一種基於web的公文收發系統及公文收發方法

2023-08-02 01:30:26

一種基於web的公文收發系統及公文收發方法
【專利摘要】本發明提供一種基於WEB的公文收發系統及公文收發方法，突破了傳統的文件安全管理系統的限制，提供了存儲有加密私鑰和籤名私鑰的密碼設備和存儲有加密公鑰和籤名公鑰的WEB服務端，而在公文接收時利用WEB系統（包括WEB瀏覽器和ActiveX控制項），建立了密碼設備與WEB服務端的聯繫，使得密碼設備與WEB服務端進行配合，惟有當密碼設備與WEB服務端相互匹配，才能實現公文在WEB系統中安全收發，加強了公文信息的安全性，在公文收發時，採用加密和籤名等安全手段，可對公文實現多級安全保護，可以實現公文在公用網絡加密傳輸不被截取，在本地安全保存不被非法拷貝竊取，彌補了現有公文傳輸的漏洞。
【專利說明】—種基於WEB的公文收發系統及公文收發方法
【技術領域】
[0001]本發明涉及計算機【技術領域】的文件安全管理，特別是涉及ー種基於WEB的公文收發系統及公文收發方法。
【背景技術】
[0002]隨著計算機應用的普及、網際網路及移動存儲設備的發展，紙質文件逐漸轉變為電子文件。由於電子文件的體積小，查看方便、節省能源、環保無汙染等諸多的優點，使得電子文件得以長期發展，並得到越來越廣泛的使用。但與此同吋，電子文件的易更改、易傳播的特性，也嚴重的影響到了電子文件存儲和交流的安全性。如何有效地實現企事業單位內部重要的文件進行統一安全存放、集中管理和使用，就成了電子文件目前面臨的嚴峻挑戰。
[0003]目前大部分文件都是電子文件的形式存在的，在加上網絡的高速發展，導致數據是否安全越來越受到企業的關注。現有技術中，對文件的保護手段主要集中在對文件進行加密。市面上很多的加密安全軟體也營運而生，這類加密軟體基本都是需要在每臺電腦上安裝客戶端，然後通過客戶端進行加密管理和管控，但是也有很多企事業單位，下面分公司都是和總部不聯網的，即使是聯網也是通過公網進行傳輸，這對所述客戶端的安裝存在安全隱患。同吋，對於這類企業來說，由於該類企事業單位比較分散和偏僻，安裝和管理每ー臺電腦的客戶端十分不便。
[0004]出於以上情況的考慮，需要對現有的數據安全軟體的安裝和管理形式進行改迸，以便實現公文在公用網絡上的安全傳輸，及在本地計算機上的安全存儲。

【發明內容】

[0005]鑑於以上所述現有技術的缺點，本發明的目的在於提供一種基於WEB的公文收發系統及公文收發方法，用於實現公文在公用網絡上的安全傳輸及在本地計算機上的安全存儲。
[0006]為實現上述目的及其他相關目的，本發明提供一種基於WEB的公文發送系統，包括:密碼設備、客戶發送端以及WEB服務端；所述客戶發送端配置有WEB系統，所述WEB系統配置有ActiveX控制項；所述密碼設備包括有與發件人對應的加密私鑰和籤名私鑰；所述WEB服務端與所述客戶發送端通過網絡建立通信連接，包括各個用戶的加密公鑰和籤名公鑰；當發送公文時，填寫正文，選擇ー個或多個收件人，選擇作為附件的ー個或多個文件，通過所述ActiveX控制項調用所述密碼設備中與發件人對應的籤名私鑰以對所述正文進行籤名得到籤名值，由所述密碼設備產生第一隨機數，利用所述第一隨機數對所述正文和所述籤名值進行加密；由所述WEB系統從所述WEB服務端自動下載與ー個或多個所述收件人對應的ー個或多個加密公鑰，分別使用一個或多個所述加密公鑰對所述第一隨機數進行加密得到ー個或多個第一隨機數加密值；把經加密的所述正文和所述籤名值連同一個或多個所述第一隨機數加密值合成在一起構成ー個密鑰信封，發給相應的收件人，完成公文的安全發送。[0007]可選地，所述密碼設備還包括用以打開所述密碼設備以獲取所述加密私鑰和所述籤名私鑰的PIN ロ令；在登陸WEB系統時，由密碼設備接入所述客戶發送端，通過打開的WEB瀏覽器登陸所述WEB服務端，由所述WEB服務端生成第二隨機數並發送至所述客戶發送端的WEB前端；對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用所述密碼設備中的籤名私鑰對所述第二隨機數進行籤名得到籤名值；把所述籤名值發送至所述WEB服務端，由所述WEB服務端利用與所述密碼設備中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，所述WEB服務端即允許登陸所述WEB系統。
[0008]本發明另提供ー種應用於上述基於WEB的公文發送系統的公文發送方法，包括:將密碼設備接入客戶發送端，將客戶發送端與WEB服務端通過網絡建立通信連接；登陸WEB系統；填寫正文，選擇ー個或多個收件人，從所述客戶發送端的安全文件櫃中選擇作為附件的ー個或多個文件，利用所述密碼設備中與發件人對應的籤名私鑰對所述正文進行籤名得到籤名值，由所述密碼設備產生第一隨機數，利用所述第一隨機數對所述正文和所述籤名值進行加密；由所述WEB系統從所述WEB服務端自動下載與一個或多個所述收件人對應的ー個或多個加密公鑰，分別使用一個或多個所述加密公鑰對所述第一隨機數進行加密得到ー個或多個第一隨機數加密值；把經加密的所述正文和所述籤名值連同一個或多個所述第一隨機數加密值合成在一起構成ー個密鑰信封，發給相應的收件人，完成公文的安全發送。
[0009]可選地，所述公文發送方法還包括密碼設備在WEB服務端進行註冊的過程，包括:利用WEB瀏覽器調用所述密碼設備與所述WEB服務端建立通信連接；提供用戶信息，由所述WEB服務端生成與所述用戶信息對應的加密公私鑰對和籤名公私鑰對，所述加密公私鑰對包括加密公鑰和與所述加密公鑰匹配的加密私鑰，所述籤名公私鑰對包括籤名公鑰和與所述籤名公鑰匹配的籤名私鑰；由所述WEB服務端將生成的所述加密私鑰和所述籤名私鑰置入所述密碼設備中，而將所述加密公鑰和所述籤名公鑰保存在所述WEB服務端中。
[0010]可選地，所述登陸WEB系統的過程包括:由密碼設備接入所述客戶發送端，通過打開的WEB瀏覽器登陸所述WEB服務端，由所述WEB服務端生成第二隨機數並發送至所述客戶發送端的WEB前端；對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用所述密碼設備中的籤名私鑰對所述第二隨機數進行籤名得到籤名值；把所述籤名值發送至所述WEB服務端，由所述WEB服務端利用與所述密碼設備中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，所述WEB服務端即允許登陸所述WEB系統。
[0011]本發明又提供一種基於WEB的公文接收系統，包括:密碼設備、客戶接收端以及WEB服務端；所述客戶接收端配置有WEB系統，所述WEB系統配置有ActiveX控制項，通過調用ActiveX控制項在本地創建有一個隱藏的安全文件櫃；所述密碼設備用幹與所述客戶接收端建立通信連接，包括有與收件人對應的加密私鑰和籤名私鑰；所述WEB服務端與所述客戶接收端通過網絡建立通信連接，包括各個用戶的加密公鑰和籤名公鑰；當接收公文時，所述公文中包括一密鑰信封，所述密鑰信封包括有經加密的正文和籤名值、以及ー個或多個所述第一隨機數加密值；利用所述密碼設備中的加密私鑰解密所述信封中的第一隨機數加密值得到第一隨機數，利用解密出的所述第一隨機數把加密的所述正文和所述籤名值解密出來；由所述客戶接收端從所述WEB服務端下載與所述公文的發件人對應的籤名公鑰，利用所述發件人的籤名公鑰，對解密出來的所述公文和所述籤名值作籤名認證；在所述籤名認證通過後，利用所述WEB系統自動下載公文的附件到本地的安全文件拒。[0012]可選地，所述密碼設備還包括用以打開所述密碼設備以獲取所述加密私鑰和所述籤名私鑰的PIN ロ令；在登陸WEB系統時，由密碼設備接入所述客戶接收端，通過打開的WEB瀏覽器登陸所述WEB服務端，由所述WEB服務端生成第二隨機數並發送至所述客戶接收端的WEB前端；對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用所述密碼設備中的籤名私鑰對所述第二隨機數進行籤名得到籤名值；把所述籤名值發送至所述WEB服務端，由所述WEB服務端利用與所述密碼設備中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，所述WEB服務端即允許登陸所述WEB系統。
[0013]本發明再提供一種應用上述基於WEB的公文接收系統的公文接收方法，包括:將密碼設備接入客戶接收端，將客戶接收端與WEB服務端通過網絡建立通信連接；登陸WEB系統；接收公文，所述公文中包括一密鑰信封，所述密鑰信封包括有經加密的正文和籤名值、以及ー個或多個所述第一隨機數加密值；利用所述密碼設備中的加密私鑰解密所述信封中的第一隨機數加密值得到第一隨機數，利用解密出的所述第一隨機數把加密的所述正文和所述籤名值解密出來；由所述客戶接收端從所述WEB服務端下載與所述公文的發件人對應的籤名公鑰，利用所述發件人的籤名公鑰，對解密出來的所述公文和所述籤名值作籤名認證；在所述籤名認證通過後，利用所述WEB系統自動下載公文的附件到本地的安全文件拒。
[0014]可選地，所述公文接收方法還包括密碼設備在WEB服務端進行註冊的過程，包括:利用WEB瀏覽器調用所述密碼設備與所述WEB服務端建立通信連接；提供用戶信息，由所述WEB服務端生成與所述用戶信息對應的加密公私鑰對和籤名公私鑰對，所述加密公私鑰對包括加密公鑰和與所述加密公鑰匹配的加密私鑰，所述籤名公私鑰對包括籤名公鑰和與所述籤名公鑰匹配的籤名私鑰；由所述WEB服務端將生成的所述加密私鑰和所述籤名私鑰置入所述密碼設備中，而將所述加密公鑰和所述籤名公鑰保存在所述WEB服務端中。
[0015]可選地，所述登陸WEB系統的過程包括:由密碼設備接入所述客戶接收端，通過打開的WEB瀏覽器登陸所述WEB服務端，由所述WEB服務端生成第二隨機數並發送至所述客戶接收端的WEB前端；對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用所述密碼設備中的籤名私鑰對所述第二隨機數進行籤名得到籤名值；把所述籤名值發送至所述WEB服務端，由所述WEB服務端利用與所述密碼設備中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，所述WEB服務端即允許登陸所述WEB系統。
[0016]可選地，所述公文接收方法還包括在所述客戶接收端創建一個隱藏的安全文件櫃的步驟，包括:由所述WEB系統調用所述ActiveX控制項在所述客戶接收端創建一個隱藏的安全文件櫃，並為所述安全文件櫃創建與所述密碼設備對應的ー開櫃密碼。
[0017]如上所述，本發明所述的基於WEB的公文收發系統及公文收發方法，具有以下有益效果:本發明突破了傳統的文件安全管理系統的限制，將存儲有加密私鑰和籤名私鑰的密碼設備和存儲有加密公鑰和籤名公鑰的WEB服務端進行了分離，而在公文收發時利用WEB系統(包括WEB瀏覽器和ActiveX控制項)，建立了密碼設備與WEB服務端的聯繫，使得密碼設備與WEB服務端進行配合，加強了公文信息的安全性；更進一歩地，在公文收發時，採用加密和籤名等安全手段，可對公文實現多級安全保護，可以實現公文在公用網絡加密傳輸不被截取，在本地安全保存不被非法拷貝竊取。
【專利附圖】

【附圖說明】[0018]圖1為本發明所述的基於WEB的公文發送系統的結構示意圖。
[0019]圖2為本發明基於WEB的公文發送方法的流程示意圖。
[0020]圖3為基於WEB的公文發送系統中密碼設備在WEB服務端註冊過程的流程示意圖。
[0021]圖4為本發明所述的基於WEB的公文接收系統的結構示意圖。
[0022]圖5為本發明基於WEB的公文接收方法的流程示意圖。
[0023]圖6為基於WEB的公文接收系統中密碼設備在WEB服務端註冊過程的流程示意圖。
[0024]圖7為既包括有用於發送公文的客戶發送端又包括有用於接收公文的客戶接收端的基於WEB的公文收發系統的ー個實例。
[0025]圖8為包括有兼具作為發送方以用於發送公文以及作為接收方以用於接收公文的客戶端的基於WEB的公文收發系統的另ー個實例。
[0026]元件標號說明
[0027]11密碼設備
[0028]13客戶發送端
[0029]14客戶接收端
[0030]15WEB 服務端
【具體實施方式】
[0031]以下通過特定的具體實例說明本發明的實施方式，本領域技術人員可由本說明書所揭露的內容輕易地了解本發明的其他優點與功效。本發明還可以通過另外不同的【具體實施方式】加以實施或應用，本說明書中的各項細節也可以基於不同觀點與應用，在沒有背離本發明的精神下進行各種修飾或改變。
[0032]請參閱附圖。需要說明的是，本實施例中所提供的圖示僅以示意方式說明本發明的基本構想，遂圖式中僅顯示與本發明中有關的組件而非按照實際實施時的組件數目、形狀及尺寸繪製，其實際實施時各組件的型態、數量及比例可為ー種隨意的改變，且其組件布局型態也可能更為複雜。
[0033]下面結合實施例和附圖對本發明進行詳細說明。
[0034]本發明提供了一種基於WEB的公文發送系統，圖1即顯示了所述基於WEB的公文發送系統在ー個實施例中的系統框圖。如圖1所示，所述數據安全系統至少包括:密碼設備
11、客戶發送端13以及WEB服務端15。在實際應用中，客戶發送端可以是位於本地端、進行信息處理的信息處理裝置，例如為桌上型電腦、筆記本電腦、平板電腦、或智能終端等。WEB服務端15用於作為管控設備，可以例如為伺服器、服務站、或工作站等。
[0035]密碼設備11用於接入客戶發送端13後提供相應的密碼，包括有與發件人對應的加密私鑰和籤名私鑰。
[0036]在本實施例中，密碼設備11可以是USB密碼設備或PCI密碼卡。在實際應用中，密碼設備是通過在WEB服務端15的註冊而得到所述的加密私鑰和籤名私鑰。具體來講:將密碼設備11接入一信息處理裝置(例如客戶發送端)上，利用WEB瀏覽器調用密碼設備11與WEB服務端15建立通信連接；提供用戶信息，由WEB服務端15生成與所述用戶信息對應的加密公私鑰對和籤名公私鑰對，所述加密公私鑰對包括加密公鑰和與所述加密公鑰匹配的加密私鑰，所述籤名公私鑰對包括籤名公鑰和與所述籤名公鑰匹配的籤名私鑰；由WEB服務端15將生成的所述加密私鑰和所述籤名私鑰置入密碼設備11中，而將所述加密公鑰和所述籤名公鑰保存在WEB服務端15中。
[0037]客戶發送端13配置有WEB系統，所述WEB系統配置有WEB瀏覽器和ActiveX控制項。在本實施例中，用戶不需要事先在客戶發送端13安裝客戶端軟體，只要通過調用所述ActiveX控制項就可以在本地的客戶發送端13內創建有一個隱藏的安全文件櫃，所述安全文件櫃可以存儲相應的公文。在實際應用中，當用戶首次登陸WEB系統時，WEB系統會要求用戶創建ー個安全文件拒，而在非首次登陸WEB系統時，則無需再創建安全文件拒。
[0038]另外，至於提到的登陸WEB系統。在本發明中，密碼設備11還包括用以打開密碼設備11以獲取所述加密私鑰和所述籤名私鑰的PIN ロ令；在登陸WEB系統時，由密碼設備11接入客戶發送端13，通過打開的WEB瀏覽器登陸WEB服務端15，由WEB服務端15生成一串隨機數並發送至客戶發送端13的WEB前端；對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用密碼設備11中的籤名私鑰對ー串隨機數進行籤名得到籤名值；把所述籤名值發送至WEB服務端15，由WEB服務端15利用與密碼設備11中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，WEB服務端15即允許登陸所述WEB系統。
[0039]WEB服務端15與客戶發送端13通過網絡建立通信連接。在本發明中，客戶發送端13可通過WEB瀏覽器訪問WEB伺服器15。由上可知，任ー密碼設備11註冊時，WEB服務端15均存儲有與所述密碼設備11對應的用戶的加密公鑰和籤名公鑰，因此，WEB服務端15存儲有各個用戶的加密公鑰和籤名公鑰。
[0040]當利用本發明基於WEB的公文發送系統進行公文發送時，具體包括:填寫正文，選擇ー個或多個收件人，可從客戶發送端13中的本地文件夾中選擇作為附件的ー個或多個文件，通過所述ActiveX控制項調用密碼設備11中與發件人對應的籤名私鑰以對所述正文進行籤名得到籤名值，由密碼設備11產生ー隨機數，利用所述隨機數對所述正文和所述籤名值進行加密；由所述WEB系統從所述WEB服務端自動下載與一個或多個所述收件人對應的ー個或多個加密公鑰，分別使用一個或多個所述加密公鑰對所述隨機數進行加密得到ー個或多個隨機數加密值；把經加密的所述正文和所述籤名值連同一個或多個所述隨機數加密值合成在一起構成ー個密鑰信封，發給相應的收件人，完成公文的安全發送。
[0041]本發明另提供了ー種應用於圖1所示基於WEB的公文發送系統的公文發送方法。圖2即顯示了本發明基於WEB的公文發送方法的流程示意圖。結合圖1和圖2，所述基於WEB的公文發送方法包括:
[0042]步驟S201，將已註冊的密碼設備11接入客戶發送端13，將客戶發送端13與WEB服務端15通過網絡建立通信連接。在本實施例中，將密碼設備11與客戶發送端13建立通信連接是將密碼設備11直接插置於客戶發送端實現的，將客戶發送端13與WEB服務端15通過WEB瀏覽器實現實現網絡通信連接的。具體地，若密碼設備11是USB密碼設備，則將密碼設備11與客戶發送端13建立通信連接是將作為密碼設備11的USB密碼設備插入客戶發送端13的USB接口上。若密碼設備11是PCI密碼卡，則將密碼設備11與客戶發送端13建立通信連接是將作為密碼設備11的PCI密碼卡插入客戶發送端13的主板上。[0043]步驟S203，登陸WEB系統。在本實施例中，上述登陸WEB系統的過程包括:由密碼設備11接入客戶發送端13，通過打開的WEB瀏覽器登陸WEB服務端15，由WEB服務端15生成一串隨機數並發送至客戶發送端的WEB前端；對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用密碼設備11中的籤名私鑰對所述ー串隨機數進行籤名得到籤名值；把所述籤名值發送至WEB服務端15，由WEB服務端15利用與密碼設備11中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；當所述籤名認證通過後，WEB服務端15即允許用戶登陸所述WEB系統，反之，若所述籤名認證沒有通過，WEB服務端15就禁止用戶登陸WEB系統。
[0044]步驟S205，判斷用戶是否為首次登陸。若判斷用戶為首次登陸，則進至步驟S207 ；若判斷用戶為非首次登陸，則進至步驟S209。
[0045]步驟S207,安裝ActiveX控制項,通過調用ActiveX控制項在本地創建有一個隱藏的安全文件櫃。在本實施例中，安裝ActiveX控制項具體包括:當判斷為用戶為首次登陸時，在所述WEB瀏覽器中彈出ActiveX控制項的安裝提示，並在接收到用戶的安裝指令後，在所述WEB系統內安裝ActiveX控制項。通過調用ActiveX控制項在本地創建有一個隱藏的安全文件櫃，具體包括:由Javascript調用所述ActiveX控制項在客戶發送端13創建ー個隱藏的安全文件櫃，並為所述安全文件櫃創建與所述密碼設備對應的ー開櫃密碼。更進一歩地，創建所述開機密碼包括:提供一串私有數據(可以是數字、字母和符號的任ー組合)，使用密碼設備11作計算處理(例如hash運算)後作為開櫃密碼。隨後，執行步驟S209。
[0046]步驟S209，填寫標題正文，把文件作為附件，調用ActiveX控制項加密主題正文和附件，並將其發送至相應的收件人。在本實施例中，步驟S209更進一歩包括:填寫正文，選擇一個或多個收件人，從客戶發送端13的本地文件中選擇作為附件的ー個或多個文件，利用密碼設備11中與發件人對應的籤名私鑰對所述正文進行籤名得到籤名值，由密碼設備11產生ー串隨機數，利用所述ー串隨機數對所述正文和所述籤名值進行加密；由所述WEB系統從WEB服務端15自動下載與ー個或多個所述收件人對應的ー個或多個加密公鑰，分別使用一個或多個所述加密公鑰對所述一串隨機數進行加密得到一個或多個隨機數加密值；把經加密的所述正文和所述籤名值連同一個或多個所述隨機數加密值合成在一起構成ー個密鑰信封，發給相應的收件人，完成公文的安全發送。
[0047]另外，在本發明的基於WEB的公文發送方法中，還包括密碼設備11在WEB服務端15進行註冊的過程。圖3即顯示了所述註冊過程的流程示意圖，如圖3所示，所述註冊更進ー步包括:步驟S301，利用WEB瀏覽器調用密碼設備11與WEB服務端15建立通信連接；具體地，將密碼設備11接入一信息處理裝置(例如客戶發送端)上，再利用WEB瀏覽器調用密碼設備11與WEB服務端15建立通信連接；步驟S303，提供用戶信息，由WEB服務端15生成與所述用戶信息對應的加密公私鑰對和籤名公私鑰對，所述加密公私鑰對包括加密公鑰和與所述加密公鑰匹配的加密私鑰，所述籤名公私鑰對包括籤名公鑰和與所述籤名公鑰匹配的籤名私鑰；步驟S305，由WEB服務端15將生成的所述加密私鑰和所述籤名私鑰置入密碼設備11中，而將所述加密公鑰和所述籤名公鑰保存在WEB服務端15中；步驟S307，將存儲有所述加密私鑰和所述籤名私鑰的所述密碼設備分發給對應的用戶。
[0048]由上所述的基於WEB的公文發送系統及公文發送方法，突破了傳統的文件安全管理系統的限制，提供了存儲有加密私鑰和籤名私鑰的密碼設備和存儲有加密公鑰和籤名公鑰的WEB服務端，而在公文發送時利用WEB系統(包括WEB瀏覽器和ActiveX控制項)，建立了密碼設備與WEB服務端的聯繫，使得密碼設備與WEB服務端進行配合，加強了公文信息的安全性，更進一步地，在公文發送時，採用發件人的籤名私鑰和收件人的加密公鑰安全手段對公文進行加密，可對公文進行多級安全保護，實現公文在公用網絡加密傳輸不被截取。
[0049]本發明又提供了一種基於WEB的公文接收系統，圖4即顯示了所述基於WEB的公文接收系統在一個實施例中的系統框圖。如圖4所示，所述數據安全系統至少包括:密碼設備11、客戶接收端14以及WEB服務端15。在實際應用中，客戶接收端可以是位於本地端、進行信息處理的信息處理裝置，例如為桌上型電腦、筆記本電腦、平板電腦、或智能終端等。WEB服務端15用於作為管控設備，可以例如為伺服器、服務站、或工作站等。
[0050]密碼設備11用於與客戶接收端14建立通信連接，包括有與收件人對應的加密私鑰和籤名私鑰。
[0051 ] 在本實施例中，密碼設備11可以是USB密碼設備或PCI密碼卡。在實際應用中，密碼設備是通過在WEB服務端15的註冊而得到所述的加密私鑰和籤名私鑰。具體來講:將密碼設備11接入一信息處理裝置(例如客戶接收端)上，利用WEB瀏覽器調用密碼設備11與WEB服務端15建立通信連接；提供用戶信息，由WEB服務端15生成與所述用戶信息對應的加密公私鑰對和籤名公私鑰對，所述加密公私鑰對包括加密公鑰和與所述加密公鑰匹配的加密私鑰，所述籤名公私鑰對包括籤名公鑰和與所述籤名公鑰匹配的籤名私鑰；由WEB服務端15將生成的所述加密私鑰和所述籤名私鑰置入密碼設備11中，而將所述加密公鑰和所述籤名公鑰保存在WEB服務端15中。
[0052]客戶接收端14配置有WEB系統，所述WEB系統配置有WEB瀏覽器和ActiveX控制項。在本實施例中，用戶不需要事先在客戶接收端14安裝客戶端軟體，只要通過調用所述ActiveX控制項就可以在本地的客戶接收端14內創建有一個隱藏的安全文件櫃,所述安全文件櫃可以存儲相應的公文。在實際應用中，當用戶首次登陸WEB系統時，WEB系統會要求用戶創建一個安全文件櫃，而在非首次登陸WEB系統時，則無需再創建安全文件櫃。
[0053]另外，至於提到的登陸WEB系統。在本發明中，密碼設備11還包括用以打開密碼設備11以獲取所述加密私鑰和所述籤名私鑰的PIN 口令；在登陸WEB系統時，由密碼設備11接入客戶接收端14，通過打開的WEB瀏覽器登陸WEB服務端15，；由所述WEB服務端生成一串隨機數並發送至客戶接收端14的WEB前端；對用戶提供PIN 口令進行驗證，並在驗證後，自動調用密碼設備11中的籤名私鑰對一串隨機數進行籤名得到籤名值；把所述籤名值發送至WEB服務端15，由WEB服務端15利用與密碼設備11中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，WEB服務端15即允許登陸所述WEB系統。
[0054]WEB服務端15與客戶接收端14通過網絡建立通信連接。在本發明中，客戶接收端14可通過WEB瀏覽器訪問WEB伺服器15。由上可知，任一密碼設備11註冊時，WEB服務端15均存儲有與所述密碼設備11對應的用戶的加密公鑰和籤名公鑰，因此，WEB服務端15存儲有各個用戶的加密公鑰和籤名公鑰。
[0055]當利用本發明基於WEB的公文接收系統進行公文接收時，具體包括:接收公文，所述公文中包括一密鑰信封，所述密鑰信封包括有經加密的正文和籤名值、以及一個或多個所述隨機數加密值；利用所述密碼設備中的加密私鑰解密所述信封中與所述加密私鑰對應的所述隨機數加密值得到一串隨機數，利用解密出的所述隨機數把加密的所述正文和所述籤名值解密出來；由所述客戶接收端從所述WEB服務端下載與所述公文的發件人對應的籤名公鑰，利用所述發件人的籤名公鑰，對解密出來的所述公文和所述籤名值作籤名認證；在所述籤名認證通過後，利用所述WEB系統自動下載公文的附件到本地的安全文件櫃。
[0056]本發明再提供了一種應用於圖4所示基於WEB的公文接收系統的公文接收方法。圖5即顯示了本發明基於WEB的公文接收方法的流程示意圖。結合圖4和圖5，所述基於WEB的公文接收方法包括:
[0057]步驟S501，將已註冊的密碼設備11接入客戶接收端14，將客戶接收端14與WEB服務端15通過網絡建立通信連接。在本實施例中，將密碼設備11與客戶接收端14建立通信連接是將密碼設備11直接插置於客戶接收端實現的，將客戶接收端14與WEB服務端15通過網絡建立通信連接是通過網絡實現通信連接的。具體地，若密碼設備11是USB密碼設備，則將密碼設備11與客戶接收端14建立通信連接是將作為密碼設備11的USB密碼設備插入客戶接收端14的USB接口上。若密碼設備11是PCI密碼卡，則將密碼設備11與客戶接收端14建立通信連接是將作為密碼設備11的PCI密碼卡插入客戶接收端14的主板上。
[0058]步驟S503，登陸WEB系統。在本實施例中，在本發明中，密碼設備11還包括用以打開密碼設備11以獲取所述加密私鑰和所述籤名私鑰的PIN 口令；在登陸WEB系統時，由密碼設備11接入客戶接收端14，通過打開的WEB瀏覽器登陸WEB服務端15，；由所述WEB服務端生成一串隨機數並發送至客戶接收端14的WEB前端；對用戶提供PIN 口令進行驗證，並在驗證後，自動調用密碼設備11中的籤名私鑰對一串隨機數進行籤名得到籤名值；把所述籤名值發送至WEB服務端15，由WEB服務端15利用與密碼設備11中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，WEB服務端15即允許登陸所述WEB系統。
[0059]步驟S505，判斷用戶是否為首次登陸。若判斷用戶為首次登陸，則進至步驟S507 ；若判斷用戶為非首次登陸，則進至步驟S509。
[0060]步驟S507,安裝ActiveX控制項,通過調用ActiveX控制項在本地創建有一個隱藏的安全文件櫃。在本實施例中，安裝ActiveX控制項具體包括:當判斷為用戶為首次登陸時，在所述WEB瀏覽器中彈出ActiveX控制項的安裝提示，並在接收到用戶的安裝指令後，在所述WEB系統內安裝ActiveX控制項。通過調用ActiveX控制項在本地創建有一個隱藏的安全文件櫃，具體包括:由Javascript調用所述ActiveX控制項在客戶接收端14創建一個隱藏的安全文件櫃，並為所述安全文件櫃創建與所述密碼設備對應的一開櫃密碼。更進一步地，創建所述開機密碼包括:提供一串私有數據(可以是數字、字母和符號的任一組合)，使用密碼設備11作計算處理(例如hash運算)後作為開櫃密碼。隨後，執行步驟S509。
[0061]步驟S509，提供開櫃密碼，打開安全文件櫃。
[0062]步驟S511，接收公文，對公文進行解解密，將公文的附件存儲到公文安全櫃中。在本實施例中，步驟S511更進一步包括:接收公文，所述公文中包括一密鑰信封，所述密鑰信封包括有經加密的正文和籤名值、以及一個或多個隨機數加密值；利用密碼設備11中的加密私鑰解密所述信封中與所述加密私鑰對應的隨機數加密值得到一串隨機數，利用解密出的所述一串隨機數把加密的所述正文和所述籤名值解密出來；由客戶接收端14從WEB服務端15下載與所述公文的發件人對應的籤名公鑰，利用所述發件人的籤名公鑰，對解密出來的所述公文和所述籤名值作籤名認證；在所述籤名認證通過後，利用所述WEB系統自動下載公文的附件到本地的安全文件櫃。
[0063]另外，在本發明的基於WEB的公文接收方法中，還包括密碼設備11在WEB服務端15進行註冊的過程。圖6即顯示了所述註冊過程的流程示意圖，如圖6所示，所述註冊更進一步包括:步驟S601，利用WEB瀏覽器調用密碼設備11與WEB服務端15建立通信連接；具體地，將密碼設備11接入一信息處理裝置(例如客戶接收端)上，再利用WEB瀏覽器調用密碼設備11與WEB服務端15建立通信連接；步驟S603，提供用戶信息，由WEB服務端15生成與所述用戶信息對應的加密公私鑰對和籤名公私鑰對，所述加密公私鑰對包括加密公鑰和與所述加密公鑰匹配的加密私鑰，所述籤名公私鑰對包括籤名公鑰和與所述籤名公鑰匹配的籤名私鑰；步驟S605，由WEB服務端15將生成的所述加密私鑰和所述籤名私鑰置入密碼設備11中，而將所述加密公鑰和所述籤名公鑰保存在WEB服務端15中；步驟S607，將存儲有所述加密私鑰和所述籤名私鑰的所述密碼設備分發給對應的用戶。
[0064]由上所述的基於WEB的公文接收系統及公文接收方法，突破了傳統的文件安全管理系統的限制，提供了存儲有加密私鑰和籤名私鑰的密碼設備和存儲有加密公鑰和籤名公鑰的WEB服務端，使得公文接收時需密碼設備與WEB服務端進行配合，加強了公文信息的安全性，更進一步地，在公文收發時，採用加密和籤名等安全手段，可對公文實現多級安全保護，可以實現公文在公用網絡加密傳輸不被截取，在本地安全保存不被非法拷貝竊取。
[0065]由上所述的基於WEB的公文接收系統及公文接收方法，突破了傳統的文件安全管理系統的限制，提供了存儲有加密私鑰和籤名私鑰的密碼設備和存儲有加密公鑰和籤名公鑰的WEB服務端，而在公文接收時利用WEB系統(包括WEB瀏覽器和ActiveX控制項)，建立了密碼設備與WEB服務端的聯繫，使得密碼設備與WEB服務端進行配合，加強了公文信息的安全性，更進一步地，在公文接收時，採用收件人的加密私鑰和發件人的籤名公鑰安全手段對公文進行解密和籤名認證，可對公文進行多級安全保護，實現公文在公用網絡合法下載及在本地安全保存而不被非法拷貝竊取。
[0066]需特別說明的是，在如前所述基於WEB的公文發送系統中包括有作為發送方、用於發送公文的客戶發送端，而在實際應用中，所述客戶發送端實際上也可以作為接收方以用於接收公文。基於同樣的技術，在所述基於WEB的公文接收系統中包括有作為接收方、用於接收公文的客戶接收端，在實際應用中，所述客戶接收端實際上也可以作為發送方以用於發送公文。因此，基於本發明的技術思想，本發明仍可有其他的擴展實例。具體而言，請參閱圖7和圖8，其中，圖7即顯示了既包括有用於發送公文的客戶發送端又包括有用於接收公文的客戶接收端的基於WEB的公文收發系統的一個實例，圖8即顯示了包括有兼具作為發送方以用於發送公文以及作為接收方以用於接收公文的客戶端的基於WEB的公文收發系統的另一個實例。由於客戶發送端、客戶接收端或者客戶端的形態及其工作原理已為前述所揭示，故不再在此贅述。
[0067]上述實施例僅例示性說明本發明的原理及其功效，而非用於限制本發明。任何熟悉此技術的人士皆可在不違背本發明的精神及範疇下，對上述實施例進行修飾或改變。因此，舉凡所屬【技術領域】中具有通常知識者在未脫離本發明所揭示的精神與技術思想下所完成的一切等效修飾或改變，仍應由本發明的權利要求所涵蓋。
【權利要求】
1.一種基於WEB的公文發送系統，其特徵在於，包括:密碼設備、客戶發送端以及WEB服務端； 所述客戶發送端配置有WEB系統，所述WEB系統配置有ActiveX控制項； 所述密碼設備包括有與發件人對應的加密私鑰和籤名私鑰； 所述WEB服務端與所述客戶發送端通過網絡建立通信連接，包括各個用戶的加密公鑰和籤名公鑰； 當發送公文吋，填寫正文，選擇ー個或多個收件人，選擇作為附件的ー個或多個文件，通過所述ActiveX控制項調用所述密碼設備中與發件人對應的籤名私鑰以對所述正文進行籤名得到籤名值，由所述密碼設備產生第一隨機數，利用所述第一隨機數對所述正文和所述籤名值進行加密；由所述WEB系統從所述WEB服務端自動下載與一個或多個所述收件人對應的ー個或多個加密公鑰，分別使用一個或多個所述加密公鑰對所述第一隨機數進行加密得到ー個或多個第一隨機數加密值；把經加密的所述正文和所述籤名值連同一個或多個所述第一隨機數加密值合成在一起構成ー個密鑰信封，發給相應的收件人，完成公文的安全發送。
2.根據權利要求1所述的基於WEB的公文發送系統，其特徵在於: 所述密碼設備還包括用以打開所述密碼設備以獲取所述加密私鑰和所述籤名私鑰的PIN ロ令； 在登陸WEB系統時，由密碼設備接入所述客戶發送端，通過打開的WEB瀏覽器登陸所述WEB服務端，由所述WEB服務端生成第二隨機數並發送至所述客戶發送端的WEB前端；對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用所述密碼設備中的籤名私鑰對所述第二隨機數進行籤名得到籤名值；把所述籤名值發送至所述WEB服務端，由所述WEB服務端利用與所述密碼設備中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，所述WEB服務端即允許登陸所述WEB系統。
3.一種應用於權利要求1或2所述的基於WEB的公文發送系統的公文發送方法，其特徵在於，所述公文發送方法包括: 將密碼設備接入客戶發送端，將客戶發送端與WEB服務端通過網絡建立通信連接； 登陸WEB系統； 填寫正文，選擇ー個或多個收件人，從所述客戶發送端的安全文件櫃中選擇作為附件的ー個或多個文件，利用所述密碼設備中與發件人對應的籤名私鑰對所述正文進行籤名得到籤名值，由所述密碼設備產生第一隨機數，利用所述第一隨機數對所述正文和所述籤名值進行加密；由所述WEB系統從所述WEB服務端自動下載與一個或多個所述收件人對應的ー個或多個加密公鑰，分別使用一個或多個所述加密公鑰對所述第一隨機數進行加密得到ー個或多個第一隨機數加密值；把經加密的所述正文和所述籤名值連同一個或多個所述第一隨機數加密值合成在一起構成ー個密鑰信封，發給相應的收件人，完成公文的安全發送。
4.根據權利要求3所述的基於WEB的公文發送方法，其特徵在幹，還包括密碼設備在WEB服務端進行註冊的過程，包括: 利用WEB瀏覽器調用所述密碼設備與所述WEB服務端建立通信連接； 提供用戶信息，由所述WEB服務端生成與所述用戶信息對應的加密公私鑰對和籤名公私鑰對，所述加密公私鑰對包括加密公鑰和與所述加密公鑰匹配的加密私鑰，所述籤名公私鑰對包括籤名公鑰和與所述籤名公鑰匹配的籤名私鑰； 由所述WEB服務端將生成的所述加密私鑰和所述籤名私鑰置入所述密碼設備中，而將所述加密公鑰和所述籤名公鑰保存在所述WEB服務端中。
5.根據權利要求3所述的基於WEB的公文發送方法，其特徵在於，所述登陸WEB系統的過程包括: 由密碼設備接入所述客戶發送端，通過打開的WEB瀏覽器登陸所述WEB服務端，由所述WEB服務端生成第二隨機數並發送至所述客戶發送端的WEB前端； 對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用所述密碼設備中的籤名私鑰對所述第二隨機數進行籤名得到籤名值； 把所述籤名值發送至所述WEB服務端，由所述WEB服務端利用與所述密碼設備中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證； 在所述籤名認證通過後，所述WEB服務端即允許登陸所述WEB系統。
6.一種基於WEB的公文接收系統，其特徵在於，包括:密碼設備、客戶接收端以及WEB服務端； 所述客戶接收端配置有WEB系統，所述WEB系統配置有ActiveX控制項，通過調用ActiveX控制項在本地創建有一個隱藏的安全文件櫃； 所述密碼設備用幹與所述客戶接收端建立通信連接，包括有與收件人對應的加密私鑰和籤名私鑰； 所述WEB服務端與所述客戶接收端通過網絡建立通信連接，包括各個用戶的加密公鑰和籤名公鑰； 當接收公文時，所述公文中包括一密鑰信封，所述密鑰信封包括有經加密的正文和籤名值、以及一個或多個所述第一隨機數加密值；利用所述密碼設備中的加密私鑰解密所述信封中的第一隨機數加密值得到第一隨機數，利用解密出的所述第一隨機數把加密的所述正文和所述籤名值解密出來；由所述客戶接收端從所述WEB服務端下載與所述公文的發件人對應的籤名公鑰，利用所述發件人的籤名公鑰，對解密出來的所述公文和所述籤名值作籤名認證；在所述籤名認證通過後，利用所述WEB系統自動下載公文的附件到本地的安全文件櫃。
7.根據權利要求6所述的基於WEB的公文接收系統，其特徵在於: 所述密碼設備還包括用以打開所述密碼設備以獲取所述加密私鑰和所述籤名私鑰的PIN ロ令； 在登陸WEB系統時，由密碼設備接入所述客戶接收端，通過打開的WEB瀏覽器登陸所述WEB服務端，由所述WEB服務端生成第二隨機數並發送至所述客戶接收端的WEB前端；對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用所述密碼設備中的籤名私鑰對所述第二隨機數進行籤名得到籤名值；把所述籤名值發送至所述WEB服務端，由所述WEB服務端利用與所述密碼設備中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證；在所述籤名認證通過後，所述WEB服務端即允許登陸所述WEB系統。
8.一種應用於權利要求6或7所述的基於WEB的公文接收系統的公文接收方法，其特徵在於，所述公文接收方法包括: 將密碼設備接入客戶接收端，將客戶接收端與WEB服務端通過網絡建立通信連接；登陸WEB系統； 接收公文，所述公文中包括一密鑰信封，所述密鑰信封包括有經加密的正文和籤名值、以及ー個或多個所述第一隨機數加密值；利用所述密碼設備中的加密私鑰解密所述信封中的第一隨機數加密值得到第一隨機數，利用解密出的所述第一隨機數把加密的所述正文和所述籤名值解密出來；由所述客戶接收端從所述WEB服務端下載與所述公文的發件人對應的籤名公鑰，利用所述發件人的籤名公鑰，對解密出來的所述公文和所述籤名值作籤名認證；在所述籤名認證通過後，利用所述WEB系統自動下載公文的附件到本地的安全文件拒。
9.根據權利要求8所述的基於WEB的公文接收方法，其特徵在幹，還包括密碼設備在WEB服務端進行註冊的過程，包括: 利用WEB瀏覽器調用所述密碼設備與所述WEB服務端建立通信連接； 提供用戶信息，由所述WEB服務端生成與所述用戶信息對應的加密公私鑰對和籤名公私鑰對，所述加密公私鑰對包括加密公鑰和與所述加密公鑰匹配的加密私鑰，所述籤名公私鑰對包括籤名公鑰和與所述籤名公鑰匹配的籤名私鑰； 由所述WEB服務端將生成的所述加密私鑰和所述籤名私鑰置入所述密碼設備中，而將所述加密公鑰和所述籤名公鑰保存在所述WEB服務端中。
10.根據權利要求8所述的基於WEB的公文接收方法，其特徵在於，所述登陸WEB系統的過程包括: 由密碼設備接入所述客戶接收端，通過打開的WEB瀏覽器登陸所述WEB服務端，由所述WEB服務端生成第二隨機數並發送至所述客戶接收端的WEB前端； 對用戶提供PIN ロ令進行驗證，並在驗證後，自動調用所述密碼設備中的籤名私鑰對所述第二隨機數進行籤名得到籤名值； 把所述籤名值發送至所述WEB服務端，由所述WEB服務端利用與所述密碼設備中簽名私鑰對應的籤名公鑰對所述籤名值進行籤名認證； 在所述籤名認證通過後，所述WEB服務端即允許登陸所述WEB系統。
11.根據權利要求8所述的基於WEB的公文接收方法，其特徵在於，還包括在所述客戶接收端創建一個隱藏的安全文件櫃的步驟，包括:由所述WEB系統調用所述ActiveX控制項在所述客戶接收端創建一個隱藏的安全文件櫃，並為所述安全文件櫃創建與所述密碼設備對應的ー開櫃密碼。
【文檔編號】H04L29/08GK103457736SQ201310386508
【公開日】2013年12月18日 申請日期:2013年8月29日 優先權日:2013年8月29日
【發明者】耿振民, 劉海剛 申請人:無錫華御信息技術有限公司