格尔电子签章系统白皮书Word下载.docx
《格尔电子签章系统白皮书Word下载.docx》由会员分享,可在线阅读,更多相关《格尔电子签章系统白皮书Word下载.docx(10页珍藏版)》请在冰豆网上搜索。
被签名数据的哈希值经过私钥加密后的结果。
通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照,就能验证数字签名。
数字证书:
用于验证需认证者的标识信息与公钥对应关系的一种数字文档。
哈希(Hash):
通过对原文进行单向哈希函数运算得到的定长字符串,原文不同哈希值就不同,通过哈希值无法还原出原文。
PKI(PublicKeyInfrastructure):
公开密钥基础设施。
CRL(CertificateRevocationList):
黑名单。
OCSP(OnlineCertificateStatusProtocol):
在线证书状态协议。
DTS(DataTime-Stamp):
数字时间戳,为相应的文档或信息提供时间认证的服务。
。
身份认证:
与传统的信息交换不同,参与网上信息交换的各方没有实际见面,任何一方都有被冒充的可能,所以安全应用系统必须采用某种机制,使能够确认对方的身份。
数据的保密:
在许多应用中,信息的内容是需要严格保密的,但是在网络上,网络侦听技术使数据的获取变得十分容易,因此对信息的加密是安全应用系统重要的特点。
防止篡改数据:
由于网络的公开特性,使得信息提供者以外的人修改信息成为可能。
如何防止他人篡改信息是安全应用系统需要解决的一个重要问题。
防止对操作的抵赖:
在信息提供过程中如果一方在确认信息操作后又抵赖,将对应用系统的使用造成很大的损失。
安全应用系统必须提供某种技术手段,以便应用系统能对信息的提供进行确认。
2
产品概述
格尔电子签章系统是一个提供数字签章服务以及对数据验证其数字签章的真实性、有效性和防篡改的服务平台,是格尔软件股份有限公司的数字签章验证产品,可以有效保护网络资源的安全访问。
支持HTTP、HTTPS的B/S应用以及FTP、远程桌面等通用的C/S应用。
该产品可以被广泛地在网上银行、网上证券和网上商户等电子商务和电子政务活动中,应用于验证用户身份、检验交易凭证和防止抵赖等方面。
格尔电子印章是以先进的数字技术模拟传统实物印章,其管理、使用方式
符合实物印章的习惯和体验,其加盖的电子文件具有与实物印章加盖的纸张文件相同的外观、相同的有效性和相似的使用方式,格尔电子印章是将传统的印章模式和数字签名技术完美结合为一体的应用软件系统。
它可在WORD、EXCEL、HTML(WEB页面)、WPS、PDF、版式文件上实现手写电子签名和加盖电子印章,并将该签章和文件通过数字签名技术绑定在一起,一旦被绑定的文档内容发生改变(非法篡改或传输错误),签章将失效。
只有合法拥有印章钥匙盘并且有密码权限的用户才能在文件上加盖电子签章。
保证文档防伪造、防篡改、防抵赖,安全可靠。
3
产品组成
格尔电子签章系统由电子印章系统管理中心和签章客户端组成,电子印章系统管理中心对印章统一进行管理制作合成(基于PKI/CA身份认证技术),负责电子印章的集中管理包括印章的申请、制作、吊销、授权等电子印章生命周期的全程监控,另有打印控制、日志审计等模块。
签章客户端与电子印章系统管理中心结合,实现对文档的签章功能(文档签章功能:
确定对当前的文件进行盖章,该功能需要将印章钥匙盘的支持,同时需要输入密码确认用户身份)。
3.1标准版
@
概述
格尔电子印章标准版是一套基于在线认证和体现完整的印章管理功能的电子印章系统,实现电子印章的申请、审批、颁发、销毁、权限控制、制作、等电子印章的全程管理等功能。
性能
签名:
150次/秒,验签:
500次/秒
1000次/秒,验签:
2000次/秒
应用
基于网络实时认证与管理的标准版电子印章系统。
包括客户端签章
软件、电子印章系统管理中心和电子签章认证系统三大部分。
其主要特点就是安全性和可管理性大大加强。
3.2单机版
单机版本就是签章用户只需要安装客户端软件并拥有电子印章密
#
钥盘就可以签章,签章时不需要连接认证服务器进行实时认证,签章日志等都由应用信息系统实现。
单机版本包括客户端电子签章软件和印章制作软件两部分组成,单机版本的印章制作软件就是一个用VC开发的客户端程序,主要完成电子印章的制作、更新、授权,数字证书的颁发与更新,签章软件则实现具体的电子签章功能,功能与网络版本的功能基本雷同。
单机版本比较适合于局域网范围内的入门级用户使用。
3.3产品区别
单机版和标准版的区别在于没有后台系统,在印章使用过程中,没有全程审记,以及记录使用日志。
另外,单机版与系统版本很重要的一点,不具备严格的打印控制功能。
单机版本的打印份数控制,以及打印控制由业务系统负责处理。
4
产品功能
系统功能分为以下几大模块
功能
说明
数据签名功能
提供普通格式/P7attach/P7detach等多种格式的数字签名功能
.
签名验证功能
提供普通格式/P7attach/P7detach等多种格式的数字签名验证功能
文件签名功能
对文件提供数字签名功能
文件验证签名功能
对文件提供数字签名验证功能
证书有效性验证功能
提供黑名单/OCSP等多种方式的证书有效性验证
获取证书信息功能
提供证书解析功能,获取证书中的任意主题信息以及扩展项信息
多种证书支持功能
—
支持格尔、CFCA、SHECA及多数省级CA中心数字证书
支持多签章
支持在文档中进行多重签章,各签章之间互不影响,这种特点正适应了电子办公系统中公文流转的特点,适用于多级审批及多人会签。
文档盖章
在电子文档上加盖印章,实现该功能需要印章钥匙盘,同时需要输入密码确认用户身份。
手写签批
实现电子文档上的手写签名和批阅,该功能可用鼠标或手写笔批阅,签名或批阅时需要输入密码确认用户身份。
本公司有专用的手写签批板可供选择。
可以写出毛笔、钢笔等效果。
安全控制
设置文档的权限控制、打印权限等控制。
电子签名
采用电子签名技术对文档内容和印章信息做签名。
】
证书校验
验证证书的真实性和有效性,采用OCSP和CRL来实现实时和分时的证书校验。
会签保护
盖章后设置会签保护表示不可以修改文档,但是可以再盖章实现会签盖章。
印章雾化
为防止通过拷屏和截图方式获取清晰的印章,可以设置印章雾化,此功能采用特有算法来实现印章图片的虚化,使印章图片雾化显示,但是打印是清晰的。
印章脱密
印章由红色变为灰色的,此功能类似于纸质盖章文件的复印件。
区域绑定
支持绑定一个或多个数据区域,一旦绑定区域的数据发生改变,印章能够主动发现,并在印章上划上横线标示绑定数据修改。
区域锁定
区域锁定后即不允许修改。
再次修改需要插入USBKey认证身份。
位置锁定
印章不允许被移动,位置固定。
位置解锁
允许印章移动,此功能需要插KEY校验用户身份。
撤销印章
删除加盖的印章,此功能需要插KEY校验用户身份。
灰度打印
印章打印时采用灰度输出。
打印份数
印章具有特定的份数,一旦打印超出设定份数,则打印失败。
…
手写颜色
手写签批时可以选择不同的颜色。
手写笔宽
手写签批时可以选择不同的笔迹宽度。
笔迹平滑
通过特殊的算法来平滑手写笔迹。
水印
可以利用数字水印技术在输出的纸质文件的每一页特定位置加入不可见水印信息,这种水印信息人的肉眼不可见,只有利用特殊光源才可以看得见。
水印信息不可通过照相、扫描仪进行复制。
这样初步通过特殊光源设备预判纸质文件的真伪
二维条码
印章图片只是一个表现形式,通过高精度扫描仪、复印机结合其它技术手段是可以还原印章图片的,所以防伪不能完全依据印章图片,要结合多种技术手段,如含数字签名的二维条码打印防伪
安全性
|
采用1024比特模长RSA算法及安全Hash算法SHA1。
密码运算采用智能密码钥匙,智能密码钥匙通过PIN码保护,确保私钥不出卡,密码运算在卡内进行,保证了运算过程的安全性。
透明性
由于密码技术及其安全产品原理、算法都非常复杂,系统具有透明性,使得直接用户不必详细理解其技术原理即可使用。
稳定性
格尔电子签章系统采用了基于组件的技术,可以完全嵌入OFFICE环境中,而对OFFICE原有的功能不产生任何影响。
签署后的电子签章与OFFICE文档完全融合,成为一个整体。
避免使用OFFICE开发常用的VBA宏技术,从而不会产生因用户禁用宏而导致软件失效的问题。
方便性
格尔电子签章系统自动在Word/Excel环境菜单中添加了菜单项,通过选择点击菜单项可以在文档或工作表中插入图章,通过鼠标事件即能够实现文档签章等各项功能,便于用户的操作。
防复制
印章不可通过Word的复制功能进行复制,杜绝利用已有电子签章仿造新的文件,即使是在同一文档中也不可以利用复制功能加盖印章。
防伪造
签章不可仿造。
签章图片与证书绑定在一起,具有唯一性,即使是同一个签章图片在不同的时刻生成的电子印章也不一样。
通过采用数字水印技术可以保证电子印章打印到纸面上后依然具有防伪功能。
?
系统备份恢复功能
系统可以备份当前所有配置,保证系统瘫痪时的快速恢复
日志发送功能
系统将日志以SYSLOG的方式发送到指定服务器。
双机热备功能
高可靠性
多种开发接口支持
客户端提供C开发API,COM方式API,Java开发API
5
产品特点
支持BS/CS等各类不同架构的应用系统,提供个性化的技术服务。
)
防伪性强:
支持印章雾化显示,真正保护印章图片,有效防止拷屏、数码相机拍摄、写字板打开等方式盗用原始印章图片,打印是清晰的,以区别于伪造的印章。
电子印章系统还提供多重密码控制和证书身份控制。
提供可靠严密的安全平台解决方案,完全满足单位信息安全的保证和要求。
兼容性强:
可兼容各种格式和各种版本Office以及相关Office控件。
稳定性强:
产品采用模块化面向对象的设计模式,各个模块之间处理的事情相对独立,并且很好地解决了各个模块之间的聚合关系.开发语言采用面向对象的C++语言,既能提供产品的运行速度,又能很好的实现面向对象的模块化设计理念。
客户端均以控件方式实现:
直接内嵌到业务系统中,客户端采用COM组件方式,并有微软认证的数字签名,可通过IE浏览器自动安装或升级,无需用户进行IE安全性级别等其他相关设置,对于B/S的应用,不需要对每台客户端进行单独手动安装,容易部署。
支持服务器分级管理。
支持多管理员模式。
电子印章管理平台:
集中控制,分级管理,日志审计。
能在浏览器网页上任意地方签署安全电子印章(Web版),或者在Word、Excel。
系统支持使用或者不使用数字证书对文档进行认证。
支持第3方CA颁发的数字证书。
系统支持直接从EKEY加入签章。
盖章后的文档一旦被修改,印章将以灰色显示。
更加清楚了然。
可以通过程序或者界面控制印章的锁定,一旦锁定,印章将不能被移动。
鼠标移动到印章上,会自动显示印章,文档认证以及证书认证的信息。
可以使用印章锁定文档。
被锁定的文档如果要解锁,必须具有签章时附加的证书,或者,如果印章不需要证书,必须知道印章的口令。
可以控制印章打印时的状态。
使得电子文档和纸面文档互相不影响。
比如,可以设定印章在打印的时候不打印,让纸面文档还是通过传统公章来认证。
可集成性:
WEB版本可集成到任何WEB系统中。
安全性:
系统设置专用网络接口管理系统,系统关闭所有不需要的服务和端口(如FTP、SSH等),只保留服务端口,避免外界的攻击。
易用性:
系统所有管理操作均采用WEB方式,操作简单方便。
多种类型签名数据支持。
支持原文数据签名、文件签名、哈希后签名及PKCS#7等格式签名数据的验证。
多种证书验证方式支持。
支持黑名单验证方式以及OCSP验证方式。
多种开发接口支持。
客户端提供C开发API,Java开发API,方便应用的调用。
系统日志标准输出支持。
通过标准的syslog方式将用户日志发送到指定服务器。
备份恢复功能支持。
系统具有备份和恢复功能,对于系统的数据和配置进行加密完全备份,能够快速恢复。
双机热备功能支持。
系统可以进行双机热备,保证系统的高可用性。
6
产品部署
以下是格尔电子签章系统典型的部署网络拓扑图:
图:
典型部署示意图