CN108229188B - 一种用标识密钥签署文件及验证方法 - Google Patents
一种用标识密钥签署文件及验证方法 Download PDFInfo
- Publication number
- CN108229188B CN108229188B CN201711471521.5A CN201711471521A CN108229188B CN 108229188 B CN108229188 B CN 108229188B CN 201711471521 A CN201711471521 A CN 201711471521A CN 108229188 B CN108229188 B CN 108229188B
- Authority
- CN
- China
- Prior art keywords
- signing
- identification
- data
- file
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种用标识密钥签署文件及验证方法,以表征身份特征的标识数据经“标识密码算法”运算生成非对称标识公私密钥对,将其中做公钥的标识密码数据转换成可视标识图形用于签署文件,并将其注册、分发至签署端和验证端;本发明利用标识密码对文件进行加解密,保证了文件在传送过程中的安全,利用标识密码数据转换成的可视化图形签署文件保证了文件在签署过程中的安全,在传送和验证过程中不依赖第三方的安全保障,签署时生成电子证据用来验证防伪,不用勘验原文的验证算法保护了用户的秘密,用标识密钥数据加解密、标识密钥图形签署文件达到了电子文件的安全性,同时达到了签署图形与传统书面文件签署(印章或指纹)的法律内涵和文化内涵。
Description
技术领域
本发明属于电子信息技术防伪的技术领域,涉及到电子政务和电子商务用标识密钥签署电子文件的信息安全的应用技术,具体是一种用标识密钥签署文件及验证方法。
背景技术
目前,为满足电子政务和电子商务的需求,采用纸件扫描、电子印章签署和数字证书签名等技术来获得的电子版签署文件。
1、纸件扫描:采用扫描签署了印章的纸质文件获得的电子版本签署文件是使用最多、较为简单的方法。存在问题:文件被转换为图形格式后失去文档格式文件“字符搜索”基本功能,这种“电子版”可以“PS”造假生成或修改,而且不太容易辨识真伪。另外,如果要获得签署文件的那一页,需要扫描整个文件,当文件很长、很大时,扫描工作过程十分繁琐,速度慢,文件种类很多时非常费力。尽管扫描法存在这么多的问题,但是目前在电子政务、电子商务中还在大量的使用这种方法,究其原因,是因为没有简单实用的替代技术所致。
2、软件电子印章签署:用户电脑上安装一个印章生成软件自行操作生成印章图形,将其贴附在文件上将其作为文件的一部分,然后对印章和文件实施规则约束,实现电子文件的印章签署。存在问题:①、用户自己生成印章没有唯一性,不能进行注册登记和网络验证以及监管;②、只能在有约定的范围或系统内部使用;③、使用和依赖加密技术,对不能加密的明文文件的签署文件没有相应的安全措施;④、存在用户可以抵赖否认其签章行为漏洞。
3、PKI(Public Key Infrastructure公钥基础设施)及数字签名技术技术:PKI核心的数字证书里含有一对RSA非对称的密码,称为公钥和私钥,用其中一个密码加密,唯有另一个密码可解密。在PKI中公钥是公开的,在认证机构CA的网络服务器上反映用户身份的信息,能够用来加、解密文件和验证身份。私钥用来进行“签名”和加、解密。对文件进行签名操作要:首先对电子文件进行哈希 (hash)运算,获得文件的摘要(就是哈希值、摘要、唯一值或指纹信息) ,然后用私钥对摘要进行非对称算法加密就是所谓的签名,利用公钥对签名文件进行非对称算法解密就是所谓的验名或验签,这是目前数字签名实用化的应用和操作方式。上述这些原理、操作过程对电子政务、电子商务和非专业的人员来说其内容、方法是难以理解和掌握的,甚至于那些名词对非专业人士都显得晦涩难懂,根本谈不上灵活应用了。因为数字签名技术存在种种应用困难的问题,所以世界各国(含中国《电子签名法》)及联合国电子签名法中都有“约定使用或不使用”“不得强制使用”相关条款。
4、PKI数字签名平台:由于PKI数字签名技术在非专业领域的应用存在技术上使用困难的问题,导致了全世界范围内数字签名技术未能广泛地普及应用,但电子政务、电子商务中对电子签署文件存在有广泛、迫切的需求,由此就出现了数字签名平台为那些非专业人士提供文件的签名和加密服务。存在的问题是:替代用户签署电子文件的平台,需将用户数字证书放置平台存在平台签署权合法性质疑和签署权滥用的问题;用户若将文件上传平台存在用户信息曝露问题。
PKI数字签名的推广专业的电子通讯、金融、军事以及政府部门有内部需求及市场,有内部的CA解决问题。各省所建的公共CA是配合应用程序(APP) 解决那些非专业的部门和人员不会使用的问题、以推广自己的数字证书。当然,也存在少数部门强制、不遵守“约定使用或不使用”规定,违犯《中华人民共和国签名法》的行为。
5、CPK(Combined Public Key)标识密钥算法CPK是基于组合的公钥体制的新技术,将密钥生产和密钥管理结合起来,能够实现数字签名和密钥交换,可以满足超大规模信息网络与非信息网络(包括物联)中的标识鉴别、实体鉴别、数据保密需求。
6、IBC(Identity-BasedCryptosystem)标识密码算法是基于身份的公钥密码系统,IBC系统中身份即公钥,身份即证书。因此,IBC系统的公钥几乎不需要任何关于公钥的管理和认证,IBC中公钥无需另行生产,而直接由用户ID充当,例如:
RSA算法的公钥:
13506641086599522734960321627980596993892147560566702752448514
3851526510604859543833940287150571909451798207282164471531373
68049703964191743046496589274256239341020864383202110372958725
7623565096431105640735015091875106235946292055636855294752135
1595287916377328533906109750544334219811150056977236890927563
IBC算法的公钥:
Zhangsan13343353335@email .com
张三.电话13343353335
如上述IBC算法公钥,不存在公钥管理和认证的问题,亦不存在PKI通信每次都需经CA做身份验证的麻烦。IBC对系统成本和运行环境要求不高,相比之下更具有灵活性。IBC的特点就是能够发送加密信息给没有数字证书的接收方。这样一来,如果需要,企业可以与客户和合作伙伴进行安全通信。通过在智能卡、UKey上部署IBC,开发人员能够开发更安全、更适用、更具性价比的在线和离线企业通讯应用软件。这一技术适用的领域包括电子政府、电子和移动商务、安全文档的无线管理、访问控制、个人认证令牌等。
标识密码(CPK、IBC)系统与传统公钥密码(PKI/CA)一样,每个用户有一对相关联的公钥和私钥。标识密码系统中,将用户的身份标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥,通过数学方式生成与之对应的用户私钥。用户标识就是该用户的公钥,不需要额外生成和存储,只需通过某种方式公开发布,私钥则由用户秘密保存。
无论是PKI(RSA)证书密钥算法或者是CPK或IBC标识密码算法,对文件进行签名操作要:首先对电子文件进行哈希(hash)运算,获得文件的摘要(就是哈希值、摘要、唯一值或指纹信息) ,然后用私钥对摘要进行非对称算法加密就是所谓的签名,利用公钥对签名文件进行非对称算法解密就是所谓的验名或验签和传统印章签署是两个不同概念,数字签名加、解密“签名、验签”不同于传统概念将印章图形签署(加盖)在文件上操作,其形式和内容、方法均不一样,除了在视觉和心理上感觉效果不同外,数字签名失去了印章签署的文件中所包含的法律内涵和文化内涵。另外,现实中大多数文件是明文,电子明文安全签署后可通过网络直接发布。而依赖加解密的数字签名须将明文加密成密文,只适合密文应用领域。
发明内容
针对目前电子文件的签署技术,其安全性依赖第三方的PKI非对称公钥平台和CA,但CA只对公钥内涵的用户身份进行验证,无法实现对签署文件的原始性验证的问题,本发明提供了一种用标识密钥签署文件及验证方法,采用标识密钥算法中的标识密钥数据转换成的图形来签署文件,利用了标识密钥算法将用户的身份标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥的优点。将标识数据既做密钥对电子文件实施加解密运算,又以其标识数据(转换的图形)对电子文件实施安全签署,成为无第三方的电子文件安全签署、安全发送及可追溯的实用系统。
为达到上述目的,本发明采用以下技术方案予以实现:
一种用标识密钥签署文件及验证方法,以表征身份特征的标识数据经“标识密码算法”运算生成非对称标识公私密钥对,将其中做公钥的标识密码数据转换成可视标识图形用于签署文件,并将其注册、分发至签署端和验证端;
签署端和验证端由“证书密码算法”运算分别取得非对称随机数公私密钥对,将各自的公钥隐匿在对方,构成密钥交互内置的非公钥端对端数据安全通道;
验证端还包含不用勘验原文就能够验证签署文件的原始性、签署时间和签署者,且发出验证查询文件。
本发明进一步的改进在于:
签署端和验证端进行签署和验证的具体方法如下:
签署:签署端利用实时时间,对自存的可视标识图形进行时控随机数据异化扰动运算,可视标识图形被加载了非显而易见的、随机化的数据,经唯一性算法运算生成签署标识证据,再对签署了标识图形的文件进行唯一性运算生成原始文件证据,并将实时时间的参数、签署标识证据参数和文件证据参数组合为签署电子证据数据包经数据安全通道发送至验证端;
验证:验证端利用电子证据数据包中的实时时间参数,对自存的可视标识图形进行时控随机数据异化扰动运算,可视标识图形被加载了非显而易见的、随机化数据,再经唯一性算法运算生成验证标识证据;验证端以签署标识证据和验证标识证据的比对结果相同与否验证和判定签署时间、签署者标识和内涵信息的正确性,生成文件的证据验证结果查询文件,反馈给签署端;
查询:对签署了标识图形的文件进行唯一性运算生成文件的查询文件,发送至验证端,验证端进行原始文件的证据和查询文件证据的比对运算,并将其结果反馈给查询方。
时控随机数据异化扰动运算的方法如下:
在签署端和验证端设置相同的随机函数数据源,数据源地址按时间单位转换而成,由随机函数发生器生成随机函数并分配到数据源的每个时间单位地址;将某个时间点转化成地址就能够在对应时间点地址获得随机函数;用这个随机函数进行异化扰动运算,使其发生量值改变,实现数据异化扰动。
签署端和验证端的随机函数数据源具有同步动态化更新功能:
在预设间隔的时间点,对随机函数数据源的数据进行数学、逻辑运算,使随机函数数据源的数据发生变化;
在预设间隔的时间点,对随机函数数据源的地址进行重新排列、逻辑移位的运算,使随机函数数据源的地址发生变化。
对可视标识图形像素文件进行时控随机数据异化扰动算法的运算,致使其图形的像素元、色度、亮度、对比度其一或组合发生变化;限定异化扰动强度或比率使得变化后的图形与原图形在涵义和视觉上不易辨识其差异,实现可视标识图形非显而易见的异化扰动。
将标识公钥数据转换成可视图形且直读的方法是:在数据/图形转换器的载体上将标识公钥数据加载其上,生成直读的明文形式的标识图形文件,用于直接签署文件;
将标识公钥数据转换成可视图形且再读的方法是:由数据码转换器将标识公钥数据以及与标识公钥数据关联的身份信息转换成可读数据码图形用于签署文件;数据码图形经再读转换获得标识数据和标识数据关联的身份信息。
用于签署文件的标识公钥数据:具有与身份属性信息关联且能够以文字、字母、数字、图形、图像形式展示的可视标识的字符、字母或文字数据;以及可转换的包含身份属性特征的标识图形或图像数据:符号图形、形状图形、电子数据码、生物特征值的图形、图像数据的其一或组合;
用于加密文件的标识公钥数据:具有与身份属性信息关联的通讯信息、以及那些在公共场合能够被人知晓的公开数据和信息,包含:名称、电子邮箱、电话号码、ID/IP地址的其一或组合;还有能够进行数据加密功能的、且能够在公开场合披露其密码属性的数据。
数据传送安全通道是:利用“非对称密码算法”生成密钥对,签署端和验证端各有一对,将签署端的其中一个作为验证端加密密钥和验证端解密密钥分发到验证端保存,将验证端的其中一个作为签署端加密密钥和签署端解密密钥分发到签署端保存。
设置了先进先出且定长的电子证据数据库:
在签署端:签署时生成至少包含了签署时间参数,签署标识证据、签署文件证据组成的签署电子证据,用验证端的加密密钥加密存入签署端的电子证据数据库;
在验证端:将签署端传来的签署电子证据用签署端的加密密钥加密存入验证端的签署电子证据数据库;验证时生成至少包含了签署时间参数,验证标识证据组成的验证电子证据,验证运算后,连同验证结果和签署文件证据用验证端的加密密钥加密存入验证端的验证电子证据数据库。
不用勘验原文的验证算法如下:
签署端将标识图形签署在文件上,把签署时产生的电子证据经安全通道传送至验证端,验证端仅依其证据比对算法不用勘验原文就能够对签署时间、签署者标识和内涵信息、以及签署的文件做原始性验证且发出验证结果和查询信息。
与现有技术相比,本发明具有以下有益效果:
本发明利用标识密码对文件进行加解密,保证了文件在传送过程中的安全,利用标识密码数据转换成的可视化图形签署文件保证了文件在签署过程中的安全,在传送和验证过程中不依赖第三方的安全保障,签署时生成电子证据用来验证防伪,不用勘验原文的验证算法保护了用户的秘密,用标识密钥数据加解密、标识密钥图形签署文件达到了电子文件的安全性,同时达到了签署图形与传统书面文件签署(印章或指纹)的法律内涵和文化内涵。
附图说明
图1以标识签署文件、验证、标识密钥加解密、签署文件的网络验证过程示意图。
具体实施方式
下面结合附图对本发明做进一步详细描述:
因为签署标识是固定的,所以可以进行注册。注册时将签署标识固化到签署器中,并将签署标识传送到验证服务器上,保证了身份、签署图形具有了唯一性、合法性及可验证性。每次签署时对标识图形进行的“像素扰动一次一密”图形保护算法,能够有效识别签署标识图形是否是伪造、复制或重复利用的。签署图形电子证据的验真结果也确认了与之绑定的签署的文件电子证据认证。起到了签署标识和签署文件均可防伪造、防篡改、防抵赖的效果。
结合实施例对本发明的技术方法做进一步的分析:
以表征身份特征的标识数据经“标识密码算法”运算生成非对称标识公私密钥对,将其中做公钥的标识密码数据转换成可视标识图形用于签署文件,并将其注册、分发至签署端和验证端:
所述的标识密钥算法,采用了国际IBC密码算法,实施例中还采用了国家密码管理局颁布的SM9密码算法(已列入国际标准)。
SM9算法不需要申请数字证书,适用于互联网应用的各种新兴应用的安全保障。如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全等等。这些安全应用可采用手机号码或邮件地址作为公钥,实现数据加密、身份认证、通话加密、通道加密等安全应用,并具有使用方便,易于部署的特点。
签署端和验证端由“证书密码算法”运算分别取得非对称随机数公私密钥对,将各自的公钥隐匿在对方,构成密钥交互内置的非公钥端对端数据安全通道:
所述的“证书密码算法”,采用了国际RSA非对称密码算法,实施例中还采用了国家密码管理局颁布的SM2密码算法(已列入国际标准)。将各自的公钥隐匿在对方,是实施例中在注册的密钥生成环节将密钥分发到签署端和验证端。
每次签署时,签署端在签署操作的那个时刻,对自存的可视化标识图形进行时控随机数据异化扰动运算,可视化标识图形被加载了非显而易见的、随机化数据,再经唯一性算法运算生成签署标识证据;
每次验证时,验证端在签署操作的那个时刻,对自存的可视化标识图形进行时控随机数据异化扰动运算,可视化标识图形被加载了非显而易见的、随机化数据,再经唯一性算法运算生成验证标识证据;
验证端以签署标识证据和验证标识证据的比对结果相同与否验证和判定标识数据的原始性,并给出结果。
本发明的技术方案中非对称密码是“交互内置隐藏”的,而且还是将一对密钥中的一个隐藏在通讯的对方一侧,且不对任何第三方公开,和现行的公钥加密算法不同,因为没有公开密钥,所以不存在密码“失密”“破解”之忧。因此,具有很长的“生命周期”。
验证端还包含不用勘验原文就能够验证签署文件的原始性、签署时间和签署者,且发出验证查询文件。
验证端在实施例中是一个具有文件签署验证、签署证据存储、追溯、生成验证查询文件等功能的网络服务器。具备了勘验和不勘验原文两种模式适应不同用户和不同签署文件的应用,即对文件进行了安全地验证,又对非公开的签署内容作了秘密(包含商业机密、个人隐私)的安全性的保护,有效地克服了PKI数字签名平台须将签署文件上传平台的弊端。
签署端将签署文件与验证查询文件做绑定,根据文件属性选择以非密明文、标识密钥密文、证书密钥密文的其一或组合方式做传递。
签署和验证过程及方法:
签署:签署端利用实时时间,对自存的可视标识图形进行时控随机数据异化扰动运算,可视标识图形被加载了非显而易见的、随机化的数据,经唯一性算法运算生成签署标识证据,再对签署了标识图形的文件进行唯一性运算生成原始文件证据,并将实时时间的参数、签署标识证据参数和文件证据参数组合为签署电子证据数据包经数据安全通道发送至验证端;
签署过程的唯一性运算,就是哈希(Hash)函数(单向散列函数、杂凑函数) 运算,实施例采用了国家密码管理局颁布的SM3密码杂凑算法,所述的可视标识图形进行时控随机数据异化扰动运算,目的在于使每次签署到文件上的标识图形有所不同,非显而易见的扰动则是为了不影响签署标识再用做加解密密钥时的可辨识性和准确性。
验证:验证端利用电子证据数据包中的实时时间参数,对自存的可视标识图形进行时控随机数据异化扰动运算,可视标识图形被加载了非显而易见的、随机化数据,再经唯一性算法运算生成验证标识证据;验证端以签署标识证据和验证标识证据的比对结果相同与否验证和判定签署时间、签署者标识和内涵信息的正确性,生成文件的证据验证结果查询文件,反馈给签署端;
签署端和验证端的验证数据对比结果若相同,验证了可视标识图形、签署时间、签署者的身份信息是正确的,同时验证了签署文件的原始性,也就是签署文件的哈希函数(单向散列函数、杂凑函数)并将这个哈希函数反馈给签署端。实施例中反馈的内容还包含了一个供查询主要参数及查询路径的验证查询文件。
查询:对签署了标识图形的文件进行唯一性运算生成文件的查询文件,发送至验证端,验证端进行原始文件的证据和查询文件证据的比对运算,并将其结果反馈给查询方。
所述的查询是收到签署文件和验证查询文件后进行的,实施例中有一个通过验证端网络下载的文件查询程序(查询APP) ,提供给查询者,程序中包含了对文件进行唯一性运算、网络认证等必要的算法以及对话界面,用户不需要了解加解密、认证、证据就可实施签署文件的真伪查询。
时控随机数据异化扰动算法是:在签署端和验证端设置相同的随机函数数据源,数据源地址按时间单位转换而成,由随机函数发生器生成随机函数并分配到数据源的每个时间单位地址;将某个时间点转化成地址就能够在对应时间点地址获得随机函数;用这个随机函数进行异化扰动运算,使其发生量值改变,实现数据异化扰动。
时控随机数据异化扰动算法是:在原始据上加载不同数据(扰动过程) ,数据每次都依据时间的变化获取的随机数不同,在签署端和验证端设置相同的随机函数数据源,数据源地址按时间单位转换而成,由随机函数发生器生成随机函数并分配到数据源的每个时间单位地址;将某个时间点转化成地址就能够在对应时间点地址获得随机函数;用这个随机函数与被异化扰动数据进行异化扰动运算使其发生量值改变,实现数据异化扰动,达到“一次一密”的效果,以防止图形被再次利用。
签署端和验证端的随机函数数据源具有同步动态化更新功能:
在预设间隔的时间点,对随机函数数据源的数据进行数学、逻辑运算,使随机函数数据源的数据发生变化;
在预设间隔的时间点,对随机函数数据源的地址进行重新排列、逻辑移位的运算,使随机函数数据源的地址发生变化。
签署端和验证端的随机函数数据源具有同步动态化更新功能:1)、在预设间隔的时间点,对随机函数数据源的数据进行数学、逻辑运算,使随机函数数据源的数据发生变化;2)、在预设间隔的时间点,对随机函数数据源的地址进行重新排列、逻辑移位的运算,使随机函数数据源的地址发生变化
同步动态化更新功能能够有效对抗伪基站:由于签署端随机数据源和验证端随机数据源具有自动同步更新使随机数据源数据动态变化的功能,伪基站制作者若能攻入验证网窃取数据,拷贝到静态的验证端随机函数数据源,如果预设的动态更新时间很短(例如秒或毫秒级别) ,在拷贝和向伪基站重置数据的过程耗费的时间中,签署端的随机函数数据源早已更新过很多次了。所以,伪基站置入的窃取的验证端随机函数数据源不能同步于签署端的随机函数数据源,有效地对抗了利用伪基站进行在电子文件签署工程中的伪造和欺诈活动。
对可视标识图形像素文件进行时控随机数据异化扰动算法的运算,致使其图形的像素元、色度、亮度、对比度其一或组合发生变化;限定异化扰动强度或比率使得变化后的图形与原图形在涵义和视觉上不易辨识其差异,实现可视标识图形非显而易见的异化扰动。
每次签署时对可视化标识图形像素文件进行时控随机数据异化扰动算法的运算,致使其图形的像素元、色度、亮度、对比度其一或组合发生变化,实现了图形的加密;限定异化扰动强度的比率使得变化后的图形与原图形在涵义和视觉上不易辨识其差异,实现可视化标识图形非显而易见的异化扰动,实现标识数据作公钥密码的公开告示。
将所述的标识公钥数据转换成可视图形且直读的方法是:在数据/图形转换器的载体上将标识公钥数据加载其上,生成直读的明文形式的标识图形文件,用于直接签署文件;
将公钥数据转换成可视图形且可直读的实施例是将一个具体单位的名称和电话号码利用数据/图形转换器转换为电子印章,用电子印章签署电子文件。
将所述的标识公钥数据转换成可视图形且再读的方法是:由数据/数据码转换器将标识公钥数据以及与标识公钥数据关联的身份信息转换成可读数据码图形用于签署文件;数据码图形经再读转换获得标识数据和标识数据关联的身份信息。
将所述的标识公钥数据转换成可视图形且再读的实施例是将一个具体单位的名称和电话号码利用数据/数据码转换器转换为条形码或二维码,用条形码或二维码签署电子文件。
用于签署文件的标识公钥数据:具有与身份属性信息关联且能够以文字、字母、数字、图形、图像形式展示的可视标识的字符、字母或文字数据;以及可转换的包含身份属性特征的标识图形或图像数据:符号图形、形状图形、电子数据码、生物特征值的图形、图像数据的其一或组合;
实施例中用于签署文件的标识数据:将身份信息、标识数据赋予的图形:电子印章、商标图形、广告图形、条形码和二维码、指纹等图形。
用于加密文件的标识公钥数据:具有与身份属性信息关联的通讯信息、以及那些在公共场合能够被人知晓的公开数据和信息,包含:名称、电子邮箱、电话号码、ID/IP地址的其一或组合;还有能够进行数据加密功能的、且能够在公开场合披露其密码属性的数据。
实施例中用于加密文件的标识公钥数据还包含了:由签署了标识图形的电子文件上获得的直读数据:电子签署(印章上的)文字或图形标识、商标图形、广告图形上附着的电话号码、和再读的数据码。
所述的数据传送安全通道是:利用“非对称密码算法”生成密钥对,签署端和验证端各有一对,将签署端的其中一个作为验证端加密密钥和验证端解密密钥分发到验证端保存,将验证端的其中一个作为签署端加密密钥和签署端解密密钥分发到签署端保存。
所述的“非对称密码算法”,采用了国际RSA非对称密码算法,实施例中还采用了国家密码管理局颁布的SM2密码算法(已列入国际标准)。签署端和验证端之间设置了“一对一”信息传送的安全通道:利用非对称密码算法生成密钥对,签署端和验证端各有一对,将签署端的其中一个作为验证端加密密钥和验证端解密密钥分发到验证端保存,将验证端的其中一个作为签署端加密密钥和签署端解密密钥分发到签署端保存,实现了公钥隐匿的安全密码存储方式,构成密钥交互内置的非公钥端对端数据安全通道。
签署端利用所存的验证端加密密钥加密信息发送至验证端,验证端用所存的解密密钥解密,获得信息;验证端利用所存的签署端加密密钥加密信息发送至签署端,签署端用所存的解密密钥解密,获得信息。
本发明设置了先进先出且定长的电子证据数据库:
在签署端:签署时生成至少包含了签署时间参数,签署标识证据、签署文件证据组成的签署电子证据,用验证端的加密密钥加密存入签署端的电子证据数据库;
在验证端:1)、将签署端传来的签署电子证据用签署端的加密密钥加密存入验证端的签署电子证据数据库;2)、验证时生成至少包含了签署时间参数,验证标识证据组成的验证电子证据,验证运算后,连同验证结果和签署文件证据用验证端的加密密钥加密存入验证端的验证电子证据数据库。
签署端和验证端还设置了禁改动的追溯电子证据数据库,存储每次实施签署验证操作产生的电子证据;签署端的电子证据数据库由验证端的加密密钥加密,验证端的电子证据数据库由签署端的加密密钥加密。
先进先出且定长的存储技术是用实时发生的数据对最新到既往一段时间或一段长度的数据库数据进行的移位刷新存储,保证利用有限的数据库容量记录最新的数据。
本发明不用勘验原文的验证算法:签署端将标识图形签署在文件上,把签署时产生的电子证据经安全通道传送至验证端,验证端仅依其证据比对算法不用勘验原文就能够对签署时间、签署者标识和内涵信息、以及签署的文件做原始性验证且发出验证结果和查询信息。
验证端设置了对签署文件的“盲验”功能:签署端经电子证据运算,生成由签署时刻的时间参数、一签一密的签署标识哈希函数、和签署文件的哈希函数组成的签署电子证据发送至验证端;验证端通过电子证据运算生成网络电子证据,经过对签署电子证据和网络电子证据进行的比对,不用勘验电子文件原文就能够确认签署文件的原始性与否,并发出验证查询结果信息。
实施例:用标识密钥签署文件及验证方法组成系统,系统是由标识密钥图形签署文件部分和及签署文件的验证部分、以及利用标识密钥发送和文件验证部分组成的互联网电子文件安全签署、发送系统;
(1)其中的标识密钥签署和签署验证部分,包含:
1)签署器:标识签署器盘、卡硬件及内含的标识图形加密算法、时控随机函数更新算法和电子证据数据存储程序;
2) 用户端:用户端操作电脑硬件及内含的标识密钥签署操作算法、签署电子证据生成、存储算法、与验证网络数据交换程序;
3)验证网:签署验证端网络服务器设备及内含的与用户端操作电脑数据交换的程序、网络电子证据生成存储算法、时控随机函数更新算法和电子证据数据存储程序、签署电子证据与网络电子证据的比对验证算法、验证查询信息生成、回传程序、验证查询程序;
4)注册端:注册端服务器设备及内含的签署人信息采集、签署图形的注册分发、标识密钥生成、分发的算法、证书密钥生成算法、签署器的监控、运行程序的输入、网络激活程序以及签署器的管理程序;
(2)标识密钥发送和文件验证部分,包含:
发送端服务器设备及内含的采用标识密钥发送加解密算法、采用证书密钥发送的加解密算法以及文件验证算法;
图1是:以标识签署文件、验证、标识密钥加解密、签署文件的网络验证过程示意图,系统的工作流程包括以下环节:利用标识密钥签署文件环节、签署文件的网络验证环节、利用标识密钥对签署文件安全发送环节、用户验证对签署文件的验证查询环节,在应用中采用部分或全部环节的组合构成不同实用系统。图中,1表示对文件签署标识图形;2表示将文件生成电子证据;3表示电子证据上传并验证;4表示电子证据网络存储;5表示验证端(网络)返回签署OK信息;6表示签署文件加密;7表示A:签署密文,用B的标识公钥加密的签署OK信息和对称密钥组成数字信封通过网络发送给B;8表示B的私钥解密数字信封;9表示对称密钥解密密文获得签署文件;10表示获得签署OK信息文件;11表示对签署文件进行证据运算;12表示将证据数据上传至验证端(网络) ;13表示验证网进行比对运算;14表示验证完毕文件反馈给验证者;15表示将签署OK信息文件和验证文件组合起来。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。
Claims (7)
1.一种用标识密钥签署文件及验证方法,其特征在于:以表征身份特征的标识数据经“标识密码算法”运算生成非对称标识公私密钥对,将其中做公钥的标识密码数据转换成可视标识图形用于签署文件,并将其注册、分发至签署端和验证端;
签署端和验证端由“证书密码算法”运算分别取得非对称随机数公私密钥对,将各自的公钥隐匿在对方,构成密钥交互内置的非公钥端对端数据安全通道;
签署端和验证端进行签署和验证的具体方法如下:
签署:签署端利用实时时间,对自存的可视标识图形进行时控随机数据异化扰动运算,可视标识图形被加载了非显而易见的、随机化的数据,经唯一性算法运算生成签署标识证据,再对签署了标识图形的文件进行唯一性运算生成原始文件证据,并将实时时间的参数、签署标识证据参数和文件证据参数组合为签署电子证据数据包经数据安全通道发送至验证端;
验证:验证端利用电子证据数据包中的实时时间参数,对自存的可视标识图形进行时控随机数据异化扰动运算,可视标识图形被加载了非显而易见的、随机化数据,再经唯一性算法运算生成验证标识证据;验证端以签署标识证据和验证标识证据的比对结果相同与否验证和判定签署时间、签署者标识和内涵信息的正确性,生成文件的证据验证结果查询文件,反馈给签署端;
查询:对签署了标识图形的文件进行唯一性运算生成文件的查询文件,发送至验证端,验证端进行原始文件的证据和查询文件证据的比对运算,并将其结果反馈给查询方;
时控随机数据异化扰动运算的方法如下:
在签署端和验证端设置相同的随机函数数据源,数据源地址按时间单位转换而成,由随机函数发生器生成随机函数并分配到数据源的每个时间单位地址;将某个时间点转化成地址就能够在对应时间点地址获得随机函数;用这个随机函数进行异化扰动运算,使其发生量值改变,实现数据异化扰动;
验证端还包含不用勘验原文就能够验证签署文件的原始性、签署时间、签署者;
不用勘验原文的验证算法如下:
签署端将标识图形签署在文件上,把签署时产生的电子证据经安全通道传送至验证端,验证端仅依其证据比对算法不用勘验原文就能够对签署时间、签署者标识和内涵信息、以及签署的文件做原始性验证且发出验证结果和查询信息。
2.根据权利要求1所述的一种用标识密钥签署文件及验证方法,其特征在于:签署端和验证端的随机函数数据源具有同步动态化更新功能:
在预设间隔的时间点,对随机函数数据源的数据进行数学、逻辑运算,使随机函数数据源的数据发生变化;
在预设间隔的时间点,对随机函数数据源的地址进行重新排列、逻辑移位的运算,使随机函数数据源的地址发生变化。
3.根据权利要求1所述的一种用标识密钥签署文件及验证方法,其特征在于:对可视标识图形像素文件进行时控随机数据异化扰动算法的运算,致使其图形的像素元、色度、亮度、对比度其一或组合发生变化;限定异化扰动强度或比率使得变化后的图形与原图形在涵义和视觉上不易辨识其差异,实现可视标识图形非显而易见的异化扰动。
4.根据权利要求1所述的一种用标识密钥签署文件及验证方法,其特征在于:将标识公钥数据转换成可视图形且直读的方法是:在数据/图形转换器的载体上将标识公钥数据加载其上,生成直读的明文形式的标识图形文件,用于直接签署文件;
将标识公钥数据转换成可视图形且再读的方法是:由数据码转换器将标识公钥数据以及与标识公钥数据关联的身份信息转换成可读数据码图形用于签署文件;数据码图形经再读转换获得标识数据和标识数据关联的身份信息。
5.根据权利要求1所述的一种用标识密钥签署文件及验证方法,其特征在于:用于签署文件的标识公钥数据:具有与身份属性信息关联且能够以文字、字母、数字、图形、图像形式展示的可视标识的字符、字母或文字数据;以及可转换的包含身份属性特征的标识图形或图像数据:符号图形、形状图形、电子数据码、生物特征值的图形、图像数据的其一或组合;用于加密文件的标识公钥数据:具有与身份属性信息关联的通讯信息、以及那些在公共场合能够被人知晓的公开数据和信息,包含:名称、电子邮箱、电话号码、ID/IP地址的其一或组合;还有能够进行数据加密功能的、且能够在公开场合披露其密码属性的数据。
6.根据权利要求1所述的一种用标识密钥签署文件及验证方法,其特征在于:数据传送安全通道是:利用“非对称密码算法”生成密钥对,签署端和验证端各有一对,将签署端的其中一个作为验证端加密密钥和验证端解密密钥分发到验证端保存,将验证端的其中一个作为签署端加密密钥和签署端解密密钥分发到签署端保存。
7.根据权利要求1所述的一种用标识密钥签署文件及验证方法,其特征在于:设置了先进先出且定长的电子证据数据库:
在签署端:签署时生成至少包含了签署时间参数,签署标识证据、签署文件证据组成的签署电子证据,用验证端的加密密钥加密存入签署端的电子证据数据库;
在验证端:将签署端传来的签署电子证据用签署端的加密密钥加密存入验证端的签署电子证据数据库;验证时生成至少包含了签署时间参数,验证标识证据组成的验证电子证据,验证运算后,连同验证结果和签署文件证据用验证端的加密密钥加密存入验证端的验证电子证据数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711471521.5A CN108229188B (zh) | 2017-12-29 | 2017-12-29 | 一种用标识密钥签署文件及验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711471521.5A CN108229188B (zh) | 2017-12-29 | 2017-12-29 | 一种用标识密钥签署文件及验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108229188A CN108229188A (zh) | 2018-06-29 |
| CN108229188B true CN108229188B (zh) | 2021-06-15 |
Family
ID=62646806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711471521.5A Active CN108229188B (zh) | 2017-12-29 | 2017-12-29 | 一种用标识密钥签署文件及验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108229188B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109379194A (zh) * | 2018-12-11 | 2019-02-22 | 西安慧博习兆信息技术有限公司 | 用标识密钥安全加解密、签署、传递文件的网络系统 |
| CN109309689B (zh) * | 2018-12-28 | 2019-04-05 | 中国人民解放军国防科技大学 | 一种报文来源真实性和内容完整性的验证方法 |
| CN109858266B (zh) * | 2019-01-25 | 2023-09-05 | 上海倍通医药科技咨询有限公司 | 医药流通数据验证方法 |
| CN110943844B (zh) * | 2019-11-22 | 2022-04-12 | 江苏慧世联网络科技有限公司 | 一种基于网页客户端本地服务的电子文件安全签署方法及其系统 |
| CN110881048B (zh) * | 2019-12-16 | 2021-11-09 | 苏宁云计算有限公司 | 基于身份认证的安全通讯方法及装置 |
| CN111047849B (zh) * | 2019-12-30 | 2021-05-18 | 江苏大周基业智能科技有限公司 | 一种联网遥控密码模块及安全遥控系统 |
| TWI756631B (zh) | 2020-02-12 | 2022-03-01 | 瑞昱半導體股份有限公司 | 具有韌體驗證機制的電腦系統及其韌體驗證方法 |
| CN113381852A (zh) * | 2020-03-09 | 2021-09-10 | 中国电信股份有限公司 | 电子邮件安全传送方法和系统 |
| CN111597576B (zh) * | 2020-07-27 | 2020-11-06 | 平安国际智慧城市科技股份有限公司 | 基于Android编译时的assets文件加密方法、及其相关设备 |
| CN111881444B (zh) * | 2020-08-03 | 2021-06-25 | 朱捷 | 一种基于加密标签算法的身份验证系统及其工作方法 |
| CN111914304A (zh) * | 2020-08-14 | 2020-11-10 | 联想图像(天津)科技有限公司 | 一种文档验证方法、装置、计算机设备及可读存储介质 |
| CN112184224A (zh) * | 2020-09-29 | 2021-01-05 | 朱捷 | 一种实现数据再生和结算的方法及系统 |
| CN112395590A (zh) * | 2020-11-17 | 2021-02-23 | 平安普惠企业管理有限公司 | 电子签名的复用方法、装置、设备及存储介质 |
| CN113221186A (zh) * | 2021-04-09 | 2021-08-06 | 西安慧博文定信息技术有限公司 | 一种基于时间加密算法的签署验签方法 |
| TWI767682B (zh) * | 2021-04-30 | 2022-06-11 | 中華電信股份有限公司 | Ecqv衍生子憑證產生系統、方法及電腦可讀媒介 |
| CN115396096A (zh) * | 2022-08-29 | 2022-11-25 | 北京航空航天大学 | 基于国密算法的秘密文件的加、解密方法及保护系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447985A (zh) * | 2008-12-26 | 2009-06-03 | 刘学明 | 基于公证信息的数字证书方法 |
| EP2348449A2 (en) * | 2009-12-18 | 2011-07-27 | CompuGroup Medical AG | A computer implemented method for performing cloud computing on data being stored pseudonymously in a database |
| CN102957536A (zh) * | 2011-08-29 | 2013-03-06 | 陈华平 | 基于标识的证书认证体制cfl |
| CN103310164A (zh) * | 2013-06-18 | 2013-09-18 | 齐宇庆 | 电子印章图形的验证方法及含有电子印章文件的验证方法 |
| CN106779888A (zh) * | 2016-11-21 | 2017-05-31 | 齐宇庆 | 一种可视化书面形式电子票证凭据及其生成方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020034305A1 (en) * | 2000-07-21 | 2002-03-21 | Hideo Noyama | Method and system for issuing service and method and system for providing service |
-
2017
- 2017-12-29 CN CN201711471521.5A patent/CN108229188B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447985A (zh) * | 2008-12-26 | 2009-06-03 | 刘学明 | 基于公证信息的数字证书方法 |
| EP2348449A2 (en) * | 2009-12-18 | 2011-07-27 | CompuGroup Medical AG | A computer implemented method for performing cloud computing on data being stored pseudonymously in a database |
| CN102957536A (zh) * | 2011-08-29 | 2013-03-06 | 陈华平 | 基于标识的证书认证体制cfl |
| CN103310164A (zh) * | 2013-06-18 | 2013-09-18 | 齐宇庆 | 电子印章图形的验证方法及含有电子印章文件的验证方法 |
| CN106779888A (zh) * | 2016-11-21 | 2017-05-31 | 齐宇庆 | 一种可视化书面形式电子票证凭据及其生成方法 |
Non-Patent Citations (1)
| Title |
|---|
| "基于CPK组合公钥的电子签章系统设计与实现";范志强;《中国优秀硕士学位论文全文数据库 信息科技辑》;20120815;第16-29、47-56页,图5-1-图5-2,图5-10 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108229188A (zh) | 2018-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108229188B (zh) | 一种用标识密钥签署文件及验证方法 | |
| US10559049B2 (en) | Digital passport country entry stamp | |
| CN107579819B (zh) | 一种sm9数字签名生成方法及系统 | |
| US7860243B2 (en) | Public key encryption for groups | |
| CN1689297B (zh) | 使用密钥基防止未经授权分发和使用电子密钥的方法 | |
| EP0541727B1 (en) | Method for secure time-stamping of digital documents | |
| CN109614802B (zh) | 抗量子计算的签章方法和签章系统 | |
| CN108092779A (zh) | 一种实现电子签约的方法及装置 | |
| CN101789067B (zh) | 电子文档签名保护方法和系统 | |
| CN109600228B (zh) | 基于公共密钥池的抗量子计算的签章方法和签章系统 | |
| CN109257180A (zh) | 一种基于区块链的知识产权文件存证的方法及装置 | |
| US20060280297A1 (en) | Cipher communication system using device authentication keys | |
| CN1922816B (zh) | 单向认证 | |
| CN109560935B (zh) | 基于公共非对称密钥池的抗量子计算的签章方法和签章系统 | |
| CN104322003A (zh) | 借助实时加密进行的密码认证和识别方法 | |
| CN103795546A (zh) | 数据标签生成方法、数据标签的认证方法及其系统 | |
| Simmons | Secure communications and asymmetric cryptosystems | |
| CN107229879A (zh) | 基于安全二维码的电子询证函自动生成方法及系统 | |
| CN109586918B (zh) | 基于对称密钥池的抗量子计算的签章方法和签章系统 | |
| JPH10135943A (ja) | 携帯可能情報記憶媒体及びそれを用いた認証方法、認証システム | |
| JP2003169051A (ja) | 電子印鑑システム | |
| CN105490814B (zh) | 一种基于三维码的票务实名认证方法及系统 | |
| CN107682156A (zh) | 一种基于sm9算法的加密通信方法及装置 | |
| CN109586917B (zh) | 基于非对称密钥池的抗量子计算的签章方法和签章系统 | |
| JP2000155524A (ja) | 電子検印システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210520 Address after: 710075 b325, 4th floor, Yinhe science and technology building, No.25 Tangyan Road, high tech Zone, Xi'an City, Shaanxi Province Applicant after: XI'AN HUIBO XIZHAO INFORMATION TECHNOLOGY Co.,Ltd. Address before: Room 101, building 10, Yajule Yubin mansion, 168 xinkaimen South Road, Yanta District, Xi'an City, Shaanxi Province, 710061 Applicant before: Qi Yuqing |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |