【技术实现步骤摘要】
数字签名的方法、系统及装置
本公开涉及密码学
,具体涉及一种数字签名的方法、系统及装置。
技术介绍
目前,基于公钥密码学的数字签名随着互联网的发展逐渐应用到各个领域当中。为了提高用户私钥的安全性,传统的做法是将PKI(公钥基础设施)技术和商用的密码芯片结合,例如网络银行,银行系统采用USBkey(U盾)进行信息加密,确保网上交易的保密性和真实性。但是该方式在使用性以及便携性上极其不便,需要用户随时携带U盾才能完成数字签名,使用体验较差。为了解决便携性问题,相关技术中,有将私钥以软件的形式存储于客户端中,从而无需用户携带U盾,但是安全性能则大大降低,攻击者完全有可能从客户端中获取完整的用户私钥,从而伪造用户签名,因此如何提高数字签名的安全性成为重要的问题。
技术实现思路
为提高数字签名的安全性,本公开提供了一种数字签名的方法、系统及装置。第一方面,本公开提供了一种数字签名的方法,应用于服务端,所述服务端存储有第二私钥密文,所述第二私钥密文包括第一密文片段和第二密文片段,所述第二密文片段...
【技术保护点】
1.一种数字签名的方法,其特征在于,应用于服务端,所述服务端存储有第二私钥密文,所述第二私钥密文包括第一密文片段和第二密文片段,所述第二密文片段是根据用户输入的用户标识信息对第一私钥密文加密得到,所述方法包括:/n当接收到客户端发送的数字签名请求时,向客户端发送所述第一密文片段,以使所述客户端根据所述用户标识信息和所述第一密文片段生成客户端解密密钥;/n接收客户端发送的所述客户端解密密钥和待签名数据;/n利用所述客户端解密密钥对所述第二密文片段解密,得到所述第一私钥密文;/n根据所述第一私钥密文对所述待签名数据进行数字签名。/n
【技术特征摘要】
1.一种数字签名的方法,其特征在于,应用于服务端,所述服务端存储有第二私钥密文,所述第二私钥密文包括第一密文片段和第二密文片段,所述第二密文片段是根据用户输入的用户标识信息对第一私钥密文加密得到,所述方法包括:
当接收到客户端发送的数字签名请求时,向客户端发送所述第一密文片段,以使所述客户端根据所述用户标识信息和所述第一密文片段生成客户端解密密钥;
接收客户端发送的所述客户端解密密钥和待签名数据;
利用所述客户端解密密钥对所述第二密文片段解密,得到所述第一私钥密文;
根据所述第一私钥密文对所述待签名数据进行数字签名。
2.根据权利要求1所述的方法,其特征在于,所述第二私钥密文还包括第三密文片段,所述第三密文片段是根据所述用户标识信息对所述第一私钥密文Hash运算得到,
所述利用所述客户端解密密钥对所述第二密文片段解密,得到所述第一私钥密文,包括:
根据所述客户端解密密钥对所述第二密文片段解密,得到待验证私钥密文;
根据所述客户端解密密钥对所述待验证私钥密文进行Hash运算,得到第四密文片段;
判断所述第四密文片段与所述第三密文片段是否相同,
若是,则确定所述待验证私钥密文为所述第一私钥密文。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一私钥密文对所述待签名数据进行数字签名,包括:
对所述第一私钥密文解密,得到用户私钥;
利用所述用户私钥对所述待签名数据进行数字签名。
4.根据权利要求1至3任一项所述的方法,其特征在于,在所述当接收到客户端发送的数字签名请求时,向客户端发送所述第一密文片段之前,还包括:
接收客户端密钥,所述客户端密钥基于所述用户标识信息生成;
随机生成第一服务端密钥参数,并基于所述客户端密钥和所述第一服务端密钥参数生成服务端加密密钥;
获取所述第一私钥密文,所述第一私钥密文基于用户私钥生成;
根据所述服务端加密密钥和所述第一服务端密钥参数对所述第一私钥密文进行加密,得到并存储所述第二私钥密文。
5.根据权利要求4所述的方法,其特征在于,所述第二私钥密文包括所述第一密文片段和所述第二密文片段,
所述根据所述服务端加密密钥和所述第一服务端密钥参数对所述第一私钥密文进行加密,得到所述第二私钥密文,包括:
根据所述第一服务端密钥参数得到第一密文片段;
根据所述服务端加密密钥对所述第一私钥密文处理得到第二密文片段。
6.根据权利要求5所述的方法,其特征在于,所述第二私钥密文还包括第三密文片段,
所述根据所述服务端加密密钥和所述第一服务端密钥参数对所述第一私钥密文进行加密,得到所述第二私钥密文,还包括:
根据所述服务端加密密钥对所述第一私钥密文Hash运算得到第三密文片段。
7.根据权利要求1至3任一项所述的方法,其特征在于,在所述根据所述第一私钥密文对所述待签名数据进行数字签名之后,还包括:
接收客户端密钥,所述客户端密钥基于所述用户标识信息生成;
随机生成第二服务端密钥参数,并基于所述客户端密钥和所述第二服务端密钥参数生成服务端加密密钥;
根据所述服务端加密密钥和所述第二服务端密钥参数对所述第一私钥密文进行加密,得到并存储所述第二私钥密文。
8.根据权利要求4所述的方法,其特征在于,所述服务端包括服务器和密码机,所述方法包括:
服务器接收所述客户端密钥,并将所述客户端密钥发送至密码机;
密码机随机生成所述第一服务端密钥参数,并基于所述客户端密钥和所述第一服务端密钥参数生成服务端加密密钥;
密码机获取所述第一私钥密文,并根据所述服务端加密密钥和所述第一服务端密钥参数对所述第一私钥密文进行加密,得到所述第二私钥密文;
密码机将所述第二私钥密文发送至服务器,以使服务器存储所述第二私钥密文。
9.根据权利要求8所述的方法,其特征在于,还包括:
当服务器到接收客户端发送的数字签名请求时,提取所述第一密文片段,并将所述第一密文片段发送至客户端;
服务器接收客户端发送的所述客户端解密密钥和所述待签名数据,并将所述客户端解密密钥和所述待签名数据发送至所述密码机;
密码机利用所述客户端解密密钥对所述第二密文片段解密,得到所述第一私钥密文,并根据所述第一私钥密文对所述待签名数据进行数字签名;
密码机将签名后的数据发送至服务器,以使服务器将所述签名后的数据发送至客户端。
10.根据权利要求4所述的方法,其特征在于,在基于所述客户端密钥和所述第一服务端密钥参数生成服务端加密密钥之前,还包括:
利用服务端加密因子对所述客户端密钥进行解密,所述服务端加密因子由服务端分配至客户端,以使客户端根据所述服务端加密因子对所述客户端密钥进行加密。
11.一种数字签名的方法,其特征在于,应用于客户端,所述方法包括:
在接收到用户的签名指令时,向服务端发送数字签名请求;
接收服务端根据所述数字签名请求返回的第一密文片段,根据用户输入的用户标识信息和所述第一密文片段生成客户端解密密钥;
向服务端发送所述客户端解密密钥和待签名数据,以使得服务端在根据所述客户端解密密钥对第二密文片段解密得到第一私钥密文之后,根据第一私钥密文对所述待签名数据进行数字签名;所述第二密文片段是服务端根据所述用户标识信息对第一私钥密文加密得到;
接收服务端返回的签名后的数据。
12.根据权利要求11所述的方法,其特征在于,还包括:
获取用户输入的所述用户标识信息;
基于所述用户标识信息生成客户端密钥;
向服务端发送所述客户端密钥,以使得服务端基于所述客户端密钥对所述第一私钥密文进行加密。
13.根据权利要求12所述的方法,其特征在于,在所述向服务端发送所述客户端密钥之前,还包括:
根据服务端加密因子对所述客户端密钥进行加密,所述服务端加密因子由服务端分配。
14.一种私钥协同加密方法,其...
【专利技术属性】
技术研发人员:陈壹鹏,梁良兴,刘镪,
申请(专利权)人:信安神州科技广州有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。