CN117097562B - 一种安全的集中式签章方法及*** - Google Patents
一种安全的集中式签章方法及*** Download PDFInfo
- Publication number
- CN117097562B CN117097562B CN202311346306.8A CN202311346306A CN117097562B CN 117097562 B CN117097562 B CN 117097562B CN 202311346306 A CN202311346306 A CN 202311346306A CN 117097562 B CN117097562 B CN 117097562B
- Authority
- CN
- China
- Prior art keywords
- signature
- seal
- data
- electronic
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012795 verification Methods 0.000 claims abstract description 70
- 210000003462 vein Anatomy 0.000 claims abstract description 61
- 238000004806 packaging method and process Methods 0.000 claims abstract description 24
- 230000004044 response Effects 0.000 claims abstract description 7
- 230000015654 memory Effects 0.000 claims description 7
- 238000003860 storage Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000003556 assay Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 68
- 238000005516 engineering process Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 102000036364 Cullin Ring E3 Ligases Human genes 0.000 description 4
- 108091007045 Cullin Ring E3 Ligases Proteins 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 102000001554 Hemoglobins Human genes 0.000 description 1
- 108010054147 Hemoglobins Proteins 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000008014 freezing Effects 0.000 description 1
- 238000007710 freezing Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010257 thawing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及电子签章与验章技术领域,本发明公开了一种安全的集中式签章方法及***,包括:响应于制章请求,按照电子***格式,将***信息与签章用户指静脉特征值一起,打包成电子***待签名数据;使用制章管理员的签名私钥,对电子***待签名数据进行签名后,打包成电子***数据;生成对称密钥,加密电子***数据,再使用签章用户的加密公钥加密所述对称密钥,将电子***密文和对称密钥密文打包,得到***信封;响应于签章请求,使用签章用户的加密私钥解密***信封,得到电子***数据;在身份校验和有效性验证通过后,对待签章文档进行签章。保证只有***持有者可以解密电子***数据,既避免了***被冒用,又防止了数据泄露。
Description
技术领域
本发明涉及电子签章与验章技术领域,具体的说,是涉及一种安全的集中式签章方法及***。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
在电子签章的使用中,一般有两种模式:分散式和集中式。
分散式签章时,签章用户的***数据、公私钥等信息都保存在智能密码钥匙中,需要同时持有智能密码钥匙及其PIN码才可以进行签章,这种双因子的认证机制虽然增强了安全性,但是,额外的硬件设备也影响了使用的便捷性。
在集中式签章时,签章用户的***数据等信息一般存储在签章***数据库中,私钥一般存储在密码设备中,如:密码卡、密码机、签名验签服务器等,这种使用模式中,也需要提供一种认证强度不低于双因子认证机制的、使用便捷的身份认证方式,以保证***数据及***使用的安全性,否则,***容易被冒用,造成数据泄露。
另外,在集中式签章模式中,通常采用指纹识别、人脸识别等生物识别技术,但是,指纹识别存在精度不高的问题,尤其是在干燥的冬季、手指脱皮、指纹特征少的情况下,指纹识别不出的几率会更大;人脸识别对周围的光线环境较为敏感,还会受到面部遮盖物的影响,这导致人脸识别在某些应用场景下不易推广。
发明内容
本发明为了解决上述问题,本发明提供一种安全的集中式签章方法及***,通过引入***信封,保证只有***持有者可以解密电子***数据,既避免了***被冒用,又防止了数据泄露。
为了实现上述目的,本发明采用如下技术方案:
一种安全的集中式签章方法,包括:
响应于制章请求,按照电子***格式,将***信息与签章用户指静脉特征值一起,打包成电子***待签名数据;使用制章管理员的签名私钥,对电子***待签名数据进行签名后,打包成电子***数据;使用对称密钥加密电子***数据,再使用签章用户的加密公钥加密所述对称密钥,将电子***密文和对称密钥密文打包,得到***信封;
响应于签章请求,使用签章用户的加密私钥解密***信封,得到电子***数据;基于电子***数据中的签章用户指静脉特征值进行身份校验,并对电子***数据进行有效性验证;在身份校验和有效性验证通过后,对待签章文档进行签章。
进一步地,对电子***待签名数据进行签名前,基于制章管理员指静脉特征值,对制章管理员进行身份校验。
进一步地,所述对待签章文档进行签章的步骤包括:
计算待签章文档摘要值,并与电子***数据一起打包成待电子签章数据;
调用密钥管理子模块,使用签章用户的签名私钥对所述待电子签章数据签名,并打包成电子签章,将电子签章附加到待签章文档中。
进一步地,还包括:
响应于验章请求,从待验章文档数据中取出电子签章,并依次验证电子签章中签名、签章者证书和电子***数据的有效性;
若验证通过,解析待验章文档并计算文档摘要值,并和电子签章中的文档摘要值进行二进制比对,若结果一致,则文档验章通过。
进一步地,还包括:
响应于注册请求,对用户基本信息进行格式有效性检查;
若有效性检查通过,对用户进行实名认证;
若实名认证通过,采集用户的指静脉特征值后,生成用户的签名密钥对,并使用签名密钥对的私钥生成用户的签名证书请求;
将签名证书请求发送给证书认证机构,并接收证书认证机构签发的签名证书、加密证书及加密密钥对保护结构;
从加密密钥对保护结构中解密出加密私钥,并导入到密码设备中,再将用户基本信息、指静脉特征值、签名证书和加密证书写入数据库。
第二方面,本发明提供了一种安全的集中式签章***;
一种安全的集中式签章***,包括:
电子***管理模块,其被配置为:响应于制章请求,按照电子***格式,将***信息与签章用户指静脉特征值一起,打包成电子***待签名数据;使用制章管理员的签名私钥,对电子***待签名数据进行签名后,打包成电子***数据;使用对称密钥加密电子***数据,再使用签章用户的加密公钥加密所述对称密钥,将电子***密文和对称密钥密文打包,得到***信封;
签章子模块,其被配置为:响应于签章请求,使用签章用户的加密私钥解密***信封,得到电子***数据;基于电子***数据中的签章用户指静脉特征值进行身份校验,并对电子***数据进行有效性验证;在身份校验和有效性验证通过后,对待签章文档进行签章。
进一步地,还包括验章子模块;
所述验章子模块,其被配置为:响应于验章请求,从待验章文档数据中取出电子签章,并依次验证电子签章中签名、签章者证书和电子***数据的有效性;若验证通过,解析待验章文档并计算文档摘要值,并和电子签章中的文档摘要值进行二进制比对,若结果一致,则文档验章通过。
进一步地,所述电子***管理模块,还被配置为:
响应于注册请求,对用户基本信息进行格式有效性检查;若有效性检查通过,对用户进行实名认证;若实名认证通过,采集用户的指静脉特征值后,生成用户的签名密钥对,并使用签名密钥对的私钥生成用户的签名证书请求;将签名证书请求发送给证书认证机构,并接收证书认证机构签发的签名证书、加密证书及加密密钥对保护结构;从加密密钥对保护结构中解密出加密私钥,并导入到密码设备中,再将用户基本信息、指静脉特征值、签名证书和加密证书写入数据库。
第三方面,本发明提供了一种电子设备,包括:
存储器,用于非暂时性存储计算机可读指令;以及
处理器,用于运行所述计算机可读指令,
其中,所述计算机可读指令被所述处理器运行时,执行上述第一方面所述的方法。
第四方面,本发明还提供了一种存储介质,非暂时性地存储计算机可读指令,其中,当所述非暂时性计算机可读指令由计算机执行时,执行第一方面所述方法的指令。
与现有技术相比,本发明的有益效果是:
本发明的一种安全的集中式签章方法,其结合双因子认证机制、对称加密技术、非对称加密技术,并通过引入***信封,保证只有***持有者可以解密电子***数据,既避免了***被冒用,又防止了数据泄露。
本发明的一种安全的集中式签章方法,其采用指静脉识别,与使用智能密码钥匙的分散式签章相比,使用更便捷;与使用指纹识别、人脸识别的集中式签章相比,安全性和稳定性更高。
附图说明
构成本发明的一部分说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的限定。
图1为实施例一所述的***制作的流程图;
图2为实施例一所述的用户注册的流程图;
图3为实施例一所述的文档签章的流程图;
图4为实施例一所述的文档验章的流程图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合下面结合附图与实施例对本发明作进一步说明。
术语解释:
电子***:一种由制作者签名的包括持有者信息和图形化内容的数据,可用于签署电子文件。
电子签章:使用电子***签署电子文件的过程。电子签章将传统***与电子签名技术进行结合,按照公钥密码技术标准体系,以电子形式对电子文档进行数字签名及签章,以确保文档来源的真实性以及文档的完整性,防止对文档未经授权的篡改,并确保签章行为的不可否认性。
电子签章数据:电子签章过程产生的包括电子***信息和签名信息的数据。
实名认证:对用户资料真实性进行的一种验证审核,有助于建立完善可靠的互联网信用基础,一般有银行卡认证和身份证认证两种方式,可以预防一部分网络诈骗。
静脉识别:利用血液中的血红蛋白吸收近红外光线的特质,使用感红外的相机获取在近红外光照射下的静脉的数字图像,并存贮在计算机***中,实现特征值存储。比对时,实时采集静脉的数字图,经过滤波、图像二值化、细化等手段对数字图像进行特征提取,再通过复杂的匹配算法同存储在计算机***中的静脉特征值比对,从而对个人进行身份鉴定,确认身份。
指静脉识别:指静脉识别是静脉识别技术中的一种,它利用手指内的静脉分布图像来进行身份识别。
分散式签章:电子***的一种应用模式,将电子***密钥和信息存储于***所有者的客户端设备中(例如智能密码钥匙等),管理方式近似实物***。
集中式签章:电子***的一种应用模式,将电子***密钥和信息存储与***所有者指定的密码设备(例如密码机、数字签名服务器等)以及***中,通过网络连接方式进行使用,采用身份认证、授权管理等技术进行管控。
双因子认证:是指结合密码以及实物(***、SMS手机、令牌或生物标志)两种条件对用户进行认证的方法。
身份验证:又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份验证的方法大致可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。
CA:证书认证机构(Certificate Authority),是公钥基础设施(Public KeyInfrastructure,PKI)的核心,负责签发证书、认证证书、管理已颁发证书的机关。
PKCS#10:The Public-Key Cryptography Standards (PKCS)是一组公钥密码学标准,其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。其中,PKCS#10规范了向证书认证中心(CA)申请证书之CSR(Certificate Signing Request)的格式。
PIN码:全称Personal Identification Number,指SIM卡的个人识别密码。
为了解决集中式签章中身份认证的问题、***数据及***使用的安全性问题,结合双因子认证机制、对称加密技术、非对称加密技术,本实施例提供了一种安全的集中式签章方法。
本实施例提供的一种安全的集中式签章方法,包括如下步骤:
步骤一、通过电子***管理模块实现用户注册。
需要说明的是,在进行步骤一前,先要对电子***管理模块进行初始化,包括创建数据库、配置密码设备等。
其中,用户(或角色)可以为***管理员、制章管理员、***审计员以及签章用户。
其中,电子***管理模块包括五个子模块:密钥管理子模块、证书管理子模块、用户管理子模块、实名认证子模块、***管理子模块。
如图2所示,用户注册主要包括以下步骤:
步骤101、用户填写基本信息并提交,电子***管理模块调用用户管理子模块接收用户的注册请求;其中,注册请求中包括用户基本信息,如:姓名、身份证号码、手机号等,用户填写完成后提交;
步骤102、用户管理子模块接收到注册请求后,对用户基本信息进行格式有效性检查,若检查不通过,提示用户并退出;
步骤103、若检查通过后,调用实名认证子模块对用户进行实名认证,若实名认证不通过,提示用户并退出;
步骤104、若实名认证通过,实名认证子模块采集用户的指静脉特征值;
步骤105、用户的指静脉特征值采集完成后,调用密钥管理子模块生成该用户的签名密钥对,并使用签名密钥对的私钥生成该用户的PKCS#10签名证书请求(简称,P10证书请求);
步骤106、调用证书管理子模块,将PKCS#10签名证书请求发送给CA机构,由CA机构签发该用户的签名证书、加密证书及加密密钥对保护结构,证书管理子模块将收到的签名证书、加密证书、加密密钥对保护结构返回给电子***管理模块;
步骤107、电子***管理模块调用密钥管理子模块从加密密钥对保护结构中解密出加密私钥,并导入到密码设备中,再将用户的基本信息、指静脉特征值、签名证书信息、加密证书信息等写入数据库,完成用户注册。
步骤二、通过电子***管理模块实现***制作。如图1所示,具体包括以下步骤:
步骤201、签章用户使用用户名+密码+指静脉识别的方式登录电子***管理模块后,上传制章请求(包括***图片、***名称等***基本信息)到电子***管理模块。
步骤202、制章管理员同样采用用户名+密码+指静脉识别的方式登录电子***管理模块,并下发制章指令;
步骤203、接收到制章请求和制章指令后,电子***管理模块按照电子***格式,将***信息(包括:***图片,以及***名称、***编号等***基本信息),签章用户指静脉特征值等扩展信息,***持有者签名证书、***有效期等***属性信息,***图片信息等,打包成电子***待签名数据;
步骤204、调用密钥管理子模块,使用该制章管理员的签名私钥,对电子***待签名数据进行签名,最后打包成电子***数据,其中,调用密钥管理子模块对电子***待签名数据签名前,需调用实名认证子模块通过指静脉识别接口,基于制章管理员指静脉特征值,对该制章管理员进行身份校验;
步骤205、电子***数据制作成功后,调用密钥管理子模块生成对称密钥,使用该对称密钥加密电子***数据,再使用***持有者(即签章用户)的加密公钥加密该对称密钥,将电子***密文、对称密钥密文等信息打包后即为***信封,并保存到数据库中。***信封的引入,可以保证只有***持有者可以解密电子***数据,既避免了***被冒用,又防止了数据泄露。用对称算法加密大量数据,再用非对称算法加密对称密钥,如此,既能保证数据安全性,又能提高运算速度。
步骤三、通过电子签章服务模块中的签章子模块实现文档签章。其中,电子签章服务模块包括签章子模块和验章子模块。
如图3所示,文档签章的具体步骤包括:
步骤301、第三方业务***通过传入签章请求(包括:***识别码或者用户识别码、签章位置或者签章关键字、待签章文档数据等参数)调用签章接口,触发签章子模块的运行;签章子模块接收到签章请求数据(包括:***识别码或者用户识别码、签章位置或者签章关键字、待签章文档数据等参数)后,解析签章请求数据中的各项参数,根据***识别码(***编号)或者签章用户识别码(签章用户编号,一般采用用户的手机号或身份证号)从数据库读取该签章用户签章所使用***的数据(***信封);
步骤302、签章子模块调用密钥管理子模块,使用签章用户的加密私钥解密***信封中电子***密文(具体的,解析***信封取出电子***密文和对称秘钥密文,使用签章用户的加密私钥解密对称密钥密文,再用对称密钥解密电子***密文),得到电子***数据,从中读取签章用户指静脉特征值;
步骤303、签章子模块调用实名认证子模块,实名认证子模块调用静脉指纹识别模块,实时采集该签章用户的指静脉信息,再调用静脉指纹识别模块将采集的签章用户的指静脉信息与电子***中解析出的指静脉特征值做比对,进行身份校验,身份校验未通过则提示签章用户并退出;
步骤304、身份校验通过后,验证电子***数据的有效性;
步骤305、电子***数据有效性验证通过后,解析待签章文档并计算该待签章文档摘要值,将摘要值、该电子***数据、签章者证书、签章时间、签名算法标识等信息一起打包成待电子签章数据;
步骤306、调用密钥管理子模块使用该签章用户的签名私钥对待电子签章数据签名,并打包成电子签章结构(即电子签章),根据签章位置或者签章关键字定位签章位置,将电子签章结构(即电子签章)附加到待签章文档中,完成签章;
步骤307、签章完成后,把签章后的文档返回给第三方业务***。
步骤四、通过电子签章服务模块中的验章子模块实现文档验章。如图4所示,包括以下步骤:
步骤401、第三方业务***通过传入验章请求(包括待验章文档数据等参数)调用验章接口,触发验章子模块的运行;验章子模块接收到验章请求数据后,解析出待验章文档数据;
步骤402、解析待验章文档结构,从待验章文档数据(包括待验章文档数据等参数)中取出文档签章数据(即电子签章),验证电子签章中签名的有效性(具体的,电子签章中包括电子***数据、文档摘要值、签章者证书以及上述信息的签名值等信息,使用签章者证书验证签名值是否有效),若签名验证不通过,提示验章用户并退出;
步骤403、若签名验证通过,再验证电子签章中签章者证书的有效性和电子***数据的有效性,若验证不通过,提示验章用户并退出;若验证通过,解析待验章文档并计算文档摘要值,并和文档签章数据中的摘要值进行二进制比对,若结果一致,则文档验章通过;若结果不一致,则文档验章不通过;
步骤404、验章完成后,将验章结果返回给业务***。
本实施例采用了指静脉识别技术,通过一系列技术手段,提供了一种高安全性的实现方式。受限于指静脉识别技术设备的体积较大,暂时无法集成到移动设备中,故采用外接设备的方式。短期内虽然本发明不需要输入PIN码,但需要额外的硬件设备,故本发明可用于金融、司法、医疗、教育等行业的营业大厅、办事窗口、个人办公等场景。随着技术的发展,指静脉识别模块集成到移动设备后,本发明将不再需要额外的硬件设备,应用场景将会更广泛;与使用智能密码钥匙的分散式签章相比,使用更便捷;与使用指纹识别、人脸识别的集中式签章相比,安全性和稳定性更高。
实施例二
本实施例提供了一种安全的集中式签章***。
本实施例提供了一种安全的集中式签章***,包括:硬件设备电子签章服务器、密码设备(可使用密码卡、密码机、签名验签服务器等)、静脉指纹识别模块和身份证读取模块。
其中,电子签章服务器设备中部署电子***管理模块和电子签章服务模块两部分。电子***管理模块包括五个子模块:密钥管理子模块、证书管理子模块、用户管理子模块、实名认证子模块和***管理子模块;电子签章服务模块包括两个子模块:签章子模块和验章子模块。
密钥管理子模块:用于调用底层密码设备,如:密码卡、密码机和签名验签服务器等,实现密钥的生成、存储和注销,实现***数据的加密、解密运算,实现PKCS#10证书请求的生成,以及实现签名、验签等运算。
