本发明专利技术公开了一种数据签名方法,包括:S1、从密钥设备获得第一非对称密钥对及其过期时间T,第一非对称密钥对由第一私钥A1和第一公钥A2组成;S2、使用第一私钥A1对待签名数据进行签名得到签名数据,并为签名数据加上签名时间信息;S3、将所述签名数据与第一公钥A2和过期时间T一同输出。本发明专利技术还公开了一种数据验签方法、数据签名系统和数据验签装置。通过本发明专利技术的技术方案,能够对抗密钥泄漏带来的风险。
【技术实现步骤摘要】
数据签名方法及系统、数据验签方法及装置
本专利技术涉及数据安全领域,特别涉及一种数据签名方法及系统、数据验签方法及装置。
技术介绍
对数据进行数字签名是数据安全领域常用的一种安全验证手段。通常采用一对非对称密钥中的私钥对目标数据进行数字签名,得到一串只有私钥拥有者才能生成的无法伪造的数字串,非对称密钥对中的公钥可对该数字串进行解密,以此验证目标数据的真实性,以及验证目标数据确实由该私钥拥有者发出。随着互联网大规模分布式系统的发展,现有的数字签名方案逐渐出现了问题。一方面,用于生成非对称密钥的单个加密硬件设备的工作能力有限,使得现有签名方案无法适应扩容的需要;另一方面,日益严重的密钥泄漏情况也威胁着数字签名的有效性。
技术实现思路
有鉴于此,本专利技术提出了一种数据签名及验签方法/系统,以应对扩容的需求和密钥泄漏的威胁。本专利技术的数据签名方法包括:S1、从密钥设备获得第一非对称密钥对及其过期时间T,第一非对称密钥对由第一私钥A1和第一公钥A2组成;S2、使用第一私钥A1对待签名数据进行签名得到签名数据,并为签名数据加上签名时间信息;S3、将所述签名数据与第一公钥A2和过期时间T一同输出。本专利技术的数据验签方法包括:获取通过上述数据签名方法输出的所述签名数据、第一公钥A2和过期时间T;当所述签名时间晚于所述过期时间T时,判定所述签名数据无效。本专利技术的数据签名系统包括密钥设备和签名装置,所述密钥设备配置为生成第一非对称密钥及其过期时间T,第一非对称密钥对由第一私钥A1和第一公钥A2组成,所述签名装置包括:获取单元,配置为从密钥设备获得第一非对称密钥对及其过期时间T;处理单元,配置为使用第一私钥A1对待签名数据进行签名得到签名数据,并为签名数据加上签名时间信息;输出单元,配置为将所述签名数据与第一公钥A2和过期时间T一同输出。本专利技术的数据验签装置包括;获取模块,配置为获取通过上述数据签名系统输出的所述签名数据、第一公钥A2和过期时间T;判定模块,配置为当检测到所述签名时间晚于所述过期时间T时,判定所述签名数据无效。通过本专利技术的数据签名、验签方法及系统,能够在解决互联网大规模分布式系统对密钥设备的扩容需求的同时,有效地对抗密钥泄漏带来的数据安全风险。附图说明图1为本专利技术的数据签名方法的实施例一的示意性流程图;图2为本专利技术的数据签名方法的实施例二的示意性流程图;图3为本专利技术的数据签名方法的实施例三的示意性流程图;图4为本专利技术的数据签名方法的实施例四的示意性流程图;图5为本专利技术的数据验签方法的一个实施例的示意性流程图;图6为本专利技术的数据签名系统的实施例一的示意性框图;图7为本专利技术的数据签名系统的实施例二的示意性框图;图8为本专利技术的数据验签装置的一个实施例的示意性框图。具体实施方式下面参照附图对本专利技术的多个实施例进行详细说明。图1为本专利技术的数据签名方法的实施例一的示意性流程图。如图1所示,实施例一包括:S1、从密钥设备获得第一非对称密钥对及其过期时间T,第一非对称密钥对由第一私钥A1和第一公钥A2组成;S1步骤中,可以由具有密钥管理服务模块的签名装置从密钥设备获得第一非对称密钥对及其过期时间T后对获得的数据进行缓存。密钥管理服务模块具备对数据进行数字签名的功能。密钥设备例如可以为加密锁或加密卡,或者也可以为安装有加密锁或加密卡的计算机设备。密钥设备可通过运行硬件内部算法来生成第一非对称密钥对。硬件内部算法可采用符合行业标准的通用算法,例如在S1中生成第一非对称密钥对时采用的非对称算法可以是ECC、RSA、SM2等算法。此外,本专利技术实施例的S1步骤中过期时间T只能由密钥设备生成,不能由密钥管理服务模块自行任意设定。可通过使用控制硬件修改密钥设备的硬件配置参数来设定过期时间T的生成机制。本专利技术实施例对过期时间T的具体数值的选定没有限制,只要在考虑防止第一非对称密钥对的泄漏和避免频繁访问密钥设备这两个因素之间权衡后选定即可。当密钥设备为加密锁或加密卡时,密钥设备通过物理接口连接到签名装置,签名装置通过该物理接口从密钥设备获得第一非对称密钥对及其过期时间T。当密钥设备为连接有加密卡或加密锁的计算机设备时,可通过有线或无线通信网络或直接物理连接的方式与签名装置连接,以便签名装置从密钥设备获得第一非对称密钥对及其过期时间T。在本专利技术一个实施例中,签名装置访问密钥设备时需要给出正确的访问密码才能从密钥设备获得第一非对称密钥对及其过期时间T。S2、使用第一私钥A1对待签名数据进行签名得到签名数据,并为签名数据加上签名时间信息;待签名数据可以为应用数据或应用数据的哈希值,数据需要签名的情况可包括例如需要验证数据是否完整或需要验证数据来源等情况。在本专利技术一个实施例中,可通过请求来自第三方(即数据签名方和数据验签方之外的第三方)的时间戳服务来为签名数据添加可信的签名时间信息。S3、将所述签名数据与第一公钥A2和过期时间T一同输出。签名完成后,签名装置输出签名数据、第一公钥A2和过期时间T,这三者可以同时或先后输出至同一接收方,也可以同时或先后分别输出至不同接收方。本实施例中通过为第一非对称密钥对设置过期时间T,能够确保第一非对称密钥对作为临时密钥对只能在过期时间T规定的期限内有效,能够有力地对抗密钥泄漏的风险。通过设定适当短的过期时间T,例如24小时后,甚至能使得密钥泄漏造成的损失可忽略不计。在本专利技术各实施例中,密钥设备与签名装置之间可以为一对一或一对多的关系,例如多个签名装置从同一个密钥设备获取第一非对称密钥对及其过期时间T。或者密钥设备与签名装置之间可以为少量对大量的数量关系,例如几十个签名装置可选地从几个密钥设备中的一个密钥设备获取第一非对称密钥对及其过期时间T。本专利技术实施例通过使用少量密钥设备同时为大量签名装置提供密钥对,不但满足了签名装置的需求,同时还能极大地降低密钥设备的工作负荷,从而能够便利地实现数字签名系统的扩容。此外,在互联网大规模分布式系统中,密钥设备与签名装置通常处于网络中不同位置,以便少量的密钥设备同时为大量签名装置提供密钥对。图2为本专利技术的数据签名方法的实施例二的示意性流程图。如图2所示,本专利技术实施例二在图1所示实施例的基础上,进一步包括对过期时间T进行监控的步骤,在距离在用的第一非对称密钥对的过期时间T的剩余时间达到预定阈值时,再次执行S1步骤以从密钥设备获得新的第一非对称密钥对及其过期时间T。如果当前时间与过期时间T相距的时间未达到预定阈值,则继续使用当前的第一非对称密钥对进行签名处理。在本专利技术实施例中,每当距离过期时间T的剩余时间达到预定阈值时,即当前时间接近过期时间T时,签名装置可再次向密钥设备请求新的第一非对称密钥对及其过期时间T。签名装置的密钥管理服务模块中可设置一个独立的子模块用于监视剩余时间是否达到预定阈值,并在剩余时间达到预定阈值时自动访问密钥设备请求新的第一非对称密钥对及其过期时间T。所请求的新的第一非对称密钥对将从当前在用的第一非对称密钥对的过期时间T时开始使用。本专利技术实施例能够确保一直有能用的第一非对称密钥对存在,且签名操作和访问密钥设备的操作可分别由不同的子模块执行,从而确保了签名操作的顺畅进行。同时,本专利技术实施例具备应对高并发的签名处理的能力,并能根据需要对由密钥设备和签名装置构成的数字本文档来自技高网...
【技术保护点】
一种数据签名方法,其特征在于,包括:S1、从密钥设备获得第一非对称密钥对及其过期时间T,第一非对称密钥对由第一私钥A1和第一公钥A2组成;S2、使用第一私钥A1对待签名数据进行签名得到签名数据,并为签名数据加上签名时间信息;S3、将所述签名数据与第一公钥A2和过期时间T一同输出。
【技术特征摘要】
1.一种数据签名方法,其特征在于,包括:S1、从密钥设备获得第一非对称密钥对及其过期时间T,第一非对称密钥对由第一私钥A1和第一公钥A2组成;S2、使用第一私钥A1对待签名数据进行签名得到签名数据,并为签名数据加上签名时间信息;S3、将所述签名数据与第一公钥A2和过期时间T一同输出。2.如权利要求1所述的方法,其特征在于,在距离在用的第一非对称密钥对的过期时间T的剩余时间达到预定阈值时,再次执行S1步骤以从所述密钥设备获得新的第一非对称密钥对及其过期时间T。3.如权利要求1所述的方法,其特征在于,S1步骤包括:S11、从密钥设备获得第一私钥A1的密文、第一公钥A2、过期时间T以及随机对称密钥;S12、使用所述随机对称密钥解密第一私钥A1的密文获得第一私钥A1。4.如权利要求1-3中任一项所述的方法,其特征在于,S1步骤中,还从密钥设备获得密钥设备利用预定私钥对包括过期时间T在内的数据进行签名后得到的签名结果。5.根据权利要求4所述的方法,其特征在于,在S1步骤后,仅在使用与所述预定私钥对应的公钥对所述签名结果进行验签成功后执行S2步骤。6.如权利要求4所述的方法,其特征在于,所述包括过期时间T在内的数据还包括第一公钥A2。7.如权利要求3所述的方法,其特征在于,S1步骤中,还从密钥设备获得密钥设备利用预定私钥对包括过期时间T在内的数据进行签名后得到的签名结果,所述包括过期时间T在内的数据还包括第一公钥A2和/或所述随机对称密钥。8.如权利要求3所述的方法,其特征在于,S2步骤中,得到所述签名数据后将第一私钥A1删除。9.一种数据验签方法,其特征在于,包括:S4、获取通过如权利要求1-8中任一项所述的数据签名方法输出的所述签名数据、第一公钥A2和过期时间T;S5、当所述签名时间晚于所述过期时间T时,判定所述签名数据无效。10.一种数据签名系统,其特征在于,包括密钥设备和签名装置,所述密钥设备配置为生成第一非对称密钥及其过期时间T,第一非对称密钥对由第一私钥A1和第一公钥A2组成,所述签名装置包括:获取单元,配置为从密钥设备获得第一非对称密钥对及其过期时间T;处理单元,配置为使用第一私钥A1对...
【专利技术属性】
技术研发人员:孙吉平,张树勇,
申请(专利权)人:北京深思数盾科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。