[发明专利]基于电子钥匙进行应用签名的方法和系统

说明书

本发明实施例公开了一种基于电子钥匙进行应用签名的方法和系统，其中，方法包括：PC上的应用客户端通过USB接口将待加密/签名数据信息发送给手机终端上的PKI认证客户端；PKI认证客户端通过机卡接口模块将待加密/签名数据信息发送给用户身份识别模块中的PKI认证应用单元；PKI认证应用单元采用加密/签名算法和私钥对待加密/签名数据信息进行加密/签名，并通过机卡接口模块返回PKI认证客户端；PKI认证客户端通过USB接口将加密/签名信息返回应用客户端；应用客户端将加密/签名信息通过Internet发送到应用系统，由转发给PKI认证服务器，以便利用公钥对加密/签名信息进行解密、验证。本发明实施例可以提升数据传输效率，增强数据传输的安全性。

技术领域

本发明涉及通信技术，尤其是一种基于电子钥匙进行应用签名的方法和系统。

背景技术

电子钥匙(USBKey)身份认证是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USBKey是一种通用串行总线(USB)接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USBKey内置的密码算法实现对用户身份的认证。基于USBKey身份认证系统主要有两种应用模式：一是基于冲击/响应(挑战/应答)的认证模式，二是基于公用密钥基础结构(PKI)体系的认证模式，目前运用在电子政务、网上银行等领域，能够有效防止用户帐号盗用、密码泄漏等安全隐患。

现有的一种USBKey技术形态是通过专门的硬件实现的，例如银行的U盾。这种USBKey技术存在用户使用成本高，而且使用不方便，一个U盾一般只对应一个应用等问题。

现有的另一种USBKey技术形态是基于手机终端用户身份识别模块(简称：用户卡)实现的，通过手机终端用户卡预置或生成非对称加密算法RSA的非对称密钥对，并将其中的私钥和证书信息存储在用户卡内，将其中的公钥上传到身份认证系统。在进行用户身份认证时，应用系统将待加密或签名(表示为加密/签名)信息通过短信方式发送到手机终端用户卡，由用户卡对该待签名信息进行加密/签名，然后将加密/签名信息以短信方式发给应用系统，应用系统将该加密/签名信息后传给身份认证系统进行验证。

在实现本发明的过程中，发明人发现在上述另一种USBKey技术形态的实现方法至少存在以下问题：

由于应用系统与手机终端用户卡之间的信息传输是通过短信通道实现的，使得这种采用短信通道方式的USBKey存在短信容量小、短信延迟和丢失等问题，导致数据传输效率较低、业务时延较大，可能需要重新进行签名、验证流程，导致用户体验效果较差。

发明内容

本发明实施例所要解决的一个技术问题是：提供一种基于电子钥匙进行应用签名的方法和系统，以避免短信容量小、短信延迟和丢失问题，提升数据传输效率。

本发明实施例提供的一种基于电子钥匙进行应用签名的方法，包括：

个人计算机PC上的应用客户端根据应用系统的加密/签名指示，通过通用串行总线USB接口将待加密/签名数据信息发送给手机终端上的公用密钥基础结构PKI认证客户端；

PKI认证客户端通过机卡接口模块将所述待加密/签名数据信息发送给手机终端上用户身份识别模块中的PKI认证应用单元；

PKI认证应用单元采用预先设置的加密/签名算法，利用预先生成的公私密钥对采用中的私钥对待加密/签名数据信息进行加密/签名，得到加密/签名信息；

PKI认证应用单元通过机卡接口模块将所述加密/签名信息返回所述PKI认证客户端；

PKI认证客户端通过USB接口将所述加密/签名信息返回所述应用客户端；

应用客户端将所述加密/签名信息通过互联网Internet发送到应用系统；