CN113285809A - 基于电子签名中间件的连续签名方法及系统 - Google Patents
基于电子签名中间件的连续签名方法及系统 Download PDFInfo
- Publication number
- CN113285809A CN113285809A CN202110542773.2A CN202110542773A CN113285809A CN 113285809 A CN113285809 A CN 113285809A CN 202110542773 A CN202110542773 A CN 202110542773A CN 113285809 A CN113285809 A CN 113285809A
- Authority
- CN
- China
- Prior art keywords
- electronic signature
- signature
- middleware
- mobile electronic
- dimensional code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Abstract
本申请涉及信息安全PKI技术领域,具体涉及基于电子签名中间件的连续签名方法及系统,包括以下步骤:业务系统向电子签名中间件发起电子签名请求;电子签名中间件判断是否存在可用的安全连接通道,若存在则跳至电子签名步骤;电子签名中间件生成二维码;移动电子签名系统解析二维码并验证;电子签名中间件建立与移动电子签名系统之间的安全连接通道并设置连接参数;移动电子签名系统进行个人意愿认证;电子签名中间件将待签名数据发送给移动电子签名系统进行电子签名;重复上述步骤实现业务数据的连续签名。本方法可以在一定时间内进行多次免意愿认证的连续数字签名操作,简化用户的操作的同时提高连续签名的效率。
Description
技术领域
本申请涉及信息安全PKI技术领域,具体涉及基于电子签名中间件的连续签名方法及系统。
背景技术
随着《电子签名法》实施与电子签名技术普及与推广,越来越多行业在其业务场景中间使用电子签名,例如签署一份电子合同,或者出具一份电子票据,或者对一串数据加密保护。电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据,签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。其中的数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。电子签名技术的应用保障了数据电文和产生数据电文相关的行为的安全、合法、有效。
原先电子签名采用的是智能密码钥匙认证模式,智能密码钥匙是实现密码运算,密钥管理功能,提供密码服务的终端密码设备,一般使用USB接口形态(以下简称“USBKey”)。用户需要在电脑中插入USBKey,输入PIN码完成意愿认证,才能使用电子签名。但是USBKey存在易损坏,易丢失等特点,此外一些智能终端设备出于物理安全考虑禁用了USB接口,所以USBKey在实际使用场景中给用户带来了诸多不便。
随着移动互联网技术的发展、智能设备不断升级、密码技术的完善,移动电子签名技术应运而生。相比传统USBKey认证,移动电子签名技术覆盖了更多、更大的应用场景,弥补了USBKey存在的不足。同时移动电子签名技术集成了协同计算能力,密码管理体系,基于数字证书的密码认证,其安全性达到了USBKey相同的级别。
移动电子签名技术在保证了数据电文安全、合法、有效的同时,也带来的操作上的变革。使用电子签名时需要对用户的真实意愿进行认证,确保签名人的真实意愿以及防止签名人事后否认的行为。意愿认证方式包含但不限于使用签名密码,人脸识别,动态安全码,生物指纹等。然而在一些高频次的签名应用场景,频繁使用意愿认证给签署人的带来了大量的重复工作量以及为签署人带来大量的成本支出,例如在使用人脸识别、动态安全码作为意愿认证方式时,每调用一次服务就意味一次成本支出。例如,在医院中影像科室业务场景中,当影像科业务系统PACS结合电子签名技术时,医生出具一份影像报告需要完成下列动作:(1)在PACS系统上编辑影像报告;(2)对影像报告采用电子签名;(3)医生使用智能终端设备,进入移动电子签名系统;(4)在移动电子签名系统中完成意愿认证,授权PACS系统签名;(5)PACS系统获得授权后,使用医生的个人数字证书对影像报告做电子签名;(6)提交影像报告。从上述流程可知,医生每做一次电子签名均要完成一次意愿认证,在实际工作场景中,一名医生在一个时间段内需要出具几十甚至上百份影像报告,传统的移动电子签名模式在保障了安全条件下却忽略了便捷性。
因此,如何基于上述应用场景提供更加便捷且安全可靠的技术方案是亟需解决的一个问题。
发明内容
本发明的目的之一在于解决在一个时间周期内,同一个用户使用电子签名技术进行大量重复操作,频繁的意愿认证致使效率低下的问题,提供一个连续使用电子签名的方法,在保证安全的前提下,提供便捷性,为用户减轻操作负担,提高效率。
为了解决上述技术问题,本发明提供了基于电子签名中间件的连续签名方法,包括以下步骤:
步骤1、业务系统向电子签名中间件发起电子签名请求;所述电子签名请求包括签名请求参数以及待签名数据;
步骤2、所述电子签名中间件根据所述签名请求参数判断是否存在可用的安全连接通道,若存在,则跳转到步骤7继续执行,否则执行步骤3;
步骤3、所述电子签名中间件根据所述签名请求参数生成二维码;
步骤4、移动电子签名系统扫描所述二维码解析出所述签名请求参数并进行验证;
步骤5、所述电子签名中间件建立与所述移动电子签名系统之间的安全连接通道并为所述安全连接通道设置连接参数;
步骤6、所述移动电子签名系统对用户进行个人意愿认证通过后,返回认证结果给所述电子签名中间件;
步骤7、所述电子签名中间件通过所述安全连接通道将所述待签名数据发送给所述移动电子签名系统进行电子签名;
重复步骤1至步骤7,实现对所述业务系统的业务数据的连续签名。
进一步地,所述签名请求参数,包括业务系统主机物理编号,业务系统标识编号,登录业务系统的用户账号以及电子签名申请时间。
进一步地,所述安全连接通道的连接参数,包括连接对应的业务系统主机物理编号,连接对应的业务系统标识编号,连接对应的登录业务系统的用户账号,首次电子签名申请时间,连接时间阈值、签名次数阈值以及累计签名次数。
进一步地,所述电子签名中间件根据所述签名请求参数判断是否存在可用的安全连接通道,包括以下步骤:
步骤21、所述电子签名中间件判断是否存在安全连接通道的所述连接对应的业务系统主机物理编号与所述电子签名请求的业务系统主机物理编号相同,且所述连接对应的业务系统标识编号与所述电子签名请求的业务系统标识编号相同,且所述连接对应的登录业务系统的用户账号与所述电子签名请求的登录业务系统的用户账号相同,若存在,则将该安全连接通道设置为可用安全连接通道,继续执行步骤22,否则跳转到步骤25继续执行;
步骤22、所述电子签名中间件判断所述可用安全连接通道的存在时间是否超出了所述连接时间阈值,若未超出,则继续执行步骤23,否则跳转到步骤25继续执行;
步骤23、所述电子签名中间件判断所述可用安全连接通道的所述累计签名次数是否已经超出所述签名次数阈值,若未超出,则执行步骤24,否则跳转到步骤25继续执行;
步骤24、设置判断结果为存在可用安全连接通道;
步骤25、设置判断结果为不存在可用安全连接通道。
进一步地,所述电子签名中间件根据所述签名请求参数生成二维码,具体为:
步骤31、所述电子签名中间件生成一个随机数;
步骤32、所述电子签名中间件将由所述随机数以及所述签名请求参数组成的二维码原始数据发送给签名验签服务器;
步骤33、所述签名验签服务器对所述二维码原始数据进行数字签名后返回给所述电子签名中间件;
步骤34、所述电子签名中间件根据数字签名后的所述二维码原始数据生成二维码。
进一步地,所述移动电子签名系统扫描所述二维码解析出所述签名请求参数并进行验证,具体为:
步骤41、所述移动电子签名系统解析所述二维码得到所述二维码原始数据;
步骤42、所述移动电子签名系统根据用户密钥配合所述签名验签服务器对所述二维码原始数据进行签名验证,若签名验证成功,则执行步骤43,否则跳转到步骤46继续执行;
步骤43、所述移动电子签名系统从所述二维码原始数据中解析出所述登录业务系统的用户账号;
步骤44、所述移动电子签名系统判断所述登录业务系统的用户账号与登录移动电子签名系统的用户账号是否相同,若相同,则执行步骤45,否则跳转到步骤46继续执行;
步骤45、所述移动电子签名系统发送验证成功结果给所述电子签名中间件;
步骤46、所述移动电子签名系统发送验证失败结果给所述电子签名中间件。
进一步地,所述电子签名中间件通过所述安全连接通道将所述待签名数据发送给所述移动电子签名系统进行电子签名,具体为:
步骤71、所述电子签名中间件通过所述安全连接通道将所述待签名数据发送给所述移动电子签名系统;
步骤72、所述移动电子签名系统根据用户密钥配合所述签名验签服务器对所述待签名数据进行电子签名;
步骤73、所述移动电子签名系统将电子签名后的签名数据返回给所述电子签名中间件。
进一步地,所述安全连接通道采用的是websocket和SSL/TLS协议。
进一步地,所述意愿认证的认证模式为签名密码认证、动态安全码认证或人脸识别认证。
相应地,本申请还提供了一种基于电子签名中间件的连续签名系统,其特征在于,包括业务系统,电子签名中间件,移动电子签名系统以及签名验签服务器。
所述业务系统,与所述电子签名中间件进行连接,用于向所述电子签名中间件发起电子签名请求;
所述电子签名中间件,分别与所述移动电子签名系统以及所述签名验签服务器进行连接,用于根据所述签名请求参数判断是否存在可用的安全连接通道;用于根据所述签名请求参数生成二维码;用于将由随机数以及签名请求参数组成的二维码原始数据发送给签名验签服务器;用于建立与所述移动电子签名系统之间的安全连接通道并为所述安全连接通道设置连接参数;用于通过所述安全连接通道调用所述用户密钥对待签名数据进行电子签名;
所述移动电子签名系统,分别与所述电子签名中间件以及所述签名验签服务器进行连接,用于扫描所述二维码解析出所述签名请求参数并进行验证;用于对用户进行个人意愿认证通过后,授权所述电子签名中间件使用用户密钥;用于配合所述签名验签服务器对所述待签名数据进行电子签名;
所述签名验签服务器,分别与所述电子签名中间件以及所述移动电子签名系统进行连接,用于对二维码原始数据进行数字签名后返回给所述电子签名中间件;用于配合所述移动电子签名系统对所述待签名数据进行电子签名;用于配合移动电子签名系统验证二维码原始数据的签名有效性。
区别于现有技术,本发明技术方案的有益效果有:
1.通过在电子签名中间件与移动电子签名系统之间建立安全连接通道,再根据连接参数判断当前连接安全可用的情况下,可以在一定时间内进行多次免意愿认证的连续数字签名操作,简化用户的操作提高便捷性,同时提高连续签名的效率。
2.通过设置签名验签服务器对数据进行签名以及验签服务,为应用实体提供基于PKI体系和数字证书的数字签名,验证签名等运算功能的服务器,保证关键业务信息的真实性、完整性和不可否认性。
附图说明
图1是本发明基于电子签名中间件的连续签名方法步骤流程图。
图2是本发明电子签名中间件判断是否存在可用的安全连接通道的步骤流程图。
图3是本发明电子签名中间件生成二维码的步骤流程图。
图4是本发明移动电子签名系统扫描二维码并进行验证的步骤流程图。
图5是本发明电子签名中间件将待签名数据发送给移动电子签名系统进行电子签名的步骤流程图。
图6是本发明基于电子签名中间件的连续签名系统的架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
如图1所示,是本发明基于电子签名中间件的连续签名方法步骤流程图,包括以下步骤:
步骤1、业务系统向电子签名中间件发起电子签名请求;本申请中,业务系统是指企业或者机构为实现自身开展的业务功能而开发的信息系统,主要为数据电文提供从形成到办理这一过程中所涉及的业务功能,并提供与其它系统连接的数据接口。以医疗行业举例,医疗行业的业务系统包括但不仅限于HIS系统(医院信息系统),PACS系统(医学影像存档与通讯系统),EMR(电子病历)等。电子签名中间件是用于实现电子签名功能的独立功能组件,负责电子签名整个过程中各环节与外部系统的各种交互操作,既可以作为一个通用模块集成到不同的业务系统之中,也可以单独部署为各种业务系统同时提供服务调用。当业务系统需要进行电子签名操作的时候,通过调用接口的方式向电子签名中间件发起电子签名请求。
步骤2、所述电子签名中间件根据所述签名请求参数判断是否存在可用的安全连接通道,若存在,则跳转到步骤7继续执行,否则执行步骤3;
业务系统向电子签名中间件发起电子签名请求中,包括需要进行电子签名的数据,例如,在医疗服务场景中,待签名的数据可能是需要责任医生进行签名的化验报告或诊断结论等。同时为实现本申请的连续签名,业务系统还必须发送签名请求参数给电子签名中间件,包括业务系统主机物理编号,业务系统标识编号,登录业务系统的用户账号以及电子签名申请时间。其中,业务系统主机物理编号是指运行业务系统的承载设备的硬件唯一编号,该系统承载设备可能是台式PC机,笔记本便携式电脑或个人数字助理(PDA)。业务系统标识编号是指每个业务系统对应的唯一编号,来保证在整套电子签名体系中该业务系统身份唯一性。优选地,电子签名中间件会根据业务系统标识编号对业务系统进行判断,验证该系统是否是被授权过。登录业务系统的用户账号是指业务系统中当前发起电子签名操作的用户个人账号。如图2所示,是本发明电子签名中间件判断是否存在可用的安全连接通道的步骤流程图,包括以下步骤:
步骤21、电子签名中间件判断是否存在安全连接通道,该连接对应的业务系统主机物理编号与电子签名请求的业务系统主机物理编号相同,并且连接对应的业务系统标识编号与电子签名请求的业务系统标识编号相同,且连接对应的登录业务系统的用户账号与电子签名请求的登录业务系统的用户账号相同,若存在,则将该安全连接通道设置为可用安全连接通道,继续执行步骤22进行后续判断,否则跳转到步骤25继续执行。
步骤22、电子签名中间件判断所述可用安全连接通道的存在时间是否超出了所述连接时间阈值,若未超出,则继续执行步骤23,否则跳转到步骤25继续执行。具体地,通常通过当前时间和首次签名时间的计算出安全连接通道的存在时间,再判断是否超出了安全连接通道的允许连接时间阈值,得到安全连接通道是否已经过期。
步骤23、电子签名中间件判断所述可用安全连接通道的累计签名次数参数是否已经超出签名次数阈值参数,若未超出,则执行步骤24,否则跳转到步骤25继续执行;
步骤24、上述查找到的安全连接通道还在其生命周期之内并且还可进行电子签名操作,设置判断结果为存在可用安全连接通道,无需创建新的安全连接通道;
步骤25、设置判断结果为不存在可用安全连接通道,需要创建一个新的安全连接通道。
步骤3、所述电子签名中间件根据所述签名请求参数生成二维码。如图3所示,是本发明电子签名中间件生成二维码的步骤流程图,包括以下步骤:
步骤31、所述电子签名中间件生成一个随机数。
步骤32、所述电子签名中间件将由所述随机数以及所述签名请求参数组成的二维码原始数据发送给签名验签服务器。本申请中,单独部署的签名验签服务器提供了签名、验证以及加密、解密能力。通过设置签名验签服务器对数据进行签名以及验签服务,为应用实体提供基于PKI体系和数字证书的数字签名,验证签名等运算功能的服务器,保证关键业务信息的真实性、完整性和不可否认性。
步骤33、所述签名验签服务器对所述二维码原始数据进行数字签名后返回给所述电子签名中间件。
步骤34、所述电子签名中间件根据数字签名后的所述二维码原始数据生成二维码展现在界面上。
步骤4、移动电子签名系统扫描所述二维码解析出所述签名请求参数并进行验证。
本申请中,移动电子签名系统是通过智能终端安装移动电子签名应用APP,实现具备USBKey功能的手机密码应用,不依赖硬件密码芯片,用软件实现可靠的密码管理、密码运算和CA数字证书等全部功能,是实现移动互联网应用安全的核心技术。移动电子签名系统为移动互联网应用提供了密码运算支撑能力,用于身份认证、电子签名、数据保护等。此外移动电子签名系统搭载的智能终端密码模块,采用安全的密钥存储、密钥调用、密钥运算的核心技术,以安全可信中间件的形式为业务提供数字证书、数字签名、加密解密等安全密码服务。第三方应用客户端通过集成智能终端密码模块以实现其用户身份认证安全、支付安全、业务认证安全、数据存储安全、数据加密安全、密钥调用安全等安全功能。例如,在医疗业务场景中,移动电子签名系统可以是安装在每个医生手机上的app,通过登录每个用户的个人账号来进行不同的业务功能处理,例如扫描二维码,意愿认证,授权电子签名等处理。如图4所示,是本发明移动电子签名系统扫描二维码并进行验证的步骤流程图,包括以下步骤:
步骤41、移动电子签名系统解析所述二维码得到所述二维码原始数据。
步骤42、所述移动电子签名系统根据用户密钥配合所述签名验签服务器对所述二维码原始数据进行签名验证,若签名验证成功说明请求参数真实有效未被篡改,则执行步骤43,否则跳转到步骤46继续执行。
步骤43、所述移动电子签名系统从所述二维码原始数据中解析出所述登录业务系统的用户账号。
步骤44、所述移动电子签名系统判断所述登录业务系统的用户账号与登录移动电子签名系统的用户账号是否相同,若相同说明是同一用户,则执行步骤45,否则跳转到步骤46继续执行。
步骤45、所述移动电子签名系统发送验证成功结果给所述电子签名中间件,允许电子签名中间件发起连接。
步骤46、所述移动电子签名系统发送验证失败结果给所述电子签名中间件,不允许电子签名中间件发起连接。
步骤5、当接收到移动电子签名系统发送的验证成功结果后,电子签名中间件与所述移动电子签名系统之间建立起一个新的安全连接通道,同时为该安全连接通道设置相应的连接参数。所述安全连接通道的连接参数,包括连接对应的业务系统主机物理编号,连接对应的业务系统标识编号,连接对应的登录业务系统的用户账号,首次电子签名申请时间,连接时间阈值、签名次数阈值以及累计签名次数。其中,首次电子签名申请时间即为连接通道的创建时间,连接时间阈值指的新建的安全连接通道的允许存在时间,签名次数阈值指的是允许通过当前安全连接通道进行签名的次数上限,累计签名次数是通过当前安全连接通道已经签名的次数。在一具体的实施例中,电子签名中间件与所述移动电子签名系统之间采用websocket和SSL/TLS协议建立安全连接通道,保障通信实体的身份,防止与假冒实体进行通信,同时保障通信过程中的数据,防止数据被非授权篡改以及敏感数据泄露。
步骤6、所述移动电子签名系统对用户进行个人意愿认证通过后,返回认证结果给所述电子签名中间件。
意愿认证就是在电子签名过程中,对签署人是否出自真实意愿的确认。意愿认证是电子签名过程中的必备环节,如果没有这一环节,就需要借用录像设备,将签署人的签名行为进行录像,确保数据电文签署人的签署意愿,防止发生签署人否认签署行为时没有证据可以佐证的情况,也可以避免签署人账号、密码被其他第三方盗用后冒名顶替进行签署的情形。优选地,移动电子签名系统进行意愿认证的认证模式为签名密码认证、动态安全码认证或人脸识别认证。当用户认证通过后,则返回认证结果给所述电子签名中间件,通知电子签名中间件可以发送待签名数据。
步骤7、电子签名中间件通过所述安全连接通道将所述待签名数据发送给所述移动电子签名系统进行电子签名。如图5所示,是本发明电子签名中间件将所述待签名数据发送给所述移动电子签名系统进行电子签名的步骤流程图,包括以下步骤:
步骤71、所述电子签名中间件通过所述安全连接通道将所述待签名数据发送给所述移动电子签名系统;
步骤72、所述移动电子签名系统根据用户密钥配合所述签名验签服务器对所述待签名数据进行电子签名;
步骤73、所述移动电子签名系统将电子签名后的签名数据返回给所述电子签名中间件。
优选地,电子签名中间件进行电子签名之后,对安全连接通道的累计签名次数参数进行累加。
循环重复步骤1至步骤7,实现在安全条件下用户免意愿认证连续对所述业务系统的业务数据进行电子签名操作。通过本发明可以让用户自主选择设置免意愿认证时长,签字次数。在保证信息传输安全前提下,运营密码技术建立安全通道完成对文件的电子签名。当安全通道规定的参数发生变化时,及时关闭通道,保证安全通道不被攻击与篡改。
实施例二
图6是本发明基于电子签名中间件的连续签名系统的架构图,包括业务系统,电子签名中间件,移动电子签名系统以及签名验签服务器。
所述业务系统,与所述电子签名中间件进行连接,用于向所述电子签名中间件发起电子签名请求。业务系统是指企业或者机构为实现自身开展的业务功能而开发的信息系统,主要为数据电文提供从形成到办理这一过程中所涉及的业务功能,并提供与其它系统连接的数据接口。以医疗行业举例,医疗行业的业务系统包括但不仅限于HIS系统(医院信息系统),PACS系统(医学影像存档与通讯系统),EMR(电子病历)等。
所述电子签名中间件,分别与所述移动电子签名系统以及所述签名验签服务器进行连接,是用于实现电子签名功能的独立功能组件,负责电子签名整个过程中各环节与外部系统的各种交互操作,既可以作为一个通用模块集成到不同的业务系统之中,也可以单独部署为各种业务系统同时提供服务调用。本申请中,电子签名中间件用于根据所述签名请求参数判断是否存在可用的安全连接通道;用于根据所述签名请求参数生成二维码;用于将由随机数以及签名请求参数组成的二维码原始数据发送给签名验签服务器;用于建立与所述移动电子签名系统之间的安全连接通道并为所述安全连接通道设置连接参数;用于通过所述安全连接通道调用所述用户密钥对待签名数据进行电子签名。
所述移动电子签名系统,分别与所述电子签名中间件以及所述签名验签服务器进行连接,是通过智能终端安装移动电子签名应用APP,实现具备USBKey功能的手机密码应用,不依赖硬件密码芯片,用软件实现可靠的密码管理、密码运算和CA数字证书等全部功能,是实现移动互联网应用安全的核心技术。移动电子签名系统为移动互联网应用提供了密码运算支撑能力,用于身份认证、电子签名、数据保护等。例如,在医疗业务场景中,移动电子签名系统可以是安装在每个医生手机上的app,通过登录每个用户的个人账号来进行不同的业务功能处理,例如扫描二维码,意愿认证,授权电子签名等处理。本申请中,移动电子签名系统用于扫描所述二维码解析出所述签名请求参数并进行验证;用于对用户进行个人意愿认证通过后,授权所述电子签名中间件使用用户密钥;用于配合所述签名验签服务器对所述待签名数据进行电子签名。
所述签名验签服务器,分别与所述电子签名中间件以及所述移动电子签名系统进行连接,提供了签名、验证以及加密、解密能力,用于对二维码原始数据进行数字签名后返回给所述电子签名中间件;用于配合所述移动电子签名系统对二维码原始数据进行签名验证;用于配合所述移动电子签名系统对所述待签名数据进行电子签名。
上述具体实施方式只是对本发明的技术方案进行详细解释,本发明并不只仅仅局限于上述实施例,凡是依据本发明原理的任何改进或替换,均应在本发明的保护范围之内。
Claims (10)
1.一种基于电子签名中间件的连续签名方法,其特征在于,包括以下步骤:
步骤1、业务系统向电子签名中间件发起电子签名请求;所述电子签名请求包括签名请求参数以及待签名数据;
步骤2、所述电子签名中间件根据所述签名请求参数判断是否存在可用的安全连接通道,若存在,则跳转到步骤7继续执行,否则执行步骤3;
步骤3、所述电子签名中间件根据所述签名请求参数生成二维码;
步骤4、移动电子签名系统扫描所述二维码解析出所述签名请求参数并进行验证;
步骤5、所述电子签名中间件建立与所述移动电子签名系统之间的安全连接通道并为所述安全连接通道设置连接参数;
步骤6、所述移动电子签名系统对用户进行个人意愿认证通过后,返回认证结果给所述电子签名中间件;
步骤7、所述电子签名中间件通过所述安全连接通道将所述待签名数据发送给所述移动电子签名系统进行电子签名;
重复步骤1至步骤7,实现对所述业务系统的业务数据的连续签名。
2.如权利要求1所述的基于电子签名中间件的连续签名方法,其特征在于,所述签名请求参数,包括业务系统主机物理编号,业务系统标识编号,登录业务系统的用户账号以及电子签名申请时间。
3.如权利要求2所述的基于电子签名中间件的连续签名方法,其特征在于,所述安全连接通道的连接参数,包括连接对应的业务系统主机物理编号,连接对应的业务系统标识编号,连接对应的登录业务系统的用户账号,首次电子签名申请时间,连接时间阈值、签名次数阈值以及累计签名次数。
4.如权利要求3所述的基于电子签名中间件的连续签名方法,其特征在于,所述电子签名中间件根据所述签名请求参数判断是否存在可用的安全连接通道,包括以下步骤:
步骤21、所述电子签名中间件判断是否存在安全连接通道的所述连接对应的业务系统主机物理编号与所述电子签名请求的业务系统主机物理编号相同,且所述连接对应的业务系统标识编号与所述电子签名请求的业务系统标识编号相同,且所述连接对应的登录业务系统的用户账号与所述电子签名请求的登录业务系统的用户账号相同,若存在,则将该安全连接通道设置为可用安全连接通道,继续执行步骤22,否则跳转到步骤25继续执行;
步骤22、所述电子签名中间件判断所述可用安全连接通道的存在时间是否超出了所述连接时间阈值,若未超出,则继续执行步骤23,否则跳转到步骤25继续执行;
步骤23、所述电子签名中间件判断所述可用安全连接通道的所述累计签名次数是否已经超出所述签名次数阈值,若未超出,则执行步骤24,否则跳转到步骤25继续执行;
步骤24、设置判断结果为存在可用安全连接通道;
步骤25、设置判断结果为不存在可用安全连接通道。
5.如权利要求1所述的基于电子签名中间件的连续签名方法,其特征在于,所述电子签名中间件根据所述签名请求参数生成二维码,具体为:
步骤31、所述电子签名中间件生成一个随机数;
步骤32、所述电子签名中间件将由所述随机数以及所述签名请求参数组成的二维码原始数据发送给签名验签服务器;
步骤33、所述签名验签服务器对所述二维码原始数据进行数字签名后返回给所述电子签名中间件;
步骤34、所述电子签名中间件根据数字签名后的所述二维码原始数据生成二维码。
6.如权利要求5所述的基于电子签名中间件的连续签名方法,其特征在于,所述移动电子签名系统扫描所述二维码解析出所述签名请求参数并进行验证,具体为:
步骤41、所述移动电子签名系统解析所述二维码得到所述二维码原始数据;
步骤42、所述移动电子签名系统根据用户密钥配合所述签名验签服务器对所述二维码原始数据进行签名验证,若签名验证成功,则执行步骤43,否则跳转到步骤46继续执行;
步骤43、所述移动电子签名系统从所述二维码原始数据中解析出所述登录业务系统的用户账号;
步骤44、所述移动电子签名系统判断所述登录业务系统的用户账号与登录移动电子签名系统的用户账号是否相同,若相同,则执行步骤45,否则跳转到步骤46继续执行;
步骤45、所述移动电子签名系统发送验证成功结果给所述电子签名中间件;
步骤46、所述移动电子签名系统发送验证失败结果给所述电子签名中间件。
7.如权利要求1所述的基于电子签名中间件的连续签名方法,其特征在于,所述电子签名中间件通过所述安全连接通道将所述待签名数据发送给所述移动电子签名系统进行电子签名,具体为:
步骤71、所述电子签名中间件通过所述安全连接通道将所述待签名数据发送给所述移动电子签名系统;
步骤72、所述移动电子签名系统根据用户密钥配合所述签名验签服务器对所述待签名数据进行电子签名;
步骤73、所述移动电子签名系统将电子签名后的签名数据返回给所述电子签名中间件。
8.如权利要求1所述的基于电子签名中间件的连续签名方法,其特征在于,所述安全连接通道采用的是websocket和SSL/TLS协议。
9.如权利要求1所述的基于电子签名中间件的连续签名方法,其特征在于,所述意愿认证的认证模式为签名密码认证、动态安全码认证或人脸识别认证。
10.一种基于电子签名中间件的连续签名系统,其特征在于,包括业务系统,电子签名中间件,移动电子签名系统以及签名验签服务器;
所述业务系统,与所述电子签名中间件进行连接,用于向所述电子签名中间件发起电子签名请求;
所述电子签名中间件,分别与所述移动电子签名系统以及所述签名验签服务器进行连接,用于根据所述签名请求参数判断是否存在可用的安全连接通道;用于根据所述签名请求参数生成二维码;用于将由随机数以及签名请求参数组成的二维码原始数据发送给签名验签服务器;用于建立与所述移动电子签名系统之间的安全连接通道并为所述安全连接通道设置连接参数;用于通过所述安全连接通道调用所述用户密钥对待签名数据进行电子签名;
所述移动电子签名系统,分别与所述电子签名中间件以及所述签名验签服务器进行连接,用于扫描所述二维码解析出所述签名请求参数并进行验证;用于对用户进行个人意愿认证通过后,授权所述电子签名中间件使用用户密钥;用于配合所述签名验签服务器对所述待签名数据进行电子签名;
所述签名验签服务器,分别与所述电子签名中间件以及所述移动电子签名系统进行连接,用于对二维码原始数据进行数字签名后返回给所述电子签名中间件;用于配合所述移动电子签名系统对所述待签名数据进行电子签名;用于配合移动电子签名系统验证二维码原始数据的签名有效性。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2021105300572 | 2021-05-14 | ||
| CN202110530057 | 2021-05-14 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113285809A true CN113285809A (zh) | 2021-08-20 |
Family
ID=77279955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110542773.2A Withdrawn CN113285809A (zh) | 2021-05-14 | 2021-05-19 | 基于电子签名中间件的连续签名方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113285809A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115017550A (zh) * | 2022-06-02 | 2022-09-06 | 湖南长银五八消费金融股份有限公司 | 电子合同数据处理方法、装置、计算机设备及介质 |
-
2021
- 2021-05-19 CN CN202110542773.2A patent/CN113285809A/zh not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115017550A (zh) * | 2022-06-02 | 2022-09-06 | 湖南长银五八消费金融股份有限公司 | 电子合同数据处理方法、装置、计算机设备及介质 |
| CN115017550B (zh) * | 2022-06-02 | 2023-03-10 | 湖南长银五八消费金融股份有限公司 | 电子合同数据处理方法、装置、计算机设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106664208B (zh) | 使用安全传输协议建立信任的系统和方法 | |
| JP6648110B2 (ja) | クライアントをデバイスに対して認証するシステム及び方法 | |
| CN107800725B (zh) | 一种数字证书远程在线管理装置及方法 | |
| WO2017197974A1 (zh) | 一种基于生物特征的安全认证方法、装置及电子设备 | |
| CN106899551B (zh) | 认证方法、认证终端以及系统 | |
| CN111614637A (zh) | 一种基于软件密码模块的安全通信方法及系统 | |
| CN111431719A (zh) | 一种移动终端密码保护模块、移动终端及密码保护方法 | |
| JP2018532301A (ja) | 本人認証方法及び装置 | |
| CN111404696B (zh) | 协同签名方法、安全服务中间件、相关平台及系统 | |
| CN112232814B (zh) | 支付密钥的加密和解密方法、支付认证方法及终端设备 | |
| CN112651036B (zh) | 基于协同签名的身份认证方法及计算机可读存储介质 | |
| CN105608577A (zh) | 实现不可否认性的方法及其支付管理服务器和用户终端 | |
| CN107733636B (zh) | 认证方法以及认证系统 | |
| EP1886204B1 (en) | Transaction method and verification method | |
| CN104660412A (zh) | 一种移动设备无密码安全认证方法及系统 | |
| CN112055019B (zh) | 一种建立通信信道的方法及用户终端 | |
| CN111062059B (zh) | 用于业务处理的方法和装置 | |
| WO2022042745A1 (zh) | 一种密钥管理方法及装置 | |
| CN114760070A (zh) | 数字证书颁发方法、数字证书颁发中心和可读存储介质 | |
| KR101404989B1 (ko) | 투-채널 인증기법을 이용하여 mitb 공격에 대응하는 금융거래정보 인증방법 및 금융서버 | |
| CN113872989A (zh) | 基于ssl协议的认证方法、装置、计算机设备和存储介质 | |
| CN113285809A (zh) | 基于电子签名中间件的连续签名方法及系统 | |
| CN113271207A (zh) | 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质 | |
| CN115865360A (zh) | 基于安全组件的可信身份令牌的连续电子签名方法及系统 | |
| CN111147501A (zh) | 一种蓝牙钥匙查询方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210820 |
|
| WW01 | Invention patent application withdrawn after publication |