一种数据安全签名方法、业务终端以及私钥备份服务器与流程

文档序号:12182747阅读:313来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种数据安全签名方法、业务终端以及私钥备份服务器与流程

本发明涉及互联网技术领域,尤其涉及一种数据安全签名方法、业务终端以及私钥备份服务器。



背景技术:

随着我国电子商务的广泛应用,人们使用的支付方式早己不局限于现金本身,而扩大到银行卡、网上银行、电话银行等多种方式。目前,随着我国移动电话的广泛使用,基于移动终端的应用愈加广泛,在这种移动通讯工具上应运而生产生了更便利的移动支付功能,人们可以利用手机登录互联网进行远程购物消费,可以在便利店、商场、超市等进行现场刷卡消费。

显然,作为一种新兴的电子支付方式,移动支付拥有传统支付方式无法比拟的优势。目前,移动支付已经走进了我们的生活,使我们的生活更加方便。

目前保证移动支付安全的技术之一,是将用户的私钥存在用户手机SIM(Subscriber Identity Module,客户识别模块)卡中,由于SIM卡的私密性确保了用户私钥的安全,在发起业务时,用户将业务数据下载到SIM卡,在卡内进行签名过程,将经过签名的业务数据通过网络发送给业务服务器进行业务处理。

该方式所带来的缺陷在于,由于私钥只存在用户手机SIM卡中,业务只能由该手机发起,用户无法用其他设备(比如个人电脑、平板电脑)来完成业务数据签名。



技术实现要素:

有鉴于此,本发明实施例提供一种数据安全签名方法、业务终端以及私钥备份服务器,可在保证用户业务安全的同时,让用户可以方便灵活的用其他设备也能完成业务数据签名。

本发明实施例第一方面提供了一种数据安全签名方法,所述方法包括:

第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;

所述第一终端接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;

所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;

所述第一终端使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。

在第一方面的第一种可能的实现方式中,所述第一终端接收所述私钥备份服务器发送的所述私钥备份文件之前,所述方法还包括:

所述第一终端接收所述私钥备份服务器发送的身份认证请求;

所述第一终端根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。

在第一方面的第二种可能的实现方式中,所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密之前,所述方法还包括:

所述第一终端获取所述用户的解密信息;

所述第一终端对所述解密信息进行哈希运算,得到所述用户的密钥。

结合本发明第一方面,以及第一方面的第一和第二种实现方式中任一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件;

所述第一终端接收所述私钥备份服务器发送的所述私钥备份文件之后还包括:

所述第一终端根据所述使用限制信息,检测所述私钥备份文件;

若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。

结合本发明第一方面,以及第一方面的第一和第二种实现方式中任一种可能的实现方式,在第一方面的第四种可能的实现方式中,所述第一终端接收所述私钥备份服务器发送的所述私钥备份文件之后,所述方法还包括:

若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件。

结合本发明第一方面,以及第一方面的第一和第二种实现方式中任一种可 能的实现方式,在第一方面的第五种可能的实现方式中,所述私钥请求还携带所述用户对应的业务进程标识;所述私钥备份文件为所述业务进程标识对应的所述用户的私钥备份文件。

本发明实施例第二方面还提供了一种数据安全签名方法,所述方法包括:

接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;

根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;

向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。

在第二方面的第一种可能的实现方式中,所述接收第一终端发送的私钥请求之前还包括:

接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件;

保存所述私钥备份文件和所述用户的身份标识信息。

结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述私钥备份文件包括使用所述用户的密钥加密的私钥文件。

结合本发明第二方面,以及第二方面的第一和第二种实现方式中任一种可能的实现方式,在第二方面的第三种可能的实现方式中,所述向所述第一终端发送所述私钥备份文件之前,所述方法还包括:

向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息;

所述向所述第一终端发送所述私钥备份文件包括:

若所述身份认证信息与预设的所述用户的身份验证信息匹配,则向所述第一终端发送所述用户的私钥备份文件。

结合本发明第二方面,以及第二方面的第一和第二种实现方式中任一种可能的实现方式,在第二方面的第四种可能的实现方式中,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。

结合本发明第二方面,以及第二方面的第一和第二种实现方式中任一种可 能的实现方式,在第二方面的第五种可能的实现方式中,所述向所述第一终端发送所述私钥备份文件包括:

若所述私钥备份文件的下载次数或下载频率未达到预设限制条件,则向所述第一终端发送所述私钥备份文件。

结合本发明第二方面的第一种可能的实现方式,在第二方面的第六种可能的实现方式中,所述私钥备份请求还携带所述用户对应的业务进程标识;

所述保存所述私钥备份文件和所述用户的身份标识信息包括:

将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存;

所述私钥请求还携带所述用户对应的业务进程标识;

所述根据所述用户的身份标识信息,获取私钥备份文件包括:

根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件。

本发明实施例第三方面还提供了一种数据安全签名方法,所述方法包括:

第二终端使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件;

所述第二终端向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。

在第三方面的第一种可能的实现方式中,所述第二终端使用用户的密钥对私钥备份文件进行加密之前还包括:

所述第二终端获取所述用户的加密信息;

所述第二终端对所述加密信息进行哈希运算,得到所述用户的密钥。

在第三方面的第二种可能的实现方式中,所述第二终端使用用户的密钥对私钥备份文件进行加密之前还包括:

所述第二终端根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。

结合第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所 述私钥备份请求还携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。

结合第三方面的第二种可能的实现方式,在第四种可能的实现方式中,所述第二终端根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件包括:

所述第二终端对所述业务进程标识或所述密钥进行哈希运算得到哈希值;

将所述哈希值与所述私钥文件的数量进行取模运算,并根据所述取模运算的结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。

本发明实施例第四方面还提供了一种业务终端,其特征在于,所述业务终端包括:

私钥请求发送模块,用于向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;

私钥接收模块,用于接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;

私钥解密模块,用于使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;

数字签名模块,用于使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。

在第四方面的第一种可能的实现方式中,所述业务终端还包括:

认证请求获取模块,用于接收所述私钥备份服务器发送的身份认证请求;

认证信息发送模块,用于根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。

在第四方面的第二种可能的实现方式中,所述业务终端还包括:

解密信息获取模块,用于获取所述用户的解密信息;

密钥获取模块,用于对所述解密信息进行哈希运算,得到所述用户的密钥。

结合本发明第四方面,以及第四方面的第一、第二以及第三种实现方式中任一种可能的实现方式,在第四方面的第四种可能的实现方式中,

所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私 钥备份文件的限制条件;

所述业务终端还包括:

私钥删除模块,用于根据所述使用限制信息,检测所述私钥备份文件,在检测到所述私钥备份文件满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。

结合本发明第四方面,以及第四方面的第一、第二以及第三种实现方式中任一种可能的实现方式,在第四方面的第五种可能的实现方式中,所述业务终端还包括:

私钥删除模块,用于在检测到发生所述私钥备份文件的复制操作时,删除所述私钥备份文件。

结合本发明第四方面,以及第四方面的第一、第二以及第三种实现方式中任一种可能的实现方式,在第四方面的第六种可能的实现方式中,所述私钥请求还携带所述用户对应的业务进程标识;所述私钥备份文件为所述业务进程标识对应的所述用户的私钥备份文件。

本发明实施例第五方面还提供了一种私钥备份服务器,所述私钥备份服务器包括:

私钥请求接收模块,用于接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;

私钥获取模块,用于根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;

私钥发送模块,用于向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。

在第五方面的第一种可能的实现方式中,所述私钥备份服务器还包括:

备份请求获取模块,用于接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件;

私钥备份模块,用于保存所述私钥备份文件和所述用户的身份标识信息。

结合第五方面的第一种可能的实现方式,在第五方面第二种可能的实现方式中,所述私钥备份文件包括使用所述用户的密钥加密的私钥文件。

结合第五方面,以及第五方面的第一和第二种可能的实现方式中任一种可 能的实现方式,在第五方面的第三种可能的实现方式中,所述私钥备份服务器还包括:

认证信息获取模块,用于向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息;

身份认证模块,用于判断所述身份认证信息是否与预设的所述用户的身份验证信息匹配,并在确认所述身份认证信息与预设的所述用户的身份验证信息匹配时,通知所述私钥发送模块向所述第一终端发送所述用户的私钥备份文件。

结合第五方面,以及第五方面的第一和第二种可能的实现方式中任一种可能的实现方式,在第五方面的第三种可能的实现方式中,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。

结合第五方面,以及第五方面的第一和第二种可能的实现方式中任一种可能的实现方式,在第五方面的第四种可能的实现方式中,所述私钥发送模块包括:

下载次数限制单元,用于检测所述私钥备份文件的下载次数或下载频率是否达到预设限制条件;

私钥发送单元,用于在所述私钥备份文件的下载次数或下载频率未达到预设限制条件时,向所述第一终端发送所述私钥备份文件。

结合第五方面第一种可能的实现方式,在第五方面第五种可能的实现方式中,所述私钥备份请求还携带所述用户对应的业务进程标识;

所述私钥备份模块用于:

将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存;

所述私钥请求还携带所述用户对应的业务进程标识;

所述私钥获取模块用于:

根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件。

本发明实施例第六方面还提供了一种业务终端,所述业务终端包括:

备份文件加密模块,用于使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件;

私钥备份请求模块,用于向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。

在第六方面的第一种可能的实现方式中,所述业务终端还包括:

加密信息获取模块,用于获取获取所述用户的加密信息;

密钥获取模块,用于对所述加密信息进行哈希运算,得到所述用户的密钥。

在第六方面的第二种可能的实现方式中,所述业务终端还包括:

备份私钥选定模块,用于根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。

结合第六方面第二种可能的实现方式,在第六方面的第三种可能的实现方式中,所述私钥备份请求还携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。

结合第六方面第二种或第三种可能的实现方式,在第六方面的第四种可能的实现方式中,所述备份私钥选定模块用于:

对所述业务进程标识或所述密钥进行哈希运算得到哈希值,将所述哈希值与所述私钥文件的数量进行取模运算,并根据所述取模运算的结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。

本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥进完成业务数据签名。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1是本发明实施例中的一种数据安全签名方法的流程示意图;

图2是本发明另一实施例中的数据安全签名方法的流程示意图;

图3是本发明又一实施例中的数据安全签名方法的流程示意图;

图4是本发明又一实施例中的数据安全签名方法的流程示意图;

图5是本发明又一实施例中的数据安全签名方法的流程示意图;

图6是本发明实施例中的一种业务终端的结构示意图;

图7是本发明另一实施例中的业务终端的结构示意图;

图8是本发明实施例中的一种私钥备份服务器的结构示意图;

图9是本发明另一实施例中的私钥备份服务器的结构示意图;

图10是本发明又一实施例中的业务终端的结构示意图;

图11是本发明另一实施例中的业务终端的结构示意图;

图12是本发明在可选实施例中的数据安全签名方法的实施场景示意图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

为了便于理解,可以参考图12为本发明在可选实施例中的数据安全签名方法的实施场景示意图,包括第一终端1201,第二终端1203以及私钥备份服务器1202,其中所述第二终端1203中可以存储有私钥文件,例如保存在内置的SIM卡中,该SIM卡具备存储私钥文件,并进行相应签名等运算能力的模块。第二终端1203可以为智能手机、平板电脑、电子阅读器或智能穿戴设备。进而在可选实施例中,所述第二终端1203可以预先生成多个私钥文件,并根据需要或使用场景选择其中的一个私钥文件上传至私钥备份服务器1202进行安全备份。本发明中的第一终端1201可以是预先没有保存私钥文件的终端设备,在可选实施例中可以是不含有SIM卡的设备,例如个人电脑或平板电脑,在可选实施例中第一终端1201也可以内置有存储有私钥文件的SIM卡,但是需要使用第二终端1203内置存储的私钥文件对用户的业务数据进行数字签名。私钥备份服务器1202为第一终端1201和第二终端1203均可以通过网络建立连接的后台服务器, 其提供私钥安全备份服务。本发明实施例中的业务可以为用户参与的任意网络业务,例如支付业务、交易业务、数据转移业务、资源管理业务等。本发明实施例中的提及的用户,可以为上述业务的参与对象,可以通过身份标识信息唯一标识所述用户,进而本发明实施例中的第一终端和第二终端可以为同一用户的身份,例如使用同一身份标识信息参与上述业务或执行本发明实施例中的数据安全签名流程。

在一种实施场景下,第二终端1203可以将其生成或存储的私钥文件使用用户的密钥进行加密后上传至私钥备份服务器1202,私钥备份服务器1202进行安全存储,然后第一终端1201使用相应的用户身份请求从私钥备份服务器1202下载该私钥文件,进而第一终端1201使用所述用户的密钥对下载到的私钥文件进行解密后,使用解密后的私钥文件对所述用户的业务数据进行数字签名,从而实现了第一终端1201使用第二终端1203的私钥文件进行业务数据签名。

在另一实施场景下,第二终端1203将其生成或存储的私钥文件使用用户的密钥进行加密后上传至私钥备份服务器1202,私钥备份服务器1202进行安全存储,然后第一终端1201使用相应的用户身份请求从私钥备份服务器1202下载该私钥,私钥备份服务器对第一终端1201的用户身份进行认证,若认证通过则允许其下载该私钥文件,进而第一终端1201使用所述用户的密钥对下载到的私钥文件进行解密后,使用解密后的私钥文件对所述用户的业务数据进行数字签名,从而实现了第一终端1201使用第二终端1203的私钥文件进行业务数据签名。

在可选实时场景中,私钥备份服务器1202可以对第二终端1203上传的私钥设定使用限制信息,使得第一终端1201下载该私钥后,会根据该使用限制信息在检测到满足该私钥的使用限制时,自动销毁该私钥,从而可以进一步增强私钥备份的安全性。

图1是本发明实施例中的一种数据安全签名方法的流程示意图,本实施例主要以第一终端的角度进行描述,如图所示本实施例中的数据安全签名方法可以包括:

S101,第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户。

具体的,所述用户的身份标识信息可以为第一终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。

可选的,所述私钥请求还可以携带所述用户对应的业务进程标识,所述业务进程标识用于标识所述用户的业务进程。本发明实施例中的所述用户的身份可以是对应于该业务进程的用户身份,例如该业务进程为支付app(应用程序,Application),所述业务进程标识即为该app的进程标识,例如qq或qq.exe;所述用户即为使用该支付app的用户身份,所述用户的身份标识信息即可以为该标识该用户身份的账号、用户名或账户信息等。在可选实施例中,所述用户可以对应多个业务进程,例如同一用户账号可以使用多个不同业务进程,第一终端可以根据需要请求私钥备份服务器发送其中某一个业务进程对应的私钥备份文件。

S102,所述第一终端接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的。

本发明实施例中,所述第一终端和第二终端使用相同的身份标识信息访问所述私钥备份服务器,所述第二终端预先对其自身生成或存储的私钥备份文件使用用户的密钥进行加密,并将经过加密的私钥备份文件上传至私钥备份服务器,私钥备份服务器可以将第二终端上传的私钥备份文件与第二终端的用户的身份标识信息对应保存,进而在接收到第一终端发送的私钥请求时,根据用户的身份标识信息查找对应的私钥备份文件。所述私钥备份文件包括预先生成的私钥文件,对应的公钥和数字证书可以由CA(Certificate Authority,数字证书认证中心)管理,待第一终端获取到该私钥备份文件并用以对业务数据进行签名后,可以将经过签名的业务数据交由对应的业务服务器使用对应的公钥进行签名认证。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥,例如所述用户的加密信息为“1234abc@#”,第二终端(在SIM内)对此加密信息做一个哈希运算(例如可以使用SHA-256、SHA-384或SHA-512哈希算法),得到一个结果作为所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。

在可选实施例中,第二终端在上传私钥备份文件时,还可以携带所述用户的业务进程标识,从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥备份服务器可以根据所述用户的身份标识信息和所述业务进程标识,获取对应的私钥备份文件,并将所述对应的私钥备份文件发送给第一终端,第一终端接收到的是所述业务进程标识对应所述用户的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。

在可选实施例中,私钥备份服务器在向第一终端返回私钥备份文件之前,还可以先对第一终端的身份进行认证,第一终端可以执行以下流程:

11)所述第一终端接收所述私钥备份服务器发送的身份认证请求。

所述身份认证请求要求第一终端发送用户的身份认证信息,可选的还可以包括随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。具体实现中,私钥备份服务器可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求。

12)所述第一终端根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。

具体的,私钥备份服务器可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器,若所述身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则私钥备份服务器确定第一 终端是所述身份标识信息对应的合法终端,可以根据其发送的私钥请求向其返回身份标识信息对应的私钥备份文件。所述身份认证信息与所述身份验证信息进行匹配,具体可以为将两者进行对比,完全一致或相似度满足预设阈值,则可以视为匹配。

另一方面,在可选实施例中,所述第一终端从私钥备份服务器接收到的私钥备份文件可以携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。该使用限制信息可以为私钥备份服务器设定的或所述第二终端在上传至私钥备份服务器之前设定的,使得从私钥备份服务器下载到该私钥备份文件的第一终端可以根据所述使用限制信息,检测所述私钥备份文件;若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,若到达设定的使用时间限制,则可以销毁或删除该私钥备份文件,从而保证所述私钥备份文件的时效性。在可选实施例中,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。

另一方面,在可选实施例中,所述私钥备份服务器可以设定所述私钥备份文件的下载次数限制或下载频率限制,并且记录所述私钥备份文件的被下载次数和时间,若已达到所述私钥备份文件的下载次数限制或下载频率限制,则可以拒绝第一终端发送的私钥请求,则第一终端将无法从私钥备份服务器获取到用户的私钥备份文件。仅当确定当前未达到所述私钥备份文件的下载次数限制或下载频率限制时,向第一终端返回所述私钥备份文件。所述下载次数限制可以为第二终端将私钥备份文件上传至私钥备份服务器后,私钥备份服务器允许其他终端下载该私钥备份文件的次数,例如为3次,若达到3次,则拒绝其他终端发送的下载该私钥备份文件的私钥请求,还可以提示用户使用拥有私钥的终端再次上传私钥备份文件;所述下载频率限制可以为私钥备份服务器允许其他终端在指定时间段内下载该私钥备份文件的次数,例如一天3次,若同一私钥备份文件在一天内已经被下载了三次,则私钥备份服务器会拒绝第一终端发送的请求该私钥备份文件的私钥请求。

S103,所述第一终端使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件。

若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为字符串,第一终端可以使用相同的字符串作为所述用户的密钥对所述私钥备份文件进行解密。若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为第二终端对获取到用户的加密信息进行哈希运算得到的,则第一终端可以通过获取所述用户的解密信息,进而对用户的解密信息进行哈希运算,所述哈希运算的算法与第二终端根据加密信息获取用户的密钥的算法相同,若所述解密信息与所述用户的加密信息内容一致,则同样可以得到所述用户的密钥,即可对所述私钥备份文件进行解密。该哈希算法和结果可以对用户是不可知的,从而进一步增强用户的密钥的私密性。

S104,所述第一终端使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。

所述用户的业务数据,可以为所述用户对应的业务进程处理得到的业务数据,例如所述用户为支付app的注册用户,所述业务数据即可以为所述支付app处理得到的支付业务数据。

本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名。

图2是本发明另一实施例中的数据安全签名方法的流程示意图,本实施例主要以私钥备份服务器的角度描述数据安全签名方法实施的流程,如图所示可以包括:

S201,接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户。

具体的,所述用户的身份标识信息可以为第一终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。

在可选实施例中,所述私钥请求还可以携带所述用户对应的业务进程标识,所述业务进程标识用于标识所述用户的业务进程,即所述用户的身份可以是对应于该业务进程的用户身份,例如该业务进程为支付app(应用程序,Application),所述业务进程标识即为该app的进程标识,例如qq或qq.exe;所述用户即为使用该支付app的用户身份,所述用户的身份标识信息即可以为该标识该用户身份的账号、用户名或账户信息等。在可选实施例中,所述用户可以对应多个业务进程,例如同一用户账号可以使用多个不同业务进程,第一终端可以根据需要请求私钥备份服务器发送其中某一个业务进程对应的私钥备份文件。

S202,根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的。

本发明实施例中,所述第二终端和第一终端使用相同的身份标识信息访问所述私钥备份服务器,所述第二终端预先对其自身生成或存储的私钥备份文件使用用户的密钥进行加密,并将经过加密的私钥备份文件上传至私钥备份服务器,私钥备份服务器可以将第二终端上传的私钥备份文件与第二终端的用户的身份标识信息对应保存,进而在接收到第一终端发送的私钥请求时,根据用户的身份标识信息查找对应的私钥备份文件。所述私钥备份文件可以包括第二终端使用用户的密钥加密的私钥文件。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,第二终端也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥,例如所述用户的加密信息为“1234abc@#”,第二终端(在SIM内)对此加密信息做一个哈希运算(例如可以使用SHA-256、SHA-384或SHA-512哈希算法),得到一个结果作为所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。

在可选实施例中,第二终端在上传私钥备份文件时,还可以携带所述用户的业务进程标识,从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥备份服务器可以根据所述用户的身份标识信息和所述业务进程标识, 获取对应的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。

S203,向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。

具体实现中,第一终端在接收到所述私钥备份文件后,可以使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件,从而使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。具体的,若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为字符串,第一终端可以使用相同的字符串作为所述用户的密钥对所述私钥备份文件进行解密。若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为第二终端对获取到用户的加密信息进行哈希运算得到的,则第一终端可以通过获取所述用户的解密信息,进而对用户的解密信息进行相同的哈希运算,若所述解密信息与所述用户的加密信息内容一致,则可以得到所述用户的密钥,即可对所述私钥备份文件进行解密。

在可选实施例中,私钥备份服务器在执行S201之前,还可以执行以下流程:

211)接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件。

在可选实施例中,所述私钥备份请求还可以携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。

212)保存所述私钥备份文件和所述用户的身份标识信息。

若所述私钥备份请求携带业务进程标识,则私钥备份服务器可以在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。

在可选实施例中,私钥备份服务器在执行S203之前还可以执行以下流程:

221)向所述第一终端发送身份认证请求。

所述身份认证请求要求第一终端发送用户的身份认证信息,可选的可以携带随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。具体实现中,私钥备份服务器可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后 即向其发送身份认证请求。

222)接收所述第一终端根据所述身份认证请求提交的身份认证信息。

第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器。

进而若所述身份认证信息与预设的所述用户的身份验证信息匹配,则私钥备份服务器可以执行S203向所述第一终端发送所述用户的私钥备份文件。

具体的,私钥备份服务器可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。若第一终端根据所述身份认证请求提交的身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则确定第一终端是所述身份标识信息对应的合法终端,从而可以根据其发送的私钥请求向其返回身份标识信息对应的私钥备份文件。所述身份认证信息与所述身份验证信息进行匹配,具体可以为将两者进行对比,完全一致或相似度满足预设阈值,则可以视为匹配。

另一方面,在可选实施例中,私钥备份服务器可以在保存所述私钥备份文件同时或之后,设定所述私钥备份文件的使用限制信息。该使用限制信息可以为私钥备份服务器主动设定的或所述第二终端在上传至私钥备份服务器之前设定或告知私钥备份服务器的。进而私钥备份服务器向所述第一终端返回的所述私钥备份文件会携带所述使用限制信息,使得所述第一终端在接收到所述私钥备份文件之后,根据所述使用限制信息,检测所述私钥备份文件,若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,若到达设定的使用时间限制,则可以销毁或删除该私钥备份文件,从而保证所述私钥备份文件的时效性。在可选实施例中,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备 份文件的不可复制性。

另一方面,在可选实施例中,所述私钥备份服务器可以设定所述私钥备份文件的限制条件,例如包括下载次数限制或下载频率限制,并且记录所述私钥备份文件的被下载次数和时间,若当前已达到所述私钥备份文件的下载次数限制或下载频率限制,则可以拒绝第一终端发送的私钥请求,仅当确定当前未达到所述私钥备份文件的下载次数限制或下载频率限制时,向第一终端返回所述私钥备份文件。所述下载次数限制可以为第二终端将私钥备份文件上传至私钥备份服务器后,私钥备份服务器允许其他终端下载该私钥备份文件的次数,例如为3次,若达到3次,则拒绝其他终端发送的下载该私钥备份文件的私钥请求,还可以提示用户使用拥有私钥的终端再次上传私钥备份文件;所述下载频率限制可以为私钥备份服务器允许其他终端在指定时间段内下载该私钥备份文件的次数,例如一天3次,若同一私钥备份文件在一天内已经被下载了三次,则私钥备份服务器会拒绝第一终端发送的下载该私钥备份文件的私钥请求。

本实施例中的私钥备份服务器可以保存用户通过第二终端提交的私钥备份文件,并根据用户通过第一终端发送的私钥请求将该私钥备份文件发送给第一终端,第一终端其使用用户的密钥对私钥备份文件进行解密从而可以使用用户的私钥文件对用户的业务数据进行签名,实现用户可以在多个不同的终端上使用同一终端存储的私钥进完成业务数据签名。

图3是本发明又一实施例中的数据安全签名方法的流程示意图,本实施例主要以第一终端、私钥备份服务器以及第二终端三侧进行描述数据安全签名方法的实施流程,如图所示可以包括:

S301,第二终端使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件。

本实施例中的密钥可以为第二终端的用户的加密信息,例如用户输入加密信息为“1234abc@#”,第二终端使用该密钥对私钥备份文件进行加密后,其他终端只有同样使用用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。在可选实施例中,第二终端可以保存所述用户的加密信息,从而不需要用户每次重新输入。

S302,第二终端向私钥备份服务器发送私钥备份请求,所述私钥备份请求 携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。

具体的,所述用户的身份标识信息可以为第二终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。

S303,私钥备份服务器将私钥备份文件和所述用户的身份标识信息对应保存。

S304,第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息。

S305,私钥备份服务器根据所述用户的身份标识信息,获取私钥备份文件。

本发明实施例中,所述第一终端和第二终端使用相同的身份标识信息访问所述私钥备份服务器,私钥备份服务器在接收到第一终端发送的私钥请求时,根据所述用户的身份标识信息查找对应的私钥备份文件,即找到S303与用户的身份标识信息对应保存的私钥备份文件。

S306,私钥备份服务器向第一终端返回私钥备份文件。

S307,第一终端使用所述用户的密钥对私钥备份文件进行解密。

本实施例中,第一终端的用户同样输入解密信息为“1234abc@#”作为密钥,从而可以对经过加密的私钥备份文件进行解密从而使用其中的私钥。

S308,第一终端使用解密后的私钥备份文件对所述用户的业务数据进行签名。

所述用户的业务数据,可以为所述用户对应的业务进程处理得到的业务数据,例如所述用户为支付app的注册用户,所述业务数据即可以为所述支付app处理得到的支付业务数据。所述第一终端在使用经过解密的私钥备份文件对业务数据进行签名后,可以将经过签名的业务数据发送至对应的业务服务器,从而完成对应的业务请求。

本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个 不同的终端上使用同一用户的私钥文件进完成业务数据签名。

图4是本发明又一实施例中的数据安全签名方法的流程示意图,本实施例主要以第一终端、私钥备份服务器以及第二终端三侧进行描述数据安全签名方法的实施流程,如图所示可以包括:

S401,所述第二终端获取用户的加密信息,对所述加密信息进行哈希运算,得到用户的密钥。

本实施例中,第二终端可以首先获取用户的加密信息,进而对用户的加密信息进行哈希运算从而得到所述用户的密钥,例如用户输入加密信息为“1234abc@#”,第二终端对此加密信息做一个哈希运算得到一个结果作为所述用户的的密钥。所述哈希运算的算法和结果可以对用户是不可知的,从而进一步增强用户的密钥的私密性。在可选实施例中,第二终端可以保存所述用户的加密信息,从而不需要用户每次重新输入。

S402,第二终端使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件。

在使用该用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥。

S403,第二终端向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。

S404,私钥备份服务器将私钥备份文件和所述用户的身份标识信息对应保存。

S405,私钥备份服务器设定私钥备份文件的使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件,包括使用次数限制或使用时间限制。

具体实现中,私钥备份服务器可以在将所述私钥备份文件和所述身份标识信息对应保存的同时或之后,设定所述私钥备份文件的使用限制信息。该使用限制信息可以为私钥备份服务器主动设定的或所述第二终端在上传至私钥备份服务器之前设定并告知私钥备份服务器的。

S406,第一终端向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息。

S407,私钥备份服务器向第一终端发送身份认证请求。

所述身份认证请求要求第一终端发送与所述身份标识信息对应的身份认证信息,可选的还可以包括随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。

在可选实施例中,私钥备份服务器可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求,即在S406之前执行S407-409,若成功通过认证则在接收到第一终端发送的私钥请求后向其返回所述私钥备份文件。

S408,第一终端向私钥备份服务器提交身份认证信息。

具体的,第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器。

S409,私钥备份服务器确认第一终端提交的所述身份认证信息与预设的所述用户的身份验证信息匹配。

具体的,具体的,私钥备份服务器可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。若第一终端根据所述身份认证请求提交的身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则确定第一终端是所述身份标识信息对应的合法终端

S410,私钥备份服务器根据所述用户的身份标识信息,获取私钥备份文件。

本发明实施例中,所述第一终端和第二终端使用相同的身份标识信息访问所述私钥备份服务器,私钥备份服务器在接收到第一终端发送的私钥请求时,根据所述用户的身份标识信息查找对应的私钥备份文件,即找到S404与用户的身份标识信息对应保存的私钥备份文件。

S411,私钥备份服务器向第一终端返回私钥备份文件,携带使用限制信息。

S412,第一终端获取用户的解密信息,并对解密信息进行哈希运算,得到所述用户的密钥。

本实施例中,第一终端的用户同样输入解密信息为“1234abc@#”,进而第一终端对用户的解密信息进行相同的哈希运算,得到的结果即可对所述私钥备份文件进行解密。在可选实施例中,第一终端可以保存所述用户的加密信息,或所述用户的密钥,从而不需要用户每次重新输入。

S413,第一终端使用所述用户的密钥对私钥备份文件进行解密密,获得解密后的私钥备份文件。

S414,第一终端使用所述解密后的私钥备份文件对所述用户的业务数据进行签名。

S415,第一终端根据所述使用限制信息,检测所述私钥备份文件,若检测到发生所述私钥备份文件的复制操作或满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。

具体实现中,所述第一终端在接收到所述私钥备份文件之后,根据所述私钥备份文件的使用限制信息,在检测到满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,如若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,如若到达设定的使用时间限制,则所述第一终端可以销毁或删除该私钥备份文件,从而可以保证所述私钥备份文件的时效性。另一方面,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。

本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名,同时获取到的私钥备份文件携带使用限制信息,可以进一步增强私钥文件的安全性。

图5是本发明又一实施例中的数据安全签名方法的流程示意图,本实施例 主要以第一终端、私钥备份服务器以及第二终端三侧进行描述数据安全签名方法的实施流程,如图所示可以包括:

S501,第二终端获取用户的加密信息,对所述加密信息进行哈希运算,得到所述用户的密钥。

具体可以参考前文实施例中的S401,本实施例中不再赘述。

S502,第二终端从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。

具体的,第二终端可以保存有至少两个私钥文件,并可以根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的多个私钥文件中确定一个私钥备份文件。具体可以包括:对所述业务进程标识(例如qq或qq.exe)或所述密钥(例如1234abc@#)进行哈希运算得到哈希值,并将得到的哈希值与所述私钥文件的数量进行取模运算,根据取模运算的结果从多个私钥文件中确定一个私钥备份文件,例如预先对所述多个私钥文件进行编号,所述取模运算的结果为5,即可将编号为5的私钥文件作为私钥备份文件。

进而在可选实施例中,为了提高私钥备份文件的安全性,第二终端可以每次向私钥备份服务器上传不同的私钥备份文件,例如根据预先对私钥文件进行的编号,每次选取下一编号的私钥文件作为私钥备份文件,或每次上传私钥备份文件后重新对多个私钥文件进行编号。

S503,第二终端使用用户的密钥对私钥备份文件进行加密。

S504,第二终端向私钥备份服务器发送私钥备份请求,携带所述用户的身份标识信息、用户对应的业务进程标识以及加密后的私钥备份文件。

S505,私钥备份服务器将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。

在本实施例中,私钥备份服务器可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,后续第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。

S506,私钥备份服务器设定私钥备份文件的使用限制信息,包括使用次数限制或使用时间限制。

具体实现中,私钥备份服务器可以在将所述私钥备份文件和所述身份标识信息对应保存的同时或之后,设定所述私钥备份文件的使用限制信息。该使用 限制信息可以为私钥备份服务器主动设定的或所述第二终端在上传至私钥备份服务器之前设定并告知私钥备份服务器的。

S507,第一终端向私钥备份服务器发送私钥请求,携带所述用户的身份标识信息和用户对应的业务进程标识。

S508,私钥备份服务器根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件;

S509,确定未达到所述私钥备份文件的下载次数限制或下载频率限制。

具体实现中,所述私钥备份服务器可以设定所述私钥备份文件的下载次数限制或下载频率限制,并且记录所述私钥备份文件的被下载次数,若当前已达到所述私钥备份文件的下载次数限制或下载频率限制,则可以拒绝第一终端发送的私钥请求,仅当确定当前未达到所述私钥备份文件的下载次数限制或下载频率限制时,向第一终端返回所述私钥备份文件。所述下载次数限制可以为第二终端将私钥备份文件上传至私钥备份服务器后,私钥备份服务器允许其他终端下载该私钥备份文件的次数,例如为3次,若达到3次,则拒绝其他终端发送的下载该私钥备份文件的私钥请求,还可以提示用户使用拥有私钥的终端再次上传私钥备份文件;所述下载频率限制可以为私钥备份服务器允许其他终端在指定时间段内下载该私钥备份文件的次数,例如一天3次,若同一私钥备份文件在一天内已经被下载了三次,则私钥备份服务器会拒绝其他终端发送的下载该私钥备份文件的私钥请求。

S510,私钥备份服务器向第一终端返回私钥备份文件,携带使用限制信息。

S511,第一终端获取用户的解密信息,并对用户的解密信息进行哈希运算,得到所述用户的密钥。

S512,第一终端使用所述用户的密钥对私钥备份文件进行解密。

S513,第一终端使用经过解密的私钥备份文件对用户的业务数据进行签名。

S514,第一终端检测到发生所述私钥备份文件的复制操作或满足所述私钥备份文件的使用限制时,删除所述私钥备份文件。

具体实现中,所述第一终端在接收到所述私钥备份文件之后,根据所述私钥备份文件的使用限制信息,在检测到满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,如若使用该私钥备份文件进行业务数据签名达到设定的使用次数限 制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,如若到达设定的使用时间限制,则所述第一终端可以销毁或删除该私钥备份文件,从而可以保证所述私钥备份文件的时效性。另一方面,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。

本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,私钥备份服务器判断当前未达到用户预先通过第二终端上传的私钥备份文件的下载次数限制或下载频率限制,则允许第一终端下载该私钥备份文件,第一终端使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名,同时下载到的私钥备份文件携带使用限制信息,可以进一步增强私钥文件的安全性。

图6是本发明实施例中的一种业务终端的结构示意图,本实施例中的业务终端可以为前文结合图1-5以及图12描述的第一终端,本实施例中的业务终端可以是预先没有保存私钥文件的终端设备,可选的可以是不含有SIM卡的设备,例如个人电脑或平板电脑,可选的本实施例中的业务终端可以内置有存储有私钥文件的SIM卡,但是需要使用第二终端1203内置存储的私钥文件进行业务数据签名。

如图6所述本实施例中的业务终端可以包括:

私钥请求发送模块610,用于向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户。

具体的,所述用户的身份标识信息可以为第一终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。

在可选实施例中,所述私钥请求还可以携带所述用户对应的业务进程标识,所述业务进程标识用于标识所述用户的业务进程,即所述用户的身份可以是对应于该业务进程的用户身份,例如该业务进程为支付app(应用程序,Application),所述业务进程标识即为该app的进程标识,例如qq或qq.exe;所述用户即为使用该支付app的用户身份,所述用户的身份标识信息即可以为该 标识该用户身份的账号、用户名或账户信息等。

私钥接收模块620,用于接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的。

本发明实施例中,所述第一终端和第二终端使用相同的身份标识信息访问所述私钥备份服务器,所述第二终端预先对其自身生成或存储的私钥备份文件使用用户的密钥进行加密,并将经过加密的私钥备份文件上传至私钥备份服务器,私钥备份服务器可以将第二终端上传的私钥备份文件与第二终端的用户的身份标识信息对应保存,进而在接收到第一终端发送的私钥请求时,根据用户的身份标识信息查找对应的私钥备份文件。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥,例如所述用户的加密信息为“1234abc@#”,第二终端(在SIM内)对此加密信息做一个哈希运算(例如可以使用SHA-256、SHA-384或SHA-512哈希算法),得到一个结果作为所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。

在可选实施例中,第二终端在上传私钥备份文件时,还可以携带所述用户的业务进程标识,从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥备份服务器可以根据所述用户的身份标识信息和所述业务进程标识,获取对应的私钥备份文件,并将所述对应的私钥备份文件发送给第一终端,私钥接收模块620接收到的是所述业务进程标识对应所述用户的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。

私钥解密模块630,用于使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件。

具体实现中,若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为字符串,私钥解密模块630可以使用相同的字符串作为所述用户的 密钥对所述私钥备份文件进行解密。若所述第二终端用以对所述私钥备份文件进行加密的所述用户的密钥为第二终端对获取到用户的加密信息进行哈希运算得到的,则私钥解密模块630可以通过获取所述用户的解密信息,进而对用户的解密信息进行相同的哈希运算,若所述解密信息与所述用户的加密信息内容一致,则可以得到所述用户的密钥,即可对所述私钥备份文件进行解密。

数字签名模块640,用于使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。

所述用户的业务数据,可以为所述用户对应的业务进程处理得到的业务数据,例如所述用户为支付app的注册用户,所述业务数据即可以为所述支付app处理得到的支付业务数据。

可选的,本实施例中的业务终端进一步还可以包括:

认证请求获取模块650,用于接收所述私钥备份服务器发送的身份认证请求。

即私钥备份服务器在向第一终端返回私钥备份文件之前,还可以先对第一终端的身份进行认证,认证请求获取模块650接收所述私钥备份服务器发送的身份认证请求,所述身份认证请求要求第一终端发送用户的身份认证信息,可选的还可以包括随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。具体实现中,私钥备份服务器可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求,若成功通过认证则在接收到第一终端发送的私钥请求后向其返回所述私钥备份文件。

认证信息发送模块660,用于根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。

具体的,私钥备份服务器可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机 验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器,若所述身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则私钥备份服务器确定第一终端是所述身份标识信息对应的合法终端,可以根据其发送的私钥请求向其返回身份标识信息对应的私钥备份文件。所述身份认证信息与所述身份验证信息进行匹配,具体可以为将两者进行对比,完全一致或相似度满足预设阈值,则可以视为匹配。

进一步可选的,本实施例中的业务终端进一步还可以包括:

解密信息输入模块670,用于获取所述用户的解密信息;

密钥获取模块680,用于对所述解密信息进行哈希运算,得到所述用户的密钥。所述哈希运算的算法与第二终端根据加密信息获取用户的密钥的算法相同,若所述解密信息与所述用户的加密信息内容一致,则同样可以得到所述用户的密钥,即可对所述私钥备份文件进行解密。该哈希算法和结果可以对用户是不可知的,从而进一步增强用户的密钥的私密性。

进一步可选的,私钥接收模块620接收到的所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件,所述使用限制信息包括使用次数限制或使用时间限制。

具体实现中,该使用限制信息可以为私钥备份服务器设定的或所述第二终端在上传至私钥备份服务器之前设定的,使得从私钥备份服务器下载到该私钥备份文件的终端根据所述使用限制信息在满足对应的使用限制时,自动删除所述私钥备份文件。

进而所述业务终端还包括:

私钥删除模块690,用于根据所述使用限制信息,检测所述私钥备份文件,在检测到所述私钥备份文件满足所述使用限制信息指示的限制条件时,删除所述私钥备份文件。

所述使用限制信息可以包括使用次数限制或使用时间限制,若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则私钥删除模块690可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,若到达设定的使用时间限制,则私钥删除模块690可以自动销毁或删除该私钥备份文件,从而可以保证所述私钥备份文件的时效性。

在可选实施例中,私钥删除模块690用于在检测到发生所述私钥备份文件的复制操作时,删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。

本发明实施例中的第一终端通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名。

图7是本发明另一实施例中的业务终端的结构示意图,如图7所示本实施例中的业务终端700可以包括:至少一个处理器701,例如CPU,至少一个网络接口704,用户接口703,存储器705,至少一个通信总线702。其中,通信总线702用于实现这些组件之间的连接通信。其中,用户接口703可以包括显示屏(Display)、键盘(Keyboard)、鼠标或触控屏等,可以为标准的有线接口、无线接口。网络接口704可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器705可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器705可选的还可以是至少一个位于远离前述处理器701的存储装置。如图7所示,作为一种计算机存储介质的存储器705中可以存储有程序代码,而处理器701可以用于调用存储器705中存储的程序代码,并执行以下操作:

通过网络接口704向私钥备份服务器发送私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;

通过网络接口704接收所述私钥备份服务器发送的私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;

使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件;

使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。

优选的,在通过网络接口704接收所述私钥备份服务器返回的所述私钥备份文件之前,业务终端的处理器701还可以用于调用存储器705中存储的程序 代码,执行以下操作:

通过网络接口704接收所述私钥备份服务器发送的身份认证请求;

通过网络接口704根据所述身份认证请求,向所述私钥备份服务器提交身份认证信息,所述身份认证信息用于与所述私钥备份服务器中预设的所述用户的身份验证信息进行匹配。

优选的,在使用相同密钥对所述私钥备份文件进行解密之前,业务终端的处理器701还可以用于调用存储器705中存储的程序代码,执行以下操作:

获取用户的解密信息;

对所述解密信息进行哈希运算,得到所述用户的密钥。

优选的,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件;

在接收到所述私钥备份服务器返回的所述私钥备份文件之后,业务终端的处理器701还可以用于调用存储器705中存储的程序代码,执行:

根据所述使用限制信息,检测所述私钥备份文件;

若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。

需要指出的是,本实施例中的业务终端700可以是预先没有保存私钥文件的终端设备,可选的可以是不含有SIM卡的设备,例如个人电脑或平板电脑,可选的本实施例中的业务终端700也可以内置有存储有私钥文件的SIM卡,但是需要使用第二终端1203内置存储的私钥文件进行业务数据签名。

本实施例中的业务终端700通过向私钥备份文件服务器发送私钥请求,从私钥备份服务器接收用户预先通过第二终端上传的私钥备份文件,并使用用户的密钥对私钥备份文件进行解密,从而能够使用用户的私钥文件对用户的业务数据进行签名,可在保证用户业务安全的同时,让用户可以方便灵活的在多个不同的终端上使用同一用户的私钥文件进完成业务数据签名。

图8是本发明实施例中的一种私钥备份服务器的结构示意图,如图所示本发明实施例中的私钥备份服务器可以包括:

私钥请求接收模块810,用于接收第一终端发送的私钥请求,所述私钥请求携带所述用户的身份标识信息。

具体的,所述用户的身份标识信息可以为第一终端访问所述私钥备份服务器所使用的身份标识,例如登录帐号、用户名或业务进程的账户信息等可以唯一标识用户的信息。

在可选实施例中,所述私钥请求还可以携带所述用户对应的业务进程标识,所述业务进程标识用于标识所述用户的业务进程,即所述用户的身份可以是对应于该业务进程的用户身份,例如该业务进程为支付app(应用程序,Application),所述业务进程标识即为该app的进程标识,例如qq或qq.exe;所述用户即为使用该支付app的用户身份,所述用户的身份标识信息即可以为该标识该用户身份的账号、用户名或账户信息等。

私钥获取模块820,用于根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的。

本发明实施例中,所述第二终端和第一终端使用相同的身份标识信息访问所述私钥备份服务器,所述第二终端预先对其自身生成或存储的私钥备份文件使用用户的密钥进行加密,并将经过加密的私钥备份文件上传至私钥备份服务器,私钥备份服务器可以将第二终端上传的私钥备份文件与第二终端的用户的身份标识信息对应保存。从而在接收到第一终端发送的私钥请求时,私钥获取模块820可以根据用户的身份标识信息查找对应的私钥备份文件。所述私钥备份文件可以包括第二终端使用用户的密钥加密的私钥文件。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,第二终端也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥,例如所述用户的加密信息为“1234abc@#”,第二终端(在SIM内)对此加密信息做一个哈希运算(例如可以使用SHA-256、SHA-384或SHA-512哈希算法),得到一个结果作为所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。

在可选实施例中,第二终端在上传私钥备份文件时,还可以携带所述用户的业务进程标识,从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥获取模块820从而可以根据所述用户的身份标识信息和所述业务进 程标识,获取对应的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。

私钥发送模块830,用于向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。

具体实现中,第一终端在接收到所述私钥备份文件后,可以使用所述用户的密钥对所述私钥备份文件进行解密,获得解密后的私钥备份文件,从而使用所述解密后的私钥备份文件,对所述用户的业务数据进行数字签名。

可选的,本实施例中的私钥备份服务器进一步还可以包括:

备份请求获取模块840,用于接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件。

在可选实施例中,所述私钥备份请求还可以携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。

私钥备份模块850,用于保存所述私钥备份文件和所述用户的身份标识信息。

若所述私钥备份请求携带业务进程标识,则私钥备份服务器可以在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。

可选的,本实施例中的私钥备份服务器进一步还可以包括:

认证信息获取模块860,用于向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息。

所述身份认证请求要求第一终端发送用户的身份认证信息,可选的可以携带随机验证信息,例如随机验证字符提示、随机验证物品提示或随机验证操作提示。具体实现中,认证信息获取模块860可以在接收到第一终端发送的私钥请求后,向第一终端发送身份认证请求;或也可以在第一终端连接至私钥备份服务器后即向其发送身份认证请求。第一终端根据私钥备份服务器发送的身份认证请求提示用户输入身份认证信息,例如输入对应的认证口令或生物标识信息(如指纹或虹膜信息等),若身份认证请求中携带随机验证信息,则按照其中的随机验证提示输入对应的验证字符或验证操作,并连同输入的身份认证信息提交至私钥备份服务器。

身份认证模块870,用于判断所述身份认证信息是否与预设的所述用户的身份验证信息匹配,并在确认所述身份认证信息与预设的所述用户的身份验证信息匹配时,通知所述私钥发送模块830向所述第一终端发送所述用户的私钥备份文件。

具体的,身份认证模块870可以预先设置用户的身份验证信息,即所述身份标识信息对应的身份验证信息,或由第二终端将设置的所述身份标识信息对应的身份验证信息提交至私钥备份服务器,用以限定只有通过身份认证的终端才可以从私钥备份服务器获取所述用户备份的私钥备份文件。若第一终端根据所述身份认证请求提交的身份认证信息与私钥备份服务器中预设的所述用户的身份验证信息匹配,则身份认证模块870确定第一终端是所述身份标识信息对应的合法终端,从而通知私钥发送模块830可以根据其发送的私钥请求向其返回身份标识信息对应的私钥备份文件。所述身份认证信息与所述身份验证信息进行匹配,具体可以为将两者进行对比,完全一致或相似度满足预设阈值,则可以视为匹配。

另一方面,在可选实施例中,私钥备份服务器可以在保存所述私钥备份文件同时或之后,设定所述私钥备份文件的使用限制信息。该使用限制信息可以为私钥备份服务器主动设定的或所述第二终端在上传至私钥备份服务器之前设定或告知私钥备份服务器的。进而所述私钥发送模块830向所述第一终端返回的所述私钥备份文件会携带所述使用限制信息,使得所述第一终端在接收到所述私钥备份文件之后,根据所述使用限制信息,检测所述私钥备份文件,若检测到所述私钥备份文件满足所述使用限制信息指示的限制条件,则删除所述私钥备份文件。所述使用限制信息可以包括使用次数限制或使用时间限制,若使用该私钥备份文件进行业务数据签名达到设定的使用次数限制,则可以销毁或删除该私钥备份文件;或从下载成功或解密成功所述私钥备份文件开始计时,若到达设定的使用时间限制,则可以销毁或删除该私钥备份文件,从而保证所述私钥备份文件的时效性。在可选实施例中,若所述第一终端检测到发生所述私钥备份文件的复制操作,则删除所述私钥备份文件,从而可以有效保证所述私钥备份文件的不可复制性。

可选实施例中,所述私钥发送模块830进一步可以包括:

下载次数限制单元,用于检测所述私钥备份文件的下载次数或下载频率是 否达到预设限制条件;

私钥发送单元,用于在所述私钥备份文件的下载次数或下载频率未达到预设限制条件时,向所述第一终端发送所述私钥备份文件。

所述私钥备份服务器可以设定所述私钥备份文件的限制条件,例如包括下载次数限制或下载频率限制,并且记录所述私钥备份文件的被下载次数和时间,若当前已达到所述私钥备份文件的下载次数限制或下载频率限制,则可以拒绝第一终端发送的私钥请求,仅当确定当前未达到所述私钥备份文件的下载次数限制或下载频率限制时,私钥发送单元向第一终端返回所述私钥备份文件。所述下载次数限制可以为第二终端将私钥备份文件上传至私钥备份服务器后,私钥备份服务器允许其他终端下载该私钥备份文件的次数,例如为3次,若达到3次,则拒绝其他终端发送的下载该私钥备份文件的私钥请求,还可以提示用户使用拥有私钥的终端再次上传私钥备份文件;所述下载频率限制可以为私钥备份服务器允许其他终端在指定时间段内下载该私钥备份文件的次数,例如一天3次,若同一私钥备份文件在一天内已经被下载了三次,则私钥备份服务器可以拒绝第一终端发送的下载该私钥备份文件的私钥请求。

本实施例中的私钥备份服务器可以保存用户通过第二终端提交的私钥备份文件,并根据用户通过第一终端发送的私钥请求将该私钥备份文件发送给第一终端,第一终端其使用用户的密钥对私钥备份文件进行解密从而可以使用用户的私钥文件对用户的业务数据进行签名,实现用户可以在多个不同的终端上使用同一终端存储的私钥进完成业务数据签名。

图9是本发明另一实施例中的私钥备份服务器的结构示意图,如图7所示本实施例中的私钥备份服务器900可以包括:至少一个处理器901,例如CPU,至少一个网络接口904,存储器905,至少一个通信总线902。其中,通信总线902用于实现这些组件之间的连接通信。其中,网络接口904可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器905可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器905可选的还可以是至少一个位于远离前述处理器901的存储装置。如图9所示,作为一种计算机存储介质的存储器905中可以存储有程序代码, 而处理器901可以用于调用存储器905中存储的程序代码,并执行以下操作:

通过网络接口904接收第一终端发送的私钥请求,所述私钥请求携带用户的身份标识信息,所述身份标识信息用于标识所述用户;

根据所述用户的身份标识信息,获取私钥备份文件,所述私钥备份文件是所述用户通过第二终端上传至所述私钥备份服务器的;

通过网络接口904向所述第一终端发送所述私钥备份文件,所述私钥备份文件用于所述第一终端对所述用户的业务数据进行数字签名。

优选的,在通过网络接口904接收第一终端发送的私钥请求之前,私钥备份服务器的处理器901还可以用于调用存储器905中存储的程序代码,执行以下操作:

通过网络接口904接收所述第二终端发送的私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述私钥备份文件;

保存所述私钥备份文件和所述用户的身份标识信息。

优选的,所述私钥备份文件包括使用所述用户的密钥加密的私钥文件。

优选的,在根据所述私钥请求向所述第一终端返回所述私钥备份文件之前,私钥备份服务器的处理器901还可以用于调用存储器905中存储的程序代码,执行以下操作:

通过网络接口904向所述第一终端发送身份认证请求,接收所述第一终端根据所述身份认证请求提交的身份认证信息;

所述向所述第一终端发送所述私钥备份文件包括:

若所述身份认证信息与预设的所述用户的身份验证信息匹配,则向所述第一终端发送所述用户的私钥备份文件。

优选的,所述私钥备份文件携带使用限制信息,所述使用限制信息用于指示所述私钥备份文件的限制条件。

优选的,所述向所述第一终端发送所述私钥备份文件包括:

若所述私钥备份文件的下载次数或下载频率未达到预设限制条件,则向所述第一终端发送所述私钥备份文件。

优选的,所述私钥备份请求还携带所述用户对应的业务进程标识;

所述保存所述私钥备份文件和所述用户的身份标识信息包括:

将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对 应保存;

所述私钥请求还携带所述用户对应的业务进程标识;

所述根据所述用户的身份标识信息,获取私钥备份文件包括:

根据所述用户的身份标识信息和所述业务进程标识,获取所述私钥备份文件。

本实施例中的私钥备份服务器可以保存用户通过第二终端提交的私钥备份文件,并根据用户通过第一终端发送的私钥请求将该私钥备份文件发送给第一终端,第一终端其使用用户的密钥对私钥备份文件进行解密从而可以使用用户的私钥文件对用户的业务数据进行签名,实现用户可以在多个不同的终端上使用同一终端存储的私钥进完成业务数据签名。

图10是本发明又一实施例中的业务终端的结构示意图,本实施例中的业务终端可以为前文结合图1-5以及图12描述的第二终端,本实施例中的业务终端中可以存储有私钥文件,例如保存在内置的SIM卡中,例如可以为智能手机、平板电脑、电子阅读器或智能穿戴设备。进而在可选实施例中,本实施例中的业务终端可以预先生成多个私钥文件,并根据需要或使用场景选择其中的一个私钥文件上传至私钥备份服务器进行安全备份。

如图10所述本实施例中的业务终端可以包括:

备份文件加密模块1010,用于使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件。

所述私钥备份文件包括预先生成的私钥文件,对应的公钥和数字证书可以由CA管理,在使用该私钥备份文件对业务数据进行签名后,可以将经过签名的业务数据交由对应的业务服务器使用对应的公钥进行签名认证。所述用户的密钥,可以为用户的加密信息,或经用户确认的加密信息,在可选实施例中,也可以根据用户的加密信息进行哈希运算从而得到所述用户的密钥。在使用用户的密钥对私钥备份文件进行加密后,其他终端只有同样使用所述用户的密钥才能对经过加密的私钥备份文件进行解密从而使用其中的私钥文件。

私钥备份请求模块1020,用于向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名, 所述身份标识信息用于标识所述用户。

所述私钥备份服务器在接收到所述私钥备份请求,并根据所述私钥备份请求将所述私钥备份文件和所述身份标识信息对应保存后,第一终端向私钥备份服务器请求下载该私钥备份文件,所述第一终端与本实施例中的业务终端可以使用相同的身份标识信息访问所述私钥备份服务器,具体下载的流程可以参考前文实施例结合附图1-5以及附图12所描述的实施场景,本实施例不再赘述。

在可选实施例中,所述私钥备份请求还可以携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。从而私钥备份服务器在保存所述私钥备份文件时,将所述私钥备份文件、所述用户的身份标识信息以及所述业务进程标识对应保存。进而当第一终端向私钥备份服务器发送的私钥请求中携带所述用户对应的业务进程标识,私钥备份服务器可以根据所述用户的身份标识信息和所述业务进程标识,获取对应的私钥备份文件,并将所述对应的私钥备份文件发送给第一终端,第一终端接收到的是所述业务进程标识对应所述用户的私钥备份文件。这样,私钥备份服务器就可以为同一用户针对不同的业务进程分别存储对应的私钥备份文件,第一终端可以根据业务需要向私钥备份服务器请求对应业务的私钥备份文件。

进一步可选的,本实施例中的业务终端进一步还可以包括:

加密信息获取模块1030,用于获取获取所述用户的加密信息;

密钥获取模块1040,用于对所述加密信息进行哈希运算,得到所述用户的密钥。

例如用户输入加密信息为“1234abc@#”,第二终端对此加密信息做一个哈希运算得到一个结果作为加密私钥备份文件的密钥。所述哈希运算的算法和结果可以对用户是不可知的,从而进一步增强密钥的私密性。

进一步可选的,本实施例中的业务终端进一步还可以包括:

备份私钥选定模块1050,用于根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。

具体的,第二终端可以保存有多个可用的私钥文件,并可以根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的多个私钥文件中确定一个私钥备份文件。

进而在可选实施例中,所述备份私钥选定模块1050具体用于:

对所述业务进程标识(例如qq或qq.exe)或所述密钥(例如1234abc@#)进行哈希运算得到哈希值,并将得到的哈希值与所述私钥文件的数量进行取模运算,根据取模结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件,例如预先对所述多个私钥文件进行编号,根据取模的数值选取对应编号的私钥文件作为私钥备份文件。

进而在可选实施例中,为了提高私钥备份文件的安全性,所述备份私钥选定模块可以每次选中不同的私钥备份文件,例如根据预先对私钥文件进行的编号,每次选取下一编号的私钥文件作为私钥备份文件,或每次上传私钥备份文件后重新对多个私钥文件进行编号。

本实施例中的业务终端可以将其生成或存储的私钥备份文件使用用户的密钥进行加密后上传至私钥备份服务器,请求私钥备份服务器进行安全存储,从而用户可以通过第一终端从私钥备份服务器下载该私钥备份文件,进而使用私钥备份文件进行业务数据签名,实现了用户可以在多个不同的终端上使用同一终端存储的私钥文件完成业务数据签名。

图11是本发明另一实施例中的业务终端的结构示意图,如图11所示本实施例中的业务终端1100可以包括:至少一个处理器1101,例如CPU,至少一个网络接口1104,用户接口1103,存储器1105,至少一个通信总线1102。其中,通信总线1102用于实现这些组件之间的连接通信。其中,用户接口1103可以包括显示屏(Display)、键盘(Keyboard)、鼠标或触控屏等,可以为标准的有线接口、无线接口。网络接口1104可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1105可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器1105可选的还可以是至少一个位于远离前述处理器1101的存储装置。本实施例中的业务终端中可以存储有私钥文件,例如保存在内置的SIM卡中,例如可以为智能手机、平板电脑、电子阅读器或智能穿戴设备。进而在可选实施例中,本实施例中的业务终端可以预先生成多个私钥文件,并根据需要或使用场景选择其中的一个私钥文件上传至私钥备份服务器进行安全备份。

在可选实施例中,业务终端可以内置SIM卡,用以存储所述私钥备份文件。

如图11所示,作为一种计算机存储介质的存储器1105中可以存储有程序代码,而处理器1101可以用于调用存储器1105中存储的程序代码,并执行以下操作:

使用用户的密钥对私钥备份文件进行加密,获得加密后的私钥备份文件;

通过网络接口1104向私钥备份服务器发送私钥备份请求,所述私钥备份请求携带所述用户的身份标识信息和所述加密后的私钥备份文件,所述加密后的私钥备份文件用于第一终端对所述用户的业务数据进行数字签名,所述身份标识信息用于标识所述用户。

优选的,在使用密钥对私钥备份文件进行加密之前,处理器1101还可以用于调用存储器1105中存储的程序代码,执行以下操作:

获取所述用户的加密信息;

对所述加密信息进行哈希运算,得到所述用户的密钥。

优选的,在使用密钥对私钥备份文件进行加密之前,处理器1101还可以用于调用存储器1105中存储的程序代码,执行以下操作:

根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件。

优选的,所述私钥备份请求还携带业务进程标识,所述业务进程标识用于标识所述用户对应的业务进程。

优选的,所述第二终端根据所述用户的密钥或所述用户对应的业务进程标识,从预先生成的至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件包括:

所述第二终端对所述业务进程标识或所述密钥进行哈希运算得到哈希值;

将所述哈希值与所述私钥文件的数量进行取模运算,并根据所述取模运算的结果从所述至少两个私钥文件中选中一个私钥文件作为所述私钥备份文件

本实施例中的业务终端可以将其生成或存储的私钥备份文件使用用户的密钥进行加密后上传至私钥备份服务器,请求私钥备份服务器进行安全存储,从而用户可以通过第一终端从私钥备份服务器下载该私钥备份文件,进而使用私钥备份文件进行业务数据签名,实现了用户可以在多个不同的终端上使用同一终端存储的私钥文件完成业务数据签名。

请参阅图12,图12是本发明实施例提供的一种数据安全签名系统的结构示意图。本发明实施例提供的数据安全签名系统包括第一终端1201、私钥备份服务器1202以及第二终端1203,其中,所述第一终端1201、私钥备份服务器1202以及第二终端1203可以参阅前文结合图6-图11对应的实施例,在此不再赘述。

本发明实施例还提出了一种计算机存储介质,所述计算机存储介质存储有程序,所述程序执行时包括本发明实施例结合图2、图7或图8所描述的方法中的部分或全部的步骤。

本发明实施例还提出了一种计算机存储介质,所述计算机存储介质存储有程序,所述程序执行时包括本发明实施例结合图1-图5所描述的方法中的部分或全部的步骤。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:高天宏;仲镜学;仲伟伟;李娜;陈璟
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2