CN113868628B - 一种签名验证方法、装置、计算机设备和存储介质 - Google Patents
一种签名验证方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN113868628B CN113868628B CN202111216078.3A CN202111216078A CN113868628B CN 113868628 B CN113868628 B CN 113868628B CN 202111216078 A CN202111216078 A CN 202111216078A CN 113868628 B CN113868628 B CN 113868628B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- signature
- information
- verification
- determined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title claims abstract description 181
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004891 communication Methods 0.000 claims abstract description 24
- 238000013475 authorization Methods 0.000 claims description 22
- 238000004458 analytical method Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 15
- 230000002159 abnormal effect Effects 0.000 claims description 8
- 231100001268 hazard characterization Toxicity 0.000 claims description 3
- 238000004088 simulation Methods 0.000 claims 2
- 241000700605 Viruses Species 0.000 description 16
- 230000009545 invasion Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 206010019233 Headaches Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 231100000869 headache Toxicity 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
Abstract
本申请涉及一种签名验证方法、装置、计算机设备和存储介质。所述方法包括:获取用户终端的访问信息,基于访问信息,在确定用户终端为非首次访问、且具备合法的访问权限时,触发用户终端通过预设的目标私钥,生成再次签名文件;获取用户终端在上次成功访问时,生成的首次签名文件,并将首次签名文件与再次签名文件进行匹配;在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证;根据得到的验证结果,在确定验证成功时,触发用户终端交换用于通讯的加密密钥,以及,在确定验证失败时,触发用户终端进行签名重写,并输出表征签名验证失败的验证信息。
Description
技术领域
本申请涉及电力系统技术领域,特别是涉及一种签名验证方法、装置、计算机设备和存储介质。
背景技术
随着计算机操作系统的不断发展,计算机操作系统种类已多样化,但其安全性也受到了越来越多的挑战。很多可执行文件格式,都成为病毒及各种恶意代码的攻击目标。目前,已有人提出基于代码签名验证方法,在安装计算机程序时,进行签名验证。虽然,这种方法能够有效防止病毒以及其他恶意代码的入侵,但其确无法对签名验证过程中存在的安全隐患进行有效识别,存在无法保障签名验证过程安全性的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够保障签名验证过程安全性的签名验证方法、装置、计算机设备和存储介质。
一种签名验证方法,包括:
获取用户终端的访问信息,并基于所述访问信息,在确定所述用户终端为非首次访问、且具备合法的访问权限时,触发所述用户终端通过预设的目标私钥,生成相应的再次签名文件;
获取所述用户终端在上次成功访问时,对应生成的首次签名文件,并将所述首次签名文件与所述再次签名文件进行匹配;
在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证;
根据得到的验证结果,在确定验证成功时,触发所述用户终端交换用于通讯的加密密钥,以及,在确定验证失败时,触发所述用户终端进行签名重写,并输出表征签名验证失败的验证信息。
一种签名验证装置,所述装置包括签名模块、签名匹配模块、签名验证模块、以及验证输出模块,其中:
所述签名模块,用于获取用户终端的访问信息,并基于所述访问信息,在确定所述用户终端为非首次访问、且具备合法的访问权限时,触发所述用户终端通过预设的目标私钥,生成相应的再次签名文件;
所述签名验证模块,用于获取所述用户终端在上次成功访问时,对应生成的首次签名文件,并将所述首次签名文件与所述再次签名文件进行匹配;
所述签名验证模块,用于在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证;
所述验证输出模块,用于根据得到的验证结果,在确定验证成功时,交换通讯的加密密钥,以及,在确定验证失败时,触发所述用户终端进行签名重写,并输出表征签名验证失败的验证信息。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取用户终端的访问信息,并基于所述访问信息,在确定所述用户终端为非首次访问、且具备合法的访问权限时,触发所述用户终端通过预设的目标私钥,生成相应的再次签名文件;
获取所述用户终端在上次成功访问时,对应生成的首次签名文件,并将所述首次签名文件与所述再次签名文件进行匹配;
在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证;
根据得到的验证结果,在确定验证成功时,触发所述用户终端交换用于通讯的加密密钥,以及,在确定验证失败时,触发所述用户终端进行签名重写,并输出表征签名验证失败的验证信息。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取用户终端的访问信息,并基于所述访问信息,在确定所述用户终端为非首次访问、且具备合法的访问权限时,触发所述用户终端通过预设的目标私钥,生成相应的再次签名文件;
获取所述用户终端在上次成功访问时,对应生成的首次签名文件,并将所述首次签名文件与所述再次签名文件进行匹配;
在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证;
根据得到的验证结果,在确定验证成功时,触发所述用户终端交换用于通讯的加密密钥,以及,在确定验证失败时,触发所述用户终端进行签名重写,并输出表征签名验证失败的验证信息。
上述签名验证方法、装置、计算机设备和存储介质,通过用户终端的访问信息,在确定用户终端为非首次访问、且具备合法的访问权限的情况下,将用户终端在上次成功访问时生成的首次签名文件,与当前访问中生成的再次签名文件进行匹配,并根据匹配结果确定签名文件的有效性,有效地防止了病毒程序、以及木马程序的入侵,保证了签名开启的文件程序的绝对安全。后续,在进行签名验证时,基于公共密钥认证机制,同时使用非对称加密技术,保证了通讯安全性,解决了用户过多时的密钥管理问题,能够保障签名验证过程的安全性。
附图说明
图1为一个实施例中签名验证方法的应用环境图;
图2为一个实施例中签名验证方法的流程示意图;
图3为一个实施例中适用于签名验证方法的系统结构框图;
图4为一个实施例中签名验证装置的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的签名验证方法,可以应用于如图1所示的应用环境中。其中,用户终端102通过网络与计算机设备104进行通信。计算机设备104获取用户终端102的访问信息,并基于访问信息,在确定用户终端102为非首次访问、且具备合法的访问权限时,触发用户终端102通过预设的目标私钥,生成相应的再次签名文件;计算机设备104获取用户终端102在上次成功访问时,对应生成的首次签名文件,并将首次签名文件与再次签名文件进行匹配;计算机设备104在确定签名文件匹配成功时,基于与目标私钥对应的目标公钥,对再次签名文件进行验证;计算机设备104根据得到的验证结果,在确定验证成功时,触发用户终端102交换用于通讯的加密密钥,以及,在确定验证失败时,触发用户终端102进行签名重写,并输出表征签名验证失败的验证信息。
需要说明的是,计算机设备104可以为终端或服务器,其中,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种签名验证方法,以该方法应用于图1中的计算机设备为例进行说明,包括以下步骤:
步骤S202,获取用户终端的访问信息,并基于访问信息,在确定用户终端为非首次访问、且具备合法的访问权限时,触发用户终端通过预设的目标私钥,生成相应的再次签名文件。
具体地,计算机设备确定用户终端在进行请求访问时,基于获取到的用户终端的访问信息,来确定用户终端是否具备合法的访问权限,以及,在确定用户终端具备合法访问权限时,判断用户终端为首次访问还是非首次访问,其中,针对非首次访问的用户终端,将触发该用户终端通过预设的目标私钥,生成相应的再次签名文件。
步骤S204,获取用户终端在上次成功访问时,对应生成的首次签名文件,并将首次签名文件与再次签名文件进行匹配。
具体地,计算机设备针对首次访问的用户终端,将触发用户终端在确认首次签名文件成功签发的情况下,将该首次签名文件存储到相应的存储区域。后续,计算机设备在确定需要进行首次签名文件调用时,将从该存储区域中调用相应的文件,并在文件调用成功时,将调用得到的首次签名文件与当前所签发的再次签名文件进行匹配,通过比较两个文件之间的差异,以此来识别当前是否存在病毒程序、以及木马程序入侵的安全隐患,保证签名开启的文件程序的绝对安全,同时,提高验证效率、以及操作的灵活性。
在其中一个实施例中,计算机设备通过预设的缓存链表保存首次签名文件,需要说明的是,上述的缓存链表是一种物理存储单元上非连续、非顺序的存储结构,其内部的数据元素的逻辑顺序是通过链表中的指针链接次序实现的。其中,链表由一系列结点(链表中每一个元素称为结点)组成,结点可以在运行时动态生成。每个结点包括两个部分:一个是存储数据元素的数据域,另一个是存储下一个结点地址的指针域。
步骤S206,在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证。
具体地,计算机设备在确定签名文件匹配成功时,即认为当前的网络环境较为安全,此时,会基于目标私钥对应的目标公钥,对再次签名文件进行验证,以确认该签名文件是否有效。
步骤S208,根据得到的验证结果,在确定验证成功时,触发用户终端交换用于通讯的加密密钥,以及,在确定验证失败时,触发用户终端进行签名重写,并输出表征签名验证失败的验证信息。
具体地,计算机设备根据得到的验证结果,在确定再次签名文件验证成功的情况下,将认为用户终端身份可信,此时,计算机设备将与用户终端交换通讯的加密密钥,解决了用户过多时密钥管理的问题。当前实施例中,基于公共密钥的认证机制的优点,同时使用非对称加密技术,拥有极高的安全性,需要说明的是,公共密钥是指明文与加密密钥一起采取不可逆数学运算进行组合变化,形成密文的一组秘钥。相比于传统加密方法,用户可以把用于加密的密钥,公开地分发给任何用户。谁都可以使用这把公共的加密密钥与该用户秘密通信。除了持有解密密钥的收件方用户外,没有人能够解开密文。这样,传统加密方法中令人头痛的、代价沉重的密钥分发问题就转变为一个性质完全不同的公共密钥分发问题。
上述签名验证方法中,通过用户终端的访问信息,在确定用户终端为非首次访问、且具备合法的访问权限的情况下,将用户终端在上次成功访问时生成的首次签名文件,与当前访问中生成的再次签名文件进行匹配,并根据匹配结果确定签名文件的有效性,有效地防止了病毒程序、以及木马程序的入侵,保证了签名开启的文件程序的绝对安全。后续,在进行签名验证时,基于公共密钥认证机制,同时使用非对称加密技术,保证了通讯安全性,解决了用户过多时的密钥管理问题,能够保障签名验证过程的安全性。
在一个实施例中,访问信息中携带有终端标识以及身份证明信息;基于访问信息,确定用户终端为非首次访问、且具备合法的访问权限,包括:对访问信息进行解析,得到相应的解析结果;基于解析结果,在得到终端标识时,对终端标识的合法性进行验证,并在认定终端标识合法时,确定用户终端具备合法的访问权限;基于解析结果,在得到身份证明信息时,确定用户终端为非首次访问,以及,在认定身份证明信息解析失败时,确定用户终端为首次访问。
具体的,计算机设备对访问信息解析,得到对应的终端标识、以及身份证明信息。在其中一个实施例中,计算机设备将以解析得到的终端标识为搜索条件,以预设的信任标识链表中记录的全部内容为搜索范围,在确定搜索成功时,即终端标识记录在该信任标识链表中时,认定该终端标识合法,确定用户终端具备和合法的访问权限。
具体的,由于身份证明信息时在首次签名文件生成时,对应同步生成的,因此,计算机设备在确认能够解析得到身份证明信息时,将认为该用户终端先前已成功访问过,此次为非首次访问,需要将此时访问中生成的再次签名文件,与首次访问中生成的首次签名文件进行匹配,以确认用户终端身份的合法性,避免病毒程序、以及木马程序的入侵,保障签名开启的文件程序的绝对安全。
上述实施例中,结合终端标识以及身份证明信息,验证用户终端的访问身份以及访问权限,避免非法用户的接入,有效防止病毒程序、以及木马程序的入侵,保障了整个通讯环境的安全性。
在一个实施例中,身份证明信息通过以下步骤生成:在确定用户终端为首次访问、且具备合法的访问权限时,触发用户终端生成相应的首次签名文件,并认定首次签名文件处于授拟状态;针对处于授拟状态的首次签名文件,生成相应的授拟信息,并记录授拟信息;在确定授拟信息记录成功的情况下,为用户终端签发相应的身份证明信息,并将身份证明信息回传到用户终端。
具体的,计算机设备在确定用户终端为首次访问、且具备合法的访问权限时,将证明签名授拟,并生成、记录对应的授拟信息。在其中一个实施例中,计算机设备可以基于预设的授拟存储链表记录该授拟信息,以便于后续的数据调用。当计算机设备确定授拟信息记录成功时,将为用户终端签发相应的身份证明,以证明当前该用户终端已成功访问过,并将生成的身份证明信息回传到用户终端。
上述实施例中,通过签名授拟,以及为用户签发身份证明,提高了身份认证可靠性,避免非法程序的入侵,保障了签名开启的文件程序的安全性。
在一个实施例中,在确定签名验证失败时,输出表征签名验证失败的验证信息,包括:
在确定单次签名验证失败时,通过预设的告警提示信息模板,输出表征签名验证失败的第一验证信息。
具体的,计算机设备在确认单次签名验证失败时,将调用相应的告警提示信息模板,进行第一验证信息的输出。在一个实施例中,计算机设备连接到设于运维人员处的运维终端,并将生成的第一验证信息传输到运维终端,以使得运维人员能够及时掌握当前的签名状况,并及时对不法签名用户终端的身份有效性进行核实,防止病毒程序、以及木马程序的入侵,提高操作灵活性。
在一个实施例中,该方法还包括:获取连续验证失败的连续次数,并在确定连续次数大于预设的第一次数阈值时,通过告警提示信息模板,输出表征存在安全隐患的第二验证信息。
具体的,计算机设备对签名重写的次数进行记录,并在确定连续重写的次数超过第一次数阈值时,进行第二验证信息的输出,在一个实施中,当计算机设备确定连续重写的次数超过第一次数阈值,即认为当前正在执行签名重写的用户终端极有可能已被木马等病毒程序入侵,存在安全隐患,此时,计算机设备将会锁定当前正在进行签名重写的用户终端,并将其拉入黑名单。在一个实施例中,计算机设备也会实时下载新的黑名单,并在下载完成以后,将其组织存放在指定文件的路径中,并通过信号传输的方式载入黑名单进行黑名单更新,以完成用户终端的在线更新。
上述实施例中,在签名验证失败时,输出表征签名验证失败的验证信息,以使得运维人员能够及时掌握当前的签名状况,并及时对不法签名用户终端的身份有效性进行核实,防止病毒程序、以及木马程序的入侵,提高操作灵活性。
在一个实施例中,访问终端中设有语音设备和/或灯光设备,通过预设的告警提示信息模板,输出表征签名验证失败的验证信息,包括:获取告警提示信息模板;告警提示信息模板中包括对应输出第一验证信息的第一提示模板、以及对应输出第二验证信息的第二提示模板;其中,第一提示模板、第二提示模板中均设有相应的已有信息,且,已有信息中设有多个待填信息位;获取所需填写到待填信息位的填充信息,将填充信息添加到对应的待填信息位,并在确定添加完成时,输出对应表征签名验证失败的第一验证信息、或对应表征存在安全隐患的第二验证信息;在确定填充信息获取失败时,触发语音设备发出相应的语音提示声音,和/或,触发灯光设备发出光线。
具体的,第一提示模板可以包括相应的已有信息,并在已有信息中设置有多个待填信息位,计算机设备可以从用户终端信息和用户终端使用者信息中,提取这些待填信息为所需的信息,并将提取到的信息填入第一提示模板中对应的待填信息位,当前生成的一条完整的告警提示信息,即为第一验证信息。需要说明的是,用户终端使用者信息可以包括姓名、性别、部门信息等信息。用户终端信息可以是通讯号码(例如,电话号码)。后续,计算机设备能够根据用户终端信息向用户终端发送第一验证信息。第二验证信息的生成方式,以及传输方式,可以根据上述的实施方式进行理解,本申请实施例对此不作过多说明。
在其中一个实施例中,第二提示模板可以有多种,其可以根据用户终端使用者信息筛选与用户终端信息相匹配的第二提示模板。例如,计算机设备能够根据性别或职位等设置不同的第二提示模板。
上述实施例中,设置了第一提示模板、以及第二提示模板,可以快速生成对应的告警提示信息,提高了告警效率。另外,通过向用户终端发送基于告警提示信息模板生成的验证信息,可以帮助用户及时掌握当前的通讯状况,并针对异常通讯状况进行原因排查,避免病毒程序、以及木马程序入侵,所带来的安全隐患,提高验证效率。
具体的,该方法还包括:对用户终端的签名重写次数进行计数,并在确定所得的重写次数大于预设的第二次数阈值时,进行目标用户终端的锁定,并停止目标用户终端所执行的任一操作;将目标用户终端的终端标识作为异常标识,并将异常标识写入到预设的黑名单列表中。
具体的,用户终端可在规定的时间内,进行签名重写,并对重写得到的签名文件的有效性进行验证,其中,签名重写的次数也会同步进行记录,当计算机设备确定签名验证次数超过规定的阈值时,将会对当前正在进行签名操作的用户终端进行锁定,停止当前用户终端的一切操作行为,以及将其拉入黑名单。在一个实施例中,计算机设备通过预设的信任公钥链表存储用户签名的相关数据,其中,用户请的相关数据包括公钥地址、签名者基本信息、签名者公钥、以及相关标志中的一种或多种。在一个实施例中,用户终端也会实时进行黑名单的下载,并将加载所得的黑名单组织存放在指定路径的文件中,并在确定当前已存储有历史黑名单时,基于当前最新下载的最新黑名单对历史黑名单进行在线更新,以保证对非法用户的及时识别。
上述实施例中,基于签名重写次数,进行非法用户终端的锁定、识别,以及将非法用户终端的终端标识记录在黑名单列表,后续能够基于该黑名单列表,进一步判断访问终端的身份合法性,加强了访问验证力度,避免非法用户的接入。
在一个实施例中,该方法还包括:获取黑名单列表,并结合黑名单列表,验证相应用户终端是否具备合法的访问权限。
具体的,计算机设备从指定的存储路径中进行黑名单列表的获取,并针对请求访问的目标用户终端,确定该终端的识别标识是否存储在黑名单列表中,若是,则认为该目标用户终端不具备合法的访问权限,拒绝该目标用户终端的访问请求,并反馈相应的访问结果到目标用户终端。若否,则可以初步认为该目标用户终端具备合法的访问权限,之后,会进一步确定该目标用户终端是首次访问,还是再次访问,并在确定该目标用户终端时再次访问的情况下,将预先已生成的初次签名文件与再次签名文件进行比对,基于比对结果确定是否执行签名验证、以及确定签名合法性,以此防止病毒程序、木马程序的入侵。
上述实施例中,结合黑名单验证方式,进一步加强了对用户终端访问权限合法性的有效识别,避免了非法用户的接入,保证了签名开启的文件程序的安全性,提高了验证效率。
请参考图3,其为应用于上述各项方法实施例的系统结构框图,需要说明的是,在该系统结构中,用户终端(即图3示意的用户端1)将与总台控制中枢2进行交互,可以理解的是,该总台控制中枢2集成在计算机设备的内部,以实现签名生成。在一个实施例中,总台控制中枢2内部设有验证单元3、签名单元4、认证服务器5、核对单元6、储存模块7、密钥处理单元8、认证信任签名单元9、计数单元10、以及指令单元11,其中:
