CN113271207A - 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 - Google Patents

基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 Download PDF

Info

Publication number
CN113271207A
CN113271207A CN202110542774.7A CN202110542774A CN113271207A CN 113271207 A CN113271207 A CN 113271207A CN 202110542774 A CN202110542774 A CN 202110542774A CN 113271207 A CN113271207 A CN 113271207A
Authority
CN
China
Prior art keywords
mobile electronic
electronic signature
certificate
client
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110542774.7A
Other languages
English (en)
Inventor
潘鸣华
龚俊鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Ruishu Information Technology Co ltd
Original Assignee
Fujian Ruishu Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Ruishu Information Technology Co ltd filed Critical Fujian Ruishu Information Technology Co ltd
Publication of CN113271207A publication Critical patent/CN113271207A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

本申请涉及信息安全PKI技术领域,具体涉及基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质。本方法步骤:移动电子签名客户端进行机构证书申请并将机构证书及私钥托管在云端密码设备,同时生成用户私钥分散保存在移动电子签名客户端和云端协同签名系统并申请个人证书;移动电子签名客户端请求机构证书或私钥授权验证;移动电子签名服务端对个人用户进行权限验证后使用机构证书或私钥对业务数据进行处理并返回结果;使用个人用户私钥对业务处理记录进行数字签名并保存。本方法采用云密码服务技术对密钥进行集中管理,向被授权用户提供密码服务的同时对日志记录进行数字签名存储,在保障私钥安全的同时保障授权用户的行为不可抵赖。

Description

基于移动电子签名的托管密钥使用方法、系统、计算机设备及 存储介质
技术领域
本申请涉及技术领域,具体涉及基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质。
背景技术
随着数据信息化以及互联网技术的不断发展,密码技术在网络及信息安全方面发挥了越来越重要的作用。密码技术是对信息进行加密、分析、识别和确认以及对密钥进行管理的技术,可有效保障网络中的用户身份认证、数据电文机密真实不可篡改、业务行为不可否认,被广泛应用于网络的各个层次中。根据技术特征,现代密码学算法主要分为三类:对称算法、非对称算法、摘要算法,其中非对称算法是指加密密钥和解密密钥不相同的算法,该算法使用一个密钥进行加密,用另一个密钥进行解密。其中加密密钥可以公开,又称为公钥;解密密钥必须保密,又称为私钥。如果使用公钥对数据进行加密,则只有公钥对应的私钥才能进行解密。当私钥丢失时,将导致公钥加密的所有数据都无法解密。
同时,在非对称算法的基础上,PKI(公钥证书体系)通过证书认证机构(CA)、数字证书等技术并制定相应标准,有效的解决了密钥与用户的映射关系。数字证书也称公钥证书,是由证书认证机构(CA)签名的包含公钥拥有者信息、公钥、签发者信息、有效期以及扩展信息的一种数据结构。根据证书持有者类型可以分为个人证书、机构证书、设备证书。RA作为CA授权委托的下属机构,负责受理数字证书注册申请。基于PKI(公钥证书体系),用户可以对互联网上所传输的各种信息进行加密、解密、数字签名与签名认证等各种处理,保障在数据电文传输的过程中不被不法分子所侵入,或者即使受到侵入也无法查看其中的内容。
在某些应用场景中,如同一机构内,多个用户均需要使用机构的数字证书及私钥(可以是机构/机构法人/机构项目负责人的数字证书及私钥)进行数字签名和数据加解密等密码应用。在获得机构管理员授权的情况下,此类用户可代表机构进行代理委托签名。如图1所示是一种现有技术的实现方式,包括:步骤101,机构员工申请办理机构证书,并获得机构管理员授权。步骤102,被授权的机构员工向RA系统提交办理机构证书的申请,数字证书及私钥保存在密码设备或软件系统中,由被授权的员工进行保管。步骤103,被授权的机构员工使用机构数字证书及私钥,在应用系统上进行数字签名、加解密等密码应用。该实现方式将机构证书及私钥交给被授权用户进行保管,存在如下几个问题:第一,存在私钥泄露或被非法用户冒名使用的风险。第二,存在被授权用户非法使用机构证书及私钥,且事后抵赖的风险。第三,存在使用机构证书进行加密的数据,由于私钥遗失而无法解密的风险。
因此,如何基于上述应用场景提供更加安全可靠的技术方案是亟需解决的一个问题。
发明内容
本发明的目的之一在于提供一种在多个用户均需要使用的数字证书及私钥进行数字签名和数据加解密等密码应用场景时能够保证安全性和可靠性的技术方案。
为了解决上述技术问题,本发明提供了基于移动电子签名的托管密钥使用方法,包括以下步骤:
移动电子签名客户端向通过移动电子签名服务端向RA系统申请机构证书并将所述机构证书及其私钥托管在云端密码设备中;
所述移动电子签名客户端生成用户私钥并通过云端协同签名系统向RA系统申请个人证书;所述个人证书存放于所述移动电子签名客户端中;所述用户私钥分散保存在所述移动电子签名客户端和所述云端协同签名系统中;
所述移动电子签名客户端向移动电子签名服务端请求所述机构证书或私钥的授权验证;
所述移动电子签名服务端进行权限验证;
所述移动电子签名客户端将待处理业务的数据发送给所述移动电子签名服务端,由所述移动电子签名服务端使用所述机构证书或私钥进行业务处理并返回结果;
所述移动电子签名客户端使用所述用户私钥对业务处理记录进行数字签名并保存。
进一步地,所述移动电子签名客户端向移动电子签名服务端申请机构证书并将所述机构证书及其私钥托管在云端密码设备中,具体为:
所述移动电子签名客户端向移动电子签名服务端提交机构证书申请材料;
所述移动电子签名服务端对所述机构证书申请材料进行审核;
所述移动电子签名服务端向RA系统申请机构证书;
所述RA系统向所述移动电子签名服务端下发机构证书;
所述移动电子签名服务端将所述机构证书及其私钥托管在云端密码设备中。
进一步地,所述移动电子签名客户端生成用户私钥并向云端协同签名系统申请个人证书,具体为:
所述移动电子签名客户端对个人用户进行身份信息核验;
所述移动电子签名客户端通过安全键盘获取个人用户设置的数字证书PIN口令;
所述移动电子签名客户端的根据设备因子、随机因子和PIN口令生成第一部分用户私钥和第一部分用户公钥,并将所述第一部分用户公钥发送给所述云端协同签名系统;
所述云端协同签名系统根据外部因子以及所述第一部分用户公钥生成第二部分用户私钥以及完整用户公钥,并将完整用户公钥发送给所述移动电子签名客户端;
所述移动电子签名客户端将用户信息编码后发送给云端协同签名系统,由所述云端协同签名系统向RA系统申请用户个人证书;
所述RA系统将所述个人证书下发给所述云端协同签名系统;
所述云端协同签名系统将所述个人证书发送给所述移动电子签名客户端。
进一步地,所述移动电子签名服务端进行权限验证,具体为:
所述移动电子签名客户端通过安全键盘获取用户输入的PIN口令发送给云端协同签名系统;
所述云端协同签名系统验证所述PIN口令是否正确,若PIN口令不正确,则将验证结果返回给所述移动电子签名客户端,若PIN口令正确,则通知所述移动电子签名服务端进行下一步处理;
所述移动电子签名服务端验证个人用户是否有使用托管在密码设备中的所述机构证书或私钥的权限,并返回权限验证结果给所述移动电子签名客户端。
进一步地,所述移动电子签名客户端使用所述用户私钥对业务处理记录进行数字签名并保存,具体为:
所述移动电子签名服务端对业务处理数据进行哈希运算得到第一哈希值;
所述移动电子签名服务端将用户信息、第一哈希值、业务操作类型以及操作时间组合后进行哈希运算得到第二哈希值并发送给所述移动电子签名客户端;
所述移动电子签名客户端根据所述第一部分用户私钥以及第二哈希值计算出第一签名值,并将所述第一签名值和第二哈希值发送给所述云端协同签名系统;
所述云端协同签名系统根据所述第一签名值、第二哈希值以及第二部分用户私钥计算出第二签名值并返回给所述移动电子签名客户端;
所述移动电子签名客户端根据所述第一部分用户私钥以及所述第二签名值计算出第三签名值,并将所述第三签名值发送给移动电子签名服务端;
所述移动电子签名服务端保存所述第三签名值。
进一步地,所述待处理业务,包括数字签名、数据加密以及数据解密。
相应地,本申请还提供了一种基于移动电子签名的托管密钥使用系统,其特征在于,包括移动电子签名客户端、移动电子签名服务端、云端协同签名系统、云端密码设备以及RA系统;
所述移动电子签名客户端部署于智能终端上,分别与所述移动电子签名服务端、所述云端协同签名系统连接,用于向所述移动电子签名服务端提交机构证书申请,向所述移动电子签名服务端请求所述机构证书或私钥授权验证;用于向所述云端协同签名系统提交个人证书申请,同时保存个个人证书以及第一部分用户私钥;用于将待处理业务的数据发送给移动电子签名服务端;用于使用所述用户私钥对业务处理记录进行数字签名;
所述移动电子签名服务端,分别与所述移动电子签名客户端、所述云端协同签名系统、所述云端密码设备以及所述RA系统进行连接,用于审核所述移动电子签名客户端提交的机构证书申请材料并向所述RA系统申请机构证书;用于对个人用户进行权限验证;用于使用所述机构证书或私钥进行业务处理并返回结果给所述移动电子签名客户端;用于保存数字签名后的业务处理记录;
所述云端协同签名系统,分别与所述移动电子签名客户端、所述移动电子签名服务端以及所述RA系统进行连接,用于审核所述移动电子签名客户端提交的个人证书申请材料并向所述RA系统申请个人证书;用于保存第二部分用户私钥;用于与所述移动电子签名服务端协同完成数字签名;
所述密码设备,与所述移动电子签名服务端连接,用于保存机构证书及其私钥;
所述RA系统,用于向所述移动电子签名服务端下发机构证书以及向所述云端协同签名系统下发个人证书。
相应地,本申请还提供了一种计算机设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项基于移动电子签名的托管密钥使用方法的步骤。
相应地,本申请还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一项基于移动电子签名的托管密钥使用方法的步骤。
区别于现有技术,本发明技术方案的有益效果有:
1.采用云密码服务技术,将机构证书及其密钥托管在云端密码设备上,由平台对多个用户共同使用的密钥进行集中管理,保证密码的安全性,也避免了个人保存不当造成密钥遗失的风险。
2.通过将个人用户的用户私钥分散保存在移动电子签名客户端以及云端协同签名系统,在签名及验签操作时需两者协同工作得到处理结果,提高了密钥的安全性,也避免了由于部分密钥泄漏引发的风险。
3.通过移动电子签名客户端向移动电子签名服务端申请使用机构证书及私钥,由移动电子签名服务端进行权限验证并处理业务数据返回给移动电子签名客户端,该方式可保证机构证书及其密钥不被非法用户冒名使用。
4.使用授权用户的私钥对业务处理记录进行数字签名并保存在移动电子签名服务端,保证了授权用户的行为不可抵赖,可事后溯源。
附图说明
图1是现有技术方案的步骤流程图。
图2是本发明基于移动电子签名的托管密钥使用方法步骤流程图。
图3是本发明移动电子签名客户端向移动电子签名服务端申请机构证书步骤流程图。
图4是本发明移动电子签名客户端生成用户私钥并向云端协同签名系统申请个人证书步骤流程图。
图5是本申请移动电子签名服务端进行权限验证的步骤流程图。
图6是本发明移动电子签名客户端使用所述用户私钥对业务处理记录进行数字签名并保存的步骤流程图。
图7是本发明基于移动电子签名的托管密钥使用系统的架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图2所述,是本发明基于移动电子签名的托管密钥使用方法的步骤流程图,包括以下步骤:
步骤S1、移动电子签名客户端通过移动电子签名服务端向RA系统申请机构证书并将所述机构证书及其私钥托管在云端密码设备中。
本申请中,移动电子签名客户端是指安装在移动设备上,向应用提供者和个用户提供移动电子签名服务的功能实体。这里的移动设备可以是手机、平板电脑、笔记本或者其它专用设备。而移动电子签名服务端是为移动电子签名客户端的各种业务请求提供各种电子签名业务服务的服务端,这里的业务请求可以是用户管理,用户权限管理,机构证书申请,操作日志查询等。移动电子签名服务端可以部署在局域网内,也可以部署在互联网云端。为保证多个用户共同使用的机构证书的安全性,本申请的方案需要由个人用户登录移动电子签名客户端,发起机构证书申请流程。本申请所述的机构证书及其私钥是由多人共用的,在具体的实施例中可以是机构对应的机构证书及私钥、也可以是机构法人证书及私钥、还可以是项目负责人证书及私钥。该步骤中,证书申请可以由机构管理员用户或者经机构管理员授权的用户代为办理。
如图3所示,是本申请移动电子签名客户端通过移动电子签名服务端向RA系统申请机构证书并将所述机构证书及其私钥托管在云端密码设备中,具体为:
步骤S11、所述移动电子签名客户端向移动电子签名服务端提交机构证书申请材料;机构管理员用户或者经机构管理员授权的用户在移动电子签名客户端中填写申请机构证书的相关信息后,移动电子签名客户端将请求信息发送给移动电子签名服务端。
步骤S12、所述移动电子签名服务端对所述机构证书申请材料进行审核;移动电子签名服务端审核用户提交的材料的真实性及合法性。
步骤S13、审核通过后,所述移动电子签名服务端向RA系统申请机构证书;在PKI体系中,RA作为CA授权委托的下属机构,负责受理机构证书或个人证书的申请。
步骤S14、所述RA系统向所述移动电子签名服务端下发机构证书。
步骤S15、所述移动电子签名服务端将所述机构证书及其私钥托管在云端密码设备中。
云密码服务是云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术的融合。用户无需采购、建设、部署、管理密码设备或密码系统,以“租用”的方式使用各种密码功能,具有成本低、易于使用等优势。云密钥管理服务是指基于密码资源池基础设施,为用户提供密钥托管服务。包含云密钥生命周期管理服务、云密钥安全隔离和存储服务、云密钥安全访问服务、云密钥使用日志记录服务等。其中,负责保存密钥的密码设备是指集成专用密码模块的设备,提供公钥证书及私钥管理功能,不支持私钥的导出。在具体的实施例中,密码设备可以是签名验签服务器、服务器密码机或者其它专用设备。
本申请的技术方案采用云密码服务技术,将机构证书及其密钥托管在云端密码设备上,由平台对多个用户共同使用的密钥进行集中管理,保证密码的安全性,也避免了个人保存不当造成密钥遗失的风险。
步骤S2、所述移动电子签名客户端生成用户私钥并通过云端协同签名系统向RA系统申请个人证书。除了生成机构证书及其私钥,本申请的技术方案还要为共用该机构证书或密钥的机构个人用户分别申请个人证书,并生成每个用户的私钥。每个用户申请的个人证书存放于用户使用的移动电子签名客户端中,每个用户的私钥分散保存在其使用的移动电子签名客户端和云端协同签名系统中。如图4所示,是本申请移动电子签名客户端生成用户私钥并向云端协同签名系统申请个人证书的步骤流程图,包括以下步骤:
步骤S21、移动电子签名客户端对个人用户输入的个人信息进行身份信息核验,确保个人资料的真实性和合法性。
步骤S22、移动电子签名客户端通过安全键盘获取个人用户设置的数字证书PIN口令。
步骤S23、移动电子签名客户端的根据设备因子、随机因子和PIN口令生成第一部分用户私钥和第一部分用户公钥,并将所述第一部分用户公钥发送给所述云端协同签名系统。在具体的实施例中,设备因子通常是个人用户使用的设备终端的唯一编号,随机因子是随机产生的数字。
步骤S24、所述云端协同签名系统根据外部因子以及所述第一部分用户公钥生成第二部分用户私钥以及完整用户公钥,并将完整用户公钥发送给所述移动电子签名客户端。本申请的技术方案通过将个人用户的用户私钥拆分为第一部分用户私钥以及第二部分用户私钥,并且分散保存在移动电子签名客户端以及云端协同签名系统中,在签名及验签操作时需两者协同工作得到处理结果,提高了密钥的安全性,也避免了由于其中一部分密钥泄漏引发的风险。
步骤S25、所述移动电子签名客户端将用户信息编码生成PKCS#10请求后发送给云端协同签名系统,由所述云端协同签名系统向RA系统申请用户个人证书。
步骤S26、所述RA系统将所述个人证书下发给所述云端协同签名系统。
步骤S27、所述云端协同签名系统将所述个人证书发送给所述移动电子签名客户端。
步骤S3、所述移动电子签名客户端向移动电子签名服务端请求验证所述机构证书或私钥的授权验证。当个人用户需要使用机构证书或者机构密钥进行数字签名或加密解密处理的时候,通过移动电子签名客户端移动电子签名服务端发起使用权限验证申请。
步骤S4、所述移动电子签名服务端对发起申请的个人用户进行权限验证。如图5所示,是本申请移动电子签名服务端进行权限验证的步骤流程图,包括以下步骤:
步骤S41、所述移动电子签名客户端通过安全键盘获取用户输入的PIN口令发送给云端协同签名系统。
步骤S42、所述云端协同签名系统验证所述PIN口令是否正确,若PIN口令不正确,则将验证结果返回给所述移动电子签名客户端,若PIN口令正确,则通知所述移动电子签名服务端进行下一步处理。优选地,当用户连续输错三次PIN口令,移动电子签名客户端对用户进行人脸比对。
步骤S43、所述移动电子签名服务端验证个人用户是否有使用托管在密码设备中的所述机构证书或私钥的权限,并返回权限验证结果给所述移动电子签名客户端。若个人用户有权限使用机构证书或私钥,则返回权限验证成功,否则返回权限验证失败。
步骤S5、若移动电子签名服务端的权限验证成功,则为合法的授权用户,移动电子签名客户端将待处理业务的数据发送给所述移动电子签名服务端,由所述移动电子签名服务端调用存放在密码设备上的机构证书或私钥进行业务处理并返回结果。在一具体的实施例中,待处理业务可以是数字签名,还可以是数据加密以及数据解密。
本申请的技术方案通过移动电子签名客户端向移动电子签名服务端申请使用机构证书及私钥,由移动电子签名服务端进行权限验证并处理业务数据返回给移动电子签名客户端,该方式可保证机构证书及其密钥不被非法用户冒名使用。
步骤S6、所述移动电子签名客户端使用所述个人证书对业务处理记录进行数字签名并保存。为了保证个人用户对此次机构证书或私钥的使用记录不可抵赖,本方法还需要采用个人用户的私钥对操作记录进行数字签名。数字签名是指由应用程序通过一系列的密码算法用私钥运算所产生的值,具有保障数据电文完整、业务不可抵赖的特性。由于数字签名的过程使用到了只有用户自己知晓的PIN口令以及私钥,保证了数字签名的真实性。如图6所示,是本发明移动电子签名客户端使用所述个人用户私钥对业务处理记录进行数字签名并保存的步骤流程图,包括以下步骤:
步骤S61、移动电子签名服务端对业务处理数据进行哈希运算得到第一哈希值A,其中,业务处理数据指的是待加解密或者待数字签名的数据电文。
步骤S62、移动电子签名服务端将用户信息、第一哈希值A、业务操作类型以及操作时间组合后进行哈希运算得到第二哈希值B并发送给所述移动电子签名客户端。
步骤S63、所述移动电子签名客户端根据所述第一部分用户私钥以及第二哈希值B计算出第一签名值SA,并将所述第一签名值SA和第二哈希值B发送给所述云端协同签名系统。
步骤S64、所述云端协同签名系统根据所述第一签名值SA、第二哈希值B以及第二部分用户私钥计算出第二签名值SC并返回给所述移动电子签名客户端。
步骤S65、所述移动电子签名客户端根据所述第一部分用户私钥以及所述第二签名值SC计算出第三签名值SD,即完整的签名值,并将所述第三签名值SD发送给移动电子签名服务端。
步骤S66、所述移动电子签名服务端保存所述第三签名值SD。
本申请的技术方案采用云密码服务技术,将多个用户共同使用的密钥进行集中管理,向被授权用户提供数字签名、数据加解密服务;在授权用户使用该证书及私钥进行密码应用时,形成行为日志记录。同时,在用户授权下,使用用户个人用户私钥对该行为日志记录进行数字签名并存储签名后的信息。保障私钥安全的同时保障授权用户的行为不可抵赖。
实施例二
如图7所示,是本申请一种基于移动电子签名的托管密钥使用系统的架构图,包括移动电子签名客户端、移动电子签名服务端、云端协同签名系统、云端密码设备以及RA系统。其中,移动电子签名客户端部署于个人用户所使用的智能终端上,分别与所述移动电子签名服务端、所述云端协同签名系统连接,通过所述移动电子签名服务端向RA系统提交机构证书申请,向所述移动电子签名服务端请求验证所述机构证书或私钥授权验证;用于通过所述云端协同签名系统向RA系统提交个人证书申请,同时保存个人证书以及第一部分用户私钥;用于将待处理业务的数据发送给移动电子签名服务端;用于使用所述用户私钥对业务处理记录进行数字签名;
移动电子签名服务端,分别与所述移动电子签名客户端、所述云端协同签名系统、所述云端密码设备以及所述RA系统进行连接,用于审核所述移动电子签名服务端提交的机构证书申请材料并向所述RA系统申请机构证书;用于对个人用户进行权限验证;用于使用所述机构证书或私钥进行业务处理并返回结果给所述移动电子签名客户端;用于保存数字签名后的业务处理记录;
云端协同签名系统,分别与所述移动电子签名客户端、所述移动电子签名服务端以及所述RA系统进行连接,用于审核所述移动电子签名客户端提交的个人证书申请材料并向所述RA系统申请个人证书;用于保存第二部分用户私钥;用于与所述移动电子签名客户端协同完成数字签名。
密码设备,与所述移动电子签名服务端连接,用于保存机构证书及其私钥。在具体的实施例中,密码设备可以是签名验签服务器、服务器密码机或者其它专用设备。
RA系统,在PKI体系中作为CA授权委托的下属机构,负责机构证书或个人证书的生命周期管理,用于向所述移动电子签名服务端下发机构证书以及向所述云端协同签名系统下发个人证书。
实施例三
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。本实施例的计算机设备至少包括但不限于:可通过系统总线相互通信连接的存储器、处理器。在一些实施例中,存储器可以是计算机设备的内部存储单元,例如该计算机设备的硬盘或内存,也可以是计算机设备的外部存储设备,例如该计算机设备上配备的插接式硬盘,智能存储卡等。处理器在可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片,用于控制计算机设备的总体操作。具体的,在本实施例中,处理器用于运行存储在所述存储器上计算机程序,所述处理器执行所述计算机程序时实现上述任一基于移动电子签名的托管密钥使用方法的步骤。
实施例四
本实施例还提供了一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器,(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如上述任一基于移动电子签名的托管密钥使用方法的步骤。
上述具体实施方式只是对本发明的技术方案进行详细解释,本发明并不只仅仅局限于上述实施例,凡是依据本发明原理的任何改进或替换,均应在本发明的保护范围之内。

Claims (9)

1.一种基于移动电子签名的托管密钥使用方法,其特征在于,包括以下步骤:
移动电子签名客户端通过移动电子签名服务端向RA系统申请机构证书并将所述机构证书及其私钥托管在云端密码设备中;
所述移动电子签名客户端生成用户私钥并通过云端协同签名系统向RA系统申请个人证书;所述个人证书存放于所述移动电子签名客户端中;所述用户私钥分散保存在所述移动电子签名客户端和所述云端协同签名系统中;
所述移动电子签名客户端向移动电子签名服务端请求所述机构证书或私钥的授权验证;
所述移动电子签名服务端进行权限验证;
所述移动电子签名客户端将待处理业务的数据发送给所述移动电子签名服务端,由所述移动电子签名服务端使用所述机构证书或私钥进行业务处理并返回结果;
所述移动电子签名客户端使用所述用户私钥对业务处理记录进行数字签名并保存。
2.如权利要求1所述的基于移动电子签名的托管密钥使用方法,其特征在于,所述移动电子签名客户端通过移动电子签名服务端向RA系统申请机构证书并将所述机构证书及其私钥托管在云端密码设备中,具体为:
所述移动电子签名客户端向移动电子签名服务端提交机构证书申请材料;
所述移动电子签名服务端对所述机构证书申请材料进行审核;
所述移动电子签名服务端向RA系统申请机构证书;
所述RA系统向所述移动电子签名服务端下发机构证书;
所述移动电子签名服务端将所述机构证书及其私钥托管在云端密码设备中。
3.如权利要求1所述的基于移动电子签名的托管密钥使用方法,其特征在于,所述移动电子签名客户端生成用户私钥并通过云端协同签名系统向RA系统申请个人证书,具体为:
所述移动电子签名客户端对个人用户进行身份信息核验;
所述移动电子签名客户端通过安全键盘获取个人用户设置的数字证书PIN口令;
所述移动电子签名客户端的根据设备因子、随机因子和PIN口令生成第一部分用户私钥和第一部分用户公钥,并将所述第一部分用户公钥发送给所述云端协同签名系统;
所述云端协同签名系统根据外部因子以及所述第一部分用户公钥生成第二部分用户私钥以及完整用户公钥,并将完整用户公钥发送给所述移动电子签名客户端;
所述移动电子签名客户端将用户信息编码后发送给云端协同签名系统,由所述云端协同签名系统向RA系统申请用户个人证书;
所述RA系统将所述个人证书下发给所述云端协同签名系统;
所述云端协同签名系统将所述个人证书发送给所述移动电子签名客户端。
4.如权利要求1所述的基于移动电子签名的托管密钥使用方法,其特征在于,所述移动电子签名服务端进行权限验证,具体为:
所述移动电子签名客户端通过安全键盘获取用户输入的PIN口令发送给云端协同签名系统;
所述云端协同签名系统验证所述PIN口令是否正确,若PIN口令不正确,则将验证结果返回给所述移动电子签名客户端,若PIN口令正确,则通知所述移动电子签名服务端进行下一步处理;
所述移动电子签名服务端验证个人用户是否有使用托管在密码设备中的所述机构证书或私钥的权限,并返回权限验证结果给所述移动电子签名客户端。
5.如权利要求3所述的基于移动电子签名的托管密钥使用方法,其特征在于,所述移动电子签名客户端使用所述用户私钥对业务处理记录进行数字签名并保存,具体为:
所述移动电子签名服务端对业务处理数据进行哈希运算得到第一哈希值;
所述移动电子签名服务端将用户信息、第一哈希值、业务操作类型以及操作时间组合后进行哈希运算得到第二哈希值并发送给所述移动电子签名客户端;
所述移动电子签名客户端根据所述第一部分用户私钥以及第二哈希值计算出第一签名值,并将所述第一签名值和第二哈希值发送给所述云端协同签名系统;
所述云端协同签名系统根据所述第一签名值、第二哈希值以及第二部分用户私钥计算出第二签名值并返回给所述移动电子签名客户端;
所述移动电子签名客户端根据所述第一部分用户私钥以及所述第二签名值计算出第三签名值,并将所述第三签名值发送给移动电子签名服务端;
所述移动电子签名服务端保存所述第三签名值。
6.如权利要求1所述的基于移动电子签名的托管密钥使用方法,其特征在于,所述待处理业务,包括数字签名、数据加密以及数据解密。
7.一种基于移动电子签名的托管密钥使用系统,其特征在于,包括移动电子签名客户端、移动电子签名服务端、云端协同签名系统、云端密码设备以及RA系统;
所述移动电子签名客户端部署于智能终端上,分别与所述移动电子签名服务端、所述云端协同签名系统连接,用于向所述移动电子签名服务端提交机构证书申请,向所述移动电子签名服务端请求所述机构证书或私钥授权验证;用于向所述云端协同签名系统提交个人证书申请,同时保存个人证书以及第一部分用户私钥;用于将待处理业务的数据发送给移动电子签名服务端;用于与所述云端协同签名系统协同使用用户私钥对业务处理记录进行数字签名;
所述移动电子签名服务端,分别与所述移动电子签名客户端、所述云端协同签名系统、所述云端密码设备以及所述RA系统进行连接,用于审核所述移动电子签名客户端提交的机构证书申请材料并向所述RA系统申请机构证书;用于对个人用户进行权限验证;用于使用所述机构证书或私钥进行业务处理并返回结果给所述移动电子签名客户端;用于保存数字签名后的业务处理记录;
所述云端协同签名系统,分别与所述移动电子签名客户端、所述移动电子签名服务端以及所述RA系统进行连接,用于审核所述移动电子签名客户端提交的个人证书申请材料并向所述RA系统申请个人证书;用于保存第二部分用户私钥;用于与所述移动电子签名服务端协同完成数字签名;
所述密码设备,与所述移动电子签名服务端连接,用于安全保存机构证书及其私钥;
所述RA系统,用于向所述移动电子签名服务端下发机构证书以及向所述云端协同签名系统下发个人证书。
8.一种计算机设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1-6中任一项基于移动电子签名的托管密钥使用方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1-6中任一项基于移动电子签名的托管密钥使用方法的步骤。
CN202110542774.7A 2021-05-14 2021-05-19 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 Withdrawn CN113271207A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2021105294266 2021-05-14
CN202110529426 2021-05-14

Publications (1)

Publication Number Publication Date
CN113271207A true CN113271207A (zh) 2021-08-17

Family

ID=77231561

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110542774.7A Withdrawn CN113271207A (zh) 2021-05-14 2021-05-19 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN113271207A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499975A (zh) * 2021-12-28 2022-05-13 北京深思数盾科技股份有限公司 登录服务器的校验方法、服务器及存储介质
CN116032655A (zh) * 2023-02-13 2023-04-28 杭州天谷信息科技有限公司 一种可抵御计时攻击的身份鉴别方法以及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499975A (zh) * 2021-12-28 2022-05-13 北京深思数盾科技股份有限公司 登录服务器的校验方法、服务器及存储介质
CN114499975B (zh) * 2021-12-28 2023-05-26 北京深盾科技股份有限公司 登录服务器的校验方法、服务器及存储介质
CN116032655A (zh) * 2023-02-13 2023-04-28 杭州天谷信息科技有限公司 一种可抵御计时攻击的身份鉴别方法以及系统

Similar Documents

Publication Publication Date Title
US10917246B2 (en) System and method for blockchain-based cross-entity authentication
US11533164B2 (en) System and method for blockchain-based cross-entity authentication
US10382427B2 (en) Single sign on with multiple authentication factors
US7526649B2 (en) Session key exchange
CN109274652B (zh) 身份信息验证系统、方法及装置及计算机存储介质
WO2020062668A1 (zh) 一种身份认证方法、身份认证装置及计算机可读介质
US9900157B2 (en) Object signing within a cloud-based architecture
AU2017225928A1 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US11323274B1 (en) Certificate authority
CN109981287B (zh) 一种代码签名方法及其存储介质
KR101817152B1 (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
US11909889B2 (en) Secure digital signing
TWM595792U (zh) 跨平台授權存取資源的授權存取系統
US11546159B2 (en) Long-lasting refresh tokens in self-contained format
CN111355591A (zh) 一种基于实名认证技术的区块链账号安全的管理方法
CN113472790A (zh) 基于https协议的信息传输方法、客户端及服务器
CN113271207A (zh) 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质
CN114666168A (zh) 去中心化身份凭证验证方法、装置,以及,电子设备
CN114760070A (zh) 数字证书颁发方法、数字证书颁发中心和可读存储介质
CN113869901B (zh) 密钥生成方法、装置、计算机可读存储介质及计算机设备
CN111769956B (zh) 业务处理方法、装置、设备及介质
Fugkeaw et al. Multi-Application Authentication based on Multi-Agent System.
CN115567314B (zh) 一种基于硬件可信信任链的License安全代理方法和平台
CN114021094B (zh) 远程服务器登录方法、电子设备及存储介质
Sneha et al. Blockchain identity management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20210817

WW01 Invention patent application withdrawn after publication