CN102957539A - 用于分布式软件的数字签名管理和验证系统及方法 - Google Patents
用于分布式软件的数字签名管理和验证系统及方法 Download PDFInfo
- Publication number
- CN102957539A CN102957539A CN2012102898246A CN201210289824A CN102957539A CN 102957539 A CN102957539 A CN 102957539A CN 2012102898246 A CN2012102898246 A CN 2012102898246A CN 201210289824 A CN201210289824 A CN 201210289824A CN 102957539 A CN102957539 A CN 102957539A
- Authority
- CN
- China
- Prior art keywords
- software application
- digital signature
- key
- message
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明名称为“用于分布式软件的数字签名管理和验证系统及方法”。用于分布式软件应用的数字签名管理系统(100),包括通信网络(104)和耦合于该通信网络的数字签名模块(160)。该系统还包括耦合于该通信网络的一个或多个软件应用(106、108、110),其每个包括标识码和签名应用(127),该签名应用(127)截获从发送应用接收的数字签名的消息并且将其提供给数字签名模块。数字签名模块可以配置成验证其从一个或多个软件应用接收的消息的数字签名。
Description
技术领域
本文公开的主题涉及安全性,并且更具体地,涉及在包括分布式软件的系统中生成数字签名并且验证数字签名。
背景技术
“智能网”覆盖电网并且可以在例如公共事业公司等电力生产者之间提供信息和操作命令,并且智能仪表沿着电网位于客户住处或其他位点(例如,功率变电站)。可以设置该智能网使得其包括分布式系统中的分布式软件应用(例如,在面向服务的架构(SOA)中)。
在这样的分布式系统中,确保在不同的软件应用或硬件元件之间维持交换的消息的完整性是重要的。确保消息完整性的一个方法是使用数字签名。数字签名需要每个软件应用具有生成签名并且验证签名、创建公共/私有秘钥对并且对消息接收者分配公共秘钥的能力。在分布式系统中可能出现的一个问题是每个软件应用可以不同的方式生成签名并且验证签名。此外,即使软件应用中的每个以相同的方式生成签名并且认证签名,必须仍在系统周围分配密钥。
在典型的系统中,在公共秘钥基础设施(PKI)中分配公共/私有秘钥对,其中公共秘钥凭借认证授权(CA)而与它们相应的用户身份绑定。然而,在大范围的应用中或在其中存在彼此之间通信的多个系统的动态环境中,密钥管理变得复杂。当跨不同硬件/软件/技术平台发生通信时该复杂性进一步加剧。
发明内容
根据本发明的一个方面,公开了用于分布式软件应用的数字签名管理系统。该方面的系统包括通信网络和耦合于该通信网络的数字签名模块。该系统还包括耦合于该通信网络的一个或多个软件应用,每个包括标识码和签名应用,签名应用截获从发送应用接收的数字签名的消息并且将其提供给数字签名模块。在该方面,数字签名模块配置成验证其从一个或多个软件应用接收的消息的数字签名。
根据本发明的另一个方面,公开了用于分布式软件应用的数字签名管理系统。在该方面中,该系统包括通信网络和耦合于该通信网络的数字签名模块。该系统还包括耦合于该通信网络的一个或多个软件应用,其每个包括标识码和签名应用,该签名应用请求数字签名模块对代表软件应用的消息签名。在该方面中,数字签名模块配置成基于与一个或多个软件应用中的一个关联的私有秘钥对其从一个或多个软件应用中的所述一个接收的消息签名。
根据本发明的另一个方面,公开了在包括分布式软件应用的分布式计算系统中认证数字签名的方法。该实施例的该方法包括:在数字签名模块处,从第一软件应用接收数字签名的消息,该数字签名的消息包括标识第二软件应用的数字签名;基于与第二软件应用关联的公共秘钥在数字签名模块处认证数字签名;以及使数字签名的消息返回第一软件应用。在该方面,从在不同于第一软件应用的服务器上操作的密钥管理系统接收公共秘钥。
这些和其他优势和特征将从与附图结合来看的下列描述变得更加明显。
附图说明
认作是本发明的主题具体地指出并且在说明书结论处的权利要求中清楚地要求权利。本发明的前述和其他特征和优势通过下面与附图结合来看的详细描述而是明显的,在附图中:
图1图示根据本发明的实施例的系统;
图2是图示根据本发明的一个实施例的方法的流程图;
图3是图示根据本发明的另一个实施例的方法的流程图;以及
图4图示可在其上实现本发明的实施例的系统。
通过参照附图的示例,详细的描述解释本发明的实施例连同优势和特征。
具体实施方式
本发明的实施例针对在包括分布式软件的分布式系统中生成签名并且验证签名的系统和方法。可以使用本发明的实施例的分布式系统的示例是智能网。在一个实施例中,集中数字签名服务用于对分布式系统中的软件应用中的一些或全部生成签名并且验证签名。还可以提供集中密钥管理系统来分配生成/验证数字签名所需要的公共/私有秘钥对。
本发明的技术效果是其允许分布式系统中不同的软件应用以相同的方式生成签名并且验证签名。
图1图示根据一个实施例的分布式系统100。该分布式系统100包括密钥对管理控制台(管理控制台)102和数字签名模块160。如在下文更详细描述的,管理控制台102管理密钥对在系统100中的软件应用之间的分配。如此,在一个实施例中,管理控制台102是PKI管理控制台。在一个实施例中,提供密钥给单独的软件应用,而不是提供给应用所驻留的服务器。可以在服务器或其他计算设备中实现管理控制台102。
数字签名模块160用于对系统100中的软件应用生成数字签名并且验证数字签名。为此,在一个实施例中,数字签名模块160包括签名生成模块162和签名验证模块164。基于来自系统100中的软件应用的请求,签名生成模块162可以对要由应用发送的消息生成签名。相似地,接收签名的消息的软件应用可以使用签名验证模块164来验证签名。
图1中图示的系统100还包括通信网络104。该通信网络104可以是现在已知或后来开发的任何类型的通信网络。例如,该通信网络104可以是因特网、私有网络、局域网(LAN)或广域网(WAN)。应该理解该通信网络104可以包括超过一个网络。例如,在一个示例中,该通信网络104可以包括与WAN通信的LAN。在另一个实施例中,该通信网络104可以包括单个服务器内的内部总线以及其他网络的任何组合。这样的实施例可在一个或多个软件应用驻留于相同的服务器上的情况下存在。
系统100还包括多个软件应用106、108、110。这些软件应用106、108、110通信地耦合于通信网络104使得它们可以通过管理控制台102和数字签名模块160而互相通信。当然,数字签名模块160和管理控制台102可以通过通信网络104而互相通信。系统100中的软件应用106、108、110的数量是变化的、不受限制的,并且取决于上下文。在一个实施例中,软件应用106、108、110可以全部位于不同的服务器上。在另一个实施例中,至少一个软件应用106、108、110位于与另一个软件应用106、108、110相同的服务器上。
在一个实施例中,软件应用106、108、110中的一个或多个可需要将加密信息传送到软件应用106、108、110中的另一个并且从软件应用106、108、110中的另一个接收加密信息。在这样的实施例中,软件应用106、108、110需要互相交换公共秘钥。如下文描述的,管理控制台102一般操纵密钥在应用之间的分配。
应该理解软件应用106、108和110可还需要互相发送数字签名的消息。例如,假定软件应用106需要发送数字签名的消息到软件应用108。在现有技术中,软件应用106将用其私有秘钥对发送到软件应用108的消息签名。软件应用108然后将使用公共秘钥验证签名。当然,这样的系统将需要分配公共秘钥。然而,在一些情况下,维持每个应用106、108、110的不同的签名生成/验证系统可能变得麻烦和混乱。
根据一个实施例,由数字签名模块160而不是这些应用本身对软件应用106、108和110实施签名生成和验证。在操作中,软件应用106、108和110可以用数字签名模块160注册来指示它们需要数字签名模块160对它们的消息签名和/或验证。为此,软件应用106、108、110包括签名应用127。在一个实施例中,该签名应用127在每个软件应用106、108、110上是相同或相似的。该签名应用127不生成或认证签名。相反,当其确定需要添加或验证签名时,其请求数字签名模块160促使需要的结果出现。
例如,假定应用106需要发送签名的消息到应用108。应用106中的签名应用127使消息(可能被加密)输送到数字签名模块160。签名生成模块162然后使消息被数字签名。签名可以包括使用应用106的私有秘钥对消息的内容(或内容的hashed版本)加密。签名的消息可以返回应用106并且然后转发给应用108。
当接收到签名的消息时,应用108的签名应用127使消息被数字签名模块160认证。在该示例中,消息的认证可以包括将应用106的公共秘钥应用于签名。一般,认证包括确定签名由发送应用生成/对发送应用生成签名。为此,当术语“预订者”在下文使用时,应用108是应用106的“预订者”。从而,为了验证代表应用108的签名,数字签名模块160还需要预订应用106,因为它将需要应用106的公共秘钥的副本。认证的消息可仍需要被加密,并且如此,每个应用106、108、110可以包括相应的密钥存储116、118、120用于存储如下文描述的那样被分配的公共秘钥。
在一个实施例中,数字签名模块160包括密钥存储166。该密钥存储166包括应用106、108、110中的每个的私有秘钥,该应用106、108、110已经请求数字签名模块160对其操纵签名生成功能。更详细地,应用106、108、110可以用数字签名模块160注册。该注册使签名应用127被提供给应用。该注册还使数字签名模块160生成应用的私/公共秘钥对。如下文描述的,该私有秘钥可以存储在密钥存储166中并且该公共秘钥可以用管理控制台102注册。该注册可以由应用或由数字签名模块160请求。当然,公共秘钥也可以存储在密钥存储166中。
在一些情况下,应用可以从未用数字签名模块160注册的应用接收签名的消息。在这样的情况下,数字签名模块160可不具有发送应用的公共/私有秘钥。在这样的情况下,签名模块160可需要预订发送应用以便验证消息。另外,如在下文更充分描述的,数字签名模块160还可以预订其生成/使之被注册的公共秘钥来确保其具有私有秘钥和公共秘钥的当前副本。
根据一个实施例,管理控制台102配置成管理软件应用106、108、110与数字签名模块160之间的密钥交换。如此,在一个实施例中,管理控制台102耦合于公共秘钥存储112,公共秘钥存储112存储软件应用106、108、110中的一些或全部的公共秘钥以及与存储的公共秘钥关联的任何信息。可以从这些应用本身或从数字签名模块160接收公共秘钥。关联的信息可以包括,例如,被允许在密钥过期时接收公共秘钥的其他软件应用的标识等。
一般,中央密钥存储112是数据库并且可以包括在管理控制台102内或是与管理控制台102分离的实体。尽管在图1中示出中央密钥存储112直接耦合于管理控制台102,但是应理解在备选实施例中连接可以通过通信网络104。在一个实施例中,中央密钥存储112实现为使用轻量级条目访问存取协议(LDAP)的数据库。
在一个实施例中,管理控制台102耦合于用户终端114,其允许用户(例如,系统管理员)提供信息给管理控制台102。在一个实施例中,系统管理员提供给管理控制台102关于可以将它们的公共秘钥注册/存储在管理控制台102上或可以使用管理控制台102生成密钥对并且存储所得的公共秘钥的特定软件应用的信息。密钥对的生成可以以已知的方式实现。在备选实施例中,关于可以使用管理控制台102的特定软件应用的信息可以从其他源接收。
系统100的操作示例是信息化的。假设第一软件应用106添加到已经包括第二和第三软件应用108、110的系统100。使用用户终端114,用户(例如,系统管理员)在管理控制台102中为第一软件应用106创建新的条目。该条目可包括,例如,第一软件应用106的位点(例如,服务器名称)和第一软件应用106的名称。名称可以描述应用类型或具体到特定软件应用。在一个实施例中,条目可随后提供有已经预订第一软件应用106的所有其他软件应用的列表。在一个实施例中,条目还可或备选地包括第一软件应用106已经预订其的其他软件应用的列表。
在该示例中,在创建条目后,管理控制台102将标识码指配给第一软件应用106。在安装第一软件应用106之前或安装第一软件应用106时,该码可电子地或手动地提供给第一软件应用106。
在一个实施例中,第一软件应用106包括注册模块128。该注册模块128使第一软件应用变成用管理控制台102注册。在一个实施例中,注册过程可以包括使用上文描述的标识码使第一软件应用106向管理控制台102标识它自己。在一个实施例中,注册还包括提供公共秘钥给管理控制台102。在这样的实施例中,注册模块128使第一软件应用106请求并且接收来自数字签名模块160的密钥对。不管如何创建,第一软件应用106的公共秘钥由管理控制台102存储并且与由管理控制台102维持的针对第一软件应用106的条目有关。以此方式,公共秘钥与特定软件应用关联,而没有利用应用所驻留的服务器。例如,可以在数字签名模块160的密钥存储166中维持私有秘钥。
如在图1中图示的,第二软件应用108和第三软件应用110也分别包括注册模块130、132。在一个实施例中,这些注册模块以与注册模块128相同或相似的方式操作。
现在假设第一软件应用106需要与第二软件应用108通信。在一个实施例中,第一软件应用106向管理控制台102呈现预订请求。该预订请求可以通过名称、类型或标识号或其组合来标识第二软件应用108。假定第一软件应用106被授权与第二软件应用108通信,预订请求被准许并且第二软件应用108的公共秘钥提供给第一软件应用106。
在一个实施例中,数字签名模块160对用管理控制台102注册的每个公共秘钥做出相似类型的预订请求。数字签名模块160还可以注册成接收向对其验证签名的应用发送签名的消息的任何应用的公共秘钥。是第一软件应用106还是数字签名模块160被授权取决于当在管理控制台102中对第二软件应用108创建条目时提供的信息。另外,准许预订请求使下列中的一个或两个发生:1)预订存储在第一软件应用106的条目中;和2)预订存储在第二软件应用108的条目中。
在一个实施例中,管理控制台102包括密钥过期模块152。该密钥过期模块152监测由管理控制台102(例如,在公共秘钥存储112中)存储的公共秘钥的过期并且提供特定应用的密钥对该应用即将过期的指示。该特定应用然后可以使密钥过期、延长密钥、或提供新的密钥。在它提供新的密钥的情况下,管理控制台102可以确定已经预订应用并且给它们提供新的公共秘钥的其他应用。本领域普通技术人员将认识到可以根据如何存储预订而以不同的方式做出确定。
图2是图示根据一个实施例的方法的流程图。从图1的数字签名模块160的角度来看,在图2中图示的流程图是在包括根据一个实施例的分布式软件应用的系统中生成签名的方法的示例。该实施例的该方法包括框202,其中在数字签名模块处从分布式软件应用的第一软件应用接收注册请求。在框204,数字签名模块生成第一软件应用的公共/私有秘钥对。在框206,对于请求应用,数字签名模块存储请求应用的私有秘钥和标识码。标识码可以与例如由图1的密钥管理系统102提供的标识码相同。在框208,数字签名模块用密钥管理控制台使公共秘钥被注册使得它与标识码关联。
在框210,第一应用提供需要数字签名的消息给数字信号模块。应用可以以任何方式标识它自己,并且在一个实施例中,通过上文描述的标识号标识它自己。可选地,在框211,数字信号模块确定请求(例如,第一)应用被注册并且在框212,使消息被数字签名。框212处的处理可以基于与请求应用和消息关联的私有秘钥生成签名。在框214,消息返回请求的应用,在这里它可以被进一步处理或简单地传送到另一个应用。
图3是示出验证与消息关联的数字签名的方法的流程图。该方法包括框302,其中在图1的数字签名模块160处从接收消息的应用(接收应用)接收具有数字签名的消息。该消息从发送应用接收。在框304,数字签名模块验证接收应用用它来注册。
验证之后,在框306,数字签名模块获取发送应用的公共秘钥的副本。该获取可以以不同的方式发生。例如,在一些情况下,数字签名模块可已经在其密钥存储中具有公共秘钥的副本。在其他实施例中,数字签名模块可需要经由密钥管理控制台102(图2)预订发送应用来接收公共秘钥的副本。在另一个实施例中,数字签名模块可根据接收应用是否已经具有发送应用的公共秘钥的副本来请求来自发送应用和接收应用中的一个或两个的公共秘钥。
在框308,使用公共秘钥验证消息上的签名并且其在框310返回接收应用。
现在参考图4,示出有用于实现本文的教导的处理系统400的实施例。该处理系统400是管理控制台102和数字签名模块可在其上实现或软件应用106、108、110可以在其上运行的服务器或其他计算设备的示例(图1)。
在该实施例中,系统400具有一个或多个中央处理单元(处理器)401a、401b、401c,等(统称为或一般称为处理器401)。在一个实施例中,每个处理器401可包括精简指令集计算机(RISC)微处理器。处理器401经由系统总线413耦合于系统存储器414和多种其他组件。只读存储器(ROM)402耦合于系统总线413并且可包括基本输入/输出系统(BIOS),其控制系统400的某些基本功能。
图4进一步描绘耦合于系统总线413的输入/输出(I/O)适配器407和网络适配器406。I/O适配器407可以是与硬盘403和/或带式存储驱动器405或任何其他相似的组件通信的小型计算机系统接口(SCSI)适配器。I/O适配器407、硬盘403、和带式存储设备405在本文统称为大容量存储404。网络适配器406用外部网络416(例如,图1的通信网络104)与总线413互连,该外部网络416使系统400能够与其他这样的系统通信。屏幕(例如,显示器监视器)415可以通过显示器适配器412连接到系统总线413,该显示器适配器412可包括提高图形密集应用的性能的图形适配器和视频控制器。在一个实施例中,适配器407、406、和412可经由中间总线桥(未示出)连接到一个或多个I/O总线,其连接到系统总线413。用于连接例如硬盘控制器、网络适配器、和图形适配器等外围设备的适合的I/O总线典型地包括共同协议,例如外围组件接口(PCI)。另外的输入/输出设备示出为经由用户接口适配器408和显示器适配器412连接到系统总线413。键盘409、鼠标410、和扬声器411全部经由用户接口适配器408互连到总线413,该用户接口适配器408可包括,例如,将多个设备适配器集成到单个集成电路内的I/O芯片。
将意识到系统400可以是任何适合的计算机或计算平台,并且可包括终端、无线设备、信息装置(appliance)、设备、工作站、小型计算机、大型计算机、服务器、个人数字助理(PDA)或其他计算设备。应该理解系统400可包括由通信网络链接在一起的多个计算设备。例如,可在两个系统之间存在客户-服务器关系并且处理可在这两个之间分开。
任何计算机操作系统可由系统400使用。如图示的,系统400还包括用于通过网络416通信的网络接口406。网络416可以是局域网(LAN)、城域网(MAN)、或广域网(WAN),例如因特网或万维网。
如本文公开的,系统400可包括存储在机器可读介质(例如,硬盘404)上来执行本文公开的一个或多个方法的机器可读指令。如本文论述的,指令可称为“软件”420。软件420可使用如本领域内已知的软件开发工具生产。软件420可包括用于提供如本领域内已知的用户交换能力的多种工具和特征。
根据本发明的一个方面,提供了一种用于分布式软件应用的数字签名管理系统,所述系统包括:通信网络;数字签名模块,其耦合于所述通信网络;以及,一个或多个软件应用,其耦合于所述通信网络,所述一个或多个软件应用中的每个包括标识码和签名应用,所述签名应用截获从发送应用接收的数字签名的消息并且将所述数字签名的消息提供给所述数字签名模块;其中,所述数字签名模块配置成验证其从所述一个或多个软件应用接收的消息的所述数字签名。
优选地,所述一个或多个软件应用中的至少一个不包括用于认证数字签名的系统或应用。
优选地,所述数字签名管理系统进一步包括:注册模块,其请求来自密钥对提供者的密钥对,所述密钥对包括公共秘钥和私有秘钥;以及,管理控制台,其经由所述通信网络耦合于所述一个或多个软件应用中的至少一些,所述管理控制台配置成存储与所述一个或多个软件应用的第一软件应用关联的所述公共秘钥,并且当从所述一个或多个软件应用的第二软件应用接收对所述第一软件应用的预订请求时,将与所述第一软件应用关联的所述公共秘钥提供给所述第二软件应用。进一步地,所述数字签名模块是所述密钥对提供者。进一步地,所述数字签名模块配置成预订所述第二应用。更进一步地,所述数字签名模块配置成基于从所述秘钥管理控制台接收的所述第二应用的公共秘钥来验证由所述第一应用从所述第二应用接收的签名的消息。
优选地,所述一个或多个软件应用中的每个位于不同的服务器上。
优选地,所述一个或多个软件应用中的至少两个位于相同的服务器上。
根据本发明的一个方面,提供了一种用于分布式软件应用的数字签名管理系统,所述系统包括:通信网络;数字签名模块,其耦合于所述通信网络;以及一个或多个软件应用,其耦合于所述通信网络,所述一个或多个软件应用中的每个包括标识代码和签名应用,所述签名应用请求所述数字签名模块对代表包括所述签名应用的软件应用的消息签名;其中,所述数字签名模块配置成基于与所述一个或多个软件应用中的一个关联的私有秘钥对其从所述一个或多个软件应用中的所述一个接收的消息签名。
优选地,所述一个或多个软件应用中的至少一个不包括用于利用数字签名对消息签名的系统或应用。
优选地,所述签名应用请求来自所述数字签名模块的密钥对,所述密钥对包括公共秘钥和私有秘钥,并且进一步包括:管理控制台,其经由所述通信网络耦合于所述一个或多个软件应用中的至少一些,所述管理控制台配置成存储与所述一个或多个软件应用的第一软件应用关联的所述公共秘钥,并且当从所述一个或多个软件应用的第二软件应用接收对所述第一软件应用的预订请求时,将与所述第一软件应用关联的所述公共秘钥提供给所述第二软件应用。进一步地,所述数字签名模块配置成预订所述第一软件应用。
根据本发明的一个方面,提供了一种认证分布式计算系统中的数字签名的方法,所述分布式计算系统包括分布式软件应用,所述方法包括:在数字签名模块处,从第一软件应用接收数字签名的消息,所述数字签名的消息包括标识第二软件应用的数字签名;基于与所述第二软件应用关联的公共秘钥在所述数字签名模块处验证所述数字签名;以及使所述数字签名的消息返回所述第一软件应用;其中,从在不同于所述第一软件应用的服务器上操作的密钥管理系统接收所述公共秘钥。
优选地,将对所述第二软件应用的预订请求从所述数字签名模块发送到所述密钥管理系统。
尽管本发明仅连同有限数量的实施例详细描述,当应该容易理解本发明不限于这样的公开实施例。相反,可以修改本发明以包含此前未描述但与本发明的精神和范围相称的许多变化形式、改动、替代或等同设置。另外,尽管已经描述了本发明的多种实施例,但是要理解本发明的方面可仅包括描述的实施例中的一些。因此,本发明不视为由前面的描述限制,而仅由所附权利要求的范围限制。
部件列表
| 100 | 分布式系统 | 102 | 密钥对管理控制台 |
| 104 | 通信网络 | 106、108、110 | 软件应用 |
| 112 | 公共秘钥存储 | 114 | 用户终端 |
| 116、118、120 | 密钥存储 | 127 | 签名应用 |
| 128、130、132 | 注册模块 | 152 | 密钥过期模块 |
| 160 | 数字签名模块 | 162 | 签名生成模块 |
| 164 | 签名验证模块 | 166 | 密钥存储 |
| 202、204、206、208、210、211、212、214、302、304、306、308、310 | 框 | 400 | 处理系统 |
| 401 | 处理器 | 401a-401c | 中央处理单元 |
| 402 | 只读存储器(ROM) | 403 | 硬盘 |
| 404 | 大容量存储 | 405 | 带式存储驱动器 |
| 406 | 网络适配器 | 407 | 输入/输出(I/O)适配器 |
| 408 | 用户接口适配器 | 409 | 键盘 |
| 410 | 鼠标 | 411 | 扬声器 |
| 412 | 显示器适配器 | 413 | 系统总线 |
| 414 | 系统存储器 | 415 | 屏幕 |
| 416 | 外部网络 | 420 | 软件 |
Claims (10)
1.一种用于分布式软件应用的数字签名管理系统(100),所述系统(100)包括:
通信网络(104);
数字签名模块(160),其耦合于所述通信网络(104);以及
一个或多个软件应用(106、108、110),其耦合于所述通信网络(104),所述一个或多个软件应用(106、108、110)中的每个包括标识码和签名应用(127),所述签名应用(127)截获从发送应用接收的数字签名的消息并且将所述数字签名的消息提供给所述数字签名模块(160);
其中所述数字签名模块(160)配置成验证其从所述一个或多个软件应用(106、108、110)接收的消息的数字签名。
2.如权利要求1所述的系统(100),其中,所述一个或多个软件应用(106、108、110)中的至少一个不包括用于认证数字签名的系统或应用。
3.如权利要求1所述的系统(100),进一步包括:
注册模块(128、130、132),其请求来自密钥对提供者的密钥对,所述密钥对包括公共秘钥和私有秘钥;以及
管理控制台,其经由所述通信网络(104)耦合于所述一个或多个软件应用(106、108、110)中的至少一些,所述管理控制台配置成存储与所述一个或多个软件应用(106、108、110)的第一软件应用(106)关联的所述公共秘钥,并且当从所述一个或多个软件应用(106、108、110)的第二软件应用(108)接收对所述第一软件应用(106)的预订请求时,将与所述第一软件应用(106)关联的所述公共秘钥提供给所述第二软件应用(108)。
4.如权利要求3所述的系统(100),其中,所述数字签名模块(160)是所述密钥对提供者。
5.如权利要求3所述的系统(100),其中,所述数字签名模块(160)配置成预订所述第二应用(108)。
6.如权利要求5所述的系统(100),其中,所述数字签名模块(160)配置成基于从所述秘钥管理控制台(102)接收的所述第二应用(108)的公共秘钥来验证由所述第一应用(106)从所述第二应用(108)接收的签名的消息。
7.如权利要求1所述的系统(100),其中,所述一个或多个软件应用(106、108、110)中的每个位于不同的服务器上。
8.如权利要求1所述的系统,其中,所述一个或多个软件应用(106、108、110)中的至少两个位于相同的服务器上。
9.一种认证分布式计算系统(100)中的数字签名的方法,所述分布式计算系统(100)包括分布式软件应用(106、108、110),所述方法包括:
在数字签名模块处(160),从第一软件应用(106)接收数字签名的消息,所述数字签名的消息包括标识第二软件应用(108)的数字签名;
基于与所述第二软件应用(108)关联的公共秘钥在所述数字签名模块(160)处验证所述数字签名;以及
使所数字签名的消息返回所述第一软件应用(106);
其中,从在不同于所述第一软件应用(106)的服务器上操作的密钥管理系统接收所述公共秘钥。
10.如权利要求9所述的方法,进一步包括:
将对所述第二软件应用(108)的预订请求从所述数字签名模块(160)发送到所述密钥管理系统。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/209920 | 2011-08-15 | ||
| US13/209,920 US20130046989A1 (en) | 2011-08-15 | 2011-08-15 | Digital signature management and verification systems and methods for distributed software |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102957539A true CN102957539A (zh) | 2013-03-06 |
Family
ID=46634058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012102898246A Pending CN102957539A (zh) | 2011-08-15 | 2012-08-15 | 用于分布式软件的数字签名管理和验证系统及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20130046989A1 (zh) |
| EP (1) | EP2560320A3 (zh) |
| CN (1) | CN102957539A (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8949594B2 (en) * | 2013-03-12 | 2015-02-03 | Silver Spring Networks, Inc. | System and method for enabling a scalable public-key infrastructure on a smart grid network |
| US10154025B2 (en) | 2013-03-15 | 2018-12-11 | Qualcomm Incorporated | Seamless device configuration in a communication network |
| CN105119921B (zh) * | 2015-08-27 | 2018-05-11 | 深圳前海信息技术有限公司 | 适用于服务器集群的可追踪电子签章管理方法 |
| US20170372306A1 (en) * | 2016-06-27 | 2017-12-28 | Samsung Electronics Co., Ltd. | Payment by mobile device secured by f-puf |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AR003524A1 (es) * | 1995-09-08 | 1998-08-05 | Cyber Sign Japan Inc | Un servidor de verificacion para ser utilizado en la autenticacion de redes de computadoras. |
| JP3629516B2 (ja) * | 2000-11-02 | 2005-03-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | プロキシサーバ、電子署名システム、電子署名検証システム、ネットワークシステム、電子署名方法、電子署名検証方法及び記憶媒体 |
| FR2840748B1 (fr) * | 2002-06-05 | 2004-08-27 | France Telecom | Procede et systeme de verification de signatures electroniques et carte a microcircuit pour la mise en oeuvre du procede |
| US7861085B1 (en) * | 2004-09-29 | 2010-12-28 | Rockwell Automation Technologies, Inc. | Systems and methods providing distributed management of electronic signatures in industrial automation systems |
| US8135954B2 (en) * | 2004-12-20 | 2012-03-13 | Motorola Mobility, Inc. | Distributed digital signature generation |
| DE102005011166A1 (de) * | 2005-03-09 | 2006-09-14 | Bundesdruckerei Gmbh | Computersystem und Verfahren zur Signierung, Signaturverifizierung und/oder Archivierung |
-
2011
- 2011-08-15 US US13/209,920 patent/US20130046989A1/en not_active Abandoned
-
2012
- 2012-08-08 EP EP12179750.0A patent/EP2560320A3/en not_active Withdrawn
- 2012-08-15 CN CN2012102898246A patent/CN102957539A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20130046989A1 (en) | 2013-02-21 |
| EP2560320A3 (en) | 2013-12-04 |
| EP2560320A2 (en) | 2013-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109558517B (zh) | 一种基于区块链的多方安全选举系统 | |
| US11456879B2 (en) | Secure processing of an authorization verification request | |
| CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
| CN101379487B (zh) | 以授权的方式产生权限对象的方法和设备 | |
| US20050187966A1 (en) | Data communicating apparatus, data communicating method, and program | |
| CN102546607A (zh) | 在云上提供安全服务 | |
| CN112583802A (zh) | 基于区块链的数据共享平台系统、设备以及数据共享方法 | |
| CN104735087A (zh) | 一种基于公钥算法和SSL协议的多集群Hadoop系统安全优化方法 | |
| CN105072108B (zh) | 用户信息的传输方法、装置及系统 | |
| CN112511295B (zh) | 接口调用的认证方法、装置、微服务应用和密钥管理中心 | |
| CN113872940B (zh) | 基于NC-Link的访问控制方法、装置及设备 | |
| TW201909013A (zh) | 在公開匿名環境驗證身份及保護隱私的系統與方法 | |
| CN102957539A (zh) | 用于分布式软件的数字签名管理和验证系统及方法 | |
| CN109818965B (zh) | 个人身份验证装置及方法 | |
| CN112633884A (zh) | 交易主体身份证书的本地私钥恢复方法及装置 | |
| CN115409511B (zh) | 一种基于区块链的个人信息保护系统 | |
| CN112261002A (zh) | 数据接口对接的方法及设备 | |
| CN115001720B (zh) | 联邦学习建模安全传输的优化方法、装置、介质和设备 | |
| Kuntze et al. | Trusted ticket systems and applications | |
| CN108462681A (zh) | 一种异构网络的通信方法、设备及系统 | |
| CN112417400A (zh) | 基于多集群系统的安全优化方法、装置、电子设备及介质 | |
| EP2477375A1 (en) | Key management system and methods for distributed software | |
| CN101827108B (zh) | 数字版权管理中数字化作品的权利对象描述和获取的方法 | |
| CN109862008A (zh) | 密钥恢复方法和装置、电子设备及存储介质 | |
| Konidala et al. | A capability-based privacy-preserving scheme for pervasive computing environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130306 |