一種基于簽名內容的手寫電子簽名數據保護方法
【專利摘要】本發(fā)明公開了一種基于簽名內容的手寫電子簽名數據保護方法。該方法使用簽名內容的散列值、隨機數、CA中心預先產生的數字證書對手寫電子簽名數據進行加密處理,實現了手寫電子簽名數據與簽名內容的一一綁定;同時,手寫電子簽名加密數據只能由CA中心進行解密,以此實現手寫電子簽名數據的隱私保護。
【專利說明】—種基于簽名內容的手寫電子簽名數據保護方法
【技術領域】
[0001]本發(fā)明涉及一種使用簽名內容來保護手寫電子簽名數據的方法。該方法對手寫電子簽名數據進行加密處理,使處理后的數據包與簽名內容綁定并只能由CA中心進行解密,以實現手寫電子簽名的保護。本發(fā)明屬于信息安全領域。
【背景技術】
[0002]隨著電子技術的發(fā)展,可通過電子設備系統(tǒng)使手寫簽名信息化。該電子設備系統(tǒng)可稱之為手寫電子簽名系統(tǒng),它除了包括手寫電子簽名的信息采集、手寫電子簽名的軌跡展示、手寫電子簽名數據的安全輸出等功能模塊外,還包括手寫電子簽名對象的內容讀取、展示、編輯、傳輸、安全等其它功能模塊。
[0003]與在紙質文檔的簽名類似,用戶在手寫電子簽名系統(tǒng)上對簽名內容進行簽名,手寫電子簽名系統(tǒng)能實時獲取一系列離散的時序數據。這些時序數據稱為手寫電子簽名數據,包含有手寫電子簽名軌跡,以及簽名用戶的個人行為特征信息(如電子設備采樣獲取到的壓力值和采樣點的時間序列等)。這些具有唯一特性的個人敏感信息,且為簽名用戶個人所獨有。
[0004]手寫電子簽名數據一般可描述為{(x,y,t,s,p,α, β)}(見圖1),其中,(x,y,t,s,p, α, β)表示手寫電子簽名的某一個離散采樣點,它具有如下的物理意義:
[0005]1)χ-采樣點在采樣設備中的X軸方向上的相對位置。
[0006]2) y-采樣點在采樣設備中的Y軸方向上的相對位置。
[0007]3) t-采樣該點的時間。
[0008]4)P-設備采樣該點時所感知筆尖的壓力值。
[0009]5) S-當前簽名時筆尖的狀態(tài)(O表示抬筆,I表示落筆)。
[0010]6) α -筆尖繞簽名板垂直的Z軸方向的順時針旋轉角度。
[0011]7) β-簽名筆與簽名板垂直的Z軸正方向的角度。
[0012]其中:手寫電子簽名的離散采樣點必須包含有X與y數據,但如t,S,ρ,α,β等其它數據特征則是可選的。
[0013]由于手寫電子簽名系統(tǒng)每次采集到的手寫電子簽名數據具有唯一性,因而使用手寫電子簽名來標定用戶針對簽名內容所進行的簽名事件,從而為一對一地綁定手寫電子簽名與簽名內容提供了技術可行性。
[0014]另一方面,基于公鑰基礎設施(PKI)框架體系下的公鑰密碼技術在網絡通信中廣泛地應用于數據保密、身份認證、數據完整性保護和抗抵賴。如廣泛地應用于電子內容保護的方法:證書用戶A生成公/私鑰密鑰對,將公鑰通過證書方式發(fā)布,其他用戶或系統(tǒng)傳遞給A的信息時,使用證書中A的公鑰加密信息,用戶A使用私鑰解密。使用公鑰密碼技術,可以為手寫電子簽名數據的隱私安全提供了技術保障。
[0015]本發(fā)明結合手寫電子簽名與公鑰密碼技術兩方面【背景技術】,既可實現簽名內容與所對應的手寫電子簽名的綁定,又能實現手寫電子簽名的安全。
【發(fā)明內容】
[0016](一)要解決的問題
[0017]本發(fā)明的目的是提供一種基于簽名內容的手寫電子簽名數據保護方法。本方法主要解決了以下問題:
[0018]I)實現了簽名內容與手寫電子簽名數據的一對一的綁定,防止手寫電子簽名被盜用。
[0019]2)實現了對手寫電子簽名數據的加密安全保護,防止手寫電子簽名的生物特征等敏感隱私數據被非授權獲取或泄露。
[0020]( 二 )技術方案
[0021]為實現使用簽名內容來對手寫電子簽名進行安全保護的目的,采用如下具體實現方案。
[0022]圖2描述了基于簽名內容的手寫電子簽名數據保護方法的整體過程,從對手寫電子簽名的加密到解密等一系列過程。
[0023]在圖2中,CA中心(模塊[207])生成基于非對稱算法的公鑰/私鑰對,將公鑰Kp嵌入到數字證書中,預先發(fā)放給手寫簽名系統(tǒng)(模塊[203]) ,CA保存私鑰(模塊[208])。用戶(模塊[201])使用手寫電子簽名系統(tǒng)對簽名內容D(模塊[204])進行手寫電子簽名。數字證書的公鑰Kp (模塊[202])與簽名內容的散列值H(模塊[205])作為系統(tǒng)輸入,手寫電子簽名系統(tǒng)對用戶的手寫電子簽名數據進行加密處理,最后生成數據對象E (模塊[206])。CA中心獲取手寫電子簽名加密處理后的數據對象E和私鑰Ks (模塊[208]),授權進行解密,在模塊[209]中還原出手寫電子簽名數據S。
[0024]圖3詳細的描述了利用簽名內容對手寫電子簽名的加密保護過程。這個過程是通過手與電子簽名系統(tǒng)來完成。
[0025]在圖3中,手寫電子簽名系統(tǒng)在模塊[301]中獲取并展示手寫電子簽名內容D,在模塊[307]中采集用戶對簽名內容D進行的手寫電子簽名,得到手寫電子簽名數據S,并在模塊[302]中計算出簽名內容D的散列值H。然后,手寫電子簽名系統(tǒng)在模塊[303]中獲取CA中心事先發(fā)放的數字證書的公鑰Kp及在模塊[304]中生成隨機數R,并在模塊[305]中使用數字證書的公鑰Kp對R進行非對稱加密,生成隨機數密鑰e。接著,手寫電子簽名系統(tǒng)在模塊[306]中使用簽名內容的散列值H與模塊[304]中產生的隨機數R進行異或運算生成一次性密鑰R’。最后,手寫電子簽名系統(tǒng)在模塊[308]中使用一次性密鑰R’對手寫電子簽名數據S進行對稱加密,生成手寫電子簽名加密數據S’,并在模塊[309]中,將簽名內容
D、手寫電子簽名加密數據S’、隨機數密鑰e —起組合生成手寫電子簽名后的數據對象E。
[0026]圖4詳細的描述了利用簽名內容以及預先生成的私鑰來對手寫電子簽名數據加密數據進行解密過程。該過程一般由CA中心來完成。
[0027]在圖4中,CA中心獲取數字證書的私鑰Ks(模塊[401])與數據對象E(模塊[402]),接著分別在模塊[403]、模塊[404]、模塊[405]中獲取隨機數密鑰e、手寫電子簽名加密數據S’和簽名內容D。CA中心使用Ks解密隨機數密鑰e (模塊[406]),還原出隨機數R,并計算出簽名內容D的散列值H(模塊[407])。然后,CA中心使用H、R異或運算生成一次性密鑰R’ (模塊[408])。最后,CA中心在模塊[409]使用R’作為對稱密鑰解密手寫電子簽名加密數據s’,還原出針對該簽名內容D的手寫電子簽名數據S,如模塊[410]。
[0028](三)有益效果
[0029]從上述方案可知,本發(fā)明具有如下效益:
[0030](I)手寫電子簽名與簽名內容實現一一綁定。具有唯一特性的簽名內容的散列值H與手寫電子簽名數據S輸入到手寫簽名系統(tǒng),系統(tǒng)在使用數字證書的公鑰對手寫電子簽名數據進行加密處理,加密處理的結果具有唯一性。從而實現了手寫電子簽名與簽名內容實現--綁定的關系。
[0031](2)手寫電子簽名由CA中心預生成密鑰進行加密保護,使手寫簽名數據中的生物特征等敏感隱私數據得到保護。手寫電子簽名加密數據僅能由可信第三方CA中心經過授權后解密,避免了個人敏感信息被泄露。
【專利附圖】
【附圖說明】
[0032]圖1.手寫電子簽名數據說明圖
[0033]圖2.基于簽名內容的手寫電子簽名數據保護方法示意圖
[0034]圖3.基于簽名內容的手寫電子簽名數據保護方法中的加密過程示意圖
[0035]圖4.基于簽名內容的手寫電子簽名數據保護方法中的解密過程示意圖
【具體實施方式】
[0036]基于簽名內容的手寫電子簽名數據保護方法可分為手寫電子簽名數據加密和解密兩大步驟。實現以上步驟的前提條件是CA中心生成公/私鑰密鑰對,事先將公鑰通過證書方式發(fā)布到各手寫電子簽名系統(tǒng)中,私鑰由CA中心保管。手寫電子簽名系統(tǒng)使用CA中心發(fā)放數字證書的公鑰加密信息,CA`中心負責解密。
[0037]基于簽名內容的手寫電子簽名數據的具體加密步驟如下:
[0038]步驟1:用戶使用手寫電子簽名系統(tǒng)對簽名內容進行手寫電子簽名,生成手寫電子簽名數據S。
[0039]步驟2:手寫電子簽名系統(tǒng)獲取到數字證書中的公鑰Kp,并產生一個隨機數R。
[0040]步驟3:手寫電子簽名系統(tǒng)使用公鑰&對1?進行加密,生成隨機數密鑰e。
[0041]步驟4:手寫電子簽名系統(tǒng)計算出手寫簽名內容的散列值H。
[0042]步驟5:手寫電子簽名系統(tǒng)將H與隨機數R進行異或運算生成一次性密鑰R’。
[0043]步驟6:手寫電子簽名系統(tǒng)使用一次性密鑰R’對手寫電子簽名數據S進行加密,生成手寫電子簽名加密數據S’。
[0044]步驟8:手寫電子簽名系統(tǒng)對隨機數密鑰e、手寫電子簽名加密數據S’與簽名內容D 一起組合生成數據對象E。
[0045]事后,因業(yè)務的需要,CA中心可對以上生成數據對象E進行解密,還原出原始的手寫電子簽名數據,具體步驟如下:
[0046]步驟1:CA中心獲取數據對象E及數字證書的私鑰Ks。
[0047]步驟2:CA中心分解數據對象E,分別獲得手寫電子簽名加密數據S’、簽名內容D及隨機數密鑰e ;
[0048]步驟3:CA中心使用Ks解密密鑰e,還原出隨機數R。[0049]步驟4:CA中心計算手寫電子簽名內容D的散列值H。
[0050]步驟5:CA中心系統(tǒng)使用H和R,進行異或運算,生成一次性密鑰R’。
[0051]步驟6:CA中心系統(tǒng)使用上步生成的一次性密鑰R’對手寫電子簽名加密數據S’進行解密,還原出針對該簽名內容的手寫電子簽名數據S。
[0052]以上所述的具體實施例,對本發(fā)明的目的、技術方案和有益效果進行了進一步詳細說明,所應理解的是,以上所述僅為本發(fā)明的具體實施例而已,并不用于限制本發(fā)明,凡在本發(fā)明的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內。
【權利要求】
1.一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于采取以下步驟: (1)使用簽名內容的散列值、隨機數與CA中心生成的數字證書對手寫電子簽名進行加密處理,生成手寫電子簽名加密數據包; (2)CA中心使用證書私鑰對手寫電子簽名加密數據包進行解密,還原出手寫電子簽名數據。
2.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于對手寫電子簽名的加密方法,加密方法采用以下步驟: (1)CA中心生成基于非對稱算法的公鑰/私鑰對,將公鑰Kp嵌入到數字證書中,事先發(fā)放給手寫簽名系統(tǒng); (2)簽名用戶在手寫簽名系統(tǒng)上針對簽名內容D進行手寫電子簽名,生成手寫電子簽名數據S; (3)手寫簽名系統(tǒng)產生隨機數R; (4)手寫簽名系統(tǒng)使用數字證書的公鑰Kp對隨機數R進行非對稱加密,生成隨機數密鑰e ; (5)手寫簽名系統(tǒng)計算出簽名內容D的散列值H; (6)手寫簽名系統(tǒng)對散列值H、隨機數R進行異或運算生成一次性密鑰R’; (7)手寫簽名系統(tǒng)使用一次性密鑰R’對手寫電子簽名S進行對稱加密運算,生成手寫電子簽名加密數據S’ ;` (8)手寫簽名系統(tǒng)將簽名內容D、隨機數密鑰e、手寫電子簽名加密數據S’組合生成數據對象E。
3.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于對手寫電子簽名加密數據包的解密方法,該解密方法采用以下步驟: (1)CA中心獲取手寫電子簽名后的數據對象E,并經授權進行解密; (2)CA中心從E中取得簽名內容D、隨機數密鑰e以及手寫電子簽名加密數據S’ ; (3)CA中心計算簽名內容D的內容散列值H ; (4)CA中心使用私鑰Ks解密隨機數密鑰e,還原出隨機數R; (5)CA中心對H和R進行異或計算,生成一次性密鑰R’ ; (6)CA中心使用一次性密鑰R’對手寫電子簽名加密數據S’進行解密,還原出針對該簽名內容的手寫電子簽名數據S。
4.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于簽名內容與手寫電子簽名一對一的綁定方法,該一對一綁定方法主要體現在以下幾個方面: (1)簽名內容的散列值H、手寫電子簽名S及手寫簽名系統(tǒng)所產生的隨機數R都具有唯一特性; (2)手寫簽名系統(tǒng)使用簽名內容的散列值H、隨機數R與CA中心生成的數字證書對手寫電子簽名進行加密處理,加密處理的結果具有唯一特性。
5.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于電子簽名加密數據與簽名內容綁定并只能由CA中心進行解密,以實現手寫電子簽名數據的保護。
6.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于CA中心預先生成 公鑰/私鑰對,將公鑰嵌入數字證書,發(fā)放給手寫電子簽名系統(tǒng),而私鑰由CA中心保存。
7.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于手寫電子簽名對象適用于所有的電子文檔、網頁、二進制文件等電子數據。
8.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于權利要求2的步驟(6)與權利要求3中步驟(5)中使用相同的異或算法對簽名內容的散列值H、隨機數R進行運算,生成完全相同的一次性密鑰R’。
9.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于權利要求2中步驟(4)中簽名用戶使用數字證書的公鑰對隨機數R加密生成隨機數密鑰e的方法與權利要求3中步驟(4)中用證書的私鑰去解密隨機數密鑰e的方法是互為逆反的運算。
10.如權利要求1所述的一種基于簽名內容的手寫電子簽名數據保護方法,其特征在于權利要求2的步驟(7)中使用一次性密鑰R’對手寫簽名數據S加密生成S’的方法與權利要求3的步驟(6)中用一次性密鑰R’去解密手寫電子簽名加密數據S’的方法是互為逆反的運算。
【文檔編號】H04L9/32GK103780391SQ201310660496
【公開日】2014年5月7日 申請日期:2013年12月10日 優(yōu)先權日:2013年12月10日
【發(fā)明者】林雪焰, 詹榜華, 何余良, 馬臣云 申請人:北京數字認證股份有限公司