证书管理子模块:用于申请证书、定时下载CRL(证书吊销列表)和证书管理。其中,申请证书是指将密钥管理子模块生成的PKCS#10证书请求数据发送到CA,并接收CA签发的证书、密钥对保护结构等数据。定时下载CRL是根据CA的CRL发布时间,定时下载最新的CRL文件,用于签章中的证书有效性验证。证书管理用于管理***中已有的证书,包括证书更新、删除等。
用户管理子模块:用于用户注册、用户管理等。其中,用户可以为***管理员、制章管理员、***审计员以及签章用户。首先,用户管理子模块接收用户的注册请求,注册请求中包括用户提供的个人基本信息,如:姓名、身份证号码、手机号等;用户管理子模块接收到注册请求后,对用户基本信息进行格式有效性检查,若检查不通过,提示用户并退出;若检查通过,调用实名认证子模块对用户进行实名认证,若实名认证不通过,提示用户并退出;若实名认证通过,采集用户的指静脉特征值;用户的指静脉特征值采集完成后,调用密钥管理子模块生成该用户的签名密钥对,使用签名密钥对的私钥生成该用户的PKCS#10签名证书请求,并调用证书管理子模块,将PKCS#10签名证书请求发送给CA机构,由CA机构签发对应的签名证书、加密证书及加密密钥对保护结构,证书管理子模块将收到的签名证书、加密证书、加密密钥对保护结构返回给电子***管理模块;最后电子***管理模块调用密钥管理子模块从加密密钥对保护结构中解密出加密私钥,并导入到密码设备中,再将用户的基本信息、指静脉特征值、签名证书信息、加密证书信息等写入数据库,完成用户注册。用户管理子模块还提供对已注册成功签章用户的查询、修改、删除等管理功能。
实名认证子模块:根据使用场景的不同,实名认证子模块分别用于建档和校验。建档是在用户注册过程中,响应用户管理子模块的调用,录入用户信息、用户指静脉信息,核对用户身份,通过后将用户信息、用户指静脉信息保存到数据库中。校验是在签章过程中,响应签章子模块的调用,调用指静脉识别接口对签章用户进行指静脉认证,认证通过后可以继续执行签章的后续操作,否则提示签章用户并退出。
***管理子模块:用于***制作、***管理等。***管理子模块还用于对已制作成功的***提供查询、冻结、解冻和注销等管理功能。首先,签章用户在注册成功后,签章用户使用用户名+密码+指静脉识别的方式登录电子***管理模块后,可以上传制章请求(***图片、***名称等***基本信息)到电子***管理模块,申请制作自己名下的***;制章管理员同样采用用户名+密码+指静脉识别的方式登录电子***管理模块,并下发制章指令;然后,制作***时,接收到制章请求和制章指令后,电子***管理模块按照指定的电子***格式,将***名称、***编号等***基本信息,签章用户指静脉特征值等扩展信息,***持有者签名证书、***有效期等***属性信息,***图片信息等,打包成电子***待签名数据;然后,调用密钥管理子模块,使用该制章管理员的签名私钥,对电子***待签名数据进行签名,最后打包成电子***数据,其中,调用密钥管理子模块对电子***待签名数据签名前,需调用实名认证子模块通过指静脉识别接口对该制章管理员进行身份校验;最后,电子***数据制作成功后,调用密钥管理子模块生成对称密钥,使用该对称密钥加密电子***数据,再使用***所有者的加密公钥加密该对称密钥,将电子***密文、对称密钥密文等信息打包后即为***信封,并保存到数据库中。***信封的引入,可以保证只有***持有者可以解密该电子***数据,既避免了***被冒用,又防止了数据泄露。
签章子模块:第三方业务***通过传入签章请求数据(包括:***识别码或者签章用户识别码、签章位置或者签章关键字、待签章文档数据等参数)调用签章接口,触发签章子模块的运行。签章子模块接收到签章请求数据后,解析签章请求数据中的各项参数,根据***识别码或者签章用户识别码从数据库读取签章所使用***的数据(***信封);调用密钥管理子模块,使用签章用户的加密私钥解密***信封中电子***密文,进一步解密得到电子***数据,从中读取指静脉特征值;调用实名认证子模块实时采集签章用户的指静脉信息,再调用静脉指纹识别模块将采集的签章用户的指静脉信息与电子***中解析出的指静脉特征值做比对,进行身份校验;身份校验通过后,验证电子***数据的有效性;电子***数据有效性验证通过后,解析待签章文档并计算该待签章文档摘要值,将该电子***数据、签章者证书、签章时间、签名算法标识等信息一起打包成待电子签章数据;调用密钥管理子模块使用该签章用户的签名私钥对待电子签章数据签名,并打包成电子签章结构(即电子签章),附加到待签章文档中,完成签章;签章完成后,把签章后的文档返回给第三方业务***。
验章子模块:第三方业务***通过传入验章请求数据(包括待验章文档数据等参数)调用验章接口,触发验章子模块的运行;验章子模块接收到验章请求数据后,解析出待验章文档数据;从待验章文档数据中取出签章数据(即电子签章),依次验证电子签章中签名的有效性、签章者证书的有效性以及电子***数据的有效性;验证通过后,解析待验章文档并计算文档摘要值,并和文档签章数据中的摘要值进行二进制比对,若结果一致,则文档验章通过;若结果不一致,则文档验章不通过。
实施例三
本实施例还提供了一种电子设备,包括:一个或多个处理器、一个或多个存储器、以及一个或多个计算机程序;其中,处理器与存储器连接,上述一个或多个计算机程序被存储在存储器中,当电子设备运行时,该处理器执行该存储器存储的一个或多个计算机程序,以使电子设备执行上述实施例一所述的方法。
实施例四
本实施例还提供了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成实施例一所述的方法。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种安全的集中式签章方法,其特征在于,包括:
响应于制章请求,按照电子***格式,将***信息与签章用户指静脉特征值一起,打包成电子***待签名数据;使用制章管理员的签名私钥,对电子***待签名数据进行签名后,打包成电子***数据;使用对称密钥加密电子***数据,再使用签章用户的加密公钥加密所述对称密钥,将电子***密文和对称密钥密文打包,得到***信封;
响应于签章请求,使用签章用户的加密私钥解密***信封,得到电子***数据;基于电子***数据中的签章用户指静脉特征值进行身份校验,并对电子***数据进行有效性验证;在身份校验和有效性验证通过后,对待签章文档进行签章。
2.如权利要求1所述的一种安全的集中式签章方法,其特征在于,对电子***待签名数据进行签名前,基于制章管理员指静脉特征值,对制章管理员进行身份校验。
3.如权利要求1所述的一种安全的集中式签章方法,其特征在于,所述对待签章文档进行签章的步骤包括:
计算待签章文档摘要值,并与电子***数据一起打包成待电子签章数据;
调用密钥管理子模块,使用签章用户的签名私钥对所述待电子签章数据签名,并打包成电子签章,将电子签章附加到待签章文档中。
4.如权利要求1所述的一种安全的集中式签章方法,其特征在于,还包括:
响应于验章请求,从待验章文档数据中取出电子签章,并依次验证电子签章中签名、签章者证书和电子***数据的有效性;
若验证通过,解析待验章文档并计算文档摘要值,并和电子签章中的文档摘要值进行二进制比对,若结果一致,则文档验章通过。
5.如权利要求1所述的一种安全的集中式签章方法,其特征在于,还包括:
响应于注册请求,对用户基本信息进行格式有效性检查;
若有效性检查通过,对用户进行实名认证;
若实名认证通过,采集用户的指静脉特征值后,生成用户的签名密钥对,并使用签名密钥对的私钥生成用户的签名证书请求;
将签名证书请求发送给证书认证机构,并接收证书认证机构签发的签名证书、加密证书及加密密钥对保护结构;
从加密密钥对保护结构中解密出加密私钥,并导入到密码设备中,再将用户基本信息、指静脉特征值、签名证书和加密证书写入数据库;
所述用户基本信息包括:姓名、身份证号码、手机号。
6.一种安全的集中式签章***,其特征在于,包括:
电子***管理模块,其被配置为:响应于制章请求,按照电子***格式,将***信息与签章用户指静脉特征值一起,打包成电子***待签名数据;使用制章管理员的签名私钥,对电子***待签名数据进行签名后,打包成电子***数据;使用对称密钥加密电子***数据,再使用签章用户的加密公钥加密所述对称密钥,将电子***密文和对称密钥密文打包,得到***信封;
签章子模块,其被配置为:响应于签章请求,使用签章用户的加密私钥解密***信封,得到电子***数据;基于电子***数据中的签章用户指静脉特征值进行身份校验,并对电子***数据进行有效性验证;在身份校验和有效性验证通过后,对待签章文档进行签章。
7.如权利要求6所述的一种安全的集中式签章***,其特征在于,还包括验章子模块;
所述验章子模块,其被配置为:响应于验章请求,从待验章文档数据中取出电子签章,并依次验证电子签章中签名、签章者证书和电子***数据的有效性;若验证通过,解析待验章文档并计算文档摘要值,并和电子签章中的文档摘要值进行二进制比对,若结果一致,则文档验章通过。
8.如权利要求6所述的一种安全的集中式签章***,其特征在于,所述电子***管理模块,还被配置为:
响应于注册请求,对用户基本信息进行格式有效性检查;若有效性检查通过,对用户进行实名认证;若实名认证通过,采集用户的指静脉特征值后,生成用户的签名密钥对,并使用签名密钥对的私钥生成用户的签名证书请求;将签名证书请求发送给证书认证机构,并接收证书认证机构签发的签名证书、加密证书及加密密钥对保护结构;从加密密钥对保护结构中解密出加密私钥,并导入到密码设备中,再将用户基本信息、指静脉特征值、签名证书和加密证书写入数据库;所述用户基本信息包括:姓名、身份证号码、手机号。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一项所述的一种安全的集中式签章方法中的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-5中任一项所述的一种安全的集中式签章方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311346306.8A CN117097562B (zh) | 2023-10-18 | 2023-10-18 | 一种安全的集中式签章方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311346306.8A CN117097562B (zh) | 2023-10-18 | 2023-10-18 | 一种安全的集中式签章方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117097562A CN117097562A (zh) | 2023-11-21 |
| CN117097562B true CN117097562B (zh) | 2024-02-20 |
Family
ID=88775736
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311346306.8A Active CN117097562B (zh) | 2023-10-18 | 2023-10-18 | 一种安全的集中式签章方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117097562B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1588385A (zh) * | 2004-07-15 | 2005-03-02 | 上海交通大学 | 签章集中管理与委托授权电子签章安全的方法 |
| CN101800646A (zh) * | 2010-03-03 | 2010-08-11 | 南京优泰科技发展有限公司 | 电子签章的实现方法及*** |
| CN103259659A (zh) * | 2013-04-12 | 2013-08-21 | 杭州晟元芯片技术有限公司 | 一种数字签名和笔迹、指纹结合的身份认证装置及方法 |
| CN104517048A (zh) * | 2013-09-26 | 2015-04-15 | 天津书生软件技术有限公司 | 一种电子***实现***和方法 |
| CN106022035A (zh) * | 2016-05-03 | 2016-10-12 | 识益生物科技(北京)有限公司 | 一种电子签章方法及*** |
| CN109426710A (zh) * | 2017-08-22 | 2019-03-05 | 上海荆虹电子科技有限公司 | 一种电子虹膜***实现方法、***及电子签章设备 |
| CN110414193A (zh) * | 2019-06-26 | 2019-11-05 | 珠海横琴新区润成科技股份有限公司 | 一种国密pdf文档电子***的安全加密方法和*** |
| CN113934993A (zh) * | 2020-07-13 | 2022-01-14 | 重庆傲雄在线信息技术有限公司 | 一种基于电子手写签字技术的电子*** |
| CN113988792A (zh) * | 2021-10-26 | 2022-01-28 | 安云印(天津)大数据科技有限公司 | 一种基于遗传算法的区块链电子***管理服务平台 |
| CN114697040A (zh) * | 2020-12-31 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 一种基于对称密钥的电子签章方法和*** |
| CN115130075A (zh) * | 2022-06-28 | 2022-09-30 | 蚂蚁区块链科技(上海)有限公司 | 一种数字签章方法、装置、电子设备及存储介质 |
| CN115442047A (zh) * | 2022-07-25 | 2022-12-06 | 国网山东省电力公司经济技术研究院 | 一种业务管理文件的电子签章方法及*** |
| CN116582266A (zh) * | 2023-07-13 | 2023-08-11 | 鼎铉商用密码测评技术(深圳)有限公司 | 电子签章方法、电子签章***以及可读存储介质 |
-
2023
- 2023-10-18 CN CN202311346306.8A patent/CN117097562B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1588385A (zh) * | 2004-07-15 | 2005-03-02 | 上海交通大学 | 签章集中管理与委托授权电子签章安全的方法 |
| CN101800646A (zh) * | 2010-03-03 | 2010-08-11 | 南京优泰科技发展有限公司 | 电子签章的实现方法及*** |
| CN103259659A (zh) * | 2013-04-12 | 2013-08-21 | 杭州晟元芯片技术有限公司 | 一种数字签名和笔迹、指纹结合的身份认证装置及方法 |
| CN104517048A (zh) * | 2013-09-26 | 2015-04-15 | 天津书生软件技术有限公司 | 一种电子***实现***和方法 |
| CN106022035A (zh) * | 2016-05-03 | 2016-10-12 | 识益生物科技(北京)有限公司 | 一种电子签章方法及*** |
| CN109426710A (zh) * | 2017-08-22 | 2019-03-05 | 上海荆虹电子科技有限公司 | 一种电子虹膜***实现方法、***及电子签章设备 |
| CN110414193A (zh) * | 2019-06-26 | 2019-11-05 | 珠海横琴新区润成科技股份有限公司 | 一种国密pdf文档电子***的安全加密方法和*** |
| CN113934993A (zh) * | 2020-07-13 | 2022-01-14 | 重庆傲雄在线信息技术有限公司 | 一种基于电子手写签字技术的电子*** |
| CN114697040A (zh) * | 2020-12-31 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 一种基于对称密钥的电子签章方法和*** |
| CN113988792A (zh) * | 2021-10-26 | 2022-01-28 | 安云印(天津)大数据科技有限公司 | 一种基于遗传算法的区块链电子***管理服务平台 |
| CN115130075A (zh) * | 2022-06-28 | 2022-09-30 | 蚂蚁区块链科技(上海)有限公司 | 一种数字签章方法、装置、电子设备及存储介质 |
| CN115442047A (zh) * | 2022-07-25 | 2022-12-06 | 国网山东省电力公司经济技术研究院 | 一种业务管理文件的电子签章方法及*** |
| CN116582266A (zh) * | 2023-07-13 | 2023-08-11 | 鼎铉商用密码测评技术(深圳)有限公司 | 电子签章方法、电子签章***以及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117097562A (zh) | 2023-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112487778B (zh) | 多用户在线签约***及方法 | |
| CN105429760B (zh) | 一种基于tee的数字证书的身份验证方法及*** | |
| US11838425B2 (en) | Systems and methods for maintaining decentralized digital identities | |
| US11115197B1 (en) | Secret sharing information management and security system | |
| JP7083892B2 (ja) | デジタル証明書のモバイル認証相互運用性 | |
| US20190165947A1 (en) | Signatures for near field communications | |
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| CN107196901B (zh) | 一种身份注册及认证的方法及装置 | |
| CN110290134B (zh) | 一种身份认证方法、装置、存储介质及处理器 | |
| CN112953970B (zh) | 一种身份认证方法及身份认证*** | |
| US8661262B2 (en) | User authentication system, terminal used in the same, authentication verification device, and program | |
| JPH113033A (ja) | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム | |
| CN112651036B (zh) | 基于协同签名的身份认证方法及计算机可读存储介质 | |
| CN110401615A (zh) | 一种身份认证方法、装置、设备、***及可读存储介质 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN104424676A (zh) | 身份信息发送方法、装置和门禁读卡器及门禁*** | |
| WO2021190197A1 (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
| CN113515756B (zh) | 基于区块链的高可信数字身份管理方法及*** | |
| CN113364597A (zh) | 一种基于区块链的隐私信息证明方法及*** | |
| CN109242666A (zh) | 基于区块链获取个人征信方法、装置及计算机设备 | |
| Ahamad et al. | A secure NFC mobile payment protocol based on biometrics with formal verification | |
| CN110995661B (zh) | 一种网证平台 | |
| CN112039857B (zh) | 一种公用基础模块的调用方法和装置 | |
| CN113779534A (zh) | 一种基于数字身份的个人信息提供方法和业务平台 | |
| CN113704734A (zh) | 基于分布式数字身份实现凭证验证的方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |