專利名稱:電子圖章與用戶可信綁定方法、由該方法獲得的電子圖章及該圖章的使用方法
技術領域:
本發(fā)明涉及屬于信息安全技術領域�,尤其涉及電子政務、電子商務等領域中的電子印章系統(tǒng)�����,特別涉及一種基于一個可信第三方建立的圖章中心將電子圖章與用戶可信進行綁定的方法�����,以及由該方法獲得的電子圖章和該圖章的使用方法��。
背景技術:
在中國傳統(tǒng)歷史的演進中�,為了表示身份和建立交易秩序��,創(chuàng)造了獨特的“蓋章”制度���,無論是個人的私人印章還是政府機關的圖章��,都可以具有與“簽名”相同的效力�����,印章也成為人們日常喜聞樂見的一種方式��。
隨著信息化的發(fā)展��,電子印章也應運而生���,應用于辦公自動化�����、網上簽訂合同��、網上報稅���、網上企業(yè)年檢、電子發(fā)票�����、電子結算等網絡應用�����,但普通的電子印章只是現實印章的一種電子化圖像表現形式��,通常使用數字水印等隱藏技術將圖像及數字指紋加入到電子文檔中來模擬蓋章,無法安全實現蓋章文檔的不可篡改性和蓋章的不可抵賴性����。
數字簽名技術解決了數字世界中數據的的不可篡改性和操作的不可抵賴性,我國電子簽名法2005年4月1日正式實施也保證了數字簽名的合法性�����,因此電子印章與數字簽名技術的結合是電子印章發(fā)揮其“印章”應有價值的根本途徑��。
中國發(fā)明專利《基于公開密鑰算法的數字印章系統(tǒng)》(申請?zhí)?2125320公開號CN 1389786A)公開了一種采用通用公開密鑰密碼體制及算法生成一對私有密鑰和公開密鑰��,在獨立計算機上根據數字指紋和私有密鑰生成數字印章�����,并印刷數字印章到防偽對象的技術��。該系統(tǒng)僅是一個數字簽名的應用����,將用戶私鑰對文檔的簽名作為一個數字印章���,采用字符或者條形碼存放�����,不具備常用印章的形狀�����,缺乏使用習慣����,不能稱為電子印章。
中國發(fā)明專利《數字印章系統(tǒng)》(申請?zhí)?00310109857.9公開號CN1635533A)公開了一種采用二值圖像數字水印算法和數字簽名相結合的數字印章系統(tǒng)����,將文檔的數字簽名信息通過特定的二值圖像水印技術嵌入普通印章圖像,將數字簽名的合法性與傳統(tǒng)印章的合法性結合起來���。該系統(tǒng)每次將數字簽名嵌入普通印章圖像實現電子印章����,但是數字簽名和印章圖像之間沒有一個可信的聯(lián)系同一個數字簽名可以嵌入不同的印章圖像中����;不同用戶的數字簽名可以嵌入同一個印章圖像中,但驗證都是有效的���,這種可以私自制作印章的系統(tǒng)事實上造成了電子印章的偽造(數字簽名不可偽造�,簽名與圖像的結合可以偽造)。
發(fā)明內容
本發(fā)明目的的一個方面是提供一種基于一個可信第三方建立的圖章中心將電子圖章與用戶可信進行綁定的方法���,使制作圖章的過程真正公正��、公開�,光明正大起來�。
本發(fā)明目的的另一個方面是提供利用該綁定方法制作的電子圖章。
本發(fā)明目的的再另一個方面是提供這種圖章的使用方法��。
本發(fā)明的目的可以通過以下技術方案來實現一種基于一個可信第三方建立的圖章中心將電子圖章與用戶可信進行綁定的方法��,該方法是首先利用PKI信任體系��,建立一個權威的第三方印章中心�����,用戶對選取的印章圖像進行簽名��,將印章圖像數據����、用戶身份證明一同作為印章申請請求發(fā)送到印章中心;印章中心在收到客戶申請后���,首先對用戶發(fā)過來的請求數據進行驗證����,驗證成功后�,將產生包含印章ID、內容描述�����、有效期的自身描述數據����,印章中心使用其私鑰對用戶發(fā)過來的印章圖像數據、用戶身份證明數據以及自身產生的印章描述數據進行簽名����,然后將以上簽名的數據進行組合形成完整的電子印章,最后印章中心將簽發(fā)好的電子印章返回給用戶�����,同時中心保存印章對象�。
印章中心在收到客戶申請后��,可以進行以下認證a��、通過所述印章中心建立的認證中心認證用戶身份證明的有效性����;b���、使用驗證過的用戶身份證明驗證用戶的簽名�����,確保請求是此用戶發(fā)出����;c�、驗證印章圖像是否與用戶身份證明信息匹配;d����、檢查是否已經申請過類似印章。
上述方法中用戶可使用簽名私鑰對印章圖象進行簽名���。
上述方法中使用的用戶身份證明可以是用戶證書或公鑰���。
一種依上述方法獲得的電子圖章,其圖章中至少包含有以下信息電子印章圖形數據�����、用戶證書或公鑰���、印章說明����、印章簽發(fā)日期�、印章有效期以及印章中心對以上數據的簽名數據。
上述電子印章的使用方法包括a�、簽章客戶端使用與印章對象中用戶證書或公鑰對應的用戶私鑰對需要蓋章的文檔數據進行簽名,簽名信息與數據描述信息合成簽章信息����;b、簽章客戶端將簽章信息�����、印章對象一起嵌入到原始文檔的指定位置,形成蓋章文檔�。
上述電子印章的使用方法還包括印章廢除。
所述印章廢除包括如下步驟請求人向印章中心提供印章對象和廢除請求����,然后將數據發(fā)送到印章中心進行廢除申請,印章中心在驗證該請求合格后�����,將該印章作廢除處理��;印章中心定期將被廢除的印章對象制作成黑名單進行公開發(fā)布��,供第三方驗證印章使用����。
所述請求人可以是用戶或具有管理權限的執(zhí)法部門。
上述電子印章的使用方法還包括印章驗證����。
所述印章驗證包括如下步驟首先驗章系統(tǒng)從蓋章文檔的指定位置獲取印章對象和簽章信息,然后進行如下驗證工作a�、使用印章對象中的證書驗證簽章信息中的簽名,檢驗此文檔是否為該印章所簽發(fā)��;b、驗證印章是否為權威的印章中心簽發(fā)�,即使用印章中心的證書驗證印章中心的簽名,驗證通過即印章對象是合法的�,是印章中心簽發(fā)的;
b����、驗證印章簽章時刻的有效性��,即驗證印章的有效期��,驗證印章是否在黑名單之內�;c、顯示印章對象中的圖像數據和印章中心的描述數據�,供用戶檢驗是否與文檔所顯示的一致。
上述方法中驗證簽章時刻的有效性可以借助在蓋章文檔中加入時間戳來實現���。
本發(fā)明利用PKI信任體系���,采用權威的第三方印章中心,根據用戶證書和印章圖像使用數字簽名技術為用戶制作唯一的電子印章���,實現用戶證書與印章圖像的可信綁定����,利用印章中心的權威性保證印章對象自身的唯一性、合法性和可驗證性��。在本發(fā)明實施過程中���,印章中心為一個權威的�、用戶認可的印章制作管理中心��,負責接收印章申請����、完成印章的簽發(fā)、印章黑名單管理����、審計等功能。
本發(fā)明的主要特點和作用是1�����、印章與PKI體系的完美結合�����,即利用了數字簽名保證了數據的完整性和不可抵賴性,又體現了圖像印章的獨特功效���。
2���、解決了印章圖像的信任源問題,使用可信的第三方確保了印章圖像與用戶證書的關聯(lián)關系����,實現了真正意義上的不可偽造的電子印章。
3��、實現了一種公開的��、可信的印章對象制作和驗證技術��,避免了使用隱藏技術等特有技術來保證印章對象有效的手段�����,從而避免了由于印章系統(tǒng)開發(fā)者泄密或者開發(fā)者自身對整個印章體系造成的威脅�����,使印章真正公正���、公開���,光明正大起來。
4��、實現了印章制作和印章驗證的有效分離���,猶如人民幣印制和驗鈔機制作的分離����,改變了誰制章只能誰驗證的局面�����,使印章系統(tǒng)更加可信����,使電子印章系統(tǒng)的標準化成為可能。
圖1為本發(fā)明實施例中幾種可以作為印章的圖像�����,具體規(guī)格可以由印章中心統(tǒng)一規(guī)定����。
圖2為本發(fā)明用戶申請電子印章的流程圖���;圖3為本發(fā)明電子印章與現有的電子印章的比較圖;圖4為本發(fā)明包含完整印章對象的蓋章文檔�����。
具體實施例方式
下面結合附圖和具體實施方式
來對本發(fā)明作進一步的描述�。
在實施本發(fā)明方法的過程中,首先由可信第三方利用PKI信任體系建立一個圖章中心����,實現電子圖章與用戶可信進行綁定,該可信的第三方可以是國家的權威部門�����,也可以是一個具有公信力的中介機構�。
參見圖1���,圖中所示的是可以作為印章的圖像��,但不限于此�。具體規(guī)格可以由上述印章中心進行統(tǒng)一規(guī)定。
參見圖2����,用戶使用簽名私鑰對選取的印章圖像進行簽名,將印章圖像數據�、用戶證書與圖像的私鑰簽名兩者的組合構成的用戶身份證明一同作為印章申請請求通過網絡發(fā)送到上述印章中心;上述印章中心在收到客戶申請后����,首先對用戶發(fā)過來的請求數據進行如下驗證a、通過上述印章中心已建立的認證中心認證用戶證書或公鑰構成的用戶身份證明的有效性��;若有效�,則進行下一步的驗證b、使用驗證過的用戶證書或公鑰驗證用戶對圖像的簽名����,確保請求是此用戶發(fā)出;若該請求為用戶發(fā)出��,則繼續(xù)進行下一步的驗證c����、驗證用戶發(fā)過來的印章圖像是否與用戶身份證明信息匹配;若匹配�,則進行下一步的驗證��;d�����、檢查是否已經申請過類似印章���。
上述驗證成功后,印章中心的計算機系統(tǒng)將產生包含印章ID��、內容描述�、有效期的自身描述數據,印章中心使用其私鑰對用戶發(fā)過來的印章圖像數據�����、用戶證書或公鑰構成的用戶身份證明數據以及自身產生的印章描述數據進行簽名�,然后將以上簽名的數據進行組合形成完整的電子印章,最后印章中心將簽發(fā)好的電子印章返回給用戶�����,同時中心保存印章對象����。
參見圖3,依上述方法獲得的電子圖章�����,其圖章中包含有以下信息電子印章圖形數據���、用戶證書或公鑰����、印章說明�����、印章簽發(fā)日期�����、印章有效期以及印章中心對以上數據的簽名數據�����。
參見圖4����,上述電子印章在使用時����,首先簽章客戶端使用與印章對象中用戶證書或公鑰對應的用戶私鑰對需要蓋章的文檔數據進行簽名�,簽名信息與數據描述信息合成簽章信息。最后簽章客戶端將簽章信息����、印章對象一起嵌入到原始文檔的指定位置,形成如圖3所示的蓋章文檔�����。
由于用戶變更���、倒閉等其它原因���,需要對用戶原有的電子印章進行廢除。印章廢除時�����,請求人如用戶或具有管理權限的執(zhí)法部門向印章中心提供印章對象和廢除請求�,然后將數據通過網絡發(fā)送到印章中心進行廢除申請,印章中心在驗證該請求合格后�����,將該印章作廢除處理��;印章中心定期將被廢除的印章對象制作成黑名單進行公開發(fā)布��,供第三方驗證印章使用��。
用戶發(fā)給其客戶的蓋章文檔后��,其客戶可以對蓋章文檔上的印章進行驗證�。
驗證時,驗章系統(tǒng)從蓋章文檔的指定位置獲取印章對象和簽章信息�����,然后進行如下驗證工作a��、使用印章對象中的證書驗證簽章信息中的簽名����,檢驗此文檔是否為該印章所簽發(fā);若是���,則進行下一步的驗證b����、驗證印章是否為權威的印章中心簽發(fā),即使用印章中心的證書驗證印章中心的簽名��,驗證通過即印章對象是合法的���,是印章中心簽發(fā)的�;若使用的電子印章為印章中心簽發(fā)����,則進行下一步的驗證b、驗證印章簽章時刻的有效性�,即驗證印章的有效期,驗證印章是否在黑名單之內���;若該電子印章有效�,則繼續(xù)進行下一步的驗證c���、顯示印章對象中的圖像數據和印章中心的描述數據���,供用戶檢驗是否與文檔所顯示的一致�����。
當然,對于本領域的一般技術人員���,不花費創(chuàng)造性的勞動�,在上述實施例的基礎上能夠作多種變化��,同樣能夠實現本發(fā)明的目的���。因此����,上述各種變化顯然應該在本發(fā)明的權利要求書的保護范圍內���。
權利要求
1.一種基于一個可信第三方建立的圖章中心將電子圖章與用戶可信進行綁定的方法����,其特征在于該方法是首先利用PKI信任體系�,建立一個權威的第三方印章中心,用戶對選取的印章圖像進行簽名��,將印章圖像數據、用戶身份證明一同作為印章申請請求發(fā)送到印章中心��;印章中心在收到客戶申請后����,首先對用戶發(fā)過來的請求數據進行驗證,驗證成功后����,將產生包含印章ID、內容描述����、有效期的自身描述數據,印章中心使用其私鑰對用戶發(fā)過來的印章圖像數據�����、用戶身份證明數據以及自身產生的印章描述數據進行簽名�,然后將以上簽名的數據進行組合形成完整的電子印章,最后印章中心將簽發(fā)好的電子印章返回給用戶��,同時中心保存印章對象��。
2.如權利要求1所述的綁定方法�,其特征在于所述印章中心在收到客戶申請后���,進行以下認證a、通過所述印章中心建立的認證中心認證用戶身份證明的有效性����;b、使用驗證過的用戶身份證明驗證用戶的簽名�,確保請求是此用戶發(fā)出���;c��、驗證印章圖像是否與用戶身份證明信息匹配��;d����、檢查是否已經申請過類似印章��。
3.如權利要求1所述的綁定方法���,其特征在于用戶可使用簽名私鑰對印章圖象進行簽名����。
4.如權利要求1至3任一項權利要求所述的綁定方法,其特征在于所述方法中使用的用戶身份證明可以是用戶證書或公鑰���。
5.一種依權利要求1所述的綁定方法獲得的電子圖章��,其特征在于其圖象中至少包含有以下信息電子印章圖形數據�����、用戶證書��、印章說明�、印章簽發(fā)日期��、印章有效期����、印章中心對以上數據的簽名數據。
6.一種如權利要求5所述的電子圖章的使用方法�����,其特征在于該方法包括如下步驟a���、簽章客戶端使用與印章對象中用戶證書對應的用戶私鑰對需要蓋章的文檔數據進行簽名����,簽名信息與數據描述信息合成簽章信息;b�����、簽章客戶端將簽章信息���、印章對象一起嵌入到原始文檔的指定位置����,形成蓋章文檔���。
7.如權利要求6所述的使用方法,其特征在于其使用方法還包括印章廢除���。
8.如權利要求7所述的使用方法����,其特征在于所述印章廢除包括如下步驟請求人向印章中心提供印章對象和廢除請求�����,然后將數據發(fā)送到印章中心進行廢除申請,印章中心在驗證該請求合格后�,將該印章作廢除處理;印章中心定期將被廢除的印章對象制作成黑名單進行公開發(fā)布�,供第三方驗證印章使用。
9.如權利要求7所述的使用方法�,其特征在于所述請求人可以是用戶或具有管理權限的執(zhí)法部門。
10.如權利要求6所述的使用方法��,其特征在于其使用方法還包括印章驗證����。
11.如權利要求10所述的使用方法,其特征在于所述印章驗證包括如下步驟首先驗章系統(tǒng)從蓋章文檔的指定位置獲取印章對象和簽章信息�����,然后進行如下驗證工作a����、使用印章對象中的證書或公鑰驗證簽章信息中的簽名,檢驗此文檔是否為該印章所簽發(fā)�����;b、驗證印章是否為權威的印章中心簽發(fā)���,即使用印章中心的證書驗證印章中心的簽名���,驗證通過即印章對象是合法的,是印章中心簽發(fā)的��;b���、驗證印章簽章時刻的有效性�����,即驗證印章的有效期���,驗證印章是否在黑名單之內�;驗證簽章時刻的有效性可以借助在蓋章文檔中加入時間戳來實現;c����、顯示印章對象中的圖像數據和印章中心的描述數據,供用戶檢驗是否與文檔所顯示的一致�����。
全文摘要
本發(fā)明公開了一種電子圖章與用戶可信進行綁定的方法,其首先利用PKI信任體系����,建立一個權威的第三方印章中心,用戶對選取的印章圖像進行簽名����,將印章圖像數據、用戶身份證明一同作為印章申請請求發(fā)送到印章中心��;印章中心在收到客戶申請后���,首先對用戶發(fā)過來的請求數據進行驗證���,驗證成功后,將產生包含印章ID�����、內容描述�、有效期的自身描述數據,印章中心使用其私鑰對用戶發(fā)過來的印章圖像數據���、用戶身份證明數據以及自身產生的印章描述數據進行簽名�,然后將以上簽名的數據進行組合形成完整的電子印章,最后印章中心將簽發(fā)好的電子印章返回給用戶�,同時中心保存印章對象。本發(fā)明還公開了依上述方法獲得的電子印章以及該印章的使用方法����。
文檔編號H04L9/12GK1767434SQ20051011057
公開日2006年5月3日 申請日期2005年11月21日 優(yōu)先權日2005年11月21日
發(fā)明者韓洪慧 申請人:上海格爾軟件股份有限公司