电子签名方法及装置与流程

本发明属于信息安全技术领域，尤其是涉及一种电子签名方法及装置。

背景技术：

随着网络技术的快速发展，电子签名作为一种认证技术和保障信息安全的重要手段，在电子商务、电子政务、电子公共服务等方面得到了广泛的应用。其表现方式是：将签名包含或附加在某一数据电文内，或通过逻辑将签名与数据电文相联系。

目前电子签名技术，主要是采用获取的用户的笔迹签字、加盖印信或指纹等信息，对数据电文进行的签名；或者，将密码技术和用户的笔迹签字、加盖印信或指纹等信息进行结合，对数据电文进行的签名。

技术实现要素：

针对上述存在的问题，本发明提供一种电子签名方法及装置，可以有效的提高电子签名的可靠性。

一方面，本发明提供了一种电子签名方法，包括：获取待签名数据电文对应的数字摘要；根据当前的时间信息、位置信息、签名信息及所述数字摘要，应用数字证书，生成电子签名，所述签名信息包括：印章信息、指纹信息、文字信息中的任一种或其组合。

可选地，上述当前的时间信息可以是通过北斗卫星、gps及gprs技术等获取的实时时间信息。

可选地，上述位置信息可以通过以下方式中的至少一种或其组合获取：北斗卫星定位、gps卫星定位、无线局域网定位、ap定位、蓝牙定位、基站定位、地磁场定位，rfid定位、二维码标签识别定位、ip定位、声波定位和场景识别定位等。

可选地，上述根据当前的时间信息、位置信息、签名信息及所述数字摘要，应用数字证书，生成电子签名，包括：使用用户的私匙或电子签章软件分别对所述当前的时间信息、位置信息、签名信息及所述数字摘要进行加密，生成所述电子签名。

可选地，上述根据当前的时间信息、位置信息、签名信息及所述数字摘要，应用数字证书，生成电子签名之后，该电子签名方法还可以包括：将所述电子签名及所述待签名数据电文发送至业务系统服务器，以供所述业务服务器根据所述数据证书对所述电子签名及所述待签名数据电文进行验证；和/或，将所述电子签名及所述待签名数据电文发送至数据中心服务器，以供所述数据中心服务器根据所述数据证书对所述电子签名及所述待签名数据电文进行验证和备案；其中，所述电子签名的验证包括所述签名信息的验证、所述位置信息的验证以及所述当前的时间信息的验证。

另一方面，本发明提供一种电子签名装置，包括：获取模块，用于获取待签名数据电文对应的数字摘要；处理模块，用于根据当前的时间信息、位置信息、签名信息及所述数字摘要，应用数字证书，生成电子签名，所述签名信息包括：印章信息、指纹信息、文字信息中的任一种或其组合。

可选地，上述当前的时间信息可以是通过北斗卫星、gps及gprs技术等获取的实时时间信息。

可选地，上述位置信息可以通过以下方式中的至少一种或其组合获取：北斗卫星定位、gps卫星定位、无线局域网定位、ap定位、蓝牙定位、基站定位、地磁场定位，rfid定位、二维码标签识别定位、ip定位、声波定位和场景识别定位等。

可选地，上述处理模块可以具体用于：使用用户的私匙或电子签章软件分别对所述当前的时间信息、位置信息、签名信息及所述数字摘要进行加密，生成所述电子签名。

可选地，该电子签名装置还可以包括发送模块。其中，该发送模块可以用于在所述处理模块根据当前的时间信息、位置信息、签名信息及所述数字摘要，应用数字证书，生成电子签名之后，将所述电子签名及所述待签名数据电文发送至业务系统服务器，以供所述业务服务器根据所述数据证书对所述电子签名及所述待签名数据电文进行验证。

和/或，所述发送模块可以用于在所述处理模块根据当前的时间信息、位置信息、签名信息及所述数字摘要，应用数字证书，生成电子签名之后，将所述电子签名及所述待签名数据电文发送至数据中心服务器，以供所述数据中心服务器根据所述数据证书对所述电子签名及所述待签名数据电文进行验证和备案。

其中，上述电子签名的验证可以包括所述签名信息的验证、所述位置信息的验证以及所述当前的时间信息的验证。

本发明电子签名方法及装置，根据当前的时间信息、位置信息、签名信息及待签名数据电文对应的数字摘要，应用数字证书，生成电子签名，其中，签名信息包括：印章信息、指纹信息、文字信息中的任一种或其组合从而实现签名当时位置信息和时间信息在电子签名中的体现，以防止待签名数据电文及电子签名被伪造、篡改或冒充，有效提高电子签名的可靠性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明应用场景示意图；

图2为本发明电子签名方法实施例一的流程图；

图3为本发明电子签名方法实施例二的流程图；

图4为本发明电子签名装置实施例一的结构示意图；

图5为本发明电子签名装置实施例二的结构示意图；

图6为本发明电子签名装置实施例三的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参考图1，其示出了本发明实施例提供的电子签名方法所涉及的一种应用场景的示意图，该应用场景包括终端110和对端设备120。

其中，终端110是具有建立数据通道能力的电子设备，比如，终端110可以是智能手机或平板电脑等。

对端设备120可以具体为服务器，服务器为终端110的关联服务器。服务器可以是一台服务器，或者由若干台服务器组成的服务器集群，或者是一个云计算服务中心，本发明不对其进行限制。

终端110可以与对端设备120建立数据通道。

图2为本发明电子签名方法实施例一的流程图。本发明提供一种电子签名方法，该方法可以由电子签名装置执行，该装置具体可以为智能手机或平板电脑等终端，如图1所示的终端110。如图2所示，该电子签名方法包括：

s201、获取待签名数据电文对应的数字摘要。

同时参考图1所示应用场景，用户使用终端110登录对端设备120，例如业务服务器，已安装的业务系统软件之后，终端110与业务服务器进行数据交互；业务服务器实时、自动的生成二者所交互数据电文，即待签名数据电文，的数字摘要。

其中，数字摘要是通过对待签名数据电文提取指纹信息以实现数据签名、数据完整性校验等功能。数字摘要的生成可利用哈希(hash)算法、散列算法等，具体可参考现有技术，此处不再赘述。

对应地，终端110从业务服务器获取该数字摘要。

该步骤可以包括：向业务服务器发送用于表征用户身份的信息进行身份识别和认证；当接收到业务服务器发送的、确认该用户为合法用户的反馈信息时，与业务服务器建立加密通道；通过加密通道获取业务服务器发送的数字摘要。

s202、根据当前的时间信息、位置信息、签名信息及数字摘要，应用数字证书，生成电子签名，其中，该签名信息包括：印章信息、指纹信息、文字信息中的任一种或其组合。

该步骤中，终端110根据其获取的数字摘要，结合当前的时间信息、位置信息、和签名信息，应用数字证书，生成电子签名。也就是说，本发明实施例中电子签名包含有签名时的时间信息及位置信息。

至于该步骤中的当前的时间信息和位置信息，可以是终端110从对端设备120获取的，也可以是终端110从其他设备获取的，本发明不对其进行限制。

可选地，当前的时间信息可以是终端110或对端设备120通过北斗卫星、全球定位系统(globalpositioningsystem，简称：gps)及通用分组无线服务(generalpacketradioservice，简称：gprs)技术等获取的实时时间信息。

另外，上述位置信息可以是终端110或对端设备120通过以下方式中的至少一种或其组合获取的：北斗卫星定位、gps卫星定位、无线局域网定位(例如，无线保真(wireless-fidelity，简称：wi-fi)定位)、无线访问节点(wirelessaccesspoint，简称：ap)定位、蓝牙定位、基站定位、地磁场定位，射频识别(radiofrequencyidentification，简称：rfid)定位、二维码标签识别定位、网际协议(internetprotocol，简称：ip)定位、声波定位和场景识别定位等。

需要说明的是，终端110获取当前的时间信息及位置信息之后，可以通过终端110与对端设备120之间的数据通道，将该当前的时间信息及位置信息发送给对端设备120。此时，该对端设备120可以具体为数据中心服务器。相应地，数据中心服务器对该将该当前的时间信息及位置信息进行备案。

在数据中心服务器接收到电子签名的操作信息后，将其存入数据库，以备用户或管理者通过计算机或终端应用实施远程监控。可选地，如有需要可提供第三方举证服务。

示例性的，当前的时间信息及位置信息的获取可以具体为：

获取卫星(例如北斗卫星)广播星历及伪距观测值，并实施如下算法：

(1)计算卫星坐标。

(2)误差方程式

将以伪距表示的距离公式以x、y、z、△t为未知数进行泰勒级数展开，并取至一次项，得到下列误差方程式矩阵：

a×dx＝l

其中，

a—误差方程组系数矩阵，m×n结构；

l—误差方程组常数项矩阵，m×1结构；

dx—未知数改正值矩阵，n×1结构；

m—方程组个数；

n—未知数个数。

(3)迭代初始值的确定

dx＝0

(4)组成法方程式

当方程组数大于未知数个数时，方程组有矛盾解，为了计算唯一解，进行最小二乘法处理，求解出在误差的平方和最小的条件下的条件极值。

a^t×a×dx+a^t×l＝min

(5)求解未知数改正值

dx＝－(a^t×a)^-1×(a^t×l)

(6)快速迭代算法

第二次以后的迭代只计算误差方程组常数项矩阵，系数矩阵不重新计算，可以最大化减少运算量，提高运算速度。

采用高斯-约旦(gauss-jordan)消元法。它不需要回代过程即可求得线性方程组的解。

通过上述方法获得当前的时间信息及位置信息。

该实施例根据当前的时间信息、位置信息、签名信息及待签名数据电文对应的数字摘要，应用数字证书，生成电子签名，其中，签名信息包括：印章信息、指纹信息、文字信息中的任一种或其组合从而实现签名当时位置信息和时间信息在电子签名中的体现，以防止待签名数据电文及电子签名被伪造、篡改或冒充，有效提高电子签名的可靠性。

在上述实施例的基础上，一种实现方式中，上述根据当前的时间信息、位置信息、签名信息及数字摘要，应用数字证书，生成电子签名，可以包括：使用用户的私匙或电子签章软件分别对当前的时间信息、位置信息、签名信息及数字摘要进行加密，生成电子签名。

图3为本发明电子签名方法实施例二的流程图。如图3所示，在图2所示流程的基础上，在s202之后，该电子签名方法还可以包括：

s301、将电子签名及待签名数据电文发送至业务系统服务器，以供业务服务器根据数据证书对电子签名及待签名数据电文进行验证，其中，该电子签名的验证可以包括签名信息的验证、位置信息的验证以及当前的时间信息的验证。

对应地，业务服务器接收电子签名及待签名数据电文。之后，业务服务器可以调用相应的密码算法接口和印章图像印迹接口，对待签名数据电文进行数字摘要计算，同时对电子签名进行解密，对比数字摘要，验证待签名数据电文及电子签名信息是否完整。验证通过后，保存至业务服务器。

可选地，业务服务器还可以对印章信息，例如印章图像印迹，进行解密，以验证印章图像印迹，确保印章图像印迹的司法鉴定和印迹的合法性、唯一性。

进一步地，该电子签名方法还可以包括：

s302、将电子签名及待签名数据电文发送至数据中心服务器，以供数据中心服务器根据数据证书对电子签名及待签名数据电文进行验证和备案，其中，该电子签名的验证可以包括签名信息的验证、位置信息的验证以及当前的时间信息的验证。

在该实施例中，终端可仅执行s301或s302；也可以执行s301和s302，此时，不限定s301和s302的执行顺序，即，可以先执行s301，也可以先执行s302，或同时执行s301和s302。

该实施例通过将电子签名及待签名数据电文发送给业务服务器(和/或数据中心服务器)，使得业务服务器(和/或数据中心服务器)对电子签名进行验证(验证和备案)，从而确保电子签名和待签名数据电文的准确性及完整性，进一步防止待签名数据电文及电子签名被伪造、篡改或冒充，提高电子签名的可靠性；另外，数据中心服务器对电子签名进行备案，还可以方便电子签名管理人员对电子签名的监测管理。

图4为本发明电子签名装置实施例一的结构示意图。参照图4，该电子签名装置40包括获取模块41和处理模块42。其中，获取模块41和处理模块42耦接。

该获取模块41，用于获取待签名数据电文对应的数字摘要。

该处理模块42，用于根据当前的时间信息、位置信息、签名信息及数字摘要，应用数字证书，生成电子签名，该签名信息包括：印章信息、指纹信息、文字信息中的任一种或其组合。

综上所述，本实施例提供的电子签名装置，根据当前的时间信息、位置信息、签名信息及待签名数据电文对应的数字摘要，应用数字证书，生成电子签名，其中，签名信息包括：印章信息、指纹信息、文字信息中的任一种或其组合从而实现签名当时位置信息和时间信息在电子签名中的体现，以防止待签名数据电文及电子签名被伪造、篡改或冒充，有效提高电子签名的可靠性。

可选地，上述当前的时间信息可以是通过北斗卫星、gps及gprs技术等获取实时的时间信息。

可选地，上述位置信息可以通过以下方式中的至少一种或其组合获取：北斗卫星定位、gps卫星定位、无线局域网定位、ap定位、蓝牙定位、基站定位、地磁场定位，rfid定位、二维码标签识别定位、ip定位、声波定位和场景识别定位等。

可选地，上述处理模块可以具体用于：使用用户的私匙或电子签章软件分别对所述当前的时间信息、位置信息、签名信息及所述数字摘要进行加密，生成所述电子签名。

图5为本发明电子签名装置实施例二的结构示意图。参照图5，在图4所示结构的基础上，该电子签名装置50还可以包括发送模块51。其中，发送模块51和处理模块42耦接。

该发送模块51可以用于在处理模块42根据当前的时间信息、位置信息、签名信息及数字摘要，应用数字证书，生成电子签名之后，将电子签名及待签名数据电文发送至业务系统服务器，以供业务服务器根据数据证书对该电子签名及该待签名数据电文进行验证。

和/或，该发送模块51可以用于在处理模块42根据当前的时间信息、位置信息、签名信息及数字摘要，应用数字证书，生成电子签名之后，将电子签名及待签名数据电文发送至数据中心服务器，以供数据中心服务器根据数据证书对该电子签名及待签名数据电文进行验证和备案。

其中，上述电子签名的验证可以包括签名信息的验证、位置信息的验证以及当前的时间信息的验证。

综上所述，本实施例提供的电子签名装置，通过将电子签名及待签名数据电文发送给业务服务器(和/或数据中心服务器)，使得业务服务器(和/或数据中心服务器)对电子签名进行验证(验证和备案)，从而确保电子签名和待签名数据电文的准确性及完整性，进一步防止待签名数据电文及电子签名被伪造、篡改或冒充，提高电子签名的可靠性；另外，数据中心服务器对电子签名进行备案，还可以方便电子签名管理人员对电子签名的监测管理。

图6为本发明电子签名装置实施例三的结构示意图。如图6所示，该电子签名装置60包括：定位单元61、密码单元62、通信单元63、计算单元64、接口单元65和电源单元66。

其中，定位单元61为获取位置信息、时间信息等功能的电路组件。供电后自动工作，搜星、完成卫星定位，并将获得的位置信息和时间信息与计算单元64进行交互。具体地，定位单元61接收广播星历、观测数据；解算卫星空间坐标，确定位置、钟差的初始值，组成误差方程式；通过最小二乘法平差等算法解算初地理坐标、钟差的改正值；通过迭代计算完成地理坐标和当前时间的解算。当收到的可视卫星个数小于4时，定位单元61利用解算的卫星坐标、方位角、高度角和观测数据完成单星定位，确定地理坐标和当前时间。

密码单元62为密匙、电子商务认证授权机构(certificateauthority，简称：ca)认证、印章图像印迹等功能的电路组件。供电后自动工作，与计算单元64进行交互。

通信单元63为移动通信等功能的电路组件。供电后自动工作，与计算单元64进行交互，获取电子签名信息，通过移动网络，采用gprs、码分多址(codedivisionmultipleaccess，简称：cdma)、全球移动通信系统(globalsystemformobilecommunication，简称：gsm)等方式将待传输数据传送至指定的ip地址。通信单元63自动接收附近不同基站的位置、时间，测量附近不同基站的下行导频的到达时刻或到达时间差，组成误差方程式，解算出电子签名装置60的地理坐标和当前时间。

计算单元64用于协调电子签名装置60中各单元，为实现电子签名装置60计算功能的电路组件。供电后自动工作，嵌入式主线程软件调用密码单元62的密匙和印章图像印迹，通过接口单元65与计算机进行身份认证交互。当确认是合法用户后，调取定位单元61的位置信息和时间信息合成由密匙、印章图像印迹、位置信息和时间信息组成的认证戳，供系统服务器使用。同时，将电子签名信息推送至通信单元63。

接口单元65为负责与计算机连接，完成电子签名装置60与计算机的交互、与计算机电源的物理连接等功能的电路组件。

电源单元66，在连接到计算机电源后，通过直流/直流(directcurrent，简称：dc，dc/dc)转换，分别向电子签名装置60的其他单元提供多路标准电源的电路组件。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。