基于双重非对称加密技术的电子数据保管系统及方法与流程

本发明涉及信息安全技术领域，尤其涉及一种基于双重非对称加密技术的电子数据保管系统及方法。

背景技术：

随着计算机技术与计算机网络的迅猛发展，计算机网络的应用已渗透到各行各业，也给相关证明机构带来了机遇和新的挑战。通过互联网平台，已经改变了传统证明机构的手段、方法和程序，但是它在法律事实，法律行为上的证明权的性质并没有改变，是传统证明权在网络领域的延伸运动。而所证明的电子数据也不再局限于传统意义上的纸质数据，电子数据信息化延伸了传统数据内涵。在互联网科技时代，涉及网络名誉侵权、知识产权及网络抽奖、网络购物等相关纠纷日益增多，形成了海量的电子数据，因网络世界的虚拟性、电子数据内容可随意篡改等特性，这就对电子数据固定和保管的安全性提出了更高的要求。目前已有的对称加密技术电子数据保管方法，存在密钥容易泄露、电子数据容易篡改的问题，导致证据效力低下，无法得到司法的认可。

中国发明专利申请号CN103078841A公开了一种预防性电子数据保全的方法及系统。方法步骤如下：1）加密上传步骤：客户端数据加密为第一密文后上传到服务端，服务端将第一密文保存至用户库；服务端对用户库里的第一密文进行加密为第二密文后，保存至服务端的公证库；服务端对用户库里的第一密文生成第一校验码，保存至服务端的校验库；2）下载解密步骤：客户端下载公证库里的第二密文，解密后得到第三密文，并对第三密文生成第二校验码，如果第二校验码与校验库中的第一校验码匹配成功，表示第三密文与第一密文相同，则对第三密文进行解密，获得数据明文。

但上述技术方案在加密之前没有对原始数据的上传时间信息进行固定，无法校验原始数据上传时间的真实性；其次是使用密钥对数据进行对称加密，数据的保密性存在隐患；另外其解密流程是通过校验码匹配密文是否一致来判断数据是否被篡改，存在密文一致但原数据不一致的风险；最后解密的顺序是证明机构先于当事人对电子数据进行解密，这就存在电子数据被当事人篡改的风险。

中国发明专利申请号CN1567288A公开了一种文件多重加密同时封存/开封方法。该方法是对文件进行加密时，使用多方参与者的公钥采取非对称加密算法进行嵌套加密，实现将文件进行封存的功能。当该文件需要开封时，每个参与者都必须同时到场，并提供各自私钥进行依次解密。

但上述技术方案也没有对原始文件的时间信息进行固定，无法校验文件上传时间的真实性；该方案没有描述参与者在加密和解密过程中的先后顺序，没有具体阐述文件存放在哪一方的服务器。

中国发明专利申请号CN102609658A公开了一种电子证据固定装置、方法及系统。用户上传电子证据信息，系统对电子证据信息进行数据完整性保护，生成电子数据的数字摘要，同时对电子证据原文进行数据加密处理，将数字摘要和经过数据加密处理的电子证据存储。系统将数字摘要传送给远程的国家标准时间服务器，对数字摘要进行时间认证，生成时间认证证书并向用户推送。根据用户选择，对需要公开证明的电子证据信息进行公开证明操作。

但上述技术方案中证明机构没有参与电子证据的加密和解密流程，同时电子证据是存放在第三方服务器，无法保证电子证据在加密和解密的过程中被篡改，也无法确保证明机构在对其电子证据公开证明之后，电子证据是否被篡改。

中国发明专利申请号CN104580239A公开了语音证据服务系统。该发明是通过客户端记录用户的通话语音内容，将形成的录音文件存储在系统服务器，证明机构从系统服务器获取录音文件。通过校验码的比对来验证语音文件是否被篡改过，若客户端、系统服务端和法定证明机构服务端分别生成的校验码一致，则说明整个传输和存储过程中，语音文件未被修改。

但上述技术方案中证明机构是从第三方平台获取的录音文件，不能保证录音文件在第三方平台没有被篡改过，并且证明机构在对录音文件公开证明之后，不能保证公开证明后的录音文件没有被篡改。

技术实现要素：

本发明实施例提供了一种基于双重非对称加密技术的电子数据保管系统及方法，用以解决现有技术中证明机构无法保证从第三方平台获取的电子数据未被篡改及对电子数据公开证明之后，不能保证公开证明后的电子数据未被篡改的问题。

本发明实施例提供了一种基于双重非对称加密技术的电子数据保管系统，包括证明机构校验服务器、证明机构时间服务器和数据保管服务器；

所述证明机构校验服务器，用于接收当事人提交的电子数据，校验接收到的电子数据，实时从所述证明机构时间服务器请求获取时间戳，计算所述电子数据与所述时间戳的联合MD5值，对所述电子数据进行固定，并将固定后的电子数据及其所述时间戳实时传输至所述数据保管服务器；

所述证明机构时间服务器，用于与外部基准时钟进行同步，并为所述证明机构校验服务器提供时间戳服务，保证本系统时间的可靠性；

所述数据保管服务器中预先存储有CA认证系统为证明机构发放的用于数据加解密的第一密钥对和为当事人发放的用于身份认证的数字证书ukey、及用于数据加解密的第二密钥对；所述数据保管服务器，用于接收所述固定后的电子数据，并利用所述第一秘钥对中的证明机构公钥对所述固定后的电子数据进行第一重非对称加密，利用所述第二秘钥对中的当事人公钥对已经过证明机构公钥加密的所述固定后的电子数据进行双重非对称加密，以及向当事人出具原始电子数据保管凭证。

进一步地，所述数据保管服务器，还用于接收当事人出证申请，并利用所述第二秘钥对中的当事人私钥和第一秘钥对中的证明机构私钥依次分别对经过双重非对称加密的所述固定后的电子数据进行双重解密，得到固定后的电子数据并验证MD5值和时间戳，校验无误后提示当事人前往指定证明机构出具证明文书。

进一步地，所述证明机构校验服务器接收到的当事人提交的电子数据是在当事人使用所述数字证书ukey身份认证通过之后，由当事人使用SSL协议通过移动端或网页端所提交的。

进一步地，所述证明机构时间服务器通过NTP协议与外部基准时钟进行时间同步，时间精确到毫秒。

进一步地，本发明实施例还提供了一种基于双重非对称加密技术的电子数据保管方法，包括：

证明机构校验服务器接收当事人提交的电子数据，并校验接收到的电子数据；

实时从证明机构时间服务器请求获取时间戳，计算所述电子数据与所述时间戳的联合MD5值，对所述电子数据进行固定；

将固定后的电子数据及其所述时间戳实时传输至所述数据保管服务器。

进一步地，所述证明机构校验服务器接收到的当事人提交的电子数据是在当事人使用所述数字证书ukey身份认证通过之后，由当事人使用SSL协议通过移动端或网页端所提交的。

进一步地，本发明实施例还提供了一种基于双重非对称加密技术的电子数据保管方法，包括：

证明机构时间服务器与外部基准时钟进行同步，并为证明机构校验服务器提供时间戳服务，保证本系统时间的可靠性。

进一步地，所述证明机构时间服务器通过NTP协议与外部基准时钟进行时间同步，时间精确到毫秒。

进一步地，本发明实施例还提供了一种基于双重非对称加密技术的电子数据保管方法，包括：

数据保管服务器中预先存储有CA认证系统为证明机构发放的用于数据加解密的第一密钥对和为当事人发放的用于身份认证的数字证书ukey、及用于数据加解密的第二密钥对；

数据保管服务器接收经证明机构校验服务器固定后的电子数据，并利用所述第一秘钥对中的证明机构公钥对所述固定后的电子数据进行第一重非对称加密，利用所述第二秘钥对中的当事人公钥对已经过证明机构公钥加密的所述固定后的电子数据进行双重非对称加密，以及向当事人出具原始电子数据保管凭证。

进一步地，所述方法还包括：

数据保管服务器接收当事人出证申请，并利用所述第二秘钥对中的当事人私钥和第一秘钥对中的证明机构私钥依次分别对经过双重非对称加密的所述固定后的电子数据进行双重解密，得到固定后的电子数据并验证MD5值和时间戳，校验无误后提示当事人前往指定证明机构出具证明文书。

本发明有益效果如下：

本发明实施例提供了一种基于双重非对称加密技术的电子数据保管系统及方法，在该系统中，当事人提交的电子数据皆存储在证明机构服务器，证明机构全程参与电子数据的加密和解密流程，保证了数据在存储的过程中未被篡改；当事人提交的电子数据通过校验MD5值和时间戳固定，保证了原始数据的完整性和不可篡改性；使用双重非对称密钥加密技术，当事人申请出证时，必须要当事人和证明机构依次使用私钥对加密的原始数据进行双重解密，得到原始数据并校验MD5值和时间戳，保证了数据的不可篡改性、不可抵赖性、完整性和保密性，保障了证明机构和当事人的权益。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1所示为本发明实施例一所述的基于双重非对称加密技术的电子数据保管系统的结构示意图；

图2所示为发明实施例一所述的基于双重非对称加密技术的电子数据保管系统的应用流程示意图；

图3所示为发明实施例一中CA认证系统发放数字证书及秘钥对的流程图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

实施例一：

本发明实施例一提供了一种基于双重非对称加密技术的电子数据保管系统，如图1所示，其为本发明实施例一所述的基于双重非对称加密技术的电子数据保管系统的结构示意图，包括证明机构校验服务器11、证明机构时间服务器12和数据保管服务器13；

所述证明机构校验服务器11，可用于接收当事人提交的电子数据，并校验接收到的电子数据，实时从所述证明机构时间服务器12请求获取时间戳，计算所述电子数据与所述时间戳的联合MD5值，对所述电子数据进行固定，以确保当事人提交的电子数据没有被篡改，并将固定后的电子数据及其所述时间戳实时传输至所述数据保管服务器13；

所述证明机构时间服务器12，可用于与外部基准时钟进行同步，并为所述证明机构校验服务器11提供时间戳服务，保证本系统时间的可靠性；

所述数据保管服务器13中预先存储有CA认证系统为证明机构发放的用于数据加解密的第一密钥对和为当事人发放的用于身份认证的数字证书ukey、及用于数据加解密的第二密钥对；所述数据保管服务器13，可用于接收所述固定后的电子数据，并利用所述第一秘钥对中的证明机构公钥对所述固定后的电子数据进行第一重非对称加密，利用所述第二秘钥对中的当事人公钥对已经过证明机构公钥加密的所述固定后的电子数据进行双重非对称加密，以及向当事人出具原始电子数据保管凭证。

需要说明的是，CA认证系统为当事人发放的用于身份认证的数字证书ukey、用于数据加解密的第一密钥对和为证明机构发放的用于数据加解密的第二密钥对，是由CA认证系统中的KMC中心提供的，并提供对这些密钥对的备份、归档、恢复、更新等相关服务，以保证能满足认证中心和司法取证的需要，本发明实施例对此不作赘述。

进一步地，所述数据保管服务器13，还可用于接收当事人出证申请，并利用所述第二秘钥对中的当事人私钥和第一秘钥对中的证明机构私钥依次分别对经过双重非对称加密的所述固定后的电子数据进行双重解密，得到固定后的电子数据并验证MD5值和时间戳，校验无误后提示当事人前往指定证明机构出具证明文书。

进一步地，所述证明机构校验服务器接收到的当事人提交的电子数据是在当事人使用所述数字证书ukey身份认证通过之后，由当事人使用SSL协议通过移动端或网页端所提交的。

具体地，当事人登录证明机构系统，使用ukey身份认证通过之后，使用SSL协议通过移动端或网页端提交电子数据到证明机构服务器。

进一步地，所述证明机构时间服务器通过NTP协议与外部基准时钟进行时间同步，时间精确到毫秒。

下面详细说明一下本发明所述基于双重非对称加密技术的电子数据保管系统的应用流程，如图2所示，具体流程如下：

需要说明的是，在执行本发明所述电子数据保管系统的具体应用流程之前，所述数据保管服务器中预先存储有CA认证系统为证明机构发放的用于数据加解密的第一密钥对和为当事人发放的用于身份认证的数字证书ukey、及用于数据加解密的第二密钥对，其中，第一秘钥对中的当事人公钥和第二秘钥对中的证明机构公钥存储在数据保管服务器中；

步骤201：当事人使用ukey身份认证通过之后，使用SSL协议通过移动端或者网页端提交电子数据到证明机构校验服务器；

步骤202：证明机构校验服务器校验接收到的电子数据，实时从所述证明机构时间服务器请求获取时间戳，计算所述电子数据与所述时间戳的联合MD5值，对所述电子数据进行固定，并将固定后的电子数据及其所述时间戳实时传输至所述数据保管服务器；

其中所述时间戳，是所述证明机构时间服务器与与外部基准时钟进行同步，并为所述证明机构校验服务器提供时间戳服务，保证本系统时间的可靠性；

步骤203：数据保管服务器接收所述固定后的电子数据，并利用所述第一秘钥对中的证明机构公钥对所述固定后的电子数据进行第一重非对称加密；

步骤204：数据保管服务器利用所述第二秘钥对中的当事人公钥对已经过证明机构公钥加密的所述固定后的电子数据进行双重非对称加密，以及向当事人出具原始电子数据保管凭证；

步骤205：当事人若想查看自己提交的电子数据，可以使用私钥解密获得复制的电子数据；

步骤206：当事人申请出证时，数据保管服务器接收当事人出证申请，并利用所述第二秘钥对中的当事人私钥和第一秘钥对中的证明机构私钥依次分别对经过双重非对称加密的所述固定后的电子数据进行双重解密，得到固定后的电子数据并验证MD5值和时间戳，校验无误后提示当事人前往指定证明机构出具证明文书。

进一步地，如图3所示，为CA认证系统发放数字证书及秘钥对的流程图，所有发放数字证书及密钥对的步骤如下：

步骤301：当事人在证明机构的系统进行实名注册；

步骤302：注册成功之后，当事人选择证明机构为其办理业务；

步骤303：业务人员对当事人的信息进行审核，若审核不通过，则流程结束；

步骤304：业务人员对当事人的信息审核通过，CA认证系统为当事人发放的用于身份认证的数字证书ukey、用于数据加解密的第二密钥对和为证明机构发放的用于数据加解密的第一密钥对，其中，第二秘钥对中的当事人公钥和第一秘钥对中的证明机构公钥存放在数据保管服务器端。

当事人申请出证时，数据保管服务器接收当事人出证申请，并利用所述第二秘钥对中的当事人私钥和第一秘钥对中的证明机构私钥依次分别对经过双重非对称加密的所述固定后的电子数据进行双重解密，

本发明实施例一提供了一种基于双重非对称加密技术的电子数据保管系统，在该系统中，当事人提交的电子数据皆存储在证明机构服务器，证明机构全程参与电子数据的加密和解密流程，保证了数据在存储的过程中未被篡改；当事人提交的电子数据通过校验MD5值和时间戳固定，保证了原始数据的完整性和不可篡改性；使用双重非对称密钥加密技术，当事人申请出证时，必须要当事人和证明机构依次使用私钥对加密的原始数据进行双重解密，得到原始数据并校验MD5值和时间戳，保证了数据的不可篡改性、不可抵赖性、完整性和保密性，保障了证明机构和当事人的权益。

实施例二

基于与本发明实施例一相同的发明构思，本发明实施例二提供了一种基于双重非对称加密技术的电子数据保管方法，所述方法适用于上述实施例一中所述基于双重非对称加密技术的电子数据保管系统，该方法的具体实施可参见上述系统实施例一中的相关描述，重复之处不再赘述，该方法主要可包括：

步骤A1：证明机构校验服务器接收当事人提交的电子数据，并校验接收到的电子数据；

步骤A2：实时从证明机构时间服务器请求获取时间戳，计算所述电子数据与所述时间戳的联合MD5值，对所述电子数据进行固定；

步骤A3：将固定后的电子数据及其所述时间戳实时传输至所述数据保管服务器。

进一步地，所述证明机构校验服务器接收到的当事人提交的电子数据是在当事人使用所述数字证书ukey身份认证通过之后，由当事人使用SSL协议通过移动端或网页端所提交的。

本发明实施例二提供了一种基于双重非对称加密技术的电子数据保管方法，在该方法中，当事人提交的电子数据皆存储在证明机构服务器，证明机构全程参与电子数据的加密和解密流程，保证了数据在存储的过程中未被篡改；当事人提交的电子数据通过校验MD5值和时间戳固定，保证了原始数据的完整性和不可篡改性；使用双重非对称密钥加密技术，当事人申请出证时，必须要当事人和证明机构依次使用私钥对加密的原始数据进行双重解密，得到原始数据并校验MD5值和时间戳，保证了数据的不可篡改性、不可抵赖性、完整性和保密性，保障了证明机构和当事人的权益。

实施例三

基于与本发明实施例一相同的发明构思，本发明实施例三提供了一种基于双重非对称加密技术的电子数据保管方法，所述方法适用于上述实施例一中所述基于双重非对称加密技术的电子数据保管系统，该方法的具体实施可参见上述系统实施例一中的相关描述，重复之处不再赘述，该方法主要可包括：

证明机构时间服务器与外部基准时钟进行同步，并为证明机构校验服务器提供时间戳服务，保证本系统时间的可靠性。

进一步地，所述证明机构时间服务器通过NTP协议与外部基准时钟进行时间同步，时间精确到毫秒。

本发明实施例三提供了一种基于双重非对称加密技术的电子数据保管方法，在该方法中，当事人提交的电子数据皆存储在证明机构服务器，证明机构全程参与电子数据的加密和解密流程，保证了数据在存储的过程中未被篡改；当事人提交的电子数据通过校验MD5值和时间戳固定，保证了原始数据的完整性和不可篡改性；使用双重非对称密钥加密技术，当事人申请出证时，必须要当事人和证明机构依次使用私钥对加密的原始数据进行双重解密，得到原始数据并校验MD5值和时间戳，保证了数据的不可篡改性、不可抵赖性、完整性和保密性，保障了证明机构和当事人的权益。

实施例四

基于与本发明实施例一相同的发明构思，本发明实施例四提供了一种基于双重非对称加密技术的电子数据保管方法，所述方法适用于上述实施例一中所述基于双重非对称加密技术的电子数据保管系统，该方法的具体实施可参见上述系统实施例一中的相关描述，重复之处不再赘述，该方法主要可包括：

数据保管服务器中预先存储有CA认证系统为证明机构发放的用于数据加解密的第一密钥对和为当事人发放的用于身份认证的数字证书ukey、及用于数据加解密的第二密钥对；

数据保管服务器接收经证明机构校验服务器固定后的电子数据，并利用所述第一秘钥对中的证明机构公钥对所述固定后的电子数据进行第一重非对称加密，利用所述第二秘钥对中的当事人公钥对已经过证明机构公钥加密的所述固定后的电子数据进行双重非对称加密，以及向当事人出具原始电子数据保管凭证。

进一步地，所述方法还可包括：

数据保管服务器接收当事人出证申请，并利用所述第二秘钥对中的当事人私钥和第一秘钥对中的证明机构私钥依次分别对经过双重非对称加密的所述固定后的电子数据进行双重解密，得到固定后的电子数据并验证MD5值和时间戳，校验无误后提示当事人前往指定证明机构出具证明文书。

本发明实施例四提供了一种基于双重非对称加密技术的电子数据保管方法，在该方法中，当事人提交的电子数据皆存储在证明机构服务器，证明机构全程参与电子数据的加密和解密流程，保证了数据在存储的过程中未被篡改；当事人提交的电子数据通过校验MD5值和时间戳固定，保证了原始数据的完整性和不可篡改性；使用双重非对称密钥加密技术，当事人申请出证时，必须要当事人和证明机构依次使用私钥对加密的原始数据进行双重解密，得到原始数据并校验MD5值和时间戳，保证了数据的不可篡改性、不可抵赖性、完整性和保密性，保障了证明机构和当事人的权益。

本领域技术人员应明白，本发明的实施例可提供为方法、装置（设备）、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置（设备）和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。