一种能与手写签名建立可靠对应的数字签名方法

摘要

本发明涉及一种能与手写签名建立可靠对应的数字签名方法，具体的说是基于一种用于限定签名内容的数字证书，对手写签名所对应的电子文档进行数字签名的方法。该方法允许签名者在对纸质文档手写签名的同时，生成具有数字签名的电子文档，该电子文档的数字签名与手写签名具有一一对应并且不可抵赖的特征。

说明书

技术领域

本发明涉及一种能与手写签名建立可靠对应的数字签名方法，具体地说是一种签名方使用一种用于限定签名内容的的数字证书对特定的文档进行数字签名的方法，属于信息安全领域。

背景技术

公钥密码技术在网络通信中一般应用于数据保密、身份认证、数据完整性保护和抗抵赖。在使用公钥密码系统进行数字签名时，签名者首先生成一对公钥/私钥对，保存私钥，同时由数字证书认证中心(CA中心，Certificate Authority)签发数字证书绑定公钥和签名者身份，以确保公钥是签名者的。

一般数字证书的签名流程中，签名者使用其私钥对文档签名，验证者使用签名者证书中的公钥验证签名。由于数字证书仅指明公钥与其所有者关系，签名者可使用同一个私钥对任意文档签名，验证方使用同一个公钥验证签名。

存在这样一种情形，签名者对某个纸质文档进行手写签名，同时业务系统需保存经过数字签名的相应电子文档，并且对电子文档的数字签名须和纸质文档的签名对应。这就需要一种数字签名方法，此方法中数字证书和手写签名类似，只对特定文档进行签名，并且数字证书所签的电子文档正是手写签名所签的纸质文档。通过此方法签名的电子文档不仅可保证文档完整性，进行数据源鉴别，提供抗抵赖性，还能和纸质文档的手写签名建立可靠对应，标明相应的手写签名图像和签名时间。

现有方法中，尚没有一种应用于上述场景的数字签名方法。通过应用一种用于限定签名内容的数字证书，设计一种能与手写签名建立可靠对应的数字签名方法可以解决上述问题。

本发明的目的是提供一种能与手写签名建立可靠对应的数字签名方法，该方法中一个数字证书只对一个特定文档进行数字签名，同时保存的签名文档能标明和纸质文档对应的手写签名图像和签名时间。

发明内容

(一)要解决的问题

本发明的目的是提供一种能与手写签名建立可靠对应的数字签名方法，该方法允许签名者在对纸质文档进行手写签名同时，生成经过数字签名的电子文档，并且此电子文档能和手写签名的纸质文档对应，标明了相应的手写签名图像和签名时间。

(二)技术方案

为达到上述目的，本发明技术方案思路如下：

首先签名者获得一种用于限定签名内容的数字证书；其次签名者使用此数字证书对应的私钥对电子文档进行数字签名；之后可信第三方时间戳服务器为此数字签名签发时间戳；最后签名者把附带数字证书和时间戳的签名数据包发送给验证者并由验证者验证签名数据包，同时生成与纸质签名对应的签名电子文档并存档。

图1为一种能与手写签名建立可靠对应的数字签名方案图，该方案具体步骤如下：

[1]签名者保存签名私钥，获取用于限定签名内容的数字证书，该证书内容包括：签名者的手写签名图像、待签名文档的散列值、签名者公钥、签名者身份信息、以及CA中心对上述内容的签名。

[2]签名者把用手写签名的纸质文档生成电子文档，并使用私钥对此电子文档进行数字签名。

[3]签名者把步骤1获得的把数字证书、步骤2的电子文档散列值及其数字签名值打包成时间戳申请数据包，并发送给时间戳服务器。

[4]时间戳服务器接收到步骤3发来的时间戳申请数据包，然后验证时间戳申请数据包，验证内容包括：验证数字证书、数字签名、以及时间戳申请数据包中的电子文档的散列值与数字证书中待签名文档的散列值一致；如果上述验证通过，则时间戳服务器生成时间戳，并返回给签名者，时间戳的内容包含：时间戳申请数据包的散列值、当前时间、以及时间戳服务器对这两项的签名。

[5]签名者收到步骤4发来的时间戳，之后把步骤2生成的电子文档和签名者对电子文档的数字签名、步骤1获得的数字证书、、以及时间戳打包成签名数据包并发送给验证者。

[6]验证者接收步骤5发来的签名数据包，并验证其正确性，之后生成签名电子文档并存档。签名数据包的验证内容包括：验证数字证书、时间戳、数字签名、以及电子文档的散列值和数字证书所包含的待签名文档散列值一致；如果通过验证，则验证者从证书中提取出手写签名图像、从时间戳中提取出签名时间，并在电子文档中嵌入手写签名图像和签名时间生成签名电子文档，之后把签名电子文档和签名数据包存档。

第1步为进行能与手写签名建立可靠对应的数字签名之前的准备，即获得私钥和用于限定签名内容的数字证书。此数字证书不仅绑定了公钥和签名者身份，还绑定了公钥与手写签名及所签文档。

第2步中签名者所签的电子文档需与在第1步数字证书中散列值所对应的特定文档相同，也就是说此数字证书专为特定的文档所申请，不能应用于其它文档的签名。

第4步中时间戳服务器验证时间戳申请数据包，验证通过则说明申请时间戳的数字签名为数字证书中特定文档的签名，即签名者所签的电子文档为手写签名对应的纸质文档。

第6步验证者验证签名数据包，验证通过则说明验证者验证了所签的电子文档既为数字证书指定的特定文档，即数字签名的文档对应手写签名所签的纸质文档，同时通过时间戳可获得签名时间。

验证者把嵌入手写签名图像和签名时间的签名电子文档以及签名数据包存档，可保证此数字签名能与手写签名建立可靠对应，即签名电子文档从形式上与手写签名文档一致，签名数据包在法律依据上与手写签名一致。

(三)有益效果

从上诉方案可知，本发明具有如下效益：

1.本发明应用一种用于限定签名内容的数字证书对特定文档进行数字签名和验证，实现一个手写签名图像和相应的数字证书和签名文档的绑定，一个手写签名图像只能对应于一个特定文档的数字签名。

2.本发明通过时间戳可以确保，用于限定签名内容的数字证书已在特定的时间使用过，同时明确了对特定文档的签名时间。

3.本发明通过对嵌入手写签名图像和签名时间的签名电子文档以及签名数据包进行存档，可确保此数字签名能与手写签名建立可靠对应，也就是说存档的签名电子文档在形式上和手写签名的纸质文档对应，即能在电子文档中形象地展示手写签名和签名时间，同时签名数据包在法律依据上与手写签名一致。

附图说明

图1是一种能与手写签名建立可靠对应的数字签名方案图。

图2是一种能与手写签名建立可靠对应的数字签名流程图。

具体实施方式

图2为一种能与手写签名建立可靠对应的数字签名流程图，为了进一步明确本发明的技术方案，下面结合图2对一种能与手写签名建立可靠对应的数字签名流程进行详细说明。本例中的数字证书为包含签名者手写签名图像和待签名文档散列值的特定数字证书，具体步骤如下：

步骤1：签名者生成纸质文档所对应的电子文档M，获得手写签名图像HSig，待签名文档散列值H，公钥K_pu/私钥K_pv对，签名者本地保存私钥K_pv及CA中心签发的用于限定签名内容的数字证书Cert＝(HSig，H，K_pu，Sig_CA(HSig，H，K_pu))。

步骤2：签名者计算签名文档M的散列值H′，使用本地私钥对签名文档签名，得到签名值Sig_Kpv(H′)。

步骤3：签名者向时间戳服务器TSA提交时间戳请求数据包TSArq，TSArq＝(Cert，H′，Sig_Kpv(H′))。

步骤4：时间戳服务器接收并验证TSArq的正确性，验证包括：Cert的正确性，Sig_Kpv(H′)的正确性以及Cert中的H与TSArq的H′是否相等。

步骤5：若步骤4验证通过，则TSA根据当前时间time为签名者生成时间戳，时间戳为timestamp＝(Hash(TSArq)，time，Sig_TSA(Hash(TSArq)，time))。

步骤6：签名者接收到TSA于步骤5发来的时间戳timestamp。

步骤7：签名者生成签名数据包Sign发送给验证者，签名数据包包含电子文档M，步骤1的数字证书Cert、签名者在步骤6获得的时间戳timestamp、签名者在步骤2生成的电子文档M的签名值Sig_Kpv(H′)，即数据包的内容为Sign＝(M，Cert，timestamp，Sig_Kpv(H′))。

步骤8：验证者收到签名者于步骤7发来的签名数据包Sign。

步骤9：验证者验证于步骤8收到的签名数据包中的数字证书Cert，即验证Cert的正确性、有效性及证书是否被吊销。

步骤10：验证者验证于步骤8收到的签名数据包中的时间戳timestamp的正确性。

步骤11：验证者验证于步骤8收到的签名数据包中的签名值Sig_Kpv(H′)。验证过程包括如下两步：I、验证者计算签名数据包中M的散列值H″，使用证书Cert中的公钥K_pu解密Sig_Kpv(H′)并与H″比较，若相等则签名正确；II、验证者对比H″和证书Cert中的待签名文档散列值H是否匹配。

步骤12：若步骤9、10、11的验证通过，验证者从证书中提取手写签名图像，从时间戳中提取签名时间，把手写签名图像和签名时间嵌入电子文档形成签名电子文档，同时保存签名电子文档和签名数据包。

以上所述的具体实施步骤，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施步骤而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。