国内主流电子签名签章产品分析.docx
《国内主流电子签名签章产品分析.docx》由会员分享,可在线阅读,更多相关《国内主流电子签名签章产品分析.docx(17页珍藏版)》请在冰豆网上搜索。
国内主流电子签名签章产品分析
国内主要电子签名签章产品现状分析
前言
《中华人民共和国电子签名法》于2004年8月28日颁布以来的几年时间内,国内先后出现了20几家电子印章产品开发商,经过几年的市场竞争,目前还继续存续于市场上的也就仅仅3、5家而已。
经过几年的市场培育,直接用户对于电子印章的概念并不陌生,但是电子印章的认识也仅仅是在名称上不觉得陌生而已,对于什么是电子印章,以及电子印章系统的技术架构则并没有多少了解,有的甚至认为只要能够看到与实际实物印章一样的图片就认为是电子印章了。
所以对于电子印章系统的选择几乎没有很好的科学的评价标准,另一个问题,就是在选型时,仅仅只考虑到目前项目中的需要,而没有通盘考虑今后的需求,把电子印章系统作为一个业务系统的一部分来看待,结果是,以后需要在别的业务系统中需要使用电子印章时,已经选择的电子印章系统可能不支持,这样就需要在采购一套电子印章系统,结果不仅造成重复投资建设,而且由于拥有多套电子印章,管理和使用都很不方便。
那么,什么是电子印章?
应该怎样选择电子印章系统?
选型时应该注意哪些问题?
本文在此就以上问题提出一些建议,供用户参考。
关于电子印章的有关术语
我们经常听到“电子印章”、“电子签章”、“电子签名”、“数字签名”等术语,有点不知所措,不知道它们之间的联系和差异,在此,我们按照一般的理解,对以上名词做一个简单的定义:
电子印章:
是物理印章在电子世界的表现形式,在电子世界中实现物理印章的功能,它包括印章图片、数字证书及其存储载体。
电子印章分为电子公章和个人名章等。
电子签章:
以数字证书为基础,以数字签名为核心技术,将数字签名与印章图片以及被签章对象绑定在一起,为签章对象提供完整性验证和真实性验证。
它是数字签名的可视化表现形式之一。
可以理解“电子签章”是利用“电子印章”对被签章对象进行数字签名后所形成的包括印章图片、数字签名值、数字证书等信息在内的不可分割的数据集。
电子签名:
电子签名是一种电子代码,利用它,收件人便能轻松验证发件人的身份和签名。
电子签名是所有身份鉴别技术的统称。
目前主要的电子签名方法包括:
a)基于PKI的公钥密码技术的数字签名;
b)以生物特征统计学为基础的指纹、声音或虹膜识别;
c)一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN等等。
但比较成熟的,使用方便具有可操作性的,在世界先进国家和我国普遍使用的电子签名技术还是基于PKI(PublicKeyInfrastructino)的数字签名技术。
数字签名:
数字签名是利用公钥密码技术和其他密码算法生成的一系列符号及代码所组成的电子密码,用以替代手写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度是手工签名和实物图章的验证无法比拟的。
这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输。
以上术语是在选用电子印章系统是经常遇到的名词,都是与信息安全相关的名词。
对它们有一个基本的了解有利于在进行产品选型时与产品供应商进行有效的交流。
主流产品
就电子印章产品来说,目前国内的该类产品主要呈现以下四种产品形态:
1、独立文件格式,封闭签章环境。
该类产品主要针对国家部委和省级政府机构的公文应用,其产品特点是将公文编辑软件编辑好的电子公文转换为特定的文件格式,然后对转换后的文件进行电子签章,签章后的文件保存为特定的文件格式,这类产品对于国家部委机关和省级政府机关的公文管理比较适合,但是不太适合于架构一个通用的电子签章安全服务平台。
该类产品的主流开发商是国内较早从事电子印章开发的书生国际公司,该产品大约占据了部委机关90%以上的市场份额。
2、开放的电子签章平台类产品。
这类产品的设计思路是为用户的各类应用系统提供电子签章平台类产品,这类产品遵循用户的原有使用习惯,把电子签章作为一个功能组件加载到原有软件环境中。
这类软件的开发商主要有北京安证通信息技术有限公司,该公司的产品主要分为三大部分:
1)电子印章管理系统——专为电子印章颁发管理机构使用,主要负责电子印章的申请、审批、制作、发放、挂失和销毁等管理,以及电子签章审计管理;2)电子签章服务器软件——负责对签章时的签名认证,杜绝不合法的电子签章,确保电子签名的有效性;3)电子签章客户端软件——实现对Word、Excel和各类图形格式文件的电子签章,以及对网页或表单信息的电子签章。
这类产品在各级政府行政机关、各类企业和行业用户中具有很大的应用空间。
3、基于数据库的电子印章MIS系统。
这类系统是一个封闭的系统,只能实现制定的几种文件的签字签章,由于是一个封闭的MIS系统,与具体的应用系统整合时需要较繁杂的系统整合工作,这种产品的实用性难以为市场接受,其发展的方向是将其发展成为一个包括公文收发文管理的安全电子公文交换系统。
4、客户端控件类产品:
这类产品仅仅是一个某一个具体软件环境下(例如word或Excel)的一个具有电子签章功能的控件,这类产品的严密性很成问题,其进行签章时只能够验证电子印章卡中的私钥和证书是否匹配,只要匹配就可以盖章。
而一个非法的电子印章卡中的私钥和证书也完全是匹配的。
这类产品没有完善的电子印章管理系统,只有简单地将印章图片导入印章卡中的程序,但是电子印章与传统的实物印章一样是非常严密的,不允许随意制作。
该类产品只能够适合一个较小的单位内部使用,因为由于地理区域有限,又是内部使用,对于严密性和安全性方面的要求可以稍低一些也没有关系。
但是对于跨区域的大型机构以及网上电子商务等应用是不安全可靠的。
产品选型
由此可以看出,电子签章产品没有统一的标准的产品形态,而只有安全性和严密性上存在差异。
至于用户选择使用什么样的产品则需要明确自己的需求和关注的重点,充分比较各类产品的优劣和公司技术服务的能力来取舍。
在项目规划及产品选型上做到以下6点:
1、明确当前需求:
应该明确当前采购电子印章的目的是什么,需要了解对那些内容进行电子签名,业务信息系统的实现方式等等,只有明确需求,才知道需要采购什么样的系统;
2、预测未来需求:
除了明确当前需求之外,还应该分析本单位以后可能的需求,以免采购的电子印章系统虽然满足当前需求,却不能够满足以后其它需求,到时候还得购买其它的电子印章系统,不仅造成投资浪费,管理使用上也很不方便;
3、安全性评测:
在具体选择产品时,应该首先对被考察的电子印章系统的整体架构进行了解。
电子印章系统是一个基于PKI技术的应用类信息安全系统,就系统架构上必须遵循CA认证的安全体系架构,同时作为实物印章的替代产品,还必须遵循传统实物印章的管理规范。
用户可以从这两个方面来考察,首先看看系统的认证原理与流程是否符合CA认证的原理和流程,由于CA系统必须有服务器软件作为对客户端认证请求进行认证,另一方面,传统实物印章都是集中制作、管理,对用章的过程进行严格审批,同时具备详细的用章记录,因此,一个安全的电子印章系统必须是包括客户端签章应用软件和服务器端管理和认证软件两大部分,那些纯粹的控件型产品时很不安全的。
后台服务器软件出了提供对印章的认证之外,还包括了对电子印章的制作、发放、授权、挂失、销毁等电子印章进行全程管理,对电子印章的使用进行全程监控——保留完整的用章日志。
4、功能性评测:
在基本确认安全性要求之后,就是要考察客户端的功能了。
首先需要了解被考察的软件支持的哪些类型的签章,比如是否支持MSWord、MSExcel、WPS、PDF、AutoCAD等等,另外对于数据库表单内容的保护是否有中间件产品来支持。
因为支持的文件格式越多,满足需求的能力就越强,最好能够通过一套电子印章就可以支持本单位所有的电子签名需求。
5、产品应用考察:
任何一个产品只有通过大量用户的应用才可能得到完善,特别是电子印章系统,作为一个新的行业性产品,并没有统一的要求,只有通过若干用户的实际使用不断完善才可能更好地满足用户的需求。
另一方面,由于大部分电子签章客户端软件都是在各类Office软件中使用,软件系统的可靠性只有通过大量用户的应用材能够得到考验。
因此,具体选型时,应该分析该产品的用户群以及应用方式,有可能也可以考察实际的用户使用情况,只有真正在用的软件才可以纳入选型的范围。
6、系统可扩展性:
电子印章系统是一个基于PKI技术信息安全系统,用户在考察这类系统时,还可以更进一步考察系统的拓展型,看看所选的系统是否可以与基于PKI技术的身份认证系统集成在一起,是否可以扩展形成单点登录系统,以便于架构统一的高度集成的PKI安全应用体系。
总之,电子印章系统与其它应用信息系统一样,是一套计算机软件,而不是仅仅提供添加印章图片的小工具,随便选一个就可以的,并不是那么简单的事。
用户在选型时,必须谨慎、科学地考察,以免浪费了投资,影响了工作的顺利推进。
产品比较
独立文件格式电子签章产品
代表厂家:
北京书生,北大方正
书生,方证的电子印章主要是在其自定义的SEP版式文件中进行盖章,所有需要签章的文件都需要转换成SEP才可以盖章,这就有以下局限性:
不能够满足用户在各类信息系统中采用电子印章技术的需求,比如当信息以网页或者自定义表单形式展现时,不可能转换成其自定义的SEP格式文件,因此,这类应用书生的产品是无法满足的。
对应用信息系统的技术路线有太多的限制,由于其必须先将各类文档转换成SEP格式,这就大大限制了应用信息系统采用的技术路线,当用户需要在MSOffice、WPS、永中Office、PDF中签章时,书生的电子印章无法满足需要,更别说在动态WEB网页或自定义表单中应用了。
当仅仅在电子公文中使用电子印章时,因为涉及人数较少,可以经过培训来使公文管理人员熟悉SEP版式文件的使用,但是当应用范围广时,则培训的工作量会很大,会存在使用不便的问题。
自定义文件格式有其局限性,与外界的交流也不甚方便。
特别是对于国际性企业来说,最好是采用通用文件格式。
此外,由于自定义文件格式应用范围小,用户群小,因此单个采购成本比较高,对于集团性企业推广应用会导致采购成本过高的问题。
特别是其本身在应用上有局限的情况下,更是不值得的。
开放的电子签章平台类产品
代表厂家:
北京安证通
安证通是专业化的电子印章软件开发商,安证通ESA2000电子印章系统支持微软OFFICE,WPS,永中Office、PDF等通用文件格式,同时支持在web网页、各类自定义表单中实现电子签章,并且支持主流的表单和报表工具,如水晶报表、润乾报表、用友华表等等软件中进行签章。
主要优势体现在:
满足所有电子签章需求。
既支持电子公文的应用,又可以支持网上审批业务中使用电子签章。
安证通自主开发了完全支持PDF文件的软件,完全不依赖于AdobeAcrobat软件。
无论应用信息系统采用何种技术路线实现,安证通ESA2000电子印章系统都有相应的产品可以满足需求。
对技术路线没有任何限制。
易用性:
由于采用的是国际通用文件格式和常用文档处理软件,因此,几乎所有应用人员不需要通过培训就可以使用。
可扩展性好:
安证通公司是专业化安全产品开发商,其ESA2000电子印章系统是目前国内同类产品中,软件结构最合理、软件功能最完善的产品,是国内第一个行业电子印章系统标准的制定者。
ESA2000电子印章系统可以扩展为包含身份认证、单点登录在内的NetSign电子签名综合认证平台系统,从而为企业集团所有基于PKI技术的安全应用提供统一的支撑平台。
成本优势:
ESA2000电子印章系统目前已经在各行各业中得到广泛应用,发放电子印章或电子签名多达15万多个。
由于采用通用文件格式,对技术路线没有任何限制,因此,用户群很大,采购成本也就很低。
这对于大型企业大规模推广应电子签章技术是非常有利的
附件一:
方正电子公章系统
公章是公文生效的重要标志。
电子公章保证电子公文的真实有效性,即收文方可确认收到的电子公文是否发文机关所发。
方正电子公章系统主要应用于政府或者企业内部,用于在版式文件CEB上加盖电子公章,并对电子公章进行管理,实现公章的制作、保存、查询和统计等功能。
系统利用PKI体系中的数字签名技术,对电子信息进行数字签名,从而完成对电子信息的真实性和完整性认证以及签名人的不可否认性认证。
通过日志审计,权限控制来保证整个系统的安全。
使用方正电子公章可解决如下问题:
公文规范性:
方正CEB版式技术可以原版原式展现纸质公文效果。
传输高效性:
节省公文传输的时间,降低传输需要的人力、物力,提高办公效率。
满足现有办公流程:
签章公文的公章具有不可剥离性,如同纸质公文;电子公章使用符合原物公章流程。
实现公文传入传出的电子化,是电子政务信息化的基础和推动。
系统主要功能
方正电子公章系统采用B/S架构,用于制作并发放电子公章,控制对电子公文的盖章、打印份数限制,以及公章的日常维护。
系统主要功能模块如下图:
包括系统管理、公章管理和客户端。
系统管理是指系统级的一系列管理功能,包括用户管理、日志管理、水印管理、公章备份与恢复等。
其中“水印管理”可以设置盖章公文上公章附加水印显示,防止公章拷屏。
公章管理负责电子公章的制作,发放,打印权限及打印份数控制等。
电子公章是发放到U盘等移动存储介质,可以像保管实物印章一样。
如果U盘遗失、损坏或是单位撤并,系统提供公章挂起、公章作废、公章销毁功能。
客户端主要是浏览公文,对电子公文进行盖章或验证盖章公文的合法性。
并可按照发文单位设置的打印份数打印公文。
系统优势
CEB版式
可以原版原式的显示纸质公文的效果,不可篡改。
能转换所有常见文件格式,可良好处理横、纵向排版页面及表格。
CEB文件采用曲线字库、笔划显示流畅,可保证政府文件的严肃性。
安全性
软、硬件结合双重加密,可根据用户的实际需求,灵活制定方案。
与国家指定单位合作,系统采用模块化设计,系统可以和核密、普密、商密各种硬件加密卡结合保证安全。
人性化设计(打印控制精细性)
系统操作简单,支持可视化盖章。
同时系统可以做到精细打印控制,实现对打印机的开、关、缺纸、缺墨、卡纸等状况的判断识别,有效避免在空白纸上打出红章。
系统架构合理性
B/S结构,集中分布式架构——做到分布部署,但又可以集中控制自己的直接下属单位。
从而做到管理方便控制力强。
操作可追溯性
详细的操作日志,记录公章的操作使用情况。
在系统中,所有关于电子公章的制作、发放、盖章等信息全部记录在系统的审核数据库中,为系统的管理工作带来了极大的便利性,任何时候都可以对系统中发生的操纵进行回溯。
可扩展性
支持CA、数字签名、第三方加密技术等,可与用户原来部署的安全平台或者CA系统进行不同级别的集成应用。
系统提供完整、稳定的集成开发包。
可支持多种架构体系(比如.net,J2EE……的公文传输以及OA系统)。
灵活性
不同的用户具有不同的需求和使用习惯,为了同时满足更多用户的差异化需求,系统必需具有很强的灵活性。
本系统提供公章挂起、公章作废、公章销毁、根据客户的实际需要,系统还提供脱密下载功能,控制打印出黑头黑章或无头无章的公文。
并且这些功能均是可配置,用户可选择所需要的功能模块。
系统安全体系
CEB版式技术
能够原版原式的显示纸质公文版式,保证公文的权威性,不可篡改性。
DRM技术
DRM技术是综合加密技术、权限控制技术、身份认证技术等多种技术,结合特有的安全文件格式(CEB)为电子公文提供内容级的安全保护,防止保密公文的二次传播。
公章防伪
公章与公文具有不可剥离性,等同于纸质公文。
盖章公文的公章在屏幕上虚化显示,并附加水印,防止拷屏。
有权限的安全打印出圆润、真实的公章。
打印控制
采用软件控制与硬件控制两种模式来保证打印的安全与打印份数限制。
公章多级加密
完整公章由公章数据和验证信息组成,验证信息加密存储在服务器上,截获公章数据没用。
发放的公章加密存储在U盘等移动存储介质,并与存储介质绑定,复制无效;并增设盖章密码保护,即使被盗,也无法使用。
在传统实物印章管理基础上又增加了一道安全屏障。
与公文交换系统的集成
当用户已经有了自己的公文交换系统,怎样集成方正的公章呢?
集成后会不会改变用户现有的流程?
我们的系统在设计时充分考虑了系统的扩展性,系统提供完整、稳定的集成开发包。
公文的登记、签发、发送、接收等是在公文交换系统中进行,我们的公章系统主要考虑公文的盖章、验章、阅读、打印控制这个过程的安全问题。
因此,不会改变用户现有的办公流程。
方正电子公章系统能与各种架构的公文交换或OA系统进行应用集成,如J2EE,.NET等。
附件二:
书生电子印章系统体系
书生电子印章系统包括电子印章制作软件、电子印章管理系统、电子印章通用客户端和书生SEP文件转换器四部分组成。
1.3电子印章的制作
原则上是统一由上级单位为下级单位和工作人员制发电子印章。
书生公司可提供专业的电子印章制作软件,通过该软件,可以制作公章、人名章、个人签名章或者自定义电子印章等。
印章制作人员(管理员)身份需要通过系统身份认证之后,其身份与加密设备或专用U-Key绑定。
经过身份认证后,可以通过电子印章制作软件进行电子印章的制作。
电子印章制作按照实物印章为模板,所有印章印模交上级机构,由上级机构为下级机构统一制作电子印章。
在制作过程中,制章软件调用加密体系的加密、签名等功能,进行电子印章的制作。
电子印章制作时,指定每一枚电子印章使用人或使用机构。
确保电子印章在图像特征上与实物印章一致,同时需确保电子印章的安全。
电子印章存放到可移动介质例如U-key上,并提供电子印章防拷贝的功能。
1.4电子印章的管理
书生公司提供电子印章管理系统,对所有制发的电子印章提供验证、查询、统计、挂失、备份、废止等等管理功能。
原则上由单位的领导机构设立电子印章管理员,对电子印章进行统一管理。
电子印章管理系统的基本功能包括:
1、电子印章验证
可以验证所有制作、发放和管理的电子印章以及加盖有电子印章文件的真伪及有效性。
2、电子印章废止
实现对电子印章的废止功能,废止后的电子印章不能再被使用。
如果有新下属机构设立,或者原下属机构撤并,或者员工离职/退休等,则可以启用此功能,并收回其电子印章。
3、电子印章查询、统计
电子印章管理员可以查询各电子印章的状态、各电子印章使用记录、各电子印章的使用验证等,也可以对上述情况进行统计。
4、电子印章挂失
在电子印章使用者不慎将电子印章丢失或者发现出现安全问题时,可以通知电子印章管理员在电子印章服务器上进行挂失。
5、电子印章备份
对每一个制发的电子印章都提供备份功能。
1.5电子印章的使用
实现电子印章的实物化,存储在加密的移动介质中,按照实物印章的管理制度进行管理。
附件三:
北京安证通ESA2000电子印章管理系统
文档电子签章系统主要是指对各类文档型文件进行签名,或者说对文档型文件加盖电子印章,ESA2000文档电子签章系统主要实现对Word、Excel、Redoffice、wps、pdf文档进行电子签名(在文件中加盖电子印章)与签名认证。
主要功能包括文档签章、撤消签章、文档验证、脱机验证、联机验证、查看印章、查看证书、打印设置、文件打印、文档解锁/文档锁定、文件加密、文件解密等功能。
ESA2000文档电子签章系统是政府机构、企业和军队架构电子签名平台和建设电子印章管理中心的最佳选择。
文档签章:
对文档进行数字签名处理,并且在Word/Excel文档的任意地方显示图章或手写签名,可以达到纸质盖章或纸质手写签名相同的效果。
支持多个单位或个人的会签。
文档验证:
主要验证文档内容是否被篡改并显示证书和印章信息。
授权阅读文件的人都可以对文档的完整性进行验证,而不管它是否持有数字签名卡或印章卡。
如果签署后的文档发生了变更,验证时则会提示文档验证不通过。
撤消签章:
撤消选定的签章,使该签名对文档的效用消除。
脱机验证:
脱机验证签署者所发证书是否由信赖机构所颁发。
在证明签署者身份的同时,签署者对所签文档不可抵赖。
联机验证:
通过联接到证书办法机构的认证服务器来验证签署者所发证书是否由信赖机构颁发。
查看证书:
查看签署者个人证书的基本信息。
打印设置:
设置打印份数。
只有持有签章卡的人才能够设置打印份数,并且打印份数一旦设置,其他签章人就不能够设置了。
文件打印:
调用文件打印功能,在进行文件打印之前,系统自动巡检所有电子印章和电子签名,如果有一个印章或签名不能通过验证,则系统拒绝执行打印操作。
文档锁定:
文档一旦加盖了签名或印章,文档即自动锁定,不可编辑。
可以设置锁定密码。
文档解锁:
文档锁定后,由锁定者本人可以解锁。
解锁时首先检测持卡人的身份,然后要求输入解锁密码,方可以解锁。
技术特点:
1)严格遵循《中华人民共和国电子签名法》关于电子签名的规范,独家同时支持RSA算法和国密办算法,符合国家安全标准。
2)实现多个签章部分重叠时的透明显示,同时支持电子印章图片与文档的同比例缩放。
3)支持文档在不可编辑状态下的会签功能——在一个文件上加盖多个电子印章。
4)完善而严密的打印控制,文档可以设置为“禁止打印”、“不限打印份数”和“设定许可份数”三种打印状态。
文件打印时,自动巡检所有电子印章,只要有一个验证通不过就不能打印,许可打印份数打印完成之后,就再也不可打印。
5)印章不可通过Word的复制功能进行复制,杜绝利用已有电子签章仿造新的文件,即使是在同一文档中也不可以利用复制功能加盖印章。
6)签章不可仿造。
签章图片与证书绑定在一起,具有唯一性,即使是同一个签章图片在不同的时刻生成的电子印章也不一样。
7)盖章后的文件可以转化为PDF文件以利于存档。
8)完全利用COM+组件实现,避免使用word宏而造成系统的不安全。
系统构成:
客户端签章软件:
负责对Word/Excel或Redoffice文件进行电子签章、验证及打印等操作。
电子签章卡:
用于存储证书、电子印章及进行加密签名运算。
ESA2000选用的E-key获得了国家密码办的认证,安全可靠。
签章文件浏览器:
用于浏览加盖电子印章的Word/Excel或Redoffice文件,可以验证文档的完整性,但不能够进行签章及打印等工作。
签章服务器软件:
验证个人证书的有效性和印章的有效性,并且与数字证书管理系统和电子印章管理系统交换数据,以保持数据的一致性。
ESA2000电子印章管理系统是一个基于数据库的电子印章后台管理系统,对电子印章的申请、审批、制作、审核、启用、销毁、监控等进行全面的管理,从应用逻辑上保证系统的安全、可靠。
系统分为四大模块:
电子印章申请制作、电子印章卡管理、电子印章审计管理、系统设置管理。
电子印章申请制作:
电子印章的申请、电子印章审批、图象制作、电子印章审核、电子印章管理、电子印章模版设置。
主要完成电子印章基本信息的录入及电子印章图片的制作。
电子印章卡管理:
电子印章卡初始化、电子数字证书管理、电子印章卡解锁、电子印章图片管理、电子印章卡发放、电子印章卡挂失和销毁等。
印章审计管理:
跟踪电子印章的使用,记录何人在何时在何处使用电子印章。
系统设置管理:
包括:
组织机构设置、系统用户设置、系统角色设置、系统权限设置、登陆密码修改。
电子印章卡制作流程
升级会员 