验证单元3,用于获取用户终端登录的合法身份信息。
签名单元4,用于在确定用户终端为非首次访问、且具备合法的访问权限时,触发用户终端进行再次签名文件的生成。
认证服务器5,用于在确认用户再次进入总台控制中枢2进行签名认证时,确认前后两次生成的签名文件是否一致。
核对单元6,用于在首次签名后,提醒用户终端确认签名,此后,将触发储存模块7进行首次签名文件的存储。
密钥处理单元8,用于提供目标公钥,以由认证服务器5根据所提供的目标公钥,确认签名是否一致
认证信任签名单元9,用于验证签名通过。
计数单元10,用于在用户终端在规定的时间内,进行签名重写、以及签名验证时,对签名重写的次数进行记录,并在确认签名重写次数超过规定阈值时,触发指令单元锁定当前正在进行签名验证操作的用户终端,以及停止待用户终端的一切操作,并将其拉入黑名单。
在一个实施例中,认证服务器5,还用于将用户进行签名产生的逻辑信号和数字信号进行处理,以用于签名验证。以及设置相应的验证签名文件缓存链表,通过该链表存储已验证签名的验证结果。
在一个实施例中,密钥处理单元8,还用于设置信任公钥链表,并通过该链表存储用户签名相关数据,其中,用户签名相关数据包括公钥地址、签名者基本信息、签名者公钥、以及相关标志中的一种或多种。
上述系统,通过将用户初次签名和再次签名的数据信号进行比对,根据比对结果确定是否执行签名生成的方式,能够有效地防止病毒程序、以及木马程序的入侵,保证签名开启的文件程序的绝对安全,同时,提高验证效率、以及操作的灵活性。另外,还能够基于公共密钥的安全策略进行签名认证,以及通过总台控制中枢第三方的证明授拟中心为用户签发验证证明。在签名认证后交换身份证明,再检查有关服务器,以确认该证明是否有效。当前,基于公共密钥的认证机制的优点,同时使用非对称加密技术,拥有极高的安全性,也解决了用户过多时密钥管理的问题。
应该理解的是,虽然图2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图4所示,提供了一种签名验证装置400,该装置400包括签名模块401、签名匹配模块402、签名验证模块403、以及验证输出模块404,其中:
签名模块401,用于获取用户终端的访问信息,并基于访问信息,在确定用户终端为非首次访问、且具备合法的访问权限时,触发用户终端通过预设的目标私钥,生成相应的再次签名文件。
签名验证模块402,用于获取用户终端在上次成功访问时,对应生成的首次签名文件,并将首次签名文件与再次签名文件进行匹配。
签名验证模块403,用于在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证。
验证输出模块404,用于根据得到的验证结果,在确定验证成功时,交换通讯的加密密钥,以及,在确定验证失败时,触发用户终端进行签名重写,并输出表征签名验证失败的验证信息。
在其中一个实施例中,访问信息中携带有终端标识以及身份证明信息,签名模块401还用于对访问信息进行解析,得到相应的解析结果;基于解析结果,在得到终端标识时,对终端标识的合法性进行验证,并在认定终端标识合法时,确定用户终端具备合法的访问权限;基于解析结果,在得到身份证明信息时,确定用户终端为非首次访问,以及,在认定身份证明信息解析失败时,确定用户终端为首次访问。
在其中一个实施例中,签名模块401还用于在确定用户终端为首次访问、且具备合法的访问权限时,触发用户终端生成相应的首次签名文件,并认定首次签名文件处于授拟状态;针对处于授拟状态的首次签名文件,生成相应的授拟信息,并记录授拟信息;在确定授拟信息记录成功的情况下,为用户终端签发相应的身份证明信息,并将身份证明信息回传到用户终端。
在其中一个实施例中,验证输出模块404还用于在确定单次签名验证失败时,通过预设的告警提示信息模板,输出表征签名验证失败的第一验证信息;以及,获取连续验证失败的连续次数,并在确定连续次数大于预设的第一次数阈值时,通过告警提示信息模板,输出表征存在安全隐患的第二验证信息。
在其中一个实施例中,验证输出模块404还用于获取告警提示信息模板;告警提示信息模板中包括对应输出第一验证信息的第一提示模板、以及对应输出第二验证信息的第二提示模板;其中,第一提示模板、第二提示模板中均设有相应的已有信息,且,已有信息中设有多个待填信息位;获取所需填写到待填信息位的填充信息,将填充信息添加到对应的待填信息位,并在确定添加完成时,输出对应表征签名验证失败的第一验证信息、或对应表征存在安全隐患的第二验证信息;在确定填充信息获取失败时,触发预设的语音设备发出相应的语音提示声音,和/或,触发预设的灯光设备发出光线。
在其中一个实施例中,该装置400中还包括异常识别模块,其中:
异常识别模块,用于对用户终端的签名重写次数进行计数,并在确定所得的重写次数大于预设的第二次数阈值时,进行目标用户终端的锁定,并停止目标用户终端所执行的任一操作;将目标用户终端的终端标识作为异常标识,并将异常标识写入到预设的黑名单列表中。
在其中一个实施例中,该装置400中还包括身份验证模块,其中:
身份验证模块,用于获取黑名单列表,并结合黑名单列表,验证相应用户终端是否具备合法的访问权限。
上述签名验证装置,通过用户终端的访问信息,在确定用户终端为非首次访问、且具备合法的访问权限的情况下,将用户终端在上次成功访问时生成的首次签名文件,与当前访问中生成的再次签名文件进行匹配,并根据匹配结果确定签名文件的有效性,有效地防止了病毒程序、以及木马程序的入侵,保证了签名开启的文件程序的绝对安全。后续,在进行签名验证时,基于公共密钥认证机制,同时使用非对称加密技术,保证了通讯安全性,解决了用户过多时的密钥管理问题,能够保障签名验证过程的安全性。
关于签名验证装置的具体限定可以参见上文中对于签名验证方法的限定,在此不再赘述。上述签名验证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端或服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和通信接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种签名验证方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
上述计算机设备,通过用户终端的访问信息,在确定用户终端为非首次访问、且具备合法的访问权限的情况下,将用户终端在上次成功访问时生成的首次签名文件,与当前访问中生成的再次签名文件进行匹配,并根据匹配结果确定签名文件的有效性,有效地防止了病毒程序、以及木马程序的入侵,保证了签名开启的文件程序的绝对安全。后续,在进行签名验证时,基于公共密钥认证机制,同时使用非对称加密技术,保证了通讯安全性,解决了用户过多时的密钥管理问题,能够保障签名验证过程的安全性。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
上述存储介质,通过用户终端的访问信息,在确定用户终端为非首次访问、且具备合法的访问权限的情况下,将用户终端在上次成功访问时生成的首次签名文件,与当前访问中生成的再次签名文件进行匹配,并根据匹配结果确定签名文件的有效性,有效地防止了病毒程序、以及木马程序的入侵,保证了签名开启的文件程序的绝对安全。后续,在进行签名验证时,基于公共密钥认证机制,同时使用非对称加密技术,保证了通讯安全性,解决了用户过多时的密钥管理问题,能够保障签名验证过程的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种签名验证方法,其特征在于,包括:
获取用户终端的访问信息,并基于所述访问信息,在确定所述用户终端为非首次访问、且具备合法的访问权限时,触发所述用户终端通过预设的目标私钥,生成相应的再次签名文件;
获取所述用户终端在上次成功访问时,对应生成的首次签名文件,并将所述首次签名文件与所述再次签名文件进行匹配;
在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证;
根据得到的验证结果,在确定验证成功时,触发所述用户终端交换用于通讯的加密密钥,以及,在确定验证失败时,触发所述用户终端进行签名重写,并输出表征签名验证失败的验证信息;所述访问信息中携带有终端标识以及身份证明信息;
所述基于所述访问信息,确定所述用户终端为非首次访问、且具备合法的访问权限,包括:
对所述访问信息进行解析,得到相应的解析结果;
基于所述解析结果,在得到终端标识时,对所述终端标识的合法性进行验证,并在认定所述终端标识合法时,确定用户终端具备合法的访问权限;
基于所述解析结果,在得到身份证明信息时,确定用户终端为非首次访问,以及,在认定身份证明信息解析失败时,确定用户终端为首次访问;
所述身份证明信息通过以下步骤生成:
在确定所述用户终端为首次访问、且具备合法的访问权限时,触发所述用户终端生成相应的首次签名文件,并认定所述首次签名文件处于授拟状态;
针对处于授拟状态的首次签名文件,生成相应的授拟信息,并记录所述授拟信息;
在确定所述授拟信息记录成功的情况下,为所述用户终端签发相应的身份证明信息,并将所述身份证明信息回传到所述用户终端。
2.根据权利要求1所述的方法,其特征在于,所述在确定验证失败时,输出表征签名验证失败的验证信息,包括:
在确定单次签名验证失败时,通过预设的告警提示信息模板,输出表征签名验证失败的第一验证信息;
所述方法还包括:
获取连续验证失败的连续次数,并在确定所述连续次数大于预设的第一次数阈值时,通过所述告警提示信息模板,输出表征存在安全隐患的第二验证信息。
3.根据权利要求2所述的方法,其特征在于,所述通过预设的告警提示信息模板,输出表征签名验证失败的验证信息,包括:
获取所述告警提示信息模板;所述告警提示信息模板中包括对应输出第一验证信息的第一提示模板、以及对应输出第二验证信息的第二提示模板;其中,所述第一提示模板、第二提示模板中均设有相应的已有信息,且,所述已有信息中设有多个待填信息位;
获取所需填写到所述待填信息位的填充信息,将所述填充信息添加到对应的待填信息位,并在确定添加完成时,输出对应表征签名验证失败的第一验证信息、或对应表征存在安全隐患的第二验证信息;
在确定所述填充信息获取失败时,触发预设的语音设备发出相应的语音提示声音,和/或,触发预设的灯光设备发出光线。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述方法还包括:
对用户终端的签名重写次数进行计数,并在确定所得的重写次数大于预设的第二次数阈值时,进行目标用户终端的锁定,并停止所述目标用户终端所执行的任一操作;
将所述目标用户终端的终端标识作为异常标识,并将所述异常标识写入到预设的黑名单列表中。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取所述黑名单列表,并结合所述黑名单列表,验证相应用户终端是否具备合法的访问权限。
6.一种签名验证装置,其特征在于,所述装置包括签名模块、签名匹配模块、签名验证模块、以及验证输出模块,其中:
所述签名模块,用于获取用户终端的访问信息,并基于所述访问信息,在确定所述用户终端为非首次访问、且具备合法的访问权限时,触发所述用户终端通过预设的目标私钥,生成相应的再次签名文件;
所述签名验证模块,用于获取所述用户终端在上次成功访问时,对应生成的首次签名文件,并将所述首次签名文件与所述再次签名文件进行匹配;
所述签名验证模块,用于在确定签名文件匹配成功时,基于与所述目标私钥对应的目标公钥,对所述再次签名文件进行验证;
所述验证输出模块,用于根据得到的验证结果,在确定验证成功时,交换通讯的加密密钥,以及,在确定验证失败时,触发所述用户终端进行签名重写,并输出表征签名验证失败的验证信息;所述访问信息中携带有终端标识以及身份证明信息;
所述签名模块,还用于对所述访问信息进行解析,得到相应的解析结果;基于所述解析结果,在得到终端标识时,对所述终端标识的合法性进行验证,并在认定所述终端标识合法时,确定用户终端具备合法的访问权限;基于所述解析结果,在得到身份证明信息时,确定用户终端为非首次访问,以及,在认定身份证明信息解析失败时,确定用户终端为首次访问;
所述签名模块,还用于在确定所述用户终端为首次访问、且具备合法的访问权限时,触发所述用户终端生成相应的首次签名文件,并认定所述首次签名文件处于授拟状态;针对处于授拟状态的首次签名文件,生成相应的授拟信息,并记录所述授拟信息;在确定所述授拟信息记录成功的情况下,为所述用户终端签发相应的身份证明信息,并将所述身份证明信息回传到所述用户终端。
7.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述的方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111216078.3A CN113868628B (zh) | 2021-10-19 | 一种签名验证方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111216078.3A CN113868628B (zh) | 2021-10-19 | 一种签名验证方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113868628A CN113868628A (zh) | 2021-12-31 |
CN113868628B true CN113868628B (zh) | 2024-06-07 |
Family
ID=
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
WO2016030132A1 (en) * | 2014-08-29 | 2016-03-03 | Gemalto Sa | A method for signing data, corresponding first device and system |
WO2016082401A1 (zh) * | 2014-11-25 | 2016-06-02 | 中兴通讯股份有限公司 | 通话方法、装置、用户终端及计算机存储介质 |
WO2017209576A1 (ko) * | 2016-06-03 | 2017-12-07 | 주식회사 케이티 | 파일 백업을 통제하는 장치 및 방법 |
US10110385B1 (en) * | 2014-12-22 | 2018-10-23 | Amazon Technologies, Inc. | Duress signatures |
CN110995729A (zh) * | 2019-12-12 | 2020-04-10 | 广东电网有限责任公司电力调度控制中心 | 基于非对称加密的控制系统通信方法、装置和计算机设备 |
US10728044B1 (en) * | 2019-02-22 | 2020-07-28 | Beyond Identity Inc. | User authentication with self-signed certificate and identity verification and migration |
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651540A (zh) * | 2008-08-12 | 2010-02-17 | 中国移动通信集团公司 | 一种数字证书更新的方法、装置及系统 |
WO2016030132A1 (en) * | 2014-08-29 | 2016-03-03 | Gemalto Sa | A method for signing data, corresponding first device and system |
WO2016082401A1 (zh) * | 2014-11-25 | 2016-06-02 | 中兴通讯股份有限公司 | 通话方法、装置、用户终端及计算机存储介质 |
US10110385B1 (en) * | 2014-12-22 | 2018-10-23 | Amazon Technologies, Inc. | Duress signatures |
WO2017209576A1 (ko) * | 2016-06-03 | 2017-12-07 | 주식회사 케이티 | 파일 백업을 통제하는 장치 및 방법 |
US10728044B1 (en) * | 2019-02-22 | 2020-07-28 | Beyond Identity Inc. | User authentication with self-signed certificate and identity verification and migration |
CN110995729A (zh) * | 2019-12-12 | 2020-04-10 | 广东电网有限责任公司电力调度控制中心 | 基于非对称加密的控制系统通信方法、装置和计算机设备 |
Non-Patent Citations (1)
Title |
---|
具有多重签名功能的文件签名管理系统;李涛 等;《计算机应用与软件》;20011231;第7-9页 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7526654B2 (en) | Method and system for detecting a secure state of a computer system | |
CN109325342B (zh) | 身份信息管理方法、装置、计算机设备和存储介质 | |
KR101216306B1 (ko) | 이동 단말기에서의 구성 파라미터 갱신 | |
JP2018121328A (ja) | 電子デバイスのためのイベント証明書 | |
CN111049825A (zh) | 一种基于可信执行环境的安全多方计算方法和系统 | |
CN110795126A (zh) | 一种固件安全升级系统 | |
CN108496323B (zh) | 一种证书导入方法及终端 | |
CN111010367A (zh) | 数据存证方法、装置、计算机设备和存储介质 | |
CN110175466B (zh) | 开放平台的安全管理方法、装置、计算机设备及存储介质 | |
CN113132404B (zh) | 身份认证方法、终端及存储介质 | |
CN113225324A (zh) | 区块链匿名账户创建方法、系统、设备及存储介质 | |
CN114844644A (zh) | 资源请求方法、装置、电子设备及存储介质 | |
US10158623B2 (en) | Data theft deterrence | |
CN111652720B (zh) | 云取证方法、装置、计算机设备及存储介质 | |
KR101849908B1 (ko) | m of n 다중 서명에 의한 인증서 서비스를 제공하는 방법 및 이를 이용한 서버 | |
CN112422527A (zh) | 变电站电力监控系统的安全防护系统、方法和装置 | |
CN117155716A (zh) | 访问校验方法和装置、存储介质及电子设备 | |
CN109302442B (zh) | 一种数据存储证明方法及相关设备 | |
CN113868628B (zh) | 一种签名验证方法、装置、计算机设备和存储介质 | |
CN111143808A (zh) | 系统安全认证方法、装置及计算设备、存储介质 | |
CN115514492A (zh) | Bios固件验证方法、装置、服务器、存储介质和程序产品 | |
CN114239000A (zh) | 密码处理方法、装置、计算机设备和存储介质 | |
CN113868628A (zh) | 一种签名验证方法、装置、计算机设备和存储介质 | |
CN112565293A (zh) | 信息安全管理方法、装置、计算机设备及可读存储介质 | |
CN117828561B (zh) | 芯片固件数据的安全烧录方法、设备、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230822 Address after: 518000 building 501, 502, 601, 602, building D, wisdom Plaza, Qiaoxiang Road, Gaofa community, Shahe street, Nanshan District, Shenzhen City, Guangdong Province Applicant after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd. Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province Applicant before: Southern Power Grid Digital Grid Research Institute Co.,Ltd. |
|
GR01 | Patent grant |