CN108289028A - 一种签名认证方法、相关设备及计算机可读存储介质 - Google Patents
一种签名认证方法、相关设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN108289028A CN108289028A CN201810037760.8A CN201810037760A CN108289028A CN 108289028 A CN108289028 A CN 108289028A CN 201810037760 A CN201810037760 A CN 201810037760A CN 108289028 A CN108289028 A CN 108289028A
- Authority
- CN
- China
- Prior art keywords
- terminal
- data
- signature
- group
- signed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种签名认证方法、相关设备及计算机可读存储介质,其中方法包括:接收第一终端发送的待签名数据,所述第一终端为发起签名验证行为的终端;根据预设的签名规则从群终端集合中确定出第二终端,并将所述待签名数据发送至所述第二终端;接收所述第二终端发送的验签数据,所述验签数据为所述第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据;将所述验签数据发送至所述第一终端,以便于所述第一终端将所述验签数据发送至签名验证服务器进行签名验证处理,可以有效保障终端的隐私安全。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种签名认证方法、相关设备及计算机可读存储介质。
背景技术
随着通信技术的不断发展,移动支付得到了越来越广泛的应用,其中身份验证系统作为移动支付的核心,能够有效的验证用户的身份,是移动支付安全性的有利保障。
目前,常用的身份验证系统有FIDD(Fast Identity Online),IFAA(InternetFinance Authentication Alliance)等等,它们采用在终端内内置一把私钥,并在服务器存储对应的公钥的方式,在需要验证用户身份时,使用终端用私钥对待签名数据进行签名,并通过服务器利用公钥验证签名,以确认用户身份。
然而,上述方式可以通过签名轻易地追溯出该终端,用户的身份信息等隐私信息容易被泄露,终端的隐私安全得不到有力的保障。
发明内容
本申请所要解决的技术问题在于如何有效保障终端的隐私安全。
第一方面,本发明实施例提供了一种签名认证方法,该方法包括:
接收第一终端发送的待签名数据,所述第一终端为发起签名验证行为的终端;
根据预设的签名规则从群终端集合中确定出第二终端,并将所述待签名数据发送至所述第二终端;
接收所述第二终端发送的验签数据,所述验签数据为所述第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据;
将所述验签数据发送至所述第一终端,以便于所述第一终端将所述验签数据发送至签名验证服务器进行签名验证处理。
第二方面,本发明实施例提供了一种签名验证方法,应用于终端,所述方法包括:
发送待签名数据至签名管理服务器;
接收所述签名管理服务器返回的验签数据,所述验签数据为第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据,所述第二终端为所述签名管理服务器从群终端集合中确定出的终端;
将所述验签数据发送至签名验证服务器进行签名验证处理。
第三方面,本发明实施例提供了一种签名验证方法,应用于终端,所述方法包括:
接收签名管理服务器发送的待签名数据;
根据所述第二终端的私钥对所述待签名数据进行签名,得到验签数据;
将所述验签数据发送至所述签名管理服务器,以便于所述签名管理服务器将所述验签数据发送至第一终端,所述第一终端为发起签名验证行为的终端。
第四方面,本发明实施例提供了一种签名管理服务器,包括用于执行如上述第一方面所述的方法的单元。
第五方面,本发明实施例提供了一种终端,包括用于执行如上述第二方面所述的方法的单元。
第六方面,本发明实施例提供了一种终端,包括用于执行如上述第三方面所述的方法的单元。
第七方面,本发明实施例提供了一种签名管理服务器,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如上述第一方面所述的方法。
第七方面,本发明实施例提供了一种终端,包括处理器以及存储器,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如上述第二方面所述的方法。
第八方面,本发明实施例提供了一种包括处理器、存储器以及通信设备,所述处理器、通信设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如上述第三方面所述的方法。
第九方面,本发明实施例提供了一种计算机可读存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如上述第一方面所述的方法,或执行如上述第二方面所述的方法,或执行如上述第三方面所述的方法。
本发明实施例通过签名管理服务器接收第一终端发送的待签名数据,并根据预设的签名规则从群终端集合中确定出第二终端,接收第二终端发送的验签数据,将该验签数据发送给第一终端,可以使签名变成群体行为,不会暴露具体终端的信息,保障了终端的隐私安全。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种用于签名认证的整体架构图;
图2为本发明提供的一种签名认证方法的示意流程图;
图3为本发明提供的另一种签名认证方法的示意流程图;
图4为本发明提供的又一种签名认证方法的示意流程图;
图5为本发明提供的又一种签名认证方法的示意流程图;
图6为本发明实施例提供的一种签名管理服务器的示意性框图;
图7为本发明实施例提供的一种第一终端的示意性框图;
图8为本发明实施例提供的一种第二终端的示意性框图;
图9为本发明实施例提供的另一种签名管理服务器的示意性框图;
图10为本发明实施例提供的另一种第一终端的示意性框图;
图11为本发明实施例提供的另一种第二终端的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
具体实现中,本发明实施例中描述的终端包括但不限于诸如具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的移动电话、膝上型计算机或平板计算机之类的其它便携式设备。还应当理解的是,在某些实施例中,所述设备并非便携式通信设备,而是具有触摸敏感表面(例如,触摸屏显示器和/或触摸板)的台式计算机。
在接下来的讨论中,描述了包括显示器和触摸敏感表面的终端。然而,应当理解的是,终端可以包括诸如物理键盘、鼠标和/或控制杆的一个或多个其它物理用户接口设备。
终端支持各种应用程序,例如以下中的一个或多个:绘图应用程序、演示应用程序、文字处理应用程序、网站创建应用程序、盘刻录应用程序、电子表格应用程序、游戏应用程序、电话应用程序、视频会议应用程序、电子邮件应用程序、即时消息收发应用程序、锻炼支持应用程序、照片管理应用程序、数码相机应用程序、数字摄影机应用程序、web浏览应用程序、数字音乐播放器应用程序和/或数字视频播放器应用程序。
可以在终端上执行的各种应用程序可以使用诸如触摸敏感表面的至少一个公共物理用户接口设备。可以在应用程序之间和/或相应应用程序内调整和/或改变触摸敏感表面的一个或多个功能以及终端上显示的相应信息。这样,终端的公共物理架构(例如,触摸敏感表面)可以支持具有对用户而言直观且透明的用户界面的各种应用程序。
下面首先介绍本发明实施例涉及的一种用于签名认证的整体架构。请参阅图1,是本发明实施例提供的一种用于签名认证的整体架构图,图1所示的架构可包括:签名管理服务器101,第一终端102,至少一个第二终端103,签名验证服务器104。
该签名管理服务器101可以用于管理群终端集合,包括增加和/或删除群成员、管理群成员的私钥以及群公钥、管理群签名的签名规则等等。
该第一终端102以及至少一个第二终端103可以为该群终端集合中的终端,该群终端集合中的终端可以存储自身的私钥(在一个实施例中,也可以存储群公钥),并与签名管理服务器通过网络进行通信。具体地,该第一终端102以及该第二终端103可以是智能手机、平板电脑、可穿戴设备、计算机、个人数字助理(英文:Personal Digital Assistant,缩写:PDA)、移动互联网设备(英文:Mobile Internet Device,缩写:MID)等等,本发明实施例对此不作任何限制。
该签名验证服务器104用于对待签名数据的签名进行验证。该签名验证服务器104可以存储该群公钥,以对接收到的待签名数据进行验签。
需要说明的是,该签名验证服务器104可以通过网络与该第一终端102进行通信。
在一个实施例中,该签名管理服务器101可以对终端进行群划分,组成至少一个群终端集合,针对每个群终端集合生成群公钥,并为群终端集合中的每个终端生成私钥,然后先将群公钥上传至签名验证服务器104存储,然后将群公钥及该终端的私钥存储到对应终端。
在一个实施例中,各群终端(包括第一终端102以及第二终端103)通过定时握手的方式与签名管理服务器101保持长连接,并随时接收该签名验证服务器104下发的数据。
在一个实施例中,第一终端102要发起签名时先将待签名数据用自己的私钥签名上传至签名管理服务器101,签名管理服务器101用群公钥验证该待签名数据的合法性,然后根据预设的签名策略选出完成本次签名的第二终端103,把收到的待签名数据传递给该第二终端103。
该第二终端103可以先用公钥验证信息的合法性,然后将待签名数据用自身的私钥重新签名,得到验签数据,并将该验签数据传递给签名管理服务器101。该签名管理服务器101可以将该验签数据转发给第一终端102。该第一终端102收到验签数据后将该验签数据发给签名验证服务器104,签名验证服务器104用群公钥验签,确认签名的有效性及合法性,完成本次签名验证过程。
下面介绍本申请所涉及的方法实施例。请参阅图2,为本发明提供的一种签名认证方法的示意流程图。
需要说明的是,本发明实施例所示的方法的执行主体可以为签名管理服务器,该签名管理服务器例如可以为图1所示的签名管理服务器101。图2所示的方法可包括:
S101、接收第一终端发送的待签名数据。
其中,所述第一终端为发起签名验证行为的终端。在一个实施例中,该第一终端可以为图1所示的第一终端102。
需要说明的是,签名验证服务器可以在需要对第一终端进行身份验证的时候,该第一终端将该待签名数据发送给该签名管理服务器。
其中,该签名验证服务器可以是管理终端中的某个应用的服务器,该应用可以是即时通讯类应用、音乐类音乐、购物类应用、金融类应用等,本发明对此不作任何限制。
在一个实施例中,所述待签名数据为所述第一终端根据所述第一终端的私钥进行签名后的数据。
举例来说,当用户利用第一终端中的金融类应用a进行线下支付,该金融类应用a对应的签名验证服务器需要对该第一终端进行身份验证。该第一终端利用该第一终端的私钥对数据进行签名,得到待签名数据,并将该待签名数据发送给该签名管理服务器,该签名管理服务器接收到该第一终端发送的待签名数据。
S102、根据预设的签名规则从群终端集合中确定出第二终端,并将所述待签名数据发送至所述第二终端。
在一个实施例中,所述预设的签名规则是根据所述群终端集合的当前环境属性确定,所述当前环境属性包括时间段、群终端集合的各个终端各自对应的位置参数、群终端集合中的各个终端的安全性能参数中的任意一种或多种。
举例来说,该签名管理服务器可以根据时间来设置签名规则。例如,按照上午、下午、晚上等的时间段将群终端集合中的终端进行划分。如果当前时间处于下午时段,则可以从下午时段所对应的终端中选择一个终端作为第二终端,如果当前时间处于上午时段,则可以从上午时段所对应的终端中选择一个终端作为第二终端。
又举例来说,该签名管理服务器可以根据安全性能参数来设置签名规则。例如,对群终端集合中的各个终端的安全性能参数进行优先级排序,安全性能参数高的终端的优先级较高,安全性能参数低的终端的优先级较低。终端可以从群终端集合中确定优先级最高的终端为第二终端,也可以从群终端集合中确定优先级处于预设范围阈值的终端,并从该处于预设范围阈值的终端中选取一个终端作为该第二终端。当然,上述方式只是举例,而非穷举,包含但不限于上述可选方式。
在一些可行的实施方式中,该签名验证服务器可以在确定出该第二终端之后,将携带有该第一终端的签名的待签名数据发送给该第二终端。
S103、接收所述第二终端发送的验签数据。
所述验签数据为所述第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据。
在一些可行的实施方式中,该第二终端接收到该待签名数据之后,可以利用该第二终端的私钥对该待签名数据进行签名,得到该验签数据,并将该验签数据发送给该签名验证服务器,该签名验证服务器接收到该第二终端发送的验签数据。
还需要说明的是,该签名验证服务器在接收该验签数据之前,可以首先确认该第二终端的身份。例如,该签名验证服务器可以将该待签名数据的接收方的网络地址与该验签数据的发送方的网络地址进行对比,如果二者的网络地址相同,则可以确定该第二终端身份的合法性,如果二者的网络地址不相同,则可以确定该第二终端身份不合法,该签名验证服务器可以不接收该验签数据。
在一些可行的实施方式中,该第二终端也可以具有多个,各个第二终端之间保持通信。该签名管理服务器可以根据预设的签名规则从群终端集合中确定出多个第二终端,并将该待签名数据发送给第二终端1,第二终端1对该待签名数据进行签名之后,将该待签名数据发送给第二终端2,第二终端2对该待签名数据进行签名之后,发送给第二终端3,以此类推,最后一个第二终端对该待签名数据进行签名之后,得到的待签名数据可以为该验签数据,最后一个第二终端将该验签数据发送给该签名管理服务器,该签名管理服务器接收到该验签数据。
在一些可行的实施方式中,该待签名数据中可以携带该第二终端之间的发送顺序,规定第二终端发送的下一个终端。
S104、将所述验签数据发送至所述第一终端,以便于所述第一终端将所述验签数据发送至签名验证服务器进行签名验证处理。
在一个实施例中,该签名管理服务器可以在接收到该验签数据之时,利用群公钥对该验签数据进行验签,如果验签通过,则将该验签数据发送至该第一终端。如果验签未通过,则可以重新获取原始的待签名数据,并发送给该第二终端进行签名。
需要说明的是,该签名管理服务器在接收到该验签数据之后,可以确定该验签数据对应的待签名数据的原始发送方(即第一终端)的网络地址,并根据该网络地址将该验签数据发送给该第一终端。
在一个实施例中,该第一终端接收到该验签数据之后,可以将该验签数据发送给签名验签服务器进行签名验证处理。
在一个实施例中,该签名验证服务器可以存储有群公钥。该签名验证服务器可以根据该群公钥对该验签数据进行验证,如果该群公钥与该验签数据的私钥签名可以匹配,那么该签名验证服务器可以确认该第一终端的身份合法,如果该群公钥与该验签数据的私钥签名不匹配,那么该签名验证服务器可以确认该第一终端身份不合法。
可见,通过本发明实施例,签名管理服务器接收第一终端发送的待签名数据,并根据预设的签名规则从群终端集合中确定出第二终端,接收第二终端发送的验签数据,将该验签数据发送给第一终端,使签名变成了群体行为,不会暴露具体终端的信息,避免了根据待签名数据便可追溯到具体终端的可能,保障了终端的隐私安全。
请参阅图3,为本发明提供的另一种签名认证方法的示意流程图。
需要说明的是,本发明实施例所示的方法的执行主体可以为签名管理服务器,该签名管理服务器例如可以为图1所示的签名管理服务器101。图3所示的方法可包括:
S201、确定群终端集合。
在一个实施例中,所述确定群终端集合,包括:根据预设的分类规则确定群终端集合。
需要说明的是,该预设的分类规则可以是根据终端的成员属性、终端机型、终端的业务类型中的任意一种或多种确定的。
举例来说,该签名管理服务器可以将成员属性为家人的终端组成一个群终端集合,将成员属性为同学的终端组成一个群终端集合,将成员属性为同事的终端组成一个群终端集合等等,本发明对此不作任何限制。
又举例来说,该签名管理服务器可以将终端机型为同一型号或者同一系统的组成一个群终端集合。例如,将型号为123455的终端组成一个群终端集合,将系统为安卓系统的终端组成一个群终端集合等等。当然,上述方式只是举例,而非穷举,包含但不限于上述可选方式。
在一些可行的实施方式中,群终端集合中的各个终端可以通过定时握手的方式与签名管理服务器保持长连接,以便于随时接收该签名管理服务器发送的签名数据。
S202、针对所述群终端集合生成群公钥。
需要说明的是,该群终端集合可以有多个,该签名管理服务器可以针对每一个群终端集合都生成一个群公钥。也就是说,群终端集合a对应着群公钥a,群终端集合b对应着群公钥b,群终端集合c对应着群公钥c。
在一些可行的实施方式中,该签名管理服务器还可以针对群终端集合中的每一个终端都生成各自对应的私钥。
S203、将所述群公钥保存至所述签名管理服务器,并将各个私钥以及所述群公钥分别发送至对应的终端中。
在一个实施例中,该签名管理服务器可以将生成的群公钥按照对应的群终端集合进行保存,并将生成的私钥发送给对应的终端,并按照终端所属的群终端集合,将该群终端集合对应的群公钥发送给该终端。
S204、接收第一终端发送的待签名数据。
所述待签名数据为所述第一终端根据所述第一终端的私钥进行签名后的数据。
S205、根据群公钥对所述待签名数据进行验证,所述群公钥与群终端集合中的各个私钥相匹配。
需要说明的是,该签名验证服务器可以利用与该群终端集合中的私钥相匹配的群公钥,将接收到的待签名数据进行验证。
还需要说明的是,如果该签名验证服务器利用该群公钥验证该待签名数据通过,则可以确定该待签名数据为合法数据,并执行该S206步骤。
如果该签名验证服务器利用该群公钥验证该待签名数据未通过,则可以确定该待签名数据为不合法数据,可以不再对该待签名数据进行处理。
S206、若验证结果为所述待签名数据为合法数据,则根据预设的签名规则从群终端集合中确定出第二终端,并将所述待签名数据发送至所述第二终端。
需要说明的是,如果该待签名数据为合法数据,则可以说明该第一终端属于该群终端集合中的终端。该签名管理服务器可以根据该预设的签名规则从该群终端集合中确定出该第二终端。
S207、接收所述第二终端发送的验签数据。
S208、将所述验签数据发送至所述第一终端,以便于所述第一终端将所述验签数据发送至签名验证服务器进行签名验证处理。
需要说明的是,上述S207以及S208的具体实现过程可以参考前述方法实施例中的S103以及S104中的相关描述,在此不再赘述。
可见,在本发明实施例中,通过该签名管理服务器将各个终端进行群划分,组成不同的群终端集合,然后针对每个群终端集合生成群公钥,并为每个终端生成私钥并发送至对应终端,在第一终端要发起验证行为时,将该待签名数据发送给该签名管理服务器,该签名管理服务器把该待签名数据发送给第二终端,并接收第二终端发送的验签数据,将该验签数据发送给第一终端,使签名变成了群体行为,不会暴露具体终端的信息,避免了根据待签名数据便可追溯到具体终端的可能,保障了终端的隐私安全。
请参阅图4,为本发明提供的又一种签名认证方法的示意流程图。
需要说明的是,本发明实施例所示的方法的执行主体可以为第一终端,该第一终端例如可以为图1所示的第一终端102。图4所示的方法可包括:
S301、第一终端发送待签名数据至签名管理服务器。
需要说明的是,该第一终端可以发起签名验证行为。
还需要说明的是,签名验证服务器可以在需要对第一终端进行身份验证的时候,该第一终端将该待签名数据发送给该签名管理服务器。
在一个实施例中,所述待签名数据为所述第一终端根据所述第一终端的私钥进行签名后的数据。
举例来说,该第一终端利用该第一终端的私钥对数据进行签名,得到待签名数据,并将该待签名数据发送给该签名管理服务器,该签名管理服务器接收到该第一终端发送的待签名数据。
S302、第一终端接收所述签名管理服务器返回的验签数据。
在一个实施例中,该验签数据为第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据。
其中,该第一终端和该第二终端可以处于同一个群终端集合中。
在一个实施例中,该签名验证服务器可以根据预设的签名规则从群终端集合中确定出第二终端,并将所述待签名数据发送至所述第二终端。该第二终端接收到该待签名数据之后,可以利用该第二终端的私钥对该待签名数据进行签名,得到该验签数据。
在一个实施例中,该签名管理服务器可以在接收到该验签数据之时,利用群公钥对该验签数据进行验签,如果验签通过,则将该验签数据发送至该第一终端。
S303、第一终端将所述验签数据发送至签名验证服务器进行签名验证处理。
在一个实施例中,该第一终端接收到该验签数据之后,可以将该验签数据发送给签名验签服务器进行签名验证处理。
在一个实施例中,该签名验证服务器可以存储有群公钥。该签名验证服务器可以根据该群公钥对该验签数据进行验证,如果该群公钥与该验签数据的私钥签名可以匹配,那么该签名验证服务器可以确认该第一终端的身份合法,如果该群公钥与该验签数据的私钥签名不匹配,那么该签名验证服务器可以确认该第一终端身份不合法。
可见,通过本发明实施例,该第一终端可以发送待签名数据给签名管理服务器,并接收该签名管理服务器返回的验签数据,最后发送该验签数据至签名验证服务器进行验证。该验签数据中包括了第二终端的签名,不会暴露具体终端的信息,避免了根据待签名数据便可追溯到具体终端的可能,保障了终端的隐私安全。
请参阅图5,为本发明提供的又一种签名认证方法的示意流程图。
需要说明的是,本发明实施例所示的方法的执行主体可以为二终端,该第二终端例如可以为图1所示的第二终端103。图5所示的方法可包括:
S401、第二终端接收签名管理服务器发送的待签名数据。
在一个实施例中,所述待签名数据为所述第一终端根据所述第一终端的私钥进行签名后的数据。
其中,该第一终端和该第二终端可以处于同一个群终端集合中。
S402、第二终端根据所述第二终端的私钥对所述待签名数据进行签名,得到验签数据。
在一些可行的实施方式中,该第二终端接收到该待签名数据之后,可以利用该第二终端的私钥对该待签名数据进行签名,得到该验签数据,并将该验签数据发送给该签名验证服务器,该签名验证服务器接收到该第二终端发送的验签数据。
S403、第二终端将所述验签数据发送至所述签名管理服务器,以便于所述签名管理服务器将所述验签数据发送至第一终端。
在一些可行的实施方式中,该第二终端可以将该目标验证数据发送给下一个终端。该待签名数据中可以携带该第二终端之间的发送顺序,规定第二终端发送的下一个终端。
举例来说,该签名管理服务器可以将该待签名数据发送给第二终端1,第二终端1对该待签名数据进行签名之后,将该待签名数据发送给第二终端2,第二终端2对该待签名数据进行签名之后,发送给第二终端3,以此类推,最后一个第二终端对该待签名数据进行签名之后,得到的待签名数据可以为该验签数据,最后一个第二终端将该验签数据发送给该签名管理服务器,该签名管理服务器接收到该验签数据。
可见,在本发明实施例中,通过第二终端接收该签名管理服务器的待签名数据,并对该待签名数据进行签名后发送给该签名管理服务器,以便于所述签名管理服务器将所述验签数据发送至第一终端,避免了根据待签名数据便可追溯到具体终端的可能,保障了终端的隐私安全。
本发明实施例还提供一种签名管理服务器。具体地,请参见图6,为本发明实施例提供的一种签名管理服务器的示意性框图。本实施例的签名管理服务器包括:
接收单元601,用于接收第一终端发送的待签名数据。
其中,所述第一终端为发起签名验证行为的终端。
确定单元602,用于根据预设的签名规则从群终端集合中确定出第二终端,并将所述待签名数据发送至所述第二终端。
接收单元601,用于接收所述第二终端发送的验签数据。
所述验签数据为所述第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据。
发送单元603,用于将所述验签数据发送至所述第一终端,以便于所述第一终端将所述验签数据发送至签名验证服务器进行签名验证处理。
在一个实施例中,所述待签名数据为所述第一终端根据所述第一终端的私钥进行签名后的数据。
所述签名管理服务器还包括:验证单元604,用于根据群公钥对所述待签名数据进行验证,所述群公钥与群终端集合中的各个私钥相匹配。
所述确定单元602,具体用于若验证结果为所述待签名数据为合法数据,则执行所述根据预设的签名规则从群终端集合中确定出第二终端。
在一个实施例中,所述确定单元602,还用于确定群终端集合,所述群终端集合中至少包括所述第一终端以及所述第二终端。
所述签名管理服务器还包括:生成单元605,用于针对所述群终端集合生成群公钥,并针对所述群终端集合中的各个终端生成各自对应的私钥。
保存单元606,用于将所述群公钥保存至所述签名管理服务器,并通过发送单元603将各个私钥以及所述群公钥分别发送至对应的终端中。
在一个实施例中,所述确定单元602,具体用于根据预设的分类规则确定群终端集合,所述预设的分类规则是根据终端的成员属性、终端机型、终端的业务类型中的任意一种或多种确定的。
在一个实施例中,所述预设的签名规则是根据所述群终端集合的当前环境属性确定,所述当前环境属性包括时间段、群终端集合的各个终端各自对应的位置参数、群终端集合中的各个终端的安全性能参数中的任意一种或多种。
可见,在本发明实施例中,通过签名管理服务器接收第一终端发送的待签名数据,并根据预设的签名规则从群终端集合中确定出第二终端,接收第二终端发送的验签数据,将该验签数据发送给第一终端,使签名变成了群体行为,不会暴露具体终端的信息,避免了根据待签名数据便可追溯到具体终端的可能,保障了终端的隐私安全。
本发明实施例还提供一种第一终端。具体地,请参见图7,为本发明实施例提供的一种第一终端的示意性框图。本发明实施例的第一终端包括:
第一发送单元701,用于发送待签名数据至签名管理服务器。
接收单元702,用于接收所述签名管理服务器返回的验签数据。
所述验签数据为第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据,所述第二终端为所述签名管理服务器从群终端集合中确定出的终端。
第二发送单元703,用于将所述验签数据发送至签名验证服务器进行签名验证处理。
可见,在本发明实施例中,该第一终端可以发送待签名数据给签名管理服务器,并接收该签名管理服务器返回的验签数据,最后发送该验签数据至签名验证服务器进行验证。该验签数据中包括了第二终端的签名,不会暴露具体终端的信息,避免了根据待签名数据便可追溯到具体终端的可能,保障了终端的隐私安全。
本发明实施例还提供一种第二终端。具体地,请参见图8,是本发明实施例提供的一种第二终端的示意性框图。本发明实施例的第二终端包括:
接收单元801,用于接收签名管理服务器发送的待签名数据。
得到单元802,用于根据所述第二终端的私钥对所述待签名数据进行签名,得到验签数据。
发送单元803,用于将所述验签数据发送至所述签名管理服务器,以便于所述签名管理服务器将所述验签数据发送至第一终端,所述第一终端为发起签名验证行为的终端。
可见,在本发明实施例中,第二终端接收该签名管理服务器的待签名数据,并对该待签名数据进行签名后发送给该签名管理服务器,以便于所述签名管理服务器将所述验签数据发送至第一终端,避免了根据待签名数据便可追溯到具体终端的可能,保障了终端的隐私安全。
请参见图9,为本发明实施例提供的另一种签名管理服务器的示意性框图。如图9所示的本实施例中的签名管理服务器可以包括:一个或多个处理器2000;一个或多个输入设备1000,一个或多个输出设备4000和存储器3000。上述处理器2000、输入设备1000、输出设备4000和存储器通过总线连接。存储器3000用于存储计算机程序,该计算机程序包括程序指令,处理器2000用于执行存储器3000存储的程序指令。其中,处理器2000被配置用于调用该程序指令执行:
接收第一终端发送的待签名数据,所述第一终端为发起签名验证行为的终端;
根据预设的签名规则从群终端集合中确定出第二终端,并将所述待签名数据发送至所述第二终端;
接收所述第二终端发送的验签数据,所述验签数据为所述第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据;
将所述验签数据发送至所述第一终端,以便于所述第一终端将所述验签数据发送至签名验证服务器进行签名验证处理。
在一个实施例中,所述待签名数据为所述第一终端根据所述第一终端的私钥进行签名后的数据。
所述处理器2000还用于根据群公钥对所述待签名数据进行验证,所述群公钥与群终端集合中的各个私钥相匹配;若验证结果为所述待签名数据为合法数据,则执行所述根据预设的签名规则从群终端集合中确定出第二终端。
在一个实施例中,所述处理器2000还用于确定群终端集合,所述群终端集合中至少包括所述第一终端以及所述第二终端;针对所述群终端集合生成群公钥,并针对所述群终端集合中的各个终端生成各自对应的私钥;将所述群公钥保存至所述签名管理服务器,并将各个私钥以及所述群公钥分别发送至对应的终端中。
在一个实施例中,所述处理器2000具体用于根据预设的分类规则确定群终端集合,所述预设的分类规则是根据终端的成员属性、终端机型、终端的业务类型中的任意一种或多种确定的。
在一个实施例中,所述预设的签名规则是根据所述群终端集合的当前环境属性确定,所述当前环境属性包括时间段、群终端集合的各个终端各自对应的位置参数、群终端集合中的各个终端的安全性能参数中的任意一种或多种。
应当理解,在本发明实施例中,该处理器2000可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
输入设备1000可以包括触控板、指纹采传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风等,输出设备4000可以包括显示器(LCD等)、扬声器等。
该存储器3000可以包括只读存储器和随机存取存储器,并向处理器801提供指令和数据。存储器3000的一部分还可以包括非易失性随机存取存储器。例如,存储器3000还可以存储设备类型的信息。
具体实现中,本发明实施例中所描述的处理器2000、输入设备1000、输出设备4000可执行本发明实施例提供的方法的实施例中签名管理服务器所描述的实现方式,在此不再赘述。
请参见图10,为本发明实施例提供的另一种第一终端的示意性框图。如图10所示的第一终端可以包括:
一个或多个处理器5000以及存储器6000。存储器5000用于存储计算机程序,该计算机程序包括程序指令,处理器5000用于执行存储器6000存储的程序指令。其中,处理器5000被配置用于调用该程序指令执行:
发送待签名数据至签名管理服务器;
接收所述签名管理服务器返回的验签数据,所述验签数据为第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据,所述第二终端为所述签名管理服务器从群终端集合中确定出的终端;
将所述验签数据发送至签名验证服务器进行签名验证处理。
请参见图11,为本发明实施例提供的另一种第二终端的示意性框图。如图10所示的第二终端可以包括:
一个或多个处理器7000以及存储器8000以及通信设备9000。存储器8000用于存储计算机程序,该计算机程序包括程序指令,处理器7000用于执行存储器8000存储的程序指令。其中,处理器7000被配置用于调用该程序指令执行:
接收签名管理服务器发送的待签名数据;
根据所述第二终端的私钥对所述待签名数据进行签名,得到验签数据;
将所述验签数据发送至所述签名管理服务器,以便于所述签名管理服务器将所述验签数据发送至第一终端,所述第一终端为发起签名验证行为的终端。
在本发明的另一实施例中提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时可以实现上述签名管理服务器所描述的方法,或者实现上述第一终端所描述的方法,或者实现上述第二终端所描述的方法。
所述计算机可读存储介质可以是前述任一实施例所述的终端或签名管理服务器的内部存储单元,例如终端或签名管理服务器的硬盘或内存。所述计算机可读存储介质也可以是所述终端的外部存储设备,例如所述终端或签名管理服务器其上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述计算机可读存储介质还可以既包括所述终端或签名管理服务器的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述终端所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的终端和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的服务器、终端和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种签名认证方法,其特征在于,应用于签名管理服务器,所述方法包括:
接收第一终端发送的待签名数据,所述第一终端为发起签名验证行为的终端;
根据预设的签名规则从群终端集合中确定出第二终端,并将所述待签名数据发送至所述第二终端;
接收所述第二终端发送的验签数据,所述验签数据为所述第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据;
将所述验签数据发送至所述第一终端,以便于所述第一终端将所述验签数据发送至签名验证服务器进行签名验证处理。
2.如权利要求1所述的方法,其特征在于,所述待签名数据为所述第一终端根据所述第一终端的私钥进行签名后的数据;
所述根据预设的签名规则从群终端集合中确定出第二终端之前,所述方法还包括:
根据群公钥对所述待签名数据进行验证,所述群公钥与群终端集合中的各个私钥相匹配;
若验证结果为所述待签名数据为合法数据,则执行所述根据预设的签名规则从群终端集合中确定出第二终端。
3.如权利要求1或2所述的方法,其特征在于,所述方法还包括:
确定群终端集合,所述群终端集合中至少包括所述第一终端以及所述第二终端;
针对所述群终端集合生成群公钥,并针对所述群终端集合中的各个终端生成各自对应的私钥;
将所述群公钥保存至所述签名管理服务器,并将各个私钥以及所述群公钥分别发送至对应的终端中。
4.如权利要求3所述的方法,其特征在于,所述确定群终端集合,包括:
根据预设的分类规则确定群终端集合,所述预设的分类规则是根据终端的成员属性、终端机型、终端的业务类型中的任意一种或多种确定的。
5.如权利要求1所述的方法,其特征在于,所述预设的签名规则是根据所述群终端集合的当前环境属性确定,所述当前环境属性包括时间段、群终端集合的各个终端各自对应的位置参数、群终端集合中的各个终端的安全性能参数中的任意一种或多种。
6.一种签名验证方法,其特征在于,应用于终端,所述方法包括:
发送待签名数据至签名管理服务器;
接收所述签名管理服务器返回的验签数据,所述验签数据为第二终端根据所述第二终端的私钥对所述待签名数据进行签名后的数据,所述第二终端为所述签名管理服务器从群终端集合中确定出的终端;
将所述验签数据发送至签名验证服务器进行签名验证处理。
7.一种签名验证方法,其特征在于,应用于终端,所述方法包括:
接收签名管理服务器发送的待签名数据;
根据所述第二终端的私钥对所述待签名数据进行签名,得到验签数据;
将所述验签数据发送至所述签名管理服务器,以便于所述签名管理服务器将所述验签数据发送至第一终端,所述第一终端为发起签名验证行为的终端。
8.一种签名管理服务器,其特征在于,包括用于执行如权利要求1-5任一权利要求所述的方法的单元。
9.一种终端,其特征在于,包括用于执行如权利要求6所述的方法的单元。
10.一种终端,其特征在于,包括用于执行如权利要求7所述的方法的单元。
11.一种签名管理服务器,其特征在于,包括处理器、输入设备、输出设备和存储器,所述处理器、输入设备、输出设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-5任一项所述的方法。
12.一种终端,其特征在于,包括处理器以及存储器,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求6所述的方法。
13.一种终端,其特征在于,包括处理器、存储器以及通信设备,所述处理器、通信设备和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求7所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-5任一项所述的方法,或执行如权利要求6所述的方法,或执行如权利要求7所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810037760.8A CN108289028A (zh) | 2018-01-15 | 2018-01-15 | 一种签名认证方法、相关设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810037760.8A CN108289028A (zh) | 2018-01-15 | 2018-01-15 | 一种签名认证方法、相关设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108289028A true CN108289028A (zh) | 2018-07-17 |
Family
ID=62835261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810037760.8A Withdrawn CN108289028A (zh) | 2018-01-15 | 2018-01-15 | 一种签名认证方法、相关设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108289028A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413116A (zh) * | 2019-01-03 | 2019-03-01 | 国家电网有限公司 | 一种可信的云端身份认证方法及系统 |
| CN109472167A (zh) * | 2018-11-14 | 2019-03-15 | 北京天威诚信电子商务服务有限公司 | 一种数字签名方法及装置 |
| CN109600233A (zh) * | 2019-01-15 | 2019-04-09 | 西安电子科技大学 | 基于sm2数字签名算法的群签名标识签发方法 |
| CN112184960A (zh) * | 2020-09-28 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 一种智能锁控制方法、装置、智能锁、系统和存储介质 |
-
2018
- 2018-01-15 CN CN201810037760.8A patent/CN108289028A/zh not_active Withdrawn
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109472167A (zh) * | 2018-11-14 | 2019-03-15 | 北京天威诚信电子商务服务有限公司 | 一种数字签名方法及装置 |
| CN109413116A (zh) * | 2019-01-03 | 2019-03-01 | 国家电网有限公司 | 一种可信的云端身份认证方法及系统 |
| CN109600233A (zh) * | 2019-01-15 | 2019-04-09 | 西安电子科技大学 | 基于sm2数字签名算法的群签名标识签发方法 |
| CN109600233B (zh) * | 2019-01-15 | 2021-06-08 | 西安电子科技大学 | 基于sm2数字签名算法的群签名标识签发方法 |
| CN112184960A (zh) * | 2020-09-28 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 一种智能锁控制方法、装置、智能锁、系统和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107704765A (zh) | 一种接口访问方法、服务器及计算机可读存储介质 | |
| US10169580B2 (en) | Identifying whether an application is malicious | |
| CN108289028A (zh) | 一种签名认证方法、相关设备及计算机可读存储介质 | |
| GB2565411A (en) | Improved hardware security module management | |
| CN107086984A (zh) | 一种获取和生成验证码的方法、终端及服务器 | |
| TW201241666A (en) | Client hardware authenticated transactions | |
| CN110400217B (zh) | 智能合约的规则变更处理方法及装置 | |
| WO2021169382A1 (zh) | 链接检测方法、装置、电子设备及存储介质 | |
| US11916936B2 (en) | Techniques for incentivized intrusion detection system | |
| US11895105B2 (en) | Authenticated interface element interactions | |
| CN110070360B (zh) | 一种事务请求处理方法、装置、设备及存储介质 | |
| CN110244963B (zh) | 数据更新方法、装置及终端设备 | |
| CN108400868A (zh) | 种子密钥的存储方法、装置及移动终端 | |
| CN107368735A (zh) | 一种应用安装方法、移动终端和计算机可读存储介质 | |
| CN107656750A (zh) | 插件更新方法及装置 | |
| CN114741446A (zh) | 一种数据上链方法、装置、终端及存储介质 | |
| CN106685945A (zh) | 业务请求处理方法、业务办理号码的验证方法及其终端 | |
| CN108171063A (zh) | 访问安全元件的方法、终端及计算机可读存储介质 | |
| CN107248078A (zh) | 移动支付防护方法、移动终端及计算机可读存储介质 | |
| CN108520186A (zh) | 录屏方法、移动终端及计算机可读存储介质 | |
| CN107301236A (zh) | 应用搜索方法、移动终端、服务器及计算机可读存储介质 | |
| US20230245118A1 (en) | Point-to-point (p2p)-based data processing method and system, computing device, and storage medium | |
| CN108985758B (zh) | 数据处理方法、数据处理系统及终端设备 | |
| WO2010012721A1 (en) | Propagating information from a trust chain processing | |
| CN104995635B (zh) | 图片发送方法和装置以及终端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180717 |