一種可信電子簽名系統(tǒng)及電子簽名方法
【技術領域】
[0001]本發(fā)明涉及信息安全技術領域,具體地說是一種實用性強�����、可信電子簽名系統(tǒng)及電子簽名方法�。
【背景技術】
[0002]隨著信息技術的進步�,電子簽名技術在電子政務和電子商務中發(fā)揮著越來越重要的作用����。目前的電子簽名都是在普通終端設備上實現的,由于普通終端上可信環(huán)境的構建還存在著許多難點��,因此電子簽名的安全性無法得到有效的保障��?�;诖?����,現提供一種可信電子簽名系統(tǒng)及電子簽名方法�����,通過采用可信密碼模塊����,有效保障電子簽名的安全性���。
【發(fā)明內容】
[0003]本發(fā)明的技術任務是針對以上不足之處���,提供一種實用性強��、可信電子簽名系統(tǒng)及電子簽名方法���。
[0004]—種可信電子簽名系統(tǒng),其結構包括順序連接的可信電子簽名終端����、可信電子簽名管理系統(tǒng)、證書頒發(fā)中心�,其中:
可信電子簽名終端內置可信密碼模塊,在系統(tǒng)可信的環(huán)境下完成對電子文檔的簽名和驗證功能��;
可信簽名管理系統(tǒng)負責待簽名驗證文檔的下發(fā)和上傳��,用戶通過高可信簽名終端閱讀電子文檔���,并且進行簽名和驗證簽名的工作�,終端通過串口通信與可信簽名管理系統(tǒng)進行通信����;
證書頒發(fā)中心負責證書的下發(fā)。
[0005]所述可信密碼模塊選用國民技術的SSX44安全芯片,采用密碼模塊密鑰EK標識可信計算密碼支撐平臺的身份����,在平臺所有者授權下,在SSX44芯片內部生成一對國密算法SM2密鑰對���,公鑰發(fā)送給用戶使用��,私鑰保存在SSX44內部不能導出���。
[0006]所述可信簽名終端包括若干個,相對應的��,與其連接的可信簽名管理系統(tǒng)設置有若干個�,且所有可信簽名管理系統(tǒng)之間通過網絡傳輸連接��,所有可信簽名管理系統(tǒng)均連接證書頒發(fā)中心����,至少一個可信簽名終端及與其相連的可信簽名管理系統(tǒng)為簽名方;至少一個可信簽名終端及與其相連的可信簽名管理系統(tǒng)為簽名方為驗簽方����。
[0007]—種使用上述可信系統(tǒng)的電子簽名方法,其具體實現過程為:
在上述可信系統(tǒng)環(huán)境下完成對電子文檔的簽名;
在上述可信系統(tǒng)環(huán)境下完成對電子文檔的驗證�。
[0008]所述簽名過程為:
使用可信簽名終端對電子文檔簽名時,由該終端內的可信密碼模塊產生密鑰���,該密鑰包括發(fā)送給用戶的公鑰和私鑰����;
用戶使用公鑰向證書頒發(fā)中心申請簽名證書���,證書簽發(fā)完畢后�����,可信簽名管理系統(tǒng)將待簽名的電子文檔下發(fā)給可信簽名終端����; 用戶在終端上打開電子文檔�����,閱讀文檔的完整性���,以確保待簽名文檔在下發(fā)過程中未受到第三方篡改���;
當確定文檔未被篡改之后即可按簽名按鈕�����,在可信密碼模塊的私鑰對文檔進行簽名���,之后簽名終端將簽名數據和公鑰證書發(fā)送給可信簽名管理系統(tǒng),完成電子簽名過程�。
[0009]所述簽名方的可信簽名終端內部的可信密碼模塊為SSX44芯片,生成一對SM2公鑰和私鑰�����,并將公鑰發(fā)送給用戶�����,私鑰則保存在SSX44的內部�����;當開始簽名時���,使用SSX44內部生成的SM2私鑰對文檔進行簽名。
[0010]所述驗證過程為:
簽名方的可信簽名管理系統(tǒng)使用網絡傳輸將簽名文檔和簽名數據發(fā)送給驗簽方,驗簽方的簽名管理系統(tǒng)將簽名文檔�、簽名數據和公鑰證書下發(fā)到自己的可信簽名終端;
驗簽方的可信簽名終端考察公鑰證書的真實性���,然后從公鑰證書中提取公鑰�,接著對簽名文檔進行驗簽��,得到驗簽的結果�����,并返回給與其相連的簽名管理系統(tǒng)�����,完成電子驗證簽名的過程���。
[0011]本發(fā)明的一種可信電子簽名系統(tǒng)及電子簽名方法����,具有以下優(yōu)點:
本發(fā)明提出的一種可信電子簽名系統(tǒng)及電子簽名方法����,有效保障電子簽名的安全性�����,可以應用于公司的可信服務器產品���,增加產品的功能,提升市場競爭力�,實用性強,易于推廣��。
【附圖說明】
[0012]附圖1是本發(fā)明實現示意圖����。
【具體實施方式】
[0013]下面結合附圖和具體實施例對本發(fā)明作進一步說明。
[0014]本發(fā)明提供一種可信電子簽名系統(tǒng)����,如附圖1所示,其結構包括順序連接的可信電子簽名終端���、可信電子簽名管理系統(tǒng)����、證書頒發(fā)中心���,其中:
可信電子簽名終端內置可信密碼模塊�����,在系統(tǒng)可信的環(huán)境下完成對電子文檔的簽名和驗證功能���;
可信簽名管理系統(tǒng)負責待簽名驗證文檔的下發(fā)和上傳,用戶通過高可信簽名終端閱讀電子文檔��,并且進行簽名和驗證簽名的工作�����,終端通過串口通信與可信簽名管理系統(tǒng)進行通信�;
證書頒發(fā)中心負責證書的下發(fā)。
[0015]所述可信密碼模塊選用國民技術的SSX44安全芯片�����,采用密碼模塊密鑰EK標識可信計算密碼支撐平臺的身份��,在平臺所有者授權下�,在SSX44芯片內部生成一對國密算法SM2密鑰對,公鑰發(fā)送給用戶使用�,私鑰保存在SSX44內部不能導出��。
[0016]SSX44芯片證書符合X.509 V3標準�����,在平臺使用前由可信第三方簽署����,確保其可行性�,用于建立密碼模塊密鑰EK與SSX44芯片的一一對應關系。
[0017]所述可信簽名終端包括若干個���,相對應的����,與其連接的可信簽名管理系統(tǒng)設置有若干個����,且所有可信簽名管理系統(tǒng)之間通過網絡傳輸連接,所有可信簽名管理系統(tǒng)均連接證書頒發(fā)中心��,至少一個可信簽名終端及與其相連的可信簽名管理系統(tǒng)為簽名方��;至少一個可信簽名終端及與其相連的可信簽名管理系統(tǒng)為簽名方為驗簽方�。
[0018]—種使用上述可信系統(tǒng)的電子簽名方法�����,其具體實現過程為:
在上述可信系統(tǒng)環(huán)境下完成對電子文檔的簽名;
在上述可信系統(tǒng)環(huán)境下完成對電子文檔的驗證��。
[0019]所述簽名過程為:
使用可信簽名終端對電子文檔簽名時����,由該終端內的可信密碼模塊產生密鑰,該密鑰包括發(fā)送給用戶的公鑰和私鑰�;
用戶使用公鑰向證書頒發(fā)中心申請簽名證書,證書簽發(fā)完畢后���,可信簽名管理系統(tǒng)將待簽名的電子文檔下發(fā)給可信簽名終端��;
用戶在終端上打開電子文檔����,閱讀文檔的完整性�����,以確保待簽名文檔在下發(fā)過程中未受到第三方篡改�����;
當確定文檔未被篡改之后即可按簽名按鈕,在可信密碼模塊的私鑰對文檔進