CN104301119B - 数据签名方法、签名验证方法、数据签名设备及验证服务器 - Google Patents
数据签名方法、签名验证方法、数据签名设备及验证服务器 Download PDFInfo
- Publication number
- CN104301119B CN104301119B CN201410616744.6A CN201410616744A CN104301119B CN 104301119 B CN104301119 B CN 104301119B CN 201410616744 A CN201410616744 A CN 201410616744A CN 104301119 B CN104301119 B CN 104301119B
- Authority
- CN
- China
- Prior art keywords
- signature
- data
- signed
- mark
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请本发明提供了数据签名方法、签名验证方法、数据签名设备及验证服务器,数据签名方法包括:当接收到第一签名请求时,提取其中的签名标识及待签名数据,生成待签名数据的摘要信息,并在预置的多个签名证书中,确定与签名标识对应的目标签名证书,利用目标签名证书,对摘要信息进行签名,从而获得第一签名数据,将第一签名数据及签名标识发往验证服务器,以供验证服务器对第一签名数据进行验证。可见,本发明可通过签名标记识别待签名数据,在一定程度上保证签名的安全性。即使签名标识被篡改,签名标识发送到验证服务器以验证是否存在骗签情况。本发明预置多个签名证书,至少包括交易签名证书及普通签名证书,分别对交易数据及普通数据签名。
Description
技术领域
本发明涉及数据安全技术领域,尤其是数据签名方法、签名验证方法、数据签名设备及验证服务器。
背景技术
近年来,随着互联网支付方式的日益普遍,支付过程中的安全性问题也逐渐受到了越来越广泛的关注。主要体现为,银行业务***在根据请求执行某些重要操作时,要对请求数据的合法性进行验证,验证的方法是将请求数据发送到客户侧设备如USBKey进行签名,再根据签名的结果进行判断。
请求数据主要分为交易数据及非交易数据。其中,交易数据主要包括涉及资金变动(如转账、汇款等)、业务开通等操作的数据;普通数据包括上述交易数据之外的数据。若待签名数据为交易数据,将交易数据进行显示,用户确认后才对交易数据进行签名,若待签名数据为普通数据,则对普通数据直接进行签名,签名后的数据都会发送到服务器进行验证。
传统上使用的RSA非对称签名算法中,利用待签名数据的摘要算法标识OID值来判断待签名数据是交易签名数据还是普通签名数据,并对摘要格式进行判断,判别是否与OID值所对应的摘要算法一致,从而能有效防止骗签。然而,目前在银行业正广泛推广国密算法,即利用国密算法SM3生成待签名数据的摘要信息,用SM2算法对摘要信息进行签名。由于国密算法中只能使用SM3一种摘要算法生成摘要信息,因此,不能和RSA签名算法一样,通过摘要标识判断待签名数据的类型。
一些钓鱼网站等恶意程序会将交易数据伪装为普通数据,在应用国密算法进行签名时,无法准确区分待签名数据的类型,则会出现骗签的风险,安全性较低。
发明内容
有鉴于此,本发明提供了数据签名方法、签名验证方法、数据签名设备及验证服务器,用以解决在使用国密算法进行数据签名时安全性较低的技术问题。为实现所述目的,本发明提供的技术方案如下:
一种数据签名方法,包括:
当接收到第一签名请求时,提取所述第一签名请求中的签名标识及待签名数据;
生成所述待签名数据的摘要信息;
在预先设置多个签名证书中,确定与所述签名标识对应的目标签名证书;其中,所述签名证书中至少包括交易签名证书及普通签名证书;
利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据;
将所述第一签名数据及所述签名标识发往验证服务器,所述第一签名数据及所述签名标识以供所述验证服务器对所述第一签名数据是否骗签进行验证。
上述数据签名方法,优选地,所述生成所述待签名数据的摘要信息,包括:
利用SM3密码杂凑算法,计算所述待签名数据的哈希值;
将所述哈希值确定为所述待签名数据的摘要信息。
上述数据签名方法,优选地,所述利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据包括:
提取所述目标签名证书对应的加密私钥;
利用SM2加密算法及所述加密私钥,对所述待签名数据的摘要信息进行加密,获得第一签名数据。
上述数据签名方法,优选地,还包括:
当接收到第二签名请求时,提取所述第二签名请求中的摘要信息;
利用所述普通签名证书,对提取到的所述摘要信息进行签名,获得第二签名数据;
