CN104618116B - 一种协同数字签名系统及其方法 - Google Patents
一种协同数字签名系统及其方法 Download PDFInfo
- Publication number
- CN104618116B CN104618116B CN201510048860.7A CN201510048860A CN104618116B CN 104618116 B CN104618116 B CN 104618116B CN 201510048860 A CN201510048860 A CN 201510048860A CN 104618116 B CN104618116 B CN 104618116B
- Authority
- CN
- China
- Prior art keywords
- client
- server
- signature
- digital signature
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000007781 pre-processing Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 4
Landscapes
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种协同数字签名系统及其方法,该系统主要包括安装有移动应用客户端程序的移动智能终端和签名服务器;其中,所述移动智能终端,用于进行数字签名活动的确认,配合签名服务器端完成数字签名;所述签名服务器,包含签名服务器硬件主机设备以及相关的软件系统,用于在最终用户的确认下完成数字签名,并验证数字签名。采用本发明,能够通过将数字签名活动委托给数字签名服务器端,简化在移动智能终端上进行数字签名的操作过程,使用户能够在确保网络签名高度安全的环境下使用相关业务,如网络交易、金融支付等过程中的电子身份鉴权。
Description
技术领域
本发明涉及计算机信息安全技术,尤其涉及一种协同数字签名系统及其方法。
背景技术
目前通行的数字签名机制,通常使用智能密钥和集成电路(IC)卡来存储用户密钥、完成签名的密码运算,因此还需要专门的硬件设备以及相关的各类中间件来协同完成操作。这不仅给移动智能终端(如手机)的携带和使用均带来不便,而且,在很多对信息有高安全性要求的应用场合,也受当前技术的限制而无法在移动智能终端上开展相关业务。
发明内容
有鉴于此,本发明的主要目的在于提供一种协同数字签名系统及其方法,通过将数字签名活动委托给数字签名服务器端,以简化在移动智能终端上进行数字签名的操作,使用户能够在确保网络签名高度安全的环境下使用相关业务,如网络交易、金融支付等过程中的电子身份鉴权。
为达到上述目的,本发明的技术方案在将部分密钥托管在服务端的前提下,是这样实现的:
一种协同数字签名系统,该系统主要包括安装有移动应用客户端程序的移动智能终端和签名服务器;其中,
所述签名服务器,用于托管用户的数字签名密钥的一部分因子,然后在最终用户客户端的配合下完成数字签名,并验证数字签名;
所述移动智能终端,用于保存除了用户的数字签名密钥的另外一部分因子,以便配合签名服务器端完成数字签名。
其中,所述移动智能终端还用于通过所述数字签名服务进行业务应用。
所述签名服务器和移动智能终端还需要进一步配合,经最终用户通过移动智能终端进行配合产生所述数字签名。
一种协同数字签名方法,用户将其数字签名密钥的一部分因子托管在服务器端,称为服务端密钥因子Dserver,另外一部分因子保存在其拥有的终端设备上,称为客户端密钥因子Dclient,所述方法包括:
A1、应用系统先对需要签名的数据进行数字签名所需的预处理运算,然后发送给签名服务器端,要求签名服务器端为指定的客户进行数字签名;
A2、签名服务器端通过客户约定的通知方式通知最终用户,并要求客户端确认是否进行数字签名;
A3、客户端应用程序使用用户输入的信息,恢复客户端密钥因子Dclient,从签名请求中得到待签名哈希值H,计算客户端中间签名结果Sclient;
A4、将客户端签名中间结果Sclient发送到签名服务端;
A5、签名服务端收到客户端签名中间结果Sclient后,恢复服务端密钥因子Dserver,使用签名结果Sclient、服务端密钥因子Dserver、待签名哈希值H计算服务器端签名中间结果Sserver,并发送给客户端;
A6、客户端使用客户端密钥因子Dclient、客户端签名中间结果Sclient、服务器端签名中间结果Sserver计算得到最终签名结果S;
A7、将最终签名结果S返回给签名服务,服务端经验证后返回给相应的业务应用。
其中,所述客户约定的通知方式,包括短信、微信、邮件中的一种或多种。
步骤A2中所述签名服务器端请求客户端确认的信息,进一步包括待签名哈希值H。
步骤A3所述用户输入的信息进一步包括个人识别码PIN、设备信息、终端上保存的随机数据中的一种或多种。
所述客户端签名中间结果Sclient为:
Sclient=ClientSign(H,Dclient);
其中,Dclient为客户端密钥因子,H为待签名哈希值。
步骤A5中所述的服务器端签名中间结果Sserver为:
Sserver=ServerSign(Sclient,Dserver,H);
其中,Sclient为客户端签名中间结果,Dserver为服务端密钥因子,H为待签名哈希值。
步骤A6所述的最终签名结果S为:
S=CombineSign(Dclient,Sclient,Sserver);
其中,Dclient为客户端密钥因子,Sclient为客户端签名中间结果,Sserver为服务器端签名中间结果。
本发明所提供的协同数字签名系统及其方法,具有以下优点:
1)采用本发明,能够使用户通过移动智能终端进行身份鉴权时,毋需再使用额外的硬件数字证书介质(如U盾、USB-Key),即可便捷地、安全地进行数字签名操作。
2)本发明通过简化数字签名操作,可将很多对安全性要求较高的业务在移动智能终端上完成。由于使用本发明的数字签名系统及其方法,服务器端和用户端还需要相互配合才能完成数字签名,而且该数字签名须经最终用户的确认才能产生,因此,能够保证数字签名的高安全性要求,同时,还能够在密钥托管和数字签名的过程中,防止网络上窃听者、中间人的攻击,并能够防止服务端的不诚信行为,保证了服务器端的签名行为完全由用户控制。
附图说明
图1为本发明实施例协同数字签名系统的数字签名过程图;
图2为本发明协同数字签名系统的具体应用示意图。
具体实施方式
下面结合附图及本发明的实施例对本发明协同数字签名系统及其方法作进一步详细的说明。
本发明的协同数字签名系统,在签名密钥托管在服务器端的情况下,通过将数字签名活动委托给数字签名服务器端,由服务器端的硬件加密设备来进行数字签名,而所有的数字签名,均需要经过用户的确认才能完成,因而能保证数字签名的高安全性要求。
图1为本发明实施例协同数字签名系统的数字签名过程图。
如图1所示,在网络交易、金融支付等过程中需要电子身份鉴权等的业务应用中,需要用户进行数字签名来完成业务流程时,需要执行如下生成密钥和数字签名的过程,具体为:
步骤11:业务应用在需要用户进行数字签名时,先对需要签名的数据进行数字签名所需的预处理运算,包括对数据原文进行摘要,然后发送给签名服务器端,要求签名服务器端为指定的客户进行数字签名。
步骤12:签名服务器端通过客户约定的通知方式,包括但不限于短信、微信、邮件等方式,通知最终用户,并要求客户确认是否进行数字签名,进一步可以包含待签名哈希值H。
步骤13:客户端应用程序使用用户输入的信息,如个人识别码(PIN)、设备信息、手机上保存的随机数据的一种或多种,恢复客户端密钥因子Dclient,从签名请求中得到待签名哈希值H,计算客户端签名中间结果Sclient=ClientSign(H,Dclient)。
步骤14:将客户端签名中间结果Sclient发送到签名服务器端。
步骤15:签名服务器端收到签名结果Sclient后,使用加密存储的密钥数据,恢复服务端密钥因子Dserver,使用签名结果Sclient、密钥因子Dserver、待签名哈希值H计算服务器端签名中间结果Sserver=ServerSign(Sclient,Dserver,H),并发送给客户端。
步骤16:客户端使用客户端密钥因子Dclient、客户端签名中间结果Sclient、服务器端签名中间结果Sserver计算得到最终签名结果S=CombineSign(Dclient,Sclient,Sserver)。
步骤17:将最终签名结果S返回给签名服务器端,服务器端经验证后返回给相应的业务应用。
其中,ClientSign和ServerSign分别表示客户端和服务端使用密钥进行数字签名的功能函数,CombineSign表示由双方签名合并成完整签名的函数。
具体数字签名算法可以采用RSA、ECC,也可以采用国家密码管理局发布的SM2签名算法。
图2描述了协同数字签名的过程,服务器端密码设备和移动客户端两个设备上分别独立地进行数字签名,但并不通过网络进行传输任何密钥的信息,只传输数字签名后的结果。
图2为本发明协同数字签名系统的具体应用示意图。如图2所示,其包括部署、注册和进行数字签名三个阶段。
1)部署。签名服务器的功能是为业务应用和最终用户提供数字签名服务。业务应用指使用数字签名功能的业务系统,在业务过程中,通过签名服务器提供的服务或接口(SDK)使用签名服务器所提供的数字签名服务。最终用户在其移动智能终端如手机上,安装移动应用客户端程序,在业务系统需要确认数字签名时,配合完成数字签名确认的功能。
2)注册。最终用户在需要使用签名服务器提供的服务时,使用其安装的移动应用客户端,访问签名服务器进行注册。
在注册过程中,为用户产生用于数字签名的密钥、到CA签发数字证书,并将部分密钥安全托管在云签名服务器。在客户的移动智能终端端上,也要设定PIN码来确认签名。
3)数字签名。当业务应用在需要用户数字签名确认时,向签名服务器发送请求,要求签名服务器为某个特定用户进行签名,通过安全连接(例如SSL通道)将需要进行数字签名的信息发送给签名服务器。签名服务器则在接收到请求后,使用本发明“数字签名过程”所描述的方法,要求用户确认进行数字签名。最后,如果用户同意进行数字签名,需要在注册的移动智能设备上,输入PIN码确认,在其智能终端上形成了完整的数字签名。
按照本发明上述实施例的技术方案,数字签名使用CA所签发的标准的数字证书来验证。用户通过移动智能终端提交该数字签名到签名服务器来确认数字签名,服务器验证无误后,将数字签名结果返回给业务应用,业务应用即可继续后续的业务过程。
由以上实施过程可知,本发明在使用业务的过程中,用户不需要使用额外的硬件数字证书介质,即可实现实施完整业务所需的数字签名,从而保证了业务的顺利进行。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (10)
1.一种协同数字签名系统,其特征在于,该系统主要包括安装有移动应用客户端程序的移动智能终端和签名服务器;其中,
所述签名服务器,用于托管用户的数字签名密钥的一部分因子,然后在最终用户客户端的配合下完成数字签名,并验证数字签名;
所述移动智能终端,用于保存用户数字签名密钥的另外一部分因子,以便配合签名服务器端完成数字签名。
2.根据权利要求1所述的协同数字签名系统,其特征在于,所述移动智能终端还用于通过所述数字签名服务进行业务应用。
3.根据权利要求1所述的协同数字签名系统,其特征在于,所述签名服务器和移动智能终端还需要进一步配合,经最终用户通过移动智能终端配合产生所述数字签名。
4.一种协同数字签名方法,其特征在于,用户将其数字签名密钥的一部分因子托管在服务器端,称为服务端密钥因子Dserver,另外一部分因子保存在其拥有的终端设备上,称为客户端密钥因子Dclient,所述方法包括:
A1、应用系统先对需要签名的数据进行数字签名所需的预处理运算,然后发送给签名服务器端,要求签名服务器端为指定的客户进行数字签名;
A2、签名服务器端通过客户约定的通知方式通知最终用户,并要求客户端确认是否进行数字签名;
A3、客户端应用程序使用用户输入的信息,恢复客户端密钥因子Dclient,从签名请求中得到待签名哈希值H,计算客户端签名中间结果Sclient;
A4、将客户端签名中间结果Sclient发送到签名服务器端;
A5、签名服务器端收到客户端签名中间结果Sclient后,恢复服务端密钥因子Dserver,使用客户端签名中间结果Sclient、服务端密钥因子Dserver、待签名哈希值H计算服务器端签名中间结果Sserver,并发送给客户端;
A6、客户端使用客户端密钥因子Dclient、客户端签名中间结果Sclient、服务器端签名中间结果Sserver计算得到最终签名结果S;
A7、将最终签名结果S返回给签名服务,服务端经验证后返回给相应的业务应用。
5.根据权利要求4所述的协同数字签名方法,其特征在于,所述客户约定的通知方式,包括短信、微信、邮件中的一种或多种。
6.根据权利要求4所述的协同数字签名方法,其特征在于,步骤A2中所述签名服务器端请求客户端确认的信息,进一步包括待签名哈希值H。
7.根据权利要求4所述的协同数字签名方法,其特征在于,步骤A3所述用户输入的信息进一步包括个人识别码PIN、设备信息、终端上保存的随机数据中的一种或多种。
8.根据权利要求4或7所述的协同数字签名方法,其特征在于,所述客户端签名中间结果Sclient为:
Sclient=ClientSign(H,Dclient);
其中,Dclient为客户端密钥因子,H为待签名哈希值。
9.根据权利要求4所述的协同数字签名方法,其特征在于,步骤A5中所述的服务器端签名中间结果Sserver为:
Sserver=ServerSign(Sclient,Dserver,H);
其中,Sclient为客户端签名中间结果,Dserver为服务端密钥因子,H为待签名哈希值。
10.根据权利要求4所述的协同数字签名方法,其特征在于,步骤A6所述的最终签名结果S为:
S=CombineSign(Dclient,Sclient,Sserver);
其中,Dclient为客户端密钥因子,Sclient为客户端签名中间结果,Sserver为服务器端签名中间结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510048860.7A CN104618116B (zh) | 2015-01-30 | 2015-01-30 | 一种协同数字签名系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510048860.7A CN104618116B (zh) | 2015-01-30 | 2015-01-30 | 一种协同数字签名系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104618116A CN104618116A (zh) | 2015-05-13 |
| CN104618116B true CN104618116B (zh) | 2019-03-08 |
Family
ID=53152410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510048860.7A Active CN104618116B (zh) | 2015-01-30 | 2015-01-30 | 一种协同数字签名系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104618116B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104868994B (zh) * | 2015-05-26 | 2019-02-22 | 北京数字认证股份有限公司 | 一种协同密钥管理的方法、装置及系统 |
| CN106921496A (zh) * | 2015-12-25 | 2017-07-04 | 卓望数码技术(深圳)有限公司 | 一种数字签名方法和系统 |
| CN105681340B (zh) * | 2016-03-07 | 2019-05-14 | 吴晓军 | 一种数字证书的使用方法及装置 |
| CN106685651A (zh) * | 2016-12-22 | 2017-05-17 | 北京信安世纪科技有限公司 | 一种客户端和服务端协作生成数字签名的方法 |
| CN106712963A (zh) * | 2016-12-27 | 2017-05-24 | 艾体威尔电子技术(北京)有限公司 | 一种pos防切机远程签名系统及方法 |
| CN107360002B (zh) * | 2017-08-15 | 2020-02-07 | 武汉信安珞珈科技有限公司 | 一种数字证书的申请方法 |
| CN107864037A (zh) * | 2017-10-25 | 2018-03-30 | 深圳奥联信息安全技术有限公司 | Sm9联合数字签名方法和装置 |
| CN108173648B (zh) * | 2017-12-29 | 2021-01-26 | 数安时代科技股份有限公司 | 基于私钥托管的数字安全处理方法、设备及存储介质 |
| CN108270575B (zh) * | 2018-04-20 | 2021-10-22 | 北京数字认证股份有限公司 | 一种数字签名方法及装置 |
| CN110690969B (zh) * | 2018-07-06 | 2023-06-16 | 武汉信安珞珈科技有限公司 | 一种多方协同完成双向ssl/tls认证的方法和系统 |
| CN109272314B (zh) * | 2018-08-14 | 2020-11-27 | 中国科学院数据与通信保护研究教育中心 | 一种基于两方协同签名计算的安全通信方法及系统 |
| CN109299942A (zh) * | 2018-09-28 | 2019-02-01 | 新明华区块链技术(深圳)有限公司 | 一种应用于区块链及互联网的密钥管理方法、装置及系统 |
| CN109309569B (zh) * | 2018-09-29 | 2021-10-01 | 北京信安世纪科技股份有限公司 | 基于sm2算法的协同签名的方法、装置及存储介质 |
| CN109962783B (zh) * | 2019-03-20 | 2020-08-25 | 武汉理工大学 | 基于递进计算的sm9数字签名协同生成方法及系统 |
| CN110943829A (zh) * | 2019-11-08 | 2020-03-31 | 中国电子科技网络信息安全有限公司 | 一种三方协同生成sm2签名的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369889A (zh) * | 2007-08-13 | 2009-02-18 | 深圳兆日技术有限公司 | 一种对文档进行电子签名的系统和方法 |
| CN101765108A (zh) * | 2009-07-01 | 2010-06-30 | 北京华胜天成科技股份有限公司 | 基于移动终端的安全认证服务平台系统、装置和方法 |
| CA2775693A1 (en) * | 2011-05-02 | 2012-11-02 | Verisign, Inc. | Dnssec signing server |
| CN103036894A (zh) * | 2012-12-19 | 2013-04-10 | 福建联迪商用设备有限公司 | 一种智能终端应用程序安装文件联网数字签名方法 |
-
2015
- 2015-01-30 CN CN201510048860.7A patent/CN104618116B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369889A (zh) * | 2007-08-13 | 2009-02-18 | 深圳兆日技术有限公司 | 一种对文档进行电子签名的系统和方法 |
| CN101765108A (zh) * | 2009-07-01 | 2010-06-30 | 北京华胜天成科技股份有限公司 | 基于移动终端的安全认证服务平台系统、装置和方法 |
| CA2775693A1 (en) * | 2011-05-02 | 2012-11-02 | Verisign, Inc. | Dnssec signing server |
| CN103036894A (zh) * | 2012-12-19 | 2013-04-10 | 福建联迪商用设备有限公司 | 一种智能终端应用程序安装文件联网数字签名方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104618116A (zh) | 2015-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104618116B (zh) | 一种协同数字签名系统及其方法 | |
| US11770369B2 (en) | System and method for identity verification across mobile applications | |
| CN111614637B (zh) | 一种基于软件密码模块的安全通信方法及系统 | |
| CN108292334B (zh) | 无线生物特征识别认证系统和方法 | |
| US20190043022A1 (en) | Secure registration and authentication of a user using a mobile device | |
| EP2999189B1 (en) | Network authentication method for secure electronic transactions | |
| US9521548B2 (en) | Secure registration of a mobile device for use with a session | |
| US9642005B2 (en) | Secure authentication of a user using a mobile device | |
| EP3642998B1 (en) | Verification and encryption scheme in data storage | |
| US8433914B1 (en) | Multi-channel transaction signing | |
| JP2018532301A (ja) | 本人認証方法及び装置 | |
| KR20180017734A (ko) | 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버 | |
| JP2017530586A (ja) | クライアントをデバイスに対して認証するシステム及び方法 | |
| WO2014107977A1 (zh) | 密钥保护方法和系统 | |
| WO2008149366A2 (en) | Device method & system for facilitating mobile transactions | |
| CN105184557B (zh) | 支付认证方法及系统 | |
| CN110662222B (zh) | 用于对等无线通信的系统和方法 | |
| US20150294310A1 (en) | Transaction system and transaction method | |
| KR101792220B1 (ko) | 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램 | |
| CN113836506A (zh) | 身份认证方法、装置、系统、电子设备、存储介质 | |
| WO2015055120A1 (zh) | 用于安全性信息交互的装置 | |
| US20150310441A1 (en) | Transaction system method, electronic signature tool, and network bank server authentication | |
| WO2017107733A1 (zh) | 线下支付方法、终端设备、后台支付装置及线下支付系统 | |
| CN103746802A (zh) | 一种基于协商密钥的数据处理方法和手机 | |
| US12039527B2 (en) | Service providing system, service providing device, service providing method, and service providing program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |