專利名稱:驗證信源完整性的方法���、系統(tǒng)及相應(yīng)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信源安全領(lǐng)域����,尤其涉及一種驗證信源完整性的方法�����、系統(tǒng)和 及相應(yīng)設(shè)備����。
背景技術(shù):
網(wǎng)絡(luò)技術(shù)的發(fā)展使網(wǎng)絡(luò)系統(tǒng)可提供各種應(yīng)用服務(wù),對于每種應(yīng)用服務(wù)�����,網(wǎng)絡(luò)
系統(tǒng)都可能產(chǎn)生起信令作用的html (hyper text make-up language,超文本標(biāo)識語 言)文檔���。4旦是����,即《更是采用https (hyper text transfer protocol secure,安全超文 本傳輸協(xié)議)的網(wǎng)絡(luò)系統(tǒng)�,也只能夠保證用戶端和網(wǎng)絡(luò)端之間的信源傳輸?shù)陌?全性,并不能夠保證應(yīng)用服務(wù)產(chǎn)生的html文檔的完整性����。例如,在轉(zhuǎn)帳交易的 應(yīng)用服務(wù)中�����,若不能夠驗證轉(zhuǎn)帳交易時應(yīng)用服務(wù)產(chǎn)生的html文檔的完整性�,則 將會給用戶端在控制交易的過程中帶來隱患。例如根據(jù)錯誤的html文檔信息進(jìn) 行操作��,導(dǎo)致交易業(yè)務(wù)無法正常進(jìn)行等。
在現(xiàn)有技術(shù)中����,對于信息完整性的保護(hù)方法主要包括由提供應(yīng)用服務(wù)的 網(wǎng)絡(luò)系統(tǒng),通常為網(wǎng)絡(luò)側(cè)主機(jī)先將公鑰分發(fā)到用戶端�,再將經(jīng)過私鑰簽名的信 息發(fā)送到用戶端,用戶端在接收到信息后���,根據(jù)該公鑰對經(jīng)過私鑰簽名的信息 進(jìn)行完整性驗證���。以便保證該信息沒有在傳輸?shù)倪^程中未^t惡意篡改。
但在實際操作中���,上述方法對于信源信息完整性的保護(hù)還是存在一定缺陷 的�。例如釣魚網(wǎng)站仿制公鑰�����,向用戶端分發(fā)假公鑰和用假私鑰簽名過的信源�����, 使得用戶端驗證通過的信源是一條假信源�。如此�����,同樣可使得用戶端根據(jù)該假 信源進(jìn)行操作,導(dǎo)致用戶端無法正常工作���,甚至影響網(wǎng)絡(luò)系統(tǒng)���,使應(yīng)用服務(wù)無 法正常進(jìn)行,使用戶蒙受到不必要的損失��。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種驗證信令完整性的方法��、系統(tǒng)及相應(yīng)設(shè)備�����,提高 對信源驗證的可靠性��,以便保證信源的完整性���。
為達(dá)到上述目的��,本發(fā)明的實施例采用如下技術(shù)方案
一種驗證信源完整性的方法�����,在請求用戶端向接收服務(wù)器提交第 一信源后��, 包括
所迷請求用戶端接收到所述接收服務(wù)器發(fā)送的第一驗證因子�����,并根據(jù)所述 第 一驗證因子獲取第 一驗證碼���;
接收用戶端從所述接收服務(wù)器獲取第二驗證信息��;
所述驗證服務(wù)器接收所述接收用戶端提交的第二驗證信息�,還接收所述請 求用戶端發(fā)來的第 一驗證碼����;并根據(jù)所述第 一驗證碼和所迷第二驗證信息驗證 所述第一信源的完整性。
一種驗證服務(wù)器����,包括
第一接收模塊,用于接收來自請求用戶端的第一驗證碼���; 第二接收模塊�����,用于接收來自接收用戶端的第二驗證信息���; 驗證模塊,用于根據(jù)所述第一驗證碼以及所述第二驗證信息驗證所述第一 信源的完整性�����。
一種接收服務(wù)器��,包括
信源接收模塊��,用于接收請求用戶端提交的第一信源�����;
第 一發(fā)送模塊���,用于發(fā)送第 一驗證因子到所述請求用戶端�;
因子接收模塊��,用于接收接收用戶端提交第二驗證因子;
第二發(fā)送模塊�����,用于發(fā)送第二驗證信息到接收用戶端�。 一種客戶端主才幾,包括信源發(fā)送;f莫塊���,用于向接收服務(wù)器發(fā)送第一信源���;
第一提交模塊,用于在信源發(fā)送模塊發(fā)送第一信源后���,接收所述接收服務(wù) 器發(fā)送的第一驗證因子��,并向驗證服務(wù)器提交根據(jù)所述第一驗證因子獲取的第 一驗i正碼�����;和/或
因子發(fā)送模塊����,用于發(fā)送第二驗證因子到所述接收服務(wù)器��;
第二提交模塊,用于在因子發(fā)送模塊發(fā)送第二驗證因子后���,從所述接收服 務(wù)器獲取第二驗證信息��,并提交所述第二驗證信息到所述驗證服務(wù)器����。
一種-驗證信源完整性的系統(tǒng)���,包括
請求用戶端,用于在向接收服務(wù)器發(fā)送第一信源后���,接收所述接收服務(wù)器 發(fā)送的第一驗證因子�����,并向驗證服務(wù)器提交根據(jù)所述第一驗證因子獲取的第一 驗證碼���;
接收服務(wù)器,用于在接收到所述請求用戶端提交的第一信源后���,發(fā)送第一 驗證因子到所述請求用戶端��,在接收到所述接收用戶端發(fā)送的第二驗證因子后����, 發(fā)送第二驗證信息到所述接收用戶端;
接收用戶端����,用于發(fā)送第二驗證因子到所述接收服務(wù)器,并在發(fā)送所述第 二驗證因子后����,接收到來自所述接收服務(wù)器的第二驗證信息,提交所述第二驗 證信息到所述驗證服務(wù)器�;
驗證服務(wù)器,用于接收來自所述請求用戶端的第一驗證碼���,和接收來自所
述接收用戶端的第二驗證信息���,并根據(jù)所述第一驗證碼以及所述第二驗證信息 驗證所述第 一信源的完整性。
本發(fā)明實施例提供的方案通過采用在用戶端和接收服務(wù)器之間增加第三方 驗證環(huán)節(jié)的技術(shù)方案�����,解決了現(xiàn)有技術(shù)中僅需假冒接收服務(wù)器一方分發(fā)的公鑰 便可使用戶端通過假信源的驗證���,從而導(dǎo)致用戶端因遵從該假信源進(jìn)行操作�, 引發(fā)的業(yè)務(wù)無法正常進(jìn)行的技術(shù)問題,進(jìn)而取得了提高對信源驗證的可靠性����, 增強(qiáng)信源傳遞的完整性,從而保證了驗證信源完整性的技術(shù)效果���。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實施 例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述 中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講����,在不付 出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�����。
圖1為本發(fā)明實施例l驗證信源完整性方法中消費(fèi)者用戶端提交訂單階段
的流程圖2為本發(fā)明實施例1驗證信源完整性方法中商家用戶端接收訂單階段的 流程圖3為本發(fā)明實施例1驗證信源完整性方法中驗證訂單階段的流程圖4為本發(fā)明實施例2用戶端400的結(jié)構(gòu)示意圖5為本發(fā)明實施例2接收服務(wù)器500的結(jié)構(gòu)示意圖6為本發(fā)明實施例2驗證服務(wù)器600的結(jié)構(gòu)示意圖7為本發(fā)明實施例2密鑰提供服務(wù)器700的結(jié)構(gòu)示意圖8為本發(fā)明實施例3 -瞼證信源完整性的系統(tǒng)800的結(jié)構(gòu)示意圖��。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清 楚����、完整地描述,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是 全部的實施例?���;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造 性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護(hù)的范圍���。并且,以 下各實施例均為本發(fā)明的可選方案���,實施例的排列順序及實施例的編號與其優(yōu) 選執(zhí)4于順序無關(guān)�。實施例1
本實施例具體結(jié)合在淘寶網(wǎng)上進(jìn)行交易的場景下,當(dāng)信源為訂單時的一種
驗證信源完整性的方法���。即在本實施例中���,提供一種驗證訂單完整性的方法。 其中���,在本實施例里����,所述訂單具體為一種html丈檔����。 請求用戶端可具體為消費(fèi)者用戶端,屬于用戶端�����; 接收用戶端可具體為商家用戶端�����,屬于用戶端���;
接收服務(wù)器具體為用于展示各類商品信息�、并接收消費(fèi)者訂單的訂單接 收服務(wù)器���,屬于淘寶網(wǎng)����;
驗證服務(wù)器可具體為用于作為第三方驗證設(shè)備的訂單驗證服務(wù)器��,屬于 網(wǎng)銀��;
密鑰提供服務(wù)器可具體為交易支付平臺系統(tǒng)的密鑰提供服務(wù)器��,屬于網(wǎng)銀�����。
在本實施例中�,整個方法的流程可主要分為四個階段,包括消費(fèi)者用戶 端和商家用戶端注冊階段�����,消費(fèi)者用戶端訂單提交階段����,商家用戶端訂單接收 階段��,訂單的驗證階段����。
其中����,在消費(fèi)者用戶端和商家用戶端注冊階段主要包括 消費(fèi)者用戶端和商家用戶端分別在交易支付平臺系統(tǒng)注冊,提交各自的用 戶信源�,對于其中的任意一份用戶信息,以消費(fèi)者用戶端提交的用戶信息為例�����, 交易支付平臺系統(tǒng)的密鑰提供服務(wù)器在接收到該用戶信息后�����,生成共享密鑰的 三個參數(shù)���,并將該共享密鑰的三個參數(shù)分別分發(fā)到消費(fèi)者用戶端、訂單接收服 務(wù)器和訂單驗證服務(wù)器����。該消費(fèi)者用戶端�����、該訂單接收服務(wù)器和改訂單驗證服 務(wù)器接收并存儲各自的共享密鑰的參數(shù)����。
同理���,對應(yīng)商家用戶端提交的用戶信息���,交易支付平臺系統(tǒng)的密鑰提供服務(wù)器在接收到該用戶信息生成共享密鑰的三個參數(shù),并將該共享密鑰的三個參 數(shù)分別分發(fā)到商家用戶端�、訂單接收服務(wù)器和訂單3企證服務(wù)器。該商家用戶端�、 該訂單接收服務(wù)器和訂單驗證服務(wù)器接收并存儲各自的共享密鑰的參數(shù)。
本實施例中�,對于任意一份來自用戶端的用戶信息,密鑰提供服務(wù)器具體
通過拉格朗日方程生成對應(yīng)的共享密鑰的三個參數(shù)���,采用該方法的優(yōu)點在于
消費(fèi)者用戶端�����、訂單接收服務(wù)器和訂單驗證服務(wù)器中的任意一方獲取對應(yīng)三個
參數(shù)中的任意兩個�,均可以計算出完整的共享密鑰;同理���,商家用戶端���、訂單
接收服務(wù)器和訂單驗證服務(wù)器中的任意一方獲取對應(yīng)三個參數(shù)中的任意兩個,
也均可以計算出完整的共享密鑰���。
通過拉格朗日方程生成共享密鑰的方法具體內(nèi)容如下
struct shadow—struct { int
unsigned y;
};
typedef struct shadow—struct shadow—type; int GFinv[257]=
{0�����, 1��,129�, 86,193,103, 43,147��,225,200��,180��,187,150����,178�����,
202,120,241,121,100,230, 90, 49,222,190, 75��, 72, 89,238����, 101,195, 60,199,249,148,189,235, 50,132,115,145, 45,163, 153, 6���,111, 40, 95,175,166�����, 21����, 36,126,173, 97,119,243, 179,248,226, 61, 30��, 59,228,102,253, 87����, 74,234,223,149, 246,181, 25,169, 66, 24,186,247,201 ���,244����, 151�����, 165,210, 96, 205,127���, 3�, 65,184���, 26, 20,209,176,152,216, 46, 83, 53, 139,135,18,28, 63, 5�,215����,164�,177,245��,188,224,250,44, 218,116,124, 38,113,134,159, 54, 15����, 17,158,140,114,220, 51, 85,255, 2,172,206���, 37,143,117, 99,240,242,203, 98,123,144��,219,133,141, 39����,213, 7, 33, 69, 12��, 80��, 93�����, 42, 252,194,229,239,122,118,204,174,211, 41,105, 81���, 48,237, 231, 73,192,254,130���, 52,161,47, 92,106��, 13���, 56,10, 71, 233,191, 88,232, 76,11,108, 34,23,183,170,4��,155����, 29, 198,227,196, 31, 9, 78,14,138,160, 84,131,221,236, 91,
82,162,217,146,251,104�, 94,212,112��,142��,125,207��, 22, 68�����, 109, 8, 58�����,197, 62���,156�����, 19,168,185,182�, 67, 35,208,167,
27,157,136, 16,137�, 55, 79,107��, 70����, 77, 57, 32,110,214, 154, 64�����,171,128���,256
};
long int GFpow(x,y) long int x���,y;
long int i,z;
z=l; if(y!=0) {
for(i=l;i<=y;i++) { z承=
if(z>=257) z %= 257;
}/*endif"7 return z;
long int solve—system(long int **a��, long int n) long int eqn, var, inv, i;
for(eqn = n;eqn>=0;eqn—){/* Eliminate orders from highest down */ inv = GFinv[a[eqn〗[eqn]];for(var-O;var <= eqn;var++){ /* mult row by inv */a[eqn][var] = (a[eqn][var] * inv) % 257;
a[eqn]〖n+l〗=(a[eqn][n+l] * inv) % 257;
for(i=0;i<eqn;i++){ /* eliminate variable from all lower equations */a[i][n+l〗=(a[i][n+l] - (a[eqn][n+l] * a[i][eqn〗)% 257 + 257) % 257;for(var=0;var <= eqn;var++){
a[i][var] = (a[i][var] - (a[eqn][var] * a[i][eqn〗)% 257 + 257) % 257;
return a
[n+l];
shadow—type *make—shadow(n���,m,sec)long int n,m��,sec;
long int i���,j;shadow—type *s;unsigned coef;
s = (shadow—type *) malloc((m*sizeof(shadow_type)));if(s==NULL){
printf("CouId not allocate memory for shadows\n����,,)��;
exit(O);
for(j=l;j<=md++) {
s[H]-y = sec; /* initialize shadows with secret */
for(i==l;i<n;i++){ /* create the polynomial x...xA(n-l) */coef=prand(l)%257;
for(j=l;j<=m;j++){ /* calculate the shadows */s[j-l]'y = (s(J扁l].y + (coef * GFpow(j�,i))) % 257;/* add in orders */
return(s);
long int combine—shadows(n,s)long int wshadow—type *s;
long int i,j, *�����、
a=make—matrix(0L,n-l瓜���,n);if(a==NULL) exit(O);
for(i=0;i<n;i++){ /*byrows*/a[i][n] = s[i].y;a[i]
.x�,j);
return solve—system(a,n-l);
在本實施例中��,設(shè)密鑰提供服務(wù)器與消費(fèi)者用戶端之間的共享密鑰為KeyC,其中���,消費(fèi)者用戶端持有的參數(shù)記作KeyCl,存儲在訂單接收服務(wù)器的參數(shù)記作KeyC2��,存儲在訂單驗證服務(wù)器的參數(shù)記作KeyC3�����。
設(shè)密鑰提供服務(wù)器與商家用戶端之間的共享密鑰為KeyB,其中,商家用戶端持有的參數(shù)記作KeyBl����,存儲在訂單接收服務(wù)器的參數(shù)記作KeyB2,存儲在訂單驗證服務(wù)器的參數(shù)記作KeyB3����。
在該方法中,如圖1所示為本發(fā)明實施例提供的方法中的消費(fèi)者用戶端提交訂單階段流程圖���,包括
步驟101:消費(fèi)者用戶端登錄交易支付平臺系統(tǒng)����,填寫訂單頁面�����,生成訂單,設(shè)該訂單為D,并提交D到訂單接收服務(wù)器�。
步驟102:訂單接收服務(wù)器接收到D�����,為D分配唯一的序列號SN(D)���,根據(jù)D和SN(D)計算數(shù)字摘要HO (D)�����,并將包含D、 SN(D)和其存儲的KeyC2的第一驗證因子發(fā)送到消費(fèi)者用戶端。
其中����,步驟102還包括訂單接收服務(wù)器在為D分配了 SN (D)后����,發(fā)送SN(D)到商家用戶端�����,該商家用戶端在登陸后�����,便可獲取該SN(D)。
步驟103:消費(fèi)者用戶端接收到包含D、 SN(D)和KeyC2的第一驗證因子�,根據(jù)D和SN(D)計算數(shù)字摘要H1(D)��,根據(jù)KeyCl和KeyC2計算得到KeyC,用KeyC對H1(D)加密得到驗證碼EH1 (D ),并將該EH1 (D )發(fā)送到訂單接收服務(wù)器��。
步驟104:訂單接收服務(wù)器保存D���, H0(D)和EH1 (D)�����,等待商家查詢時,供商家下載。
如圖2所示為本發(fā)明實施例提供的方法中的商家用戶端訂單接收階段流程圖�����,包括
步驟201:商家用戶端登陸交易支付平臺系統(tǒng)����,并向訂單接收服務(wù)器提交包含獲取的SN (D)和其持有的KeyBl的第二驗證因子�,請求下載D;
步驟202:訂單接收服務(wù)器根據(jù)SN(D)檢索得到訂單D���,和摘要HO(D)���。步驟203:訂單接收服務(wù)器根據(jù)KeyBl和自身存儲的KeyB2計算出KeyB���,并用KeyB對HO (D)進(jìn)行加密,從而得到驗證碼EHO (D)����。
步驟203:訂單接收服務(wù)器將包含D���, ��、 SN(D)和EHO (D)的第二驗證信息發(fā)送到該商家用戶端��。
如圖3所示為本發(fā)明實施例提供的方法中的訂單驗證階段流程圖�,包括
步驟301:訂單驗證服務(wù)器分別接收到來自上述消費(fèi)者用戶端的EH1 (D ),和來自商家用戶端的包含SN (D)、 D����,和EHO(D)的第二驗證信息。
步驟302:訂單驗證服務(wù)器從訂單接收服務(wù)器獲取其存儲的對應(yīng)消費(fèi)者用戶端的KeyC2和對應(yīng)商家用戶端的KeyB2�。
步驟303:訂單驗證服務(wù)器根據(jù)KeyB2和自身存儲的KeyB3計算出KeyB���,并用KeyB解密EHO ( D)得到HO (D);同理�����,訂單驗證服務(wù)器根據(jù)KeyC2和自身存儲的KeyC3計算出KeyC;并用KeyC解密EH1 (D)得到HI (D);并且訂單驗證服務(wù)器還根據(jù)D����,和SN (D)計算得到H2(D)。
步驟304:判斷HO (D)���、 HI (D)和H2(D)是否一致�,如果判定一致�,則確定D具備完整性,即該訂單有效�。因為當(dāng)判定一致時,則代表D與D��,為同一份訂單�����,即是也il明D未4皮篡改���,此時��,商家用戶端可#4居所述訂單進(jìn)行操作;否則���,提示出錯信息����。
此外�����,在本實施例所提供的方案中��,從步驟301可以看出D�����, 、 SN(D)���、 EHO(D)是訂單服務(wù)器從商家用戶端獲取的����,EH1 (D)是訂單服務(wù)器從消費(fèi)者用戶端獲取的���,如果判定HO (D)、 Hl (D)和H2(D)三者不一致����,則訂單驗證服務(wù)器還可從訂單接收服務(wù)器獲取D���, 、 SN(D)���、 EHO (D)以及EH1 (D)�,進(jìn)行進(jìn)一步的解密和比對�,以便確定到底是消費(fèi)者用戶端,還是商家的環(huán)節(jié)出了問題���。優(yōu)選地��,本發(fā)明實施例中�����,消費(fèi)者用戶端和密鑰提供服務(wù)器之間的共享
密鑰KeyC可以經(jīng)常變換���。在每一次消費(fèi)者用戶端和密鑰提供服務(wù)器之間的共享密鑰發(fā)生變化時,密鑰提供服務(wù)器都會生成三個更新后的參數(shù)�����,并將該更新后的三個參數(shù)分別分發(fā)給消費(fèi)者用戶端、訂單接收服務(wù)器和訂單驗證服務(wù)器��。上述消費(fèi)者用戶端����、上述訂單接收服務(wù)器和上述訂單驗證服務(wù)器接收到各自的參數(shù)后,分別用該新接收到的參數(shù)更新已存儲的對應(yīng)參數(shù)����。
同樣地,本發(fā)明實施例中���,商家用戶端和密鑰提供服務(wù)器之間的共享密鑰KeyB也可以經(jīng)常變換���。在每一次商家用戶端和密鑰提供服務(wù)器之間的共享密鑰變化時,密鑰提供服務(wù)器同樣會生成三個更新后的參數(shù)�����,并同樣將該更新后的三個參數(shù)分別發(fā)放到商家用戶端����、訂單接收服務(wù)器和訂單驗證服務(wù)器。上述消費(fèi)者用戶端��、上述訂單接收服務(wù)器和上述訂單驗證服務(wù)器接收到各自的參數(shù)后��,分別用該新接收到的參數(shù)更新已存儲的對應(yīng)參數(shù)�。同理,當(dāng)商家用戶端和密鑰提供服務(wù)器之間的共享密鑰變化時���,密鑰提供服務(wù)器同樣會生成三個更新后的參數(shù)����,并同樣將該更新后的三個參數(shù)分別發(fā)放到消費(fèi)者用戶端�����、訂單接收服務(wù)器和訂單驗證服務(wù)器�����。
在現(xiàn)有技術(shù)中����,驗證訂單的完整性的方法僅涉及用戶端和訂單接收服務(wù)器
兩方,由此導(dǎo)致了釣魚網(wǎng)站等冒充訂單接收服務(wù)器向用戶端發(fā)放假公鑰和假訂
單的技術(shù)問題�����,而本發(fā)明實施例通過采用在用戶端和訂單接收服務(wù)器之間引入
第三方驗證環(huán)節(jié)的技術(shù)方案,解決了現(xiàn)有技術(shù)中的驗證信源完整性時僅需一方
的密鑰的技術(shù)問題�,進(jìn)而取得了提高對信源驗證的可靠性,增加信源傳遞的完
整性的技術(shù)效果�。實施例2
本實施例具體提供一種客戶端主機(jī)400,該客戶端主機(jī)即可作為實施例1方法中消費(fèi)者用戶端����,也可以作為實施例1方法中商家用戶端。如圖4所示�����,該
客戶端主機(jī)400包括信源發(fā)送模塊41,第一提交模塊42�����,因子發(fā)送模塊43����, 第二提交模塊44。
信源發(fā)送模塊41�����,用于向接收服務(wù)器發(fā)送第一信源����;第一提交模塊42���,用 于在信源發(fā)送模塊41發(fā)送第一信源后�����,接收所述接收服務(wù)器發(fā)送的第一驗證因 子���,并向驗證服務(wù)器提交根據(jù)所述第一驗證因子獲取的第一驗證碼�����;因子發(fā)送 模塊43�,用于發(fā)送第二驗證因子到所述接收服務(wù)器��;第二提交模塊44,用于在 因子發(fā)送模塊43發(fā)送第二驗證因子后����,從所述接收服務(wù)器獲取第二驗證信息, 并提交所述第二驗證信息到所述驗證服務(wù)器����。
其中�,第一提交模塊42包括獲取單元421��。獲取單元421���,用于根據(jù)所 述第 一驗證因子獲取第 一驗證碼�����。
進(jìn)一步����,在本實施例中還包括如下可選模塊注冊模塊45��,存儲模塊46���,
更新接收模塊47,更新模塊48��。
注冊模塊45用于在密鑰提供服務(wù)器進(jìn)行注冊�����,并提交用戶信息到所述密鑰 提供服務(wù)器�����;存儲模塊46用于在注冊模塊45注冊時��,接收并存儲來自密鑰提 供服務(wù)器的至少一個共享密鑰的參數(shù)����,所述至少一個共享密鑰的參數(shù)包括對應(yīng) 客戶端主機(jī)作為消費(fèi)者用戶端時的參數(shù),和/或?qū)?yīng)客戶端主機(jī)作為商家用戶端 時的參數(shù)�����。
更新接收模塊47,用于接收到來自所述密鑰提供服務(wù)器的更新后的共享密 鑰的參數(shù)��;更新模塊48����,用于用更新接收模塊47接收到的共享密鑰的參數(shù)對應(yīng) 替換參數(shù)存儲模塊46已存儲的共享密鑰的參數(shù)���。
在本實施例中的第 一提交模塊42接收到的第 一驗證因子包括所述第 一信 源�����,信源序列號�����,以及所述接收服務(wù)器存儲的對應(yīng)請求用戶端的參數(shù)����;
因子發(fā)送模塊43發(fā)送的所述第二驗證因子包括存儲模塊46存儲的參數(shù) 和所述信源序列號。本實施例繼續(xù)提供一種接收服務(wù)器500,以便實施例1方法中涉及訂單接收 服務(wù)器的方法的部署����。如圖5所示,該接收服務(wù)器500包括信源接收模塊51�, 第一發(fā)送模塊52,因子接收模塊53,第二發(fā)送模塊54����。
信源接收模塊51,用于接收請求用戶端提交的第一信源;第一發(fā)送模塊 52,用于發(fā)送第一-驗證因子到所述請求用戶端��;因子接收模塊53,用于接收用 戶端提交第二驗證因子��;第二發(fā)送模塊54�����,用于發(fā)送第二聰r證信息到接收用戶 端��。
其中,因子接收模塊53接收到的所述第二驗證因子包括所述信源序列號 和所述接收用戶端存儲的參數(shù)����。
進(jìn)一步,在本實施例中接收服務(wù)器500還可包括如下模塊存儲模塊55,
分配模塊56���,第二摘要獲取模塊57,第二驗證碼獲取模塊58���,更新接收模塊
59,更新模塊510。
存儲模塊55,用于接收并存儲來自密鑰提供服務(wù)器的對應(yīng)各個用戶端的參 數(shù)�,所述參數(shù)至少包括對應(yīng)所述請求用戶端的參數(shù)和對應(yīng)所述接收用戶端的參數(shù)。
分配模塊56�,用于為信源接收模塊51接收到的所述第一信源分配信源序列 號�����。在分配模塊56分配信源序列號后����,第一發(fā)送模塊52發(fā)送所述第一驗證因 子到請求用戶端,所述第一驗證因子包括所述第一信源�����,所述信源序列號��,以 及所述存儲模塊存儲的對應(yīng)請求用戶端的參數(shù)。并且����,第一發(fā)送模塊52還用于 將分配^^莫塊56分配的信源序列號發(fā)送到所述接收用戶端。
第二摘要獲取模塊57,用于根據(jù)信源接收模塊51接收到的第一信源和分配 模塊56分配的信源序列號獲取第二數(shù)字摘要����;第二驗證碼獲取模塊58,用于根 據(jù)所述第二驗證因子和所述第二數(shù)字摘要獲取第二驗證碼。
更新接收模塊511用于接收到來自所述密鑰提供服務(wù)器的更新后的共享密鑰的參數(shù)�;更新模塊512,用于用更新接收模塊511接收到的參數(shù)對應(yīng)替換存儲
模塊55已存儲的參數(shù)�����。
在本實施例中�,第二驗證碼獲取模塊58包括信源查找單元581,第二驗 證碼獲取單元582��。
信源查找單元581,用于根據(jù)所述第二驗證因子中的信源序列號查找第二信 源和所述第二數(shù)字摘要�,其中,所述第二信源與所述第一信源擁有相同的信源 序列號����;
第二驗證碼獲取單元582,用于根據(jù)所述第二驗證因子中的參數(shù)和存儲模塊 55存儲的參數(shù)獲取共享密鑰,并用所述共享密鑰對所述第二數(shù)字摘要加密獲取 第二驗證碼。
具體地�����,第二發(fā)送模塊54發(fā)送第二驗證信息包括第二驗證碼獲取模塊58 獲取的所迷第二驗證碼�,信源查找單元581查找到的所述第二信源,以及因子 接收模塊53接收到的所述信源序列號�����。
本實施例繼續(xù)提供一種驗證服務(wù)器600����,以便實施例1中涉及訂單驗證服務(wù)
器的方法的部署,如圖6所示����,包括第一接收模塊61����,第二接收模塊62,驗 證才莫塊63。
第一接收模塊61�����,用于接收來自請求用戶端的第一驗證碼;第二接收模塊
62���,用于接收來自接收用戶端的第二驗證信息���;驗證模塊63,用于根據(jù)所述第
一驗證碼以及所述第二驗證信息驗證所述第一信源的完整性。��。
其中���,第二接收模塊62接收的第二驗證信息具體包括第二驗證碼���、第二信 源,和信源序列號����,需要說明的是所述第二信源的序列號為所述信源序列號。 進(jìn)一步��,在本實施例中的驗證服務(wù)器600還可包括如下可選模塊存儲模
塊64����,更新接收模塊65,更新模塊66。
存儲模塊64,用于接收并存儲來自密鑰提供服務(wù)器的對應(yīng)各個用戶端的參
數(shù)�����,所述參數(shù)至少包括對應(yīng)所述消費(fèi)者用戶端的參數(shù)和對應(yīng)所述商家用戶端的參數(shù)。
更新接收模塊65,用于接收到來自所述密鑰提供服務(wù)器的更新后的共享密
鑰的參數(shù)���;更新模塊66,用于用更新接收模塊65接收到的參數(shù)對應(yīng)替換存儲模 塊64已存儲的參數(shù)�����。
具體的����,驗證模塊63包括摘要獲取單元631,確定單元632�����。
摘要獲取單元631�,用于根據(jù)所述第一驗證碼獲取第一數(shù)字摘要,根據(jù)所述 第二驗證信息獲取第二數(shù)字摘要和第三數(shù)字摘要�����;確定單元632��,用于判斷所述 第一數(shù)字摘要���、所述第二數(shù)字摘要以及所述第三數(shù)字摘要是否皆一致�;如果判 定一致�,則確定所述第一信源具備完整性;否則���,提示出錯信息��。
進(jìn)一步的���,在本實施例中,摘要獲取單元631包括參數(shù)獲取子單元6311���, 第一摘要獲取子單元6312,第二摘要獲取子單元6313��,第三摘要獲取子單元 6314��。
參數(shù)獲取子單元6311��,用于從所述接收服務(wù)器獲取對應(yīng)所述請求用戶端的 參數(shù)和對應(yīng)所述接收用戶端的參數(shù)�����;第一摘要獲取子單元6312,用于根據(jù)存儲 模塊64存儲的對應(yīng)請求用戶端的參數(shù)和所述來自接收^^務(wù)器的對應(yīng)請求用戶端 的參數(shù)獲取共享密鑰�,并用所述共享密鑰解密所述第一驗證碼獲取第一數(shù)字摘 要;第二摘要獲取子單元6313�����,用于根據(jù)存儲模塊64存儲的對應(yīng)接收用戶端的 參數(shù)和所述來自接收服務(wù)器的對應(yīng)接收用戶端的參數(shù)獲取共享密鑰���,并用所述 共享密鑰解密所述第二驗證碼進(jìn)獲取第二數(shù)字摘要���;第三摘要獲取子單元6314, 用于根據(jù)所述第二信源和所述信源序列號獲取第三數(shù)字摘要。
本實施例再繼續(xù)提供一種密鑰提供服務(wù)器700,以便實施例1中涉及交易支 付平臺系統(tǒng)中的密鑰提供服務(wù)器的方法的部署��。如圖7所示���,包括生成模塊 71,分發(fā)模塊72���。
生成模塊71用于在用戶端注冊時,生成共享密鑰的三個參數(shù)���;分發(fā)模塊用于將生成的共享密鑰的三個參數(shù)對應(yīng)分發(fā)到設(shè)備中�����,其中�����,所述設(shè)備包括 接收服務(wù)器��,驗證服務(wù)器以及所述用戶端�����,其中����,所述用戶端包括所迷消費(fèi)者 用戶端和所述商家用戶端����。
其中,生成^^莫塊71包括生成單元711�����。
生成單元711用于在用戶端注冊時通過拉格朗日方程計算出共享密鑰的三 個參數(shù)��,以使任意一個設(shè)備通過所述三個參數(shù)中的任意兩個參數(shù)可計算出對應(yīng) 的共享密鑰���。
進(jìn)一步��,該密鑰提供服務(wù)器還可包括如下可選模塊更新模塊73��。 更新模塊73用于更新對應(yīng)所述消費(fèi)用戶端生成的三個共享密鑰的參數(shù)����,和
/或所述商家用戶端生成的三個共享密鑰的參數(shù)。
其中��,分發(fā)模塊72還用于將更新模塊73更新后的各個參數(shù)分別分發(fā)到對
應(yīng)的設(shè)備中�。
本發(fā)明實施例提供的方案具有如下有益效果通過采用在用戶端和接收服 務(wù)器之間增加第三方驗證環(huán)節(jié)的技術(shù)方案,解決了現(xiàn)有技術(shù)中僅需假冒接收服 務(wù)器一方分發(fā)的公鑰便可使用戶端通過假信源的驗證�����,從而導(dǎo)致用戶端因遵從 該假信源進(jìn)行操作���,引發(fā)的業(yè)務(wù)無法正常進(jìn)行的技術(shù)問題����,進(jìn)而取得了提高對 信源驗證的可靠性��,增強(qiáng)信源傳遞的完整性�����,從而保證了驗證信源完整性的技 術(shù)效果。
實施例3
本實施例提供一種驗證信源完整性的系統(tǒng)800�����,如圖8所示��,該系統(tǒng)包括 請求用戶端81,接收服務(wù)器82�,接收用戶端83�����,驗證服務(wù)器84�����。
請求用戶端81用于在向接收服務(wù)器82發(fā)送第一信源后��,接收來自接收服 務(wù)器82的第一驗證因子����,并向驗證服務(wù)器83提交根據(jù)所述第一驗證因子獲取的第一驗證碼。
接收服務(wù)器82用于在接收到請求用戶端81提交的第一信源后�,發(fā)送第一 驗證因子到請求用戶端81,在接收到接收用戶端83發(fā)送的第二驗證因子后,發(fā) 送第二驗證信息到接收用戶端83����。
接收用戶端83用于發(fā)送第二騶r證因子到接收服務(wù)器82,并在發(fā)送所述第二 驗證因子后�,接收到來自接收服務(wù)器82的第二驗證信息,提交所述第二瑤4正信 息到驗證服務(wù)器84����。
驗證服務(wù)器84用于接收來自請求用戶端81的第一驗證碼,和接收來自接 收用戶端83的第二驗證信息���,并根據(jù)所述第一驗證碼以及所述第二驗證信息驗 證所述第一信源的完整性�。
在本實施例的系統(tǒng)800中還可包括密鑰提供服務(wù)器85�。
該密鑰提供服務(wù)器85用于在所述請求用戶端81注冊時,根據(jù)拉格朗日方 程為所述請求用戶端81生成共享密鑰的三個參數(shù)����,并將所述三個參數(shù)對應(yīng)分發(fā) 到所述接收服務(wù)器82,所述驗證服務(wù)器84以及所述請求用戶端81。
相應(yīng)地���,接收服務(wù)器82����、所述驗證服務(wù)器84以及所述請求用戶端81中的 任意一個設(shè)備,在接收到其對應(yīng)的參數(shù)后��,存儲所述參數(shù)�。
密鑰提供服務(wù)器85,還用于在所述接收用戶端83注冊時���,根據(jù)拉格朗日方 程為所述接收用戶端83生成共享密鑰的三個參數(shù)�����,并將所述三個參數(shù)對應(yīng)分發(fā) 到所述接收服務(wù)器82,所述驗證服務(wù)器84以及所述接收用戶端�����。
相應(yīng)地���,接收服務(wù)器82����、所述驗證服務(wù)器84以及所述接收用戶端83中的
任意一個設(shè)備�����,在接收到其對應(yīng)的參數(shù)后,存儲所述參數(shù)���。
其中��,接收服務(wù)器82發(fā)送到請求用戶端81的第一-驗證因子具體包括所 述第一信源����,接收服務(wù)器82為所述第一信源分配的信源序列號�����,以及接收服務(wù) 器82存儲的對應(yīng)請求用戶端81的參數(shù)�����。在本實施例中�����,接收用戶端83發(fā)送到驗證服務(wù)器84的第二驗證信息具體 包括第二驗證碼����,第二信源,以及接收力i務(wù)器82為所述第一信源分配的信源 序列號��,其中,所述第二信源與所述第一信源擁有相同的信源序列號���。
那么��,驗證服務(wù)器84根據(jù)所述第 一驗證碼以及所述第二驗證信息驗證所述
第一信源的完整性具體為
驗證服務(wù)器84從所述接收服務(wù)器82獲取對應(yīng)所述請求用戶端81的參數(shù)和 對應(yīng)所述接收用戶端83的參數(shù)�����,并根據(jù)所述其存儲的對應(yīng)請求用戶端81的參 數(shù)和所述來自接收服務(wù)器82的對應(yīng)請求用戶端的參數(shù)獲取共享密鑰����,再用所述 共享密鑰解密所述第一驗證獲取第一數(shù)字摘要���;根據(jù)所述其存儲的對應(yīng)接收用 戶端83的參數(shù)和所述來自接收服務(wù)器82的對應(yīng)接收用戶端83的參數(shù)獲取共享 密鑰,再用所述共享密鑰解密所述第二驗證碼獲取第二數(shù)字摘要�����。
驗證服務(wù)器84根據(jù)所述第二信源和所述信源序列號獲取第三數(shù)字摘要��,并 判斷所述第一數(shù)字摘要��、所述第二數(shù)字摘要以及所述第三數(shù)字摘要是否皆一致���; 如果判定一致���,則所述第一信源具備完整性��;否則���,提示出錯信息。
本發(fā)明實施例提供的系統(tǒng)具有如下有益效果在用戶端和訂單接收服務(wù)器 之間引入第三方驗證環(huán)節(jié)的技術(shù)方案��,解決了現(xiàn)有技術(shù)中的驗證信源完整性時 僅需一方的密鑰的技術(shù)問題���,進(jìn)而取得了提高對信源驗證的可靠性�����,增加信源 傳遞的完整性的技術(shù)效果��。
通過以上的實施方式的描述����,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)��,當(dāng)然也可以通過硬件�����,但 很多情況下前者是更佳的實施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)
機(jī)軟件產(chǎn)品存儲在可讀取的存儲介質(zhì)中�,如計算機(jī)的軟盤,硬盤或光盤等���,包 括若干指令用以使得一臺設(shè)備執(zhí)行本發(fā)明各個實施例所述的方法��。以上所述����,僅為本發(fā)明的具體實施方式
���,但本發(fā)明的保護(hù)范圍并不局限于 此��,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到 變化或替換����,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此�����,本發(fā)明的保護(hù)范圍應(yīng) 所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1�、一種驗證信源完整性的方法,其特征在于����,在請求用戶端向接收服務(wù)器提交第一信源后,包括所述請求用戶端接收到所述接收服務(wù)器發(fā)送的第一驗證因子���,并根據(jù)所述第一驗證因子獲取第一驗證碼�;接收用戶端從所述接收服務(wù)器獲取第二驗證信息�����;所述驗證服務(wù)器接收所述接收用戶端提交的第二驗證信息����,還接收所述請求用戶端發(fā)來的第一驗證碼;并根據(jù)所述第一驗證碼和所述第二驗證信息驗證所述第一信源的完整性��。
2��、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于,所述第一驗證因子包括所 述第一信源���,所述接收服務(wù)器為所述第一信源分配的信源序列號����,以及所述接 收服務(wù)器存儲的對應(yīng)所述請求用戶端的參數(shù)����。
3、 根據(jù)權(quán)利要求l或2所述的方法����,其特征在于,所述第二驗證信息包括 第二驗證碼��,第二信源��,以及所述接收服務(wù)器為所述第一信源分配的信源序列 號�,其中����,所述第二信源與所述第一信源擁有相同的信源序列號�。
4�、 根據(jù)權(quán)利要求3所述的方法,其特征在于����,所述請求用戶端存儲有來自 所述密鑰提供服務(wù)器的參數(shù);所述請求用戶端根據(jù)所述第一驗證因子獲取第一驗證碼包括所述請求用戶端根據(jù)所述第一驗證因子中的參數(shù)和自身存儲的參數(shù)獲取共享密鑰���,并用所述共享密鑰加密第一驗證因子的部分運(yùn)算結(jié)果以獲取第一驗證碼�。
5���、 根據(jù)權(quán)利要求4所述的方法����,其特征在于����,所述第一驗證因子的部分運(yùn) 算結(jié)果為對所述第 一驗證因子中的第 一信源和信源序列號進(jìn)行運(yùn)算后得到的第 一數(shù)字摘要。
6���、 根據(jù)權(quán)利要求3所述的方法�,其特征在于,在請求用戶端向接收服務(wù)器 提交第一信源后�,該方法還包括所述接收服務(wù)器根據(jù)所述第一信源和所述信源序列號獲取第二數(shù)字摘要。
7�����、 根據(jù)權(quán)利要求6所述的方法���,其特征在于��,所述接收服務(wù)器發(fā)送所述信源序列號到所述接收用戶端��;所述接收用戶端存儲有來自密鑰提供服務(wù)器的參 數(shù)����;在所述接收用戶端從所述接收服務(wù)器獲取第二驗證信息之前���,該方法還包括所述接收用戶端提交第二驗證因子到所述接收服務(wù)器�����,所述第二驗證因子 包括所述信源序列號和所述接收用戶端存儲的參數(shù)�����;所述接收服務(wù)器根據(jù)所述第二驗證因子和所述第二數(shù)字摘要獲取第二驗證 碼����,并發(fā)送包含所述第二驗證碼的第二驗證信息到所述接收用戶端�。
8、 根據(jù)權(quán)利要求7所述的方法�,其特征在于,所述接收服務(wù)器存儲有來自 所述密鑰提供服務(wù)器的對應(yīng)所述接收用戶端的參數(shù)��;所述接收服務(wù)器根據(jù)所述第二驗證因子和所述第二數(shù)字摘要獲取第二驗證 碼包括所述接收服務(wù)器根據(jù)所述第二驗證因子中的信源序列號查找到所述第二信 源和所述第二數(shù)字摘要�����;所述接收服務(wù)器根據(jù)所述第二驗證因子中的參數(shù)和其存儲的參數(shù)獲取共享 密鑰����,并用所述共享密鑰對所述第二數(shù)字摘要加密獲取第二驗證碼。
9��、 根據(jù)權(quán)利要求3所述的方法�����,其特征在于����,所述驗證服務(wù)器根據(jù)所述第 一驗證碼和所述第二-驗證信息驗證所述第 一信源的完整性包括所述驗證服務(wù)器根據(jù)所述第一驗證碼獲取第一數(shù)字摘要��,根據(jù)所述第二驗 證信息獲取第二數(shù)字摘要和第三數(shù)字摘要��;所述驗證碼服務(wù)器判斷所述第一數(shù)字摘要�、所述第二數(shù)字摘要以及所述第三數(shù)字摘要是否皆一致�����;如果判定一致��,則確定所述第一信源具備完整性�����;否則���,提示出錯信息���。
10、 根據(jù)權(quán)利要求9所述的方法�,其特征在于,所述驗證服務(wù)器存儲有來 自密鑰提供服務(wù)器的對應(yīng)所述請求用戶端的參數(shù)�����;所述接收服務(wù)器存儲有對應(yīng) 所述請求用戶端的參數(shù);所迷驗證服務(wù)器根據(jù)所述第 一驗證碼獲取第 一數(shù)字摘要包括所述驗證服務(wù)器從所述接收服務(wù)器獲取對應(yīng)所述請求用戶端的參數(shù)�; 所述驗證服務(wù)器根據(jù)其存儲的對應(yīng)請求用戶端的參數(shù)和所述來自接收服務(wù)器的對應(yīng)請求用戶端的參數(shù)獲取共享密鑰,并用所述共享密鑰解密所述第一驗證碼獲取第一數(shù)字摘要�。
11�、 根據(jù)權(quán)利要求9或IO所述的方法,其特征在于�����,所述驗證服務(wù)器存儲 有來自密鑰提供服務(wù)器的對應(yīng)所述請求用戶端的參數(shù)����;所述接收服務(wù)器存儲有 對應(yīng)所述請求用戶端的參數(shù);所述根據(jù)所述第二驗證信息獲取第二數(shù)字摘要和第三數(shù)字摘要包括所述驗證服務(wù)器從所述接收服務(wù)器獲取對應(yīng)所述接收用戶端的參數(shù)�����; 所述驗證服務(wù)器根據(jù)其存儲的對應(yīng)接收用戶端的參數(shù)和所述來自接收服務(wù)器的對應(yīng)接收用戶端的參數(shù)獲取共享密鑰�����,并用所述共享密鑰解密所述第二驗證碼獲取第二數(shù)字摘要���;所述驗證服務(wù)器根據(jù)所述第二信源和所述信源序列號荻取第三數(shù)字摘要����。
12、 根據(jù)權(quán)利要求1所述的方法��,其特征在于���,該方法還包括 在用戶端注冊時���,密鑰提供服務(wù)器為所述用戶端生成共享密鑰的至少三個參數(shù),以使任意一個設(shè)備通過所述至少三個參數(shù)中的任意兩個參數(shù)可獲取所述 共享密鑰���;所述密鑰提供服務(wù)器將所述至少三個參數(shù)分發(fā)到各個設(shè)備中�����; 所述各個設(shè)備中的任意一個設(shè)備�����,在接收到其對應(yīng)的參數(shù)后���,存儲所述參 數(shù)���,所述各個設(shè)備至少包括接收服務(wù)器,驗證服務(wù)器以及所述用戶端�。
13、 根據(jù)權(quán)要求12所述的方法���,其特征在于�����, 當(dāng)所述用戶端為請求用戶端時,所述密鑰提供服務(wù)器為所述用戶端生成共享密鑰的至少三個參數(shù)��,以使任 意一個設(shè)備通過所述至少三個參數(shù)中的任意兩個參數(shù)可獲取所述共享密鑰具體為所述密鑰提供服務(wù)器根據(jù)拉格朗日方程為所述請求用戶端生成共享密鑰的 三個參數(shù)���,以使任意一個設(shè)備通過所述三個參數(shù)中的任意兩個參數(shù)可獲取所述 共享密鑰��;則所述密鑰提供服務(wù)器將所述至少三個參數(shù)分發(fā)到各個設(shè)備中具體為所 述密鑰提供服務(wù)器將所述三個參數(shù)對應(yīng)分發(fā)到所述接收服務(wù)器�,所述驗證服務(wù) 器以及所述請求用戶端�����;當(dāng)所述用戶端為接收用戶端時��,所述密鑰提供服務(wù)器為所述用戶端生成共享密鑰的至少三個參數(shù),以使任 意一個設(shè)備通過所述至少三個參數(shù)中的任意兩個參數(shù)可獲取所述共享密鑰具體 為所述密鑰提供服務(wù)器根據(jù)拉格朗日方程為所述接收用戶端生成共享密鑰的 三個參數(shù)��,以使任意一個設(shè)備通過所述三個參數(shù)中的任意兩個參數(shù)可獲取所述 共享密鑰���;則所述密鑰提供服務(wù)器將所述至少三個參數(shù)分發(fā)到各個設(shè)備中具體為所 述密鑰提供服務(wù)器將所述三個參數(shù)對應(yīng)分發(fā)到所述接收服務(wù)器�,所述驗證服務(wù) 器以及所述接收用戶端���。
14�、根據(jù)權(quán)利要求12所述的方法�����,其特征在于�����,在所述請求用戶端和所述 接收用戶端分別在密鑰提供服務(wù)器注冊后�����,該方法還包括所述密鑰提供服務(wù)器更新為請求用戶端生成的共享密鑰的三個參數(shù)����,并將 更新后的三個參數(shù)對應(yīng)分發(fā)到三個設(shè)備中���;對于所述三個設(shè)備中的任意一個設(shè)備,在接收到更新后的所述參數(shù)后����,用 更新后的所述參數(shù)對應(yīng)替換已存儲的參數(shù);和/或所述密鑰提供服務(wù)器更新為接收用戶端生成的三個共享密鑰的參數(shù)�����,并將 更新后的三個參數(shù)對應(yīng)分發(fā)到三個設(shè)備中����;對于所述三個設(shè)備中的任意一個對應(yīng)的設(shè)備,在接收到更新后的所述參數(shù) 后�����,用更新后的所述參數(shù)替換已存儲的參數(shù)���。
15、 一種驗證服務(wù)器�����,其特征在于,包括第 一接收模塊�����,用于接收來自請求用戶端的第 一驗證碼���; 第二接收模塊�����,用于接收來自接收用戶端的第二驗證信息�; 驗證模塊��,用于根據(jù)所述第一驗證碼以及所述第二驗證信息驗證所述第一 信源的完整性��。
16����、 根據(jù)權(quán)利要求15所述的設(shè)備,其特征在于����,該設(shè)備還包括 存儲模塊,用于接收并存儲來自密鑰提供服務(wù)器的對應(yīng)各個用戶端的參數(shù),所述參數(shù)至少包括對應(yīng)所述請求用戶端的參數(shù)和對應(yīng)所述接收用戶端的參數(shù)�����。
17����、 根據(jù)權(quán)利要求15或16所述的設(shè)備,其特征在于�����,所述驗證模塊包括摘要獲取單元�,用于解密所述第一驗證碼獲取第一數(shù)字摘要,根據(jù)所述第 二驗證信息獲取第二數(shù)字摘要和第三數(shù)字摘要����; 確定單元,用于判斷所述第一數(shù)字摘要���、所述第二^:字摘要以及所述第三數(shù)字摘要是否皆一致;如果判定一致�����,則確定所述第一信源具備完整性;否則�,提示出錯信息。
18����、 根據(jù)權(quán)利要求17所述的設(shè)備,其特征在于�����,所述第二接收模塊接收的 第二驗證信息具體包括第二驗證碼����、第二信源,和信源序列號����,其中,所述第 二信源的序列號為所述信源序列號��;所述摘要獲取單元包括參數(shù)獲取子單元�,用于從所迷接收服務(wù)器獲取對應(yīng)所述請求用戶端的參數(shù) 和對應(yīng)所述接收用戶端的參數(shù);第一摘要獲取子單元�,用于根據(jù)存儲模塊存儲的對應(yīng)請求用戶端的參數(shù)和 所述來自接收服務(wù)器的對應(yīng)請求用戶端的參數(shù)獲取共享密鑰,并用所述共享密鑰解密所述第 一驗證碼獲取第 一數(shù)字摘要���;第二摘要獲取子單元����,用于根據(jù)存儲模塊存儲的對應(yīng)接收用戶端的參數(shù)和 所述來自接收服務(wù)器的對應(yīng)接收用戶端的參數(shù)獲取共享密鑰,并用所述共享密鑰解密所述第二驗證碼獲取第二數(shù)字摘要���;第三摘要獲取子單元���,用于根據(jù)所述第二信源和所述信源序列號獲取第三 數(shù)字摘要。
19���、 根據(jù)權(quán)利要求16所述的設(shè)備���,其特征在于,該設(shè)備還包括 更新接收模塊����,用于接收到來自所述密鑰提供服務(wù)器的更新后的共享密鑰的參數(shù);更新模塊�����,用于用更新接收模塊接收到的參數(shù)對應(yīng)替換存儲模塊已存儲的參數(shù)��。
20�����、 一種接收服務(wù)器���,其特征在于�����,包括 信源接收模塊��,用于接收請求用戶端提交的第一信源����; 第一發(fā)送模塊�,用于發(fā)送第一驗證因子到所述請求用戶端; 因子接收模塊�,用于接收接收用戶端提交的第二驗證因子; 第二發(fā)送模塊���,用于發(fā)送第二驗證信息到所述接收用戶端�。
21��、 根據(jù)權(quán)利要求20所述的設(shè)備,其特征在于�����,該設(shè)備還包括 存儲模塊�,用于接收并存儲來自密鑰提供服務(wù)器的對應(yīng)各個用戶端的參數(shù),所述參數(shù)至少包括對應(yīng)所述請求用戶端的參數(shù)和對應(yīng)所述接收用戶端的參數(shù)�。
22、 根據(jù)權(quán)利要求21所述的設(shè)備����,其特征在于,該設(shè)備還包括 分配模塊�,用于為信源接收模塊接收到的所述第一信源分配信源序列號; 所迷第一驗證因子包括所述信源接收才莫塊接收的第一信源��,所迷分配模塊分配的第一信源的信源序列號��,以及所述存儲模塊存儲的對應(yīng)所述請求用戶端的參數(shù)���。
23�、 根據(jù)權(quán)利要求22所述的設(shè)備���,其特征在于��,該設(shè)備還包括 第二摘要獲取模塊��,用于根據(jù)所述信源接收模塊接收到的第一信源和所述分配模塊分配的信源序列號獲取第二數(shù)字摘要�����。
24�、 根據(jù)權(quán)利要求23所述的設(shè)備�,其特征在于,該設(shè)備還包括 第二驗證碼獲取模塊�����,用于根據(jù)所述第二驗證因子和所述第二數(shù)字摘要獲取第二驗證碼�。
25、 根據(jù)權(quán)利要求24所述的設(shè)備�����,其特征在于�����,所述因子接收模塊接收到 的所述第二驗證因子包括所述信源序列號和所述接收用戶端存儲的參數(shù)���;第二驗證碼獲取模塊包括信源查找單元��,用于根據(jù)所述第二驗證因子中的信源序列號查找第二信源 和所述第二數(shù)字摘要����,其中,所述第二信源與所述第一信源擁有相同的信源序 列號���;第二驗證碼獲取單元��,用于根據(jù)所述第二驗證因子中的參數(shù)和存儲模塊存 儲的參數(shù)獲取共享密鑰�,并用所述共享密鑰對所述第二數(shù)字摘要加密獲取第二 驗證碼�;所述第二發(fā)送模塊發(fā)送的第二驗證信息包括所述第二驗證碼獲取單元獲 取的第二驗證碼,所述信源查找單元查找到的第二信源�,以及所述分配模塊分 配的信源序列號。
26�����、 根據(jù)權(quán)利要求21所述的設(shè)備�����,其特征在于,該設(shè)備還包括更新接收模塊�����,用于接收到來自所述密鑰提供服務(wù)器的更新后的共享密鑰 的參數(shù)�;更新模塊,用于用更新接收模塊接收到的參數(shù)對應(yīng)替換存儲模塊已存儲的參數(shù)����。
27���、 一種客戶端主機(jī)���,其特征在于,包括 信源發(fā)送才莫塊��,用于向接收服務(wù)器發(fā)送第一信源���;第一提交模塊�����,用于在信源發(fā)送模塊發(fā)送第一信源后�����,接收所述接收服務(wù) 器發(fā)送的第一驗證因子���,并向驗證服務(wù)器提交根據(jù)所述第一驗證因子獲取的第一一瞼證碼�;和/或因子發(fā)送模塊�,用于發(fā)送第二驗證因子到所述接收服務(wù)器;第二提交模塊�����,用于在因子發(fā)送模塊發(fā)送第二驗證因子后���,從所述接收服 務(wù)器獲取第二驗證信息����,并提交所述第二驗證信息到所述J^證服務(wù)器�����。
28����、 根據(jù)權(quán)利要求27所述的設(shè)備,其特征在于,該設(shè)備還包括 存儲模塊�,用于在注冊時,接收并存儲來自密鑰提供服務(wù)器的至少一個共享密鑰的參數(shù)�,所述至少 一個共享密鑰的參數(shù)包括對應(yīng)客戶端主機(jī)作為請求用 戶端時的參數(shù),和/或?qū)?yīng)客戶端主機(jī)作為接收用戶端時的參數(shù)��。
29����、 根據(jù)權(quán)利要求27所述的設(shè)備,其特征在于��,所迷第一提交模塊接收到 的第一驗證因子包括所述第一信源�����,信源序列號�����,以及所述接收服務(wù)器存儲 的對應(yīng)請求用戶端的參數(shù)���;所述因子發(fā)送模塊發(fā)送的第二驗證因子包括存儲模塊存儲的參數(shù)和所述 信源序列號。
30��、 根據(jù)權(quán)利要求27至29中任意一項所述的設(shè)備,其特征在于�����,所述第 一提交模塊包括獲取單元�,用于根據(jù)所述第 一驗證因子獲取第 一驗證碼。
31�����、 根據(jù)權(quán)利要求27至29中任意一項所述的設(shè)備��,其特征在于��,該設(shè)備還包括更新接收模塊�,用于接收到來自所述密鑰提供服務(wù)器的更新后的共享密鑰 的參數(shù);更新模塊��,用于用更新接收模塊接收到的共享密鑰的參數(shù)對應(yīng)替換存儲模 塊已存儲的共享密鑰的參數(shù)�����。
32�、 一種驗證信源完整性的系統(tǒng),特征在于��,包括請求用戶端,用于在向接收服務(wù)器發(fā)送第一信源后����,接收所述接收服務(wù)器 發(fā)送的第 一驗證因子,并向驗證服務(wù)器提交根據(jù)所述第一驗證因子獲取的第一驗證碼��;接收服務(wù)器�,用于在接收到所述請求用戶端提交的第一信源后,發(fā)送第一 驗證因子到所述請求用戶端���,在接收到所述接收用戶端發(fā)送的第二一瞼證因子后�����,發(fā)送第二驗證信息到所述接收用戶端����;接收用戶端�����,用于發(fā)送第二驗證因子到所述接收服務(wù)器���,并在發(fā)送所述第 二驗證因子后��,接收到來自所述接收服務(wù)器的第二驗證信息�����,提交所述第二驗 證信息到所述驗證服務(wù)器�����;驗證服務(wù)器��,用于接收來自所述請求用戶端的第一驗證碼�����,和接收來自所 述接收用戶端的第二驗證信息����,并根據(jù)所述第一驗證碼以及所述第二驗證信息 驗證所述第 一信源的完整性��。
全文摘要
本發(fā)明的實施例公開了一種驗證信源完整性的方法����、系統(tǒng)及相應(yīng)設(shè)備,涉及信源安全領(lǐng)域����,解決了現(xiàn)有技術(shù)中由兩方參與的信源完整性保護(hù)易被破解的技術(shù)問題�。本發(fā)明實施例在請求用戶端向接收服務(wù)器提交第一信源后����,所述請求用戶端接收到所述接收服務(wù)器發(fā)送的第一驗證因子,并根據(jù)所述第一驗證因子獲取第一驗證碼��;接收用戶端從所述接收服務(wù)器獲取第二驗證信息��;所述驗證服務(wù)器接收所述接收用戶端提交的第二驗證信息���,還接收所述請求用戶端發(fā)來的第一驗證碼��;并根據(jù)所述第一驗證碼和所述第二驗證信息驗證所述第一信源的完整性����。本發(fā)明實施例主要應(yīng)用在對信源的完整性保護(hù)方面�����。
文檔編號H04L29/06GK101645890SQ200910090760
公開日2010年2月10日 申請日期2009年8月6日 優(yōu)先權(quán)日2009年8月6日
發(fā)明者于華章, 舟 陸 申請人:北京飛天誠信科技有限公司