一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法
【專利摘要】本發(fā)明公開了一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法。該方法使用簽名內(nèi)容的散列值、隨機數(shù)、CA中心預先產(chǎn)生的數(shù)字證書對手寫電子簽名數(shù)據(jù)進行加密處理，實現(xiàn)了手寫電子簽名數(shù)據(jù)與簽名內(nèi)容的一一綁定；同時，手寫電子簽名加密數(shù)據(jù)只能由CA中心進行解密，以此實現(xiàn)手寫電子簽名數(shù)據(jù)的隱私保護。
【專利說明】—種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法
【技術(shù)領域】
[0001]本發(fā)明涉及一種使用簽名內(nèi)容來保護手寫電子簽名數(shù)據(jù)的方法。該方法對手寫電子簽名數(shù)據(jù)進行加密處理，使處理后的數(shù)據(jù)包與簽名內(nèi)容綁定并只能由CA中心進行解密，以實現(xiàn)手寫電子簽名的保護。本發(fā)明屬于信息安全領域。
【背景技術(shù)】
[0002]隨著電子技術(shù)的發(fā)展，可通過電子設備系統(tǒng)使手寫簽名信息化。該電子設備系統(tǒng)可稱之為手寫電子簽名系統(tǒng)，它除了包括手寫電子簽名的信息采集、手寫電子簽名的軌跡展示、手寫電子簽名數(shù)據(jù)的安全輸出等功能模塊外，還包括手寫電子簽名對象的內(nèi)容讀取、展示、編輯、傳輸、安全等其它功能模塊。
[0003]與在紙質(zhì)文檔的簽名類似，用戶在手寫電子簽名系統(tǒng)上對簽名內(nèi)容進行簽名，手寫電子簽名系統(tǒng)能實時獲取一系列離散的時序數(shù)據(jù)。這些時序數(shù)據(jù)稱為手寫電子簽名數(shù)據(jù)，包含有手寫電子簽名軌跡，以及簽名用戶的個人行為特征信息(如電子設備采樣獲取到的壓力值和采樣點的時間序列等)。這些具有唯一特性的個人敏感信息，且為簽名用戶個人所獨有。
[0004]手寫電子簽名數(shù)據(jù)一般可描述為{(x，y，t，s，p，α, β)}(見圖1)，其中，(x，y，t,s,p, α, β)表示手寫電子簽名的某一個離散采樣點，它具有如下的物理意義:
[0005]1)χ-采樣點在采樣設備中的X軸方向上的相對位置。
[0006]2) y-采樣點在采樣設備中的Y軸方向上的相對位置。
[0007]3) t-采樣該點的時間。
[0008]4)P-設備采樣該點時所感知筆尖的壓力值。
[0009]5) S-當前簽名時筆尖的狀態(tài)(O表示抬筆，I表示落筆)。
[0010]6) α -筆尖繞簽名板垂直的Z軸方向的順時針旋轉(zhuǎn)角度。
[0011]7) β-簽名筆與簽名板垂直的Z軸正方向的角度。
[0012]其中:手寫電子簽名的離散采樣點必須包含有X與y數(shù)據(jù)，但如t，S，ρ，α，β等其它數(shù)據(jù)特征則是可選的。
[0013]由于手寫電子簽名系統(tǒng)每次采集到的手寫電子簽名數(shù)據(jù)具有唯一性，因而使用手寫電子簽名來標定用戶針對簽名內(nèi)容所進行的簽名事件，從而為一對一地綁定手寫電子簽名與簽名內(nèi)容提供了技術(shù)可行性。
[0014]另一方面，基于公鑰基礎設施(PKI)框架體系下的公鑰密碼技術(shù)在網(wǎng)絡通信中廣泛地應用于數(shù)據(jù)保密、身份認證、數(shù)據(jù)完整性保護和抗抵賴。如廣泛地應用于電子內(nèi)容保護的方法:證書用戶A生成公/私鑰密鑰對，將公鑰通過證書方式發(fā)布，其他用戶或系統(tǒng)傳遞給A的信息時，使用證書中A的公鑰加密信息，用戶A使用私鑰解密。使用公鑰密碼技術(shù)，可以為手寫電子簽名數(shù)據(jù)的隱私安全提供了技術(shù)保障。
[0015]本發(fā)明結(jié)合手寫電子簽名與公鑰密碼技術(shù)兩方面【背景技術(shù)】，既可實現(xiàn)簽名內(nèi)容與所對應的手寫電子簽名的綁定，又能實現(xiàn)手寫電子簽名的安全。
【發(fā)明內(nèi)容】

[0016](一)要解決的問題
[0017]本發(fā)明的目的是提供一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法。本方法主要解決了以下問題:
[0018]I)實現(xiàn)了簽名內(nèi)容與手寫電子簽名數(shù)據(jù)的一對一的綁定，防止手寫電子簽名被盜用。
[0019]2)實現(xiàn)了對手寫電子簽名數(shù)據(jù)的加密安全保護，防止手寫電子簽名的生物特征等敏感隱私數(shù)據(jù)被非授權(quán)獲取或泄露。
[0020]( 二 )技術(shù)方案
[0021]為實現(xiàn)使用簽名內(nèi)容來對手寫電子簽名進行安全保護的目的，采用如下具體實現(xiàn)方案。
[0022]圖2描述了基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法的整體過程，從對手寫電子簽名的加密到解密等一系列過程。
[0023]在圖2中，CA中心(模塊[207])生成基于非對稱算法的公鑰/私鑰對，將公鑰Kp嵌入到數(shù)字證書中，預先發(fā)放給手寫簽名系統(tǒng)(模塊[203]) ,CA保存私鑰(模塊[208])。用戶(模塊[201])使用手寫電子簽名系統(tǒng)對簽名內(nèi)容D(模塊[204])進行手寫電子簽名。數(shù)字證書的公鑰Kp (模塊[202])與簽名內(nèi)容的散列值H(模塊[205])作為系統(tǒng)輸入，手寫電子簽名系統(tǒng)對用戶的手寫電子簽名數(shù)據(jù)進行加密處理，最后生成數(shù)據(jù)對象E (模塊[206])。CA中心獲取手寫電子簽名加密處理后的數(shù)據(jù)對象E和私鑰Ks (模塊[208])，授權(quán)進行解密，在模塊[209]中還原出手寫電子簽名數(shù)據(jù)S。
[0024]圖3詳細的描述了利用簽名內(nèi)容對手寫電子簽名的加密保護過程。這個過程是通過手與電子簽名系統(tǒng)來完成。
[0025]在圖3中，手寫電子簽名系統(tǒng)在模塊[301]中獲取并展示手寫電子簽名內(nèi)容D，在模塊[307]中采集用戶對簽名內(nèi)容D進行的手寫電子簽名，得到手寫電子簽名數(shù)據(jù)S，并在模塊[302]中計算出簽名內(nèi)容D的散列值H。然后，手寫電子簽名系統(tǒng)在模塊[303]中獲取CA中心事先發(fā)放的數(shù)字證書的公鑰Kp及在模塊[304]中生成隨機數(shù)R，并在模塊[305]中使用數(shù)字證書的公鑰Kp對R進行非對稱加密，生成隨機數(shù)密鑰e。接著，手寫電子簽名系統(tǒng)在模塊[306]中使用簽名內(nèi)容的散列值H與模塊[304]中產(chǎn)生的隨機數(shù)R進行異或運算生成一次性密鑰R’。最后，手寫電子簽名系統(tǒng)在模塊[308]中使用一次性密鑰R’對手寫電子簽名數(shù)據(jù)S進行對稱加密，生成手寫電子簽名加密數(shù)據(jù)S’，并在模塊[309]中，將簽名內(nèi)容
D、手寫電子簽名加密數(shù)據(jù)S’、隨機數(shù)密鑰e —起組合生成手寫電子簽名后的數(shù)據(jù)對象E。
[0026]圖4詳細的描述了利用簽名內(nèi)容以及預先生成的私鑰來對手寫電子簽名數(shù)據(jù)加密數(shù)據(jù)進行解密過程。該過程一般由CA中心來完成。
[0027]在圖4中，CA中心獲取數(shù)字證書的私鑰Ks(模塊[401])與數(shù)據(jù)對象E(模塊[402])，接著分別在模塊[403]、模塊[404]、模塊[405]中獲取隨機數(shù)密鑰e、手寫電子簽名加密數(shù)據(jù)S’和簽名內(nèi)容D。CA中心使用Ks解密隨機數(shù)密鑰e (模塊[406])，還原出隨機數(shù)R，并計算出簽名內(nèi)容D的散列值H(模塊[407])。然后，CA中心使用H、R異或運算生成一次性密鑰R’ (模塊[408])。最后，CA中心在模塊[409]使用R’作為對稱密鑰解密手寫電子簽名加密數(shù)據(jù)s’，還原出針對該簽名內(nèi)容D的手寫電子簽名數(shù)據(jù)S，如模塊[410]。
[0028](三)有益效果
[0029]從上述方案可知，本發(fā)明具有如下效益:
[0030](I)手寫電子簽名與簽名內(nèi)容實現(xiàn)一一綁定。具有唯一特性的簽名內(nèi)容的散列值H與手寫電子簽名數(shù)據(jù)S輸入到手寫簽名系統(tǒng)，系統(tǒng)在使用數(shù)字證書的公鑰對手寫電子簽名數(shù)據(jù)進行加密處理，加密處理的結(jié)果具有唯一性。從而實現(xiàn)了手寫電子簽名與簽名內(nèi)容實現(xiàn)--綁定的關(guān)系。
[0031](2)手寫電子簽名由CA中心預生成密鑰進行加密保護，使手寫簽名數(shù)據(jù)中的生物特征等敏感隱私數(shù)據(jù)得到保護。手寫電子簽名加密數(shù)據(jù)僅能由可信第三方CA中心經(jīng)過授權(quán)后解密，避免了個人敏感信息被泄露。
【專利附圖】

【附圖說明】
[0032]圖1.手寫電子簽名數(shù)據(jù)說明圖
[0033]圖2.基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法示意圖
[0034]圖3.基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法中的加密過程示意圖
[0035]圖4.基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法中的解密過程示意圖
【具體實施方式】
[0036]基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法可分為手寫電子簽名數(shù)據(jù)加密和解密兩大步驟。實現(xiàn)以上步驟的前提條件是CA中心生成公/私鑰密鑰對，事先將公鑰通過證書方式發(fā)布到各手寫電子簽名系統(tǒng)中，私鑰由CA中心保管。手寫電子簽名系統(tǒng)使用CA中心發(fā)放數(shù)字證書的公鑰加密信息，CA`中心負責解密。
[0037]基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)的具體加密步驟如下:
[0038]步驟1:用戶使用手寫電子簽名系統(tǒng)對簽名內(nèi)容進行手寫電子簽名，生成手寫電子簽名數(shù)據(jù)S。
[0039]步驟2:手寫電子簽名系統(tǒng)獲取到數(shù)字證書中的公鑰Kp，并產(chǎn)生一個隨機數(shù)R。
[0040]步驟3:手寫電子簽名系統(tǒng)使用公鑰&對1?進行加密，生成隨機數(shù)密鑰e。
[0041]步驟4:手寫電子簽名系統(tǒng)計算出手寫簽名內(nèi)容的散列值H。
[0042]步驟5:手寫電子簽名系統(tǒng)將H與隨機數(shù)R進行異或運算生成一次性密鑰R’。
[0043]步驟6:手寫電子簽名系統(tǒng)使用一次性密鑰R’對手寫電子簽名數(shù)據(jù)S進行加密，生成手寫電子簽名加密數(shù)據(jù)S’。
[0044]步驟8:手寫電子簽名系統(tǒng)對隨機數(shù)密鑰e、手寫電子簽名加密數(shù)據(jù)S’與簽名內(nèi)容D 一起組合生成數(shù)據(jù)對象E。
[0045]事后，因業(yè)務的需要，CA中心可對以上生成數(shù)據(jù)對象E進行解密，還原出原始的手寫電子簽名數(shù)據(jù)，具體步驟如下:
[0046]步驟1:CA中心獲取數(shù)據(jù)對象E及數(shù)字證書的私鑰Ks。
[0047]步驟2:CA中心分解數(shù)據(jù)對象E，分別獲得手寫電子簽名加密數(shù)據(jù)S’、簽名內(nèi)容D及隨機數(shù)密鑰e ;
[0048]步驟3:CA中心使用Ks解密密鑰e，還原出隨機數(shù)R。[0049]步驟4:CA中心計算手寫電子簽名內(nèi)容D的散列值H。
[0050]步驟5:CA中心系統(tǒng)使用H和R，進行異或運算，生成一次性密鑰R’。
[0051]步驟6:CA中心系統(tǒng)使用上步生成的一次性密鑰R’對手寫電子簽名加密數(shù)據(jù)S’進行解密，還原出針對該簽名內(nèi)容的手寫電子簽名數(shù)據(jù)S。
[0052]以上所述的具體實施例，對本發(fā)明的目的、技術(shù)方案和有益效果進行了進一步詳細說明，所應理解的是，以上所述僅為本發(fā)明的具體實施例而已，并不用于限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于采取以下步驟: (1)使用簽名內(nèi)容的散列值、隨機數(shù)與CA中心生成的數(shù)字證書對手寫電子簽名進行加密處理，生成手寫電子簽名加密數(shù)據(jù)包； (2)CA中心使用證書私鑰對手寫電子簽名加密數(shù)據(jù)包進行解密，還原出手寫電子簽名數(shù)據(jù)。
2.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于對手寫電子簽名的加密方法，加密方法采用以下步驟: (1)CA中心生成基于非對稱算法的公鑰/私鑰對，將公鑰Kp嵌入到數(shù)字證書中，事先發(fā)放給手寫簽名系統(tǒng)； (2)簽名用戶在手寫簽名系統(tǒng)上針對簽名內(nèi)容D進行手寫電子簽名，生成手寫電子簽名數(shù)據(jù)S; (3)手寫簽名系統(tǒng)產(chǎn)生隨機數(shù)R； (4)手寫簽名系統(tǒng)使用數(shù)字證書的公鑰Kp對隨機數(shù)R進行非對稱加密，生成隨機數(shù)密鑰e ； (5)手寫簽名系統(tǒng)計算出簽名內(nèi)容D的散列值H； (6)手寫簽名系統(tǒng)對散列值H、隨機數(shù)R進行異或運算生成一次性密鑰R’； (7)手寫簽名系統(tǒng)使用一次性密鑰R’對手寫電子簽名S進行對稱加密運算，生成手寫電子簽名加密數(shù)據(jù)S’ ；` (8)手寫簽名系統(tǒng)將簽名內(nèi)容D、隨機數(shù)密鑰e、手寫電子簽名加密數(shù)據(jù)S’組合生成數(shù)據(jù)對象E。
3.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于對手寫電子簽名加密數(shù)據(jù)包的解密方法，該解密方法采用以下步驟: (1)CA中心獲取手寫電子簽名后的數(shù)據(jù)對象E，并經(jīng)授權(quán)進行解密； (2)CA中心從E中取得簽名內(nèi)容D、隨機數(shù)密鑰e以及手寫電子簽名加密數(shù)據(jù)S’ ； (3)CA中心計算簽名內(nèi)容D的內(nèi)容散列值H ； (4)CA中心使用私鑰Ks解密隨機數(shù)密鑰e，還原出隨機數(shù)R； (5)CA中心對H和R進行異或計算，生成一次性密鑰R’ ； (6)CA中心使用一次性密鑰R’對手寫電子簽名加密數(shù)據(jù)S’進行解密，還原出針對該簽名內(nèi)容的手寫電子簽名數(shù)據(jù)S。
4.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于簽名內(nèi)容與手寫電子簽名一對一的綁定方法，該一對一綁定方法主要體現(xiàn)在以下幾個方面: (1)簽名內(nèi)容的散列值H、手寫電子簽名S及手寫簽名系統(tǒng)所產(chǎn)生的隨機數(shù)R都具有唯一特性； (2)手寫簽名系統(tǒng)使用簽名內(nèi)容的散列值H、隨機數(shù)R與CA中心生成的數(shù)字證書對手寫電子簽名進行加密處理，加密處理的結(jié)果具有唯一特性。
5.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于電子簽名加密數(shù)據(jù)與簽名內(nèi)容綁定并只能由CA中心進行解密，以實現(xiàn)手寫電子簽名數(shù)據(jù)的保護。
6.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于CA中心預先生成 公鑰/私鑰對，將公鑰嵌入數(shù)字證書，發(fā)放給手寫電子簽名系統(tǒng)，而私鑰由CA中心保存。
7.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于手寫電子簽名對象適用于所有的電子文檔、網(wǎng)頁、二進制文件等電子數(shù)據(jù)。
8.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于權(quán)利要求2的步驟(6)與權(quán)利要求3中步驟(5)中使用相同的異或算法對簽名內(nèi)容的散列值H、隨機數(shù)R進行運算，生成完全相同的一次性密鑰R’。
9.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于權(quán)利要求2中步驟(4)中簽名用戶使用數(shù)字證書的公鑰對隨機數(shù)R加密生成隨機數(shù)密鑰e的方法與權(quán)利要求3中步驟(4)中用證書的私鑰去解密隨機數(shù)密鑰e的方法是互為逆反的運算。
10.如權(quán)利要求1所述的一種基于簽名內(nèi)容的手寫電子簽名數(shù)據(jù)保護方法，其特征在于權(quán)利要求2的步驟(7)中使用一次性密鑰R’對手寫簽名數(shù)據(jù)S加密生成S’的方法與權(quán)利要求3的步驟(6)中用一次性密鑰R’去解密手寫電子簽名加密數(shù)據(jù)S’的方法是互為逆反的運算。
【文檔編號】H04L9/32GK103780391SQ201310660496
【公開日】2014年5月7日 申請日期:2013年12月10日 優(yōu)先權(quán)日:2013年12月10日
【發(fā)明者】林雪焰, 詹榜華, 何余良, 馬臣云 申請人:北京數(shù)字認證股份有限公司