CN102419809A - 一种安全高效的电子文档原本性通用证明方法 - Google Patents
一种安全高效的电子文档原本性通用证明方法 Download PDFInfo
- Publication number
- CN102419809A CN102419809A CN2011103343781A CN201110334378A CN102419809A CN 102419809 A CN102419809 A CN 102419809A CN 2011103343781 A CN2011103343781 A CN 2011103343781A CN 201110334378 A CN201110334378 A CN 201110334378A CN 102419809 A CN102419809 A CN 102419809A
- Authority
- CN
- China
- Prior art keywords
- hash
- cryptographic hash
- electronic document
- certificate
- super
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种安全高效的电子文档原本性通用证明方法,本证明方法的基础是建立由服务端和客户端构成的证明服务系统,用户通过客户端进行注册和登录后即可进行电子文档证明服务,其具体证明过程为:登记:用户通过客户端向服务端提交电子文档哈希值a;服务端生成电子文档登记证明书并发送至客户端;验证:服务端通过计算不同层次的哈希值与原始登记的哈希值进行比对,得出文件是否修改的结论并发给客户端;系统可靠性验证:生成并返回监管验证结果证明书给监管机构。本发明证明结论可信度高,证明方法采用的服务系统自身的可靠性也可以通过一定的方法得以证明,确保了证明结论的权威性。
Description
技术领域
本发明涉及计算机学科、信息安全学科中的数据安全领域,特别涉及一种计算机取证、电子文本取证常常面对的电子数据文档原本性证明方法,即证明电子文档是否存在篡改。本方法具有通用性,适合所有行业的电子数据文档。
背景技术
随着中国信息化进程的推进,电子政务、电子商务、电子医务、电子法务等电子事务不断发展,与此相应,电子数据文档作为证据越来越多地进入诉讼程序。由于电子数据文档极易篡改且不留痕迹,因此,为了满足最佳证据规则的要求,不仅需要对电子数据文档进行妥善保管,还需要证明某一电子数据文档在某一时间点确已存在,且自该时间点起没有篡改,以保证电子数据文档具有原本性(或称原件价值,下同),从而为权利保护和纠纷解决提供可靠的证据。
使用单向Hash函数生成电子数据的数字摘要信息后存储下来,通过重新生成待检验数据的数字摘要信息(也称数字指纹或哈希值),再与所存储的信息进行比较可以检查待验证数据是否发生变化,从而实现数据完整性检验——如果数字摘要信息不完全相同,则数据已发生变化。上述数字摘要信息是具有固定长度的Hash数据。数字摘要信息的实际长度取决于完整性检验中采用的单向Hash函数,该长度和Hash函数本身的安全性一起对数据原始性、真实性,即信息安全领域的数据完整性检验的安全性产生影响。通常为方便描述,将Hash函数生成的一份Hash数据称为一个Hash数据或一个Hash。在关心原数据是否具有完整性时,通过重新生成Hash数据并进行比较,来验证数据的完整性。数据原始性、真实性成立或完整性检验方法成立的条件是数字摘要信息由可信赖的一方持有,或可通过其他手段证明其可靠性。因为如果之前保存的数字摘要信息本身不可靠,那么即使通过比较两者不完全相同,也难以确认需要证明的电子文本是否完整或被篡改。
在上述条件成立的情况下,妥当利用Hash函数即可以对电子数据的完整性进行检验,且可信度非常高。如再融入时间戳技术即可证明某一电子数据文档在某一时间点确已存在,且自该时间点起没有篡改。
除了上述Hash函数外,目前与电子数据文档原本性证明有关的技术主要有美国的两个专利,一是“安全数据文档的时间戳方法”(美国专利号:No.5136647,1992年8月4日颁发),该专利包括与数字时间戳有关的技术和算法。二是“数据文书内容证明系统”(美国专利号:No.5781629 ,1998年7月14日颁发)。利用该专利可以对各个文档做一种简短且独一无二的命名。运用上述专利所涉技术在限定条件下可以证明某一电子数据文档在某一时间点确已存在,且自该时间点起没有篡改。
国内目前相关技术只有北京联合信任技术服务有限公司提供的可信时间戳服务,但该项服务采用的相关技术方案没有实现数据原始性、真实性成立或完整性检验方法成立的条件,即提供该项服务的系统本身的可信性无法得到证明。这也正是现有技术瓶颈所在,如果证明系统自身(数据的保存方)的可靠性不能得到有效保证或证明,那么得出的证明结论其可信度就值得商榷。
发明内容
针对现有技术存在的上述不足,本发明的目的是提供一种证明结论可信度高的电子文档原本性通用证明方法,本证明方法采用的服务系统自身的可靠性也可以通过一定的方法得以证明,确保了证明结论的权威性。
本发明的技术方案是这样实现的:
一种安全高效的电子文档原本性通用证明方法,本证明方法的基础是建立由服务端和客户端构成的证明服务系统,用户通过客户端进行注册和登录后即可进行电子文档证明服务,其具体证明过程为:
(1)---登记
1.1:用户通过客户端向服务端提交电子文档哈希值a;
1.2:服务端将该电子文档哈希值a和接收到的其他哈希值采用树结构一起进行哈希聚集,生成若干根哈希,哈希聚集时加入当前时间标签,每个根哈希生成时获取不同的树序列号;
1.3:构建时序哈希链,将上步所得若干根哈希、当前时间片T的时间以及前一时间片的超级哈希值SHV(T-1)一起计算当前时间片超级哈希值SHV(T),并在当前时间片满足事先设定的哈希公开条件时公开当前时间片超级哈希值SHV(T);
1.4:该超级哈希值SHV(T)和所述电子文档哈希值a一起存储于服务端中;
1.5:服务端生成带有时间标签的电子文档登记证明书并发送至客户端,电子文档登记证明书上的信息包括所述电子文档哈希值a、其他哈希值、根哈希和前一时间片的超级哈希值SHV(T-1);
(2)---验证
2.1:用户通过客户端向服务端提交验证请求并提交电子文档登记证明书和重新计算的电子文档哈希值a’;
2.2:服务端比较电子文档登记证明书记载的电子文档哈希值a和重新计算的电子文档哈希值a’,如果两者不相同,表明电子文档已经篡改,转步骤2.6;否则,进行下一步;
2.3:依据相关时间标签,服务端查找系统中存储的电子文档哈希值,系统存储的相关哈希值与证明书中存储的对应哈希值进行比对,结果不一致表明电子文档已经篡改,转步骤2.6;否则进行下一步;
2.4:重构局部哈希树,在每个层次快速地进行一次哈希计算,重新生成根哈希,并与系统存储的原根哈希进行比对,结果不一致表明电子文档已经篡改,转步骤2.6;否则进行下一步;
2.5:从证明书所标记的时刻之前公开的时间片超级哈希值SHV(T1)对应的时间片开始重构包括该局部哈希树所在时间范围内的时序哈希链,直到下一个需要公开哈希的时间片,计算得到超级哈希值SHV(Tn),与系统之前所公开的对应的超级哈希值进行比对,结果不一致表明电子文档已经篡改,否则表明电子文档没有篡改;
2.6:生成包含电子文档是否被篡改结论的验证结果证明书并发送至客户端,验证结果证明书附加服务机构的可靠电子签名及可视化电子公章。
进一步地,本证明方法还包括对证明服务系统自身运行可靠性进行验证的过程,该过程由监管机构进行验证,系统可靠性验证过程为:
3.1:验证标志R=TRUE,根据监管机构的要求,如监管依据为用户验证请求,转下一步3.2,如监管要求为验证指定时间范围哈希可靠性,转3.9;
3.2:证明书无电子戳直接转3.3;调用数字签名及验证模块进行解密,显示相关哈希值,对相关哈希值进行比对并展示过程;结果不一致则转3.7;
3.3:依据相关时间标签,查找系统中存储的电子文档哈希值,显示相关哈希值,系统存储的相关哈希与证书中存储的对应哈希进行比对并展示过程,结果不一致则转3.7;
3.4:重构局部哈希树,将相关哈希值一起进行哈希聚集,生成根哈希,显示相关哈希值,并与原根哈希进行比对并展示过程,结果不一致则,R=FALSE,转3.10;
3.5:从证明书所标记的时刻之前公开的时间片超级哈希值SHV(T1)开始重构包括该局部哈希树所在时间范围内的时序哈希链,显示全部相关哈希值,直到下一个需要公开哈希的时间片,计算得到超级哈希值SHV(Tn),与所公开的超级哈希值进行比对并展示过程,结果不一致则,R=FALSE,转3.10;
3.6:生成验证结果证明书,结论为自某一时刻起某用户的相关文档内容无任何变化,具有原本性,验证证明书附加服务机构的可靠电子签名及可视化电子公章,转3.8;
3.7:生成验证结果证明书,结论为某用户的相关文档内容无法证明其原本性,证明书附加服务机构的可靠电子签名及可视化电子公章,转3.8;
3.8:返回验证结果证明书给监管机构(用户);
3.9:将指定的时间范围延长到之后的已公开哈希的时间片,重构全部局部哈希树,重构所在时间范围内的时序哈希链,重构过程中显示全部相关哈希值,计算得到超级哈希值SHV,与所公开的超级哈希值进行比对并展示过程,结果不一致则R=FALSE;
3.10:如R==TRUE,则系统可靠性无可置疑,如R==FALSE,则系统安全存储或计算环境存在错误,生成并返回监管验证结果证明书给监管机构。
用户通过客户端向服务端发送数据或者服务端向客户端发送数据时进行加密处理,接收信息时再进行解密处理,确保信息传输的安全可靠。
在步骤1.3计算当前时间片超级哈希值SHV(T)时将权威媒体上具有不可预测性的最新公开信息融入作为输入数据之一计算当前时间片超级哈希值SHV(T)。
本发明利用基于密码学Hash函数的安全性原理,综合利用多种信息安全技术,构建安全可靠、高效率的电子数据原始性、真实性电子证明服务系统,利用本方法可提供可扩展、多级别的证明证书,满足不同类别的用户的不同应用需求;本发明能高效地实现并提供服务,使用多路Hash树技术实现电子数据快速验证,提供并行处理能力以适应较大规模应用需求和云计算等新兴计算模式;利用本发明的方法提供多种手段验证系统运行时的可靠性、接受监管机构、用户以及公众的监督。
本发明可按照监管机构的要求或依据应用的需求来设定时间片长度大小,可依据应用实现及运行服务的需要设定并行处理的程度。
本方法不仅能够证明某一份电子文档自登记到验证这段时间是否有篡改,并且通过特别的技术设计确保证明结论可信性相当高,因为有验证需要的客户其登记证书上不光记载了自己的哈希值,同时也记载了其他(伙伴)哈希值、根哈希和前一时间片的超级哈希值SHV(T-1),就算篡改了自己的电子文档,但要一起篡改其它哈希值是非常困难的,即作假难度大。另外与自己哈希值相关的当前时间片的超级哈希值SHV(T)在后面的客户登记证书上有体现,如果篡改自己的电子文档,会引起重新计算的超级哈希值SHV(T)与后面客户登记证书上记载的超级哈希值SHV(T)不相同,而要修改后面客户登记证书上记载的超级哈希值SHV(T)更加困难,因为通常不知道后面的客户是谁。一旦结论为电子文档没有被篡改,即说明自提交电子文档哈希值于证明服务系统保存时起该电子文档确实存在,之后内容也没有被篡改,从而确保电子文档的原件价值。
由于上述证明过程主要是由服务系统自身完成的,为了使服务系统自身对外具有高的可靠性,以免因为自身原因使人对证明结论产生怀疑,本发明利用外部监督机制还实现了对系统本身的可信性进行验证,验证时通过监管机构的监管和公布期间哈希总值的方式,使这种验证的可信性也非常高。
附图说明
图1为本发明所涉及系统的系统架构图。
图2为本发明所涉及系统的功能模块图。
图3为本发明整体流程图。
图4为本发明登记服务模块流程图。
图5为本发明验证服务模块流程图。
图6为本发明所述方法的多路哈希树与时序哈希链结构示意图。
图7为本发明所述方法的哈希聚集并行处理原理图。
图8为本发明监管模块流程图。
具体实施方式
本发明通过提供电子数据文档哈希值登记服务和验证服务来证明某用户提交的电子数据文档的原本性,一旦原本性成立,即说明自某一时刻起该文档确实存在,之后内容没有被篡改。同时,通过提供监管服务可以证明系统运行的安全性和可靠性。本证明方法的基础是建立由服务器和若干客户端构成的证明服务系统,用户通过各自的客户端进行注册和登录后即可进行相关证明服务。
(1)登记服务。根据电子数据文档原件计算哈希值,将哈希值发送至证明服务器,接受证明服务器返还的电子数据文档登记证明书,将原始电子数据文档和其证明书一同保管。登记是后续验证的基础,通过登记服务可以确定电子数据文档原件存在的时刻,赋予电子数据文档原件安全身份标识号码;(2)验证服务。根据电子数据文档原件再次计算哈希值,提交该哈希值及电子数据文档登记证明书到证明服务器,依据可靠存储的相关数据进行比对并重构得到公开的、公众可查阅并验证的超级哈希值,表明相关数据的真实性、可靠性。最终生成带有电子戳的验证结果证明书。通过验证程序可以证明某电子数据文档原件是否被篡改、提交用户以及存在时刻。(3)监管服务。根据监管机构提出的监管要求,以用户的身份或特殊监管员身份提出验证请求,生成验证结果的证明书,附加服务机构的可靠电子签名及可视化电子公章。通过提供监管服务可以证明系统运行的安全性和可靠性。
本发明涉及用户、服务商、监管机构以及公众四个方面的主体。服务商向用户提供电子数据文档证明服务,接受监管机构的监督,公众通过权威媒体上的正常权威信息及服务商公布的超级哈希等来间接监督服务商并对服务的可靠性进行判断。服务系统包括安装有客户软件或程序库的客户端C、服务端A(证明服务器系统、云平台、集群系统等)以及实现客户端C与服务端A信息交互的可靠通信信道N。可靠通信信道N根据业务的需要可以是普通互联网应用连接、加密的互联网应用连接、基于专门建立的VPN通道或者专用连接。整体系统架构如图1所示,根据该图可以理解本发明提供服务的整体。
为了安全、高效地实现本证明服务,系统提供如下功能模块,见图2,根据该图可以从功能的角度理解服务系统。
用户管理模块U,用于实现用户信息的登记、注册,约定用户身份认证方法及其必要的附属信息,以及其他实现服务的管理功能,主要包括用户注册、用户更新、用户服务协议管理、用户身份认证等子模块,根据不同类别用户及特殊需求提供个性化用户服务;
电子数据文档登记模块B,接收用户提交的电子数据或哈希值,安全存储相关数据,和其他哈希值一起进行哈希聚集,融入具有不可预测性的公开信息,并和前期哈希值共同构建时序哈希链,并安全存储,依据用户服务协议,加入时间标签,生成普通的或带电子戳的电子数据文档登记证明书,主要包括安全存储、哈希聚集、时序哈希链构建、证明书生成等子模块;
电子数据文档验证模块V,根据用户提交的验证请求、哈希值、证明书,对具有电子签名的证明书先调用数字签名及验证模块进行解密,对相关哈希值进行比对;进一步与系统中存储的电子数据文档哈希值进行比对,重构局部哈希树,并重构某一时间范围内的时序哈希链,与所公开的超级哈希值进行比对,生成验证结论证明书,必要时附加服务机构的可靠电子签名;主要包括快速查找、局部哈希树重构、时序哈希链重构、验证结论证明书生成等子模块;
监管机构管理模块M,根据监管机构提出的监管要求,以用户的身份或特殊监管员身份提出验证请求,调用验证服务模块V并加以可视化,或者重构某一时间范围内的时序哈希链,最后都与所公开的超级哈希值进行比对,生成验证结果的证明书,附加服务机构的可靠电子签名及可视化电子公章; 主要包括时序哈希链重构、时序哈希链重构可视化、哈希数据比对可视化等子模块;
加解密及通信模块E,从应用服务的层次对发送数据进行加密,进行数据发送和接收,并在接收到数据后进行解密,实现客户端和服务端之间信息的保密交换,确保用户使用电子数据文档证明服务的过程不被非法监视,主要包括数据加密模块、数据解密模块、数据发送模块、数据接收模块;
证书签名及验证模块D,对证书相关信息哈希值实现签名,即使用服务商私钥进行加密,用服务商公钥对证书中加密哈希值进行解密并调用哈希函数将相关信息生成哈希值进行比对,主要包括证书签名、签名解密等子模块;
其他模块主要有哈希函数运算、监管报告、权威媒体信息获取与发布模块。
本证明过程整体流程如图3所示,系统实现包括以下步骤:
S1:用户注册,提交相关证明材料,填写相关用户资料,协商双方服务约定,由用户管理模块实现;用户可在必要时更新注册资料;如用户已注册也可直接进入S2;
S2:依据服务约定,用户使用通用的互联网应用设施,或者从服务端下载并安装客户端系统(专用软件或系列管理软件)或插入业务系统的服务中间件(下文除专门说明需要外,均将用户操作交互系统或工具统称为客户端),客户端与服务端由可靠通信信道N连接实现可靠信息交换,如已准备好客户端,可直接进入S3;
S3:用户登录,服务端确认用户身份,监管用户转S6;
S4:使用电子数据文档证明服务登记服务,如用户需要暂停服务转S7,否则重复S4;
S5:使用电子数据文档证明服务验证服务,如用户需要暂停服务转S7,否则重复S5;
S6:使用电子数据文档证明服务监管服务;
S7:退出服务。
其中步骤S2中客户端部署的功能模块包括:
用户管理模块Uc,实现部分用户管理信息录入、用户身份认证信息获取或录入;
电子数据文档登记服务模块Bc,调用单向哈希函数生成电子数据哈希值,发送电子数据文档哈希值,必要时存储电子数据文档登记证明书;
电子数据文档验证服务模块Vc,提交用户的验证请求相关信息,获得验证结论证明书等;
监管机构管理模块Mc,只部署到监管机构的相关管理系统,发送监管要求与验证请求,获得监管验证结果证明书等;
加解密及通信模块Ec,从应用服务的层次对发送数据进行加密,进行数据发送和接收,并在接收到数据后进行解密,实现客户端与服务端之间信息的保密交换,确保用户使用电子数据文档证明服务的过程不被非法监视,主要包括数据加密模块、数据解密模块、数据发送模块、数据接收模块;以及哈希函数运算模块。
其中步骤S2中服务端A部署的功能模块有:
用户管理模块Ua,用于实现用户信息的登记、注册,约定用户身份认证方法及其必要的附属信息,以及其他实现服务的管理功能,主要包括用户注册、用户更新、用户服务协议管理、用户身份认证等子模块,根据不同类别用户及特殊需求提供个性化用户服务;
电子数据文档登记服务模块Ba,接收用户提交的电子数据文档哈希值,安全存储相关数据,和其他哈希值一起进行哈希聚集,融入具有不可预测性的公开信息,并和前期哈希值共同构建时序哈希链,并安全存储,依据用户服务协议,加入时间标签,生成普通的或带电子戳的电子数据文档登记证明书,主要包括安全存储、哈希聚集、时序哈希链构建、证明书生成等子模块;其中安全存储模块,安全地存储用户电子数据文档,分时段存储所有相关哈希值,采取数据安全措施保证存储系统可靠性备份,证书签名,验证模块;
电子数据文档验证服务模块Va,根据用户提交的验证请求相关信息,对具有电子签名的证明书先调用数字签名及验证模块进行解密,对相关哈希值进行比对;进一步与系统中存储的电子数据文档哈希值进行比对,重构局部哈希树,并重构某一时间范围内的时序哈希链,与所公开的超级哈希值进行比对,生成验证结论证明书,附加服务机构的可靠电子签名及可视化电子公章;主要包括快速查找、哈希聚集、时序哈希链重构、验证结论证明书生成等子模块;
监管机构管理模块Ma,根据监管机构提出的监管要求,以用户的身份或特殊监管员身份提出验证请求,调用电子数据文档验证服务模块V并加以可视化,或者重构某一时间范围内的时序哈希链,最后都与所公开的超级哈希值进行比对,生成验证结果的证明书,附加服务机构的可靠电子签名及可视化电子公章; 主要包括时序哈希链重构、时序哈希链重构可视化、哈希数据比对可视化等子模块;
加解密及通信模块Ea,从应用服务的层次对发送数据进行加密,进行数据发送和接收,并在接收到数据后进行解密,实现客户端和服务端之间信息的保密交换,确保用户使用电子数据文档证明服务的过程不被非法监视,主要包括数据加密模块、数据解密模块、数据发送模块、数据接收模块;
证书签名及验证模块Da,对证书相关信息哈希值实现签名,即使用服务商私钥进行加密,用服务商公钥对证书中加密哈希值进行解密并调用哈希函数将相关信息生成哈希值进行比对,主要包括证书签名、签名解密等子模块;
其他模块主要有哈希函数运算、监管报告、权威媒体信息获取与发布模块。
步骤S4中登记服务如图4所示,主要包括如下步骤:
S41:用户通过客户端提交电子数据文档哈希值;
S42:在服务端安全存储相关数据;
S43:服务端将该客户哈希值和接收到的其他哈希值一起进行哈希聚集,加入当前时间标签及树序列号,生成根哈希;依据业务需求系统实现时采用并行处理,可在当前时间片生成多个根哈希,每个根哈希生成时获取了不同的树序列号;
S44:构建时序哈希链,将S43所得若干根哈希、当前时间片T的时间以及前一时间片的超级哈希值SHV(T-1)一起计算当前时间片超级哈希值SHV(T),如当前时间片满足事先设定的约束条件,将权威媒体上具有不可预测性的最新公开信息融入作为输入数据之一计算SHV(T);
S45:如当前时间片满足事先设定的哈希公开条件,则公开当前时间片超级哈希值SHV(T);
S46:将生成的所有Hash、当前时间标签、树序列号、使用过的媒体信息等内容以及步骤S42中的相关数据一起安全存储;
S47:依据用户服务协议,加入时间标签,生成普通的或带电子戳的电子数据文档登记证明书;
S48:返回文档登记证明书给客户端(用户)。
步骤S5中验证服务如图5所示,主要包括如下步骤:
S51:用户通过客户端提交提交验证请求、电子数据文档哈希值、证明书,如证明书无电子戳直接转S53;
S52:调用数字签名及验证模块进行解密,对相关哈希值进行比对;(带电子戳的证明书有服务商的电子签名),结果不一致则转S57;
S53:依据相关时间标签,查找系统中存储的电子文档哈希值,系统存储的相关哈希与证书中存储的对应哈希进行比对,结果不一致则转S57;
S54:重构局部哈希树,在每个层次进行一次哈希计算,重新生成根哈希,并与系统存储的原根哈希进行比对,结果不一致则转S57;
S55:参考步骤S44的方法,从证明书所标记的时刻之前公开的时间片超级哈希值SHV(T1)开始重构包括该局部哈希树所在时间范围内的时序哈希链,直到下一个需要公开哈希的时间片,计算得到超级哈希值SHV(Tn),与所公开的超级哈希值进行比对,结果不一致则转S57;
S56:生成验证结果证明书,结论为自某一时刻起某用户的相关文档内容无任何变化,具有原本性,验证证明书附加服务机构的可靠电子签名及可视化电子公章,转S58;
S57:生成验证结果证明书,结论为某用户的相关文档内容无法证明其原本性,证明书附加服务机构的可靠电子签名及可视化电子公章,转S58;
S58:返回验证结果证明书给客户端(用户)。
步骤S6和步骤S5方法类似,特别支持验证过程的可视化,如图8所示,主要包括如下步骤:
S61:验证标志R=TRUE,根据监管机构的要求,如监管依据为用户验证请求,参考用户验证请求转下一步S62,如监管要求为验证指定时间范围哈希可靠性,转S69;
S62:证明书无电子戳直接转S63;调用数字签名及验证模块进行解密,显示相关哈希值,对相关哈希值进行比对并展示过程;(带电子戳的证明书有服务商的电子签名),结果不一致则转S67;
S63:依据相关时间标签,查找系统中存储的电子文档哈希值,显示相关哈希值,系统存储的相关哈希与证书中存储的对应哈希进行比对并展示过程,结果不一致则转S67;
S64:重构局部哈希树,将相关哈希值一起进行哈希聚集,生成根哈希,显示相关哈希值,并与原根哈希进行比对并展示过程,结果不一致则,R=FALSE,转S6A;
S65:从证明书所标记的时刻之前公开的时间片超级哈希值SHV(T1)开始重构包括该局部哈希树所在时间范围内的时序哈希链,显示全部相关哈希值,直到下一个需要公开哈希的时间片,计算得到超级哈希值SHV(Tn),与所公开的超级哈希值进行比对并展示过程,结果不一致则,R=FALSE,转S6A;
S66:生成验证结果证明书,结论为自某一时刻起某用户的相关文档内容无任何变化,具有原本性,验证证明书附加服务机构的可靠电子签名及可视化电子公章,转S68;
S67:生成验证结果证明书,结论为某用户的相关文档内容无法证明其原本性,证明书附加服务机构的可靠电子签名及可视化电子公章,转S68;
S68:返回验证结果证明书给监管机构(用户);
S69:将指定的时间范围延长到之后的已公开哈希的时间片,重构所在时间范围内的全部哈希树,重构时序哈希链,重构过程中显示全部相关哈希值,计算得到超级哈希值SHV,与所公开的超级哈希值进行比对并展示过程,结果不一致则R=FALSE;
S6A:如R==TRUE,则系统可靠性无可置疑,如R==FALSE,则系统安全存储或计算环境存在错误。返回监管验证结果证明书给监管机构。
步骤S43中时间标签及树序列号说明:利用时间服务器时间,根据应用所需要的时间精度,获取当前时间作为相关哈希的日期与时间标签,在哈希聚集前获得表明哈希树次序的序列号,以确定根哈希值在时序哈希链中的位置。其中时间服务器定期用公开的可靠的时间服务进行校对,保证时间的准确性,定期将某时刻获得的时间服务信息与时间服务器信息进行固定。
步骤S43中哈希聚集、步骤S69中重构哈希树,其处理方法及过程如图6所示,其中并行处理原理如图7所示,可在不同哈希树之间的任务级并行生成根哈希,也可在哈希树内部聚集时每个层次的不同子树间哈希计算时并行。
步骤S47中普通的电子数据文档登记证明书主要条目有:文档名称(可选)、文档提交用户(可选)、文档登记日期与时间标签、文档安全身份标识号,文档哈希值及构建根哈希的若干连锁哈希值、证明书简要说明(可选)。
步骤S47中带电子戳的电子数据文档登记证明书主要条目有:文档名称(可选)、文档提交用户(可选)、文档登记日期与时间标签、文档安全身份标识号,文档哈希值及构建根哈希的若干连锁哈希值、证明书简要说明(可选)、证书签发者(服务商)基本信息以及证书签发者对前述所有信息进行的电子签名。
本发明的上述实施例仅仅是为说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其他不同形式的变化和变动。这里无法对所有的实施方式予以穷举。凡是属于本发明的技术方案所引申出的显而易见的变化或变动仍处于本发明的保护范围之列。
Claims (4)
1. 一种安全高效的电子文档原本性通用证明方法,本证明方法的基础是建立由服务端和客户端构成的证明服务系统,用户通过客户端进行注册和登录后即可进行电子文档证明服务,其特征在于:具体证明过程为:
(1)---登记
1.1:用户通过客户端向服务端提交电子文档哈希值a;
1.2:服务端将该电子文档哈希值a和接收到的其他哈希值采用树结构一起进行哈希聚集,生成若干根哈希,哈希聚集时加入当前时间标签,每个根哈希生成时获取不同的树序列号;
1.3:构建时序哈希链,将上步所得若干根哈希、当前时间片T的时间以及前一时间片的超级哈希值SHV(T-1)一起计算当前时间片超级哈希值SHV(T),并在当前时间片满足事先设定的哈希公开条件时公开当前时间片超级哈希值SHV(T);
1.4:该超级哈希值SHV(T)和所述电子文档哈希值a一起存储于服务端中;
1.5:服务端生成带有时间标签的电子文档登记证明书并发送至客户端,电子文档登记证明书上的信息包括所述电子文档哈希值a、其他哈希值、根哈希和前一时间片的超级哈希值SHV(T-1);
(2)---验证
2.1:用户通过客户端向服务端提交验证请求并提交电子文档登记证明书和重新计算的电子文档哈希值a’;
2.2:服务端比较电子文档登记证明书记载的电子文档哈希值a和重新计算的电子文档哈希值a’,如果两者不相同,表明电子文档已经篡改,转步骤2.6;否则,进行下一步;
2.3:依据相关时间标签,服务端查找系统中存储的电子文档哈希值,系统存储的相关哈希值与证明书中存储的对应哈希值进行比对,结果不一致表明电子文档已经篡改,转步骤2.6;否则进行下一步;
2.4:重构局部哈希树,在每个层次快速地进行一次哈希计算,重新生成根哈希,并与系统存储的原根哈希进行比对,结果不一致表明电子文档已经篡改,转步骤2.6;否则进行下一步;
2.5:从证明书所标记的时刻之前公开的时间片超级哈希值SHV(T1)对应的时间片开始重构包括该局部哈希树所在时间范围内的时序哈希链,直到下一个需要公开哈希的时间片,计算得到超级哈希值SHV(Tn),与系统之前所公开的对应的超级哈希值进行比对,结果不一致表明电子文档已经篡改,否则表明电子文档没有篡改;
2.6:生成包含电子文档是否被篡改结论的验证结果证明书并发送至客户端,验证结果证明书附加服务机构的可靠电子签名及可视化电子公章。
2.根据权利要求1所述的电子文档原本性通用证明方法,其特征在于:本证明方法还包括对证明服务系统自身运行可靠性进行验证的过程,该过程由监管机构进行验证,系统可靠性验证过程为:
3.1:验证标志R=TRUE,根据监管机构的要求,如监管依据为用户验证请求,转下一步3.2,如监管要求为验证指定时间范围哈希可靠性,转3.9;
3.2:证明书无电子戳直接转3.3;调用数字签名及验证模块进行解密,显示相关哈希值,对相关哈希值进行比对并展示过程;结果不一致则转3.7;
3.3:依据相关时间标签,查找系统中存储的电子文档哈希值,显示相关哈希值,系统存储的相关哈希与证书中存储的对应哈希进行比对并展示过程,结果不一致则转3.7;
3.4:重构局部哈希树,将相关哈希值一起进行哈希聚集,生成根哈希,显示相关哈希值,并与原根哈希进行比对并展示过程,结果不一致则,R=FALSE,转3.10;
3.5:从证明书所标记的时刻之前公开的时间片超级哈希值SHV(T1)开始重构包括该局部哈希树所在时间范围内的时序哈希链,显示全部相关哈希值,直到下一个需要公开哈希的时间片,计算得到超级哈希值SHV(Tn),与所公开的超级哈希值进行比对并展示过程,结果不一致则,R=FALSE,转3.10;
3.6:生成验证结果证明书,结论为自某一时刻起某用户的相关文档内容无任何变化,具有原本性,验证证明书附加服务机构的可靠电子签名及可视化电子公章,转3.8;
3.7:生成验证结果证明书,结论为某用户的相关文档内容无法证明其原本性,证明书附加服务机构的可靠电子签名及可视化电子公章,转3.8;
3.8:返回验证结果证明书给监管机构;
3.9:将指定的时间范围延长到之后的已公开哈希的时间片,重构全部局部哈希树,重构所在时间范围内的时序哈希链,重构过程中显示全部相关哈希值,计算得到超级哈希值SHV,与所公开的超级哈希值进行比对并展示过程,结果不一致则R=FALSE;
3.10:如R==TRUE,则系统可靠性无可置疑,如R==FALSE,则系统安全存储或计算环境存在错误,生成并返回监管验证结果证明书给监管机构。
3.根据权利要求1或2所述的电子文档原本性通用证明方法,其特征在于:用户通过客户端向服务端发送数据或者服务端向客户端发送数据时进行加密处理,接收信息时再进行解密处理。
4.根据权利要求3所述的电子文档原本性通用证明方法,其特征在于:在步骤1.3计算当前时间片超级哈希值SHV(T)时将权威媒体上具有不可预测性的最新公开信息融入作为输入数据之一计算当前时间片超级哈希值SHV(T)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110334378.1A CN102419809B (zh) | 2011-10-29 | 2011-10-29 | 一种安全高效的电子文档原本性通用证明方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110334378.1A CN102419809B (zh) | 2011-10-29 | 2011-10-29 | 一种安全高效的电子文档原本性通用证明方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102419809A true CN102419809A (zh) | 2012-04-18 |
| CN102419809B CN102419809B (zh) | 2014-07-16 |
Family
ID=45944215
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110334378.1A Expired - Fee Related CN102419809B (zh) | 2011-10-29 | 2011-10-29 | 一种安全高效的电子文档原本性通用证明方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102419809B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916971A (zh) * | 2012-10-31 | 2013-02-06 | 重庆君盾科技有限公司 | 一种电子数据固化系统及方法 |
| CN103514410A (zh) * | 2013-09-30 | 2014-01-15 | 上海市数字证书认证中心有限公司 | 电子合同的可信保全与证据提取系统及方法 |
| CN105187218A (zh) * | 2015-09-30 | 2015-12-23 | 谈建 | 一种多核心基础设施的数字化记录签名、验证方法 |
| CN105790954A (zh) * | 2016-03-02 | 2016-07-20 | 布比(北京)网络技术有限公司 | 一种构建电子证据的方法和系统 |
| CN106934623A (zh) * | 2016-12-07 | 2017-07-07 | 中国银联股份有限公司 | 基于以太坊区块链技术的帐户完整性检查方法 |
| CN107005847A (zh) * | 2014-09-25 | 2017-08-01 | 英特尔公司 | 用于增强隐私和安全性的位置和邻近度信标技术 |
| CN110019278A (zh) * | 2019-01-31 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 一种数据验证方法、装置及设备 |
| CN110059084A (zh) * | 2019-01-31 | 2019-07-26 | 阿里巴巴集团控股有限公司 | 一种数据存储方法、装置及设备 |
| CN111723398A (zh) * | 2020-05-29 | 2020-09-29 | 北京立思辰新技术有限公司 | 一种保护隐私的电子凭据验证的方法和系统 |
| CN112003704A (zh) * | 2020-07-31 | 2020-11-27 | 中科扶云(杭州)科技有限公司 | 电子证据的处理方法、装置和计算机设备 |
| CN113282908A (zh) * | 2020-02-19 | 2021-08-20 | 网联科技股份有限公司 | 合法性验证方法 |
| CN116702225A (zh) * | 2023-06-08 | 2023-09-05 | 重庆傲雄在线信息技术有限公司 | 基于哈希并行计算快速验证电子档案文件的方法、系统、设备及介质 |
| CN117499160A (zh) * | 2023-12-29 | 2024-02-02 | 同略科技有限公司 | 一种基于电子档案的网络安全防护方法及系统 |
| CN117692152A (zh) * | 2024-02-04 | 2024-03-12 | 杭州天谷信息科技有限公司 | 一种基于签名验证网络的签名方法、验签方法及出证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1174642A (zh) * | 1994-10-28 | 1998-02-25 | 保证技术股份有限公司 | 提供对文档鉴别和唯一识别证明的数字文件鉴别系统 |
| CN101459661A (zh) * | 2007-12-14 | 2009-06-17 | 鸿富锦精密工业(深圳)有限公司 | 电子文档保护系统及方法 |
| US20090307756A1 (en) * | 2006-08-10 | 2009-12-10 | Korea Institute For Electronic Commerce | System of Electronic Document Repository which Guarantees Authenticity of the Electronic Document and Issues Certificates and Method of Registering, Reading, Issuing, Transferring, A Certificate Issuing Performed in the System |
| CN102223374A (zh) * | 2011-06-22 | 2011-10-19 | 熊志海 | 一种基于电子证据在线保全的第三方认证保全系统及方法 |
-
2011
- 2011-10-29 CN CN201110334378.1A patent/CN102419809B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1174642A (zh) * | 1994-10-28 | 1998-02-25 | 保证技术股份有限公司 | 提供对文档鉴别和唯一识别证明的数字文件鉴别系统 |
| US20090307756A1 (en) * | 2006-08-10 | 2009-12-10 | Korea Institute For Electronic Commerce | System of Electronic Document Repository which Guarantees Authenticity of the Electronic Document and Issues Certificates and Method of Registering, Reading, Issuing, Transferring, A Certificate Issuing Performed in the System |
| CN101459661A (zh) * | 2007-12-14 | 2009-06-17 | 鸿富锦精密工业(深圳)有限公司 | 电子文档保护系统及方法 |
| CN102223374A (zh) * | 2011-06-22 | 2011-10-19 | 熊志海 | 一种基于电子证据在线保全的第三方认证保全系统及方法 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916971A (zh) * | 2012-10-31 | 2013-02-06 | 重庆君盾科技有限公司 | 一种电子数据固化系统及方法 |
| CN102916971B (zh) * | 2012-10-31 | 2015-04-01 | 重庆君盾科技有限公司 | 一种电子数据固化系统及方法 |
| CN103514410A (zh) * | 2013-09-30 | 2014-01-15 | 上海市数字证书认证中心有限公司 | 电子合同的可信保全与证据提取系统及方法 |
| CN103514410B (zh) * | 2013-09-30 | 2017-01-18 | 上海市数字证书认证中心有限公司 | 电子合同的可信保全与证据提取系统及方法 |
| CN107005847A (zh) * | 2014-09-25 | 2017-08-01 | 英特尔公司 | 用于增强隐私和安全性的位置和邻近度信标技术 |
| CN105187218A (zh) * | 2015-09-30 | 2015-12-23 | 谈建 | 一种多核心基础设施的数字化记录签名、验证方法 |
| CN105187218B (zh) * | 2015-09-30 | 2018-11-23 | 谈建 | 一种多核心基础设施的数字化记录签名、验证方法 |
| CN105790954A (zh) * | 2016-03-02 | 2016-07-20 | 布比(北京)网络技术有限公司 | 一种构建电子证据的方法和系统 |
| CN105790954B (zh) * | 2016-03-02 | 2019-04-09 | 布比(北京)网络技术有限公司 | 一种构建电子证据的方法和系统 |
| CN106934623A (zh) * | 2016-12-07 | 2017-07-07 | 中国银联股份有限公司 | 基于以太坊区块链技术的帐户完整性检查方法 |
| CN110019278A (zh) * | 2019-01-31 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 一种数据验证方法、装置及设备 |
| CN110059084A (zh) * | 2019-01-31 | 2019-07-26 | 阿里巴巴集团控股有限公司 | 一种数据存储方法、装置及设备 |
| CN110019278B (zh) * | 2019-01-31 | 2023-07-28 | 创新先进技术有限公司 | 一种数据验证方法、装置及设备 |
| CN110059084B (zh) * | 2019-01-31 | 2023-08-01 | 创新先进技术有限公司 | 一种数据存储方法、装置及设备 |
| CN113282908A (zh) * | 2020-02-19 | 2021-08-20 | 网联科技股份有限公司 | 合法性验证方法 |
| CN111723398A (zh) * | 2020-05-29 | 2020-09-29 | 北京立思辰新技术有限公司 | 一种保护隐私的电子凭据验证的方法和系统 |
| CN112003704A (zh) * | 2020-07-31 | 2020-11-27 | 中科扶云(杭州)科技有限公司 | 电子证据的处理方法、装置和计算机设备 |
| CN116702225A (zh) * | 2023-06-08 | 2023-09-05 | 重庆傲雄在线信息技术有限公司 | 基于哈希并行计算快速验证电子档案文件的方法、系统、设备及介质 |
| CN117499160A (zh) * | 2023-12-29 | 2024-02-02 | 同略科技有限公司 | 一种基于电子档案的网络安全防护方法及系统 |
| CN117499160B (zh) * | 2023-12-29 | 2024-04-09 | 同略科技有限公司 | 一种基于电子档案的网络安全防护方法及系统 |
| CN117692152A (zh) * | 2024-02-04 | 2024-03-12 | 杭州天谷信息科技有限公司 | 一种基于签名验证网络的签名方法、验签方法及出证方法 |
| CN117692152B (zh) * | 2024-02-04 | 2024-05-31 | 杭州天谷信息科技有限公司 | 一种基于签名验证网络的签名方法、验签方法及出证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102419809B (zh) | 2014-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102419809B (zh) | 一种安全高效的电子文档原本性通用证明方法 | |
| US11799668B2 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
| CN108737394B (zh) | 离线验证系统、扫码设备和服务器 | |
| CN108650082B (zh) | 待验证信息的加密和验证方法、相关装置及存储介质 | |
| CN107171794B (zh) | 一种基于区块链和智能合约的电子文书签署方法 | |
| CN109325331B (zh) | 基于区块链和可信计算平台的大数据采集交易系统 | |
| Wei et al. | Security and privacy for storage and computation in cloud computing | |
| CN107742212B (zh) | 基于区块链的资产验证方法、装置及系统 | |
| CN111211909B (zh) | 一种基于零知识证明的分布式认证方法 | |
| WO2018145127A1 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
| US20140237565A1 (en) | Method and system for generation of dynamic password | |
| CN104394172B (zh) | 单点登录装置和方法 | |
| CN106936566A (zh) | 一种基于区块链技术的可外包的文书签署方法 | |
| CN102722931A (zh) | 基于智能移动通讯设备的投票系统及其方法 | |
| CN102916971A (zh) | 一种电子数据固化系统及方法 | |
| CN110677376A (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| Qureshi et al. | SeVEP: Secure and verifiable electronic polling system | |
| CN106790045A (zh) | 一种基于云环境分布式虚拟机代理架构及数据完整性保障方法 | |
| CN116433425A (zh) | 一种基于联盟链的立案方法及相关设备 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN108833431A (zh) | 一种密码重置的方法、装置、设备及存储介质 | |
| CN105119719B (zh) | 一种安全存储系统的密钥管理方法 | |
| CN110543526B (zh) | 一种基于区块链的优化储存方法及系统 | |
| US20170171185A1 (en) | Server-assisted authentication | |
| CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160127 Address after: Shenyang, Liaoning Province, Yuhong District, good fortune Town, good fortune village Patentee after: SHENYANG YUANMENG TECHNOLOGY CO., LTD. Address before: 400015, 12 floor, universal building, 9 Temple Road, Yuzhong District, Chongqing Patentee before: Chongqing Jundun Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20171018 Address after: 126 -1, 110000, Xijiang North Street, Yuhong District, Liaoning, Shenyang Patentee after: Shenyang King farmers Technology Co., Ltd. Address before: Shenyang Town, Yuhong District, fortune town Patentee before: SHENYANG YUANMENG TECHNOLOGY CO., LTD. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140716 Termination date: 20181029 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |