移动终端数字证书电子签名方法

文档序号:9566957阅读:3301来源:国知局
移动终端数字证书电子签名方法
【技术领域】
[0001]本发明涉及移动通信技术领域,尤其涉及一种移动终端数字证书电子签名方法。
【背景技术】
[0002]随着互联网电子商务的迅猛发展,形同U盘的USBkey这种硬件数字证书已经在网银业务中得到广泛应用。然而,当今更多的电子商务与交易在向移动互联网过度和发展,在移动终端(手机)中使用数字证书做电子签名的需求与日俱增。但是,不同于PC电脑,手机无法插入USBkey也就无法使用硬件数字证书。在手机中发放数字证书并签名的技术本身并无难度,问题在于如何有效的保障含有个人身份信息的数字证书以及用户私钥不被泄漏,不能依靠简单的文件加密形式来处理,需要一种创新的方式来确保申请证书、签发证书、保存证书、使用证书的各个环节安全。能够防止黑客木马窃取证书文件,防止网络抓包解析,防止抓屏截获密码,防止软件反编译获悉算法的技术。例如,通常的服务器验密都是将用户密码经过加密后存入在服务器上,待用户登录时解出密码与用户本次登录提交的密码进行比对,此种做法的不足在于在服务器上存有用户密码,虽然是经过加密但归根结底还是存在服务器上,无法避免内部技术人员有机会破解和掌握用户密码。

【发明内容】

[0003]为了解决以上问题,本发明提供了一种不仅能确保申请证书、签发证书、保存证书、使用证书的各个环节安全,而且能够防止黑客木马窃取证书文件,防止网络抓包解析,防止抓屏截获密码,防止软件反编译获悉算法的移动终端数字证书电子签名方法。
[0004]本发明的具体技术方案如下:
[0005]上述的移动终端数字证书电子签名方法,包括以下步骤:
[0006](1)数字证书签发,即用户在手机中下载安装移动客户端签名工具,用该移动客户端签名工具发起申办数字证书的请求,由发证系统代理受理申请、核验申请人身份、签发数字证书、向认证机构提交报备;移动客户端进行安全处理私钥及证书的存储;
[0007](2)数字证书签名,即用户在网银或其他电子商务网站中登录或签约或交易确认或其他重要环节需要进行电子签名时,由网站方在页面中生成二维码,二维码中信息为经过加密后的待签信息或交易报文;用户使用手机中的移动客户端签名工具拍照扫码,即而获得待签内容或报文到手机,在手机中仔细验看待签内容无误后进行签名确认,签名后的密文直接发回网页;
[0008](3)签名核验,即网银或电子商务网站将用户签名密文提交认证机构进行验签;然后认证机构返回签名者身份、证书有效性、验签结果货其他信息;接着网站方根据认证机构返回的验签结果决定其下一步动作,确认签约或确认交易。
[0009]所述移动终端数字证书电子签名方法,其中,所述步骤(1)中的移动客户端进行安全处理私钥及证书的存储具体包括以下步骤:
[0010](1.1)私钥离散存储,即对私钥指数e和d做自加密时是先将指数切割,分成8或9段小信息,再分别对分段数据进行加密,以实现私钥加密私钥;
[0011](1.2)丢弃私钥,即在客户端初始化时将公钥模数η提交给服务器做云端保存,而用私钥加密私钥指数e和n,之后丢弃私钥;
[0012](1.3)云端密码保存公钥模数,即公钥模数η存放在远端服务器上,每次客户端需要做签名或其他行为时需要通过KeyPasswd验证才能从服务器段取回公钥模数n,之后组合n+d还原出公钥,再逐一解出被切割并分段加密的私钥指数;在内存中将公钥模数η、指数e和d组合并还原成用户私钥;使用后释放内存依然将私钥丢弃回复原状态;下次使用需要用户再次输入KeyPasswd再次重复上述运算;
[0013](1.4)申请电子签名数字证书,即用户填写申请所需的身份要素后,客户端签名工具向发证系统服务器提交PKCS#10的请求报文;发证系统通过身份审核后,针对申请人签发X509数字证书;证书以pem后缀文件形式保存在服务器端,与用户提交的公钥一同建档存库。
[0014]所述移动终端数字证书电子签名方法,其中,所述步骤(2)具体包括以下步骤:
[0015](2.1)本地验密远端存取,即将二维码中信息的加密结果送去服务器保存,每次登录时从服务器返回被加密的内容,在用户终端中进行解密;解密后将明文结果送回服务器,服务器与预留的明文信息做比对,吻合则表明用户输入的密码正确;
[0016](2.2)客户端与服务器会话,即移动终端客户端预植服务器公钥,每次通讯时先与服务器握手交换临时密钥对,确保每次通讯都使用新产生的密钥对;由移动终端客户端产生一对临时回话密钥对,将客户端临时密钥对的公钥做DES加密,DES密码再用预植的服务器公钥加密,发送至服务器请求交换密钥;服务器收到握手后,先使用服务器私钥解出DES密码;随后产生一对临时回话密钥,将新产生的服务器端临时回话密钥的公钥做DES加密,使用移动终端客户端临时会话公钥对DES密码进行加密,回传给移动终端客户端;至此,完成本次客户端与服务器之间会话的握手环节,即双方交换了各自临时产生的会话密钥的公钥,随机,双方使用临时会话密钥进行交互;
[0017](2.3)扫码及签名回送,即移动终端客户端扫码后解密出带签名的原始信息,经用户查看确认无误后用户输入KeyPassword进行签名;签名后的签名密文再经过DES加密,并用网站公钥对DES密码进行加密,一并送回至二维码中携带的回送网站;网站收到后使用网站私钥解密还原出签名密文,再将签名密文送至认证机构进行验签,并从认证机构获得相关确认信息。
[0018]所述移动终端数字证书电子签名方法,其中:所述步骤(2.3)中从认证机构获得的确认信息包括签名者身份确认信息、证书有效性确认信息、签名内容验证确认信息、哈稀比对确认信息及其他确认信息。
[0019]所述移动终端数字证书电子签名方法,其中:所述发证系统负责的功能包括受理、审核、发证、挂失、吊销及其他功能。
[0020]所述移动终端数字证书电子签名方法,其中,所述电子签名方法在实际应用环境中,网银或电子商务网站可将需要用户签名的内容进行加密生成二维码显示在网页中;除待签内容信息外,二维码中还包括一些要素信息如网站名称、网站代码、签名回送网址URL、端口号、网站公钥及其他要素信息;二维码中的密文长度控制在700byte左右。
[0021]有益效果:
[0022]本发明移动终端数字证书电子签名方法构思巧妙、合理,其充分利用非对称密钥的特点,在客户端初始化时将公钥模数(η)提交给服务器做云端保存,而用私钥加密私钥指数(e)和(η),之后丢弃私钥;存在移动终端上的密文就只能用公钥来解开,而公钥模数(η)又不在本地保存,因而相比于一般的对称密码文件加密更加安全可靠;同时,将公钥通过网络提交给服务器进行妥善保存,而在移动终端客户端本地却没有直接存储私钥,而是用私钥对e和d进行了加密,而后丢弃私钥本身,被加密的实际上又只是不完整的密钥结构其中的一部分,因为属于不完整信息缺少模数(η),因而可绝对避免黑客木马等盗取密钥文件进行字典攻击暴力破解,起到了安全存储私钥的作用,该部分技术理念颠覆了传统的非对称密钥私钥存储方式,并非简单的通过加密文件保存私钥。
[0023]本发明还具有以下优点:
[0024](1)本发明通过私钥自加密后丢弃私钥,能有效避免本地存储私钥以及数字证书遭恶意破解;
[0025](2)本发明通过远端存取本地验密,能有效避免服务器端存储用户密码,防止内部技术人员作弊;
[0026](3)本发明能有效解决非对称密钥不能加密信息量过大内容的问题;
[0027](4)本发明采用每次通讯一更换密钥对的策略,一方面是可以避免网络抓包破译并篡改内容信息,另一方面是可有效避免重放攻击。
【附图说明】
[0028]图1为本发明移动终端数字证书电子签名方法在网银登陆和交易签名中的应用流程图。
【具体实施方式】
[0029]本发明移动终端数字证书电子签名方法,其包括以下步骤:
[0030]
[0031]S010、数字证书签发
[0032]即用户在手机中下载安装移动客户端签名工具,用该移动客户端签名工具发起申办数字证书的请求,由发证系统(RA)代理受理申请、核验申请人身份、签发数字证书、向认证机构(CA)提交报备;移动客户端进行安全处理私钥及证书的存储;
[0033]其中,移动客户端进行安全处理私钥及证书的存储具体包括以下步骤:
[0034]S011、私钥离散存储
[0035]对私钥指数(e)和(d)做自加密时是先将指数切割,分成8或9段小信息,再分别对分段数据进行加密,以实现私钥加密私钥;
[0036]S012、丢弃私钥
[0037]在客户端初始化时将公钥模数(η)提交给服务器做云端保存,而用私钥加密私钥指数(e)和(η),之后丢弃私钥;
[0038]S013、云端密码保存公钥模数
[0039]即公钥模数(η)存放在远端服务器上,每次客户端需要做签名等行为时需要通过KeyPasswd验证才能从服务器段取回公钥模数(η),之后组合n+d还原出公钥,再逐一解出被切割并分段加密的私钥指数;在内存中将公钥模数(η)指数(e)和(d)组合并还原成用户私钥;使用后释放内存依然将私钥丢弃回复原状态;下次使用需要用户再次输入KeyPasswd再次重复上述运算;
[0040]S014、申请电子签名数字证书
[0041]即用户填写申请所需的身份要素后,客户端签名工具向发证系统(RA)服务器提交PKCS#10的请求报文;发证系统(RA)通过身份审核后,针对申请人签发X509数字证书;证书以pem后缀文件形式保存在服务器端,与用户
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1