基于电子钥匙进行应用签名的方法和系统的制作方法
【技术领域】
[0001]本发明涉及通信技术,尤其是一种基于电子钥匙进行应用签名的方法和系统。
【背景技术】
[0002]电子钥匙(USBKey)身份认证是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种通用串行总线(USB)接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。基于USBKey身份认证系统主要有两种应用模式:一是基于冲击/响应(挑战/应答)的认证模式,二是基于公用密钥基础结构(PKI)体系的认证模式,目前运用在电子政务、网上银行等领域,能够有效防止用户帐号盗用、密码泄漏等安全隐患。
[0003]现有的一种USBKey技术形态是通过专门的硬件实现的,例如银行的U盾。这种USBKey技术存在用户使用成本高,而且使用不方便,一个U盾一般只对应一个应用等问题。
[0004]现有的另一种USBKey技术形态是基于手机终端用户身份识别模块(简称:用户卡)实现的,通过手机终端用户卡预置或生成非对称加密算法RSA的非对称密钥对,并将其中的私钥和证书信息存储在用户卡内,将其中的公钥上传到身份认证系统。在进行用户身份认证时,应用系统将待加密或签名(表示为加密/签名)信息通过短信方式发送到手机终端用户卡,由用户卡对该待签名信息进行加密/签名,然后将加密/签名信息以短信方式发给应用系统,应用系统将该加密/签名信息后传给身份认证系统进行验证。
[0005]在实现本发明的过程中,发明人发现在上述另一种USBKey技术形态的实现方法至少存在以下问题:
[0006]由于应用系统与手机终端用户卡之间的信息传输是通过短信通道实现的,使得这种采用短信通道方式的USBKey存在短信容量小、短信延迟和丢失等问题,导致数据传输效率较低、业务时延较大,可能需要重新进行签名、验证流程,导致用户体验效果较差。
【发明内容】
[0007]本发明实施例所要解决的一个技术问题是:提供一种基于电子钥匙进行应用签名的方法和系统,以避免短信容量小、短信延迟和丢失问题,提升数据传输效率。
[0008]本发明实施例提供的一种基于电子钥匙进行应用签名的方法,包括:
[0009]个人计算机PC上的应用客户端根据应用系统的加密/签名指示,通过通用串行总线USB接口将待加密/签名数据信息发送给手机终端上的公用密钥基础结构PKI认证客户端;
[0010]PKI认证客户端通过机卡接口模块将所述待加密/签名数据信息发送给手机终端上用户身份识别模块中的PKI认证应用单元;
[0011]PKI认证应用单元采用预先设置的加密/签名算法,利用预先生成的公私密钥对采用中的私钥对待加密/签名数据信息进行加密/签名,得到加密/签名信息;
[0012]PKI认证应用单元通过机卡接口模块将所述加密/签名信息返回所述PKI认证客户端;
[0013]PKI认证客户端通过USB接口将所述加密/签名信息返回所述应用客户端;
[0014]应用客户端将所述加密/签名信息通过互联网Internet发送到应用系统;
[0015]应用系统将所述加密/签名信息发送给PKI认证服务器;
[0016]PKI认证服务器采用所述加密/签名算法,利用所述公私密钥对采用中的公钥对所述加密/签名信息进行解密、验证。
[0017]基于本发明上述方法的另一个实施例中,还包括:
[0018]所述应用客户端依次通过USB接口和机卡接口模块获取用户身份识别模块中集成电路卡识别码ICCID及所述公私密钥对采用中的公钥,并通过Internet将所述ICCID、所述公私密钥对采用中的公钥与应用标识ID上传给PKI认证服务器;
[0019]PKI认证服务器在对应关系表中建立所述ICCID、所述公私密钥对采用中的公钥与所述应用ID之间的对应关系。
[0020]基于本发明上述方法的另一个实施例中,所述应用客户端依次通过USB接口和机卡接口模块获取用户身份识别模块中ICCID及所述公私密钥对采用中的公钥包括:
[0021]所述应用客户端通过USB接口通信协议向所述PKI认证客户端发送获取ICCID及公钥信息的获取请求,该获取请求中包括所述应用ID ;
[0022]PKI认证客户端监测到来自PC的获取请求,将所述获取请求转换为应用协议数据单元APDU格式请求指令,通过机卡接口模块转发给所述PKI认证应用单元;
[0023]所述PKI认证应用单元将所述用户身份识别模块中的手机号码、ICCID和所述应用ID及其对应的公私密钥对中的公钥封装到APDU格式响应指令中,并通过机卡接口模块将APDU格式响应指令返回给所述PKI认证客户端;
[0024]PKI认证客户端将所述APDU格式响应指令转换成USB接口通信协议的响应报文发送给所述应用客户端;
[0025]所述通过Internet将所述ICCID、所述公私密钥对采用中的公钥与应用ID上传给PKI认证服务器具体为:所述应用客户端通过Internet,将所述手机号码、ICCID、所述应用ID及其对应的公钥发送给PKI认证服务器;
[0026]所述PKI认证服务器在对应关系表中建立所述ICCID、所述公私密钥对采用中的公钥与所述应用ID之间的对应关系具体为:所述PKI认证服务器在对应关系表中建立所述手机号码、ICCID、所述应用ID及其对应的公钥之间的对应关系。
[0027]基于本发明上述方法的另一个实施例中,还包括:
[0028]所述PKI认证应用单元接收到所述APDU格式请求指令,根据用户身份识别模块中的应用白名单中是否包括所述应用ID,判断所述APDU格式请求指令是否为合法的应用请求信息;
[0029]若应用白名单中包括所述应用ID,判定所述APDU格式请求指令为合法的应用请求信息,执行所述将所述用户身份识别模块中的手机号码、ICCID和所述应用ID及其对应的公私密钥对中的公钥封装到APDU格式响应指令的操作;
[0030]否则,若应用白名单中不包括所述应用ID,判定所述APDU格式请求指令为非法的应用请求信息,通过机卡接口模块向PKI认证客户端返回APDU格式错误响应指令,该APDU格式错误响应指令中包括所述应用ID ;PKI认证客户端通过USB接口通信协议向所述应用客户端返回错误响应消息,该错误响应消息中包括所述应用ID。
[0031 ] 基于本发明上述方法的另一个实施例中,所述应用客户端通过USB接口将待加密/签名数据信息发送给手机终端上的PKI认证客户端具体为:所述应用客户端通过USB接口通信协议将待加密/签名数据信息发送给所述PKI认证客户端;
[0032]所述PKI认证客户端通过机卡接口模块将所述待加密/签名数据信息发送给PKI认证应用单元具体为:所述PKI认证客户端监测到来自PC的待加密/签名数据信息,将所述待加密/签名数据信息封装为APDU格式业务指令,通过机卡接口模块转发给PKI认证应用单元。
[0033]基于本发明上述方法的另一个实施例中,所述加密/签名算法包括0CRA算法或者RSA算法。
[0034]基于本发明上述方法的另一个实施例中,所述PKI认证应用单元通过机卡接口模块将所述加密/签名信息返回所述PKI认证客户端具体为:所述PKI认证应用单元将所述加密/签名的信息封装到APDU格式业务响应指令中,并通过机卡接口模块将所述APDU格式业务响应指令返回给所述PKI认证客户端;
[0035]所述PKI认证客户端通过USB接口将所述加密/签名信息返回所述应用客户端具体为:所述PKI认证客户端将所述APDU格式业务响应指令转换为USB接口通信协议格式的业务响应报文发送给所述应用客户端。
[0036]基于本发明上述方法的另一个实施例中,还包括:
[0037]通过空中下载0ΤΑ方式或专业用户卡应用管理软件,在手机终端的用户身份识别模块中置入所述PKI认证应用单元,所述PKI认证应用单元中包括预先设置的加密/签名算法;以及
[0038]所述PKI认证应用单元根据用户身份识别模块中的应用白名单中各应用的应用ID,生成各应用的公私密钥对,并存储各应用的应用ID对应的公私密钥对。
[0039]基于本发明上述方法的另一个实施例中,所述Internet包括有线以太网或者无线局域网WIFI。
[0040]本发明实施例提供的一种基于电子钥匙进行应用签名的系统,包括实现应用系统、PC和手机终端,所述手机终端上耦合设置有用户身份识别模块;所述PC上设置有USB接口,以及耦合设置有所述应用系统的应用客户端;所述手机终端上耦合设置有PKI认证客户端和机卡接口模块,所述用户身份识别模块中耦合设置有PKI认证应用单元;其中:
[0041]所述应用客户端,用于根据应用系统的加密/签名指示,通过USB接口将待加密/签名数据信息发送给所述PKI认证客户端;以及将所述PKI认证客户端通过USB接口返回的加密/签名信息通过Internet发送到应用系统;
[0042]所述PKI认证客户端,用于通过机卡接口模块将所述待加密/签名数据信息发送给所述PKI认证应用单元;以及通过USB接口将所述PK