一種可信電子簽名系統及電子簽名方法
【技術領域】
[0001]本發明涉及信息安全技術領域,具體地說是一種實用性強、可信電子簽名系統及電子簽名方法。
【背景技術】
[0002]隨著信息技術的進步,電子簽名技術在電子政務和電子商務中發揮著越來越重要的作用。目前的電子簽名都是在普通終端設備上實現的,由于普通終端上可信環境的構建還存在著許多難點,因此電子簽名的安全性無法得到有效的保障。基于此,現提供一種可信電子簽名系統及電子簽名方法,通過采用可信密碼模塊,有效保障電子簽名的安全性。
【發明內容】
[0003]本發明的技術任務是針對以上不足之處,提供一種實用性強、可信電子簽名系統及電子簽名方法。
[0004]—種可信電子簽名系統,其結構包括順序連接的可信電子簽名終端、可信電子簽名管理系統、證書頒發中心,其中:
可信電子簽名終端內置可信密碼模塊,在系統可信的環境下完成對電子文檔的簽名和驗證功能;
可信簽名管理系統負責待簽名驗證文檔的下發和上傳,用戶通過高可信簽名終端閱讀電子文檔,并且進行簽名和驗證簽名的工作,終端通過串口通信與可信簽名管理系統進行通信;
證書頒發中心負責證書的下發。
[0005]所述可信密碼模塊選用國民技術的SSX44安全芯片,采用密碼模塊密鑰EK標識可信計算密碼支撐平臺的身份,在平臺所有者授權下,在SSX44芯片內部生成一對國密算法SM2密鑰對,公鑰發送給用戶使用,私鑰保存在SSX44內部不能導出。
[0006]所述可信簽名終端包括若干個,相對應的,與其連接的可信簽名管理系統設置有若干個,且所有可信簽名管理系統之間通過網絡傳輸連接,所有可信簽名管理系統均連接證書頒發中心,至少一個可信簽名終端及與其相連的可信簽名管理系統為簽名方;至少一個可信簽名終端及與其相連的可信簽名管理系統為簽名方為驗簽方。
[0007]—種使用上述可信系統的電子簽名方法,其具體實現過程為:
在上述可信系統環境下完成對電子文檔的簽名;
在上述可信系統環境下完成對電子文檔的驗證。
[0008]所述簽名過程為:
使用可信簽名終端對電子文檔簽名時,由該終端內的可信密碼模塊產生密鑰,該密鑰包括發送給用戶的公鑰和私鑰;
用戶使用公鑰向證書頒發中心申請簽名證書,證書簽發完畢后,可信簽名管理系統將待簽名的電子文檔下發給可信簽名終端; 用戶在終端上打開電子文檔,閱讀文檔的完整性,以確保待簽名文檔在下發過程中未受到第三方篡改;
當確定文檔未被篡改之后即可按簽名按鈕,在可信密碼模塊的私鑰對文檔進行簽名,之后簽名終端將簽名數據和公鑰證書發送給可信簽名管理系統,完成電子簽名過程。
[0009]所述簽名方的可信簽名終端內部的可信密碼模塊為SSX44芯片,生成一對SM2公鑰和私鑰,并將公鑰發送給用戶,私鑰則保存在SSX44的內部;當開始簽名時,使用SSX44內部生成的SM2私鑰對文檔進行簽名。
[0010]所述驗證過程為:
簽名方的可信簽名管理系統使用網絡傳輸將簽名文檔和簽名數據發送給驗簽方,驗簽方的簽名管理系統將簽名文檔、簽名數據和公鑰證書下發到自己的可信簽名終端;
驗簽方的可信簽名終端考察公鑰證書的真實性,然后從公鑰證書中提取公鑰,接著對簽名文檔進行驗簽,得到驗簽的結果,并返回給與其相連的簽名管理系統,完成電子驗證簽名的過程。
[0011]本發明的一種可信電子簽名系統及電子簽名方法,具有以下優點:
本發明提出的一種可信電子簽名系統及電子簽名方法,有效保障電子簽名的安全性,可以應用于公司的可信服務器產品,增加產品的功能,提升市場競爭力,實用性強,易于推廣。
【附圖說明】
[0012]附圖1是本發明實現示意圖。
【具體實施方式】
[0013]下面結合附圖和具體實施例對本發明作進一步說明。
[0014]本發明提供一種可信電子簽名系統,如附圖1所示,其結構包括順序連接的可信電子簽名終端、可信電子簽名管理系統、證書頒發中心,其中:
可信電子簽名終端內置可信密碼模塊,在系統可信的環境下完成對電子文檔的簽名和驗證功能;
可信簽名管理系統負責待簽名驗證文檔的下發和上傳,用戶通過高可信簽名終端閱讀電子文檔,并且進行簽名和驗證簽名的工作,終端通過串口通信與可信簽名管理系統進行通信;
證書頒發中心負責證書的下發。
[0015]所述可信密碼模塊選用國民技術的SSX44安全芯片,采用密碼模塊密鑰EK標識可信計算密碼支撐平臺的身份,在平臺所有者授權下,在SSX44芯片內部生成一對國密算法SM2密鑰對,公鑰發送給用戶使用,私鑰保存在SSX44內部不能導出。
[0016]SSX44芯片證書符合X.509 V3標準,在平臺使用前由可信第三方簽署,確保其可行性,用于建立密碼模塊密鑰EK與SSX44芯片的一一對應關系。
[0017]所述可信簽名終端包括若干個,相對應的,與其連接的可信簽名管理系統設置有若干個,且所有可信簽名管理系統之間通過網絡傳輸連接,所有可信簽名管理系統均連接證書頒發中心,至少一個可信簽名終端及與其相連的可信簽名管理系統為簽名方;至少一個可信簽名終端及與其相連的可信簽名管理系統為簽名方為驗簽方。
[0018]—種使用上述可信系統的電子簽名方法,其具體實現過程為:
在上述可信系統環境下完成對電子文檔的簽名;
在上述可信系統環境下完成對電子文檔的驗證。
[0019]所述簽名過程為:
使用可信簽名終端對電子文檔簽名時,由該終端內的可信密碼模塊產生密鑰,該密鑰包括發送給用戶的公鑰和私鑰;
用戶使用公鑰向證書頒發中心申請簽名證書,證書簽發完畢后,可信簽名管理系統將待簽名的電子文檔下發給可信簽名終端;
用戶在終端上打開電子文檔,閱讀文檔的完整性,以確保待簽名文檔在下發過程中未受到第三方篡改;
當確定文檔未被篡改之后即可按簽名按鈕,在可信密碼模塊的私鑰對文檔進