一种数字签名方法、系统及装置制造方法及图纸

本申请实施例公开了一种数字签名方法、系统及装置，第一终端向第一可信中心发送与第一可信中心对应的签名请求，第一可信中心使用与第一终端共享的第一共享密钥对签名请求中的第一认证信息进行认证。认证通过时，使用本地签名密钥生成数字签名，将签名数据、数字签名及第二认证信息发送给第二可信中心，第二可信中心使用与每个第一可信中心共享的第二共享密钥对第二认证信息进行认证。如果均认证通过，将签名数据、各个数字签名及第三认证信息发送给第二终端。第二终端使用与第二可信中心共享的第三共享密钥对第三认证信息进行认证，认证通过时，将各个数字签名作为签名数据的数字签名。即，多个可信中心进行信息的认证，提高数字签名安全性。数字签名安全性。数字签名安全性。

【技术实现步骤摘要】
一种数字签名方法、系统及装置


[0001]本申请涉及信息安全
，具体涉及一种数字签名方法、系统及装置。

技术介绍

[0002]数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据单元，防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法，签名消息能在通信网络中传输。数字签名能够保证信息传输的完整性，同时可实现对发送者的身份认证，防止交易中的抵赖发生。
[0003]当前经典网络中使用数字签名可分为非对称密钥数字签名和对称密钥数字签名两大类。非对称密钥数字签名又称为公开密钥数字签名，采用公钥密码体系实现的数字签名方法。签名数据的发送者利用自己的私钥加密签名数据的摘要，接收者利用发送者的公钥验证数据的完整性，同时对发送者身份实现验证。非对称密钥数字签名方法的安全性是建立在公钥密码体系的安全性基础上的。而公钥密码体系的安全性是建立在“分解大数的困难度”或“以大素数为模来计算对数的困难度”的基础上的。故非对称密钥数字签名方法是建立在计算复杂度基础上的，非无条件安全的。
[0004]对称密钥数字签名，是基于可信中心的签名方法。可信中心分别与签名数据发送者和签名数据接收者之间共享对称密钥，数据发送者通过与可信中心共享的共享密钥对签名数据进行加密发送到可信中心，可信中心使用自己独有的签名密钥对签名数据进行签名，然后将签名数据通过与签名数据接收者共享的共享密钥进行加密后，将其发送给签名数据接收者。签名数据的持有者可以随时通过可信中心验证数字签名的完整性及验证数据发送者的身份。但是，该种方式数字签名系统的安全性依赖于可信中心的绝对可信性，当可信中心被攻击，则数字签名系统的安全性无法保证。

技术实现思路

[0005]有鉴于此，本申请实施例提供一种数字签名方法、系统及装置，以解决现有技术中数字签名的安全对单一可信中心具有依赖性的技术问题。
[0006]为解决上述问题，本申请实施例提供的技术方案如下：
[0007]一种数字签名方法，所述方法包括：
[0008]第一终端向第一可信中心发送与所述第一可信中心对应的签名请求，所述签名请求包括第一身份信息、签名数据以及第一认证信息，所述第一认证信息为使用与所述第一可信中心共享的第一共享密钥生成的所述第一身份信息和所述签名数据的认证信息；所述第一可信中心的数量为至少一个；
[0009]所述第一可信中心使用所述第一共享密钥对所述第一认证信息进行认证，如果所述第一认证信息认证通过，使用本地签名密钥生成所述签名数据的数字签名，将所述签名数据、所述数字签名以及第二认证信息发送给第二可信中心，所述第二认证信息为使用与
所述第二可信中心共享的第二共享密钥生成的所述签名数据和所述数字签名的认证信息；
[0010]所述第二可信中心分别使用每个第一可信中心对应的第二共享密钥对该第一可信中心发送的第二认证信息进行认证，如果各个第二认证信息均认证通过，将所述签名数据、各个所述数字签名以及第三认证信息发送给第二终端，所述第三认证信息为使用与所述第二终端共享的第三共享密钥生成的所述签名数据和各个所述数字签名的认证信息；
[0011]所述第二终端使用所述第三共享密钥对所述第三认证信息进行认证，如果所述第三认证信息认证通过，保留所述签名数据以及各个所述数字签名，将各个所述数字签名作为所述签名数据的数字签名。
[0012]在一种可能的实现方式中，所述第一可信中心使用所述第一共享密钥对所述第一认证信息进行认证，包括：
[0013]所述第一可信中心生成第四认证信息，所述第四认证信息为使用所述第一共享密钥生成的接收到的第一身份信息和接收到的签名数据的认证信息，如果所述第四认证信息与所述第一认证信息一致，则所述第一认证信息认证通过；
[0014]所述第二可信中心分别使用每个第一可信中心对应的第二共享密钥对该第一可信中心发送的第二认证信息进行认证，包括：
[0015]所述第二可信中心分别生成每个第一可信中心对应的第五认证信息，所述第五认证信息为使用该第一可信中心对应的第二共享密钥生成的接收到的签名数据和接收到的该第一可信中心的数字签名的认证信息，如果每个第一可信中心对应的第五认证信息与该第一可信中心发送的第二认证信息均相同，则各个第二认证信息均认证通过；
[0016]所述第二终端使用所述第三共享密钥对所述第三认证信息进行认证，包括：
[0017]所述第二终端生成第六认证信息，所述第六认证信息为使用所述第三共享密钥生成的接收到的签名数据和接收到的各个所述数字签名的认证信息，如果所述第六认证信息与所述第三认证信息一致，则所述第三认证信息认证通过。
[0018]在一种可能的实现方式中，所述方法还包括：
[0019]签名密钥分发服务器生成原始密钥数据，对所述原始密钥数据采用纠删码技术进行处理，生成签名密钥数据，将所述签名密钥数据分发给各个所述第一可信中心；所述第一可信中心中的本地签名密钥是从所述签名密钥分发服务器发送的签名密钥数据中获取的。
[0020]在一种可能的实现方式中，所述方法还包括：
[0021]所述签名密钥分发服务器对所述第一可信中心中的签名密钥数据进行恢复。
[0022]在一种可能的实现方式中，所述方法还包括：
[0023]第三终端将所述签名数据以及各个所述数字签名分别发送给产生该数字签名的第一可信中心；
[0024]接收到数字签名的第一可信中心根据所述签名数据以及接收到的数字签名对该数字签名进行验证，向所述第三终端发送验证结果；
[0025]所述第三终端如果接收到各个所述数字签名均通过验证的验证结果，则确定所述签名数据的数字签名正确。
[0026]在一种可能的实现方式中，所述方法还包括：
[0027]所述第三终端如果接收到各个所述数字签名未均通过验证的验证结果，则将所述签名数据以及验证未通过的数字签名发送给仲裁服务器；
[0028]所述仲裁服务器判断所述验证未通过的数字签名对应的第一可信中心中的本地签名密钥是否被更改，如果未更改，向所述第三终端发送所述验证未通过的数字签名通过验证的验证结果。
[0029]一种数字签名方法，所述方法应用于第一可信中心，所述方法包括：
[0030]接收第一终端发送的签名请求，所述签名请求包括第一身份信息、签名数据以及第一认证信息，所述第一认证信息为使用与所述第一可信中心共享的第一共享密钥生成的所述第一身份信息和所述签名数据的认证信息；
[0031]使用所述第一共享密钥对所述第一认证信息进行认证，如果所述第一认证信息认证通过，使用本地签名密钥生成所述签名数据的数字签名；
[0032]将所述签名数据、所述数字签名以及第二认证信息发送给第二可信中心，以使所述第二可信中心使用所述第一可信中心对应的第二共享密钥对所述第二认证信息进行认证，如果各个所述第一可信中心发送的第二认证本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数字签名方法，其特征在于，所述方法包括：第一终端向第一可信中心发送与所述第一可信中心对应的签名请求，所述签名请求包括第一身份信息、签名数据以及第一认证信息，所述第一认证信息为使用与所述第一可信中心共享的第一共享密钥生成的所述第一身份信息和所述签名数据的认证信息；所述第一可信中心的数量为至少一个；所述第一可信中心使用所述第一共享密钥对所述第一认证信息进行认证，如果所述第一认证信息认证通过，使用本地签名密钥生成所述签名数据的数字签名，将所述签名数据、所述数字签名以及第二认证信息发送给第二可信中心，所述第二认证信息为使用与所述第二可信中心共享的第二共享密钥生成的所述签名数据和所述数字签名的认证信息；所述第二可信中心分别使用每个第一可信中心对应的第二共享密钥对该第一可信中心发送的第二认证信息进行认证，如果各个第二认证信息均认证通过，将所述签名数据、各个所述数字签名以及第三认证信息发送给第二终端，所述第三认证信息为使用与所述第二终端共享的第三共享密钥生成的所述签名数据和各个所述数字签名的认证信息；所述第二终端使用所述第三共享密钥对所述第三认证信息进行认证，如果所述第三认证信息认证通过，保留所述签名数据以及各个所述数字签名，将各个所述数字签名作为所述签名数据的数字签名。2.根据权利要求1所述的方法，其特征在于，所述第一可信中心使用所述第一共享密钥对所述第一认证信息进行认证，包括：所述第一可信中心生成第四认证信息，所述第四认证信息为使用所述第一共享密钥生成的接收到的第一身份信息和接收到的签名数据的认证信息，如果所述第四认证信息与所述第一认证信息一致，则所述第一认证信息认证通过；所述第二可信中心分别使用每个第一可信中心对应的第二共享密钥对该第一可信中心发送的第二认证信息进行认证，包括：所述第二可信中心分别生成每个第一可信中心对应的第五认证信息，所述第五认证信息为使用该第一可信中心对应的第二共享密钥生成的接收到的签名数据和接收到的该第一可信中心的数字签名的认证信息，如果每个第一可信中心对应的第五认证信息与该第一可信中心发送的第二认证信息均相同，则各个第二认证信息均认证通过；所述第二终端使用所述第三共享密钥对所述第三认证信息进行认证，包括：所述第二终端生成第六认证信息，所述第六认证信息为使用所述第三共享密钥生成的接收到的签名数据和接收到的各个所述数字签名的认证信息，如果所述第六认证信息与所述第三认证信息一致，则所述第三认证信息认证通过。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：签名密钥分发服务器生成原始密钥数据，对所述原始密钥数据采用纠删码技术进行处理，生成签名密钥数据，将所述签名密钥数据分发给各个所述第一可信中心；所述第一可信中心中的本地签名密钥是从所述签名密钥分发服务器发送的签名密钥数据中获取的。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：所述签名密钥分发服务器对所述第一可信中心中的签名密钥数据进行恢复。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：第三终端将所述签名数据以及各个所述数字签名分别发送给产生该数字签名的第一
可信中心；接收到数字签名的第一可信中心根据所述签名数据以及接收到的数字签名对该数字签名进行验证，向所述第三终端发送验证结果；所述第三终端如果接收到各个所述数字签名均通过验证的验证结果，则确定所述签名数据的数字签名正确。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：所述第三终端如果接收到各个所述数字签名未均通过验证的验证结果，则将所述签名数据以及验证未通过的数字签名发送给仲裁服务器；所述仲裁服务器判断所述验证未通过的数字签名对应的第一可信中心中的本地签名密钥是否被更改，如果未更改，向所述第三终端发送所述验证未通过的数字签名通过验证的验证结果。7.一种数字签名方法，其特征在于，所述方法应用于第一可信中心，所述方法包括：接收第一终端发送的签名请求，所述签名请求包括第一身份信息、签名数据以及第一认证信息，所述第一认证信息为使用与所述第一可信中心共享的第一共享密钥生成的所述第一身份信息和所述签名数据的认证信息；使用所述第一共享密钥对所述第一认证信息进行认证，如果所述第一认证信息认证通过，使用本地签名密钥生成所述签名数据的数字签名；将所述签名数据、所述数字签名以及第二认证信息发送给第二可信中心，以使所述第二可信中心使用所述第一可信中心对应的第二共享密钥对所述第二认证信息进行认证，如果各个所述第一可信中心发送的第二认证信息均认证通过，将所述签名数据、各个所述第一可信中心发送的各个所述数字签名以及第三认证信息发送给第二终端；所述第二认证信息为所述第一可信中心使用与所述第二可信中心共享的第二共享密钥生成的所述签名数据和所述数字签名的认证信息；所述第三认证信息为所述第二可信中心使用与所述第二终端共享的第三共享密钥生成的所述签名数据和各个所述数字签名的认证信息；所述第二终端用于使用所述第三共享密钥对所述第三认证信息进行认证，如果所述第三认证信息认证通过，保留所述签名数据以及各个所述数字签名，将各个所述数字签名作为所述签名数据的数字签名。8.根据权利要求7所述的方法，其特征在于，所述使用所述第一共享密钥对所述第一认证信息进行认证，包括：生成第四认证信息，所述第四认证信息为使用所述第一共享密钥生成的接收到的第一身份信息和接收到的签名数据的认证信息，如果所述第四认证信息与所述第一认证信息一致，则所述第一认证信息认证通过。9.根据权利要求7所述的方法，其特征在于，所述第一可信中心中的本地签名密钥是从签名密钥分发服务器发送的签名密钥数据中获取的，所述签名密钥分发服务器用于生成原始密钥数据，对所述原始密钥数据采用纠删码技术进行处理，生成签名密钥数据，将所述签名密钥数据分发给各个所述第一可信中心。10.根据权利要求9所述的方法，其特征在于，所述签名密钥分发服务器还用于对所述第一可信中心中的签名密钥数据进行恢复。11.根据权利要求7所述的方法，其特征在于，所述方法还包括：
接收第三终端发送的所述签名数据以及所述数字签名，根据所述签名数据以及所述数字签名对所述数字签名进行验证，向所述第三终端发送验证结果，以使所述第三终端如果接收到各个所述第一可信中心对应的数字签名均通过验证的验证结果，则确定所述签名数据的数字签名正确。12.根据权利要求7所述的方法，其特征在于，所述第三终端还用于如果接收到各个所述数字签名未均通过验证的验证结果，则将所述签名数据以及验证未通过的数字签名发送给仲裁服务器；所述仲裁服务器，用于判断所述验证未通过的数字签名对应的第一可信中心中的本地签名密钥是否被更改，如果未更改，向所述第三终端发送所述验证未通过的数字签名通过验证的验证结果。13.一种数字签名方法，其特征在于，所述方法应用于第二可信中心，所述方法包括：接收各个第一可信中心发送的签名数据、数字签名以及第二认证信息；所述第一可信中心用于接收第一终端发送的签名请求，所述签名请求包括第一身份信息、签名数据以及第一认证信息，所述第一认证信息为所述第一终端使用与所述第一可信中心共享的第一共享密钥生成的所述第一身份信息和所述签名数据的认证信息；使用所述第一共享密钥对所述第一认证信息进行认证，如果所述第一认证信息认证通过，使用本地签名密钥生成所述签名数据的数字签名；将所述签名数据、所述数字签名以及第二认证信息发送给第二可信中心，所述第二认证信息为所述第一可信中心使用与所述第二可信中心共享的第二共享密钥生成的所述签名数据和所述数字签名的认证信息；分别使用每个第一可信中心对应的第二共享密钥对该第一可信中心发送的第二认证信息进行认证；如果各个第二认证信息均认证通过，将所述签名数据、各个所述数字签名以及第三认证信息发送给第二终端，以使所述第二终端使用第三共享密钥对所述第三认证信息进行认证，如果所述第三认证信息认证通过，保留所述签名数据以及各个所述数字签名，将各个所述数字签名作为所述签名数据的数字签名；所述第三认证信息为使用与所述第二终端共享的第三共享密钥生成的所述签名数据和各个所述数字签名的认证信息。14.根据权利要求13所述的方法，其特征在于，所述分别使用每个第一可信中心对应的第二共享密钥对该第一可信中心发送的第二认证信息进行认证，包括：分别生成每个第一可信中心对应的第五认证信息，所述第五认证信息为使用该第一可信中心对应的第二共享密钥生成的接收到的签名数据和接收到的该第一可信中心的数字签名的认证信息，如果每个第一可信中心对应的第五认证信息与该第一可信中心发送的第二认证信息均相同，则各个第二认证信息均认证通过。15.根据权利要求13所述的方法，其特征在于，所述第一可信中心中的本地签名密钥是从签名密钥分发服务器发送的签名密钥数据中获取的，所述签名密钥分发服务器用于生成原始密钥数据，对所述原始密钥数据采用纠删码技术进行处理，生成签名密钥数据，将所述签名密钥数据分发给各个所述第一可信中心。16.根据权利要求15所述的方法，其特征在于，所述签名密钥分发服务器还用于对所述第一可信中心中的签名密钥数据进行恢复。17.一种...

【专利技术属性】
技术研发人员：赵梅生，原磊，武宏宇，
申请(专利权)人：山东量子科学技术研究院有限公司，
类型：发明
国别省市：