专利名称:电子文档的保全方法、保全系统和验证系统的制作方法
技术领域:
本发明涉及保全技术,具体而言,涉及电子文档的保全方法、保全系统和验证系统。
背景技术:
现实生活中已经在大量地运用电子文档进行交易或进行其他商务活动,但普通的计算机数据或电子文档难以作为直接证据,主要原因是其易篡改性(非原始性)和信息与签发人之间关联性差,为了解决电子文档直接作为证据问题,现实中采取公证救济措施,以确保其证据效力,无法使用简单的文件鉴定方法进行判断文件的真实性。同时,对于电子文档的公证过程,在传统公证制度下,对电子文档的公证主要是现场见证公证,要求公证员亲临现场,公证机关仅对已经存储于电脑硬盘和其他电子介质上的内容加以认定其真实,出具确认行为合法、真实有效的证明(公证书),由于这种公证形式存在如下问题需要公证人员亲临现场,公证时间周期长,证明该电子文件的最早存在时间为公证人员签字的时间等等;所以出现一种叫在线公证形式,是将传统的公证业务拿到网络上进行,网络成为公证机构履行公证职责的另一种平台在线公证,虽然不需要公证员亲临现场,只需要通过在线审验申请人的电子文本,即可以确认该文本的真实性和合法性,他只是简单的使用数字签名技术将传统的公证业务拿到网络上进行。但是这种方式仍然存在如下问题公证的时间长,成本高,效率低;只能证明该电子文件的最早存在时间为公证人员签字的时间;必须依附公证机构的权威性等等。因此,需要一种新的电子文档保全方法,可以加强电子文档与签发人之间的关联性,保持电子文档的原始性,使电子文档能够成为直接证据,并简化公证步骤,提高公证效率。
发明内容
本发明正是基于上述问题,提出了一种电子文档的保全和验证技术,可以加强电子文档与签发人之间的关联性,保持电子文档的原始性,使电子文档能够成为直接证据,并简化公证步骤,提高公证效率。有鉴于此,本发明提出了一种电子文档的保全方法,包括步骤102,为所述电子文档生成电子证据包,并在所述电子证据包上标记时间戳后存储所述电子证据包,所述电子证据包中包含所述电子文档;步骤104,将利用所述电子文档生成的电子文档数字指纹和利用所述电子证据包生成的电子证据包数字指纹,通过传输通道发送并存储至电子证据服务器。在该技术方案中,一方面生成包含电子文档的电子证据包并进行保全存储,另一方面将电子文档的数字指纹和电子证据包的数字指纹进行保全存储,两者的分离可以有效地提高安全性。数字指纹是指通过MD5算法(Message Digest Algorithm MD5,消息摘要算法第五版)或SHAl算法(Secure Hash Algorithm,安全哈希算法)得到的关于电子文档内容的字符串,用于验证电子文档的完整性。由于数字指纹与电子文档的内容相关,因此对于电子文档的任何改变都将引起相应的数字指纹的变化,因此可以通过验证电子文档保全前后的数字指纹是否相同,若不同,则电子文档发生了变化,该电子文档无效,若相同,则说明电子文档真实有效,再对其他要素进行验证。而对于电子证据包的存储,可以保全在本地,也可以保全在可信的第三方服务器中,利用第三方的防篡改机制和数字指纹信息保证证据包的真实性。此外,为电子证据包标记时间戳需要严格的时间同步,具体而言,终端中有自己独立的时间,该时间与终端的操作无关;而同时,服务器有个独立的卫星时间接收器,用于 GPS卫星时间同步,以校准服务器时间,当终端有任何生成或保存等操作时都会与服务器的卫星时间接收器进行时间同步,从而为时间戳的时间源提供保证。在上述技术方案中,优选地,在所述步骤102之前,还包括所述用户进行注册,获取用于所述用户进行系统登录的用户ID,以及获取与所述用户唯一对应的用户数字证书。 在该技术方案中,用户需要事先进行注册,获取与该用户唯一对应的注册身份。同时,用户还可以通过注册获取与其唯一对应的数字证书,用于进行数字签名。当然,用户也可以自行在相关机构申请获取数字证书或是其它相关签名工具,其具有相同的法律效力。在上述技术方案中,优选地,还包括利用所述用户数字证书对所述电子证据包进行数字签名后进行存储,以及所述电子证据服务器在存储所述电子文档数字指纹和所述电子证据包数字指纹之前,将所述电子文档数字指纹和所述电子证据包数字指纹与第一标准时间打包生成取证信息,并使用服务器数字证书对所述取证信息进行数字签名及存储。在该技术方案中,用户可以先对电子证据包进行数字签名后再存储,这样在以后需要验证时, 可以对提取的电子证据包的归属情况进行检验。而电子证据服务器在存储数字指纹之前, 也可以对其进行数字签名后再存储。此外,电子证据服务器还可以将数字签名与标准时间进行打包为取证信息,并进行数字签名后再存储,这样除了可以对数字签名的归属情况进行检验,还可以在检验完成后,得到存储时的标准时间,该时间由国家授时中心提供的GPS 卫星时钟同步,不受互联网的网络延时影响,可以作为确定原始电子文档的最早有效期限的证据之一。在上述技术方案中,优选地,所述电子证据服务器为第三方服务器或司法鉴定机构的服务器;所述电子证据包包括所述电子文档、所述用户的身份信息、所述电子文档的生存环境标志参数和/或第二标准时间,其中,所述电子文档的生存环境标志参数包括生成所述电子证据包的主机的系统状态、硬件参数、网络通讯状态和/或内存和缓存内容;以及对所述电子文件进行加密保护,使所述电子文件的内容不可更改;对所述电子证据包进行加密保护,使所述电子证据包的内容不可更改;以及对所述传输通道进行加密保护,使所述传输通道不可监听且不可破坏。在该技术方案中,由于电子证据服务器用于存储作为比较对象的数字指纹,因此必须是归属于具有权威性的第三方或官方机构。同时,电子证据包中包含原始的电子文件,从而可以在验证时,通过将该电子文件和电子证据包重新生成数字指纹,并与之前保存在电子证据服务器中的数字指纹进行比较,得知该电子文件是否真实有效。而电子证据包中的其他信息,则可以为该电子文件的真实有效性提供其他的法律依据,比如包含的用户信息和标准时间,可以用于查看得知真实用户和签订时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响,可以被认定为该文件的最早有效期限,而电子文件的生存环境标志参数,则可以用于对电子文件的签订环境进行检测,甚至直接找回当时签订该电子文件时使用的终端并进行检测,为电子文件的真实有效性提供侧面的证据。此外,对于电子文档、电子证据包和传输通道的加密,有助于电子文档、电子证据包、数字指纹等电子信息的保护,防止被恶意破坏、窃取或丢失,其中,对原始电子文档进行加密和不可篡改地封装生成电子证据原始包,该技术主要通过文件数据库存储技术与现有的AES256位加密算法相互结合,从而形成一个特有的文件与信息防篡改保护技术,首先将要保护的所有电子文件和文字信息添加到一个空数据存储包中,然后应用AES256位算法对这个数据存储包进行加密生成一个加密文件,通过这种加密方式就如同在被保护文件和信息外围加上一个安全的文件外壳,用户需要查看容器内被保护的文件和信息时,只能通过合法的身份认证后提供正确的解密密钥才可解开包容器,浏览和读取数据存储包内的文件和信息,可有效防止被保护文件信息泄密和遭遇非法篡改。在上述技术方案中,优选地,还包括步骤106,在验证待验证电子文档时,提取存储的与所述待验证电子文档对应的所述电子证据包,通过将利用所述电子证据包中的待验证电子文档生成的数字指纹与所述电子证据服务器中存储的所述电子文档数字指纹进行比较,以及通过将利用所述电子证据包生成的数字指纹与所述电子证据服务器中存储的所述电子证据包数字指纹进行比较,来验证所述待验证电子文档的真实性,以及通过查看所述电子证据包中的所述用户的身份信息、所述待验证电子文档的生存环境标志参数、第二标准时间和/或所述电子证据包上的时间戳,以及通过查看所述取证信息中的所述第一标准时间,验证所述电子文档的真实性;在所述步骤106之前,还包括所述用户验证存储的所述电子证据包上的数字签名,以及所述电子证据服务器验证存储的所述取证信息上的数字签名,在所述数字签名均验证成功后,进行所述数字指纹的验证,否则不进行所述数字指纹的验证。在该技术方案中,通过将待验证的电子文档和对应的电子证据包的数字指纹与存储在电子服务器中的数字指纹进行对应地比较,从而根据前后的数字指纹是否一致进行判断其真实有效性。而对于电子证据包中的其他信息,在验证了数字指纹信息并成功后,可以用于提供其他的法律依据,比如包含的用户信息和标准时间,可以用于查看得知真实用户和签订时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响,可以被认定为该文件的最早有效期限,而电子文件的生存环境标志参数,则可以用于对电子文件的签订环境进行检测,甚至直接找回当时签订该电子文件时使用的终端并进行检测,为电子文件的真实有效性提供侧面的证据。根据本发明的又一方面,还提出了一种电子文档的保全系统,包括系统服务器; 终端;以及存储装置,其中,所述系统服务器包括第一通信单元,与所述终端和电子证据服务器进行通信;控制单元,通过控制所述第一通信单元,将电子文档数字指纹和电子证据包数字指纹发送至所述电子证据服务器;所述终端包括生成单元,为所述电子文档生成电子证据包,所述电子证据包中包含所述电子文档;标记单元,在所述电子证据包上标记时间戳;处理单元,利用所述电子文档生成所述电子文档数字指纹,以及利用所述电子证据包生成所述电子证据包数字指纹;第二通信单元,与所述系统服务器和所述存储装置进行通信,发送所述电子文档数字指纹和所述电子证据包数字指纹至所述系统服务器;以及所述存储装置,存储所述电子证据包。在该技术方案中,一方面生成包含电子文档的电子证据包并进行保全存储,另一方面将电子文档的数字指纹和电子证据包的数字指纹进行保全存储,两者的分离可以有效地提高安全性。数字指纹是指通过MD5算法(Message DigestAlgorithm MD5,消息摘要算法第五版)或SHAl算法(Secure Hash Algorithm,安全哈希算法)得到的关于电子文档内容的字符串,用于验证电子文档的完整性。由于数字指纹与电子文档的内容相关,因此对于电子文档的任何改变都将引起相应的数字指纹的变化,因此可以通过验证电子文档保全前后的数字指纹是否相同,若不同,则电子文档发生了变化,该电子文档无效,若相同,则说明电子文档真实有效,再对其他要素进行验证。而对于电子证据包的存储,可以保全在本地,也可以保全在可信的第三方服务器中,利用第三方的防篡改机制和数字指纹信息保证证据包的真实性。此外,为电子证据包标记时间戳需要严格的时间同步,具体而言,终端中有自己独立的时间,该时间与终端的操作无关;而同时,服务器有个独立的卫星时间接收器,用于GPS卫星时间同步,以校准服务器时间,当终端有任何生成或保存等操作时都会与服务器的卫星时间接收器进行时间同步,从而为时间戳的时间源提供保证。在上述技术方案中,优选地,所述终端还包括注册请求单元,用于向所述系统服务器发起注册请求;以及所述系统服务器还包括注册单元,响应所述终端发起的所述注册请求,生成所述用户进行系统登录的用户ID,以及生成与所述用户唯一对应的用户数字证书。在该技术方案中,用户需要事先进行注册,获取与该用户唯一对应的注册身份。同时, 用户还可以通过注册获取与其唯一对应的数字证书,用于进行数字签名。当然,用户也可以自行在相关机构申请获取数字证书或是其它相关签名工具,其具有相同的法律效力。在上述技术方案中,优选地,所述终端还包括终端签名单元,利用所述用户数字证书对所述电子证据包进行数字签名,然后通过所述第二通信装置发送至所述存储装置进行存储;以及所述电子证据服务器在存储所述电子文档数字指纹和所述电子证据包数字指纹之前,将所述电子文档数字指纹和所述电子证据包数字指纹与第一标准时间打包生成取证信息,并使用服务器数字证书对所述取证信息进行数字签名及存储。在该技术方案中,用户可以先对电子证据包进行数字签名后再存储,这样在以后需要验证时,可以对提取的电子证据包的归属情况进行检验。而电子证据服务器在存储数字指纹之前,也可以对其进行数字签名后再存储。此外,电子证据服务器还可以将数字签名与标准时间进行打包为取证信息,并进行数字签名后再存储,这样除了可以对数字签名的归属情况进行检验,还可以在检验完成后,得到存储时的标准时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响,可以作为确定原始电子文档的最早有效期限的证据之一。在上述技术方案中,优选地,所述电子证据服务器为第三方服务器或司法鉴定机构的服务器;所述电子证据包包括所述用户的身份信息、所述电子文档的生存环境标志参数和/或第二标准时间,其中,所述电子文档的生存环境标志参数包括生成所述电子证据包的主机的系统状态、硬件参数、网络通讯状态和/或内存和缓存内容,以及所述终端还包括加密单元对所述电子文件进行加密保护,使所述电子文件的内容不可更改,以及对所述电子证据包进行加密保护,使所述电子证据包的内容不可更改;以及所述系统服务器还包括通道加密单元对所述传输通道进行加密保护,使所述传输通道不可监听且不可破坏。在该技术方案中,由于电子证据服务器用于存储作为比较对象的数字指纹,因此必须是归属于具有权威性的第三方或官方机构。同时,电子证据包中包含原始的电子文件, 从而可以在验证时,通过将该电子文件和电子证据包重新生成数字指纹,并与之前保存在电子证据服务器中的数字指纹进行比较,得知该电子文件是否真实有效。而电子证据包中的其他信息,则可以为该电子文件的真实有效性提供其他的法律依据,比如包含的用户信息和标准时间,可以用于查看得知真实用户和签订时间,该时间由国家授时中心提供的GPS 卫星时钟同步,不受互联网的网络延时影响,可以被认定为该文件的最早有效期限,而电子文件的生存环境标志参数,则可以用于对电子文件的签订环境进行检测,甚至直接找回当时签订该电子文件时使用的终端并进行检测,为电子文件的真实有效性提供侧面的证据。 此外,对于电子文档、电子证据包和传输通道的加密,有助于电子文档、电子证据包、数字指纹等电子信息的保护,防止被恶意破坏、窃取或丢失,其中,对原始电子文档进行加密和不可篡改地封装生成电子证据原始包,该技术主要通过文件数据库存储技术与现有的AES256 位加密算法相互结合,从而形成一个特有的文件与信息防篡改保护技术,首先将要保护的所有电子文件和文字信息添加到一个空数据存储包中,然后应用AES256位算法对这个数据存储包进行加密生成一个加密文件,通过这种加密方式就如同在被保护文件和信息外围加上一个安全的文件外壳,用户需要查看容器内被保护的文件和信息时,只能通过合法的身份认证后提供正确的解密密钥才可解开包容器,浏览和读取数据存储包内的文件和信息,可有效防止被保护文件信息泄密和遭遇非法篡改。根据本发明的又一方面,还提出了一种电子文档的验证系统,其特征在于,包括 系统服务器;终端;以及存储装置,其中,所述终端包括第一通信单元,与所述系统服务器和所述存储装置进行通信;选择单元,通过所述第一通信单元,从所述存储装置中选择与待验证电子文档对应的所述电子证据包,并将选择结果通过所述第一通信单元发送至所述系统服务器;所述系统服务器包括第二通信单元,与所述终端、所述存储装置和电子证据服务器进行通信;提取单元,根据所述终端发送的所述选择结果,从所述存储装置中提取与待验证电子文档对应的所述电子证据包;验证单元,将利用所述电子证据包中的待验证电子文档生成的数字指纹与所述电子证据服务器中存储的所述电子文档数字指纹进行比较, 以及通过将利用所述电子证据包生成的数字指纹与所述电子证据服务器中存储的所述电子证据包数字指纹进行比较,来验证所述待验证电子文档的真实性,以及附加验证单元,通过查看所述电子证据包中的所述用户的身份信息、所述待验证电子文档的生存环境标志参数、第二标准时间和/或所述电子证据包上的时间戳,以及通过查看所述取证信息中的所述第一标准时间,验证所述电子文档的真实性。在该技术方案中,由存储的电子证据包、电子文件重新生成数字指纹,然后将这些重新生成的数字指纹与存储在电子证据服务器中的数字指纹进行比较,得知存储的电子证据包以及电子证据包中的电子文件是否被改变,从而判断该电子证据包的原始性和真实有效性。此外,对于电子证据包中的一些其他信息,比如包含的用户信息和标准时间,可以用于查看得知真实用户和签订时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响,可以被认定为该文件的最早有效期限,而电子文件的生存环境标志参数,则可以用于对电子文件的签订环境进行检测,甚至直接找回当时签订该电子文件时使用的终端并进行检测,为电子文件的真实有效性提供侧面的证据。在上述技术方案中,优选地,所述系统服务器还包括签名验证单元,在所述验证单元和所述附加验证单元操作前,验证存储的所述电子证据包上的数字签名;以及所述电子证据服务器在所述验证单元和所述附加验证单元操作前,验证存储的所述取证信息上的数字签名。在该技术方案中,通过在进行验证电子证据包的真实有效性之前,对电子证据包和取证信息上的数字签名的验证,首先判断电子证据包和取证信息是否为真正需要用来验证的对象,防止提取错误或是被人恶意调换,避免给用户造成损失。通过以上技术方案,可以加强电子文档与签发人之间的关联性,保持电子文档的原始性,使电子文档能够成为直接证据,并简化公证步骤,提高公证效率。
图1示出了根据本发明的实施例的电子文档的保全方法的流程图;图2示出了根据本发明的实施例的电子文档的保全及验证方法的流程图;图3A示出了根据本发明的实施例的电子文档的保全系统的框图;图;3B示出了根据本发明的实施例的电子文档的保全系统的框图;图4示出了根据本发明的实施例的电子文档的验证系统的框图;图5示出了根据本发明的实施例的电子文档保全的示意图;图6示出了根据本发明的实施例的电子文档的保全的流程图;图7示出了根据本发明的实施例的电子文档的验证的流程图;图8示出了根据本发明的实施例的电子文档的终端环境采集的示意图;以及图9示出了根据本发明的实施例的生成电子证据包的示意图。
具体实施例方式为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式
对本发明进行进一步的详细描述。在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明并不限于下面公开的具体实施例的限制。图1示出了根据本发明的实施例的电子文档的保全方法的流程图。如图1所示,根据本发明的实施例的电子文档的保全方法包括步骤102,为电子文档生成电子证据包,并在电子证据包上标记时间戳后存储电子证据包,电子证据包中包含电子文档;步骤104,将利用电子文档生成的电子文档数字指纹和利用电子证据包生成的电子证据包数字指纹,通过传输通道发送并存储至电子证据服务器。在该技术方案中, 一方面生成包含电子文档的电子证据包并进行保全存储,另一方面将电子文档的数字指纹和电子证据包的数字指纹进行保全存储,两者的分离可以有效地提高安全性。数字指纹是指通过MD5算法(Message Digest Algorithm MD5,消息摘要算法第五版)或SHAl算法 (Secure Hash Algorithm,安全哈希算法)得到的关于电子文档内容的字符串,用于验证电子文档的完整性。由于数字指纹与电子文档的内容相关,因此对于电子文档的任何改变都将引起相应的数字指纹的变化,因此可以通过验证电子文档保全前后的数字指纹是否相同,若不同,则电子文档发生了变化,该电子文档无效,若相同,则说明电子文档真实有效, 再对其他要素进行验证。而对于电子证据包的存储,可以保全在本地,也可以保全在可信的第三方服务器中,利用第三方的防篡改机制和数字指纹信息保证证据包的真实性。此外,为电子证据包标记时间戳需要严格的时间同步,具体而言,终端中有自己独立的时间,该时间与终端的操作无关;而同时,服务器有个独立的卫星时间接收器,用于GPS卫星时间同步,以校准服务器时间,当终端有任何生成或保存等操作时都会与服务器的卫星时间接收器进行时间同步,从而为时间戳的时间源提供保证。在上述技术方案中,在步骤102之前,还包括用户进行注册,获取用于用户进行系统登录的用户ID,以及获取与用户唯一对应的用户数字证书。在该技术方案中,用户需要事先进行注册,获取与该用户唯一对应的注册身份。同时,用户还可以通过注册获取与其唯一对应的数字证书,用于进行数字签名。当然,用户也可以自行在相关机构申请获取数字证书或是其它相关签名工具,其具有相同的法律效力。在上述技术方案中,还包括利用用户数字证书对电子证据包进行数字签名后进行存储,以及电子证据服务器在存储电子文档数字指纹和电子证据包数字指纹之前,将电子文档数字指纹和电子证据包数字指纹与第一标准时间打包生成取证信息,并使用服务器数字证书对取证信息进行数字签名及存储。在该技术方案中,用户可以先对电子证据包进行数字签名后再存储,这样在以后需要验证时,可以对提取的电子证据包的归属情况进行检验。而电子证据服务器在存储数字指纹之前,也可以对其进行数字签名后再存储。此外, 电子证据服务器还可以将数字签名与标准时间进行打包为取证信息,并进行数字签名后再存储,这样除了可以对数字签名的归属情况进行检验,还可以在检验完成后,得到存储时的标准时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响, 可以作为确定原始电子文档的最早有效期限的证据之一。在上述技术方案中,电子证据服务器为第三方服务器或司法鉴定机构的服务器; 电子证据包包括电子文档、用户的身份信息、电子文档的生存环境标志参数和/或第二标准时间,其中,电子文档的生存环境标志参数包括生成电子证据包的主机的系统状态、硬件参数、网络通讯状态和/或内存和缓存内容;以及对所述电子文件进行加密保护,使所述电子文件的内容不可更改;对电子证据包进行加密保护,使电子证据包的内容不可更改; 以及对传输通道进行加密保护,使传输通道不可监听且不可破坏。在该技术方案中,由于电子证据服务器用于存储作为比较对象的数字指纹,因此必须是归属于具有权威性的第三方或官方机构。同时,电子证据包中包含原始的电子文件,从而可以在验证时,通过将该电子文件和电子证据包重新生成数字指纹,并与之前保存在电子证据服务器中的数字指纹进行比较,得知该电子文件是否真实有效。而电子证据包中的其他信息,则可以为该电子文件的真实有效性提供其他的法律依据,比如包含的用户信息和标准时间,可以用于查看得知真实用户和签订时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响,可以被认定为该文件的最早有效期限,而电子文件的生存环境标志参数,则可以用于对电子文件的签订环境进行检测,甚至直接找回当时签订该电子文件时使用的终端并进行检测,为电子文件的真实有效性提供侧面的证据。此外,对于电子文档、电子证据包和传输通道的加密,有助于电子文档、电子证据包、数字指纹等电子信息的保护,防止被恶意破坏、窃取或丢失,其中,对原始电子文档进行加密和不可篡改地封装生成电子证据原始包,该技术主要通过文件数据库存储技术与现有的AES256位加密算法相互结合,从而形成一个特有的文件与信息防篡改保护技术,首先将要保护的所有电子文件和文字信息添加到一个空数据存储包中,然后应用AES256位算法对这个数据存储包进行加密生成一个加密文件,通过这种加密方式就如同在被保护文件和信息外围加上一个安全的文件外壳,用户需要查看容器内被保护的文件和信息时,只能通过合法的身份认证后提供正确的解密密钥才可解开包容器,浏览和读取数据存储包内的文件和信息,可有效防止被保护文件信息泄密和遭遇非法篡改。除了图1示出的电子文档的保全方法,对于保全的电子文档需要验证其真实有效性时,还有电子文档的验证方法,具体如图2。如图2所示,包括步骤102,为电子文档生成电子证据包,并存储电子证据包,电子证据包中包含电子文档;步骤104,将利用电子文档生成的电子文档数字指纹和利用电子证据包生成的电子证据包数字指纹,通过传输通道发送并存储至电子证据服务器;步骤 106,验证数字指纹及电子证据包中的其他信息。其中,步骤106具体包括在验证待验证电子文档时,提取存储的与待验证电子文档对应的电子证据包,通过将利用电子证据包中的待验证电子文档生成的数字指纹与电子证据服务器中存储的电子文档数字指纹进行比较, 以及通过将利用电子证据包生成的数字指纹与电子证据服务器中存储的电子证据包数字指纹进行比较,来验证待验证电子文档的真实性,以及通过查看电子证据包中的用户的身份信息、待验证电子文档的生存环境标志参数、第二标准时间和/或所述电子证据包上的时间戳,以及通过查看取证信息中的第一标准时间,验证电子文档的真实性;在步骤106之前,还包括用户验证存储的电子证据包上的数字签名,以及电子证据服务器验证存储的取证信息上的数字签名,在数字签名均验证成功后,进行数字指纹的验证,否则不进行数字指纹的验证。在该技术方案中,通过将待验证的电子文档和对应的电子证据包的数字指纹与存储在电子服务器中的数字指纹进行对应地比较,从而根据前后的数字指纹是否一致进行判断其真实有效性。而对于电子证据包中的其他信息,在验证了数字指纹信息并成功后,可以用于提供其他的法律依据,比如包含的用户信息和标准时间,可以用于查看得知真实用户和签订时间,该时间由国家授时中心提供的GPS星时钟同步,不受互联网的网络延时影响,可以被认定为该文件的最早有效期限,而电子文件的生存环境标志参数,则可以用于对电子文件的签订环境进行检测,甚至直接找回当时签订该电子文件时使用的终端并进行检测,为电子文件的真实有效性提供侧面的证据。图3A示出了根据本发明的实施例的电子文档的保全系统300的框图。如图3A所示,根据本发明的实施例的电子文档的保全系统300包括系统服务器302 ;终端304 ;以及存储装置306,其中,系统服务器302包括第一通信单元308,与终端304和电子证据服务器305进行通信;控制单元310,通过控制第一通信单元308,将电子文档数字指纹和电子证据包数字指纹发送至电子证据服务器305 ;注册单元312,响应终端304发起的注册请求,生成与用户唯一对应的用户数字证书;通道加密单元314 对传输通道进行加密保护,使传输通道不可监听且不可破坏;终端304包括生成单元324,为电子文档生成电子证据包,电子证据包中包含电子文档;标记单元325,在电子证据包上标记时间戳;处理单元326,利用电子文档生成电子文档数字指纹,以及利用电子证据包生成电子证据包数字指纹;第二通信单元328,与系统服务器302和存储装置306进行通信,发送电子文档数字指纹和电子证据包数字指纹至系统服务器302 ;注册请求单元330,用于向系统服务器302发起注册请求;终端签名单元332,利用用户数字证书对电子证据包进行数字签名,然后通过第二通信装置3 发送至存储装置306进行存储;加密单元334,对电子文件进行加密保护,使电子文件的内容不可更改,以及对电子证据包进行加密保护,使电子证据包的内容不可更改;以及存储装置306,存储电子证据包。在该技术方案中,一方面生成包含电子文档的电子证据包并进行保全存储,另一方面将电子文档的数字指纹和电子证据包的数字指纹进行保全存储,两者的分离可以有效地提高安全性。数字指纹是指通过MD5算法(Message Digest Algorithm MD5,消息摘要算法第五版)或 SHAl 算法(Secure Hash Algorithm,安全哈希算法)得到的关于电子文档内容的字符串,用于验证电子文档的完整性。由于数字指纹与电子文档的内容相关,因此对于电子文档的任何改变都将引起相应的数字指纹的变化,因此可以通过验证电子文档保全前后的数字指纹是否相同,若不同,则电子文档发生了变化,该电子文档无效,若相同,则说明电子文档真实有效,再对其他要素进行验证。而对于电子证据包的存储,可以保全在本地,也可以保全在可信的第三方服务器中,利用第三方的防篡改机制和数字指纹信息保证证据包的真实性。此外,为电子证据包标记时间戳需要严格的时间同步,具体而言,终端304中有自己独立的时间,该时间与终端 304的操作无关;而同时,系统服务器302有个独立的卫星时间接收器,用于GPS卫星时间同步,以校准系统服务器302的时间,当终端304有任何生成或保存等操作时都会与系统服务器302的卫星时间接收器进行时间同步,从而为时间戳的时间源提供保证。在上述技术方案中,用户需要事先进行注册,获取与该用户唯一对应的注册身份。 同时,用户还可以通过注册获取与其唯一对应的数字证书,用于进行数字签名。当然,用户也可以自行在相关机构申请获取数字证书或是其它相关签名工具,其具有相同的法律效力。在上述技术方案中,所述电子证据服务器305在存储电子文档数字指纹和电子证据包数字指纹之前,将电子文档数字指纹和电子证据包数字指纹与第一标准时间打包生成取证信息,并使用服务器数字证书对取证信息进行数字签名及存储。在该技术方案中,用户可以先对电子证据包进行数字签名后再存储,这样在以后需要验证时,可以对提取的电子证据包的归属情况进行检验。而电子证据服务器305在存储数字指纹之前,也可以对其进行数字签名后再存储。此外,电子证据服务器305还可以将数字签名与标准时间进行打包为取证信息,并进行数字签名后再存储,这样除了可以对数字签名的归属情况进行检验,还可以在检验完成后,得到存储时的标准时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响,可以作为确定原始电子文档的最早有效期限的证据之在上述技术方案中,电子证据服务器305为第三方服务器或司法鉴定机构的服务器;电子证据包包括用户的身份信息、电子文档的生存环境标志参数和/或第二标准时间,其中,电子文档的生存环境标志参数包括生成电子证据包的主机的系统状态、硬件参数、网络通讯状态和/或内存和缓存内容。在该技术方案中,由于电子证据服务器305用于存储作为比较对象的数字指纹,因此必须是归属于具有权威性的第三方或官方机构。同时, 电子证据包中包含原始的电子文件,从而可以在验证时,通过将该电子文件和电子证据包重新生成数字指纹,并与之前保存在电子证据服务器305中的数字指纹进行比较,得知该电子文件是否真实有效。