(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210855748.4 (22)申请日 2022.07.21 (65)同一申请的已公布的文献号 申请公布号 CN 114928456 A (43)申请公布日 2022.08.19 (73)专利权人 飞天诚信科技股份有限公司 地址 100085 北京市海淀区学清路9号汇智 大厦B楼17层 (72)发明人 陆舟　 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 69/22(2022.01) (56)对比文件 US 2009158043 A1,20 09.06.18US 2003177392 A1,2003.09.18 EP 1162781 A 2,2001.12.12 CN 110290102 A,2019.09.27 US 2006047951 A1,20 06.03.02 US 2018145979 A1,2018.0 5.24 CN 114448649 A,202 2.05.06 陈红军.数字 签名在网上公文流 转系统中的 应用. 《信阳 师范学院学报 （自然科 学版） 》 .20 08, 审查员 翁紫璟 (54)发明名称 一种基于用户端本地证书实现数据流通的 方法及系统 (57)摘要 本申请公开了一种基于用户端本地证书实 现数据流通的方法及系统。 平台端从调用端发送 的数据流通业务报文中获取业务数据及用户密 钥注册信息， 组装数据流通签名请求报文并发送 给用户端进行签名处理； 从用户端返回的数据流 通签名响应报文中获取业务数据与签名结果数 据， 组装数据流通请求报文并发送至数据流通网 关进行数据流通业务处理； 从数据流通网关返回 的数据流通处理响应报文中获取处理响应签名 数据、 业务处理数据生成待验签数据， 组装数据 流通验签请求报文发送给用户端进行验签处理； 从用户端返回的数据流通验签响应报文中获取 验签结果数据， 组装加密数据生成数据流通响应 结果报文并返回给调用端完成数据流通处理。 所 述方法安全 且使用成本低。 权利要求书5页 说明书25页 附图5页 CN 114928456 B 2022.10.04 CN 114928456 B 1.一种基于用户端本地证书实现数据流通的方法， 其特征在于， 所述方法应用于包括 调用端、 平台端、 用户端以及数据流 通网关的系统中， 包括： 步骤S1： 所述平台端接收所述调用端发送 的数据流通业务报文， 并对所述数据流通业 务报文进行验证， 若验证通过， 则对所述数据流通业务报文进行解析， 获取业务数据， 再根 据所述业务数据从 内部存储中获取对应的用户密钥注册信息， 执行步骤S2， 否则， 向所述调 用端返回错 误信息； 步骤S2： 所述平台端对获取到的所述业务数据以及所述用户密钥注册信息进行组装， 生成待签名数据， 并利用所述用户密钥注册信息中的用户会话密钥对所述待签名数据进 行 加密， 获得待签名密文 数据， 再对所述业务数据、 所述用户密钥注册信息以及所述待签名密 文数据进行组装， 利用内部存储的通讯密钥对组装后的结果进行加密， 生成数据流通签名 请求报文， 将所述数据流 通签名请求报文发送给 所述用户端 进行签名处 理； 步骤S3： 所述平台端接收所述用户端返回的数据流通签名响应报文， 并利用所述通讯 密钥对所述数据流通签名响应报文进行解密， 若解密成功则获取所述业务数据、 所述用户 密钥注册信息以及签名结果密文数据， 执 行步骤S4， 否则， 向所述用户端返回错 误信息； 步骤S4： 所述平台端根据解密出的所述用户密钥注册信 息从内部存储中获取对应的用 户会话密钥， 并利用所述用户会话密钥对所述签名结果密文数据进行解密， 若解密成功则 获得签名结果明文数据， 再对所述业务数据以及所述签名结果明文数据进行组装， 生成数 据流通请求报文， 将所述数据流通请求报文发送至所述数据流通网关进 行数据流通业务处 理， 执行步骤S5， 否则， 向所述用户端返回错 误信息； 步骤S5： 所述平台端接收所述数据流通网关返回的数据流通处理响应报文， 并对所述 数据流通处理响应报文进行解析， 获取处理响应签名数据以及业务处理数据， 根据所述业 务处理数据从内部存 储中获取对应的用户密钥注 册信息； 步骤S6： 所述平台端对所述处理响应签名数据以及所述业务处理数据进行组装， 生成 待验签数据， 并利用所述用户密钥注册信息中的用户会话密钥对所述待验签数据进行加 密， 获得待验签密 文数据， 再对 所述业务处理数据、 所述用户密钥注册信息以及所述待验签 密文数据进行组装， 利用所述通讯密钥对组装后的结果进行加密， 生成数据流通验签请求 报文， 将所述数据流 通验签请求报文发送给 所述用户端 进行验签处 理； 步骤S7： 所述平台端接收所述用户端返回的数据流通验签响应报文， 并利用所述通讯 密钥对所述数据流通验签响应报文进行解密， 若解密成功则获取所述业务处理数据、 所述 用户密钥注册信息以及验签结果密文数据， 执行步骤S8， 否则， 向所述用户端返回错误信 息； 步骤S8： 所述平台端根据解密出的所述业务处理数据从内部存储中获取对应的用户密 钥注册信息中的用户会话密钥， 并利用所述用户会话密钥对所述验签结果密 文数据进 行解 密， 获得验签结果明文 数据， 再对所述业务处理数据以及所述验签结果明文数据进 行组装， 利用内部存储的平台接入密钥对组装后的结果进行加密， 生成数据流通响应结果报文， 将 所述数据流 通响应结果报文返回给 所述调用端用于 完成对数据流 通业务的处理。 2.根据权利要求1所述的方法， 其特征在于， 所述将所述数据流通签名请求报文发送给 所述用户端 进行签名处 理之后， 还 包括： 步骤S2‑1： 所述用户端接收所述平台端发送的数据流通签名请求报文， 并利用内部存权　利　要　求　书 1/5 页 2 CN 114928456 B 2储的通讯密钥对所述数据流通签名请求报文进行解密， 若解密成功则获取所述业务数据、 所述用户密钥注册信息以及所述待签名密 文数据， 执行步骤S2 ‑2， 否则， 向所述平台端返回 错误信息； 步骤S2‑2： 所述用户端根据解密出的所述用户密钥注册信 息从内部存储中获取用户会 话密钥， 并利用所述用户会话密钥对所述待签名密文数据进行解密， 若解密成功则获得待 签名数据明文， 以及， 根据所述业务数据从内部存储中获取用户证书密钥， 利用所述用户证 书密钥对所述待签名数据明文进行签名， 获得数据流通签名结果， 执行步骤S2 ‑3， 否则， 向 所述平台端返回错 误信息； 步骤S2‑3： 所述用户端利用所述用户会话密钥对所述数据流通签名结果进行加密， 获 得签名结果密文数据， 并对所述业务数据、 所述用户密钥注册信息以及所述签名结果密文 数据进行组装， 利用所述通讯密钥对组装后的结果进 行加密， 生成数据流通签名响应报文， 将所述数据流 通签名响应报文返回给 所述平台端； 所述将所述数据流 通验签请求报文发送给 所述用户端 进行验签处 理之后， 还 包括： 步骤S6‑1： 所述用户端接收所述平台端发送的数据流通验签请求报文， 并利用所述通 讯密钥对所述数据流通验签请求报文进行解密， 若解密成功则获取所述业务处理数据、 所 述用户密钥注册信息以及所述待验签密 文数据， 执行步骤S6 ‑2， 否则， 向所述平台端返回错 误信息； 步骤S6‑2： 所述用户端根据解密出的所述用户密钥注册信 息从内部存储中获取用户会 话密钥， 并利用所述用户会话密钥对所述待验签密文数据进行解密， 若解密成功则获得待 验签数据明文， 以及， 根据所述业务处理数据从 内部存储中获取用户证书密钥， 利用所述用 户证书密钥对所述待验签数据明文进行签名， 获得数据流通验签结果， 执行步骤S6 ‑3， 否 则， 向所述平台端返回错 误信息； 步骤S6‑3： 所述用户端利用所述用户会话密钥对所述数据流通验签结果进行加密， 获 得验签结果密文数据， 并对所述业务处理数据、 所述用户密钥注册信息以及所述验签结果 密文数据进行组装， 利用所述通讯密钥对组装后的结果进行加密， 生成数据流通验签响应 报文， 将所述数据流 通验签响应报文返回给 所述平台端。 3.根据权利要求2所述的方法， 其特征在于， 所述根据所述业务数据从内部存储中获取 用户证书密钥， 利用所述用户证书密钥对所述待签名数据明文 进行签名， 包括： 所述用户端从所述 业务数据中提取 出调用端标识； 所述用户端利用内部存储的调用端标识对提取出的调用端标识进行校验， 若校验成 功， 则根据所述业务数据从内部存储中获取用户证书密钥， 利用所述用户证书密钥对所述 待签名数据明文 进行签名， 否则， 向所述平台端返回错 误信息； 以及 所述根据 所述业务处理数据从内部存储中获取用户证书密钥， 利用所述用户证书密钥 对所述待验签数据明文 进行签名， 包括： 所述用户端从所述 业务处理数据中提取 出调用端标识； 所述用户端利用内部存储的调用端标识对提取出的调用端标识进行校验， 若校验成 功， 则根据所述业务处理数据从内部存储中获取用户证书密钥， 利用用户证书密钥对待验 签数据明文 进行验签， 否则， 向所述平台端返回错 误信息。 4.根据权利要求1所述的方法， 其特 征在于， 所述 步骤S1之前， 还 包括：权　利　要　求　书 2/5 页 3 CN 1149