专利名称:一种结合数字证书和印章的电子签章认证方法
技术领域:
本发明涉及互联网运用中数字签名以及认证方法的技术领域,尤其指一种结合数字证书和印章的电子签章认证方法。
背景技术:
在虚拟的互联网世界中,所有的文档是以电子文件的形式表现和传递的,在电子文件上,传统的手写签名和盖章是无法进行的,这就必须依靠技术手段来实现,“电子签名”就是能够在电子文件中识别双方交易人或签发人的真实身份,保证交易的安全性和电子文件的真实性以及不可抵懒性,起到与手写签名或者盖章同等作用的签名的电子技术手段。在2000年6月30日,美国颁布了第一部电子签名法《全球及全国商业电子签名法》,我国也于2005年4月1日开始正式实施《中国人民共和国电子签名法》,目前,全球已经有60多个国家相继颁布了自己的电子签名法,这些都极大的促进了全球电子商务的规范发展。如今,网上金融交易、网上采购、网上办公、网上报税、网上银行、网上缴费、网上签约等电子商务、电子政务活动都可以通过电子签名迅速而安全的完成。安全而便捷的电子签名以及相应的认证方法,既节约了企业、政府部分的经营和管理成本,更重要的是极大的提升了工作效率。
实现电子签名的方法有很多种,目前的电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的电子签名方法就是“数字签名”。非对称加密技术是目前普遍采用的一种数字签名方法,即采用PKI(Public Key Infrastructure的简称,意为公开密钥基础设施)体系,而数字证书就是PKI体系的一种密钥管理媒介。它是一种权威的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人,服务器等)的身份以及其公开密钥的合法性,又称为数字ID。数字证书由一对密钥及用户信息和第三方数字认证机构(Certificate Authority,以下简称CA)的数字签名等数据共同组成,并写入一定的存储介质内,确保用户信息不被非法读取及篡改。数字证书(电子证书)通常是由大家共同信任的第三方数字认证机构(即CA)颁发的。任何一个信任CA的通讯一方,都可以通过验证对方数字证书上的CA签名来建立起和对方的信任,并且获得对方的公钥以备使用。
而在中国,许多文件是需要手工签名或盖印章的,特别是在书面合同和公文上,要由当事人或其负责人签字、盖章,以便让别人识别是谁签署的文件,表示签字或盖章的人或单位对该文件内容的认可,在法律上才能承认这份文件是有效的。中国是一个印章大国,上溯至数千年,中国人就开始使用印章。印章一直是权利,义务,诚信,承诺甚至是神圣的象征。时至今日,中国依然是以“印章”为重要签章形式。无论是国家政令、司法公文,还是经营者的行政、财务、合同,乃至个人信印,印章可谓无处不在。这样,仅仅利用数字证书来抽象的进行数字签名,而不能非常直观的在该文件表面上体现出来,在中国还不能完全的被国人所接受,因此,一种结合了国际通用的数字证书和中国特有的印章的电子签章系统运用而生。如申请号为200610023373.6(公开号为CN1838163A)的中国发明申请《一种基于PKI的通用电子印章系统》,就公开了这么一种数字签名以及认证的体系。该电子签章认证方法运用如下1)首先由需要电子印章证书的单位或个人向电子印章证书申请服务提交电子印章证书的申请,同时提供申请人的相关身份信息及证明文件以供检查、使用。
2)电子印章证书申请服务的监管机构对申请人员进行身份核实。如果申请获得通过,则由电子印章证书制作服务完成电子印章证书制作,生成电子印章证书及其对应的私钥。
3)电子印章证书的私钥保存在特定的存储介质中由申请人秘密保管,电子印章证书则可以公开发布。
4)电子印章证书持有者需要进行电子签章时,由特定的签章软件对“电子文档或电子交易”进行电子签章操作形成电子印章,并将“电子文档或电子交易”和电子印章一起传送给数据的接收者,供接收者对“电子文档或电子交易”进行验证。
5)接收者在接收到“电子文档或电子交易”和电子印章后,启动特定的签章软件对“电子文档或电子交易”与电子印章进行验证。验证过程中,根据业务的需要,可以根据电子印章证书中的在线验证地址进行电子印章证书在线验证,还可以根据电子印章证书中的数字证书中的在线验证地址进行数字证书的在线验证。接收者根据特定的签章软件验证的结果知道“电子文档或电子交易”的真实性、完整性、不可抵赖性,同时签章软件提取电子印章中的显示界面将电子印章显示在用户的界面上。
其中,“电子印章”是指将数字证书和印章图像扫描数据整合之后的数据,实际应用中一般存储在智能卡等存储介质之中,而“电子签章”是指已经在电子文档中加盖的那个电子印章。在上述公开的专利申请中,其将“电子印章”称之为“电子印章证书”。
我国目前正在运行的电子签章应用系统通常由电子印章制作、电子印章数据库、电子印章申请、电子印章发布、电子印章实时验证等功能服务器和电子签章客户端软件组成,其中,电子印章一般由电子签章应用系统开发商自己制作,其签章应用和相关的认证方法,结合图1所示的电子签章系统说明如下1)用户首先向特定的电子签章应用系统开发商申领智能卡,在该智能卡之中以自定的格式存储了数字证书(该数字证书可以是第三方认证机构颁发的)和印章图像扫描数据以及相关用户信息,生成电子印章;2)用户在安装了该特定的电子签章应用软件后成为了该电子签章应用系统的一个客户端,该软件能读取该开发商自身签发的电子印章中的电子印章数据;3)发送方用户使用该电子签章应用软件在电子文档中加盖电子印章之后,形成“电子签章”,保证所发送电子文档信息的完整性、真实性,也使发送方无法否认电子文档的发送,之后发向接收方;4)接收方也必须是该特定电子签章应用系统的客户端之一,也即,只有成为该特定电子签章应用系统的客户端才能认证该电子签章,在接收方接收到电子文档后,对该电子文档中的电子签章进行比对认证,具体是对电子签章中的数字证书和印章图像数据分别进行认证,其中,数字证书由该电子签章应用系统服务器端根据其下载的第三方认证机构所发布的检索目录而进行比对认证,而印章图像数据也是由该电子签章应用系统服务器端自身完成比对;5)最后,由该电子签章应用系统服务器端返回相关认证结果和发送方用户的签章信息。
上述的我国目前运行的电子签章认证方法以及上述专利申请中的认证方法均存在如下缺陷第一,目前基于X.509协议的PKI体系,在实际运行中,第三方认证机构只是提供安全目录检索服务以及目录的下载服务,各电子签章应用系统下载了检索目录(即根证书数据和“黑名单”数据)后,由电子签章应用系统的本身来完成数字证书的认证工作,再进行电子签章的合法性判断,并非真正由第三方认证机构经数字签名作出相关认证结果,因而由电子签章应用系统自身认证的认证结果不具有权威性,可信度不高;第二,如图1所示的电子签章系统中,虚线框内的就是一个电子签章应用系统,我国目前的电子签章运行环境是由多个开发商开发的多个不同的电子签章应用系统共同并存。而电子印章是各电子签章应用系统所专用的,各电子签章应用系统为了各自的商业利益,以各自的应用系统为核心,把相关数字证书作为其特定系统的“附件”,必须依附于其特定的电子签章应用系统,因各电子签章应用系统开发商在制作电子印章时,其加密或存储格式的标准不统一,而且,各个电子签章应用系统所建立的平台不能互相读取其他电子签章应用系统开发商所签发的电子印章数据,也即各电子签章应用系统所签发的电子印章,互相之间不能通用;同时,带有电子签章的电子文档也必须在同一电子签章应用系统的环境之中使用,系统之外的用户无法对签章文档进行验证,造成了电子签章在实际应用上极大的局限性,不能通用到其他应用系统之中。
发明内容
本发明所要解决的技术问题是针对现有技术的现状,提供一种真正解决了通用性问题、认证结果更权威、安全性更高的结合数字证书和印章的电子签章认证方法。
本发明解决上述技术问题所采用的技术方案为该结合数字证书和印章的电子签章认证方法,其特征在于包括有以下步骤1)由权威机构制定相关的标准,规定数字证书和印章图像扫描数据的加密方式以及存储格式的存储标准和读取数据的操作标准;2)用户首先向第三方认证机构申领存储介质,该存储介质按照所述的标准,存储数字证书、配合第三方认证机构对该数字证书进行认证的认证功能模块以及相关的用户信息,另外,在该存储介质中还开辟有一块单独的存储区域,用于存储经过加密的印章图像扫描数据和解密读取该印章图像扫描数据的功能模块;3)用户再向某一电子签章应用系统申请成为其注册用户,该电子签章应用系统服务器也采用所述的标准而能读取该用户的存储介质中的数字证书和印章图像扫描数据,同时,向第三方认证机构认证该用户的数字证书,并且在该电子签章应用系统的服务器端的数据库中存储该用户的印章图像数据,申请成功之后,成为该电子签章应用系统的一个注册用户;4)用户使用该电子签章应用软件在电子文档中加盖电子印章之后,形成电子签章,之后发给接收方;5)接收方也必须是该电子签章应用系统的客户端之一,在接收方接收到电子文档后,对该电子文档中的电子签章进行比对认证,具体是电子签章应用系统将该电子签章中的数字证书请求第三方认证机构来认证,第三方认证机构经数字签名作出相关认证结果,而电子签章应用系统将该电子签章中的印章图像数据,请求该电子签章应用系统的服务器端来认证,与其数据库中的印章图像数据作比对,并给出验证结果;6)最后,在该电子签章应用系统客户端显示相关认证结果和发送方用户的签章信息。
其中,所述的权威机构可以是第三方认证机构,但目前我国的数字认证环境是由多家数字认证机构(即CA)共同承担数字证书的认证工作。为保证所述标准的制定更加权威、规范,实施时推广更加广泛、统一,所述的权威机构可以是第三方认证机构的上级管理部门或行业协会,使得第三方认证机构进行数字认证、开放安全存储区域的数据读取、相关功能的调用等操作更加规范和统一。
所述的存储介质可以是任何一种非任意读写并可移动携带的载体,较好的以采用符合ISO标准的非任意读取的便携式智能卡为佳,如微软系列的Smartcard for Windows等。
所述的第三方数字认证机构必须以一定的方式(比如以有偿或无偿的方式)和标准在存储介质中为合法签约(一般是相关的保密协议)的电子签章应用系统开发商提供与数字证书认证相关的功能服务和用户印章图像数据存储区域的读取功能,并且,第三方数字认证机构应具有能返回经其认证并数字签名的认证结果的数字证书认证功能模块。
为能规范统一所有电子签章应用系统,应该要求电子签章应用系统开发商在各自的系统中,具有按一定的标准和规范读取数字证书数据并向第三方认证机构请求数字认证的功能模块,并可视需要将部分功能嵌入到其自身系统中的印章图像的形象表示之中,以供他人查证之用。
为使本发明的电子签章认证方法能广泛的普及应用,利于各个电子签章应用系统简捷方便电子印章用户进行验章和灵活吸纳电子印章用户注册电子签章应用系统,可以要求所述电子签章应用系统开发商向社会和公众提供具有能联机认证电子文档中电子签章和联机注册功能的客户端软件,并允许自由下载和使用,使电子签章的应用服务完全对外界开放。
与现有技术相比,本发明是一种全新的与现有的运行体系完全不同的电子签章的认证方法,该认证方法以第三方认证机构来认证数字证书为核心,在存储介质中的数字证书和印章图像数据的存储和读取,以及有关认证、解密读取等功能模块的设置都按照统一的标准进行,且所有的第三方认证机构和电子签章应用系统开发商都遵守该标准,使用户手上存有电子印章的存储介质都能在任意一个电子签章应用系统中使用,完全突破了目前运行体系的电子印章无法通用的局限性,真正解决了电子签章应用的通用性问题;同时,电子签章中的数字证书真正的由第三方认证机构经数字签名作出相关认证结果,并非由电子签章应用系统自身认证,因此,该认证结果更权威更可靠,使电子签章应用环境的安全性也变得更高;该方法中数字证书的认证工作由签发证书的第三方认证机构联机进行认证,也解决了当前第三方认证机构之间数字证书不通用的问题,亦实现了数字证书的通用。
本发明认证方法的实施也将产生如下的社会效益1.打破不同电子签章应用系统中电子印章不能通用的限制和数字证书及其载体(即存储介质)使用封闭的状况,使之可以通用于各种商务、政务等业务系统的电子签章应用系统和其他数字认证系统。同时,也使数字证书的拥有者可以根据自己的需求和各种电子签章应用系统的特性理性地选择电子签章应用系统,提高了电子签章应用系统的实用性。
2.使各种商务、政务系统中的电子签章应用服务对象群呈开放状态。减少和节省商务、政务等系统及系统内部的电子签章应用系统建设、系统重复建设的成本;降低用户在电子商务、电子政务等系统中使用电子印章的成本;之前,若在不同的商务、政务系统中使用电子印章,当它们的电子签章应用系统不是由同一开发商生产时,则必须拥有多个电子印章,而本发明认证方法的实施,能避免电子印章的重复拥有,减少印章介质材料的消耗,提高了社会资源的利用率;实现了任何人只要通过相关的签章客户端软件都可对签章文档进行签章验证,亦与中国传统文化中的印章的使用方式更为一致。
3.突破了电子商务、电子政务等实现进程中的最后障碍一系统封闭无法互通。电子印章在电子商务、电子政务等系统中以中国传统文化的印章的使用方式进行使用,将标志着中国电子商务、电子政务可以真正地实现。
4.规范了所有第三方认证机构的认证行为和相关服务的标准化、规范化。
5.实施本发明的认证方法,由于所有的电子签章应用系统中的电子印章均由第三方认证机构制作,应用系统开发商必须按权威机构制定的标准来操作,能避免电子签章应用系统开发商的垄断行为,促进其按市场经济规律良性发展。
6.电子签章应用系统中的认证功能由第三方认证机构生产并提供相关的调用方法,使电子签章认证的安全性、可靠性、规范性得到了保证。
图1为我国目前的电子签章认证运行方案;图2为本发明实施例的电子签章认证运行方案具体实施方式
以下结合附图实施例对本发明作进一步详细描述。
如图2所示,该结合数字证书和印章的电子签章认证方法,包括有以下步骤1)由权威机构制定相关的标准,规定数字证书和印章图像扫描数据的加密方式以及存储格式的存储标准和读取数据的操作标准,第三方认证机构按该标准在其系统中对数字证书和印章(或签字)图像的电子扫描数据进行存储和读取的操作,电子签章应用系统按该标准在其系统中对数字证书和印章(或签名)图像的电子扫描数据进行读取的操作;2)客户向第三方认证机构申领存储介质,此时,第三方认证机构在采集用户相关信息的同时,也要采集用户的印章(或签名)图像的电子扫描数据,作为电子印章载体的存储介质按照所述的标准,存储数字证书、配合第三方认证机构对该数字证书进行认证的认证功能模块以及相关的用户信息,另外,在该存储介质中还开辟有一块单独的存储区域,用于存储经过加密的印章图像扫描数据和解密读取该印章图像扫描数据的功能模块,从而生成该用户的电子印章;3)拥有电子印章的用户即电子印章用户,向某一运行的电子签章应用系统申请成为其注册用户时,电子印章用户通过该应用系统所提供的官方(合法注册)网站下载相应的客户端软件,使用电子印章联机申请注册使用该电子签章应用系统;该电子签章应用系统服务器也采用所述的标准通过其客户端软件读取该用户存储介质中所存的电子印章中的数字证书和印章图像扫描数据,同时,向第三方认证机构认证该用户的数字证书,数字证书确认后再在该电子签章应用系统的服务器端的电子印章数据库中存储该用户的印章图像数据;用户注册申请成功并执行相关规定(如支付使用费等)之后,成为该电子签章应用系统的一个注册用户,即可使用电子签章应用系统的客户端软件对电子文档进行签章;4)注册用户使用该电子签章应用软件在电子文档中加盖电子印章之后,形成电子签章,之后发给接收方;5)接收方不必像发送方一样执行第二步而成为电子印章用户,只要通过官方网站下载该电子签章应用系统的客户端软件,成为该电子签章应用系统的客户端之一,即可对该电子文档中的电子签章进行比对认证;具体是电子签章应用系统将该电子签章中的数字证书请求第三方认证机构来认证,第三方认证机构经数字签名作出相关认证结果,而电子签章应用系统该电子签章中的印章图像数据,请求该电子签章应用系统的服务器端来认证,与其数据库中的印章图像数据作比对,并给出验证结果;6)最后,在该电子签章应用系统客户端显示相关认证结果和发送方用户的签章信息。
为能更加规范统一所有第三方认证机构的操作,所述的权威机构是第三方认证机构的上级管理部门或行业协会。但在某个地域内实施本发明的方法时,所述的权威机构可以是当地的第三方认证机构。
在本发明实施例中,所述的存储介质是采用符合ISO标准的非任意读取的便携式智能卡。
在本发明的认证方法具体实施时,对每个第三方认证机构的要求如下电子印章相关信息的采集和制作由签发电子印章中数字证书的第三方认证机构进行;必须以一定的方式(比如有偿或无偿的方式)和标准在智能卡中为合法签约的电子签章应用系统开发商提供与数字证书认证相关的功能服务和用户印章图像数据存储区域内数据的读取功能,并且,第三方数字认证机构应具有能返回经其认证并数字签名的认证结果的数字证书认证功能模块。
对每个电子签章应用系统要求如下电子签章应用系统开发商在各自的系统中,按一定的标准和规范具有向第三方认证机构请求数字认证的功能,并视需要将部分功能嵌入到其自身系统中的印章图像的形象表示之中,以供他人查证之用;并且,要求所述电子签章应用系统开发商向社会和公众提供具有能联机认证电子文档中电子签章和联机注册功能的客户端应用软件,并允许自由下载和使用。
权利要求
1.一种结合数字证书和印章的电子签章认证方法,其特征在于包括有以下步骤1)由权威机构制定相关的标准,规定数字证书和印章图像扫描数据的加密方式以及存储格式的存储标准和读取数据的操作标准;2)用户首先向第三方认证机构申领存储介质,该存储介质按照所述的标准,存储数字证书、配合第三方认证机构对该数字证书进行认证的认证功能模块以及相关的用户信息,另外,在该存储介质中还开辟有一块单独的存储区域,用于存储经过加密的印章图像扫描数据和解密读取该印章图像扫描数据的功能模块;3)用户再向某一电子签章应用系统申请成为其注册用户,该电子签章应用系统服务器也采用所述的标准而能读取该用户的存储介质中的数字证书和印章图像扫描数据,同时,向第三方认证机构认证该用户的数字证书,并且在该电子签章应用系统的服务器端的数据库中存储该用户的印章图像数据,申请成功之后,成为该电子签章应用系统的一个注册用户;4)用户使用该电子签章应用软件在电子文档中加盖电子印章之后,形成电子签章,之后发给接收方;5)接收方也必须是该电子签章应用系统的客户端之一,在接收方接收到电子文档后,对该电子文档中的电子签章进行比对认证,具体是电子签章应用系统将该电子签章中的数字证书请求第三方认证机构来认证,第三方认证机构经数字签名作出相关认证结果,而电子签章应用系统该电子签章中的印章图像数据,请求该电子签章应用系统的服务器端来认证,与其数据库中的印章图像数据作比对,并给出验证结果;6)最后,在该电子签章应用系统客户端显示相关认证结果和发送方用户的签章信息。
2.根据权利要求1所述的结合数字证书和印章的电子签章认证方法,其特征在于所述的权威机构是第三方认证机构的上级管理部门或行业协会。
3.根据权利要求1所述的结合数字证书和印章的电子签章认证方法,其特征在于所述的权威机构是第三方认证机构。
4.根据权利要求1所述的结合数字证书和印章的电子签章认证方法,其特征在于所述的存储介质是采用符合ISO标准的非任意读取的便携式智能卡。
5.根据权利要求1或2或3或4所述的结合数字证书和印章的电子签章认证方法,其特征在于要求所述电子签章应用系统开发商向社会和公众提供具有能联机认证电子文档中电子签章和联机注册功能的客户端软件,并允许自由下载和使用。
全文摘要
本发明涉及一种运用在互联网中的结合数字证书和印章的电子签章认证方法,它在存储介质中的数字证书和印章图像数据的存储和读取,以及有关认证、解密读取等功能模块的设置都按照统一的标准进行,且所有的第三方认证机构和电子签章应用系统开发商都遵守该标准,使用户手上的电子印章都能在任意一个电子签章应用系统中使用,完全突破了目前运行体系中无法通用的局限性,真正解决了电子签章应用中电子印章的通用性问题;同时,电子签章中的数字证书真正的由签发数字证书的第三方认证机构经数字签名作出相关认证结果,该认证结果更权威更可靠,并非由电子签章应用系统自身认证,使电子签章应用环境的安全性也变得更高,保证了电子签章应用的安全性、可靠性、规范性。
文档编号G06Q10/00GK101022339SQ20071006764
公开日2007年8月22日 申请日期2007年3月23日 优先权日2007年3月23日
发明者郭传真 申请人:郭传真