终端数字签名方法和系统以及用于数字签名的终端与流程

本发明涉及信息安全领域，特别涉及一种终端数字签名方法和系统以及用于数字签名的终端。

背景技术：

数字证书及数字证书签名技术可以解决网络交易中可信身份认证、数据加密、数据完整性和抗抵赖的问题，基于数据证书的电子签名具有法律效力，在电子支付、电子政务等领域较为广泛。

然而，该技术目前主要应用于个人计算机(pc，personalcomputer)终端。在移动智能终端领域，由于终端本身以及安全保障措施的限制，数字证书及数字证书签名技术的应用较少。

在pc终端上常用的用于实现数字证书签名的usbkey(电子钥匙，universalserialbuskey)，不仅携带不便，而且因接口限制，难以在移动智能终端上使用。

如果在终端中采用内部芯片、sim(subscriberidentificationmodule，客户识别模块)卡等内置式存储设备，由于插拔不便，因此数字签名服务会一直处于在线状态，存在被盗用的风险。

由于智能终端的上述特点，限制了移动支付、移动办公安全性的提升和业务推广。

技术实现要素：

本发明实施例所要解决的一个技术问题是：如何提升终端数字签名方法的便捷性和安全性。

根据本发明实施例的第一个方面，提供了一种终端数字签名方法，包括：终端获取服务器发送的数字签名请求，数字签名请求包括待签名信息；终端响应于数字签名请求，对用户进行生物特征验证；如果生物特征验证通过，终端对待签名信息进行数字签名；终端将数字签名结果发送给服务器，以便服务器对数字签名结果进行验证以确定用户操作的真实性。

在一个实施例中，终端在终端的安全区中获取服务器发送的数字签名请求、对用户进行生物特征验证以及将数字签名结果发送给服务器；终端在终端的安全区中或者智能卡中对待签名信息进行数字签名。

在一个实施例中，终端通过数据线或者内部网络获取其他终端转发的服务器的数字签名请求；终端通过数据线或者内部网络将数字签名结果发送给其他终端，以便其他终端将数字签名结果发送给服务器。

在一个实施例中，终端获取服务器发送的数字签名请求包括：终端通过应用客户端获取服务器发送的数字签名请求，或者，终端通过证书服务请求代理获取服务器发送的数字签名请求。

根据本发明实施例的第二个方面，提供一种用于数字签名的终端，包括：生物特征验证服务，用于对用户进行生物特征验证；数字签名服务，用于当生物特征验证通过时，对待签名信息进行数字签名；证书服务代理，包括请求获取单元、生物特征验证服务调用单元、数字签名服务调用单元和数字签名发送单元；请求获取单元用于获取服务器发送的数字签名请求，数字签名请求包括待签名信息；验证服务代理调用单元用于响应于数字签名请求，调用生物特征验证服务；证书服务调用单元用于响应于生物特征验证通过，调用数字签名服务；数字签名发送单元用于将数字签名结果发送给服务器，以便服务器对数字签名结果进行验证以确定用户操作的真实性。

在一个实施例中，生物特征验证服务和证书服务代理位于终端的安全区中；数字签名服务位于终端的安全区中或者智能卡中。

在一个实施例中，请求获取单元进一步用于终端通过数据线或者内部网络获取其他终端转发的服务器的数字签名请求；数字签名发送单元进一步用于通过数据线或者内部网络将数字签名结果发送给其他终端，以便其他终端将数字签名结果发送给服务器。

在一个实施例中，请求获取单元进一步用于通过应用客户端获取服务器发送的数字签名请求，或者，通过证书服务请求代理获取服务器发送的数字签名请求。

在一个实施例中，终端还包括：应用客户端，用于向请求获取单元发送服务器发送的数字签名请求；和/或，证书服务请求代理，用于向请求获取单元发送服务器发送的数字签名请求。

根据本发明实施例的第三个方面，提供一种终端数字签名系统，包括：前述任意一种用于数字签名的终端，和，应用服务器，用于向终端发送数字签名请求，并对终端发送的数字签名结果进行验证以确定用户操作的真实性。

在一个实施例中，系统还包括：其他终端，其他终端通过数据线或者内部网络与终端连接，其他终端包括：应用客户端和/或证书服务请求代理；应用客户端用于向请求获取单元发送服务器发送的数字签名请求；证书服务请求代理用于向请求获取单元发送服务器发送的数字签名请求。

本发明通过在终端收到数字签名请求后，采用生物特征验证的方法启动数字签名过程的方法，可以使数字签名服务由用户本人确认后再执行，提高了数字签名的安全性，并且用户操作方便，用于数字签名的终端易于携带，使用体验好。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a为本发明终端数字签名方法的一个实施例的流程图。

