專利名稱:含電子印章數(shù)字證書的合體印章簽署認證方法
技術領域:
本發(fā)明涉及一種含電子印章數(shù)字證書的合體印章簽署認證方法,屬于網(wǎng)絡安全認證技術領域����。
背景技術:
公章是法人權利的象征�,在現(xiàn)行的立法和司法實踐中�,審查是否蓋有法人公章成為判斷民事活動是否成立和生效的重要標準。
從簽章的介質(zhì)來區(qū)分���,傳統(tǒng)印章也稱物理印章��,主要用于對紙質(zhì)文件簽章�。此外還有電子印章��,電子印章指合法的數(shù)字化印章與數(shù)字證書綁定����,用其私鑰對電子文件進行了數(shù)字簽名,其中包含了用戶身份�����、印章信息��、公開密鑰�、有效期等相關信息,主要用于網(wǎng)上辦公��、交易等網(wǎng)上業(yè)務中對于電子文檔進行類似傳統(tǒng)的手工簽名、蓋章的操作�����。通過使用電子印章對電子文檔的簽章操作�����,以保證簽章電子文檔的完整性����、真實性���、可靠性及簽章實體對其操作的不可抵賴性等��。
檢索發(fā)現(xiàn)����,申請?zhí)枮?00510023442.9的中國專利申請公開了一種數(shù)字印章的電子商務運行方法及其系統(tǒng)��,它可結合用戶數(shù)字證書的身份認證功能�,實現(xiàn)電子文檔的簽章功能,以印章圖片結合電子簽名的顯示方式���,來代表電子文檔的真實性���、完整性為目的進行商務運作���。本發(fā)明提供的數(shù)字印章的電子商務運行方法及其系統(tǒng),由于利用數(shù)字簽名與數(shù)字水印技術�,結合數(shù)字證書技術的確保用戶身份的不可偽造、不可否認的性質(zhì)�����,并通過網(wǎng)絡實現(xiàn)企業(yè)或客戶異地身份驗證����、文檔簽章,而且利用硬件保存數(shù)字證書����,以達到較高的用戶身份信息的安全性、和不可偽造性���。另一方面�,利用印章或簽名的方式,即滿足傳統(tǒng)用戶使用紅章的習慣又使之與數(shù)字簽名相結合達到法律上的認可���,使的網(wǎng)上簽發(fā)的帶有電子印章的文檔或合同同樣具有法律效力�����。
此外����,申請?zhí)枮?00610083793.3的中國專利申請公開了一種基于CPK的電子印章安全認證系統(tǒng)和方法�����。該系統(tǒng)包括簽章系統(tǒng)和驗章系統(tǒng)�。簽章系統(tǒng)包括CPK簽章安全芯片和CPK簽章單元�;所述驗章系統(tǒng)包括CPK驗章單元和CPK驗章安全芯片。本發(fā)明還提供一種基于CPK的電子印章安全簽署認證方法��。其既能解決電子印章的規(guī)?�;瘑栴}�,又能夠簡便地對電子印章進行安全認證。
但以上現(xiàn)有技術均存在以下主要缺陷1����、未能采取措施保證電子印章與物理實體章的統(tǒng)一���,因此無法結合使用;2��、簽章時所使用的圖形化電子印章僅為普通圖片�����,未經(jīng)印章管理權威機構的認可����。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對以上現(xiàn)有技術存在的缺陷,提出一種含數(shù)字證書���、電子印章的合體印章簽署認證方法�����,從而將傳統(tǒng)物理印章與現(xiàn)代數(shù)字證書�、電子印章緊密結合��,保證電子印章與物理實體章的統(tǒng)一��,保證簽章電子文檔的完整性、真實性��、可靠性及簽章操作的不可抵賴性��,大力推進電子商務活動的開展���。
為了達到以上目的�,本發(fā)明含數(shù)字證書���、電子印章的合體印章簽署認證方法中���,簽章客戶端(計算機)和驗章客戶端(計算機)通過網(wǎng)絡與印章服務器連接���,印章服務器通過網(wǎng)絡與CA中心證書目錄服務器連接����,所述合體印章(參見本申請人申請?zhí)枮?007100203222的另一中國專利申請)的章體下面固定根據(jù)存儲在印章服務器中圖形化電子印章制作的物理印章�����,章體上安置保存對應電子印章數(shù)字證書及其私鑰的存儲芯片(KEY)��,所述認證方法含有簽章和驗章步驟,所述簽章步驟包括1)�����、打開步驟簽章用戶在加載簽章程序的簽章客戶端打開待簽章的原始文檔��;2)�、請求步驟將合體章的存儲芯片(KEY)與簽章客戶端計算機接插,憑數(shù)字證書登錄到印章服務器��,請求調(diào)取數(shù)字證書對應的電子印章����;3)、確認步驟印章服務器根據(jù)CA中心證書目錄服務器的發(fā)布信息進行證書有效性校驗�;4)、調(diào)取步驟在確認證書有效的情況下��,印章服務器調(diào)用其對應的圖形化電子印章��,并對圖形化電子印章進行數(shù)字簽名�,以確保電子印章來源的可靠性,必要時將用戶調(diào)章記錄寫進日志中�����,以便管理;5)�、發(fā)送步驟印章服務器將至少包括圖形化電子印章、電子印章的簽名信息��、對電子印章簽名所用的數(shù)字證書以及簽章者的數(shù)字證書在內(nèi)的相關數(shù)據(jù)發(fā)送到簽章客戶端���;6)�����、蓋章步驟簽章客戶端將接收到的圖形化電子印章嵌入文檔中����,在電子文檔中顯現(xiàn)出與加蓋物理印章具有等同法律效率的直觀電子印章����,并將至少包含文檔內(nèi)容�����、圖形化電子印章的簽名信息�����、對電子印章簽名所用的數(shù)字證書及簽章者的數(shù)字證書在內(nèi)的內(nèi)容以自定義的文檔格式寫進文檔結構中,之后調(diào)用存儲芯片(KEY)中簽章用戶的證書私鑰對文檔結構中的所有內(nèi)容簽名�����,形成簽章文檔�。
所述驗章步驟包括7)、接收步驟簽名文檔的接受者在加載簽章程序的驗章客戶端中打開接收到的待驗證簽章文檔�;
8)、分離步驟驗章客戶端解析簽名文檔�����,分離出原文檔內(nèi)容���、電子印章的簽名信息�、對電子印章簽名所用的數(shù)字證書��、簽章者的數(shù)字證書以及簽章者的簽名信息�;9)、對比步驟驗章客戶端用解析出的簽章者的數(shù)字證書公鑰對簽名信息進行解密��,得到原始文檔摘要�����,并將分離出的數(shù)據(jù)信息處理(進行hash運算)得到新的文檔摘要,將原始文檔摘要和新的文檔摘要相比對�,得到驗證結果,返回給接受者����。
以上認證方法合理設置了數(shù)字簽名體系和流程,確保了用戶身份的不可偽造與不可否認����,同時結合電子印章,保證了電子文檔的完整性和不可偽造性����,尤其是將物理印章與電子印章合體,既可單獨使用��,也可同時使用�����,便于管理���,保證了兩者的一致性。因此��,實現(xiàn)了發(fā)明目的,與現(xiàn)有技術相比��,具有突出的實質(zhì)性特點和顯著的進步��。
下面結合附圖對本發(fā)明作進一步的說明�����。
圖1為本發(fā)明一個實施例的應用系統(tǒng)原理圖�。
圖2為本發(fā)明一個實施例的流程示意圖。
具體實施例方式
實施例一本實施例中簽章客戶端計算機和驗章客戶端計算機通過網(wǎng)絡與印章服務器Seal Center連接����,該印章服務器通過網(wǎng)絡與CA中心證書目錄服務器CA Center連接。合體印章的章體下面固定根據(jù)存儲在印章服務器中圖形化電子印章制作的物理印章�����,因此可以在紙件文檔document上完成傳統(tǒng)的蓋印簽章�。同時章體上還安置有保存對應電子印章數(shù)字證書及其私鑰的帶USB的存儲芯片。應用此含電子印章數(shù)字證書的合體印章簽署認證的整個程序可以分成簽章和驗章兩大過程(參見圖2)��,其中簽章過程的步驟為1)�、打開步驟簽章用戶在加載簽章程序的簽章客戶端打開待簽章的原始的office文檔;并創(chuàng)建一個文檔屬性中包括創(chuàng)建時間����、修改時間����、文檔內(nèi)容的相應文檔單元�,以自定義的文檔單元結構存儲。
2)����、請求步驟將合體章的存儲芯片與簽章客戶端計算機接插,輸入設置存儲芯片的密碼口令���,從介質(zhì)中讀取用戶數(shù)字證書相關信息�,憑數(shù)字證書登錄到印章服務器�,請求調(diào)取數(shù)字證書對應的電子印章;由于電子印章存放于印章服務器中�,并由印章服務器對電子印章進行簽名,保證電子印章來源的可靠性及權威性���,因此加強了對印章的管理���,同時必須通過數(shù)字證書才能登陸到印章服務器,增強了對印章的保護。
3)�����、確認步驟印章服務器根據(jù)CA中心證書目錄服務器的發(fā)布信息進行證書有效性校驗�����;由于在調(diào)用電子印章的過程中首先檢驗印章的來源是否可靠���,即是否有權威部門的數(shù)字簽名(如果沒有,則拒絕簽章)����,因此保證了印章的權威性與可靠性。
4)�、調(diào)取步驟在確認證書有效的情況下,印章服務器調(diào)用其對應的圖形化電子印章�,嚴格控制電子印章的使用權限,保證對應的數(shù)字證書調(diào)用對應的電子印章�����,避免電子印章的濫用�,對圖形化電子印章進行數(shù)字簽名,以確保電子印章來源的可靠性;將用戶調(diào)章記錄寫進日志中���,以便管理����;5)�����、發(fā)送步驟印章服務器將數(shù)字證書對應的電子印章�����,電子印章的簽名信息及簽名所用的數(shù)字證書發(fā)送給簽章客戶端��;具體而言��,印章服務器將文檔單元中除簽名之外所有內(nèi)容匯總���,運用Hash運算產(chǎn)生一個摘要��,隨后調(diào)用用戶數(shù)字證書中的私鑰對Hash的結果�、即摘要進行簽名�,再將原文檔�、圖形化電子印章���、圖形化電子印章的簽名信息及簽名所用的數(shù)字證書���、簽名后的摘要一起打包����,同時存放在印章服務器中,然后將打包后的文檔發(fā)送給簽章客戶端的收文者6)��、蓋章步驟簽章客戶端將接收到的圖形化電子印章嵌入文檔中�,在電子文檔中顯現(xiàn)出與加蓋物理印章具有等同法律效率的直觀電子印章,并將包含原文檔����、圖形化電子印章、圖形化電子印章的簽名信息及簽名所用的數(shù)字證書�����、簽章者的數(shù)字證書等內(nèi)容以自定義的文檔格式寫進文檔結構中�,之后調(diào)用存儲芯片(KEY)中簽章用戶的證書私鑰對文檔結構中的所有內(nèi)容簽名,形成簽章文檔����。
以上過程利用基于PKI體系的數(shù)字簽名技術�,確保了用戶身份的不可偽造與不可否認����,同時結合電子印章,保證了電子文檔的完整性和不可偽造性�����,并實現(xiàn)了與實體物理印章有機的結合使用���,方便�����、安全�、可靠�。
驗章過程包括以下步驟7)、接收步驟簽名文檔的接受者在加載簽章程序的驗章客戶端中打開接收到的待驗證的簽章文檔�����;8)�、分離步驟驗章客戶端中解析自定義的簽名文檔�����,分離出原文檔內(nèi)容�����、電子印章的簽名信息�、簽名所用的數(shù)字證書以及簽章者的簽名信息�、簽章證書�;9)、對比步驟驗章客戶端以簽章者的數(shù)字證書公鑰對簽名信息進行解密���,得到原始文檔摘要�,同時在本地對原文檔進行再一次的Hash�,得到一個新文檔摘要,隨后將解密后的原始文檔摘要和Hash得到的新文檔摘要進行比對�,如果一致,就說明文檔沒有被修改��,驗證通過��;反之�,則驗證不通過��。這里的驗證對比不僅包括文檔的內(nèi)容����,還包括文檔的格式�����。
驗證的結果將自動顯示在客戶端計算機界面的屬性頁中���,以不同的顏色表示不同的驗證結果(比如紅色顯示表示驗證失敗��,綠色顯示表示驗證通過)�,一目了然�����。
實踐證明���,本實施例具有以下顯著有益效果1���、數(shù)字證書可以公開發(fā)布,數(shù)字證書的私鑰保存在安全存儲介質(zhì)中��,只有擁有私鑰的人才能進行電子簽章,因此實現(xiàn)了用戶的身份認證�����;2����、用戶的物理印章和電子印章由統(tǒng)一制作,保障印章的一致性和安全可靠性���;3��、合體印章便于管理���,物理印章和電子印章即可同時使用���,也可單獨使用���,保證了常規(guī)商務和電子商務的可選擇性與可替換性。
除上述實施例外�,本發(fā)明還可以有其他實施方式。凡采用等同替換或等效變換形成的技術方案����,均落在本發(fā)明要求的保護范圍���。
權利要求
1.一種含電子印章數(shù)字證書的合體印章簽署認證方法,簽章客戶端和驗章客戶端通過網(wǎng)絡與印章服務器連接���,印章服務器通過網(wǎng)絡與CA中心證書目錄服務器連接�����,所述合體印章的章體下面固定根據(jù)存儲在印章服務器中圖形化電子印章制作的物理印章�����,章體上安置保存對應電子印章數(shù)字證書及其私鑰的存儲芯片���,所述認證方法含有簽章和驗章步驟,所述簽章步驟包括1)����、打開步驟簽章用戶在加載簽章程序的簽章客戶端打開待簽章的原始文檔;2)�����、請求步驟將合體章的存儲芯片與簽章客戶端計算機接插,憑數(shù)字證書登錄到印章服務器��,請求調(diào)取數(shù)字證書對應的電子印章��;3)�、確認步驟印章服務器根據(jù)CA中心證書目錄服務器的發(fā)布信息進行證書有效性校驗;4)�、調(diào)取步驟在確認證書有效的情況下,印章服務器調(diào)用其對應的圖形化電子印章����,并對圖形化電子印章進行數(shù)字簽名;5)�����、發(fā)送步驟印章服務器將至少包括電子印章���、電子印章的簽名信息、對電子印章簽名所用的數(shù)字證書以及簽章者的數(shù)字證書在內(nèi)的相關數(shù)據(jù)發(fā)送到簽章客戶端���;6)�����、蓋章步驟簽章客戶端將接收到的圖形化電子印章嵌入文檔中���,在電子文檔中顯現(xiàn)出與加蓋物理印章具有等同法律效率的直觀電子印章��,并將至少包含文檔內(nèi)容�、圖形化電子印章的簽名信息�����、對電子印章簽名所用的數(shù)字證書及簽章者的數(shù)字證書在內(nèi)的內(nèi)容以自定義的文檔格式寫進文檔結構中��,之后調(diào)用存儲芯片中簽章用戶的證書私鑰對文檔結構中的所有內(nèi)容簽名�����,形成簽章文檔��;所述驗章步驟包括7)�、接收步驟簽名文檔的接受者在加載簽章程序的驗章客戶端中打開接收到的待驗證簽章文檔;8)��、分離步驟驗章客戶端解析簽名文檔�,分離出原文檔內(nèi)容、電子印章的簽名信息、對電子印章簽名所用的數(shù)字證書�、簽章者的數(shù)字證書以及簽章者的簽名信息;9)�����、對比步驟驗章客戶端用解析出的簽章者的數(shù)字證書公鑰對簽名信息進行解密��,得到原始文檔摘要�����,并將分離出的數(shù)據(jù)信息處理得到新的文檔摘要�����,將原始文檔摘要和新的文檔摘要相比對��,得到驗證結果�����,返回給接受者���。
2.根據(jù)權利要求1所述含電子印章數(shù)字證書的合體印章簽署認證方法,其特征在于所述步驟1)中,在打開待簽章的原始文檔的同時����,客戶端還創(chuàng)建一個文檔屬性中包括創(chuàng)建時間、修改時間��、內(nèi)容的相應文檔單元�����,并以自定義的文檔單元結構存儲����。
3.根據(jù)權利要求2所述含電子印章數(shù)字證書的合體印章簽署認證方法,其特征在于所述步驟2)中�,存儲芯片設置有密碼口令,與簽章客戶端計算機接插后����,輸入設置存儲芯片的密碼口令,才能從介質(zhì)中讀取用戶數(shù)字證書相關信息登陸印章服務器�����。
4.根據(jù)權利要求3所述含電子印章數(shù)字證書的合體印章簽署認證方法�,其特征在于所述步驟4)中將用戶調(diào)章記錄寫進日志中��。
5.根據(jù)權利要求4所述含電子印章數(shù)字證書的合體印章簽署認證方法����,其特征在于所述步驟5)中簽章客戶端將文檔單元中有關內(nèi)容匯總�����,運用Hash運算產(chǎn)生一個摘要���,隨后調(diào)用用戶數(shù)字證書中的私鑰對Hash的結果進行簽名�,再將原文檔���、圖形化電子印章���、圖形化電子印章的簽名信息及簽名所用的數(shù)字證書、簽名后的摘要一起寫入文檔結構中��。
6.根據(jù)權利要求4所述含電子印章數(shù)字證書的合體印章簽署認證方法�����,其特征在于所述步驟9)中驗章客戶端用簽章者的數(shù)字證書公鑰對簽名信息進行解密�����,得到原始文檔摘要,同時在本地對原文檔進行再一次的Hash運算���,得到一個新文檔摘要,隨后將解密后的原始文檔摘要和新文檔摘要進行比對�,如果一致,驗證通過��;反之�����,則驗證不通過�����。
7.根據(jù)權利要求6所述含電子印章數(shù)字證書的合體印章簽署認證方法���,其特征在于所述原始文檔摘要和新文檔摘要比對包括文檔的內(nèi)容和文檔的格式�。
全文摘要
本發(fā)明涉及一種含電子印章數(shù)字證書的合體印章簽署認證方法��,屬于網(wǎng)絡安全認證技術領域�����。該方法通過打開、請求���、確認��、調(diào)取����、發(fā)送��、蓋章步驟實現(xiàn)合體印章�����、簽章客戶端和印章服務器����、CA中心證書目錄服務器之間的電子印章簽名蓋章操作,通過接收���、分離����、比對步驟實現(xiàn)驗章客戶端和印章服務器之間的電子印章驗證操作。從而將傳統(tǒng)物理印章與現(xiàn)代數(shù)字證書�、電子印章緊密結合,保證電子印章與物理實體章的統(tǒng)一����,保證簽章電子文檔的完整性、真實性��、可靠性及簽章操作的不可抵賴性�����,大力推進電子商務活動的開展����。
文檔編號G06Q30/00GK101017544SQ200710020370
公開日2007年8月15日 申請日期2007年2月15日 優(yōu)先權日2007年2月15日
發(fā)明者何穎飛 申請人:江蘇國盾科技實業(yè)有限責任公司