一种基于数据图像编码的跨设备跨应用的数字签名和验证方法技术

本发明专利技术一种基于数据图像编码的跨设备跨应用的数字签名和验证方法，数字签名条件信息或者验证信息由B设备提供，而实际的签名和验证过程在A设备上完成；数字签名条件信息或者验证信息通过数据到图像的编码，最终以图像的形式展现在B设备上；A设备扫描B设备上的数字签名条件图像信息，通过图像解码，还原原始数据，验证原始数据来源，完成数字签名或者验签，发送到验证服务器；验证服务器验证使用者数字签名，并反馈给B设备，B设备根据反馈结果，执行后续操作。在上述过程中，B设备在任何时刻都不接触使用者的实际验签过程，从而保证了验证结果不会在B设备上发生泄漏或者被劫持。

【技术实现步骤摘要】
一种基于数据图像编码的跨设备跨应用的数字签名和验证方法
本专利技术涉及通过运行可信设备(A)上的数字签名和验签应用，完成运行在不可信设备(B)上的应用所需的数字签名和验证的过程。用于解决当B设备不具备足够的安全条件的情况下，如何可信安全地完成B设备所运行的应用所需的数字签名和验证的问题。
技术介绍
二维码：二维码（2-dimensionalbarcode）是指在一维条码的基础上扩展出另一维具有可读性的条码，使用黑白矩形图案表示二进制数据，被设备扫描后可获取其中所包含的信息。一维条码的宽度记载着数据，而其长度没有记载数据。二维条码的长度、宽度均记载着数据。二维条码有一维条码没有的“定位点”和“容错机制”。容错机制在即使没有辨识到全部的条码、或是说条码有污损时，也可以正确地还原条码上的资讯。条形码：条形码(barcode)是一种用宽窄不同、黑白相间的直线条纹的组合来表示数字或字母的特殊号码。通常印在卡片、书籍封面或商品包装物上，用以表示各种证件号、书号或商品号，以便于计算机管理。OCR：OCR（光学字符识别，OpticalCharacterRecognition），通过图像处理和模式识别技术对光学的字符进行识别数字证书：数字证书是证明用户身份的网上标识，在网络中识别通讯各方的身份，即在虚拟社会中解决“我是谁”的问题。通俗的讲，数字证书就好像是网上用户的身份证，能够保证您在网络上进行的交易是安全的和可信的。数字证书主要有如下作用：1、身份认证：数字证书中包括的主要内容有：证书拥有者的单位信息、证书拥有者的公钥、公钥的有效期、颁发数字证书的CA、CA的数字签名等。2、加密传输信息：通过数字证书在网上传输数据，这些数据要进行加密，然后以密码的形式在Internet上传输。发送方用接收方的公钥对文件进行加密，接收方用只有自己才有的私钥进行解密，得到文件明文。3、数字签名抗否认：在现实生活中用公章、签名等来实现的抗否认，在网上可以借助数字证书的数字签名来实现。数字签名是各类提供个性化高价值应用服务确认用户身份和防抵赖的重要手段，在网上银行等应用中被广泛使用。可以承载此类应用服务的载体有多种，例如PC，平板，带触摸屏或者按键的交互终端等等。但是，并不是所有的载体都具备可信安全的条件，例如在网吧中的公用PC，放置在公共场所的交互终端等，如果用户的数字签名或者验证过程在该载体上进行，用户输入的口令，用户的私钥等，被预置在此公共设备中的木马或者中间人劫持攻击的可能性非常大。这就带来两个问题：·阻碍了服务提供者在公共设备上提供个性化高价值服务的发展；·阻碍了使用者随时随地使用个性化高价值服务的方便和快捷。
技术实现思路
本专利技术要解决的技术问题是：根据上文中所提到的数字签名和验证方式存在的不足，提出一种跨设备跨应用的数字签名和验证方式。本专利技术采用的技术方案为：一种基于数据图像编码的跨设备跨应用的数字签名和验证方法，数字签名条件信息或者验证信息由B设备提供，而实际的签名和验证过程在A设备上完成；其特征在于：数字签名条件信息或者验证信息通过数据到图像的编码，最终以图像的形式展现在B设备上；A设备扫描B设备上的数字签名条件图像信息，通过图像解码，还原原始数据，验证原始数据来源，完成数字签名或者验签，发送到验证服务器；验证服务器验证使用者数字签名，并反馈给B设备，B设备根据反馈结果，执行后续操作。本专利技术的有益效果：本专利技术提出了一种全新的跨设备跨应用的数字签名和验证解决方案，与传统的单设备单应用下的数字签名方式相比，本专利技术使得数字签名和验签的应用场景得到大幅度的扩展，使得数字证书的持有者不仅仅可以在可信的设备上(自己的PC、笔记本电脑等)上安全地使用数字签名，还可以在不可信的设备(例如公共终端、网吧里面的PC)上，安全可靠地进行数字签名和验签，而不必担心这些不可信设备上存在病毒或者木马等不安全因素。本专利技术采用图像编码的方式来获取数字签名和验签的条件信息，为手机等移动终端成为数字签名的提供者创造了条件，也为各类服务提供者在公共设备上提供个性化高价值服务奠定了基础。附图说明图1为本专利技术中进行数字签名并在A设备本身完成来源认证的步骤。图2为本专利技术中进行数字签名并通过本地+远程来源验证服务完成来源认证。图3为本专利技术中在A设备本身完成数字签名验证的步骤。图4为本专利技术中通过本地+远程验证服务完成数字签名验证的步骤。具体实施方式下面结合附图和具体实施例对本专利技术进一步描述。在下面的描述中：nA表示使用者持有的可信设备；nB表示使用者正在使用的不可信设备；nS表示B设备的后台服务和签名验证服务，后台服务和签名验证服务逻辑上是分开的，实际部署中可以在一起，也可以分开；nX表示远程数据来源验证服务。组成本专利技术的系统模块包括：应用发布方：签名引导模块，待签名数据生成模块，待签名数据图像生成模块，消息接收模块，消息通知模块，签名验证模块。使用方：图像扫描解码模块，签名模块，签名验证模块，来源验证模块，消息接收模块。在本专利技术中，A设备对来自B设备和B设备后台服务S的数据信息进行来源验证是非常必要的，一方面为了避免钓鱼攻击，另一方面，也为了验证数据的有效性，保障电子证据的有效性。数据来源验证方式分为三种，分别对应不同安全策略和使用要求：1.远程来源验证。验证过程通过远程验证服务X完成。A设备发送待验证数据到X，由X完成数据来源的验证。例如：如果来源验证是通过数字签名来完成的，可以在A设备中预置X服务的证书或者证书链；A设备发送待验证数据到X服务；X服务对待验证数据进行验证，包括发布者证书链，有效期，黑名单，数字签名有效性等验证；验证完成后，X服务将验证结果，通过数字签名后，返回给A设备；A设备通过预置的X服务证书链对X服务的返回结果进行验证，验证通过后即可接受来自X服务的验证结果；本方式的好处是，A设备中只需要预置X服务的证书或者证书链，就可以享受所有X服务支持的来源验证。例如X服务支持工商银行，建设银行，招商银行的来源验证，那么如果未来X服务增加了对农业银行的来源验证，A设备不需要进行任何改动，就可以对农业银行的数据进行来源验证。2.本地来源验证：验证过程在A设备本机完成。例如：如果来源验证是通过数字签名来完成的，可以在A设备中预置发布者证书或者证书链，通过对身份认证条件数据的数字签名和证书的验证完成验证过程。如果发布者验证是通过特定格式数据的方式来完成，则A设备调用对应的特殊数据格式验证方法完成。该方式的优点是不需要再和外部有交互，缺点是在需要支持验证多个来源的情况下，A设备上需要预置更多的发布者数字证书和证书链；3.本机+远程来源验证：在采用某种技术条件的情况下，可以通过本地+远程的方式进行来源验证。例如，来源数据使用了数字证书和数字签名的情况下，可以在本地验证来源数据的数字签名，而把对数字证书的验证通过远程验证服务X完成。本方式的优点在于，如果来源数据中包含某些使用者不愿意向第3方公开的数据的时候，本方式将来源数据验证和来源验证分开，因此不需要向远程来源验证服务器发送全部来源数据。实施例1，如图1所示，本专利技术中进行数字签名并在A设备本身完成来源认证的示意图：1首先，由B设备通过屏幕等显示设备，提供基于图像的数字签名条件信息。其中图像是由经过编码的数字签本文档来自技高网...

【技术保护点】
一种基于数据图像编码的跨设备跨应用的数字签名和验证方法，数字签名条件信息或者验证信息由B设备提供，而实际的签名和验证过程在A设备上完成；其特征在于：数字签名条件信息或者验证信息通过数据到图像的编码，最终以图像的形式展现在B设备上；A设备扫描B设备上的数字签名条件图像信息，通过图像解码，还原原始数据，验证原始数据来源，完成数字签名或者验签，发送到验证服务器；验证服务器验证使用者数字签名，并反馈给B设备，B设备根据反馈结果，执行后续操作。

【技术特征摘要】
1.一种基于数据图像编码的跨设备跨应用的数字签名和验证方法，数字签名条件信息或者验证信息由不可信设备B设备提供，而实际的签名和验证过程在A设备上完成；其特征在于：数字签名条件信息或者验证信息通过数据到图像的编码，最终以图像的形式展现在不可信设备B设备上；A设备扫描不可信设备B设备上的数字签名条件图像信息，通过图像解码，还原原始数据，验证原始数据来源，完成数字签名或者验签，发送到验证服务器；验证服务器验证使用者数字签名，并反馈给不可信设备B设备，不可信设备B设备根据反馈结果，执行后续操作；具体步骤为：步骤一、由不可信设备B设备通过屏幕显示设备，提供基于图像的数字签名条件信息；步骤一中，图像是由经过编码的数字签名条件信息产生；数字签名条件信息包括：待签名数据，实际完成签名验证的验证服务器地址，应用标识，签名算法和方式要求，以及可验证的发布者信息；步骤二、不可信设备B设备开始等待来自验证服务器的通知信息；步骤三、在A设备上，通过图像编码的扫描和识别，在A设备中还原数字签名条件信息，获取验证服务器地址，应用标识，签名算法和方式要求，待签名数据，以及可验证的发布者信息；步骤四、在A设备上完成数字签名，验证服务器接收签名数据，验证签名，并将验证结果通知一直在等待结果的不可信设备B设备；步骤四具体为：步骤4.1A设备验证数字签名条件信息的完整性及来源，确定该数字签名条件信息确实来自期望访问的服务提供方；验证过程采用本地来源验证方式；步骤4.2A设备保存数字签名条件信息原始信息，用于在一旦发生争议的情况下，作为可追溯的数字证据；步骤4.3A设备根据签名方式要求，选择对应的签名方式，并把相关的输入界面展现给使用者；同时展现发布者相关信息，待签名数据内容，供使用者查看并确认；步骤4.4使用者在A设备上，完成相关的输入；步骤4.5调用A设备本身的安全模块，完成数字签名，获取并组织数字签名的结果数据；步骤4.6A设备根据数字签名条件信息中验证服务器地址，向验证服务器发送数字签名结果数据；步骤五、不可信设备B设备接收到来自验证服务器的结果，根据结果，给予用户反馈，并执行后续的操作；远程来源验证：验证过程通过远程验证服务X服务完成，A设备发送待验证数据到X服务，由X服务完成数据来源的验证；如果来源验证是通过数字签名来完成的，在A设备中预置X服务的证书或者证书链；A设备发送待验证数据到X服务；X服务对待验证数据进行验证，包括发布者证书链，有效期，黑名单，数字签名有效性验证；验证完成后，X服务将验证结果，通过数字签名后，返回给A设备；A设备通过预置的X服务证书链对X服务的返回结果进行验证，验证通过后即可接受来自X服务的验证结果；本地来源验证：验证过程在A设备本机完成；如果来源验证是通过数字签名来完成的，在A设备中预置发布者证书或者证书链，通过对身份认证条件数据的数字签名和证书的验证完成验证过程；如果发布者验证是通过特定格式数据的方式来完成，则A设备调用对应的特殊数据格式验证方法完成；本地来源验证+远程来源验证：来源数据使用了数字证书和数字签名的情况下，在本地验证来源数据的数字签名，而把对数字证书的验证通过远程验证服务X服务完成。2.一种基于数据图像编码的跨设备跨应用的数字签名和验证方法，数字签名条件信息或者验证信息由不可信设备B设备提供，而实际的签名和验证过程在A设备上完成；其特征在于：数字签名条件信息或者验证信息通过数据到图像的编码，最终以图像的形式展现在不可信设备B设备上；A设备扫描不可信设备B设备上的数字签名条件图像信息，通过图像解码，还原原始数据，验证原始数据来源，完成数字签名或者验签，发送到验证服务器；验证服务器验证使用者数字签名，并反馈给不可信设备B设备，不可信设备B设备根据反馈结果，执行后续操作；具体步骤为：步骤一、由不可信设备B设备通过屏幕显示设备，提供基于图像的数字签名条件信息；步骤一中，图像是由经过编码的数字签名条件信息产生；数字签名条件信息包括：待签名数据，实际完成签名验证的验证服务器地址，应用标识，签名算法和方式要求，以及可验证的发布者信息；步骤二、不可信设备B设备开始等待来自验证服务器的通知信息；步骤三、在A设备上，通过图像编码的扫描和识别，在A设备中还原数字签名条件信息，获取验证服务器地址，应用标识，签名算法和方式要求，待签名数据，以及可验证的发布者信息；步骤四、在A设备上完成数字签名，验证服务器接收签名数据，验证签名，并将验证结果通知一直在等待结果的不可信设备B设备；步骤四具体为：步骤4.1A设备验证数字签名条件信息的完整性及来源，确定该数字签名条件信息确实来自期望访问的服务提供方；验证过程采用本地来源验证+远程来源验证方式；步骤4.2A设备保存数字签名条件信息原始信息，用于在一旦发生争议的情况下，作为可追溯的数字证据；步骤4.3A设备根据签名方式要求，选择对应的签...

【专利技术属性】
技术研发人员：庄昱垚，
申请(专利权)人：江苏先安科技有限公司，
类型：发明
国别省市：江苏;32