一种数字签名系统及方法技术方案

本发明专利技术公开了一种数字签名系统及方法，属于信息安全领域。所述系统包括：服务端、客户端和信息安全设备，所述服务端包括第一运算模块、第二运算模块、第一通讯模块，所述客户端包括第三运算模块、第四运算模块、第五运算模块、第二通讯模块，所述信息安全设备包括第六运算模块、确认模块、输出模块、第三通讯模块；所述方法包括：客户端利用第一信息生成第二信息、第一数据包和中间特征值，并发送给所述信息安全设备；所述信息安全设备使用预先设定的算法对所述第二信息计算得到所述第一数据包的特征值，完成签名操作，将签名结果发送给服务端。本发明专利技术减少了信息安全设备的计算量，能大大提高签名的速度和效率，且不影响安全性。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，特别涉及。
技术介绍
近些年，网络迅速的发展给人们带来了极大的便利，人们越来越依赖网络进行各种活动， 网络文件的传输、网上银行交易应经成为我们生活或是工作的一部分。但是，网络毕竟是一 个虚拟的环境，存在太多不安全的因素，因此人们开始极大的发展信息安全技术。在网络环境中必然要进行数据的交互，尤其是像网上银行业务和机密文件的传输这样的 网络活动，由于网络是一个公共的环境，因此网络的安全性一直以来都是人们关注的焦点。 为了确保网络数据在传输过程中不会被人恶意修改，出现了数字签名技术。数字签名技术即 进行身份认证的技术。在数字化文档上的数字签名类似于纸张上的手写签名，是不可伪造的。 接收者能够验证文档确实来自签名者，并且签名后文档没有被修改过，从而保证信息的真实 性和完整性。在网络系统中，数字签名技术可用于安全地传送命令和文件。完善的签名应满 足以下三个条件l.签名者事后不能抵赖自己的签名；2.任何其它人不能伪造签名；3.如果当 事人双方关于签名的真伪发生争执，能够在公正的仲裁者面前通过验证签名来确认其真伪。 数字签名是通过一个单向函数对要传送的报文进行处理得到的用以认证报文来源并核实报文 是否发生变化的一个字母数字串。实现数字签名有很多方法，目前数字签名采用较多的是公 钥加密技术，如基于RSADate Security公司的PKCS( Public Key Cryptography Standards )、 Digital Signature Algorithm、 x.509、 PGP(Pretty Good Privacy). 1994年美国标准与技术协会公 布了数字签名标准(DSS)而使公钥加密技术广泛应用。对数据进行签名后，大大增加了数据的安全性，但是黑客技术的发展使人们依然担忧， 恶意攻击者对人们的计算机进行控制就可以截取计算机内存中出现的数据，因此人们又研制 出了一种便携式的可移动使用的信息安全设备。这是一种带有微处理器的小型硬件设备，其 通过主机的数据通讯接口与主机建立连接，设备内的处理器一般会采用安全设计芯片实现， 利用其内置的安全机制，实现密钥生成、密钥安全存储和预置加密算法等功能，与密钥相关的运算完全在认证设备内部执行，所以安全性很高。其中，签名和验证签名的过程是这样的，发送方首先用公开的单向函数对报文进行一次变换，得到数字签名，然后利用私有密钥对数 字签名进行加密后附在报文中一同发出；接收方用发送方的公开密钥对数字签名进行解密变 换，得到一个数字签名的明文。发送方的公钥是由一个可信赖的技术管理机构即验证机构(CA: Certification Authority)发布的；接收方将得到的明文通过单向函数进行计算，同样得到一个 数字签名，再将两个数字签名进行对比，如果相同，则证明签名有效，否则无效。这种方法 使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。由于发送方私有密钥的保密 性，使得接收方既可以根据验证结果来拒收该报文，也能使其无法伪造报文签名及对报文进 行修改，原因是数字签名是对整个报文进行的，是一组代表报文特征的定长代码，同一个人 对不同的报文将产生不同的数字签名。目前，尤其是在网上银行业务中，对数据的签名过程是在信息安全设备中进行的，在发 送数据时先把数据原文发送到信息安全设备内部并在信息安全设备内部完成签名过程，这样 极大地保证了信息的安全性，但是信息安全设备内置的运算模块一般计算速度较低，如果需 要签名的数据过大，则需要时间过长，这将大大影响交易的速度。综上所述，现有的签名技术将导致信息安全设备产生较大的数据通讯量，耗费时间较多， 效率较低。
技术实现思路
鉴于现有技术的不足，本专利技术提供了一种既不影响安全性又能提高签名效率的签名系统 和方法，具体实现过程如下。一种数字签名系统，包括服务端、客户端和信息安全设备，所述服务端包括第一运算 模块、第二运算模块、第一通讯模块，所述客户端包括第三运算模块、第四运算模块、第五 运算模块、第二通讯模块，所述信息安全设备包括第六运算模块、确认模块、输出模块、第 三通讯模块。优选的，在所述服务端中，所述第一运算模块，用于计算第一数据包的特征值；所述第二运算模块，用于比对所述信息安全设备返回的特征值和所述第一运算模块计算 出的特征值并确认是否相同；所述第一通讯模块，用于所述服务端和所述客户端的信息交互。 优选的，在所述客户端中，所述第三运算模块，用于过滤第一信息，提取关键信息，生成第二信息，并组成所述第一数据包；所述第四运算模块，用于计算所述第一数据包的中间特征值即补位后的第一信息的特征值；所述第五运算模块，用于对所述第一信息进行补位操作；所述第二通讯模块，用于所述客户端与所述服务端、信息安全设备的信息交互。 优选的，在所述信息安全设备中，所述第六运算模块，用于追加计算第二信息的特征值； 所述确认模块，用于确认所述输出模块输出的所述关键信息是否正确； 所述输出模块，用于输出所述关键信息；所述第三通讯模块，用于所述信息安全设备与所述客户端的信息交互。 优选的，所述输出模块可以是显示装置或发声装置。 优选的，所述信息安全设备还包括取消模块、翻页模块。 优选的，所述信息安全设备包括USBKey、智能卡设备。优选的，所述第六运算模块、确认模块、输出模块、第三通讯模块、显示装置或发声装 置、取消模块、翻页模块集成在一个芯片中，所述芯片为安全设计芯片，所述安全设计芯片 包括智能卡芯片。优选的，所述第二通讯模块、第三通讯模块包括USB接口模块、eSATA接口模块、SDIO 接口模块或PCMCIA接口模块。一种数字签名方法，包括如下步骤客户端对第一信息进行过滤，提取关键信息，生成第二信息，并将所述第二信息附加在 第一信息中，打包生成第一数据包；所述客户端使用预先设定的算法对第一信息进行计算，得到中间特征值；所述客户端将所述中间特征值发送给信息安全设备；所述客户端将所述第二信息发送给所述信息安全设备；所述信息安全设备输出所述关键信息，等待用户确认，如果所述用户确认正确，则所述 信息安全设备使用所述预先设定的算法对所述第二信息追加计算得到所述第一数据包的特征 值，完成签名操作，将签名结果发送给服务端，否则所述信息安全设备向所述客户端报告错 误，结束操作。优选的，所述第一信息为信息原文。优选的，所述关键信息为第一信息中的关键数据，所述第二信息通过在所述关键信息中 加入标志位生成；相应地，所述关键信息可以为空；相应地，所述信息安全设备输出所述关键信息前，还可以包括所述信息安全设备对所述 第二信息进行检索，如果存在所述关键信息，则所述信息安全设备将所述关键信息输出，如 果不存在所述关键信息，则所述信息安全设备计算第一数据包的特征值；相应地，所述客户端和所述信息安全设备根据标志位判断所述关键信息是否存在和所述 关键信息位置。优选的，在所述客户端对所述第一信息进行过滤前，还包括对所述第一信息进行补位， 使补位后的所述第一信息长度满足所述预先设定的算法所需要的条件；相应地，所述将第二信息附加在第一信息中还可以为将所述第二信息附加在补位后的所 述第一信息中；相应地，所述对第一信息进行补位包括使用所述关键信息对所述第一信息进行补位，满 本文档来自技高网...

【技术保护点】
一种数字签名系统，其特征在于，所述系统包括：　服务端、客户端和信息安全设备，所述服务端包括第一运算模块、第二运算模块、第一通讯模块，所述客户端包括第三运算模块、第四运算模块、第五运算模块、第二通讯模块，所述信息安全设备包括第六运算模块 、确认模块、输出模块、第三通讯模块。

【技术特征摘要】
1.一种数字签名系统，其特征在于，所述系统包括服务端、客户端和信息安全设备，所述服务端包括第一运算模块、第二运算模块、第一通讯模块，所述客户端包括第三运算模块、第四运算模块、第五运算模块、第二通讯模块，所述信息安全设备包括第六运算模块、确认模块、输出模块、第三通讯模块。2. 根据权利要求1所述的数字签名系统，其特征在于，在所述服务端中， 所述第一运算模块，用于计算第一数据包的特征值；所述第二运算模块，用于比对所述信息安全设备返回的特征值和所述第一运算模块计算 出的特征值并确认是否相同；所述第一通讯模块，用于所述服务端和所述客户端的信息交互。3. 根据权利要求1所述的数字签名系统，其特征在于，在所述客户端中， 所述第三运算模块，用于过滤第一信息，提取关键信息，生成第二信息，并组成所述第一数据包；所述第四运算模块，用于计算所述第一数据包的中间特征值即补位后的第一信息的特征值；所述第五运算模块，用于对所述第一信息进行补位操作；所述第二通讯模块，用于所述客户端与所述服务端、信息安全设备的信息交互。4. 根据权利要求1所述的数字签名系统，其特征在于，在所述信息安全设备中， 所述第六运算模块，用于追加计算第二信息的特征值；所述确认模块，用于确认所述输出模块输出的所述关键信息是否正确； 所述输出模块，用于输出所述关键信息；所述第三通讯模块，用于所述信息安全设备与所述客户端的信息交互。 所述输出模块包括显示装置或发声装置。5. 根据权利要求4所述的数字签名系统，其特征在于，所述信息安全设备还包括取消模 块、翻页模块。6、 根据权利要求4所述的数字签名系统，其特征在于，所述信息安全设备包括USB Key、 智能卡设备。7、 根据权利要求4-6所述的数字签名系统，其特征在于，所述第六运算模块、确认模块、 输出模块、第三通讯模块、显示装置或发声装置、取消模块、翻页模块集成在一个芯片中， 所述芯片为安全设计芯片，所述安全设计芯片包括智能卡芯片。8、 根据权利要求1所述的数字签名系统，其特征在于，所述第二通讯模块、第三通讯模 块包括USB接口模块、eSATA接口模块、SDIO接口模块或PCMCIA接口模块。9. 一种数字签名方法，其特征在于，所述方法包括客户端对第一信息进行过滤，提取关键信息，生成第二信息，并将所述第二信息附加在 第一信息中，打包生成第一数据包；所述客户端使用预先设定的算法对第一信息进行计算，得到中间特征值；所述客户端将所述中间特征值发送给信息安全设备；所述客户端将所述第二信息发送给所述信息安全设备；所述信息安全设备输出所述关键信息，等待用户确认，如果所述用户确认正确，则所述 信息安全设备使用所述预先设定的算法对所述第二信息追加计算得到所述第一数据包的特征 值，完成签名操作，将签名结果发送给服务端，否则所述信息安全设备向所述客户端报告错 误，结束操作。10. 根据权利要求9所述的数字签名方法，其特征在于，所述第一信息为信息原文。11...

【专利技术属性】
技术研发人员：陆舟，于华章，
申请(专利权)人：北京飞天诚信科技有限公司，
类型：发明
国别省市：11[中国|北京]