CN102045715B - 一种移动签名实现方法、装置与*** - Google Patents
一种移动签名实现方法、装置与*** Download PDFInfo
- Publication number
- CN102045715B CN102045715B CN200910235702.7A CN200910235702A CN102045715B CN 102045715 B CN102045715 B CN 102045715B CN 200910235702 A CN200910235702 A CN 200910235702A CN 102045715 B CN102045715 B CN 102045715B
- Authority
- CN
- China
- Prior art keywords
- data
- user
- displayed
- signed
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种移动签名实现方法。包括:由业务应用***接受用户访问,产生待签数据,生成待签数据表示和待显示数据,使用用户的公钥加密待显示数据后发送到移动签名服务器;移动签名服务器将待签数据表示和加密的待显示数据发送到用户的移动终端;移动终端内SIM/USIM使用用户的私钥对接收的加密的待显示数据进行解密,并呈现给用户确认;捕获到用户的确认指令后,使用用户的私钥对待签数据表示进行签名运算,并将签名运算后的签名结果通过移动签名服务器转发到业务应用***。业务应用***使用用户的公钥对所述签名结果进行签名验证。本发明还公开了相应的装置及***。采用本发明,基于移动终端中的SIM/USIM实现了端到端保护的移动签名。
Description
技术领域
本发明涉及无线网络及数据业务,尤其涉及一种移动签名实现方法、相应装置及***。
背景技术
基于公开密钥体制的数字签名技术,能够为电子交易的数据电文提供真实性和完整性保护,并能防止交易者事后否认自己的交易行为,因而在安全性要求较高的电子交易中得到较为广泛的应用,如网上银行、网上支付等。
采用数字签名来保护消息的前提是每个实体都要拥有一对公私钥对,私钥保密,公钥公开,并且要建立起公钥与实体身份的绑定关系。在实践操作中,这种绑定关系是由证书认证机构(Certification Authority,CA)来完成。CA是颁发数字证书的权威机构,数字证书中绑定了实体的公钥和身份,并且该绑定关系由CA的签名来保护。通常,为了确保绑定关系的公平公正,CA将作为第三方权威机构运营,而将CA机构的密钥、软件、硬件、机房设备、人员、流程等统称为公钥基础设施(Public Key Infrastructure,PKI)。
与现实世界中交易双方都要在交易文件上进行签名类似,在虚拟世界中,也需要对电子交易进行签名,以标识签名人身份并表示签名人对内容的认可。目前,数字签名是电子签名能够落地实施的唯一技术手段,所以当人们说电子签名时,通常指的就是的基于公钥机制的数字签名。
在ETSI所制定的移动签名(Mobile Signature)标准中(ETSI TR 102 203、TS 102 204、TR 102 206、TS 102 207),提出了一种在移动网络环境下远程调用私钥来实现电子签名的方法。具体为:
当业务应用(Application Provider,AP)需要用户签署数据时,先将待签数据(Data To Be Signed,DTBS)发送给移动签名服务平台(Mobile SignatureService Platform,MSSP),MSSP对DTBS进行一定的处理后将其发送给用户。用户收到消息后,先浏览信息,如果认可该消息的内容,则点击确认使用自己的私钥来签署消息,并将签名结果返回给MSSP。MSSP处理收到的签名结果,形成完整的电子签名,并将电子签名返回给AP,由AP使用用户的公钥进行签名验证。
ETSI所提出的移动签名方式一个很明显的缺点,就是不能实现端到端的机密性保护。在很多情况下,DTBS是需要保密的商业敏感信息,如银行的转账信息或证券的交易信息,这些敏感信息只能由AP及用户知道,其他任何第三方均不应看到这些信息。ETSI中所提的方法中要求AP将DTBS发送给MSSP,并由MSSP进行相关处理,这样MSSP就知道了交易的细节信息,这个问题极有可能是阻碍移动签名推广使用的主要障碍。
ETSI移动签名标准中的另一个问题是未充分考虑终端侧的可实现性。标准中要求在移动签名生成应用程序(Mobile Signature Creation Application,MSCA)中要展示用户的签名人文件(Signer’s Document,SD),而这项要求在当前的移动终端中很难实现。MSCA有两种实现方式:终端应用和卡应用。当MSCA是终端应用时,MSCA与移动签名生成设备,即2G移动终端中的用户身份模块(Subscriber Identity Module,SIM)或3G移动终端中的通用用户身份模块(Universally Subscriber Identity Module,USIM)交互是一个问题,原因在于这需要扩展终端与SIM/USIM的交互指令集,而当前缺乏这方面的相关标准;当MSCA是卡应用时,卡的处理能力很有限,往往不能处理可能具有复杂格式的SD,如扩展标记语言(eXtensible Markup Language,XML)是AP经常使用的文件格式,而这种文件格式在SIM/USIM上不能得到正确处理,因此不能将SD的内容展示给用户看。
发明内容
本发明实施例提供一种移动签名实现方法、相应的装置及***,基于移动终端中的SIM/USIM实现端到端保护的移动签名。
本发明实施例提供的移动签名实现方法,包括:
业务应用***接受用户访问,产生待签数据;
所述业务应用***根据所述待签数据生成待签数据表示和待显示数据,并使用所述用户的公钥加密所述待显示数据;将所述用户的移动终端身份标识、所述待签数据表示和加密的待显示数据发送到移动签名服务器;
所述移动签名服务器根据所述用户的移动终端身份标识,将所述待签数据表示和加密的待显示数据发送到所述用户的移动终端;
所述用户的移动终端内的用户身份模块/通用用户身份模块SIM/USIM使用存储的所述用户的私钥对接收的所述加密的待显示数据进行解密,并呈现解密后的待显示数据给用户确认;以及捕获到用户的确认指令后,使用所述用户的私钥对所述待签数据表示进行签名运算,并将签名运算后的签名结果返回给所述移动签名服务器;
所述移动签名服务器转发所述签名结果给所述业务应用***;
所述业务应用***使用所述用户的公钥对所述签名结果进行签名验证。
本发明实施例提供一种业务应用***,包括:
业务访问模块,用于接受用户访问,产生待签数据;
预处理模块,用于根据所述待签数据生成待签数据表示和待显示数据,并使用所述用户的公钥加密所述待显示数据;
数据传输模块,用于将所述用户的移动终端身份标识、所述待签数据表示和加密的待显示数据发送到移动签名服务器;以及接收所述移动签名服务器转发的签名结果;
签名验证处理模块,用于使用所述用户的公钥对所述签名结果进行签名验证。
本发明实施例还提供一种移动签名服务器,包括:
第一传输处理模块,用于接收业务应用***发送的用户的移动终端身份标识、待签数据表示和加密的待显示数据;所述待签数据表示和待显示数据由业务应用***接受用户访问产生的待签数据生成,所述加密的待显示数据是使用所述用户的公钥加密所述待显示数据;以及转发接收的签名结果给所述业务应用***;
第二传输处理模块,用于根据所述用户的移动终端身份标识,将所述待签数据表示和加密的待显示数据发送到所述用户的移动终端;以及接收所述用户的移动终端内的用户身份模块/通用用户身份模块SIM/USIM返回的签名结果,所述签名结果为所述SIM/USIM捕获到用户的确认指令后使用存储的所述用户的私钥对所述待签数据表示进行签名运算后得到。
本发明实施例提供一种移动终端,包括用户身份模块/通用用户身份模块SIM/USIM,所述SIM/USIM包括:
传输模块,用于接收移动签名服务器转发的待签数据表示和加密的待显示数据;所述待签数据表示和待显示数据由业务应用***接受用户访问产生的待签数据生成,所述加密的待显示数据是使用所述用户的公钥加密所述待显示数据;以及传送签名结果给所述移动签名服务器;
加解密模块,用于使用用户的私钥对接收的所述加密的待显示数据进行解密;以及使用所述用户的私钥对所述待签数据表示进行签名运算,得到签名结果;
人机交互模块,用于呈现解密后的待显示数据给用户确认,以及接收用户的确认指令,通知所述加解密模块使用所述用户的私钥对所述待签数据表示进行签名运算;
私钥存储保护模块,用于存储用户的私钥。
本发明实施例还提供一种移动签名实现***,,包括:业务应用***、移动签名服务器和移动终端;
所述业务应用***,用于接受用户访问,产生待签数据;根据所述待签数据生成待签数据表示和待显示数据,并使用所述用户的公钥加密所述待显示数据;将所述用户的移动终端身份标识、所述待签数据表示和加密的待显示数据发送到所述移动签名服务器;以及接收所述移动签名服务器转发的签名结果,使用所述用户的公钥对所述签名结果进行签名验证;
所述移动签名服务器,用于根据所述用户的移动终端身份标识,将所述待签数据表示和加密的待显示数据发送到所述用户的移动终端;以及接收所述用户的移动终端内的用户身份模块/通用用户身份模块SIM/USIM返回的签名结果,并转发给所述业务应用***;
所述移动终端内的所述SIM/USIM,用于使用存储的所述用户的私钥对接收的所述加密的待显示数据进行解密,并呈现解密后的待显示数据给用户确认;以及捕获到用户的确认指令后,使用所述用户的私钥对所述待签数据表示进行签名运算,并将签名运算后的签名结果返回给所述移动签名服务器。
采用本发明,业务应用***根据待签数据生成待签数据表示和待显示数据,并使用用户的公钥加密待显示数据后发送到移动签名服务器。这样,移动签名服务器作为第三方,收到的待显示数据是被加密了的,增强了传送信息的安全性。另外,待显示数据是根据待签数据生成的用于显示给用户确认的交易信息,可以采用纯文本等方式以方便由移动终端中的SIM/USIM进行处理与展示。
本发明方法中,由移动签名服务器将待签数据表示和加密的待显示数据发送到用户的移动终端;由用户的移动终端中的SIM/USIM使用存储的用户的私钥对接收的加密的待显示数据进行解密,并呈现解密后的待显示数据给用户确认;当捕获到用户的确认指令后,使用用户的私钥对待签数据表示进行签名运算,并将签名运算后的签名结果返回给移动签名服务器。不需要对SIM/USIM及移动终端进行功能增强,即可实现端到端保护的移动签名。
附图说明
图1为本发明实施例提供的移动签名实现方法流程图;
图2为本发明实施例提供的用户访问业务应用***后,完成移动签名的信令交互流程图;
图3为本发明实施例提供的业务应用***结构示意图;
图4为本发明实施例提供的移动签名服务器结构示意图;
图5为本发明实施例提供的移动终端中的SIM/USIM结构示意图;
图6为本发明实施例提供的移动签名实现***结构示意图。
具体实施方式
本发明实施例提供一种移动签名实现方法、相应的装置及***,基于移动终端中的SIM/USIM实现端到端保护的移动签名。
下面结合附图,对本发明提供的方法、装置及***进行详细描述。
参见图1,为本发明实施例提供的移动签名实现方法流程图,包括:
步骤S101、业务应用***接受用户访问,产生待签数据;
步骤S102、业务应用***根据待签数据生成待签数据表示和待显示数据;
步骤S103、业务应用***使用用户的公钥加密待显示数据;并将用户的移动终端身份标识、待签数据表示和加密的待显示数据发送到移动签名服务器;
步骤S104、移动签名服务器根据用户的移动终端身份标识,将待签数据表示和加密的待显示数据发送到用户的移动终端;
步骤S105、用户的移动终端内的SIM/USIM使用存储的用户的私钥对接收的加密的待显示数据进行解密,并呈现解密后的待显示数据给用户确认;以及捕获到用户的确认指令后,使用用户的私钥对待签数据表示进行签名运算,并将签名运算后的签名结果返回给移动签名服务器;
步骤S106、移动签名服务器转发签名结果给业务应用***;
步骤S107、业务应用***使用用户的公钥对签名结果进行签名验证。
上述各步骤说明如下:
步骤S101中的业务应用***,可以是各种实际的具体应用***,如各种网上购物平台等,能接受用户的访问,并能根据用户的访问结果产生待签数据。以用户访问某个购物网站购买单价为100元的一束鲜花为例,业务应用***(嵌入在网站上的购物交易***)会产生相应的待签数据,例如产生的待签数据采用带标签的结构化数据表示如下:
<customer>XX客户<customer/>
<website>XX网站<website/>
<productID>000212134<productID/>
<price>100<price/>
<quantity>1<quantity/>
<total>100<total/>
上述数据是需要由用户签署的待签数据(DTBS)。
上述步骤S102中,业务应用***根据待签数据生成待签数据表示和待显示数据,具体方法例如:
业务应用***对待签数据进行正规化,形成DTBSF(DTBS Formatted),正规化指的是去掉待签数据中的无意义字符,如用户在不经意中留下的“空格”、“回车”等,正规化后形成的DTBSF才是生成数字签名和验证数字签名的真正数据,正规化是业界标准的做法。业务应用***对正规化后的DTBSF进行杂凑运算(也称Hash运算),生成待签数据表示(Data To Be SignedRepresentation,DTBSR)。
业务应用***从待签数据中提取需要显示给用户的数据,并按照SIM/USIM能够处理的格式进行编排,生成待显示数据(Data To Be Displayed,DTBD)。以上述待签数据为例,所带标签是没有必要显示给用户看的,所以只需将其中需要显示给用户看的数据提取出来,按照正确的顺序排列,就形成了待显示数据。例如:形成的待显示数据为:“XX客户,您正在XX网站购买鲜花,单价100元,数量1束,合计100元。您是否确认此交易?”。生成的待显示数据格式可以是纯文本格式或标签-长度-值(Tag Length Value,TLV)格式。
上述步骤S103中的用户的移动终端身份标识,例如为用户的手机号码(Mobile station international ISDN number,MSISDN)等。
在上述方法执行过程中,移动签名服务器与SIM/USIM之间的交互,可以采用数据短信方式或承载无关协议(Bearer Independent Protocol,BIP)方式。即:移动签名服务器根据用户的移动终端身份标识,采用数据短信方式或BIP方式将待签数据表示和加密的待显示数据发送到用户的移动终端;以及SIM/USIM将签名结果采用数据短信方式或BIP方式返回给移动签名服务器。BIP方式使SIM/USIM能够以TCP/IP的方式与移动签名服务器进行交互。在数据传输速率和传输可靠性方面,BIP方式要远远优于数据短信方式。但BIP方式需要移动终端的支持才能实现。
在上述方法执行过程中,有可能由于用户忙,在一段时间内没有及时通过移动终端确认本次交易信息,使得SIM/USIM在设定的时长内没有捕获到用户的确认指令;或者由于其它原因,导致用户想放弃本次交易,SIM/USIM捕获到用户通过移动终端发送的不确认指令时,将向移动签名服务器返回确认失败消息,由移动签名服务器转发给业务应用***,业务应用***显示本次签名失败。
根据本发明上述实施例提供的移动签名实现方法,一个用户或其代理访问业务应用***后,完成移动签名的完整信令交互流程如图2所示,包括:
1、用户或其代理访问业务应用***(如某网站的购物交易***),进行购物交易;
2、业务应用***通过用户界面接收用户输入或点选的购物相关信息,产生本次交易的待签数据(DTBS);
3、业务应用***对DTBS进行处理,生成待签数据表示(DTBSR)和加密的待显示数据(DTBD);
4、业务应用***将用户的MSISDN、DTBSR和加密的DTBD发送至移动签名服务器;
5、移动签名服务器将DTBSR和加密的DTBD发送至用户的移动终端;
6、移动终端中的SIM/USIM使用用户的私钥解密DTBD并通过移动终端展示给用户,请求用户确认相关交易信息;
7、SIM/USIM接收到用户的确认指令后对DTBSR进行签名运算,生成签名结果;
8、SIM/USIM将签名结果返回给移动签名服务器;
9、移动签名服务器转发签名结果给业务应用***;
10、业务应用***使用用户的公钥对签名结果进行验证;
11、业务应用***对签名结果验证通过后,向用户及其代理提示交易完成。
在本发明上述实施例提供的移动签名实现方法中,对于涉及用户的具体交易等私密信息是使用用户的公钥加密后传送至网络侧的移动签名服务器的,由于不是明文传送,因此第三方移动签名服务器侧是不能获知用户的交易信息的,增强了交易的安全性和私密性。另外,在业务应用***中预先对待签数据进行处理,生成SIM/USIM可以处理的待显示数据,方便通过卡应用展示交易信息提交用户确认。
基于同一发明构思,为了实现端到端保护的移动签名,本发明实施例还提供一种相应的业务应用***,其结构示意图如图3所示,包括:
业务访问模块31,用于接受用户访问,产生待签数据;
预处理模块32,用于根据待签数据生成待签数据表示和待显示数据,并使用用户的公钥加密待显示数据;
数据传输模块33,用于将用户的移动终端身份标识、待签数据表示和加密的待显示数据发送到移动签名服务器;以及接收移动签名服务器转发的签名结果;
签名验证处理模块34,用于使用用户的公钥对签名结果进行签名验证。
一实施例中,预处理模块32,具体包括:
待签数据表示生成单元,用于对待签数据进行正规化后进行杂凑运算,生成待签数据表示;
待显示数据生成单元,用于从待签数据中提取需要显示给用户的数据,并按照移动终端中的SIM/USIM能够处理的格式进行编排,生成待显示数据;
加密单元,用于使用用户的公钥加密待显示数据。
一实施例中,业务应用***还可以包括:
安全模块35,用于与移动签名服务器之间进行双向安全认证和加密处理。数据传输模块33与移动签名服务器之间的交互信息,可以通过安全模块35进行加密或签名等操作,以便在业务应用***与移动签名服务器之间实现双向安全认证和加密处理。
基于同一发明构思,为了实现端到端保护的移动签名,本发明实施例还提供一种相应的移动签名服务器,其结构示意图如图4所示,包括:
第一传输处理模块41,用于接收业务应用***发送的用户的移动终端身份标识、待签数据表示和加密的待显示数据。其中,待签数据表示和待显示数据由业务应用***接受用户访问产生的待签数据生成,并使用用户的公钥对待显示数据加密;以及转发接收的签名结果给业务应用***;
第二传输处理模块42,用于根据用户的移动终端身份标识,将待签数据表示和加密的待显示数据发送到用户的移动终端;以及接收用户的移动终端中的SIM/USIM返回的签名结果。签名结果为SIM/USIM捕获到用户的确认指令后使用存储的用户的私钥对待签数据表示进行签名运算后得到。
一实施例中,移动签名服务器还可以包括:
第一安全模块43,用于与业务应用***之间进行双向安全认证和加密处理。第一传输处理模块41与业务应用***之间的交互信息,可以通过第一安全模块43进行加密或签名等操作,以便在移动签名服务器与业务应用***之间实现双向安全认证和加密处理。
一实施例中,移动签名服务器还可以包括:
第二安全模块44,用于与用户的移动终端中的SIM/USIM之间进行双向安全认证和完整性保护。
基于同一发明构思,为了安全地实现移动签名,本发明实施例还提供一种移动终端,该移动终端中的SIM/USIM结构示意图如图5所示,包括:
传输模块51,用于接收移动签名服务器转发的待签数据表示和加密的待显示数据;其中,待签数据表示和待显示数据由业务应用***接受用户访问产生的待签数据生成,并使用用户的公钥加密待显示数据;以及传送签名结果给移动签名服务器;
加解密模块52,用于使用用户的私钥对接收的加密的待显示数据进行解密;以及使用用户的私钥对待签数据表示进行签名运算,得到签名结果;
人机交互模块53,用于呈现解密后的待显示数据给用户确认,以及接收用户的确认指令,通知加解密模块52使用用户的私钥对待签数据表示进行签名运算;
私钥存储保护模块54,用于存储用户的私钥。当用户使用私钥时,需要用户输入正确的PIN码。
一实施例中,SIM/USIM还可以包括:
安全模块55,用于与移动签名服务器之间进行双向安全认证和完整性保护。
基于同一发明构思,为了实现端到端保护的移动签名,本发明实施例还提供一种相应的移动签名实现***,其结构示意图如图6所示,包括:
业务应用***61、移动签名服务器62和移动终端63;
业务应用***61,用于接受用户访问,产生待签数据;根据待签数据生成待签数据表示和待显示数据,并使用用户的公钥加密待显示数据;将用户的移动终端身份标识、待签数据表示和加密的待显示数据发送到移动签名服务器62;以及接收移动签名服务器62转发的签名结果,使用用户的公钥对签名结果进行签名验证。
移动签名服务器62,用于根据用户的移动终端身份标识,将待签数据表示和加密的待显示数据发送到用户的移动终端;以及接收用户的移动终端63中的SIM/USIM返回的签名结果,并转发给业务应用***61。
用户的移动终端63中的SIM/USIM,使用存储的用户的私钥对接收的加密的待显示数据进行解密,并呈现解密后的待显示数据给用户确认;以及捕获到用户的确认指令后,使用用户的私钥对待签数据表示进行签名运算,并将签名运算后的签名结果返回给移动签名服务器62。
综上所述,采用本发明上述实施例提供的方法、装置及***,能够实现端到端的用户数据机密性保护,使得只有业务应用***(AP)和用户才能看到商业敏感数据,提高了移动签名的安全性。另外,采用本发明,由于在业务应用***中对待签数据进行了预处理,生成的待显示数据可以由SIM/USIM进行处理和展示,使得在移动终端侧只需通过卡应用,即可实现移动签名,对终端和网络没有任何额外要求。对于移动签名服务器仅需要业务应用***和SIM/USIM之间进行数据的传送与转发,处理逻辑简单,实现成本低。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种移动签名实现方法,其特征在于,包括:
业务应用***接受用户访问,产生待签数据;
所述业务应用***对所述待签数据进行正规化后进行杂凑运算,生成待签数据表示;以及从所述待签数据中提取需要显示给用户的数据,按照用户身份模块/通用用户身份模块SIM/USIM能够处理的格式进行编排,生成待显示数据,并使用所述用户的公钥加密所述待显示数据;将所述用户的移动终端身份标识、所述待签数据表示和加密的待显示数据发送到移动签名服务器;
所述移动签名服务器根据所述用户的移动终端身份标识,将所述待签数据表示和加密的待显示数据发送到所述用户的移动终端;
所述用户的移动终端内的SIM/USIM使用存储的所述用户的私钥对接收的所述加密的待显示数据进行解密,并呈现解密后的待显示数据给用户确认;以及捕获到用户的确认指令后,使用所述用户的私钥对所述待签数据表示进行签名运算,并将签名运算后的签名结果返回给所述移动签名服务器;
所述移动签名服务器转发所述签名结果给所述业务应用***;
所述业务应用***使用所述用户的公钥对所述签名结果进行签名验证。
2.如权利要求1所述的移动签名实现方法,当所述SIM/USIM在设定的时长内没有捕获到用户的确认指令,或捕获到用户不确认指令时,向所述移动签名服务器返回确认失败消息;
所述移动签名服务器转发所述确认失败消息给所述业务应用***;
所述业务应用***显示本次签名失败。
3.如权利要求2所述的移动签名实现方法,其特征在于,所述移动签名服务器根据所述用户的移动终端身份标识,将所述待签数据表示和加密的待显示数据发送到所述用户的移动终端,采用数据短信方式或承载无关协议BIP方式;以及
所述SIM/USIM将签名结果返回给所述移动签名服务器,采用数据短信方式或BIP方式。
4.一种业务应用***,其特征在于,包括:
业务访问模块,用于接受用户访问,产生待签数据;
预处理模块,包括待签数据表示生成单元和待显示数据生成单元,其中,所述待签数据表示生成单元用于对所述待签数据进行正规化后进行杂凑运算,生成待签数据表示,所述待显示数据生成单元用于从所述待签数据中提取需要显示给用户的数据,并按照用户身份模块/通用用户身份模块SIM/USIM能够处理的格式进行编排,生成待显示数据,所述预处理模块用于使用所述用户的公钥加密所述待显示数据;
数据传输模块,用于将所述用户的移动终端身份标识、所述待签数据表示和加密的待显示数据发送到移动签名服务器;以及接收所述移动签名服务器转发的签名结果;
签名验证处理模块,用于使用所述用户的公钥对所述签名结果进行签名验证。
5.如权利要求4所述的业务应用***,其特征在于,还包括:
安全模块,用于与所述移动签名服务器之间进行双向认证和加密处理。
6.一种移动签名服务器,其特征在于,包括:
第一传输处理模块,用于接收业务应用***发送的用户的移动终端身份标识、待签数据表示和加密的待显示数据;所述待签数据表示由业务应用***对用户访问产生的待签数据进行正规化后进行杂凑运算生成;以及所述待显示数据由业务应用***从所述待签数据中提取需要显示给用户的数据,并按照用户身份模块/通用用户身份模块SIM/USIM能够处理的格式进行编排生成,所述加密的待显示数据是使用所述用户的公钥加密所述待显示数据得到;以及转发接收的签名结果给所述业务应用***;
第二传输处理模块,用于根据所述用户的移动终端身份标识,将所述待签数据表示和加密的待显示数据发送到所述用户的移动终端;以及接收所述用户的移动终端内的SIM/USIM返回的签名结果,所述签名结果为所述SIM/USIM捕获到用户的确认指令后使用存储的所述用户的私钥对所述待签数据表示进行签名运算后得到。
7.如权利要求6所述的移动签名服务器,其特征在于,还包括:
第一安全模块,用于与所述业务应用***之间进行双向安全认证和加密处理;
第二安全模块,用于与所述用户的移动终端的用户身份模块/通用用户身份模块SIM/USIM之间进行双向安全认证和完整性保护。
8.一种移动终端,包括用户身份模块/通用用户身份模块SIM/USIM,其特征在于,所述SIM/USIM包括:
传输模块,用于接收移动签名服务器转发的待签数据表示和加密的待显示数据;所述待签数据表示由业务应用***对用户访问产生的待签数据进行正规化后进行杂凑运算生成;以及所述待显示数据由业务应用***从所述待签数据中提取需要显示给用户的数据,并按照所述SIM/USIM能够处理的格式进行编排生成,所述加密的待显示数据是使用所述用户的公钥加密所述待显示数据得到;以及传送签名结果给所述移动签名服务器;
加解密模块,用于使用用户的私钥对接收的所述加密的待显示数据进行解密;以及使用所述用户的私钥对所述待签数据表示进行签名运算,得到签名结果;
人机交互模块,用于呈现解密后的待显示数据给用户确认,以及接收用户的确认指令,通知所述加解密模块使用所述用户的私钥对所述待签数据表示进行签名运算;
私钥存储保护模块,用于存储用户的私钥。
9.如权利要求8所述的移动终端,其特征在于,所述SIM/USIM还包括:
安全模块,用于与移动签名服务器之间进行双向安全认证和完整性保护。
10.一种移动签名实现***,其特征在于,包括:业务应用***、移动签名服务器和移动终端;
所述业务应用***,用于接受用户访问,产生待签数据;对所述待签数据进行正规化后进行杂凑运算,生成待签数据表示;以及从所述待签数据中提取需要显示给用户的数据,按照用户身份模块/通用用户身份模块SIM/USIM能够处理的格式进行编排,生成待显示数据,并使用所述用户的公钥加密所述待显示数据;将所述用户的移动终端身份标识、所述待签数据表示和加密的待显示数据发送到所述移动签名服务器;以及接收所述移动签名服务器转发的签名结果,使用所述用户的公钥对所述签名结果进行签名验证;
所述移动签名服务器,用于根据所述用户的移动终端身份标识,将所述待签数据表示和加密的待显示数据发送到所述用户的移动终端;以及接收所述用户的移动终端内的SIM/USIM返回的签名结果,并转发给所述业务应用***;
所述移动终端内的所述SIM/USIM,用于使用存储的所述用户的私钥对接收的所述加密的待显示数据进行解密,并呈现解密后的待显示数据给用户确认;以及捕获到用户的确认指令后,使用所述用户的私钥对所述待签数据表示进行签名运算,并将签名运算后的签名结果返回给所述移动签名服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910235702.7A CN102045715B (zh) | 2009-10-12 | 2009-10-12 | 一种移动签名实现方法、装置与*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910235702.7A CN102045715B (zh) | 2009-10-12 | 2009-10-12 | 一种移动签名实现方法、装置与*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102045715A CN102045715A (zh) | 2011-05-04 |
| CN102045715B true CN102045715B (zh) | 2013-03-13 |
Family
ID=43911371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910235702.7A Active CN102045715B (zh) | 2009-10-12 | 2009-10-12 | 一种移动签名实现方法、装置与*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102045715B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102904865B (zh) * | 2011-07-29 | 2016-05-25 | ***通信集团公司 | 一种基于移动终端的多个数字证书的管理方法、***和设备 |
| CN103152735A (zh) * | 2013-03-27 | 2013-06-12 | 深圳市中兴移动通信有限公司 | 移动终端中双向签名的方法及装置 |
| FR3024571B1 (fr) * | 2014-08-01 | 2016-09-16 | Keynectis | Procede de signature electronique |
| CN104240077B (zh) * | 2014-09-03 | 2018-09-28 | 萧东 | 一种基于短距离无线通信技术的编码加密器 |
| CN107820238B (zh) * | 2016-09-12 | 2024-05-03 | 国民技术股份有限公司 | Sim卡、区块链应用安全模块、客户端及其安全操作方法 |
| CN107979470A (zh) * | 2016-10-25 | 2018-05-01 | 航天信息股份有限公司 | 用于签名服务器、终端的方法和签名服务器、终端 |
| CN108259176B (zh) * | 2016-12-28 | 2021-08-27 | 中国电信股份有限公司 | 基于手机卡的数字签名方法、***以及终端 |
| CN111222178B (zh) * | 2020-01-16 | 2022-08-02 | 亚信科技(成都)有限公司 | 一种数据签名方法及装置 |
| CN112491552A (zh) * | 2020-11-18 | 2021-03-12 | 江苏先安科技有限公司 | 一种防止数字签名钓鱼攻击的方法 |
| CN117240472A (zh) * | 2023-09-22 | 2023-12-15 | 中移互联网有限公司 | 批量签名方法、装置及*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1437376A (zh) * | 2002-02-08 | 2003-08-20 | 泰康亚洲(北京)科技有限公司 | 一种在全球移动通信***中实现安全移动电子商务的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040203594A1 (en) * | 2002-08-12 | 2004-10-14 | Michael Kotzin | Method and apparatus for signature validation |
-
2009
- 2009-10-12 CN CN200910235702.7A patent/CN102045715B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1437376A (zh) * | 2002-02-08 | 2003-08-20 | 泰康亚洲(北京)科技有限公司 | 一种在全球移动通信***中实现安全移动电子商务的方法 |
Non-Patent Citations (4)
| Title |
|---|
| "Mobile Commerce (M-COMM) Mobile Signature Service Security Framework";ETSI;《ETSI TR 102 206 V1.1.3》;20030831;全文 * |
| ETSI."Mobile Commerce (M-COMM) Mobile Signature Service Security Framework".《ETSI TR 102 206 V1.1.3》.2003, |
| 李建军,周国志,蔡世贵,刘海贤."移动信息***中的PKI应用".《现代电信科技》.2008,(第8期), |
| 李建军,周国志,蔡世贵,刘海贤."移动信息***中的PKI应用".《现代电信科技》.2008,(第8期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102045715A (zh) | 2011-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045715B (zh) | 一种移动签名实现方法、装置与*** | |
| CN102609841B (zh) | 一种基于数字证书的远程移动支付***及支付方法 | |
| AU2010240822B2 (en) | System and method for personal certification using a mobile device | |
| CN102461231B (zh) | 在无线移动通讯网络注册无线移动通讯设备的程序 | |
| CN103747012B (zh) | 网络交易的安全验证方法、装置及*** | |
| CN101127604B (zh) | 信息安全传输方法和*** | |
| CN107516196A (zh) | 一种移动支付***及其移动支付方法 | |
| US20070162742A1 (en) | Method for applying certificate | |
| CN103297231A (zh) | 一种身份认证的方法及*** | |
| CN103237305B (zh) | 面向移动终端上的智能卡密码保护方法 | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN101860824B (zh) | 一种基于短消息的数字签名认证***及数字签名的方法 | |
| CN102789607A (zh) | 一种网络交易方法和*** | |
| CN101247407A (zh) | 网络认证服务***和方法 | |
| CN103456050B (zh) | 电子确认方法和*** | |
| CN102694780A (zh) | 一种数字签名认证方法及包含该方法的支付方法及*** | |
| CN102710611A (zh) | 网络安全身份认证方法和*** | |
| CN101790166A (zh) | 基于手机智能卡的数字签名方法 | |
| CN104935441A (zh) | 一种认证方法及相关装置、*** | |
| CN104318436A (zh) | 一种基于移动终端的安全支付方法及***和移动终端 | |
| JP2005513955A (ja) | 電子署名方法 | |
| CN103077460A (zh) | 移动装置进行金融凭证交易的***与方法 | |
| EP1142194A1 (en) | Method and system for implementing a digital signature | |
| CN106027560A (zh) | 一种面向智能终端的安全传输方法及*** | |
| CN105323063A (zh) | 基于二维码的移动终端与固定智能终端的身份验证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |