數據處理方法
2023-11-30 15:45:06
專利名稱:數據處理方法
技術領域:
本發明涉及一種數據處理方法,尤其涉及一種使用認證碼的可進行數字籤名的數據處理方法。
背景技術:
近年來,隨著業務渠道的多樣化,用於電子業務應用的電話終端、有人服務的櫃檯、有人或無人值守的POS終端、無人值守的ATM終端等渠道都需要提交信息讓用戶籤名確認以確保信息安全。這就需要用戶隨時都能接收到籤名信息並予以確認。然而,在傳統的電子業務應用中,只是將用戶所操作的hternet上網終端如傳統的PC機(個人電腦)、筆記本電腦等提交的數據進行數字籤名。隨著移動網際網路和各種移動計算設備的發展,除去傳統的PC機、筆記本電腦等計算終端外,智慧型手機、平板電腦、電子書等計算終端都越來越普及,應用也越來越多地向這些新興網絡計算設備上轉移,例如,電子業務應用的轉移。在籤名應用轉移到新興終端的過程中,傳統的籤名設備如USBKEY(即, 以USB接口方式與上位機進行通信的籤名設備)和TFKEY(即,以Micro SD接口方式與上位機進行通信的籤名設備)還存在不安全因素,並且難以與這些新興終端很好地配合以滿足用戶隨時都能接收到籤名信息並予以確認的要求。圖1是一種傳統的籤名系統的結構及其相應的基本操作流程。如圖1所示,傳統的籤名系統通常由用戶終端102、籤名裝置103和業務伺服器104構成。用戶終端102和籤名裝置103之間採用計算機外設接口,如USB接口、UART串口、紅外接口、和/或藍牙接口等相連接。用戶終端102通過網際網路對業務伺服器104進行訪問。用戶終端102根據用戶 101的需求分別與業務伺服器104和籤名裝置103進行通信。該籤名系統的基本操作流程包括在步驟S105,用戶101將業務請求數據提交給用戶終端102 ;在步驟S106,用戶終端 102把需要籤名的信息發送給籤名裝置103 ;在步驟S107,籤名裝置103對需要籤名的信息進行數字籤名,然後將籤名後的信息提交給用戶終端102 ;在步驟S108,用戶終端102將籤名後信息連同業務請求數據一起發送給業務伺服器104 ;在步驟S109,業務伺服器104對接收到的籤名後的信息進行驗證,並根據驗證結果進行相應的業務處理,隨後將業務處理結果發送給用戶終端102。最後,用戶終端102顯示業務處理結果。由於作為用戶終端的前述新興的終端與傳統的終端外設接口不統一,上述圖1所示的傳統籤名系統就很難接入這些新興的終端。例如,平板電腦和智慧型手機並不具備USB 主接口,無法將屬於USB從設備的USBKEY作為籤名裝置連接到這些設備上。另外,傳統的籤名裝置在與用戶終端的接入方式上採用計算機外設接口,這就需要相應的設備驅動程序配合。隨著終端類型的增加,所需要開發的驅動程序數量非常大,從而增大了系統開發和應用的人力花費和成本。因此,就需要一種更安全、更可靠的可進行數字籤名或者數據的讀取和/或寫入的數據處理方法。另外,比較好的是,需要一種能用於各種新興終端的可進行數字籤名或者數據的讀取和/或寫入的數據處理方法。再有,較好的是,需要一種可以滿足用戶隨時方便地接收到籤名信息並予以確認的可進行數字籤名或者數據的讀取和/或寫入的數據處理方法。
發明內容
本發明能夠克服現有技術存在的上述一個或者多個缺點。根據本發明,提供一種數據處理方法,所述數據處理方法由數據處理系統來執行, 所述數據處理系統包括具有數字籤名裝置的第一模塊、起網關作用的第二模塊和用於進行籤名信息提交的第三模塊,所述數據處理方法包括第一步驟,在所述第一模塊與所述第二模塊之間建立第一通道並且在所述第二模塊與所述第三模塊之間建立第二通道;第二步驟,在所述第一模塊與所述第三模塊之間建立第三通道;第三步驟,利用所述數字籤名裝置產生的第一認證碼,在所述第一模塊與所述第三模塊之間經由所述第二模塊建立第四通道;以及第四步驟,所述第三模塊通過所述第四通道調用所述第一模塊以進行數字籤名操作,或者所述第三模塊通過所述第四通道讀取所述第一模塊內的數據或向所述第一模塊內寫入數據。此外,在上述數據處理方法中,所述第一步驟可以包括用戶通過所述數字籤名裝置發起連接,建立所述第一通道;以及所述第二模塊向所述第三模塊發起連接請求,建立所述第二通道。另外,在上述數據處理方法中,所述第二步驟可以包括所述第二模塊與所述數字籤名裝置通過所述第一通道共享所述第一認證碼,所述數字籤名裝置將共享的認證碼傳送給用戶;以及用戶在所述第三模塊上輸入所述數字籤名裝置傳送來的認證碼和第三模塊信息,由此建立所述第三通道。再有,在上述數據處理方法中,所述第三步驟可以包括所述第三模塊通過所述第二通道將用戶輸入的認證碼與所述第三模塊信息一起發送給所述第二模塊;以及所述第二模塊把所述用戶輸入的認證碼與所述共享的認證碼進行比對,如果所述用戶輸入的認證碼與所述共享的認證碼相同,則所述第四通道建立;如果所述用戶輸入的認證碼與所述共享的認證碼不同,則斷開所述第一通道和所述第二通道,本次連接所生成的所述共享的認證碼無效。可選的是,第三步驟可以包括所述第三模塊通過所述第二通道將用戶輸入的認證碼與所述第三模塊信息一起發送給所述第二模塊,並且所述第二模塊通過所述第一通道將所述用戶輸入的認證碼發送給所述數字籤名裝置;以及所述數字籤名裝置把所述用戶輸入的認證碼與所述共享的認證碼進行比對,如果所述用戶輸入的認證碼與所述共享的認證碼相同,則所述第四通道建立;如果所述用戶輸入的認證碼與所述共享的認證碼不同,則斷開所述第一通道和所述第二通道,本次連接所生成的所述共享的認證碼無效。此外,在以上的數據處理方法中,所述第一認證碼可以在每次連接都不同,也可以是隨機數。另外,在上述數據處理方法中,建立所述第一通道的步驟可以包括在所述第一模塊與所述第二模塊之間共享密鑰。再者,在上述數據處理方法中,所述第四步驟中的數字籤名操作可以包括用戶把用戶身份信息輸入到所述第三模塊中,所述第三模塊通過所述第四通道將所述用戶身份信息提交給所述第一模塊,所述第一模塊驗證所述用戶身份信息的正確性;或者所述用戶直接將所述用戶身份信息輸入給所述第一模塊,所述第一模塊驗證所述用戶身份信息的正確性;所述第一模塊通過所述第三通道將所述用戶身份信息驗證結果發送給所述第三模塊; 以及如果所述用戶身份信息驗證結果是正確的,那麼所述第三模塊通過所述第四通道把要籤名的信息傳送給所述第一模塊,所述第一模塊對所述要籤名的信息進行數字籤名後把數字籤名後的信息通過所述第四通道返回給所述第三模塊;如果所述用戶身份信息驗證結果不正確,則所述第三模塊不傳送所述要籤名的信息。還有,在上述數據處理方法中,所述第四步驟中的所述讀取所述第一模塊內的數據可以包括所述第三模塊通過所述第四通道讀取所述第一模塊內的非敏感數據,其中,首次讀取後,將所讀取的數據緩存在所述第二模塊內;以及再次讀取時,判斷緩存在所述第二模塊內的數據是否是最新數據,如果是最新數據,則不從所述第一模塊讀取數據,如果不是最新數據,則從所述第一模塊讀取數據並將所讀取的數據緩存在所述第二模塊內。這裡,所述非敏感數據可以是不含私鑰的數字證書。再者,在上述數據處理方法中,所述第四步驟中的向所述第一模塊內寫入數據可以包括所述第三模塊通過所述第四通道向所述第一模塊寫數據;以及所述第一模塊通過所述第四通道將寫數據產生的結果返回給所述第三模塊。另外,上述數據處理方法還可以包括第五步驟,斷開所述第四通道。該第五步驟可以包括所述第一模塊或者所述第三模塊將斷開指令傳送給所述第二模塊;所述第二模塊發送斷開信息給所述第一模塊和所述第三模塊;所述第二模塊將本次連接所產生的認證碼處理為無效認證碼;以及所述第二模塊斷開所述第一通道、所述第二通道和所述第四通道。此外,可選的是,上述數據處理方法還可以包括在所述第四步驟的數字籤名操作之後的業務處理步驟,其中所述數字籤名系統還包括第四模塊,所述第三模塊與所述第四模塊之間通過第五通道通信,所述業務處理步驟包括所述第三模塊把數字籤名後的信息與業務數據一起通過所述第五通道發送給所述第四模塊,所述第四模塊驗證所述數字籤名後的信息,如果數字籤名信息驗證結果是正確的,所述第四模塊對所述業務數據進行處理並通過所述第五通道將所述數字籤名信息驗證結果和業務處理結果返回給所述第三模塊; 如果所述數字籤名信息驗證結果是不正確的,則所述第四模塊不對所述業務數據進行處理並通過所述第五通道將所述數字籤名信息驗證結果返回給所述第三模塊。所述數據處理方法還可以包括第五步驟,在所述業務處理步驟之後斷開所述第四通道。所述第五步驟可以包括所述第一模塊或者所述第三模塊將斷開指令傳送給所述第二模塊;所述第二模塊發送斷開信息給所述第一模塊和所述第三模塊;所述第二模塊將本次連接所產生的認證碼處理為無效認證碼;以及所述第二模塊斷開所述第一通道、所述第二通道和所述第四通道。通過採用本發明的數據處理方法,能夠使業務系統更安全、更可靠。另外,本發明的數據處理方法能用於各種新興終端,使得系統開發和應用的人力花費和成本得以降低。進一步地,通過採用本發明的數據處理方法,能夠使用戶隨時方便地接收到籤名信息並予以確認,例如進行移動、便捷的數字籤名。對本領域的技術人員來說很顯然的是,在上述內容的基礎上可對它們做各種修改、變換或組合。根據下面附圖和詳細描述,本發明以及相應的其他系統、裝置、方法、特徵和優點對於本領域技術人員來說將是或變得顯而易見。本申請意在使所有這些和其他系統、裝置、 方法、特徵和優點都包含在該描述中。應當理解,本文前面的一般性描述和下面的詳細描述都是示例性的和解釋性的,意在提供如對所要求保護的技術方案的進一步的理解,但沒有任何東西應被視為是對所要求保護的技術方案的限制。
以下,為更好地理解本發明,將結合附圖詳細描述本發明的各示例性的具體實施方式
。圖1是傳統的可用於數字籤名的數據處理系統的結構圖,其中還簡要示出其基本操作流程的各步驟標記;圖2是根據本發明一個示例性具體實施方式
的一種實現本發明數據處理方法的數據處理系統的整體結構圖;圖3是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統中第一模塊實例的結構圖;圖4是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統中第二模塊實例的結構圖圖5是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統中第三模塊實例的結構圖;圖6是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統中第四模塊實例的結構圖;圖7是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統的一個實例的整體結構圖;圖8是根據本發明的實現本發明數據處理方法的數字籤名裝置的一個實例的結構圖;圖9A是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的第一種建立方法實例的流程圖;圖9B是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的另一種建立方法實例的流程圖;圖IOA是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的第一種斷開方法實例的流程圖;圖IOB是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的另一種斷開方法實例的流程圖;圖IlA是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中身份驗證的第一種方法實例的流程圖;圖IlB是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中身份驗證的另一種方法實例的流程圖;圖12是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中讀數字證書實例的流程圖;以及圖13是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中進行業務數據籤名和處理實例的流程圖。
具體實施例方式現在將參照本文的各實施方式進行詳細描述,附圖中圖解了其實例。為了將其思想傳達給本領域普通技術人員,提供此後引入的這些實施方式作為實例。因此,這些實施方式可以以不同的形式實施,從而並不限於這裡所述的這些實施方式。而且,在任何可能的地方,在整個說明書和附圖中將使用相同的附圖標記表示相同或相似的部件。圖2是根據本發明一個示例性具體實施方式
的一種實現本發明數據處理方法的數據處理系統的整體結構圖。這種數據處理系統例如可以是一種數字籤名系統。如圖2所示,這種數字籤名系統可以包括第一模塊203、第二模塊205和第三模塊202。第一模塊203 可以包括本發明的數字籤名裝置(將在下面詳細描述)從而用以實現本發明的數字籤名操作,第二模塊205可以起網關作用,而第三模塊202可以用於提交籤名信息和業務數據。第一模塊203通過第一通道C211與第二模塊205進行通信,第二模塊205通過第二通道C212 與第三模塊202進行通信,第三模塊202還通過第三通道C213直接與第一模塊203進行通
fn °第一通道C211可以通過第一模塊203與第二模塊205之間共享密鑰而建立,例如這個密鑰可以在第一模塊203和第二模塊205進行設備發行初始化時寫入。第二通道C212 可以是建立在SSL VPN協議基礎上的安全通道。第三通道C213可以通過用戶從第一模塊 203的輸出單元(例如顯示單元)上獲取(例如視讀)安全信息、並向第三模塊202的輸入單元上輸入該安全信息的方式建立。當然,這些建立的方式並不局限於此,本領域的技術人員可以想到的任何建立方式都可以用於本發明。在第一通道C211、第二通道C212和第三通道C213都建立的情況下,在第一模塊203與第三模塊202之間經由第二模塊205建立第四通道C214。在本發明中,第三模塊202通過第四通道C214調用第一模塊203的功能以進行本發明的數字籤名操作,或者讀取第一模塊203內的數據或向第一模塊203內寫入數據,由此能夠使得數字籤名系統更安全、更可靠。第四通道例如可以如下文參照圖9A-9B所描述的流程那樣得以建立。可選的是,該數字籤名系統可以進一步包括第四模塊204,用於對籤名後的信息進行驗證並對業務進行處理。這種情況下,第四模塊204通過第五通道C215對從第三模塊202 接收到的數字籤名後的信息行驗證,根據驗證結果對從所述第三模塊202接收到的業務數據進行處理,並將處理結果發送給第三模塊202。這樣,該數字籤名系統除了具有建立安全保障體系的功能外,還具有業務處理功能。第一模塊實例基於移動通信網絡的數字籤名裝置第一模塊例如可以是如圖3所示的基於移動通信網絡的數字籤名裝置。當然,本發明的第一模塊的形式和使用環境等並不僅限於此,本領域的技術人員在閱讀和理解本發明後,可對其做各種修改和變換。圖3是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統中第一模塊作為帶有移動通信功能的數字籤名裝置的一個實例的結構圖。如圖3所示,數字籤名裝置可以包括第一顯示單元3031、第一輸入單元3032、數字籤名單元3033、身份驗證單元30;34、第一認證碼單元3035、第一安全功能單元 3036和第一移動通信單元3037。第一顯示單元3031分別與數字籤名單元3033、身份驗證單元30;34和第一認證碼單元3035相連,第一輸入單元3032分別與數字籤名單元3033、第一認證碼單元3035和身份驗證單元30;34相連,數字籤名單元3033、身份驗證單元30;34和第一認證碼單元3035還各自與第一安全功能單元3036相連,並且第一安全功能單元3036還與第一移動通信單元 3037相連。用戶可以通過第一輸入單元3032確認用戶需要籤名的信息,還可以輸入全部或部分需要籤名的信息,也可以輸入用戶身份信息和/或發起產生第一認證碼。第一輸入單元可以按鍵裝置的形式實現。使用按鍵裝置與現有銀行設備如密碼鍵盤操作習慣相同,且其成本低。當然,第一輸入單元並不限於此,也可以包括本領域的技術人員可以想到的其他輸入裝置部件或者由其替代,例如指紋傳感器、聲紋採集裝置、虹膜採集裝置、或者人臉識別採集裝置等。使用這些生物信息採集的方式能夠讓用戶無需記憶身份驗證信息如密碼, 而且生物信息不會遺失,難於偽造,其安全性更強。身份驗證單元3034可以驗證來自第一輸入單元3032的用戶身份信息,或者第三模塊經第一安全功能單元3036傳輸過來的用戶身份信息,並將身份信息驗證結果輸出給第一安全功能單元3036和第一顯示單元3031,用戶身份信息驗證正確後才能夠啟動數字籤名單元3033進行籤名操作。數字籤名單元3033對來自第一輸入單元3032和/或來自第三模塊經第一安全功能單元3036傳輸過來的需要籤名的信息進行數字籤名。在籤名之前將需要數字籤名的信息輸出給第一顯示單元3031,以顯示給用戶,從而使用戶能夠通過第一輸入單元3032對該信息進行確認。數字籤名單元可以通過內置的數字籤名的相關密鑰和算法進行數字籤名, 也可以由本領域技術人員所知的其他方式進行數字籤名。第一認證碼單元3035根據連接請求發起產生第一認證碼,並將第一認證碼輸出給第一顯示單元3031。這個連接請求可以如前所述是用戶通過第一輸入單元3032發起的, 也可以如後所述是用戶通過第三模塊的第二輸入單元發起並經由第一安全功能單元傳輸過來的。較佳的是,為使系統更安全以防止認證碼因未及時更改而洩露,每次連接所產生的第一認證碼都不同。更佳的是,為使系統進一步安全以防止當次認證碼被洩露,第一認證碼可以是隨機數。另外,第一認證碼單元還可以將當前產生的第一認證碼與用戶通過第三模塊的第二輸入單元輸入的認證碼做比對,將比對結果輸出給第一顯示單元3031,並通過第一安全功能單元3036將比對結果傳遞給第二模塊。可選的是,在由後述第二認證碼單元做認證碼比對的情況下,第一認證碼單元可以將當前產生的第一認證碼輸出給第一安全功能單元 3036,以使第二模塊的第二認證碼單元可以接收到這個認證碼並與用戶通過第三模塊的第二輸入單元輸入的認證碼比對。第一移動通信單元3037與外部進行通信。第一移動通信單元3037可以內置至少一種移動通信網無線接入協議棧,如GPRS、EDGE、窄帶CDMA、CDMA2000、WCDMA、TD-SCDMA, 或LTE等制式的移動通信無線協議棧。由此,本發明的數字籤名裝置可以在任何有移動通信網絡無線信號和/或網絡信號覆蓋的區域都可以與第二模塊建立通信,能夠使用戶隨時方便地接收到籤名信息並予以確認,例如進行移動、便捷的數字籤名。第一移動通信單元還可以進一步內置網絡協議棧(如TCP/IP),以使網關可以更加方便的利用對等的網絡協議棧與第一模塊建立通信連接。第一顯示單元3031可以顯示各種數據,例如,來自數字籤名單元3033的需要進行數字籤名的信息、來自第一認證碼單元3035的第一認證碼或(後述的)第二認證碼、和來自第一認證碼單元3035的認證碼比對結果,也可以選擇性地顯示來自身份驗證單元3034 的用戶身份信息、和/或身份信息驗證結果等等。當然,第一顯示單元也可以由本領域的技術人員可以想到的其他輸出部件替代,例如音頻輸出部件等。第一安全功能單元3036可以對第一移動通信單元3037與(後述的)第二模塊的第二通信單元之間傳輸的數據進行保護。具體而言,第一安全功能單元3036對數字籤名前後的用戶信息、認證碼和/或身份驗證信息等相關數據進行保護。第一安全功能單元3036 還可以內置或者獲取與第二模塊共享的密鑰和算法來建立更安全的第一通道,或者可以通過本領域技術人員熟知的方式來建立更安全的第一通道。需要指出的是,如後所述,第一安全功能單元3036並不是必要的,第一安全功能單元可以像後述第二模塊中的第二安全功能單元那樣被省去。在第一安全功能單元3036不存在的情況下,數字籤名單元3033、身份驗證單元3034和第一認證單元3035直接與第一移動通信單元3037相連接,所有數據交換也直接與第一移動通信單元3037進行。較佳的是,數字籤名單元3033、身份驗證單元30;34、第一認證碼單元3035和第一安全功能單元3036可以集成在同一顆晶片中,以使數字籤名裝置的結構更簡單、更便攜。 而且,這種實現方式使信息的流通更加封閉,系統更加安全可靠。圖8是根據本發明的實現本發明數據處理方法的數字籤名裝置的一個實例的結構圖。如圖8所示,該數字籤名裝置可以包括主控CPU (內置密碼算法和安全存儲功能)801、 液晶顯示裝置802、無線MODEM晶片組(含SIM卡)803和天線804、按鍵和指紋輸入裝置 805、數據及充電接口裝置806、以及用於給該裝置供電的電池807。主控CPU 801內集成了數字籤名單元、身份驗證單元、第一認證碼單元和第一安全功能單元;無線MODEM晶片組 803對應於第一無線通信單元;液晶顯示裝置802對應於第一顯示單元;並且按鍵和指紋輸入裝置805對應於第一輸入單元。主控CPU801與液晶顯示裝置802、無線MODEMN晶片組 803、按鍵和指紋輸入裝置805、數據及充電接口 806分別直接相連。當然,該籤名裝置還可以進一步包括傳統的與用戶終端直接通信的接口裝置,例如藍牙、USB從接口等,以便滿足用戶對傳統連接的需求。第二模塊實例安全網關第二模塊例如可以是如圖4所示的安全網關。當然,本發明的第二模塊的形式和使用環境等並不僅限於此,本領域的技術人員在閱讀和理解本發明後,可對其做各種修改和變換。如上所述,第二模塊可以起到網關的作用,為了加強系統安全性,安全網關是一個更好的實現方式。圖4是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統中第二模塊作為安全網關的一個實例的結構圖。如圖4所示,該安全網關可以包括與第一模塊203進行通信的第二通信單元4051 ;與第三模塊202進行通信的第三通信單元4055 ;第二安全功能單元4052 ;數據緩存單元40 ;和第二認證碼單元4053。第二安全功能單元4052與第二通信單元4051相連,數據緩存單元40M分別與第二安全功能單元4052和第三通信單元4055相連,而第二認證碼單元4053分別與第二安全功能單元4052和第三通信單元4055相連。第二安全功能單元4052可以用於進一步保證第一模塊和第二模塊之間的第一通道是安全的。例如,第二安全功能單元可以使用相關的密鑰和算法對第一通道中傳輸的數據進行加解密,來保證第一通道的安全性。實際上作為一般的網關來說,可以省去第二安全功能單元4052。省去第二安全功能單元4052時,數據緩存單元40 、第二認證碼單元4053 分別直接和第二通信單元4051相連。數據緩存單元40M可以用來存儲第四通道中從第一模塊流向第二模塊的非敏感數據(例如不包含私鑰的數字證書),這樣,如果第三模塊需要從第一模塊多次讀取同樣的非敏感數據,就可以不必每次都從第一模塊讀取,而可以從第二模塊中的數據緩存單元讀取。這樣可以減少第一模塊203與第二模塊之間的數據流量、提高效率。當然,本發明所指的非敏感數據並不限於不包含私鑰的數字證書,本領域技術人員所知的任何可用非敏感信息都可以用於本發明。需要指出的是,數據緩存單元40M可以省去。在沒有數據緩存單元 40M的情況下,第三模塊從第一模塊中讀取的所有信息都直接從第一模塊中讀取。第二認證碼單元4053可以根據連接請求發起產生第二認證碼,並將第二認證碼輸出給第一模塊的第一顯示單元。這個連接請求可以如前所述是用戶通過第一模塊的第一輸入單元發起的,也可以如後所述是用戶通過第三模塊的第二輸入單元發起並經由第一安全功能單元傳輸過來的。較佳的是,為使系統更安全以防止認證碼因未及時更改而洩露,每次連接所產生的第二認證碼都不同。更佳的是,為使系統進一步安全以防止當次認證碼被洩露,第二認證碼可以是隨機數。另外,第二認證碼單元4053還可以將當前產生的第二認證碼與用戶通過第三模塊的第二輸入單元輸入的認證碼做比對,並將比對結果輸出給第一模塊的第一顯示單元, 並通過第三通信單元4055將比對結果傳遞給第三模塊。可選的是,在由前述第一認證碼單元做認證碼比對的情況下,第二認證碼單元可以將當前產生的第二認證碼輸出給第二安全功能單元4052,以使第一模塊的第一認證碼單元可以接收到這個認證碼並與用戶通過第三模塊的第二輸入單元輸入的認證碼比對。第二通信單元的結構可以同第一移動通信單元的結構相同或者類似,為避免重複,這裡不再贅述。第三通信單元可以是本領域的技術人員能夠想到的任何可實現通信的裝置。第三模塊實例用戶終端第三模塊例如可以是如圖5所示的一種用戶終端。當然,本發明的第三模塊的形式和使用環境等並不僅限於此,本領域的技術人員在閱讀和理解本發明後,可對其做各種修改和變換。圖5是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統中第三模塊作為一種用戶終端的一個實例的結構圖。該用戶終端上可以生成需要籤名的信息,籤名後的信息與業務數據可以一起被發送給業務伺服器。如圖5所示,該用戶終端可以包括與第二模塊205進行通信的第四通信單元50M ;第二顯示單元5022 ;第二輸入單元5021 ;籤名信息提交單元5023 ;和業務數據提交單元5025。第二顯示單元5022分別與籤名信息提交單元5023和業務數據提交單元5025相連,第二輸入單元5021分別與籤名信息提交單元5023和業務數據提交單元5025相連,籤名信息提交單元5023分別與第四通信單元50M和業務提交單元相連,並且業務數據提交單元5025與第五通信單元50 相連。如前所述,用戶可以通過第一模塊的第一輸入單元輸入全部或者部分需要籤名的信息、用戶身份信息,發起產生第一或者第二認證碼,也可以不通過該第一輸入單元進行這些操作。在用戶不通過第一模塊的第一輸入單元輸入需要籤名的信息情況下,用戶可以通過第三模塊的第二輸入單元5021輸入需要籤名的信息。另外,在用戶通過第一模塊的第一輸入單元輸入部分需要籤名的信息情況下,用戶可以通過第三模塊的第二輸入單元5021 輸入其餘部分需要籤名的信息。在用戶不通過第一模塊的第一輸入單元輸入用戶身份信息的情況下,用戶可以通過第三模塊的第二輸入單元5021輸入用戶身份信息。在用戶不通過第一模塊的第一輸入單元發起產生第一認證碼或第二認證碼的情況下,用戶可以通過第三模塊的第二輸入單元5021發起產生第一認證碼或第二認證碼。第二輸入單元5021可以按鍵裝置的形式實現。由於傳統的計算機設備都是採用鍵盤作為輸入方式,所以採用按鍵裝置使傳統計算機設備可以作為用戶終端。當然,第二輸入單元5021並不限於此,也可以相應於第一輸入單元的配置,包括本領域的技術人員可以想到的其他輸入裝置部件或者由其替代,例如指紋傳感器、聲紋採集裝置、虹膜採集裝置、或者人臉識別採集裝置等。使用這類生物信息採集的方式能夠讓用戶無需記憶身份驗證信息如密碼,而且生物信息不會遺失, 難於偽造,其安全性更強。第二顯示單元5022可以顯示各種數據,例如,來自籤名信息提交單元5023的需要籤名的數據、來自業務數據提交單元5025的業務數據、用戶輸入的認證碼、認證碼比對結果和/或用戶身份信息等等。當然,第二顯示單元也可以由本領域的技術人員可以想到的其他輸出部件替代,例如音頻輸出部件等。籤名信息提交單元5023經第四通信單元50M、所建立的第四通道C214和第二模塊205,把需進行數字籤名的信息提交給第一模塊203以進行數字籤名操作或者對第一模塊203寫入數據和/或讀出數據操作。籤名後的信息經所建立的第四通道C214和第四通信單元50 傳送回籤名信息提交單元5023。可選的是,在數據處理系統還具有業務處理功能的情況下,也就是說,在數據處理系統進一步包括用於對業務進行處理並對籤名後的信息(如前所述,籤名後的信息是由第一模塊對需要籤名的信息進行數字籤名後生成的,並經第四通道傳輸給第三模塊的)進行驗證的第四模塊204的情況下,籤名信息提交單元把籤名後的信息傳送給業務數據提交單元,業務數據提交單元5025經第五通信單元50 把籤名後的信息連同業務數據提交給第四模塊204。第四至第五通信單元可以是本領域的技術人員能夠想到的任何可實現通信的裝置。這種用戶終端可以由桌上型電腦、筆記本電腦、平板電腦、手機、個人數字助理、ATM 機或者POS機任一實現,但並不限於此,只要本領域技術人員能夠想到的都可以使用。這些用戶終端都是現有的終端,無需做任何改變,節約系統建設成本。需要指出的是,在一個能實現數字籤名而無需進行業務處理的系統中,業務數據提交單元是可以省略的。第四模塊實例業務伺服器
如上所述,在數據處理系統還具有業務處理功能的情況下,該系統還可以具有用於對業務進行處理並對籤名後的信息進行驗證的第四模塊。第四模塊例如可以是如圖6所示的一種業務伺服器。當然,本發明的第四模塊的形式和使用環境等並不僅限於此,本領域的技術人員在閱讀和理解本發明後,可對其做各種修改和變換。圖6是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統中第四模塊的結構圖。如圖 6所示,該業務伺服器可以包括與第三模塊202進行通信的第六通信單元6043 ;業務處理單元6041 ;和籤名驗證單元6042。籤名驗證單元6042與第六通信單元6043和業務處理單元6041分別相連。籤名驗證單元6042可以用於對從第六通信單元6043接收到的來自第五通信單元 5026的數字籤名後的信息與業務數據進行驗證,並將驗證結果分別發送給第六通信單元 6043和業務處理單元6041。業務處理單元6041用於根據該驗證結果進行業務處理、並發送處理結果給第六通信單元6043。以上關於根據本發明一個示例性具體實施方式
的數據處理系統分別詳細的例舉了其各個模塊。以下,結合圖7和圖9A-12說明這樣一個數據處理系統的數字籤名系統的實例及其操作過程。圖7是根據本發明一個示例性具體實施方式
的實現本發明數據處理方法的數據處理系統的一個數字籤名系統實例的整體結構圖。如圖7所示,基於移動通信網絡的數字籤名裝置703為第一模塊,安全網關705為第二模塊,能夠上網的用戶終端例如筆記本電腦 702為第三模塊,並且業務伺服器704為第四模塊。以C711表示基於移動通信網絡的數字籤名裝置703與安全網關705之間的第一通道;以C712表示安全網關與筆記本電腦702之間的第二通道;以C713表示筆記本電腦702與基於移動通信網絡的數字籤名裝置703之間的第三通道,其中第三通道C713是可以通過用戶從第一模塊的輸出單元上視讀出信息並將該信息在第三模塊的輸入單元上輸入來建立的。較佳的是,第一通道C711在安全網關 705與基於移動通信網絡的數字籤名裝置703之間可以通過如前所述設備初始化時寫入的共享密鑰來實現其進一步的安全性。以下,將結合圖9A-圖12說明該實例的操作過程。在操作過程中,籤名裝置與用戶終端首先要進行連接建立第四通道。第四通道建立後即可進行身份驗證的操作。身份驗證操作成功後,用戶終端才可以進行對籤名裝置的讀寫以及進行數字籤名操作。所需操作完成後用戶可以選擇斷開籤名裝置與用戶終端之間的第四通道的連接。籤名裝置與用戶終端的連接過程例1如前所述,在本發明中,第三模塊通過第四通道調用第一模塊以進行本發明的數字籤名操作,或者讀取第一模塊內的數據或向第一模塊內寫入數據,由此能夠使得數據處理系統更安全、更可靠。因此,這裡首先說明第四通道的建立的一個實例。圖9A是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的第一種建立方法實例的流程圖。如圖9A所示,從步驟S900開始。在步驟S901,用戶例如通過筆記本電腦702發起連接,建立第二通道C712。例如,在用戶的筆記本電腦702和安全網關705之間建立一個 SSL連接。
接著,在步驟S902,用戶將設備帳號輸入到筆記本電腦702上。然後,在步驟S903,筆記本電腦702通過第二通道C712向安全網關705提起連接請求。在步驟S904,安全網關705與相應的基於移動通信網絡的數字籤名裝置703通過如前所述的共享密鑰建立第一通道C711。如果與相應的數字籤名裝置703無法連接(例如用戶關機的情況下,或帳號輸入錯誤的情況下),則到步驟S909,連接失敗,斷開第二通道 C712,此操作就此在步驟S911結束。如果第一通道有效建立起來則到步驟S905,安全網關 705與籤名裝置703通過第一通道共享第一認證碼單元產生的第一認證碼或第二認證碼單元產生的第二認證碼,並將其顯示在籤名裝置703的第一顯示單元例如液晶顯示屏上。在步驟S906,用戶在筆記本電腦702上輸入設備帳號和顯示在籤名裝置703的顯示屏上的認證碼,筆記本電腦702通過第二通道C712將該認證碼與設備帳號一起發送給安全網關705。在步驟S907,安全網關705將來自第二通道C712的認證碼與通過第一通道C711 共享的認證碼進行比對,如果兩認證碼不同,則到步驟S910,連接失敗,並斷開第一通道 C711和第二通道712,本次連接所生成的共享認證碼無效,此操作就此在步驟S912結束。如果兩認證碼相同,則到步驟S908,連接成功,籤名裝置703與筆記本電腦702之間經安全網關建立第四通道C714,此操作就此在步驟S913結束。籤名裝置與用戶終端的連接過程例2或者,第四通道也可以採取其他的建立方式,例如圖9B所示的根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的另一種建立方法實例,當然, 本發明並不限於此,本領域技術人員顯而易見能夠根據這些方法做其他的修改和變換。下面結合圖9B說明第四通道的另一種建立方法實例。圖9B是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的另一種建立方法實例的流程圖。如圖9B所示,從步驟S920開始。在步驟S921,用戶例如基於移動通信網絡的數字籤名裝置703發起連接。例如,用戶通過數字籤名裝置703的按鍵發起連接。接著,在步驟S922,數字籤名裝置703通過如前所述的共享密鑰發起與安全網關 705建立第一通道C711。如果連接失敗(例如在無網絡信號或者網絡信號不好的情況下), 則到步驟S927,此操作就此在步驟結束。如果,連接成功則到步驟S923,安全網關705 與籤名裝置703通過第一通道共享第一認證碼單元產生的第一認證碼或第二認證碼單元產生的第二認證碼,並將其顯示在籤名裝置703的液晶顯示屏上。在步驟S9M,用戶在筆記本電腦702上輸入設備帳號和顯示在籤名裝置703的顯示屏上的認證碼,筆記本電腦702通過第二通道C712將該認證碼與設備帳號一起發送給安全網關705。在步驟S925,安全網關705將來自第二通道C712的認證碼與通過第一通道C711 共享的認證碼進行比對驗證,如果兩認證碼不同,則到步驟S^S,連接失敗,斷開第一通道 C711,本次連接生成的共享認證碼無效,此操作就此在步驟S930結束。如果兩認證碼相同, 則到步驟S擬6,連接成功,籤名裝置703與筆記本電腦702之間經安全網關建立第四通道 C714,此操作就此在步驟S931結束。
第四通道斷開過程例1較佳的是,第四通道C714可以在數字籤名操作完成後斷開,如圖IOA和IOB所示, 以進一步確保當次的操作不被外來不安全因素所影響或者利用,從而使得數據處理系統及其操作更加安全、可靠。下面首先結合圖IOA說明第四通道的第一種斷開方法實例。圖IOA是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的第一種斷開方法實例的流程圖。如圖IOA所示,從步驟S1000開始。在步驟S1001,用戶例如通過筆記本電腦702 發起第四通道的斷開,以斷開與籤名裝置703的連接。例如,用戶通過在筆記本電腦的界面點擊相應的按鈕,或在筆記本電腦鍵盤上做相應的輸入。接著,在步驟S1002,筆記本電腦702通過第二通道C712把要斷開籤名裝置的設備帳號提交給安全網關705。然後,在步驟S1003,安全網關705把斷開信息通知筆記本電腦702和籤名裝置 703,斷開第一通道C711、第二通道C712和第四通道C714,並使本次操作已產生的認證碼無效,此操作就此在步驟S1004結束。第四通道斷開過程例2或者,第四通道也可以採取其他的斷開方式,例如圖IOB所示的根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的另一種斷開方法實例,當然,本發明並不限於此,本領域技術人員顯而易見能夠根據這些方法做其他的修改和變換。 下面結合圖IOB說明第四通道的另一種斷開方法實例。圖IOB是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中第四通道的另一種斷開方法實例的流程圖。如圖IOB所示,從步驟S1010開始。在步驟S1011,用戶例如通過在籤名裝置703 上按下相應的按鍵發起第四通道的斷開,以斷開與筆記本電腦702的連接。接著,在步驟S1012,籤名裝置703向安全網關705提出斷開請求。然後,在步驟S1013,安全網關705把斷開信息通知筆記本電腦702和籤名裝置 703,斷開第一通道C711、第二通道C712和第四通道C714,並使本次操作已產生的認證碼無效,此操作就此在步驟S1014結束。身份驗證過程例1在第四通道建立起來後,需要進行一個身份驗證過程,身份驗證通過後才能夠進行數字籤名。如圖IlA和IlB所示,身份驗證過程可以確保用戶和設備持有人是對應的,防止設備被盜用時產生的不安全隱患,從而使得數據處理系統及其操作更加安全、可靠。下面首先結合圖IlA說明身份驗證的第一種方法實例。圖IlA是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中身份驗證的第一種方法實例的流程圖。如圖IlA所示,從步驟SllOO開始。在步驟1101,用戶例如在筆記本電腦702上的例如PIN碼(個人識別碼)輸入框中輸入PIN碼做為用戶身份(驗證)信息。接著,在步驟S1102,用戶身份信息通過第四通道C714傳遞給籤名裝置703。接著,在步驟S1103,籤名裝置703利用接收到的用戶身份信息進行身份驗證。最後,在步驟S1104,籤名裝置703通過第四通道C714把身份驗證的結果傳遞給用戶筆記本電腦702,此操作就此在步驟S1105結束。身份驗證過程例2或者,身份驗證過程也可以採取其他的方式,例如圖IlB所示的根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中身份驗證的另一種方法實例,當然,本發明並不限於此,本領域技術人員顯而易見能夠根據這些方法做其他的修改和變換。下面結合圖IlB說明身份驗證的另一種方法實例。圖IlB是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中身份驗證的另一種方法實例的流程圖。如圖IlB所示,從步驟SlllO開始。在步驟1111,用戶例如在籤名裝置703上的例如PIN碼(個人識別碼)輸入框中輸入PIN碼做為用戶身份信息。接著,在步驟S1112,籤名裝置703對上述輸入的用戶身份信息進行身份驗證。最後,在步驟S1113,籤名裝置把身份驗證結果顯示在籤名裝置的例如顯示單元上,並通過第四通道C714把身份驗證的結果傳遞給用戶筆記本電腦702,此操作就此在步驟S1114結束。讀數字證書實例如前所述,在本發明中,在第四通道建立的情況下,且其身份驗證成功的前提下, 第三模塊通過第四通道調用第一模塊以進行本發明的數字籤名操作,或者讀取第一模塊內的數據或向第一模塊203內寫入數據。因此,下面分別結合圖12和圖13說明讀數字證書的過程和數據處理系統在有業務處理功能,即,具有第四模塊例如業務伺服器的實例情況下進行業務籤名和處理的過程實例。當然,本發明並不限於此,本領域技術人員顯而易見能夠根據其做其他的修改和變換。圖12是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中讀數字證書實例的流程圖。如圖12所示,從步驟S1200開始。在步驟S1201,用戶例如通過點選筆記本電腦 702上的一個讀取證書應用界面上的相應的按鈕發起讀取數字證書,筆記本電腦702通過第四通道C712將請求與設備帳號一起提供給安全網關705。在步驟S1202,安全網關705根據設備帳號來查詢相應的數字證書是否緩存在網關中。如果沒有,則到步驟S1206,通過第四通道C711從籤名裝置703中讀取數字證書數據,接著到步驟S1205。如果有,則直接到步驟S1203。在步驟S1203,安全網關705通過第四通道從裝置讀取其證書特徵值。在步驟S1204,安全網關705根據讀取的特徵值與存儲在網關中的特徵值做比較, 判斷是否是最新的證書。如果不是,則到步驟S1206,通過第四通道C711從籤名裝置703中讀取數字證書數據,接著到步驟S1205。如果是,則直接到步驟S1205。在步驟S1205,安全網關705通過第四通道將數字證書數據返回給筆記本電腦 702,此操作就此在步驟S1207結束。對信息進行籤名的實例以下說明數據處理系統在有業務處理功能,S卩,在第四通道成功建立的情況下,具有第四模塊例如業務伺服器的實例情況下進行業務籤名和處理的過程的一個實例。圖13 是根據本發明一個示例性具體實施方式
的數據處理方法的一個實例中進行業務數據籤名和處理實例的流程圖。當然,本發明並不限於此,本領域技術人員顯而易見能夠根據其做其他的修改和變換。如圖13所示,從步驟S1300開始。在步驟S1301,用戶在筆記本電腦702輸入相關的需要籤名的信息和業務數據。在步驟S1302,筆記本電腦702通過第四通道C714把需要籤名的信息部分發送給籤名裝置703。在步驟S1303,用戶在籤名裝置703上確認需要籤名的信息並對該信息進行數字籤名。在步驟S1304,籤名後的信息通過第四通道C714返回到筆記本電腦702。在步驟S1305,筆記本電腦702把籤名後信息和業務數據通過第五通道C715發送給業務伺服器704。在步驟S1306,業務伺服器704驗證籤名後的信息並進行業務處理,完成後將業務處理結果通過第五通道C715返回給筆記本電腦702,此操作就此在步驟S1307結束。前面已經結合本發明的各實施方式詳細例舉說明了本發明的數字籤名裝置、數據處理系統以及方法。通過採用本發明的數字籤名裝置、數據處理系統以及方法,能夠使數據處理系統更安全、可信。另外,本發明的數字籤名裝置、數據處理系統以及方法能用於各種新興終端,使得系統開發和應用的人力花費和成本得以降低。進一步地,通過採用本發明的數字籤名裝置、數據處理系統以及方法,能夠使用戶進行移動、便捷的數字籤名。前面結合本發明的典型實施方式詳細描述了本發明,但本領域的技術人員可以理解,這些典型實施方式和實例並不應作為對本發明的保護範圍的限制,那些對本領域的技術人員來說很明顯的修改、變換和替換都應落在本發明的保護範圍內。
權利要求
1.一種數據處理方法,所述數據處理方法由數據處理系統來執行,所述數據處理系統包括具有數字籤名裝置的第一模塊、起網關作用的第二模塊和用於進行籤名信息提交的第三模塊,所述數據處理方法包括第一步驟,在所述第一模塊與所述第二模塊之間建立第一通道(C211)並且在所述第二模塊與所述第三模塊之間建立第二通道(C2I2);第二步驟,在所述第一模塊與所述第三模塊之間建立第三通道(C213); 第三步驟,利用所述數字籤名裝置產生的第一認證碼,在所述第一模塊與所述第三模塊之間經由所述第二模塊建立第四通道(C214);以及第四步驟,所述第三模塊通過所述第四通道調用所述第一模塊以進行數字籤名操作, 或者所述第三模塊通過所述第四通道讀取所述第一模塊內的數據或向所述第一模塊內寫入數據。
2.如權利要求1所述的數據處理方法,其中所述第一步驟包括 用戶通過所述數字籤名裝置發起連接,建立所述第一通道;以及所述第二模塊向所述第三模塊發起連接請求,建立所述第二通道。
3.如權利要求1-2任一所述的數據處理方法,其中所述第二步驟包括所述第二模塊與所述數字籤名裝置通過所述第一通道共享所述第一認證碼,所述數字籤名裝置將共享的認證碼傳送給用戶;以及用戶在所述第三模塊上輸入所述數字籤名裝置傳送來的認證碼和第三模塊信息,由此建立所述第三通道。
4.如權利要求3所述的數據處理方法,其中所述第三步驟包括所述第三模塊通過所述第二通道將用戶輸入的認證碼與所述第三模塊信息一起發送給所述第二模塊;以及所述第二模塊把所述用戶輸入的認證碼與所述共享的認證碼進行比對,如果所述用戶輸入的認證碼與所述共享的認證碼相同,則所述第四通道建立;如果所述用戶輸入的認證碼與所述共享的認證碼不同,則斷開所述第一通道和所述第二通道,本次連接所生成的所述共享的認證碼無效。
5.如權利要求3所述的數據處理方法,其中所述第三步驟包括所述第三模塊通過所述第二通道將用戶輸入的認證碼與所述第三模塊信息一起發送給所述第二模塊,並且所述第二模塊通過所述第一通道將所述用戶輸入的認證碼發送給所述數字籤名裝置;以及所述數字籤名裝置把所述用戶輸入的認證碼與所述共享的認證碼進行比對,如果所述用戶輸入的認證碼與所述共享的認證碼相同,則所述第四通道建立;如果所述用戶輸入的認證碼與所述共享的認證碼不同,則斷開所述第一通道和所述第二通道,本次連接所生成的所述共享的認證碼無效。
6.如權利要求3-5任一所述的數據處理方法,其中所述第一認證碼在每次連接都不同。
7.如權利要求3-6任一所述的數據處理方法,其中所述第一認證碼是隨機數。
8.如權利要求1-7任一所述的數據處理方法,其中建立所述第一通道的步驟包括在所述第一模塊與所述第二模塊之間共享密鑰。
9.如權利要求1-8任一所述的數據處理方法,其中所述第四步驟中的數字籤名操作包括用戶把用戶身份信息輸入到所述第三模塊O02)中,所述第三模塊通過所述第四通道將所述用戶身份信息提交給所述第一模塊O03),所述第一模塊驗證所述用戶身份信息的正確性;或者所述用戶直接將所述用戶身份信息輸入給所述第一模塊,所述第一模塊驗證所述用戶身份信息的正確性;所述第一模塊通過所述第三通道將所述用戶身份信息驗證結果發送給所述第三模塊;以及如果所述用戶身份信息驗證結果是正確的,那麼所述第三模塊通過所述第四通道把要籤名的信息傳送給所述第一模塊,所述第一模塊對所述要籤名的信息進行數字籤名後把數字籤名後的信息通過所述第四通道返回給所述第三模塊;如果所述用戶身份信息驗證結果不正確,則所述第三模塊不傳送所述要籤名的信息。
10.如權利要求1-8任一所述的數據處理方法,其中所述第四步驟中的所述讀取所述第一模塊內的數據包括所述第三模塊通過所述第四通道讀取所述第一模塊內的非敏感數據,其中 首次讀取後,將所讀取的數據緩存在所述第二模塊內;以及再次讀取時,判斷緩存在所述第二模塊內的數據是否是最新數據,如果是最新數據,則不從所述第一模塊讀取數據;如果不是最新數據,則從所述第一模塊讀取數據並將所讀取的數據緩存在所述第二模塊內。
11.如權利要求10所述的數據處理方法,其中所述非敏感數據是不含私鑰的數字證書。
12.如權利要求1-8任一所述的數據處理方法,其中所述第四步驟中的向所述第一模塊內寫入數據包括所述第三模塊通過所述第四通道向所述第一模塊寫數據;以及所述第一模塊通過所述第四通道將寫數據產生的結果返回給所述第三模塊。
13.如權利要求1-12任一所述的數據處理方法,還包括 第五步驟,斷開所述第四通道。
14.如權利要求13所述的數據處理方法,其中所述第五步驟包括 所述第一模塊或者所述第三模塊將斷開指令傳送給所述第二模塊; 所述第二模塊發送斷開信息給所述第一模塊和所述第三模塊; 所述第二模塊將本次連接所產生的認證碼處理為無效認證碼;以及所述第二模塊斷開所述第一通道、所述第二通道和所述第四通道。
15.如權利要求1-8任一所述的數據處理方法,還包括在所述第四步驟的數字籤名操作之後的業務處理步驟,其中所述數據處理系統還包括第四模塊,所述第三模塊與所述第四模塊之間通過第五通道(C2M)通信,所述業務處理步驟包括所述第三模塊把數字籤名後的信息與業務數據一起通過所述第五通道發送給所述第四模塊,所述第四模塊驗證所述數字籤名後的信息,如果數字籤名信息驗證結果是正確的, 所述第四模塊對所述業務數據進行處理並通過所述第五通道將所述數字籤名信息驗證結果和業務處理結果返回給所述第三模塊;如果所述數字籤名信息驗證結果是不正確的,則所述第四模塊不對所述業務數據進行處理並通過所述第五通道將所述數字籤名信息驗證結果返回給所述第三模塊。
16.如權利要求9所述的數據處理方法,還包括在所述數字籤名操作之後利用所述數字籤名後的信息的業務處理步驟,其中所述數據處理系統還包括第四模塊,所述第三模塊與所述第四模塊之間通過第五通道(C2M)通信,所述業務處理步驟包括所述第三模塊把所述數字籤名後的信息與業務數據一起通過所述第五通道發送給所述第四模塊,所述第四模塊驗證所述數字籤名後的信息,如果數字籤名信息驗證結果是正確的,所述第四模塊對所述業務數據進行處理並通過所述第五通道將所述數字籤名信息驗證結果和業務處理結果返回給所述第三模塊;如果所述數字籤名信息驗證結果是不正確的,則所述第四模塊不對所述業務數據進行處理並通過所述第五通道將所述數字籤名信息驗證結果返回給所述第三模塊。
17.如權利要求15或者16所述的數據處理方法,還包括 第五步驟,在所述業務處理步驟之後斷開所述第四通道。
18.如權利要求17所述的數據處理方法,其中所述第五步驟包括 所述第一模塊或者所述第三模塊將斷開指令傳送給所述第二模塊; 所述第二模塊發送斷開信息給所述第一模塊和所述第三模塊; 所述第二模塊將本次連接所產生的認證碼處理為無效認證碼;以及所述第二模塊斷開所述第一通道、所述第二通道和所述第四通道。
全文摘要
一種數據處理方法,由包括具有數字籤名裝置的第一模塊、起網關作用的第二模塊和用於進行籤名信息提交的第三模塊的數據處理系統來執行,該方法包括第一步驟,在第一模塊與第二模塊之間建立第一通道並且在第二模塊與第三模塊之間建立第二通道;第二步驟,在第一模塊與第三模塊之間建立第三通道;第三步驟,利用數字籤名裝置產生的第一認證碼,在第一模塊與第三模塊之間經由第二模塊建立第四通道;以及第四步驟,第三模塊通過第四通道調用第一模塊以進行數字籤名操作,或者第三模塊通過第四通道讀取第一模塊內的數據或向第一模塊內寫入數據。
文檔編號H04L9/32GK102571337SQ201010593458
公開日2012年7月11日 申請日期2010年12月17日 優先權日2010年12月17日
發明者趙茂林 申請人:北京中創智信科技有限公司