H04L9/32 H04L29/06
1.一种移动终端数字证书电子签名方法,其特征在于,包括以下步骤:
(1)数字证书签发
即用户在手机中下载安装移动客户端签名工具,用该移动客户端签名工具 发起申办数字证书的请求,由发证系统代理受理申请、核验申请人身份、签发 数字证书、向认证机构提交报备;移动客户端进行安全处理私钥及证书的存储;
(2)数字证书签名
即用户在网银或其他电子商务网站中登录或签约或交易确认或其他重要 环节需要进行电子签名时,由网站方在页面中生成二维码,二维码中信息为经 过加密后的待签信息或交易报文;用户使用手机中的移动客户端签名工具拍照 扫码,即而获得待签内容或报文到手机,在手机中仔细验看待签内容无误后进 行签名确认,签名后的密文直接发回网页;
(3)签名核验
即网银或电子商务网站将用户签名密文提交认证机构进行验签;然后认证 机构返回签名者身份、证书有效性、验签结果货其他信息;接着网站方根据 认证机构返回的验签结果决定其下一步动作,确认签约或确认交易。
2.如权利要求1所述的移动终端数字证书电子签名方法,其特征在于, 所述步骤(1)中的移动客户端进行安全处理私钥及证书的存储具体包括以下 步骤:
(1.1)私钥离散存储
即对私钥指数e和d做自加密时是先将指数切割,分成8或9段小信息, 再分别对分段数据进行加密,以实现私钥加密私钥;
(1.2)丢弃私钥
即在客户端初始化时将公钥模数n提交给服务器做云端保存,而用私钥加 密私钥指数e和n,之后丢弃私钥;
(1.3)云端密码保存公钥模数
即公钥模数n存放在远端服务器上,每次客户端需要做签名或其他行为时 需要通过KeyPasswd验证才能从服务器段取回公钥模数n,之后组合n+d还原 出公钥,再逐一解出被切割并分段加密的私钥指数;在内存中将公钥模数n、 指数e和d组合并还原成用户私钥;使用后释放内存依然将私钥丢弃回复原状 态;下次使用需要用户再次输入KeyPasswd再次重复上述运算;
(1.4)申请电子签名数字证书
即用户填写申请所需的身份要素后,客户端签名工具向发证系统服务器提 交PKCS#10的请求报文;发证系统通过身份审核后,针对申请人签发X509数 字证书;证书以pem后缀文件形式保存在服务器端,与用户提交的公钥一同 建档存库。
5.如权利要求2所述的移动终端数字证书电子签名方法,其特征在于: 所述发证系统负责的功能包括受理、审核、发证、挂失、吊销及其他功能。
3.如权利要求1所述的移动终端数字证书电子签名方法,其特征在于, 所述步骤(2)具体包括以下步骤:
(2.1)本地验密远端存取
即将二维码中信息的加密结果送去服务器保存,每次登录时从服务器返 回被加密的内容,在用户终端中进行解密;解密后将明文结果送回服务器,服 务器与预留的明文信息做比对,吻合则表明用户输入的密码正确;
(2.2)客户端与服务器会话
即移动终端客户端预植服务器公钥,每次通讯时先与服务器握手交换临时 密钥对,确保每次通讯都使用新产生的密钥对;由移动终端客户端产生一对临 时回话密钥对,将客户端临时密钥对的公钥做DES加密,DES密码再用预植的 服务器公钥加密,发送至服务器请求交换密钥;服务器收到握手后,先使用服 务器私钥解出DES密码;随后产生一对临时回话密钥,将新产生的服务器端临 时回话密钥的公钥做DES加密,使用移动终端客户端临时会话公钥对DES密码 进行加密,回传给移动终端客户端;至此,完成本次客户端与服务器之间会话 的握手环节,即双方交换了各自临时产生的会话密钥的公钥,随机,双方使用 临时会话密钥进行交互;
(2.3)扫码及签名回送
即移动终端客户端扫码后解密出带签名的原始信息,经用户查看确认无误 后用户输入KeyPassword进行签名;签名后的签名密文再经过DES加密,并 用网站公钥对DES密码进行加密,一并送回至二维码中携带的回送网站;网 站收到后使用网站私钥解密还原出签名密文,再将签名密文送至认证机构进 行验签,并从认证机构获得相关确认信息。
4.如权利要求1所述的移动终端数字证书电子签名方法,其特征在于: 所述步骤(2.3)中从认证机构获得的确认信息包括签名者身份确认信息、证 书有效性确认信息、签名内容验证确认信息、哈稀比对确认信息及其他确认 信息。
6.如权利要求1至4任一所述的移动终端数字证书电子签名方法,其特 征在于,所述电子签名方法在实际应用环境中,网银或电子商务网站可将需 要用户签名的内容进行加密生成二维码显示在网页中;除待签内容信息外, 二维码中还包括一些要素信息如网站名称、网站代码、签名回送网址URL、端 口号、网站公钥及其他要素信息;二维码中的密文长度控制在700byte左右。
本发明涉及移动通信技术领域,尤其涉及一种移动终端数字证书电子签名方法。
随着互联网电子商务的迅猛发展,形同U盘的USBkey这种硬件数字证书已经在网银业务中得到广泛应用。然而,当今更多的电子商务与交易在向移动互联网过度和发展,在移动终端(手机)中使用数字证书做电子签名的需求与日俱增。但是,不同于PC电脑,手机无法插入USBkey也就无法使用硬件数字证书。在手机中发放数字证书并签名的技术本身并无难度,问题在于如何有效的保障含有个人身份信息的数字证书以及用户私钥不被泄漏,不能依靠简单的文件加密形式来处理,需要一种创新的方式来确保申请证书、签发证书、保存证书、使用证书的各个环节安全。能够防止黑客木马窃取证书文件,防止网络抓包解析,防止抓屏截获密码,防止软件反编译获悉算法的技术。例如,通常的服务器验密都是将用户密码经过加密后存入在服务器上,待用户登录时解出密码与用户本次登录提交的密码进行比对,此种做法的不足在于在服务器上存有用户密码,虽然是经过加密但归根结底还是存在服务器上,无法避免内部技术人员有机会破解和掌握用户密码。
为了解决以上问题,本发明提供了一种不仅能确保申请证书、签发证书、保存证书、使用证书的各个环节安全,而且能够防止黑客木马窃取证书文件,防止网络抓包解析,防止抓屏截获密码,防止软件反编译获悉算法的移动终端数字证书电子签名方法。
本发明的具体技术方案如下:
上述的移动终端数字证书电子签名方法,包括以下步骤:
(1)数字证书签发,即用户在手机中下载安装移动客户端签名工具,用该移动客户端签名工具发起申办数字证书的请求,由发证系统代理受理申请、核验申请人身份、签发数字证书、向认证机构提交报备;移动客户端进行安全处理私钥及证书的存储;
(2)数字证书签名,即用户在网银或其他电子商务网站中登录或签约或交易确认或其他重要环节需要进行电子签名时,由网站方在页面中生成二维码,二维码中信息为经过加密后的待签信息或交易报文;用户使用手机中的移动客户端签名工具拍照扫码,即而获得待签内容或报文到手机,在手机中仔细验看待签内容无误后进行签名确认,签名后的密文直接发回网页;
(3)签名核验,即网银或电子商务网站将用户签名密文提交认证机构进行验签;然后认证机构返回签名者身份、证书有效性、验签结果货其他信息;接着网站方根据认证机构返回的验签结果决定其下一步动作,确认签约或确认交易。
所述移动终端数字证书电子签名方法,其中,所述步骤(1)中的移动客户端进行安全处理私钥及证书的存储具体包括以下步骤:
(1.1)私钥离散存储,即对私钥指数e和d做自加密时是先将指数切割,分成8或9段小信息,再分别对分段数据进行加密,以实现私钥加密私钥;
(1.2)丢弃私钥,即在客户端初始化时将公钥模数n提交给服务器做云端保存,而用私钥加密私钥指数e和n,之后丢弃私钥;
(1.3)云端密码保存公钥模数,即公钥模数n存放在远端服务器上,每次客户端需要做签名或其他行为时需要通过KeyPasswd验证才能从服务器段取回公钥模数n,之后组合n+d还原出公钥,再逐一解出被切割并分段加密的私钥指数;在内存中将公钥模数n、指数e和d组合并还原成用户私钥;使用后释放内存依然将私钥丢弃回复原状态;下次使用需要用户再次输入KeyPasswd再次重复上述运算;
(1.4)申请电子签名数字证书,即用户填写申请所需的身份要素后,客户端签名工具向发证系统服务器提交PKCS
图1为本发明移动终端数字证书电子签名方法在网银登陆和交易签名中的应用流程图。
本发明移动终端数字证书电子签名方法,其包括以下步骤:
S010、数字证书签发
即用户在手机中下载安装移动客户端签名工具,用该移动客户端签名工具发起申办数字证书的请求,由发证系统(RA)代理受理申请、核验申请人身份、签发数字证书、向认证机构(CA)提交报备;移动客户端进行安全处理私钥及证书的存储;
其中,移动客户端进行安全处理私钥及证书的存储具体包括以下步骤:
S011、私钥离散存储
对私钥指数(e)和(d)做自加密时是先将指数切割,分成8或9段小信息,再分别对分段数据进行加密,以实现私钥加密私钥;
S012、丢弃私钥
在客户端初始化时将公钥模数(n)提交给服务器做云端保存,而用私钥加密私钥指数(e)和(n),之后丢弃私钥;
S013、云端密码保存公钥模数
即公钥模数(n)存放在远端服务器上,每次客户端需要做签名等行为时需要通过KeyPasswd验证才能从服务器段取回公钥模数(n),之后组合n+d还原出公钥,再逐一解出被切割并分段加密的私钥指数;在内存中将公钥模数(n)指数(e)和(d)组合并还原成用户私钥;使用后释放内存依然将私钥丢弃回复原状态;下次使用需要用户再次输入KeyPasswd再次重复上述运算;
S014、申请电子签名数字证书
即用户填写申请所需的身份要素后,客户端签名工具向发证系统(RA)服务器提交PKCS
本文发布于:2023-04-15 06:05:30,感谢您对本站的认可!
本文链接:https://patent.en369.cn/patent/3/87101.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |