一种基于移动终端的电子数据保全系统和方法技术方案

本发明专利技术公开了一种基于移动终端的电子数据保全系统及方法，包括服务端和客户端，所述客户端设置在移动终端上，所述客户端包括：身份认证模块和密码安全模块；所述服务端包括数据保全模块；服务端对保全电子数据原文、原文哈希值、数字签名信息和身份认证信息进行本地加密存储；同时将保全电子数据的哈希值和概要数据上传至第三方司法存证机构进行存证；在需要鉴定时，对本地加密存储的保全电子数据原文计算哈希值，将所述哈希值与第三方司法存证机构存证的哈希值进行校验，确定数据是否被篡改。本发明专利技术能够保证保全电子数据的合法性和权威性，能够得到公正的具有法律效力的电子证据。据。据。

【技术实现步骤摘要】
一种基于移动终端的电子数据保全系统和方法


[0001]本专利技术涉及数据保全
，尤其涉及一种基于移动终端的电子数据保全系统和方法。

技术介绍

[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息，不必然构成在先技术。
[0003]随着互联网及其相关产业的迅速发展以及无纸化办公的需求，很多电子政务、商务行为及相关的公文、合同、病历、房产交易等重要权益凭证和知识产权成果由纸质形式变革为电子数据化、互联网化形式，同时随着4G、5G移动互联网的高速发展，基于移动终端的信息化应用越来越广泛，如何保证移动终端应用所生成电子数据的合法性，让电子数据成为电子证据是司法判定权责的关键，保证电子数据合法性的重点和难点是电子数据的固定、保存、取证和认证。
[0004]当前电子数据的固化、保存、取证和认证一般有法院保全、公正保全和第三方数据保全平台保全方式。法院保全和公正保全具有效率低、成本高、缺乏必要技术等缺点。而作为信息社会发展的产物，第三方数据保全平台能够发挥其独特优势，克服传统法院保全和公正保全的缺点，但第三方数据保全平台一般为应用系统厂商开发，缺乏必要密码安全防护手段，即便有一定的安全手段，也是通过软实现方式，未通过专用硬件密码设备实现，存在技术封闭、社会认可度低、理论研究缺乏、司法认证缺失等弊端。

技术实现思路

[0005]为了解决上述问题，本专利技术提供一种基于移动终端电子签名应用的数据保全方法和系统，其在目前移动终端用户使用环境下，有效的解决移动终端用户密钥存储和使用的安全性、身份合法性和电子数据的机密性、完整性、不可否认性、时间合法性，同时通过对接第三方司法认证机构，从电子数据的固化、保存、取证和认证四个环节对电子数据进行处理，实现数据安全、司法取证和司法认证的结合，达到基于移动终端应用的电子数据保全要求。
[0006]在一些实施方式中，采用如下技术方案：一种基于移动终端的电子数据保全系统，包括服务端和客户端，所述客户端设置在移动终端上，所述客户端包括：身份认证模块，被配置为调用移动终端的生物识别设备进行身份鉴别、访问控制和实名认证，与服务端进行数据交互和密钥协同运算，获取数字证书作为数字身份凭证；密码安全模块，被配置为用于基于数字证书为保全电子数据生成时间戳和电子签章，同时提供对于数字证书的加解密和签名验签服务；所述服务端包括：数据保全模块，被配置为对保全电子数据原文、原文哈希值、数字签名信息、时间
戳信息、电子签章信息和身份认证信息进行本地加密存储；同时将保全电子数据的哈希值和概要数据上传至第三方司法存证机构进行存证；以在需要鉴定时，对本地加密存储的保全电子数据原文计算哈希值，将所述哈希值与第三方司法存证机构存证的哈希值进行校验，确定数据是否被篡改；通过验证电子签名值、电子签章信息和时间戳信息，来验证保全数据的数据完整性、身份合法性、时间合法性和行为不可抵赖性。
[0007]在另一些实施方式中，采用如下技术方案：一种基于移动终端的电子数据保全方法，包括以下过程：接收身份认证请求，对客户端用户进行实名身份认证；身份认证成功后，生成本地密钥份额，并向服务端发送密钥生成请求和数字证书申请请求，服务端接收客户端请求后，生成服务端密钥份额，并向第三方CA认证机构提交数字证书认证请求；同时，接收服务端返回的数字证书，并加密存储；通过密钥份额协同运算得到签名值，对保全电子数据生成时间戳和电子签章，对保全电子数据原文、原文哈希值、数字签名信息和身份认证信息进行本地加密存储；同时，将保全电子数据的哈希值和概要数据上传至第三方司法存证机构；其中，所述概要数据至少包括：保全电子数据的所有人信息、保全电子数据的文件名称、电子签名信息和数据产生时间。
[0008]在需要进行保全电子数据鉴定时，根据本地加密存储的保全电子数据原文计算哈希值，将所述哈希值与第三方司法存证机构存证的哈希值进行校验，确定数据是否被篡改；将本地加密存储的数字签名信息和身份认证信息与所述概要数据进行校验，确定数据是否合法有效；其中，所述校验具体包括：通过验证签名值方式来保证数据的完整性和真实性，通过验证用户身份信息，确保用户身份的合法性，通过验证时间戳来保证行为数据产生时间的合法性。
[0009]作为进一步地方案，通过密钥份额协同运算得到签名值，具体包括：移动端和服务端分别计算出各自的密钥份额并进行加密；移动端和服务端分别通过哈希值比较，验证对方传输数据的有效性；若验证数据有效，移动端基于移动端密钥份额和服务端密钥份额，计算得到签名值r；服务端基于移动端密钥份额和服务端密钥份额，计算得到签名值r和签名值s2，并将签名值s2返回移动端；移动端通过解密得到签名值s2，并计算签名值s1，并通过签名值s1和签名值s2计算得到签名值s；最终移动端得到完整的签名值信息（r，s）。
[0010]与现有技术相比，本专利技术的有益效果是：（1）本专利技术通过与第三方CA认证机构和第三方司法存证机构的对接，实现电子数据（数字版权记录、数字医疗数据、电子合同、电子文书等）的安全存储、固化、取证和认证，实现数据安全和司法认证的完美结合，保证保全电子数据的合法性和权威性，避免参与方因电子数据内容的真实性和司法权威性而产生的争议，能够得到公正的具有法律效力的电子证据。
[0011]（2）本专利技术客户端和服务端各自产生并存储部分密钥，在进行身份认证或者对电子数据进行签章时，对客户端和服务端的密钥进行协同运算；由于目前几乎所有的移动终
端都没有专用的密码安全芯片，密钥无法存储到硬件芯片中，只能以软件方式存储，但软件存储方式存在密钥泄露风险，故通过各自存储各自的密钥份额，即便一方的密钥丢失或泄露，别人也无法得到完整的密钥信息，能够有效的保证密钥安全性。
[0012]（3）本专利技术采用数字证书技术、签名技术、时间戳技术、加解密技术和电子签章技术等对保全数据进行处理，能够有效的保证身份合法性、数据机密性和完整性、行为不可抵赖性和时间合法性；（4）本专利技术可通过移动端进行手写签名采集，并通过电子签章技术加盖到保全电子数据中，能够有效的保证电子保全数据的完整性和不可抵赖性，并通过图形处理技术，能够方便的看到含有个人数字签名的手写签名。本专利技术使用时间戳技术，用于固化数据时时间合法性证明，保证数据产生的时间可信。
[0013]（5）本专利技术使用“人脸识别+人证合一+过程录像”技术，对数据保全数据参与人员的身份进行人脸识别，并通过连接公安人脸数据库进行人脸和身份证信息比对，同时对人脸识别过程和行为过程进行录像，有效的保证保全数据参与人员的身份合法性和不可抵赖性。
[0014]（6）本专利技术所涉及硬件服务器密码设备的密钥信息均保存在密码安全芯片中，密钥无法出硬件，较传统保全系统所使用的软密钥来说，能有效的保证密钥安全性，防止密钥泄露或复制。
[0015]（7）本专利技术将传统的数据保全系统与司法认证机构进行结合，能够有效的提高保全数据的可信度，为数据保全提供强有力的司法保护。
附图说明
[0016]图1是本专利技术实施例的数据保全本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于移动终端的电子数据保全系统，其特征在于，包括服务端和客户端；所述客户端设置在移动终端上，所述客户端包括：身份认证模块，被配置为用于调用移动终端的生物识别设备进行身份鉴别、访问控制和实名认证，生成客户端密钥份额，与服务端进行数据交互和密钥份额协同运算，得到用于进行身份认证或电子签章的签名值，并获取数字证书作为数字身份凭证；密码安全模块，被配置为基于数字证书和签名值为保全电子数据生成时间戳和电子签章，同时提供对于数字证书的加解密和签名验签服务；所述服务端包括：数据保全模块，被配置为对保全电子数据原文、原文哈希值、数字签名信息、时间戳信息、电子签章信息和身份认证信息进行本地加密存储；同时将保全电子数据的哈希值和概要数据上传至第三方司法存证机构进行存证；以在需要鉴定时，对本地加密存储的保全电子数据原文计算哈希值，将所述哈希值与第三方司法存证机构存证的哈希值进行校验，确定数据是否被篡改；同时通过验证签名值、电子签章信息和时间戳信息，来验证保全数据的是否完整，身份和时间是否合法。2.如权利要求1所述的一种基于移动终端的电子数据保全系统，其特征在于，所述客户端还包括：过程录像模块，被配置为对身份认证过程和数据保全过程进行录像，对所述录像数据进行数字签名后加密存储。3.如权利要求1所述的一种基于移动终端的电子数据保全系统，其特征在于，所述身份认证模块包括：生物识别单元，被配置为通过调用移动终端的生物识别设备进行身份鉴别和访问控制；实名认证单元，被配置为对客户端用户进行实名身份认证；数字证书单元，被配置为实名认证通过后，生成本地密钥，向服务端发送数字证书申请请求和所述本地密钥，以使服务端向第三方CA认证机构提交数字证书认证请求；同时，接收服务端返回的数字证书，并加密存储。4.如权利要求1所述的一种基于移动终端的电子数据保全系统，其特征在于，所述密码安全模块包括：密钥产生单元，被配置为通过密钥分割技术产生用于进行协同运算的客户端密钥份额；时间戳服务单元，被配置为基于数字签名技术生成保全电子数据的时间戳；电子签章服务单元，被配置为用于实现对保全电子数据进行电子签章；或者，通过移动终端进行手写签名采集，然后形成标准的电子印章数据结构，并将电子印章数据结构、电子证书信息和行为时间信息打入保全电子数据的版式文件中。5.如权利要求1所述的一种基于移动终端的电子数据保全系统，其特征在于，所述数据保全模块包括：黑盒存证单元，被配置为对保全电子数据原文、原文哈希值、数字签名值和用户身份信息进行本地固化和加密存储；第三方司法存证单元，被配置为将保全电子数据的哈希值和概要数据上传至第三方司
法存证机构；接收第三方司法存证机构下发的司法存证电子证书。6.如权利要求1所述的一种基于移动终端的电子数据保全系统，其特征在于，所述服务端还包括密码服务模块，所述密码服务模块包括：密钥产...

【专利技术属性】
技术研发人员：王立伟，王吉伟，刘伟，
申请(专利权)人：山东确信信息产业股份有限公司，
类型：发明
国别省市：