将所述第二签名数据发往所述验证服务器,以使所述验证服务器对所述第二签名数据进行验证。
上述数据签名方法,优选地,在所述生成所述待签名数据的摘要信息之前,还包括:
当所述目标签名证书为交易签名证书时,显示所述待签名数据;
当接收到签名指令时,生成所述待签名数据的摘要信息。
本申请还提供了一种签名验证方法,包括:
当接收到第一签名数据及签名标识时,确定与所述第一签名数据对应的原始签名标识;其中,所述原始签名标识为服务器端保存的签名标识;
判断接收到的所述签名标识与所述原始签名标识是否相同;
若是,确定所述第一签名数据为合法签名;
否则,确定所述第一签名数据为非法签名。
上述的签名验证方法,优选地,当所述接收到的所述签名标识与所述原始签名标识相同时,还包括:
确定与接收到的所述签名标识对应的解签证书,并利用所述解签证书中的公钥,对所述第一签名数据进行解密,获得第一摘要信息;其中,所述解签证书包括交易解签证书或普通解签证书;
获取与所述第一签名数据对应的原始待签名数据,并生成所述原始待签名数据的第二摘要信息;
判断所述第一摘要信息与所述第二摘要信息是否相同;
若是,确定所述第一签名数据为合法签名。
上述的签名验证方法,优选地,还包括:
当接收到第二签名数据时,利用普通解签证书中的公钥,对所述第二签名数据进行解密;
当解密成功时,确定所述第二签名数据为合法签名;
当解密失败时,确定所述第二签名数据为非法签名。
本申请还提供了一种数据签名设备,包括:
签名请求接收模块,用于当接收到第一签名请求时,提取所述第一签名请求中的签名标识及待签名数据;
摘要信息生成模块,用于生成所述待签名数据的摘要信息;
签名证书确定模块,用于在预先设置多个签名证书中,确定与所述签名标识对应的目标签名证书;其中,所述签名证书中至少包括交易签名证书及普通签名证书;
数字证书签名模块,用于利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据;其中,所述第一签名数据中包括所述签名标识;
签名数据发送模块,用于将所述第一签名数据发往验证服务器,以使所述验证服务器对所述第一签名数据进行验证。
本申请还提供了一种验证服务器,包括:
签名标识提取模块,用于当接收到第一签名数据时,提取所述第一签名数据中的签名标识;
原始标识确定模块,用于确定与所述第一签名数据对应的原始签名标识;其中,所述原始签名标识为服务器端保存的签名标识;
签名标识判断模块,用于判断所述第一签名数据中的签名标识与所述原始签名标识是否相同;若是,触发第一结果模块;否则,触发第二结果模块;
第一结果确定模块,用于确定所述第一签名数据为合法签名;
第二结果确定模块,用于确定所述第一签名数据为非法签名。
由以上的技术方案可知,本发明提供了数据签名方法、签名验证方法、数据签名设备及验证服务器,该数据签名方法包括:当接收到第一签名请求时,提取其中的签名标识及待签名数据,生成待签名数据的摘要信息,并在预置的多个签名证书中,确定与签名标识对应的目标签名证书,利用目标签名证书,对摘要信息进行签名,从而获得第一签名数据,将第一签名数据及签名标识发往验证服务器,以供验证服务器对第一签名数据进行验证。当钓鱼网站等恶意程序篡改待签名数据后,本发明仍可通过签名标记识别待签名数据,可在一定程度上保证签名的安全性。当然,即使用户侧设备的签名标识被恶意程序篡改,本发明将签名标识发送到验证服务器,以供验证服务器验证是否存在骗签情况。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种数据签名方法的流程图;
图2为本发明实施例提供的另一数据签名方法的部分流程图;
图3为本发明实施例提供的一种签名验证方法的流程图;
图4为本发明实施例提供的另一签名验证方法的部分流程图;
图5为本发明实施例提供的数据签名设备的结构框图;
图6为本发明实施例提供的验证服务器的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,其示出了本发明实施例提供的数据签名方法的流程,具体包括以下步骤:
步骤S101:当接收到第一签名请求时,提取所述第一签名请求中的签名标识及待签名数据。
其中,第一签名请求可以是银行业务***发送到本实施例的执行模块中的。可选地,本实施例的执行模块为用户侧的签名设备,如USBKey。具体地,银行业务***接收到需要签名的业务数据后,生成第一签名请求并发送至用户持有的USBKey中。业务数据,例如为汇款、转账等交易数据,或者是开通电子钱包等业务办理数据,当然,还可以是银行业务***中预先规定的需要进行签名的其他数据,本实施例并不做具体限定。
需要说明,银行业务***发送到用户侧签名设备的请求数据包括两部分,一部分待签名数据,另一部分为签名标识。待签名数据分为两类:交易数据及普通数据。其中,签名标识与待签名数据的类型对应。也就是说,当所述待签名数据为交易数据时,签名标识为交易数据标识,当所述待签名数据为普通数据时,签名标识为普通数据标识。
