量子印章盖章及验证系统及其配置、盖章流程和验证方法

摘要

本发明量子印章盖章及验证系统包括印章客户端、印章客户端量子网关、服务器量子网关、CA服务器和印章服务器；所述的印章客户端通过经典信道与印章客户端的量子网关相连，所述的印章服务器、CA服务器分别通过经典信道与印章服务端的量子网关相连；所述的印章客户端的量子网关与所述的印章服务器的量子网关通过经典信道和量子信道相连。本发明提供了一种难以破解、极大提高印章有效性和权威性的量子印章盖章及验证系统及其配置、盖章流程和验证方法。

说明书

技术领域

本发明属于量子通信领域，具体涉及量子印章盖章及验证系统及其配置、盖章流程和验证方法。

背景技术

印章在我国历史悠久，印于文件上表示鉴定或签署，是传统文化非常重要的一部分，有多种材质和使用场景。最经典的使用场景是政府部门特制的石印蘸上印泥后盖在纸张上后发出，成为具有权威性的公文。

对传统印章来说，随着政府和各事业单位办公无纸化的推进，以及其本身存在的不安全性，以传统印章为权威象征的做法即将渐渐退出历史舞台。随之而来的是电子化印章的使用和发布。首先，电子印章体现为电子文档上的一个或几个类似传统印章的图片，来保留广大用户对传统印章的使用习惯。其次，电子印章不仅仅是一张图片，而且是基于图片的密码学应用：每个印章图片都绑定了一个数字证书，来证明印章的有效性、权威性和不可抵赖性，从而证明印章所在文档的有效性、权威性和不可抵赖性。在《电子签名法》颁布实施以后，正规使用的电子印章与传统印章具有相同的法律效力。

然而，传统密码学应用的安全性都是以现有计算能力不足这个前提来保证安全的，由于破解的时间往往非常长，让不法分子放弃破解。随着量子计算机的发展，传统密码学应用，包括电子印章在内，都面临着越来越大的被破解的风险，正走在崩溃的边缘。因为量子计算能在短时间内破解经典密码，进而实现权威信息的拷贝和任意使用，导致权威的真实性大大下降。很明显，这是电子印章面临的最大问题，也是致命问题。

发明内容

针对现有电子印章技术有效性和权威性日渐不足的问题，本发明提供了一种理论上无法破解、极大提高印章有效性和权威性的量子印章盖章及验证系统及其配置、盖章流程和验章流程。

本发明量子印章盖章及验证系统包括印章客户端、印章客户端量子网关、服务器量子网关、CA服务器和印章服务器；所述的印章客户端通过经典信道与印章客户端侧的量子网关相连，所述的印章服务器、CA服务器分别通过经典信道与印章服务端侧的量子网关相连；所述的印章客户端侧的量子网关与所述的印章服务器侧的量子网关通过经典信道和量子信道相连。

一种采用如权利要求1所述的量子印章盖章及验证系统的配置流程包括以下步骤：

（11）在CA服务器开通CA功能，并制作CA数字证书、印章服务器数字证书、印章数字证书和用户数字证书，妥善保存各自私钥；所述的用户的私钥分别存入相应用户的usb加密狗，且无法导出；

（12）在印章服务器内安装数据库和服务程序，所述的服务程序包括量子加解密模块；随后创建管理员帐号，登录所述的管理员帐号后，制作印章图片，从所述的CA服务器下载所述的印章数字证书，将所述的印章图片与所述的印章数字证书进行组合以创建印章，并将所述的印章存入所述的数据库；建立用户名密码数据库，创建每个用户的印章权限，并下载用户的数字证书备用；

（13）在印章客户端安装安装包，所述的安装包包括虚拟打印机、签章模块以及量子加解密模块；配置所述的印章客户端的用户名和密码，并下载该用户的数字证书和所能使用的印章。

采用如权利要求1所述的量子印章盖章及验证系统的盖章流程包括以下步骤：

（21）印章客户端的用户打开待盖章的文档，选中虚拟打印机；

（22）使用印章客户端的虚拟打印机打印文档生成电子文档；

（23）印章客户端量子加密用户身份，并向印章服务器提交加密后的用户身份，询问印章服务器是否需要更新用户的印章列表；印章服务器对加密后的用户身份进行量子解密；

（24）如果需要更新用户的印章列表，印章服务器列出印章列表，并量子加密,印章客户端下载印章列表，并量子解密,印章客户端更新本地印章列表；如果不需要更新，则无操作；

（25）印章客户端用户选择印章，选择盖章位置，并点击盖章；

（26）印章客户端量子加密印章信息，并向印章服务器提交加密后的印章信息，询问印章服务器是否可以盖章；印章服务器对加密后的印章信息进行量子解密；

（27）如果服务器返回成功，则表明所选印章有效，印章客户端可执行盖章操作；如果服务器返回失败，则表明不可执行,印章客户端提示用户盖章失败，返回（23）；

（28）印章客户端盖章，并用用户的数字证书对文档进行数字签名，最终保存为新的文档；

（29）印章客户端盖章结束。

采用如权利要求1所述的量子印章盖章及验证系统的验章流程包括以下步骤：

（31）印章客户端的用户打开已盖章文档，点击验证；

（32）印章客户端从已盖章文档中解析出印章内容及用户对文档的数字签名；

（33）印章客户端用数字签名判断文档是否被修改；

（34）如果数字签名判断文档被修改，则印章客户端提示用户，验章结束；如果数字签名判断文档没有被修改，则无操作；

（35）印章客户端将印章信息量子加密，并发送给印章服务器；

（36）印章服务器对印章信息量子解密，并判断印章是否有效；

（37）印章服务器判断印章有效，则发消息给印章客户端，印章客户端提示用户印章有效；印章服务器判断印章无效，则发消息给印章客户端，印章客户端提示用户印章无效；

（38）印章客户端验章结束。

采用以上结构后，本发明与现有技术相比，具有以下优点：

本发明采用量子加密和解密技术，通过量子网关及其量子密钥分配算法，以所述的印章客户端与所述的印章服务器做发送端或接收端，令发送端和接收端同时获取到密钥；发送端用该密钥对原始数据用对称加密算法进行加密，得到加密数据；接收端用该密钥对加密数据用相同的对称加密算法进行解密，得到原始数据。面对量子计算机对传统密码学的威胁，现阶段唯一能解决的方法，就是量子加密技术。量子加密系统中，如果信道上有不法分子窃听，则该窃听动作将会对量子加密系统造成干扰，对发送到对方的量子状态造成不可挽回的变化；于是通信双方就会得知此时已被窃听，从而结束本轮通信；生成新一轮密钥，准备下一次通信。通过这种方法，从理论上把窃听的渠道堵死。因此，把量子加密技术加入到电子印章系统中，有望实现新一代具有极高可靠性、极高权威性的印章系统，即量子印章系统。

本发明的客户端与服务端交互的信令关键内容(用户信息、印章信息等)被量子加密，表明信令关键内容的绝对安全；客户端与服务端之间的数据传输(印章图片、数字证书等)被量子加密，表明数据传输的绝对安全。

本发明采用根据量子力学的不确定性原理以及量子不可克隆定理，任何窃听均会被发现，保证了绝对安全传输。由于无人能窃听，则保证了对称加密算法的密钥的绝对安全传输；保证了密钥的安全传输，也就保证了加密信息的绝对安全传输。这一点是任何传统加密方式所无法保证的。

更进一步地，所述的印章的生命周期包括活跃态、冻结态和失效态中的一种。

更进一步地，所述的活跃态、冻结态和失效态这3种状态之间可相互转换；所述的活跃态经冻结进入冻结态，所述的冻结态解冻进入活跃态；所述的冻结态或活跃态失效进入失效态，所述的失效态复活进入冻结态或活跃态。

附图说明

图1量子印章盖章及验证系统组网原理框图。

图2量子印章生命周期图。

图3量子印章客户端盖章流程图。

图4量子印章客户端验章流程图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明。

本发明如图1-4所示，本发明量子印章盖章及验证系统包括印章客户端、印章客户端量子网关、服务器量子网关、CA服务器和印章服务器；所述的印章客户端通过经典信道与印章客户端侧的量子网关相连，所述的印章服务器、CA服务器分别通过经典信道与印章服务端侧的量子网关相连；所述的印章客户端侧的量子网关与所述的印章服务器侧的量子网关通过经典信道和量子信道相连。

一种采用如权利要求1所述的量子印章盖章及验证系统的配置流程包括以下步骤：

（11）在CA服务器开通CA功能，并制作CA数字证书、印章服务器数字证书、印章数字证书和用户数字证书，妥善保存各自私钥；所述的用户的私钥分别存入相应用户的usb加密狗，且无法导出；

（12）在印章服务器内安装数据库和服务程序，所述的服务程序包括量子加解密模块；随后创建管理员帐号，登录所述的管理员帐号后，制作印章图片，从所述的CA服务器下载所述的印章数字证书，将所述的印章图片与所述的印章数字证书进行组合以创建印章，并将所述的印章存入所述的数据库；建立用户名密码数据库，创建每个用户的印章权限，并下载用户的数字证书备用；

（13）在印章客户端安装安装包，所述的安装包包括虚拟打印机、签章模块以及量子加解密模块；配置所述的印章客户端的用户名和密码，并下载该用户的数字证书和所能使用的印章。

采用如权利要求1所述的量子印章盖章及验证系统的盖章流程包括以下步骤：

（21）印章客户端的用户打开待盖章的文档，选中虚拟打印机；

（22）使用印章客户端的虚拟打印机打印文档生成电子文档；

（23）印章客户端量子加密用户身份，并向印章服务器提交加密后的用户身份，询问印章服务器是否需要更新用户的印章列表；印章服务器对加密后的用户身份进行量子解密；

（24）如果需要更新用户的印章列表，印章服务器列出印章列表，并量子加密,印章客户端下载印章列表，并量子解密,印章客户端更新本地印章列表；如果不需要更新，则无操作；

（25）印章客户端用户选择印章，选择盖章位置，并点击盖章；

（26）印章客户端量子加密印章信息，并向印章服务器提交加密后的印章信息，询问印章服务器是否可以盖章；印章服务器对加密后的印章信息进行量子解密；

（27）如果服务器返回成功，则表明所选印章有效，印章客户端可执行盖章操作；如果服务器返回失败，则表明不可执行,印章客户端提示用户盖章失败，返回（23）；

（28）印章客户端盖章，并用用户的数字证书对文档进行数字签名，最终保存为新的文档；

（29）印章客户端盖章结束。

采用如权利要求1所述的量子印章盖章及验证系统的验章流程包括以下步骤：

（31）印章客户端的用户打开已盖章文档，点击验证；

（32）印章客户端从已盖章文档中解析出印章内容及用户对文档的数字签名；

（33）印章客户端用数字签名判断文档是否被修改；

（34）如果数字签名判断文档被修改，则印章客户端提示用户，验章结束；如果数字签名判断文档没有被修改，则无操作；

（35）印章客户端将印章信息量子加密，并发送给印章服务器；

（36）印章服务器对印章信息量子解密，并判断印章是否有效；

（37）印章服务器判断印章有效，则发消息给印章客户端，印章客户端提示用户印章有效；印章服务器判断印章无效，则发消息给印章客户端，印章客户端提示用户印章无效；

（38）印章客户端验章结束。

其中，CA是PKI系统中通信双方都信任的实体。CA通过证书证实他人的公钥信息。关于CA的使用原理及验证原理，此处不再赘述。

所述的虚拟打印机打印的电子文档为PDF格式的文档。

客户端从已盖章文档中解析出印章内容包括印章图片、印章证书、印章ID等信息。

量子通信是近二十年发展起来的新型交叉学科，是量子论和信息论相结合的新的研究领域。量子通信中的量子密钥分发方法，可以实现通信双方的无条件保密。因此面对量子计算的强大威胁，量子通信网络有望彻底解决电子印章系统被破解的问题，从而更加强有力地保障权威部门发出的公文的权威性。

量子加密和解密是指通过量子网关及其量子密钥分配算法，让发送端和接收端同时获取到密钥；发送端用该密钥对原始数据用对称加密算法进行加密，得到加密数据；接收端用该密钥对加密数据用相同的对称加密算法进行解密，得到原始数据。

更进一步地，如图2所示所述的印章的生命周期内，包括活跃态、冻结态和失效态3种印章状态。

印章正常可盖章的情况是活跃态。活跃态下印章有效，且可以盖章。印章制作完成即进入活跃态。

如果该印章冻结(即暂停使用)，则进入冻结态。冻结态下印章仍然有效，但无法盖章。印章恢复使用称为解冻。

如果该印章失效，则进入失效态。失效态下印章无效，且无法盖章。失效原因有：印章有效期(由管理员设置)到期；印章数字证书到期；管理员强制使之失效。印章从失效中恢复称为复活。同理，复活的方法有：管理员修改印章有效期；更换有效的数字证书；管理员强制使之复活。复活后回到失效前的状态，即活跃态或冻结态。

基于量子通信网络而搭建的电子印章盖章系统，本文简称为量子印章系统。为讨论方便，本文讨论的处理对象为各种格式的公文，但实际系统并不限于处理公文。

以上仅就本发明的最佳实施例作了说明，但不能理解为是对权利要求的限制。本发明不仅限于以上实施例，凡在本发明独立权利要求的保护范围内所作的各种变化均在本发明的保护范围内。