CN100571122C - 一种安全可靠的受控授权电子签名方法 - Google Patents
一种安全可靠的受控授权电子签名方法 Download PDFInfo
- Publication number
- CN100571122C CN100571122C CNB2005100192159A CN200510019215A CN100571122C CN 100571122 C CN100571122 C CN 100571122C CN B2005100192159 A CNB2005100192159 A CN B2005100192159A CN 200510019215 A CN200510019215 A CN 200510019215A CN 100571122 C CN100571122 C CN 100571122C
- Authority
- CN
- China
- Prior art keywords
- agent
- signature
- electronic signature
- certificate
- trustee
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于椭圆曲线的可控授权电子签名方法,具体步骤是:第一步骤:基于有限乘法群确定系统参数;第二步骤:委托人进行委托授权;第三步骤:代理人验证委托请求;第四步骤:代理人行使电子签名权力;第五步骤:接受者验证所收到的数据电文。本发明能够实现对电子签名权力进行安全可靠的委托授权。委托人能够严格地控制包括限制代理人行使签名的范围、设定委托授权的时效、限制最大签名次数等在内的委托授权电子签名行为。
Description
技术领域
本发明属于网络信息安全领域中电子签名方法,特别是一种安全可靠的受控授权电子签名方法。
背景技术
在电子商务系统、电子政务系统、信息安全系统、网络通信系统等与信息相关的各个领域中,电子签名技术是极其基本的技术之一。它模拟了现实生活中的手写签名的功能,不仅具有身份认证、来源鉴别、抗抵赖、抗伪造等能力,而且还能对数据电文进行完整性认证,并可以确保数据电文的真实性、安全性、可靠性和合法性,因而对于保障信息系统的正常运作具有十分重大的意义。在许多国家,包括我国在内,电子签名都得到了法律上的承认。
目前,经过国内外众多学者的努力,已经出现了许多电子签名方法,例如:国家知识产权局已公开的申请号为02153672.4的专利申请《一种利用无线笔的电子签名留言方法》公开了一种通过记录使用者在利用无线笔进行手写签名时的书写笔迹,将其作为文档签名的方法,但由于该签名仅仅是手写签名的单纯模拟,与文档内容无直接关系,因此根本无法实现我国《电子签名法》第五条和第十三条所规定完整性、抗抵赖、抗伪造等关于电子签名合法性的基本要求。申请号为01139001.8的专利申请《电子签名的防伪方法及装置》则公开了一种应用于条形码系统的电子签名防伪方法,适用面较窄。但所有这些方法都不能解决电子签名权利的委托授权问题。
在现实世界里,人们经常需要将自己的某些签名权力委托给可靠的代理人,让代理人代表本人去行使这些权力。委托签名权的传统方法是使用印章,因为印章可以在人们之间灵活地传递。而在电子签名领域中,我们也急需一种方法,以实现一种类似于现实生活中的印章和公章的功能,以便将自己的电子签名权利委托他人的方法。国家知识产权局已公开的申请号为03123791.6的专利申请《一种用电子公章对电子文档进行签名认证的方法》利用由签名公章和打印公章组成的电子公章,通过移动存储设备和安全渠道进行分发,实现授权电子签名的功能,但该方法不仅存在着分发过程中的安全危险,无法实现对签名权力的使用的控制,并且仅能适用于电子公文领域,应用范围很窄。申请号为200410052864.4的专利申请《签章集中管理与委托授权电子签章安全的方法》则将签名权力全部委托给可信的OA系统来实现签名权力的委托授权操作,这种方法针对OA系统,采取签章集中管理制度,实现委托授权操作,因此仅能应用于可信OA系统,应用面很窄。此外,该方法还存在着签名可以伪造、文书的完整性无法保证、代理人签名权力无法控制、委托人和代理人可相互抵赖等众多的安全性问题。
本说明书中所用到的相关术语说明如下:
根据我国的《电子签名法》的定义,所谓的电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。而数据电文,则是指以电子、光学、电磁或者类似手段生成、发送、接收或者储存的信息。
委托人指的是拥有原始电子签名权力的签名人,他可以根据需要,将自己的电子签名权力委托授权给另一个签名人,即代理人。
代理人指的是根据委托人的委托授权,行使实际的电子签名权力的签名人。
授权电子签名指的是代理人根据委托人的委托授权,代表委托人生成的电子签名。
接收者指的是收到数据电文的用户。
认证中心指的是根据《电子签名法》第十七条设立的、由当事各方均认可的第三方可信的、提供相关电子认证服务的电子认证服务机构,它能提供符合《电子签名法》第二十一条所规定电子签名证书。
时戳证书指的是对所含电子文书提供时间证明的电子签名证书。
发明内容
本发明的目的在于针对现有技术和方法的不足,提供一种基于有限乘法群上求解离散对数问题求解的困难性,并借助可信的第三方电子认证服务机构的安全可靠的受控授权电子签名方法。该方法可使得委托人对代理人行使电子签名权力的权力范围、签名时间和签名次数进行可靠的控制。
为了实现上述目的,本发明具体步骤是:
第一步骤:确定系统参数
系统参数的确定方法是:随机选定大素数p,系统生成元g为一个小于p的正整数,并设委托人的私钥为SKA,代理人的私钥为SKB,两者均为小于p-1的随机正整数,则委托人的公钥为 代理人的公钥为
第二步骤:委托人进行委托授权过程
当委托人因某种原因,需要委托授权代理人进行电子签名权力时,执行下列操作:
①委托人生成用于限制代理人的签名权限的授权文书Ap,其中包括约定的认证中心、有关代理人身份说明的电子证书、委托授权的有效期限、代理人代表委托人行使电子签名权力的权限范围、代理人代表委托人行使电子签名权力的最大签名次数等内容。
②委托人利用自己的私钥SKA,对限制代理人的签名权限的授权文书Ap进行普通电子签名,得到用于限制代理人的签名权限的授权证书Cp。
③委托人将授权证书Cp发送给认证中心CA。
④认证中心CA在认证了所收到的授权证书合法性的基础上,根据授权证书在内部数据库中设定代理人代表委托人行使电子签名权力的最大签名次数。
⑤委托人随机选取一个小于p-1的正整数k,计算委托参数Qp=gkmod p。
⑥委托人根据某种约定的杂凑摘要算法,计算杂凑摘要值Hp=Hash(CP,Qp)。
⑦委托人根据自己的私钥SKA,计算授权参数Sp=Hp×SKA+k。
⑧委托人根据委托参数和授权参数,生成委托授权信息Mp=(Sp,Qp)。
⑨委托人将授权证书Cp和委托授权信息Mp作为委托请求(Cp,Mp),发送给代理人。
第三步骤:代理人验证委托请求的过程
代理人收到委托人的委托请求后,执行下列操作,验证委托请求的合法性,决定是否接受委托:
①代理人从委托请求中析出授权证书Cp,利用委托人的公钥PKA,验证授权证书的合法性;若授权证书Cp是有效的,则进行下一步;否则若授权证书Cp是无效的,则要求委托人重新发送委托请求,或者直接拒绝该委托接受请求。
②代理人从授权证书Cp中析出授权文书Ap,并根据授权文书Ap的内容,决定是否接受委托人的委托请求。如果接受委托人的委托请求,则进行下一步。
③代理人从委托请求中析出委托授权信息Mp。
④代理人从委托授权信息Mp中析出委托参数Qp和授权参数Sp。
⑤代理人根据约定的杂凑摘要算法,计算杂凑摘要值Hp=Hash(Cp,Qp)。
⑥代理人验证等式 是否成立。若等式不成立,则说明该委托授权信息无效,应要求委托人重新发送委托请求。若等式成立,则说明该委托授权信息是有效的,予以接受。并根据授权范围代表委托人行使电子签名权力。
第四步骤:代理人行使电子签名权力的过程
当代理人需要在自己的代理权限内代表委托人行使电子签名权力时,执行下列操作:
①代理人根据所收到的授权参数Sp,计算授权电子签名私钥SKp=Sp+SKB。
②代理人利用所生成的授权电子签名私钥SKp和所收到的委托授权信息Mp,按照约定的普通电子签名方法,对需要签署的电子文书M进行普通电子签名,可得普通签名S′=Sig(SKp,M,Mp),则授权电子签名为S=(S′,Qp)。
③代理人生成请求认证文书,其中包括:代理人的身份信息、第②步中所得到的授权电子签名S以及请求对所签署的电子签名进行公证的认证消息。
④代理人利用自己的私钥SKB签署请求认证文书,得到请求认证电文。
⑤代理人将请求认证请求电文发送给认证中心CA,请求认证。
⑥认证中心CA在收到代理人提交的认证请求电文后,确认该电文的完整性和真实性。若有错误,则拒绝提供认证服务,并要求代理人重新发送。若认证通过,进行下一步操作。
⑦认证中心CA在内部数据库中搜索由委托人设定的最大签名次数,以及代理人已经代表委托人行使电子签名权力的签名次数,如果在委托授权的最大签名次数的范围内,则根据收到认证请求电文的时间,对所收到的认证请求电文中的授权电子签名签发时戳证书TP,同时修改内部数据库中的签名次数信息;否则,将拒绝提供认证服务,并终止操作。
⑧认证中心CA将所签署的时戳证书Tp返还给代理人。
⑨代理人在收到由认证中心签署的时戳证书Tp之后,将该证书附在消息之后,作为其代表委托人对电子文书所签署的授权电子签名的时间证明,与电子文书M、授权电子签名S、授权证书Cp一起,形成数据电文(M,S,CP,TP)。
第五步骤:接受者验证所收到的数据电文的过程
当接受者需要在检验所收到的、由代理人代表委托人签署的数据电文的合法性时,执行下列操作:
①接受者从所收到的数据电文中析出电子文书M、授权电子签名S、授权证书Cp和时戳证书TP。
②接受者利用委托人的公钥PKA,验证授权证书的合法性。利用认证中心的公钥,验证时戳证书TP的合法性。若验证不通过,则说明该数据电文无效。
③接受者根据授权证书Cp以及时戳证书TP,检查代理人是否有权签署该电子文书,即是否在限定的签名范围、限定的授权时效、限制的最大签名次数内进行的授权电子签名行为。若检查不通过,则说明该数据电文无效。
④接受者从授权电子签名S中析出委托参数Qp。
⑤接受者根据所约定的杂凑摘要算法,计算杂凑摘要值Hp=Hash(CP,Qp)。
⑥接受者根据授权电子签名S,以及委托人的公钥PKA和代理人的公钥PKB,计算授权电子签名公钥
⑦接受者按照约定的普通电子签名方法,验证由代理人代表委托人签署的数据电文的合法性,即函数Ver(S′,PKp,M)是否为真。若值为真,则该授权电子签名是合法的;反之,则该授权电子签名是不合法的。
本发明与之前的各种电子签名方法相比,本方法能够实现对电子签名权力进行安全可靠的委托授权。委托人能够严格地控制包括限制代理人行使签名的范围、设定委托授权的时效、限制最大签名次数等在内的委托授权电子签名行为。本方法不仅符合《电子签名法》所规定对电子签名的完整性、抗抵赖、抗伪造等关于电子签名合法性的基本要求,而且具备很强的不可伪造性、很好的识别性和很强的不可否认性等优秀性质以及防止代理人滥用代理权力的能力。
此外,本方法还具备较高的执行效率,易于管理,能够抵抗各种已知的攻击方法,安全性很高,能确保数据电文的真实性、安全性、可靠性和合法性,可以广泛应用于计算机、通信网络、智能卡、手机等各种软硬件环境,以及电子商务系统、电子政务系统、信息安全系统、网络通信系统等各个领域。
附图说明
附图为本发明的可控授权电子签名的流程图。
具体实施方式
下面结合实施例对本发明作进一步的描述,但该实施例不应理解为对本发明的限制。
系统参数的确定:选定一个1024比特位的大素数p,以及一个小于p的正整数g作为系统的生成元。其中,
p=90263322638969161970869742926721592962852572876235477183189752231195515533726904774806425078297159311040039025083724608201473900514798177649413646622847127140417251504188523770133414476670262136197211023159073004450926935634808641348120991607495697378686487079903542524301817273543299305270754191090084623071
g=17678187918937189425425129762265348404304624186638463475929096597991555069648770683672843412379273268176113845487788768161966012911937393135864623398161
设委托人的私钥为SKA,代理人的私钥为SKB,两者均为小于p-1的随机正整数,则委托人的公钥为 代理人的公钥为
系统约定使用SHA-256算法作为约定的杂凑摘要算法,DSA算法作为普通电子签名算法,并按发明内容中的其它步骤进行操作,即可完成授权电子签名的流程。
很明显,本发明并不局限于上述实施例,而是可以在不脱离发明范围和思想的情况下进行变化和修改。
本说明书未作详细描述的内容,属于本领域技术人员公知的现有技术。
Claims (2)
1、一种安全可靠的受控授权电子签名方法,其具体步骤是:
第一步骤:确定系统参数,系统参数的确定方法是:随机选定大素数p,系统生成元g为一个小于p的正整数,当委托人的私钥为SKA,代理人的私钥为SKB,两者均为小于p-1的随机正整数,则委托人的公钥为 代理人的公钥为
第二步骤:委托人进行委托授权,其过程是:
①委托人生成用于限制代理人的签名权限的授权文书Ap,其中包括约定的认证中心、有关代理人身份说明的电子证书、委托授权的有效期限、代理人代表委托人行使电子签名权力的权限范围、代理人代表委托人行使电子签名权力的最大签名次数;
②委托人利用自己的私钥SKA,对限制代理人的签名权限的授权文书Ap进行普通电子签名,得到用于限制代理人的签名权限的授权证书Cp;
③委托人将授权证书Cp发送给认证中心CA;
④认证中心CA在认证了所收到的授权证书合法性的基础上,根据授权证书在内部数据库中设定代理人代表委托人行使电子签名权力的最大签名次数;
⑤委托人随机选取一个小于p-1的正整数k,计算委托参数Qp=gkmodp;
⑥委托人根据约定的杂凑摘要算法,计算杂凑摘要值Hp=Hash(Cp,Qp);
⑦委托人根据自己的私钥SKA,计算授权参数Sp=Hp×SKA+k;
⑧委托人根据委托参数和授权参数,生成委托授权信息Mp=(Sp,Qp);
⑨委托人将授权证书Cp和委托授权信息Mp作为委托请求(Cp,MP),发送给代理人;
第三步骤:代理人验证委托请求;
第四步骤:代理人行使电子签名权力,其过程是:
①代理人根据所收到的授权参数Sp,计算授权电子签名私钥SKp=Sp+SKB;
②代理人利用所生成的授权电子签名私钥SKp和所收到的委托授权信息Mp,按照约定的普通电子签名方法,对需要签署的电子文书M进行普通电子签名,可得普通签名S′=Sig(SKp,M,Mp),则授权电子签名为S=(S′,Qp);
③代理人生成请求认证文书,其中包括:代理人的身份信息、第②步中所得到的授权电子签名S以及请求对所签署的电子签名进行公证的认证消息;
④代理人利用自己的私钥SKB签署请求认证文书,得到请求认证电文;
⑤代理人将请求认证电文发送给认证中心CA,请求认证;
⑥认证中心CA在收到代理人提交的请求认证电文后,确认该电文的完整性和真实性,当有错误,则拒绝提供认证服务,并要求代理人重新发送;当认证通过,进行下一步操作;
⑦认证中心CA在内部数据库中搜索由委托人设定的最大签名次数,以及代理人已经代表委托人行使电子签名权力的签名次数,如果在委托授权的最大签名次数的范围内,则根据收到请求认证电文的时间,对所收到的请求认证电文中的授权电子签名签发时戳证书TP,同时修改内部数据库中的签名次数信息;否则,将拒绝提供认证服务,并终止操作;
⑧认证中心CA将所签署的时戳证书TP返还给代理人;
⑨代理人在收到由认证中心签署的时戳证书TP之后,将该时戳证书附在消息之后,作为其代表委托人对电子文书所签署的授权电子签名的时间证明,与电子文书M、授权电子签名S、授权证书Cp一起,形成数据电文(M,S,CP,TP);
第五步骤:接受者验证所收到的数据电文;其过程是:
①接受者从所收到的数据电文中析出电子文书M、授权电子签名S、授权证书Cp和时戳证书TP;
②接受者利用委托人的公钥PKA,验证授权证书的合法性,利用认证中心的公钥,验证时戳证书TP的合法性,当验证不通过,则说明该数据电文无效;
③接受者根据授权证书Cp以及时戳证书TP,检查代理人是否有权签署该电子文书,即是否在限定的签名范围、限定的授权时效、限制的最大签名次数内进行的授权电子签名行为;当检查不通过,则说明该数据电文无效;
④接受者从授权电子签名S中析出委托参数Qp;
⑤接受者根据所约定的杂凑摘要算法,计算杂凑摘要值Hp=Hash(CP,Qp);
⑥接受者根据授权电子签名S,以及委托人的公钥PKA和代理人的公钥PKB,计算授权电子签名公钥
⑦接受者按照约定的普通电子签名方法,验证由代理人代表委托人签署的数据电文的合法性,即函数Ver(S′,PKp,M)是否为真,当值为真,则该授权电子签名是合法的;反之,则该授权电子签名是不合法的。
2、如权利要求1所述的安全可靠的受控授权电子签名方法,其特征在于:第三步骤代理人验证委托请求的过程是:
①代理人从委托请求中析出授权证书Cp,利用委托人的公钥PKA,验证授权证书的合法性;当授权证书Cp是有效的,则进行下一步;否则若授权证书Cp是无效的,则要求委托人重新发送委托请求,或者直接拒绝该委托请求;
②代理人从授权证书Cp中析出授权文书Ap,并根据授权文书Ap的内容,决定是否接受委托人的委托请求,如果接受委托人的委托请求,则进行下一步;
③代理人从委托请求中析出委托授权信息Mp;
④代理人从委托授权信息Mp中析出委托参数Qp和授权参数Sp;
⑤代理人根据约定的杂凑摘要算法,计算杂凑摘要值Hp=Hash(CP,Qp);
⑥代理人验证等式 是否成立,若等式不成立,则说明该委托授权信息无效,应要求委托人重新发送委托请求;若等式成立,则说明该委托授权信息是有效的,予以接受,并根据授权范围代表委托人行使电子签名权力。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005100192159A CN100571122C (zh) | 2005-08-03 | 2005-08-03 | 一种安全可靠的受控授权电子签名方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005100192159A CN100571122C (zh) | 2005-08-03 | 2005-08-03 | 一种安全可靠的受控授权电子签名方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1719765A CN1719765A (zh) | 2006-01-11 |
CN100571122C true CN100571122C (zh) | 2009-12-16 |
Family
ID=35931498
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2005100192159A Expired - Fee Related CN100571122C (zh) | 2005-08-03 | 2005-08-03 | 一种安全可靠的受控授权电子签名方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100571122C (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101118578B (zh) * | 2006-08-04 | 2011-04-13 | 华为技术有限公司 | 设备与许可服务器交互的方法和系统 |
CN101267308B (zh) * | 2008-04-24 | 2010-08-11 | 上海交通大学 | 具有门限追踪性的民主群签名方法 |
CN101262344B (zh) * | 2008-04-25 | 2011-11-16 | 武汉理工大学 | 一种高效快捷的授权电子签名方法 |
CN101895533A (zh) * | 2010-07-05 | 2010-11-24 | 浙江汇信科技有限公司 | 统一身份认证系统中针对应用权限的委托授权的方法 |
CN101969440B (zh) * | 2010-10-28 | 2013-06-19 | 四川长虹电器股份有限公司 | 软件证书生成方法 |
EP2587715B1 (en) * | 2011-09-20 | 2017-01-04 | BlackBerry Limited | Assisted certificate enrollment |
CN108282336A (zh) * | 2017-01-06 | 2018-07-13 | 北京京东尚科信息技术有限公司 | 设备签名验证方法及装置 |
CN109104396B (zh) * | 2017-06-21 | 2021-03-16 | 上海钜真金融信息服务有限公司 | 一种基于代理签名的区块链代理授权方法、介质 |
CN110781471A (zh) * | 2019-11-09 | 2020-02-11 | 厦门中软海晟信息技术有限公司 | 一种用于系统用户委托他人进行安全协助的方法 |
CN114726552B (zh) * | 2022-06-07 | 2022-10-11 | 杭州天谷信息科技有限公司 | 一种数字签名权转移方法和系统 |
-
2005
- 2005-08-03 CN CNB2005100192159A patent/CN100571122C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CN1719765A (zh) | 2006-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100571122C (zh) | 一种安全可靠的受控授权电子签名方法 | |
CN100592684C (zh) | 一种无需认证中心的高效授权电子签名方法 | |
US20200304316A1 (en) | Implicitly Certified Digital Signatures | |
CN103259662B (zh) | 一种新的基于整数分解问题的代理签名及验证方法 | |
EP2533457B1 (en) | Secure implicit certificate chaining | |
CN102983971B (zh) | 网络环境中进行用户身份认证的无证书签名方法 | |
WO2003007121A2 (en) | Method and system for determining confidence in a digital transaction | |
CN101931536B (zh) | 一种无需认证中心的高效数据加密及认证方法 | |
CN105376064B (zh) | 一种匿名消息认证系统及其消息签名方法 | |
CN101136748A (zh) | 一种身份认证方法及系统 | |
CN1193538C (zh) | 电子密码形成与核验方法 | |
CN113824564A (zh) | 一种基于区块链的线上签约方法及系统 | |
CN103347018A (zh) | 一种基于智能卡的多服务环境下远程身份认证方法 | |
CN107332665A (zh) | 一种格上基于身份的部分盲签名方法 | |
CN115238294A (zh) | 基于混币协议数字人民币交易隐私保护方法、系统及装置 | |
CN100437611C (zh) | 一种基于椭圆曲线的可控授权电子签名方法 | |
KR960042410A (ko) | 인증교환 방법과 복원형 전자서명 방법 및 부가형 전자서명 방법 | |
CN109766716A (zh) | 一种基于可信计算的匿名双向认证方法 | |
CN101262344B (zh) | 一种高效快捷的授权电子签名方法 | |
Gollmann | E-commerce security | |
CN105376050B (zh) | 数字证书签名方法 | |
CN101420304B (zh) | 基于离散对数对电子文档数字签名的安全保护方法 | |
CN114638009A (zh) | 一种适用于公钥密码技术和支持商用密码算法的电子签章系统 | |
CN107612696B (zh) | 一种量子可否认协议中两种协议单向归约的方法 | |
CN103354500A (zh) | 一种在标准模型下的可净化代理签名方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091216 Termination date: 20120803 |