步骤S102:生成所述待签名数据的摘要信息。
其中,待签名数据为文本,数据量较大。因此,可以生成待签名数据的摘要信息,对摘要信息进行签名。摘要信息是唯一对应文本的长度固定的值,数据量较小,从而在签名过程中,可以减少运算量。
步骤S103:在预先设置多个签名证书中,确定与所述签名标识对应的目标签名证书;其中,所述签名证书中至少包括交易签名证书及普通签名证书。
本实施例中,在用户侧设备中会预先设置多个签名证书及多个公私钥对,并预先建立每个签名证书与唯一的一个公私钥对之间的对应关系,因此,不同的签名证书对应不同的公私钥对。其中,不同的私钥用于对不同类型的待签名数据进行签名。签名标识与签名证书具有对应关系,签名标识与待签名数据具有对应关系,因此,签名证书与待签名数据具有对应关系,也就是说,不同的签名证书用于对不同类型的待签名数据进行签名。
具体地,签名证书至少包括交易签名证书及普通签名证书,其中,交易签名证书对交易数据进行签名,普通签名证书对普通数据进行签名。
步骤S104:利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据。
其中,签名证书对应了该签名证书签名时所使用的私钥,并且,签名证书中标记有自身签名使用的算法,调用目标签名证书使用的签名算法,签名算法使用密钥对待签名数据的摘要信息进行签名。
步骤S105:将所述第一签名数据及所述签名标识发往验证服务器,所述第一签名数据及所述签名标识以供所述验证服务器对所述第一签名数据是否骗签进行验证。
本实施例中,用户侧设备的签名过程中,可以提供签名调用接口,该接口中包括两个参数,一个为待签名数据,另一为签名标识。当钓鱼网站等恶意程序篡改待签名数据格式后,本实施例仍可通过签名标记识别待签名数据,可在一定程度上保证签名的安全性。当然,即使用户侧设备的签名标识被恶意程序篡改,本实施例将签名标识发送到验证服务器以供验证服务器验证,可以进一步提高对是否存在骗签情况的判断准确性。其中,关于验证服务器对签名标识的验证过程参见下文。
另外,本实施例预先设置有多个签名证书,其中至少包括交易签名证书及普通签名证书,分别用于对交易数据及普通数据进行签名。也就是说,本实施例利用不同的签名证书对不同类型的待签名数据进行签名,生成的签名数据发往服务器,以供服务器对签名数据是否骗签进行验证。因此,相较于现有技术而言,本实施例提供给服务器进行签名验证的签名数据为使用不同签名证书生成的签名数据,以供服务器进一步对是否骗签进行验证。其中,关于验证服务器对签名数据的验证过程参见下文。
在上述方法实施例中,步骤S102生成所述待签名数据的摘要信息的具体实现过程可以是:
利用SM3密码杂凑算法,计算所述待签名数据的哈希值;将所述哈希值确定为所述待签名数据的摘要信息。
具体地,SM3密码杂凑算法是现有技术中的一种摘要计算方法,该算法可生成数据的杂凑值(也称为哈希值),该杂凑值作为该数据的摘要信息。
可选地,上述方法实施例中,步骤S104利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据的具体实现过程可以是:
提取所述目标签名证书对应的加密私钥;利用SM2加密算法及所述加密私钥,对所述待签名数据的摘要信息进行加密,获得第一签名数据。
具体地,签名证书与加密私钥具有对应关系,利用SM2加密算法,采用该加密密钥对该摘要信息进行加密,从而获得签名数据。由于每个签名证书的签名密钥是与自身签名证书对应的,具有唯一性,也就是说,交易签名证书与普通签名证书中的加密私钥并不相同,从而利用签名证书获得的签名数据也就并不相同。
另外,在上述方法实施例的步骤S101之后及步骤S102之前,还可以包括:
当所述目标签名证书为交易签名证书时,显示所述待签名数据;当接收到签名指令时,生成所述待签名数据的摘要信息。
本实施例中,待签名数据为交易数据,可以在对交易数据进行签名前,显示需要签名的数据,以供用户确定。用户按下相应的确认按钮后,会生成签名指令。当本实施例的执行模块接收到签名指令时,才生成所述待签名数据的摘要信息。
现实应用中,除了银行业务***需要向签名设备发送签名请求外,其他设备也有对消息数据签名的需求。例如,对PDF消息签名。这种签名需求并不是将待签名的数据发送至签名设备,而是直接将待签名数据的摘要信息发送到签名设备,请求签名设备直接对外送的摘要消息进行签名。该种签名方式可以称之为外送摘要。
对于外送摘要,本发明另一实施例提供了一种数据签名方法。见图2所示,在上述实施例的基础上,还包括:
步骤S106:当接收到第二签名请求时,提取所述第二签名请求中的摘要信息;
步骤S107:利用所述普通签名证书,对提取到的所述摘要信息进行签名,获得第二签名数据;
步骤S108:将所述第二签名数据发往所述验证服务器,以使所述验证服务器对所述第二签名数据进行验证。
其中,这种签名请求中直接包含的是摘要消息,而非待签名数据。提取该摘要消息,并利用普通签名证书对该摘要信息进行签名,从而获得签名数据。需要说明,该种签名数据与上述方法实施例中生成的第一签名数据不同,理由是,两者是不同的来源数据生成的签名数据。本实施例是利用外送的摘要生成的签名数据,第一签名数据是直接根据待签名数据生成的。生成的签名数据不同,则服务器端采用不同的签名验证方法,具体详见下文。
由以上技术方案可知,本实施例可以实现对外送摘要进行签名,应用性更广。
参见图3,对应数据签名方法,本发明实施例还提供了一种签名验证方法,应用在验证服务器,该签名验证方法具体包括:
步骤S201:当接收到第一签名数据及签名标识时,确定与所述第一签名数据对应的原始签名标识;其中,所述原始签名标识为服务器端保存的签名标识。
本实施例应用在验证服务器上的签名方法执行模块,会接收到用户侧签名设备发送的签名数据及签名标识。其中,该签名数据为上述方法实施例中步骤S104生成的第一签名数据。用户侧签名设备中的签名请求是银行业务***发送的,因此,银行业务***中保存有原始发送到用户侧签名设备的待签名数据及原始的签名标识。
步骤S202:判断接收到的所述签名标识与所述原始签名标识是否相同;若是,执行步骤S203;否则,执行步骤S204。
若发往用户侧签名设备中的签名标识被恶意程序篡改,例如,将交易数据标识篡改为普通数据,或者将普通数据标识篡改为交易数据。则该步骤的判断结果为否,执行步骤S204确定该签名数据为非法签名,说明存在骗签现象。若该步骤的执行结果为是,执行步骤S203确定该签名数据为合法签名,验证通过。
步骤S203:确定所述第一签名数据为合法签名。
步骤S204:确定所述第一签名数据为非法签名。
现实应用中,恶意程序一般通过篡改发送用户侧设备的签名标识达到直接进行签名、逃避显示给用户确认的骗签目的。本实施例判断两个签名标识是否一致,对是否存在骗签进行验证。由于验证服务器处于内网环境,外部恶意程序无法轻易查找到并篡改记录在验证服务器中的签名标识,也就无法同时篡改客户侧设备及验证服务器中的两个签名标识,从而本实施例可以在一定程度上达到验证是否存在骗签现象的目的。
当然,验证服务器还可以通过验证签名数据的方式验证是否存在骗签现象,具体地,在上述步骤S201之后,包括以下步骤:
确定与原始签名标识对应的目标解签证书;
利用所述目标解签证书,对所述第一签名数据进行解密;
若解密成功,确定所述第一签名数据为合法签名;
若解密失败,确定所述第一签名数据为非法签名。
由该技术方案可知,当原始签名标识对应的解签证书不能对签名数据正常进行解密,说明存在骗签现象。
上述签名验证可以快速识别出是否存在骗签现象,即当两个签名标识不一致时,则确定为非法签名,说明存在骗签现象。当然,服务器保存的签名标识也可能被篡改,此时判断结果为是。为了在该种情况下,也可以准确地实现对骗签现象的检测,本发明另一实施例提供了签名验证方法,具体参见图4,在图2所示的基础上,还可以包括:
步骤S205:确定与接收到的所述签名标识对应的解签证书,并利用所述解签证书中的公钥,对所述第一签名数据进行解密,获得第一摘要信息;其中,所述解签证书包括交易解签证书或普通解签证书。
其中,接收到的签名标识可能被篡改,确定出的解签证书可以成功地对签名数据进行解密。需要说明,解密证书与签名证书对应,签名证书中包含私钥,解密证书中包含公钥,具有对应关系。当私钥加密后,公钥用于解密。
步骤S206:获取与所述第一签名数据对应的原始待签名数据,并生成所述原始待签名数据的第二摘要信息。
其中,用户侧签名设备生成第一签名数据,从而第一签名数据与该用户侧签名设备具有一一对应关系,原始签名数据生成后,发送到对应的用户侧签名设备,从而原始签名数据与用户侧签名设备具有一一对应关系。需要说明,用户侧签名设备具有唯一的用户标识。因此,原始签名数据与第一签名数据具有对应关系。
可选地,利用SM3算法生成第二摘要消息。
步骤S207:判断所述第一摘要信息与所述第二摘要信息是否相同;若是,执行步骤S203。
由以上的技术方案可知,本发明实施例主要对待签名数据格式及签名标识均被篡改的情况具有准确的验证效果。具体地,当签名标识被篡改后,生成的第一摘要信息是可以被确定出的解签证书解密的,但,服务器保存原始待签名数据,可以利用该原始待签名数据生成第二摘要信息,将所述两个摘要信息进行比较,从而确定是否存在骗签现象。可见,本实施例是利用待签名数据的摘要信息进行的签名验证。
参照图4所示,上述实施例中,当步骤S207的判断结果为否时,执行步骤S204。也即,当第一摘要消息与第二摘要消息不相同时,确定第一签名数据为非法签名。
对应外送摘要生成的第二签名数据,本发明另一实施例提供了签名验证方法,在上述各个签名验证方法的基础上,还可以包括:
当接收到第二签名数据时,利用普通解签证书中的公钥,对所述第二签名数据进行解密;当解密成功时,确定所述第二签名数据为合法签名;当解密失败时,确定所述第二签名数据为非法签名。
具体地,用户侧签名设备利用普通签名证书中的私钥生成的第二签名数据,验证服务器利用普通解签证书中的公钥进行解密,如果解密成功,则确定为合法签名,否则为非法签名。
下面对本发明实施例提供的数据签名设备及验证服务器进行说明,需要说明,下文提供的数据签名设备可参照上文提供的数据签名方法,验证服务器可参照上文提供的签名验证方法,下文并不做赘述。
参见图5,其示出了本发明实施例提供的数据签名设备,具体包括:签名请求接收模块101、摘要信息生成模块102、签名证书确定模块103、数字证书签名模块104及签名数据发送模块105。其中:
签名请求接收模块101,用于当接收到第一签名请求时,提取所述第一签名请求中的签名标识及待签名数据;
摘要信息生成模块102,用于生成所述待签名数据的摘要信息;
签名证书确定模块103,用于在预先设置多个签名证书中,确定与所述签名标识对应的目标签名证书;其中,所述签名证书中至少包括交易签名证书及普通签名证书;
数字证书签名模块104,用于利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据;其中,所述第一签名数据中包括所述签名标识;
签名数据发送模块105,用于将所述第一签名数据发往验证服务器,以使所述验证服务器对所述第一签名数据进行验证。
本实施例中,用户侧设备的签名过程中,可以提供签名调用接口,该接口中包括两个参数,一个为待签名数据,另一为签名标识。当钓鱼网站等恶意程序篡改待签名数据格式后,本实施例仍可通过签名标记识别待签名数据,可在一定程度上保证签名的安全性。当然,即使用户侧设备的签名标识被恶意程序篡改,本实施例将签名标识发送到验证服务器以供验证服务器验证,可以进一步提高对是否存在骗签情况的判断准确性。
另外,本实施例预先设置有多个签名证书,其中至少包括交易签名证书及普通签名证书,分别用于对交易数据及普通数据进行签名。也就是说,本实施例利用不同的签名证书对不同类型的待签名数据进行签名,生成的签名数据发往服务器,以供服务器对签名数据是否骗签进行验证。因此,相较于现有技术而言,本实施例提供给服务器进行签名验证的签名数据为使用不同签名证书生成的签名数据,以供服务器进一步对是否骗签进行验证。
参见图6,其示出了本发明实施例提供的验证服务器,包括:签名标识提取模块201、原始标识确定模块202、签名标识判断模块203、第一结果确定模块204及第二结果确定模块205。其中:
签名标识提取模块201,用于当接收到第一签名数据时,提取所述第一签名数据中的签名标识;
原始标识确定模块202,用于确定与所述第一签名数据对应的原始签名标识;其中,所述原始签名标识为服务器端保存的签名标识;
签名标识判断模块203,用于判断所述第一签名数据中的签名标识与所述原始签名标识是否相同;若是,触发第一结果模块204;否则,触发第二结果模块205;
第一结果确定模块204,用于确定所述第一签名数据为合法签名;
第二结果确定模块205,用于确定所述第一签名数据为非法签名。
现实应用中,恶意程序一般通过篡改发送用户侧设备的签名标识达到直接进行签名、逃避显示给用户确认的骗签目的。本实施例判断两个签名标识是否一致,对是否存在骗签进行验证。由于验证服务器处于内网环境,外部恶意程序不能轻易地查找到并篡改验证服务器中的签名标识,也就无法同时篡改客户侧设备及验证服务器的两个签名标识,从而本实施例可以在一定程度上达到验证是否存在骗签现象的目的。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括上述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种数据签名方法,其特征在于,包括:
当接收到第一签名请求时,提取所述第一签名请求中的签名标识及待签名数据;
生成所述待签名数据的摘要信息;
在预先设置多个签名证书中,确定与所述签名标识对应的目标签名证书;其中,所述签名证书中至少包括交易签名证书及普通签名证书;
利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据;
将所述第一签名数据及所述签名标识发往验证服务器,所述第一签名数据及所述签名标识以供所述验证服务器对所述第一签名数据是否骗签进行验证;
还包括:
当接收到第二签名请求时,提取所述第二签名请求中的摘要信息;
利用所述普通签名证书,对提取到的所述摘要信息进行签名,获得第二签名数据;
将所述第二签名数据发往所述验证服务器,以使所述验证服务器对所述第二签名数据进行验证。
2.根据权利要求1所述的数据签名方法,其特征在于,所述生成所述待签名数据的摘要信息,包括:
利用SM3密码杂凑算法,计算所述待签名数据的哈希值;
将所述哈希值确定为所述待签名数据的摘要信息。
3.根据权利要求1所述的数据签名方法,其特征在于,所述利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据包括:
提取所述目标签名证书对应的加密私钥;
利用SM2加密算法及所述加密私钥,对所述待签名数据的摘要信息进行加密,获得第一签名数据。
4.根据权利要求1所述的数据签名方法,其特征在于,在所述生成所述待签名数据的摘要信息之前,还包括:
当所述目标签名证书为交易签名证书时,显示所述待签名数据;
当接收到签名指令时,生成所述待签名数据的摘要信息。
5.一种签名验证方法,其特征在于,包括:
当接收到第一签名数据及签名标识时,确定与所述第一签名数据对应的原始签名标识;其中,所述原始签名标识为服务器端保存的签名标识;
判断接收到的所述签名标识与所述原始签名标识是否相同;
若是,确定所述第一签名数据为合法签名;
否则,确定所述第一签名数据为非法签名;
还包括:
当接收到第二签名数据时,利用普通解签证书中的公钥,对所述第二签名数据进行解密;
当解密成功时,确定所述第二签名数据为合法签名;
当解密失败时,确定所述第二签名数据为非法签名。
6.根据权利要求5所述的签名验证方法,其特征在于,当所述接收到的所述签名标识与所述原始签名标识相同时,还包括:
确定与接收到的所述签名标识对应的解签证书,并利用所述解签证书中的公钥,对所述第一签名数据进行解密,获得第一摘要信息;其中,所述解签证书包括交易解签证书或普通解签证书;
获取与所述第一签名数据对应的原始待签名数据,并生成所述原始待签名数据的第二摘要信息;
判断所述第一摘要信息与所述第二摘要信息是否相同;
若是,确定所述第一签名数据为合法签名。
7.一种数据签名设备,其特征在于,包括:
签名请求接收模块,用于当接收到第一签名请求时,提取所述第一签名请求中的签名标识及待签名数据;
摘要信息生成模块,用于生成所述待签名数据的摘要信息;
签名证书确定模块,用于在预先设置多个签名证书中,确定与所述签名标识对应的目标签名证书;其中,所述签名证书中至少包括交易签名证书及普通签名证书;
数字证书签名模块,用于利用所述目标签名证书,对所述待签名数据的摘要信息进行签名,获得第一签名数据;其中,所述第一签名数据中包括所述签名标识;
签名数据发送模块,用于将所述第一签名数据发往验证服务器,以使所述验证服务器对所述第一签名数据进行验证;
所述签名设备还用于:
当接收到第二签名请求时,提取所述第二签名请求中的摘要信息;
利用所述普通签名证书,对提取到的所述摘要信息进行签名,获得第二签名数据;
将所述第二签名数据发往所述验证服务器,以使所述验证服务器对所述第二签名数据进行验证。
8.一种验证服务器,其特征在于,包括:
签名标识提取模块,用于当接收到第一签名数据时,提取所述第一签名数据中的签名标识;
原始标识确定模块,用于确定与所述第一签名数据对应的原始签名标识;其中,所述原始签名标识为服务器端保存的签名标识;
签名标识判断模块,用于判断所述第一签名数据中的签名标识与所述原始签名标识是否相同;若是,触发第一结果模块;否则,触发第二结果模块;
第一结果确定模块,用于确定所述第一签名数据为合法签名;
第二结果确定模块,用于确定所述第一签名数据为非法签名;
所述验证服务器还用于:
接收第二签名数据,所述第二签名数据为数据签名设备利用普通签名证书、对第二签名请求中的摘要信息进行签名得到;
对所述第二签名数据进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410616744.6A CN104301119B (zh) | 2014-11-05 | 2014-11-05 | 数据签名方法、签名验证方法、数据签名设备及验证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410616744.6A CN104301119B (zh) | 2014-11-05 | 2014-11-05 | 数据签名方法、签名验证方法、数据签名设备及验证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104301119A CN104301119A (zh) | 2015-01-21 |
| CN104301119B true CN104301119B (zh) | 2018-10-19 |
Family
ID=52320699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410616744.6A Active CN104301119B (zh) | 2014-11-05 | 2014-11-05 | 数据签名方法、签名验证方法、数据签名设备及验证服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104301119B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108027861A (zh) * | 2015-09-25 | 2018-05-11 | 高通股份有限公司 | 安全启动装置、***和方法 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105812134A (zh) * | 2014-12-30 | 2016-07-27 | 北京握奇智能科技有限公司 | 一种数字签名方法、数字验签方法、安全认证设备及安全认证装置 |
| CN104680364A (zh) * | 2015-03-13 | 2015-06-03 | 珠海市金邦达保密卡有限公司 | 动态签名密码装置、网络交易***和网络交易方法 |
| CN105553673A (zh) * | 2015-12-31 | 2016-05-04 | 北京中科江南信息技术股份有限公司 | 版式文件的多次签名验证***和签名验证方法 |
| CN105897731B (zh) * | 2016-05-12 | 2019-09-13 | 北京明华联盟科技有限公司 | 一种认证方法及认证装置 |
| CN106612325A (zh) * | 2016-07-21 | 2017-05-03 | 四川用联信息技术有限公司 | 云存储中一种权限管理下的数据真实性验证 |
| CN107342867B (zh) * | 2017-07-07 | 2020-10-09 | 深圳和信安达科技有限公司 | 签名验签方法和装置 |
| CN107947939A (zh) * | 2017-11-21 | 2018-04-20 | 杭州尚尚签网络科技有限公司 | 支持sm3密码杂凑算法和sm2数字签名算法的pdf签名方法和*** |
| CN107947938A (zh) * | 2017-11-21 | 2018-04-20 | 杭州尚尚签网络科技有限公司 | 针对pdf使用sm3算法和sm2算法数字签名的验证方法和*** |
| CN108449185A (zh) * | 2018-06-04 | 2018-08-24 | 贵州数据宝网络科技有限公司 | 一种数据签名安全认证*** |
| CN110751467B (zh) * | 2019-08-29 | 2023-03-21 | 中国人民银行数字货币研究所 | 一种数字货币的生成方法及*** |
| CN110753257A (zh) * | 2019-10-14 | 2020-02-04 | 深圳创维-Rgb电子有限公司 | 数据显示方法、显示终端、服务器、显示***和存储介质 |
| CN111212050B (zh) * | 2019-12-27 | 2022-07-26 | 航天信息股份有限公司企业服务分公司 | 一种基于数字证书对数据进行加密传输的方法及*** |
| CN111831996B (zh) * | 2020-06-10 | 2024-03-01 | 北京国电通网络技术有限公司 | 一种多数字证书认证机构的服务*** |
| CN112333172B (zh) * | 2020-10-28 | 2023-06-30 | 中国农业银行股份有限公司 | 签名验签方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868531A (zh) * | 2012-09-10 | 2013-01-09 | 武汉信安珞珈科技有限公司 | 一种网络交易认证***和网络交易认证方法 |
| CN103138937A (zh) * | 2013-02-28 | 2013-06-05 | 飞天诚信科技股份有限公司 | 一种签名方法及装置 |
| CN103268437A (zh) * | 2013-05-10 | 2013-08-28 | 飞天诚信科技股份有限公司 | 一种提高签名数据安全性的方法 |
| CN103326863A (zh) * | 2013-06-24 | 2013-09-25 | 飞天诚信科技股份有限公司 | 一种电子签名工具的签名方法 |
| CN103532721A (zh) * | 2013-10-23 | 2014-01-22 | 北京旋极信息技术股份有限公司 | 数字签名、验签方法和区分交易签名和普通签名的方法 |
-
2014
- 2014-11-05 CN CN201410616744.6A patent/CN104301119B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868531A (zh) * | 2012-09-10 | 2013-01-09 | 武汉信安珞珈科技有限公司 | 一种网络交易认证***和网络交易认证方法 |
| CN103138937A (zh) * | 2013-02-28 | 2013-06-05 | 飞天诚信科技股份有限公司 | 一种签名方法及装置 |
| CN103268437A (zh) * | 2013-05-10 | 2013-08-28 | 飞天诚信科技股份有限公司 | 一种提高签名数据安全性的方法 |
| CN103326863A (zh) * | 2013-06-24 | 2013-09-25 | 飞天诚信科技股份有限公司 | 一种电子签名工具的签名方法 |
| CN103532721A (zh) * | 2013-10-23 | 2014-01-22 | 北京旋极信息技术股份有限公司 | 数字签名、验签方法和区分交易签名和普通签名的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108027861A (zh) * | 2015-09-25 | 2018-05-11 | 高通股份有限公司 | 安全启动装置、***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104301119A (zh) | 2015-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104301119B (zh) | 数据签名方法、签名验证方法、数据签名设备及验证服务器 | |
| CN109257342B (zh) | 区块链跨链的认证方法、***、服务器及可读存储介质 | |
| US10581612B2 (en) | Method and system for encryption | |
| Park et al. | Electronic identity information hiding methods using a secret sharing scheme in multimedia-centric internet of things environment | |
| JP6482535B2 (ja) | デバイス証明を伴う生体認証に関するシステム及び方法 | |
| RU2018105186A (ru) | Верификация портативных потребительских устройств | |
| US20220038291A1 (en) | Electronic signature authentication system based on biometric information and electronic signature authentication method | |
| RU2017134053A (ru) | Установление подлинности операций с использованием сети | |
| CN106452764B (zh) | 一种标识私钥自动更新的方法及密码*** | |
| CN106464673A (zh) | 用于验证装置注册的增强的安全性 | |
| JP2018501567A (ja) | 装置検証方法及び機器 | |
| CN107294900A (zh) | 基于生物特征的身份注册方法和装置 | |
| CN106612180A (zh) | 实现会话标识同步的方法及装置 | |
| CN110798315A (zh) | 基于区块链的数据处理方法、装置及终端 | |
| CN101789067A (zh) | 电子文档签名保护方法和*** | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| CN106302544A (zh) | 一种安全验证方法和*** | |
| KR20070095908A (ko) | 컴퓨터 프로그램을 인증하기 위한 방법 및 디바이스 | |
| US10439809B2 (en) | Method and apparatus for managing application identifier | |
| KR20170005400A (ko) | 암호화 시스템 및 방법 | |
| CN104123488A (zh) | 应用程序的验证方法和装置 | |
| CN108876375B (zh) | 区块链实名参与方法和*** | |
| CN104618307B (zh) | 基于可信计算平台的网银交易认证*** | |
| KR101630462B1 (ko) | 키보드 보안 장치 및 방법 | |
| WO2015196581A1 (zh) | 签名方法、装置、虚拟柜员机用户端设备和柜员端设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |