子签名工具U2输入若干位加密码包括:
通过电子签名工具U2的按键或键盘在电子签名工具U2上输入若干位的加密码;或通过与电子签名工具U2连接的计算机配合在电子签名工具U2上输入若干位的加密码。
15.一种电子签名工具之间安全传递数据的装置,包括:显示装置和输入装置、电路板,所述输入装置和显示装置均与电路板电连接,并进行数据交换;其特征在于,还包括:
接收单元和解密码处理模块、解密模块和第二解密模块;
所述接收单元,用于接收输出数据的电子签名工具U1由计算机传送的加密输出数据,所述加密输出数据只包含第二加密数据Dss;
所述解密码处理模块,接收输入的加密码,所述加密码与传递所述加密输出数据的电子签名工具U1所输入的加密码相同,并利用输入的所述加密码生成对称解密密钥K’,所述生成对称解密密钥K’的方法与传送所述加密输出数据的电子签名工具U1生成对称加密密钥K的方法相同;
所述解密模块,用于利用内部存储的加密证书Cs的私钥解密接收的所述加密输出数据中的第二加密数据Dss,得到解密数据Ds’;
所述第二解密模块,用所述解密码处理模块生成的所述对称解密密钥K’对所述解密模块解密得到的解密数据Ds’进行解密,解密后得到输出数据D即为输出数据的电子签名工具U1需要传递的数据。
16.如权利要求15所述的电子签名工具之间安全传递数据的装置,用于处理接收单元接收的还包含签名数据S和签名证书Cc的加密输出数据,其特征在于,所述装置还包括:
校验模块、第一解密模块、分离模块、第二校验模块和第三解密模块;
所述校验模块,用于利用所述加密输出数据中的签名证书Cc对所述签名数据S进行校验;
所述第一解密模块,用于在所述校验模块校验通过后,利用内部的加密证书Cs的私钥对所述加密输出数据中的第二加密数据Dss进行解密,得到第一解密数据Dsd’;
所述分离模块,用于按照数据长度从所述第一解密模块解密得到的所述第一解密数据Dsd’分离出解密数据Ds’和报文鉴别码M’;
所述第二校验模块,用于利用所述解密码处理模块生成的所述对称解密密钥K’,对所述分离模块分离的解密数据Ds’校验报文鉴别码M’;
所述第三解密模块,用于当所述第二校验模块校验通过后,用所述解密码处理模块生成的所述对称解密密钥K’对所述分离模块分离得到的解密数据Ds’进行解密,解密后得到输出数据D即为从输出数据的电子签名工具U1传递的数据。
17.一种电子签名工具之间安全传递数据的系统,其特征在于,包括:
电子签名工具U1、电子签名工具U2和计算机;所述电子签名工具U1与电子签名工具U2分别与计算机连接,通过计算机交换需要传递的数据;
所述电子签名工具U1采用上述权利要求7的装置,作为输出数据的电子签名工具,用于将需要传递的数据加密为加密输出数据后由计算机向所述电子签名工具U2发送;
所述电子签名工具U2采用上述权利要求15的装置,作为接收数据的电子签名工具,用于接收从电子签名工具U1经计算机发送的加密输出数据,并对所述加密输出数据解密后得到电子签名工具U1所传递的数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010199404.XA CN101883096B (zh) | 2010-06-07 | 2010-06-07 | 电子签名工具之间安全传递数据的方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010199404.XA CN101883096B (zh) | 2010-06-07 | 2010-06-07 | 电子签名工具之间安全传递数据的方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101883096A CN101883096A (zh) | 2010-11-10 |
CN101883096B true CN101883096B (zh) | 2014-07-02 |
Family
ID=43054984
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010199404.XA Active CN101883096B (zh) | 2010-06-07 | 2010-06-07 | 电子签名工具之间安全传递数据的方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101883096B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103281183B (zh) * | 2013-04-27 | 2016-04-13 | 天地融科技股份有限公司 | 转换装置和显示系统 |
CN103281184B (zh) * | 2013-04-27 | 2018-05-29 | 天地融科技股份有限公司 | 转换装置和显示系统 |
CN104486756B (zh) * | 2014-12-05 | 2018-11-16 | 深圳职业技术学院 | 一种密笺短信的加解密方法及系统 |
JP6773000B2 (ja) * | 2017-10-26 | 2020-10-21 | 京セラドキュメントソリューションズ株式会社 | 情報処理装置、改ざん検出方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1249636A (zh) * | 1998-07-31 | 2000-04-05 | 朗迅科技公司 | 用初始非保密通信传送敏感信息的方法 |
CN1859092A (zh) * | 2005-04-30 | 2006-11-08 | 刘瑞祯 | 手机印章认证方法及其系统 |
CN1949707A (zh) * | 2006-11-10 | 2007-04-18 | 北京飞天诚信科技有限公司 | 多级智能密钥装置的密钥传递方法和系统 |
CN1980121A (zh) * | 2005-11-29 | 2007-06-13 | 北京书生国际信息技术有限公司 | 电子签名移动终端、系统及方法 |
CN101290645A (zh) * | 2008-05-19 | 2008-10-22 | 北京深思洛克数据保护中心 | 一种提高信息安全设备验证安全性的方法 |
CN101340279A (zh) * | 2008-07-09 | 2009-01-07 | 深圳市金蝶移动互联技术有限公司 | 数据加密及解密方法、系统及设备 |
CN101576983A (zh) * | 2009-06-16 | 2009-11-11 | 深圳市星龙基电子技术有限公司 | 一种基于移动终端的电子支付方法和系统 |
CN101686225A (zh) * | 2008-09-28 | 2010-03-31 | 中国银联股份有限公司 | 一种用于网上支付的数据加密和密钥生成方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6009173A (en) * | 1997-01-31 | 1999-12-28 | Motorola, Inc. | Encryption and decryption method and apparatus |
CN1450449A (zh) * | 2002-04-09 | 2003-10-22 | 文化传信科技(澳门)有限公司 | 一种电子商务安全交易系统及方法 |
JP2006261729A (ja) * | 2005-03-15 | 2006-09-28 | Kyocera Mita Corp | 画像形成装置及びこれを備える電子認証システム |