而电子证据包中的其他信息,则可以为该电子文件的真实有效性提供其他的法律依据,比如包含的用户信息和标准时间,可以用于查看得知真实用户和签订时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响,可以被认定为该文件的最早有效期限,而电子文件的生存环境标志参数,则可以用于对电子文件的签订环境进行检测,甚至直接找回当时签订该电子文件时使用的终端并进行检测, 为电子文件的真实有效性提供侧面的证据。此外,对于电子文档、电子证据包和传输通道的加密,有助于电子文档、电子证据包、数字指纹等电子信息的保护,防止被恶意破坏、窃取或丢失,其中,对原始电子文档进行加密和不可篡改地封装生成电子证据原始包,该技术主要通过文件数据库存储技术与现有的AES256位加密算法相互结合,从而形成一个特有的文件与信息防篡改保护技术,首先将要保护的所有电子文件和文字信息添加到一个空数据存储包中,然后应用AES256位算法对这个数据存储包进行加密生成一个加密文件,通过这种加密方式就如同在被保护文件和信息外围加上一个安全的文件外壳,用户需要查看容器内被保护的文件和信息时,只能通过合法的身份认证后提供正确的解密密钥才可解开包容器,浏览和读取数据存储包内的文件和信息,可有效防止被保护文件信息泄密和遭遇非法篡改。在上图3A中,存储装置306与系统服务器302并列存在于电子文档的保全系统 300中,是用户用来存储电子文件或者电子证据包的装置,当然,存储装置306也可以位于系统服务器302中;具体如图;3B所示,在电子文档的保全系统3000中,存储装置3006位于系统服务器3002中,即用户将电子文件或电子证据包存储在系统服务器3002中的存储装置3006,由系统服务器3002提供更为方便、安全的存储服务。图4示出了根据本发明的实施例的电子文档的验证系统的框图。如图所示,根据本发明的实施例的电子文档的验证系统包括终端402 ;系统服务器404 ;以及存储装置403,其中,终端402包括第一通信单元406,与系统服务器404和存储装置403进行通信;选择单元408,通过第一通信单元406,从存储装置403中选择与待验证电子文档对应的电子证据包,并将选择结果通过第一通信单元406发送至系统服务器 404 ;系统服务器404包括第二通信单元410,与终端402、存储装置403和电子证据服务器405进行通信;提取单元412,根据终端402发送的选择结果,从存储装置403中提取与待验证电子文档对应的电子证据包;验证单元414,通过将利用电子证据包中的待验证电子文档生成的数字指纹与电子证据服务器405中存储的电子文档数字指纹进行比较,将从待验证文档中的待验证图像文档中提取的防伪码与电子证据服务器405中存储的备份防伪码进行比较,以及将利用电子证据包生成的数字指纹与电子证据服务器405中存储的电子证据包数字指纹进行比较,来验证待验证电子文档的真实性;附加验证单元416,通过查看电子证据包中的用户的身份信息、待验证电子文档的生存环境标志参数、第二标准时间和/ 或所述电子证据包上的时间戳,以及通过查看标准取证信息中的第一标准时间,验证电子文档的真实性;签名验证单元418,在验证单元414和附加验证单元416操作前,验证存储的电子证据包上的数字签名。在该技术方案中,由存储的电子证据包、电子证据包中的网络数据包重新生成数字指纹,由存储的电子证据包中的图像文档中提取防伪码,然后将这些重新生成或提取出的数字指纹和防伪码与存储在电子证据服务器405中的数字指纹和防伪码进行比较,得知存储的电子证据包以及电子证据包中的电子文档是否被改变,从而判断该电子证据包的原始性和真实有效性。此外,对于电子证据包中的一些其他信息,比如包含的用户信息和标准时间,可以用于查看得知真实用户和签订时间,该时间由国家授时中心提供的GPS卫星时钟同步,不受互联网的网络延时影响,可以被认定为该文档的最早有效期限,而电子文档的生存环境标志参数,则可以用于对电子文档的签订环境进行检测,甚至直接找回当时签订该电子文档时使用的终端并进行检测,为电子文档的真实有效性提供侧面的证据。
14
在上述技术方案中,电子证据服务器在验证单元414和附加验证单元416操作前, 验证存储的标准取证信息上的数字签名。在该技术方案中,通过在进行验证电子证据包的真实有效性之前,对电子证据包和标准取证信息上的数字签名的验证,首先判断电子证据包和标准取证信息是否为真正需要用来验证的对象,防止提取错误或是被人恶意调换,避免给用户造成损失。图5示出了根据本发明的实施例的电子文档保全的示意图。如图5所示,是由两位用户分别使用终端500和终端502进行电子合同签订后,对电子合同文档进行保全的示意图。在进行电子合同文档的保全时,以终端500为例。终端 500方的用户首先选择需要保全的电子合同文档,然后在终端500上为电子合同文档生成电子证据包,并由用户对该电子证据包进行数字签名,电子证据包中包含电子合同文档、用户身份信息、GPS卫星时钟514提供的标准时间和/或文档生存环境标志参数等信息;然后终端500可以将电子证据包直接存储在存储装置中,比如本地的存储装置或外置的存储装置,也可以通过路由器504、防火墙506等将电子证据包上传至网络服务器508,然后由网络服务器508将电子证据包发送至电子证据保全中心516进行存储;终端500在生成电子证据包的同时,还会生成原始电子合同文档的数字指纹和电子证据包的数字指纹,并将这两个数字指纹信息上传至网络服务器508,并由网络服务器508将其转发至电子证据服务器 510,电子证据服务器510将数字指纹信息与GPS卫星时钟514提供的标准时间打包后,经过电子证据服务器510数字签名后进行存储。使用终端502的用户,在操作流程上与终端 500类似。当用户需要对电子合同文档进行验证时,首先从本地的存储装置或外置的存储装置或电子证据保全中心516提取电子证据包,并由用户将该电子证据包上传至网络服务器 508后,通过CA认证服务器对该电子证据包进行数字签名的验证,证明其是该用户的电子证据包,然后终端500利用该电子证据包生成数字指纹,并利用该电子证据包中的电子合同文档生成数字指纹,并将这两个数字指纹信息经由路由器504和防火墙506发送至网络服务器508,并由网络服务器508将其转发至电子证据服务器510,电子证据服务器510找到之前存储的数字指纹,并与刚刚上传的数字指纹分别进行比较,若两个数字指纹均相同, 则证明原电子合同文档真实有效,可以进一步对电子证据包中的用户身份、标准时间、环境标志参数等进行查看和参考,提供法律判定的依据。图6示出了根据本发明的实施例的电子文档的保全的流程图。如图6所示,电子文档的保全步骤具体如下步骤602,由系统对用户的身份信息进行验证,该身份信息比如为用户事先在该系统注册的身份信息,若不正确,则用户无法登陆和操作;步骤604,由用户选择出需要进行保全的电子文件;步骤606,终端获取上一步骤504中,用户选择出的需要保全的电子文件;步骤608,终端获取用户信息、需要保全的电子文件、需要保全的电子文件的生存环境标志参数、标准时间等信息;步骤610,利用上一步骤508中获取的各信息生成电子证据包;步骤612,用户对步骤510生成的电子证据包进行数字签名;步骤614,用户将电子证据包保存在本地,此处可以理解为用户的存储装置中;
步骤616,用户也可以选择将电子证据包存储在服务器中,这里的服务器可以理解为用户的存储装置以外的可信第三方的存储装置;步骤618,服务器会对电子证据包进行防篡改处理,然后进行存储;步骤620,终端利用需要保全的电子文件和生成的电子证据包分别生成数字指纹;步骤622,终端将电子文件生成的数字指纹和电子证据包生成的数字指纹通过加密通道安全传输至电子证据服务器中;步骤624,电子证据服务器获取标准时间,可以将该标准时间与接收到的数值指纹进行打包处理为取证信息;步骤626,调用电子证据服务器的私钥对取证信息进行数字签名,然后进行存储。对于图6上已保全的电子文档,在进行验证时,可以通过图7所示的步骤进行,图 7示出了根据本发明的实施例的电子文档的验证的流程图。步骤702,由系统对用户的身份信息进行验证,该身份信息比如为用户事先在该系统注册的身份信息,若不正确,则用户无法登陆和操作;步骤704,用户选择需要进行验证的电子证据包;步骤706,将选择出的电子证据包进行处理,可以得到该电子证据包的数字指纹, 而利用该电子证据包中的电子文档,可以得到电子文档的数字指纹;步骤708,将电子文档的数字指纹和电子证据包的数字指纹通过加密通道安全传输至电子证据服务器中,此处的加密通道是为了达到更好的保密效果,并不是必须的条件;步骤710,将上传的数字指纹与之前存储的对应的数值指纹进行分别对比;步骤712,若数字指纹都一致,则进入步骤614,否则失败,退出验证;步骤714,验证成功,电子证据服务器生成相应的证明验证成功的取证证书。图8示出了根据本发明的实施例的电子文档的终端环境采集的示意图。如图8所示,在终端802和服务器804进行电子文档的签订、生成、保全、验证等过程中,进行处理或操作的电子文档总是处在一定的终端环境中,且该环境信息有些会实时变化,有些是固定信息,这些信息可以较好地反映出电子文档所处的环境信息,具体而言, 本系统对在进行电子证据原始包生成的时候同时提取该时间点终端软硬件环境参数,包括取证主机系统状态(日志、进程、操作系统等)、硬件参数(内存卡、CPU序列号、硬盘序列号、网卡Mac地址)、网络通讯(Ip地址、网站备案信息、网站路由)等信息。这些环境参数信息真实反映了当时取证时数据终端所处的状态,提高了电子数据客观性证明力,对司法鉴定提供丰富的依据。图9示出了根据本发明的实施例的生成电子证据包的示意图。在生成电子证据包时,如利用电子文件902、文字信息904打包生成电子证据包即加密文件906,该技术主要通过文件数据库存储技术与现有的AES (256位)加密算法相互结合,从而形成一个特有的文件与信息防篡改保护技术。如图8所示,首先将要保护的所有电子文件902和文字信息904添加到一个空数据存储包中,然后应用AES (256位)算法对这个数据存储包进行加密生成一个加密文件906,通过这种加密方式就如同在被保护文件和信息外围加上一个安全的文件外壳,用户需要查看容器内被保护的文件和信息时,只能通过合法的身份认证后提供正确的解密密钥才可解开包容器,浏览和读取数据存储包内的文件和信息,可有效防止被保护文件信息泄密和遭遇非法篡改。以上结合附图详细说明了本发明的技术方案,考虑到普通的计算机数据或电子文档难以作为直接证据,而对于电子文档的公证过程存在如下问题公证时间周期长,证明该电子文件的最早存在时间为公证人员签字的时间,甚至需要公证人员亲临现场等等,因此, 本发明提供了一种新的电子文档的保全方法和系统,可以加强电子文档与签发人之间的关联性,保持电子文档的原始性,使电子文档能够成为直接证据,并简化公证步骤,提高公证效率。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种电子文档的保全方法,其特征在于,包括步骤102,为所述电子文档生成电子证据包,并在所述电子证据包上标记时间戳后存储所述电子证据包,所述电子证据包中包含所述电子文档;步骤104,将利用所述电子文档生成的电子文档数字指纹和利用所述电子证据包生成的电子证据包数字指纹,通过传输通道发送并存储至电子证据服务器。
2.根据权利要求1所述的电子文档的保全方法,其特征在于,在所述步骤102之前,还包括所述用户进行注册,获取用于所述用户进行系统登录的用户ID,以及获取与所述用户唯一对应的用户数字证书。
3.根据权利要求2所述的电子文档的保全方法,其特征在于,还包括利用所述用户数字证书对所述电子证据包进行数字签名后进行存储,以及所述电子证据服务器在存储所述电子文档数字指纹和所述电子证据包数字指纹之前,将所述电子文档数字指纹和所述电子证据包数字指纹与第一标准时间打包生成取证信息,并使用服务器数字证书对所述取证信息进行数字签名及存储。
4.根据权利要求1或3所述的电子文档的保全方法,其特征在于,所述电子证据服务器为第三方服务器或司法鉴定机构的服务器;所述电子证据包包括所述电子文档、所述用户的身份信息、所述电子文档的生存环境标志参数和/或第二标准时间,其中,所述电子文档的生存环境标志参数包括生成所述电子证据包的主机的系统状态、硬件参数、网络通讯状态和/或内存和缓存内容;以及对所述电子文件进行加密保护,使所述电子文件的内容不可更改;对所述电子证据包进行加密保护,使所述电子证据包的内容不可更改;以及对所述传输通道进行加密保护,使所述传输通道不可监听且不可破坏。
5.根据权利要求1至3中任一项所述的电子文档的保全方法,其特征在于,还包括 步骤106,在验证待验证电子文档时,提取存储的与所述待验证电子文档对应的所述电子证据包,通过将利用所述电子证据包中的待验证电子文档生成的数字指纹与所述电子证据服务器中存储的所述电子文档数字指纹进行比较,以及通过将利用所述电子证据包生成的数字指纹与所述电子证据服务器中存储的所述电子证据包数字指纹进行比较,来验证所述待验证电子文档的真实性,以及通过查看所述电子证据包中的所述用户的身份信息、所述待验证电子文档的生存环境标志参数、第二标准时间和/或所述电子证据包上的时间戳,以及通过查看所述取证信息中的所述第一标准时间,验证所述电子文档的真实性;在所述步骤106之前,还包括所述用户验证存储的所述电子证据包上的数字签名,以及所述电子证据服务器验证存储的所述取证信息上的数字签名,在所述数字签名均验证成功后,进行所述数字指纹的验证,否则不进行所述数字指纹的验证。
6.一种电子文档的保全系统,其特征在于,包括 系统服务器;终端;以及存储装置,其中, 所述系统服务器包括第一通信单元,与所述终端和电子证据服务器进行通信;控制单元,通过控制所述第一通信单元,将电子文档数字指纹和电子证据包数字指纹发送至所述电子证据服务器; 所述终端包括生成单元,为所述电子文档生成电子证据包,所述电子证据包中包含所述电子文档; 标记单元,在所述电子证据包上标记时间戳;处理单元,利用所述电子文档生成所述电子文档数字指纹,以及利用所述电子证据包生成所述电子证据包数字指纹;第二通信单元,与所述系统服务器和所述存储装置进行通信,发送所述电子文档数字指纹和所述电子证据包数字指纹至所述系统服务器;以及所述存储装置,存储所述电子证据包。
7.根据权利要求6所述的电子文档的保全系统,其特征在于,所述终端还包括注册请求单元,用于向所述系统服务器发起注册请求;以及所述系统服务器还包括注册单元,响应所述终端发起的所述注册请求,生成所述用户进行系统登录的用户ID,以及生成与所述用户唯一对应的用户数字证书。
8.根据权利要求7所述的电子文档的保全系统,其特征在于,所述终端还包括终端签名单元,利用所述用户数字证书对所述电子证据包进行数字签名,然后通过所述第二通信装置发送至所述存储装置进行存储;以及所述电子证据服务器在存储所述电子文档数字指纹和所述电子证据包数字指纹之前, 将所述电子文档数字指纹和所述电子证据包数字指纹与第一标准时间打包生成取证信息, 并使用服务器数字证书对所述取证信息进行数字签名及存储。
9.根据权利要求6或8所述的电子文档的保全系统,其特征在于,所述电子证据服务器为第三方服务器或司法鉴定机构的服务器;所述电子证据包包括所述用户的身份信息、 所述电子文档的生存环境标志参数和/或第二标准时间,其中,所述电子文档的生存环境标志参数包括生成所述电子证据包的主机的系统状态、硬件参数、网络通讯状态和/或内存和缓存内容,以及所述终端还包括加密单元对所述电子文件进行加密保护,使所述电子文件的内容不可更改,以及对所述电子证据包进行加密保护,使所述电子证据包的内容不可更改;以及所述系统服务器还包括通道加密单元对所述传输通道进行加密保护,使所述传输通道不可监听且不可破坏。
10.一种电子文档的验证系统,其特征在于,包括 系统服务器;终端;以及存储装置,其中, 所述终端包括第一通信单元,与所述系统服务器和所述存储装置进行通信; 选择单元,通过所述第一通信单元,从所述存储装置中选择与待验证电子文档对应的所述电子证据包,并将选择结果通过所述第一通信单元发送至所述系统服务器; 所述系统服务器包括第二通信单元,与所述终端、所述存储装置和电子证据服务器进行通信; 提取单元,根据所述终端发送的所述选择结果,从所述存储装置中提取与待验证电子文档对应的所述电子证据包;验证单元,将利用所述电子证据包中的待验证电子文档生成的数字指纹与所述电子证据服务器中存储的所述电子文档数字指纹进行比较,以及通过将利用所述电子证据包生成的数字指纹与所述电子证据服务器中存储的所述电子证据包数字指纹进行比较,来验证所述待验证电子文档的真实性,以及附加验证单元,通过查看所述电子证据包中的所述用户的身份信息、所述待验证电子文档的生存环境标志参数、第二标准时间和/或所述电子证据包上的时间戳,以及通过查看所述取证信息中的所述第一标准时间,验证所述电子文档的真实性。
11.根据权利要求10所述的电子文档的验证系统,其特征在于,所述系统服务器还包括签名验证单元,在所述验证单元和所述附加验证单元操作前,验证存储的所述电子证据包上的数字签名;以及所述电子证据服务器在所述验证单元和所述附加验证单元操作前,验证存储的所述取证信息上的数字签名。
全文摘要
本发明提供了一种电子文档的保全方法,包括步骤102,为所述电子文档生成电子证据包,并在所述电子证据包上标记时间戳后存储所述电子证据包,所述电子证据包中包含所述电子文档;步骤104,将利用所述电子文档生成的电子文档数字指纹和利用所述电子证据包生成的电子证据包数字指纹,通过传输通道发送并存储至电子证据服务器。相应地,本发明还提供了一种电子文档的保全系统和验证系统。通过本发明的技术方案,可以加强电子文档与签发人之间的关联性,保持电子文档的原始性,使电子文档能够成为直接证据,并简化公证步骤,提高公证效率。
文档编号H04L29/06GK102339370SQ201110272280
公开日2012年2月1日 申请日期2011年9月14日 优先权日2011年9月14日
发明者曾勇, 杨泉清, 王文娟, 许元进, 许林锋 申请人:福建伊时代信息科技股份有限公司