CN114978528B - 一种高可靠的机构智能移动数字签名方法和系统 - Google Patents

一种高可靠的机构智能移动数字签名方法和系统 Download PDF

Info

Publication number
CN114978528B
CN114978528B CN202210464175.2A CN202210464175A CN114978528B CN 114978528 B CN114978528 B CN 114978528B CN 202210464175 A CN202210464175 A CN 202210464175A CN 114978528 B CN114978528 B CN 114978528B
Authority
CN
China
Prior art keywords
organization
certificate
digital signature
signing
pin code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210464175.2A
Other languages
English (en)
Other versions
CN114978528A (zh
Inventor
胡新文
汪洋
唐俊
赵蕊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Yinqia Digital Technology Co ltd
Original Assignee
Shanghai Yinqia Digital Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Yinqia Digital Technology Co ltd filed Critical Shanghai Yinqia Digital Technology Co ltd
Priority to CN202210464175.2A priority Critical patent/CN114978528B/zh
Publication of CN114978528A publication Critical patent/CN114978528A/zh
Application granted granted Critical
Publication of CN114978528B publication Critical patent/CN114978528B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及机构数字签名领域,尤其涉及一种高可靠的机构智能移动数字签名方法与系统。通过建立由手机APP、机构后台Web端、服务端、权威CA服务、权威区块链构成的智能移动数字签名系统,个人经该系统实人认证且被机构授权为用印员之后,个人和机构的数字证书及私钥皆绑定手机设备指纹。用印员在记载有机构拟签文书哈希值的凭证上签名,以确认和鉴权机构的签署意愿,然后自动触发机构私钥在待签署电子文书上进行签名,确保除了机构授权的用印员之外的任何人都无法进行机构签名,真正践行了“零信任”理念,彻底实现了移动端高可靠的机构数字签名尤其是高可靠的批量签名,解决了长久以来机构移动签名无法同时兼顾可靠性与便捷性的难题。

Description

一种高可靠的机构智能移动数字签名方法和系统
技术领域
本发明涉及机构数字签名技术领域,尤其涉及一种高可靠的机构智能移动数字签名方法和系统。
背景技术
通过互联网等网络签署机构电子文书的电子签名系统早已出现,这些系统的签署意愿认证不外乎是:机构管理员在电子签名系统授权某自然人为用印员,则被授权人可代表机构签署电子文书。当机构需要签署电子文书时,验证用印员手机号作为机构签署的意愿证明。又通过已经在世界范围内普及的基于人脸识别的KYC技术,对用印员完成人脸比对,即作为机构签署的意愿证明。又用印员先设置机构专属PIN码,在机构签署时验证输入PIN码,即作为机构签署的意愿证明。
上述机构签署意愿认证要么低可靠、可冒签,要么高可靠但用户担忧隐私、体验差,要么高可靠但操作复杂。但是随着IT技术的进展和电子签名法不断完善,以及政府将数字化转型纳入重点发展,现在已经提倡通过互联网上签署合同、函件、证明和授权委托书等电子文书。这些种类的电子文书不仅需要保证其安全可靠地签署,而且还需要便捷方便、易推广并满足不同层次机构用户的高可靠签署要求,以及证明电子文书签署的具体过程。以往的技术多是通过短信验证码验证机构用印员手机号证明机构电子文书签署的意愿,但由于小偷或身边人在拿到手机后可获取短信验证码,尤其是手机号码被通信运营商回收后下一个持有该手机号码者也可获取短信验证码,短信验证通过即可进行机构电子文书签署,可靠度低——尤其用于机构批量静默签署时更加不可靠,极可能被冒签、盗签,所以通过短信验证码验证手机号证明电子文书签署意愿并非高可靠。又随着基于人脸识别的KYC技术的普及,除了短信验证之外大多数平台采用了基于人脸识别的KYC技术达到高可靠,但机构用户对于隐私担忧、体验比短信差、有一些操作难度且成本高,中小平台不易被接纳。少数情况即使采用了机构专属PIN码达到高可靠,但签署人在不同机构身份下需要设置各自专属PIN码,多个机构身份有多个专属的PIN码,难记忆、难管理、使用不方便且操作流程复杂,不利于推广普及。
发明内容
针对背景技术中存在的问题,提出一种高可靠的机构智能移动数字签名方法和系统。本发明通过短信验证、人脸识别等多层次身份识别技术验证机构被授权人身份主体。通过验证被授权人专属PIN码完成机构签署意愿认证。通过计算机构电子文书内容的哈希值,结合文书名称、机构主体信息等生成签署意愿凭证,被授权人即机构用印员在凭证上输PIN码签字确认意愿,高可靠确保数字签名不可抵赖,并能被司法采信。
本发明提出一种高可靠的机构智能移动数字签名系统,包括手机APP、机构后台Web端、服务端、权威CA服务和权威区块链。手机APP包括注册模块、数字签名模块和实人认证模块;机构后台Web端包括授权模块;权威CA服务包括查询模块、专属PIN码设置模块、验证模块和证书下载模块;服务端包括记录模块、证明生成模块、哈希值计算模块和固证模块;权威区块链包括存证模块和区块链证书生成模块。
本发明又提出一种高可靠的机构智能移动数字签名方法,基于上述的系统,步骤如下:
S1、被授权人经过实人认证被机构授权,全程存证;
S2、进行机构电子文书数字签名;
S3、根据S1和S2过程中的信息内容生成对应的证明文件,对机构电子文书数字签名进行证明。
优选的,S1中,被授权人在授权为用印员之前,先进行个人账号注册,完成实人认证,实人认证过程全程存证;实人认证后机构管理员设置被授权人为用印员,被授权人下载个人证书、机构证书并申请设置个人专属PIN码。
优选的,S1的具体步骤如下:
S11、被授权人在手机APP先通过短信验证完成个人账号注册,再基于人脸识别KYC技术,比对身份信息和人脸完成实人认证,实人认证过程全程记录并存证到权威区块链;
S12、机构管理员登录机构后台Web端将被授权人授权为用印员,同时服务端记录所有操作过程并生成机构授权证明,此证明被存证到区块链;
S13、被授权人即用印员登录手机APP,从权威CA服务查询PIN码状态并完成检查,在未设置PIN码的情况下进行人脸认证;经比对身份信息和人脸后,通过手机APP向权威CA服务申请个人专属PIN码,在专属PIN码安全控件上重复输入2次PIN码完成设置,设置成功后服务端生成PIN码设置证明;
S14、PIN码检查通过或已成功设置后,通过手机APP从权威CA服务查询个人和机构证书状态并完成检查,证书异常则进行人脸认证;经比对身份信息和人脸后通过手机APP采用智能移动分散密钥签名技术生成公私钥对并从权威CA服务下载个人证书和机构证书,个人和机构的数字证书及私钥皆绑定手机APP的设备指纹;服务端记录主体身份信息、人脸、操作设备指纹以及全部过程并生成证书下载证明。
优选的,S13中的PIN码设置证明包含主体身份信息、人脸、手机设备指纹、加密PIN码及加密密钥和设置时间。
优选的,S2中,当机构为待签署人时,服务端计算待签署的机构电子文书哈希值,生成机构签署意愿凭证PDF文件;然后被授权人即用印员确认签署输入个人专属PIN码,提交给权威CA服务验证,验证通过后签署意愿凭证上加盖用印员个人章固证,并代表机构的签署意愿,签署意愿在半小时内有效,通过手机APP采用智能移动分散密钥签名技术自动触发机构私钥在电子文书上加盖机构章完成机构数字签名,不仅可以签单个电子文书也适用于机构批量用印(当用印员在凭证上签字确认意愿后自动在选定的一批电子文书上逐一进行机构数字签名),每次数字签名时需校验用印员手机APP设备指纹以确认用印员身份,除用印员以外任何人(包括本系统)都无法冒签,高可靠确保数字签名不可抵赖,并能被司法采信。
优选的,S2的具体步骤如下:
S21、服务端计算待签署机构电子文书的哈希值,结合签署机构信息、授权信息并生成机构签署意愿凭证PDF文件;
S22、被授权人即用印员通过手机APP确认签署机构电子文书并输入个人专属PIN码,将输入的PIN码提交给权威CA服务验证,验证通过后通过手机APP采用智能移动分散密钥签名技术在机构签署意愿凭证上加盖用印员个人章固证,并代表机构的签署意愿,签署意愿在半小时内有效;服务端同时保存机构签署意愿凭证并存证到权威区块链;
S23、通过手机APP采用智能移动分散密钥签名技术自动触发机构私钥在机构电子文书上加盖机构章完成机构数字签名,不仅可以签单个电子文书也适用于机构批量用印(当用印员在凭证上签字确认意愿后自动在选定的一批电子文书上逐一进行机构数字签名),每次数字签名时需校验用印员手机APP设备指纹以确认用印员身份,除用印员以外任何人(包括本系统)都无法冒签,高可靠确保数字签名不可抵赖,并能被司法采信。
优选的,个人章和机构章均包括数字签名、数字证书和可信时间戳。
优选的,S3中,根据签署机构的请求,服务端向签署机构出具专门的数字签名过程证明书,包含机构授权证明、证书下载证明、PIN码设置证明、机构签署意愿凭证和区块链证书。
优选的,机构授权证明包括机构管理员登录及操作时间和被授权人信息;证书下载证明包括申请证书主体身份信息、人脸照片或视频、手机设备指纹和下载时间;PIN码设置证明包括申请PIN码主体身份信息、人脸照片或视频、手机设备指纹、加密PIN码及加密密钥和设置时间;机构签署意愿凭证包括该签署的机构电子文书及其哈希值、流程信息和用印员个人数字签名;区块链证书包括该签署的电子文书及其过程的哈希值。
与现有技术相比,本发明具有如下有益的技术效果:
本发明建立由手机APP、机构后台Web端、服务端、权威CA服务、权威区块链构成的智能移动数字签名系统。机构被授权人通过该系统进行实人注册并实人认证,完成个人证书下载、机构证书下载和个人专属PIN码设置,在签署意愿凭证上签字确认机构用印意愿后待签署电子文书上自动加盖机构章(包含数字签名)即可完成机构电子文书的签署。通过哈希摘要、数字签名与区块链技术对机构电子文书原文及数字签名过程全程固证,可有效防篡改且易追溯,解决了机构电子文书签署过程中的不可靠或低可靠问题。通过短信验证、人脸识别等多层次身份识别技术验证机构被授权人身份主体,解决了机构在互联网上无法高可靠便捷完成授权的问题。通过验证被授权人专属PIN码完成机构签署意愿认证,不再需要设置机构专属PIN码等复杂操作,解决了机构用户签署意愿证明高可靠与便捷性之间的互斥问题。通过计算机构电子文书内容的哈希值,结合文书名称、机构主体信息等生成签署意愿凭证,被授权人即机构用印员在凭证上输PIN码签字确认意愿,签署意愿仅半小时有效,同时整个过程中的数据上区块链固证,数字签名全流程证据在线留痕,有效解决了验证被授权人的专属PIN码无法证明机构签署意愿的问题。通过在进行数字签名时每次校验数字证书绑定的用印员手机APP设备指纹,由于设备仅被机构用印员本人掌控,本系统无法冒签可自证清白,有效解决了使用托管证书易被冒签并且无法自证清白的问题,高可靠确保数字签名不可抵赖,并能被司法采信。
附图说明
图1为本发明一种实施例中系统的结构示意图;
图2为本发明一种实施例中被授权人实人认证的方法流程图
图3为本发明一种实施例中机构授权用印员的方法流程图;
图4为本发明一种实施例中设置PIN码和下载证书的流程图;
图5为本发明一种实施例中机构用印的流程图。
具体实施方式
实施例一
如图1所示,本发明提出的一种高可靠的机构智能移动数字签名系统,基于“零信任”理念设计,通过对机构用印所有环节(登录、授权、意愿确认、数字证书绑定手机设备指纹等等)逐一进行主体身份验证,从而实现了高可靠的机构智能移动数字签名。本系统包括客户端、服务端和第三方服务。客户端包括手机APP和机构后台Web端。第三方服务包括权威CA服务和权威区块链。
服务端包括记录模块、证明生成模块、哈希值计算模块和固证模块,通过SSL安全互联网连接手机APP和机构后台Web端。手机APP包括注册模块、数字签名模块和实人认证模块,用印员通过手机APP进行机构用印。机构后台Web端包括授权模块,机构管理员通过机构后台Web端进行授权。权威CA服务包括查询模块、专属PIN码设置模块、验证模块和证书下载模块,且与手机APP以及服务端连接。权威区块链包括存证模块和区块链证书生成模块,且与服务端连接。
实施例二
如图2-5所示,本发明又提出一种高可靠的机构智能移动数字签名方法,步骤如下:
S1、被授权人经过实人认证被机构授权,全程存证:被授权人在授权为用印员之前,先进行个人账号注册,完成实人认证,实人认证过程全程存证;实人认证后机构管理员设置被授权人为用印员,被授权人下载个人证书、机构证书并申请设置个人专属PIN码。
S2、进行机构电子文书数字签名:当机构为待签署人时,服务端计算待签署的机构电子文书哈希值,生成机构签署意愿凭证PDF文件;然后被授权人即用印员确认签署输入个人专属PIN码,提交给权威CA服务验证,验证通过后签署意愿凭证上加盖用印员个人章固证,并代表机构的签署意愿,签署意愿在半小时内有效,通过手机APP采用智能移动分散密钥签名技术自动触发机构私钥在电子文书上加盖机构章完成机构数字签名,不仅可以签单个电子文书也适用于机构批量用印(当用印员在凭证上签字确认意愿后自动在选定的一批电子文书上逐一进行机构数字签名),每次数字签名时需校验用印员手机APP设备指纹以确认用印员身份,除用印员以外任何人(包括本系统)都无法冒签,高可靠确保数字签名不可抵赖,并能被司法采信。
S3、根据S1和S2过程中的信息内容生成对应的证明文件,对机构电子文书数字签名进行证明,数字签名过程证明书包含机构授权证明、证书下载证明、PIN码设置证明、机构签署意愿凭证和区块链证书。
实施例三
如图2-5所示,本发明又提出一种高可靠的机构智能移动数字签名方法,步骤如下:
S1、被授权人经过实人认证被机构授权,全程存证:被授权人在授权为用印员之前,先进行个人账号注册,完成实人认证,实人认证过程全程存证;实人认证后机构管理员设置被授权人为用印员,被授权人下载个人证书、机构证书并申请设置个人专属PIN码。
进一步的,S1的具体步骤如下:
S11、被授权人在手机APP先通过短信验证完成个人账号注册,再基于人脸识别KYC技术,比对身份信息和人脸完成实人认证,实人认证过程全程记录并存证到权威区块链。注册和实人认证还可以通过小程序、Web网站完成,数据最终均保存在服务端。
S12、机构管理员登录机构后台Web端将被授权人授权为用印员,同时服务端记录所有操作过程并生成机构授权证明,此证明被存证到区块链。
S13、被授权人即用印员登录手机APP,从权威CA服务查询PIN码状态并完成检查,在未设置PIN码的情况下进行人脸认证;经比对身份信息和人脸后,通过手机APP向权威CA服务申请个人专属PIN码,在专属PIN码安全控件上重复输入2次PIN码完成设置,设置成功后服务端生成PIN码设置证明。
S14、PIN码检查通过或已成功设置后,通过手机APP从权威CA服务查询个人和机构证书状态并完成检查,证书异常则进行人脸认证;经比对身份信息和人脸后通过手机APP采用智能移动分散密钥签名技术生成公私钥对并从权威CA服务下载个人证书和机构证书,个人和机构的数字证书及私钥皆绑定手机APP的设备指纹;服务端记录主体身份信息、人脸、操作设备指纹以及全部过程并生成证书下载证明。
进一步的,S13中的PIN码设置证明包含主体身份信息、人脸、手机设备指纹、加密PIN码及加密密钥和设置时间。
S2、进行机构电子文书数字签名:当机构为待签署人时,服务端计算待签署的机构电子文书哈希值,生成机构签署意愿凭证PDF文件;然后被授权人即用印员确认签署输入个人专属PIN码,提交给权威CA服务验证,验证通过后签署意愿凭证上加盖用印员个人章固证,并代表机构的签署意愿,签署意愿在半小时内有效,通过手机APP采用智能移动分散密钥签名技术自动触发机构私钥在电子文书上加盖机构章完成机构数字签名,不仅可以签单个电子文书也适用于机构批量用印(当用印员在凭证上签字确认意愿后自动在选定的一批电子文书上逐一进行机构数字签名),每次数字签名时需校验用印员手机APP设备指纹以确认用印员身份,除用印员以外任何人(包括本系统)都无法冒签,高可靠确保数字签名不可抵赖,并能被司法采信。
进一步的,S2的具体步骤如下:
S21、服务端计算待签署机构电子文书的哈希值,结合签署机构信息、授权信息并生成机构签署意愿凭证PDF文件。
S22、被授权人即用印员通过手机APP确认签署机构电子文书并输入个人专属PIN码(输入PIN码前可查看机构签署意愿凭证),将输入的PIN码提交给权威CA服务验证,验证通过后通过手机APP采用智能移动分散密钥签名技术在机构签署意愿凭证上加盖用印员个人章固证,并代表机构的签署意愿,签署意愿在半小时内有效;服务端同时保存机构签署意愿凭证并存证到权威区块链。
S23、通过手机APP采用智能移动分散密钥签名技术自动触发机构私钥在电子文书上加盖机构章完成机构数字签名,不仅可以签单个电子文书也适用于机构批量用印(当用印员在凭证上签字确认意愿后自动在选定的一批电子文书上逐一进行机构数字签名),每次数字签名时需校验用印员手机APP设备指纹以确认用印员身份,除用印员以外任何人(包括本系统)都无法冒签,高可靠确保数字签名不可抵赖,并能被司法采信。
进一步的,个人章和机构章均包括数字签名、数字证书和可信时间戳。
S3、根据S1和S2过程中的信息内容生成对应的证明文件,对机构电子文书数字签名进行证明,数字签名过程证明书包含机构授权证明、证书下载证明、PIN码设置证明、机构签署意愿凭证和区块链证书。
进一步的,机构授权证明包括机构管理员登录及操作时间和被授权人信息;证书下载证明包括申请证书主体身份信息、人脸照片或视频、手机设备指纹和下载时间;PIN码设置证明包括申请PIN码主体身份信息、人脸照片或视频、手机设备指纹、加密PIN码及加密密钥和设置时间;机构签署意愿凭证包括该签署的机构电子文书及其哈希值、流程信息和用印员个人数字签名;区块链证书包括该签署的电子文书及其过程的哈希值;通过机构授权证明、证书下载证明、PIN码设置证明、机构签署意愿凭证和区块链证书可高可靠证明签署机构已完成机构电子文书的签署。
本发明建立由手机APP、机构后台Web端、服务端、权威CA服务、权威区块链构成的智能移动数字签名系统。本系统是基于“零信任”理念设计,通过对机构用印所有环节(登录、授权、意愿确认、数字证书绑定手机设备指纹等等)逐一进行主体身份验证,从而实现了高可靠的机构智能移动数字签名。机构被授权人通过该系统进行实人注册并实人认证,完成个人证书下载、机构证书下载和个人专属PIN码设置,在签署意愿凭证上签字确认机构用印意愿后待签署电子文书上自动加盖机构章(包含数字签名)即可完成机构电子文书的签署。通过哈希摘要、数字签名与区块链技术对机构电子文书原文及数字签名过程全程固证,可有效防篡改且易追溯,解决了机构电子文书签署过程中的不可靠或低可靠问题。通过短信验证、人脸识别等多层次身份识别技术验证机构被授权人身份主体,解决了机构在互联网上无法高可靠便捷完成授权的问题。通过验证被授权人专属PIN码完成机构签署意愿认证,不再需要设置机构专属PIN码等复杂操作,解决了机构用户签署意愿证明高可靠与便捷性之间的互斥问题。通过计算机构电子文书内容的哈希值,结合文书名称、机构主体信息等生成签署意愿凭证,被授权人即机构用印员在凭证上输PIN码签字确认意愿,签署意愿仅半小时有效,同时整个过程中的数据上区块链固证,数字签名全流程证据在线留痕,有效解决了验证被授权人的专属PIN码无法证明机构签署意愿的问题。通过在进行数字签名时每次校验数字证书绑定的用印员手机APP设备指纹,由于设备仅被机构用印员本人掌控,本系统无法冒签可自证清白,有效解决了使用托管证书易被冒签并且无法自证清白的问题,高可靠确保数字签名不可抵赖,并能被司法采信。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于此,在所属技术领域的技术人员所具备的知识范围内,在不脱离本发明宗旨的前提下还可以作出各种变化。

Claims (7)

1.一种高可靠的机构智能移动数字签名系统,基于“零信任”理念,其特征在于,包括手机APP、机构后台Web端、服务端、权威CA服务和权威区块链;
手机APP包括注册模块、数字签名模块和实人认证模块;机构后台Web端包括授权模块;权威CA服务包括查询模块、专属PIN码设置模块、验证模块和证书下载模块;服务端包括记录模块、证明生成模块、哈希值计算模块和固证模块;权威区块链包括存证模块和区块链证书生成模块;
上述系统的工作方法如下:
S1、被授权人经过实人认证被机构授权,全程存证:被授权人在手机APP先通过短信验证完成个人账号注册,再基于人脸识别KYC技术,比对身份信息和人脸完成实人认证,实人认证过程全程记录并存证到权威区块链;机构管理员登录机构后台Web端将被授权人授权为用印员,同时服务端记录所有操作过程并生成机构授权证明,此证明被存证到区块链;被授权人即用印员登录手机APP,从权威CA服务查询PIN码状态并完成检查,在未设置PIN码的情况下进行人脸认证;经比对身份信息和人脸后,通过手机APP向权威CA服务申请个人专属PIN码,在专属PIN码安全控件上重复输入2次PIN码完成设置,设置成功后服务端生成PIN码设置证明;PIN码检查通过或已成功设置后,通过手机APP从权威CA服务查询个人和机构证书状态并完成检查,证书异常则进行人脸认证;经比对身份信息和人脸后通过手机APP采用智能移动分散密钥签名技术生成公私钥对并从权威CA服务下载个人证书和机构证书,个人和机构的数字证书及私钥皆绑定手机APP的设备指纹;服务端记录主体身份信息、人脸、操作设备指纹以及全部过程并生成证书下载证明;
S2、进行机构电子文书数字签名:服务端计算待签署机构电子文书的哈希值,结合签署机构信息、授权信息并生成机构签署意愿凭证PDF文件; 被授权人即用印员通过手机APP确认签署机构电子文书并输入个人专属PIN码,将输入的PIN码提交给权威CA服务验证,验证通过后通过手机APP采用智能移动分散密钥签名技术在机构签署意愿凭证上加盖用印员个人章固证,并代表机构的签署意愿,签署意愿在半小时内有效;服务端同时保存机构签署意愿凭证并存证到权威区块链;通过手机APP采用智能移动分散密钥签名技术自动触发机构私钥在电子文书上加盖机构章完成机构数字签名,不仅可以签单个电子文书也适用于机构批量用印,每次数字签名时需校验用印员手机APP设备指纹以确认用印员身份;
S3、根据S1和S2过程中的信息内容生成对应的证明文件,对机构电子文书数字签名进行证明。
2.根据权利要求1所述的一种高可靠的机构智能移动数字签名系统,其特征在于,S1中,被授权人在授权为用印员之前,先进行个人账号注册,完成实人认证,实人认证过程全程存证;实人认证后机构管理员设置被授权人为用印员,被授权人下载个人证书、机构证书并申请设置个人专属PIN码。
3.根据权利要求2所述的一种高可靠的机构智能移动数字签名系统,其特征在于,PIN码设置证明包含主体身份信息、人脸、手机设备指纹、加密PIN码及加密密钥和设置时间。
4.根据权利要求1所述的一种高可靠的机构智能移动数字签名系统,其特征在于,S2中,当机构为待签署人时,服务端计算待签署的机构电子文书哈希值,生成机构签署意愿凭证PDF文件;然后被授权人即用印员确认签署输入个人专属PIN码,提交给权威CA服务验证,验证通过后签署意愿凭证上加盖用印员个人章代表机构签署意愿。
5.根据权利要求4所述的一种高可靠的机构智能移动数字签名系统,其特征在于,个人章和机构章均包括数字签名、数字证书和可信时间戳。
6.根据权利要求1所述的一种高可靠的机构智能移动数字签名系统,其特征在于,S3中,根据签署机构的请求,服务端向签署机构出具专门的数字签名过程证明书,包含机构授权证明、证书下载证明、PIN码设置证明、机构签署意愿凭证和区块链证书。
7.根据权利要求6所述的一种高可靠的机构智能移动数字签名系统,其特征在于,机构授权证明包括机构管理员登录及操作时间和被授权人信息;证书下载证明包括申请证书主体身份信息、人脸照片或视频、手机设备指纹和下载时间;PIN码设置证明包括申请PIN码主体身份信息、人脸照片或视频、手机设备指纹、加密PIN码及加密密钥和设置时间;机构签署意愿凭证包括该签署的机构电子文书及其哈希值、流程信息和用印员本人数字签名;区块链证书包括该签署的电子文书及其过程的哈希值。
CN202210464175.2A 2022-04-29 2022-04-29 一种高可靠的机构智能移动数字签名方法和系统 Active CN114978528B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210464175.2A CN114978528B (zh) 2022-04-29 2022-04-29 一种高可靠的机构智能移动数字签名方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210464175.2A CN114978528B (zh) 2022-04-29 2022-04-29 一种高可靠的机构智能移动数字签名方法和系统

Publications (2)

Publication Number Publication Date
CN114978528A CN114978528A (zh) 2022-08-30
CN114978528B true CN114978528B (zh) 2023-12-22

Family

ID=82979247

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210464175.2A Active CN114978528B (zh) 2022-04-29 2022-04-29 一种高可靠的机构智能移动数字签名方法和系统

Country Status (1)

Country Link
CN (1) CN114978528B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881290A (zh) * 2018-07-17 2018-11-23 深圳前海微众银行股份有限公司 基于区块链的数字证书使用方法、系统及存储介质
CN110620763A (zh) * 2019-08-27 2019-12-27 广东南粤银行股份有限公司 一种基于移动端app的移动身份认证方法及系统
CN112202558A (zh) * 2020-12-02 2021-01-08 江苏通付盾区块链科技有限公司 一种基于区块链的可信数字签名方法及装置
CN113127822A (zh) * 2021-03-24 2021-07-16 广州智投链码科技有限公司 一种基于企业链码的企业电子印章管理方法及系统
CN113609527A (zh) * 2021-07-06 2021-11-05 微易签(杭州)科技有限公司 一种基于区块链创建数字签名的方法、系统及设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7904722B2 (en) * 1994-07-19 2011-03-08 Certco, Llc Method for securely using digital signatures in a commercial cryptographic system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881290A (zh) * 2018-07-17 2018-11-23 深圳前海微众银行股份有限公司 基于区块链的数字证书使用方法、系统及存储介质
CN110620763A (zh) * 2019-08-27 2019-12-27 广东南粤银行股份有限公司 一种基于移动端app的移动身份认证方法及系统
CN112202558A (zh) * 2020-12-02 2021-01-08 江苏通付盾区块链科技有限公司 一种基于区块链的可信数字签名方法及装置
CN113127822A (zh) * 2021-03-24 2021-07-16 广州智投链码科技有限公司 一种基于企业链码的企业电子印章管理方法及系统
CN113609527A (zh) * 2021-07-06 2021-11-05 微易签(杭州)科技有限公司 一种基于区块链创建数字签名的方法、系统及设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A Secure Identity Authentication Scheme Based on Blockchain and Identity-based Cryptography;Ao, WJ (Ao, Weijun);2019 IEEE 2ND INTERNATIONAL CONFERENCE ON COMPUTER AND COMMUNICATION ENGINEERING TECHNOLOGY (CCET);全文 *
基于区块链的数字身份管理系统设计与实现;王喆;中国优秀硕士学位论文全文数据库 信息科技辑;全文 *

Also Published As

Publication number Publication date
CN114978528A (zh) 2022-08-30

Similar Documents

Publication Publication Date Title
CN107070667B (zh) 身份认证方法
CN108834144B (zh) 运营商码号与账号的关联管理方法与系统
US8615663B2 (en) System and method for secure remote biometric authentication
US7225337B2 (en) Cryptographic security method and electronic devices suitable therefor
US20090293111A1 (en) Third party system for biometric authentication
CN109150535A (zh) 一种身份认证方法、设备、计算机可读存储介质及装置
WO2001092994A2 (en) Method for biometric encryption of e-mail
WO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
CN107040513A (zh) 一种可信访问认证处理方法、用户终端和服务端
CN114531277B (zh) 一种基于区块链技术的用户身份认证方法
JP7212169B2 (ja) ブラウザのウェブストレージを利用した簡易認証方法及びシステム
CN112953970A (zh) 一种身份认证方法及身份认证系统
CN116438531A (zh) 利用基于浏览器的安全pin认证的did系统及其控制方法
CN113132362B (zh) 一种可信授权方法、装置、电子设备及存储介质
CN106936588A (zh) 一种硬件控制锁的托管方法、装置及系统
US20080250245A1 (en) Biometric-based document security
CN109462572B (zh) 基于加密卡和UsbKey的多因子认证方法、系统、存储介质及安全网关
CN111147501A (zh) 一种蓝牙钥匙查询方法及其装置
CN114499876A (zh) 基于区块链以及NB-IoT芯片的物联网数据存证方法
CN113487321A (zh) 基于区块链钱包的身份识别与验证方法及系统
CN115865360A (zh) 基于安全组件的可信身份令牌的连续电子签名方法及系统
CN111010279A (zh) 一种基于零知识证明的远程多因子认证协议
TW202213132A (zh) 以線上快速認證之硬體載具認證並簽章之系統及方法
CN114978528B (zh) 一种高可靠的机构智能移动数字签名方法和系统
CN110535649A (zh) 数据流通方法、系统及服务平台、第一终端设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20231130

Address after: 2003 3rd Floor, 323 Guoding Road, Yangpu District, Shanghai

Applicant after: Shanghai Yinqia Digital Technology Co.,Ltd.

Address before: Room 1001-26, No. 323 Guoding Road, Yangpu District, Shanghai 200000

Applicant before: Zhuochuang Network Technology (Shanghai) Co.,Ltd.

GR01 Patent grant
GR01 Patent grant