本发明涉及信息安全技术,具体涉及电子证的认证技术。
背景技术:
当前,在国家层面,电子证照库被定义为一类基础库,各行各业对电子证照的示范应用和大力推广下,电子证照应用安全越来越受到重视,也越来越广泛地得到关注,但在实际业务应用过程中,考虑到证照地区、跨行业应用的普遍性,因此,其验证机制和方法尤为重要,也会进一步影响到行业推广。
电子证照的验证,市场上普遍采用验证方法都是在通过颁发机构的数字签名、电子印章、黑名单和证照元数据,即单向认证方式来完成验证。
现有电子证照的生成方式方法多样,如证照文件类型不同、证照的数据组成不同,证照的数据格式不同,证照的保护方式不同,以及证照的应用方式(应用副本)不同,而其对应的验证方法都与之密切相关。从而造成现有验证方案在对证照正本和由正本复制出副本进行验证时有效,即仅可对特定场景下所生成的特定格式的正本有效。
据上所述,证照的验证方案普遍存在以下问题:
一方面是根据证照设计的应用场景,其组成机制和保护机制不同而存在差异性,通用性不强;
另一方面,证照生产制作所选择的技术路线存在较大的差异性,导致其具体的验证维度和方法差别比较大。
由此可见,提供一种安全性可靠,通用性强的多维度证照验证方案时本领域亟需解决的技术问题。
技术实现要素:
针对现有电子证照验证方案所存在的问题,需要一种安全性可靠,通用性强的多维度证照验证方案。
为此,本发明所要解决的技术问题是提供一种电子证照的双向验证方法及装置。
为了解决上述技术问题,本发明提供的电子证照的双向验证方法,其同时验证证照颁发机构数字证书和颁发机构对电子证照的数字签名,持证者的数字证书和持证者对电子证照的数字签名,在此基础上进一步验证电子证照。
在本验证方法的优选方案中,所述双向验证方法包括如下步骤:
采集验证者需要验证的电子证照文件;
解析证照类别及证照信息;
根据证照的类别,分别验证证照颁发机关数字证书和对电子证照的数字签名,持证者的数字证书和对电子证照的数字签名,以及证照的有效期信息,证照状态,证照废止列表信息,以及针对应用副本的副本应用性信息与应用副本的可视本上信息的一致性;
获取验证结果返回给请求验证者。
在本验证方法的优选方案中,所述双向验证方法在采集电子证照文件前,还包括验证者身份认证步骤。
在本验证方法的优选方案中,解析出证照类别包括证照正本,备案本或应用副本;解析出证照信息包括证照的可视本,证照源数据,证照扩展性信息,证照隐藏性信息,证照管理性信息,数字签名信息和/或证照副本应用性信息。
在本验证方法的优选方案中,针对电子证照正本或备案本,验证数字签名如下:
1)验证颁发机关对证照可视本、证照源数据、证照的扩展性信息和证照的管理性信息的数字签名;
2)验证持证者对证照隐藏性信息的数字签名;
在本验证方法的优选方案中,针对电子证照的应用副本,验证数字签名如下:
1)验证颁发机关对证照源数据、证照扩展性信息和证照的管理性信息的数字签名;
2)验证持证者对证照应用副本的可视本、副本应用性信息的数字签名。
在本验证方法的优选方案中,在颁发者的数字证书有效性,持证者的数字证书有效性,颁发者的签名信息,持证者的签名信息,证照的有效期,证照的状态,以及针对应用副本,验证应用内容信息与可视本上的一致性,都验证通过后才确定需要验证的电子证照是真实有效的。
在本验证方法的优选方案中,返回的验证信息,包括证照类型、证照名称、证照级别、证照的制造商、证照的有效性、证照真实性、证照的状态、证照有效期是否过期;针对应用副本时还包括应用内容信息。
为了解决上述技术问题,本发明提供的电子证照的双向验证装置,包括:
数字签名模块;
证照采集引擎模块,采集验证者提交的待验证的电子证照;
证照解析引擎模块,解析证照采集引擎模块所采集的电子证照,解析出证照的类别及证照信息;
证照验证引擎模块,根据证照解析引擎模块解析出的证照类别,调用数字签名模块验证证照颁发机构数字证书和颁发机构对电子证照的数字签名,持证者的数字证书和持证者对电子证照的数字签名,证照的有效期、证照的状态,以及应用副本时的副本应用性信息与应用副本的可视本上信息的一致性。
在该双向验证装置的优选实例中,所述双向验证装置还包括身份认证模块。
本验证方案适用于不同颁发机构颁发的不同文件格式的证照文件验证方法,通过验证双向数字签名机制保证电子证照的真实性和可靠性;通过验证证照有效期和证照废止列表,确保证照有效性;通过验证应用副本的应用内容信息确保使用范围可控。
再者,本方案在具体应用时,还具有如下优点:
1、安全性强:对电子证照进行双向签名验证机制,确保证照的真实性和有效性;
2、可靠性高:对电子证照进行双向签名验证机制,同时验证证照的有效期、证照状态和证照废止列表,确保证照的真实性和有效性;
3、可控性强:对电子证照进行分类验证,特别是针对应用副本,验证应用副本的应用内容信息确保使用范围安全受控;
4、适用性广:普适于不同类别的证照证,适用性广。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中电子证照的双向验证装置的组成示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本实例针对电子证照采用一种双向验证方案,该方案一方面验证颁发机关的数字签名和持证者的数字签名,即双向验证机制;另一方面要验证证照的有效期;再一方面要验证证照的状态,即是否已被废止或注销;再一方面,对应用副本会验证证照副本应用区的应用内容信息与证照副本可视本上信息的一致性。
该双向验证方案中通过验证双向数字签名机制保证电子证照的真实性和可靠性;通过验证证照有效期和证照废止列表,确保证照有效性;通过验证应用副本的应用内容信息确保使用范围可控。由此,本验证方案能够对不同颁发机构颁发的不同文件格式的证照文件进行验证,从而可进一步促进电子证照在不同行业、不同应用场景下的应用示范和全面推广。
据此,通过本电子证照双向验证方案对电子证照进行验证的基本过程如下:
1)首先,采集验证者需要验证的电子证照文件。
根据需要在此之前还可验证者身份进行认证,进一步提高验证过程的可靠性。
2)接着,解析采集到的验证的电子证照文件,以解析出证照类别及证照信息。
这里解析出的证照类别包括但不限于:证照正本、备案本、或应用副本。
这里解析出证照信息包括但不限于:证照的可视本、证照源数据、证照扩展性信息、证照隐藏性信息、证照管理性信息或证照副本应用性信息和数字签名信息。
3)再者接着,根据解析出的证照的类别和信息,分别验证证照颁发机关数字证书和对电子证照的数字签名,持证者的数字证书和对电子证照的数字签名,以及证照的有效期信息,证照状态和证照废止列表信息,以及针对应用副本的副本应用性信息与应用副本的可视本上信息的一致性。
本实例方案中,针对不同类别的证照的具体验证过程如下:
(1)针对验证电子证照正本或备案本
1.1.验证颁发机关的数字签名证书,保证其真实性和有效性;
1.2.验证持证者的数字签名证书,保证其真实性和有效性;
1.3.验证颁发机关对证照可视本、证照源数据、证照的扩展性信息和证照的管理性信息的数字签名,保证其真实性、有效性;
1.4.验证持证者对证照隐藏性信息的数字签名,保证其真实性、有效性;
1.5.验证证照是否在有效期内,过期则无效;
1.6.验证证照的状态,若在废止列表中则无效。
(2)验证电子证照的应用副本
2.1.验证颁发机关的数字签名证书,保证其真实性和有效性;
2.2.验证持证者的数字签名证书,保证其真实性和有效性;
2.3.验证颁发机关对证照源数据、证照扩展性信息和证照的管理性信息的数字签名,保证其真实性、有效性;
2.4.验证持证者对证照应用副本的可视本、副本应用性信息的数字签名,保证其真实性、有效性;
2.5.验证证照是否在有效期内,过期则无效;
2.6.验证证照的状态,若被主动注销、被动吊销和在废止列表中则无效;
2.7.验证证照的应用内容信息与可视本上信息的一致性,如使用有效期是否过期、使用范围是否真实有效。
这里验证证照应用副本的应用内容信息与可视本上的一致性时,其应用内容包括但不限于证照的使用有效期、使用范围和使用用途。
4)最后获取验证结果返回给请求验证者。
本验证方案中,只有颁发者的数字证书有效性、持证者的数字证书有效性、颁发者的签名信息、持证者的签名信息、证照的有效期、证照的状态,以及针对应用副本,验证应用内容信息与可视本上的一致性,这些所有验证项都验证通过后才确定进行验证的证照为真实有效的证照。
再者,所返回验证者的验证信息,包括但不限于证照类型、证照名称、证照级别、证照的制造商、证照的有效性、证照真实性、证照的状态(正常、废止、吊销或注销)、证照有效期是否过期;针对应用副本时,其包括应用内容信息:使用范围、使用有效期是否过期。
针对上述的电子证照双向验证方案,本实例还进一步提供可实现该电子证照双向验证的双向验证装置。
参见图1,其所示为本实例提供的电子证照双向验证装置的组成示意图。
由图可知,该双向验证装置100主要包括身份认证模块110、证照采集引擎模块120、证照解析引擎模块130、证照验证引擎模块140、数据加解密模块150以及数字签名模块160。
其中,身份认证模块110,提供验证者的身份鉴别之用,防止未授权的非法用户进行验证。
证照采集引擎模块120,用于采集通过身份认证模块110认证的验证者所提交的电子证照正本、备案本、或应用副本。
证照解析引擎模块130,用于解析证照采集引擎模块120所采集的验证者提交的证照,解析出证照的类别和证照信息。
该证照解析引擎模块130解析出的证照类别有电子证照正本、备案本、或应用副本。
该证照解析引擎模块130解析出的证照信息具体包括:证照的可视本、基于xml结构的证照源数据、基于xml结构的证照扩展性信息、基于xml结构的证照隐藏性信息、基于xml结构的证照管理性信息或基于xml结构的证照副本应用性信息、基于xml结构的数字签名信息。
证照验证引擎模块140,针对证照解析引擎模块130所解析出的证照类别和证照信息,并调用数字签名模块160来验证证照的颁发者的数字证书和数字签名信息、持证者的数字证书和数字签名信息、证照的有效期、证照的状态,以及应用副本时的副本应用性信息与应用副本的可视本上信息的一致性(应用副本的应用有效期、应用范围和用途)。
本证照验证引擎模块140在验证颁发机构的对电子证照签名信息的真实性和持证者对电子证照签名信息的真实性,具体的实现过程如下:
a.正本或备案本:
1)验证颁发机关对证照可视本、证照源数据、证照的扩展性信息和证照管理性信息的数字签名;
2)验证持证者对证照隐藏性信息的数字签名。
b.应用副本:
1)验证颁发机关对证照源数据、证照扩展性信息和证照管理性信息的数字签名;
2)验证持证者对证照应用副本的可视本、副本应用性信息的数字签名。
数据加解密模块150,用于提供非对称加密、非对称解密、对称加密和对称解密的国密算法模块,用于数据加解密,保证整个装置进行数据传输的安全性。
数字签名模块160,用于提供杂凑、数字签名和验签的国密算法,用于数据真实性和完整性保护。
针对据此构成的电子证照双向验证装置,以下举例说明一下基于该电子证照双向验证装置进行电子证照验证的过程。
请求的验证者在使用电子证照双向验证装置进行电子证照验证前,预先进行身份注册。由此进行电子证照验证的过程如下:
步骤1:验证者首先提交登录验证装置的请求,验证装置调用身份认证模块对验证者进行身份鉴别,不能通过验证的身份则结束;若通过身份认证,则登录到验证装置。
步骤2:验证者向验证装置提交需要验证的电子证照文件。
步骤3:验证装置调用证照采集引擎采集验证者提交的需要验证的电子证照,并提交给证照解析引擎;。
步骤4:证照解析引擎解析证照采集引擎所采集到的需要验证的电子证照,不可识别的直接结束;可识别的解析出该电子证照的类别、证照的可视本、基于xml结构的证照源数据、基于xml结构的证照扩展性信息、基于xml结构的证照管理性信息、基于xml结构的证照隐藏性信息或基于xml结构的证照副本应用性信息、基于xml结构的数字签名信息。
步骤5:证照验证引擎基于证照解析引擎解析出的证照类别和证照信息,调用数字签名模块验证颁发机构数字证书的有效性、持证者数字证书的有效性、颁发机构对电子证照签名信息的真实性、持证者对电子证照签名信息的真实性、证照的有效期是否在有效期内、证照状态是否已被废止、吊销或注销,以及针对应用副本验证其应用内容信息与可视本上的一致性。
本证照验证引擎在对颁发机构对电子证照签名信息的真实性和持证者对电子证照签名信息的真实性的验证过程如下:
若为正本或备案本:
1)验证颁发机关对证照可视本、证照源数据、证照的扩展性信息和证照管理性信息的数字签名;
2)验证持证者对证照隐藏性信息的数字签名;
若为应用副本:
1)验证颁发机关对证照源数据、证照扩展性信息和证照管理性信息的数字签名;
2)验证持证者对证照应用副本的可视本、副本应用性信息的数字签名。
另外,证照验证引擎只有验证通过如下所有验证项后才确认验证者提交的电子证照为真实有效的证照:
颁发者的数字证书有效性、持证者的数字证书有效性、颁发者的签名信息、持证者的签名信息、证照的有效期、证照的状态,以及针对应用副本,验证应用内容信息与可视本上的一致性。
步骤6:证照验证引擎通过验证接口以xml结构返回验证信息给验证者。
这里返回xml结构的验证信息,且验证信息包括但不限于证照类型、证照名称、证照级别、证照的制造商、证照的有效性、证照真实性、证照的状态(正常、废止或注销)、证照有效期是否过期,针对应用副本时应包括应用内容信息:使用范围、使用有效期是否过期。
由上可见,本实例提供的通过双向验证机制,能够保证电子证照验证的真实性、安全性、可靠性和实用性,可进一步促进电子证照在不同行业、不同应用场景下的示范应用和全面推广。
最后需要指出的上述方案,为纯软件架构,可以透过程序代码布设于实体媒体,如硬盘、软盘、光盘片、或是任何机器可读取(如智能型手机、计算机可读取)储存媒体,当机器加载程序代码且执行,如智能型手机加载且执行,机器成为用以实行本方案的装置。
再者,上述方案亦可以程序代码型态透过一些传送媒体,如电缆、光纤、或是任何传输型态进行传送,当程序代码被机器,如智能型手机接收、加载且执行,机器成为用以实行上述方案的装置。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。