摘 要:本电子签章系统由支持PKI技术并带CPU的硬件和支持各种应用的软件组成。软件系统是一整套采用ActiveX技术开发的应用软件,它可实现在Word/Excel/HTML/PDF/WPS文件以及自主定义格式的GDF版式文件上实现手写电子签名上加盖电子签章,并将该签章和文件通过数字签名技术绑定在一起,一旦被绑定的文档内容发生改变(非法篡改或传输错误),签章将失效。只有合法拥有印章钥匙盘并且有密码权限的用户才能在文件上加盖电子签章。保证文档防伪造、防篡改、防抵赖,安全可靠。
关键词:电子签章; PKI技术;数字签名技术
1、系统概述
本电子签章系统(以下简称本系统)基于B/S结构,应用自主创新的DBPacket通讯协议包技术,实现签章服务器集中地对客户端的签章发放、吊销、安全检测、日志监控等综合管理;并支持分布式部署和分级管理,满足大规模客户端管理需求。客户端不仅支持插件技术,直接嵌入Word、Excel、HTML、PDF、WPS等系统应用;同时支持任意可输出打印的文件转化成自主开发的GDF版式文件,经签名和盖章后,将签章信息与文件绑定,通过签章验证、数字证书、二维条码、数字水印、打印控制等技术确保文档防伪造、防篡改、防抵赖,安全可靠。其在技术实现途径和安全应用上具有创新性,在国内同类产品处于领先水平。
数字签名过程
2、系统技术简析
2.1体系结构
本系统由硬件和软件两部分构成。
1)硬件部分
硬件部分是自带存储器和加密处理机制的智能密码设备。用于存放用户数字证书、用户所属标识、单位印章或个人签名信息;设备体积小、重量轻、安全性高、使用方便。
2)软件部分
软件部分由签章客户端软件和签章服务器软件构成。
2.1.1签章客户端软件
实现在文档上进行签章,检测文档的真实性、有效性、鉴别签章人的身份;
签章客户端软件作为嵌入到Office中运行的软件,必须符合Office软件对第三方软件的支持标准,否则无法在Office中正常运行,成熟的方式是采用ActiveX/COM技术,该技术为互连互通提供了标准软件接口。签章客户端结合DBPacket?安全通讯协议包技术,实现和服务器端数据的安全、快速交换,确保签章过程中及时检测客户端密钥盘的合法性、有效性,并形成完整的电子签章日志,以便日后查询、统计。
签章客户端软件实现在Office(WORD/EXCEL)文档等文件上进行手写签名和加盖印章;并可将签章和文件信息绑定在一起,通过签名验证确保文档防伪造、防篡改、防抵赖,安全可靠。
2.1.2签章服务器软件
实现对签章钥匙盘的启用、吊销、挂失等管理功能;同时实现对签章的日志管理,包括查询、统计等。
在实际使用过程中,可能会出现密钥盘遗失的情况,这就要求系统具备挂失、吊销等功能,否则,丢失的密钥盘可能被他人非法使用。因此,钥匙盘的有效性必须集中管理,必须由服务器软件提供钥匙盘的管理功能,仅由客户端单方面软件是无法实现的,缺乏服务器对钥匙盘的管理功能,将给系统带来严重的安全隐患。
2.2功能结构
1)签章服务器功能:密钥盘管理、制章管理、日志审记、系统管理。
2)签章软件功能:文件签章功能、签章会签功能、签章验证功能、身份认证功能、证书查看功能、撤消签章功能、文件锁定功能、文件解锁功能、撤消原则定义、移动签章功能、禁止移动签章、读取服务器时间。
2.3技术路线
2.3.1建立电子签章信息的鉴别与管理系统
电子签章信息是本系统的核心内容,本系统通过严格的加密和签名等措施,确保电子签章信息的真实有效性,确保来源可靠,内容不可篡改,使用必须授权,提供使用日志等方法进行管理,采取了如下技术方法:
(1)接受电子签章图片格式文件,根据特定算法,形成印章标记,并生成全球唯一序列编码。
(2)使用高强度加密算法或国密算法,对印章进行加密;对印章标记本身进行密码保护。
(3)为印章标记产生公私钥对,可对印章标记和印章文件进行签名验证。
(4)印章标记制作完成后,保存在电子智能密码钥匙盘上,确保印章信息的唯一性,不可复制性,仅供授权人使用。
(5)对印章进行严格管理,包括印章制作、印章发放、印章挂失、印章吊销,印章备份等。
2.3.2采用PKI身份认证体系,实现签章文件的有效性及签章人身份的认证
PKI身份认证体系是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA ,把用户的公钥和用户的其他标识信息(如名称、单位、身份证号等)捆绑在一起,可以进行远程用户身份验证,PKI 体系结构把公钥密码和对称密码结合起来,实现密钥的自动管理,保证数据的机密性、完整性。
本系统采用PKI体系的主要目的是通过自动管理密钥和证书,为用户建立起一个安全可信的运行环境,使用户在进行手写签名或加盖印章时自动的使用数字签名技术,对签章文件进行电子签名,从而保证数据的机密性、完整性、有效性,保证数据在传输过程中,不能被非授权者偷看,保证数据在传输过程中不能被非法篡改,保证数据不能被否认、抗抵赖,实现签章文件的有效性及签章人身份的认证。
2.3.3采用电子智能密码钥匙盘为印章和证书信息存储载体
电子签章系统涉及到两个重要的数据信息,一是数字证书,二是印章信息;
在电子签名法中对可靠的电子签名提出了四点要求如下:
(1)电子签名制作数据用于电子签名时,属于电子签名人专有;
(2)签署时电子签名制作数据仅由电子签名人控制;
(3)签署后对电子签名的任何改动能够被发现;
(4)签署后对数据电文内容和形式的任何改动能够被发现其中第一条和第二条,涉及到数字证书和印章信息仅由电子签名人控制,不能够被复制,否则,将带来严重的安全隐患。
本系统严格遵循电子签名法要求,采用eKey电子智能密码钥匙盘作为印章和证书信息存储载体;eKey是通过了国家商业密码管理委员会的商用密码产品技术鉴定的硬件设备,自带快速存储器和加密处理机制,用于存放数字证书、印章或签名信息。该设备通过USB接口和计算机连接,具有高安全性、通用性和易用性。可以为本系统提供强身份认证和数据存储的多重功能,是高端应
用领域的安全终端设备。
2.3.4针对不同应用软件需求,提供二次开发接口
电子签章系统作为一种纸质文件数字化产品,所提供的文件安全性,防抵赖性及身份可认证性,必将应用到各种领域,为各种形式的软件提供服务,因此,从系统的灵活性和应用的广泛性要求出发,必须提供丰富的二次开发接口,才能被其他应用系统所支持。本系统采用COM接口技术,提供丰富的以XML为数据参数标准的接口功能。
3、系统关键技术
本系统主要是通过ActiveX技术,将软件插入到文档如Word、Excel、WPS、等各种数据中,结合PKI信息安全认证体系,应用电子签名技术和电子签章技术,解决电子政务中电子公文和电子商务中电子合同的真实性,有效性,完整性,合法性,解决签章人的身份可追溯性及防篡改,防伪造,防抵赖等问题,真正达到实现“无纸化”的目标。
3.1关键技术
1)解决版式文件上的签名盖章问题;即电子签章技术。
2)解决签章文件防篡改,防伪造,防抵赖等问题;即电子签名技术。
3)解决签章文档管理问题;即权限分配,打印控制等技术。
4)解决签章文档传输问题;即网络传输安全,加密解密及压缩等技术。
5)解决电子签章系统与其他软件接口问题;即提供二开发接口技术。
6)解决电子签章系统在电子政务和电子商务领域的应用集成问题。
3.2实现的依据
通过对文件进行签章操作,配合硬件设备提供的数字证书和印章信息,结合电子签名技术,实现对文件的签章。被签章文件通过安全传输系统和管理控制系统实现远程访问和打印等操作。
硬件采用通过USB接口和计算机相连的智能密码钥匙盘,用于存放数字证书、印章签名信息。
4、系统创新
本系统的创新性主要表现在实现了电子签章技术、电子签名技术、打印控制技术、网络传输安全,加密解密及压缩技术、提供二开发接口以及解决电子签章系统在电子政务和电子商务领域的应用集成问题。
4.1应用创新
1)软件与硬件相结合
系统采用软件与硬件相结合的方式,实现电子签章应用,软件部分实现电子签章的功能,硬件部分保存数字证书和签章信息,从而实现关键数据不可复制,只属于签名人所拥有的规定。(该规定属于电子签名法要求的内容)
2)PKI应用创新
本系统完美的将PKI(Public?Key?Infrastructure 即“公开密钥体系”)体系应用到电子签章领域,很好的解决了电子政务和电子商务中的签字盖章问题,确保文档来源真实、可信,达到了文档防伪造、防篡改、防抵赖,文档安全可靠。项目支持所有CA认证中心提供的符合X.509 V3国际标准的证书,符合国家公安部GA216.1-1999 完整性验证标准。
4.2技术创新
1)防篡改技术
经过本系统盖章后的文件,在文档伪造、篡改、抵赖时,签章系统通过智能识别技术,在签章上自动显示两条横线,表示无效的签章,同时HTML格式提供可强制痕迹保留功能,查看被修改的内容项。
2)手写批注技术
在签章同时,也能对文档内容进行手写批注或文字批注,通过批注表现自己的想法,文字批注提供自定义常用词功能。
3)脱密签章技术
提供WORD/EXCEL/GDF文档签章脱密保护功能,允许用户将文档中签章脱密保存,脱密成功后签章生成为黑色,而非正式红色签章,该操作为不可逆,签章将不具备有合法保护。方便用户分发已经签章的文档给第三方,保护签章安全可靠。?
参考文献:
《公钥基础设施PKI 与认证机构CA》 关振胜 著 电子工业出版社