专利名称:电子图章与用户可信绑定方法、由该方法获得的电子图章及该图章的使用方法
技术领域:
本发明涉及属于信息安全技术领域,尤其涉及电子政务、电子商务等领域中的电子印章系统,特别涉及一种基于一个可信第三方建立的图章中心将电子图章与用户可信进行绑定的方法,以及由该方法获得的电子图章和该图章的使用方法。
背景技术:
在中国传统历史的演进中,为了表示身份和建立交易秩序,创造了独特的“盖章”制度,无论是个人的私人印章还是政府机关的图章,都可以具有与“签名”相同的效力,印章也成为人们日常喜闻乐见的一种方式。
随着信息化的发展,电子印章也应运而生,应用于办公自动化、网上签订合同、网上报税、网上企业年检、电子发票、电子结算等网络应用,但普通的电子印章只是现实印章的一种电子化图像表现形式,通常使用数字水印等隐藏技术将图像及数字指纹加入到电子文档中来模拟盖章,无法安全实现盖章文档的不可篡改性和盖章的不可抵赖性。
数字签名技术解决了数字世界中数据的的不可篡改性和操作的不可抵赖性,我国电子签名法2005年4月1日正式实施也保证了数字签名的合法性,因此电子印章与数字签名技术的结合是电子印章发挥其“印章”应有价值的根本途径。
中国发明专利《基于公开密钥算法的数字印章系统》(申请号02125320公开号CN 1389786A)公开了一种采用通用公开密钥密码体制及算法生成一对私有密钥和公开密钥,在独立计算机上根据数字指纹和私有密钥生成数字印章,并印刷数字印章到防伪对象的技术。该系统仅是一个数字签名的应用,将用户私钥对文档的签名作为一个数字印章,采用字符或者条形码存放,不具备常用印章的形状,缺乏使用习惯,不能称为电子印章。
中国发明专利《数字印章系统》(申请号200310109857.9公开号CN1635533A)公开了一种采用二值图像数字水印算法和数字签名相结合的数字印章系统,将文档的数字签名信息通过特定的二值图像水印技术嵌入普通印章图像,将数字签名的合法性与传统印章的合法性结合起来。该系统每次将数字签名嵌入普通印章图像实现电子印章,但是数字签名和印章图像之间没有一个可信的联系同一个数字签名可以嵌入不同的印章图像中;不同用户的数字签名可以嵌入同一个印章图像中,但验证都是有效的,这种可以私自制作印章的系统事实上造成了电子印章的伪造(数字签名不可伪造,签名与图像的结合可以伪造)。
发明内容
本发明目的的一个方面是提供一种基于一个可信第三方建立的图章中心将电子图章与用户可信进行绑定的方法,使制作图章的过程真正公正、公开,光明正大起来。
本发明目的的另一个方面是提供利用该绑定方法制作的电子图章。
本发明目的的再另一个方面是提供这种图章的使用方法。
本发明的目的可以通过以下技术方案来实现一种基于一个可信第三方建立的图章中心将电子图章与用户可信进行绑定的方法,该方法是首先利用PKI信任体系,建立一个权威的第三方印章中心,用户对选取的印章图像进行签名,将印章图像数据、用户身份证明一同作为印章申请请求发送到印章中心;印章中心在收到客户申请后,首先对用户发过来的请求数据进行验证,验证成功后,将产生包含印章ID、内容描述、有效期的自身描述数据,印章中心使用其私钥对用户发过来的印章图像数据、用户身份证明数据以及自身产生的印章描述数据进行签名,然后将以上签名的数据进行组合形成完整的电子印章,最后印章中心将签发好的电子印章返回给用户,同时中心保存印章对象。
印章中心在收到客户申请后,可以进行以下认证a、通过所述印章中心建立的认证中心认证用户身份证明的有效性;b、使用验证过的用户身份证明验证用户的签名,确保请求是此用户发出;c、验证印章图像是否与用户身份证明信息匹配;d、检查是否已经申请过类似印章。
上述方法中用户可使用签名私钥对印章图象进行签名。
上述方法中使用的用户身份证明可以是用户证书或公钥。
一种依上述方法获得的电子图章,其图章中至少包含有以下信息电子印章图形数据、用户证书或公钥、印章说明、印章签发日期、印章有效期以及印章中心对以上数据的签名数据。
上述电子印章的使用方法包括a、签章客户端使用与印章对象中用户证书或公钥对应的用户私钥对需要盖章的文档数据进行签名,签名信息与数据描述信息合成签章信息;b、签章客户端将签章信息、印章对象一起嵌入到原始文档的指定位置,形成盖章文档。
上述电子印章的使用方法还包括印章废除。
所述印章废除包括如下步骤请求人向印章中心提供印章对象和废除请求,然后将数据发送到印章中心进行废除申请,印章中心在验证该请求合格后,将该印章作废除处理;印章中心定期将被废除的印章对象制作成黑名单进行公开发布,供第三方验证印章使用。
所述请求人可以是用户或具有管理权限的执法部门。
上述电子印章的使用方法还包括印章验证。
所述印章验证包括如下步骤首先验章系统从盖章文档的指定位置获取印章对象和签章信息,然后进行如下验证工作a、使用印章对象中的证书验证签章信息中的签名,检验此文档是否为该印章所签发;b、验证印章是否为权威的印章中心签发,即使用印章中心的证书验证印章中心的签名,验证通过即印章对象是合法的,是印章中心签发的;
b、验证印章签章时刻的有效性,即验证印章的有效期,验证印章是否在黑名单之内;c、显示印章对象中的图像数据和印章中心的描述数据,供用户检验是否与文档所显示的一致。
上述方法中验证签章时刻的有效性可以借助在盖章文档中加入时间戳来实现。
本发明利用PKI信任体系,采用权威的第三方印章中心,根据用户证书和印章图像使用数字签名技术为用户制作唯一的电子印章,实现用户证书与印章图像的可信绑定,利用印章中心的权威性保证印章对象自身的唯一性、合法性和可验证性。在本发明实施过程中,印章中心为一个权威的、用户认可的印章制作管理中心,负责接收印章申请、完成印章的签发、印章黑名单管理、审计等功能。
本发明的主要特点和作用是1、印章与PKI体系的完美结合,即利用了数字签名保证了数据的完整性和不可抵赖性,又体现了图像印章的独特功效。
2、解决了印章图像的信任源问题,使用可信的第三方确保了印章图像与用户证书的关联关系,实现了真正意义上的不可伪造的电子印章。
3、实现了一种公开的、可信的印章对象制作和验证技术,避免了使用隐藏技术等特有技术来保证印章对象有效的手段,从而避免了由于印章系统开发者泄密或者开发者自身对整个印章体系造成的威胁,使印章真正公正、公开,光明正大起来。
4、实现了印章制作和印章验证的有效分离,犹如人民币印制和验钞机制作的分离,改变了谁制章只能谁验证的局面,使印章系统更加可信,使电子印章系统的标准化成为可能。
图1为本发明实施例中几种可以作为印章的图像,具体规格可以由印章中心统一规定。
图2为本发明用户申请电子印章的流程图;图3为本发明电子印章与现有的电子印章的比较图;图4为本发明包含完整印章对象的盖章文档。
具体实施例方式
下面结合附图和具体实施方式
来对本发明作进一步的描述。
在实施本发明方法的过程中,首先由可信第三方利用PKI信任体系建立一个图章中心,实现电子图章与用户可信进行绑定,该可信的第三方可以是国家的权威部门,也可以是一个具有公信力的中介机构。
参见图1,图中所示的是可以作为印章的图像,但不限于此。具体规格可以由上述印章中心进行统一规定。
参见图2,用户使用签名私钥对选取的印章图像进行签名,将印章图像数据、用户证书与图像的私钥签名两者的组合构成的用户身份证明一同作为印章申请请求通过网络发送到上述印章中心;上述印章中心在收到客户申请后,首先对用户发过来的请求数据进行如下验证a、通过上述印章中心已建立的认证中心认证用户证书或公钥构成的用户身份证明的有效性;若有效,则进行下一步的验证b、使用验证过的用户证书或公钥验证用户对图像的签名,确保请求是此用户发出;若该请求为用户发出,则继续进行下一步的验证c、验证用户发过来的印章图像是否与用户身份证明信息匹配;若匹配,则进行下一步的验证;d、检查是否已经申请过类似印章。
上述验证成功后,印章中心的计算机系统将产生包含印章ID、内容描述、有效期的自身描述数据,印章中心使用其私钥对用户发过来的印章图像数据、用户证书或公钥构成的用户身份证明数据以及自身产生的印章描述数据进行签名,然后将以上签名的数据进行组合形成完整的电子印章,最后印章中心将签发好的电子印章返回给用户,同时中心保存印章对象。
参见图3,依上述方法获得的电子图章,其图章中包含有以下信息电子印章图形数据、用户证书或公钥、印章说明、印章签发日期、印章有效期以及印章中心对以上数据的签名数据。
参见图4,上述电子印章在使用时,首先签章客户端使用与印章对象中用户证书或公钥对应的用户私钥对需要盖章的文档数据进行签名,签名信息与数据描述信息合成签章信息。最后签章客户端将签章信息、印章对象一起嵌入到原始文档的指定位置,形成如图3所示的盖章文档。
由于用户变更、倒闭等其它原因,需要对用户原有的电子印章进行废除。印章废除时,请求人如用户或具有管理权限的执法部门向印章中心提供印章对象和废除请求,然后将数据通过网络发送到印章中心进行废除申请,印章中心在验证该请求合格后,将该印章作废除处理;印章中心定期将被废除的印章对象制作成黑名单进行公开发布,供第三方验证印章使用。
用户发给其客户的盖章文档后,其客户可以对盖章文档上的印章进行验证。
验证时,验章系统从盖章文档的指定位置获取印章对象和签章信息,然后进行如下验证工作a、使用印章对象中的证书验证签章信息中的签名,检验此文档是否为该印章所签发;若是,则进行下一步的验证b、验证印章是否为权威的印章中心签发,即使用印章中心的证书验证印章中心的签名,验证通过即印章对象是合法的,是印章中心签发的;若使用的电子印章为印章中心签发,则进行下一步的验证b、验证印章签章时刻的有效性,即验证印章的有效期,验证印章是否在黑名单之内;若该电子印章有效,则继续进行下一步的验证c、显示印章对象中的图像数据和印章中心的描述数据,供用户检验是否与文档所显示的一致。
当然,对于本领域的一般技术人员,不花费创造性的劳动,在上述实施例的基础上能够作多种变化,同样能够实现本发明的目的。因此,上述各种变化显然应该在本发明的权利要求书的保护范围内。
权利要求
1.一种基于一个可信第三方建立的图章中心将电子图章与用户可信进行绑定的方法,其特征在于该方法是首先利用PKI信任体系,建立一个权威的第三方印章中心,用户对选取的印章图像进行签名,将印章图像数据、用户身份证明一同作为印章申请请求发送到印章中心;印章中心在收到客户申请后,首先对用户发过来的请求数据进行验证,验证成功后,将产生包含印章ID、内容描述、有效期的自身描述数据,印章中心使用其私钥对用户发过来的印章图像数据、用户身份证明数据以及自身产生的印章描述数据进行签名,然后将以上签名的数据进行组合形成完整的电子印章,最后印章中心将签发好的电子印章返回给用户,同时中心保存印章对象。
2.如权利要求1所述的绑定方法,其特征在于所述印章中心在收到客户申请后,进行以下认证a、通过所述印章中心建立的认证中心认证用户身份证明的有效性;b、使用验证过的用户身份证明验证用户的签名,确保请求是此用户发出;c、验证印章图像是否与用户身份证明信息匹配;d、检查是否已经申请过类似印章。
3.如权利要求1所述的绑定方法,其特征在于用户可使用签名私钥对印章图象进行签名。
4.如权利要求1至3任一项权利要求所述的绑定方法,其特征在于所述方法中使用的用户身份证明可以是用户证书或公钥。
5.一种依权利要求1所述的绑定方法获得的电子图章,其特征在于其图象中至少包含有以下信息电子印章图形数据、用户证书、印章说明、印章签发日期、印章有效期、印章中心对以上数据的签名数据。
6.一种如权利要求5所述的电子图章的使用方法,其特征在于该方法包括如下步骤a、签章客户端使用与印章对象中用户证书对应的用户私钥对需要盖章的文档数据进行签名,签名信息与数据描述信息合成签章信息;b、签章客户端将签章信息、印章对象一起嵌入到原始文档的指定位置,形成盖章文档。
7.如权利要求6所述的使用方法,其特征在于其使用方法还包括印章废除。
8.如权利要求7所述的使用方法,其特征在于所述印章废除包括如下步骤请求人向印章中心提供印章对象和废除请求,然后将数据发送到印章中心进行废除申请,印章中心在验证该请求合格后,将该印章作废除处理;印章中心定期将被废除的印章对象制作成黑名单进行公开发布,供第三方验证印章使用。
9.如权利要求7所述的使用方法,其特征在于所述请求人可以是用户或具有管理权限的执法部门。
10.如权利要求6所述的使用方法,其特征在于其使用方法还包括印章验证。
11.如权利要求10所述的使用方法,其特征在于所述印章验证包括如下步骤首先验章系统从盖章文档的指定位置获取印章对象和签章信息,然后进行如下验证工作a、使用印章对象中的证书或公钥验证签章信息中的签名,检验此文档是否为该印章所签发;b、验证印章是否为权威的印章中心签发,即使用印章中心的证书验证印章中心的签名,验证通过即印章对象是合法的,是印章中心签发的;b、验证印章签章时刻的有效性,即验证印章的有效期,验证印章是否在黑名单之内;验证签章时刻的有效性可以借助在盖章文档中加入时间戳来实现;c、显示印章对象中的图像数据和印章中心的描述数据,供用户检验是否与文档所显示的一致。
全文摘要
本发明公开了一种电子图章与用户可信进行绑定的方法,其首先利用PKI信任体系,建立一个权威的第三方印章中心,用户对选取的印章图像进行签名,将印章图像数据、用户身份证明一同作为印章申请请求发送到印章中心;印章中心在收到客户申请后,首先对用户发过来的请求数据进行验证,验证成功后,将产生包含印章ID、内容描述、有效期的自身描述数据,印章中心使用其私钥对用户发过来的印章图像数据、用户身份证明数据以及自身产生的印章描述数据进行签名,然后将以上签名的数据进行组合形成完整的电子印章,最后印章中心将签发好的电子印章返回给用户,同时中心保存印章对象。本发明还公开了依上述方法获得的电子印章以及该印章的使用方法。
文档编号H04L9/12GK1767434SQ20051011057
公开日2006年5月3日 申请日期2005年11月21日 优先权日2005年11月21日
发明者韩洪慧 申请人:上海格尔软件股份有限公司