一種多級(jí)電子文件憑證生成和校驗(yàn)的方法
【專利摘要】本發(fā)明所提供的一種多級(jí)電子文件憑證生成方法,包括步驟:A、確定生成本級(jí)電子文件憑證所使用的本次的憑證模板;所述憑證模板記錄了本次要簽名的憑證屬性內(nèi)容;B、將本次所選擇的憑證模板中的憑證屬性內(nèi)容添加至電子文件憑證的憑證屬性區(qū);對(duì)本次憑證模板進(jìn)行簽名,所生成的本次的憑證簽名添加至憑證簽名區(qū);C、對(duì)電子文件憑證的憑證屬性區(qū)中記載的各次的憑證屬性內(nèi)容進(jìn)行整體簽名,并將所生成的本次的整體簽名去更新在憑證簽名區(qū)記錄的前次電子文件憑證生成時(shí)所生成的整體簽名。對(duì)應(yīng)的,還提供一種多級(jí)電子文件憑證驗(yàn)證方法。通過多級(jí)憑證屬性,使得電子文件在不同階段針對(duì)不同的元數(shù)據(jù)信息由不同的主體來保證憑證性。
【專利說明】一種多級(jí)電子文件憑證生成和校驗(yàn)的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】,特別涉及一種多級(jí)電子文件憑證生成和校驗(yàn)的方法。
【背景技術(shù)】
[0002]在目前的電子文件管理系統(tǒng)中,除了要管理電子文件自身實(shí)體文件以外,還需要管理電子文件擁有的元數(shù)據(jù)信息。所述元數(shù)據(jù)是對(duì)文件的產(chǎn)生、保管、利用、銷毀等整個(gè)過程的真實(shí)性記錄,它隨著文件的產(chǎn)生而生成,伴隨人們對(duì)文件進(jìn)行的各種管理活動(dòng)而不斷地增加。為了保障電子文件的真實(shí)性,會(huì)對(duì)每個(gè)電子文件生成一個(gè)電子文件憑證。
[0003]現(xiàn)在通用的做法主要是利用簽名技術(shù)對(duì)電子文件自身或者附加一些元數(shù)據(jù)信息生成電子文件憑證。但現(xiàn)有生成電子文件憑證的技術(shù)不夠靈活,具體表現(xiàn)為:首先,不同系統(tǒng)會(huì)制定不同的憑證生成規(guī)則,因此無法互相進(jìn)行驗(yàn)證;其次,在電子文件管理過程中沒有設(shè)計(jì)多級(jí)憑證來保證電子文件的真實(shí)性;最后,由于電子文件的元數(shù)據(jù)信息在電子文件管理過程中會(huì)發(fā)生變化,針對(duì)同一項(xiàng)元數(shù)據(jù)的簽名實(shí)體可能是不同的。
【發(fā)明內(nèi)容】
[0004]有鑒于此,本發(fā)明的主要目的在于,提供一種多級(jí)電子文件憑證生成和校驗(yàn)的方法,通過多級(jí)憑證,可以使得電子文件在不同階段針對(duì)不同的元數(shù)據(jù)信息由不同的主體來保證憑證性,并且多級(jí)憑證是相互獨(dú)立的,根據(jù)未驗(yàn)證通過的憑證,可以縮小導(dǎo)致電子文件憑證失效的原因的范圍。
[0005]所述多級(jí)電子文件憑證生成方法,由多個(gè)子過程構(gòu)成,對(duì)于每個(gè)子過程,包括步驟:
[0006]八、確定生成本級(jí)電子文件憑證所使用的本次的憑證模板;所述憑證模板記錄了本次要簽名的憑證屬性內(nèi)容;
[0007]8、將本次所選擇的憑證模板中的憑證屬性內(nèi)容添加至電子文件憑證的憑證屬性區(qū);
[0008]對(duì)本次憑證模板進(jìn)行簽名,所生成的本次的憑證簽名添加至憑證簽名區(qū);
[0009]匕對(duì)電子文件憑證的憑證屬性區(qū)中記載的各次的憑證屬性內(nèi)容進(jìn)行整體簽名,并將所生成的本次的整體簽名去更新在憑證簽名區(qū)記錄的前次電子文件憑證生成時(shí)所生成的整體簽名。
[0010]由上,通過多級(jí)憑證屬性,可以使得電子文件在不同階段針對(duì)不同的元數(shù)據(jù)信息由不同的主體來保證憑證性。
[0011]可選的,步驟8還包括步驟:
[0012]生成對(duì)應(yīng)本次簽名的簽名序號(hào);
[0013]將當(dāng)前的簽名序號(hào)作為本次所選的憑證模板的標(biāo)識(shí)。
[0014]由上,實(shí)現(xiàn)對(duì)于不同憑證模板的標(biāo)識(shí)。
[0015]可選的,步驟8前還包括調(diào)整本次所選擇的憑證模板的步驟,包括:
[0016]判斷本次的憑證模板中的各個(gè)憑證屬性是否存在某憑證屬性與所述憑證屬性區(qū)已經(jīng)存儲(chǔ)的在先的一憑證屬性相同、且對(duì)應(yīng)的屬性內(nèi)容也相同,若是,則刪除本次的憑證模板中的所述某憑證屬性。
[0017]由上,實(shí)現(xiàn)保證對(duì)憑證屬性區(qū)進(jìn)行簽名的各憑證模板中的憑證屬性內(nèi)容的單一性,由此使得電子文件在不同階段針對(duì)不同的元數(shù)據(jù)信息由不同的主體來保證憑證性,并且多級(jí)憑證是相互獨(dú)立的。
[0018]本發(fā)明所提供的多級(jí)電子文件憑證校驗(yàn)方法包括步驟:
[0019]八4、讀取多級(jí)電子文件憑證的憑證屬性區(qū)記錄的各個(gè)憑證模板中的憑證屬性和憑證屬性內(nèi)容;
[0020]84、讀取多級(jí)電子文件憑證的憑證簽名區(qū)記錄的對(duì)應(yīng)的各個(gè)憑證模板的簽名,通過各個(gè)簽名依次驗(yàn)證對(duì)應(yīng)的所述的各個(gè)憑證屬性和憑證屬性內(nèi)容,若全部驗(yàn)證通過進(jìn)入步驟04,否則確認(rèn)未驗(yàn)證通過的憑證模板為簽名失效的憑證模板;
[0021]04、讀取多級(jí)電子文件憑證的憑證簽名區(qū)記錄的整體簽名,根據(jù)該簽名和上述讀取的各個(gè)憑證屬性內(nèi)容對(duì)憑證模板的整體簽名進(jìn)行驗(yàn)證。
[0022]由上,通過驗(yàn)證不同憑證簽名區(qū)的簽名所對(duì)應(yīng)的憑證屬性,在驗(yàn)證過程中,可以區(qū)分通過和未通過,僅將驗(yàn)證未通過憑證劃為導(dǎo)致電子文件憑證失效的原因,以此縮小驗(yàn)證不通過的憑證屬性的范圍,便于糾錯(cuò)定位。
【專利附圖】
【附圖說明】
[0023]圖1為電子文件憑證生成方法流程圖;
[0024]圖2為電子文件憑證校驗(yàn)方法流程圖。
【具體實(shí)施方式】
[0025]本發(fā)明所提供的多級(jí)電子文件憑證生成和校驗(yàn)的方法,通過多級(jí)憑證,可以使得電子文件在不同階段針對(duì)不同的元數(shù)據(jù)信息由不同的主體來保證憑證性,并且多級(jí)憑證是相互獨(dú)立的,根據(jù)未驗(yàn)證通過的憑證,可以縮小導(dǎo)致電子文件憑證失效的原因的范圍。
[0026]首先,先介紹下本發(fā)明中所涉及的電子文件憑證及相關(guān)名詞的定義:
[0027]本發(fā)明電子文件憑證(10的內(nèi)容由兩大部分組成:憑證屬性區(qū)(從)和憑證簽名區(qū)(13),下面對(duì)1八、18進(jìn)行介紹:
[0028]憑證屬性區(qū)記錄有生成電子文件憑證使用的所有憑證屬性㈧的內(nèi)容00,憑證屬性(八)為生成憑證所使用的電子文件元數(shù)據(jù)信息,憑證屬性包括時(shí)間、地點(diǎn)、人物和類型等不同項(xiàng),其集合表示為I,卜,…,\丨。憑證屬性的內(nèi)容00為憑證屬性所對(duì)應(yīng)的具體內(nèi)容,也可以理解為憑證屬性的具體值,如具體時(shí)間、具體地點(diǎn)或具體人物等等。
[0029]不同項(xiàng)的憑證屬性的組合形成不同的憑證模板|!\,12,-,1,}。其中第1個(gè)憑證模板可表示為II =…,八,表示由II項(xiàng)不同屬性的內(nèi)容組合而成。所述1既可以表示憑證模板的次序,同時(shí)也表示憑證模板10。
[0030]憑證簽名區(qū)記錄有電子文件憑證在不同階段選用的不同憑證模板所生成的不同的簽名值。對(duì)憑證模板簽名即對(duì)憑證模板中的各項(xiàng)屬性內(nèi)容值進(jìn)行簽名。
[0031]電子文件憑證的生成會(huì)經(jīng)歷電子文件管理的不同階段,在每個(gè)階段會(huì)選用所需的憑證模板生成各階段的憑證簽名,又由于每項(xiàng)憑證屬性在電子文件管理的不同階段可能具有不同的內(nèi)容,例如憑證屬性為時(shí)間,其憑證屬性內(nèi)容在不同階段為不同的具體的時(shí)間值。
[0032]對(duì)應(yīng)每個(gè)階段的每次簽名時(shí),選擇的憑證模板可包含多項(xiàng)憑證屬性,每項(xiàng)憑證屬性僅記錄一個(gè)憑證屬性內(nèi)容(即一個(gè)屬性值)。
[0033]下面參見如圖1所示的流程,對(duì)電子文件憑證在當(dāng)前次生成方法進(jìn)行介紹,包括以下步驟:
[0034]步驟311:選擇為本次生成憑證所使用的憑證模板。其中,假設(shè)本次是生成憑證中的第1次。
[0035]選擇憑證模板的目的在于,選擇要簽名的憑證屬性內(nèi)容,由于需要簽名的非全部憑證屬性的內(nèi)容,故本步驟中依據(jù)不同的技術(shù)支撐系統(tǒng),選擇出待簽名的憑證屬性的內(nèi)容。以使得根據(jù)不同的系統(tǒng)需要生成不同的電子文件憑證,并且能夠互相進(jìn)行驗(yàn)證。
[0036]步驟312:對(duì)本次所選擇的憑證模板進(jìn)行簽名,生成憑證簽名。其中,對(duì)應(yīng)的,本次是第1次簽名。
[0037]如果憑證簽名數(shù)量為%每個(gè)憑證模板中都含有與各憑證簽名相對(duì)應(yīng)的憑證屬性,若每次進(jìn)行憑證簽名時(shí)各憑證屬性內(nèi)容都不同,則本次簽名的憑證屬性在憑證屬性區(qū)表示為:1^ =八(^+八…+八(^。舉例來說,若憑證模板中的憑證屬性包括時(shí)間屬性內(nèi)容(八(^)、地點(diǎn)屬性內(nèi)容(從^)、人物屬性內(nèi)容(從^)和類型屬性內(nèi)容(從^)四類,則本次簽名的憑證屬性在憑證屬性區(qū)表示為=八八?:14。
[0038]要生成憑證簽名時(shí),憑證簽名序號(hào)為(1(如上,第1次簽名時(shí),^ = 1),從憑證屬性區(qū)中查找當(dāng)前所選憑證模板(即步驟311中所選的憑證模板)中所包含的每一個(gè)憑證屬性,針對(duì)每一個(gè)憑證屬性進(jìn)行簽名處理,即完成對(duì)憑證模板的簽名,然后將憑證簽名存儲(chǔ)至憑證簽名區(qū)。簽名過程與現(xiàn)有技術(shù)的簽名過程相同,采用簽名算法實(shí)現(xiàn),不再贅述。
[0039]具體的,步驟312中包括以下步驟:
[0040]步驟5121:判斷當(dāng)前次的憑證模板中的憑證屬性是否與憑證屬性區(qū)內(nèi)存儲(chǔ)的在先憑證屬性的屬性內(nèi)容相同,若是則進(jìn)入步驟3122,否則進(jìn)入步驟3123。
[0041]舉例來說,假設(shè)當(dāng)前第1次簽名是第3次,即1 = 3,憑證模板數(shù)量為3 ;此時(shí),憑證屬性區(qū)已經(jīng)存儲(chǔ)有1為1、2時(shí)的內(nèi)容。對(duì)應(yīng)1 = 1時(shí),即第一憑證模板包括憑證屬性區(qū)中的時(shí)間屬性內(nèi)容(從:」、地點(diǎn)屬性內(nèi)容(從^)和人物屬性內(nèi)容(從^)三類,則與其對(duì)應(yīng)的憑證模板表示為=;對(duì)應(yīng)1 = 2時(shí),第二憑證模板包括憑證屬性區(qū)中的地點(diǎn)屬性內(nèi)容(從。和人物屬性內(nèi)容(從。兩類,則與其對(duì)應(yīng)的憑證模板表示為12 二仏22—仏23 ;對(duì)應(yīng)本次1 = 3,即第三憑證模板包括憑證屬性區(qū)中的時(shí)間屬性內(nèi)容(八0和類型屬性內(nèi)容兩類,則與其對(duì)應(yīng)的憑證模板表示為13 =仏31—…34。
[0042]判斷本次憑證模板中的憑證屬性與前幾次是否相同。首先判斷本次憑證模板中的憑證屬性與前次(第二次)憑證模板中的憑證屬性是否相同,顯然第二憑證模板中的憑證屬性為地點(diǎn)和人物,第三憑證模板中的憑證屬性為時(shí)間和類型,二者不同;其次判斷本次憑證模板中的憑證屬性與再前次(第一次)憑證模板中的憑證屬性是否相同,其結(jié)果為時(shí)間這一憑證屬性相同,因此進(jìn)入步驟3122。
[0043]步驟3122:判斷當(dāng)前憑證模板與之前相同的憑證屬性的屬性內(nèi)容是否相同,若相同,則刪除本次相同部分,否則進(jìn)入步驟3123。
[0044]兩憑證模板中均包括的憑證屬性為時(shí)間。就此情況,需確認(rèn)本次憑證模板中憑證屬性時(shí)間的內(nèi)容是否與第一憑證模板憑證屬性時(shí)間的內(nèi)容相同,若相同,即= ,則將第三憑證模板中對(duì)應(yīng)憑證屬性時(shí)間的內(nèi)容(從:」刪除,即第三憑證模板更新后表示為丁3=^034 ;若不相同,即仏31 ^八。,則第三憑證模板仍然為13 =……34,進(jìn)入步驟3123。
[0045]上述步驟的目的在于,可以使得電子文件在不同階段針對(duì)不同的元數(shù)據(jù)信息由不同的主體來保證憑證性,即實(shí)現(xiàn)基于不同元數(shù)據(jù)的電子文件多級(jí)憑證生成簽名或基于相同元數(shù)據(jù)不同版本的電子文件多級(jí)憑證生成,以提高保證憑證性。
[0046]步驟3123:對(duì)本次憑證模板,如前例,1 = 3,即對(duì)步驟122后的當(dāng)前次的第三憑證模板進(jìn)行簽名。
[0047]此處,將對(duì)上述第三憑證模板13進(jìn)行簽名后表示為1? = 3? (?。相應(yīng)的,對(duì)應(yīng)1=1、2時(shí),對(duì)上述第一憑證模板進(jìn)行簽名后表示為= 3? (1);對(duì)上述第二憑證模板丁2進(jìn)行簽名后表示為了32 = 3? (丁公;
[0048]步驟3124:將本次簽名后的憑證屬性內(nèi)容添加到憑證簽名區(qū),即將糾“!^)添加到憑證簽名區(qū)內(nèi)。此時(shí),經(jīng)歷過1 = 1到3的過程,憑證簽名區(qū)內(nèi)存儲(chǔ)有和丁33。
[0049]步驟313:對(duì)憑證屬性區(qū)進(jìn)行整體簽名。
[0050]對(duì)憑證屬性區(qū)內(nèi)存儲(chǔ)的所有憑證屬性進(jìn)行整體簽名,并將簽名結(jié)果添加到憑證簽名區(qū),具體表示為:13 = 8(1^+^)。如果憑證簽名區(qū)已經(jīng)存儲(chǔ)有了3,例如在第二次電子文件憑證生成時(shí)已經(jīng)有對(duì)(1+1)的整體簽名,即已有:13 = 3則將本次的整體簽名更新替換掉原整體簽名,即替換成13 = 8(1^^+13)。
[0051]至此,仍以上面步驟3121示出的1 = 3為例,此時(shí),憑證屬性區(qū)記錄的內(nèi)容為:!\、12和13,其中13是步驟3122后的13 ;憑證簽名區(qū)記錄的內(nèi)容為和丁33。
[0052]至此,本次,即第1次的電子文件憑證生成方法結(jié)束,當(dāng)進(jìn)入到下一階段,,進(jìn)行下一次,即1+1次的電子文件憑證生成時(shí),則再次執(zhí)行步驟311-313。
[0053]與上述步驟相對(duì)應(yīng)的,本發(fā)明還提供一種電子文件憑證驗(yàn)證方法,電子文件憑證進(jìn)行憑證校驗(yàn)時(shí),如圖2所示,包括以下步驟:
[0054]步驟321:獲取憑證模板中憑證屬性的內(nèi)容。
[0055]根據(jù)電子文件憑證中的簽名序號(hào)獲取憑證模板10,依據(jù)該憑證模板10從憑證屬性區(qū)獲取從0到所述10的各個(gè)憑證模板,獲取到憑證模板后,便可確定各憑證模板中所包含的憑證屬性,及其憑證屬性內(nèi)容。即確定出=丁2 =八具3、丁3 =八(^+八0^4。(上述舉例為前述步驟8122中八幸^的情況,若步驟8122中仏31 =八則本步驟所確定出 = 12 = ^22+^23 ? 13 = 。
[0056]步驟322:檢驗(yàn)步驟321所獲取的各憑證模板中的憑證屬性的內(nèi)容,檢驗(yàn)通過進(jìn)入步驟323,否則標(biāo)記處未檢驗(yàn)通過的憑證模板。
[0057]針對(duì)每一項(xiàng)憑證屬性的簽名13” 182和1?逐一驗(yàn)證。以為例,首先,采用簽名算法解析出其中包含時(shí)間屬性內(nèi)容(八。)、地點(diǎn)屬性內(nèi)容(從^)和人物屬性內(nèi)容。其次,將時(shí)間屬性內(nèi)容(從:」與步驟321解析出來的憑證屬性區(qū)中的各憑證屬性內(nèi)容逐一進(jìn)行比較,比較一致則驗(yàn)證通過,比較不一致則驗(yàn)證失敗。而后,再將地點(diǎn)屬性內(nèi)容(從^)與步驟321解析出來的憑證屬性區(qū)中的各憑證屬性內(nèi)容逐一進(jìn)行比較;最后,將人物屬性內(nèi)容與步驟321解析出來的憑證屬性區(qū)中的各憑證屬性內(nèi)容逐一進(jìn)行比較。
[0058]同理,依照上述方法依次驗(yàn)證和中各憑證屬性內(nèi)容。
[0059]若出現(xiàn)某一個(gè)憑證簽名驗(yàn)證無效,則說明該憑證簽名所對(duì)應(yīng)的憑證模板中的某些憑證屬性被破壞了,而驗(yàn)證通過的憑證簽名所對(duì)應(yīng)的憑證模板中的憑證屬性則是真實(shí)的?;诖丝梢源_定,驗(yàn)證通過的憑證簽名所對(duì)應(yīng)的憑證模板中的憑證屬性是真實(shí)的,而未通過驗(yàn)證的憑證簽名所對(duì)應(yīng)的憑證模板中一定含有被破壞的憑證屬性,由此可以縮小導(dǎo)致電子文件憑證失效的原因的范圍。
[0060]步驟323:對(duì)憑證模板的整體簽名進(jìn)行驗(yàn)證。
[0061]當(dāng)憑證模板中的所有憑證屬性都驗(yàn)證成功以后,采用簽名算法對(duì)憑證模板的整體憑證簽名13進(jìn)行驗(yàn)證,如果憑證簽名驗(yàn)證通過則說明憑證簽名13 = 8(1^+^+13)有效,貝0說明整個(gè)電子文件憑證是有效的。
[0062]至此電子文件憑證驗(yàn)證結(jié)束。
[0063]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明。總之,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種多級(jí)電子文件憑證生成方法,由多個(gè)子過程構(gòu)成,其特征在于,對(duì)于每個(gè)子過程,包括步驟: A、確定生成本級(jí)電子文件憑證所使用的本次的憑證模板;所述憑證模板記錄了本次要簽名的憑證屬性內(nèi)容; B、將本次所選擇的憑證模板中的憑證屬性內(nèi)容添加至電子文件憑證的憑證屬性區(qū); 對(duì)本次憑證模板進(jìn)行簽名,所生成的本次的憑證簽名添加至憑證簽名區(qū); C、對(duì)電子文件憑證的憑證屬性區(qū)中記載的各次的憑證屬性內(nèi)容進(jìn)行整體簽名,并將所生成的本次的整體簽名去更新在憑證簽名區(qū)記錄的前次電子文件憑證生成時(shí)所生成的整體簽名。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟B還包括步驟: 生成對(duì)應(yīng)本次簽名的簽名序號(hào); 將當(dāng)前的簽名序號(hào)作為本次所選的憑證模板的標(biāo)識(shí)。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,步驟B前還包括調(diào)整本次所選擇的憑證模板的步驟,包括: 判斷本次的憑證模板中的各個(gè)憑證屬性是否存在某憑證屬性與所述憑證屬性區(qū)已經(jīng)存儲(chǔ)的在先的一憑證屬性相同、且對(duì)應(yīng)的屬性內(nèi)容也相同,若是,則刪除本次的憑證模板中的所述某憑證屬性。
4.一種多級(jí)電子文件憑證校驗(yàn)方法,其特征在于,包括步驟: A4、讀取多級(jí)電子文件憑證的憑證屬性區(qū)記錄的各個(gè)憑證模板中的憑證屬性和憑證屬性內(nèi)容; B4、讀取多級(jí)電子文件憑證的憑證簽名區(qū)記錄的對(duì)應(yīng)的各個(gè)憑證模板的簽名,通過各個(gè)簽名依次驗(yàn)證對(duì)應(yīng)的所述的各個(gè)憑證屬性和憑證屬性內(nèi)容,若全部驗(yàn)證通過進(jìn)入步驟C4,否則確認(rèn)未驗(yàn)證通過的憑證模板為簽名失效的憑證模板; C4、讀取多級(jí)電子文件憑證的憑證簽名區(qū)記錄的整體簽名,根據(jù)該簽名和上述讀取的各個(gè)憑證屬性內(nèi)容對(duì)憑證模板的整體簽名進(jìn)行驗(yàn)證。
【文檔編號(hào)】G06F21/64GK104392184SQ201410641089
【公開日】2015年3月4日 申請日期:2014年11月13日 優(yōu)先權(quán)日:2014年11月13日
【發(fā)明者】管延軍, 蔣紅宇, 安曉江 申請人:北京海泰方圓科技有限公司