专利名称:基于公证机构公证戳的个人安全电子签名方法
技术领域:
本发明公开一种个人安全电子签名方法,特别是基于公证机构公证戳而不是基于 目前常见的PKI体系数字证书的安全电子签名方法。
二.
背景技术:
在当前的信息化和网络化时代,电子化的个人签名在人们日常生活和工作中得到 广泛的应用。例如,电子商务中在网上签定合同、订购、付费等;网上政府采购中采购货物、 工程和服务行为的文件签署;金融、财会、保险行业中银行汇兑、跨行作业、网上交税、网上 证券交易、保险业务;企业信息系统中文档传递管理、远程通信、会计核算电算化、人事管理 等办公室自动化领域等应用;以及科学研究中各种电子资料、报告和文件的签署等。
个人电子签名即是个人对各种电子文件的签署确认。电子文件是借助计算机而产 生和存储并在网络上传输的文本和图形,和传统的手写签名不同,由于电子文件和电子签 名均是以电子形式存在,所以参与者真实身份的确认、信息存储和传输的加密,以及保证文 本的完整性以及签名过程的不可抵赖性是电子签名系统必须解决的安全性之四要素。
我国现有的电子签名产品所采用的安全性技术几乎全部是PKI体系即"公开密钥 体系"。PKI (Public Key Infrastructure)是一种遵循既定标准的密钥管理平台,是利用公 钥理论和技术建立的提供安全服务的基础设施。PKI的基础技术包括加密、数字签名、数据 完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构(CA)、数 字证书库、密钥备份及恢复系统、证书作废系统、应用接口 (API)等基本构成部分。在PKI 体系中,电子文件签署者的身份由其持有的数字证书得以确认,而数字证书是由具有权威 认证机构(CA)所签发,它是PKI的核心。由于PKI体系中CA的重要性,如果CA机构不安 全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。CA安全 认证中心负责所有实体证书的签名和分发。CA安全认证体系由证书审批部门和证书操作部 门组成。从理论角度看,PKI体系的安全性是目前最好的解决方案。但是,PKI在我国目前 的应用推广情况并不乐观,国家有关部门进行了大量的引导推广工作,仅就CA的建设和运 行情况看,国内CA认证机构建设仍然处于无序状态,实际应用局面很不理想。究其原因,与 CA所存在的以下问题不无关系 1.从技术层面上看,由于PKI核心技术受到美国出口限制的影响,国内的CA认证 技术完全靠自己研发,由于参与部门很多,导致了标准不统一,既有国际上的通行标准,又 有自主研发的标准,即便是同样的标准,其核心内容也有所偏差,由此导致交叉认证过程中 出现"公说公有理,婆说婆有理"的局面。 2.从应用层面上看,一些CA认证机构对证书的发放和审核不够严谨。目前国内相 关的CA中心在颁发CA证书前虽然也竭力进行真实身份的审核,但由于进行相关审核的人 员往往是CA中心自己的工作人员或其委托的其他人员,从法理上讲这些审核人员不具备 法律上所要求的审核证明人资格,也无法承担相应的法律责任;另一方面现在的CA中心本 身往往也是交易或合同的一方,商业利益的驱使,难免存在不公正性,为了抢占市场,在没有进行严格的身分确认和验证就随意发放证书,难以确保认证的权威性和公正性,这种背 景发放的证书法律机构难以完全采信。 3.从商务模式上看,基于PKI安全平台的电子商务运行中,交易双方在交易期间 必须有第三方即CA的参与,例如数字证书的颁发以及在线验证等,与传统的交易只需交易 双方参与即可的模式有很大的改变,使交易双方感到不习惯。 4.在分布格局上,我国目前还没有建立起国家级的权威CA认证机构,根据自身需 要,许多行业和企业纷纷投入巨额资金建立自己的CA认证机构,由于这些CA认证机构存 在明显的地域性和行业性,无法完全满足充当面向全社会的第三方权威认证机构的基本要 求,而就互联网而言,不应该也不可能存在地域限制,CA认证机构的地域性和行业性导致 诸多进入PKI体系的企业和单位并不能顺利实现与跨本地或行业的电子交易,这种现状严 重制约了 PKI体系在我国的实际应用,其结果导致我国电子商务和电子政务的安全平台的 建设一直无法得到满意的推进,也对我国电子商务和电子政务的正常发展产生了不利的影 响。 公证制度是一项国际通行的预防性法律制度,即国家法律授权的专门机构及其专 业人员,经当事人申请,对相关法律行为、由法律意义的文书和事实,证明其真实性、合法 性、正当性的法律制度。公证制度的预防性措施和对民商事活动的适度干预,对于保障交易 安全,化解交易风险,降低司法成本,减轻当事人讼累,强化社会信用建设无疑有着不可替 代的重要作用。公证是公证机构根据自然人、法人或者其他组织的申请,依照法定程序对民 事法律行为、有法律意义的事实和文书的真实性、合法性予以证明的活动,公证是一个社会 诚信的表征,是一个国家预防纠纷的制度,是减少市场交易风险的手段,更是降低权利救济 成本的依靠。公证机构是依法设立,不以营利为目的,依法独立行使公证职能、独立承担民 事责任的公益性和非营利性证明机构。公证机构或公证人通过国家法律授权的方式来获得 并行使这种证明权。经过公证证明的事项,依法具有优先的证据效力和相应的强制执行效 力。目前我国已有数千家公证机构和相关的业务网站已经覆盖全国各地,为参与电子商务 和电子政务的单位和企业乃至个人提供合法身份的公信证明奠定了法理和实施的基础。因 此,在电子商务和电子政务中尤其是在安全电子签名系统中弓I入公证机构这一环节使其充 分发挥法律授予的证明权这一独特地位和作用,可有效消弭PKI体系下CA认证机构建设所 面临的诸多复杂问题,从而有效促进我国电子商务和电子政务的快速发展。
对电子文件的签署可能包括电子签章(公章)和电子签名(个人签名)两种确认 环节。本发明的权利人先前已经申请了 200810046234. 4专利《基于公证机构公证戳的安全 电子签章方法》,该专利方法主要针对公证机构公证戳技术在安全电子签章中的应用而设 计。而本发明则主要针对公证机构公证戳技术在个人安全电子签名中的应用而设计。两专 利在实践中可根据具体情况形成应用配套。
三.
发明内容
本发明基于公证机构公证戳的个人安全电子签名方法的目的在于提供一种新的 个人安全电子签名方法,该方法的安全性基于公证机构的公证戳而不是基于常见的PKI体 系,以发挥我国现有公证机构的作用,避免PKI体系所存在的若干不足。
为实现本发明之目的,本发明提供一种新的安全电子签名方法,包括以下步骤
4
A、用户真实身份公证。用户向公证机构提交真实合法的身份证明和个人签名样 本,公证机构出具纸质公证书文件,同时提供描述该公证文件关键信息和公证机构工商登 记信息的电子文件,本发明中称作"公证戳"。用HASH编码形成公证戳摘要与公证戳加密封 装,使公证戳信息不可更改。该公证书文的电子版和公证戳在公证机系统数据库中存留其 副本。 B、个人电子签名制作。将个人签名样本加工形成的电子图片导入用户个人签名专 用ActiveX控件,并在此ActiveX控件中封装入用户个人签名密钥、公证戳,然后用HASH编 码形成摘要与个人签名、用户密钥、公证戳进行加密封装,使得用户个人签名和公证戳不可 更改,从而保证用户个人签名的真实性和合法性。用户个人签名、用户个人签名密钥、公证 戳、以及摘要信息可根据实际情况存储于专用存储装置中。 C、用户身份验证。用户提供经特别存储处理的证明自己合法身份的公证戳到系 统,系统解密公证戳并验证公证戳内容。必要时可通过网络连通颁证公证机构服务器予以 验证。 D、用户签名。签名时,系统首先验证用户个人签名密钥,在通过用户个人签名密钥 验证后,用户可控制其用户电子签名专用ActiveX控件,在电子文本适当位置实施签名操 作,或者根据情况系统自动在设定位置实施设定的签名操作。 —旦用户确定签名完成,系统将生成两个数据包签名文本包和解密密钥包
首先,系统通过HASH编码算法得到电子文本、用户电子签名以及公证戳的摘要并 加密封装,以形成三者相互关联的签名文本,封装后的签名文本以可运行文件形式打包。不 同用户在同一电子文本加入新的签名时,系统将通过散列算法得到电子文本、所有签名用 户的电子签名以及所有签名用户的公证戳的摘要并加密封装,以形成新的电子文本、所有 签名用户的电子签名以及所有签名用户的公证戳的相互关联的"签名文本包",后续签名操 作不能对先前签名的电子文本和签名信息及公证戳信息进行修改。 此后,系统自动生成该"签名文本包"解密所需的"解密密钥包"。该解密密钥包包 括签名文本包解密密钥、与签名文本包的关联标签、公证戳、以及通过HASH编码算法得到 这三者的摘要,系统将这些信息进行加密封装,并以可运行文件形式打包。在"解密密钥包" 生成过程中,可根据需要增加用户自定义解密密钥的操作。 E、电子文本传输及验证。本发明采用两步发送法以保证电子文本发送的安全性和 不可抵赖性。 第一步发送当发送方确认向其他地址发送签名文本时,系统仅发送签名文本包。 接收方系统首先通过接收到的摘要信息检查所接收到的文件是否遭更改或破坏,以确认文 件的完整性。需要解密使用电子文本时,系统首先生成一"电子收讫函",该电子收讫函内容 包括接收方的系统登记信息、接收方地址、接收时间、接收方公证戳、回函时间、回函接收方 地址信息等。电子收讫函按电子文件的发送地址发送到发送方。 第二步发送当发送方接收并确认签名文本的"电子收讫函"后,将该签名文本对 应的"解密密钥包"向接收方发送。接收方系统在接收到"解密密钥包"后,点击使之自动运 行解包后,即可使用该数据包对"签名文本包"进行解密使用。"电子收讫函"在发送方系统 留存并可作为电子文件发送和接收的电子凭据。当然,在接受方系统留存的"签名文本包" 可作为发送方已经发送电子文件的证明。
本发明的使用效果是 本发明在保证电子签名的有效性、完整性和不可抵赖性的基础上,采用公证机关 公证戳技术,充分利用公证机构通过国家法律授权的方式来获得并行使这种证明权,经其 公证证明的事项依法具有优先的证据效力和相应的强制执行效力这一法律授予的特殊地 位和职能,以及覆盖全国各地的分布服务机构。在公证机构原有职能基础上进行专门增值 业务的简单扩展,即可顺利实施"电子签名及合法身份公证"工作。由此替代目前的CA认 证机构模式,可有效避免由PKI体系引起的技术标准不统一、认证的权威性和公正性不高、 习惯的交易模式发生较大改变、以及明显的地域性和行业性导致通用性不高等弊端。
四.
图1为本发明基于公证机构公证戳的安全电子签名方法的逻辑处理流程示意图。
五.具体实施方式
实施例1 本实施例说明本发明基于公证机构公证戳的安全电子签名方法中常规应用情况 下用户电子签名、用户密钥、公证机构公证戳等信息的保存。在本实施例中,存储田户电子 签名、用户密钥、公证机构公证戳等信息的专用存储装置采用USB-KEY。普通的电子商务和 电子政务等场合以及普通的个人文件资料确认场合均可以采用此方案。
实施例2 本实施例说明本发明基于公证机构公证戳的安全电子签名方法中特殊应用情况 下用户电子签名、用户密钥、公证机构公证戳等信息的保存。在本实施例中,存储用户电子 签名、用户密钥、公证机构公证戳等信息的专用存储装置采用经专门设计的专用装置。一些 特殊的应用场合可以采用此方案。
实施例3 本实施例说明本发明基于公证机构公证戳的安全电子签名方法中银行IC卡应用 情况下用户电子签名、用户密钥、公证机构公证戳等信息的保存。在本实施例中,用户开立 新帐户时需要提供公证机构的公证书和公证戳。用户电子签名、用户密钥、公证机构公证戳 等信息将直接存储到IC卡中。用户在银行ATM等电子终端上进行存/取款交易时,直接读 取IC卡中的公证戳鉴别用户身份的真伪,并在流水记录中保留用户电子签名、用户密钥等 信息。交易凭据打印输出时可将用户电子签名打印在该交易凭据上。
权利要求
基于公证机构公证戳的个人安全电子签名方法,其特征在于包括以下步骤A、用户真实身份公证。用户向公证机构提交真实合法的身份证明和个人签名样本,公证机构出具纸质公证书文件,同时提供描述该公证文件关键信息和公证机构工商登记信息的电子文件,本发明中称作“公证戳”。用HASH编码形成公证戳摘要与公证戳加密封装,使公证戳信息不可更改。该公证书文的电子版和公证戳在公证机系统数据库中存留其副本。B、个人电子签名制作。将个人签名样本加工形成的电子图片导入用户个人签名专用ActiveX控件,并在此ActiveX控件中封装入用户个人签名密钥、公证戳,然后用HASH编码形成摘要与个人签名、用户密钥、公证戳进行加密封装,使得用户个人签名和公证戳不可更改,从而保证用户个人签名的真实性和合法性。用户个人签名、用户个人签名密钥、公证戳、以及摘要信息可根据实际情况存储于专用存储装置中。C、用户身份验证。用户提供经特别存储处理的证明自己合法身份的公证戳到系统,系统解密公证戳并验证公证戳内容。必要时可通过网络连通颁证公证机构服务器予以验证。D、用户签名。签名时,系统首先验证用户个人签名密钥,在通过用户个人签名密钥验证后,用户可控制其用户电子签名专用ActiveX控件,在电子文本适当位置实施签名操作,或者根据情况系统自动在设定位置实施设定的签名操作。一旦用户确定签名完成,系统将生成两个数据包签名文本包和解密密钥包首先,系统通过HASH编码算法得到电子文本、用户电子签名以及公证戳的摘要并加密封装,以形成三者相互关联的签名文本,封装后的签名文本以可运行文件形式打包。不同用户在同一电子文本加入新的签名时,系统将通过散列算法得到电子文本、所有签名用户的电子签名以及所有签名用户的公证戳的摘要并加密封装,以形成新的电子文本、所有签名用户的电子签名以及所有签名用户的公证戳的相互关联的“签名文本包”,后续签名操作不能对先前签名的电子文本和签名信息及公证戳信息进行修改。此后,系统自动生成该“签名文本包”解密所需的“解密密钥包”。该解密密钥包包括签名文本包解密密钥、与签名文本包的关联标签、公证戳、以及通过HASH编码算法得到这三者的摘要,系统将这些信息进行加密封装,并以可运行文件形式打包。在“解密密钥包”生成过程中,可根据需要增加用户自定义解密密钥的操作。E、电子文本传输及验证。本发明采用两步发送法以保证电子文本发送的安全性和不可抵赖性。第一步发送当发送方确认向其他地址发送签名文本时,系统仅发送签名文本包。接收方系统首先通过接收到的摘要信息检查所接收到的文件是否遭更改或破坏,以确认文件的完整性。需要解密使用电子文本时,系统首先生成一“电子收讫函”,该电子收讫函内容包括接收方的系统登记信息、接收方地址、接收时间、接收方公证戳、回函时间、回函接收方地址信息等。电子收讫函按电子文件的发送地址发送到发送方。第二步发送当发送方接收并确认签名文本的“电子收讫函”后,将该签名文本对应的“解密密钥包”向接收方发送。接收方系统在接收到“解密密钥包”后,点击使之自动运行解包后,即可使用该数据包对“签名文本包”进行解密使用。“电子收讫函”在发送方系统留存并可作为电子文件发送和接收的电子凭据。当然,在接受方系统留存的“签名文本包”可作为发送方已经发送电子文件的证明。
全文摘要
本发明基于公证机构公证戳的个人安全电子签名方法,采用公证机构公证戳技术,充分利用公证机构法律授予的证明权这一独特地位和职能,将公证戳运用到电子签名的用户身份证明、用户电子签名制作、用户身份验证、用户签名以及电子文本传输及验证各个环节,确保用户身份的真实性、个人电子签名的合法性、电子文件的完整性和电子签名过程的不可抵赖性,由此形成基于公证戳的安全电子签名方法。由此替代目前的PKI体系下CA认证机构模式,可有效避免由PKI体系所产生的技术标准不统一、认证的权威性和公正性不高、习惯的交易模式发生较大改变、以及明显的地域性和行业性导致通用性不高等弊端,从而有效促进我国电子商务和电子政务的快速发展。
文档编号G06Q10/00GK101727610SQ20081004643
公开日2010年6月9日 申请日期2008年10月31日 优先权日2008年10月31日
发明者刘学明, 申杰锋 申请人:刘学明;申杰锋