一种能与手写签名建立可靠对应的数字签名方法技术

本发明专利技术涉及一种能与手写签名建立可靠对应的数字签名方法，具体的说是基于一种用于限定签名内容的数字证书，对手写签名所对应的电子文档进行数字签名的方法。该方法允许签名者在对纸质文档手写签名的同时，生成具有数字签名的电子文档，该电子文档的数字签名与手写签名具有一一对应并且不可抵赖的特征。

【技术实现步骤摘要】

本专利技术涉及，具体地说是一种签 名方使用一种用于限定签名内容的的数字证书对特定的文档进行数字签名的方法，属于信 息安全领域。
技术介绍
公钥密码技术在网络通信中一般应用于数据保密、身份认证、数据完整性保护和 抗抵赖。在使用公钥密码系统进行数字签名时，签名者首先生成一对公钥/私钥对，保存私 钥，同时由数字证书认证中心(CA中心，Certificate Authority)签发数字证书绑定公钥 和签名者身份，以确保公钥是签名者的。一般数字证书的签名流程中，签名者使用其私钥对文档签名，验证者使用签名者 证书中的公钥验证签名。由于数字证书仅指明公钥与其所有者关系，签名者可使用同一个 私钥对任意文档签名，验证方使用同一个公钥验证签名。存在这样一种情形，签名者对某个纸质文档进行手写签名，同时业务系统需保存 经过数字签名的相应电子文档，并且对电子文档的数字签名须和纸质文档的签名对应。这 就需要一种数字签名方法，此方法中数字证书和手写签名类似，只对特定文档进行签名，并 且数字证书所签的电子文档正是手写签名所签的纸质文档。通过此方法签名的电子文档不 仅可保证文档完整性，进行数据源鉴别，提供抗抵赖性，还能和纸质文档的手写签名建立可 靠对应，标明相应的手写签名图像和签名时间。现有方法中，尚没有一种应用于上述场景的数字签名方法。通过应用一种用于限 定签名内容的数字证书，设计可以解决上 述问题。本专利技术的目的是提供，该方法中 一个数字证书只对一个特定文档进行数字签名，同时保存的签名文档能标明和纸质文档对 应的手写签名图像和签名时间。
技术实现思路
(一)要解决的问题本专利技术的目的是提供，该方法允 许签名者在对纸质文档进行手写签名同时，生成经过数字签名的电子文档，并且此电子文 档能和手写签名的纸质文档对应，标明了相应的手写签名图像和签名时间。( 二 )技术方案为达到上述目的，本专利技术技术方案思路如下首先签名者获得一种用于限定签名内容的数字证书；其次签名者使用此数字证书 对应的私钥对电子文档进行数字签名；之后可信第三方时间戳服务器为此数字签名签发时 间戳；最后签名者把附带数字证书和时间戳的签名数据包发送给验证者并由验证者验证签 4名数据包，同时生成与纸质签名对应的签名电子文档并存档。图1为一种能与手写签名建立可靠对应的数字签名方案图，该方案具体步骤如 下[1]签名者保存签名私钥，获取用于限定签名内容的数字证书，该证书内容包括 签名者的手写签名图像、待签名文档的散列值、签名者公钥、签名者身份信息、以及CA中心 对上述内容的签名。[2]签名者把用手写签名的纸质文档生成电子文档，并使用私钥对此电子文档进 行数字签名。[3]签名者把步骤1获得的把数字证书、步骤2的电子文档散列值及其数字签名值 打包成时间戳申请数据包，并发送给时间戳服务器。[4]时间戳服务器接收到步骤3发来的时间戳申请数据包，然后验证时间戳申请 数据包，验证内容包括验证数字证书、数字签名、以及时间戳申请数据包中的电子文档的 散列值与数字证书中待签名文档的散列值一致；如果上述验证通过，则时间戳服务器生成 时间戳，并返回给签名者，时间戳的内容包含时间戳申请数据包的散列值、当前时间、以及 时间戳服务器对这两项的签名。[5]签名者收到步骤4发来的时间戳，之后把步骤2生成的电子文档和签名者对电 子文档的数字签名、步骤1获得的数字证书、、以及时间戳打包成签名数据包并发送给验证者ο[6]验证者接收步骤5发来的签名数据包，并验证其正确性，之后生成签名电子文 档并存档。签名数据包的验证内容包括验证数字证书、时间戳、数字签名、以及电子文档的 散列值和数字证书所包含的待签名文档散列值一致；如果通过验证，则验证者从证书中提 取出手写签名图像、从时间戳中提取出签名时间，并在电子文档中嵌入手写签名图像和签 名时间生成签名电子文档，之后把签名电子文档和签名数据包存档。第1步为进行能与手写签名建立可靠对应的数字签名之前的准备，即获得私钥和 用于限定签名内容的数字证书。此数字证书不仅绑定了公钥和签名者身份，还绑定了公钥 与手写签名及所签文档。第2步中签名者所签的电子文档需与在第1步数字证书中散列值所对应的特定文 档相同，也就是说此数字证书专为特定的文档所申请，不能应用于其它文档的签名。第4步中时间戳服务器验证时间戳申请数据包，验证通过则说明申请时间戳的数 字签名为数字证书中特定文档的签名，即签名者所签的电子文档为手写签名对应的纸质文 档。第6步验证者验证签名数据包，验证通过则说明验证者验证了所签的电子文档既 为数字证书指定的特定文档，即数字签名的文档对应手写签名所签的纸质文档，同时通过 时间戳可获得签名时间。验证者把嵌入手写签名图像和签名时间的签名电子文档以及签名数据包存档，可 保证此数字签名能与手写签名建立可靠对应，即签名电子文档从形式上与手写签名文档一 致，签名数据包在法律依据上与手写签名一致。(三)有益效果从上诉方案可知，本专利技术具有如下效益51.本专利技术应用一种用于限定签名内容的数字证书对特定文档进行数字签名和验 证，实现一个手写签名图像和相应的数字证书和签名文档的绑定，一个手写签名图像只能 对应于一个特定文档的数字签名。2.本专利技术通过时间戳可以确保，用于限定签名内容的数字证书已在特定的时间使 用过，同时明确了对特定文档的签名时间。3.本专利技术通过对嵌入手写签名图像和签名时间的签名电子文档以及签名数据包 进行存档，可确保此数字签名能与手写签名建立可靠对应，也就是说存档的签名电子文档 在形式上和手写签名的纸质文档对应，即能在电子文档中形象地展示手写签名和签名时 间，同时签名数据包在法律依据上与手写签名一致。附图说明图1是一种能与手写签名建立可靠对应的数字签名方案图。图2是一种能与手写签名建立可靠对应的数字签名流程图。具体实施例方式图2为一种能与手写签名建立可靠对应的数字签名流程图，为了进一步明确本发 明的技术方案，下面结合图2对一种能与手写签名建立可靠对应的数字签名流程进行详细 说明。本例中的数字证书为包含签名者手写签名图像和待签名文档散列值的特定数字证 书，具体步骤如下步骤1 签名者生成纸质文档所对应的电子文档M，获得手写签名图像HSig，待签 名文档散列值H，公钥Kpu/私钥Kpv对，签名者本地保存私钥Kpv及CA中心签发的用于限定 签名内容的数字证书 Cert = (HSig, H，Kpu，SigCA(HSig, H，Kpu))。步骤2 签名者计算签名文档M的散列值H'，使用本地私钥对签名文档签名，得到 签名值 SigKpv(H')。步骤3 签名者向时间戳服务器TSA提交时间戳请求数据包TSArq，TSArq = (Cert, H'，SigKpv(H'))。步骤4 时间戳服务器接收并验证TSArq的正确性，验证包括Cert的正确性， SigKpv(H')的正确性以及Cert中的H与TSArq的H'是否相等。步骤5 若步骤4验证通过，则TSA根据当前时间time为签名者生成时间戳，时间 戮为 timestamp = (Hash (TSArq)，time, SigTSA(Hash (TSArq)，time))。步骤6 签名者接收到TSA于步骤5发来的时间戳timestamp。步骤7 签名者生成签名数据本文档来自技高网...

【技术保护点】
一种于手写签名对应的数字签名方法，其特征在于，应用基于手写签名生成的数字证书对特定文档进行签名的方法，该方法包括如下６个步骤：［１］签名者保存签名私钥，获取用于限定签名内容的数字证书，该证书内容包括：签名者的手写签名图像、待签名文档的散列值、签名者公钥、签名者身份信息、以及ＣＡ中心对上述内容的签名。［２］签名者把用手写签名的纸质文档生成电子文档，并使用私钥对此电子文档进行数字签名。［３］签名者把步骤１获得的把数字证书、步骤２的电子文档散列值及其数字签名值打包成时间戳申请数据包，并发送给时间戳服务器。［４］时间戳服务器接收到步骤３发来的时间戳申请数据包，然后验证时间戳申请数据包，验证内容包括：验证数字证书、数字签名、以及时间戳申请数据包中的电子文档的散列值与数字证书中待签名文档的散列值一致；如果上述验证通过，则时间戳服务器生成时间戳，并返回给签名者，时间戳的内容包含：时间戳申请数据包的散列值、当前时间、以及时间戳服务器对这两项的签名。［５］签名者收到步骤４发来的时间戳，之后把步骤２生成的电子文档和签名者对电子文档的数字签名、步骤１获得的数字证书、、以及时间戳打包成签名数据包并发送给验证者。［６］验证者接收步骤５发来的签名数据包，并验证其正确性，之后生成签名电子文档并存档。签名数据包的验证内容包括：验证数字证书、时间戳、数字签名、以及电子文档的散列值和数字证书所包含的待签名文档散列值一致；如果通过验证，则验证者从证书中提取出手写签名图像、从时间戳中提取出签名时间，并在电子文档中嵌入手写签名图像和签名时间生成签名电子文档，之后把签名电子文档和签名数据包存档。...

【技术特征摘要】
一种于手写签名对应的数字签名方法，其特征在于，应用基于手写签名生成的数字证书对特定文档进行签名的方法，该方法包括如下6个步骤[1]签名者保存签名私钥，获取用于限定签名内容的数字证书，该证书内容包括签名者的手写签名图像、待签名文档的散列值、签名者公钥、签名者身份信息、以及CA中心对上述内容的签名。[2]签名者把用手写签名的纸质文档生成电子文档，并使用私钥对此电子文档进行数字签名。[3]签名者把步骤1获得的把数字证书、步骤2的电子文档散列值及其数字签名值打包成时间戳申请数据包，并发送给时间戳服务器。[4]时间戳服务器接收到步骤3发来的时间戳申请数据包，然后验证时间戳申请数据包，验证内容包括验证数字证书、数字签名、以及时间戳申请数据包中的电子文档的散列值与数字证书中待签名文档的散列值一致；如果上述验证通过，则时间戳服务器生成时间戳，并返回给签名者，时间戳的内容包含时间戳申请数据包的散列值、当前时间、以及时间戳服务器对这两项的签名。[5]签名者收到步骤4发来的时间戳，之后把步骤2生成的电子文档和签名者对电子文档的数字签名、步骤1获得的数字证书、、以及时间戳打包成签名数据包并发送给验证者。[6]验证者接收步骤5发来的签名数据包，并验证其正确性，之后生成签名电子文档并存档。签名数据包的验证内容包括验证数字证书、时间戳、数字签名、以及电子文档的散列值和数字证书所包含的待签名文档散列值一致；如果通过验证，则验证者从证书中提取出手写签名图像、从时间戳中提取出签名时间，并在电子文档中嵌入手写签名图像和签名时间生成签名电子文档，之后把签名电子文档和签名数据包存档。2.根据权利要求1所述方法，其特征在于，步骤1所述签名者保存私钥的方法为签名 者生成非对称算法的公钥/私钥对，签名者保存私钥。3.根据权利要求1所述方法，其特征在于，步骤1所述签名者获得一种用于限定签名内 容的数字证书的方法为签名者用手写签名图像、待签名文档的散列值、签名者公钥、签名 者身份信息向CA中心申请基于手写签名生成的数字证书，CA中心根据上诉消息给签名者...

【专利技术属性】
技术研发人员：林雪焰，詹榜华，马臣云，王秀群，
申请(专利权)人：北京数字证书认证中心有限公司，
类型：发明
国别省市：11[中国|北京]