图1b为本发明终端数字签名方法的一个实施例的应用场景图。

图1c为本发明终端数字签名方法的另一个实施例的应用场景图。

图2为本发明终端数字签名系统的一个实施例的结构图。

图3为本发明用于数字签名的终端的一个实施例的结构图。

图4为本发明用于数字签名的终端的另一个实施例的结构图。

图5为本发明终端数字签名系统的另一个实施例的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在实际应用中，用户首先通过应用的客户端或者网站与服务器进行交互。一般地，当用户的操作需要进行数字签名服务时，服务器会向应用的客户端或者网站发送数字签名请求，例如身份验证请求、交易请求等等。

下面参考图1a描述本发明一个实施例的终端数字签名方法。

图1a为本发明终端数字签名方法的一个实施例的流程图。如图1a所示，该实施例的方法包括：

步骤s102，终端获取服务器发送的数字签名请求，数字签名请求包括待签名信息。

服务器可以为电子支付、电子办公应用的应用服务器。

待签名信息可以为服务器用于确认用户身份以完成登录、支付等业务环节的信息。例如，当服务器仅需要对用户进行登录等身份验证时，待签名信息可以为服务器按照一定规则生成的字符串，也可以为随机生成的字符串；当服务器需要用户进行支付、转账等操作时，待签名信息可以为支付、转账等交易指令信息。

数字签名请求是由服务器发送的。该数字签名请求可以首先发送给应用客户端，终端通过应用客户端获取服务器发送的数字签名请求。应用客户端根据实际需要，可以对数字签名请求中的待签名信息进行修改，再发送给终端或者终端中用于数字签名的模块。例如在支付、转账等业务中，应用客户端可以向服务器发送的待签名信息中添加交易的对象、交易金额等信息。

或者，应用客户端在接收到数字签名请求后，将数字签名请求发送给证书服务请求代理，终端通过证书服务请求代理获取服务器发送的数字签名请求。从而，证书服务器请求代理可以作为数字签名服务的入口，统一对数字签名请求进行转发，能够提升安全性。

终端处理的数字签名请求可以是本终端中应用客户端转发的，也可以是通过数据线或者内部网络获取的其他终端转发的服务器的数字签名请求。从而，本发明的方法可以使终端处理更多设备所需的数字签名服务。

步骤s104，终端响应于数字签名请求，对用户进行生物特征验证。

生物特征验证例如可以为指纹验证、人脸识别验证、虹膜识别验证、声纹识别验证等等。由于生物特征难以被复制、盗取和篡改，因此生物特征验证能够保证当前用户为终端的真实用户，用户的操作为真实用户的操作。

步骤s106，如果生物特征验证通过，终端对待签名信息进行数字签名。

终端可以保存用户的私钥，通过私钥完成对待签名信息的数字签名。

步骤s108，终端将数字签名结果发送给服务器，以便服务器对数字签名结果进行验证以确定用户操作的真实性。

如果终端接收的数字签名请求来自于本终端的应用客户端，则终端可以将数字签名结果通过本终端的应用客户端发送给服务器。

而当应用客户端位于执行数字签名的终端以外的其他终端时，执行数字签名的终端可以通过数据线或者内部网络将数字签名结果发送给其他终端，以便其他终端将数字签名结果发送给服务器，例如可以如图1b所示，终端1通过数据线或者内部网络与安装有应用客户端的终端2进行数据交互，终端2与服务器进行直接的数据交互。

通过在终端收到数字签名请求后，采用生物特征验证启动数字签名的方法，可以使数字签名服务由用户本人确认后再执行，提高了数字签名的安全性，并且用户操作方便，用于数字签名的终端易于携带，使用体验好。

在本发明的实施例中，对待签名信息的数字签名的过程可以如下：

1.终端对待签名信息进行哈希运算，获得数字摘要；

2.终端采用终端保存的私钥对数字摘要进行加密，获得数字签名，并将数字签名附加到待签名信息上；

3.终端将待签名信息和数字签名发送给服务器；

4.服务器采用公钥对数字签名进行解密，获得数字摘要；

5.服务器对待签名信息进行哈希运算，将运算结果与获得的数字摘要进行比较，如果运算结果与获得的数字摘要一致，则终端通过服务器的身份验证。

此外，由于待签名信息可能长度较短，因此终端也可以省略获得数字摘要的过程，直接采用终端保存的私钥对待签名信息进行加密获得数字签名。

上述方法仅为数字签名过程的一个示例，根据实际需要，可以对上述过程中的步骤进行增减或调整，这里不再赘述。

本发明提供的方法可以在终端的安全区中执行，在终端的信任区(trustzone)、可信执行环境(tee，trustedexecutionenvironment)中实现。此外，还可以在专用于安全支付的sd卡(securedigitalmemorycard，安全数码存储卡)、tf卡(trans-flashcard，快闪存储卡)等智能卡中实现。从而，可以提升方法的安全性。

此外，本发明的方法中的各个步骤还可以根据其特点，分别在终端的不同位置执行。

例如可以如图1c所示，终端可以在终端的安全区中采用证书服务代理获取服务器发送的数字签名请求、采用生物特征验证服务对用户进行生物特征验证以及采用证书服务代理将数字签名结果发送给服务器，在终端的智能卡中采用数字签名服务对待签名信息进行数字签名。

由于目前部分终端本身具有指纹识别等生物特征验证的功能，因此可以在终端本身的安全区中对用户进行生物特征验证；为了提升数据传输的速度，获取服务器发送的数字签名请求、将数字签名结果发送给服务器也可以设置在安全区中进行；而具体的数字签名步骤由于功能比较独立，因此可以在安全性好的智能卡中执行，从而用户可以根据需要对该功能进行快速的安装和卸载。

下面参考图2描述本发明一个实施例的终端数字签名系统。

图2为本发明终端数字签名系统的一个实施例的结构图。如图2所示，该实施例的系统包括：用于数字签名的终端30和应用服务器20，应用服务器20用于向终端30发送数字签名请求，并对终端30发送的数字签名结果进行验证以确定用户操作的真实性。

下面参考图3描述本发明一个实施例的用于数字签名的终端。

图3为本发明用于数字签名的终端的一个实施例的结构图。如图3所示，该实施例的用于数字签名的终端30包括：生物特征验证服务31，用于对用户进行生物特征验证；数字签名服务32，用于当生物特征验证通过时，对待签名信息进行数字签名；证书服务代理33，包括请求获取单元331、生物特征验证服务调用单元332、数字签名服务调用单元333和数字签名发送单元334。

通过在终端收到数字签名请求后，采用生物特征验证启动数字签名，可以使数字签名服务由用户本人确认后再执行，提高了数字签名的安全性，并且用户操作方便，用于数字签名的终端易于携带，使用体验好。

其中，请求获取单元331用于获取服务器20发送的数字签名请求，数字签名请求包括待签名信息；生物特征验证服务调用单元332用于响应于数字签名请求，调用生物特征验证服务31；数字签名服务调用单元333用于响应于生物特征验证通过，调用数字签名服务32；数字签名发送单元334用于将数字签名结果发送给服务器20，以便服务器20对数字签名结果进行验证以确定用户操作的真实性。

其中，生物特征验证服务31和证书服务代理33可以位于终端30的安全区中；数字签名服务32可以位于终端30的安全区中或者智能卡中。

下面参考图4描述本发明另一个实施例的用于数字签名的终端。

图4为本发明用于数字签名的终端的另一个实施例的结构图。如图4所示，该实施例的用于数字签名的终端30还可以包括：应用客户端45和/或证书服务请求代理46。其中，应用客户端45用于向请求获取单元331发送服务器20发送的数字签名请求；证书服务请求代理46用于向请求获取单元331发送服务器20发送的数字签名请求。

请求获取单元331可以进一步用于通过应用客户端45获取服务器20发送的数字签名请求，或者，通过证书服务请求代理46获取服务器20发送的数字签名请求。

在本发明中，应用客户端45和证书服务请求代理46可以位于用于数字签名的终端30中，还可以位于其他终端中。下面参考图5描述本发明另一个实施例的终端数字签名系统。

图5为本发明终端数字签名系统的另一个实施例的结构图。如图5所示，该实施例的系统还包括其他终端50，其他终端50通过数据线或者内部网络与终端30连接。其他终端50包括：应用客户端45和/或证书服务请求代理46；应用客户端45用于向请求获取单元331发送服务器20发送的数字签名请求；证书服务请求代理46用于向请求获取单元331发送服务器20发送的数字签名请求。

从而，终端30不仅可以支持本终端中应用的数字签名服务，还可以通过终端30完成其他终端50中应用客户端所需要完成的数字签名服务，使本发明提供的用于数字签名的终端30能够应用于更多的使用场景。例如，当其他终端50为pc终端时，终端30可以作为传统的usbkey的角色。从而，用户无需额外携带usbkey等数字签名设备，使用随身携带的手机即可以完成安全的支付活动。

终端30中的请求获取单元331可以进一步用于终端30通过数据线或者内部网络获取其他终端50转发的服务器20的数字签名请求；数字签名发送单元334可以进一步用于通过数据线或者内部网络将数字签名结果发送给其他终端50，以便其他终端50将数字签名结果发送给服务器20。

此外，根据本发明的方法还可以实现为一种计算机程序产品，该计算机程序产品包括计算机可读介质，在该计算机可读介质上存储有用于执行本发明的方法中限定的上述功能的计算机程序。本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。