一種可信電子簽名系統(tǒng)及電子簽名方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,具體地說是一種實用性強(qiáng)、可信電子簽名系統(tǒng)及電子簽名方法。
【背景技術(shù)】
[0002]隨著信息技術(shù)的進(jìn)步,電子簽名技術(shù)在電子政務(wù)和電子商務(wù)中發(fā)揮著越來越重要的作用。目前的電子簽名都是在普通終端設(shè)備上實現(xiàn)的,由于普通終端上可信環(huán)境的構(gòu)建還存在著許多難點,因此電子簽名的安全性無法得到有效的保障?;诖耍F(xiàn)提供一種可信電子簽名系統(tǒng)及電子簽名方法,通過采用可信密碼模塊,有效保障電子簽名的安全性。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的技術(shù)任務(wù)是針對以上不足之處,提供一種實用性強(qiáng)、可信電子簽名系統(tǒng)及電子簽名方法。
[0004]—種可信電子簽名系統(tǒng),其結(jié)構(gòu)包括順序連接的可信電子簽名終端、可信電子簽名管理系統(tǒng)、證書頒發(fā)中心,其中:
可信電子簽名終端內(nèi)置可信密碼模塊,在系統(tǒng)可信的環(huán)境下完成對電子文檔的簽名和驗證功能;
可信簽名管理系統(tǒng)負(fù)責(zé)待簽名驗證文檔的下發(fā)和上傳,用戶通過高可信簽名終端閱讀電子文檔,并且進(jìn)行簽名和驗證簽名的工作,終端通過串口通信與可信簽名管理系統(tǒng)進(jìn)行通信;
證書頒發(fā)中心負(fù)責(zé)證書的下發(fā)。
[0005]所述可信密碼模塊選用國民技術(shù)的SSX44安全芯片,采用密碼模塊密鑰EK標(biāo)識可信計算密碼支撐平臺的身份,在平臺所有者授權(quán)下,在SSX44芯片內(nèi)部生成一對國密算法SM2密鑰對,公鑰發(fā)送給用戶使用,私鑰保存在SSX44內(nèi)部不能導(dǎo)出。
[0006]所述可信簽名終端包括若干個,相對應(yīng)的,與其連接的可信簽名管理系統(tǒng)設(shè)置有若干個,且所有可信簽名管理系統(tǒng)之間通過網(wǎng)絡(luò)傳輸連接,所有可信簽名管理系統(tǒng)均連接證書頒發(fā)中心,至少一個可信簽名終端及與其相連的可信簽名管理系統(tǒng)為簽名方;至少一個可信簽名終端及與其相連的可信簽名管理系統(tǒng)為簽名方為驗簽方。
[0007]—種使用上述可信系統(tǒng)的電子簽名方法,其具體實現(xiàn)過程為:
在上述可信系統(tǒng)環(huán)境下完成對電子文檔的簽名;
在上述可信系統(tǒng)環(huán)境下完成對電子文檔的驗證。
[0008]所述簽名過程為:
使用可信簽名終端對電子文檔簽名時,由該終端內(nèi)的可信密碼模塊產(chǎn)生密鑰,該密鑰包括發(fā)送給用戶的公鑰和私鑰;
用戶使用公鑰向證書頒發(fā)中心申請簽名證書,證書簽發(fā)完畢后,可信簽名管理系統(tǒng)將待簽名的電子文檔下發(fā)給可信簽名終端; 用戶在終端上打開電子文檔,閱讀文檔的完整性,以確保待簽名文檔在下發(fā)過程中未受到第三方篡改;
當(dāng)確定文檔未被篡改之后即可按簽名按鈕,在可信密碼模塊的私鑰對文檔進(jìn)行簽名,之后簽名終端將簽名數(shù)據(jù)和公鑰證書發(fā)送給可信簽名管理系統(tǒng),完成電子簽名過程。
[0009]所述簽名方的可信簽名終端內(nèi)部的可信密碼模塊為SSX44芯片,生成一對SM2公鑰和私鑰,并將公鑰發(fā)送給用戶,私鑰則保存在SSX44的內(nèi)部;當(dāng)開始簽名時,使用SSX44內(nèi)部生成的SM2私鑰對文檔進(jìn)行簽名。
[0010]所述驗證過程為:
簽名方的可信簽名管理系統(tǒng)使用網(wǎng)絡(luò)傳輸將簽名文檔和簽名數(shù)據(jù)發(fā)送給驗簽方,驗簽方的簽名管理系統(tǒng)將簽名文檔、簽名數(shù)據(jù)和公鑰證書下發(fā)到自己的可信簽名終端;
驗簽方的可信簽名終端考察公鑰證書的真實性,然后從公鑰證書中提取公鑰,接著對簽名文檔進(jìn)行驗簽,得到驗簽的結(jié)果,并返回給與其相連的簽名管理系統(tǒng),完成電子驗證簽名的過程。
[0011]本發(fā)明的一種可信電子簽名系統(tǒng)及電子簽名方法,具有以下優(yōu)點:
本發(fā)明提出的一種可信電子簽名系統(tǒng)及電子簽名方法,有效保障電子簽名的安全性,可以應(yīng)用于公司的可信服務(wù)器產(chǎn)品,增加產(chǎn)品的功能,提升市場競爭力,實用性強(qiáng),易于推廣。
【附圖說明】
[0012]附圖1是本發(fā)明實現(xiàn)示意圖。
【具體實施方式】
[0013]下面結(jié)合附圖和具體實施例對本發(fā)明作進(jìn)一步說明。
[0014]本發(fā)明提供一種可信電子簽名系統(tǒng),如附圖1所示,其結(jié)構(gòu)包括順序連接的可信電子簽名終端、可信電子簽名管理系統(tǒng)、證書頒發(fā)中心,其中:
可信電子簽名終端內(nèi)置可信密碼模塊,在系統(tǒng)可信的環(huán)境下完成對電子文檔的簽名和驗證功能;
可信簽名管理系統(tǒng)負(fù)責(zé)待簽名驗證文檔的下發(fā)和上傳,用戶通過高可信簽名終端閱讀電子文檔,并且進(jìn)行簽名和驗證簽名的工作,終端通過串口通信與可信簽名管理系統(tǒng)進(jìn)行通信;
證書頒發(fā)中心負(fù)責(zé)證書的下發(fā)。
[0015]所述可信密碼模塊選用國民技術(shù)的SSX44安全芯片,采用密碼模塊密鑰EK標(biāo)識可信計算密碼支撐平臺的身份,在平臺所有者授權(quán)下,在SSX44芯片內(nèi)部生成一對國密算法SM2密鑰對,公鑰發(fā)送給用戶使用,私鑰保存在SSX44內(nèi)部不能導(dǎo)出。
[0016]SSX44芯片證書符合X.509 V3標(biāo)準(zhǔn),在平臺使用前由可信第三方簽署,確保其可行性,用于建立密碼模塊密鑰EK與SSX44芯片的一一對應(yīng)關(guān)系。
[0017]所述可信簽名終端包括若干個,相對應(yīng)的,與其連接的可信簽名管理系統(tǒng)設(shè)置有若干個,且所有可信簽名管理系統(tǒng)之間通過網(wǎng)絡(luò)傳輸連接,所有可信簽名管理系統(tǒng)均連接證書頒發(fā)中心,至少一個可信簽名終端及與其相連的可信簽名管理系統(tǒng)為簽名方;至少一個可信簽名終端及與其相連的可信簽名管理系統(tǒng)為簽名方為驗簽方。
[0018]—種使用上述可信系統(tǒng)的電子簽名方法,其具體實現(xiàn)過程為:
在上述可信系統(tǒng)環(huán)境下完成對電子文檔的簽名;
在上述可信系統(tǒng)環(huán)境下完成對電子文檔的驗證。
[0019]所述簽名過程為:
使用可信簽名終端對電子文檔簽名時,由該終端內(nèi)的可信密碼模塊產(chǎn)生密鑰,該密鑰包括發(fā)送給用戶的公鑰和私鑰;
用戶使用公鑰向證書頒發(fā)中心申請簽名證書,證書簽發(fā)完畢后,可信簽名管理系統(tǒng)將待簽名的電子文檔下發(fā)給可信簽名終端;
用戶在終端上打開電子文檔,閱讀文檔的完整性,以確保待簽名文檔在下發(fā)過程中未受到第三方篡改;
當(dāng)確定文檔未被篡改之后即可按簽名按鈕,在可信密碼模塊的私鑰對文檔進(jìn)