CN101883118A - 针对大数据量的数字签名方法 - Google Patents
针对大数据量的数字签名方法 Download PDFInfo
- Publication number
- CN101883118A CN101883118A CN2010102210260A CN201010221026A CN101883118A CN 101883118 A CN101883118 A CN 101883118A CN 2010102210260 A CN2010102210260 A CN 2010102210260A CN 201010221026 A CN201010221026 A CN 201010221026A CN 101883118 A CN101883118 A CN 101883118A
- Authority
- CN
- China
- Prior art keywords
- data
- module
- computing
- digital signature
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种针对大数据量的数字签名方法,属于计算机信息传输及安全领域。该方法包括数据传输、报文解析模块进行数据解析、流模式的运算模块进行数据运算、数据解析模块进行数据解析;其是基于数据流传输的特性而提出的一种应用于大数据签名的技术方案,其内部实现了以数据流传输、以数据流运算的方法,做到了并行接收、多次运算、并行转发。优点在于:解决了超大数据无法进行数字签名的问题,由于在整个过程中都使用了数据流,签名服务器并没有在内存中存储大量的签名数据从而提供了服务器的处理能力。
Description
技术领域
本发明涉及计算机信息传输及安全领域,特别涉及一种针对大数据量的数字签名方法。
背景技术
信息安全是国民经济和社会信息化的重要组成部分,信息安全也是关系到电子商务能否迅速发展的重要因素。目前虽然已出现了很多保护电子商务安全的控制技术,如数字签名的就是一个典型的应用,但限于其只能处理小数据的局限性,所以至今应用还不够广泛。
数据流(data stream)最初是通信领域使用的概念,代表传输中所使用的信息的数字编码信号序列。然而,本发明所提到的数据流概念与此不同。他将数据流定义为“只能以事先规定好的顺序被读取一次的数据的一个序列”。
参阅图1及图2,流是在计算机的输入与输出之间流动的数据序列,从数据源(Source)串行地流向数据目的地(Program),在Program对流入的数据进行加密或签名处理,并将处理结果继续以流的形式向外写出。使计算机处理签名运算时实际只处理了当前数据流所流入的一部分数据进行运算。整个业务流程做到了并行接收、多次运算、并行转发,从而可以避免大数据量传输时一次性接收、一次性运算、一次性转发所导致的数据量太大,内存溢出的情形。
数据流具备以下的基本特性:
数据的到达——快速
这意味着短时间内可能会有大量的输入数据需要处理。这对处理器和输入输出设备来说都是一个较大的负担,因此对数据流的处理应尽可能简单。
数据的范围——广域
这是指数据属性(维)的取值范围非常大,可能取的值非常多,如文本文件、视频信息、电子邮件、图片等任意类型的数据。数据的维度远远超过了内存和硬盘容量,这意味着系统无法完整保存这些信息,通常只能在数据到达的时候存取数据一次。
数据到达的时间——持续
数据的持续到达意味着数据量可能是无限的。而且,对数据进行处理的结果不会是最终的结果,因为数据还会不断地到达。因此,对数据流的查询的结果往往不是一次性而是持续的,即随着底层数据的到达而不断返回最新的结果。
以上数据流的特点决定了数据流处理的特点,即一次存取,持续处理,有限存储,近似结果,快速响应。
由于数据流可以传输任何类型、任意大小的数据,使其在数据安全领域有着广泛的应用,但传统的数据流处理方式并没有实现边接收边计算边发送的处理功能。
以公文流转项目为例,如总公司与下属各分子公司的公文传输往来,需要经过数字签名以保证数据的完整性和抗抵赖性,在实际的应用环境中一般的公文大小约在2M到10M之间,但是也存在部分图形、视频文件大于1G的情况。由于当前的主流操作系统基本上以32位为主,可使用的内存上限即为4G以内,因此在实际的签名过程中,有出现内存溢出从而导致系统瘫痪的风险。虽然通过采购更为高端的硬件设备可以缓解当前遇到的大数据量问题,但是就公文流转系统而言,最彻底的解决方案还是要通过技术手段来化解,提供一种针对大数据量的数字签名问题。
发明内容
本发明的目的在于提供一种针对大数据量的数字签名方法,解决了现有的数字签名方法存在的只能处理小数据量、遇大数据量时易导致系统瘫痪的问题。其是基于数据流传输的特性而提出的一种应用于大数据签名的技术方案,其内部实现了以数据流传输、以数据流运算的方法,做到了并行接收、多次运算、并行转发。客户端必须按照服务器的要求组织好发送报文,即将参数信息放置在HTTP(HyperText Transfer Protocol超文本传输协议)请求头中,将待签名的业务数据放置在HTTP的请求体中,并以HTTP请求的形式发送给服务器。服务器将数据流交由核心的运算模块进行计算。
本发明解决技术问题所采取的技术方案是:
在处理大数据签名的时候,客户端向服务器发送流式数据,与传统方式不同的是不再将参数信息与实际的业务数据组织成一个XML文件进行传送,而是将参数信息组织在HTTP请求头内,使业务数据流独占HTTP请求体。服务器端口在接收到HTTP请求的同时直接将数据流交由运算模块进行处理,处理结果仍以数据流的形式返回给客户端。保证了数据流在数据链路中传输的连贯性,使客户端在发送数据的同时可以接收到服务器的处理结果。本发明的技术要点是:一、数据解析:在进行数据处理的时候虽然破坏了数据流的完整性,但只是对一些参数信息进行了提取并没有破坏业务数据流的完整性,也不对业务数据流进行存储,而是直接将数据流直接交给运算器或经由服务器端口发送给客户端。二、数据运算:数据运算模块负责将传过来的流式数据进行加密运算,其处理方式是读取数据流中一部分数据进行运算并将当前的运算结果以流的形式发送出去。
本发明针对大数据量的数字签名方法的具体流程是:
1、数据传输
客户端将业务数据,即需要进行数字签名的数据信息,以及操作当前业务所需的参数信息以流的形式发送给服务器:
11、将业务参数信息放置在HTTP请求头中;
12、将待签名的业务数据放置在HTTP请求体中;
2、报文解析模块进行数据解析
21、服务器接收到HTTP请求后,将数据流发送给报文解析模块对数据进行解析;
22、通过报文解析模块对客户端发送的数据流进行解析,将整个数据流还原为业务数据和业务参数,在处理的过程中并不破坏业务数据流的完整性,也不对业务数据流进行存储;
23、解析业务参数找到当前所需要进行的操作,并将解析后的业务数据流交由数据运算模块进行相应的运算;
3、流模式的运算模块进行数据运算
31、加密机将以流运算的方式对业务数据进行处理,运算模块可以做到边运算边发送结果数据;
32、数据运算模块将产生的结果数据或异常信息发送给数据解析模块;
4、数据解析模块进行数据解析
41、数据解析模块负责将结果组织成报文,在组织报文的时候并不破坏业务数据流的完整性,也不会对业务数据流进行存储;
42、数据解析模块将组织后的报文发送给服务器;
43、服务器将结果数据流转发给客户端,结果数据流中包含的信息有结果数据或异常信息,同行也可能包含一些其他的参数信息,整个处理结束。
所述流模式的运算模块进行数据运算的步骤包括:
①运算模块将当前数据输入流的一部分数据读取到内存中,控制其读取的数据量的大小为1~2K;
②运算模块对当前内存中的数据进行计算,将结果以输出流的形式进行转发;
③不断重复①②两个步骤直到将整个输入流读取完成;
④如果在运算过程中出现异常,则运算模块会停止后续的操作,并将异常信息进行转发。
本发明的有益效果在于:传统的数字签名服务器无法处理超大数据信息,最大处理能力在100M~200M之间,在使用了完全的流模式传输后理论上可以对无限大的数据信息进行签名。从而解决了超大数据无法进行数字签名的问题,由于在整个过程中都使用了数据流,签名服务器并没有在内存中存储大量的签名数据从而提供了服务器的处理能力。
附图说明:
图1是数据流向示意图。
图2是数据处理与转发示意图。
图3是本发明的流程方框示意图。
图4是本发明的签明方法的流程示意图。
图5是本发明的签名服务器组的使用实施例示意图。
具体实施方式:
下面结合附图所示,进一步说明本发明的具体内容及其实施方式。
实施例1:
参见图3,本发明的针对大数据量的数字签名方法的具体流程是:
1、数据传输
客户端将业务数据,即需要进行数字签名的数据信息,以及操作当前业务所需的参数信息以流的形式发送给服务器:
11、将业务参数信息放置在HTTP请求头中;
12、将待签名的业务数据放置在HTTP请求体中;
2、报文解析模块进行数据解析
21、服务器接收到HTTP请求后,将数据流发送给报文解析模块对数据进行解析;
22、通过报文解析模块对客户端发送的数据流进行解析,将整个数据流还原为业务数据和业务参数,在处理的过程中并不破坏业务数据流的完整性,也不对业务数据流进行存储;
23、解析业务参数找到当前所需要进行的操作,并将解析后的业务数据流交由数据运算模块进行相应的运算;
3、流模式的运算模块进行数据运算
31、加密机将以流运算的方式对业务数据进行处理,运算模块可以做到边运算边发送结果数据;
32、数据运算模块将产生的结果数据或异常信息发送给数据解析模块;
4、数据解析模块进行数据解析
41、数据解析模块负责将结果组织成报文,在组织报文的时候并不破坏业务数据流的完整性,也不会对业务数据流进行存储;
42、数据解析模块将组织后的报文发送给服务器;
43、服务器将结果数据流转发给客户端,结果数据流中包含的信息有结果数据或异常信息,同行也可能包含一些其他的参数信息,整个处理结束。
所述流模式的运算模块进行数据运算的步骤包括:
①运算模块将当前数据输入流的一部分数据读取到内存中,控制其读取的数据量的大小为1~2K;
②运算模块对当前内存中的数据进行计算,将结果以输出流的形式进行转发;
③不断重复①②两个步骤直到将整个输入流读取完成;
④如果在运算过程中出现异常,则运算模块会停止后续的操作,并将异常信息进行转发。
实施例2:通过HTTP请求调用服务
签名服务器以HTTP服务的形式向客户端提供签名服务,在对超大数据文件进行签名时需要客户端组织相应的参数信息。用户必须按照约定将参数信息储存在HTTP请求头中,将待签名的业务数据存储在HTTP的体中。
实施例3:通过客户端API调用服务
将提供的客户端API接口集成到客户端的软件系统中,客户端通过调用相应的接口,将相应的参数信息提供给接口函数,接口函数将处理结果返回给客户端的软件系统。
实施例4:签名服务器
签名服务器可以配置或不配置独立的数据加密卡。使用数据加密卡时可以保证数据加密的安全性,也可同时提高数据加密的效率。不使用加密卡时将由软件处理相应的算法,由CPU来完成运算。可通过配置切换是否启用加密卡。
签名服务器内置了应用服务器与数据库,相应进程在开机后可以自启动。
实施例5:
参见图4,为本发明的签名流程
服务请求方,即客户端发起签名请求,服务请求方创建服务请求报文,即将原文、摘要算法组织成请求报文发送给数字签名服务器;
数字签名服务器接收到请求报文后从报文中提取出原文与摘要算法;
计算摘要,填充摘要值及算法标识;
填充签名时CRL或OCSP状态;
填充签名证书及证书链;
填充签名时间;
对原文进行签名;
将摘要、摘要值及算法标识、CRL/OCSP状态、原文、签名证书及证书链、签名时间、签名运算结果组装成响应报文,即带完全验证数据的电子签名数据包,发送给客户端;
客户端拿到相应报文后解析报文取得签名结果。
实施例6:
参见图5,签名服务器的功能:
1.系统管理服务
对签名服务器的管理模块,提供证书配置、安全策略配置、权限配置以及对硬件平台的管理设置功能。
2.WEB管理控制台
面向安全管理员、审计管理员,提供基于Web模式的服务管理、配置、审计等功能服务;
3.内置数据库
集成MySQL数据库,存放业务日志、审计日志等;
4.业务服务
提供具体业务的处理功能,主要功能包括数字签名、验签,数字信封及TSA。
5.软硬件形态
签名服务器支持硬件形态及软件形态两中模式,硬件形态需要加密卡支持。两种形态可通过配置实现切换,通过PKI Adapter实现不同的调用方式。
6.日志服务管理系统
记录业务日志与审计日志、记录服务使用状态,跟踪系统异常,并将结果记录到数据库中。
Claims (2)
1.一种针对大数据量的数字签名方法,该方法包括数据传输、报文解析模块进行数据解析、流模式的运算模块进行数据运算、数据解析模块进行数据解析;其特征在于:所述数据传输是:将业务参数信息放置在HTTP请求头中;将待签名的业务数据放置在HTTP请求体中;
所述报文解析模块进行数据解析是:服务器接收到HTTP请求后,将数据流发送给报文解析模块对数据进行解析;
通过报文解析模块对客户端发送的数据流进行解析,将整个数据流还原为业务数据和业务参数;
解析业务参数找到当前所需要进行的操作,并将解析后的业务数据流交由数据运算模块进行运算;
所述流模式的运算模块进行数据运算是:加密机以流运算的方式对业务数据进行处理,运算模块边运算边发送结果数据;
运算模块将产生的结果数据或异常信息发送给数据解析模块;
所述数据解析模块进行数据解析是:数据解析模块将结果组织成报文,并将组织后的报文发送给服务器;
服务器将结果数据流转发给客户端,整个处理结束。
2.根据权利要求1所述的针对大数据量的数字签名方法,其特征在于:所述的流模式的运算模块进行数据运算的步骤包括:
①运算模块将当前数据输入流的一部分数据读取到内存中,控制其读取的数据量的大小为1~2K;
②运算模块对当前内存中的数据进行计算,将结果以输出流的形式进行转发;
③不断重复①②两个步骤直到将整个输入流读取完成;
④如果在运算过程中出现异常,则运算模块会停止后续的操作,并将异常信息进行转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010221026A CN101883118B (zh) | 2010-07-08 | 2010-07-08 | 针对大数据量的数字签名方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010221026A CN101883118B (zh) | 2010-07-08 | 2010-07-08 | 针对大数据量的数字签名方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101883118A true CN101883118A (zh) | 2010-11-10 |
| CN101883118B CN101883118B (zh) | 2012-10-17 |
Family
ID=43055004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010221026A Active CN101883118B (zh) | 2010-07-08 | 2010-07-08 | 针对大数据量的数字签名方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101883118B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571488A (zh) * | 2011-12-21 | 2012-07-11 | 北京星网锐捷网络技术有限公司 | 一种加密卡故障处理方法、装置与系统 |
| CN103490892A (zh) * | 2013-08-28 | 2014-01-01 | 广东数字证书认证中心有限公司 | 数字签名方法和系统、应用服务器和云密码服务器 |
| CN115134085A (zh) * | 2021-03-25 | 2022-09-30 | 奇安信科技集团股份有限公司 | 数字签名计算方法、装置、电子设备与存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1780413A (zh) * | 2004-11-25 | 2006-05-31 | 华为技术有限公司 | 一种组播广播业务密钥控制方法 |
| US20080104666A1 (en) * | 2006-11-01 | 2008-05-01 | Microsoft Corporation | Securing Distributed Application Information Delivery |
| CN101583083A (zh) * | 2009-06-01 | 2009-11-18 | 中兴通讯股份有限公司 | 一种实时数据业务的实现方法和实时数据业务系统 |
-
2010
- 2010-07-08 CN CN201010221026A patent/CN101883118B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1780413A (zh) * | 2004-11-25 | 2006-05-31 | 华为技术有限公司 | 一种组播广播业务密钥控制方法 |
| US20080104666A1 (en) * | 2006-11-01 | 2008-05-01 | Microsoft Corporation | Securing Distributed Application Information Delivery |
| CN101583083A (zh) * | 2009-06-01 | 2009-11-18 | 中兴通讯股份有限公司 | 一种实时数据业务的实现方法和实时数据业务系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571488A (zh) * | 2011-12-21 | 2012-07-11 | 北京星网锐捷网络技术有限公司 | 一种加密卡故障处理方法、装置与系统 |
| CN103490892A (zh) * | 2013-08-28 | 2014-01-01 | 广东数字证书认证中心有限公司 | 数字签名方法和系统、应用服务器和云密码服务器 |
| CN103490892B (zh) * | 2013-08-28 | 2017-06-13 | 数安时代科技股份有限公司 | 数字签名方法和系统、应用服务器和云密码服务器 |
| CN115134085A (zh) * | 2021-03-25 | 2022-09-30 | 奇安信科技集团股份有限公司 | 数字签名计算方法、装置、电子设备与存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101883118B (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11811912B1 (en) | Cryptographic algorithm status transition | |
| CN108809932B (zh) | 一种基于区块链的存证系统、方法及可读介质 | |
| WO2019214312A1 (zh) | 基于区块链的物流信息传输方法、系统和装置 | |
| US8589372B2 (en) | Method and system for automated document registration with cloud computing | |
| CN113157648A (zh) | 基于区块链的分布式数据存储方法、装置、节点及系统 | |
| CN111798209A (zh) | 基于区块链的工程项目管理方法、电子设备和存储介质 | |
| CN108390881A (zh) | 一种分布式高并发实时消息推送方法及系统 | |
| CN109214196A (zh) | 一种数据交互方法、装置及设备 | |
| US20120179840A1 (en) | System and method for distributed content transformation | |
| CN111488372A (zh) | 一种数据处理方法、设备及存储介质 | |
| CN102263809A (zh) | 一种基于企业服务总线实现服务安全管控的方法及装置 | |
| CN112508733A (zh) | 一种基于北斗的电网时空大数据智能服务系统 | |
| CN111181920A (zh) | 一种加解密的方法和装置 | |
| CN101883118B (zh) | 针对大数据量的数字签名方法 | |
| CN114239072B (zh) | 区块链节点管理方法及区块链网络 | |
| CN115085934A (zh) | 基于区块链和组合密钥的合同管理方法及相关设备 | |
| CN110941672A (zh) | 户籍管理方法、装置、设备以及存储介质 | |
| CN114338527A (zh) | IPv6主动标识符处理方法及系统 | |
| CN113792346A (zh) | 一种可信数据处理方法、装置及设备 | |
| CN112181983A (zh) | 一种数据处理方法、装置、设备和介质 | |
| CN114844695B (zh) | 基于区块链的业务数据流转方法、系统及相关设备 | |
| Tharani et al. | A blockchain-based database management system | |
| CN110650014A (zh) | 一种基于hessian协议的签名认证方法、系统、设备及存储介质 | |
| CN107229743A (zh) | 一种商务管理用大数据分类利用方法及系统 | |
| Sánchez et al. | Security Enhancement through Effective Encrypted Communication using ELK |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |