专利名称:移动交易业务实现方法、装置及系统的制作方法
技术领域:
本发明涉及移动通信技术,尤其涉及一种移动交易业务实现方法、装置及系统。
背景技术:
移动交易业务是指移动商务中涉及到资金流部分的支付型电子商务,例如手机购 物、手机银行、手机证券等。移动电子商务指利用无线网络和技术,通过移动终端进行的在 线交易和商务作业活动。 移动交易业务作为全新的交易模式,打破了时间和空间的限制,在方便用户的同 时,也为运营商带来了增值利润,为服务提供商节省了大量的交易成本。但是,移动交易业 务中的风险也较大。因为移动交易环境中所有以电子形式表达的与商业有关的信息,如文 件、账款、商务等,都可能会被篡改、窃取、窃听、冒充或交易否认,这就在数据保护方面提出 了全面的安全要求,例如机密性、完整性、身份认证性、不可否认性等。为了提高移动交易业 务中的安全性,移动交易业务中采用了数字签名技术。 数字签名技术是提供认证性、完整性和不可否认性的重要技术。目前,数字签名具 备与手写签名同样的法律效力。 现有技术中,提供一种移动交易业务实现方法,该方法采用基于认证中心 (Certificate Authority,简称CA)的数字签名方法,即移动业务交易系统中的各个移动终 端的公钥需要通过访问CA中心来获取,适用于用户群较少的简单系统。随着信息技术发 展,用户群规模不断扩大,公钥的管理和获取日益变得复杂,这种基于CA的数字签名方法 难以满足信息化社会对数字签名的需求,特别是难以满足移动业务系统这种有着数亿用户 的应用环境。 现有技术中提供另一种移动交易业务实现方法,该方法采用基于身份的数字签名
方法,基于身份的密码系统是公共密钥密码系统,一个实体的公共密钥是由该实体的身份
得来的,身份可以是个人信息,例如,姓名、地址、电子邮箱、手机号码等,也可以是计算机信
息,例如IP地址等。这种基于身份的数字签名方法能够克服基于CA的数字签名方法难以
满足信息化社会对数字签名的需求的缺陷,适合有着数亿用户的移动业务系统。 现有技术中存在的问题是采用基于身份的数字签名方法的移动交易业务系统无
法与采用基于CA的数字签名方法形成的移动交易业务系统兼容,使得基于身份的数字签
名方法的移动交易业务在开展时无法利用已有的基于CA的数字签名技术的移动交易业务
系统,容易形成业务开展的孤岛。
发明内容
本发明实施例针对现有技术中存在的问题,提供一种移动交易业务实现方法、装 置及系统,能够使得基于身份的数字签名方法的移动交易业务系统与基于CA的数字签名 方法的移动交易业务系统相互兼容,避免形成移动交易业务开展的孤岛。
本发明实施例提供了一种移动交易业务实现方法,包括
接收移动业务数据和签名;
验证所述签名; 如果所述移动业务数据和签名为基于身份的数字签名方法的系统发送的移动业 务数据和签名,则验证通过后,采用基于认证中心CA的数字签名方法和自身的私钥对所述 移动业务数据签名,生成新的签名;或者,如果所述移动业务数据和签名为基于CA的数字 签名方法的系统发送的移动业务数据和签名,则验证通过后,采用基于身份的数字签名方 法和自身的私钥对所述移动业务数据签名,生成新的签名; 发送所述移动业务数据和所述新的签名给所述移动业务数据的接收装置。
本发明实施例还提供了一种移动交易业务实现方法,包括
接收对接服务器发送的移动业务数据和签名;
获取所述对接服务器的公钥;
利用所述公钥验证所述签名。 本发明实施例还提供了一种移动交易业务实现方法,包括 若移动业务数据的发送装置属于基于身份的数字签名方法的系统,而所述移动业 务数据的接收装置数据基于认证中心CA的数字签名方法的系统,则采用基于身份的数字 签名方法生成所述移动业务数据的签名,发送所述移动业务数据和签名给对接服务器,使 得所述对接服务器对所述移动业务数据的签名验证通过后,采用基于CA的数字签名方法 和自身的私钥对所述移动业务数据签名,生成新的签名;或者, 若移动业务数据的发送装置属于基于CA的数字签名方法的系统,而所述移动业
务数据的接收装置数据基于身份的数字签名方法的系统,则采用基于CA的数字签名方法
生成所述移动业务数据的签名,发送所述移动业务数据和签名给对接服务器,使得所述对
接服务器对所述移动业务数据的签名验证通过后,采用基于身份的数字签名方法和自身的
私钥对所述移动业务数据签名,生成新的签名。 本发明实施例还提供了一种对接服务器,包括 第一接收模块,用于接收移动业务数据和签名; 第一验证模块,用于验证所述第一接收模块接收到的签名; 处理模块,用于在所述第一验证模块验证通过后,在所述第一接收模块接收到的 移动业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名的情 况下,采用基于认证中心CA的数字签名方法和自身的私钥对所述第一接收模块接收到的 移动业务数据签名,生成新的签名;在所述第一接收模块接收到的移动业务数据和签名为 基于CA的数字签名方法的系统发送的移动业务数据和签名的情况下,采用基于身份的数 字签名方法和自身的私钥对所述第一接收模块接收到的移动业务数据签名,生成新的签 名; 第一发送模块,用于将所述第一接收模块接收到的移动业务数据和所述处理模块
生成的新的签名发送给所述移动业务数据的接收装置。 本发明实施例还提供了一种移动业务数据的接收装置,包括 第二接收模块,用于接收对接服务器发送的移动业务数据和签名; 获取模块,用于获取所述对接服务器的公钥; 第二验证模块,用于利用所述获取模块获取的公钥验证所述第二接收模块接收到的签名。
本发明实施例还提供了一种移动业务数据的发送装置,包括 签名模块,用于采用基于身份的数字签名方法生成移动业务数据的签名;或者,采 用基于认证中心CA的数字签名方法生成移动业务数据的签名; 第三判断模块,用于当所述签名模块采用基于身份的数字签名方法生成移动业务 数据的签名时,判断移动业务数据的接收装置是否属于基于身份的数字签名方法的系统; 当所述签名模块采用基于CA的数字签名方法生成移动业务数据的签名时,判断移动业务 数据的接收装置是否属于基于CA的数字签名方法的系统; 第二发送模块,用于在所述第三判断模块的判断结果为否时,发送所述签名模块 生成的签名和移动业务数据给对接服务器。
本发明实施例还提供了一种移动交易业务实现系统,包括 移动业务数据的发送装置,用于对移动业务数据签名,并发送所述移动业务数据 和签名; 对接服务器,用于接收所述移动业务数据的发送装置发送的移动业务数据和签 名,对所述签名验证,验证通过后,如果所述签名是基于身份的数字签名方法进行的签名, 采用基于认证中心CA的数字签名方法对所述移动业务数据生成新的签名,如果所述签名 是基于CA的数字签名方法进行的签名,采用基于身份的数字签名方法对所述移动业务数 据生成新的签名,并发送所述移动业务数据和所述新的签名;移动业务数据的接收装置, 用于接收所述对接服务器发送的移动业务数据和所述新的签名,采用所述对接服务器的公 钥,验证所述新的签名。 本发明实施例中,将从基于身份的数字签名方法形成的移动交易业务系统发送至 基于CA的数字签名方法形成的移动交易业务系统的移动业务数据,通过对接服务器生成 能够被基于CA的数字签名方法形成的移动交易业务系统验证的数字签名,将从基于CA的 数字签名方法形成的移动交易业务系统发送至基于身份的数字签名方法形成的移动交易 业务系统的移动业务数据,通过对接服务器生成能够被基于身份的数字签名方法形成的移 动交易业务系统验证的数字签名,从而使得基于身份的数字签名方法形成的移动交易业务 系统和基于CA的数字签名方法形成的移动交易业务系统能够进行移动业务数据的传输, 实现了这两种移动交易业务系统的兼容,避免了业务孤岛的形成。
图1所示为本发明移动交易业务实现方法实施例一的流程图; 图2所示为本发明移动交易业务实现方法实施例二的流程图; 图3所示为本发明各实施例中涉及到的一种系统结构示意图; 图4所示为本发明对接服务器实施例一结构示意图; 图5所述为本发明对接服务器实施例二的结构示意图; 图6所示为本发明移动业务数据的接收装置实施例一的结构示意图; 图7所示为本发明移动业务数据的发送装置实施例一的结构示意图; 图8所示为本发明移动业务数据的发送装置实施例二的结构示意图; 图9所示为本发明移动交易业务实现系统实施例一的结构示意8
图10所示为本发明移动交易业务实现系统实施例二的结构示意图。
具体实施例方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
如图1所示为本发明移动交易业务实现方法实施例一的流程图,包括
步骤101、接收移动业务数据和签名。
步骤102、验证签名。 步骤103、如果移动业务数据和签名为基于身份的数字签名方法的系统发送的移 动业务数据和签名,则验证通过后,采用基于CA的数字签名方法和自身的私钥对移动业务 数据签名,生成新的签名;或者,如果移动业务数据和签名为基于CA的数字签名方法的系 统发送的移动业务数据和签名,则验证通过后,采用基于身份的数字签名方法和自身的私 钥对移动业务数据签名,生成新的签名。 步骤104、发送移动业务数据和新的签名给移动业务数据的接收装置。 本发明提供的移动交易业务实现方法,如果移动业务数据是由基于身份的数字签
名方法的系统发送的,而移动业务数据的接收装置属于基于CA的数字签名方法的系统,采
用基于CA的数字签名方法和自身的私钥对所述移动业务数据签名,生成新的签名,可以使
得移动业务数据的接收装置能够验证该移动业务数据,从而使得基于身份的数字签名方法
的移动交易业务系统与基于CA的数字签名方法的移动交易业务系统相互兼容,避免形成
移动交易业务开展的孤岛。如果移动业务数据是由基于CA的数字签名方法的系统发送的,
而移动业务数据的接收装置属于基于身份的数字签名方法的系统,采用基于身份的数字签
名方法和自身的私钥对移动业务数据签名,生成新的签名,可以使得移动业务数据的接收
装置能够验证该移动业务数据,从而使得基于身份的数字签名方法的移动交易业务系统与
基于CA的数字签名方法的移动交易业务系统相互兼容,避免形成移动交易业务开展的孤岛。 本发明实施例一中,步骤101-步骤104可以由对接服务器来执行。 步骤103中,采用基于CA的数字签名方法和自身的私钥对所述移动业务数据签
名,生成新的签名,可以包括采用基于CA的数字签名方法和自身生成的私钥对移动业务
数据签名,生成新的签名; 采用基于身份的数字签名方法和自身的私钥对所述移动业务数据签名,生成新的 签名,可以包括采用基于身份的数字签名方法和接收自私钥生成中心的私钥对移动业务 数据签名,生成新的签名。 对于采用基于身份的数字签名方法的系统,私钥生成中心(Private
KeyGenerator,简称PKG)可以生成自身的私钥和公钥,还能生成系统内各个移动终端的私
钥。当某个移动终端首次加入系统时,PKG根据系统参数和该移动终端对应的身份生成该
移动终端的私钥,并通过安全渠道发送给该移动终端中的私钥存储模块。 PKG生成移动终端的私钥的过程可以是PKG根据移动终端对应的身份计算移动
终端的公钥,然后PKG根据计算出来的移动终端的公钥计算出该移动终端的私钥。 移动终端中采用基于身份的签名方法和接收自PKG的私钥对移动业务数据签名,
不需要每次签名都通过访问PKG来获得移动终端的私钥,移动终端的私钥被发送至移动终端后就不会再发布出去,能够保证系统的安全性。 具体到本发明实施例中,对接服务器的私钥同样也可以由PKG来生成,PKG根据对 接服务器的身份计算出对接服务器的公钥,根据对接服务器的公钥计算出对接服务器的私 钥,并将对接服务器的私钥发送给对接服务器。对接服务器自身存储PKG发送过来的自身 的私钥,在对移动业务数据签名时无需再从PKG获取。 对于采用基于CA的数字签名方法的系统,对接服务器的私钥可以由对接服务器 自身计算生成。 上述实施例一中,步骤102具体可以包括如果移动业务数据和签名为基于身份 的数字签名方法的系统发送的移动业务数据和签名,则根据移动业务数据的发送装置对应 的身份计算出移动业务数据的发送装置对应的公钥,采用基于身份的密码机制验证所述签 名;或者,如果移动业务数据和签名为基于CA的数字签名方法的系统发送的移动业务数据 和签名,则从CA获取移动业务数据的发送装置的公钥,利用移动业务数据的发送装置的公 钥,采用基于CA的密码机制验证签名。 移动业务数据的发送装置在发送移动业务数据之前可以判断移动业务数据的接 收装置是否属于自身所在的系统,如果移动业务数据的接收装置与移动业务的发送装置属 于相同的系统,则移动业务数据的发送装置将移动业务数据发送给移动业务数据的接收装 置,如果移动业务数据的接收装置与移动业务数据的发送装置属于不同的系统,则将移动 业务数据发送给对接服务器。例如,如果移动业务数据的发送装置属于基于身份的数字签 名的系统,而移动业务数据的接收装置也属于基于身份的数字签名的系统,则移动业务数 据的发送装置将移动业务数据发送给移动业务数据的接收装置,而无需将移动业务数据发 送给对接服务器。如果移动业务数据的发送装置属于基于身份的数字签名的系统,而移动 业务数据的接收装置属于基于CA的数字签名的系统,则移动业务数据的发送装置将移动 业务数据发送给对接服务器。 移动业务数据的发送装置也可以无需判断待发送的移动业务数据的接收装置是
否属于自身所在的系统,而是直接将移动业务数据发送给对接服务器。在这种情况下,对接
服务器接收到移动业务数据后,还可以判断移动业务数据的接收装置是否与移动业务数据
的发送装置所属的系统相同,如果不同,则执行如实施例一所示的步骤102-104。如果相同,
则将接收到的移动业务数据发送给移动业务数据的接收装置。例如,如果对接服务器接收
到的移动业务数据的发送装置和接收装置均属于基于身份的数字签名的系统,则对接服务
器将移动业务数据发送给移动业务数据的接收装置,而无需执行步骤102-104。 如图2所示为本发明移动交易业务实现方法实施例二的流程图,包括 步骤201、接收对接服务器发送的移动业务数据和签名。 步骤202、获取对接服务器的公钥。 步骤203、利用公钥验证签名。 上述步骤201-步骤203可以由移动业务数据的接收装置来执行,移动业务数据的 接收装置可以是基于身份的数字签名方法的系统中的移动终端或服务器,也可以是基于CA 的数字签名方法的系统终端的移动终端或服务器。 本发明提供的移动交易业务实现方法实施例二中,从对接服务器接收移动业务数 据和签名,根据对接服务器的公钥对签名验证。由于对接服务器发送的数据中,已经采用与移动业务数据的接收装置所属的系统中采用的数字签名方法相同的方法,对移动业务数据 签名,所以,移动业务数据的接收装置能够对接服务器发送的签名验证,从而使得基于身份 的数字签名方法形成的移动交易业务系统和基于CA的数字签名方法形成的移动交易业务 系统能够进行移动业务数据的传输,实现了这两种移动交易业务系统的兼容,避免了业务 孤岛的形成。 如果移动业务数据的发送装置属于基于CA的数字签名方法的系统,则步骤202中 获取所述对接服务器的公钥具体可以包括根据对接服务器的身份计算出对接服务器的公 钥;如果移动业务数据的发送装置属于基于身份的数字签名方法的系统,则步骤202中获 取所述对接服务器的公钥具体包括从CA获取对接服务器的公钥。 在本发明实施例中,CA除了保存有基于CA的数字签名方法的系统中的所有终端 的公钥,还可以保存对接服务器的公钥。 本发明移动交易业务实现方法实施例三提供的方法,包括 在移动业务数据的发送装置属于基于身份的数字签名方法的系统,而移动业务数 据的接收装置属于基于CA的数字签名方法的系统的情况下,采用基于身份的数字签名方 法生成所述移动业务数据的签名,发送移动业务数据和签名给对接服务器,使得对接服务 器对移动业务数据的签名验证通过后,采用基于CA的数字签名方法和自身的私钥对移动 业务数据签名,生成新的签名; 在移动业务数据的发送装置属于基于CA的数字签名方法的系统,而移动业务数 据的接收装置属于基于身份的数字签名方法的系统的情况下,采用基于CA的数字签名方 法生成移动业务数据的签名,发送移动业务数据和签名给对接服务器,使得对接服务器对 所述移动业务数据的签名验证通过后,采用基于身份的数字签名方法和自身的私钥对移动 业务数据签名,生成新的签名。 本发明移动交易业务实现方法实施例三中,将不同系统的移动业务数据和签名发 送给对接服务器,使得对接服务器可以采用与移动业务数据的接收装置所属的系统采用的 数字签名方法相同的方法对移动业务数据签名,从而使得基于身份的数字签名方法的移动 交易业务系统与基于CA的数字签名方法的移动交易业务系统相互兼容,避免形成移动交 易业务开展的孤岛。 在实施例三中,如果移动业务数据的发送装置属于基于CA的数字签名方法的系 统,则获取所述对接服务器的公钥具体可以包括根据所述对接服务器的身份计算出所述 对接服务器的公钥;如果移动业务数据的发送装置属于基于身份的数字签名方法的系统, 则获取所述对接服务器的公钥具体可以包括从CA获取所述对接服务器的公钥。
下面详细结合具体的例子来介绍本发明移动交易业务的实现方法。
如图3所示为本发明各实施例中涉及到的一种系统结构示意图,该系统包括基于 身份的数字签名方法的系统和基于CA的数字签名方法的系统,这两个系统均与对接服务 器连接。基于身份的数字签名方法的系统中可以包括各个移动终端和PKG,基于CA的数字 签名方法的系统中可以包括各个移动终端和CA。假设基于身份的数字签名方法的系统中 的移动终端A的号码为13123456789,所述移动终端A发送的移动支付业务消息m为m(m_ NO, s_ID, r_ID, s_ANo, r_ANo, p_C, t_S) = {090101001131234567891591234567800109001 10109001001234500090101120000},移动支付业务消息m的接收装置为移动终端B,移动终
11端B属于基于CA的数字签名方法的系统。移动终端A为移动业务数据的发送装置,移动终 端B为移动业务数据的接收装置,移动支付业务消息m即为移动业务数据。其中,m_No = {090101001}为本次移动支付业务流水号,s_ID = {13123456789}为移动支付业务消息的 发送装置对应的发送方的身份,r—ID二 {15912345678}为移动支付业务消息的接收装置对 应的接收方的身份,s—ANo = {00109001}为移动支付业务消息的发送装置对应的发送方的 帐户,r_ANo = {10109001}为移动支付业务消息的接收装置对应的接收方的帐户,p_C = {001234500}为本次移动支付业务发生的交易金额,t_S = {090101120000}为本次移动支 付业务的时间戳。 移动终端A中采用基于身份的数字签名方法和自身存储的私钥对移动支付业务 消息m进行签名,生成第一签名Sl。在移动终端A首次进入基于身份的数字签名方法的系 统中时,由PKG生成移动终端A的私钥,并通过安全途径将移动终端A的私钥发送给移动终 端A,移动终端A需要用到私钥的时候,就无需再从PKG获取。 移动终端A中的判断模块根据移动支付业务消息m中接收装置对应的接收方的身 份,判断该移动支付业务消息m的接收装置属于基于CA的数字签名方法的系统,于是移动 终端A将移动支付业务消息m和第一签名SI发送给对接服务器。 对接服务器接收移动支付业务消息m和第一签名Sl,根据移动支付业务消息m的 发送装置对应的发送方的号码,即13123456789,计算移动终端A的公钥,通过计算出的公 钥,采用基于身份的密码机制对第一签名Sl进行验证。如果验证不通过,则对接服务器拒 绝本次移动支付业务消息m。如果验证通过,则对接服务器采用基于CA的数字签名方法和 对接服务器自身的私钥Kprl对移动业务支付消息m进行签名,生成第二签名S2。对接服务 器将第二签名S2和移动支付业务消息m发送给移动终端B。 移动终端B接收移动支付业务消息m和第二签名S2,移动终端B从CA中心获取对 接服务器的公钥Kplcl,根据对接服务器的公钥Kplcl,对第二签名S2进行验证。如果验证 通过,则移动终端B接受本次移动支付业务消息m,否则移动终端B拒绝本次移动支付业务 消息m。 私钥可以存储在移动终端的用户识别模块(subscriber IdentityModule,简称 SIM)卡中。 假设基于CA的数字签名方法的系统中的移动终端C的号码为23123456789,所 述移动终端C发送的移动支付业务消息为n, n(n_N0, s_ID, r_ID, s_ANo, r_ANo, p_C, t_
移动支付业务消息n的接收装置为移动终端D,移动终端D属于基于身份的数字签名方 法的系统。移动终端C为移动业务数据的发送装置,移动终端D为移动业务数据的接收 装置,移动支付业务消息n为移动业务数据。n_No= {090101001}为本次移动支付业务 流水号,s_ID= {25912345678}为移动支付业务消息的发送装置对应的发送方的身份, r_ID = {23123456789}为移动支付业务消息的接收装置对应的接收方的身份,s_ANo = {00109001}为移动支付业务消息的发送装置对应的发送方的帐户,r—ANo = {10109001}为 移动支付业务消息的接收装置对应的接收方的帐户,P_C= {001234500}为本次移动支付 业务发生的交易金额,t_S = {090101120000}为本次移动支付业务的时间戳。
移动终端C采用基于CA的数字签名方法和移动终端C自身的私钥对移动支付业务消息n进行签名,生成第三签名S3。 移动终端C根据移动支付业务消息n中接收装置对应的接收方的身份,判断该移 动支付业务消息n的接收装置属于基于身份的数字签名方法的系统,将移动支付业务消息 n和第三签名S3发送给对接服务器。 对接服务器接收移动支付业务消息n和第三签名S3,从CA中心获取移动支付业务 消息n的发送装置(即移动终端C)的公钥,通过获取到的公钥,采用基于CA的密码机制, 对第三签名S3进行验证。 如果验证不通过,则对接服务器拒绝本次移动支付业务消息n。如果验证通过,则 对接服务器采用基于身份的数字签名方法和对接服务器自身的私钥Kpr2对移动业务支付 消息n进行签名,生成第四签名S4。对接服务器将第四签名S4和移动支付业务消息n发送 给移动终端D。 移动终端D接收移动支付业务消息n和第四签名S4,根据对接服务器的身份计算 出对接服务器的公钥Kplc2,根据对接服务器的公钥Kplc2,对第四签名S4进行验证。如果 验证通过,则移动终端D接受本次移动支付业务消息n,否则移动终端D拒绝本次移动支付 业务消息n。 如图4所示为本发明对接服务器实施例一结构示意图,该对接服务器1包括第一 接收模块11、第一验证模块12、处理模块13和第一发送模块14。其中,第一接收模块11用 于接收移动业务数据和签名;第一验证模块12用于验证第一接收模块11接收到的签名; 处理模块13用于在第一验证模块12验证通过后,在第一接收模块11接收到的移动业务数 据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名的情况下,采用基 于CA的数字签名方法和自身的私钥对第一接收模块11接收到的移动业务数据签名,生成 新的签名;在第一接收模块11接收到的移动业务数据和签名为基于CA的数字签名方法的 系统发送的移动业务数据和签名的情况下,采用基于身份的数字签名方法和自身的私钥对 第一接收模块11接收到的移动业务数据签名,生成新的签名;第一发送模块14用于将第一 接收模块11接收到的移动业务数据和处理模块13生成的新的签名发送给移动业务数据的 接收装置。 如图5所述为本发明对接服务器实施例二的结构示意图,该实施例中,第一验证 模块12包括第一验证子模块121和第二验证子模块122。处理模块13包括第一处理子模 块131和第二处理子模块132。 第一验证子模块121与第一接收模块11连接,用于在第一接收模块11接收到的 移动业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名的情 况下,根据移动业务数据的发送装置对应的身份计算出所述移动业务数据的发送装置对应 的公钥,采用基于身份的密码机制验证签名;第二验证子模块122与第一接收模块11连接, 用于在第一接收模块11接收到的移动业务数据和签名为基于CA的数字签名方法的系统发 送的移动业务数据和签名的情况下,从CA获取移动业务数据的发送装置的公钥,利用移动 业务数据的发送装置的公钥,采用基于CA的密码机制验证签名。 第一处理子模块131与第一验证子模块121和第一接收模块11连接,用于所述验 证模块验证通过后,在第一接收模块11接收到的移动业务数据和签名为基于身份的数字 签名方法的系统发送的移动业务数据和签名的情况下,采用基于CA的数字签名方法和自身的私钥对第一接收模块11接收到的移动业务数据签名,生成新的签名;第二处理子模块 132与第二验证子模块122和第一接收模块11连接,用于验证模块验证通过后,在第一接收 模块11接收到的移动业务数据和签名为基于CA的数字签名方法的系统发送的移动业务数 据和签名的情况下,采用基于身份的数字签名方法和自身的私钥对所述第一接收模块接收 到的移动业务数据签名,生成新的签名。 图5所示的对接服务器中可以保存两套公私钥对,分别是基于身份的数字签名方 法中用到的公私钥和基于CA的数字签名方法中用到的公私钥,这样对接服务器就可以分 别处理来自基于身份的数字签名方法的系统发送过来的移动业务数据,也能够处理来自基 于CA的数字签名方法的系统发送过来的数据。 如图5所示的对接服务器还可以包括第一判断模块或者第二判断模块。其中第一
判断模块可以与第一接收模块和第一验证子模块连接,用于在第一接收模块接收到的移动
业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名的情况下,
判断第一接收模块接收到的移动业务数据的接收装置是否属于所述基于身份的数字签名
方法的系统,在第一接收模块接收到的移动业务数据的接收装置属于所述基于身份的数字
签名方法的系统的情况下,将第一接收模块接收到的移动业务数据发送给移动业务数据的
接收装置;在第一接收模块接收到的移动业务数据的接收装置属于基于CA的数字签名方
法的系统的情况下,将第一接收模块接收到的移动业务数据发送给第一验证模块。具体地,
可以将第一接收模块接收到的移动业务数据发送给第一验证模块中的第一验证子模块。 第二判断模块可以与第一接收模块和第二验证子模块连接,用于在第一接收模块
接收到的移动业务数据和签名为基于CA的数字签名方法的系统发送的移动业务数据和签
名的情况下,判断第一接收模块接收到的移动业务数据的接收装置是否属于所述基于CA
的数字签名方法的系统,在第一接收模块接收到的移动业务数据的接收装置属于基于CA
的数字签名方法的系统的情况下,将第一接收模块接收到的移动业务数据发送给移动业务
数据的接收装置;在第一接收模块接收到的移动业务数据的接收装置属于基于身份的数字
签名方法的系统的情况下,将第一接收模块接收到的移动业务数据发送给第一验证模块。
具体地,可以将第一接收模块接收到的移动业务数据发送给第一验证模块中的第二验证子模块。 如图6所示为本发明移动业务数据的接收装置实施例一的结构示意图,该移动业 务数据的接收装置2包括第二接收模块21、获取模块22和第二验证模块23。其中,第二接 收模块21用于接收对接服务器发送的移动业务数据和签名;获取模块22用于获取对接服 务器的公钥;第二验证模块23用于利用获取模块22获取的公钥验证第二接收模块21接收 到的签名。 其中,获取模块22具体可以用于根据对接服务器的身份计算出对接服务器的公 钥;或者用于从CA中心获取对接服务器的公钥。 如果如图6所示的移动业务数据的接收装置属于基于身份的数字签名方法的系 统,则获取模块22可以根据对接服务器的身份计算出对接服务器的公钥,从而使得第二验 证模块23利用对接服务器的公钥采用基于身份的密码机制对接收到的签名进行验证。如 果如图6所示的移动业务数据的接收装置属于基于CA的数字签名方法的系统,则获取模块 22可以从CA获取对接服务器的公钥,从而使得第二验证模块23利用对接服务器的公钥采
14用基于CA的密码机制对接收到的签名进行验证。 如图7所示为本发明移动业务数据的发送装置实施例一的结构示意图,该移动业 务数据的发送装置3包括签名模块31、第三判断模块33和第二发送模块32。其中,签名模 块31用于采用基于身份的数字签名方法生成移动业务数据的签名,或者采用基于CA的数 字签名方法生成移动业务数据的签名。第三判断模块33用于当签名模块31采用基于身份 的数字签名方法生成移动业务数据的签名时,判断移动业务数据的接收装置是否属于基于 身份的数字签名方法的系统;当签名模块31采用基于CA的数字签名方法生成移动业务数 据的签名时,判断移动业务数据的接收装置是否属于基于CA的数字签名方法的系统。第二 发送模块32用于在第三判断模块33的判断结果为否时,即例如当签名模块31采用基于身 份的数字签名方法生成移动业务数据的签名而移动业务数据的接收装置不属于基于身份 的数字签名方法的系统时,或者在当签名模块31采用基于CA的数字签名方法生成移动业 务数据的签名而移动业务数据的接收装置不属于基于CA的数字签名方法的系统时,发送 签名模块31生成的签名和移动业务数据给对接服务器。 如图8所示为本发明移动业务数据的发送装置实施例二的结构示意图,该实施例 中,签名模块31可以包括第一签名子模块311或者第二签名子模块312。其中,第一签名子 模块311可以用于采用基于身份的数字签名方法和预先存储的自身的私钥,生成移动业务 数据的签名。 第二签名子模块312可以用于采用基于CA的数字签名方法和预先生成的自身的 私钥生成移动业务数据的签名。 如图9所示为本发明移动交易业务实现系统实施例一的结构示意图,该系统包括 移动业务数据的发送装置3、对接服务器1和移动业务数据的接收装置2,对接服务器1分 别与移动业务数据的发送装置3和移动业务数据的接收装置2连接。移动业务数据的发送 装置3用于对移动业务数据签名,并发送移动业务数据和签名;对接服务器1用于接收移动 业务数据的发送装置3发送的移动业务数据和签名,对签名验证,验证通过后,如果签名是 基于身份的数字签名方法进行的签名,采用基于CA的数字签名方法对移动业务数据生成 新的签名,如果签名是基于CA的数字签名方法进行的签名,采用基于身份的数字签名方法 对移动业务数据生成新的签名,并发送移动业务数据和新的签名;移动业务数据的接收装 置2用于接收对接服务器1发送的移动业务数据和新的签名,采用对接服务器的公钥,验证 新的签名。 如图IO所示为本发明移动交易业务实现系统实施例二的结构示意图,该系统中,
第二发送模块32与第一接收模块11连接,第一发送模块14与第二接收模块21连接。该
系统中各模块的功能与前文所述各实施例中相应的模块的功能相同,此处不再赘述。 如图IO所示的系统,通过对接服务器将分别属于采用不同的数字签名方法的系
统中的装置连接起来,使得基于身份的数字签名方法的移动交易业务系统与基于CA的数
字签名方法的移动交易业务系统相互兼容,避免形成移动交易业务开展的孤岛。 本发明各实施例中,身份可以是移动业务数据的发送装置对应的发送方的个人信
息,例如,姓名、地址、电子邮箱、手机号码等,也可以是计算机信息,例如IP地址等。 最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进行限制,
尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修 改后的技术方案脱离本发明技术方案的精神和范围。
权利要求
一种移动交易业务实现方法,其特征在于,包括接收移动业务数据和签名;验证所述签名;如果所述移动业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名,则验证通过后,采用基于认证中心CA的数字签名方法和自身的私钥对所述移动业务数据签名,生成新的签名;或者,如果所述移动业务数据和签名为基于CA的数字签名方法的系统发送的移动业务数据和签名,则验证通过后,采用基于身份的数字签名方法和自身的私钥对所述移动业务数据签名,生成新的签名;发送所述移动业务数据和所述新的签名给所述移动业务数据的接收装置。
2. 根据权利要求l所述的方法,其特征在于,所述采用基于CA的数字签名方法和自身的私钥对所述移动业务数据签名,生成新的 签名,包括采用基于CA的数字签名方法和自身生成的私钥对所述移动业务数据签名,生 成新的签名;所述采用基于身份的数字签名方法和自身的私钥对所述移动业务数据签名,生成新的 签名,包括采用基于身份的数字签名方法和接收自私钥生成中心的私钥对所述移动业务 数据签名,生成新的签名。
3. 根据权利要求1或2所述的方法,其特征在于,验证所述签名包括如果所述移动业 务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名,则根据所述 移动业务数据的发送装置对应的身份计算出所述移动业务数据的发送装置对应的公钥,采 用基于身份的密码机制验证所述签名;或者,如果所述移动业务数据和签名为基于CA的数字签名方法的系统发送的移动业务数据 和签名,则从CA获取所述移动业务数据的发送装置的公钥,利用所述移动业务数据的发送 装置的公钥,采用基于CA的密码机制验证所述签名。
4. 一种移动交易业务实现方法,其特征在于,包括 接收对接服务器发送的移动业务数据和签名; 获取所述对接服务器的公钥; 利用所述公钥验证所述签名。
5. 根据权利要求4所述的方法,其特征在于,如果所述签名是按照基于身份的的数字签名方法进行的签名,则所述获取所述对接服 务器的公钥具体包括根据所述对接服务器的身份计算出所述对接服务器的公钥;如果所述签名是按照基于认证中心CA的数字签名方法进行的签名,则所述获取所述 对接服务器的公钥具体包括从CA获取所述对接服务器的公钥。
6. —种移动交易业务实现方法,其特征在于,包括若移动业务数据的发送装置属于基于身份的数字签名方法的系统,而所述移动业务数 据的接收装置数据基于认证中心CA的数字签名方法的系统,则采用基于身份的数字签名 方法生成所述移动业务数据的签名,发送所述移动业务数据和签名给对接服务器,使得所 述对接服务器对所述移动业务数据的签名验证通过后,采用基于CA的数字签名方法和自 身的私钥对所述移动业务数据签名,生成新的签名;或者,若移动业务数据的发送装置属于基于CA的数字签名方法的系统,而所述移动业务数据的接收装置数据基于身份的数字签名方法的系统,则采用基于CA的数字签名方法生成 所述移动业务数据的签名,发送所述移动业务数据和签名给对接服务器,使得所述对接服 务器对所述移动业务数据的签名验证通过后,采用基于身份的数字签名方法和自身的私钥 对所述移动业务数据签名,生成新的签名。
7. —种对接服务器,其特征在于,包括 第一接收模块,用于接收移动业务数据和签名; 第一验证模块,用于验证所述第一接收模块接收到的签名;处理模块,用于在所述第一验证模块验证通过后,在所述第一接收模块接收到的移动 业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名的情况下, 采用基于认证中心CA的数字签名方法和自身的私钥对所述第一接收模块接收到的移动业 务数据签名,生成新的签名;在所述第一接收模块接收到的移动业务数据和签名为基于CA 的数字签名方法的系统发送的移动业务数据和签名的情况下,采用基于身份的数字签名方 法和自身的私钥对所述第一接收模块接收到的移动业务数据签名,生成新的签名;第一发送模块,用于将所述第一接收模块接收到的移动业务数据和所述处理模块生成 的新的签名发送给所述移动业务数据的接收装置。
8. 根据权利要求7所述的对接服务器,其特征在于,所述第一验证模块包括 第一验证子模块,用于在所述第一接收模块接收到的移动业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名的情况下,根据所述移动业务数据的发 送装置对应的身份计算出所述移动业务数据的发送装置对应的公钥,采用基于身份的密码 机制验证所述签名;第二验证子模块,用于在所述第一接收模块接收到的移动业务数据和签名为基于CA 的数字签名方法的系统发送的移动业务数据和签名的情况下,从CA获取所述移动业务数 据的发送装置的公钥,利用所述移动业务数据的发送装置的公钥,采用基于CA的密码机制 验证所述签名。
9. 根据权利要求8所述的对接服务器,其特征在于,所述处理模块包括 第一处理子模块,用于在所述验证模块验证通过后,在所述第一接收模块接收到的移动业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名的情况 下,采用基于CA的数字签名方法和自身的私钥对所述第一接收模块接收到的移动业务数 据签名,生成新的签名;第二处理子模块,用于在所述验证模块验证通过后,在所述第一接收模块接收到的移 动业务数据和签名为基于CA的数字签名方法的系统发送的移动业务数据和签名的情况 下,采用基于身份的数字签名方法和自身的私钥对所述第一接收模块接收到的移动业务数 据签名,生成新的签名。
10. 根据权利要求7至9中任一权利要求所述的对接服务器,其特征在于,还包括 第一判断模块,用于在所述第一接收模块接收到的移动业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名的情况下,判断所述第一接收模块接收到 的移动业务数据的接收装置是否属于所述基于身份的数字签名方法的系统,在所述第一接 收模块接收到的移动业务数据的接收装置属于所述基于身份的数字签名方法的系统的情 况下,将所述第一接收模块接收到的移动业务数据发送给所述移动业务数据的接收装置;在所述第一接收模块接收到的移动业务数据的接收装置属于基于CA的数字签名方法的系 统的情况下,将所述第一接收模块接收到的移动业务数据发送给所述第一验证模块;或者第二判断模块,用于在所述第一接收模块接收到的移动业务数据和签名为基于CA的 数字签名方法的系统发送的移动业务数据和签名的情况下,判断所述第一接收模块接收到 的移动业务数据的接收装置是否属于所述基于CA的数字签名方法的系统,在所述第一接 收模块接收到的移动业务数据的接收装置属于所述基于CA的数字签名方法的系统的情况 下,将所述第一接收模块接收到的移动业务数据发送给所述移动业务数据的接收装置;在 所述第一接收模块接收到的移动业务数据的接收装置属于基于身份的数字签名方法的系 统的情况下,将所述第一接收模块接收到的移动业务数据发送给所述第一验证模块。
11. 一种移动业务数据的接收装置,其特征在于,包括 第二接收模块,用于接收对接服务器发送的移动业务数据和签名; 获取模块,用于获取所述对接服务器的公钥;第二验证模块,用于利用所述获取模块获取的公钥验证所述第二接收模块接收到的签名。
12. 根据权利要求11所述的装置,其特征在于,所述获取模块具体用于根据所述对接 服务器的身份计算出所述对接服务器的公钥;或者用于从认证中心CA获取所述对接服务 器的公钥。
13. —种移动业务数据的发送装置,其特征在于,包括签名模块,用于采用基于身份的数字签名方法生成移动业务数据的签名;或者,采用基 于认证中心CA的数字签名方法生成移动业务数据的签名;第三判断模块,用于当所述签名模块采用基于身份的数字签名方法生成移动业务数据 的签名时,判断移动业务数据的接收装置是否属于基于身份的数字签名方法的系统;当所 述签名模块采用基于CA的数字签名方法生成移动业务数据的签名时,判断移动业务数据 的接收装置是否属于基于CA的数字签名方法的系统;第二发送模块,用于在所述第三判断模块的判断结果为否时,发送所述签名模块生成 的签名和移动业务数据给对接服务器。
14. 根据权利要求13所述的装置,其特征在于,所述签名模块包括 第一签名子模块,采用基于身份的数字签名方法和预先存储的自身的私钥,生成所述移动业务数据的签名;或者第二签名子模块,用于采用基于认证中心CA的数字签名方法和预先生成的自身的私 钥生成所述移动业务数据的签名。
15. —种移动交易业务实现系统,其特征在于,包括移动业务数据的发送装置,用于对移动业务数据签名,并发送所述移动业务数据和签名;对接服务器,用于接收所述移动业务数据的发送装置发送的移动业务数据和签名,对 所述签名验证,验证通过后,如果所述签名是基于身份的数字签名方法进行的签名,采用基 于认证中心CA的数字签名方法对所述移动业务数据生成新的签名,如果所述签名是基于 CA的数字签名方法进行的签名,采用基于身份的数字签名方法对所述移动业务数据生成新 的签名,并发送所述移动业务数据和所述新的签名;移动业务数据的接收装置,用于接收所述对接服务器发送的移动业务数据和所述新的签名,采用所述对接服务器的公钥,验证所 述新的签名。
16.根据权利要求15所述的系统,其特征在于,所述移动业务数据的发送装置为如权 利要求13或14所述的移动业务数据的发送装置,所述对接服务器为如权利要求7-10中任 一权利要求所述的对接服务器,所述移动业务数据接收装置为如权利要求11或12所述的 移动业务数据的接收装置。
全文摘要
本发明公开了一种移动交易业务实现方法、装置及系统,方法包括接收移动业务数据和签名;如果移动业务数据和签名为基于身份的数字签名方法的系统发送的移动业务数据和签名,则验证通过后,采用基于CA的数字签名方法和自身的私钥对移动业务数据签名,生成新的签名;或者如果移动业务数据和签名为基于CA的数字签名方法的系统发送的移动业务数据和签名,则验证通过后,采用基于身份的数字签名方法和自身的私钥对移动业务数据签名,生成新的签名;发送移动业务数据和新的签名给移动业务数据的接收装置。本发明实施例提供的方法、装置及系统,实现了基于身份的数字签名方法的系统和基于CA的数字签名方法的系统能够进行移动业务数据的传输。
文档编号H04W12/04GK101702803SQ20091020916
公开日2010年5月5日 申请日期2009年10月28日 优先权日2009年10月28日
发明者王茂才, 罗耀平, 胡汉平, 陈国乔 申请人:深圳华为通信技术有限公司;华中科技大学