一種使用指紋籤名和蓋章的方法
2023-10-04 17:04:49
專利名稱:一種使用指紋籤名和蓋章的方法
技術領域:
本發明涉及電子信息安全領域。它提供了一種使用指紋籤名和蓋章的方法。
背景技術:
指紋識別技術是目前國際公認的應用最廣泛,價格最低廉、易用性最高的生物認 證技術,相對於其它身份認證技術,自動指紋識別具有許多獨到的信息安全優點,具體體現 在一下幾個方面1)每個人的指紋是相當固定的,不會隨著人的年齡的增長或身體健康程 度的變化而變化,但是人的聲音、面相等卻存在較大變化的可能。2、指紋樣本便於獲取,易 於開發識別系統,實用性強。目前已有標準的指紋樣本庫,方便了識別系統的軟體開發;另 外,識別系統中完成指紋採樣功能的硬體部分也較易實現。3) —個人的十指指紋皆不相同, 這樣可以方便地利用多個指紋構成多重口令,提高系統的安全性。5)指紋識別中使用的模 板並非最初的指紋圖,而是由指紋圖中提取的關鍵特徵,這樣既使系統對模板庫的存儲量 較小也保護了使用者的個人隱私。另外,對輸入的指紋圖提取關鍵特徵後,可以大大減少網 絡傳輸的負擔,便於實現異地確認,支持計算機的網絡功能。PKI (Pubic Key Infrastructure)是一種遵循標準的利用公鑰加密技術為電子商 務的開展提供一套安全基礎平臺的技術和規範。用戶可利用PKI平臺提供的服務進行安全 通信。使用基於公鑰技術系統的用戶建立安全通信信任機制的基礎是網上進行的任何需 要安全服務的通信都是建立在公鑰的基礎之上的,而與公鑰成對的私鑰只掌握在他們與之 通信的另一方。這個信任的基礎是通過公鑰證書的使用來實現的。公鑰證書就是一個用戶 的身份與他所持有的公鑰的結合,在結合之前由一個可信任的權威機構CA來證實用戶的 身份,然後由其對該用戶身份及對應公鑰相結合的證書進行數字籤名,以證明其證書的有 效性。PKI必須具有權威認證機構CA在公鑰加密技術基礎上對證書的產生、管理、存檔、 發放以及作廢進行管理的功能,包括實現這些功能的全部硬體、軟體、人力資源、相關政策 和操作程序,以及為PKi體系中的各成員提供全部的安全服務。如實現通信中各實體的身 份認證、保證數據的完整、抗否認性和信息保密等。
背景技術:
電子印章是物理印章體系的電子化和網絡化,是電子網絡中的身份確認與授權 「手段」,它將現代科學技術和人們的傳統習慣結合在一起。是傳統印章發展到信息社會後 的一個新的階段。電子印章通過使用硬軟體技術,以電子化的方式模擬物理印章的使用,使用戶在 電子政務,電子商務等活動中擁有一種符合傳統用章習慣的應用體驗;同時電子印章又採 用了先進的加密,籤名,信息隱藏等安全技術,從而是其具有物理印章不可比擬的安全性和 可追溯性。現階段電子印章是數字籤名技術的一項應用,但它把晦澀的電子籤名技術變成了 人們習以為常的籤名蓋章方式,更合符人們傳統信用習慣與公信、誠信體系,大大消除了電子籤名的應用障礙,對電子籤名的應用推廣具有非常巨大的價值。在很多國家,電子籤名已具有法律效力。《中華人民共和國電子籤名法》第十三條 規定同時滿足下列四個條件的電子籤名就視為可靠的電子籤名,同時規定了可靠的電子籤 名與手寫籤名或者蓋章具有同等的法律效力。(一)電子籤名製作數據用於電子籤名時,屬於電子籤名人專有;(二)籤署時電子籤名製作數據僅由電子籤名人控制;(三)籤署後對電子籤名的任何改動能夠被發現;(四)籤署後對數據電文內容和形式的任何改動能夠被發現。
發明內容
本發明以指紋識別技術和PKI技術為基礎,通過指紋驗證實現及驗證的流程與方 法。其主要步驟為1)用戶在計算機上插入裝有數字證書和電子印章的指紋儀;2)用戶通過指紋儀設備的指紋登錄認證,讀出設備中的印章列表;3)用戶選擇要使用的印章,進行籤蓋;系統對所選擇的電子印章和所對應綁定的 數字證書進行可用性,安全性和權限檢查,如果通過,繼續下面的步驟;4)步驟幻的驗證通過後,電子印章系統文檔內容進行一個HASH運算,得到數字摘 要,然後使用數字證書裡的私鑰對摘要進行加密,得到數字籤名和數字證書公鑰;5)電子印章系統在計算機內存中生成一個印章對象實例,將步驟4)得到的數字 籤名和數字證書公鑰以及步驟3)所選擇印章的各項數據作為屬性賦值給這個印章對象實 例;6)電子印章系統在電子文檔內籤入步驟幻中生成的印章對象實例,完成蓋章過 程,同時對過程進行日誌記錄;7)對電子文檔上的印章進行本地驗證時,電子印章系統首先從文檔中的印章對象 中取出籤名數據和數字證書公鑰;然後使用公鑰對籤名數據解密,得到數字摘要;8)使用與步驟4)中相同的HASH算法計算出摘要與步驟7)中的摘要進行對比,如 果相同,則驗證通過;否則驗證未通過,文檔被篡改。印章對象顯示出「文檔已被篡改」的 標識;9)印章驗證通過後,用戶可以查看到籤章者證書和印章其他信息;技術路線系統由指紋儀設備(硬體)和構建在上面功能接口(軟體)組成。設備中存放 的是受保護的用戶數據,如證書,印章等,應用程式必須通過功能接口才能訪問使用這些數 據;功能接口有四部分組成PKI功能和數據存取是最基本的功能接口,電子印章功能就屬 於在上述兩接口之上拓展出的接口,設備管理則提供了對專用設備的一些基本管理功能接 口。目前系統對應用程式開放的是電子印章和PKI功能接口,當然也可以根據應用程式具 體需求,來定製開發新的接口。系統結構見附圖
。附面說明系統由指紋儀設備(硬體)和構建在上面功能接口(軟體)組成。設備中存放的是受 保護的用戶數據,如證書,印章等,應用程式必須通過功能接口才能訪問使用這些數據;功能接口有四部分組成PKI功能和數據存取是最基本的功能接口,電子印章功能就屬於在 上述兩接口之上拓展出的接口,設備管理則提供了對專用設備的一些基本管理功能接口。 目前系統對應用程式開放的是電子印章和PKI功能接口,當然也可以根據應用程式具體需 求,來定製開發新的接口。
權利要求
1.一種使用指紋籤名和蓋章的方法。其主要步驟為1)用戶在計算機上插入裝有數字證書和電子印章的指紋儀。2)用戶通過指紋儀設備的指紋登錄認證,讀出設備中的印章列表。3)用戶選擇要使用的印章,進行籤蓋;系統對所選擇的電子印章和所對應綁定的數字 證書進行可用性,安全性和權限檢查,如果通過,繼續下面的步驟。4)步驟3)的驗證通過後,電子印章系統文檔內容進行一個HASH運算,得到數字摘要, 然後使用數字證書裡的私鑰對摘要進行加密,得到數字籤名和數字證書公鑰。5)電子印章系統在計算機內存中生成一個印章對象實例,將步驟4)得到的數字籤名 和數字證書公鑰以及步驟3)所選擇印章的各項數據作為屬性賦值給這個印章對象實例。6)電子印章系統在電子文檔內籤入步驟幻中生成的印章對象實例,完成蓋章過程,同 時對過程進行日誌記錄。7)對電子文檔上的印章進行本地驗證時,電子印章系統首先從文檔中的印章對象中取 出籤名數據和數字證書公鑰;然後使用公鑰對籤名數據解密,得到數字摘要。8)使用與步驟4)中相同的HASH算法計算出摘要與步驟7)中的摘要進行對比,如果相 同,則驗證通過;否則驗證未通過,文檔被篡改。印章對象顯示出「文檔已被篡改」的標識。9)印章驗證通過後,用戶可以查看到籤章者證書和印章其他信息。
2.如權利要求1所述的一種使用指紋籤名和蓋章的方法,其特徵在於用戶可以通過 印章平臺系統將證書與印章事先存放在指紋儀設備中。
3.如權利要求1所述的一種使用指紋籤名和蓋章的方法,其特徵在於此方法所使用 的指紋儀設備最多可以存儲10張用戶證書。
4.如權利要求1所述的一種使用指紋籤名和蓋章的方法,其特徵在於此方法所使用 的指紋儀設備最多可以採集20個指紋模板,支持多用戶使用。
5.如權利要求1所述的一種使用指紋籤名和蓋章的方法,其特徵在於此方法所使用 的指紋設備達到如下功能指標1)採用國家密碼資質單位密碼體系,硬實現RSA(10M 4096)、國產對稱加密算法。2)存儲容量32M IG字節。3)標準USB通信接口,精巧的外觀設計,簡便易用的管理工具(人機界面)。4)支持的作業系統Windows98/98SE/2K/XP/2003。5)遵循標準MicrosoftCryptoAPI, ISO 7816_3、4、6、8、9,PC/SC,Χ· 509 V3。6)支持使用標準Χ.509證書協議和相應PKI規範。7)提供跨平臺的服務接口,滿足不同平臺,不同系統使用安全服務的要求,提供二次開 發接口。8)支持PKCS#11和CryptoAPI/CSP兩種加密體系;密碼體系和應用安全之間採用標準 CSP結構,利於系統技術分層升級。
6.如權利要求1所述的一種使用指紋籤名和蓋章的方法,其特徵在於系統支持在多 種常用電子文檔中的使用(包括但不限於MS Word2000/XP/2003,MS Excel2000/XP/2003, 金山 WPS 文字,Acrobat PDF, AutoCAD)。
7.如權利要求1所述的一種使用指紋籤名和蓋章的方法,其特徵在於頒發到指紋儀 設備中的電子印章數據可以通過設置授權使用次數進行控制。每籤蓋一次印章設備中的授權使用次數減1,當次數為0時,指紋儀設備中的印章不能再被使用,只能通過重新授權或 在線更新方式取得新授權。
全文摘要
本發明涉及電子信息安全領域。它提供了一種使用指紋籤名和蓋章的方法。本發明以指紋識別技術和PKI技術為基礎,通過指紋驗證實現及驗證的流程與方法。其主要步驟為1)用戶在計算機上插入裝有數字證書和電子印章的指紋儀;2)用戶通過指紋儀設備的指紋登錄認證,讀出設備中的印章列表;3)用戶選擇要使用的印章,進行籤蓋;系統對所選擇的電子印章和所對應綁定的數字證書進行可用性,安全性和權限檢查,如果通過,繼續下面的步驟;4)步驟3)的驗證通過後,電子印章系統文檔內容進行一個HASH運算,得到數字摘要,然後使用數字證書裡的私鑰對摘要進行加密,得到數字籤名和數字證書公鑰;5)電子印章系統在計算機內存中生成一個印章對象實例,將步驟4)得到的數字籤名和數字證書公鑰以及步驟3)所選擇印章的各項數據作為屬性賦值給這個印章對象實例;6)電子印章系統在電子文檔內籤入步驟5)中生成的印章對象實例,完成蓋章過程,同時對過程進行日誌記錄;7)對電子文檔上的印章進行本地驗證時,電子印章系統首先從文檔中的印章對象中取出籤名數據和數字證書公鑰;然後使用公鑰對籤名數據解密,得到數字摘要;8)使用與步驟4)中相同的HASH算法計算出摘要與步驟7)中的摘要進行對比,如果相同,則驗證通過;否則驗證未通過,文檔被篡改。印章對象顯示出「文檔已被篡改」的標識;9)印章驗證通過後,用戶可以查看到籤章者證書和印章其他信息。
文檔編號G06Q10/00GK102043912SQ20091019308
公開日2011年5月4日 申請日期2009年10月15日 優先權日2009年10月15日
發明者張大年, 許兆然 申請人:廣州市百成科技有限公司