电子印章方案.docx
《电子印章方案.docx》由会员分享,可在线阅读,更多相关《电子印章方案.docx(7页珍藏版)》请在冰豆网上搜索。
电子印章方案
电子签章系统
实现原理及方案
目录1
1.数字签名与电子印章2
2.电子印章原理2
3.电子印章文件格式3
4.电子印章系统实现4
5.电子签章系统的特点8
6.结论9
1.数字签名与电子印章
传统的实物印章依靠印模的复制困难来保证文档的真实性,随着科学技术的发展和普及,印模的复制越来越容易,传统的实物印章已经变得十分不可靠,迫切需要新的认证技术来代替。
对于电子文档来说,传统的印章表现为文档中的一张图片,由于电子图片的复制十分容易,依靠印章图片来保证电子文档的真实性已经毫无意义。
数字签名的安全性远远高于传统印章,按理说,在电子文档中,完全可以用数字签名代替印章来保证文档的真实性,而不必考虑印章图片有关问题,但实际情况并没有那么简单。
首先,传统的印章概念在中国根深蒂固,如果在电子印章中完全抛弃传统的印章概念,简单的用数字签名代替电子印章,用户往往难以接受,因此,国内市场上出现了一些基于印章或签名图片的安全技术,其中的一些理论基础并不充分。
其次,与数字签名相比较,电子印章的需求更复杂。
如果是对原文件的一次盖章,在对原文件插入印章图片、落款和盖章日期后进行数字签名,用数字签名代替电子印章没有任何问题,但是,很多情况下,往往是一个文件需要盖多个印章,即要对同一个文件多次插入印章图片、落款和盖章日期。
传统的纸文件原件只有一份,实际的盖章过程只能在同一个文件上进行,也就是说即便是甲乙双方同时盖章,盖章也是有顺序的,而电子文档却有可能出现真正的同时盖章的情况。
数字签名的基本要求是原文件不能修改,在原文件中插入印章图片、落款和盖章日期等会使数字签名验证无法通过,如果只对插入印章图片、落款和盖章日期之前的文件进行签名,图片、落款和盖章日期这些信息就得不到有效保护,因此不能简单
的用数字签名代替电子印章。
2.电子印章原理
利用数字签名技术的电子印章系统,需要对数字签名进行一些改进,主要解决两个问题:
(1)在签名文档中插入图片、落款和盖章日期等信息后,仍然能够保证原来的签名通过
验证;
(2)印章图片、落款和盖章日期等盖章时产生的信息需要同原始文档一起受到签名保护。
根据电子印章对数字签名的要求,我们可以将电子印章的签名文档分成两部分:
原始文档和附加信息(即:
印章图片、落款和盖章日期等)。
对于同一文档的不同电子印章,原始文档相同而附加信息各不相同,电子印章中的数字签名实际上是对原始文档和附加信息合成的新文档提取数字摘要,然后对摘要进行私钥加密。
我们将加盖了电子印章的文件称为“盖章文件”。
为了能够在Internet上方便、稳定地传输,“盖章文件”最理想的格式应该是纯文本,同时,“盖章文件”应该能够方便地合成和
解析。
基于以上考虑,本文设计了一种基于XML的“盖章文件”格式。
在“盖章文件”中原始文件和印章图片、落款、盖章日期分别存放在不同的元素中,只是在向用户显示时才将它们合成在一起,这样可以保证多次盖章后原文件不被修改。
同时与印章相对应的数字签名不是对原始文件的数字签名,而是对“盖章申请”的签名。
与“盖章文件”一样,“盖章申请”采用XML文件格式。
“盖章申请”中包含了原文件的数字摘要和印章图片、落款、盖章日期等信息,从而保证了所有这些信息都受到数字签名的保护。
“盖章文件”包含原始文档、印章图片、落款、盖章日期、对“盖章申请”的数字签名、签名证书等信息,这些信息按照一定的规则存储在XML文件的元素中,根据这些信息,用户可以从“盖章文件”中恢复“盖章申请”、验证数字签名或将新的盖章信息加入“盖章文件”中(即:
对原始文件加盖新印章)。
“盖章文件”中原始文件、印章图片、数字签名和签名证书等二进制数据都经过了Base64编码。
为了能够正确恢复和显示盖章后的原始文档,“盖章文件”中应该包含原始文档类型、显示和编辑原始文档的软件名称、印章图片在原始文档中的位置等信息。
“盖章文件”解析程序可以做成Office或浏览器插件,这些插件程序可以按照“盖章文件”中存储的信息,正确显示原始文件及印章图片。
同时,插件程序还具有验证数字签名、根据用户要求生成“盖章申请”、合成“盖章文件”等功能。
3.电子印章文件格式
“盖章文件”由原始文件正文(经过Base64编码)、原始文件基本信息(文件名,文件类型,文件编辑器,文件查看器等)、零个或多个印章组成:
VELEMENT盖章文件(文件名?
文件类型,文件编辑器*,文件查看器*,正文编码方式,正文,印章*)>
其中:
“文件名”为原始文件名称(可选),用于为用户从“盖章文件”中提取原始文件时提供默认的文件名称;“文件类型”为原始文件的类型(如:
DOC、PDF、XLS等);“文
件编辑器”为处理原始文件的编辑软件(如:
WINWORD.EXEEXCEL.EXE等);“文件查看器”
为查看原始文件的软件(如:
IEXPLORE.EXEACRORD32.EX)“正文编码方式”,将正文编
码为文本的算法(目前为Base64);“正文”,经过Base64编码的原始文档;“印章”包含与盖章有关的信息,可以是零个或多个,零个对应没有印章的情况。
“印章”由印章图片、数字签名、印章基本信息(名称、显示落款、显示日期、盖章日期等)组成:
VELEMENT印章(名称?
显示落款?
显示日期?
盖章日期,印章图片?
数字签名)>
期”为显示于正文的盖章日期;“盖章日期”为盖章的实际时间,由印章服务器填写;“印章图片”为显示于正文的印章图片;“数字签名”为印章对应的数字签名。
“显示落款”包括“落款”和“落款位置”两个元素:
VELEMENT显示落款(落款,落款位置?
)>
其中:
“落款”为显示于正文的落款内容;“落款位置”描述“落款”在正文中显示的位置,据此可以将“落款”显示在正文的合适位置。
位置的表达方式可以按照页号、水平位置(字符或绝对坐标毫米等)、垂直位置(行或绝对坐标毫米等)的方式表示,也可以采取“其它表示法”,如:
提前在正文模板中做插入标记,按照这些标记插入印章“落款”:
VELEMENT落款位置(页号?
水平位置?
垂直位置?
其它表示法?
)>
印章的“显示日期”和“印章图片”的位置表示方式与“显示落款”类似。
“数字签名”包括签名证书和签名算法等内容:
<!
ELEMENT数字签名(证书编码算法,证书编码,正文摘要算法,数字签名摘要算法,数字签名编码算法,数字签名)>
其中:
“证书编码”是经过编码的签名证书,存放在“盖章文件”中,用来验证数字签名;“正文摘要算法”用来提供生成“盖章申请”时的“正文摘要”;“数字签名编码”为对“盖章申请”的数字签名,经过Base64编码。
“盖章申请”是盖章插件提供给印章服务器,要求签名盖章的XML文件,“盖章文件”包含“正文编码摘要”和“印章”两个元素。
其中,“正文编码摘要”保证了对“盖章申请”的签名能够提供对原始文档的签名保护;“印章”与盖章文件中的“印章”元素结构相同:
VELEMENT盖章申请(正文编码摘要,印章)>
印章服务器得到“盖章申请”后,填写“盖章时间”,然后按照“盖章申请”要求的算法对“盖章申请”进行数字签名,然后将签名证书、签名编码等信息添写到“盖章申请”文件中,将“盖章申请”反馈给用户,由盖章插件合成“盖章文件”。
为保证数字签名的稳定性,在对“盖章申请”签名前,应该删除“盖章申请”中的空格、注释、回车换行等字符。
4.电子印章系统实现
CA服务器,
印章系统与CA系统服务器配合使用,即电子印章系统的印章证书来自于
电子印章系统通过CA系统生成、发布、吊销电子印章证书。
同时印章服务器维护和管理印章数据库,印章数据库中包含印章图片、印章证书密钥及印章授权使用情况记录。
由于印章密钥存放于印章服务器,印章服务器应该处于高度安全的环境保护下,包
括物理隔离和网络安全等等,同时印章的使
用情况应该有完整的日志记录。
系统以B/S方式实现。
CA服务器和印章服务器通过Web服务器管理印章、密钥、证书、接受用户盖章申请等。
以下通过一个甲方“盖章”、乙方“验证”、再“盖章”的过程,说明电子印章系统的使用过程。
“盖章”、“验证”、再“盖章”过程需要客户端软件(浏览器插件或Office插件)支持。
甲方盖章过程:
(1)首先是将原文件
CA管理印章管理客户
员员
图1电子印章系统结构
Base64编码保存,然后从印章服务器得到印章图片,然后将图片插入正文合适的位置(供用户查看和调节印章位置),同时插入印章落款、盖章时间等信息,客户端软件搜集这些信息,与原文件Base64编码摘要一起打包成“盖章申请”。
(2)将“盖章申请”发送到印章服
务器,印章服务器将实际盖章时间写入“盖章申请”中,然后对“盖章申请”数字签名,将
“盖章申请”、数字签名以及印章证书一起打包成“盖章数据”,发送到客户端。
(3)客户端
将原文件Base64编码、“盖章数据”等信息打包成盖章文件。
申请印章图片
>1
传送盖章申请
传送盖章数据
图2盖章过程交互图
乙方印章验证及再盖章过程:
(1)首先是从盖章文件中提取原文件Base64编码、印章
图片、落款、数字签名、数字证书等信息,恢复盖章申请原貌,验证数字签名以确认盖章是否有效。
(2)恢复原文件显示给用户。
(3)按照盖章程序再盖章。
分析盖章文件,提取正文编码,验证所有签名的有效性
申请印章图片
返回印章图片
传送盖章申请
用印章密钥对原始盖章数据签名,生成盖章数据
传送盖章数据
图3印章验证及再盖章过程交互图
5.电子签章系统的特点
支持多签章支持在文档中进行多重签章,各签章之间互不影响,这种特点正适应了电子办公系统中公文流转的特点,适用于多级审批及多人会签。
签章前电子印章可移动,一旦签章则印章不能移动。
印章存放于USB智能卡中不能伪造,签章过程
中签名运算在USB智能卡内进行,绝对保证签名私钥不出USB智能卡。
文档验证可以很容易地验证数据从发送者发出后到接收者中间过程是否被篡改过,是否有错行、字体颜色发生变化、图片位置偏移、文档属性更改等破坏公文严肃性的情况。
锁定文档提供类似于MSOffice自身的“保护文档”功能。
当文档处于锁定状态时,该文档不可修改,但签章的必要功能依然有效,如:
“文档验证”,“签章时间”等等。
打印控制为了适用各种应用的要求,确保签章打印可控,实现了以下打印控制功能。
①控制打印份数;②只有待打印文档中所有的印章验证都通过的情况下,才能
打印该文档。
自主版权自主开发,具有自主版权,避免了采用国外模块所带来的安全性隐患。
安全性采用1024比特模长RSA算法及安全Hash算法SHA1密码运算采用智能密码钥匙,智能密码钥匙通过PIN码保护,确保私钥不出卡,密码运算在卡内进行,保证了运算过程的安全性。
透明性由于密码技术及其安全产品原理、算法都非常复杂,系统具有透明性,使得直接用户不必详细理解其技术原理即可使用。
稳定性电子签章系统采用了基于组件的技术,可以完全嵌入OFFICE环境中,而
对OFFICE原有的功能不产生任何影响。
签署后的电子签章与OFFICE文档完全融合,成为一个整体。
避免使用OFFICE开发常用的VBA宏技术,从而不会产生因用户禁用宏而导致软件失效的问题。
方便性电子签章系统自动在Word/Excel环境菜单中添加了菜单项,通过选择点击菜单项可以
升级会员 