CN106411520B - 一种虚拟资源数据的处理方法、装置及系统 - Google Patents
一种虚拟资源数据的处理方法、装置及系统 Download PDFInfo
- Publication number
- CN106411520B CN106411520B CN201510455785.6A CN201510455785A CN106411520B CN 106411520 B CN106411520 B CN 106411520B CN 201510455785 A CN201510455785 A CN 201510455785A CN 106411520 B CN106411520 B CN 106411520B
- Authority
- CN
- China
- Prior art keywords
- challenge code
- digital signature
- virtual resource
- client
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种虚拟资源数据的处理方法、装置及系统,该方法包括:发送虚拟资源的转移请求,转移请求携带请求相关的字段信息;获取利用客户端证书的公钥加密后生成的第一挑战码;获取客户端证书的私钥,利用客户端证书的私钥对第一挑战码进行解密;根据解密后的第一挑战码、字段信息生成第一数字签名;当确定第一数字签名与服务器中第二数字签名一致时,则指示允许虚拟资源转移。由于攻击者没有用户的客户端证书,无法对公钥加密的挑战码进行解密,因此无法模仿用户的签名;数字签名包含与对应支付请求的相关信息,且该签名只能用于本次交易,保证交易的安全性;挑战码提前设置,大大降低了支付高峰时给服务器带来的负载压力,提高运行速率。
Description
技术领域
本发明属于通信技术领域,尤其涉及一种虚拟资源数据的处理方法、装置及系统。
背景技术
随着互联网络技术的不断进步,人们对互联网络安全的要求也越来越高。
以基于客户端数字证书的快捷支付为例,目前通常在发起支付请求时,首先使用客户端数字证书中的私钥对支付请求中的部分字段对进行数字签名,然后将签名后的数据作为一个新的字段和支付请求中的其他信息一起提交到支付后台服务器,后台服务器收到请求后,使用证书的公钥对签名进行解密,如果解密成功且解密后的数据正确,则认为是用户的正确支付请求。由于客户端证书的私钥只有用户的终端设备上才可以获得,其他人很难仿冒用户的签名。
在对现有技术的研究和实践过程中,本发明的发明人发现,后台处理用户的支付请求时,需要实时的对用户的使用非对称加密算法加密的签名进行解密,而非对称加密算法加解密的效率是相当低的。以公钥加密算法(RSA,RSA algorithm)为例,其加解密速度相当于同等加密强度的对称加密算法的1/1000左右。在这种设计下,证书用户对后台服务器造成的压力必然显著大于非证书用户,运行效率相对较低。
发明内容
本发明的目的在于提供一种虚拟资源数据的处理方法及装置,旨在减轻服务器的负载压力,提高服务器的运行速率。
为解决上述技术问题,本发明实施例第一方面提供:
一种虚拟资源数据的处理方法,其中包括:
发送虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
根据所述转移请求,获取服务器预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成;
获取客户端证书的私钥,并利用所述客户端证书的私钥对所述第一挑战码进行解密;
根据解密后的第一挑战码以及所述字段信息生成第一数字签名;
当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,所述第二数字签名为所述服务器生成的数字签名。
本发明实施例第二方面提供:
一种虚拟资源数据的处理方法,其中包括:
接收虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
根据所述转移请求,向客户端发送预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成;
接收客户端发送的第一数字签名,所述第一数字签名由所述客户端利用客户端证书的私钥对所述第一挑战码进行解密,并根据解密后的第一挑战码以及所述字段信息所生成;
当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,所述第二数字签名为所述服务器生成的数字签名。
本发明实施例第三方面提供:
一种虚拟资源数据的处理装置,其中包括:
第一发送模块,用于发送虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
第一获取模块,用于根据所述转移请求,获取服务器预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成;
解密模块,用于获取客户端证书的私钥,并利用所述客户端证书的私钥对所述第一挑战码进行解密;
第一生成模块,用于根据解密后的第一挑战码以及所述字段信息生成第一数字签名;
第一指示模块,用于当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,所述第二数字签名为所述服务器生成的数字签名。
本发明实施例第四方面提供:
一种虚拟资源数据的处理装置,其中包括:
第二接收模块,用于接收虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
第三发送模块,用于根据所述转移请求,向客户端发送预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成;
第三接收模块,用于接收客户端发送的第一数字签名,所述第一数字签名由所述客户端利用客户端证书的私钥对所述第一挑战码进行解密,并根据解密后的第一挑战码以及所述字段信息所生成;
第二指示模块,用于当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,所述第二数字签名为所述服务器生成的数字签名。
本发明实施例第五方面提供:
一种虚拟资源数据的处理系统,包括客户端和服务器,其中,所述客户端为第三方面提供的虚拟资源数据的处理装置,所述服务器为第四方面提供的虚拟资源数据的处理装置。
相对于现有技术,本实施例,服务器提前使用客户端证书中的公钥为用户生成挑战码;用户请求虚拟资源转移时使用客户端证书的私钥解密挑战码;然后根据将解密后的挑战码和请求相关的字段信息生成数字签名;服务器通过验证客户端生成的数字签名的正确性来确认该虚拟资源转移请求是否合法;由于攻击者没有用户的客户端证书,无法对公钥加密的挑战码进行解密,因此无法模仿用户的签名。生成的数字签名包含与对应支付请求的相关信息,且该签名只能用于本次交易,更能保证交易的安全性;并且,由于挑战码提前设置,大大降低了支付高峰时给服务器带来的负载压力,提高服务器的运行速率。
附图说明
下面结合附图,通过对本发明的具体实施方式详细描述,将使本发明的技术方案及其它有益效果显而易见。
图1是本发明第一实施例提供的虚拟资源数据的处理方法的流程示意图;
图2为本发明第二实施例提供的虚拟资源数据的处理方法的流程示意图;
图3为本发明第三实施例提供的虚拟资源数据的处理方法的流程示意图;
图4为本发明第四实施例提供的虚拟资源数据的处理装置的结构示意图;
图5为本发明第五实施例提供的虚拟资源数据的处理装置的结构示意图;
图6为本发明第六实施例提供的虚拟资源数据的处理系统的结构示意图。
具体实施方式
请参照图式,其中相同的组件符号代表相同的组件,本发明的原理是以实施在一适当的运算环境中来举例说明。以下的说明是基于所例示的本发明具体实施例,其不应被视为限制本发明未在此详述的其它具体实施例。
在以下的说明中,本发明的具体实施例将参考由一部或多部计算机所执行的步骤及符号来说明,除非另有述明。因此,这些步骤及操作将有数次提到由计算机执行,本文所指的计算机执行包括了由代表了以一结构化型式中的数据的电子信号的计算机处理单元的操作。此操作转换该数据或将其维持在该计算机的内存系统中的位置处,其可重新配置或另外以本领域测试人员所熟知的方式来改变该计算机的运作。该数据所维持的数据结构为该内存的实体位置,其具有由该数据格式所定义的特定特性。但是,本发明原理以上述文字来说明,其并不代表为一种限制,本领域测试人员将可了解到以下所述的多种步骤及操作亦可实施在硬件当中。
本发明的原理使用许多其它泛用性或特定目的运算、通信环境或组态来进行操作。所熟知的适合用于本发明的运算系统、环境与组态的范例可包括(但不限于)手持电话、个人计算机、服务器、多处理器系统、微电脑为主的系统、主架构型计算机、及分布式运算环境,其中包括了任何的上述系统或装置。
本文所使用的术语「模块」可看做为在该运算系统上执行的软件对象。本文所述的不同组件、模块、引擎及服务可看做为在该运算系统上的实施对象。而本文所述的装置及方法优选的以软件的方式进行实施,当然也可在硬件上进行实施,均在本发明保护范围之内。
第一实施例
请参阅图1,图1是本发明第一实施例提供的虚拟资源数据的处理方法的流程示意图。所述方法包括:
在步骤S101中,发送虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息。
可以理解的是,所述虚拟资源数据的处理方法可基于一客户端上运行,所述客户端可以为笔记型计算机、平板PC(Personal Computer)、手机等具备储存单元并安装有微处理器而具有运算能力的终端机构成,本发明对此不作具体限定。
本发明实施例中所述虚拟资源数据的转移请求可以包括移动支付处理、扣款处理,转账处理等,此处不作具体限定。
在步骤S102中,根据所述转移请求,获取服务器预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成。
在步骤S103中,获取客户端证书的私钥,并利用所述客户端证书的私钥对所述第一挑战码进行解密。
在步骤S104中,根据解密后的第一挑战码以及所述字段信息生成第一数字签名。
其中,所述步骤S102至步骤S104可具体为:
可以理解的是,挑战码(challenge)也称作挑战口令,是指遵循握手验证协议生成的一组加密口令,用于在传输过程中保证用户的真实密码不被泄露。本发明实施例中所述第一挑战码是指服务器利用客户端证书的公钥加密后生成的挑战码;容易想到的是,本实施例中“第一”、“第二”仅为便于区别说明,并不构成限定。
客户端获取服务器所述第一挑战码后,利用客户端证书的私钥对所述第一挑战码进行解密,然后根据解密后的第一挑战码以及请求相关的字段信息生成第一数字签名,由于攻击者没有用户的客户端证书,无法对公钥加密的第一挑战码进行解密,因此无法模仿用户的数字签名,提高交易安全性。
在步骤S105中,当确定所述第一数字签名与所述服务器中第二数字签名一致时,则指示允许所述虚拟资源转移。
服务器获取所述客户端生成的第一数字签名,将所述第一数字签名与其生成的第二数字签名进行比较,若确定出第一数字签名与第二数字签名一致时,则接受所述客户端发送的虚拟资源转移请求,所述客户端向用户指示允许所述虚拟资源转移。
由上述可知,本实施例提供的虚拟资源数据的处理方法,服务器提前使用客户端证书中的公钥为用户生成挑战码;用户请求虚拟资源转移时使用客户端证书的私钥解密挑战码;然后根据将解密后的挑战码和请求相关的字段信息生成数字签名;服务器通过验证客户端生成的数字签名的正确性来确认该虚拟资源转移请求是否合法;由于攻击者没有用户的客户端证书,无法对公钥加密的挑战码进行解密,因此无法模仿用户的签名。生成的数字签名包含与对应支付请求的相关信息,且该签名只能用于本次交易,更能保证交易的安全性;并且,由于挑战码提前设置,大大降低了支付高峰时给服务器带来的负载压力,提高服务器的运行速率。
第二实施例
请参阅图2,图2为本发明第二实施例提供的虚拟资源数据的处理方法的流程示意图。
其中,本实施例提供与第一实施例相对应的虚拟资源数据的处理方法;该方法基于一服务器上运行,所述服务器接收客户端发送的虚拟资源的转移请求,并对所述虚拟资源的转移请求进行处理;其中,所述客户端可以为笔记型计算机、平板PC、手机等具备储存单元并安装有微处理器而具有运算能力的终端机构成;本发明实施例中所述虚拟资源数据的转移请求可以包括移动支付处理、扣款处理,转账处理等,此处不作具体限定。
所述方法包括:
在步骤S201中,接收虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息。
在步骤S202中,根据所述转移请求,向客户端发送预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成。
在步骤S203中,接收客户端发送的第一数字签名,所述第一数字签名由所述客户端利用客户端证书的私钥对所述第一挑战码进行解密,并根据解密后的第一挑战码以及所述字段信息所生成。
其中,所述步骤S201与步骤S203可具体为:
可以理解的是,挑战码也称作挑战口令,是指遵循握手验证协议生成的一组加密口令,用于在传输过程中保证用户的真实密码不被泄露。本发明实施例中所述第一挑战码是指服务器利用客户端证书的公钥加密后生成的挑战码。
客户端获取服务器所述第一挑战码后,利用客户端证书的私钥对所述第一挑战码进行解密,然后根据解密后的第一挑战码以及请求相关的字段信息生成第一数字签名,并发送至所述服务器;由于攻击者没有用户的客户端证书,无法对公钥加密的第一挑战码进行解密,因此无法模仿用户的数字签名,提高交易安全性。
在步骤S204中,当确定所述第一数字签名与所述服务器中第二数字签名一致时,则指示允许所述虚拟资源转移。
服务器获取所述客户端生成的第一数字签名,将所述第一数字签名与其生成的第二数字签名进行比较,若确定出第一数字签名与第二数字签名一致时,则接受所述客户端发送的虚拟资源转移请求,所述客户端向用户指示允许所述虚拟资源转移。
由上述可知,本实施例提供的虚拟资源数据的处理方法,服务器提前使用客户端证书中的公钥为用户生成挑战码;用户请求虚拟资源转移时使用客户端证书的私钥解密挑战码;然后根据将解密后的挑战码和请求相关的字段信息生成数字签名;服务器通过验证客户端生成的数字签名的正确性来确认该虚拟资源转移请求是否合法;由于攻击者没有用户的客户端证书,无法对公钥加密的挑战码进行解密,因此无法模仿用户的签名。生成的数字签名包含与对应支付请求的相关信息,且该签名只能用于本次交易,更能保证交易的安全性;并且,由于挑战码提前设置,大大降低了支付高峰时给服务器带来的负载压力,提高服务器的运行速率。
第三实施例
请参阅图3,图3为本发明第三实施例提供的虚拟资源数据的处理方法的流程示意图。所述方法包括:
在步骤S301中、服务器接收用户信息;
在步骤S302中、服务器根据所述用户信息,生成相对应的第二挑战码,所述第二挑战码携带对应的挑战码明文和挑战码密文;
在步骤S303中、服务器获取所述用户信息指示的用户客户端证书的公钥;
在步骤S304中、服务器利用所述客户端证书的公钥对所述第二挑战码进行加密,生成第一挑战码,并存储所述挑战码明文和挑战码密文。
其中,所述步骤S301至步骤S304可具体为:服务器中预设的第一挑战码可以在虚拟资源转移之前进行设置,所述第一挑战码是服务器利用客户端证书的公钥加密后生成。
可以理解的是,针对于客户端,在发送虚拟资源的转移请求之前,发送用户信息,以使所述服务器根据所述用户信息进行处理以生成第一挑战码,所述处理包括:所述服务器根据所述用户信息生成相对应的第二挑战码,获取所述用户信息指示的客户端证书的公钥,所述服务器利用所述客户端证书的公钥对所述第二挑战码进行加密,生成第一挑战码。
在步骤S305中,客户端发送虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
其中,本发明实施例中所述虚拟资源数据的转移请求可以包括移动支付处理、扣款处理,转账处理等,此处不作具体限定。
在步骤S306中,服务器根据所述转移请求,向客户端发送预设的第一挑战码;
在步骤S307中,客户端获取客户端证书的私钥,并利用所述客户端证书的私钥对所述第一挑战码进行解密;
在步骤S308中,客户端根据解密后的第一挑战码以及所述字段信息生成第一数字签名;
其中,所述步骤S306至步骤S308可具体为:
优选的,所述客户端根据解密后的第一挑战码以及所述字段信息中的订单号字段,使用单向散列算法生成第一数字签名。
客户端获取服务器所述第一挑战码后,利用客户端证书的私钥对所述第一挑战码进行解密,然后根据解密后的第一挑战码以及请求相关的字段信息生成第一数字签名,并将所述第一数字签名以及所述字段信息发送至服务器;由于攻击者没有用户的客户端证书,无法对公钥加密的第一挑战码进行解密,因此无法模仿用户的数字签名,提高交易安全性。
在步骤S309中,服务器获取所述第一数字签名,并将所述第一数字签名与所述服务器中第二数字签名进行比较;
可以理解的是,服务器获取到第一数字签名以及所述字段信息之后,可根据所述挑战码明文和所述字段信息,利用同样的算法,如上述单向散列算法生成第二数字签名;服务器获取客户端生成的第一数字签名,将第一数字签名与第二数字签名进行比较,得到比较结果,并将比较结果发送至客户端。
针对于客户端,客户端接收所述服务器发送的比较结果,所述比较结果由服务器根据所述挑战码明文和所述字段信息生成第二数字签名,并将所述第一数字签名与所述第二数字签名进行比较而得到。
在步骤S310中,当确定所述第一数字签名与所述服务器中第二数字签名一致时,则指示允许所述虚拟资源转移。
针对于客户端,当客户端根据所述比较结果确定所述第一数字签名与所述第二数字签名一致时,则指示允许所述虚拟资源转移。
为方便理解本发明技术方案,基于上述实施例,下面以一具体应用场景对所述虚拟资源数据的处理方法进行分析说明:
该场景中,虚拟资源转移具体指客户端与服务器之间的支付处理,其中,该服务器可具体为支付后台服务器,该客户端可具体为手机;
其步骤包括:
步骤S1、客户端向支付后台服务器发送一个支付请求;
即用户使用客户端下单后点击支付,以触发向服务器发起支付请求。
步骤S2、支付后台服务器接收该支付请求,返回一个使用客户端证书的公钥加密的第一挑战码;
支付后台服务器检测该订单的合法性,返回所述第一挑战码,以及该订单的详情、支持的支付方式等信息。
步骤S3、客户端收到第一挑战码后,弹出支付确认界面,以供用户确认支付方式及订单信息的正确性。
用户点击确定后进入步骤S4。
步骤S4、客户端使用客户端证书中的私钥对所述第一挑战码进行解密,然后将解密后的第一挑战码,同订单号、用户选择的支付方式等字段使用MD5算法生成签名字段Signstr(即第一数字签名);然后将SignStr和订单号、支付方式及其他支付相关信息一起发送到支付后台服务器。
步骤S5、支付后台服务器使用挑战码明文和订单号等信息采用客户端同样的算法生成签名字段(即第二数字签名),并同客户端传来的签名字段进行比较验证,若签名验证通过,则根据可以直接向客户端返回支付成功,或者要求用户加验支付密码、短信验证码后再完成支付。
由上述可知,本实施例提供的虚拟资源数据的处理方法,服务器提前使用客户端证书中的公钥为用户生成挑战码;用户请求虚拟资源转移时使用客户端证书的私钥解密挑战码;然后根据将解密后的挑战码和请求相关的字段信息生成数字签名;服务器通过验证客户端生成的数字签名的正确性来确认该虚拟资源转移请求是否合法;由于攻击者没有用户的客户端证书,无法对公钥加密的挑战码进行解密,因此无法模仿用户的签名。生成的数字签名包含与对应支付请求的相关信息,且该签名只能用于本次交易,更能保证交易的安全性;并且,由于挑战码提前设置,大大降低了支付高峰时给服务器带来的负载压力,提高服务器的运行速率。进一步的,减低基于客户端数字证书的快捷支付的业务运营成本。
第四实施例
为便于更好的实施本发明实施例提供的虚拟资源数据的处理方法,本发明实施例还提供一种基于上述虚拟资源数据的处理方法的装置。其中名词的含义与上述第一实施例中的虚拟资源的处理的方法中相同,具体实现细节可以参考方法实施例中的说明。
请参阅图4,图4为本发明实施例提供的虚拟资源数据的处理装置的结构示意图,其中所述虚拟资源数据的处理装置可基于一客户端上运行,所述客户端可以为笔记型计算机、平板PC、手机等具备储存单元并安装有微处理器而具有运算能力的终端机构成,本发明对此不作具体限定。
如图4所示,本发明所述虚拟资源数据的处理装置可以包括第一发送模块401、第一获取模块402、解密模块403、第一生成模块404以及第一指示模块405。
其中,所述第一发送模块401,用于发送虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;所述第一获取模块402,用于根据所述转移请求,获取服务器预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成;
所述解密模块403,用于获取客户端证书的私钥,并利用所述客户端证书的私钥对所述第一挑战码进行解密;所述第一生成模块404,用于根据解密后的第一挑战码以及所述字段信息生成第一数字签名;所述第一指示模块405,用于当确定所述第一数字签名与所述服务器中第二数字签名一致时,则指示允许所述虚拟资源转移。
基于图4提供的虚拟资源数据的处理装置,还可以作出以下优选设置:
所述第一生成模块404具体用于:根据解密后的第一挑战码以及所述字段信息中的订单号字段,使用单向散列算法生成第一数字签名。
进一步优选的,所述装置还可以包括:第二发送模块,用于将所述第一数字签名以及所述字段信息发送至服务器;第一接收模块,用于接收所述服务器发送的比较结果,所述比较结果由服务器根据第二挑战码携带的挑战码明文和所述字段信息生成第二数字签名,并将所述第一数字签名与所述第二数字签名进行比较而得到,该第二挑战码为服务器根据客户端发送的用户信息所生成;基于此,所述第一指示模块405具体用于:当根据所述比较结果确定所述第一数字签名与所述第二数字签名一致时,则指示允许所述虚拟资源转移。
可以理解的是,在该实施例中没有详述的部分,可以参见上文第一和第三实施例中针对虚拟资源数据的处理方法的详细描述,此处不再赘述。
由上述可知,本实施例提供的虚拟资源数据的处理装置,服务器提前使用客户端证书中的公钥为用户生成挑战码;用户请求虚拟资源转移时使用客户端证书的私钥解密挑战码;然后根据将解密后的挑战码和请求相关的字段信息生成数字签名;服务器通过验证客户端生成的数字签名的正确性来确认该虚拟资源转移请求是否合法;由于攻击者没有用户的客户端证书,无法对公钥加密的挑战码进行解密,因此无法模仿用户的签名。生成的数字签名包含与对应支付请求的相关信息,且该签名只能用于本次交易,更能保证交易的安全性;并且,由于挑战码提前设置,大大降低了支付高峰时给服务器带来的负载压力,提高服务器的运行速率。
第五实施例
请参阅图5,图5为本发明实施例提供的虚拟资源数据的处理装置的结构示意图,其中名词的含义与上述第二实施例中的虚拟资源的处理的方法中相同,具体实现细节可以参考方法实施例中的说明。
优选的,所述虚拟资源数据的处理装置包括第二接收模块501、第三发送模块502、第三接收模块503以及第二指示模块504;
其中,所述第二接收模块501,用于接收虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;所述第三发送模块502,用于根据所述转移请求,向客户端发送预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成;
所述第三接收模块503,用于接收客户端发送的第一数字签名,所述第一数字签名由所述客户端利用客户端证书的私钥对所述第一挑战码进行解密,并根据解密后的第一挑战码以及所述字段信息所生成;所述第二指示模块504,用于当确定所述第一数字签名与所述服务器中第二数字签名一致时,则指示允许所述虚拟资源转移。
进一步的,基于图5提供的虚拟资源数据的处理装置,还可以作出以下优选设置:
优选的,所述装置还可以包括:第四接收模块,用于接收用户信息;第二生成模块,用于根据所述用户信息,生成相对应的第二挑战码,所述第二挑战码携带对应的挑战码明文和挑战码密文;第二获取模块,用于获取所述用户信息指示的用户客户端证书的公钥;加密存储模块,用于利用所述客户端证书的公钥对第二挑战码进行加密,生成第一挑战码,并存储所述挑战码明文和挑战码密文。
进一步优选的,所述装置还可以包括:第五接收模块,用于接收所述客户端发送的所述第一数字签名以及所述字段信息;第三生成模块,用于使用所述挑战码明文和所述字段信息生成第二数字签名;比较模块,用于将所述第一数字签名与所述第二数字签名进行比较,得到比较结果;第四发送模块,用于将所述比较结果发送给客户端。
可以理解的是,在该实施例中没有详述的部分,可以参见上文第二和第三实施例中针对虚拟资源数据的处理方法的详细描述,此处不再赘述。
由上述可知,本实施例提供的虚拟资源数据的处理装置,服务器提前使用客户端证书中的公钥为用户生成挑战码;用户请求虚拟资源转移时使用客户端证书的私钥解密挑战码;然后根据将解密后的挑战码和请求相关的字段信息生成数字签名;服务器通过验证客户端生成的数字签名的正确性来确认该虚拟资源转移请求是否合法;由于攻击者没有用户的客户端证书,无法对公钥加密的挑战码进行解密,因此无法模仿用户的签名。生成的数字签名包含与对应支付请求的相关信息,且该签名只能用于本次交易,更能保证交易的安全性;并且,由于挑战码提前设置,大大降低了支付高峰时给服务器带来的负载压力,提高服务器的运行速率。
第六实施例
请参阅图6,图6为本发明实施例提供的虚拟资源的处理系统的结构示意图,所述虚拟资源的处理系统包括:服务器601以及客户端602,其中,所述客户端602可具体为第四实施例所述的虚拟资源数据的处理装置,所述服务器601为第五实施例所述的虚拟资源数据的处理装置。
其中,所述客户端602用于发送虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;根据所述转移请求,获取服务器预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成;获取客户端证书的私钥,并利用所述客户端证书的私钥对所述第一挑战码进行解密;根据解密后的第一挑战码以及所述字段信息生成第一数字签名;当确定所述第一数字签名与所述服务器中第二数字签名一致时,则指示允许所述虚拟资源转移。
所述服务器601用于接收虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;根据所述转移请求,向客户端发送预设的第一挑战码,所述第一挑战码利用客户端证书的公钥加密后生成;接收客户端发送的第一数字签名,所述第一数字签名由所述客户端利用客户端证书的私钥对所述第一挑战码进行解密,并根据解密后的第一挑战码以及所述字段信息所生成;当确定所述第一数字签名与所述服务器中第二数字签名一致时,则指示允许所述虚拟资源转移。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上文针对虚拟资源数据的处理方法的详细描述,此处不再赘述。
本发明实施例提供的所述虚拟资源数据的处理装置,譬如为计算机、平板电脑、具有触摸功能的手机等等,所述虚拟资源数据的处理装置与上文实施例中的虚拟资源数据的处理方法属于同一构思,在所述虚拟资源数据的处理装置上可以运行所述虚拟资源数据的处理方法实施例中提供的任一方法,其具体实现过程详见所述虚拟资源数据的处理方法实施例,此处不再赘述。
需要说明的是,对本发明所述虚拟资源数据的处理方法而言,本领域普通测试人员可以理解实现本发明实施例所述虚拟资源数据的处理方法的全部或部分流程,是可以通过计算机程序来控制相关的硬件来完成,所述计算机程序可存储于一计算机可读取存储介质中,如存储在终端的存储器中,并被该终端内的至少一个处理器执行,在执行过程中可包括如所述虚拟资源数据的处理方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)等。
对本发明实施例的所述虚拟资源数据的处理装置而言,其各功能模块可以集成在一个处理芯片中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中,所述存储介质譬如为只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的一种虚拟资源数据的处理方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种虚拟资源数据的处理方法,其特征在于,包括:
在发送虚拟资源数据的转移请求之前,发送用户信息,以使服务器根据所述用户信息进行处理以生成第一挑战码,所述处理包括:所述服务器根据所述用户信息生成相对应的第二挑战码,获取所述用户信息指示的客户端证书的公钥,利用所述客户端证书的公钥对所述第二挑战码进行加密,生成第一挑战码,所述第二挑战码携带对应的挑战码明文;
在需要进行虚拟资源转移时,发送虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
接收所述服务器在所述转移请求合法时返回的所述服务器预设的第一挑战码;所述第一挑战码为所述服务器在接收到所述用户信息之后、以及接收到所述转移请求之前,利用所述用户信息指示的客户端证书的公钥对所述用户信息对应的第二挑战码进行加密后生成的;
获取客户端证书的私钥,并利用所述客户端证书的私钥对所述第一挑战码进行解密;
根据解密后的第一挑战码以及所述字段信息生成第一数字签名;
当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,所述第二数字签名为所述服务器根据所述第二挑战码以及所述字段信息生成的数字签名。
2.根据权利要求1所述的虚拟资源数据的处理方法,其特征在于,所述根据解密后的第一挑战码以及所述字段信息生成第一数字签名之后,还包括:
将所述第一数字签名以及所述字段信息发送至服务器;
接收所述服务器发送的比较结果,所述比较结果由服务器根据所述挑战码明文和所述字段信息生成第二数字签名,并将所述第一数字签名与所述第二数字签名进行比较而得到;
所述当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,包括:当根据所述比较结果确定所述第一数字签名与所述第二数字签名一致时,则指示允许所述虚拟资源转移。
3.根据权利要求1所述的虚拟资源数据的处理方法,其特征在于,所述根据解密后的第一挑战码以及所述字段信息生成第一数字签名,包括:
根据解密后的第一挑战码以及所述字段信息中的订单号字段,使用单向散列算法生成第一数字签名。
4.一种虚拟资源数据的处理方法,其特征在于,包括:
在接收到客户端发送的虚拟资源数据的转移请求之前,接收所述客户端发送的用户信息,根据所述用户信息生成相对应的第二挑战码,获取所述用户信息指示的客户端证书的公钥,利用所述客户端证书的公钥对所述第二挑战码进行加密,生成第一挑战码,所述第二挑战码携带对应的挑战码明文;
接收所述客户端在需要进行虚拟资源转移时发送的虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
当确定所述转移请求合法时,向所述客户端发送预设的第一挑战码,所述第一挑战码为服务器在接收到所述用户信息之后、以及接收到所述转移请求之前,利用所述用户信息指示的客户端证书的公钥对所述用户信息对应的第二挑战码进行加密后生成的;
接收客户端发送的第一数字签名,所述第一数字签名由所述客户端利用客户端证书的私钥对所述第一挑战码进行解密,并根据解密后的第一挑战码以及所述字段信息所生成;
当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,所述第二数字签名为服务器根据所述第二挑战码以及所述字段信息生成的数字签名。
5.根据权利要求4所述的虚拟资源数据的处理方法,其特征在于,所述当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移之前,还包括:
接收所述客户端发送的所述第一数字签名以及所述字段信息;
使用所述挑战码明文和所述字段信息生成第二数字签名,并将所述第一数字签名与所述第二数字签名进行比较,得到比较结果;
将所述比较结果发送给客户端。
6.一种虚拟资源数据的处理装置,其特征在于,包括:
第一发送模块,用于在发送虚拟资源数据的转移请求之前,发送用户信息,以使服务器根据所述用户信息进行处理以生成第一挑战码,所述处理包括:所述服务器根据所述用户信息生成相对应的第二挑战码,获取所述用户信息指示的客户端证书的公钥,利用所述客户端证书的公钥对所述第二挑战码进行加密,生成第一挑战码,所述第二挑战码携带对应的挑战码明文;还用于在需要进行虚拟资源转移时,发送虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
第一获取模块,用于接收所述服务器在所述转移请求合法时返回的所述服务器预设的第一挑战码,所述第一挑战码为所述服务器在接收到所述用户信息之后、以及接收到所述转移请求之前,利用所述用户信息指示的客户端证书的公钥对所述用户信息对应的第二挑战码进行加密后生成的;
解密模块,用于获取客户端证书的私钥,并利用所述客户端证书的私钥对所述第一挑战码进行解密;
第一生成模块,用于根据解密后的第一挑战码以及所述字段信息生成第一数字签名;
第一指示模块,用于当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,所述第二数字签名为所述服务器根据所述第二挑战码以及所述字段信息生成的数字签名。
7.根据权利要求6所述的虚拟资源数据的处理装置,其特征在于,所述装置还包括:
第二发送模块,用于将所述第一数字签名以及所述字段信息发送至服务器;
第一接收模块,用于接收所述服务器发送的比较结果,所述比较结果由服务器根据第二挑战码携带的挑战码明文,和所述字段信息生成第二数字签名,并将所述第一数字签名与所述第二数字签名进行比较而得到,所述第二挑战码为服务器根据客户端发送的用户信息所生成;
所述第一指示模块具体用于:当根据所述比较结果确定所述第一数字签名与所述第二数字签名一致时,则指示允许所述虚拟资源转移。
8.根据权利要求6所述的虚拟资源数据的处理装置,其特征在于,所述第一生成模块具体用于:根据解密后的第一挑战码以及所述字段信息中的订单号字段,使用单向散列算法生成第一数字签名。
9.一种虚拟资源数据的处理装置,其特征在于,包括:
第四接收模块,用于在接收到客户端发送的虚拟资源数据的转移请求之前,接收客户端发送的用户信息;
第二生成模块,用于根据所述用户信息,生成相对应的第二挑战码,所述第二挑战码携带对应的挑战码明文;
第二获取模块,用于获取所述用户信息指示的用户客户端证书的公钥;
加密存储模块,用于利用所述客户端证书的公钥对所述第二挑战码进行加密,生成第一挑战码,并存储所述挑战码明文;
第二接收模块,用于接收所述客户端在需要进行虚拟资源转移时发送的虚拟资源数据的转移请求,所述转移请求携带请求相关的字段信息;
第三发送模块,用于当确定所述转移请求合法时,向所述客户端发送预设的第一挑战码,所述第一挑战码为服务器在接收到所述用户信息之后、以及接收到所述转移请求之前,利用所述用户信息指示的客户端证书的公钥对所述用户信息对应的第二挑战码进行加密后生成的;
第三接收模块,用于接收客户端发送的第一数字签名,所述第一数字签名由所述客户端利用客户端证书的私钥对所述第一挑战码进行解密,并根据解密后的第一挑战码以及所述字段信息所生成;
第二指示模块,用于当确定所述第一数字签名与第二数字签名一致时,则指示允许所述虚拟资源转移,所述第二数字签名为服务器根据所述第二挑战码以及所述字段信息生成的数字签名。
10.根据权利要求9所述的虚拟资源数据的处理装置,其特征在于,所述装置还包括:
第五接收模块,用于接收所述客户端发送的所述第一数字签名以及所述字段信息;
第三生成模块,用于使用所述挑战码明文和所述字段信息生成第二数字签名;
比较模块,用于将所述第一数字签名与所述第二数字签名进行比较,得到比较结果;
第四发送模块,用于将所述比较结果发送给客户端。
11.一种虚拟资源数据的处理系统,其特征在于,包括客户端和服务器,其中,所述客户端为权利要求6至8任一项的虚拟资源数据的处理装置,所述服务器为权利要求9至10任一项的虚拟资源数据的处理装置。
12.一种终端,其特征在于,包括存储器和处理器,所述存储器中储存有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行以下如权利要求1至3任一项所述方法中的步骤。
13.一种服务器,其特征在于,包括存储器和处理器,所述存储器中储存有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行以下如权利要求4至5任一项所述方法中的步骤。
14.一种计算机可读存储介质,其存储有计算机程序,其中,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1至5任一项所述方法中的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510455785.6A CN106411520B (zh) | 2015-07-29 | 2015-07-29 | 一种虚拟资源数据的处理方法、装置及系统 |
| PCT/CN2016/081565 WO2017016272A1 (zh) | 2015-07-29 | 2016-05-10 | 一种虚拟资源数据的处理方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510455785.6A CN106411520B (zh) | 2015-07-29 | 2015-07-29 | 一种虚拟资源数据的处理方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106411520A CN106411520A (zh) | 2017-02-15 |
| CN106411520B true CN106411520B (zh) | 2020-08-04 |
Family
ID=57884144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510455785.6A Active CN106411520B (zh) | 2015-07-29 | 2015-07-29 | 一种虚拟资源数据的处理方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106411520B (zh) |
| WO (1) | WO2017016272A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108596581B (zh) * | 2017-12-04 | 2020-08-18 | 阿里巴巴集团控股有限公司 | 资源转移的验证方法、装置和电子支付验证方法、装置 |
| CN111213147B (zh) | 2019-07-02 | 2023-10-13 | 创新先进技术有限公司 | 用于基于区块链的交叉实体认证的系统和方法 |
| CN111164594B (zh) | 2019-07-02 | 2023-08-25 | 创新先进技术有限公司 | 用于将去中心化标识映射到真实实体的系统和方法 |
| CN113011945A (zh) * | 2021-03-16 | 2021-06-22 | 深圳市微创云启科技有限公司 | 订单编号的生成方法、装置、终端设备和存储介质 |
| CN114006705B (zh) * | 2021-12-28 | 2022-03-18 | 深圳市名竹科技有限公司 | 数字签名处理方法、装置、计算机设备和存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ITRM20030100A1 (it) * | 2003-03-06 | 2004-09-07 | Telecom Italia Mobile Spa | Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento. |
| CN1274105C (zh) * | 2003-06-12 | 2006-09-06 | 上海格尔软件股份有限公司 | 基于数字证书实现的动态口令认证方法 |
| CN1859097B (zh) * | 2006-01-19 | 2010-08-04 | 华为技术有限公司 | 一种基于通用鉴权框架的认证方法及系统 |
| CN101083556B (zh) * | 2007-07-02 | 2010-04-14 | 蔡水平 | 一种按地域分层次无线信息发布搜索交流应用系统 |
| CN101222333B (zh) * | 2007-12-24 | 2010-11-10 | 北京握奇数据系统有限公司 | 一种数据交易处理方法及设备 |
| US20140359034A1 (en) * | 2013-05-31 | 2014-12-04 | David A. Hernandez | Methods and Systems for Automatically Making Acts of Advocacy Based on Content in Electronic Information Streams |
| CN103532719B (zh) * | 2013-10-22 | 2017-01-18 | 天地融科技股份有限公司 | 动态口令生成方法和系统、交易请求的处理方法和系统 |
| CN104320261B (zh) * | 2014-11-05 | 2018-06-15 | 北京大唐智能卡技术有限公司 | 金融智能卡上实现身份认证的方法、金融智能卡和终端 |
-
2015
- 2015-07-29 CN CN201510455785.6A patent/CN106411520B/zh active Active
-
2016
- 2016-05-10 WO PCT/CN2016/081565 patent/WO2017016272A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CN106411520A (zh) | 2017-02-15 |
| WO2017016272A1 (zh) | 2017-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111130803B (zh) | 数字签名的方法、系统及装置 | |
| KR101904177B1 (ko) | 데이터 처리 방법 및 장치 | |
| CN104079581B (zh) | 身份认证方法及设备 | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| CN108566381A (zh) | 一种安全升级方法、装置、服务器、设备和介质 | |
| WO2017020452A1 (zh) | 认证方法和认证系统 | |
| CN204360381U (zh) | 移动设备 | |
| CN105634737B (zh) | 一种数据传输方法、终端及其系统 | |
| CN106411520B (zh) | 一种虚拟资源数据的处理方法、装置及系统 | |
| CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
| TWI636373B (zh) | Method and device for authorizing between devices | |
| CN111131300B (zh) | 通信方法、终端及服务器 | |
| CN112055019B (zh) | 一种建立通信信道的方法及用户终端 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| US20230412373A1 (en) | Accessory assisted account recovery | |
| WO2024139616A1 (zh) | 签名认证方法和装置 | |
| JP5827724B2 (ja) | データを入力する方法と装置 | |
| CN111193704B (zh) | Http通信方法、装置及可读存储介质 | |
| CN110838919B (zh) | 通信方法、存储方法、运算方法及装置 | |
| WO2018227471A1 (zh) | 生物特征数据的安全处理方法、装置、传感器及终端设备 | |
| CN110414269B (zh) | 应用安装包的处理方法、相关装置、存储介质及系统 | |
| JP2003234734A (ja) | 相互認証方法及びサーバ装置及びクライアント装置及び相互認証プログラム及び相互認証プログラムを格納した記憶媒体 | |
| Reimair et al. | MoCrySIL-Carry your Cryptographic keys in your pocket | |
| CN116528230A (zh) | 验证码处理方法、移动终端及可信服务系统 | |
| CN112150151B (zh) | 安全支付方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |