一种协同签名的身份鉴别方法技术

本发明专利技术公开的一种协同签名的身份鉴别方法，包括：通过协同密码客户端根据业务序号

【技术实现步骤摘要】
一种协同签名的身份鉴别方法


[0001]本专利技术涉及计算机信息安全
，尤其涉及一种协同签名的身份鉴别方法
。

技术介绍

[0002]移动互联网的快速发展，越来越多的人通过移动终端进行网上办公娱乐，随之而来会面临安全威胁
。
传统的证书安全介质需要通过多形态的
USBKE、SD
卡
、TF
卡等安全介质进行安全保护，但是会导致企业用户成本上升，不利于普及推广
。
协同密码模块客户端是在传统领域基础之上而开发出来的软件安全密码模块，在不借助于外部硬件设施的情况下，保障用户的安全
。
但是，协同客户端和协同服务端之间的身份鉴别方式是亟待解决的问题，传统的方式通常需要预置证书或者多次交互，这种方式相当不方便，同时安全性较差
。
[0003]为此，本申请人经过有益的探索和研究，找到了解决上述问题的方法，下面将要介绍的技术方案便是在这种背景下产生的
。

技术实现思路

[0004]本专利技术所要解决的技术问题在于：针对现有技术的不足而提供一种安全简便的协同签名的身份鉴别方法
。
[0005]本专利技术所要解决的技术问题可以采用如下技术方案来实现：
[0006]一种协同签名的身份鉴别方法，包括：
[0007]通过协同密码客户端获取应用程序终端传入的业务请求，并生成用户协同密钥，所述用户协同密钥包括用户公钥和用户私钥；
[0008]通过协同密码客户端生成业务序号
Sn
和获取协同密码服务端标识
B
，并使用用户私钥的逆对业务序号
Sn
和协同密码服务端标识
B
进行签名处理，得到签名数据
sSA
；
[0009]通过协同密码客户端根据业务序号
Sn、
协同密码服务端标识
B
和签名数据
sSA
生成认证
Token
，并将业务请求和认证
Token
发送至协同密码服务端；
[0010]通过协同密码服务端对业务请求进行解析处理，以获取本次业务的用户公钥，并根据该用户公钥查找其对应的服务端私钥片段；
[0011]通过协同密码服务端根据找到的服务端私钥片段计算出对应的协同密码客户端私钥片段逆的公钥
Pa
，并使用公钥
Pa
对认证
Token
中的签名数据
sSA
进行验签处理，同时对认证
Token
中的业务序号
Sn
和协同密码服务端标识
B
的正确性进行验证；
[0012]当验证通过后，通过协同密码服务端使用找到的服务端私钥片段对业务请求进行协同签名，并生成协同签名响应数据发送至协同密码客户端；以及
[0013]通过协同密码客户端对协同密码服务端返回的协同签名响应数据进行解析处理，得到最终协同签名结果返回至应用程序终端
。
[0014]在本专利技术的一个优选实施例中，所述业务序号
Sn
为用户公钥的唯一序号
。
[0015]在本专利技术的一个优选实施例中，所述协同密码服务端标识
B
为协同密码服务端与协同密码客户端之间协商的标识或者协同服务端对外的服务地址
。
[0016]在本专利技术的一个优选实施例中，所述对认证
Token
中的业务序号
Sn
和协同密码服务端标识
B
的正确性进行验证，包括：
[0017]判断协同密码服务端的缓存中对应的服务端公钥的序号与认证
Token
中的业务序号
Sn
是否相同；以及
[0018]判断协同密码服务端的缓存中的协同密码服务端标识与认证
Token
中的协同密码服务端标识
B
是否相同
。
[0019]在本专利技术的一个优选实施例中，所述协同密码客户端通过国密
SSLVPN
协议将业务请求和认证
Token
发送至协同密码服务端
。
[0020]由于采用了如上技术方案，本专利技术的有益效果在于：
[0021]1.
本专利技术基于协同签名的用户密钥片段进行一次单向鉴别，不需要额外交互；
[0022]2.
本专利技术在身份鉴别过程中用来签名的私钥是由原用户私钥片段的逆生成，无需额外生成或预置证书；
[0023]3.
本专利技术在身份鉴别过程不需要预置共享密钥或客户端密钥证书，保证了信息安全，减少风险；
[0024]4.
本专利技术在身份鉴别过程将数据交互与原业务数据合并一起，减少网络交互次数，减少了协同过程的网络操作，在达到身份鉴别目的的同时又不影响性能
。
附图说明
[0025]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图
。
[0026]图1是本专利技术实施时的网络示意图
。
[0027]图2是本专利技术的流程图
。
具体实施方式
[0028]为了使本专利技术实现的技术手段
、
创作特征
、
达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本专利技术
。
[0029]本专利技术的协同签名的身份鉴别方法，其实施时涉及了协同密码客户端
、
协同密码服务端以及应用程序终端，如图1所示
。
其中，协同密码客户端与协同密码服务端之间通过网络进行数据链接
。
[0030]本专利技术中的应用程序终端可以采用手机
、
平板电脑
、PDA
或
PC
终端等
。
本专利技术提供登陆方法在实施前，应用程序终端需要集成协同密码客户端，并完成
PIN
设置和协同密钥初始化完成
。
协同密码客户端主要用于实现与协同密码服务端之间的安全通行，并进行身份鉴别的认证
。
[0031]参见图2，图中给出的是一种协同签名的身份鉴别方法，包括以下步骤：
[0032]步骤
S10
，通过协同密码客户端获取应用程序终端传入的业务请求，并生成用户协同密钥
。
其中，用户协同密钥包括用户公钥和用户私钥
。
业务请求根据具体的应用场景会有所不同
。
[0033]步骤
S20
，通过协同密码客户端生成业务序号
Sn
和获取协同密码服务端标识...

【技术保护点】

【技术特征摘要】
1.
一种协同签名的身份鉴别方法，其特征在于，包括：通过协同密码客户端获取应用程序终端传入的业务请求，并生成用户协同密钥，所述用户协同密钥包括用户公钥和用户私钥；通过协同密码客户端生成业务序号
Sn
和获取协同密码服务端标识
B
，并使用用户私钥的逆对业务序号
Sn
和协同密码服务端标识
B
进行签名处理，得到签名数据
sSA
；通过协同密码客户端根据业务序号
Sn、
协同密码服务端标识
B
和签名数据
sSA
生成认证
Token
，并将业务请求和认证
Token
发送至协同密码服务端；通过协同密码服务端对业务请求进行解析处理，以获取本次业务的用户公钥，并根据该用户公钥查找其对应的服务端私钥片段；通过协同密码服务端根据找到的服务端私钥片段计算出对应的协同密码客户端私钥片段逆的公钥
Pa
，并使用公钥
Pa
对认证
Token
中的签名数据
sSA
进行验签处理，同时对认证
Token
中的业务序号
Sn
和协同密码服务端标识
B
的正确性进行验证；当验证通过后，通过协同密码服务端使用找到的服务端私钥片段对业务请求进...

【专利技术属性】
技术研发人员：杨亚，许俊，卫杰，黄福飞，
申请(专利权)人：上海信元通科技有限公司，
类型：发明
国别省市：