电子签名信息。
[0118]较佳的,信息处理设备生成的电子签名信息可以但不限于为图形码,该图形码可以为一维码(条形码)和二维码,其中,二维码包括标准二维码和非标准二维码(即一些变形的二维码,如圆形二维码、彩色二维码等等),本发明对此不做限定。
[0119]具体实施时,信息处理设备可以由安全存储模块、信息输入模块、信息处理模块和可显示图形码的电子显示器组成,其中,安全存储模块中存储有该信息处理设备存储的第一密钥。这样,用户在需要进行电子签名时,通过信息输入模块输入第一认证信息,信息处理模块利用安全存储模块预先存储的第一密钥对用户输入的第一认证信息进行处理得到第二认证信息。信息处理模块利用第二认证信息生成一个图形码。
[0120]较佳的,为了避免用户丢失信息处理设备带来的风险,本发明实施例中,信息处理设备还可以在生成电子签名信息之前对用户身份进行识别,例如,可以通过指纹进行识别,也可以通过用户预先设置的密码对用户进行识别,这里不做限定,相应的,信息处理设备还可以包括数字按键或者指纹采集装置。
[0121]S24、信息处理设备与终端设备建立通信连接。
[0122]需要说明的是,建立通信连接的步骤可以先于上述信息处理设备生成电子签名信息的步骤实施,两者并无先后执行顺序。
[0123]S25、信息处理设备通过建立的通信连接向终端设备提供电子签名信息。
[0124]终端终端与信息处理设备之间可以采用以下任一方式建立通信连接:耳机接口、蓝牙、红外、NFC (近场通信)、WIFI (无线保真)、USB(通用串行接口 )或者OTG (On-The-Go,数据传输接口)等。
[0125]S26、终端设备向电子签名服务器发送电子签名请求。
[0126]终端设备在获取了电子签名信息之后,有以下两种处理方式:
[0127]处理方式一、
[0128]终端设备将该电子签名信息不做任何处理,直接将获取的电子签名信息携带在电子签名请求中发送给电子签名服务器。
[0129]处理方式二、
[0130]终端设备提取电子签名信息中包含的第二认证信息后,将第二认证信息携带在电子签名请求中发送给电子签名服务器。
[0131]分别与上述两种处理方式相对应,终端设备在向电子签名服务器中发送的电子签名请求中可以携带电子签名信息或者提取的第二认证信息。
[0132]相应的,电子签名服务器可以按照以下方式获得第二认证信息:电子签名服务器在接收到电子签名请求之后,如果其中携带有电子签名信息,则电子签名服务器可以从电子签名信息中提取第二认证信息;如果其中携带有第二认证信息,则电子签名服务器可以直接从身份认证请求中获取第二认证信息。
[0133]具体实施时,终端设备还可以在电子签名请求中携带用户访问的互联网应用的应用标识或者应用名称和该互联网应用在全局范围内的唯一标识,该唯一标识是一个全局唯一的编码,在不同的互联网应用、不同的终端设备、不同时间上都不重复。较佳的,该唯一标识可以但不限于为UUID (Universally Unique Identifier,通用唯一识别码)或者⑶ID (Globally Unique Identif ier,全局唯一标识符),当然也可以是采用类似技术实现的全局范围内的一个标识,为了便于描述以下以UUID为例进行说明。
[0134]如果用户通过步骤S21中提供的第一种方式触发电子签名流程,则终端设备可以直接获取用户当前正在访问的互联网应用的应用标识或者应用名称及其对应的UUID—并发送给电子签名服务器;如果用户通过步骤S21中提供的第二种方式触发电子签名流程,则在生成登录页面显示的图形码中包括互联网应用的应用标识或者应用名称和该互联网应用对应的UUID,这样,终端设备通过扫描该图形码便可以获取应用标识或者应用名称和该互联网应用对应的UUID,与从信息处理设备生成的图形码中获取的第二认证信息一并发送给电子签名服务器或者也可以与从信息处理设备生成的图形码一并发送给电子签名服务器。
[0135]具体实施时,终端设备可以通过有线网络、无线网络和移动通信网络等向电子签名服务器发送电子签名请求。
[0136]S27、电子签名服务器根据接收到的电子签名请求获得第二认证信息。
[0137]步骤S26中描述了电子签名服务器根据接收到的电子签名请求获得第二认证信息的两种方式,这里不再赘述。
[0138]S28、电子签名服务器从自身存储的密钥中查找第一密钥对应的第二密钥。
[0139]在获得了第二认证信息后,电子签名服务器从自身存储的密钥中查找第一密钥对应的第二密钥。
[0140]为了便于电子签名服务器快速查找第一密钥对应的第二密钥,信息处理设备在生成电子签名信息时,可以加入自身的设备标识。
[0141]基于此,电子签名服务器可以通过以下两种方式获得该设备标识:
[0142]方式一、
[0143]如果终端设备对获取的电子签名信息不进行任何处理,而是直接将获取的电子签名信息携带在电子签名请求中发送给电子签名服务器,则电子签名服务可以从电子签名请求中携带的电子签名信息中分别提取第二认证信息和该设备标识。
[0144]方式二、如果终端设备对获取的电子签名信息进行处理,则终端设备分别提取电子签名信息中包含的第二认证信息和该设备标识,并将携带在电子签名请求中一并发送给电子签名服务器,电子签名服务器从接收到的电子签名请求中直接提取第二认证信息和设备标识即可获得,进而,电子签名服务器根据获得的设备标识从自身存储的设备标识与密钥的对应关系中查找所述设备标识对应的密钥,将查找到的密钥确定为所述第一密钥所对应的第二密钥。
[0145]S29、电子签名服务器利用查找到的第二密钥还原和/或验证第二认证信息。
[0146]与步骤S22中,信息处理设备对第一认证信息进行处理的处理方式相对应,步骤S29中,如果信息处理设备利用第一密钥对第一认证信息进行加密得到对应的密文,电子签名服务器可以利用第二密钥对得到的密文进行解密,还可以利用第二密钥直接对得到的密文进行验证;如果信息处理设备利用第一密钥对第一认证信息进行签名得签名后的第一认证信息,则电子签名服务器可以利用第二密钥对签名后的第一认证信息进行验证;如果信息处理设备利用第一密钥对第一认证信息进行哈希计算得到哈希值,则电子签名服务器可以利用第二密钥对得到的哈希值进行验证。
[0147]S210、电子签名服务器根据还原和/或验证结果确认电子签名是否成功。
[0148]如果电子签名服务器确定利用第二密钥对加密后的第一认证信息得到的密文进行解密(即还原)得到第一认证信息时,确定用户电子签名成功,否则确定电子签名失败;或者,电子签名服务器利用第二密钥对加密后的第一认证信息得到的密文进行验证,如果验证通过,则确定电子签名成功,否则确定电子签名失败;或者,电子签名服务器确定利用第二密钥对签名后的第一认证信息进行验证且验证通过,确定电子签名成功,否则确定电子签名失败;或者电子签名服务器确定利用第二密钥对进行哈希计算得到的哈希值进行验证且验证通过时,确定电子签名成功,否则确定电子签名失败。
[0149]具体的,在使用非对称密钥加密技术时,如果信息处理设备使用私钥对第一认证信息进行签名,则电子签名服务器存储的公钥可以用于对得到的第二认证信息进行验证;如果信息处理设备使用私钥对第一认证信息进行加密,则电子签名服务器存储的公钥可以用于对得到密文进行还原和/或验证。若使用对称密钥加密技术,如果信息处理设备使用存储的密钥对第一认证信息进行签名,则电子签名服务器存储的密钥可以用于对签名后得到的第二认证信息进行验证;如果信息处理设备使用存储的密钥对第一认证信息进行加密,则电子签名服务器存储的密钥既可以用于对密文进行解密后再验证,也可以不还原直接验证密文;如果信息处理设备使用哈希算法对第一认证信息进行哈希运算得到哈希值,则电子签名服务器可以用于对得到的哈希值进行验证。
[0150]S211、电子签名服务器向提供互联网应用的应用服务器发送电子签名是否通过的结果。
[0151]具体实施时,电子签名服务器根据电子签名请求中携带的应用标识或者应用名称向该应用标识或者应用名称对应的应用服务器提供电子签名结果,并在发送的电子签名结果中携带用户当前访问的互联网应用的UUID。
[0152]S212、应用服务器向终端设备发送电子签名结果。
[0153]具体实施时,应用服务器根据UUID确定用户访问互联网应用的终端设备及应用程序,并根据认证结果向该终端设备发送允许/拒绝访问的响应消息。
[0154]具体实施时,上述应用于电子签名的信息处理系统可以针对不同的互联网应用提供一个信息处理设备,也可以针对安全要求高的互联网应用如电子银行、在线支付等提供单独的信息处理设备,此时,电子签名服务器需要维护互联网应用的应用标识与其对应的信息处理设备的设备标识以及密钥之间的对应关系,以对不同的互联网应用提供电子签名功能。
[0155]实施例三、
[0156]在应用于身份认证场景下时,信息处理设备生成的身份识别信息可以为身份认证信息,信息处理服务器可以为身份认证服务器,信息处理设备向身份认证服务器发送的身份识别请求可以为身份认证请求,为了便于说明,本发明实施例以用户访问电子银行需要进行身份认证为例进行说明,如图3所示,可以包括以下步骤:
[0157]S31、在访问电子银行需要进行身份认证时,信息处理设备接收用户输入的第一认证信息。
[0158]具体实施时,用户可能通过以下任一方式访问电子银行:
[0159]方式一、
[0160]用户使用获取用户身份认证信息的终端设备访问电子银行,例如,用户使用手机访问电子银行,同时使用该手机获取信息处理设备生成的用户身份认证信息。这种情况下,用户所访问的电子银行的登录页面需要提供使用本发明实施例提供的身份认证方法封装的应用程序接口,在用户需要登录电子银行时通过调用该应用程序接口触发对用户的身份认证。
[0161]方式二、
[0162]用户使用获取用户身份认证信息的终端设备以外的其他终端设备访问电子银行,例如用户使用电脑访问电子银行,使用自己的手机获取信息处理设备生成的用户身份认证信息。这种情况下,电子银行登录页面需要嵌入本发明实施例提供的身份认证方法封装的认证程序,并在登录页面以图形码(可以但不限于为二维码)的形式显示,当用户需要登录电子银行时,直接扫描该二维码便可以触发对用户的身份认证。
[0163]在触发对用户的身份认证之后,信息处理设备(该设备可以由业务提供方提供给用户,对于电子银行业务来说,信息处理设备可以由银行提供给用户)指示用户输入第一认证信息,第一认证信息可以为在用户注册过程中,由身份认证服务器提供给用户的信息或者用户在身份认证服务器预留的信息,也可以为在用户使用业务过程中产生的信息,如果用户在使用电子银行业务过程中产生的信息可以为收款人的银行账号,交易金额等;还可以为通信对方的身份识别信息,如网站域名,服务器IP,对方的电子邮件等。其中,用户在身份认证服务器预留的信息可以为用户名、用户口令或者用户标识等。
[0164]较佳的,用户可以但不限于通过以下任一输入方式向信息处理设备输入第一认证信息:物理键盘输入方式、滚轮输入方式、触摸屏输入方式、扫描图形码输入方式、频闪通信输入方式、语音识别输入方式、摄像头识别输入方式、无线通信输入方式、红外扫描输入方式、激光扫描输入方式或者图形码数据采集输入方式。其中国,无线通信输入方式中,可以使用W1-Fi,蓝牙,NFC (Near Field Communicat1n,近场通信),微波和广播等输入。
[0165]S32、信息处理设备利用存储的第一密钥对种子信息进行处理得到第二认证信息。
[0166]其中,种子信息中至少包括用户输入的第一认证信息。在实施例一中,以种子信息中仅包括第一认证信息为例进行说明,即种子信息即为第一认证信息。
[0167]较佳的,具体实施时,本发明实施例提供的身份认证系统可以采用对称密钥加密体系,也可以采用非对称密钥加密体系。如果采用对称密钥加密体系,信息处理设备存储的密钥和身份认证服务器存储的密钥相同。如果采用非对称密钥加密体系,可以为每一个信息处理设备随机生成一组公钥和私钥,信息处理设备存储私钥,身份认证服务器存储公钥。相比于对称密钥加密机制,非对称密钥加密机制能