一种电子签章方法及系统的制作方法

一种电子签章方法及系统的制作方法
【专利摘要】本发明提供了一种电子签章方法及系统，所述方法包括：注册步骤：安全设备采集用户手指静脉信息，将手指静脉数据与时间数据作为因子，生成对应的公钥、私钥密钥对，私钥存储在安全设备内部，公钥存储在服务器；文件加密步骤：将不同长度的原文数据经过HASH算法，转换为固定长度的第一信息摘要；将第一信息摘要使用私钥进行加密形成该文档的数字签名；将数字签名与原文通过网络上传至服务器；解密步骤：服务器使用公钥对数字签名进行解密，形成解密信息摘要将接收到原文数据按照同样的HASH算法转换为第二信息摘要，将所述第二信息摘要与所述解密信息摘要进行比对，当所述第二信息摘要与所述解密信息摘要相同，则执行电子签章操作。
【专利说明】
一种电子签章方法及系统
技术领域
[0001]本发明涉及电子签章技术领域，特别涉及一种电子签章方法及系统。
【背景技术】
[0002]电子签章是将PKI(Public Key Infrastructure，公钥基础设施)数字签名与电子印章技术相结合的应用技术，由数字签名在背后支撑身份认证、数字完整性、不可抵赖性功能，电子印章解决了数字签名的可视化表现，作为无纸化办公的最后一环，电子签章以加密文档、防止恶意篡改等功能，为电子文档的法律效力提供了技术支撑，然而，基于PIN(Personal Identificat1n Number，个人识别密码)码的保护手段使PKI仍然应用存在安全隐患，因为即使数字证书安全合法，PIN码认证的却是口令，并非真正的授权用户，其次，在服务器认证通过，PKI通道正式建立后，用户即可进入电子签章批量操作环节，过程中无须再次认证，这时中途离开，则存在被他人误操作、恶意操作的风险。
[0003]因此，如何设置出实用而又可靠的电子签章方法及系统，对用户发送的文件进行电子签章，增强电子签章的公信力，成为技术人员需要考虑的问题。

【发明内容】

[0004]本发明所要解决的技术问题是提供一种电子签章方法及系统，实现尽量可靠的电子签章，增强电子签章的公信力。
[0005 ]为了解决上述技术问题，本发明提供了一种电子签章方法，所述方法包括:
[0006]注册步骤:安全设备采集用户手指静脉信息，将手指静脉信息存储至服务器，安全设备将手指静脉数据与时间数据作为因子，生成对应的公钥、私钥密钥对，私钥存储在安全设备内部，不可被读取，公钥被上传至服务器，存储在服务器；
[0007]文件加密步骤:将不同长度的原文数据经过HASH算法，转换为固定长度的第一信息摘要;将所述第一信息摘要使用私钥进行加密，形成该文档的数字签名;客户端将数字签名与原文通过网络上传至服务器；
[0008]解密步骤:服务器使用公钥对数字签名进行解密，形成解密信息摘要;服务器将接收到原文数据按照同样的HASH算法转换为第二信息摘要，将所述第二信息摘要与所述解密信息摘要进行比对，当所述第二信息摘要与所述解密信息摘要相同，则执行电子签章操作。
[0009]可选的，所述执行电子签章操作，包括:
[0010]服务器按照文档次序，在进行每个文档的电子签章操作前对用户进行手指静脉身份认证，用户手指静脉身份认证成功，服务器完成该文档电子签章操作；电子签章完成后，用户在指定目录下获取已完成电子签章操作的文档，同时安全设备断开连接。
[0011 ]可选的，所述方法还包括:
[0012]当手指静脉身份认证失败，要求安全设备重新采集用户手指静脉信息，采集次数加I，当采集次数到达设定阈值仍未认证成功，服务器跳过该文档，进行下个文档的电子签章操作，直到所有文档执行完电子签章操作。
[0013]可选的，所述文件加密步骤之前，还包括:
[0014]用户认证步骤:安全设备使用用户私钥对用户信息进行加密，形成密文，通过USB协议传至客户端；
[0015]客户端将加密后的安全设备中的用户信息与设备号上传至服务器；
[0016]服务器接收到设备号后，使用用户公钥对用户信息进行解密，解密完成后，与服务器端用户信息进行比对，比对成功，服务器认证为合法设备与合法用户。
[0017]可选的，所述用户认证步骤之后，还包括:
[0018]手指静脉认证登录步骤:服务器认证设备合法后，提示用户进行手指静脉身份认证，安全设备在客户端驱动下，采集用户手指静脉信息，利用私钥加密手指静脉信息后上传至服务器；
[0019]服务器对手指静脉信息采用公钥进行解密，根据用户信息找到对应存储的用户手指静脉采集模板，比对用户手指静脉采集模板与解密后的手指静脉信息，当比对通过，认证成功，用户登录客户端系统；当比对失败，返回进行手指静脉信息采集，采集次数加I，当采集次数到达设定阈值仍未认证成功，安全设备断开连接。
[0020]为了解决上述技术问题，本发明还提供了一种电子签章系统，所述系统包括安全设备、客户端、服务器；
[0021]所述安全设备包括:采集模块，用于采集用户手指静脉信息；秘钥生成模块，用于将手指静脉数据与时间数据作为因子，生成对应的公钥、私钥密钥对;存储模块，用于存储私钥;加密模块，用于将不同长度的原文数据经过HASH算法，转换为固定长度的第一信息摘要;将所述第一信息摘要使用私钥进行加密，形成该文档的数字签名；
[0022]所述客户端包括:上传模块，用于将公钥、数字签名与原文上传至服务器；
[0023]所述服务器包括:解密模块，用于使用公钥对数字签名进行解密，形成解密信息摘要;比对模块，用于将接收到原文数据按照同样的HASH算法转换为第二信息摘要，将所述第二信息摘要与所述解密信息摘要进行比对，当所述第二信息摘要与所述解密信息摘要相同，发送指令到电子签章模块;电子签章模块，执行电子签章操作。
[0024]可选的，所述电子签章模块执行电子签章操作，包括:按照文档次序，在进行每个文档的电子签章操作前对用户进行手指静脉身份认证，用户手指静脉身份认证成功，服务器完成该文档电子签章操作；电子签章完成后，用户在指定目录下获取已完成电子签章操作的文档，同时安全设备断开连接。
[0025]可选的，所述电子签章模块，还用于:当手指静脉身份认证失败，要求安全设备重新采集用户手指静脉信息，采集次数加I，当采集次数到达设定阈值仍未认证成功，服务器跳过该文档，进行下个文档的电子签章操作，直到所有文档执行完电子签章操作。
[0026]可选的，所述服务器，还包括:
[0027]用户认证模块:接收安全设备使用用户私钥对用户信息进行加密后形成的密文；使用用户公钥对所述密文进行解密，解密完成后，与服务器端用户信息进行比对，比对成功，认证为合法设备与合法用户。
[0028]可选的，所述服务器，还包括:
[0029]手指静脉认证登录模块:用于当认证设备合法后，提示用户进行手指静脉认证，接收安全设备采集后利用私钥加密的用户手指静脉信息，采用公钥进行解密，根据用户信息找到对应存储的用户手指静脉采集模板，比对用户手指静脉采集模板与解密后的手指静脉信息，当比对通过，认证成功，用户登录客户端系统；当比对失败，返回进行手指静脉信息采集，采集次数加I，当采集次数到达设定阈值仍未认证成功，安全设备断开连接。
[0030]针对传统PKI应用中存在的隐患，本发明的手指静脉电子签章方法及系统提出更有效的解决方案，客户端由手指静脉身份认证取代PIN码，增加数字签名应用流程中的手指静脉身份认证机制，服务器端则统一部署电子签章模块及手指静脉认证模块，电子签章模块及手指静脉认证模块用于服务器端电子签章、电子印章存储、手指静脉身份认证等，这样的好处在于，在数字证书验证通过，SSL(Secure Sockets Layer，安全套接层)通道建立之后，用户每一次签章操作仍需要手指静脉身份认证，切实保障每一次数字签名都合法可靠。
【附图说明】
[0031]图1为本发明实施例中电子签章方法流程图。
[0032]图2为本发明实施例中电子签章系统结构示意图。
【具体实施方式】
[0033]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0034]本发明的系统在进行文件传输时，对文档摘要进行非对称加密，非对称加密算法中，发送时，采用用户的私钥对信息进行加密，接收时，采用用户的公钥进行解密，本系统中，用户的公钥存储在服务器中，私钥存储在安全设备中，只能在安全设备中参与运算，无法被读取。
[0035]参照图1所示，为本发明实施例中电子签章方法流程图。所述方法包括:
[0036]注册步骤101:安全设备采集用户手指静脉信息，将手指静脉信息存储至服务器，安全设备将手指静脉数据与时间数据作为因子，生成对应的公钥、私钥密钥对，私钥存储在安全设备内部，不可被读取，公钥被上传至服务器，存储在服务器；
[0037]文件加密步骤102:将不同长度的原文数据经过HASH算法，转换为固定长度的第一信息摘要;将所述第一信息摘要使用私钥进行加密，形成该文档的数字签名;客户端将数字签名与原文通过网络上传至服务器；
[0038]解密步骤103:服务器使用公钥对数字签名进行解密，形成解密信息摘要;服务器将接收到原文数据按照同样的HASH算法转换为第二信息摘要，将所述第二信息摘要与所述解密信息摘要进行比对，当所述第二信息摘要与所述解密信息摘要相同，则执行电子签章操作。
[0039]在本发明的一个优选实施例中，所述执行电子签章操作，包括:
[0040]服务器按照文档次序，在进行每个文档的电子签章操作前对用户进行手指静脉身份认证，用户手指静脉身份认证成功，服务器完成该文档电子签章操作；电子签章完成后，用户在指定目录下获取已完成电子签章操作的文档，同时安全设备断开连接。
[0041]作为又一个实施例，所述方法还包括:
[0042]当手指静脉身份认证失败，要求安全设备重新采集用户手指静脉信息，采集次数加I，当采集次数到达设定阈值仍未认证成功，服务器跳过该文档，进行下个文档的电子签章操作，直到所有文档执行完电子签章操作。
[0043]在本发明的又一个优选实施例中，所述文件加密步骤102之前，还包括:
[0044]用户认证步骤1011:安全设备使用用户私钥对用户信息进行加密，形成密文，通过USB协议传至客户端；
[0045]客户端将加密后的安全设备中的用户信息与设备号上传至服务器；
[0046]服务器接收到设备号后，使用用户公钥对用户信息进行解密，解密完成后，与服务器端用户信息进行比对，比对成功，服务器认证为合法设备与合法用户。
[0047]作为又一个实施例，所述用户认证步骤之后，还包括:
[0048]手指静脉认证登录步骤1012:服务器认证设备合法后，提示用户进行手指静脉身份认证，安全设备在客户端驱动下，采集用户手指静脉信息，利用私钥加密手指静脉信息后上传至服务器；
[0049]服务器对手指静脉信息采用公钥进行解密，根据用户信息找到对应存储的用户手指静脉采集模板，比对用户手指静脉采集模板与解密后的手指静脉信息，当比对通过，认证成功，用户登录客户端系统；当比对失败，返回进行手指静脉信息采集，采集次数加I，当采集次数到达设定阈值仍未认证成功，安全设备断开连接。
[0050]参照图2所示，为本发明实施例中电子签章系统结构示意图。所述系统包括安全设备201、客户端202、服务器203;
[0051]所述安全设备201包括:采集模块2011，用于采集用户手指静脉信息；秘钥生成模块2012，用于将手指静脉数据与时间数据作为因子，生成对应的公钥、私钥密钥对;存储模块2013，用于存储私钥;加密模块2014，用于将不同长度的原文数据经过HASH算法，转换为固定长度的第一信息摘要;将所述第一信息摘要使用私钥进行加密，形成该文档的数字签名；
[0052]所述客户端202包括:上传模块2021，用于将公钥、数字签名与原文上传至服务器；
[0053]所述服务器203包括:解密模块2031，用于使用公钥对数字签名进行解密，形成解密信息摘要；比对模块2032，用于将接收到原文数据按照同样的HASH算法转换为第二信息摘要，将所述第二信息摘要与所述解密信息摘要进行比对，当所述第二信息摘要与所述解密信息摘要相同，发送指令到电子签章模块2033;电子签章模块2033，执行电子签章操作。
[0054]在本发明的又一个优选实施例中，所述电子签章模块2033执行电子签章操作，包括:按照文档次序，在进行每个文档的电子签章操作前对用户进行手指静脉身份认证，用户手指静脉身份认证成功，服务器完成该文档电子签章操作；电子签章完成后，用户在指定目录下获取已完成电子签章操作的文档，同时安全设备断开连接。所述电子签章模块2033，还用于:当手指静脉身份认证失败，要求安全设备重新采集用户手指静脉信息，采集次数加I，当采集次数到达设定阈值仍未认证成功，服务器跳过该文档，进行下个文档的电子签章操作，直到所有文档执行完电子签章操作。
[0055]在本发明的又一个优选实施例中，所述服务器，还包括:
[0056]用户认证模块2034:接收安全设备使用用户私钥对用户信息进行加密后形成的密文;使用用户公钥对所述密文进行解密，解密完成后，与服务器端用户信息进行比对，比对成功，认证为合法设备与合法用户。
[0057]在本发明的又一个优选实施例中，所述服务器，还包括:
[0058]手指静脉认证登录模块2035:用于当认证设备合法后，提示用户进行手指静脉认证，接收安全设备采集后利用私钥加密的用户手指静脉信息，采用公钥进行解密，根据用户信息找到对应存储的用户手指静脉采集模板，比对用户手指静脉采集模板与解密后的手指静脉信息，当比对通过，认证成功，用户登录客户端系统；当比对失败，返回进行手指静脉信息采集，采集次数加I，当采集次数到达设定阈值仍未认证成功，安全设备断开连接。
[0059]下面通过具体应用中的实例对本发明技术方案进行示例性说明。
[0060](I)连接安全设备:
[0061 ]安全设备采用USB与PC连接，安全设备具有手指静脉采集功能，同时，安全设备内保存有用户数字证书与私钥，能够对文件进行加密运算；
[0062](2)安全设备上电，加密用户信息:
[0063]安全设备上电后，通过设备号与客户端握手成功，安全设备使用用户私钥对用户信息(用户信息包括用户姓名、证件号码、工号、安全设备内数字证书等信息)进行加密，形成密文，通过USB协议传至客户端；
[0064](3)上传用户信息:
[0065]客户端将加密后的安全设备中的用户信息与设备号上传至服务器；
[0066](4)服务器认证:
[0067]服务器接收到设备号后，使用用户公钥对用户信息进行解密，解密完成后，与服务器端用户信息进行比对，比对成功，服务器认证为合法设备与合法用户操作；
[0068](5)手指静脉信息采集:
[0069]服务器认证设备合法后，提示用户进行手指静脉身份认证，安全设备在客户端驱动下，采集用户手指静脉信息，利用私钥加密手指静脉信息后上传至服务器；
[0070](6)手指静脉身份认证:
[0071]服务器对手指静脉信息采用公钥进行解密，根据根据用户信息找到对应存储的用户手指静脉采集模板，通过算法比对用户手指静脉采集模板与注册的手指静脉信息，认证成功后，用户登录客户端系统，认证失败后，返回进行手指静脉信息采集，连续3次认证失败后，安全设备断开连接；
[0072](7)客户端登录:
[0073]用户手指静脉身份认证成功后，登录客户端，可进行文档电子签章操作；
[0074](8)文档设置:
[0075]用户登录客户端后，将需要进行电子签章的文档+印章标示文件+印章位置标示文件等存放至计算机指定目录；
[0076](9)加密:
[0077]安全设备将该目录下的文档进行HASH信息摘要，并使用用户私钥进行加密，形成数字签名；
[0078](10)数字签名比对:
[0079]客户端将原文与数字签名上传至服务器，服务器将原文进行HASH信息摘要，并使用用户公钥对数字签名进行解密，将解密后的信息摘要与生成的信息摘要进行比较，确保原文在传输过程中未被篡改；
[0080](11)电子签章:
[0081]服务器批量对文档进行电子签章操作，服务器按照文档次序，在进行每个文档的电子签章操作前对用户进行手指静脉身份认证；
[0082](12)手指静脉身份认证:
[0083]用户手指静脉身份认证成功，服务器完成该文档电子签章操作，并将文档返回客户端，手指静脉身份认证失败，服务器返回，要求安全设备重新采集用户手指静脉信息，连续3次失败，服务器跳过该文档，进行下个文档的电子签章操作。
[0084](13)完成:
[0085]电子签章完成后，用户在指定目录下获取已完成电子签章操作的文档，同时安全设备断开连接。
[0086]以上所述的【具体实施方式】，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的【具体实施方式】而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【主权项】
1.一种电子签章方法，其特征在于，所述方法包括: 注册步骤:安全设备采集用户手指静脉信息，将手指静脉信息存储至服务器，安全设备将手指静脉数据与时间数据作为因子，生成对应的公钥、私钥密钥对，私钥存储在安全设备内部，不可被读取，公钥被上传至服务器，存储在服务器； 文件加密步骤:将不同长度的原文数据经过HASH算法，转换为固定长度的第一信息摘要;将所述第一信息摘要使用私钥进行加密，形成该文档的数字签名;客户端将数字签名与原文通过网络上传至服务器； 解密步骤:服务器使用公钥对数字签名进行解密，形成解密信息摘要;服务器将接收到原文数据按照同样的HASH算法转换为第二信息摘要，将所述第二信息摘要与所述解密信息摘要进行比对，当所述第二信息摘要与所述解密信息摘要相同，则执行电子签章操作。2.如权利要求1所述的方法，其特征在于，所述执行电子签章操作，包括: 服务器按照文档次序，在进行每个文档的电子签章操作前对用户进行手指静脉身份认证，用户手指静脉身份认证成功，服务器完成该文档电子签章操作；电子签章完成后，用户在指定目录下获取已完成电子签章操作的文档，同时安全设备断开连接。3.如权利要求2所述的方法，其特征在于，所述方法还包括: 当手指静脉身份认证失败，要求安全设备重新采集用户手指静脉信息，采集次数加I，当采集次数到达设定阈值仍未认证成功，服务器跳过该文档，进行下个文档的电子签章操作，直到所有文档执行完电子签章操作。4.如权利要求1所述的方法，其特征在于，所述文件加密步骤之前，还包括: 用户认证步骤:安全设备使用用户私钥对用户信息进行加密，形成密文，通过USB协议传至客户端； 客户端将加密后的安全设备中的用户信息与设备号上传至服务器； 服务器接收到设备号后，使用用户公钥对用户信息进行解密，解密完成后，与服务器端用户信息进行比对，比对成功，服务器认证为合法设备与合法用户。5.如权利要求4所述的方法，其特征在于，所述用户认证步骤之后，还包括: 手指静脉认证登录步骤:服务器认证设备合法后，提示用户进行手指静脉身份认证，安全设备在客户端驱动下，采集用户手指静脉信息，利用私钥加密手指静脉信息后上传至服务器； 服务器对手指静脉信息采用公钥进行解密，根据用户信息找到对应存储的用户手指静脉采集模板，比对用户手指静脉采集模板与解密后的手指静脉信息，当比对通过，认证成功，用户登录客户端系统；当比对失败，返回进行手指静脉信息采集，采集次数加I，当采集次数到达设定阈值仍未认证成功，安全设备断开连接。6.—种电子签章系统，其特征在于，所述系统包括安全设备、客户端、服务器； 所述安全设备包括:采集模块，用于采集用户手指静脉信息；秘钥生成模块，用于将手指静脉数据与时间数据作为因子，生成对应的公钥、私钥密钥对;存储模块，用于存储私钥；加密模块，用于将不同长度的原文数据经过HASH算法，转换为固定长度的第一信息摘要;将所述第一信息摘要使用私钥进行加密，形成该文档的数字签名； 所述客户端包括:上传模块，用于将公钥、数字签名与原文上传至服务器； 所述服务器包括:解密模块，用于使用公钥对数字签名进行解密，形成解密信息摘要；比对模块，用于将接收到原文数据按照同样的HASH算法转换为第二信息摘要，将所述第二信息摘要与所述解密信息摘要进行比对，当所述第二信息摘要与所述解密信息摘要相同，发送指令到电子签章模块;电子签章模块，执行电子签章操作。7.如权利要求6所述的系统，其特征在于，所述电子签章模块执行电子签章操作，包括:按照文档次序，在进行每个文档的电子签章操作前对用户进行手指静脉身份认证，用户手指静脉身份认证成功，服务器完成该文档电子签章操作；电子签章完成后，用户在指定目录下获取已完成电子签章操作的文档，同时安全设备断开连接。8.如权利要求7所述的系统，其特征在于，所述电子签章模块，还用于:当手指静脉身份认证失败，要求安全设备重新采集用户手指静脉信息，采集次数加I，当采集次数到达设定阈值仍未认证成功，服务器跳过该文档，进行下个文档的电子签章操作，直到所有文档执行完电子签章操作。9.如权利要求6所述的系统，其特征在于，所述服务器，还包括: 用户认证模块:接收安全设备使用用户私钥对用户信息进行加密后形成的密文;使用用户公钥对所述密文进行解密，解密完成后，与服务器端用户信息进行比对，比对成功，认证为合法设备与合法用户。10.如权利要求9所述的系统，其特征在于，所述服务器，还包括: 手指静脉认证登录模块:用于当认证设备合法后，提示用户进行手指静脉认证，接收安全设备采集后利用私钥加密的用户手指静脉信息，采用公钥进行解密，根据用户信息找到对应存储的用户手指静脉采集模板，比对用户手指静脉采集模板与解密后的手指静脉信息，当比对通过，认证成功，用户登录客户端系统；当比对失败，返回进行手指静脉信息采集，采集次数加I，当采集次数到达设定阈值仍未认证成功，安全设备断开连接。
【文档编号】G06F21/32GK106022035SQ201610285724
【公开日】2016年10月12日
【申请日】2016年5月3日
【发明人】蔡捷, 刘志彬
【申请人】识益生物科技(北京）有限公司