CN114638009A - 一种适用于公钥密码技术和支持商用密码算法的电子签章系统 - Google Patents
一种适用于公钥密码技术和支持商用密码算法的电子签章系统 Download PDFInfo
- Publication number
- CN114638009A CN114638009A CN202111309715.1A CN202111309715A CN114638009A CN 114638009 A CN114638009 A CN 114638009A CN 202111309715 A CN202111309715 A CN 202111309715A CN 114638009 A CN114638009 A CN 114638009A
- Authority
- CN
- China
- Prior art keywords
- module
- signature
- user
- seal
- electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及电子签名技术领域,具体地说,涉及一种适用于公钥密码技术和支持商用密码算法的电子签章系统。包括基础架构单元、用户服务单元、签章管理单元和安全防护单元;基础架构单元用于构建系统网络架构;用户服务单元用于判识用户并提供签章服务;签章管理单元用于对签章功能进行管控;安全防护单元用于提高系统安全。本发明设计可以适用于多语种及多种文档格式,支持公钥密码和商用密码算法;可以实现信息安全的自主可控,保证文档防伪造、防篡改、防抵赖,安全可靠,使签章文档具有足够的法律效力及高度权威性;可以满足用户获取和使用电子签章的需求,保障用户签署文件的合规性和数据安全,帮助企业信息化转型,提高运营和管理效率。
Description
技术领域
本发明涉及电子签名技术领域,具体地说,涉及一种适用于公钥密码技术和支持商用密码算法的电子签章系统。
背景技术
随着电子认证服务业的发展,电子签名应用产品市场发展迅速,形成了身份认证、授权管理、电子签名、信息加解密、可信数据电文、安全传输等类别的产品体系,相关产品超过50多种,其中包括移动互联网、云计算、物联网、区块链等新兴领域的一系列创新产品,为电子认证服务业的发展提供了强大的技术支撑。目前,国内利用PKI技术的电子签章产品并不少见,且存在较多局限性问题;
很多电子签章产品与PKI技术结合不紧密,甚至没有用到PKI技术,没有严格遵循公钥密码技术标准体系,在电子印章生成和验证、电子签章数据生成和验证方面,流程不规范,验证不严格,存在安全隐患;普通的电子签章系统大都只支持RSA算法而不支持国产商用密码算法,如SM2算法,不利于我国信息安全事业的发展;没有与国产软硬件进行适配,不能实现我国信息安全的自主可控。
然而,目前却没有可适用于我国公钥密码技术和支持商用密码算法的电子签章系统。
发明内容
本发明的目的在于提供了一种适用于公钥密码技术和支持商用密码算法的电子签章系统,以解决上述背景技术中提出的问题。
为实现上述技术问题的解决,本发明的目的之一在于,提供了一种适用于公钥密码技术和支持商用密码算法的电子签章系统,包括
基础架构单元、用户服务单元、签章管理单元和安全防护单元;所述基础架构单元、所述用户服务单元、所述签章管理单元与所述安全防护单元依次通过网络通信连接;所述基础架构单元用于构建支撑系统运行的网络架构并对设备进行功能配置和参数设定;所述用户服务单元用于对访问系统的用户身份进行判识并对给用户提供的签章服务进行管理;所述签章管理单元用于对使用电子签章功能的具体运作过程进行管理控制;所述安全防护单元用于通过认证用户的身份、管理文档来提高系统的安全防护性能;
所述基础架构单元包括运行环境模块、技术支撑模块、服务端建设模块和客户端建设模块;
所述用户服务单元包括用户管理模块、数字证书模块、加盖印章模块和文档保护模块;
所述签章管理单元包括签章移动模块、撤销签章模块、签章固定模块和签章验证模块;
所述安全防护单元包括身份认证模块、数据保密模块、防篡机制模块和文档验证模块。
作为本技术方案的进一步改进,所述运行环境模块、所述技术支撑模块、所述服务端建设模块与所述客户端建设模块依次通过网络通信连接;所述运行环境模块用于通过合理配置基础设备的元件使其性能可以提供满足系统运行所需的环境条件;所述技术支撑模块用于载入多种相关的计算机技术来支撑系统的顺畅运行;所述服务端建设模块用于对系统的后台服务端进行建设管理;所述客户端建设模块用于对系统的客户端进行建设管理以便给用户提供与系统互动的通道。
作为本技术方案的进一步改进,所述运行环境模块包括技术规范模块、核心配置模块、服务配置模块和性能参数模块;所述技术规范模块、所述核心配置模块、所述服务配置模块与所述性能参数模块依次通过网络通信连接;所述技术规范模块用于在建设系统时导入多种国内及国际现行的签章规范文件并进行参考,使系统产品可以符合相关的规范和标准;所述核心配置模块用于对平台设备的CPU、硬盘、内存、网卡、服务器等核心设备的性能进行相应的配置;所述服务配置模块用于对平台设备中用于中间件服务的CPU、硬盘、内存、网卡、服务器的性能进行相应的配置;所述性能参数模块用于对系统运行过程中电子签章服务的各类操作性能指标进行预先设定。
其中,核心设备的性能配置包括:CPU优选8核以上,硬盘优选500以上的SCSI/SAS硬盘,内存优选16G及以上,网卡优选千兆网卡;服务器包括但不限于:2台及以上的电子签章服务系统(每台支持并发约500)、2台及以上的MySQL、2台及以上的Web资源文件服务器(用于存储css、js、图片等静态资源文件)。
其中,中间件服务的性能配置包括:CPU优选8核以上,硬盘优选250以上的SCSI/SAS 硬盘,内存优选8G及以上,网卡优选千兆网卡;服务器包括但不限于:2台及以上的Redis、 2台及以上的MySQL、2台及以上的ActiveMQ。
其中,各类操作性能参数包括:文档签章页数、文档签章验证量、响应时间、签名时间、摘要时间、盖章时间等。
作为本技术方案的进一步改进,所述技术支撑模块包括语法记法模块、插件技术模块、密码算法模块和哈希函数模块;所述语法记法模块、所述插件技术模块、所述密码算法模块与所述哈希函数模块依次通过网络通信连接;所述语法记法模块用于采用一套标准的描述数据的表示、编码、传输、解码的灵活记法,以正式、无歧义和精确的规则来描述独立于特定计算机硬件的对象结构;所述插件技术模块用于采用COM/ActiveX插件技术将电子签章系统植入微软Office产品中,从而实现了在WORD、EXCEL、OFD文档中使用电子签章的功能,并通过C++的开发语言,使系统可适用于多语种和多种文档格式;所述密码算法模块载入RSA、SM2、SM3等多种通用密码算法,并将密码算法与多种国产软硬件进行适配;所述哈希函数模块用于载入哈希函数及相应算法,通过对原文进行单向哈希函数运算得到的定长字符串,从而用于对公钥密码及算法进行补充。
其中,本系统中优选采用ASN.1的抽象语法记法来进行定义。
其中,客户端采用COM/ActiveX插件技术将电子签章系统植入微软Office产品中,用户在对文档进行盖章时,签章系统采用特定的数据结构将数字证书、电子印章和文档内容摘要等信息整合其中,并使用签名证书对其签名,用户通过点击工具条中的菜单按钮实现签章、验证、参数设置等操作。
其中,采用面向对象的C++开发语言,既能提供产品的运行速度,又能很好的实现面向对象的模块化设计理念。
此外,哈希函数的功能在于:数字签名使被签名数据的哈希值经过私钥加密后的结果,通过使用公钥对数字签名解密得到的值与原始数据的哈希值相对照,就能验证数字签名。
作为本技术方案的进一步改进,所述密码算法模块中,各类不同密码算法的实现过程分别为:
RSA算法的实现过程:
Step1、实现者寻找出两个大素数p和q;
Step3、实现者选择一个随机数e(0<e);
Step5、实现者在目录中公开n和e作为公钥;
SM2算法的实现过程:
首先,SM2算法使用的方程为:y2=x3+ax+b;
Step1、选择Ep(a,b)的元素G,使得G的阶n是一个大素数;
Step2、G的阶是指满足nG=O的最小n值;
Step3、秘密选择整数k,计算B=kG,然后公开(p,a,b,G,B),B为公钥,保密k,k为私钥;
进而,加密M:先把消息M变换成为Ep(a,b)中一个点Pm,然后,选择随机数r,计算密文Cm={rG,Pm+rP),如果r使得rG或者rP为O,则要重新选择r;
则有,解密Cm:(Pm+rP)-k(rG)=Pm+rkG-krG=Pm。
作为本技术方案的进一步改进,所述服务端建设模块包括后台管理模块、服务中心模块和系统数库模块;所述后台管理模块、所述服务中心模块与所述系统数库模块依次通过网络通信连接;所述后台管理模块用于负责电子印章生命周期管理和提供电子印章验证服务,具体包括管理员管理、印章用户管理、电子印章制作和管理、电子印章验证服务、安全审计和系统配置管理等功能;所述服务中心模块用于对电子印章的服务项目及具体功能进行配置和管理,具体包括系统登陆、USBKey管理、印章管理、用户管理、日志管理、印章安装及回收站;所述系统数库模块用于以区块链技术为基础建立电子印章系统数据库,用于分布存储各类文档及电子印章数据。
其中,服务端的功能包括但不限于:系统登陆(用户基于USBKey证书的身份验证和权限管理,需要用户使用授权的证书才能进行登录,并且登录的过程中需要用户输入私钥pin码才能完成操作)、USBKey管理(对USBKey证书的管理,包括新建、待批、修改、删除、查看等)、印章管理(对印章的管理,包括新建、待批、修改、删除、查看等)、用户管理(包括对机构和人员信息的管理)、日志管理(系统内置安全审计的功能,可以对系统管理员、操作员的操作、用户印章的使用日志进行查看和审计)、印章安装(安装印章客户端)、回收站(对删除的USBKey证书、印章及用户的管理)等。
作为本技术方案的进一步改进,所述客户端建设模块包括基础组件模块、签章应用模块和智能密钥模块;所述基础组件模块、所述签章应用模块与所述智能密钥模块依次通过网络通信连接;所述基础组件模块用于负责处理电子签章客户端软件核心功能,包括操作智能密码钥匙、解析和验证电子印章、产生解析和验证电子签章数据、验证数字证书有效性、和电子签章管理系统交互等功能;所述签章应用模块用于基于基础组件面向特定应用场景,提供电子签章客户端软件功能;所述智能密钥模块用于通过智能密码钥匙来保存签章人数字证书、密钥和电子印章、执行数字签名等。
其中,电子签章应用功能包括WORD签章组件、FORM签章组件、Excel签章组件、OFD签章组件、PDF签章组件和WEB签章组件等。
作为本技术方案的进一步改进,所述用户管理模块、所述数字证书模块、所述加盖印章模块与所述文档保护模块依次通过网络通信连接;所述用户管理模块用于对可访问系统的用户的身份进行注册、判识并根据用户的身份分配相应的权限;所述数字证书模块用于通过证书颁发机构颁发对签署者身份进行认证并用于验证需认证者的标识信息与公钥对应关系的证书,且数字证书公开使任何人都能够查阅相关信息;所述加盖印章模块用于给用户提供在文档上加盖所需电子印章的功能,用户进行加盖签章操作时可以选择印章或骑缝章,加盖的电子签章在后台签章处理时都会对全文进行数字签名处理,且骑缝章在视觉展现形式上会在每页加盖骑缝章,以符合用户传统骑缝章合同的习惯;所述文档保护模块用于对签章完成后的文档进行固定使其无法进行修改。
作为本技术方案的进一步改进,所述签章移动模块、所述撤销签章模块、所述签章固定模块与所述签章验证模块依次通过网络通信连接;所述签章移动模块用于在加盖印章后提供移动签章所在位置的功能,便于将签章调整到指定的位置;所述撤销签章模块用于在加盖印章后提供撤销印章的功能,撤销签章时需要确认原先加盖印章或签名人的身份和密码;所述签章固定模块用于在确定签章后对签章位置进行固定,并执行禁止移动签章的指令,且签章固定后期位置不能更改,只能进行撤销操作;所述签章验证模块用于通过验证文档签章来证实文档有效性。
作为本技术方案的进一步改进,所述身份认证模块、所述数据保密模块、所述防篡机制模块与所述文档验证模块依次通过网络通信连接;所述身份认证模块用于通过载入多种实名认证的用户身份识别技术,用以确认参与网上信息交换的所有用户的身份信息;所述数据保密模块用于增设多种与主流国产软硬件适配的数据安全防护手段,通过对数据进行分布存储及数据加密来提高文档数据的安全性;所述防篡机制模块用于通过预先编设的程序指令,对签名者认可所签文档的内容及签章进行固定,使用户不能否认文档内容及抵赖签名行为,同时签章不能通过复制或其他方式进行伪造或冒充,且文档一旦被篡改则签章失效;所述文档验证模块用于给用户提高对含有电子签章的文档进行验证的服务功能,在验证过程中需分别验证用户证书的有效性、电子印章的有效性、电子签名的有效性,并把每种验证结果告知用户。
其中,身份识别技术包括实名认证、指纹采集、人脸识别、虹膜识别等。
其中,验证证书有效性时并不是验证证书当前的有效性,而是验证证书对应的密钥在产生签名的操作时间点上的有效性。
本发明的目的之二在于,提供了一种适用于公钥密码技术和支持商用密码算法的电子签章系统的运行方法,包括:
首先根据基础架构要求,搭建PKI基础设施并通过调整配置来构建支撑系统运行的环境需求,在客户端安装相应的电子签章软件,载入多种智能技术、语法、算法及插件,用户在使用时,系统首先验证用户的身份,给用户颁发数字生疏并生产其相应的电子签名,而后用户直接调用签章软件,在文档上加盖印章后可移动调整印章位置,用户二次确认签章后,文档及签章被固定且不可篡改,签章后的文档数据进行分布存储,其他用户在使用该文档时,可以通过验证用户证书的有效性、电子印章的有效性、电子签名的有效性来验证文档的有效性。
本发明的目的之三在于,提供了一种适用于公钥密码技术和支持商用密码算法的电子签章系统的运行装置,包括处理器、存储器以及存储在存储器中并在处理器上运行的计算机程序,处理器用于执行计算机程序时实现上述任一的适用于公钥密码技术和支持商用密码算法的电子签章系统。
本发明的目的之四在于,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任一的适用于公钥密码技术和支持商用密码算法的电子签章系统。
与现有技术相比,本发明的有益效果:
1.该适用于公钥密码技术和支持商用密码算法的电子签章系统通过构建完善的PKI设备架构,载入多种密码算法、安全防护手段及插件技术,使其可以适用于多语种并支持多种文档格式,其不仅支持国际常用的RSA算法,还支持国内通行的SM2、SM3等算法,系统稳定性强、运行速度快;
2.该适用于公钥密码技术和支持商用密码算法的电子签章系统通过与主流国产软硬件适配,提高其适用范围,迎合自主可控软硬件产品全国产化发展趋势,实现信息安全的自主可控,并通过防篡机制、文档验证及数据加密手段,保证文档防伪造、防篡改、防抵赖,安全可靠,提高信息安全,使签章文档具有足够的法律效力及高度权威性;
3.该适用于公钥密码技术和支持商用密码算法的电子签章系统可以满足企业或个人获取和使用电子签名、签署、验证及多语种签章的需求,从而保障用户签署文件的合规性和数据安全,帮助企业信息化转型,提高运营和管理效率。
附图说明
图1为本发明的示例性产品架构框图;
图2为本发明的整体系统装置结构图;
图3为本发明的局部系统装置结构图之一;
图4为本发明的局部系统装置结构图之二;
图5为本发明的局部系统装置结构图之三;
图6为本发明的局部系统装置结构图之四;
图7为本发明的局部系统装置结构图之五;
图8为本发明的局部系统装置结构图之六;
图9为本发明的局部系统装置结构图之七;
图10为本发明的局部系统装置结构图之八;
图11为本发明的示例性电子计算机产品平台装置结构示意图。
图中各个标号意义为:
1、服务端(1);11、签章系统(11);12、时间戳服务器(12);13、数据库(13); 14、防火墙(14);
2、云服务(2);
3、客户端(3);31、用户终端(31);32、用户(32);
4、第三方服务端(4);41、CA系统(41);42、证书发布查询服务器(42);
100、基础架构单元;101、运行环境模块;1011、技术规范模块;1012、核心配置模块;1013、服务配置模块;1014、性能参数模块;102、技术支撑模块;1021、语法记法模块;1022、插件技术模块;1023、密码算法模块;1024、哈希函数模块;103、服务端建设模块;1031、后台管理模块;1032、服务中心模块;1033、系统数库模块;104、客户端建设模块;1041、基础组件模块;1042、签章应用模块;1043、智能密钥模块;
200、用户服务单元;201、用户管理模块;202、数字证书模块;203、加盖印章模块;204、文档保护模块;
300、签章管理单元;301、签章移动模块;302、撤销签章模块;303、签章固定模块;304、签章验证模块;
400、安全防护单元;401、身份认证模块;402、数据保密模块;403、防篡机制模块;404、文档验证模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1-图11所示,本实施例提供了一种适用于公钥密码技术和支持商用密码算法的电子签章系统,包括
基础架构单元100、用户服务单元200、签章管理单元300和安全防护单元400;基础架构单元100、用户服务单元200、签章管理单元300与安全防护单元400依次通过网络通信连接;基础架构单元100用于构建支撑系统运行的网络架构并对设备进行功能配置和参数设定;用户服务单元200用于对访问系统的用户身份进行判识并对给用户提供的签章服务进行管理;签章管理单元300用于对使用电子签章功能的具体运作过程进行管理控制;安全防护单元400用于通过认证用户的身份、管理文档来提高系统的安全防护性能;
基础架构单元100包括运行环境模块101、技术支撑模块102、服务端建设模块103和客户端建设模块104;
用户服务单元200包括用户管理模块201、数字证书模块202、加盖印章模块203和文档保护模块204;
签章管理单元300包括签章移动模块301、撤销签章模块302、签章固定模块303和签章验证模块304;
安全防护单元400包括身份认证模块401、数据保密模块402、防篡机制模块403和文档验证模块404。
本实施例中,运行环境模块101、技术支撑模块102、服务端建设模块103与客户端建设模块104依次通过网络通信连接;运行环境模块101用于通过合理配置基础设备的元件使其性能可以提供满足系统运行所需的环境条件;技术支撑模块102用于载入多种相关的计算机技术来支撑系统的顺畅运行;服务端建设模块103用于对系统的后台服务端进行建设管理;客户端建设模块104用于对系统的客户端进行建设管理以便给用户提供与系统互动的通道。
进一步地,运行环境模块101包括技术规范模块1011、核心配置模块1012、服务配置模块1013和性能参数模块1014;技术规范模块1011、核心配置模块1012、服务配置模块1013与性能参数模块1014依次通过网络通信连接;技术规范模块1011用于在建设系统时导入多种国内及国际现行的签章规范文件并进行参考,使系统产品可以符合相关的规范和标准;核心配置模块1012用于对平台设备的CPU、硬盘、内存、网卡、服务器等核心设备的性能进行相应的配置;服务配置模块1013用于对平台设备中用于中间件服务的CPU、硬盘、内存、网卡、服务器的性能进行相应的配置;性能参数模块1014用于对系统运行过程中电子签章服务的各类操作性能指标进行预先设定。
其中,核心设备的性能配置包括:CPU优选8核以上,硬盘优选500以上的SCSI/SAS硬盘,内存优选16G及以上,网卡优选千兆网卡;服务器包括但不限于:2台及以上的电子签章服务系统(每台支持并发约500)、2台及以上的MySQL、2台及以上的Web资源文件服务器(用于存储css、js、图片等静态资源文件)。
其中,中间件服务的性能配置包括:CPU优选8核以上,硬盘优选250以上的SCSI/SAS 硬盘,内存优选8G及以上,网卡优选千兆网卡;服务器包括但不限于:2台及以上的Redis、 2台及以上的MySQL、2台及以上的ActiveMQ。
其中,各类操作性能参数包括:文档签章页数、文档签章验证量、响应时间、签名时间、摘要时间、盖章时间等。
进一步地,技术支撑模块102包括语法记法模块1021、插件技术模块1022、密码算法模块1023和哈希函数模块1024;语法记法模块1021、插件技术模块1022、密码算法模块1023与哈希函数模块1024依次通过网络通信连接;语法记法模块1021用于采用一套标准的描述数据的表示、编码、传输、解码的灵活记法,以正式、无歧义和精确的规则来描述独立于特定计算机硬件的对象结构;插件技术模块1022用于采用COM/ActiveX插件技术将电子签章系统植入微软Office产品中,从而实现了在WORD、EXCEL、OFD文档中使用电子签章的功能,并通过C++的开发语言,使系统可适用于多语种和多种文档格式;密码算法模块1023载入RSA、SM2、SM3等多种通用密码算法,并将密码算法与多种国产软硬件进行适配;哈希函数模块1024用于载入哈希函数及相应算法,通过对原文进行单向哈希函数运算得到的定长字符串,从而用于对公钥密码及算法进行补充。
其中,本系统中优选采用ASN.1的抽象语法记法来进行定义。
其中,客户端采用COM/ActiveX插件技术将电子签章系统植入微软Office产品中,用户在对文档进行盖章时,签章系统采用特定的数据结构将数字证书、电子印章和文档内容摘要等信息整合其中,并使用签名证书对其签名,用户通过点击工具条中的菜单按钮实现签章、验证、参数设置等操作。
其中,采用面向对象的C++开发语言,既能提供产品的运行速度,又能很好的实现面向对象的模块化设计理念。
此外,哈希函数的功能在于:数字签名使被签名数据的哈希值经过私钥加密后的结果,通过使用公钥对数字签名解密得到的值与原始数据的哈希值相对照,就能验证数字签名。
具体地,密码算法模块1023中,各类不同密码算法的实现过程分别为:
RSA算法的实现过程:
Step1、实现者寻找出两个大素数p和q;
Step3、实现者选择一个随机数e(0<e);
Step5、实现者在目录中公开n和e作为公钥;
SM2算法的实现过程:
首先,SM2算法使用的方程为:y2=x3+ax+b;
Step1、选择Ep(a,b)的元素G,使得G的阶n是一个大素数;
Step2、G的阶是指满足nG=O的最小n值;
Step3、秘密选择整数k,计算B=kG,然后公开(p,a,b,G,B),B为公钥,保密k,k为私钥;
进而,加密M:先把消息M变换成为Ep(a,b)中一个点Pm,然后,选择随机数r,计算密文Cm={rG,Pm+rP),如果r使得rG或者rP为O,则要重新选择r;
则有,解密Cm:(Pm+rP)-k(rG)=Pm+rkG-krG=Pm。
进一步地,服务端建设模块103包括后台管理模块1031、服务中心模块1032和系统数库模块1033;后台管理模块1031、服务中心模块1032与系统数库模块1033依次通过网络通信连接;后台管理模块1031用于负责电子印章生命周期管理和提供电子印章验证服务,具体包括管理员管理、印章用户管理、电子印章制作和管理、电子印章验证服务、安全审计和系统配置管理等功能;服务中心模块1032用于对电子印章的服务项目及具体功能进行配置和管理,具体包括系统登陆、USBKey管理、印章管理、用户管理、日志管理、印章安装及回收站;系统数库模块1033用于以区块链技术为基础建立电子印章系统数据库,用于分布存储各类文档及电子印章数据。
其中,服务端的功能包括但不限于:系统登陆(用户基于USBKey证书的身份验证和权限管理,需要用户使用授权的证书才能进行登录,并且登录的过程中需要用户输入私钥pin码才能完成操作)、USBKey管理(对USBKey证书的管理,包括新建、待批、修改、删除、查看等)、印章管理(对印章的管理,包括新建、待批、修改、删除、查看等)、用户管理(包括对机构和人员信息的管理)、日志管理(系统内置安全审计的功能,可以对系统管理员、操作员的操作、用户印章的使用日志进行查看和审计)、印章安装(安装印章客户端)、回收站(对删除的USBKey证书、印章及用户的管理)等。
进一步地,客户端建设模块104包括基础组件模块1041、签章应用模块1042和智能密钥模块1043;基础组件模块1041、签章应用模块1042与智能密钥模块1043依次通过网络通信连接;基础组件模块1041用于负责处理电子签章客户端软件核心功能,包括操作智能密码钥匙、解析和验证电子印章、产生解析和验证电子签章数据、验证数字证书有效性、和电子签章管理系统交互等功能;签章应用模块1042用于基于基础组件面向特定应用场景,提供电子签章客户端软件功能;智能密钥模块1043用于通过智能密码钥匙来保存签章人数字证书、密钥和电子印章、执行数字签名等。
其中,电子签章应用功能包括WORD签章组件、FORM签章组件、Excel签章组件、OFD签章组件、PDF签章组件和WEB签章组件等。
其中,智能密码钥匙优选采用北京世纪龙脉科技有限公司生产的GM3000系列、商密型号为SJK1515—G的,支持符合PKCS#11:Cryptographic Token Interface Standard和GM/T 0016《智能密码钥匙密码应用接口规范》的智能密码钥匙产品。
本实施例中,用户管理模块201、数字证书模块202、加盖印章模块203与文档保护模块204依次通过网络通信连接;用户管理模块201用于对可访问系统的用户的身份进行注册、判识并根据用户的身份分配相应的权限;数字证书模块202用于通过证书颁发机构颁发对签署者身份进行认证并用于验证需认证者的标识信息与公钥对应关系的证书,且数字证书公开使任何人都能够查阅相关信息;加盖印章模块203用于给用户提供在文档上加盖所需电子印章的功能,用户进行加盖签章操作时可以选择印章或骑缝章,加盖的电子签章在后台签章处理时都会对全文进行数字签名处理,且骑缝章在视觉展现形式上会在每页加盖骑缝章,以符合用户传统骑缝章合同的习惯;文档保护模块204用于对签章完成后的文档进行固定使其无法进行修改。
其中,数字证书可储存在USBKey中。
本实施例中,签章移动模块301、撤销签章模块302、签章固定模块303与签章验证模块304依次通过网络通信连接;签章移动模块301用于在加盖印章后提供移动签章所在位置的功能,便于将签章调整到指定的位置;撤销签章模块302用于在加盖印章后提供撤销印章的功能,撤销签章时需要确认原先加盖印章或签名人的身份和密码;签章固定模块 303用于在确定签章后对签章位置进行固定,并执行禁止移动签章的指令,且签章固定后期位置不能更改,只能进行撤销操作;签章验证模块304用于通过验证文档签章来证实文档有效性。
本实施例中,身份认证模块401、数据保密模块402、防篡机制模块403与文档验证模块404依次通过网络通信连接;身份认证模块401用于通过载入多种实名认证的用户身份识别技术,用以确认参与网上信息交换的所有用户的身份信息;数据保密模块402用于增设多种与主流国产软硬件适配的数据安全防护手段,通过对数据进行分布存储及数据加密来提高文档数据的安全性;防篡机制模块403用于通过预先编设的程序指令,对签名者认可所签文档的内容及签章进行固定,使用户不能否认文档内容及抵赖签名行为,同时签章不能通过复制或其他方式进行伪造或冒充,且文档一旦被篡改则签章失效;文档验证模块404用于给用户提高对含有电子签章的文档进行验证的服务功能,在验证过程中需分别验证用户证书的有效性、电子印章的有效性、电子签名的有效性,并把每种验证结果告知用户。
其中,身份识别技术包括实名认证、指纹采集、人脸识别、虹膜识别等。
其中,验证证书有效性时并不是验证证书当前的有效性,而是验证证书对应的密钥在产生签名的操作时间点上的有效性。
本实施例还提供了一种适用于公钥密码技术和支持商用密码算法的电子签章系统的运行方法,包括:
首先根据基础架构要求,搭建PKI基础设施并通过调整配置来构建支撑系统运行的环境需求,在客户端安装相应的电子签章软件,载入多种智能技术、语法、算法及插件,用户在使用时,系统首先验证用户的身份,给用户颁发数字生疏并生产其相应的电子签名,而后用户直接调用签章软件,在文档上加盖印章后可移动调整印章位置,用户二次确认签章后,文档及签章被固定且不可篡改,签章后的文档数据进行分布存储,其他用户在使用该文档时,可以通过验证用户证书的有效性、电子印章的有效性、电子签名的有效性来验证文档的有效性。
如图1所示,本实施例还提供了一种适用于公钥密码技术和支持商用密码算法的电子签章系统的示例性产品架构,包括由云服务2连接的服务端1、客户端3和第三方服务端4,服务端1包括签章系统11和时间戳服务器12,签章系统11和时间戳服务器12与数据库13连接,数据库13与云服务2之间设有防火墙14;客户端3包括用户终端31,用户 32可通过用户终端31访问系统平台;第三方服务端4包括CA系统41和证书发布查询服务器42,CA系统41和证书发布查询服务器42用于支撑系统顺畅运行。
如图11所示,本实施例还提供了一种适用于公钥密码技术和支持商用密码算法的电子签章系统的运行装置,该装置包括处理器、存储器以及存储在存储器中并在处理器上运行的计算机程序。
处理器包括一个或一个以上处理核心,处理器通过总线与存储器相连,存储器用于存储程序指令,处理器执行存储器中的程序指令时实现上述的适用于公钥密码技术和支持商用密码算法的电子签章系统。
可选的,存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随时存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
此外,本发明还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的适用于公钥密码技术和支持商用密码算法的电子签章系统。
可选的,本发明还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面适用于公钥密码技术和支持商用密码算法的电子签章系统。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为本发明的优选例,并不用来限制本发明,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.一种适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:包括
基础架构单元(100)、用户服务单元(200)、签章管理单元(300)和安全防护单元(400);所述基础架构单元(100)、所述用户服务单元(200)、所述签章管理单元(300)与所述安全防护单元(400)依次通过网络通信连接;所述基础架构单元(100)用于构建支撑系统运行的网络架构并对设备进行功能配置和参数设定;所述用户服务单元(200)用于对访问系统的用户身份进行判识并对给用户提供的签章服务进行管理;所述签章管理单元(300)用于对使用电子签章功能的具体运作过程进行管理控制;所述安全防护单元(400)用于通过认证用户的身份、管理文档来提高系统的安全防护性能;
所述基础架构单元(100)包括运行环境模块(101)、技术支撑模块(102)、服务端建设模块(103)和客户端建设模块(104);
所述用户服务单元(200)包括用户管理模块(201)、数字证书模块(202)、加盖印章模块(203)和文档保护模块(204);
所述签章管理单元(300)包括签章移动模块(301)、撤销签章模块(302)、签章固定模块(303)和签章验证模块(304);
所述安全防护单元(400)包括身份认证模块(401)、数据保密模块(402)、防篡机制模块(403)和文档验证模块(404);
该适用于公钥密码技术和支持商用密码算法的电子签章系统在使用时,首先根据基础架构要求,搭建PKI基础设施并通过调整配置来构建支撑系统运行的环境需求,在客户端安装相应的电子签章软件,载入多种智能技术、语法、算法及插件,用户在使用时,系统首先验证用户的身份,给用户颁发数字生疏并生产其相应的电子签名,而后用户直接调用签章软件,在文档上加盖印章后可移动调整印章位置,用户二次确认签章后,文档及签章被固定且不可篡改,签章后的文档数据进行分布存储,其他用户在使用该文档时,可以通过验证用户证书的有效性、电子印章的有效性、电子签名的有效性来验证文档的有效性。
2.根据权利要求1所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述运行环境模块(101)、所述技术支撑模块(102)、所述服务端建设模块(103)与所述客户端建设模块(104)依次通过网络通信连接;所述运行环境模块(101)用于通过合理配置基础设备的元件使其性能可以提供满足系统运行所需的环境条件;所述技术支撑模块(102)用于载入多种相关的计算机技术来支撑系统的顺畅运行;所述服务端建设模块(103)用于对系统的后台服务端进行建设管理;所述客户端建设模块(104)用于对系统的客户端进行建设管理以便给用户提供与系统互动的通道。
3.根据权利要求2所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述运行环境模块(101)包括技术规范模块(1011)、核心配置模块(1012)、服务配置模块(1013)和性能参数模块(1014);所述技术规范模块(1011)、所述核心配置模块(1012)、所述服务配置模块(1013)与所述性能参数模块(1014)依次通过网络通信连接;所述技术规范模块(1011)用于在建设系统时导入多种国内及国际现行的签章规范文件并进行参考,使系统产品可以符合相关的规范和标准;所述核心配置模块(1012)用于对平台设备的CPU、硬盘、内存、网卡、服务器等核心设备的性能进行相应的配置;所述服务配置模块(1013)用于对平台设备中用于中间件服务的CPU、硬盘、内存、网卡、服务器的性能进行相应的配置;所述性能参数模块(1014)用于对系统运行过程中电子签章服务的各类操作性能指标进行预先设定。
4.根据权利要求2所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述技术支撑模块(102)包括语法记法模块(1021)、插件技术模块(1022)、密码算法模块(1023)和哈希函数模块(1024);所述语法记法模块(1021)、所述插件技术模块(1022)、所述密码算法模块(1023)与所述哈希函数模块(1024)依次通过网络通信连接;所述语法记法模块(1021)用于采用一套标准的描述数据的表示、编码、传输、解码的灵活记法,以正式、无歧义和精确的规则来描述独立于特定计算机硬件的对象结构;所述插件技术模块(1022)用于采用COM/ActiveX插件技术将电子签章系统植入微软Office产品中,从而实现了在WORD、EXCEL、OFD文档中使用电子签章的功能,并通过C++的开发语言,使系统可适用于多语种和多种文档格式;所述密码算法模块(1023)载入RSA、SM2、SM3等多种通用密码算法,并将密码算法与多种国产软硬件进行适配;所述哈希函数模块(1024)用于载入哈希函数及相应算法,通过对原文进行单向哈希函数运算得到的定长字符串,从而用于对公钥密码及算法进行补充。
5.根据权利要求4所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述密码算法模块(1023)中,各类不同密码算法的实现过程分别为:
RSA算法的实现过程:
Step1、实现者寻找出两个大素数p和q;
Step2、实现者计算出n=pq和φ(n)=(p-1)(q-1);
Step3、实现者选择一个随机数e(0<e);
Step4、实现者使用辗转相除法计算d=e-1(modφ(n));
Step5、实现者在目录中公开n和e作为公钥;
其中,密码分析者攻击RSA体制的关键点在于如何分解n,若分解成功使n=pq,则可以算出φ(n)=(p-1)(q-1),然后由公开的e,解出秘密的d;
SM2算法的实现过程:
首先,SM2算法使用的方程为:y2=x3+ax+b;
Step1、选择Ep(a,b)的元素G,使得G的阶n是一个大素数;
Step2、G的阶是指满足nG=O的最小n值;
Step3、秘密选择整数k,计算B=kG,然后公开(p,a,b,G,B),B为公钥,保密k,k为私钥;
进而,加密M:先把消息M变换成为Ep(a,b)中一个点Pm,然后,选择随机数r,计算密文Cm={rG,Pm+rP),如果r使得rG或者rP为O,则要重新选择r;
则有,解密Cm:(Pm+rP)-k(rG)=Pm+rkG-krG=Pm。
6.根据权利要求2所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述服务端建设模块(103)包括后台管理模块(1031)、服务中心模块(1032)和系统数库模块(1033);所述后台管理模块(1031)、所述服务中心模块(1032)与所述系统数库模块(1033)依次通过网络通信连接;所述后台管理模块(1031)用于负责电子印章生命周期管理和提供电子印章验证服务,具体包括管理员管理、印章用户管理、电子印章制作和管理、电子印章验证服务、安全审计和系统配置管理等功能;所述服务中心模块(1032)用于对电子印章的服务项目及具体功能进行配置和管理,具体包括系统登陆、USBKey管理、印章管理、用户管理、日志管理、印章安装及回收站;所述系统数库模块(1033)用于以区块链技术为基础建立电子印章系统数据库,用于分布存储各类文档及电子印章数据。
7.根据权利要求2所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述客户端建设模块(104)包括基础组件模块(1041)、签章应用模块(1042)和智能密钥模块(1043);所述基础组件模块(1041)、所述签章应用模块(1042)与所述智能密钥模块(1043)依次通过网络通信连接;所述基础组件模块(1041)用于负责处理电子签章客户端软件核心功能,包括操作智能密码钥匙、解析和验证电子印章、产生解析和验证电子签章数据、验证数字证书有效性、和电子签章管理系统交互等功能;所述签章应用模块(1042)用于基于基础组件面向特定应用场景,提供电子签章客户端软件功能;所述智能密钥模块(1043)用于通过智能密码钥匙来保存签章人数字证书、密钥和电子印章、执行数字签名等。
8.根据权利要求1所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述用户管理模块(201)、所述数字证书模块(202)、所述加盖印章模块(203)与所述文档保护模块(204)依次通过网络通信连接;所述用户管理模块(201)用于对可访问系统的用户的身份进行注册、判识并根据用户的身份分配相应的权限;所述数字证书模块(202)用于通过证书颁发机构颁发对签署者身份进行认证并用于验证需认证者的标识信息与公钥对应关系的证书,且数字证书公开使任何人都能够查阅相关信息;所述加盖印章模块(203)用于给用户提供在文档上加盖所需电子印章的功能,用户进行加盖签章操作时可以选择印章或骑缝章,加盖的电子签章在后台签章处理时都会对全文进行数字签名处理,且骑缝章在视觉展现形式上会在每页加盖骑缝章,以符合用户传统骑缝章合同的习惯;所述文档保护模块(204)用于对签章完成后的文档进行固定使其无法进行修改。
9.根据权利要求1所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述签章移动模块(301)、所述撤销签章模块(302)、所述签章固定模块(303)与所述签章验证模块(304)依次通过网络通信连接;所述签章移动模块(301)用于在加盖印章后提供移动签章所在位置的功能,便于将签章调整到指定的位置;所述撤销签章模块(302)用于在加盖印章后提供撤销印章的功能,撤销签章时需要确认原先加盖印章或签名人的身份和密码;所述签章固定模块(303)用于在确定签章后对签章位置进行固定,并执行禁止移动签章的指令,且签章固定后期位置不能更改,只能进行撤销操作;所述签章验证模块(304)用于通过验证文档签章来证实文档有效性。
10.根据权利要求1所述的适用于公钥密码技术和支持商用密码算法的电子签章系统,其特征在于:所述身份认证模块(401)、所述数据保密模块(402)、所述防篡机制模块(403)与所述文档验证模块(404)依次通过网络通信连接;所述身份认证模块(401)用于通过载入多种实名认证的用户身份识别技术,用以确认参与网上信息交换的所有用户的身份信息;所述数据保密模块(402)用于增设多种与主流国产软硬件适配的数据安全防护手段,通过对数据进行分布存储及数据加密来提高文档数据的安全性;所述防篡机制模块(403)用于通过预先编设的程序指令,对签名者认可所签文档的内容及签章进行固定,使用户不能否认文档内容及抵赖签名行为,同时签章不能通过复制或其他方式进行伪造或冒充,且文档一旦被篡改则签章失效;所述文档验证模块(404)用于给用户提高对含有电子签章的文档进行验证的服务功能,在验证过程中需分别验证用户证书的有效性、电子印章的有效性、电子签名的有效性,并把每种验证结果告知用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111309715.1A CN114638009A (zh) | 2021-11-07 | 2021-11-07 | 一种适用于公钥密码技术和支持商用密码算法的电子签章系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111309715.1A CN114638009A (zh) | 2021-11-07 | 2021-11-07 | 一种适用于公钥密码技术和支持商用密码算法的电子签章系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114638009A true CN114638009A (zh) | 2022-06-17 |
Family
ID=81946823
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111309715.1A Pending CN114638009A (zh) | 2021-11-07 | 2021-11-07 | 一种适用于公钥密码技术和支持商用密码算法的电子签章系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114638009A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116090026A (zh) * | 2023-04-06 | 2023-05-09 | 北京惠朗时代科技有限公司 | 一种基于大数据的电子签章使用安全管理系统 |
-
2021
- 2021-11-07 CN CN202111309715.1A patent/CN114638009A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116090026A (zh) * | 2023-04-06 | 2023-05-09 | 北京惠朗时代科技有限公司 | 一种基于大数据的电子签章使用安全管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110268678B (zh) | 基于pki的认证代理用户的登录方法及利用其的服务器 | |
JP2023106528A (ja) | プルーフ検証に基づいてオフ・チェーン・データを認証するシステム及び方法 | |
CN1717896B (zh) | 用于对电子文档进行数字签名的方法、计算机设备和系统 | |
US8627424B1 (en) | Device bound OTP generation | |
CN112437938A (zh) | 用于区块链地址和所有者验证的系统和方法 | |
EP2761487B1 (en) | Parameter based key derivation | |
CN1922816B (zh) | 单向认证 | |
CN113301022B (zh) | 基于区块链和雾计算的物联网设备身份安全认证方法 | |
Guarnizo et al. | PDFS: practical data feed service for smart contracts | |
CN109889497A (zh) | 一种去信任的数据完整性验证方法 | |
CN107633402B (zh) | 一种用于聚合认证的方法及其系统 | |
CN112199721A (zh) | 认证信息处理方法、装置、设备及存储介质 | |
CN111881483B (zh) | 基于区块链的资源账户绑定方法、装置、设备和介质 | |
WO2005107146A1 (en) | Trusted signature with key access permissions | |
CN111222879A (zh) | 一种适用于联盟链的无证书认证方法及系统 | |
CN115460019B (zh) | 基于数字身份的目标应用提供方法和装置、设备和介质 | |
CN114760071B (zh) | 基于零知识证明的跨域数字证书管理方法、系统和介质 | |
KR20120091618A (ko) | 연쇄 해시에 의한 전자서명 시스템 및 방법 | |
CN109670289B (zh) | 一种识别后台服务器合法性的方法及系统 | |
CN114760070A (zh) | 数字证书颁发方法、数字证书颁发中心和可读存储介质 | |
CN110266653A (zh) | 一种鉴权方法、系统及终端设备 | |
CN114638009A (zh) | 一种适用于公钥密码技术和支持商用密码算法的电子签章系统 | |
CN117390693A (zh) | 一种电子签章互签互认的平台及方法 | |
CN104158662A (zh) | 基于XAdES的多人电子凭证及实现方法 | |
CN113869901B (zh) | 密钥生成方法、装置、计算机可读存储介质及计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |