一種基于數(shù)據(jù)圖像編碼的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法
【專利摘要】本發(fā)明一種基于數(shù)據(jù)圖像編碼的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法��,數(shù)字簽名條件信息或者驗(yàn)證信息由B設(shè)備提供���,而實(shí)際的簽名和驗(yàn)證過程在A設(shè)備上完成����;數(shù)字簽名條件信息或者驗(yàn)證信息通過數(shù)據(jù)到圖像的編碼�,最終以圖像的形式展現(xiàn)在B設(shè)備上;A設(shè)備掃描B設(shè)備上的數(shù)字簽名條件圖像信息���,通過圖像解碼��,還原原始數(shù)據(jù)��,驗(yàn)證原始數(shù)據(jù)來源����,完成數(shù)字簽名或者驗(yàn)簽,發(fā)送到驗(yàn)證服務(wù)器��;驗(yàn)證服務(wù)器驗(yàn)證使用者數(shù)字簽名���,并反饋給B設(shè)備�,B設(shè)備根據(jù)反饋結(jié)果�����,執(zhí)行后續(xù)操作����。在上述過程中,B設(shè)備在任何時(shí)刻都不接觸使用者的實(shí)際驗(yàn)簽過程�,從而保證了驗(yàn)證結(jié)果不會在B設(shè)備上發(fā)生泄漏或者被劫持。
【專利說明】一種基于數(shù)據(jù)圖像編碼的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法
[0001]
【技術(shù)領(lǐng)域】
[0002]本發(fā)明涉及通過運(yùn)行可信設(shè)備(A)上的數(shù)字簽名和驗(yàn)簽應(yīng)用���,完成運(yùn)行在不可信設(shè)備(B)上的應(yīng)用所需的數(shù)字簽名和驗(yàn)證的過程��。用于解決當(dāng)B設(shè)備不具備足夠的安全條件的情況下����,如何可信安全地完成B設(shè)備所運(yùn)行的應(yīng)用所需的數(shù)字簽名和驗(yàn)證的問題。
【背景技術(shù)】
[0003]二維碼:二維碼(2-dimensional barcode)是指在一維條碼的基礎(chǔ)上擴(kuò)展出另一維具有可讀性的條碼����,使用黑白矩形圖案表示二進(jìn)制數(shù)據(jù)�,被設(shè)備掃描后可獲取其中所包含的信息。一維條碼的寬度記載著數(shù)據(jù)����,而其長度沒有記載數(shù)據(jù)。二維條碼的長度����、寬度均記載著數(shù)據(jù)。二維條碼有一維條碼沒有的“定位點(diǎn)”和“容錯機(jī)制”�����。容錯機(jī)制在即使沒有辨識到全部的條碼�����、或是說條碼有污損時(shí),也可以正確地還原條碼上的資訊�����。
[0004]條形碼:條形碼(barcode)是一種用寬窄不同����、黑白相間的直線條紋的組合來表示數(shù)字或字母的特殊號碼。通常印在卡片���、書籍封面或商品包裝物上����,用以表示各種證件號����、書號或商品號,以便于計(jì)算機(jī)管理��。
[0005]OCR:OCR (光學(xué)字符識別���,Optical Character Recognition),通過圖像處理和模式識別技術(shù)對光 學(xué)的字符進(jìn)行識別
數(shù)字證書:數(shù)字證書是證明用戶身份的網(wǎng)上標(biāo)識���,在網(wǎng)絡(luò)中識別通訊各方的身份�,即在虛擬社會中解決“我是誰”的問題���。通俗的講����,數(shù)字證書就好像是網(wǎng)上用戶的身份證�����,能夠保證您在網(wǎng)絡(luò)上進(jìn)行的交易是安全的和可信的��。數(shù)字證書主要有如下作用:
1�����、身份認(rèn)證:數(shù)字證書中包括的主要內(nèi)容有:證書擁有者的單位信息�����、證書擁有者的公鑰�、公鑰的有效期�、頒發(fā)數(shù)字證書的CA����、CA的數(shù)字簽名等���。
[0006]2�����、加密傳輸信息:通過數(shù)字證書在網(wǎng)上傳輸數(shù)據(jù)����,這些數(shù)據(jù)要進(jìn)行加密���,然后以密碼的形式在Internet上傳輸���。發(fā)送方用接收方的公鑰對文件進(jìn)行加密,接收方用只有自己才有的私鑰進(jìn)行解密���,得到文件明文����。
[0007]3�、數(shù)字簽名抗否認(rèn):在現(xiàn)實(shí)生活中用公章����、簽名等來實(shí)現(xiàn)的抗否認(rèn)�����,在網(wǎng)上可以借助數(shù)字證書的數(shù)字簽名來實(shí)現(xiàn)�����。
[0008]數(shù)字簽名是各類提供個(gè)性化高價(jià)值應(yīng)用服務(wù)確認(rèn)用戶身份和防抵賴的重要手段����,在網(wǎng)上銀行等應(yīng)用中被廣泛使用?��?梢猿休d此類應(yīng)用服務(wù)的載體有多種,例如PC����,平板,帶觸摸屏或者按鍵的交互終端等等���。但是���,并不是所有的載體都具備可信安全的條件�,例如在網(wǎng)吧中的公用PC�,放置在公共場所的交互終端等,如果用戶的數(shù)字簽名或者驗(yàn)證過程在該載體上進(jìn)行��,用戶輸入的口令�����,用戶的私鑰等���,被預(yù)置在此公共設(shè)備中的木馬或者中間人劫持攻擊的可能性非常大��。這就帶來兩個(gè)問題:
?阻礙了服務(wù)提供者在公共設(shè)備上提供個(gè)性化高價(jià)值服務(wù)的發(fā)展���;?阻礙 了使用者隨時(shí)隨地使用個(gè)性化高價(jià)值服務(wù)的方便和快捷。
【發(fā)明內(nèi)容】
[0009]本發(fā)明要解決的技術(shù)問題是:根據(jù)上文中所提到的數(shù)字簽名和驗(yàn)證方式存在的不足��,提出一種跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方式��。
[0010]本發(fā)明采用的技術(shù)方案為:一種基于數(shù)據(jù)圖像編碼的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法�,數(shù)字簽名條件信息或者驗(yàn)證信息由B設(shè)備提供,而實(shí)際的簽名和驗(yàn)證過程在A設(shè)備上完成;其特征在于:數(shù)字簽名條件信息或者驗(yàn)證信息通過數(shù)據(jù)到圖像的編碼��,最終以圖像的形式展現(xiàn)在B設(shè)備上�;A設(shè)備掃描B設(shè)備上的數(shù)字簽名條件圖像信息,通過圖像解碼�,還原原始數(shù)據(jù),驗(yàn)證原始數(shù)據(jù)來源��,完成數(shù)字簽名或者驗(yàn)簽�,發(fā)送到驗(yàn)證服務(wù)器;驗(yàn)證服務(wù)器驗(yàn)證使用者數(shù)字簽名�,并反饋給B設(shè)備,B設(shè)備根據(jù)反饋結(jié)果���,執(zhí)行后續(xù)操作���。
[0011]本發(fā)明的有益效果:
本發(fā)明提出了一種全新的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證解決方案,與傳統(tǒng)的單設(shè)備單應(yīng)用下的數(shù)字簽名方式相比���,本發(fā)明使得數(shù)字簽名和驗(yàn)簽的應(yīng)用場景得到大幅度的擴(kuò)展,使得數(shù)字證書的持有者不僅僅可以在可信的設(shè)備上(自己的PC��、筆記本電腦等)上安全地使用數(shù)字簽名����,還可以在不可信的設(shè)備(例如公共終端���、網(wǎng)吧里面的PC)上,安全可靠地進(jìn)行數(shù)字簽名和驗(yàn)簽�,而不必?fù)?dān)心這些不可信設(shè)備上存在病毒或者木馬等不安全因素。
[0012]本發(fā)明采用圖像編碼的方式來獲取數(shù)字簽名和驗(yàn)簽的條件信息�����,為手機(jī)等移動終端成為數(shù)字簽名的提供者創(chuàng)造了條件�����,也為各類服務(wù)提供者在公共設(shè)備上提供個(gè)性化高價(jià)值服務(wù)奠定了基礎(chǔ)�。
【專利附圖】
【附圖說明】
[0013]圖1為本發(fā)明中進(jìn)行數(shù)字簽名并在A設(shè)備本身完成來源認(rèn)證的步驟。
[0014]圖2為本發(fā)明中進(jìn)行數(shù)字簽名并通過本地+遠(yuǎn)程來源驗(yàn)證服務(wù)完成來源認(rèn)證�。
[0015]圖3為本發(fā)明中在A設(shè)備本身完成數(shù)字簽名驗(yàn)證的步驟。
[0016]圖4為本發(fā)明中通過本地+遠(yuǎn)程驗(yàn)證服務(wù)完成數(shù)字簽名驗(yàn)證的步驟��。
【具體實(shí)施方式】
[0017]下面結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)一步描述�����。
[0018]在下面的描述中:
n A表示使用者持有的可信設(shè)備�; n B表示使用者正在使用的不可信設(shè)備;
n S表示B設(shè)備的后臺服務(wù)和簽名驗(yàn)證服務(wù),后臺服務(wù)和簽名驗(yàn)證服務(wù)邏輯上是分開的�,實(shí)際部署中可以在一起,也可以分開�;η X表示遠(yuǎn)程數(shù)據(jù)來源驗(yàn)證服務(wù)。
[0019]組成本發(fā)明的系統(tǒng)模塊包括:
應(yīng)用發(fā)布方:簽名引導(dǎo)模塊���,待簽名數(shù)據(jù)生成模塊��,待簽名數(shù)據(jù)圖像生成模塊���,消息接收模塊,消息通知模塊��,簽名驗(yàn)證模塊�。
[0020]使用方:圖像掃描解碼模塊,簽名模塊�����,簽名驗(yàn)證模塊���,來源驗(yàn)證模塊���,消息接收模塊。
[0021]在本發(fā)明中�,A設(shè)備對來自B設(shè)備和B設(shè)備后臺服務(wù)S的數(shù)據(jù)信息進(jìn)行來源驗(yàn)證是非常必要的,一方面為了避免釣魚攻擊�����,另一方面�,也為了驗(yàn)證數(shù)據(jù)的有效性,保障電子證據(jù)的有效性�。
[0022]數(shù)據(jù)來源驗(yàn)證方式分為三種,分別對應(yīng)不同安全策略和使用要求:
1.遠(yuǎn)程來源驗(yàn)證�����。驗(yàn)證過程通過遠(yuǎn)程驗(yàn)證服務(wù)X完成��。A設(shè)備發(fā)送待驗(yàn)證數(shù)據(jù)到X�����,由X完成數(shù)據(jù)來源的驗(yàn)證�����。例如:如果來源驗(yàn)證是通過數(shù)字簽名來完成的�,可以在A設(shè)備中預(yù)置X服務(wù)的證書或者證書鏈��;A設(shè)備發(fā)送待驗(yàn)證數(shù)據(jù)到X服務(wù)����;X服務(wù)對待驗(yàn)證數(shù)據(jù)進(jìn)行驗(yàn)證�,包括發(fā)布者證書鏈,有效期�����,黑名單�����,數(shù)字簽名有效性等驗(yàn)證����;驗(yàn)證完成后,X服務(wù)將驗(yàn)證結(jié)果�����,通過數(shù)字簽名后����,返回給A設(shè)備���;A設(shè)備通過預(yù)置的X服務(wù)證書鏈對X服務(wù)的返回結(jié)果進(jìn)行驗(yàn)證,驗(yàn)證通過后即可接受來自X服務(wù)的驗(yàn)證結(jié)果���;本方式的好處是,A設(shè)備中只需要預(yù)置X服務(wù)的證書或者證書鏈�����,就可以享受所有X服務(wù)支持的來源驗(yàn)證�����。例如X服務(wù)支持工商銀行�����,建設(shè)銀行�,招商銀行的來源驗(yàn)證,那么如果未來X服務(wù)增加了對農(nóng)業(yè)銀行的來源驗(yàn)證���,A設(shè)備不需要進(jìn)行任何改動��,就可以對農(nóng)業(yè)銀行的數(shù)據(jù)進(jìn)行來源驗(yàn)證�����。
[0023]2.本地來源驗(yàn)證:驗(yàn)證過程在A設(shè)備本機(jī)完成��。例如:如果來源驗(yàn)證是通過數(shù)字簽名來完成的���,可以在A設(shè)備中預(yù)置發(fā)布者證書或者證書鏈���,通過對身份認(rèn)證條件數(shù)據(jù)的數(shù)字簽名和證書的驗(yàn)證完成驗(yàn)證過程。如果發(fā)布者驗(yàn)證是通過特定格式數(shù)據(jù)的方式來完成���,則A設(shè)備調(diào)用對應(yīng)的特殊數(shù)據(jù)格式驗(yàn)證方法完成����。該方式的優(yōu)點(diǎn)是不需要再和外部有交互����,缺點(diǎn)是在需要支持驗(yàn)證多個(gè)來源的情況下,A設(shè)備上需要預(yù)置更多的發(fā)布者數(shù)字證書和證書鏈��;
3.本機(jī)+遠(yuǎn)程來源驗(yàn)證:在采用某種技術(shù)條件的情況下����,可以通過本地+遠(yuǎn)程的方式進(jìn)行來源驗(yàn)證�。例如���,來源數(shù)據(jù)使用了數(shù)字證書和數(shù)字簽名的情況下�����,可以在本地驗(yàn)證來源數(shù)據(jù)的數(shù)字簽名,而把對數(shù)字證書的驗(yàn)證通過遠(yuǎn)程驗(yàn)證服務(wù)X完成����。本方式的優(yōu)點(diǎn)在于,如果來源數(shù)據(jù)中包含某些使用者不愿意向第3方公開的數(shù)據(jù)的時(shí)候�����,本方式將來源數(shù)據(jù)驗(yàn)證和來源驗(yàn)證分開�����,因此不需要向遠(yuǎn)程來源驗(yàn)證服務(wù)器發(fā)送全部來源數(shù)據(jù)�。
[0024]實(shí)施例1,如圖1所示��,本發(fā)明中進(jìn)行數(shù)字簽名并在A設(shè)備本身完成來源認(rèn)證的示意圖:
I首先�����,由B設(shè)備通過屏幕等顯示設(shè)備,提供基于圖像的數(shù)字簽名條件信息�����。其中圖像是由經(jīng)過編碼的數(shù)字簽名條件數(shù)據(jù)產(chǎn)生�。例如,可以使用二維碼作為最終數(shù)據(jù)表現(xiàn)的圖像形式�����,也可以使用條形碼��,或者直接顯示數(shù)據(jù)�,通過OCR的方式來識別;而數(shù)字簽名條件數(shù)據(jù)可以包括:待簽名數(shù)據(jù)���,實(shí)際完成簽名驗(yàn)證的驗(yàn)證服務(wù)器地址���,應(yīng)用標(biāo)識,簽名算法和方式要求��,以及可驗(yàn)證的發(fā)布者信息等;
2 B設(shè)備開始等待來自驗(yàn)證服務(wù)器的通知信息��;
3在可信的A設(shè)備(例如使用者私人持有的智能手機(jī))上����,通過圖像編碼的掃描和識另O,在A設(shè)備中還原數(shù)字簽名條件數(shù)據(jù)��,獲取驗(yàn)證服務(wù)器地址�����,應(yīng)用標(biāo)識��,簽名算法和方式要求�,待簽名數(shù)據(jù)�����,以及發(fā)布者來源信息等�����?��;谏鲜鲂畔?���,A設(shè)備:
3.1首先驗(yàn)證數(shù)字簽名條件數(shù)據(jù)的完整性及來源,確定該數(shù)字簽名條件數(shù)據(jù)確實(shí)來自期望訪問的服務(wù)提供方�;驗(yàn)證過程采用前述的本地來源驗(yàn)證方式。
[0025]3.2 (可選)保存數(shù)字簽名條件數(shù)據(jù)原始信息��,用于在一旦發(fā)生爭議的情況下���,作為可追溯的數(shù)字證據(jù)�;
3.3根據(jù)簽名方式要求�����,選擇對應(yīng)的簽名方式��,并把相關(guān)的輸入界面展現(xiàn)給使用者�����。同時(shí)可以展現(xiàn)發(fā)布者相關(guān)信息���,待簽名數(shù)據(jù)內(nèi)容等���,供使用者查看并確認(rèn)���;
3.4使用者完成必要的輸入;
3.5調(diào)用本身的安全模塊��,完成數(shù)字簽名���,獲取并組織數(shù)字簽名的結(jié)果數(shù)據(jù)�。
[0026]3.6根據(jù)數(shù)字簽名條件數(shù)據(jù)中驗(yàn)證服務(wù)器地址����,向驗(yàn)證服務(wù)器發(fā)送數(shù)字簽名結(jié)果數(shù)據(jù);
4驗(yàn)證服務(wù)器接收簽名數(shù)據(jù)�����,驗(yàn)證簽名��,并將驗(yàn)證結(jié)果通知一直在等待結(jié)果的B設(shè)備���;同時(shí),驗(yàn)證服務(wù)器也可以把驗(yàn)證結(jié)果返回給A設(shè)備����。
[0027]5 B設(shè)備接收到來自驗(yàn)證服務(wù)器的結(jié)果�����,根據(jù)結(jié)果�����,給予用戶反饋����,并執(zhí)行后續(xù)的操作��。
[0028]實(shí)施例2�,為圖2所示,本發(fā)明中進(jìn)行數(shù)字簽名并通過本地+遠(yuǎn)程來源驗(yàn)證服務(wù)完成來源認(rèn)證示意圖:
I首先�����,由B設(shè)備通過屏幕等顯示設(shè)備��,提供基于圖像的數(shù)字簽名條件信息�����。其中圖像是由經(jīng)過編碼的數(shù)字簽名條件數(shù)據(jù)產(chǎn)生。例如���,可以使用二維碼作為最終數(shù)據(jù)表現(xiàn)的圖像形式���,也可以使用條形碼,或者直接顯示數(shù)據(jù)�,通過OCR的方式來識別;而數(shù)字簽名條件數(shù)據(jù)可以包括:待簽名數(shù)據(jù)��,實(shí)際完成簽名驗(yàn)證的驗(yàn)證服務(wù)器地址��,應(yīng)用標(biāo)識����,簽名算法和方式要求,以及可驗(yàn)證的發(fā)布者信息等��;
2 B設(shè)備開始等待來自驗(yàn)證服務(wù)器的通知信息��;
3在可信的A設(shè)備(例如使用者私人持有的智能手機(jī))上����,通過圖像編碼的掃描和識另O�����,在A設(shè)備中還原數(shù)字簽名條件數(shù)據(jù),獲取驗(yàn)證服務(wù)器地址�����,應(yīng)用標(biāo)識���,簽名算法和方式要求����,待簽名數(shù)據(jù)�����,以及發(fā)布者來源信息等?�;谏鲜鲂畔?��,A設(shè)備:
3.1首先驗(yàn)證數(shù)字簽名條件數(shù)據(jù)的完整性及來源,確定該數(shù)字簽名條件數(shù)據(jù)確實(shí)來自期望訪問的服務(wù)提供方��;驗(yàn)證過程采用前述的本地+遠(yuǎn)程來源驗(yàn)證方式。
[0029]3.2 (可選)保存數(shù)字簽名條件數(shù)據(jù)原始信息,用于在一旦發(fā)生爭議的情況下��,作為可追溯的數(shù)字證據(jù)����;
3.3根據(jù)簽名方式要求���,選擇對應(yīng)的簽名方式�,并把相關(guān)的輸入界面展現(xiàn)給使用者。同時(shí)可以展現(xiàn)發(fā)布者相關(guān)信息�,待簽名數(shù)據(jù)內(nèi)容等���,供使用者查看并確認(rèn);
3.4使用者完成必要的輸入;
3.5調(diào)用本身的安全模塊,完成數(shù)字簽名,獲取并組織數(shù)字簽名的結(jié)果數(shù)據(jù)���。
[0030]3.6根據(jù)數(shù)字簽名條件數(shù)據(jù)中驗(yàn)證服務(wù)器地址���,向驗(yàn)證服務(wù)器發(fā)送數(shù)字簽名結(jié)果數(shù)據(jù)�;
4驗(yàn)證服務(wù)器接收簽名數(shù)據(jù)����,驗(yàn)證簽名���,并將驗(yàn)證結(jié)果通知一直在等待結(jié)果的B設(shè)備�����;同時(shí)����,驗(yàn)證服務(wù)器也可以把驗(yàn)證結(jié)果返回給A設(shè)備�����。
[0031]5 B設(shè)備接收到來自驗(yàn)證服務(wù)器的結(jié)果����,根據(jù)結(jié)果�����,給予用戶反饋����,并執(zhí)行后續(xù)的操作。
[0032]在上述過程中�,B設(shè)備和驗(yàn)證服務(wù)器之間存在足夠的信任關(guān)系,A設(shè)備和使用者之間也存在足夠的信任關(guān)系設(shè)備將驗(yàn)證服務(wù)器的要求展現(xiàn)給A設(shè)備����,A設(shè)備通過執(zhí)行實(shí)際的數(shù)字簽名��,和驗(yàn)證服務(wù)器之間建立起驗(yàn)證關(guān)系��。至此�,使用者一>A設(shè)備一> 認(rèn)證服務(wù)器一>B設(shè)備的驗(yàn)證鏈條被建立�����,而在此過程中��,B設(shè)備在任何時(shí)刻都不接觸使用者的實(shí)際數(shù)字簽名過程�,從而保證了用戶私鑰信息不會在B設(shè)備上發(fā)生泄漏或者被劫持。
[0033]實(shí)施例3�����,如圖3所示,本發(fā)明中在A設(shè)備本身完成數(shù)字簽名驗(yàn)證的步驟示意圖:
I首先�,由B設(shè)備通過屏幕等顯示設(shè)備�,提供基于圖像的數(shù)字簽名驗(yàn)證信息�。其中圖像
是由經(jīng)過編碼的數(shù)字簽名數(shù)據(jù)產(chǎn)生�����。例如����,可以使用二維碼作為最終數(shù)據(jù)表現(xiàn)的圖像形式���,也可以使用條形碼��,或者直接顯示數(shù)據(jù)�����,通過OCR的方式來識別�;
2 (可選)B設(shè)備開始等待來自后臺服務(wù)器S的使用者驗(yàn)證結(jié)果通知信息3在可信的A設(shè)備(例如使用者私人持有的智能手機(jī))上�,通過圖像編碼的掃描和識另O���,在A設(shè)備中還原待驗(yàn)證數(shù)字簽名數(shù)據(jù)���?����;谏鲜鲂畔ⅲ珹設(shè)備:
3.1 (可選)保存數(shù)字簽名數(shù)據(jù)原始信息�,用于在一旦發(fā)生爭議的情況下�,作為可追溯的數(shù)字證據(jù)����;
3.2 (可選)使用者完成必要的輸入;
3.3調(diào)用本身的安全模塊���,完成數(shù)字簽名和簽名者數(shù)字證書的驗(yàn)證。并將結(jié)果展現(xiàn)給用戶�。同時(shí)也可以展現(xiàn)數(shù)字簽名數(shù)據(jù)中包含的相關(guān)信息�,例如簽名者身份���,簽名時(shí)間,被簽名的數(shù)據(jù)內(nèi)容等��,供使用者查看并確認(rèn)��;
3.4(可選)A設(shè)備向B設(shè)備的后臺服務(wù)或者其他相關(guān)參與方S發(fā)送驗(yàn)簽結(jié)果�����。
[0034]4 (可選)后臺服務(wù)S通知B設(shè)備使用者簽名驗(yàn)證結(jié)果��,B設(shè)備根據(jù)通知����,引導(dǎo)用戶下一步的操作。
[0035]實(shí)施例4,如圖4所示���,本發(fā)明中通過本地+遠(yuǎn)程驗(yàn)證服務(wù)完成數(shù)字簽名驗(yàn)證的步驟示意圖:
I首先�,由B設(shè)備通過屏幕等顯示設(shè)備��,提供基于圖像的數(shù)字簽名驗(yàn)證信息�。其中圖像是由經(jīng)過編碼的數(shù)字簽名數(shù)據(jù)產(chǎn)生。例如�����,可以使用二維碼作為最終數(shù)據(jù)表現(xiàn)的圖像形式��,也可以使用條形碼��,或者直接顯示數(shù)據(jù)���,通過OCR的方式來識別���;
2(可選)B設(shè)備開始等待來自后臺服務(wù)器S的使用者驗(yàn)證結(jié)果通知信息3在可信的A設(shè)備(例如使用者私人持有的智能手機(jī))上,通過圖像編碼的掃描和識另O����,在A設(shè)備中還原數(shù)字簽名數(shù)據(jù)���?;谏鲜鲂畔ⅲ珹設(shè)備:
3.1 (可選)保存數(shù)字簽名數(shù)據(jù)原始信息��,用于在一旦發(fā)生爭議的情況下��,作為可追溯的數(shù)字證據(jù)����;
3.2 (可選)使用者完成必要的輸入;
3.3調(diào)用本身的安全模塊�����,完成數(shù)字簽名的驗(yàn)證����。調(diào)用遠(yuǎn)程驗(yàn)證模塊,驗(yàn)證簽名者數(shù)字證書�。并將結(jié)果展現(xiàn)給用戶。同時(shí)也可以展現(xiàn)數(shù)字簽名數(shù)據(jù)中包含的相關(guān)信息���,例如簽名者身份�,簽名時(shí)間,被簽名的數(shù)據(jù)內(nèi)容等�����,供使用者查看并確認(rèn)�����;
3.4 (可選)A設(shè)備向B設(shè)備的后臺服務(wù)或者其他相關(guān)參與方S發(fā)送驗(yàn)簽結(jié)果��。
[0036]4 (可選)后臺服務(wù)S通知B設(shè)備使用者簽名驗(yàn)證結(jié)果���,B設(shè)備根據(jù)通知����,引導(dǎo)用戶下一步的操作�����。
[0037]在上述過程中��,B設(shè)備在任何時(shí)刻都不接觸使用者的實(shí)際驗(yàn)簽過程����,從而保證了驗(yàn)證結(jié)果不會在B設(shè)備上發(fā)生泄漏或者被劫持�。
[0038]以上所述��,本發(fā)明的上述方案都只能認(rèn)為是對本發(fā)明的說明而不能限制本發(fā)明���,權(quán)利要求書指出了本發(fā)明的范圍�����,而上述的說明并未指出本發(fā)明的范圍,因此����,在于本發(fā)明的權(quán)利要求書相當(dāng)?shù)暮x和范圍內(nèi)的任何改變,都應(yīng)認(rèn)為是包括在權(quán)利要求書的范圍內(nèi)��。
【權(quán)利要求】
1.一種基于數(shù)據(jù)圖像編碼的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法����,數(shù)字簽名條件信息或者驗(yàn)證信息由B設(shè)備提供,而實(shí)際的簽名和驗(yàn)證過程在A設(shè)備上完成��;其特征在于: 數(shù)字簽名條件信息或者驗(yàn)證信息通過數(shù)據(jù)到圖像的編碼���,最終以圖像的形式展現(xiàn)在B設(shè)備上�����; A設(shè)備掃描B設(shè)備上的數(shù)字簽名條件圖像信息��,通過圖像解碼����,還原原始數(shù)據(jù),驗(yàn)證原始數(shù)據(jù)來源����,完成數(shù)字簽名或者驗(yàn)簽,發(fā)送到驗(yàn)證服務(wù)器�����; 驗(yàn)證服務(wù)器驗(yàn)證使用者數(shù)字簽名���,并反饋給B設(shè)備�����,B設(shè)備根據(jù)反饋結(jié)果�����,執(zhí)行后續(xù)操作�。
2.根據(jù)權(quán)利要求1所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法,其特征在于��,具體步驟為: 步驟一�����、由B設(shè)備通過屏幕顯示設(shè)備��,提供基于圖像的數(shù)字簽名條件信息�����; 步驟二����、B設(shè)備開始等待來自驗(yàn)證服務(wù)器的通知信息�����; 步驟三�����、在A設(shè)備上,通過圖像編碼的掃描和識別���,在A設(shè)備中還原數(shù)字簽名條件數(shù)據(jù)�,獲取驗(yàn)證服務(wù)器地址�����,應(yīng)用標(biāo)識��,簽名算法和方式要求��,待簽名數(shù)據(jù)�,以及發(fā)布者來源信息; 步驟四����、在A設(shè)備上完成數(shù)字簽名,驗(yàn)證服務(wù)器接收簽名數(shù)據(jù)����,驗(yàn)證簽名,并將驗(yàn)證結(jié)果通知一直在等待結(jié)果的B設(shè)備���;同時(shí)�,驗(yàn)證服務(wù)器也可以把驗(yàn)證結(jié)果返回給A設(shè)備; 步驟五�����、B設(shè)備接收到來自驗(yàn)證服務(wù)器的結(jié)果���,根據(jù)結(jié)果����,給予用戶反饋����,并執(zhí)行后續(xù)的操作。
3.根據(jù)權(quán)利要求2所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法�,其特征在于:步驟一中���,圖像是由經(jīng)過編碼的數(shù)字簽名條件數(shù)據(jù)產(chǎn)生�;數(shù)字簽名條件數(shù)據(jù)包括:待簽名數(shù)據(jù)���,實(shí)際完成簽名驗(yàn)證的驗(yàn)證服務(wù)器地址���,應(yīng)用標(biāo)識���,簽名算法和方式要求,以及可驗(yàn)證的發(fā)布者信息����。
4.根據(jù)權(quán)利要求3所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法,其特征在于���,步驟四具體為: 步驟4.1 A設(shè)備驗(yàn)證數(shù)字簽名條件數(shù)據(jù)的完整性及來源�,確定該數(shù)字簽名條件數(shù)據(jù)確實(shí)來自期望訪問的服務(wù)提供方�;驗(yàn)證過程采用本地來源驗(yàn)證方式; 步驟4.2 A設(shè)備保存數(shù)字簽名條件數(shù)據(jù)原始信息�����,用于在一旦發(fā)生爭議的情況下�����,作為可追溯的數(shù)字證據(jù)��; 步驟4.3 A設(shè)備根據(jù)簽名方式要求�,選擇對應(yīng)的簽名方式,并把相關(guān)的輸入界面展現(xiàn)給使用者;同時(shí)展現(xiàn)發(fā)布者相關(guān)信息��,待簽名數(shù)據(jù)內(nèi)容����,供使用者查看并確認(rèn); 步驟4.4使用者在A設(shè)備上�����,完成必要的輸入�; 步驟4.5調(diào)用A設(shè)備本身的安全模塊,完成數(shù)字簽名���,獲取并組織數(shù)字簽名的結(jié)果數(shù)據(jù)�����; 步驟4.6 A設(shè)備根據(jù)數(shù)字簽名條件數(shù)據(jù)中驗(yàn)證服務(wù)器地址���,向驗(yàn)證服務(wù)器發(fā)送數(shù)字簽名結(jié)果數(shù)據(jù)�。
5.根據(jù)權(quán)利要求3所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法,其特征在于���,步驟四具體為: 步驟4.1 A設(shè)備驗(yàn) 證數(shù)字簽名條件數(shù)據(jù)的完整性及來源����,確定該數(shù)字簽名條件數(shù)據(jù)確實(shí)來自期望訪問的服務(wù)提供方;驗(yàn)證過程采用前述的本地來源驗(yàn)證+遠(yuǎn)程來源驗(yàn)證方式����;步驟4.2 A設(shè)備保存數(shù)字簽名條件數(shù)據(jù)原始信息,用于在一旦發(fā)生爭議的情況下�,作為可追溯的數(shù)字證據(jù); 步驟4.3 A設(shè)備根據(jù)簽名方式要求���,選擇對應(yīng)的簽名方式����,并把相關(guān)的輸入界面展現(xiàn)給使用者��;同時(shí)展現(xiàn)發(fā)布者相關(guān)信息���,待簽名數(shù)據(jù)內(nèi)容�,供使用者查看并確認(rèn)�����; 步驟4.4使用者在A設(shè)備上完成必要的輸入; 步驟4.5調(diào)用A設(shè)備本身的安全模塊���,完成數(shù)字簽名�����,獲取并組織數(shù)字簽名的結(jié)果數(shù)據(jù)��; 步驟4.6 A設(shè)備根據(jù)數(shù)字簽名條件數(shù)據(jù)中驗(yàn)證服務(wù)器地址�,向驗(yàn)證服務(wù)器發(fā)送數(shù)字簽名結(jié)果數(shù)據(jù)��。
6.根據(jù)權(quán)利要求1所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法��,其特征在于����,具體步驟為: 步驟一、由B設(shè)備通過屏幕顯示設(shè)備���,提供基于圖像的數(shù)字簽名驗(yàn)證信息�; 步驟二��、B設(shè)備開始等待來自后臺服務(wù)器S的使用者驗(yàn)證結(jié)果通知信息��; 步驟三�、在A設(shè)備上,通過圖 像編碼的掃描和識別���,在A設(shè)備中還原待驗(yàn)證數(shù)字簽名數(shù)據(jù)�����,并驗(yàn)證數(shù)字簽名��; 步驟四��、后臺服務(wù)S通知B設(shè)備使用者簽名驗(yàn)證結(jié)果�����,B設(shè)備根據(jù)通知�,引導(dǎo)用戶下一步的操作����。
7.根據(jù)權(quán)利要求6所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法,其特征在于:步驟一中�,圖像是由經(jīng)過編碼的數(shù)字簽名數(shù)據(jù)產(chǎn)生,可以使用二維碼作為最終數(shù)據(jù)表現(xiàn)的圖像形式���,也可以使用條形碼�,或者直接顯示數(shù)據(jù),通過OCR的方式來識別�����。
8.根據(jù)權(quán)利要求7所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法��,其特征在于���,步驟三具體為: 步驟3.1 A設(shè)備保存數(shù)字簽名數(shù)據(jù)原始信息�����,用于在一旦發(fā)生爭議的情況下�,作為可追溯的數(shù)字證據(jù)�����; 步驟3.2使用者在A設(shè)備上完成必要的輸入�; 步驟3.3調(diào)用A設(shè)備本身的安全模塊,完成數(shù)字簽名和簽名者數(shù)字證書的驗(yàn)證��,并將結(jié)果展現(xiàn)給用戶���,同時(shí)也可以展現(xiàn)數(shù)字簽名數(shù)據(jù)中包含的相關(guān)信息�����,供使用者查看并確認(rèn)�����; 步驟3.4 A設(shè)備向B設(shè)備的后臺服務(wù)或者其他相關(guān)參與方S發(fā)送驗(yàn)簽結(jié)果��。
9.根據(jù)權(quán)利要求7所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法����,其特征在于�����,步驟三具體為: 步驟3.1 A設(shè)備保存數(shù)字簽名數(shù)據(jù)原始信息�,用于在一旦發(fā)生爭議的情況下,作為可追溯的數(shù)字證據(jù)�; 步驟3.2使用者在A設(shè)備上完成必要的輸入; 步驟3.3調(diào)用A設(shè)備本身的安全模塊����,完成數(shù)字簽名的驗(yàn)證��,調(diào)用遠(yuǎn)程驗(yàn)證模塊�,驗(yàn)證簽名者數(shù)字證書�,并將結(jié)果展現(xiàn)給用戶,同時(shí)也可以展現(xiàn)數(shù)字簽名數(shù)據(jù)中包含的相關(guān)信息�����,供使用者查看并確認(rèn)��; 步驟3.4 A設(shè)備向B設(shè)備的后臺服務(wù)或者其他相關(guān)參與方S發(fā)送驗(yàn)簽結(jié)果�。
10.根據(jù)權(quán)利要求4或5所述的跨設(shè)備跨應(yīng)用的數(shù)字簽名和驗(yàn)證方法,其特征在于:所述遠(yuǎn)程來源驗(yàn)證:驗(yàn)證過程通過遠(yuǎn)程驗(yàn)證服務(wù)X完成���,A設(shè)備發(fā)送待驗(yàn)證數(shù)據(jù)到X�,由X完成數(shù)據(jù)來源的驗(yàn)證����;如果來源驗(yàn)證是通過數(shù)字簽名來完成的,可以在A設(shè)備中預(yù)置X服務(wù)的證書或者證書鏈���;A設(shè)備發(fā)送待驗(yàn)證數(shù)據(jù)到X服務(wù)����;X服務(wù)對待驗(yàn)證數(shù)據(jù)進(jìn)行驗(yàn)證,包括發(fā)布者證書鏈�����,有效期����,黑名單��,數(shù)字簽名有效性驗(yàn)證���;驗(yàn)證完成后���,X服務(wù)將驗(yàn)證結(jié)果,通過數(shù)字簽名后����,返回給A設(shè)備;A設(shè)備通過預(yù)置的X服務(wù)證書鏈對X服務(wù)的返回結(jié)果進(jìn)行驗(yàn)證�,驗(yàn)證通過后即可接受來自X服務(wù)的驗(yàn)證結(jié)果; 所述本地來源驗(yàn)證:驗(yàn)證過程在A設(shè)備本機(jī)完成�;如果來源驗(yàn)證是通過數(shù)字簽名來完成的,可以在A設(shè)備中預(yù)置發(fā)布者證書或者證書鏈,通過對身份認(rèn)證條件數(shù)據(jù)的數(shù)字簽名和證書的驗(yàn)證完成驗(yàn)證過程�����;如果發(fā)布者驗(yàn)證是通過特定格式數(shù)據(jù)的方式來完成����,則A設(shè)備調(diào)用對應(yīng)的特殊數(shù)據(jù)格式驗(yàn)證方法完成; 所述本地來源驗(yàn)證+遠(yuǎn)程來源驗(yàn)證:在采用某種技術(shù)條件的情況下��,可以通過本地+遠(yuǎn)程的方式進(jìn)行來源驗(yàn)證��;來源數(shù)據(jù)使用了數(shù)字證書和數(shù)字簽名的情況下���,可以在本地驗(yàn)證來源數(shù)據(jù)的數(shù)字簽名��,而把對數(shù)字證書的驗(yàn)證通過遠(yuǎn)程驗(yàn)證服務(wù)X完成����。
【文檔編號】H04L9/32GK103905205SQ201410132685
【公開日】2014年7月2日 申請日期:2014年4月3日 優(yōu)先權(quán)日:2014年4月3日
【發(fā)明者】莊昱垚 申請人:江蘇先安科技有限公司