[发明专利]用于限制数字凭证的有效性的方法

说明书

技术领域

本发明涉及数字凭证，尤其涉及用于限制数字凭证的有效性的方法。

背景技术

目前，在行政告知、行政服务、行政许可审批、资质认定等领域，仍以纸质凭证的应用为主。纸质凭证的申请流程复杂、制作效率低、数据共享难、管理成本高，难以满足简单、快速、共享的现代化服务需求。将凭证信息化，使用数字凭证(又称电子凭证)替换纸质凭证，能提高行政效率、实现数据快速传送与共享。例如纸质凭证在各个单位之间流转需要人工亲自传递，数字凭证可以通过网络直接传递，大大提高了效率。

在带来便利性的同时，如何保证数字凭证的有效性至关重要。由于数字凭证容易在流转环节中进行复制和破坏从而被冒用和滥用，因此在使用单位必须有能力对数字凭证的有效性进行鉴别。

如图1所示，数字凭证主要在数字凭证颁发单位、数字凭证持有单位和数字凭证使用单位这三类单位之间进行流转。首先，“数字凭证颁发单位A”将数字凭证颁发给“数字凭证持有单位B”。这个过程的流转是单一而且安全可控的。然后，数字凭证持有单位B凭该数字凭证到多家数字凭证使用单位C1-C3办理事务。由于同一个数字凭证可以有很多的办事用途，因此，同一个数字凭证将会流转到多个使用单位。如何保证持有单位和使用单位之间流转的数字凭证的安全可靠不被滥用，至为关键。

以数字凭证为“高新技术企业证书”(以下简称：高企证书)为例。上海市科委(数字凭证颁发单位A)制作“高企证书”(数字凭证)，并颁发给一高新技术企业(数字凭证持有单位B)。该高新技术企业使用该证书可以去多家单位办不同的事情，比如去税务局(数字凭证使用单位C1)可能办理退税事宜，去工商局(数字凭证使用单位C2)可能进行企业审查事宜，去房产中介(数字凭证使用单位C3)可能利用高企证书能获得某处办公楼的减免房租事宜。企业往往是将高企证书采用网络发送或者使用U盘的方式让办事员去办事单位办理相关事宜，甚至有可能让代理机构帮忙办事。因此，如何限定数字凭证在办事员手中或者代理机构手中的权利，比如限定使用期限为三天、限定只能用于办对应的事情从而防止办事员或代理机构复制凭证后另做它用至关重要。

因此，本领域亟需一种用于限制数字凭证的有效性的方法以防止数字凭证的冒用和滥用。

发明内容

以下给出一个或多个方面的简要概述以提供对这些方面的基本理解。此概述不是所有构想到的方面的详尽综览，并且既非旨在指认出所有方面的关键性或决定性要素亦非试图界定任何或所有方面的范围。其唯一的目的是要以简化形式给出一个或多个方面的一些概念以为稍后给出的更加详细的描述之序。

根据本发明的一方面，提供了一种用于限制数字凭证的有效性的方法，包括：在该数字凭证的文件末尾的发证签名之后附连应用数据部分，该应用数据部分包括应用条件字段；对该数字凭证的本体数据部分、该发证签名和该应用数据部分执行数字签名以获得应用签名；以及在该应用数据部分之后附连该应用签名。

在一实例中，该方法还包括：使用唯一性密钥对该发证签名和该应用数据部分进行加密，其中该执行数字签名是对该数字凭证的该本体数据部分、以及经加密的发证签名和应用数据部分执行数字签名计算获得的。

在一实例中，该数字凭证的该本体数据部分包括分散因子字段，该方法还包括：使用该分散因子字段中的分散因子和母密钥生成该唯一性密钥。

在一实例中，该应用条件字段包括使用期字段。

根据本发明的另一方面，提供了一种用于限制数字凭证的有效性的方法，包括：对该数字凭证的文件末尾的应用签名执行验证；若验证成功，则从该数字凭证中位于该应用签名之前的应用数据部分读取应用条件字段；若该应用条件字段不符合预定条件，则该数字凭证无效；以及若该应用条件字段符合预定条件，则对该数字凭证中位于该应用数据部分之前的发证签名执行验证。

在一实例中，该数字凭证中位于该发证签名之前的本体数据部分包括文件长度字段，该方法还包括：从该文件长度字段读取该数字凭证的文件长度；将所读取文件长度与该数字凭证的实际文件长度进行比较；若不等，则执行该应用签名验证的步骤；若相等，则直接执行该发证签名验证的步骤。

在一实例中，该方法还包括：若该应用签名验证成功，则使用唯一性密钥对该数字凭证中位于该应用签名之前的应用数据部分和位于该应用数据部分之前的发证签名进行解密，其中，该读取应用条件字段是从经解密后的应用数据部分读取该应用条件字段，以及该发证签名验证是对经解密的发证签名进行验证。