本申請實施例公開了一種數字簽名方法、系統及裝置，第一終端向第一可信中心發送與第一可信中心對應的簽名請求，第一可信中心使用與第一終端共享的第一共享密鑰對簽名請求中的第一認證信息進行認證。認證通過時，使用本地簽名密鑰生成數字簽名，將簽名數據、數字簽名及第二認證信息發送給第二可信中心，第二可信中心使用與每個第一可信中心共享的第二共享密鑰對第二認證信息進行認證。如果均認證通過，將簽名數據、各個數字簽名及第三認證信息發送給第二終端。第二終端使用與第二可信中心共享的第三共享密鑰對第三認證信息進行認證，認證通過時，將各個數字簽名作為簽名數據的數字簽名。即，多個可信中心進行信息的認證，提高數字簽名安全性。

技術領域

本申請涉及信息安全技術領域，具體涉及一種數字簽名方法、系統及裝置。

背景技術

數字簽名是附加在數據單元上的一些數據，或是對數據單元所作的密碼變換。這種數據或變換允許數據單元的接收者用以確認數據單元的來源和數據單元的完整性并保護數據單元，防止被人(例如接收者)進行偽造。它是對電子形式的消息進行簽名的一種方法，簽名消息能在通信網絡中傳輸。數字簽名能夠保證信息傳輸的完整性，同時可實現對發送者的身份認證，防止交易中的抵賴發生。

當前經典網絡中使用數字簽名可分為非對稱密鑰數字簽名和對稱密鑰數字簽名兩大類。非對稱密鑰數字簽名又稱為公開密鑰數字簽名，采用公鑰密碼體系實現的數字簽名方法。簽名數據的發送者利用自己的私鑰加密簽名數據的摘要，接收者利用發送者的公鑰驗證數據的完整性，同時對發送者身份實現驗證。非對稱密鑰數字簽名方法的安全性是建立在公鑰密碼體系的安全性基礎上的。而公鑰密碼體系的安全性是建立在“分解大數的困難度”或“以大素數為模來計算對數的困難度”的基礎上的。故非對稱密鑰數字簽名方法是建立在計算復雜度基礎上的，非無條件安全的。

對稱密鑰數字簽名，是基于可信中心的簽名方法。可信中心分別與簽名數據發送者和簽名數據接收者之間共享對稱密鑰，數據發送者通過與可信中心共享的共享密鑰對簽名數據進行加密發送到可信中心，可信中心使用自己獨有的簽名密鑰對簽名數據進行簽名，然后將簽名數據通過與簽名數據接收者共享的共享密鑰進行加密后，將其發送給簽名數據接收者。簽名數據的持有者可以隨時通過可信中心驗證數字簽名的完整性及驗證數據發送者的身份。但是，該種方式數字簽名系統的安全性依賴于可信中心的絕對可信性，當可信中心被攻擊，則數字簽名系統的安全性無法保證。

發明內容

有鑒于此，本申請實施例提供一種數字簽名方法、系統及裝置，以解決現有技術中數字簽名的安全對單一可信中心具有依賴性的技術問題。

為解決上述問題，本申請實施例提供的技術方案如下：

一種數字簽名方法，所述方法包括：

第一終端向第一可信中心發送與所述第一可信中心對應的簽名請求，所述簽名請求包括第一身份信息、簽名數據以及第一認證信息，所述第一認證信息為使用與所述第一可信中心共享的第一共享密鑰生成的所述第一身份信息和所述簽名數據的認證信息；所述第一可信中心的數量為至少一個；

所述第一可信中心使用所述第一共享密鑰對所述第一認證信息進行認證，如果所述第一認證信息認證通過，使用本地簽名密鑰生成所述簽名數據的數字簽名，將所述簽名數據、所述數字簽名以及第二認證信息發送給第二可信中心，所述第二認證信息為使用與所述第二可信中心共享的第二共享密鑰生成的所述簽名數據和所述數字簽名的認證信息；

所述第二可信中心分別使用每個第一可信中心對應的第二共享密鑰對該第一可信中心發送的第二認證信息進行認證，如果各個第二認證信息均認證通過，將所述簽名數據、各個所述數字簽名以及第三認證信息發送給第二終端，所述第三認證信息為使用與所述第二終端共享的第三共享密鑰生成的所述簽名數據和各個所述數字簽名的認證信息；

所述第二終端使用所述第三共享密鑰對所述第三認證信息進行認證，如果所述第三認證信息認證通過，保留所述簽名數據以及各個所述數字簽名，將各個所述數字簽名作為所述簽名數據的數字簽名。