本实用新型专利技术提供了一种数字签名认证系统,系统包括:验证终端,私钥认证装置,公钥数据采集装置及签名认证服务器,所述的验证终端和公钥数据采集装置均与所述认证服务器通信连接,所述私钥认证装置通过验证终端连接到签名认证服务器;其中,所述验证终端接收用户输入的私钥保护因素,接收到的用户私钥保护因素与预先设置的私钥保护因素一致时私钥认证装置生成安全认证信息,签名认证服务器根据公钥数据采集装置采集的用户公钥数据和安全认证信息生成签名认证结果。本实用新型专利技术提供了一种多因素数字认证方案,根据公钥密码体制理论原理及具体应用的特点,将现有的双因素扩展到三个及以上的多因素,将因素数量和水平发挥到最大,从而达到最高的安全强度。
【技术实现步骤摘要】
一种数字签名认证系统
本技术涉及通信技术,具体的讲是一种数字签名认证系统。
技术介绍
公钥密码体制使用数学方法,在理论上使通信双方达到了认证的安全要求。在应用中,最初将认证参数置于浏览器中,其安全性取决于谁知道证书密码这一单一因素。现有技术中使用USBKey作为认证介质,采用录入并核对PIN码的方式保护认证参数信息,达到了双因素认证的水平。例如银行一般将这种双因素认证作为最安全选择,并赋予最大的支付额度。 现有技术中的USBKey认证方式中私钥在介质中不能被导出,且签名在设备中进行,达到了保密性、完整性、不可否认性,满足了较高的安全要求。但是,这种方式存在以下弊端:(一)其基本的安全性依赖于谁得到USBKey和谁知道PIN码这两个因素,一旦USBKey丢失且PIN码比较简单时,客户资金的安全性仅取决于支付渠道登录密码的复杂性。(二)银行虽增加了手机短信确认等补充方式,但这些补充是外挂的、非数字认证方式的,无法与现有USBKey装置所做的数字签名融合。
技术实现思路
为解决现有的数字签名认证系统的安全性仅依赖于支付渠道登录密码的复杂性,提高认证系统的安全性。 本技术实施例提供了一种数字签名认证系统,所述的系统包括:验证终端,私钥认证装置,公钥数据采集装置及签名认证服务器,所述的验证终端和公钥数据采集装置均与所述认证服务器通信连接,所述私钥认证装置通过验证终端连接到签名认证服务器;其中, 所述验证终端接收用户输入的私钥保护因素,接收到的用户私钥保护因素与预先设置的私钥保护因素一致时私钥认证装置生成安全认证信息,签名认证服务器根据公钥数据采集装置采集的用户公钥数据和安全认证信息生成签名认证结果。 优选的,本技术的数字签名认证系统中的公钥数据为根据用户的生物特征信息、手机号或GPS信息生成的公钥数据。 优选的,本技术的数字签名认证系统中的公钥数据采集装置包括:采集用户生物特征的传感器、手机或GPS定位装置。 优选的,本技术的数字签名认证系统中的私钥认证装置为USBKey。 本技术提供了一种多因素数字认证方案,根据公钥密码体制理论原理及具体应用的特点,将现有的双因素扩展到三个及以上的多因素,将因素数量和水平发挥到最大,从而达到最高的安全强度。 为让本技术的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。 【附图说明】 为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 图1为本技术一种数字签名认证系统的示意图; 图2为本技术数字签名系统的模型示意图; 图3为本技术数字签名认证的三因素认证解析图; 图4为本技术实施例的多因素数字签名认证系统的系统结构框图; 图5为本技术实施例的多因素数字签名认证系统的系统结构框图; 图6为本技术实施例中用户申请认证私钥的流程图; 图7为本技术实施例中用户认证交互流程图。 【具体实施方式】 下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本技术保护的范围。 如图1所示,本技术公开的一种数字签名认证系统,包括:验证终端101,私钥认证装置102,公钥数据采集装置103及签名认证服务器104,验证终端101和公钥数据采集装置103均与认证服务器104通信连接,私钥认证装置103通过验证终端101连接到签名认证服务器104;其中, 验证终端101接收用户输入的私钥保护因素,接收到的用户私钥保护因素与预先设置的私钥保护因素一致时私钥认证装置102生成安全认证信息,签名认证服务器104根据公钥数据采集装置103采集的用户公钥数据和安全认证信息生成签名认证结果。 本技术的公钥数据为根据用户的生物特征信息、手机号或GPS信息生成的公钥数据。 公钥数据采集装置103为采集用户生物特征的传感器、手机或GPS定位装置。本技术实施例中的私钥认证装置为USBKey。 私钥保护因素是指私钥因素的保护方法,使用USBKey装载私钥时,私钥保护因素可以是PIN码或者指纹信息等等,取决于USBKey对私钥获取的保护方式。本专利技术中都需要提供私钥保护因素才能使用私钥。 本技术的目的在于提供一种多因素数字认证系统。根据公钥密码体制理论原理及具体应用的特点,将现有的双因素扩展到三个及以上的多因素,将因素数量和水平发挥到最大,从而达到最高的安全强度。 本技术使用的公钥基础设施不限于PKI系统,数字签名认证的原理是一定的,其在应用过程中包括三个最基本参数,签名用户私钥参数sk,验证用客户公钥参数pk,以及在应用过程中软硬件实现的读取私钥保护措施参数,如口令pass等(参见图2)。私钥也可以被某种数学技术分隔(如门限)为不同的部分私钥,这些部分私钥及其在应用中的保护措施都被视为参数,使用者需要提供全部私钥保护参数来取得所有私钥参数,直接或间接获得私钥信息进行数字签名认证。 公钥参数通常保存在数字证书中,在某些密码体制下也由使用者掌握,如基于固定标识、属性基、位置基等等,通过某种数据提取装置转化为可用的公钥信息,提供给认证中心或硬件密码装置生成客户私钥,并用于数字签名的验证。 综上所述,使用者必须提供所有认证参数才能完成签名及验证工作,否则签名或验证将以失败告终,认证参数构成了多因素认证系统的横向坐标。在具体应用中,不同的基本参数有不同的载体,这种载体必须是客户在认证时可以获得的,例如随身携带的必备品,或者是客户的记忆,或者就是客户本身的某种生物特征等,这些载体构成了多因素认证的纵向坐标。横坐标和纵坐标参数在实际应用中的交叉点,就是我们进行认证所需的因素点。 例如:使用者的生物特征或者手机号码作为公钥因素,通过传感器或者手机装置进行公钥数据提取,取得公钥信息通过安全信道发送给认证中心或硬件密码装置生成使用者私钥,并将私钥载入USBKey装置中,设定PIN码作为私钥的保护措施;使用者提供USBKey装置并录入PIN码进行数字签名,并将公钥因素提供给传感器或者手机装置通过安全信道发送给服务端,参与签名的验证。这一系统构成了图3的多因素认证系统中的三个因素点,即使USBKey丢失、PIN码泄露,攻击者通过非法手段完成数字签名,但是无法通过数据提取装置提供正确的公钥因素,系统也无法完成签名的验证工作,从而进一步确保了认证过程的安全性。 下面结合具体的实施方式对本技术的技术方案做进一步详细说明: 如图4所示,本实施例的多因素数字签名认证系统包括核心认证装置701、公钥采集装置703、用户认证装置702,系统结构框架如图7所示,其中公钥采集装置、用户认证装置可以存在多个。 所述公钥采集装置本文档来自技高网...
【技术保护点】
一种数字签名认证系统,其特征在于,所述的系统包括:验证终端,私钥认证装置,公钥数据采集装置及签名认证服务器,所述的验证终端和公钥数据采集装置均与所述认证服务器通信连接,所述私钥认证装置通过验证终端连接到签名认证服务器;其中,所述验证终端接收用户输入的私钥保护因素,接收到的用户私钥保护因素与预先设置的私钥保护因素一致时私钥认证装置生成安全认证信息,签名认证服务器根据公钥数据采集装置采集的用户公钥数据和安全认证信息生成签名认证结果。
【技术特征摘要】
1.一种数字签名认证系统,其特征在于,所述的系统包括:验证终端,私钥认证装置,公钥数据采集装置及签名认证服务器,所述的验证终端和公钥数据采集装置均与所述认证服务器通信连接,所述私钥认证装置通过验证终端连接到签名认证服务器;其中, 所述验证终端接收用户输入的私钥保护因素,接收到的用户私钥保护因素与预先设置的私钥保护因素一致时私钥认证装置生成安全认证信息,签名认证服务器根据公钥数据采集装置采...
【专利技术属性】
技术研发人员:李顺吉,刘伟,孙江涛,张海英,赵剑明,张昆,
申请(专利权)人:中国工商银行股份有限公司,
类型:新型
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。