CN103795542A - 一种数字签名认证方法及装置 - Google Patents
一种数字签名认证方法及装置 Download PDFInfo
- Publication number
- CN103795542A CN103795542A CN201410033803.7A CN201410033803A CN103795542A CN 103795542 A CN103795542 A CN 103795542A CN 201410033803 A CN201410033803 A CN 201410033803A CN 103795542 A CN103795542 A CN 103795542A
- Authority
- CN
- China
- Prior art keywords
- private key
- public key
- user
- authentication
- factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种数字签名认证方法及装置,方法包括:接收用户私钥保护因素;判断接收到的用户私钥保护因素与预先设置的私钥保护因素一致时生成安全认证信息;采集用户的公钥数据;根据所述安全认证信息和公钥数据生成认证结果。本发明提供了一种多因素数字认证方案,根据公钥密码体制理论原理及具体应用的特点,将现有的双因素扩展到三个及以上的多因素,将因素数量和水平发挥到最大,从而达到最高的安全强度。
Description
技术领域
本发明涉及通信技术,具体的讲是一种数字签名认证方法及装置。
背景技术
公钥密码体制使用数学方法,在理论上使通信双方达到了认证的安全要求。在应用中,最初将认证参数置于浏览器中,其安全性取决于谁知道证书密码这一单一因素。现有技术中使用USBKey作为认证介质,采用录入并核对PIN码的方式保护认证参数信息,达到了双因素认证的水平。例如银行一般将这种双因素认证作为最安全选择,并赋予最大的支付额度。
现有技术中的USBKey认证方式中私钥在介质中不能被导出,且签名在设备中进行,达到了保密性、完整性、不可否认性,满足了较高的安全要求。但是,这种方式存在以下弊端:(一)其基本的安全性依赖于谁得到USBKey和谁知道PIN码这两个因素,一旦USBKey丢失且PIN码比较简单时,客户资金的安全性仅取决于支付渠道登录密码的复杂性。(二)银行虽增加了手机短信确认等补充方式,但这些补充是外挂的、非数字认证方式的,无法与现有USBKey装置所做的数字签名融合。
发明内容
为解决现有的数字签名认证系统的安全性仅依赖于支付渠道登录密码的复杂性,提高认证系统的安全性。
本发明实施例提供了一种数字签名认证方法,所述的方法包括:
接收用户私钥保护因素;
判断接收到的用户私钥保护因素与预先设置的私钥保护因素一致时生成安全认证信息;
采集用户的公钥数据;
根据所述安全认证信息和公钥数据生成认证结果。
此外,本发明还公开了一种数字签名认证装置,所述的装置包括:
私钥保护因素接收模块,用于接收用户私钥保护因素;
用户认证模块,用于判断接收到的用户私钥保护因素与预先设置的私钥保护因素一致时生成安全认证信息;
公钥数据采集模块,用于采集用户的公钥数据;
数字签名认证模块,用于根据所述安全认证信息和公钥数据生成认证结果。
本发明提供了一种多因素数字认证方案,根据公钥密码体制理论原理及具体应用的特点,将现有的双因素扩展到三个及以上的多因素,将因素数量和水平发挥到最大,从而达到最高的安全强度。
为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种数字签名认证方法的流程图;
图2为本发明一种数字签名认证装置的框图;
图3为本发明数字签名认证装置的公钥数据采集模块的框图;
图4为本发明数字签名认证装置的用户认证模块的框图;
图5为本发明数字签名认证的模型示意图;
图6为本发明数字签名认证的三因素认证解析图;
图7为本发明实施例的多因素数字签名认证系统的系统结构框图;
图8为本发明实施例的多因素数字签名认证系统的系统结构框图;
图9为本发明实施例中用户申请认证私钥的流程图;
图10为本发明实施例中用户认证交互流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明提供一种数字签名认证方法,所述的方法包括:
步骤S101,接收用户私钥保护因素;
步骤S102,判断接收到的用户私钥保护因素与预先设置的私钥保护因素一致时生成安全认证信息;本实施例中,判断接收到的用户私钥保护因素与预设的私钥保护因素一致时获取所述预灌装的私钥信息;根据所述预灌装的私钥保护信息和预存储的密码算法生成安全认证信息。
步骤S103,采集用户的公钥数据;其中,公钥数据包括:采集用户的公钥认证因素;根据所述公钥认证因素生成公钥数据。
步骤S104,根据所述安全认证信息和公钥数据生成认证结果。
此外,本发明还公开了一种数字签名认证装置,如图2所示,该装置包括:
私钥保护因素接收模块201,用于接收用户私钥保护因素;
用户认证模块202,用于判断接收到的用户私钥保护因素与预先设置的私钥保护因素一致时生成安全认证信息;
公钥数据采集模块203,用于采集用户的公钥数据;
数字签名认证模块204,用于根据所述安全认证信息和公钥数据生成认证结果。
此外,该装置还包括:私钥信息生成模块,用于根据公钥数据生成预灌装的私钥信息。
其中,如图3所示,公钥数据采集模块203包括:公钥认证因素采集单元2031,用于采集用户的公钥认证因素;公钥数据生成单元2032,用于根据所述公钥认证因素生成公钥数据。
如图4所示,用户认证模块202包括:
判断单元2021,用于判断接收到的用户私钥保护因素与预设的私钥保护因素是否一致;
存储单元2022,用于存储预灌装的私钥信息和密码算法;
用户认证信息生成单元2023,判断接收到的用户私钥保护因素与预设的私钥保护因素一致时根据所述预灌装的私钥保护信息和预存储的密码算法生成安全认证信息。
本发明实施例中,采集用户的公钥数据包括:采集用户的公钥认证因素;根据所述公钥认证因素生成公钥数据。其中,公钥认证因素包括:用户的生物特征信息、手机号或GPS信息。私钥保护因素是指私钥因素的保护方法,使用USBKey装载私钥时,私钥保护因素可以是PIN码或者指纹信息等等,取决于USBKey对私钥获取的保护方式。本发明中都需要提供私钥保护因素才能使用私钥。
本发明的目的在于提供一种多因素数字认证方法及装置。根据公钥密码体制理论原理及具体应用的特点,将现有的双因素扩展到三个及以上的多因素,将因素数量和水平发挥到最大,从而达到最高的安全强度。
本发明使用的公钥基础设施不限于PKI系统,数字签名认证的原理是一定的,其在应用过程中包括三个最基本参数,签名用户私钥参数sk,验证用客户公钥参数pk,以及在应用过程中软硬件实现的读取私钥保护措施参数,如口令pass等(参见图5)。私钥也可以被某种数学技术分隔(如门限)为不同的部分私钥,这些部分私钥及其在应用中的保护措施都被视为参数,使用者需要提供全部私钥保护参数来取得所有私钥参数,直接或间接获得私钥信息进行数字签名认证。
公钥参数通常保存在数字证书中,在某些密码体制下也由使用者掌握,如基于固定标识、属性基、位置基等等,通过某种数据提取装置转化为可用的公钥信息,提供给认证中心或硬件密码装置生成客户私钥,并用于数字签名的验证。
综上所述,使用者必须提供所有认证参数才能完成签名及验证工作,否则签名或验证将以失败告终,认证参数构成了多因素认证系统的横向坐标。在具体应用中,不同的基本参数有不同的载体,这种载体必须是客户在认证时可以获得的,例如随身携带的必备品,或者是客户的记忆,或者就是客户本身的某种生物特征等,这些载体构成了多因素认证的纵向坐标。横坐标和纵坐标参数在实际应用中的交叉点,就是我们进行认证所需的因素点。
例如:使用者的生物特征或者手机号码作为公钥因素,通过传感器或者手机装置进行公钥数据提取,取得公钥信息通过安全信道发送给认证中心或硬件密码装置生成使用者私钥,并将私钥载入USBKey装置中,设定PIN码作为私钥的保护措施;使用者提供USBKey装置并录入PIN码进行数字签名,并将公钥因素提供给传感器或者手机装置通过安全信道发送给服务端,参与签名的验证。这一系统构成了图6的多因素认证系统中的三个因素点,即使USBKey丢失、PIN码泄露,攻击者通过非法手段完成数字签名,但是无法通过数据提取装置提供正确的公钥因素,系统也无法完成签名的验证工作,从而进一步确保了认证过程的安全性。
下面结合具体的实施方式对本发明的技术方案做进一步详细说明:
如图7所示,本实施例的多因素数字签名认证系统包括核心认证装置701、公钥采集装置703、用户认证装置702,系统结构框架如图7所示,其中公钥采集装置、用户认证装置可以存在多个。
所述公钥采集装置703的作用是采集公钥认证因素,并将该因素数据转换为认证用公钥。该装置的选取取决于公钥因素的类型:当使用者生物特征作为公钥时,数据提取装置可以是传感器;当使用者手机号作为公钥时,数据提取装置可以是手机;当使用者的位置坐标作为公钥时,数据提取装置可以是某种GPS等,最终将公钥因素信息转换为公钥数据。
如图8所示,公钥采集装置703进一步包括数据采集装置8301、公钥转换装置8302,数据采集装置8301负责采集公钥认证因素,公钥转换装置8302负责将该公钥因素转换为认证用公钥数据。
所述核心认证装置701是本发明的最核心装置,其作用是接收公钥采集装置703提供的公钥数据,生成对应私钥,并反传给用户认证装置8102;接收用户认证装置8102提供的用户认证信息,验证认证信息是否正确,并反馈认证结果。
如图8所示,核心认证装置701进一步包括系统更新装置8101、信息接入装置8102、密钥存储装置8103、密码算法装置8104、私钥生成装置8105、私钥分割装置8106、信息接出装置8107、认证验证装置8108、核心认证中央处理器8109。系统更新装置8101负责核心装置系统初始化、主密钥更新等系核心工作;信息接入装置8102负责接收数据;密钥存储装置8103存储系统主密钥;密码算法装置8104内置固化的密码算法;私钥生成装置8105负责调用密钥存储装置8103、密码算法装置8104,根据公钥接入装置8102提供公钥数据生成对应私钥信息;私钥分割装置8106负责根据要求调用密码算法装置8104对私钥进行数学分割;信息接出装置8107负责返回计算信息;认证验证装置8108负责调用密码算法装置8104,根据公钥接入装置8102提供公钥数据、认证数据,验证认证正确性;核心认证中央处理器8109负责接收来自各装置的数据,并协调内部各装置单元完成密钥生成、交互以及计算工作。
所述用户认证装置702是私钥因素的载体,可以是USBKey装置,其作用是灌装核心认证装置703提供的私钥数据,设置私钥保护因素,接收需要认证的信息进行加密、签名等认证计算,并输出计算结果。
如图8所示,用户认证装置702进一步包括主控装置8201、私钥保护装置8202、算法存储装置8203、私钥存储装置8204、认证计算装置8205。主控装置8201负责接收来自各装置的数据,并协调内部各装置单元完成交互及计算工作;私钥保护装置8202负责对存储私钥获取进行保护,需要使用者提供私钥保护因素才能正常使用私钥信息进行后续计算;算法存储装置8203内置固化的密码算法;私钥存储装置8204存储私钥信息;认证计算装置8205负责调用算法存储装置8203、私钥存储装置8204,计算信息的加密、签名等认证数据。
下面结合图9对本发明的具体实施方式做进一步说明,以一个简单的用户申请认证私钥为例,说明私钥申请流程,步骤如下:
步骤901:数据采集装置采集公钥因素信息;
步骤902:将公钥因素转化为公钥信息发送核心认证装置1;
步骤903:信息接入装置接收公钥信息;
步骤904:私钥生成装置生成私钥信息;
步骤905:判断是否需要进行私钥分割,否则跳转到步骤408,是则继续;
步骤906:私钥分割装置计算分割私钥;
步骤907:信息输出装置将私钥信息发送至用户认证装置2;
步骤908:用户认证装置灌装私钥;
步骤909:私钥保护装置根据用户录入设置私钥保护因素。
下面结合图10对本发明的具体实施方式做进一步说明,以一个简单的用户认证交互过程为例,说明认证流程,步骤如下:
步骤1001:私钥保护装置接收用户录入私钥保护因素信息;
步骤1002:判断私钥保护因素是否正确,是则继续,否则退出;
步骤1003:认证运算装置计算认证数据发送核心认证装置1;
步骤1004:数据提取装置采集公钥因素信息;
步骤1005:将公钥因素转化为公钥信息发送核心认证装置1;
步骤1006:信息接入装置接收公钥信息、认证信息;
步骤1007:认证验证装置验证认证信息正确性;
步骤1008:信息输出装置反馈认证结果。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种数字签名认证方法,其特征在于,所述的方法包括:
接收用户私钥保护因素;
判断接收到的用户私钥保护因素与预先设置的私钥保护因素一致时生成安全认证信息;
采集用户的公钥数据;
根据所述安全认证信息和公钥数据生成认证结果。
2.如权利要求1所述的数字签名认证方法,其特征在于,所述的采集用户的公钥数据包括:
采集用户的公钥认证因素;
根据所述公钥认证因素生成公钥数据。
3.如权利要求2所述的数字签名认证方法,其特征在于,所述的采集用户的公钥数据还包括:根据公钥数据生成预灌装的私钥信息。
4.如权利要求2或3所述的数字签名认证方法,其特征在于,所述的公钥认证因素包括:用户的生物特征信息、手机号或GPS信息。
5.如权利要求3所述的数字签名认证方法,其特征在于,所述的判断接收到的用户私钥保护因素与预先设置的私钥保护因素一致时生成安全认证信息包括:
判断接收到的用户私钥保护因素与预设的私钥保护因素一致时获取所述预灌装的私钥信息;
根据所述预灌装的私钥信息和预存储的密码算法生成安全认证信息。
6.一种数字签名认证装置,其特征在于,所述的装置包括:
私钥保护因素接收模块,用于接收用户私钥保护因素;
用户认证模块,用于判断接收到的用户私钥保护因素与预先设置的私钥保护因素一致时生成安全认证信息;
公钥数据采集模块,用于采集用户的公钥数据;
数字签名认证模块,用于根据所述安全认证信息和公钥数据生成认证结果。
7.如权利要求6所述的数字签名认证装置,其特征在于,所述的公钥数据采集模块包括:
公钥认证因素采集单元,用于采集用户的公钥认证因素;
公钥数据生成单元,用于根据所述公钥认证因素生成公钥数据。
8.如权利要求7所述的数字签名认证装置,其特征在于,所述的装置还包括:私钥信息生成模块,用于根据公钥数据生成预灌装的私钥信息。
9.如权利要求7或8所述的数字签名认证装置,其特征在于,所述的公钥认证因素包括:用户的生物特征信息、手机号或GPS信息。
10.如权利要求8所述的数字签名认证装置,其特征在于,所述的用户认证模块包括:
判断单元,用于判断接收到的用户私钥保护因素与预设的私钥保护因素是否一致;
存储单元,用于存储预灌装的私钥信息和密码算法;
用户认证信息生成单元,判断接收到的用户私钥保护因素与预设的私钥保护因素一致时根据所述预灌装的私钥信息和预存储的密码算法生成安全认证信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410033803.7A CN103795542A (zh) | 2014-01-24 | 2014-01-24 | 一种数字签名认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410033803.7A CN103795542A (zh) | 2014-01-24 | 2014-01-24 | 一种数字签名认证方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103795542A true CN103795542A (zh) | 2014-05-14 |
Family
ID=50670869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410033803.7A Pending CN103795542A (zh) | 2014-01-24 | 2014-01-24 | 一种数字签名认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103795542A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108921553A (zh) * | 2018-06-21 | 2018-11-30 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种门限私钥生成方法、交易方法及相关装置 |
| WO2019020051A1 (zh) * | 2017-07-28 | 2019-01-31 | 中国移动通信有限公司研究院 | 一种安全认证的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1403941A (zh) * | 2001-09-03 | 2003-03-19 | 王柏东 | 一种结合密码与生物辨识技术应用于安全认证的方法 |
| CN1427351A (zh) * | 2001-12-17 | 2003-07-02 | 北京兆日科技有限责任公司 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
| WO2003088612A2 (fr) * | 2002-04-12 | 2003-10-23 | Thomson Licensing S.A. | Procede d'authentification anonyme d'un emetteur de donnees |
| CN102036242A (zh) * | 2009-09-29 | 2011-04-27 | 中兴通讯股份有限公司 | 一种移动通讯网络中的接入认证方法和系统 |
| CN102164033A (zh) * | 2010-02-24 | 2011-08-24 | 腾讯科技(深圳)有限公司 | 防止服务被攻击的方法、设备及系统 |
-
2014
- 2014-01-24 CN CN201410033803.7A patent/CN103795542A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1403941A (zh) * | 2001-09-03 | 2003-03-19 | 王柏东 | 一种结合密码与生物辨识技术应用于安全认证的方法 |
| CN1427351A (zh) * | 2001-12-17 | 2003-07-02 | 北京兆日科技有限责任公司 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
| WO2003088612A2 (fr) * | 2002-04-12 | 2003-10-23 | Thomson Licensing S.A. | Procede d'authentification anonyme d'un emetteur de donnees |
| CN102036242A (zh) * | 2009-09-29 | 2011-04-27 | 中兴通讯股份有限公司 | 一种移动通讯网络中的接入认证方法和系统 |
| CN102164033A (zh) * | 2010-02-24 | 2011-08-24 | 腾讯科技(深圳)有限公司 | 防止服务被攻击的方法、设备及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019020051A1 (zh) * | 2017-07-28 | 2019-01-31 | 中国移动通信有限公司研究院 | 一种安全认证的方法及装置 |
| CN108921553A (zh) * | 2018-06-21 | 2018-11-30 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种门限私钥生成方法、交易方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107171805B (zh) | 一种物联网终端数字证书签发系统和方法 | |
| CN103297403B (zh) | 一种实现动态密码认证的方法和系统 | |
| ES2687191T3 (es) | Método de autentificación de red para transacciones electrónicas seguras | |
| US9614847B2 (en) | User authentication | |
| CN104462949B (zh) | 一种插件的调用方法及装置 | |
| CN103503366A (zh) | 管理针对认证设备的数据 | |
| CN101789865A (zh) | 一种用于加密的专用服务器及加密方法 | |
| CN104038486A (zh) | 一种基于标识型密码实现用户登录鉴别的系统及方法 | |
| CN103067160A (zh) | 一种加密sd卡的动态密钥生成的方法及系统 | |
| CN103152425B (zh) | 基于云技术的移动设备的安全管理系统 | |
| CN105184557B (zh) | 支付认证方法及系统 | |
| EP3480718B1 (en) | System and method for facilitating authentication via a shortrange wireless token | |
| CN103944724A (zh) | 一种用户身份识别卡 | |
| CN105553667A (zh) | 一种动态口令的生成方法 | |
| CN102821112A (zh) | 移动设备、服务器和移动设备数据验证方法 | |
| CN102468962A (zh) | 利用个人密码装置的个人身份验证方法及个人密码装置 | |
| CN106656993A (zh) | 一种动态验证码验证方法及装置 | |
| CN105635164B (zh) | 安全认证的方法和装置 | |
| CN102938116B (zh) | 一种保障交易安全的全链路保护经营方法 | |
| EP3229190A1 (en) | Payment verification method, apparatus and system | |
| CN106603472A (zh) | 用于实现用户认证的方法、服务器以及系统 | |
| CN106304052A (zh) | 一种安全通信的方法、装置、终端及客户识别模块卡 | |
| CN103795542A (zh) | 一种数字签名认证方法及装置 | |
| CN105989481B (zh) | 数据交互方法及系统 | |
| CN102665204B (zh) | 一种定位服务安全防护方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140514 |
|
| RJ01 | Rejection of invention patent application after publication |