專利名稱:一種用于限定簽名內(nèi)容的數(shù)字證書生成方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于限定簽名內(nèi)容的數(shù)字證書生成方法�,具體的說是一種基于手 寫簽名及其所簽紙質(zhì)文檔生成的數(shù)字證書,所生成的數(shù)字證書只能應(yīng)用于限定簽名內(nèi)容的 方法��,屬于信息安全領(lǐng)域�����。
背景技術(shù):
公鑰密碼技術(shù)在網(wǎng)絡(luò)通信中一般應(yīng)用于數(shù)據(jù)保密��、身份認(rèn)證��、數(shù)據(jù)完整性保護(hù)和 抗抵賴。在使用公鑰密碼系統(tǒng)中�,用戶首先生成一對(duì)公鑰/私鑰對(duì)���。用戶自己保存私鑰�,由 數(shù)字證書認(rèn)證中心(CA中心����,Certificate Authority)簽發(fā)數(shù)字證書。用戶用其私鑰對(duì)消 息簽名�����,消息的驗(yàn)證者(簽名依賴方)使用數(shù)字證書中的公鑰驗(yàn)證簽名���。當(dāng)前數(shù)字證書由CA中心通過對(duì)用戶的公鑰和用戶身份信息簽名來綁定用戶公鑰 和用戶信息����,以確保證書中的公鑰是用戶的�����。用戶可使用此數(shù)字證書及私鑰對(duì)任意文檔簽 名����,簽名依賴方看來有效性是相同的�����。數(shù)字簽名有時(shí)是手寫簽名的電子化對(duì)應(yīng)�����,通常一次手寫簽名對(duì)應(yīng)一個(gè)紙質(zhì)文檔���, 因此存在一種情形用戶對(duì)某個(gè)紙質(zhì)文檔進(jìn)行手寫簽名,同時(shí)需保存經(jīng)過數(shù)字簽名的相應(yīng) 電子文檔���,所保存電子文檔的簽名需對(duì)應(yīng)于手寫簽名及其所簽的紙質(zhì)文檔��。這就需要一種 數(shù)字證書�����,此數(shù)字證書只能對(duì)用戶手寫簽名所簽的特定文檔進(jìn)行數(shù)字簽名�����,也即需要一種 應(yīng)用于限定簽名內(nèi)容的數(shù)字證書?����,F(xiàn)有方法中���,尚沒有一種應(yīng)用于限定簽名內(nèi)容的數(shù)字證書生成方法。通過擴(kuò)展 X. 509格式的數(shù)字證書��,在數(shù)字證書中嵌入用戶手寫簽名圖像����,及待簽名文檔的散列值可以 解決上述問題,此待簽名文檔即為用戶手寫簽名所簽紙質(zhì)文檔所對(duì)應(yīng)的電子文檔���。本發(fā)明的目的是提供一種應(yīng)用于限定簽名內(nèi)容的數(shù)字證書生成方法�����,該數(shù)字證書 能夠?qū)崿F(xiàn)一張證書只對(duì)用戶手寫簽名文檔所對(duì)應(yīng)的電子文檔簽名��。
發(fā)明內(nèi)容
(一)要解決的問題本發(fā)明的目的是提供一種應(yīng)用于限定簽名內(nèi)容的數(shù)字證書生成方法�,并且此數(shù)字 證書只能對(duì)用戶手寫簽名文檔所對(duì)應(yīng)的電子文檔簽名���。( 二 )技術(shù)方案為達(dá)到上述目的�,本發(fā)明采用如下技術(shù)方案首先用戶生成手寫簽名圖像及所簽文檔的電子文檔散列值和非對(duì)稱算法的公鑰/ 私鑰對(duì);之后用戶使用公鑰����、手寫簽名圖像和文檔散列值向CA中心申請(qǐng)數(shù)字證書;最后CA 中心為用戶簽發(fā)綁定了用戶公鑰����、手寫簽名圖像及文檔散列值的數(shù)字證書。該方案具體包括如下步驟[1]用戶生成手寫簽名圖像以及手寫簽名所簽紙質(zhì)文檔對(duì)應(yīng)的電子文檔��。[2]用戶計(jì)算步驟1生成的電子文檔的散列值�����。
[3]用戶生成非對(duì)稱算法的公鑰/私鑰對(duì)����。[4]用戶產(chǎn)生數(shù)字證書申請(qǐng)數(shù)據(jù)包并發(fā)送給CA中心。申請(qǐng)數(shù)據(jù)包的內(nèi)容有用戶 在第1步生成的手寫簽名圖像����、在第2步生成的電子文檔的散列值、用戶在第3步生產(chǎn)的公 鑰�����、用戶信息以及用戶私鑰對(duì)上述信息的簽名。[5] CA中心收到并解析用戶于第4步發(fā)來的數(shù)字證書申請(qǐng)數(shù)據(jù)包����,驗(yàn)證證書證書 申請(qǐng)數(shù)據(jù)包的有效性,即使用證書申請(qǐng)數(shù)據(jù)包中的公鑰驗(yàn)證申請(qǐng)數(shù)據(jù)包中的簽名�����。[6]若第5步的驗(yàn)證通過���,則CA中心簽發(fā)擴(kuò)展的X. 509格式數(shù)字證書,證書內(nèi)容包 括用戶公鑰�����、用戶的手寫簽名圖像���、電子文檔散列值�����、用戶信息�����、以及CA中心對(duì)上述內(nèi)容 的簽名����,證書結(jié)構(gòu)見圖2。第2步中的電子文檔指的是與用戶手寫簽名所簽的紙質(zhì)文檔所對(duì)應(yīng)的電子文檔�, 本專利中其它地方的電子文檔也特指此特定內(nèi)容的文檔。第4步中用戶的證書申請(qǐng)數(shù)據(jù)包包含用戶手寫簽名圖像和電子文檔的散列值使 得CA中心可在數(shù)字證書中把用戶公鑰和手寫簽名及其所簽的文檔綁定��。第6步中CA中心簽發(fā)的數(shù)字證書中包含手寫簽名圖像和電子文檔的散列值���,確保 此數(shù)字證書只對(duì)用戶手寫簽名所簽的特定文檔簽名����。用戶使用此數(shù)字證書對(duì)特定文檔簽 名�����,當(dāng)驗(yàn)證簽名時(shí)����,需驗(yàn)證簽名文檔散列值和數(shù)字證書中的電子文檔散列值匹配,則表示簽 名通過驗(yàn)證�。(三)有益效果從上訴方案可知,本發(fā)明具有如下效益1. 一種用于限定簽名內(nèi)容的數(shù)字證書符合電子簽名法中簽名證書的要求��,用戶保 存私鑰,CA中心簽發(fā)數(shù)字證書把公鑰和用戶綁定�,說明此公鑰為用戶所有,并且和用戶的私 鑰配對(duì)���。2.本發(fā)明通過在數(shù)字證書中嵌入電子文檔的散列值���,保證該數(shù)字證書只能用于特 定內(nèi)容的文檔簽名。3.本發(fā)明通過在數(shù)字證書中嵌入手寫簽名圖像和電子文檔散列值�,保證使用此數(shù) 字證書簽名的電子文檔對(duì)應(yīng)手寫簽名及其所簽的紙質(zhì)文檔。
圖1是一種用于限定簽名內(nèi)容的數(shù)字證書生成方法流程圖�����;圖2是一種用于限定簽名內(nèi)容的數(shù)字證書的X. 509格式結(jié)構(gòu)圖����。
具體實(shí)施例方式圖1是一種用于限定簽名內(nèi)容的數(shù)字證書生成方法流程圖���。為了進(jìn)一步明確本發(fā) 明的技術(shù)方案��,下面結(jié)合圖1詳細(xì)說明用于限定簽名內(nèi)容的數(shù)字證書生成方法流程圖����。本 例中生成手寫簽名圖像的工具為寫字筆,具體步驟如下步驟1 用戶使用寫字筆生成手寫簽名圖像HSig�。步驟2 用戶生成手寫簽名所簽紙質(zhì)文檔對(duì)應(yīng)的電子文檔Μ。步驟3 用戶計(jì)算電子文檔M的散列值H��。步驟4 用戶生成非對(duì)稱密碼算法的公鑰Kdu和私鑰Κ ν��。
4
步驟5 用戶使用私鑰Kpv對(duì)步驟1的手寫簽名圖像HSig�、步驟3的電子文檔散列 值H、步驟4的公鑰Kpu計(jì)算簽名���、以及用戶身份信息U�,得到SigKpv(HSig��,H���,U, Kpu)�����。步驟6 用戶生成證書申請(qǐng)數(shù)據(jù)包CertRq并發(fā)送給CA中心����,申請(qǐng)數(shù)據(jù)包包含步 驟1的手寫簽名圖像HSig、步驟3的電子文檔散列值H�����、步驟4的公鑰Kpu計(jì)算簽名����、用戶 身份信息U、以及步驟5得到的簽名值SigKpv(HSig��,H�����,U��,Kpu)���,即CertRq = (HSig, H����,Kpu�����,U�����, SigKpv(HSig, H, U, Kpu)) ο步驟7 =CA中心收到用戶于步驟6發(fā)來的證書申請(qǐng)數(shù)據(jù)包CertRq����,從申請(qǐng)數(shù)據(jù)包 中提取出用戶公鑰Kpu,并驗(yàn)證簽名SigKpv(HSig��,H��,U�����,Kpu)的正確性���。步驟8 若步驟7驗(yàn)證通過����,則CA中心使用其私鑰對(duì)證書內(nèi)容簽名SigCA(HSig���,H����, U,Kpu)�。步驟9 :CA中心為用戶簽發(fā)X. 509格式的數(shù)字證書,證書內(nèi)容為Cert = (HSig,H, U�,Kpu,Sigffl(HSig���,H���,U,Kpu))���,證書結(jié)構(gòu)如圖2所示��。以上所述的具體實(shí)施例����,對(duì)本發(fā)明的 目的�����、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說明����,所應(yīng)理解的是,以上所述僅為本發(fā)明的 具體實(shí)施例而已�,并不用于限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)���,所做的任何修改��、 等同替換�����、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
一種應(yīng)用于限定簽名內(nèi)容的數(shù)字證書生成方法�,其特征在于,在X.509證書中嵌入手寫簽名圖像��、電子文檔的散列值和用戶公鑰生成數(shù)字證書���,該方法包括以下6個(gè)步驟[1]用戶生成手寫簽名圖像以及手寫簽名所簽紙質(zhì)文檔對(duì)應(yīng)的電子文檔���。[2]用戶計(jì)算步驟1生成的電子文檔的散列值��。[3]用戶生成非對(duì)稱算法的公鑰/私鑰對(duì)���。[4]用戶產(chǎn)生數(shù)字證書申請(qǐng)數(shù)據(jù)包并發(fā)送給CA中心。申請(qǐng)數(shù)據(jù)包的內(nèi)容有用戶在第1步生成的手寫簽名圖像�����、在第2步生成的電子文檔的散列值���、用戶在第3步生產(chǎn)的公鑰��、用戶信息以及用戶私鑰對(duì)上述信息的簽名�。[5]CA中心收到并解析用戶于第4步發(fā)來的數(shù)字證書申請(qǐng)數(shù)據(jù)包�����,驗(yàn)證數(shù)字證書申請(qǐng)數(shù)據(jù)包的有效性����,即使用證書申請(qǐng)數(shù)據(jù)包中的公鑰驗(yàn)證申請(qǐng)數(shù)據(jù)包中的簽名。[6]若第5步的驗(yàn)證通過���,則CA中心簽發(fā)擴(kuò)展的X.509格式數(shù)字證書�����,證書內(nèi)容包括用戶公鑰��、用戶的手寫簽名圖像�����、電子文檔散列值��、用戶信息�����、以及CA中心對(duì)上述內(nèi)容的簽名����,證書結(jié)構(gòu)見圖2�����。
2.根據(jù)權(quán)利要求1所述方法���,其特征在于���,步驟1所述用戶生成手寫簽名圖像的方法 為用戶首先把寫字板/寫字筆和電腦相連���,用戶使用此與電腦相連的寫字板/寫字筆對(duì) 紙質(zhì)文檔簽名,用戶對(duì)紙質(zhì)文檔簽名的同時(shí)通過寫字板/寫字筆生成手寫簽名圖像存入電 腦���。
3.根據(jù)權(quán)利要求1所述方法��,其特征在于�,步驟1所述用戶生成手寫簽名所簽紙質(zhì)文檔 對(duì)應(yīng)的電子文檔的方法為此電子文檔為用戶打印手寫簽名紙質(zhì)文檔之前的電子文檔����,該 電子文檔與步驟1生成的手寫簽名圖像配對(duì)。
4.根據(jù)權(quán)利要求1所述方法���,其特征在于�����,步驟2所述用戶計(jì)算步驟1生成的電子文檔 的散列值的方法為以步驟1所生的電子文檔作為單向散列函數(shù)的輸入�����,得到的輸出為此 散列值�����。
5.根據(jù)權(quán)利要求1所述方法����,其特征在于�,步驟3所述用戶生成非對(duì)稱算法的公鑰/私 鑰對(duì)的方法為步驟3所述的非對(duì)稱算法包括RSA算法、SM2算法這兩個(gè)國(guó)內(nèi)主流算法�,還 包括其它任意非對(duì)稱算法,用戶生成的非對(duì)稱算法的公鑰/私鑰對(duì)用戶系統(tǒng)所使用算法的 公鑰/私鑰���。
6.根據(jù)權(quán)利要求1所述方法�����,其特征在于����,步驟4所述用戶產(chǎn)生數(shù)字證書請(qǐng)求數(shù)據(jù)包的 方法為用戶生成PKCS#10數(shù)字證書請(qǐng)求數(shù)據(jù)包�����,數(shù)據(jù)包的內(nèi)容包括步驟1生成的手寫簽 名圖像����、步驟2生成的電子文檔散列值���、步驟3生成的公鑰、以及使用步驟3生成的私鑰對(duì) 上訴三項(xiàng)內(nèi)容的數(shù)字簽名�。
7.根據(jù)權(quán)利要求1所述方法,其特征在于���,步驟5所述CA中心驗(yàn)證用戶證書申請(qǐng)數(shù)據(jù) 包的方法為CA中心解析用戶于步驟4發(fā)來的證書申請(qǐng)數(shù)據(jù)包內(nèi)容為用戶的手寫簽名圖 像�����、公鑰�����、散列值����、數(shù)字簽名�����,CA中心使用解析出的用戶公鑰驗(yàn)證數(shù)字簽名是用戶對(duì)手寫簽 名圖像、公鑰����、散列值的數(shù)字簽名。
8.根據(jù)權(quán)利要求1所述方法�����,其特征在于�,步驟6所述CA中心簽發(fā)擴(kuò)展的X.509格式 數(shù)字證書的方法為CA中心簽發(fā)的數(shù)字證書擴(kuò)展項(xiàng)包括用戶手寫簽名圖像、電子文檔的散 列值�����,數(shù)字證書的內(nèi)容包括CA中心于步驟5從用戶數(shù)字證書申請(qǐng)數(shù)據(jù)包中解析出的用戶 公鑰����、電子文檔散列值�、用戶手寫簽名圖像、以及CA中心對(duì)上述項(xiàng)的數(shù)字簽名�。
全文摘要
本發(fā)明公開了一種限定簽名內(nèi)容的數(shù)字證書生成方法,此數(shù)字證書由手寫簽名生成����,并且只能針對(duì)特定的文檔進(jìn)行數(shù)字簽名。通過擴(kuò)展X.509格式數(shù)字證書,在證書中嵌入用戶手寫簽名圖像和待簽名文檔的散列值�,使得該方法能保證用戶對(duì)電子文檔的簽名和紙質(zhì)文檔的簽名對(duì)應(yīng)。
文檔編號(hào)G06F21/00GK101931537SQ20101028182
公開日2010年12月29日 申請(qǐng)日期2010年9月15日 優(yōu)先權(quán)日2010年9月15日
發(fā)明者林雪焰, 王秀群, 詹榜華, 馬臣云 申請(qǐng)人:北京數(shù)字證書認(rèn)證中心有限公司