一种基于文档和用户私钥的混合云架构下的电子签名方法技术

本发明专利技术公开了一种基于文档和用户私钥的混合云架构下的电子签名方法，包括：建立文档和用户私钥的混合云；对文档初始化，之后采用密钥管理中心加密；进行数字证书的初始化，所述的数字证书包括公钥证书和私钥；采用文档混合云服务提取文档，采用密钥管理中心解密，通过摘要算法计算电子文档数据的摘要值，对电子文档数据的摘要值完成私钥签名；文档混合云服务与公有云服务进行鉴权后，调用公有云服务的证书签名接口，公有云服务对签名值进行证书链拼接和时间戳签名，得到最终数据，之后将最终数据返回至文档混合云服务并完成文档合成，依赖密钥管理中心加密写入存储引擎中，完成电子签名。

【技术实现步骤摘要】
一种基于文档和用户私钥的混合云架构下的电子签名方法
本专利技术涉及数据加密及电子签名
，具体涉及一种基于文档和用户私钥的混合云架构下的电子签名方法。
技术介绍
人们在事项协议或交易过程中，需要有效的合同来保障多方签署人的权益，在以往，合同以纸质方式来进行传递、确认和签署，如果双方距离比较远，时效性比较差；随着经济的发展，各行各业节奏都在加快，我国也出台了《电子合同法》和《电子签名法》等法律法规，合同的电子化被提上日程，相比纸质合同电子合同更加方便快捷，更加符合当下及未来的发展节奏；随着合同电子化的普及，在使用电子合同过程中，有一些问题慢慢衍生，例如：一、用户的合同数据存在哪里？如何存储更加安全？二、为了保障部分安全级别极高的合同，是否可以存储在用户本地？三、用户数字证书及私钥怎么产生的？对应的私钥存在哪里，是否加密存储？如果加密，如何更好的保管和维护加密密钥？四、用户内部已经对接了另一套证书系统，是否可以使用该证书系统中的证书及私钥进行后续的电子签名过程？针对以上诸多问题，本专利技术提供了一种基于用户私钥和文档混合云架构下的电子签名方案，本专利技术将围绕于此进行深度方案描述。
技术实现思路
本专利技术提供了一种基于文档和用户私钥的混合云架构下的电子签名方法，该方案是构建在混合云架构下，混合云架构是指用户私有云服务与公有云服务结合部署的方式，为用户私有云环境提供一套完善的服务体系，如文档混合云服务(BsHDoc)、证书混合云服务(BsHPKI)和三级密钥管理中心(BsHKMC)等。私有云多服务间采用单点登录授信机制，与公有云服务(BsSaaS)在SSL安全通道链路的基础上加入独立的密钥鉴权体系，双重加密保障数据的安全传输。一种基于文档和用户私钥的混合云架构下的电子签名方法，包括以下步骤：1)建立文档和用户私钥的混合云；2)构建文档混合云服务(BsHDoc)(即文档的公有云和私有云服务)，采用文档混合云服务(BsHDoc)对文档初始化，之后采用密钥管理中心加密；3)构建数字证书的混合云服务(BsHPKI)(即数字证书的公有云和私有云服务)，然后进行数字证书的初始化，所述的数字证书包括公钥证书和私钥；4)采用文档混合云服务(BsHDoc)提取步骤2)加密后的文档，采用密钥管理中心解密，获得可操作的电子文档数据，通过摘要算法(sha256、sm3等)计算电子文档数据的摘要值，调用数字证书的混合云服务(BsHPKI)的私钥签名接口，检索对应私钥，对电子文档数据的摘要值完成私钥签名，并将最终的签名值数据返回至文档混合云服务(BsHDoc)；5)文档混合云服务(BsHDoc)与公有云服务(BsSaaS)进行鉴权后，调用公有云服务的证书签名接口，公有云服务对步骤4)得到签名值进行证书链拼接和时间戳签名，得到最终数据，之后将最终数据返回至文档混合云服务(BsHDoc)并完成文档合成，依赖密钥管理中心(BsHKMC)加密写入存储引擎中，完成电子签名。本专利技术中，用户的电子文档和证书私钥数据以加密的方式存储于用户私有云环境中，在电子签名过程中以上核心数据不会通过公网传输，保障有且仅能在用户私有云环境中使用原始数据，私有云服务与公有云服务通过加密通道及安全鉴权机制，数据以摘要值或签名值(都是不可逆的)形式进行交互，保障原始数据自始至终都在用户私有云环境内；公有云服务最终仅存文档的元数据(如文档ID，文档大小，签署时间，合同名称等)和证书元数据(证数X.509数据和证书链数据)，在无盗用核心文件风险的基础上，在混合云环境方便、快捷地完成电子签名流程。步骤2)中，所述的文档混合云服务(BsHDoc)为文档的公有云和私有云服务。文档混合云服务(BsHDoc)具体包括：文档的初始化、版本更新、加密存储和使用等流程，其中，加密存储的数据依赖于三级密钥管理中心(BsHKMC)加密写入用户私有云存储引擎中。所述的密钥管理中心采用三级密钥管理中心，包括父密钥(FSK)、母密钥(FSK)和子密钥(FSK)，多级密钥作业保障加密密钥的高随机性和安全性，最终子密钥(FSK)通过AES-256加密算法完成文档的加密，并落盘于相应的存储引擎中。步骤3)中，所述的数字证书的混合云服务(BsHPKI)为数字证书的公有云和私有云服务。进行数字证书的初始化，第一种方案具体包括：A)用户使用已持有的数字证书(公钥证书和私钥数据完整体，包括且不仅限于PKCS12格式)，调用公钥证书和私钥并导入，添加证书链接口，完成初始化；或者，进行数字证书的初始化，第二种方案具体包括：a)按照公私钥算法生成公钥和私钥，组装成证书请求数据(包括且不仅限于CSR数据)，证书请求数据结合申请证书人实名数据调用公有云服务申请数字证书接口，最终由公有云服务请求相关CA机构发放数字证书，并将数字证书返回给数字证书的混合云服务(BsHPKI)，完成初始化；步骤4)中，所述的摘要算法采用SHA-256摘要算法或SM3摘要算法。与现有技术相比，本专利技术具有如下优点：本专利技术的方案是构建在混合云架构下，混合云架构是指用户私有云服务与公有云服务结合部署的方式，为用户私有云环境提供一套完善的服务体系，如文档混合云服务(BsHDoc)、证书混合云服务(BsHPKI)和三级密钥管理中心(BsHKMC)等。私有云多服务间采用单点登录授信机制，与公有云服务(BsSaaS)在SSL安全通道链路的基础上加入独立的密钥鉴权体系，双重加密保障数据的安全传输。本专利技术中，用户的电子文档和证书私钥数据以加密的方式存储于用户私有云环境中，在电子签名过程中以上核心数据不会通过公网传输，保障有且仅能在用户私有云环境中使用原始数据，私有云服务与公有云服务通过加密通道及安全鉴权机制，数据以摘要值或签名值(都是不可逆的)形式进行交互，保障原始数据自始至终都在用户私有云环境内；公有云服务最终仅存文档的元数据(如文档ID，文档大小，签署时间，合同名称等)和证书元数据(证数X.509数据和证书链数据)，在无盗用核心文件风险的基础上，在混合云环境方便、快捷地完成电子签名流程。附图说明图1为本专利技术一种基于用于私钥和文档混合云架构下的电子签名方法的流程示意图；图2为本专利技术一种基于用于私钥和文档混合云架构下的电子签名方法的架构图；图3为本专利技术实施例提供基于私钥和文档混合云架构下的电子签名方法的私钥结构体；图4为本专利技术实施例提供的用于私钥和文档混合云架构下的电子签名方法的证书导入时序图；图5为本专利技术实施例提供的用于私钥和文档混合云架构下的电子签名方法的证书申请时序图；图6为本专利技术实施例提供的用于私钥和文档混合云架构下的电子签名方法的数字签名时序图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发本文档来自技高网...

【技术保护点】
1.一种基于文档和用户私钥的混合云架构下的电子签名方法，其特征在于，包括以下步骤：/n1)建立文档和用户私钥的混合云；/n2)构建文档混合云服务，采用文档混合云服务对文档初始化，之后采用密钥管理中心加密；/n3)构建数字证书的混合云服务，然后进行数字证书的初始化，所述的数字证书包括公钥证书和私钥；/n4)采用文档混合云服务提取步骤2)加密后的文档，采用密钥管理中心解密，获得可操作的电子文档数据，通过摘要算法计算电子文档数据的摘要值，调用数字证书的混合云服务的私钥签名接口，检索对应私钥，对电子文档数据的摘要值完成私钥签名，并将最终的签名值数据返回至文档混合云服务；/n5)文档混合云服务与公有云服务进行鉴权后，调用公有云服务的证书签名接口，公有云服务对步骤4)得到签名值进行证书链拼接和时间戳签名，得到最终数据，之后将最终数据返回至文档混合云服务并完成文档合成，依赖密钥管理中心加密写入存储引擎中，完成电子签名。/n

【技术特征摘要】
1.一种基于文档和用户私钥的混合云架构下的电子签名方法，其特征在于，包括以下步骤：
1)建立文档和用户私钥的混合云；
2)构建文档混合云服务，采用文档混合云服务对文档初始化，之后采用密钥管理中心加密；
3)构建数字证书的混合云服务，然后进行数字证书的初始化，所述的数字证书包括公钥证书和私钥；
4)采用文档混合云服务提取步骤2)加密后的文档，采用密钥管理中心解密，获得可操作的电子文档数据，通过摘要算法计算电子文档数据的摘要值，调用数字证书的混合云服务的私钥签名接口，检索对应私钥，对电子文档数据的摘要值完成私钥签名，并将最终的签名值数据返回至文档混合云服务；
5)文档混合云服务与公有云服务进行鉴权后，调用公有云服务的证书签名接口，公有云服务对步骤4)得到签名值进行证书链拼接和时间戳签名，得到最终数据，之后将最终数据返回至文档混合云服务并完成文档合成，依赖密钥管理中心加密写入存储引擎中，完成电子签名。


2.根据权利要求1所述的基于文档和用户私钥的混合云架构下的电子签名方法，其特征在于，步骤2)中，所述的文档混合云服务为文档的公有云和私有云服务。


3.根据权利要求1所述的基于文档和用户私钥的混合云架构下的电子签名方法，其特征在于，...

【专利技术属性】
技术研发人员：郑营，吕涛，王海峰，徐俊杰，
申请(专利权)人：杭州尚尚签网络科技有限公司，
类型：发明
国别省市：浙江;33