技術領域

本發明涉及信息安全技術領域，尤其是涉及一種密鑰更新、數字簽名及簽名驗證的方法及裝置。

背景技術

在現有技術中，銀行的數字認證常采用PKI作為基礎設施，用戶端使用USBKey設備作為認證介質，這樣具有很高的安全性。尤其是用戶端私鑰、公鑰信息的生成和更新在裝置內部完成，從而進一步提高了保密性。

在應用中，某些密碼體制不適合更換用戶端公鑰信息，如基于身份的、屬性基、位置基等基于某種相對固定標識的密碼體制。但是，為了避免蓄意攻擊者積累非法獲得的簽名數據進行分析，私鑰在使用一定時段后更新是必須的。然而，私鑰的更新需要通過服務端與用戶端交互信息的方式完成，這樣，大量重要信息在非安全的網絡中傳輸，存在信息安全隱患。

發明內容

本發明的目的在于提供一種密鑰更新、數字簽名及簽名驗證的方法及裝置，以提高數字認證的安全性能。

為達到上述目的，本發明提供了一種密鑰更新方法，包括以下步驟：

獲取與服務端同步的當前認證時段標識；

比較所述當前認證時段標識與當前用戶端私鑰所對應的認證時段標識是否為不同認證時段；

如果所述當前認證時段標識與所述當前用戶端私鑰所對應的認證時段標識為不同認證時段，則根據所述當前認證時段標識和所述用戶端私鑰獲取所述當前認證時段標識所對應的用戶端私鑰；

用所述當前認證時段標識所對應的用戶端私鑰更新所述當前用戶端私鑰；并用所述當前認證時段標識更新所述當前用戶端私鑰所對應的認證時段標識。

本發明的密鑰更新方法，所述根據所述當前認證時段標識和所述用戶端私鑰獲取所述當前認證時段標識所對應的用戶端私鑰，具體包括：

采用單向陷門函數并將所述當前認證時段標識和所述用戶端私鑰作為所述單向陷門函數的輸入計算出所述當前認證時段標識所對應的用戶端私鑰。

為達到上述目的，本發明還提供了一種數字簽名方法，包括以下步驟：

接收待認證數據；

獲取與服務端同步的當前認證時段標識；

比較所述當前認證時段標識與當前用戶端私鑰所對應的認證時段標識是否為不同認證時段；

如果所述當前認證時段標識與所述當前用戶端私鑰所對應的認證時段標識為不同認證時段，則根據所述當前認證時段標識和所述用戶端私鑰獲取所述當前認證時段標識所對應的用戶端私鑰；

用所述當前認證時段標識所對應的用戶端私鑰更新所述當前用戶端私鑰；并用所述當前認證時段標識更新所述當前用戶端私鑰所對應的認證時段標識；

用所述當前認證時段標識所對應的用戶端私鑰對所述待認證數據進行數子簽名，獲得簽名數據，并將所述當前認證時段標識作為本次簽名的簽名時段；

用服務端公鑰對所述簽名數據進行加密，獲得加密的簽名數據；

將所述加密的簽名數據發送至服務端。

本發明的數字簽名方法，所述根據所述當前認證時段標識和所述用戶端私鑰獲取所述當前認證時段標識所對應的用戶端私鑰，具體包括：

采用單向陷門函數并將所述當前認證時段標識和所述用戶端私鑰作為所述單向陷門函數的輸入計算出所述當前認證時段標識所對應的用戶端私鑰。

為達到上述目的，本發明還提供了一種簽名驗證方法，包括以下步驟：

接收用戶端發送的加密的簽名數據；

用服務端私鑰解密所述加密的簽名數據，獲得簽名數據，所述簽名數據包含待認證數據和數字簽名；

獲取服務端的當前認證時段標識；

用所述用戶端的用戶端公鑰和所述當前認證時段標識對所述待認證數據的數字簽名進行驗證。

為達到上述目的，本發明還提供了一種密鑰更新裝置，包括：

時標獲取模塊，用于獲取與服務端同步的當前認證時段標識；

時標比較模塊，用于比較所述當前認證時段標識與當前用戶端私鑰所對應的認證時段標識是否為不同認證時段；

密鑰計算模塊，用于在所述當前認證時段標識與所述當前用戶端私鑰所對應的認證時段標識為不同認證時段時，根據所述當前認證時段標識和所述用戶端私鑰獲取所述當前認證時段標識所對應的用戶端私鑰；

密鑰更新模塊，用于用所述當前認證時段標識所對應的用戶端私鑰更新所述當前用戶端私鑰；并用所述當前認證時段標識更新所述當前用戶端私鑰所對應的認證時段標識。

本發明的密鑰更新裝置，所述根據所述當前認證時段標識和所述用戶端私鑰獲取所述當前認證時段標識所對應的用戶端私鑰，具體包括：