本发明属于电子签章技术领域,尤其涉及一种基于国网安全技术架构的电子签章实现方法。
背景技术:
随着电子文件签署量和种类的日趋增加,企业对电子合同签署的合规性和合同有效性的需求、对电子合同管理效率的需求、以及对保障企业合法利益的需求都日趋明显,这对电子文件的签署和管理方式提出了新的要求。传统的电子签章技术依托ukey等物理介质,签章时需要调用ukey来识别身份,同时如果ukey和pin码丢失,也容易由于公章盗用而造成相应的损失。近些年依托云端数字签名的技术出现虽然在一定程度上脱离了物理介质提升了作业效率,但是其带来的安全性风险不可小觑。国家电网作为大型能源和国民支柱企业,企业安全尤其重要,已经实施了内外网隔离的信息安全技术架构和相应的管控机制。
基于此,亟需一种既可以解决传统ukey技术中的不足,又能基于国网安全技术架构实现安全可靠高效的电子签章的技术。
技术实现要素:
为解决上述问题,本发明提出了一种基于国网安全技术架构的电子签章实现方法,通过对用户私钥分段处理、隔离存储的方法,既摆脱了ukey的物理限制,又提高了云端电子签章技术的安全可靠性。
本发明的技术方案包括:
获取包含用户身份的用户信息,根据所述用户信息向认证机构申请验证用户身份,验证通过后,经电力内网加密机为用户生成一个用户密钥对;
通过电力内网加密机将所述用户信息与所述用户密钥对中的私钥绑定,对私钥进行分段处理,存储在电力外网签章服务器和电力内网加密机中;
通过电力外网签章服务器向认证机构提交所述用户信息,基于所述用户信息生成用户数字证书,并将所述用户数字证书加密存储;
通过电力外网签章服务器获取用户上传的待签署文件,对用户进行意愿认证,根据所述用户数字证书确认用户身份后,调用存储在电力外网签章服务器和电力内网加密机中的分段私钥,经合成算法得到完整的用户私钥;
根据所述完整的用户私钥完成数字签名运算并将签名值存储在电力外网签章服务器中。
可选的,所述电子签章系统的实体包括签署发起人、实际签署人、电力内网加密机和电力外网签章服务器。
可选的,所述电力外网签章服务器与所述电力内网加密机通过隔离网闸通道进行通信。
可选的,所述电子签章实现方法还包括:在电子签章过程中,不同实体之间会进行相互认证与数据传输,通过确定的协议共同完成签章过程。
可选的,所述用户密钥包括本地主密钥、传输主密钥和工作密钥;
其中本地主密钥即电力内网加密机的密钥,用于对涉及加密机操作的各种密钥以及关键数据的密钥进行加密保护;传输主密钥是为了传输安全而采用的密钥,用于加密保护工作密钥的安全;工作密钥是直接与用户相关联的密钥,用于加密保护用户数据。
可选的,所述本地主密钥在电力内网加密机完成自身系统参数的设置工作时,采用多人分段手工灌注的方式生成。
可选的,所述对私钥进行分段处理,存储在电力外网签章服务器和电力内网加密机中,包括:
通过算法将所述用户密钥对中的私钥分割成两个分量,将所述用户密钥对中的公钥和第一私钥分量存储在电力外网签章服务器中;
通过电力内网加密机销毁所述私钥和第一私钥分量,仅存储第二私钥分量和私钥的合成算法。
可选的,所述对用户进行意愿认证包括短信认证和人脸识别认证。
可选的,调用电力外网签章服务器和电力内网加密机的分段私钥,包括:
电子签章系统计算待签署文件的文件摘要哈希值,生成私钥的调用授权码;
根据所述调用授权码中的第一调用授权码从电力外网签章服务器中调用第一私钥分量;
将所述第一私钥分量和所述调用授权码中的第二调用授权码传输至电力内网加密机,向电力内网加密机申请合成完整的私钥。
本发明和现有技术相比,本发明的有益效果是:
本发明基于国网的安全技术架构提出了一种将用户私钥分段存储的电子签章实现方法,只有在用户使用电子签章时才合成完整的用户私钥,未使用时私钥分量呈隔离加密存储状态,大幅提高用户的私钥和电子签章安全性,降低了私钥盗用风险。另外用户意愿认证的加入,有效避免了内部人员盗用私钥的可能性,确保用户有效信息的安全可靠,提高了第三方电子签署平台对用户私钥进行托管的云签模式的公信力和安全性。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实现方法流程图;
图2是电子签署系统初始化流程图;
图3是用户密钥及数字证书的生成流程图;
图4是用户使用密钥签署流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例一:
如图1所示,本发明实现基于国网安全技术架构的电子签章的方法包括:
s100、获取包含用户身份的用户信息,根据所述用户信息向认证机构申请验证用户身份,验证通过后,经电力内网加密机为用户生成一个用户密钥对;
s200、通过电力内网加密机将所述用户信息与所述用户密钥对中的私钥绑定,对私钥进行分段处理,存储在电力外网签章服务器和电力内网加密机中;
s300、通过电力外网签章服务器向认证机构提交所述用户信息,基于所述用户信息生成用户数字证书,并将所述用户数字证书加密存储;
s400、通过电力外网签章服务器获取用户上传的待签署文件,对用户进行意愿认证,根据所述用户数字证书确认用户身份后,调用存储在电力外网签章服务器和电力内网加密机中的分段私钥,经合成算法得到完整的用户私钥;
s500、根据所述完整的用户私钥完成数字签名运算并将签名值存储在电力外网签章服务器中。
在本实施例中,本发明的实现是基于一种电子签章系统实现的,所述电子签章系统的实体包括签署发起人、实际签署人、电力内网加密机和电力外网签章服务器;
其中当签署发起人和实际签署人相同时,两者为同一实体,否则为不同实体。
在本实施例中,电子签章系统同时部署在电力外网云端服务器以及电力内网中以满足内外网用户的电子签章需求;所述电力外网签章服务器与所述电力内网加密机通过隔离网闸通道进行通信;在电子签章过程中,不同实体之间会进行必要的相互认证与数据传输,通过确定的协议共同完成签章过程。
在本实施例中,所述用户密钥包括本地主密钥、传输主密钥和工作密钥;
其中本地主密钥即电力内网加密机的密钥,用于对涉及加密机操作的各种密钥以及关键数据的密钥进行加密保护;传输主密钥是为了传输安全而采用的密钥,用于加密保护工作密钥的安全;工作密钥是直接与用户相关联的密钥,用于加密保护用户数据。
在本实施例中,本地主密钥在电力内网加密机完成自身系统参数的设置工作时便须生成,一般采用多人分段手工灌注,再通过电力内网加密机的系统内部自动进行合成与存储,同时留存主密钥的自毁功能。
在本实施例中,还包括电子签章系统的初始化过程,如图2所示:
电力内网与电力外网通过网闸进行通信,电力外网与互联网之间设有防火墙;
通过电力外网签章服务器开启系统初始化流程,在用户向电子签章系统提交用户信息时,电力内网加密机内部生成并存储电子签章系统的密钥对;
通过电力外网签章服务器以实际签署人的名义向ca机构发送申请信息,申请电子签章系统的数字证书cert;
ca机构生成电子签章系统数字证书;
在电力外网签章服务器中,存储电子签章系统数字证书cert。
在本实施例中,还包括用户密钥及数字证书的生成流程,如图3所示:
用户注册后,电子签章系统通过比对用户的实名认证信息后,如果身份信息属实,则电力外网签章服务器会依据用户身份信息,向电力内网加密机申请生成用户密钥对;
电力内网加密机会生成并存储公钥kpub和私钥kpri,通过算法将私钥分割为krpri1和kpri2,将公钥kpub及私钥kpri1传输给电力外网签章服务器;
电力外网签章服务器存储公钥kpub及私钥kpri1,申请生成用户数字证书cert,若考虑安全性,可在电力外网同时部署一台外网加密机进行密钥存储;
电力内网加密机销毁私钥kpri和kpri1,仅保存私钥分量kpri2与私钥合成算法;
ca机构生成用户数字证书;
电力外网签章服务器存储用户数字证书cert。
在本实施例中,还包括用户使用密钥签署流程,如图4所示:
用户登录后,电力外网签章服务器向ca机构申请身份校验,验证合法的用户信息;
身份校验成功后,电力外网签章服务器计算文件摘要哈希值h(m)并生成私钥调用授权码t1、t2,身份校验失败则返回用户登录程序;
电力外网签章服务器调用私钥kpri1=seek(t1),向电力内网加密机传输kpri1和私钥kpri2的调用授权码t2,并申请合成私钥kpri;
电力内网加密机调用私钥kpri2=seek(t2),合成用户私钥comp[kpri1,kpri2]=kpri;
调用私钥kpri进行数字签名signd(m)=signkpriu[h(m)]后销毁kpri1和kpri;
电力外网签章服务器存储签名值;
其中,用户进行数字签名时,内网用户通过网闸将待签文件同步给电力外网签章服务器,外网用户则通过ssl加密通道上传至电力外网签章服务器。
在本实施例中,所述对用户进行意愿认证包括短信认证和人脸识别认证。
在本实施例中,还包括用户的验签过程:
电力外网签章服务器提取已签署文件哈希值,采用所存储的用户证书中公钥对原始上传文件签名进行解密;
将经过解密的文件摘要与原始上传文件的文件摘要比对,若匹配完全一致即验签通过,若匹配不一致则验签失败。
上述实施例中的各个序号仅仅为了描述,不代表各部件的组装或使用过程中的先后顺序。
以上所述仅为本发明的实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。