CN117692259A - 一种基于验证网络的注册方法和验证方法 - Google Patents

Abstract

本申请公开了一种基于验证网络的注册方法及验证方法，涉及电子签名技术领域，其中，验证网络包括控制层、平台层和用户层，控制层为中心节点，包含密码管理系统和验证能力管理系统，平台层与控制层通信连接，包含撤销同步平台和若干签名验证平台，用户层包含若干签名验证平台中的所有用户。本申请在电子签名领域建立了一种用于验证各类已签署文档的验证体系，使得不同的电子签名应用平台之间可以进行已签署文档的互认，用户无需切换不同的应用来验证来源不同的已签署文档，给用户的操作带来了巨大的便利。

Description

一种基于验证网络的注册方法和验证方法

技术领域

本申请涉及电子签名技术领域，尤其涉及一种基于验证网络的注册方法和验证方法。

背景技术

目前，在电子签名及其应用领域，大范围的互联互通、互验互认已经成为一大趋势，但是，在电子签名领域却缺乏可以用于验证各类已签署文档如数字证书、电子印章、电子签章、电子公文、电子证照、电子票据或电子合同的验证体系，导致不同的电子签名应用平台之间无法进行已签署文档的互认，又因为电子签名领域的已签署文档种类繁多，导致已签署文档的发送方和接收方通过已签署文档建立信任关系的方式各异，对应地体现为各类应用系统及其特有的验证业务，例如，甲方和乙方签订电子合同时，设甲方使用的签名验证方式为电子印章、乙方使用的签名验签方式为电子证照，则甲方将使用电子印章平台的应用进行签署后的文档发送给乙方时，乙方也必须打开电子印章平台的应用进行验证；同样地，乙方将使用电子证照平台的应用进行签署后的文档发送给甲方时，甲方也必须打开电子证照平台的应用进行验证，从而给用户的操作造成了巨大的不便。

此外，当前对已签署文档的验证往往依赖于特定的验证平台，例如，某种特殊格式的已签署文档只能由验证者向特定的签名验证中心询问验证结果，导致该签名验证中心任务量繁重；同时，由于该签名验证中心的唯一性，验证者也对其验证结果存在一定的怀疑，例如该颁发中心的管理人员可能通过技术手段使不能被验证通过的已签署文档被判断为验证通过，从而向验证者非法地提供错误的验证结果。

综上，当前的电子签名验证体系仍存在签名验证平台种类多、签名验证平台中心化程度高以及验证结果可信度不够高等问题。

发明内容

本申请提供的一种基于验证网络的注册方法及验证方法，旨在解决现有技术中电子签名验证体系存在的签名验证平台种类多、签名验证平台中心化程度高以及验证结果可信度不够高等问题。

为实现上述目的，本申请采用以下技术方案：

本申请的一种基于验证网络的注册方法，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含密码管理系统和验证能力管理系统，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户，所述方法应用于所述中心节点与签名验证平台之间，包括以下步骤：

所述签名验证平台向所述中心节点发送注册材料及其所有第一验证能力；

所述中心节点对所述注册材料和所有第一验证能力分别进行审核，审核均通过则为每个所述第一验证能力分配能力标识，并制作每个所述第一验证能力的可执行模块；

所述中心节点为所述签名验证平台分配身份标识，并根据主私钥和所述身份标识计算身份标识私钥；

所述中心节点确定所述签名验证平台的目标验证能力集合，并根据所述身份标识和目标验证能力集合中每种验证能力的能力标识生成各个能力标识私钥；

所述中心节点将所述身份标识、身份标识私钥以及目标验证能力集合中每种验证能力的可执行模块、能力标识和能力标识私钥颁发给所述签名验证平台，并将各个所述第一验证能力对应的可执行模块、能力标识和能力标识私钥发送给所述验证网络中除所述签名验证平台外需要对应验证能力的Y个签名验证平台，Y为大于1的整数。

一种基于验证网络的注册方法，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含密码管理系统和验证能力管理系统，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户，所述方法应用于所述中心节点与签名验证平台之间，包括以下步骤：

所述签名验证平台向所述中心节点发送注册材料及其所有第一验证能力；

所述中心节点对所述注册材料和所有第一验证能力分别进行审核，审核均通过则为每个所述第一验证能力分配能力标识，并制作每个所述第一验证能力的可执行模块；

所述中心节点为所述签名验证平台分配身份标识，并根据所述签名验证平台提供的用于身份的公钥和所述身份标识生成身份标识对应的数字证书；

所述中心节点确定所述签名验证平台的目标验证能力集合，并根据所述签名验证平台提供的用于验证能力的公钥、所述身份标识和目标验证能力集合中每种验证能力的能力标识生成各个验证能力的数字证书；

所述中心节点将所述身份标识、身份标识对应的数字证书以及目标验证能力集合中每种验证能力的可执行模块、能力标识和能力标识对应的数字证书颁发给所述签名验证平台，并将各个所述第一验证能力对应的可执行模块、能力标识和能力标识对应的数字证书发送给所述验证网络中除所述签名验证平台外需要对应验证能力的W个签名验证平台，W为大于1的整数。

一种基于验证网络的验证方法，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含密码管理系统和验证能力管理系统，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户，包括以下步骤：

第一签名验证平台用户获取第二签名验证平台用户的已签署文档，并根据发送策略确定所有的接收方签名验证平台以将所述已签署文档发送给所有接收方签名验证平台进行验证，所述已签署文档中包含所述第二签名验证平台特有格式的签名；

各个所述接收方签名验证平台接收所述已签署文档，在撤销同步平台确认所述已签署文档未被撤销后，并确定所述已签署文档对应的验证能力以根据所述验证能力的能力标识从本地存储的验证能力中找到所述验证能力的可执行模块和能力标识私钥；

各个接收方签名验证平台用所述可执行模块对所述已签署文档进行验证后生成验证结果，并用所述能力标识私钥对所述验证结果进行签名后将所述验证结果和签名发送给所述第一签名验证平台；

所述第一签名验证平台根据所述各个接收方签名验证平台的身份标识和所述能力标识分别对所述验证结果进行验证，并根据总体验证策略确定验证是否成功。

一种基于验证网络的验证方法，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含密码管理系统和验证能力管理系统，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户，包括以下步骤：

第一签名验证平台用户获取第二签名验证平台用户的已签署文档，并根据发送策略确定所有的接收方签名验证平台以将所述已签署文档发送给所有接收方签名验证平台进行验证，所述已签署文档中包含所述第二签名验证平台特有格式的签名；

各个所述接收方签名验证平台接收所述已签署文档，在撤销同步平台确认所述已签署文档未被撤销后，并确定所述已签署文档对应的验证能力以根据所述验证能力的能力标识从本地存储的验证能力中找到所述验证能力的可执行模块和能力标识私钥，所述能力标识私钥由所述第二签名验证平台生成；

各个接收方签名验证平台用所述可执行模块对所述已签署文档进行验证后生成验证结果，并用所述能力标识私钥对所述验证结果进行签名后将所述验证结果、签名以及能力标识对应的数字证书发送给所述第一签名验证平台；

所述第一签名验证平台验证各个接收方验证平台的数字证书，验证通过则根据各数据证书中的公钥分别对所述验证结果进行验证，并根据总体验证策略确定验证是否成功。

本发明具有如下有益效果：

1、本申请在电子签名领域建立了一种用于验证各类已签署文档的验证体系，使得不同的电子签名应用平台之间可以进行已签署文档的互认，用户无需切换不同的应用来验证来源不同的已签署文档，给用户的操作带来了巨大的便利；

2、本申请对已签署文档的验证不依赖于特定的验证平台，通过建立的多中心的验证体系，使得各类签名验证行为不存在中心化带来的问题；且由于验证结果来自多个验证方，很多验证方为中立第三方或者政府机构，提升了用户验证的自由度，也使用户对其验证结果更加确信；

3、本申请中的中心节点优先接受国家专业机构发布的严格符合国家标准的验证能力作为验证网络的基础验证能力，其余签名验证平台可直接采用基础验证能力中的验证能力，从而使得签署验证行为严格符合国家标准。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请中的验证网络组成图；

图2是本申请中一种基于验证网络的注册方法的流程图；

图3是本申请中另一种基于验证网络的注册方法的流程图；

图4是本申请中一种基于验证网络的验证方法的流程图；

图5是本申请中另一种基于验证网络的验证方法的流程图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请的权利要求书和说明书的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序，应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式，此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他单元。

实施例1

如图1所示，本实施例提供一种验证网络，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含基于标识或数字证书的密码管理系统和验证能力管理系统，当密码管理系统基于数字证书时，该系统可以为CA系统或多个互相认可的CA系统组成的集群，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户。

根据实施例1可知，控制层为中心节点S，是该验证网络的核心，其中部署有基于标识或数字证书的密码管理系统。

当密码管理系统基于标识时，还有固定不变的主公钥PKS和主私钥SKS，IDS为S在验证网络内的ID，即其身份标识，S根据固定不变的主私钥SKS生成S固定不变的标识私钥IDSKS，并将包含PKS和系统参数组的标识密码参数ParamS公开，作为整个网络权威性的参数，其中，主公钥、主私钥和系统参数组为现有技术中已有的，在此不作赘述。

当密码管理系统基于数字证书时，也有固定不变的公钥PKS和私钥SKS，IDS为S在验证网络内的ID，即其身份标识，S根据身份标识、固定不变的公钥PKS生成S固定不变的数字证书CERTS，并将包含系统参数组的密码参数ParamS公开，作为整个网络权威性的参数，其中，公钥、私钥和系统参数组为现有技术中已有的，在此不作赘述。当密码管理系统基于数字证书时，密码管理系统也可以是已有CA系统，且由该CA系统为S颁发数字证书。

中心节点还部署有验证能力管理系统，负责对验证网络中的每一种验证能力分配唯一的标识，并对所有签名验证平台提供的验证能力进行验证，其中，验证能力分为数字证书、电子印章、电子签章、电子公文、电子证照、电子票据和电子合同等几大类，每个大类又可分为几个小类，例如在电子印章和电子签章领域，可按照若干种主流的电子印章标准对应地建立若干类电子印章和电子签章验证能力，每类验证能力根据算法组合的不同又可以分为多种能力，同时，S优先接受国家专业机构发布的严格符合国家标准的验证能力作为验证网络的基础验证能力，其余签名验证平台可直接采用基础验证能力中的验证能力以使签署验证行为严格符合国家标准。

平台层包含撤销同步平台和签名验证平台集合，其中，签名验证平台集合中包含若干签名验证平台，分别称为签名验证平台1、签名验证平台2、......、签名验证平台N，N为大于1的整数，签名验证平台是现有电子签名业务体系中已有的业务平台，负责为大量用户直接服务，但原先多种电子签名业务平台之间没有统一的通信机制，无法或难以互通互信，而且多种电子签名业务平台之间缺乏互认互验机制，无法或难以对来自其他签名验证平台的已签署文档进行验证，在本实施例中各签名验证平台间可以互通互信或互认互验；撤销同步平台是本实施例中新增的公共平台，可以是中心化平台如公有云，或分布式平台如P2P存储平台、区块链存储平台等，当任一签名验证平台对本平台发出的已签署文档进行撤销时，都会将本平台的撤销列表信息同步到撤销同步平台，使得其他成员可以同时获得该撤销信息。

用户层中包含了M个用户，分别为用户1、用户2、......、用户M，是现有电子签名业务体系中已有的所有用户。

在本实施例中，建立了一种用于验证各类已签署文档的验证体系，使得不同的电子签名应用平台之间可以进行已签署文档的互认，用户无需切换不同的应用来验证来源不同的已签署文档，给用户的操作带来了巨大的便利。

实施例2

如图2所示，本实施例提供一种基于验证网络的注册方法，该验证网络即为实施例1所公开的基于标识的验证网络，所述方法主要应用于所述中心节点与签名验证平台之间，包括以下步骤：

S110、所述签名验证平台向所述中心节点发送注册材料及其所有第一验证能力；

S120、所述中心节点对所述注册材料和所有第一验证能力分别进行审核，审核均通过则为每个所述第一验证能力分配能力标识，并制作每个所述第一验证能力的可执行模块；

S130、所述中心节点为所述签名验证平台分配身份标识，并根据主私钥和所述身份标识计算身份标识私钥；

S140、所述中心节点确定所述签名验证平台的目标验证能力集合，并根据所述身份标识和目标验证能力集合中每种验证能力的能力标识生成各个能力标识私钥；

S150、所述中心节点将所述身份标识、身份标识私钥以及目标验证能力集合中每种验证能力的可执行模块、能力标识和能力标识私钥颁发给所述签名验证平台，并将各个所述第一验证能力对应的可执行模块、能力标识和能力标识私钥发送给所述验证网络中除所述签名验证平台外需要对应验证能力的Y个签名验证平台，Y为大于1的整数。

在本实施例中，设某一签名验证平台为PA，当PA向中心节点S提供了其注册材料和所有的第一验证能力后，S会分别对其进行审核，其中，注册材料包括该签名验证平台法人和管理员的实名信息以及其他必备的平台信息，PA原支持的验证能力包括第一验证能力和第二验证能力，其中，第一验证能力是PA特有的验证能力，需发送给S进行验证，同时还需向S提供验证代码及相关文档以向S说明原理，S认可后，会为PA的每个第一验证能力分配能力标识，当PA的验证能力与验证网络中已有的验证能力重复时，不重新分配能力标识，第二验证能力则是验证网络中已有的验证能力，是PA从验证网络中选择的或与验证网络中发生重复的验证能力，然后为本次注册新增的验证能力即第一验证能力分别制作可执行模块，例如将C代码编译为动态库、静态库或可执行程序，或是将JAVA代码打包为jar包等，使得验证能力被发布时不会泄露代码。

同时，S还会为PA分配一个身份标识IDPA，即PA在验证网络内的ID，IDPA为随机数或PA的真实名称或其他规则字符串，由S生成，确保在S的整个管理范围即整个验证网络范围内全局唯一。

S还会生成专用于PA的身份标识私钥，由S根据主私钥对IDPA进行计算生成，同时，S也会对PA目标验证能力集合中的每一种验证能力颁发能力标识私钥，PA的目标验证能力集合中既包括PA原有的验证能力，还包括PA所需要的来自验证网络中的其他验证能力，假设PA验证能力V的标识为IDV，则V的能力标识为IDPA||IDV，PA持有该能力标识私钥表明S对PA持有验证能力V这个事件的认可。

然后，S通过安全途径如线下途径或HTTPS、VPN加密通道等线上途径为PA颁发IDPA及其身份标识私钥，以及目标验证能力集合中每种验证能力的可执行模块、能力标识和其对应的能力标识私钥，并将本次注册新增的各个验证能力的可执行模块、能力标识及其能力标识私钥分别发送给验证网络中需要对应验证能力的除本签名验证平台外的Y个签名验证平台，Y为大于1的整数。

最后，S将全部流程中涉及的每条消息进行存证，并为每条消息添上S的签名，出证时任意用户通过该签名即可验证消息的可信度和合法性。

实施例3

如图3所示，本实施例提供一种基于验证网络的注册方法，该验证网络即为实施例1所公开的基于数字证书的验证网络，所述方法主要应用于所述中心节点与签名验证平台之间，包括以下步骤：

S210、所述签名验证平台向所述中心节点发送注册材料及其所有第一验证能力；

S220、所述中心节点对所述注册材料和所有第一验证能力分别进行审核，审核均通过则为每个所述第一验证能力分配能力标识，并制作每个所述第一验证能力的可执行模块；

S230、所述中心节点为所述签名验证平台分配身份标识，并根据所述签名验证平台提供的用于身份的公钥和所述身份标识生成身份标识对应的数字证书；

S240、所述中心节点确定所述签名验证平台的目标验证能力集合，并根据所述签名验证平台提供的用于验证能力的公钥、所述身份标识和目标验证能力集合中每种验证能力的能力标识生成各个验证能力的数字证书；

S250、所述中心节点将所述身份标识、身份标识对应的数字证书以及目标验证能力集合中每种验证能力的可执行模块、能力标识和能力标识对应的数字证书颁发给所述签名验证平台，并将各个所述第一验证能力对应的可执行模块、能力标识和能力标识对应的数字证书发送给所述验证网络中除所述签名验证平台外需要对应验证能力的W个签名验证平台，W为大于1的整数。

本实施例与实施例2不同的是，一、在本实施例中，在中心节点S为PA分配身份标识后，不是直接根据主私钥和身份标识计算身份标识私钥，而是根据PA提供的用于身份的公钥和身份标识生成PA身份标识对应的数字证书，而其身份标识私钥即为用于身份的公钥对应的私钥，由PA自己生成并保存；二、在目标验证能力集合确定后，本实施例首先需要根据PA提供的用于验证能力的公钥和其身份标识以及目标验证能力集合中每种验证能力的能力标识生成各个验证能力的数字证书，能力标识私钥则为PA提供的用于验证能力的公钥对应的私钥，是由PA生成并保存的；三、本实施例中需要下发给PA的是身份标识、身份标识对应的数字证书以及目标验证能力集合中每种验证能力的可执行模块、能力标识和能力标识对应的数字证书，给除PA以外的需要对应验证能力的签名验证平台下发的则是各个第一验证能力对应的可执行模块、能力标识和能力标识对应的数字证书。即在本申请中主要是依托数字证书而非标识来验证签名验证平台及其验证能力的。

本实施例其它流程与实施例2所公开内容相同，且与实施例2具有相似的有益效果，在此不再赘述。

实施例4

如图4所示，本实施例提供一种基于验证网络的验证方法，该验证网络即为实施例1所公开的基于标识的验证网络，包括以下步骤：

S310、第一签名验证平台用户获取第二签名验证平台用户的已签署文档，并根据发送策略确定所有的接收方签名验证平台以将所述已签署文档发送给所有接收方签名验证平台进行验证，所述已签署文档中包含所述第二签名验证平台特有格式的签名；

S320、各个所述接收方签名验证平台接收所述已签署文档，在撤销同步平台确认所述已签署文档未被撤销后，并确定所述已签署文档对应的验证能力以根据所述验证能力的能力标识从本地存储的验证能力中找到所述验证能力的可执行模块和能力标识私钥；

S330、各个接收方签名验证平台用所述可执行模块对所述已签署文档进行验证后生成验证结果，并用所述能力标识私钥对所述验证结果进行标识密码学签名后将所述验证结果和签名发送给所述第一签名验证平台；

S340、所述第一签名验证平台根据所述各个接收方签名验证平台的身份标识和所述能力标识分别对所述验证结果进行验证，并根据总体验证策略确定验证是否成功。

在本实施例中，当第一签名验证平台用户获取到第二验证平台用户的已签署文档时，该已签署文档中包含第二签名验证平台特有格式的签名，会先根据己方设定的发送策略确定所有的接收方签名验证平台，并将该已签署文档发送到所有的接收方签名验证平台中进行验证，其中，发送策略包括但不限于是将已签署文档发送给已签署文档来源方的签名验证平台以及该平台的行政管理方的签名验证平台，或是发送给验证网络中业务负荷最低的5个电子政务平台中的签名验证平台，验证网络中各平台的业务负荷由中心节点所监测并下发，接收方签名验证平台就是由发送策略确定的签名验证平台，其中，该验证请求可由第一签名验证平台代为转发，避免对第一签名验证平台用户造成通信和业务负担，且第一签名验证平台用各个接收方签名验证平台的身份标识分别对该验证请求进行加密，接收方签名验证平台用各自的身份标识私钥进行解密，从而使得验证请求消息得到保密。

当各个接收方签名验证平台收到来自第一签名验证平台的对第二签名验证平台已签署文档的验证请求时，先在撤销同步平台确认该已签署文档未被撤销，再从该已签署文档或第二签名验证平台公开发布的信息中确定已签署文档对应的验证能力，例如，该已签署文档中或第二签名验证平台公开发布的信息中，已标注了该已签署文档所采用的电子签名方式，该电子签名方式对应了一种验证网络的验证能力，该对应关系可以直观地获得，例如电子签名方式的标识与其对应的能力标识一致，或者从中心节点查询获得，设接收方签名验证平台中存储了第一签名验证平台、第二签名验证平台以及本平台三个平台的签名验证能力。

接着，接收方签名验证平台可根据该验证能力的能力标识从本地存储的验证能力集合中找到该验证能力的可执行模块和能力标识私钥，并用该可执行模块对已签署文档进行验证，生成验证结果，其中，该验证结果为成功或失败，以及其各自对应的附加信息，验证成功的附加信息可能包括成功解析出的重要信息或对验证用户有用的信息等，验证失败的附加信息可能包括失败原因或对验证用户的建议等。

最后，接收方签名验证平台会用该验证能力的能力标识私钥对该验证结果进行签名，并将验证结果及签名发送给第一签名验证平台。

第一平台根据各个接收方签名验证平台的身份标识以及验证能力的能力标识分别对验证结果进行验证，验证通过则证明该验证结果消息来自于该接收方签名验证平台，且该接收方签名验证平台带有已签署文档对应的已被S所认可的验证能力，即不仅验证了消息的来源，还提高了消息的可信度，防止没有对应验证能力的签名验证平台给出非法验证结果，也防止有对应验证能力但并未被请求的签名验证平台给出非法验证结果，然后，根据总体验证策略确定总体验证结果，总体验证策略包括但不限于是所有验证结果为成功则判为总体验证成功，或者5个验证结果中4个为成功则判为总体验证成功，总体验证策略可提升用户验证的自由度和验证结果的可信度。

本实施例中对已签署文档的验证不依赖于特定的验证平台，通过建立的多中心的验证体系，使得各类签名验证行为不存在中心化带来的问题；且由于验证结果来自多个验证方，很多验证方为中立第三方或者政府机构，提高了验证结果的可信度。

实施例5

如图5所示，本实施例提供一种基于验证网络的验证方法，该验证网络即为实施例1所公开的基于数字证书的验证网络，包括以下步骤：

S410、第一签名验证平台用户获取第二签名验证平台用户的已签署文档，并根据发送策略确定所有的接收方签名验证平台以将所述已签署文档发送给所有接收方签名验证平台进行验证，所述已签署文档中包含所述第二签名验证平台特有格式的签名；

S420、各个所述接收方签名验证平台接收所述已签署文档，在撤销同步平台确认所述已签署文档未被撤销后，并确定所述已签署文档对应的验证能力以根据所述验证能力的能力标识从本地存储的验证能力中找到所述验证能力的可执行模块和能力标识私钥，所述能力标识私钥由所述第二签名验证平台生成；

S430、各个接收方签名验证平台用所述可执行模块对所述已签署文档进行验证后生成验证结果，并用所述能力标识私钥对所述验证结果进行签名后将所述验证结果、签名以及能力标识对应的数字证书发送给所述第一签名验证平台；

S440、所述第一签名验证平台验证各个接收方验证平台的数字证书，验证通过则根据各数据证书中的公钥分别对所述验证结果进行验证，并根据总体验证策略确定验证是否成功。

本实施例与实施例4不同的是，一、在本实施例中，第一签名验证平台是用各个接收方签名验证平台带有身份标识的数字证书对应的公钥来对验证请求进行加密的，相应的，在接收方签名验证平台进行解密时，使用的是其带有身份标识的数字证书对应的私钥，而非身份标识及身份标识私钥；二、在本实施例中，接收方签名验证平台对已签署文档验证通过后，不仅需要将验证结果和签名发送给第一签名平台，同时还要将能力标识对应的数字证书发送给第一签名验证平台；三、在本实施例中，第一签名验证平台在对验证结果进行验证的时候需要先验证各个接收方签名验证平台的数字证书，从而确认其数字证书中是否带有正确的身份标识和能力标识，验证通过则根据数字证书的公钥分别对验证结果进行验证。

本实施例其它流程与实施例4所公开内容相同，且与实施例4具有相似的有益效果，在此不再赘述。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何在本发明揭露的技术范围内的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种基于验证网络的注册方法，其特征在于，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含密码管理系统和验证能力管理系统，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户，所述方法应用于所述中心节点与签名验证平台之间，包括以下步骤：

所述签名验证平台向所述中心节点发送注册材料及其所有第一验证能力；

所述中心节点对所述注册材料和所有第一验证能力分别进行审核，审核均通过则为每个所述第一验证能力分配能力标识，并制作每个所述第一验证能力的可执行模块；

所述中心节点为所述签名验证平台分配身份标识，并根据主私钥和所述身份标识计算身份标识私钥；

所述中心节点确定所述签名验证平台的目标验证能力集合，并根据所述身份标识和目标验证能力集合中每种验证能力的能力标识生成各个能力标识私钥；

所述中心节点将所述身份标识、身份标识私钥以及目标验证能力集合中每种验证能力的可执行模块、能力标识和能力标识私钥颁发给所述签名验证平台，并将各个所述第一验证能力对应的可执行模块、能力标识和能力标识私钥发送给所述验证网络中除所述签名验证平台外需要对应验证能力的Y个签名验证平台，Y为大于1的整数。

2.根据权利要求1所述的一种基于验证网络的注册方法，其特征在于，所述注册材料包括所述签名验证平台法人和管理员的实名信息。

3.根据权利要求1所述的一种基于验证网络的注册方法，其特征在于，所述签名验证平台原具有若干第一验证能力和第二验证能力，其中，所述第一验证能力为所述签名验证平台特有的验证能力，所述第二验证能力为所述签名验证平台从所述验证网络已有的验证能力中选择的验证能力。

4.根据权利要求3所述的一种基于验证网络的注册方法，其特征在于，所述目标验证能力集合中包含所述签名验证平台原有的若干第一验证能力和第二验证能力以及所述签名验证平台当前所需要的来自所述验证网络中除所述第二验证能力外的验证能力。

5.一种基于验证网络的注册方法，其特征在于，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含密码管理系统和验证能力管理系统，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户，所述方法应用于所述中心节点与签名验证平台之间，包括以下步骤：

所述签名验证平台向所述中心节点发送注册材料及其所有第一验证能力；

所述中心节点对所述注册材料和所有第一验证能力分别进行审核，审核均通过则为每个所述第一验证能力分配能力标识，并制作每个所述第一验证能力的可执行模块；

所述中心节点为所述签名验证平台分配身份标识，并根据所述签名验证平台提供的用于身份的公钥和所述身份标识生成身份标识对应的数字证书；

所述中心节点确定所述签名验证平台的目标验证能力集合，并根据所述签名验证平台提供的用于验证能力的公钥、所述身份标识和目标验证能力集合中每种验证能力的能力标识生成各个验证能力的数字证书；

所述中心节点将所述身份标识、身份标识对应的数字证书以及目标验证能力集合中每种验证能力的可执行模块、能力标识和能力标识对应的数字证书颁发给所述签名验证平台，并将各个所述第一验证能力对应的可执行模块、能力标识和能力标识对应的数字证书发送给所述验证网络中除所述签名验证平台外需要对应验证能力的W个签名验证平台，W为大于1的整数。

6.一种基于验证网络的验证方法，其特征在于，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含密码管理系统和验证能力管理系统，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户，所述方法包括以下步骤：

第一签名验证平台用户获取第二签名验证平台用户的已签署文档，并根据发送策略确定所有的接收方签名验证平台以将所述已签署文档发送给所有接收方签名验证平台进行验证，所述已签署文档中包含所述第二签名验证平台特有格式的签名；

各个所述接收方签名验证平台接收所述已签署文档，在撤销同步平台确认所述已签署文档未被撤销后，并确定所述已签署文档对应的验证能力以根据所述验证能力的能力标识从本地存储的验证能力中找到所述验证能力的可执行模块和能力标识私钥；

各个接收方签名验证平台用所述可执行模块对所述已签署文档进行验证后生成验证结果，并用所述能力标识私钥对所述验证结果进行签名后将所述验证结果和签名发送给所述第一签名验证平台；

所述第一签名验证平台根据所述各个接收方签名验证平台的身份标识和所述能力标识分别对所述验证结果进行验证，并根据总体验证策略确定验证是否成功。

7.根据权利要求6所述的一种基于验证网络的验证方法，其特征在于，所述方法还包括：

第一签名验证平台用所述各个接收方签名验证平台的身份标识对验证请求分别进行加密，并将加密后的验证请求发送给多个签名验证平台。

8.根据权利要求6所述的一种基于验证网络的验证方法，其特征在于，所述验证结果包括成功或失败，以及其各自对应的附加信息。

9.根据权利要求6所述的一种基于验证网络的验证方法，其特征在于，所述方法还包括：

当任一签名验证平台对本平台发出的已签署文档进行撤销时，将其撤销列表信息同步到所述撤销同步平台中。

10.一种基于验证网络的验证方法，其特征在于，所述验证网络包括控制层、平台层和用户层，所述控制层为中心节点，包含密码管理系统和验证能力管理系统，所述平台层与所述控制层通信连接，包含撤销同步平台和若干签名验证平台，所述用户层包含所述若干签名验证平台中的所有用户，包括以下步骤：

第一签名验证平台用户获取第二签名验证平台用户的已签署文档，并根据发送策略确定所有的接收方签名验证平台以将所述已签署文档发送给所有接收方签名验证平台进行验证，所述已签署文档中包含所述第二签名验证平台特有格式的签名；

各个所述接收方签名验证平台接收所述已签署文档，在撤销同步平台确认所述已签署文档未被撤销后，并确定所述已签署文档对应的验证能力以根据所述验证能力的能力标识从本地存储的验证能力中找到所述验证能力的可执行模块和能力标识私钥，所述能力标识私钥由所述第二签名验证平台生成；

各个接收方签名验证平台用所述可执行模块对所述已签署文档进行验证后生成验证结果，并用所述能力标识私钥对所述验证结果进行签名后将所述验证结果、签名以及能力标识对应的数字证书发送给所述第一签名验证平台；

所述第一签名验证平台验证各个接收方验证平台的数字证书，验证通过则根据各数据证书中的公钥分别对所述验证结果进行验证，并根据总体验证策略确定验证是否成功。