CN106487758B - 一种数据安全签名方法、业务终端以及私钥备份服务器 - Google Patents

一种数据安全签名方法、业务终端以及私钥备份服务器 Download PDF

Info

Publication number
CN106487758B
CN106487758B CN201510540832.7A CN201510540832A CN106487758B CN 106487758 B CN106487758 B CN 106487758B CN 201510540832 A CN201510540832 A CN 201510540832A CN 106487758 B CN106487758 B CN 106487758B
Authority
CN
China
Prior art keywords
private key
user
key backup
terminal
backup file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510540832.7A
Other languages
English (en)
Other versions
CN106487758A (zh
Inventor
高天宏
仲镜学
仲伟伟
李娜
陈璟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honor Device Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201510540832.7A priority Critical patent/CN106487758B/zh
Publication of CN106487758A publication Critical patent/CN106487758A/zh
Application granted granted Critical
Publication of CN106487758B publication Critical patent/CN106487758B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network

Abstract

本发明实施例公开了一种数据安全签名方法、业务终端以及私钥备份服务器,其中的一种数据安全签名方法包括:第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;所述第一终端接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;所述第一终端使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。采用本发明,可在保证用户业务安全的同时,让用户可以方便灵活的用其他设备也能完成业务数据签名。

Description

一种数据安全签名方法、业务终端以及私钥备份服务器
技术领域
本发明涉及互联网技术领域,尤其涉及一种数据安全签名方法、业务终端以及私钥备份服务器。
背景技术
随着我国电子商务的广泛应用,人们使用的支付方式早己不局限于现金本身,而扩大到银行卡、网上银行、电话银行等多种方式。目前,随着我国移动电话的广泛使用,基于移动终端的应用愈加广泛,在这种移动通讯工具上应运而生产生了更便利的移动支付功能,人们可以利用手机登录互联网进行远程购物消费,可以在便利店、商场、超市等进行现场刷卡消费。
显然,作为一种新兴的电子支付方式,移动支付拥有传统支付方式无法比拟的优势。目前,移动支付已经走进了我们的生活,使我们的生活更加方便。
目前保证移动支付安全的技术之一,是将用户的私钥存在用户手机SIM(Subscriber Identity Module,客户识别模块)卡中,由于SIM卡的私密性确保了用户私钥的安全,在发起业务时,用户将业务数据下载到SIM卡,在卡内进行签名过程,将经过签名的业务数据通过网络发送给业务服务器进行业务处理。
该方式所带来的缺陷在于,由于私钥只存在用户手机SIM卡中,业务只能由该手机发起,用户无法用其他设备(比如个人电脑、平板电脑)来完成业务数据签名。
发明内容
有鉴于此,本发明实施例提供一种数据安全签名方法、业务终端以及私钥备份服务器,可在保证用户业务安全的同时,让用户可以方便灵活的用其他设备也能完成业务数据签名。
本发明实施例第一方面提供了一种数据安全签名方法,所述方法包括:
第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
所述第一终端接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;
所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;
所述第一终端使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。
在第一方面的第一种可能的实现方式中,所述第一终端接收所述私钥备份服务器发送的所述私钥备份文件之前,所述方法还包括:
所述第一终端接收所述私钥备份服务器发送的身份认证请求;
所述第一终端根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。
在第一方面的第二种可能的实现方式中,所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密之前,所述方法还包括:
所述第一终端获取所述用户的解密信息;
所述第一终端对所述解密信息进行哈希运算,得到所述用户的密钥。
结合本发明第一方面,以及第一方面的第一和第二种实现方式中任一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件;
所述第一终端接收所述私钥备份服务器发送的所述私钥备份文件之后还包括:
所述第一终端根据所述使用限制信息,检测所述私钥备份文件;
若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。
结合本发明第一方面,以及第一方面的第一和第二种实现方式中任一种可能的实现方式,在第一方面的第四种可能的实现方式中,所述第一终端接收所述私钥备份服务器发送的所述私钥备份文件之后,所述方法还包括:
若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件。
结合本发明第一方面,以及第一方面的第一和第二种实现方式中任一种可能的实现方式,在第一方面的第五种可能的实现方式中,所述私钥请求还携带所述用户对应的业务进程标识;所述私钥备份文件为所述业务进程标识对应的所述用户的私钥备份文件。
本发明实施例第二方面还提供了一种数据安全签名方法,所述方法包括:
接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;
向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。
在第二方面的第一种可能的实现方式中,所述接收第一终端发送的私钥请求之前还包括:
接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件;
保存所述私钥备份文件和所述用户的身份标识信息。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述私钥备份文件包括使用所述用户的密钥加密的私钥文件。
结合本发明第二方面,以及第二方面的第一和第二种实现方式中任一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述向所述第一终端发送所述私钥备份文件之前,所述方法还包括:
向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息;
所述向所述第一终端发送所述私钥备份文件包括:
若所述身份认证信息与预设的所述用户的身份验证信息匹配,则向所述第一终端发送所述用户的私钥备份文件。
结合本发明第二方面,以及第二方面的第一和第二种实现方式中任一种可能的实现方式,在第二方面的第四种可能的实现方式中,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。
结合本发明第二方面,以及第二方面的第一和第二种实现方式中任一种可能的实现方式,在第二方面的第五种可能的实现方式中,所述向所述第一终端发送所述私钥备份文件包括:
若所述私钥备份文件的下载次数或下载频率未达到预设限制条件,则向所述第一终端发送所述私钥备份文件。
结合本发明第二方面的第一种可能的实现方式,在第二方面的第六种可能的实现方式中,所述私钥备份请求还携带所述用户对应的业务进程标识;
所述保存所述私钥备份文件和所述用户的身份标识信息包括:
将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存;
所述私钥请求还携带所述用户对应的业务进程标识;
所述根据所述用户的身份标识信息,获取私钥备份文件包括:
根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件。
本发明实施例第三方面还提供了一种数据安全签名方法,所述方法包括:
第二终端使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件;
所述第二终端向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。
在第三方面的第一种可能的实现方式中,所述第二终端使用用户的密钥对私钥备份文件进行加密之前还包括:
所述第二终端获取所述用户的加密信息;
所述第二终端对所述加密信息进行哈希运算,得到所述用户的密钥。
在第三方面的第二种可能的实现方式中,所述第二终端使用用户的密钥对私钥备份文件进行加密之前还包括:
所述第二终端根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
结合第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所述私钥备份请求还携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。
结合第三方面的第二种可能的实现方式,在第四种可能的实现方式中,所述第二终端根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件包括:
所述第二终端对所述业务进程标识或所述密钥进行哈希运算得到哈希值;
将所述哈希值与所述私钥文件的数量进行取模运算,并根据所述取模运算的结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
本发明实施例第四方面还提供了一种业务终端,其特征在于,所述业务终端包括:
私钥请求发送模块,用于向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
私钥接收模块,用于接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;
私钥解密模块,用于使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;
数字签名模块,用于使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。
在第四方面的第一种可能的实现方式中,所述业务终端还包括:
认证请求获取模块,用于接收所述私钥备份服务器发送的身份认证请求;
认证信息发送模块,用于根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。
在第四方面的第二种可能的实现方式中,所述业务终端还包括:
解密信息获取模块,用于获取所述用户的解密信息;
密钥获取模块,用于对所述解密信息进行哈希运算,得到所述用户的密钥。
结合本发明第四方面,以及第四方面的第一、第二以及第三种实现方式中任一种可能的实现方式,在第四方面的第四种可能的实现方式中,
所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件;
所述业务终端还包括:
私钥删除模块,用于根据所述使用限制信息,检测所述私钥备份文件,在检测到所述私钥备份文件满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。
结合本发明第四方面,以及第四方面的第一、第二以及第三种实现方式中任一种可能的实现方式,在第四方面的第五种可能的实现方式中,所述业务终端还包括:
私钥删除模块,用于在检测到发生所述私钥备份文件的复制操作时,删除所述私钥备份文件。
结合本发明第四方面,以及第四方面的第一、第二以及第三种实现方式中任一种可能的实现方式,在第四方面的第六种可能的实现方式中,所述私钥请求还携带所述用户对应的业务进程标识;所述私钥备份文件为所述业务进程标识对应的所述用户的私钥备份文件。
本发明实施例第五方面还提供了一种私钥备份服务器,所述私钥备份服务器包括:
私钥请求接收模块,用于接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
私钥获取模块,用于根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;
私钥发送模块,用于向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。
在第五方面的第一种可能的实现方式中,所述私钥备份服务器还包括:
备份请求获取模块,用于接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件;
私钥备份模块,用于保存所述私钥备份文件和所述用户的身份标识信息。
结合第五方面的第一种可能的实现方式,在第五方面第二种可能的实现方式中,所述私钥备份文件包括使用所述用户的密钥加密的私钥文件。
结合第五方面,以及第五方面的第一和第二种可能的实现方式中任一种可能的实现方式,在第五方面的第三种可能的实现方式中,所述私钥备份服务器还包括:
认证信息获取模块,用于向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息;
身份认证模块,用于判断所述身份认证信息是否与预设的所述用户的身份验证信息匹配,并在确认所述身份认证信息与预设的所述用户的身份验证信息匹配时,通知所述私钥发送模块向所述第一终端发送所述用户的私钥备份文件。
结合第五方面,以及第五方面的第一和第二种可能的实现方式中任一种可能的实现方式,在第五方面的第三种可能的实现方式中,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。
结合第五方面,以及第五方面的第一和第二种可能的实现方式中任一种可能的实现方式,在第五方面的第四种可能的实现方式中,所述私钥发送模块包括:
下载次数限制单元,用于检测所述私钥备份文件的下载次数或下载频率是否达到预设限制条件;
私钥发送单元,用于在所述私钥备份文件的下载次数或下载频率未达到预设限制条件时,向所述第一终端发送所述私钥备份文件。
结合第五方面第一种可能的实现方式,在第五方面第五种可能的实现方式中,所述私钥备份请求还携带所述用户对应的业务进程标识;
所述私钥备份模块用于:
将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存;
所述私钥请求还携带所述用户对应的业务进程标识;
所述私钥获取模块用于:
根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件。
本发明实施例第六方面还提供了一种业务终端,所述业务终端包括:
备份文件加密模块,用于使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件;
私钥备份请求模块,用于向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。
在第六方面的第一种可能的实现方式中,所述业务终端还包括:
加密信息获取模块,用于获取获取所述用户的加密信息;
密钥获取模块,用于对所述加密信息进行哈希运算,得到所述用户的密钥。
在第六方面的第二种可能的实现方式中,所述业务终端还包括:
备份私钥选定模块,用于根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
结合第六方面第二种可能的实现方式,在第六方面的第三种可能的实现方式中,所述私钥备份请求还携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。
结合第六方面第二种或第三种可能的实现方式,在第六方面的第四种可能的实现方式中,所述备份私钥选定模块用于:
对所述业务进程标识或所述密钥进行哈希运算得到哈希值,将所述哈希值与所述私钥文件的数量进行取模运算,并根据所述取模运算的结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥进完成业务数据签名。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中的一种数据安全签名方法的流程示意图;
图2是本发明另一实施例中的数据安全签名方法的流程示意图;
图3是本发明又一实施例中的数据安全签名方法的流程示意图;
图4是本发明又一实施例中的数据安全签名方法的流程示意图;
图5是本发明又一实施例中的数据安全签名方法的流程示意图;
图6是本发明实施例中的一种业务终端的结构示意图;
图7是本发明另一实施例中的业务终端的结构示意图;
图8是本发明实施例中的一种私钥备份服务器的结构示意图;
图9是本发明另一实施例中的私钥备份服务器的结构示意图;
图10是本发明又一实施例中的业务终端的结构示意图;
图11是本发明另一实施例中的业务终端的结构示意图;
图12是本发明在可选实施例中的数据安全签名方法的实施场景示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了便于理解,可以参考图12为本发明在可选实施例中的数据安全签名方法的实施场景示意图,包括第一终端1201,第二终端1203以及私钥备份服务器1202,其中所述第二终端1203中可以存储有私钥文件,例如保存在内置的SIM卡中,该SIM卡具备存储私钥文件,并进行相应签名等运算能力的模块。第二终端1203可以为智能手机、平板电脑、电子阅读器或智能穿戴设备。进而在可选实施例中,所述第二终端1203可以预先生成多个私钥文件,并根据需要或使用场景选择其中的一个私钥文件上传至私钥备份服务器1202进行安全备份。本发明中的第一终端1201可以是预先没有保存私钥文件的终端设备,在可选实施例中可以是不含有SIM卡的设备,例如个人电脑或平板电脑,在可选实施例中第一终端1201也可以内置有存储有私钥文件的SIM卡,但是需要使用第二终端1203内置存储的私钥文件对用户的业务数据进行数字签名。私钥备份服务器1202为第一终端1201和第二终端1203均可以通过网络建立连接的后台服务器,其提供私钥安全备份服务。本发明实施例中的业务可以为用户参与的任意网络业务,例如支付业务、交易业务、数据转移业务、资源管理业务等。本发明实施例中的提及的用户,可以为上述业务的参与对象,可以通过身份标识信息唯一标识所述用户,进而本发明实施例中的第一终端和第二终端可以为同一用户的身份,例如使用同一身份标识信息参与上述业务或执行本发明实施例中的数据安全签名流程。
在一种实施场景下,第二终端1203可以将其生成或存储的私钥文件使用用户的密钥进行加密后上传至私钥备份服务器1202,私钥备份服务器1202进行安全存储,然后第一终端1201使用相应的用户身份请求从私钥备份服务器1202下载该私钥文件,进而第一终端1201使用所述用户的密钥对下载到的私钥文件进行解密后,使用解密后的私钥文件对所述用户的业务数据进行数字签名,从而实现了第一终端1201使用第二终端1203的私钥文件进行业务数据签名。
在另一实施场景下,第二终端1203将其生成或存储的私钥文件使用用户的密钥进行加密后上传至私钥备份服务器1202,私钥备份服务器1202进行安全存储,然后第一终端1201使用相应的用户身份请求从私钥备份服务器1202下载该私钥,私钥备份服务器对第一终端1201的用户身份进行认证,若认证通过则允许其下载该私钥文件,进而第一终端1201使用所述用户的密钥对下载到的私钥文件进行解密后,使用解密后的私钥文件对所述用户的业务数据进行数字签名,从而实现了第一终端1201使用第二终端1203的私钥文件进行业务数据签名。
在可选实时场景中,私钥备份服务器1202可以对第二终端1203上传的私钥设定使用限制信息,使得第一终端1201下载该私钥后,会根据该使用限制信息在检测到满足该私钥的使用限制时,自动销毁该私钥,从而可以进一步增强私钥备份的安全性。
图1是本发明实施例中的一种数据安全签名方法的流程示意图,本实施例主要以第一终端的角度进行描述,如图所示本实施例中的数据安全签名方法可以包括:
S101,第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户。
具体的,所述用户的身份标识信息可以为第一终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。
可选的,所述私钥请求还可以携带所述用户对应的业务进程标识,所述业务进程标识用于标识所述用户的业务进程。本发明实施例中的所述用户的身份可以是对应于该业务进程的用户身份,例如该业务进程为支付app(应用程序,Application),所述业务进程标识即为该app的进程标识,例如qq或qq.exe;所述用户即为使用该支付app的用户身份,所述用户的身份标识信息即可以为该标识该用户身份的账号、用户名或账户信息等。在可选实施例中,所述用户可以对应多个业务进程,例如同一用户账号可以使用多个不同业务进程,第一终端可以根据需要请求私钥备份服务器发送其中某一个业务进程对应的私钥备份文件。
S102,所述第一终端接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的。
本发明实施例中,所述第一终端和第二终端使用相同的身份标识信息访问所述私钥备份服务器,所述第二终端预先对其自身生成或存储的私钥备份文件使用用户的密钥进行加密,并将经过加密的私钥备份文件上传至私钥备份服务器,私钥备份服务器可以将第二终端上传的私钥备份文件与第二终端的用户的身份标识信息对应保存,进而在接收到第一终端发送的私钥请求时,根据用户的身份标识信息查找对应的私钥备份文件。所述私钥备份文件包括预先生成的私钥文件,对应的公钥和数字证书可以由CA(CertificateAuthority,数字证书认证中心)管理,待第一终端获取到该私钥备份文件并用以对业务数据进行签名后,可以将经过签名的业务数据交由对应的业务服务器使用对应的公钥进行签名认证。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥,例如所述用户的加密信息为“1234abc@#”,第二终端(在SIM内)对此加密信息做一个哈希运算(例如可以使用SHA-256、SHA-384或SHA-512哈希算法),得到一个结果作为所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。
在可选实施例中,第二终端在上传私钥备份文件时,还可以携带所述用户的业务进程标识,从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥备份服务器可以根据所述用户的身份标识信息和所述业务进程标识,获取对应的私钥备份文件,并将所述对应的私钥备份文件发送给第一终端,第一终端接收到的是所述业务进程标识对应所述用户的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。
在可选实施例中,私钥备份服务器在向第一终端返回私钥备份文件之前,还可以先对第一终端的身份进行认证,第一终端可以执行以下流程:
11)所述第一终端接收所述私钥备份服务器发送的身份认证请求。
所述身份认证请求要求第一终端发送用户的身份认证信息,可选的还可以包括随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。具体实现中,私钥备份服务器可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求。
12)所述第一终端根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。
具体的,私钥备份服务器可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器,若所述身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则私钥备份服务器确定第一终端是所述身份标识信息对应的合法终端,可以根据其发送的私钥请求向其返回身份标识信息对应的私钥备份文件。所述身份认证信息与所述身份验证信息进行匹配,具体可以为将两者进行对比,完全一致或相似度满足预设阈值,则可以视为匹配。
另一方面,在可选实施例中,所述第一终端从私钥备份服务器接收到的私钥备份文件可以携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。该使用限制信息可以为私钥备份服务器设定的或所述第二终端在上传至私钥备份服务器之前设定的,使得从私钥备份服务器下载到该私钥备份文件的第一终端可以根据所述使用限制信息,检测所述私钥备份文件;若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,若到达设定的使用时间限制,则可以销毁或删除该私钥备份文件,从而保证所述私钥备份文件的时效性。在可选实施例中,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。
另一方面,在可选实施例中,所述私钥备份服务器可以设定所述私钥备份文件的下载次数限制或下载频率限制,并且记录所述私钥备份文件的被下载次数和时间,若已达到所述私钥备份文件的下载次数限制或下载频率限制,则可以拒绝第一终端发送的私钥请求,则第一终端将无法从私钥备份服务器获取到用户的私钥备份文件。仅当确定当前未达到所述私钥备份文件的下载次数限制或下载频率限制时,向第一终端返回所述私钥备份文件。所述下载次数限制可以为第二终端将私钥备份文件上传至私钥备份服务器后,私钥备份服务器允许其他终端下载该私钥备份文件的次数,例如为3次,若达到3次,则拒绝其他终端发送的下载该私钥备份文件的私钥请求,还可以提示用户使用拥有私钥的终端再次上传私钥备份文件;所述下载频率限制可以为私钥备份服务器允许其他终端在指定时间段内下载该私钥备份文件的次数,例如一天3次,若同一私钥备份文件在一天内已经被下载了三次,则私钥备份服务器会拒绝第一终端发送的请求该私钥备份文件的私钥请求。
S103,所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件。
若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为字符串,第一终端可以使用相同的字符串作为所述用户的密钥对所述私钥备份文件进行解密。若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为第二终端对获取到用户的加密信息进行哈希运算得到的,则第一终端可以通过获取所述用户的解密信息,进而对用户的解密信息进行哈希运算,所述哈希运算的算法与第二终端根据加密信息获取用户的密钥的算法相同,若所述解密信息与所述用户的加密信息内容一致,则同样可以得到所述用户的密钥,即可对所述私钥备份文件进行解密。该哈希算法和结果可以对用户是不可知的,从而进一步增强用户的密钥的私密性。
S104,所述第一终端使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。
所述用户的业务数据,可以为所述用户对应的业务进程处理得到的业务数据,例如所述用户为支付app的注册用户,所述业务数据即可以为所述支付app处理得到的支付业务数据。
本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名。
图2是本发明另一实施例中的数据安全签名方法的流程示意图,本实施例主要以私钥备份服务器的角度描述数据安全签名方法实施的流程,如图所示可以包括:
S201,接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户。
具体的,所述用户的身份标识信息可以为第一终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。
在可选实施例中,所述私钥请求还可以携带所述用户对应的业务进程标识,所述业务进程标识用于标识所述用户的业务进程,即所述用户的身份可以是对应于该业务进程的用户身份,例如该业务进程为支付app(应用程序,Application),所述业务进程标识即为该app的进程标识,例如qq或qq.exe;所述用户即为使用该支付app的用户身份,所述用户的身份标识信息即可以为该标识该用户身份的账号、用户名或账户信息等。在可选实施例中,所述用户可以对应多个业务进程,例如同一用户账号可以使用多个不同业务进程,第一终端可以根据需要请求私钥备份服务器发送其中某一个业务进程对应的私钥备份文件。
S202,根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的。
本发明实施例中,所述第二终端和第一终端使用相同的身份标识信息访问所述私钥备份服务器,所述第二终端预先对其自身生成或存储的私钥备份文件使用用户的密钥进行加密,并将经过加密的私钥备份文件上传至私钥备份服务器,私钥备份服务器可以将第二终端上传的私钥备份文件与第二终端的用户的身份标识信息对应保存,进而在接收到第一终端发送的私钥请求时,根据用户的身份标识信息查找对应的私钥备份文件。所述私钥备份文件可以包括第二终端使用用户的密钥加密的私钥文件。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,第二终端也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥,例如所述用户的加密信息为“1234abc@#”,第二终端(在SIM内)对此加密信息做一个哈希运算(例如可以使用SHA-256、SHA-384或SHA-512哈希算法),得到一个结果作为所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。
在可选实施例中,第二终端在上传私钥备份文件时,还可以携带所述用户的业务进程标识,从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥备份服务器可以根据所述用户的身份标识信息和所述业务进程标识,获取对应的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。
S203,向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。
具体实现中,第一终端在接收到所述私钥备份文件后,可以使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件,从而使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。具体的,若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为字符串,第一终端可以使用相同的字符串作为所述用户的密钥对所述私钥备份文件进行解密。若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为第二终端对获取到用户的加密信息进行哈希运算得到的,则第一终端可以通过获取所述用户的解密信息,进而对用户的解密信息进行相同的哈希运算,若所述解密信息与所述用户的加密信息内容一致,则可以得到所述用户的密钥,即可对所述私钥备份文件进行解密。
在可选实施例中,私钥备份服务器在执行S201之前,还可以执行以下流程:
211)接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件。
在可选实施例中,所述私钥备份请求还可以携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。
212)保存所述私钥备份文件和所述用户的身份标识信息。
若所述私钥备份请求携带业务进程标识,则私钥备份服务器可以在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。
在可选实施例中,私钥备份服务器在执行S203之前还可以执行以下流程:
221)向所述第一终端发送身份认证请求。
所述身份认证请求要求第一终端发送用户的身份认证信息,可选的可以携带随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。具体实现中,私钥备份服务器可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求。
222)接收所述第一终端根据所述身份认证请求提交的身份认证信息。
第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器。
进而若所述身份认证信息与预设的所述用户的身份验证信息匹配,则私钥备份服务器可以执行S203向所述第一终端发送所述用户的私钥备份文件。
具体的,私钥备份服务器可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。若第一终端根据所述身份认证请求提交的身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则确定第一终端是所述身份标识信息对应的合法终端,从而可以根据其发送的私钥请求向其返回身份标识信息对应的私钥备份文件。所述身份认证信息与所述身份验证信息进行匹配,具体可以为将两者进行对比,完全一致或相似度满足预设阈值,则可以视为匹配。
另一方面,在可选实施例中,私钥备份服务器可以在保存所述私钥备份文件同时或之后,设定所述私钥备份文件的使用限制信息。该使用限制信息可以为私钥备份服务器主动设定的或所述第二终端在上传至私钥备份服务器之前设定或告知私钥备份服务器的。进而私钥备份服务器向所述第一终端返回的所述私钥备份文件会携带所述使用限制信息,使得所述第一终端在接收到所述私钥备份文件之后,根据所述使用限制信息,检测所述私钥备份文件,若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,若到达设定的使用时间限制,则可以销毁或删除该私钥备份文件,从而保证所述私钥备份文件的时效性。在可选实施例中,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。
另一方面,在可选实施例中,所述私钥备份服务器可以设定所述私钥备份文件的限制条件,例如包括下载次数限制或下载频率限制,并且记录所述私钥备份文件的被下载次数和时间,若当前已达到所述私钥备份文件的下载次数限制或下载频率限制,则可以拒绝第一终端发送的私钥请求,仅当确定当前未达到所述私钥备份文件的下载次数限制或下载频率限制时,向第一终端返回所述私钥备份文件。所述下载次数限制可以为第二终端将私钥备份文件上传至私钥备份服务器后,私钥备份服务器允许其他终端下载该私钥备份文件的次数,例如为3次,若达到3次,则拒绝其他终端发送的下载该私钥备份文件的私钥请求,还可以提示用户使用拥有私钥的终端再次上传私钥备份文件;所述下载频率限制可以为私钥备份服务器允许其他终端在指定时间段内下载该私钥备份文件的次数,例如一天3次,若同一私钥备份文件在一天内已经被下载了三次,则私钥备份服务器会拒绝第一终端发送的下载该私钥备份文件的私钥请求。
本实施例中的私钥备份服务器可以保存用户通过第二终端提交的私钥备份文件,并根据用户通过第一终端发送的私钥请求将该私钥备份文件发送给第一终端,第一终端其使用用户的密钥对私钥备份文件进行解密从而可以使用用户的私钥文件对用户的业务数据进行签名,实现用户可以在多个不同的终端上使用同一终端存储的私钥进完成业务数据签名。
图3是本发明又一实施例中的数据安全签名方法的流程示意图,本实施例主要以第一终端、私钥备份服务器以及第二终端三侧进行描述数据安全签名方法的实施流程,如图所示可以包括:
S301,第二终端使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件。
本实施例中的密钥可以为第二终端的用户的加密信息,例如用户输入加密信息为“1234abc@#”,第二终端使用该密钥对私钥备份文件进行加密后,其他终端只有同样使用用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。在可选实施例中,第二终端可以保存所述用户的加密信息,从而不需要用户每次重新输入。
S302,第二终端向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。
具体的,所述用户的身份标识信息可以为第二终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。
S303,私钥备份服务器将私钥备份文件和所述用户的身份标识信息对应保存。
S304,第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息。
S305,私钥备份服务器根据所述用户的身份标识信息,获取私钥备份文件。
本发明实施例中,所述第一终端和第二终端使用相同的身份标识信息访问所述私钥备份服务器,私钥备份服务器在接收到第一终端发送的私钥请求时,根据所述用户的身份标识信息查找对应的私钥备份文件,即找到S303与用户的身份标识信息对应保存的私钥备份文件。
S306,私钥备份服务器向第一终端返回私钥备份文件。
S307,第一终端使用所述用户的密钥对私钥备份文件进行解密。
本实施例中,第一终端的用户同样输入解密信息为“1234abc@#”作为密钥,从而可以对经过加密的私钥备份文件进行解密从而使用其中的私钥。
S308,第一终端使用解密后的私钥备份文件对所述用户的业务数据进行签名。
所述用户的业务数据,可以为所述用户对应的业务进程处理得到的业务数据,例如所述用户为支付app的注册用户,所述业务数据即可以为所述支付app处理得到的支付业务数据。所述第一终端在使用经过解密的私钥备份文件对业务数据进行签名后,可以将经过签名的业务数据发送至对应的业务服务器,从而完成对应的业务请求。
本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名。
图4是本发明又一实施例中的数据安全签名方法的流程示意图,本实施例主要以第一终端、私钥备份服务器以及第二终端三侧进行描述数据安全签名方法的实施流程,如图所示可以包括:
S401,所述第二终端获取用户的加密信息,对所述加密信息进行哈希运算,得到用户的密钥。
本实施例中,第二终端可以首先获取用户的加密信息,进而对用户的加密信息进行哈希运算从而得到所述用户的密钥,例如用户输入加密信息为“1234abc@#”,第二终端对此加密信息做一个哈希运算得到一个结果作为所述用户的的密钥。所述哈希运算的算法和结果可以对用户是不可知的,从而进一步增强用户的密钥的私密性。在可选实施例中,第二终端可以保存所述用户的加密信息,从而不需要用户每次重新输入。
S402,第二终端使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件。
在使用该用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥。
S403,第二终端向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。
S404,私钥备份服务器将私钥备份文件和所述用户的身份标识信息对应保存。
S405,私钥备份服务器设定私钥备份文件的使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件,包括使用次数限制或使用时间限制。
具体实现中,私钥备份服务器可以在将所述私钥备份文件和所述身份标识信息对应保存的同时或之后,设定所述私钥备份文件的使用限制信息。该使用限制信息可以为私钥备份服务器主动设定的或所述第二终端在上传至私钥备份服务器之前设定并告知私钥备份服务器的。
S406,第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息。
S407,私钥备份服务器向第一终端发送身份认证请求。
所述身份认证请求要求第一终端发送与所述身份标识信息对应的身份认证信息,可选的还可以包括随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。
在可选实施例中,私钥备份服务器可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求,即在S406之前执行S407-409,若成功通过认证则在接收到第一终端发送的私钥请求后向其返回所述私钥备份文件。
S408,第一终端向私钥备份服务器提交身份认证信息。
具体的,第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器。
S409,私钥备份服务器确认第一终端提交的所述身份认证信息与预设的所述用户的身份验证信息匹配。
具体的,具体的,私钥备份服务器可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。若第一终端根据所述身份认证请求提交的身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则确定第一终端是所述身份标识信息对应的合法终端
S410,私钥备份服务器根据所述用户的身份标识信息,获取私钥备份文件。
本发明实施例中,所述第一终端和第二终端使用相同的身份标识信息访问所述私钥备份服务器,私钥备份服务器在接收到第一终端发送的私钥请求时,根据所述用户的身份标识信息查找对应的私钥备份文件,即找到S404与用户的身份标识信息对应保存的私钥备份文件。
S411,私钥备份服务器向第一终端返回私钥备份文件,携带使用限制信息。
S412,第一终端获取用户的解密信息,并对解密信息进行哈希运算,得到所述用户的密钥。
本实施例中,第一终端的用户同样输入解密信息为“1234abc@#”,进而第一终端对用户的解密信息进行相同的哈希运算,得到的结果即可对所述私钥备份文件进行解密。在可选实施例中,第一终端可以保存所述用户的加密信息,或所述用户的密钥,从而不需要用户每次重新输入。
S413,第一终端使用所述用户的密钥对私钥备份文件进行解密密,获得解密后的私钥备份文件。
S414,第一终端使用所述解密后的私钥备份文件对所述用户的业务数据进行签名。
S415,第一终端根据所述使用限制信息,检测所述私钥备份文件,若检测到发生所述私钥备份文件的复制操作或满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。
具体实现中,所述第一终端在接收到所述私钥备份文件之后,根据所述私钥备份文件的使用限制信息,在检测到满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,如若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,如若到达设定的使用时间限制,则所述第一终端可以销毁或删除该私钥备份文件,从而可以保证所述私钥备份文件的时效性。另一方面,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。
本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名,同时获取到的私钥备份文件携带使用限制信息,可以进一步增强私钥文件的安全性。
图5是本发明又一实施例中的数据安全签名方法的流程示意图,本实施例主要以第一终端、私钥备份服务器以及第二终端三侧进行描述数据安全签名方法的实施流程,如图所示可以包括:
S501,第二终端获取用户的加密信息,对所述加密信息进行哈希运算,得到所述用户的密钥。
具体可以参考前文实施例中的S401,本实施例中不再赘述。
S502,第二终端从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
具体的,第二终端可以保存有至少两个私钥文件,并可以根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的多个私钥文件中确定一个私钥备份文件。具体可以包括:对所述业务进程标识(例如qq或qq.exe)或所述密钥(例如1234abc@#)进行哈希运算得到哈希值,并将得到的哈希值与所述私钥文件的数量进行取模运算,根据取模运算的结果从多个私钥文件中确定一个私钥备份文件,例如预先对所述多个私钥文件进行编号,所述取模运算的结果为5,即可将编号为5的私钥文件作为私钥备份文件。
进而在可选实施例中,为了提高私钥备份文件的安全性,第二终端可以每次向私钥备份服务器上传不同的私钥备份文件,例如根据预先对私钥文件进行的编号,每次选取下一编号的私钥文件作为私钥备份文件,或每次上传私钥备份文件后重新对多个私钥文件进行编号。
S503,第二终端使用用户的密钥对私钥备份文件进行加密。
S504,第二终端向私钥备份服务器发送私钥备份请求,携带所述用户的身份标识信息、用户对应的业务进程标识以及加密后的私钥备份文件。
S505,私钥备份服务器将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。
在本实施例中,私钥备份服务器可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,后续第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。
S506,私钥备份服务器设定私钥备份文件的使用限制信息,包括使用次数限制或使用时间限制。
具体实现中,私钥备份服务器可以在将所述私钥备份文件和所述身份标识信息对应保存的同时或之后,设定所述私钥备份文件的使用限制信息。该使用限制信息可以为私钥备份服务器主动设定的或所述第二终端在上传至私钥备份服务器之前设定并告知私钥备份服务器的。
S507,第一终端向私钥备份服务器发送私钥请求,携带所述用户的身份标识信息和用户对应的业务进程标识。
S508,私钥备份服务器根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件;
S509,确定未达到所述私钥备份文件的下载次数限制或下载频率限制。
具体实现中,所述私钥备份服务器可以设定所述私钥备份文件的下载次数限制或下载频率限制,并且记录所述私钥备份文件的被下载次数,若当前已达到所述私钥备份文件的下载次数限制或下载频率限制,则可以拒绝第一终端发送的私钥请求,仅当确定当前未达到所述私钥备份文件的下载次数限制或下载频率限制时,向第一终端返回所述私钥备份文件。所述下载次数限制可以为第二终端将私钥备份文件上传至私钥备份服务器后,私钥备份服务器允许其他终端下载该私钥备份文件的次数,例如为3次,若达到3次,则拒绝其他终端发送的下载该私钥备份文件的私钥请求,还可以提示用户使用拥有私钥的终端再次上传私钥备份文件;所述下载频率限制可以为私钥备份服务器允许其他终端在指定时间段内下载该私钥备份文件的次数,例如一天3次,若同一私钥备份文件在一天内已经被下载了三次,则私钥备份服务器会拒绝其他终端发送的下载该私钥备份文件的私钥请求。
S510,私钥备份服务器向第一终端返回私钥备份文件,携带使用限制信息。
S511,第一终端获取用户的解密信息,并对用户的解密信息进行哈希运算,得到所述用户的密钥。
S512,第一终端使用所述用户的密钥对私钥备份文件进行解密。
S513,第一终端使用经过解密的私钥备份文件对用户的业务数据进行签名。
S514,第一终端检测到发生所述私钥备份文件的复制操作或满足所述私钥备份文件的使用限制时,删除所述私钥备份文件。
具体实现中,所述第一终端在接收到所述私钥备份文件之后,根据所述私钥备份文件的使用限制信息,在检测到满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,如若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,如若到达设定的使用时间限制,则所述第一终端可以销毁或删除该私钥备份文件,从而可以保证所述私钥备份文件的时效性。另一方面,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。
本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,私钥备份服务器判断当前未达到用户预先通过第二终端上传的私钥备份文件的下载次数限制或下载频率限制,则允许第一终端下载该私钥备份文件,第一终端使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名,同时下载到的私钥备份文件携带使用限制信息,可以进一步增强私钥文件的安全性。
图6是本发明实施例中的一种业务终端的结构示意图,本实施例中的业务终端可以为前文结合图1-5以及图12描述的第一终端,本实施例中的业务终端可以是预先没有保存私钥文件的终端设备,可选的可以是不含有SIM卡的设备,例如个人电脑或平板电脑,可选的本实施例中的业务终端可以内置有存储有私钥文件的SIM卡,但是需要使用第二终端1203内置存储的私钥文件进行业务数据签名。
如图6所述本实施例中的业务终端可以包括:
私钥请求发送模块610,用于向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户。
具体的,所述用户的身份标识信息可以为第一终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。
在可选实施例中,所述私钥请求还可以携带所述用户对应的业务进程标识,所述业务进程标识用于标识所述用户的业务进程,即所述用户的身份可以是对应于该业务进程的用户身份,例如该业务进程为支付app(应用程序,Application),所述业务进程标识即为该app的进程标识,例如qq或qq.exe;所述用户即为使用该支付app的用户身份,所述用户的身份标识信息即可以为该标识该用户身份的账号、用户名或账户信息等。
私钥接收模块620,用于接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的。
本发明实施例中,所述第一终端和第二终端使用相同的身份标识信息访问所述私钥备份服务器,所述第二终端预先对其自身生成或存储的私钥备份文件使用用户的密钥进行加密,并将经过加密的私钥备份文件上传至私钥备份服务器,私钥备份服务器可以将第二终端上传的私钥备份文件与第二终端的用户的身份标识信息对应保存,进而在接收到第一终端发送的私钥请求时,根据用户的身份标识信息查找对应的私钥备份文件。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥,例如所述用户的加密信息为“1234abc@#”,第二终端(在SIM内)对此加密信息做一个哈希运算(例如可以使用SHA-256、SHA-384或SHA-512哈希算法),得到一个结果作为所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。
在可选实施例中,第二终端在上传私钥备份文件时,还可以携带所述用户的业务进程标识,从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥备份服务器可以根据所述用户的身份标识信息和所述业务进程标识,获取对应的私钥备份文件,并将所述对应的私钥备份文件发送给第一终端,私钥接收模块620接收到的是所述业务进程标识对应所述用户的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。
私钥解密模块630,用于使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件。
具体实现中,若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为字符串,私钥解密模块630可以使用相同的字符串作为所述用户的密钥对所述私钥备份文件进行解密。若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为第二终端对获取到用户的加密信息进行哈希运算得到的,则私钥解密模块630可以通过获取所述用户的解密信息,进而对用户的解密信息进行相同的哈希运算,若所述解密信息与所述用户的加密信息内容一致,则可以得到所述用户的密钥,即可对所述私钥备份文件进行解密。
数字签名模块640,用于使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。
所述用户的业务数据,可以为所述用户对应的业务进程处理得到的业务数据,例如所述用户为支付app的注册用户,所述业务数据即可以为所述支付app处理得到的支付业务数据。
可选的,本实施例中的业务终端进一步还可以包括:
认证请求获取模块650,用于接收所述私钥备份服务器发送的身份认证请求。
即私钥备份服务器在向第一终端返回私钥备份文件之前,还可以先对第一终端的身份进行认证,认证请求获取模块650接收所述私钥备份服务器发送的身份认证请求,所述身份认证请求要求第一终端发送用户的身份认证信息,可选的还可以包括随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。具体实现中,私钥备份服务器可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求,若成功通过认证则在接收到第一终端发送的私钥请求后向其返回所述私钥备份文件。
认证信息发送模块660,用于根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。
具体的,私钥备份服务器可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器,若所述身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则私钥备份服务器确定第一终端是所述身份标识信息对应的合法终端,可以根据其发送的私钥请求向其返回身份标识信息对应的私钥备份文件。所述身份认证信息与所述身份验证信息进行匹配,具体可以为将两者进行对比,完全一致或相似度满足预设阈值,则可以视为匹配。
进一步可选的,本实施例中的业务终端进一步还可以包括:
解密信息输入模块670,用于获取所述用户的解密信息;
密钥获取模块680,用于对所述解密信息进行哈希运算,得到所述用户的密钥。所述哈希运算的算法与第二终端根据加密信息获取用户的密钥的算法相同,若所述解密信息与所述用户的加密信息内容一致,则同样可以得到所述用户的密钥,即可对所述私钥备份文件进行解密。该哈希算法和结果可以对用户是不可知的,从而进一步增强用户的密钥的私密性。
进一步可选的,私钥接收模块620接收到的所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件,所述使用限制信息包括使用次数限制或使用时间限制。
具体实现中,该使用限制信息可以为私钥备份服务器设定的或所述第二终端在上传至私钥备份服务器之前设定的,使得从私钥备份服务器下载到该私钥备份文件的终端根据所述使用限制信息在满足对应的使用限制时,自动删除所述私钥备份文件。
进而所述业务终端还包括:
私钥删除模块690,用于根据所述使用限制信息,检测所述私钥备份文件,在检测到所述私钥备份文件满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。
所述使用限制信息可以包括使用次数限制或使用时间限制,若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则私钥删除模块690可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,若到达设定的使用时间限制,则私钥删除模块690可以自动销毁或删除该私钥备份文件,从而可以保证所述私钥备份文件的时效性。
在可选实施例中,私钥删除模块690用于在检测到发生所述私钥备份文件的复制操作时,删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。
本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名。
图7是本发明另一实施例中的业务终端的结构示意图,如图7所示本实施例中的业务终端700可以包括:至少一个处理器701,例如CPU,至少一个网络接口704,用户接口703,存储器705,至少一个通信总线702。其中,通信总线702用于实现这些组件之间的连接通信。其中,用户接口703可以包括显示屏(Display)、键盘(Keyboard)、鼠标或触控屏等,可以为标准的有线接口、无线接口。网络接口704可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器705可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器705可选的还可以是至少一个位于远离前述处理器701的存储装置。如图7所示,作为一种计算机存储介质的存储器705中可以存储有程序代码,而处理器701可以用于调用存储器705中存储的程序代码,并执行以下操作:
通过网络接口704向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
通过网络接口704接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;
使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;
使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。
优选的,在通过网络接口704接收所述私钥备份服务器返回的所述私钥备份文件之前,业务终端的处理器701还可以用于调用存储器705中存储的程序代码,执行以下操作:
通过网络接口704接收所述私钥备份服务器发送的身份认证请求;
通过网络接口704根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。
优选的,在使用相同密钥对所述私钥备份文件进行解密之前,业务终端的处理器701还可以用于调用存储器705中存储的程序代码,执行以下操作:
获取用户的解密信息;
对所述解密信息进行哈希运算,得到所述用户的密钥。
优选的,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件;
在接收到所述私钥备份服务器返回的所述私钥备份文件之后,业务终端的处理器701还可以用于调用存储器705中存储的程序代码,执行:
根据所述使用限制信息,检测所述私钥备份文件;
若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。
需要指出的是,本实施例中的业务终端700可以是预先没有保存私钥文件的终端设备,可选的可以是不含有SIM卡的设备,例如个人电脑或平板电脑,可选的本实施例中的业务终端700也可以内置有存储有私钥文件的SIM卡,但是需要使用第二终端1203内置存储的私钥文件进行业务数据签名。
本实施例中的业务终端700通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名。
图8是本发明实施例中的一种私钥备份服务器的结构示意图,如图所示本发明实施例中的私钥备份服务器可以包括:
私钥请求接收模块810,用于接收第一终端发送的私钥请求,所述私钥请求携带所述用户的身份标识信息。
具体的,所述用户的身份标识信息可以为第一终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。
在可选实施例中,所述私钥请求还可以携带所述用户对应的业务进程标识,所述业务进程标识用于标识所述用户的业务进程,即所述用户的身份可以是对应于该业务进程的用户身份,例如该业务进程为支付app(应用程序,Application),所述业务进程标识即为该app的进程标识,例如qq或qq.exe;所述用户即为使用该支付app的用户身份,所述用户的身份标识信息即可以为该标识该用户身份的账号、用户名或账户信息等。
私钥获取模块820,用于根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的。
本发明实施例中,所述第二终端和第一终端使用相同的身份标识信息访问所述私钥备份服务器,所述第二终端预先对其自身生成或存储的私钥备份文件使用用户的密钥进行加密,并将经过加密的私钥备份文件上传至私钥备份服务器,私钥备份服务器可以将第二终端上传的私钥备份文件与第二终端的用户的身份标识信息对应保存。从而在接收到第一终端发送的私钥请求时,私钥获取模块820可以根据用户的身份标识信息查找对应的私钥备份文件。所述私钥备份文件可以包括第二终端使用用户的密钥加密的私钥文件。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,第二终端也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥,例如所述用户的加密信息为“1234abc@#”,第二终端(在SIM内)对此加密信息做一个哈希运算(例如可以使用SHA-256、SHA-384或SHA-512哈希算法),得到一个结果作为所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。
在可选实施例中,第二终端在上传私钥备份文件时,还可以携带所述用户的业务进程标识,从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥获取模块820从而可以根据所述用户的身份标识信息和所述业务进程标识,获取对应的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。
私钥发送模块830,用于向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。
具体实现中,第一终端在接收到所述私钥备份文件后,可以使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件,从而使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。
可选的,本实施例中的私钥备份服务器进一步还可以包括:
备份请求获取模块840,用于接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件。
在可选实施例中,所述私钥备份请求还可以携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。
私钥备份模块850,用于保存所述私钥备份文件和所述用户的身份标识信息。
若所述私钥备份请求携带业务进程标识,则私钥备份服务器可以在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。
可选的,本实施例中的私钥备份服务器进一步还可以包括:
认证信息获取模块860,用于向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息。
所述身份认证请求要求第一终端发送用户的身份认证信息,可选的可以携带随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。具体实现中,认证信息获取模块860可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求。第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器。
身份认证模块870,用于判断所述身份认证信息是否与预设的所述用户的身份验证信息匹配,并在确认所述身份认证信息与预设的所述用户的身份验证信息匹配时,通知所述私钥发送模块830向所述第一终端发送所述用户的私钥备份文件。
具体的,身份认证模块870可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。若第一终端根据所述身份认证请求提交的身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则身份认证模块870确定第一终端是所述身份标识信息对应的合法终端,从而通知私钥发送模块830可以根据其发送的私钥请求向其返回身份标识信息对应的私钥备份文件。所述身份认证信息与所述身份验证信息进行匹配,具体可以为将两者进行对比,完全一致或相似度满足预设阈值,则可以视为匹配。
另一方面,在可选实施例中,私钥备份服务器可以在保存所述私钥备份文件同时或之后,设定所述私钥备份文件的使用限制信息。该使用限制信息可以为私钥备份服务器主动设定的或所述第二终端在上传至私钥备份服务器之前设定或告知私钥备份服务器的。进而所述私钥发送模块830向所述第一终端返回的所述私钥备份文件会携带所述使用限制信息,使得所述第一终端在接收到所述私钥备份文件之后,根据所述使用限制信息,检测所述私钥备份文件,若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,若到达设定的使用时间限制,则可以销毁或删除该私钥备份文件,从而保证所述私钥备份文件的时效性。在可选实施例中,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。
可选实施例中,所述私钥发送模块830进一步可以包括:
下载次数限制单元,用于检测所述私钥备份文件的下载次数或下载频率是否达到预设限制条件;
私钥发送单元,用于在所述私钥备份文件的下载次数或下载频率未达到预设限制条件时,向所述第一终端发送所述私钥备份文件。
所述私钥备份服务器可以设定所述私钥备份文件的限制条件,例如包括下载次数限制或下载频率限制,并且记录所述私钥备份文件的被下载次数和时间,若当前已达到所述私钥备份文件的下载次数限制或下载频率限制,则可以拒绝第一终端发送的私钥请求,仅当确定当前未达到所述私钥备份文件的下载次数限制或下载频率限制时,私钥发送单元向第一终端返回所述私钥备份文件。所述下载次数限制可以为第二终端将私钥备份文件上传至私钥备份服务器后,私钥备份服务器允许其他终端下载该私钥备份文件的次数,例如为3次,若达到3次,则拒绝其他终端发送的下载该私钥备份文件的私钥请求,还可以提示用户使用拥有私钥的终端再次上传私钥备份文件;所述下载频率限制可以为私钥备份服务器允许其他终端在指定时间段内下载该私钥备份文件的次数,例如一天3次,若同一私钥备份文件在一天内已经被下载了三次,则私钥备份服务器可以拒绝第一终端发送的下载该私钥备份文件的私钥请求。
本实施例中的私钥备份服务器可以保存用户通过第二终端提交的私钥备份文件,并根据用户通过第一终端发送的私钥请求将该私钥备份文件发送给第一终端,第一终端其使用用户的密钥对私钥备份文件进行解密从而可以使用用户的私钥文件对用户的业务数据进行签名,实现用户可以在多个不同的终端上使用同一终端存储的私钥进完成业务数据签名。
图9是本发明另一实施例中的私钥备份服务器的结构示意图,如图7所示本实施例中的私钥备份服务器900可以包括:至少一个处理器901,例如CPU,至少一个网络接口904,存储器905,至少一个通信总线902。其中,通信总线902用于实现这些组件之间的连接通信。其中,网络接口904可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器905可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器905可选的还可以是至少一个位于远离前述处理器901的存储装置。如图9所示,作为一种计算机存储介质的存储器905中可以存储有程序代码,而处理器901可以用于调用存储器905中存储的程序代码,并执行以下操作:
通过网络接口904接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;
通过网络接口904向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。
优选的,在通过网络接口904接收第一终端发送的私钥请求之前,私钥备份服务器的处理器901还可以用于调用存储器905中存储的程序代码,执行以下操作:
通过网络接口904接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件;
保存所述私钥备份文件和所述用户的身份标识信息。
优选的,所述私钥备份文件包括使用所述用户的密钥加密的私钥文件。
优选的,在根据所述私钥请求向所述第一终端返回所述私钥备份文件之前,私钥备份服务器的处理器901还可以用于调用存储器905中存储的程序代码,执行以下操作:
通过网络接口904向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息;
所述向所述第一终端发送所述私钥备份文件包括:
若所述身份认证信息与预设的所述用户的身份验证信息匹配,则向所述第一终端发送所述用户的私钥备份文件。
优选的,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。
优选的,所述向所述第一终端发送所述私钥备份文件包括:
若所述私钥备份文件的下载次数或下载频率未达到预设限制条件,则向所述第一终端发送所述私钥备份文件。
优选的,所述私钥备份请求还携带所述用户对应的业务进程标识;
所述保存所述私钥备份文件和所述用户的身份标识信息包括:
将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存;
所述私钥请求还携带所述用户对应的业务进程标识;
所述根据所述用户的身份标识信息,获取私钥备份文件包括:
根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件。
本实施例中的私钥备份服务器可以保存用户通过第二终端提交的私钥备份文件,并根据用户通过第一终端发送的私钥请求将该私钥备份文件发送给第一终端,第一终端其使用用户的密钥对私钥备份文件进行解密从而可以使用用户的私钥文件对用户的业务数据进行签名,实现用户可以在多个不同的终端上使用同一终端存储的私钥进完成业务数据签名。
图10是本发明又一实施例中的业务终端的结构示意图,本实施例中的业务终端可以为前文结合图1-5以及图12描述的第二终端,本实施例中的业务终端中可以存储有私钥文件,例如保存在内置的SIM卡中,例如可以为智能手机、平板电脑、电子阅读器或智能穿戴设备。进而在可选实施例中,本实施例中的业务终端可以预先生成多个私钥文件,并根据需要或使用场景选择其中的一个私钥文件上传至私钥备份服务器进行安全备份。
如图10所述本实施例中的业务终端可以包括:
备份文件加密模块1010,用于使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件。
所述私钥备份文件包括预先生成的私钥文件,对应的公钥和数字证书可以由CA管理,在使用该私钥备份文件对业务数据进行签名后,可以将经过签名的业务数据交由对应的业务服务器使用对应的公钥进行签名认证。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。
私钥备份请求模块1020,用于向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。
所述私钥备份服务器在接收到所述私钥备份请求,并根据所述私钥备份请求将所述私钥备份文件和所述身份标识信息对应保存后,第一终端向私钥备份服务器请求下载该私钥备份文件,所述第一终端与本实施例中的业务终端可以使用相同的身份标识信息访问所述私钥备份服务器,具体下载的流程可以参考前文实施例结合附图1-5以及附图12所描述的实施场景,本实施例不再赘述。
在可选实施例中,所述私钥备份请求还可以携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥备份服务器可以根据所述用户的身份标识信息和所述业务进程标识,获取对应的私钥备份文件,并将所述对应的私钥备份文件发送给第一终端,第一终端接收到的是所述业务进程标识对应所述用户的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。
进一步可选的,本实施例中的业务终端进一步还可以包括:
加密信息获取模块1030,用于获取获取所述用户的加密信息;
密钥获取模块1040,用于对所述加密信息进行哈希运算,得到所述用户的密钥。
例如用户输入加密信息为“1234abc@#”,第二终端对此加密信息做一个哈希运算得到一个结果作为加密私钥备份文件的密钥。所述哈希运算的算法和结果可以对用户是不可知的,从而进一步增强密钥的私密性。
进一步可选的,本实施例中的业务终端进一步还可以包括:
备份私钥选定模块1050,用于根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
具体的,第二终端可以保存有多个可用的私钥文件,并可以根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的多个私钥文件中确定一个私钥备份文件。
进而在可选实施例中,所述备份私钥选定模块1050具体用于:
对所述业务进程标识(例如qq或qq.exe)或所述密钥(例如1234abc@#)进行哈希运算得到哈希值,并将得到的哈希值与所述私钥文件的数量进行取模运算,根据取模结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件,例如预先对所述多个私钥文件进行编号,根据取模的数值选取对应编号的私钥文件作为私钥备份文件。
进而在可选实施例中,为了提高私钥备份文件的安全性,所述备份私钥选定模块可以每次选中不同的私钥备份文件,例如根据预先对私钥文件进行的编号,每次选取下一编号的私钥文件作为私钥备份文件,或每次上传私钥备份文件后重新对多个私钥文件进行编号。
本实施例中的业务终端可以将其生成或存储的私钥备份文件使用用户的密钥进行加密后上传至私钥备份服务器,请求私钥备份服务器进行安全存储,从而用户可以通过第一终端从私钥备份服务器下载该私钥备份文件,进而使用私钥备份文件进行业务数据签名,实现了用户可以在多个不同的终端上使用同一终端存储的私钥文件完成业务数据签名。
图11是本发明另一实施例中的业务终端的结构示意图,如图11所示本实施例中的业务终端1100可以包括:至少一个处理器1101,例如CPU,至少一个网络接口1104,用户接口1103,存储器1105,至少一个通信总线1102。其中,通信总线1102用于实现这些组件之间的连接通信。其中,用户接口1103可以包括显示屏(Display)、键盘(Keyboard)、鼠标或触控屏等,可以为标准的有线接口、无线接口。网络接口1104可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1105可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1105可选的还可以是至少一个位于远离前述处理器1101的存储装置。本实施例中的业务终端中可以存储有私钥文件,例如保存在内置的SIM卡中,例如可以为智能手机、平板电脑、电子阅读器或智能穿戴设备。进而在可选实施例中,本实施例中的业务终端可以预先生成多个私钥文件,并根据需要或使用场景选择其中的一个私钥文件上传至私钥备份服务器进行安全备份。
在可选实施例中,业务终端可以内置SIM卡,用以存储所述私钥备份文件。
如图11所示,作为一种计算机存储介质的存储器1105中可以存储有程序代码,而处理器1101可以用于调用存储器1105中存储的程序代码,并执行以下操作:
使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件;
通过网络接口1104向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。
优选的,在使用密钥对私钥备份文件进行加密之前,处理器1101还可以用于调用存储器1105中存储的程序代码,执行以下操作:
获取所述用户的加密信息;
对所述加密信息进行哈希运算,得到所述用户的密钥。
优选的,在使用密钥对私钥备份文件进行加密之前,处理器1101还可以用于调用存储器1105中存储的程序代码,执行以下操作:
根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
优选的,所述私钥备份请求还携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。
优选的,所述第二终端根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件包括:
所述第二终端对所述业务进程标识或所述密钥进行哈希运算得到哈希值;
将所述哈希值与所述私钥文件的数量进行取模运算,并根据所述取模运算的结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件
本实施例中的业务终端可以将其生成或存储的私钥备份文件使用用户的密钥进行加密后上传至私钥备份服务器,请求私钥备份服务器进行安全存储,从而用户可以通过第一终端从私钥备份服务器下载该私钥备份文件,进而使用私钥备份文件进行业务数据签名,实现了用户可以在多个不同的终端上使用同一终端存储的私钥文件完成业务数据签名。
请参阅图12,图12是本发明实施例提供的一种数据安全签名系统的结构示意图。本发明实施例提供的数据安全签名系统包括第一终端1201、私钥备份服务器1202以及第二终端1203,其中,所述第一终端1201、私钥备份服务器1202以及第二终端1203可以参阅前文结合图6-图11对应的实施例,在此不再赘述。
本发明实施例还提出了一种计算机存储介质,所述计算机存储介质存储有程序,所述程序执行时包括本发明实施例结合图2、图7或图8所描述的方法中的部分或全部的步骤。
本发明实施例还提出了一种计算机存储介质,所述计算机存储介质存储有程序,所述程序执行时包括本发明实施例结合图1-图5所描述的方法中的部分或全部的步骤。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (30)

1.一种数据安全签名方法,其特征在于,所述方法包括:
第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
所述第一终端接收所述私钥备份服务器发送的身份认证请求;
所述第一终端根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中与所述用户的身份标识信息对应的身份验证信息进行匹配,与所述用户的身份标识信息对应的身份验证信息是所述用户通过第二终端提交至所述私钥备份服务器的;
所述第一终端接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过所述第二终端使用所述用户的密钥进行加密后上传至所述私钥备份服务器的;
所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;
所述第一终端使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。
2.如权利要求1所述的数据安全签名方法,其特征在于,所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密之前,所述方法还包括:
所述第一终端获取所述用户的解密信息;
所述第一终端对所述解密信息进行哈希运算,得到所述用户的密钥。
3.如权利要求1或2中任一项所述的数据安全签名方法,其特征在于,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件;
所述第一终端接收所述私钥备份服务器发送的所述私钥备份文件之后还包括:
所述第一终端根据所述使用限制信息,检测所述私钥备份文件;
若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。
4.如权利要求1或2中任一项所述的数据安全签名方法,其特征在于,所述第一终端接收所述私钥备份服务器发送的所述私钥备份文件之后,所述方法还包括:
若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件。
5.如权利要求1或2中任一项所述的数据安全签名方法,其特征在于,所述私钥请求还携带所述用户对应的业务进程标识;所述私钥备份文件为所述业务进程标识对应的所述用户的私钥备份文件。
6.一种数据安全签名方法,其特征在于,所述方法包括:
接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端使用所述用户的密钥加密后上传至私钥备份服务器的;
向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息;
若所述身份认证信息与所述用户的身份验证信息匹配,则向所述第一终端发送所述私钥备份文件,所述用户的身份验证信息是所述用户通过所述第二终端提交至所述私钥备份服务器的,所述私钥备份文件用于被所述第一终端使用所述用户的密钥进行解密获得解密后的私钥备份文件,所述解密后的私钥备份文件被所述第一终端用于对所述用户的业务数据进行数字签名。
7.如权利要求6所述的数据安全签名方法,其特征在于,所述接收第一终端发送的私钥请求之前还包括:
接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件;
保存所述私钥备份文件和所述用户的身份标识信息。
8.如权利要求6或7中任一项所述的数据安全签名方法,其特征在于,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。
9.如权利要求6或7中任一项所述的数据安全签名方法,其特征在于,所述向所述第一终端发送所述私钥备份文件包括:
若所述私钥备份文件的下载次数或下载频率未达到预设限制条件,则向所述第一终端发送所述私钥备份文件。
10.如权利要求7所述的数据安全签名方法,其特征在于,所述私钥备份请求还携带所述用户对应的业务进程标识;
所述保存所述私钥备份文件和所述用户的身份标识信息包括:
将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存;
所述私钥请求还携带所述用户对应的业务进程标识;
所述根据所述用户的身份标识信息,获取私钥备份文件包括:
根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件。
11.一种数据安全签名方法,其特征在于,所述方法包括:
第二终端向私钥备份服务器提交用户的身份验证信息;
第二终端使用所述用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件;
所述第二终端向所述私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,以使得在第一终端向所述私钥备份服务器提交的身份认证信息与所述用户的身份验证信息匹配的情况下,所述私钥备份服务器向所述第一终端发送所述加密后的私钥备份文件,所述加密后的私钥备份文件用于被所述第一终端使用所述用户的密钥进行解密获得解密后的私钥备份文件,所述解密后的私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。
12.如权利要求11所述的数据安全签名方法,其特征在于,所述第二终端使用所述用户的密钥对私钥备份文件进行加密之前还包括:
所述第二终端获取所述用户的加密信息;
所述第二终端对所述加密信息进行哈希运算,得到所述用户的密钥。
13.如权利要求11所述的数据安全签名方法,其特征在于,所述第二终端使用所述用户的密钥对私钥备份文件进行加密之前还包括:
所述第二终端根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
14.如权利要求13所述的数据安全签名方法,其特征在于,所述私钥备份请求还携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。
15.如权利要求13或14所述的数据安全签名方法,其特征在于,所述第二终端根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件包括:
所述第二终端对所述业务进程标识或所述密钥进行哈希运算得到哈希值;
将所述哈希值与所述私钥文件的数量进行取模运算,并根据所述取模运算的结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
16.一种业务终端,其特征在于,所述业务终端包括:
私钥请求发送模块,用于向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
认证请求获取模块,用于接收所述私钥备份服务器发送的身份认证请求;
认证信息发送模块,用于根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中所述用户的身份验证信息进行匹配,所述用户的身份验证信息是所述用户通过第二终端提交至所述私钥备份服务器的;
私钥接收模块,用于接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过所述第二终端使用所述用户的密钥进行加密后上传至所述私钥备份服务器的;
私钥解密模块,用于使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;
数字签名模块,用于使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。
17.如权利要求16所述的业务终端,其特征在于,所述业务终端还包括:
解密信息输入模块,用于获取所述用户的解密信息;
密钥获取模块,用于对所述解密信息进行哈希运算,得到所述用户的密钥。
18.如权利要求16或17中任一项所述的业务终端,其特征在于,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件;
所述业务终端还包括:
私钥删除模块,用于根据所述使用限制信息,检测所述私钥备份文件,在检测到所述私钥备份文件满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。
19.如权利要求16或17中任一项所述的业务终端,其特征在于,所述业务终端还包括:
私钥删除模块,用于在检测到发生所述私钥备份文件的复制操作时,删除所述私钥备份文件。
20.如权利要求16或17中任一项所述的业务终端,其特征在于,所述私钥请求还携带所述用户对应的业务进程标识;所述私钥备份文件为所述业务进程标识对应的所述用户的私钥备份文件。
21.一种私钥备份服务器,其特征在于,所述私钥备份服务器包括:
私钥请求接收模块,用于接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;
私钥获取模块,用于根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端使用所述用户的密钥加密后上传至所述私钥备份服务器的;
认证信息获取模块,用于向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息;
身份认证模块,用于判断所述身份认证信息是否与所述用户的身份验证信息匹配,并在确认所述身份认证信息与所述用户的身份验证信息匹配时,通知私钥发送模块向所述第一终端发送所述私钥备份文件,所述用户的身份验证信息是所述用户通过所述第二终端提交至所述私钥备份服务器的;
所述私钥发送模块,用于向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端使用所述用户的密钥进行解密获得解密后的私钥备份文件,所述解密后的私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。
22.如权利要求21所述的私钥备份服务器,其特征在于,所述私钥备份服务器还包括:
备份请求获取模块,用于接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件;
私钥备份模块,用于保存所述私钥备份文件和所述用户的身份标识信息。
23.如权利要求21或22中任一项所述的私钥备份服务器,其特征在于,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。
24.如权利要求21或22中任一项所述的私钥备份服务器,其特征在于,所述私钥发送模块包括:
下载次数限制单元,用于检测所述私钥备份文件的下载次数或下载频率是否达到预设限制条件;
私钥发送单元,用于在所述私钥备份文件的下载次数或下载频率未达到预设限制条件时,向所述第一终端发送所述私钥备份文件。
25.如权利要求22所述的私钥备份服务器,其特征在于,所述私钥备份请求还携带所述用户对应的业务进程标识;
所述私钥备份模块用于:
将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存;
所述私钥请求还携带所述用户对应的业务进程标识;
所述私钥获取模块用于:
根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件。
26.一种业务终端,其特征在于,所述业务终端包括:
备份文件加密模块,用于使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件;
私钥备份请求模块,用于向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,以使得在第一终端向所述私钥备份服务器提交的身份认证信息与所述业务终端预先向所述私钥备份服务器提交的所述用户的身份验证信息匹配的情况下,所述私钥备份服务器向所述第一终端发送所述加密后的私钥备份文件,所述加密后的私钥备份文件用于所述第一终端使用所述用户的密钥进行解密获得解密后的私钥备份文件,所述解密后的私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。
27.如权利要求26所述的业务终端,其特征在于,所述业务终端还包括:
加密信息输入模块,用于获取获取所述用户的加密信息;
密钥获取模块,用于对所述加密信息进行哈希运算,得到所述用户的密钥。
28.如权利要求26所述的业务终端,其特征在于,还包括:
备份私钥选定模块,用于根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
29.如权利要求28所述的业务终端,其特征在于,所述私钥备份请求还携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。
30.如权利要求28或29所述的业务终端,其特征在于,所述备份私钥选定模块用于:
对所述业务进程标识或所述密钥进行哈希运算得到哈希值,将所述哈希值与所述私钥文件的数量进行取模运算,并根据所述取模运算的结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。
CN201510540832.7A 2015-08-28 2015-08-28 一种数据安全签名方法、业务终端以及私钥备份服务器 Active CN106487758B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510540832.7A CN106487758B (zh) 2015-08-28 2015-08-28 一种数据安全签名方法、业务终端以及私钥备份服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510540832.7A CN106487758B (zh) 2015-08-28 2015-08-28 一种数据安全签名方法、业务终端以及私钥备份服务器

Publications (2)

Publication Number Publication Date
CN106487758A CN106487758A (zh) 2017-03-08
CN106487758B true CN106487758B (zh) 2019-12-06

Family

ID=58234866

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510540832.7A Active CN106487758B (zh) 2015-08-28 2015-08-28 一种数据安全签名方法、业务终端以及私钥备份服务器

Country Status (1)

Country Link
CN (1) CN106487758B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108737323B (zh) * 2017-04-13 2021-06-18 山东量子科学技术研究院有限公司 一种数字签名方法、装置及系统
CN107590025A (zh) * 2017-08-17 2018-01-16 深圳市优品壹电子有限公司 一种备份恢复方法及系统
US10797879B2 (en) * 2018-07-03 2020-10-06 Lawrence Liu Methods and systems to facilitate authentication of a user
CN110705985B (zh) * 2019-10-21 2020-09-29 北京海益同展信息科技有限公司 用于存储信息的方法和装置
CN112737784B (zh) * 2020-12-09 2022-03-22 中国电子科技集团公司第三十研究所 基于语音通道实现用户数据安全迁移的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1763684A (zh) * 2004-10-21 2006-04-26 国际商业机器公司 用于对上下文加密密钥进行备份和恢复的方法和系统
CN101065942A (zh) * 2004-12-03 2007-10-31 诺基亚公司 用于从第一终端单元向第二终端单元迁移特定加密访问对象的方法和设备
US8458455B2 (en) * 2006-10-10 2013-06-04 International Business Machines Corporation Techniques for handling SSL certificate expiration and renewal
CN103248490A (zh) * 2013-05-23 2013-08-14 天地融科技股份有限公司 一种备份电子签名令牌中信息的方法和系统
US8745401B1 (en) * 2010-11-12 2014-06-03 Google Inc. Authorizing actions performed by an online service provider
CN104753917A (zh) * 2013-12-30 2015-07-01 三星Sds株式会社 基于id的密钥管理系统及方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1763684A (zh) * 2004-10-21 2006-04-26 国际商业机器公司 用于对上下文加密密钥进行备份和恢复的方法和系统
CN101065942A (zh) * 2004-12-03 2007-10-31 诺基亚公司 用于从第一终端单元向第二终端单元迁移特定加密访问对象的方法和设备
US8458455B2 (en) * 2006-10-10 2013-06-04 International Business Machines Corporation Techniques for handling SSL certificate expiration and renewal
US8745401B1 (en) * 2010-11-12 2014-06-03 Google Inc. Authorizing actions performed by an online service provider
CN103248490A (zh) * 2013-05-23 2013-08-14 天地融科技股份有限公司 一种备份电子签名令牌中信息的方法和系统
CN104753917A (zh) * 2013-12-30 2015-07-01 三星Sds株式会社 基于id的密钥管理系统及方法

Also Published As

Publication number Publication date
CN106487758A (zh) 2017-03-08

Similar Documents

Publication Publication Date Title
CN106487758B (zh) 一种数据安全签名方法、业务终端以及私钥备份服务器
US9741033B2 (en) System and method for point of sale payment data credentials management using out-of-band authentication
US9525549B2 (en) Method and apparatus for securing a mobile application
EP3319292B1 (en) Methods, client and server for checking security based on biometric features
US20160205098A1 (en) Identity verifying method, apparatus and system, and related devices
WO2019152892A1 (en) Technologies for private key recovery in distributed ledger systems
CN106612259B (zh) 身份识别、业务处理以及生物特征信息的处理方法和设备
US10045210B2 (en) Method, server and system for authentication of a person
CN103442061A (zh) 云端服务器文件的加密方法、装置和云端服务器
CN108234442B (zh) 获取合约的方法、系统及可读存储介质
US10644887B2 (en) Identity validity verification method, apparatus and system
WO2020215568A1 (zh) 更换通信号码的方法、装置、系统、计算机设备及存储介质
TWI724684B (zh) 用於執行經過身分驗證的加密操作的方法、系統及裝置
KR101792220B1 (ko) 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램
WO2021249527A1 (zh) 实现MOTOpay的方法、装置及电子设备
WO2017202025A1 (zh) 终端文件加密方法、终端文件解密方法和终端
CN111161056A (zh) 一种提高数字资产交易安全性的方法、系统及设备
US20200233947A1 (en) System and method for facilitating authentication via a short-range wireless token
CN105830079A (zh) 认证信息管理系统、认证信息管理设备、程序、记录介质和认证信息管理方法
US10848304B2 (en) Public-private key pair protected password manager
TWM599939U (zh) 身分驗證系統
WO2017091133A1 (en) Method and system for secure storage of information
CN114238915A (zh) 数字证书添加方法、装置、计算机设备和存储介质
JP2021093063A (ja) 情報処理装置、認証システム、情報処理方法、および認証方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210426

Address after: Unit 3401, unit a, building 6, Shenye Zhongcheng, No. 8089, Hongli West Road, Donghai community, Xiangmihu street, Futian District, Shenzhen, Guangdong 518040

Patentee after: Glory Terminal Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.