电子印章系统 方案精品文档.docx
《电子印章系统 方案精品文档.docx》由会员分享,可在线阅读,更多相关《电子印章系统 方案精品文档.docx(18页珍藏版)》请在冰豆网上搜索。
电子印章系统方案精品文档
电子印章系统
建设方案
第一章总体方案
1.1概述
书生电子印章系统成熟、稳定,且具有自主知识产权,符合行业UOML标准的产品。
由书生公司提供技术支持及维护。
1.2设计思路
书生印章系统可以在安全Ukey中集成电子印章,并且与应用系统结合,从而达到实现电子印章功能。
1.印章系统与CA证书相结合,即采用CA签发的证书完成对印章的保护。
如没有CA中心,电子印章系统也可以利用WINDOWS操作系统的根证书机制,由操作系统直接获取统一的根证书,替代CA证书。
2.用户印章与用户证书一一对应,不能出现一对多或多对多现象。
3.用户印章必须保存在用户的Ukey中,印章的使用必须通过Ukey的PIN码验证。
4.印章系统具有完善的功能,方便用户进行管理。
5.印章系统与应用系统良好结合,结合后的应用系统是一个完整系统,即印章功能应嵌入至应用系统中。
结合仅需应用系统进行少量的修改即可完成。
1.3电子印章系统体系示意
书生电子印章系统包括电子印章制作程序、电子印章管理系统、电子印章通用客户端和书生SEP文件转换器四部分组成。
1.4电子印章系统结构图
电子印章系统由电子印章制作系统,电子印章管理系统,电子印章客户端软件组成。
电子印章制作系统,可以制作电子公章或手写签名章等。
电子印章管理系统,或者称为电子印章服务器、含废止、查询、统计、挂失等功能。
电子印章客户端软件,用来加盖印章、浏览盖章文件,可以集成到其它应用系统中,也可以单独作为桌面端软件使用。
1.5系统接口
将对电子印章系统处理的核心功能程序嵌入到OA系统中�在OA系统中
直接调用公文处理核心功能完成文件的加密、盖章、分发、打印、浏览等操
作。
接口实现方式�动态库及ACTIVEX控件。
中间件接口的优点�可以无缝的把电子公文系统嵌入到应用系统中。
第二章电子印章系统功能介绍
2.1电子印章的制作
书生公司提供专业的电子印章制作软件,通过该软件,可以制作公章、
人名章、个人签名章或者自定义电子印章等。
指系统管理员登录到电子印章服务器,通过书生电子印章系统使用专业的电子印章制作软件,将印模图片、印章信息写入Ukey,并将这些信息与数字签名绑定。
原则上是统一由上级单位为下级单位和工作人员制发电子印章。
印章制作人员管理员身份需要通过系统身份认证之后,其身份与加
密设备或专用UKey绑定。
经过身份认证后,可以通过电子印章制作软件进行电子印章的制作。
电子印章制作按照实物印章为模板,所有印章印模交上级机构,由上级机构为下级机构统一制作电子印章。
在制作过程中,制章软件调用加密体系的加密、签名等功能,进行电子印章的制作。
电子印章制作时,指定每一枚电子印章使用人或使用机构。
确保电子印章在图像特征上与实物印章一致,同时需确保电子印章的安全。
电子印章存放到可移动介质Ukey上,并提供电子印章防拷贝的功能。
制章应由系统管理员统一集中进行制章。
制章流程如下:
1、电子印章系统管理员登录电子印章服务器的印章管理模块,
2、电子印章系统管理员创建用章的普通用户,并初始化普通用户的密码,此后普通用户可以登录电子印章的普通用户模块系统修改自己的密码。
3、管理员在普通用户名下开始制章,输入要制章的信息。
4、电子印章系统调用制章功能完成制章。
2.2电子印章的管理
书生公司提供电子印章管理系统,对所有制发的电子印章提供验证、查询、统计、挂失、备份、废止等等管理功能。
原则上由单位的领导机构设立电子印章管理员,对电子印章进行统一管理。
电子印章管理系统的基本功能包括:
1、电子印章验证
可以验证所有制作、发放和管理的电子印章以及加盖有电子印章文件的真伪及有效性。
2、电子印章废止
实现对电子印章的废止功能,废止后的电子印章不能再被使用。
如果有新下属机构设立,或者原下属机构撤并,或者员工离职/退休等,则可以启用此功能,并收回其电子印章。
3、电子印章查询、统计
电子印章管理员可以查询各电子印章的状态、各电子印章使用记录、各电子印章的使用验证等,也可以对上述情况进行统计。
4、电子印章挂失
在电子印章使用者不慎将电子印章丢失或者发现出现安全问题时,可以通知电子印章管理员在电子印章服务器上进行挂失。
5、电子印章备份
对每一个制发的电子印章都提供备份功能。
2.3电子印章的使用
实现电子印章的实物化,存储在加密的移动介质中,按照实物印章的管理制度进行管理。
书生公司为电子印章的使用者提供两款软件支持。
1、书生SEP文件转换器SEPWriter
SEPWriter是一款通用的版式文件转换工具,可以将MSOffice,包括Word、Excel、PowerPoint等、RedOffice、永中Office、WPS等主流的Office文件,以及Excel、PowerPoint等、RedOffice、永中Office、WPS等主流的Office文件,以及TIFF、BMP、HTML等各种常见的电子文件统一转换成书生SEP格式的文件,并保证原版原貌。
转换SEP文件可以通过内嵌入Office软件的控件直接“点击”完成。
也可以通过Office软件的打印功能完成。
SEP所具备的一些特性,可以很好地符合《中华人民共和国电子签名法》中对于“原件文件”的要求:
◆足够强的版面描述能力,凡是能印在纸上的都能表示
◆内容一致性——在不同的计算机环境都能保持版面和内容的一
◆致性
◆不可篡改性——SEP文件里的已有内容不能被任何操作篡改
◆不可分割性——SEP文件里的印章、签名等元素不能被拆离下来
2、书生电子印章通用软件
书生提供简便易用的电子印章通用软件,充分降低用户对于电子印章的学习和使用成本。
该软件提供以下基本的电子印章操作,
1、看章
用户将自己的电子印章插入电脑后、可以通过该软件查看自己的电子印章信息,信息包括印章名称、印章图像、有效期、颁发机构、法律有效性、相关的数字证书等。
2、盖章
每一枚电子印章均有密码保护,在使用时必须提供正确的密码。
提供正确的密码后,可以在需要签名的SEP电子文件上加盖自己的电子印章,电子印章通用软件提供快速盖章和联网盖章两种方式。
A快速盖章
用户不用通过网络连接到电子印章服务器,就可以进行离线执行电子
盖章。
离线盖章时,系统会自动记录用户盖章时候的本机时间。
B联网盖章
用户进行电子盖章的时候,需要连接到电子印章服务器,系统所记录
的盖章时间也将来自于电子印章服务器的时间。
3、验章
该软件提供对加盖电子印章的电子文件进行有效性验证的功能。
软件提供快速验章和联网验章两种方式进行验证。
A快速验章
用户对盖章电子文件验证的时候,不用通过网络连接到电子印章服务器,系统会自动验证文件上电子印章的有效性,但不对用章记录中的时间做有效性验证。
B联网验章
用户对盖章电子文件验证的时候,要通过网络连接到电子印章服务器,
可以验证该印章的有效性,包括该电子印章是否已经被废止或者失效等同时可以对“联网盖章”生成的用章记录进行有效性验证。
4、印章密码
用户在看章、验章和盖章时,都需要输入电子印章密码。
超过三次输入密码错误,则该电子印章自动锁死。
用户可以修改电子印章密码,并且修改时不需要联网到电子印章服务器。
如果密码忘记或者输入密码错误导致锁死,则需要按照规定找电子印章管理员进行密码重置。
5、查看用章记录
每次使用电子印章时,软件会自动记录电子印章的用印记录。
可以随时查看这些记录。
用印记录保存在电子印章存储介质中,也可以根据用户的需要保存在电子印章服务器上。
2.4与CA的结合
电子印章系统和CA的结合体现在如下几个方面:
1、电子印章的制发系统是审核、制作、发放管理电子印章的管理系统。
在制发过程中,系统自动和相关联的CA中心的RA系统衔接,获得电子印章的数字证书,同时通过PKI设备的接口存储数字证书、印章数据等。
2、电子印章的盖章、验章动作是需要调用数字证书的相关信息。
3、电子印章的有效性是和电子印章所绑定的数字证书的有效性,是否有效、有效期等,密切相关的。
4、电子印章的在线验章需要电子印章中心管理系统向CA中心获取可用的数字证书黑名单。
电子印章的离线验章中,数字证书的根证书必须是安装
到系统中的对应的CA的root证书。
2.4.1印章服务器与CA服务器间的交互
书生电子印章系统与CA系统之间采用松耦合的方式进行连接。
通过书生电子印章服务器与CA服务器以及CA发布CRL列表的服务器,可能为LDAP服务器,进行数据交互。
书生电子印章保存在移动存储设备上如UKey。
在制作电子印章的过程中,首先需要在UKey内生成私钥和证书。
此过程印章服务器与CA服务器进行交互,向CA服务器提供公钥并获得经过CA签名的证书。
同时,与CA提供的CRL列表相似,印章服务器也提供电子印章状态信息数据。
这里的电子印章状态包括印章本身的状态和其对应的证书的状态,其中证书的状态既是印章服务器从CA的CRL列表服务器自动下载的数据,这些数据下载后与印章本身的状态数据共同保存在印章服务器数据库中。
2.4.2交互过程
上图中所称服务器,均为逻辑功能上的服务器。
2.4.2.1电子印章的生成
书生电子印章服务器通过控制本地的UKey,利用Ukey中的运算器,在Ukey内部生成公、私钥对,并将公钥倒出传送至CA服务器。
CA服务器根据印章服务器传送的公钥生成证书并进行签名,将证书发送回印章服务器。
最后印章服务器将含有公钥信息的证书写入Ukey。
这个过程涉及到的CA服务器接口是标准的证书生成接口。
书生服务器只需读取CA服务器返回的数据,不需CA服务器调用任何功能接口。
Ukey中保存的数据为证书,印章的epf文件,印章元数据,用章记录等。
其中数字证书、epf文件、元数据为制章时写入的固定数据�使用制章者的私
钥签名。
客户端读取时用制章者的公钥验签。
印章数据采用对称密钥加密。
签名运算调用IC芯片的接口执行�私钥不出UKey。
2.4.2.2印章状态信息维护
电子印章状态包括印章本身的状态和其对应的证书的状态,其中任何一部分状态失效均会导致电子印章联网验证失败。
电子印章状态信息保存在印章数据库服务器中。
印章服务器管理功能会定期的自动从CA的CRL列表服务器获取CRL数据,并根据获取的CRL内容更新数据库中对应印章状态信息。
这个过程中需要CA开放标准的获取CRL数据的接口,印章服务器调用此接口获取数据后更新印章数据库服务器。
2.4.3对CA的支持
只要是符合国家信产部认可的第三方CA系统,书生电子印章系统均可以与其按照以上描述进行正常的连接。
电子印章的KEY可以使用其CA的KEY,但需要书生公司进行集成测试。
主要工作包括:
◆证书部分:
将证书导入电子印章存储介质Ukey的网页。
◆Ukey部分:
实现签名,验证签名,证书读取等功能模块,实现存取硬件Ukey功能模块,这些模块之间的协同合作进行联合调试。
2.4.4不采用CA的方式
与CA结合主要是获得CA证书,将CA证书与印章数据结合导入电子印章UKEY,并通过CA证书对电子印章进行验证。
如果不与CA证书结合,电子印章系统也可以利用WINDOWS操作系统的根证书机制,由操作系统直接获取统一的根证书,替代CA证书。
整个电子印章系统采用统一的唯一系统根证书进行制章和验章。
在与CA中心结合的情况下,电子印章系统的每个印章拥有不同的唯一的CA证书,而不与CA中心结合的情况下,电子印章系统中的所有印章都有相同的唯一根证书。
不与CA中心结合,由依赖CA证书认证为主的模式变化为依赖印章数据认证为主的模式,两者出发点不同,却可以获得同样的安全认证效果。
这种模式,可以降低成本,减少接口开发工作量,缩短系统建设工期。
将来在CA统一规划好之后,可以切换到CA。
但是切换之前已制作的电子印章仍使用以前的系统根证书,切换之后新制作的电子印章使用CA证书,集成工作同上。
2.5电子印章的安全体系
⏹基于公钥基础设施PKI(PublicKeyInfrastructure)
⏹为了保证安全电子印章是安全可靠的体系,数字签名证书须通过webconnector模式导入智能卡,印章图像是用智能卡私有文件,需要用户PIN码,模式保存的,印章图像+证书的存储空间需要35K+40K证书私钥一旦导入智能卡就不能再出卡了。
⏹电子印章系统能够与CA数字证书安全应用无缝整合。
应用基于PKI的CA数字证书,实现在具体业务操作中对公文的盖章、验章等功能实现信息传输的保密性和完整性,通过对有效业务信息的一次性加密和签名,以及离线验证的功能,真正实现网上操作的不可否认性。
⏹书生电子印章系统的对IC卡的访问控制设计为一个开放灵活的体系结构,支持基于国际标准的PKCS开发接口和CryptoAPI接口,也可以增加支持其它类型的IC设备接口。
产品目前已经支持了,通过测试的,多家主流IC卡设备。
对于项目指定的IC卡和Key,如果该设备是基于开放的标准接口的,则本印章系统可以无缝结合,如果是基于特定的开发接口,也可以为该类设备定制。
2.6与应用系统的接口
书生电子印章系统能与应用系统进行良好结合,结合后的应用系统是一个完整系统,即印章功能应嵌入至应用系统中。
结合仅需应用系统进行少量的修改即可完成。
应用系统生成待盖章的格式文件,之后系统后台通过printcom接口自动调用书生SEP转换器转成SEP文件,这些过程对操作者而言都是透明的,前台察觉不到。
之后系统平台将调用书生阅读器和电子印章客户端,采用OCX控件方式,此时待盖章文件即被打开并且书生电子印章客户端已嵌入到当前工作页面,在相应位置加盖印章后点击“盖章完毕”按钮,盖章后的文件通过财务系统自动上传到服务器,并进入系统下一个流程。
盖章流程如下图所
示。
浏览盖章文件时,仍按照目前的工作流程,浏览者直接选择“浏览文件”相关按钮,财务系统平台自动调用书生阅读器和电子印章客户端,通过OCX控件方式嵌入工作页面,此过程对浏览者而言也是透明的。
这时浏览者就可以看到已盖章的文件了,并可以对其印章进行验证和打印文件。
验章、打印等操作接口都将无缝嵌入到工作平台中。
第三章书生SEP版式技术
3.1版式技术介绍
版式技术是通过精确描述文档的静态可视元素的形状,位置,颜色等属性来记录,展现和交换的一种技术。
通过提取文档中所有可见元素的外观信息,将不同类型的电子文档以同样的形式存储,传输和交换。
版式技术包括文档生成,文档显示,文档传输,文档安全几个基本部分,版式主要关注的技术元素包括文字/字体/图像/图形/图层。
和其他应用程序自身的文档格式如Office格式,AutoCAD格式,,图像格式等不同,版式文件专著于应用程序文档的共同特性,即文档元素的静态表现。
因此版式文件可以描述各种不同类型文档的数据。
版式文档只存储文档的静态元素并优化了版式对象的存储,如采用了一定的压缩算法,式文件可以比相应的应用程序更精简,问版式文
件比访问相应的应用软件更快捷。
3.2书生SEP版式技术概述
司是国内最早开发版式技术的厂商之一,并在长期的研发和实践过程中不断创新、发展和完善、逐步成熟、并被广泛应用。
SEP版式在图形、图像、色彩、文字、多媒体各方面都采用国际领先的技术。
整个SEP显示和打印采用了书生自主知识产权的印刷级别的RIP引擎可以快速产生优质的文图光栅数据。
在图像方面SEP采用了基于JBIG2的黑白图像压缩和基于小波算法的彩色图像压缩,可以提供业界最好的无损/有损图像压缩质量和性能。
在文字引擎上,EP全面支持TrueType,ostscriptType1至Type14、ID字库、书生字库、文星字库、兰亭字库等各种字体格式,面支持文字的反锯齿,滑和无级放缩。
SEP的图形引擎是自有的图形显示引擎,以描述直线,次Bezier曲线、意形状路径、剪区域、线形、画刷填充等各种图形元素,包括RGB,CMYK,CIE等多种颜色空间。
图SEP版式技术展现包含图形图像文字和印章的页面
SEP的文档基于二进制XML、采XML、DF、2等各种技术之长的书生公司自有版权的新一代DPaper的通用格式。
这决定了SEP文档
适合存储可交换的数据信息。
SEP文档作为非结构化的数据,定了数据的各个元素。
从而可以直接和其他数据源交互,到数据和展现一体。
采用SEP技术存储的智能文档,存储大量的交互信息,如可以将公文的发文单位,收文单位,档的标题,档的关键词等直接从公文中提取,安全访问控,系统的许可下,以以XML形式、Web服务、或者其他数据源交换接口,将文档的结构化信息导入到其他系统中,如OA系统的全文检索数据库。
书生SEP文件具有以下特性
足够强的版面描述能力,是能印在纸上的都能表示
在不同的计算机环境都能保持版面一致
不可篡改性,EP文件里的已有内容不能被任何操作篡改
不可分割性,EP文件里的公章等元素不能被拆离下来
增强的数字特性,元数据、导航导读信息等
以人为中心的智能性,交互性、业务逻辑等
能通过控件等标准接口嵌入到各种应用中使用
3.3SEP版式技术组件
SEP版式技术通过一系列基础产品组件来覆盖文档生成,转换,显示存储打印等生命周期的各个方面。
SEP文档生成包括如下方式,于一般的Windows应用程序可以通过SEP
虚拟打印驱动原版原式的生成相应的SEP文档,对于传统的排版文件如S2、S72、S92、MPS文件,PDF文件,PS文件等,可以通过SEP转换工具转换为SEP版式文件。
而对于纸张形式的现存文档,可以通过SEP文档数字化系统扫描,然后进行图像处理、装订,最后形成SEP文档。
SEP版式工具提供了丰富的功能对SEP文档做深加工处理。
生成后的SEP文档可以盖章,数字签名,添加目录链接,添加多媒体链接,添加批注,手写批阅等。
作为SEP版式的重要补充,所有这些元素构成SEP文档的非版式元素�极大地丰富了SEP的表现能力和交互性。
SEP也提供简单易用,界面友好的阅读工具SEP文档阅读器,SEPReader,来阅读、打印SEP文档。
阅读器提供了多种显示视图,无级缩放的功能,可以导出和拷贝粘贴SEP文档的部分文字,可以在安全控制的许可范围下提供文档的批准、批阅等功能。
SEP电子文档阅读器
3.4书生SEP版式技术特点
3.4.1完全符合电子公文管理要求
书生SEP版式文件对于电子公文方面是严格按照国家电子公文的相关管理要求来设计和开发的,符合国家电子公文的相关规范。
书生SEP版式文件目前已经在国内大量政府机关中使用,在版式规范上完全符合了国家电子公文的规范要求。
书生SEP版式文件在原版原貌转换文件的基础上,通过数字摘要技术,确保文件信息不可篡改,同时采用了远程传版技术,使得SEP版式文件经过远程传输之后,其样式和格式都不发生任何变化。
3.4.2批量处理功能
书生提供专用工具和接口,能够提供批量转换文件的能力,把多个文件批量转化为书生SEP版式文件。
用来满足政府中大量文件的版式文件生成和政府公文格式转换的全部需求。
政府机关中存在着大量的历史文件�这些文件包括了二扫文件、WORD
文件、WPS文件、PDF文件等等�这些文件随着政府电子文件的标准化的需
求�需要统一版式�需要把这些文件进行转换�用于共享、交换及管理。
书
生SEP版式技术能够满足政府机关的性能要求�实现目录化、批量化转换成
SEP的功能。
3.4.3支持多种版式内容
书生SEP版式支持各种版式内容,包括各种文字,TrueType字,PS字,点阵字,矢量字,各种表格,类似EXCEL电子表格,类似Word的传统表格等。
。
有流行格式的图片,JPG,TIFF,BMP,PCX,GIF,PNG等等。
书生SEP版式支持各种国际文字编码,包括中文的BIG5,HZ,GB2312,GBK,GB18030,少数民族文字、UNICODE,日文SHIFT-JIS等等,并提供了对生僻字和大字库的有效支持。
对于非标准编码和字库支持嵌入字库和索引文字。
3.4.4支持XML数据转换标准
书生的SEP本身就是基于二进制XML的可扩展版式格式。
二进制XML集中了XML可扩展、非结构化、开放的特点,同时保留了二进制文档的体积小、访问速度快、更安全的特点,是未来XML技术的发展方向。
书生的二进制XML借鉴了MPEG7工作组的BinXML格式,在内容上又结合了Secue-XML的安全机制,在数据访问上利用了通用二进制压缩技术,保证了开放,可扩展,高速访问,体积小,安全等特征。
书生和流行的桌面办公软件MicrosoftOffice,红旗Office,永中Office在版式制作上密切结合,提供了直接的支持。
同时具有配合OA厂商生成的XML文档数据,自动生成电子公文版式文件的能力。
书生SEP技术也提供直接从SEP提取文档要素到其他数据承载目标的机制,比如输出到XML或者关系数据库等。
3.4.5支持电子审批和电子公文的扩展应用
书生SEP版式文件技术能够完美地支持政府机关中的审批和公文文件的要求,结合书生电子印章系统,即可完美实现电子公文的盖章、加密、解密、
阅读、发排打印等功能,实现红头红章的电子公文传输和交换。
基于书生SEP
版式文件基础的书生电子公文系统是目前国内最专业的电子公文系统,被包括众多部委、省市政府在内的各级用户广泛使用。
书生SEP版式文件技术能够提供完善的SEP数字化信息,能够把SEP版式文件信息和文件要素信息完全提取,并且提供和书生电子印章系统功能完美结合,实现电子审批系统的审批过程。
作为中间件产品,书生SEP版式也可以和第三方的电子审批系统结合,完成政府机关的电子审批流程。
3.4.6完美的公文打印功能
书生SEP版式文件技术能够有效地显示政府机关的电子公文,并且采用了专业的发排技术实现SEP版式文件的打印过程,从而把公文文件能够完美的展现为纸张公文文件。
书生SEP版式文件技术采用了专业的RIP技术,外加WhiteDwarf技术和32位技术等各种最先进的技术,大大提高了系统的处理速度。
红头、印章
页和黑白文字页不论在彩色喷墨打印机上输出还是在激光打印机上输出,都比其他专业出版系统的输出速度提高了200%至500%。
相对多的彩色打印机当品红和黄色的值相等时,出来的并不是纯红,而是有些偏色。
书生SEP版式文件技术为打印机专门做了校色处理,能够保证公文文件的颜色完全符合政府公文文件的色彩要求。
3.4.7批注校对
书生SEP版式文件支持
升级会员 