ATE495602T1 (de) * | 2005-11-09 | 2011-01-15 | Xyzmo Software Gmbh | Verfahren zur erzeugung einer fortgeschrittenen elektronischen signatur eines elektronischen dokuments |
US20080104417A1 (en) * | 2006-10-25 | 2008-05-01 | Nachtigall Ernest H | System and method for file encryption and decryption |
JP2009232002A (ja) * | 2008-03-21 | 2009-10-08 | Fuji Xerox Co Ltd | 電子署名システム、署名装置、検証装置、及びプログラム |
-
2010
- 2010-06-07 CN CN201010199404.XA patent/CN101883096B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1249636A (zh) * | 1998-07-31 | 2000-04-05 | 朗迅科技公司 | 用初始非保密通信传送敏感信息的方法 |
CN1859092A (zh) * | 2005-04-30 | 2006-11-08 | 刘瑞祯 | 手机印章认证方法及其系统 |
CN1980121A (zh) * | 2005-11-29 | 2007-06-13 | 北京书生国际信息技术有限公司 | 电子签名移动终端、系统及方法 |
CN1949707A (zh) * | 2006-11-10 | 2007-04-18 | 北京飞天诚信科技有限公司 | 多级智能密钥装置的密钥传递方法和系统 |
CN101290645A (zh) * | 2008-05-19 | 2008-10-22 | 北京深思洛克数据保护中心 | 一种提高信息安全设备验证安全性的方法 |
CN101340279A (zh) * | 2008-07-09 | 2009-01-07 | 深圳市金蝶移动互联技术有限公司 | 数据加密及解密方法、系统及设备 |
CN101686225A (zh) * | 2008-09-28 | 2010-03-31 | 中国银联股份有限公司 | 一种用于网上支付的数据加密和密钥生成方法 |
CN101576983A (zh) * | 2009-06-16 | 2009-11-11 | 深圳市星龙基电子技术有限公司 | 一种基于移动终端的电子支付方法和系统 |
Non-Patent Citations (3)
Title |
---|
JP特开2006-261729A 2006.09.28 |
JP特开2009-232002A 2009.10.08 |
李涛.第3章公钥基础设施PKI.《网络安全概论》.电子工业出版社,2004,97-98. * |
Also Published As
Publication number | Publication date |
---|---|
CN101883096A (zh) | 2010-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102880836B (zh) | 安全装置 | |
CN101989991B (zh) | 安全导入密钥的方法及电子签名工具、认证设备及系统 | |
CN103618607B (zh) | 一种数据安全传输和密钥交换方法 | |
CN103714642B (zh) | 密钥下载方法、管理方法、下载管理方法及装置和系统 | |
CN102082790B (zh) | 一种数字签名的加/解密方法及装置 | |
US10089627B2 (en) | Cryptographic authentication and identification method using real-time encryption | |
CN102664898A (zh) | 一种基于指纹识别的加密传输方法、装置及系统 | |
CN101872402A (zh) | 一种安全打印方法 | |
CN102801730A (zh) | 一种用于通讯及便携设备的信息防护方法及装置 | |
CN103036880A (zh) | 网络信息传输方法、设备及系统 | |
CN103281193A (zh) | 身份认证方法、系统及基于其的数据传输方法、装置 | |
US20120124378A1 (en) | Method for personal identity authentication utilizing a personal cryptographic device | |
CN103780391A (zh) | 一种基于签名内容的手写电子签名数据保护方法 | |
CN101706854A (zh) | Usb信息安全设备与主机通信的方法及usb信息安全设备 | |
JP5324813B2 (ja) | 鍵生成装置、証明書生成装置、サービス提供システム、鍵生成方法、証明書生成方法、サービス提供方法およびプログラム | |
CN101883096B (zh) | 电子签名工具之间安全传递数据的方法、装置及系统 | |
CN103051459A (zh) | 安全卡的交易密钥的管理方法和装置 | |
CN101651538A (zh) | 一种基于可信密码模块的数据安全传输方法 | |
CN102833077A (zh) | 金融ic及金融社保ic卡远程发卡数据传输加解密方法 | |
KR101347124B1 (ko) | 일회용 공개 정보 기반 전자 처방전 처리 방법 및 이를 이용한 장치 | |
CN102598014B (zh) | 机密地提供软件组件的方法和系统 | |
CN110138544A (zh) | 一种物联网设备的加密解密系统及方法 | |
KR101912443B1 (ko) | 공개키 기반 암호화 방법 및 키 생성 서버 | |
CN115801232A (zh) | 一种私钥保护方法、装置、设备及存储介质 | |
KR101793528B1 (ko) | 무인증서 공개키 암호 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent for invention or patent application | ||
CB02 | Change of applicant information |
Address after: 102211 Beijing city Changping District Baishan town 100 Ge Road No. 9 Building No. 2 hospital Applicant after: Tendyron Technology Co., Ltd. Address before: 100083, B, block 17, golden building, No. 1810 Qinghua East Road, Beijing, Haidian District Applicant before: Beijing Tendyron Technology Co., Ltd. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |