《电子印章系统方案》由会员分享,可在线阅读,更多相关《电子印章系统方案(37页珍藏版)》请在金锄头文库上搜索。
1、电子印章系统建设方案第 一 章 总体方案1.1 概述书生电子印章系统成熟、 稳定,且具有自主知识产权,符合行业 UOML标准的产品。由书生公司提供技术支持及维护。1.2 设计思路书生印章系统可以在安全 Ukey 中集成电子印章,并且与应用系统结合,从而达到实现电子印章功能。1. 印章系统与 CA 证书相结合,即采用 CA 签发的证书完成对印章的保护。如没有 CA 中心,电子印章系统也可以利用 WINDOWS 操作系统的根证书机制,由操作系统直接获取统一的根证书,替代 CA 证书。2. 用户印章与用户证书一一对应,不能出现一对多或多对多现象。3. 用户印章必须保存在用户的 Ukey 中,印章的使
2、用必须通过 Ukey 的 PIN码验证。4. 印章系统具有完善的功能,方便用户进行管理。5. 印章系统与应用系统良好结合,结合后的应用系统是一个完整系统,即印章功能应嵌入至应用系统中。结合仅需应用系统进行少量的修改即可完成。1.3 电子印章系统体系示意书生电子印章系统包括电子印章制作程序、电子印章管理系统、电子印章通用客户端和书生 SEP 文件转换器四部分组成。1.4 电子印章系统结构图电子印章系统由电子印章制作系统,电子印章管理系统,电子印章客户端软件组成。电子印章制作系统,可以制作电子公章或手写签名章等。电子印章管理系统 ,或者称为电子印章服务器、含废止、查询、统计、挂失等功能。电子印章客
3、户端软件,用来加盖印章、浏览盖章文件,可以集成到其它应用系统中,也可以单独作为桌面端软件使用。1.5 系统接口将对电子印章系统处理的核心功能程序嵌入到 OA 系统中 在 OA 系统中直接调用公文处理核心功能完成文件的加密、盖章、分发、打印、浏览等操作。接口实现方式动态库及 ACTIVEX 控件。中间件接口的优点可以无缝的把电子公文系统嵌入到应用系统中。第 二 章 电子印章系统功能介绍2.1 电子印章的制作书生公司提供专业的电子印章制作软件,通过该软件,可以制作公章、人名章、个人签名章或者自定义电子印章等。指系统管理员登录到电子印章服务器,通过书生电子印章系统使用专业的电子印章制作软件,将印模图
4、片、印章信息写入 Ukey,并将这些信息与数字签名绑定。原则上是统一由上级单位为下级单位和工作人员制发电子印章。印章制作人员管理员身份需要通过系统身份认证之后,其身份与加密设备或专用 UKey 绑定。 经过身份认证后,可以通过电子印章制作软件进行电子印章的制作。电子印章制作按照实物印章为模板,所有印章印模交上级机构,由上级机构为下级机构统一制作电子印章。在制作过程中,制章软件调用加密体系的加密、签名等功能,进行电子印章的制作。电子印章制作时,指定每一枚电子印章使用人或使用机构。确保电子印章在图像特征上与实物印章一致,同时需确保电子印章的安全。电子印章存放到可移动介质 Ukey 上,并提供电子印
5、章防拷贝的功能。制章应由系统管理员统一集中进行制章。制章流程如下:1、电子印章系统管理员登录电子印章服务器的印章管理模块,2、 电子印章系统管理员创建用章的普通用户,并初始化普通用户的密码,此后普通用户可以登录电子印章的普通用户模块系统修改自己的密码。3、管理员在普通用户名下开始制章,输入要制章的信息。4、电子印章系统调用制章功能完成制章。2.2 电子印章的管理书生公司提供电子印章管理系统,对所有制发的电子印章提供验证、查询、统计、挂失、备份、废止等等管理功能。原则上由单位的领导机构设立电子印章管理员,对电子印章进行统一管理。电子印章管理系统的基本功能包括:1、电子印章验证可以验证所有制作、发
6、放和管理的电子印章以及加盖有电子印章文件的真伪及有效性。2、电子印章废止实现对电子印章的废止功能,废止后的电子印章不能再被使用。如果有新下属机构设立,或者原下属机构撤并,或者员工离职/退休等,则可以启用此功能,并收回其电子印章。3、电子印章查询、统计电子印章管理员可以查询各电子印章的状态、各电子印章使用记录、各电子印章的使用验证等,也可以对上述情况进行统计。4、电子印章挂失在电子印章使用者不慎将电子印章丢失或者发现出现安全问题时,可以通知电子印章管理员在电子印章服务器上进行挂失。5、电子印章备份对每一个制发的电子印章都提供备份功能。2.3 电子印章的使用实现电子印章的实物化,存储在加密的移动介
7、质中,按照实物印章的管理制度进行管理。书生公司为电子印章的使用者提供两款软件支持。1、书生 SEP 文件转换器SEP Wri terSEP Wri ter 是一款通用的版式文件转换工具,可以将 MS Of fice,包括W ord、 Excel、 PowerPoint 等、 RedOffice、 永中 Of fice、 WPS 等主流的 Office文件,以及 Excel、PowerPoint 等、RedOf fice、永中 Of fice、WPS 等主流的Of fice 文件,以及 TIFF、BMP、HTML 等各种常见的电子文件统一转换成书生 SEP 格式的文件,并保证原版原貌。转换 SE
8、P 文件可以通过内嵌入 Of fice 软件的控件直接“点击”完成。也可以通过 Of fice 软件的打印功能完成。SEP 所具备的一些特性,可以很好地符合中华人民共和国电子签名法中对于“原件文件”的要求:u 足够强的版面描述能力,凡是能印在纸上的都能表示u 内容一致性在不同的计算机环境都能保持版面和内容的一u 致性u 不可篡改性SEP 文件里的已有内容不能被任何操作篡改u 不可分割性SEP 文件里的印章、签名等元素不能被拆离下来2、书生电子印章通用软件书生提供简便易用的电子印章通用软件,充分降低用户对于电子印章的学习和使用成本。该软件提供以下基本的电子印章操作,1、看章用户将自己的电子印章插
9、入电脑后、可以通过该软件查看自己的电子印章信息,信息包括印章名称、印章图像、有效期、颁发机构、法律有效性、相关的数字证书等。2、盖章每一枚电子印章均有密码保护,在使用时必须提供正确的密码。提供正确的密码后,可以在需要签名的 SEP 电子文件上加盖自己的电子印章,电子印章通用软件提供快速盖章和联网盖章两种方式。A 快速盖章用户不用通过网络连接到电子印章服务器,就可以进行离线执行电子盖章。离线盖章时,系统会自动记录用户盖章时候的本机时间。B 联网盖章用户进行电子盖章的时候,需要连接到电子印章服务器,系统所记录的盖章时间也将来自于电子印章服务器的时间。3、验章该软件提供对加盖电子印章的电子文件进行有
10、效性验证的功能。软件提供快速验章和联网验章两种方式进行验证。A 快速验章用户对盖章电子文件验证的时候,不用通过网络连接到电子印章服务器,系统会自动验证文件上电子印章的有效性,但不对用章记录中的时间做有效性验证。B 联网验章用户对盖章电子文件验证的时候,要通过网络连接到电子印章服务器,可以验证该印章的有效性,包括该电子印章是否已经被废止或者失效等同时可以对“联网盖章”生成的用章记录进行有效性验证。4、印章密码用户在看章、验章和盖章时,都需要输入电子印章密码。超过三次输入密码错误,则该电子印章自动锁死。用户可以修改电子印章密码,并且修改时不需要联网到电子印章服务器。如果密码忘记或者输入密码错误导致
11、锁死,则需要按照规定找电子印章管理员进行密码重置。5、查看用章记录每次使用电子印章时,软件会自动记录电子印章的用印记录。可以随时查看这些记录。用印记录保存在电子印章存储介质中,也可以根据用户的需要保存在电子印章服务器上。2.4 与 CA 的结合电子印章系统和 CA 的结合体现在如下几个方面:1、电子印章的制发系统是审核、制作、发放管理电子印章的管理系统。在制发过程中,系统自动和相关联的 CA 中心的 RA 系统衔接,获得电子印章的数字证书,同时通过 PKI 设备的接口存储数字证书、印章数据等。2、电子印章的盖章、验章动作是需要调用数字证书的相关信息。3、电子印章的有效性是和电子印章所绑定的数字
12、证书的有效性,是否有效、有效期等,密切相关的。4、电子印章的在线验章需要电子印章中心管理系统向 CA 中心获取可用的数字证书黑名单。电子印章的离线验章中,数字证书的根证书必须是安装到系统中的对应的 CA 的 root 证书。2.4.1 印章服务器与 CA 服务器间的交互书生电子印章系统与 CA 系统之间采用松耦合的方式进行连接。 通过书生电子印章服务器与 CA 服务器以及 CA 发布 CRL 列表的服务器 ,可能为 LDAP服务器,进行数据交互。书生电子印章保存在移动存储设备上如 UKey 。在制作电子印章的过程中,首先需要在 UKey 内生成私钥和证书。 此过程印章服务器与 CA 服务器进行
13、交互,向 CA 服务器提供公钥并获得经过 CA 签名的证书。同时,与 CA 提供的 CRL 列表相似,印章服务器也提供电子印章状态信息数据。这里的电子印章状态包括印章本身的状态和其对应的证书的状态,其中证书的状态既是印章服务器从 CA 的 CRL 列表服务器自动下载的数据,这些数据下载后与印章本身的状态数据共同保存在印章服务器数据库中。2.4.2 交互过程上图中所称服务器,均为逻辑功能上的服务器。2.4.2.1 电子印章的生成书生电子印章服务器通过控制本地的 UKey,利用 Ukey 中的运算器,在Ukey 内部生成公、 私钥对,并将公钥倒出传送至 CA 服务器。 CA 服务器根据印章服务器传
14、送的公钥生成证书并进行签名,将证书发送回印章服务器。最后印章服务器将含有公钥信息的证书写入 Ukey。这个过程涉及到的 CA 服务器接口是标准的证书生成接口。 书生服务器只需读取 CA 服务器返回的数据,不需 CA 服务器调用任何功能接口。Ukey 中保存的数据为证书,印章的 epf 文件,印章元数据,用章记录等。其中数字证书、epf 文件、元数据为制章时写入的固定数据使用制章者的私钥签名。客户端读取时用制章者的公钥验签。印章数据采用对称密钥加密。签名运算调用 IC 芯片的接口执行私钥不出 UKey。2.4.2.2 印章状态信息维护电子印章状态包括印章本身的状态和其对应的证书的状态,其中任何一
15、部分状态失效均会导致电子印章联网验证失败。电子印章状态信息保存在印章数据库服务器中。印章服务器管理功能会定期的自动从 CA 的 CRL 列表服务器获取 CRL 数据,并根据获取的 CRL 内容更新数据库中对应印章状态信息。这个过程中需要 CA 开放标准的获取 CRL 数据的接口,印章服务器调用此接口获取数据后更新印章数据库服务器。2.4.3 对 CA 的支持只要是符合国家信产部认可的第三方 CA 系统,书生电子印章系统均可以与其按照以上描述进行正常的连接。电子印章的 KEY 可以使用其 CA 的 KEY,但需要书生公司进行集成测试。主要工作包括:u 证书部分:将证书导入电子印章存储介质 Ukey 的网页。u Ukey 部分:实现签名,验证签名,证书读取等功能模块,实现存取硬件Ukey 功能模块,这些模块之间的协同合作进行联合调试。2.4.4 不采用 CA 的方式与 CA 结合主要是获得 CA 证书,将 CA 证书与印章数据结合导入电子印章 UKEY,并通过 CA 证书对电子印章进行验证。 如果不与 CA 证书结合, 电子
