CN117499050B - 一种基于加密技术的云端签名方法及系统 - Google Patents

Abstract

本发明涉及信息加密处理领域，具体涉及一种基于加密技术的云端签名方法及系统。该方法包括：基于身份识别模型对签名人进行身份识别并获取签名人的身份信息；云端服务器对身份信息进行安全验证，得到安全验证指数；判断安全验证指数是否超过第一预设阈值，若是，则获取签名人的待签名数据对应的摘要信息；云端服务器获取私有密钥并基于私有密钥对摘要信息进行签名处理，得到签名数据；将签名数据发送至签名人的客户端以完成数字签名。本发明能够基于云端服务器与签名人的客户端两者之间完成数字签名，增强数字签名的安全性和提高了数字签名的签名效率。

Description

一种基于加密技术的云端签名方法及系统

技术领域

本发明涉及信息加密处理领域，具体涉及一种基于加密技术的云端签名方法及系统。

背景技术

随着信息化时代的到来，越来越多的签名过程搬到了互联网上。传统的纸质签名不再适用于现代的业务流程，因为签名的过程在很多情况下是需要远程完成的。因此，电子签名的应用已经成为了许多企业和政府机构的必备技术。

现有技术中，数字签名采用非对称加密算法，所以需要生成公钥和私钥两个密钥，签名人使用私钥对电子文件进行加密生成用于证明签名人公钥真实性的凭证的数字证书，数字证书一般由数字证书颁发机构（CA）签发，并包含签名人的公钥信息和数字签名。数字签名包含了签名人的身份信息和签名数据的摘要信息。验证人使用数字证书中的公钥解密数字签名，获得签名数据的摘要信息，再对原始数据进行摘要计算，比较两个摘要信息是否一致。如果一致，则表明签名数据没有被篡改过，签名人的身份得到了验证。这种签名的方法，需要依赖数字证书颁发机构颁发数字证书来推进签名的完成，若颁发机构处于不可信状态即受到恶意程序的破坏，会导致数字证书颁发的数字证书受到影响，进而降低数字签名的效率。发明内容

本发明的目的在于提供一种基于加密技术的云端签名方法及系统：解决现有方案中需要依赖数字证书颁发机构颁发数字证书来推进签名的完成，若颁发机构处于不可信状态即受到恶意程序的破坏，会导致数字证书颁发的数字证书受到影响，进而降低数字签名的效率的技术问题。

本发明的目的可以通过以下技术方案实现：

一种基于加密技术的云端签名方法，包括：

基于身份识别模型对签名人进行身份识别并获取签名人的身份信息；

云端服务器对身份信息进行安全验证，得到安全验证指数；

判断安全验证指数是否超过第一预设阈值，若是，则获取签名人的待签名数据对应的摘要信息；

云端服务器获取私有密钥并基于私有密钥对摘要信息进行签名处理，得到签名数据；

将签名数据发送至签名人的客户端以完成数字签名。

优选地，在获取签名人的身份信息之前，方法还包括：

构建身份识别模型：身份识别模型基于多个第二识别特征信息对第二初始识别模型进行训练得到，第二初始识别模型基于多个第一识别特征信息对第一初始识别模型进行训练得到，第一识别特征信息包括已注册的签名人特征信息，第二识别信息为电子合约，该电子合约为签名人和云端服务器签订的电子合约，其中，第二初始识别模型包括多个签名人已注册的特征信息，特征信息包括签名人身份证号码、签名人指纹信息和签名人所在的企业代码。

优选地，云端服务器对身份信息进行安全验证，得到安全验证指数包括：

身份信息包括签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息；

判断签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息是否异常，若否，则安全验证参数为1，若是，则安全验证参数为0；

获取待签名数据的发送数据的操作时间戳T0和云端服务器接收待签名数据的时刻T1，并计算T0时刻至T1时刻的时段Y；

获取待签名数据的文件大小G以及云端服务器的负载率；

将时段Y、待签名数据的文件大小G以及云端服务器的负载率代入计算公式计算得到安全验证指数CW，该计算公式如下：

其中，为安全验证参数，权重因子，为常数系数，由云端服务端设置，为待签名数据的文件重发率。

优选地，获取签名人的待签名数据对应的摘要信息包括：

获取待签名数据的信息；

通过待签名数据的信息判断待签名数据是否为可签名数据，其中，判断待签名数据是否为可签名数据的方式为：读取待签名数据的头部信息，对比头部信息与数字签名代码，如果头部信息未包含数字签名代码，则待签名数据是可签名数据；

若待签名数据为可签名数据，则计算待签名数据的摘要信息。

优选地，计算待签名数据的摘要信息包括：

利用预设的椭圆曲线加密算法计算待签名数据的哈希值；

将哈希值作为待签名数据的摘要信息。

为了解决问题，本发明还公开了一种基于加密技术的云端签名系统，该系统包括识别模块、验证模块、判断模块和签名模块：

识别模块用于基于身份识别模型对签名人进行身份识别并获取签名人的身份信息；

验证模块用于云端服务器对身份信息进行安全验证，得到安全验证指数：

身份信息包括签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息；

判断签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息是否异常，若否，则安全验证参数为1，若是，则安全验证参数为0；

获取待签名数据的发送数据的操作时间戳T0和云端服务器接收待签名数据的时刻T1，并计算T0时刻至T1时刻的时段Y；

获取待签名数据的文件大小G以及云端服务器的负载率；

将时段Y、待签名数据的文件大小G以及云端服务器的负载率代入计算公式计算得到安全验证指数CW，该计算公式如下：

其中，为安全验证参数，权重因子，为常数系数，由云端服务端设置，为待签名数据的文件重发率；判断模块用于判断安全验证指数是否超过第一预设阈值，若是，则获取签名人的待签名数据对应的摘要信息；

签名模块用于云端服务器获取私有密钥并基于私有密钥对摘要信息进行签名处理，得到签名数据；将签名数据发送至签名人的客户端以完成数字签名。

相比于现有方案，本发明实现的有益效果：

本发明在对签名人的待签名数据进行数字签名时，没有依赖数字证书颁发机构颁发数字证书来推进签名的完成，而是基于云端服务器对签名人的客户端进行安全验证，并计算得到安全验证指数，基于安全验证指数来推动数字签名的完成，能够基于云端服务器与签名人的客户端两者之间完成数字签名，增强数字签名的安全性和提高了数字签名的签名效率。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本发明实施例的一种基于加密技术的云端签名方法的流程图；

图2是本发明实施例的另一种基于加密技术的云端签名方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多示例实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的示例实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、步骤等。在其它情况下，不详细示出或描述公知结构、方法、实现或者操作以避免喧宾夺主而使得本公开的各方面变得模糊。

本发明实施例提供了一种基于加密技术的云端签名方法，图1是本发明实施例的一种基于加密技术的云端签名方法的流程图，如图1所示，该方法包括以下步骤：

S100：基于身份识别模型对签名人进行身份识别并获取签名人的身份信息。

S110：云端服务器对身份信息进行安全验证，得到安全验证指数。

S120：判断安全验证指数是否超过第一预设阈值，若是，则进入步骤S130，若否，则进入步骤S160。

S130：获取签名人的待签名数据对应的摘要信息。

S140：云端服务器获取私有密钥并基于私有密钥对摘要信息进行签名处理，得到签名数据。

S150：将签名数据发送至签名人的客户端以完成数字签名。

S160：拒绝获取签名人的待签名数据对应的摘要信息，并生成签名失败报告并发送至签名人的客户端。

综上，本发明通过基于身份识别模型对签名人进行身份识别并获取签名人的身份信息；云端服务器对身份信息进行安全验证，得到安全验证指数；判断安全验证指数是否超过第一预设阈值，若是，则获取签名人的待签名数据对应的摘要信息；云端服务器获取私有密钥并基于私有密钥对摘要信息进行签名处理，得到签名数据；将签名数据发送至签名人的客户端以完成数字签名。本发明在对签名人的待签名数据进行数字签名时，没有依赖数字证书颁发机构颁发数字证书来推进签名的完成，而是基于云端服务器对签名人的客户端进行安全验证，并计算得到安全验证指数，基于安全验证指数来推动数字签名的完成，能够基于云端服务器与签名人的客户端两者之间完成数字签名，避免了若颁发机构处于不可信状态即受到恶意程序的破坏，会导致数字证书颁发的数字证书受到影响，进而降低数字签名的效率，相应地，本发明实施例增强数字签名的安全性和提高了数字签名的签名效率。

在一些实施例中，在步骤S100之前，该方法还包括构建身份识别模型，该身份识别模型用于对签名人的身份进行识别，能够自动识别有效的签名人和过滤掉非签名人，非签名人即不合法和未注册的用户。该身份识别模型的过程包括：身份识别模型基于多个第二识别特征信息对第二初始识别模型进行训练得到，第二初始识别模型基于多个第一识别特征信息对第一初始识别模型进行训练得到，第一识别特征信息包括已注册的签名人特征信息，第二识别信息为电子合约，该电子合约为签名人和云端服务器签订的电子合约，其中，第二初始识别模型包括多个签名人已注册的特征信息，特征信息包括签名人身份证号码、签名人指纹信息和签名人所在的企业代码。基于身份识别模型对签名人的身份进行识别，能够自动识别签名人的身份，减少云端服务器的运算工作量，减轻云端服务器的运算压力，也能够避免一些恶意程序的攻击，保证签名系统的安全性。

在一些实施例中，在步骤S110中，云端服务器对身份信息进行安全验证，得到安全验证指数，图2是本发明实施例的另一种基于加密技术的云端签名方法的流程图，如图2所示，具体包括以下步骤：

S210：获取身份信息，身份信息包括签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息。签名人的客户端节点编码信息为签名人的客户端在云端服务器中注册的网络节点对应的编码，该编码由云端进行分配；签名人的地理位置信息为签名人的地理实际位置信息，可有定位系统提供。

S220：判断签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息是否异常，若否，则安全验证参数为1，若是，则安全验证参数为0。

S230：获取待签名数据的发送数据的操作时间戳T0和云端服务器接受待签名数据的时刻T1，并计算T0时刻至T1时刻的时段Y。

S240：获取待签名数据的文件大小G以及云端服务器的负载率。

S250：将时段Y、待签名数据的文件大小G以及云端服务器的负载率代入计算公式计算得到安全验证指数CW，该计算公式如下：

其中，为安全验证参数，权重因子，为常数系数，由云端服务端设置，为待签名数据的文件重发率。

综上，云端服务器对签名人的身份信息进行安全验证，得到安全验证指数，并基于安全验证指数推动数字签名的完成，能够增加云端服务器和签名人之间的互信度，省去基于私有密钥，生成证书请求文件并基于证书请求文件，申请得到代码签名证书这个步骤，有利于提高数字签名的效率。

在一些实施例中，在步骤S220中，判断签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息是否异常，若否，则安全验证参数为1，若是，则安全验证参数为0。其中，判断签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息是否异常可以包括以下步骤：将签名人的IP地址信息和该签名人的历史IP地址信息进行对比，判断两者是否一致，若是，则签名人的IP地址信息为正常，若否，则签名人的IP地址信息为异常；将签名人的客户端节点编码信息与已注册的节点编码信息进行对比，判断签名人的客户端节点编码信息是否包含于已注册的节点编码信息，若是，则签名人的客户端节点编码信息为正常，反之，则异常；将签名人的地理位置信息与签名人登记的地理位置信息进行对比，判断两者是否一致，若是，则签名人的地理位置信息为正常，反之，为异常。在签名人的IP地址信息、签名人的节点编码信息和签名人的地理位置信息均为正常的情况下，安全验证参数为1，在签名人的IP地址信息、签名人的节点编码信息和签名人的地理位置信息中至少有一个异常，则安全验证参数为0。

在一些实施例中，获取签名人的待签名数据对应的摘要信息包括：

获取待签名数据的信息；

通过待签名数据的信息判断待签名数据是否为可签名数据，其中，判断待签名数据是否为可签名数据的方式为：读取待签名数据的头部信息，对比头部信息与数字签名代码，如果头部信息未包含数字签名代码，则待签名数据是可签名数据；

若待签名数据为可签名数据，则计算待签名数据的摘要信息。

进一步地，利用椭圆曲线加密算法计算待签名数据的哈希值：使用SHA256对待签名数据生成256比特的摘要，将该摘要作为待签名数据的哈希值h。

设私钥、公钥分别为k、K，即K = kG，其中G为G点。

私钥签名： 选择随机数r，计算点rG(x, y)；根据随机数r、消息M的哈希h、私钥k，计算s = (h + kx)/r；将消息M和签名{rG, s}发给接收方。

公钥验证签名：接收方收到消息M、以及签名{rG=(x,y), s}；根据消息求哈希h；使用发送方公钥K计算：hG/s + xK/s，并与rG比较，如相等即验签成功。原理如下：

hG/s + xK/s = hG/s + x(kG)/s = (h+xk)G/s

= r(h+xk)G / (h+kx) = rG

另一方面，本发明还提供了一种基于加密技术的云端签名系统，该系统包括识别模块、验证模块、判断模块和签名模块：

识别模块用于基于身份识别模型对签名人进行身份识别并获取签名人的身份信息：

身份信息包括签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息；

判断签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息是否异常，若否，则安全验证参数为1，若是，则安全验证参数为0；

获取待签名数据的发送数据的操作时间戳T0和云端服务器接受待签名数据的时刻T1，并计算T0时刻至T1时刻的时段Y；

获取待签名数据的文件大小G以及云端服务器的负载率；

将时段Y、待签名数据的文件大小G以及云端服务器的负载率代入计算公式计算得到安全验证指数CW，该计算公式如下：

其中，为安全验证参数，权重因子，为常数系数，由云端服务端设置，为待签名数据的文件重发率；

验证模块用于云端服务器对身份信息进行安全验证，得到安全验证指数；

判断模块用于判断安全验证指数是否超过第一预设阈值，若是，则获取签名人的待签名数据对应的摘要信息；

签名模块用于云端服务器获取私有密钥并基于私有密钥对摘要信息进行签名处理，得到签名数据；将签名数据发送至签名人的客户端以完成数字签名。

上述实施例，可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质（例如，软盘、硬盘、磁带）、光介质（例如，DVD）、或者半导体介质。半导体介质可以是固态硬盘。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一些逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-onlymemory，ROM)、随机存取存储器(randomaccessmemory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (6)

1.一种基于加密技术的云端签名方法，其特征在于，方法包括：

基于身份识别模型对签名人进行身份识别并获取签名人的身份信息；

云端服务器对身份信息进行安全验证，得到安全验证指数：

身份信息包括签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息；

判断签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息是否异常，若否，则安全验证参数为1，若是，则安全验证参数为0；

获取待签名数据的发送数据的操作时间戳T0和云端服务器接收待签名数据的时刻T1，并计算T0时刻至T1时刻的时段Y；

获取待签名数据的文件大小G以及云端服务器的负载率；

将时段Y、待签名数据的文件大小G以及云端服务器的负载率代入计算公式计算得到安全验证指数CW，该计算公式如下：

其中，为安全验证参数，权重因子， 为常数系数，由云端服务端设置，为待签名数据的文件重发率；

判断安全验证指数是否超过第一预设阈值，若是，则获取签名人的待签名数据对应的摘要信息；

云端服务器获取私有密钥并基于私有密钥对摘要信息进行签名处理，得到签名数据；

将签名数据发送至签名人的客户端以完成数字签名。

2.根据权利要求1所述的一种基于加密技术的云端签名方法，其特征在于，在获取签名人的身份信息之前，方法还包括：

构建身份识别模型：身份识别模型基于多个第二识别特征信息对第二初始识别模型进行训练得到，第二初始识别模型基于多个第一识别特征信息对第一初始识别模型进行训练得到，第一识别特征信息包括已注册的签名人特征信息，第二识别信息为电子合约，该电子合约为签名人和云端服务器签订的电子合约，其中，第二初始识别模型包括多个签名人已注册的特征信息，特征信息包括签名人身份证号码、签名人指纹信息和签名人所在的企业代码。

3.根据权利要求1所述的一种基于加密技术的云端签名方法，其特征在于，获取签名人的待签名数据对应的摘要信息包括：

获取待签名数据的信息；

通过待签名数据的信息判断待签名数据是否为可签名数据，其中，判断待签名数据是否为可签名数据的方式为：读取待签名数据的头部信息，对比头部信息与数字签名代码，如果头部信息未包含数字签名代码，则待签名数据是可签名数据；

若待签名数据为可签名数据，则计算待签名数据的摘要信息。

4.根据权利要求3所述的一种基于加密技术的云端签名方法，其特征在于，计算待签名数据的摘要信息包括：

利用预设的椭圆曲线加密算法计算待签名数据的哈希值；

将哈希值作为待签名数据的摘要信息。

5.根据权利要求1所述的一种基于加密技术的云端签名方法，其特征在于，该方法还包括：

判断安全验证指数是否超过第一预设阈值，若否，则拒绝获取签名人的待签名数据对应的摘要信息，并生成签名失败报告并发送至签名人的客户端。

6.一种基于加密技术的云端签名系统，其特征在于，该系统包括识别模块、验证模块、判断模块和签名模块：

识别模块用于基于身份识别模型对签名人进行身份识别并获取签名人的身份信息；

验证模块用于云端服务器对身份信息进行安全验证，得到安全验证指数：

身份信息包括签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息；

判断签名人的IP地址信息、签名人的客户端节点编码信息和签名人的地理位置信息是否异常，若否，则安全验证参数为1，若是，则安全验证参数为0；

获取待签名数据的发送数据的操作时间戳T0和云端服务器接收待签名数据的时刻T1，并计算T0时刻至T1时刻的时段Y；

获取待签名数据的文件大小G以及云端服务器的负载率；

将时段Y、待签名数据的文件大小G以及云端服务器的负载率代入计算公式计算得到安全验证指数CW，该计算公式如下：

其中，为安全验证参数，权重因子， 为常数系数，由云端服务端设置，为待签名数据的文件重发率；

判断模块用于判断安全验证指数是否超过第一预设阈值，若是，则获取签名人的待签名数据对应的摘要信息；

签名模块用于云端服务器获取私有密钥并基于私有密钥对摘要信息进行签名处理，得到签名数据；将签名数据发送至签名人的客户端以完成数字签名。