CN114338035A - 一种基于密钥协同签名的移动端pdf电子签章方法及系统 - Google Patents

一种基于密钥协同签名的移动端pdf电子签章方法及系统 Download PDF

Info

Publication number
CN114338035A
CN114338035A CN202111534144.1A CN202111534144A CN114338035A CN 114338035 A CN114338035 A CN 114338035A CN 202111534144 A CN202111534144 A CN 202111534144A CN 114338035 A CN114338035 A CN 114338035A
Authority
CN
China
Prior art keywords
signature
mobile terminal
electronic
pdf
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111534144.1A
Other languages
English (en)
Inventor
施耀祖
王杰勋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing One Identity Express Information Technology Co ltd
Original Assignee
Nanjing One Identity Express Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing One Identity Express Information Technology Co ltd filed Critical Nanjing One Identity Express Information Technology Co ltd
Priority to CN202111534144.1A priority Critical patent/CN114338035A/zh
Publication of CN114338035A publication Critical patent/CN114338035A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种基于密钥协同签名的移动端PDF电子签章方法,具体包括如下步骤:向电子印章管理系统申请制作电子印章,电子印章管理系统根据数字证书和签章图片制作电子印章;在PDF页面上面选择签名域,对PDF文件进行预签名,得到预签名的PDF文件流;对预签名的PDF文件流做SM3摘要;通过包括SM3摘要、电子印章的数据计算杂凑值;对杂凑值通过密钥协同运算的方式进行数字签名;封装数字签名,并将数字签名的签名数据合成到PDF文件中,完成对PDF文件的电子签章。本发明还公开一种基于密钥协同签名的移动端PDF电子签章系统。

Description

一种基于密钥协同签名的移动端PDF电子签章方法及系统
技术领域
本发明属于电子签章技术,更具体地说,涉及一种基于密钥协同签名技术,符合国密标准的移动端PDF电子签章的方法及系统。
背景技术
传统的移动端电子签章方法大体上有如下两种。
第一种方式,预先在PDF文件的页面上选择签名域(签名域是印章所在的区域),然后将签名域数据传递给电子签章服务器的签名接口对该PDF文件进行摘要计算和数字签名相关的一些操作,签名完成后将签名数据写入到PDF文件中并将印章或手写签名盖到签名域所在的位置,最后合成签完名后的新的PDF文件返回给移动端,从而完成对PDF文件的电子签名。整个过程,移动端不参与电子签名相关的操作,只负责选定签名域。
第二种方式,预先在PDF文件的页面上选择签名域,然后将签名域数据通过调用电子签章服务器的获取摘要的接口对该PDF文件进行摘要计算,生成摘要,移动端获得PDF文件的摘要后利用移动端的数字证书对PDF文件摘要进行数字签名,然后将签名数据传递给电子签章服务器的签章接口将签名数据写入PDF文件并将印章或手写签名盖到签名域所在的位置,最后合成签完名后的新的PDF文件返回给移动端,从而完成对PDF文件的电子签名操作。整个过程中,移动端只负责对PDF文件的摘要进行数字签名,不参与PDF摘要计算和签名数据的写入,以及新的PDF文件的合成。
以上两种方式存在的弊端:
第一种方式存在的弊端:
1.在选定签名域后,如果PDF文件在服务端不存在,移动端需要将PDF文件上传至服务端,并根据选定的签名域对PDF文件进行电子签章相关的一些操作,并最终合成一个签完名后的新的PDF文件,移动端需要下载签完名后的PDF文件给用户。这样的方式存在上传和下载的过程,比较耗时,特别当PDF文件过大,网络环境较差时,上传下载需要耗费很长的时间,用户体验极差。
2.由于移动端只负责签名域的选定,整个签章的操作,包括PDF文件的合成全部在服务端完成,对电子签章服务器的依赖太大,几乎是百分百依赖电子签章服务器。
3.从上述可以看出,最关键的电子签名操作完全是由服务端独立完成的,也就是说数字证书及其私钥都是存放在服务端的。因此,除了对电子签章服务器有过分的依赖外,还存在一定的安全风险。与传统的UKey(UKey:一种通过通用串行总线接口USB直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备)不同,这种方式的移动端PDF文件的电子签章甚至不需要口令。如果手机被黑客攻击,获取用户的个人信息,利用用户的个人信息对某个合同进行电子签章,或者拥有系统权限的人恶意提取用户的数字证书私钥对PDF文件进行签署等等,这样就会带来很大的安全隐患。
第二种方式存在的弊端:
1.与第一种方式一样,在选定签名域后也需要调用服务端的接口,与第一种方式不同的是摘要计算由服务端完成,数字签名则由客户端来完成。但是签名数据的写入以及签完名后的新的PDF文件的合成则依然由服务端来完成。新的PDF文件依然需要移动端从服务端下载下来给用户。也存在与第一种方式类似的问题,当PDF文件过大,网络环境较差时,上传下载需要耗费很长的时间,用户体验不好。
2.第二种方式除了选定签名域,同时也对PDF文件的摘要进行数字签名。与第一种方式相比,移动端也只是做了数字签名的操作,摘要计算,签名数据的写入,以及的签完名后的新的PDF文件的合成均由服务端完成,依然对服务端存在很大的依赖性。
3.与第一种方式相比,第二种方式在移动端做了数字签名的操作,利用本地从服务端签发下来的数字证书对PDF文件的摘要进行数字签名。虽然数字签名交给了移动端,数字证书及其私钥由用户自己管理,避免了通过网络拦截的形式伪造用户信息进行数字签名,相比第一种方式要更加安全一点。但是,由于数字证书及其私钥全部保存在移动端,黑客可以通过攻击用户的移动设备提取出数字证书的私钥。所以,这种方式同样也存在较大的安全风险。
以上两种电子签章的实现方式基本上都不符合国密电子签章的规范和要求。
发明内容
针对上述技术问题,本发明公开了一种基于密钥协同签名的移动端PDF电子签章方法及系统,提高PDF电子签章的可靠性。
为了实现上述发明目的,本发明采用的技术方案为:一种基于密钥协同签名的移动端PDF电子签章方法,通过移动端与协同服务端进行密钥协同计算的方式对由预签名的PDF文件流的SM3摘要、电子印章、签名证书、以及时间戳计算出的国密签章结构的杂凑值进行数字签名,并封装成符合国密标准的数据结构合成新的PDF文件,实现对PDF文件的电子签章操作,保证数据的安全性和可靠性。
上述方法具体包括以下步骤:
通过数字证书和签章图片(包括印章图片或手写签名图片等)向电子印章管理系统申请制作电子印章;
在PDF页面上面选择签名域,对PDF文件进行预签名,得到预签名的PDF文件流;
对预签名的PDF文件流做SM3摘要;
通过预签名的PDF文件流的SM3摘要、电子印章、签名证书、以及时间戳计算杂凑值,在优选情况下,杂凑值应符合国密标准结构。
对杂凑值通过密钥协同运算的方式进行数字签名;
封装数字签名,并将数字签名的签名数据合成到PDF文件中,完成对PDF文件的电子签章。
进一步的,密钥协同运算的方式进行数字签名包括:协同服务端通过密钥分量对杂凑值进行数字签名得到第一签名数据,将第一签名数据返回给移动端;移动端通过自己的密钥分量对杂凑值进行数据签名得到第二签名数据,然后通过协同签名算法合成第一签名数据、第二签名数据,并封装合成的签名数据。
进一步的,计算杂凑值时,通过预签名的PDF文件流的SM3摘要、电子印章、签名证书、以及时间戳计算杂凑值。
优选的,还包括申请国密SM2数字证书步骤。向协同服务发送请求,通过密钥协同的方式联合生成协同密钥对;构建PKCS10请求,向数字证书注册系统RA申请签发数字证书;获得RA下发的数字证书。
进一步的,封装数字签名时将数字签名的签名数据封装成标准电子签章数据,标准电子签章数据的逻辑结构包括:版本号、电子印章、时间信息、杂凑值、原文属性信息、签章人数字证书、签名算法标识、签名值;并将封装后的签名数据合成到PDF文件中。
本发明还公开一种基于密钥协同签名的移动端PDF电子签章系统,包括移动端、电子印章管理系统、协同服务端;
电子印章管理系统通过移动端的申请,根据移动端提供的数字证书和签章图片制作电子印章并返回给移动端;
移动端在PDF页面上面选择签名域,对PDF文件进行预签名,得到预签名的PDF文件流;
移动端对预签名的PDF文件流做SM3摘要;通过包括SM3摘要、电子印章的数据计算杂凑值;
移动端向协同服务端发起协同请求,对杂凑值通过密钥协同的方式进行数字签名;
移动端封装数字签名,并将数字签名的签名数据合成到PDF文件中,完成对PDF文件的电子签章。
进一步的,移动端与协同服务端联合生成协同密钥对;移动端构建PKCS10请求,向数字证书注册系统RA申请签发数字证书;RA向移动端下发数字证书。
进一步的,移动端通过预签名的PDF文件流的SM3摘要、电子印章、签名证书、以及时间戳计算出符合国密标准结构的杂凑值。
进一步的,协同服务端通过密钥分量对杂凑值进行数字签名得到第一签名数据,将第一签名数据返回给移动端;
移动端通过自己的密钥分量对杂凑值进行数据签名得到第二签名数据,然后合成第一签名数据、第二签名数据,并封装合成的签名数据。
本发明具有以下有益效果:本发明提出的移动端PDF电子签章方法及系统在进行数字签名的时候,通过移动端和协同服务端进行密钥协同的方式完成数字签名的操作,能够保证在任何一端都无法伪造签名,两端的密钥分量均通过PIN码进行保护,而PIN码只有数字证书的持有者拥有,其他任何一方都不可知,在签名信息的可靠性和数据安全性等方面有着极大的提升。
附图说明
图1为本发明实施例的移动端PDF电子签章方法移动端申请签发数字证书的时序图。
图2为本发明实施例的移动端PDF电子签章方法移动端电子签章时序图。
图3为本发明实施例的移动端PDF电子签章方法移动端数字证书申请与协同电子签章合并时序图。
具体实施方式
为了便于本领域技术人员的理解,下面结合实施例与附图对本发明作进一步的说明。
首先对本实施例将提到的一些名词进行解释。密钥协同:密钥协同是利用特定的协同签名算法将数字证书中的私钥拆分成两个密钥分量。两个密钥分量通过协同的方式在移动端和协同服务端两端生成。移动端的密钥分量存放在移动端,协同服务端的密钥分量存放在协同端。在进行数字签名时通过两端各自存放的那一部分密钥对待签的数据进行各自签名。然后通过特定的协同签名算法将两部分的签名数据合成完整的签名数据,与完整私钥签出来的数据一致,优点是更加安全可靠。
电子签章:电子签章是数字签名的一种表现形式,是利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。
摘要:也称为数字摘要,是通过哈希算法将任意长度的数据变成固定长度的数据。
SM3:密码杂凑算法。
SM2:椭圆曲线公钥密码算法。
电子印章:一种由制作者签名的包括持有者信息和图形化内容的数据,可用于签署电子文件。
电子签章数据:电子签章过程中产生的包含电子印章信息和签名信息的数据。
电子印章管理系统:集印章的管理员管理,电子印章的制作与管理,电子印章服务以及安全审计等功能于一体的管理系统。
相比较传统的技术方案,本实施例提出的技术方法在进行数字签名的时候,通过移动端和协同服务端进行密钥协同的方式完成数字签名的操作。本实施例解决的技术问题是:1、如何计算选定签名域后的PDF文件的SM3摘要;2、如何通过密钥协同的方式实现对选定签名域后计算出的PDF文件摘要进行数字签名,并封装成符合国密标准规范的电子签章数据,写入并合成新的PDF文件,实现对PDF文件的电子签章操作,保证数据的安全性和可靠性。
本实施例的基于密钥协同签名技术的移动端PDF电子签章系统包括:移动端、电子印章管理系统、协同服务端。基于密钥协同签名技术的PDF电子签章方法具体步骤如下:
步骤一:如图1所示,申请国密SM2数字证书。申请SM2数字证书进一步包括如下步骤:移动端与协同服务端联合生成协同密钥对;移动端构建PKCS10请求,向数字证书注册系统RA申请签发数字证书;RA向移动端下发数字证书。(如果已申请过国密数字证书,直接进行步骤二)
步骤二:如图2所示,电子印章管理系统通过移动端的申请,根据移动端提供的数字证书和印章图片(或者手写签名图片)制作电子印章并返回给移动端。
步骤三:移动端在PDF页面上面选择签名域,对PDF文件进行预签名,得到预签名的PDF文件流。
步骤四:移动端对预签名的PDF文件流做SM3摘要。
步骤五:移动端通过预签名的PDF文件流的SM3摘要、电子印章、签名证书、以及时间戳计算出符合国密标准结构的杂凑值。
步骤六:移动端向协同服务端发起协同请求,协同服务端通过密钥协同运算的方式(即通过密钥分量)对杂凑值进行数字签名得到第一签名数据,将第一签名数据返回给移动端。
步骤七:移动端通过自己的密钥分量对杂凑值进行数据签名得到第二签名数据,然后通过协同签名算法将协同服务端和协同客户端两端的第一签名数据、第二签名数据进行合成,将合成的签名数据封装成国密的标准结构的签名数据。
步骤八:移动端将国密标准结构的电子签章数据合成到PDF文件中生成已签名的新的PDF文件。
从数字证书签发到电子签章的整个流程如图3所示,包含数字证书的签发和电子签章的完整流程。
以上的实施例仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明保护范围之内。

Claims (10)

1.一种基于密钥协同签名的移动端PDF电子签章方法,其特征在于,具体包括如下步骤:
向电子印章管理系统申请制作电子印章,电子印章管理系统根据数字证书和签章图片制作电子印章;
在PDF页面上面选择签名域,对PDF文件进行预签名,得到预签名的PDF文件流;
对预签名的PDF文件流做SM3摘要;通过包括SM3摘要、电子印章、签名证书、以及时间戳的数据计算杂凑值;
对杂凑值通过密钥协同运算的方式进行数字签名;
封装数字签名,并将数字签名的签名数据合成到PDF文件中,完成对PDF文件的电子签章。
2.根据权利要求1所述的基于密钥协同签名的移动端PDF电子签章方法,其特征在于,对杂凑值通过密钥协同运算的方式进行数字签名进一步包括:
协同服务端通过密钥分量对杂凑值进行数字签名得到第一签名数据,将第一签名数据返回给移动端;
移动端通过自己的密钥分量对杂凑值进行数据签名得到第二签名数据,然后通过协同签名算法合成第一签名数据、第二签名数据,并封装合成的签名数据。
3.根据权利要求1或2所述的基于密钥协同签名的移动端PDF电子签章方法,其特征在于:计算杂凑值时,时间戳通过时间戳服务器获得。
4.根据权利要求3所述的基于密钥协同签名的移动端PDF电子签章方法,其特征在于,申请制作电子印章前,还包括申请数字证书的步骤:
向协同服务发送请求,通过密钥协同的方式联合生成协同密钥对;
构建PKCS10请求,向数字证书注册系统RA申请签发数字证书;获得RA下发的数字证书。
5.根据权利要求1或2所述的基于密钥协同签名的移动端PDF电子签章方法,其特征在于,申请制作电子印章前,还包括申请数字证书的步骤:
向协同服务发送请求,通过密钥协同的方式联合生成协同密钥对;
构建PKCS10请求,向数字证书注册系统RA申请签发数字证书;获得RA下发的数字证书。
6.根据权利要求1所述的基于密钥协同签名的移动端PDF电子签章方法,其特征在于,申请制作电子印章前,还包括申请数字证书的步骤:
封装数字签名时将数字签名的签名数据封装成标准电子签章数据,标准电子签章数据的逻辑结构包括:版本号、电子印章、时间信息、杂凑值、原文属性信息、签章人数字证书、签名算法标识、签名值;并将封装后的签名数据合成到PDF文件中。
7.一种基于密钥协同签名的移动端PDF电子签章系统,其特征在于:包括移动端、电子印章管理系统、协同服务端;
电子印章管理系统通过移动端的申请,根据移动端提供的数字证书和签章图片制作电子印章并返回给移动端;
移动端在PDF页面上面选择签名域,对PDF文件进行预签名,得到预签名的PDF文件流;
移动端对预签名的PDF文件流做SM3摘要;通过包括SM3摘要、电子印章的数据计算杂凑值;
移动端向协同服务端发起协同请求,对杂凑值通过密钥协同的方式进行数字签名;
移动端封装数字签名,并将数字签名的签名数据合成到PDF文件中,完成对PDF文件的电子签章。
8.根据权利要求7所述的基于密钥协同签名的移动端PDF电子签章系统,其特征在于:移动端与协同服务端联合生成协同密钥对;移动端构建PKCS10请求,向数字证书注册系统RA申请签发数字证书;RA向移动端下发数字证书。
9.根据权利要求7所述的基于密钥协同签名的移动端PDF电子签章系统,其特征在于:移动端通过预签名的PDF文件流的SM3摘要、电子印章、签名证书、以及时间戳计算出符合国密标准结构的杂凑值。
10.根据权利要求7或9所述的基于密钥协同签名的移动端PDF电子签章系统,其特征在于:
协同服务端通过密钥分量对杂凑值进行数字签名得到第一签名数据,将第一签名数据返回给移动端;
移动端通过自己的密钥分量对杂凑值进行数据签名得到第二签名数据,然后合成第一签名数据、第二签名数据,并封装合成的签名数据。
CN202111534144.1A 2021-12-15 2021-12-15 一种基于密钥协同签名的移动端pdf电子签章方法及系统 Pending CN114338035A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111534144.1A CN114338035A (zh) 2021-12-15 2021-12-15 一种基于密钥协同签名的移动端pdf电子签章方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111534144.1A CN114338035A (zh) 2021-12-15 2021-12-15 一种基于密钥协同签名的移动端pdf电子签章方法及系统

Publications (1)

Publication Number Publication Date
CN114338035A true CN114338035A (zh) 2022-04-12

Family

ID=81053290

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111534144.1A Pending CN114338035A (zh) 2021-12-15 2021-12-15 一种基于密钥协同签名的移动端pdf电子签章方法及系统

Country Status (1)

Country Link
CN (1) CN114338035A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978527A (zh) * 2022-04-28 2022-08-30 中移互联网有限公司 一种电子签名的方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100082994A1 (en) * 2007-05-25 2010-04-01 Donglin Wang Method and apparatus for implementing electronic seal
CN104468120A (zh) * 2014-11-26 2015-03-25 北京数字认证股份有限公司 一种实现电子签章的方法和系统
CN106888089A (zh) * 2015-12-16 2017-06-23 卓望数码技术(深圳)有限公司 电子签章的方法和系统以及用于电子签章的移动通信终端
GB201711702D0 (en) * 2016-08-02 2017-09-06 Portima Scrl Method for the electronic signature of a document
CN111431719A (zh) * 2020-04-20 2020-07-17 山东确信信息产业股份有限公司 一种移动终端密码保护模块、移动终端及密码保护方法
CN113626880A (zh) * 2021-09-03 2021-11-09 南京壹证通信息科技有限公司 一种移动交互式电子签章方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100082994A1 (en) * 2007-05-25 2010-04-01 Donglin Wang Method and apparatus for implementing electronic seal
CN104468120A (zh) * 2014-11-26 2015-03-25 北京数字认证股份有限公司 一种实现电子签章的方法和系统
CN106888089A (zh) * 2015-12-16 2017-06-23 卓望数码技术(深圳)有限公司 电子签章的方法和系统以及用于电子签章的移动通信终端
GB201711702D0 (en) * 2016-08-02 2017-09-06 Portima Scrl Method for the electronic signature of a document
CN111431719A (zh) * 2020-04-20 2020-07-17 山东确信信息产业股份有限公司 一种移动终端密码保护模块、移动终端及密码保护方法
CN113626880A (zh) * 2021-09-03 2021-11-09 南京壹证通信息科技有限公司 一种移动交互式电子签章方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114978527A (zh) * 2022-04-28 2022-08-30 中移互联网有限公司 一种电子签名的方法、装置、电子设备及存储介质
CN114978527B (zh) * 2022-04-28 2023-09-19 中移互联网有限公司 一种电子签名的方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
KR101710032B1 (ko) 전자문서 내용기반의 위변조 방지 장치와 시스템 및 그 방법
WO2021012574A1 (zh) 多重签名方法、签名中心、介质及电子设备
CN108924147B (zh) 通信终端数字证书签发的方法、服务器以及通信终端
CN109829269A (zh) 基于电子印章验证电子文档的方法、装置及系统
CN106921496A (zh) 一种数字签名方法和系统
CN111506632A (zh) 一种数据处理方法及装置
CN104618107A (zh) 数字签名方法和系统
CN109039997B (zh) 密钥获得方法、装置及系统
CN113114654B (zh) 一种终端设备接入安全认证方法、装置及系统
CN105635070A (zh) 一种数字文件的防伪方法及系统
CN113674456A (zh) 开锁方法、装置、电子设备和存储介质
CN116340908B (zh) 一种多因子电子水印生成与溯源方法
CN114329605A (zh) 一种密码卡密钥管理方法及装置
CN112751868A (zh) 一种异构加密传输方法、存储介质及系统
CN114785524B (zh) 电子印章生成方法、装置、设备和介质
CN116015945A (zh) 基于电子签名的电子档案安全传输方法、系统及介质
CN114172747B (zh) 一种基于数字证书的群成员获得认证证书的方法和系统
CN114338035A (zh) 一种基于密钥协同签名的移动端pdf电子签章方法及系统
CN115242514A (zh) 基于国密的隐私集合求交方法、系统及相关设备
CN108111311B (zh) 一种基于国密算法实现银行柜面电子签字的方法
CN106254341B (zh) 针对集中式电子数据保全系统的数据指纹提取方法及系统
CN116800416A (zh) 一种协同加密密钥的安全传输方法
CN111274615A (zh) 一种基于ofd格式文件的长效数字签名方法
CN101777980A (zh) 一种数字证书扩展项信息保护方法
CN112686648B (zh) 一种审核签章文件的电子签名管理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination