一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置制造方法
【專利摘要】本發(fā)明公開了一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置,其特征在于�����,包括:密碼安全模塊����、USB接口模塊、手寫輸入模塊��、存儲模塊����;所述裝置通過所述USB接口模塊連接到主機,所述主機展示待用戶手寫簽字的原文��;用戶在所述手寫輸入模塊進行手寫簽字����,所述手寫輸入模塊將采集到的手寫簽字筆跡數(shù)據(jù)發(fā)送給所述密碼安全模塊保存到存儲模塊,并實時輸出到顯示模塊�;所述主機對所述原文計算得到原文摘要值,并發(fā)送給所述密碼安全模塊進行與手寫簽字建立可靠對應的數(shù)字簽名操作�����,并將簽名操作結(jié)果返回給所述主機;通過所述裝置可以將原文���、用戶手寫簽字通過數(shù)字簽名建立可靠對應���。
【專利說明】一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全領(lǐng)域����,尤其涉及一種能與手寫簽字建立可靠對應的數(shù)字簽名
>J-U ρ?α裝直。
【背景技術(shù)】
[0002]長期以來��,人們習慣于在紙質(zhì)文件上手寫簽字來表明身份并認可簽署內(nèi)容����。在互聯(lián)網(wǎng)時代,合同或文件是以電子的形式表現(xiàn)和傳遞的�����,在無紙化應用過程中�����,隨著我國電子簽名法的頒布實施,為無紙化應用提供了有力的法律保障�。可靠的電子簽名技術(shù)基本都采用PKI數(shù)字簽名技術(shù)�����。
[0003]由于電子簽名專業(yè)性較強���,它對于廣大社會公眾機構(gòu)和個人來講����,顯得抽象和晦澀難懂�,因此在這種情況下,需要一種技術(shù)既要能夠解決電子文檔的真實有效和具有法律效力���,又要能夠保持用戶原有的手寫簽字使用習慣��。
[0004]目前的電子簽名產(chǎn)品一般采用基于支持數(shù)字證書的簽名人專有智能密碼鑰匙(USB-Key)實現(xiàn)數(shù)字簽名���。然而,這種應用模式并不適合面向大眾用戶群體的無紙化簽名需求����。因為該模式下,一方面結(jié)合USB-Key的簽名過程操作繁瑣,使用復雜�;另一方面對于海量的公眾用戶數(shù),應用方也難以接受數(shù)字證書及USB-Key設備的巨大成本�。造成一些早期面向公眾的傳統(tǒng)服務領(lǐng)域無紙化項目,如電信營業(yè)廳無紙化項目����,往往省卻了柜臺客戶對電子合同的數(shù)字簽名環(huán)節(jié),而僅僅以簡單的電子化的手寫簽字圖片代表用戶的簽名行為����,存在合同中客戶簽名身份被仿冒、偽`造��,電子合同被事后篡改等風險�����,使得用戶權(quán)益無法得到合法保障���。
[0005]因此,面向上述業(yè)務無紙化應用領(lǐng)域�,缺乏一種能與手寫簽字建立可靠對應的數(shù)字簽名應用產(chǎn)品,既能符合《中華人民共和國電子簽名法》的相關(guān)要求�����,確保無紙化文檔的真實有效和法律效力;又能適合海量人群的符合手寫簽字習慣的�,在成本與安全的平衡下,滿足各種無紙化應用場景���。
[0006]在目前現(xiàn)有的技術(shù)中��,尚沒有一種能有效解決上述問題并具備實用性的方案�����。
【發(fā)明內(nèi)容】
[0007](一)要解決的問題
[0008]本發(fā)明的目的是提供一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置����,公眾用戶在辦理業(yè)務過程中需要用戶對電子文件簽名表示同意時����,利用手寫電子設備獲取用戶手寫簽字信息,結(jié)合數(shù)字簽名技術(shù)����,用戶在對電子文件手寫簽字認可的同時實現(xiàn)對電子文件的可靠電子簽名。達到辨識電子文件簽署者身份的真實性����、手寫簽字行為的不可抵賴性�,以及被簽字文件的完整性的安全保護目的����,在滿足用戶對傳統(tǒng)手寫簽字習慣的同時實現(xiàn)電子簽名可視化,使得用戶對電子簽名有了更加直觀的認識��,更利于數(shù)字簽名技術(shù)的推廣應用�����,并促進電子簽名法的普及使用���。
[0009]( 二 )技術(shù)方案[0010]為達到上述目的����,本發(fā)明公開了一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置����,其特征在于�,包括:密碼安全模塊、USB接口模塊���、存儲模塊���、手寫輸入模塊�����、顯示模塊�;
[0011]所述裝置通過所述USB接口模塊連接到主機�����,所述主機展示待用戶手寫簽字的原文����;
[0012]用戶在所述手寫輸入模塊進行手寫簽字,所述手寫輸入模塊將采集到的用戶手寫簽字筆跡數(shù)據(jù)發(fā)送給所述密碼安全模塊保存到所述存儲模塊����,并實時輸出到所述顯示模塊;
[0013]所述主機對所述原文計算得到原文摘要值����,并將所述原文摘要值發(fā)送給所述裝置進行數(shù)字簽名;
[0014]在所述密碼安全模塊內(nèi)進行與手寫簽字建立可靠對應的數(shù)字簽名操作�����,并將操作的結(jié)果返回給所述主機。
[0015]所述的密碼安全模塊��,其特征在于����,所述密碼安全模塊是所述裝置的主控模塊,分別與所述USB接口模塊�����、所述手寫輸入模塊�����、所述存儲模塊直接連接�����;
[0016]所述密碼安全模塊控制著各模塊之間的數(shù)據(jù)通信并進行數(shù)據(jù)處理���,支持公鑰密碼算法和雜湊算法,提供密鑰管理和數(shù)字簽名密碼運算功能�����,實現(xiàn)與手寫簽字建立可靠對應的數(shù)字簽名功能;
[0017]所述密碼安全模塊通過所述USB接口模塊與所述主機連接����,接收所述主機的操作請求并響應處理結(jié)果;
[0018]所述密碼安全模塊與所述手寫輸入模塊連接�����,接收所述手寫輸入模塊采集到的所述用戶手寫簽字筆跡數(shù)據(jù)記錄到所述存儲模塊��,同時將所述用戶手寫簽字筆跡數(shù)據(jù)通過所述USB接口模塊發(fā)送給所述主機進行展現(xiàn)���。
[0019]此外�����,所述的USB接口模塊�,其特征在于�����,所述USB接口模塊是所述裝置與所述主機之間數(shù)據(jù)通信的唯一通道��,所述USB接口模塊接收所述主機下發(fā)的操作命令和數(shù)據(jù)并傳輸給所述密碼安全模塊,并將所述密碼安全模塊處理輸出的數(shù)據(jù)發(fā)送給所述主機���;
[0020]所述存儲模塊��,其特征在于�,用于存儲所述手寫簽字筆跡數(shù)據(jù)�,所述存儲模塊與所述密碼安全模塊連接,接收并響應所述密碼安全模塊發(fā)出的存儲和訪問指令���,采用非易失性FLASH存儲介質(zhì)����。
[0021]所述手寫輸入模塊采用電磁感應技術(shù)�����,實現(xiàn)非接觸式的手寫簽字功能�����,所述手寫輸入模塊能夠準確地采集到用戶手寫簽字過程中的位置坐標��、移動速度、壓力等筆跡數(shù)據(jù)�����。
[0022]所述顯示模塊連接所述手寫輸入模塊��,能將采集到的所述用戶手寫簽字筆跡數(shù)據(jù)實時輸出到屏幕上��,實現(xiàn)可視化手寫簽字�����,所述顯示屏采用LCD屏幕����。
[0023]在該數(shù)字簽名裝置中預裝有設備數(shù)字證書����,保存在所述密碼安全模塊中,用于標識所述裝置身份���。
[0024]如前所述�,所述主機對所述原文計算得到原文摘要值���,并發(fā)送給所述密碼安全模塊進行與手寫簽字建立可靠對應的數(shù)字簽名操作��,并將所述數(shù)字簽名操作的結(jié)果返回給所述主機�����;上述數(shù)字簽名操作在裝置內(nèi)部中具體包括以下處理過程:
[0025](I)所述密碼安全模塊產(chǎn)生一對公鑰和私鑰����;
[0026](2)所述密碼安全模塊使用所述私鑰對接收到的所述原文摘要值進行數(shù)字簽名得到原文簽名值;[0027](3)將所述裝置的設備唯一序列號��、所述公鑰�����、所述原文摘要值���、所述手寫簽字筆跡數(shù)據(jù)組成證書申請正文數(shù)據(jù)包��,使用所述設備數(shù)字證書對所述證書申請正文數(shù)據(jù)包進行數(shù)字簽名���,得到證書申請正文數(shù)據(jù)包簽名值,并將所述證書申請正文數(shù)據(jù)包和所述證書申請正文數(shù)據(jù)包簽名值一起組成數(shù)字證書申請數(shù)據(jù)包�����;
[0028](4)所述密碼安全模塊將所述原文簽名值和所述數(shù)字證書申請數(shù)據(jù)包發(fā)送給所述主機;
[0029](5)操作成功后����,所述密碼安全模塊立即銷毀所述公鑰與私鑰�、所述手寫簽字筆跡數(shù)據(jù)。
[0030]為了有效防止被其他程序干擾或私鑰的泄露等安全攻擊威脅�����,上述數(shù)字簽名操作的5個過程是由所述裝置對外提供的一條命令執(zhí)行完成����。
[0031]這樣,通過將用戶經(jīng)過手寫簽字認可的原文進行數(shù)字簽名�,并用所述裝置的設備證書將所述原文摘要值、用戶手寫簽字筆跡數(shù)據(jù)��、以及用戶公鑰進行數(shù)字簽名打包成證書申請數(shù)據(jù)包�,從而實現(xiàn)了與手寫簽字建立可靠對應的數(shù)字簽名。
[0032](三)有益效果
[0033]從上述方案可知����,本發(fā)明具有如下效益:
[0034]1.本發(fā)明將抽象的數(shù)字簽名技術(shù)與現(xiàn)實中直觀的手寫簽字有機結(jié)合在一起,一方面既順應用戶的傳統(tǒng)手寫簽字使用習慣,解決了電子簽名應用問題�����,實現(xiàn)電子簽名可視化��,另一方面也有效地代替?zhèn)鹘y(tǒng)的模式下的蓋章或簽字����,滿足用戶對于重要資源信息的完整性和不可否認性的需要。
[0035]2.本發(fā)明將密碼安全模塊和手寫輸入模塊整合形成一體化設備�����,為用戶提供便捷的安裝和實施��,因此實用性比較強�����。
[0036]3.本發(fā)明采用PKI密碼技術(shù)�����,符合國家電子簽名法����,既能保護用戶的合法利益����,又可以加快公眾應用服務提供商的業(yè)務流程���,無紙化應用降低業(yè)務成本��,可應用于各種大眾用戶應用領(lǐng)域等,具有良好的應用前景����。
【專利附圖】
【附圖說明】
[0037]圖1是一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置結(jié)構(gòu)示意圖。
[0038]圖2是一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置工作流程圖����。
【具體實施方式】
[0039]為了進一步明確本發(fā)明的目的、技術(shù)方案���,下面結(jié)合附圖詳細說明本發(fā)明的【具體實施方式】��。
[0040]圖1描述了一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置結(jié)構(gòu)示意圖���,在本發(fā)明實施例中����,該數(shù)字簽名裝置10包括:密碼安全模塊10UUSB接口模塊102�����、存儲模塊103����、手寫輸入模塊104、顯不模塊105��。
[0041]密碼安全模塊101是裝置10的主控模塊�,分別與USB接口模塊102、存儲模塊103��、手寫輸入模塊104直接連接�����,另外手寫輸入模塊104還與顯示模塊105連接��;
[0042]密碼安全模塊101密碼安全模塊101是裝置10的核心部件�����,包含密碼算法軟件和主控軟件。密碼算法軟件支持國產(chǎn)SM2公鑰密碼算法�、國產(chǎn)SM3雜湊算法,提供密鑰的生成����、使用、銷毀等密鑰管理功能以及數(shù)字簽名等密碼運算���。主控軟件實現(xiàn)對各模塊之間的數(shù)據(jù)通信�����,主要是用戶手寫簽字筆跡數(shù)據(jù)的處理、傳輸和存儲等功能�����。密碼安全模塊101支持多種接口與其他模塊通信��,包括 IIC(Inter-1ntegrated Circuit)接口�����,GPIO 接口(GeneralPurpose Input Output,通用輸入 / 輸出)���、SPI 接口(Serial Peripheral Interface,串行外設接口)���、UART 接口(Universal Asynchronous Receiver Transmitter,通用異步收發(fā))����、Flash主從接口�、IS07816讀卡器接口。通過密碼算法軟件與主控軟件的運行��,實現(xiàn)了與手寫簽字建立可靠對應的數(shù)字簽名功能�����。
[0043]在本發(fā)明實施例中����,USB接口模塊102控制著數(shù)字簽名裝置10和主機20之間的數(shù)據(jù)通信,它采用HID協(xié)議(Human Interface Device,人機接口設備)與主機20通信,負責設備的識別���、數(shù)據(jù)的接收和發(fā)送(指令及其數(shù)據(jù)的接收以及處理結(jié)束后的狀態(tài)標志碼)���。
[0044]在本發(fā)明實施例中,存儲模塊103主要用于存儲用戶手寫簽字筆跡數(shù)據(jù)���,通過SPI接口與密碼安全模塊101連接�����。當手寫輸入模塊104將采集得到的手寫筆跡軌跡發(fā)送給密碼安全模塊101��,由密碼安全模塊101保存到存儲模塊103�����,待每次數(shù)字簽名操作完成之后自動清除所存儲的數(shù)據(jù)信息���,采用非易失性FLASH存儲介質(zhì)����。
[0045]在本發(fā)明實施例中�,手寫輸入模塊104是所述裝置10的一個重要部件�,實現(xiàn)用戶手寫簽字筆跡數(shù)據(jù)的采集。手寫輸入模塊104通過IIC接口與密碼安全模塊101連接����,手寫輸入模塊104是采用電磁感應技術(shù)實現(xiàn)的非接觸式手寫簽字功能,用戶在手寫簽字過程中�,手寫輸入模塊104能夠準確地采集到用戶手寫簽字筆跡的位置�、移動速度�、壓力等信息,并將用戶手寫簽字筆跡數(shù)據(jù)傳遞給所述密碼安全模塊��;
[0046]顯示屏1035與手寫輸入控制模塊1034連接�����,采用IXD屏幕�����,能實時接收由手寫輸入模塊104采集到的用戶手寫簽字筆跡數(shù)據(jù)并準確地輸出顯示到屏幕上����,使用戶能直觀看見自己的簽字效果。
[0047]在該數(shù)字簽名裝置中預裝有設備數(shù)字證書�,包括設備證書DevCert及對應的私鑰DevPrvKey,保存在所述密碼安全模塊中,用于標識所述裝置身份�����。
[0048]圖2是一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置工作流程圖���,具體步驟如下:
[0049]步驟301:所述裝置通過所述USB接口模塊連接到主機�,所述主機展示待用戶手寫簽字的原文,所述主機主機向所述裝置發(fā)送啟動命令���,所述裝置啟動初始化�,密碼安全模塊清除相關(guān)數(shù)據(jù)�,手寫輸入模塊通知顯示模塊進行清屏。
[0050]步驟302:用戶在所述手寫輸入模塊進行手寫簽字�����,所述手寫輸入模塊將采集到的手寫簽字筆跡數(shù)據(jù)發(fā)送給所述密碼安全模塊���,所述密碼安全模塊將收到的所述手寫簽字筆跡數(shù)據(jù)保存到所述存儲模塊���,同時將所述手寫簽字筆跡數(shù)據(jù)發(fā)送給所述主機進行展現(xiàn)。
[0051]步驟303:所述主機對所述原文計算得到原文摘要值���,并將所述原文摘要值發(fā)送給所述密碼安全模塊進行與手寫簽名建立可靠對應的數(shù)字簽名操作����。
[0052]步驟304:所述數(shù)字簽名裝置進行的與手寫簽字建立可靠對應的數(shù)字簽名操作���,具體包括:所述密碼安全模塊產(chǎn)生一對公鑰和私鑰����;所述密碼安全模塊使用所述私鑰對接收到的所述原文摘要值進行數(shù)字簽名得到原文簽名值��;將所述裝置的設備唯一序列號�、所述公鑰、所述原文摘要值��、所述用戶手寫簽字筆跡數(shù)據(jù)組成證書申請正文數(shù)據(jù)包���,使用所述設備數(shù)字證書對所述證書申請正文數(shù)據(jù)包進行數(shù)字簽名���,得到證書申請正文數(shù)據(jù)包簽名值,并將所述證書申請正文數(shù)據(jù)包和所述證書申請正文數(shù)據(jù)包簽名值一起組成數(shù)字證書申請數(shù)據(jù)包����;所述密碼安全模塊將所述原文簽名值和所述數(shù)字證書申請數(shù)據(jù)包發(fā)送給所述主機;操作成功后���,所述密碼安全模塊立即銷毀所述公鑰與私鑰����、所述用戶手寫簽字筆跡數(shù)據(jù)。
[0053]為了有效防止被其他程序干擾或私鑰的泄露等安全攻擊威脅���,步驟304中的所有操作都是通過該裝置對外提供的一條命令完成����。
[0054]這樣��,本發(fā)明實施例就通過將用戶經(jīng)過手寫簽字認可的原文進行數(shù)字簽名�,并用所述裝置的設備證書將所述原文摘要值、用戶手寫簽字筆跡數(shù)據(jù)�����、以及用戶公鑰進行數(shù)字簽名打包成證書申請數(shù)據(jù)包�����,從而實現(xiàn)了一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置���。
[0055]以上所述的具體實施步驟���,對本發(fā)明的目的、技術(shù)方案和有益效果進行了進一步詳細說明��,所應理解的是,以上所述僅為本發(fā)明的具體實施而已�����,并不用于限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi)����,所做的任何修改、等同替換�����、改進等��,均應包含在本發(fā)明的保護范圍之內(nèi)����。
【權(quán)利要求】
1.一種能與手寫簽字建立可靠對應的數(shù)字簽名裝置,其特征在于����,包括:密碼安全模塊、USB接口模塊����、存儲模塊����、手寫輸入模塊���、顯示模塊�����; 所述裝置通過所述USB接口模塊連接到主機���,所述主機展示待用戶手寫簽字的原文; 用戶在所述手寫輸入模塊進行手寫簽字���,所述手寫輸入模塊將采集到的用戶手寫簽字筆跡數(shù)據(jù)發(fā)送給所述密碼安全模塊保存到所述存儲模塊��,并實時輸出到所述顯示模塊�; 所述主機對所述原文計算得到原文摘要值���,并將所述原文摘要值發(fā)送給所述裝置進行數(shù)字簽名��; 在所述密碼安全模塊內(nèi)進行與手寫簽字建立可靠對應的數(shù)字簽名操作���,并將操作的結(jié)果返回給所述主機�����。
2.根據(jù)權(quán)利要求1所述的密碼安全模塊,其特征在于���,所述密碼安全模塊是所述裝置的主控模塊�����,分別與所述USB接口模塊�、所述手寫輸入模塊�����、所述存儲模塊直接連接�; 所述密碼安全模塊控制著各模塊之間的數(shù)據(jù)通信并進行數(shù)據(jù)處理,支持公鑰密碼算法和雜湊算法����,提供密鑰管理和數(shù)字簽名密碼運算功能,實現(xiàn)與手寫簽字建立可靠對應的數(shù)字簽名功能����。
3.根據(jù)權(quán)利要求1所述的USB接口模塊�����,其特征在于���,所述USB接口模塊是所述裝置與所述主機之間數(shù)據(jù)通信的唯一通道,所述USB接口模塊接收所述主機下發(fā)的操作命令和數(shù)據(jù)并傳輸給所述密碼安全模塊���,并將所述密碼安全模塊處理輸出的數(shù)據(jù)發(fā)送給所述主機�。
4.根據(jù)權(quán)利要求1所述的存儲模塊���,其特征在于�,用于存儲所述用戶手寫簽字筆跡數(shù)據(jù)�����,所述存儲模塊與所述密碼安全模塊連接��,接收并響應所述密碼安全模塊發(fā)出的存儲和訪問指令��。
5.根據(jù)權(quán)利要求1所述的手寫輸`入模塊,其特征在于�����,所述手寫輸入模塊采用電磁感應技術(shù)�����,實現(xiàn)非接觸式的手寫簽字功能���,所述手寫輸入模塊能夠準確地采集到用戶手寫簽字過程中的位置坐標、移動速度��、壓力等筆跡數(shù)據(jù)��。
6.根據(jù)權(quán)利要求1所述的顯示模塊��,其特征在于�,所述顯示模塊連接所述手寫輸入模塊,能將采集到的所述用戶手寫簽字筆跡數(shù)據(jù)實時輸出到屏幕上��,實現(xiàn)可視化手寫簽字����。
7.根據(jù)權(quán)利要求1所述的裝置,其特征在于���,所述裝置預裝有設備數(shù)字證書�,保存在所述密碼安全模塊中,用于標識所述裝置身份����。
8.根據(jù)權(quán)利要求1所述的裝置,其特征在于����,所述主機將原文摘要值發(fā)送給所述密碼安全模塊進行與手寫簽字建立可靠對應的數(shù)字簽名操作,所述數(shù)字簽名操作具體包括: 所述密碼安全模塊產(chǎn)生一對公鑰和私鑰�����; 所述密碼安全模塊使用所述私鑰對接收到的所述原文摘要值進行數(shù)字簽名得到原文簽名值��; 將所述裝置的設備唯一序列號�����、所述公鑰����、所述原文摘要值、所述用戶手寫簽字筆跡數(shù)據(jù)組成證書申請正文數(shù)據(jù)包,使用所述設備數(shù)字證書對所述證書申請正文數(shù)據(jù)包進行數(shù)字簽名�,得到證書申請正文數(shù)據(jù)包簽名值,并將所述證書申請正文數(shù)據(jù)包和所述證書申請正文數(shù)據(jù)包簽名值一起組成數(shù)字證書申請數(shù)據(jù)包���; 所述密碼安全模塊將所述原文簽名值和所述數(shù)字證書申請數(shù)據(jù)包發(fā)送給所述主機�; 操作成功后�����,所述密碼安全模塊立即銷毀所述公鑰與私鑰����、所述用戶手寫簽字筆跡數(shù)據(jù)。
9.如權(quán)利要求8所述的所述數(shù)字簽名操作��,其特征在于�,所述數(shù)字簽名操作的全部具體操作步驟是由所 述裝置對外提供的一條命令執(zhí)行完成�����,有效防止安全攻擊��。
【文檔編號】H04L9/32GK103888260SQ201410091243
【公開日】2014年6月25日 申請日期:2014年3月13日 優(yōu)先權(quán)日:2014年3月13日
【發(fā)明者】林雪焰, 詹榜華, 馬臣云, 傅大鵬, 范驍 申請人:北京數(shù)字認證股份有限公司