基于北斗和数字证书的电子签名方法及装置与流程

本发明涉及信息安全技术领域，特别涉及一种基于北斗和数字证书的电子签名方法及装置。

背景技术：

电子签名是现代认证技术的泛称。广义上，凡是能在电子通讯中，起到证明当事人的身份、证明当事人对文件内容认可的电子技术手段，都可被称为电子签名。狭义上，电子签名指数据电文中以电子形式所含、所附，用于识别签名人身份，并证明签名人认可数据电文所承载信息的数据。通俗说，电子签名就是用密码技术生成的数据对电子文档的签名，类似于手写签名或印章。

电子签名的一般表现方式是：包含、附加在某一数据电文内，或逻辑上与某一数据电文相联系的电子形式的数据。作为保障信息安全的重要手段，被广泛应用于电子商务、电子政务、电子公共服务等领域。

电子签名的产生，有着特殊的背景。自其伴随于电子商务产生后，与电子商务、电子政务、电子公共服务等就形成了相互促进、共同发展的态势或局面，为其提供电子文档签署的证据。

初期的电子签名的结果是不可视的“计算机数据”，为了表现与传统的签名在感观上一致的视觉效果，这个“计算机数据”又附加了笔迹签字、加盖印信或指纹等多种可视化的表现形式。为有效解决签名的否认、抵赖、伪造、篡改、冒充等等问题，又被赋予密码技术和法律属性。因此，这个“计算机数据”也紧密跟随着科学技术的进步而发展，高科技含量的比重也越来越大，乃至于人们争先恐后地将最先进的科学技术与之融合。

技术实现要素：

本发明的目的在于提供“基站—北斗”定位技术、数字证书技术、印章图像印迹加密和签名技术、移动通讯技术等一体化的一种基于北斗和数字证书的电子签名方法和装置，配合业务系统软件对数据电文进行安全保护，同时对数据电文的操作实体进行身份认证、时间认证、位置认证，并通过与现有的业务系统进行数据交互，实现数据电文(电子票据、电子发票、业务信息)等的在线签名。同时实体业务操作时的身份、时间、位置、次数等信息保存在数据中心，以备电子签名的管理者进行远程监管。

为达上述目的，本发明实施例采用如下技术方案：

一种基于北斗和数字证书的电子签名装置，至少包括：

⑵用于获取北斗位置和时间信息等电路组件的北斗单元；

⑵用于存储密钥、数字证书及印章图像印迹，完成相应满足国标密码功能要求的密码运算的密码单元；

⑶用于完成移动通信(含蓝牙)和室内定位等的电路组件的通讯单元；

⑷用于完成北斗位置、时间信息与密码单元交互的全部功能电路组件的计算单元；

⑸用于与外部信息交互的usb接口的电路组件单元。

⑹用于向以上各单元提供标准电压、电流的电路组件的电源单元。

可选地，所述北斗单元至少包括：

⑴rnss定位方式的gnss基带、射频处理一体化芯片，该芯片可以是单独的北斗基带、射频一体化芯片，也可以是北斗/gps基带、射频一体化芯片，还可以是北斗/gps/glonass基带、射频一体化芯片；

⑵gnss一体化天线；

⑶恒压输出的dc/dc升降压开关电源ic芯片；

⑷嵌入北斗卫星计算位置和确定时间的北斗定位方法软件。

可选地，所述密码单元至少包括：

⑴满足国密要求的国密算法芯片；

⑶使用了国家密管理局批准的算法和随机数发生器；

⑷存储ca证书和印章图像印迹；

⑸嵌入密码运算、密钥管理及印章图像印迹的管理软件；

可选地，所述通信单元至少包括：

⑴无线数据传输通信的射频、基带处理芯片一体化模块，该模块可以是单独的gsm或cdma，通过at指令控制模块的数据通信、室内定位功能；

⑵gsm或cdma通信天线；

⑶ttl电平控制的pmos启动/关闭开关。

可选地，所述计算单元至少包括：

⑴单片机(microcontrollers)集成电路芯片；

⑵单片机集成电路芯片通过接口电路与北斗单元、密码单元、通信单元及usb接口等相互连接；

⑶单片机集成电路芯片外接eeprom存储芯片；

⑷在单片机集成电路芯片内安装嵌入式软件，协调、控制各个单元的工作，将计算结果通过外部接口发送到计算机，接收来自外部接口的计算机指令。

本发明还公开了一种基于北斗和数字证书的电子签名方法，包括以下步骤：

⑴采用一种基于国标密码技术及数字证书技术的实体身份认证方法来判断实体身份，当实体身份合法时登陆业务系统，并完成以下步骤；

⑵采用一种认证戳的合成方法来确定认证戳；

⑶在业务系统中完成在线电子签名；

⑷使用网络通信将数据电文和签名信息发送到业务系统；

⑸通过无线网络将签名信息发送到数据中心；

⑹数据中心开通web和webapp站点，实现为用户提供查询服务，并实现为相关管理部门、行业用户提供大数据服务；

⑺用户通过上网计算机或移动手机app，可以在地理信息环境下实时对电子签名的使用时间、使用地点、使用次数及轨迹回放等监测。

可选地，所述采用一种认证戳的合成方法来确定认证戳，具体包括：

形成数据电文(各类格式的文档、表单、单证、网页、图纸等)的数字摘要；

对加密的印章图像印迹进行解密；

计算所述装置的位置坐标和当前时间信息；

使用所述装置中的数字证书将数字摘要、位置坐标、当前时间信息、印章图像印迹采用数字签名的方式得到四位一体的认证戳。

可选地，所述计算所述装置的位置坐标和当前时间信息，具体包括：

⑴利用北斗卫星计算位置和确定时间的北斗定位方法

①接收北斗卫星的广播星历、观测数据；

②解算北斗卫星的空间坐标；

③确定所述装置的位置坐标、钟差初始值，均可设为“0”；

④组成误差方程式，通过最小二乘法平差等算法解算出所述装置的位置坐标和当前时间信息的改正值；

⑤初始值加改正值，当改正值小于阈值时迭代终止，否则重上述④步骤；

⑥迭代上述④、⑤两个步骤，一般在经过3或4次后，从而得到所述装置的位置坐标和当前时间信息；

⑦有遮蔽情况下，采用北斗单星定位，用以增强卫星的可用性，利用解算的卫星坐标、方位角及高度角和观测数据来计算；

⑵利用移动通信基站计算位置和确定时间的室内定位方法

①接收附近不同基站的位置、时间；

②测量附近不同基站的下行导频的到达时刻或到达时间差；

③组成误差方程式，解算出所述装置的位置坐标和当前时间；

⑶北斗定位室和内定位的无缝衔接

①当北斗定位条件满足时，采用所述北斗定位方法；

②当北斗定位条件不满足时，采用所述室内定位方法；

③通过判断接收到的北斗卫星信号，自动判定北斗定位条件是否满足，从而实现了两种定位方法的无缝衔接。

可选地，所述采用一种基于国标密码技术及数字证书技术的实体身份认证方法来判断实体身份，当实体身份合法时登陆业务系统，具体包括：

⑴在网络环境下，将所述装置插入计算机，打开业务系统的登录页面，输入所述装置的密码；

⑵业务系统和所述装置中数字证书进行基于数字签名的交互式验证、确认对方的身份；

⑶在双方身份验证真实后，业务系统和所述装置就会建立一个安全的加密通道，从而完成了登陆业务系统。

本发明提供了“基站—北斗”定位技术、数字证书技术、印章图像印迹加密和签名技术、移动通讯技术等一体化的一种基于北斗和数字证书的电子签名方法和装置，配合业务系统软件对数据电文进行安全保护，同时对数据电文的操作实体进行身份认证、时间认证、位置认证，并通过与现有的业务系统进行数据交互，实现数据电文(电子票据、电子发票、业务信息)等的在线签名。同时实体业务操作时的身份、时间、位置、次数等信息保存在数据中心，以备电子签名的 管理者进行远程监管。

附图说明

图1是一种按照本发明实施方式的基于北斗和数字证书的电子签名装置的工作原理图；

图2是一种按照本发明实施方式的基于北斗和数字证书的电子签名装置的结构框图；

图3是一种基于北斗和数字证书的电子签名方法的工作原理图；

图4是一种数字签名形成流程图；

图5是一种业务系统对数字签名验证流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1是一种按照本发明实施方式的基于北斗和数字证书的电子签名装置的工作原理图；图2是一种按照本发明实施方式的基于北斗和数字证书的电子签名装置的结构框图；图3是一种基于北斗和数字证书的电子签名方法的工作原理图；参照图1～3，所述方法包括如下步骤：

登录业务系统的方法如下：

将集成有北斗单元和国产密码单元的装置，插入到pc机中，打开业务系统的登录页面，输入装置的保护pin口令，验证口令正确，系统会自动进行基于数字证书的身份验证机制，验证成功后，登录业务系统。

实体用户电子签名时获取位置及时间信息的方法如下：

获取卫星广播星历及伪距观测值，并实施如下算法。

⑴计算卫星坐标。

⑵误差方程式

将以伪距表示的距离公式以x、y、z、△t为未知数进行泰勒级 数展开，并取至一次项，得到下列误差方程式矩阵；

a×dx＝l

其中：

a—误差方程组系数矩阵，m×n结构；

l—误差方程组常数项矩阵,m×1结构；

dx—未知数改正值矩阵,n×1结构；

m—方程组个数；

n—未知数个数。

⑶迭代初始值的确定

dx＝0

⑷组成法方程式

当方程组数大于未知数个数时，方程组有矛盾解，为了计算唯一解，进行最小二乘法处理，求解出在误差的平方和为最小的条件下的条件极值。

a^tadx+a^tl＝min

⑸求解未知数改证值

dx＝-(a^ta)^-1×a^tl

⑹快速迭代算法

第二次以后的迭代只计算误差方程组常数项矩阵，系数矩阵不重新计算，可以最大化减少运算量，提高运算速度。

采用高斯—约旦(gauss-jordan)消元法。它不需要回代过程即可求得线性方程组的解。

2、实体用户电子签名前的备案方法如下：

自动的将实体用户实施电子签名的操作信息，包括地理坐标、时间，按照自定义通信协议，通过移动通信网络，发送到数据中心的ip地址，提交给北斗数据中心中备案。

数据中心的通信服务器接收到电子签名的操作信息后，将其存入 数据库，以备实体用户或其管理者通过上网计算机或手机app实时远程监控。

如有需要可提供第三方举证服务。

3、实体用户提交数据电文及电子签名信息到业务系统方法如下：

实体用户a登录业务系统软件后，与业务系统进行数据交互，进行业务操作，系统会对交互的数据电文，进行实时、自动的生成该数据电文的数据摘要；

同时通过装置中的北斗单元，获取生成数据电文时高精度的北斗位置信息及北斗时间信息，自动生成数据摘要，使用装置中实体用户a的私钥以及电子签章软件对数据电文进行电子签名或电子签章，生成认证戳，确保该数据电文是拥有该装置的实体用户在何时何地操作产生，不可伪造，不可抵赖。

4、实体用户数字签名形成的流程如下：

参照图4，设待签名的消息为m，为了获取消息m的数字签名(r,s)，作为签名者的用户a实施以下运算步骤：

⑴置m＝za||m；

⑵计算e＝hv(m)，将e的数据类型转换为整数；

⑶用随机数发生器产生随机数k∈[1,n-1]；

⑷计算椭圆曲线点(x1,y1)＝[k]g，将x1的数据类型转换为整数；

⑸计算r＝(e+x1)modn，若r＝0或r+k＝n则返回⑶；

⑹计算s＝((1+da)^－1×(k－r×da))modn，若s＝0则返回⑶；

⑺将r、s的数据类型转换为字节串，消息m的签名为(r,s)。

5、业务系统对数字签名验证方法如下：

业务系统接收到实体用户提交数据电文及电子签名信息后，调用相应的密码算法接口和印章图像印迹接口，对数据电文进行数字摘要计算，同时对电子签名或印章图像印迹进行解密，对比数字摘要值，验证数据电文及电子签名信息是否完整，同时验证印章图像印迹进行 验证，验证通过后，保存进业务系统中。

业务系统基于国产算法数字签名验证流程：

参照图5，为了检验收到的消息m′及其数字签名(r′,s′)，作为验证者的用户b实现以下运算步骤：

⑴检验r′∈[1,n-1]是否成立，若不成立则验证不通过；

⑵检验s′∈[1,n-1]是否成立，若不成立则验证不通过；

⑶置m′＝za||m′；

⑷计算e′＝hv(m′)，将e′的数据类型转换为整数；

⑸将r′、s′的数据类型转换为整数，计算t＝(r′+s′)modn；若t＝0，则验证不通过；

⑹计算椭圆曲线点(x1′,y1′)＝[s′]g+[t]pa；

⑺将x1′的数据类型转换为整数，计算r＝(e′+x1′)modn，检验r＝r′是否成立，若成立则验证通过；否则验证不通过。

本发明实例还提供了一种基于北斗和数字证书的装置，包括如下：

这个装置是由外壳将电路板及电子元器件封闭成一体，并有外露的usb接口。其组成有如下单元：

定位单元：获取位置、时间信息等功能的电路组件。供电后自动工作，搜星、完成基站-北斗定位，并将获得的位置、时间信息与计算单元信息交互；

密码单元：密钥、ca认证、印章图像印迹等功能的电路组件。供电后自动工作，与计算单元信息交互；

通信单元：移动通信等功能(含蓝牙)的电路组件。供电后自动工作，与计算单元进行信息交互，获取的电子签名信息，通过移动网络，采用gprs、cdma、gms等方式传送到指定的ip地址；

计算单元：协调装置各个单元信息交互，实现装置全部功能的电路组件。供电后自动工作，嵌入式主线程软件调用密码单元的秘钥和 印迹，通过usb接口与计算机进行身份认证交互，当确认是合法用户后，调取定位单元的位置、时间信息合成由秘钥、印迹、位置、时间组成的认证戳，供在登陆的业务系统中使用。同时，将使用信息推送到通信单元。

接口单元：负责与计算机连接，完成本装置与计算机的信息交互、完成与计算机电源的物理连接等功能的电路组件。

电源单元：通过usb连接到计算机电源后，通过dc/dc转换，分别向本装置的其它单元提供多路标准电源的电路组件。

对一种基于北斗和数字证书的装置进行监控的方法如下：

北斗数据中心建设web、webapp站点并发布，web、webapp站点主要由web、webapp服务器、服务器端软件、数据库等组成，数据库中的数据来自于所辖的一种基于北斗和数字证书的装置在操作时自动发回的备案信息，即按实体用户电子签名前的备案方法所积累的信息。web站点还提供手机app监控软件下载业务。

实体用户或其管理者通过上网计算机或手机app登陆web、webapp网站后，可实时对本专利所述装置实施远程监控，包括操作的时间、地点、次数、越界管理、历史轨迹等，监控背景为可视化的地图、如二维矢量图、卫星遥感像素图、三维影像立体图等。

如有需要，可提供第三方举证服务。

本发明提供一种基于北斗和数字证书的电子签名方法及装置，在网络环境下，通过上网计算机，可以在线实现业务系统的快速电子签名等相关事宜。

将一种基于北斗和数字证书的电子签名装置插入网络计算机usb接口。

装置插入计算机后，北斗单元、通信单元、保密单元的嵌入式软件自动工作。

北斗单元嵌入式软件自动接收北斗卫星的广播星历、观测数据， 解算卫星空间坐标，确定位置、钟差的初始值，组成误差方程式，通过最小二乘法平差等算法解算出地理坐标、钟差的改正值，通过迭代计算完成地理坐标和当前时间的解算。当收到可视卫星小于4颗，利用解算的卫星坐标、方位角、高度角和观测数据完成单星定位，确定地理坐标和当前时间；

通信单元嵌入式软件自动接收附近不同基站的位置、时间，测量附近不同基站的下行导频的到达时刻或到达时间差，组成误差方程式，解算出装置的地理坐标和当前时间。

该装置自动请求计算机连接。

预装在计算机中的软件就会自动识别，识别成功后，建立与装置的连接通道并将装置中嵌入的登陆业务系统软件调入计算机中，自动并显示登陆界面，包括用户名、密码填写框；

人工在填写框中输入该装置的用户名、密码。

登陆业务系统软件自动验证用户名、密码，成功后业务系统及该装置中数字证书相互验证和确认身份。

验证电子签名或电子签章时，除了验证数字签名外，还要验证印迹，确保印章图像印迹的司法鉴定和印迹的合法性、唯一性。

在双方身份验证真实后，业务系统和该装置就会建立一个安全的加密通道，这时就可以登陆业务系统的作业界面。

人工在业务系统的作业界面上完成相关的操作。

登陆业务系统软件根据人工填写的数据电文，实时、自动生成数据摘要。

同时，装置的计算单元中嵌入式主线程软件就会自动索取北斗单元的计算结果、通信单元的室内定位结果，并自动判定采用北斗定位结果或室内定位结果，完成“基站-北斗”定位的无缝衔接，获取签名的地理坐标、时间，再将地理坐标、时间、保密单元的私钥和印迹、计算机中的数据摘要等形成认证戳，并在登陆的业务系统界面上显 示，待命实施电子签名；

当在登陆界面办理完业务后，用鼠标调整认证戳的位置，并实施电子签名。

电子签名一旦实施，登陆业务系统软件就会通知装置的计算单元中嵌入式主线程软件向通信单元推送电子签名信息，通信单元中嵌入式软件接到信息后，即向预置的数据中心ip地址发射电子签名信息。

数据中心ip实时、自动接收来自四面八方的各个装置的电子签名信息，并存入本地数据库；web、webapp站点实时响应来自每个电子签名装置管理者的监测管理。

电子签名装置管理者随时可以利用网络上的计算机或移动手机，监测所属装置的使用情况，这种使用情况是在地理信息为背景的界面上可视化显示，可以监测签名地点、时间、次数、轨迹回放等，直观、简洁、一目了然。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。