书生电子印章系统建设方案

书生电子印章系统建设方案内容摘要：

北京书生电子技术有限公司 地址：北京市海淀区紫竹院路 81 号北方地产大厦 5 层 邮编： 100089 公司电话： 010－ 82331166 传真： 010－ 82332929 网址： 第 11 页 的盖章时间 也将 来自于 电子印章服务器的时间。 3） 验章 该软件提供对加盖电子印章的电子文件进行有效性验证的功能。 软件提供快速验章和联网验章两种方式进行验证。 A 快速验章 用户对盖章电子文件验证的时候，不用通过网络连接到电子印章服务器，系统会自动验证文件上电子印章的有效性，但不对用章记录中的时间做有效性验证。 B联网验章 用户对盖章电子文件验证的时候，要通过网络连接到电子印章服务器，可以验证该印章 的有效性，包括该电子印章是否 已经 被废止或者失效等 ，同时可以对“联网盖章”生成的用章记录进行有效性验证。 北京书生电子技术有限公司 地址：北京市海淀区紫竹院路 81 号北方地产大厦 5 层 邮编： 100089 公司电话： 010－ 82331166 传真： 010－ 82332929 网址： 第 12 页 4） 印章密码 用户在看章、验章和盖章时，都需要输入电子印章密码。 超过三次输入密码错误，则该电子印章自动锁死。 用户可以修改电子印章密码，并且修改时不需要联网到电子印章服务器。 如果密码忘记 或者输入密码错误导致锁死 ，则需要按照规定 找电子印章管理员 进行密码重置。 5） 查看用章记录 每次使用电子印章 时 ，软件会自动记录电子印章的用印 记录。 可以随时查看这些记录。 用印记录保存在电子印章存储介质中 ，也可以根据用户的需要保存在电子印章服务器上。 北京书生电子技术有限公司 地址：北京市海淀区紫竹院路 81 号北方地产大厦 5 层 邮编： 100089 公司电话： 010－ 82331166 传真： 010－ 82332929 网址： 第 13 页 与 CA的结合 电子印章系统和 CA的结合体现在如下几个方面： 电子印章的制发系统是审核、制作、发放管理电子印章的管理系统。 在制发过程中，系统自动和相关联的 CA中心的 RA系统衔接，获得电子印章的数字证书，同时通过 PKI 设备的接口存储数字证书、印章数据等。 电子印章的盖章、验章动作是需要调用数字证书的相关信息。 电子印章的有效性是和电子印章所绑定的数字证书的有效性（是否有效、有效期等）密切相关的。 电子印章的在线验章需要电子印章中心管理系统向 CA中心获取可用的数字证书黑名单。 电子印章的离线验章中，数字 证书的根证书必须是安装到系统中的对应的 CA的 root 证书。 印章服务器与 CA服务器间的交互 书生电子印章系统与 CA系统之间采用松耦合的方式进行连接。 通过书生电子印章服务器与 CA服务器以及 CA发布 CRL列表的服务器（可能为 LDAP服务器）进行数据交互。 书生电子印章保存在移动存储设备上（如 UKey）。 在制作电子印章的过程中，首先需要在 UKey内生成私钥和证书。 此过程印章服务器与 CA服务器进行交互，向 CA服务器提供公钥并获得经过 CA签名的证书。 同时，与 CA提供的 CRL列表相似，印章服务器也提供电子印章状态信息 数据。 这里的电子印章状态包括印章本身的状态和其对应的证书的状态，其中证书的状态既是印章服务器从 CA 的 CRL列表服务器自动下载的数据，这些数据下载后与印章本身的状态数据共同保存在印章服务器数据库中。 北京书生电子技术有限公司 地址：北京市海淀区紫竹院路 81 号北方地产大厦 5 层 邮编： 100089 公司电话： 010－ 82331166 传真： 010－ 82332929 网址： 第 14 页 交互过程 上图中所称服务器，均为逻辑功能上的服务器。 电子印章的生成 书生电子印章服务器通过控制本地的 UKey，利用 Ukey 中的运算器，在Ukey内部生成公、私钥对，并将公钥倒出传送至 CA服务器。 CA服务器根据印章服务器传送的公钥生成证书并进行签名，将证书发送回印章服务器。 最后印章服务器将含有公钥信息的证书写 入 Ukey。 这个过程涉及到的 CA服务器接口是标准的证书生成接口。 书生服务器只需读取 CA服务器返回的数据，不需 CA服务器调用任何功能接口。 Ukey中保存的数据为证书，印章的 epf文件，印章元数据，用章记录等。 北京书生电子技术有限公司 地址：北京市海淀区紫竹院路 81 号北方地产大厦 5 层 邮编： 100089 公司电话： 010－ 82331166 传真： 010－ 82332929 网址： 第 15 页 其中数字证书、 epf文件、元数据为制章时写入的固定数据，使用制章者的私钥签名。 客户端读取时用制章者的公钥验签。 印章数据采用对称密钥加密。 签名运算调用 IC 芯片的接口执行，私钥不出 UKey。 印章状态信息维护 电子印章状态包括印章本身的状态和其对应的证书的状态，其中任何一部分状态失效均会导致电子印章联网验 证失败。 电子印章状态信息保存在印章数据库服务器中。 印章服务器管理功能会定期的自动从 CA 的 CRL列表服务器获取 CRL数据，并根据获取的 CRL内容更新数据库中对应印章状态信息。 这个过程中需要 CA开放标准的获取 CRL数据的接口，印章服务器调用此接口获取数据后更新印章数据库服务器。 对 CA的支持 只要是符合国家信产部认可的 第三方 CA系统，书生电子印章系统均可以与其按照以上描述进行正常的连接。 电子印章的 KEY可以使用其 CA的 KEY，但需要书生公司进行集成测试。 主要工作包括：  证书部分：将证书导入电子印章存储介质 Ukey的网页。  Ukey 部分：实现签名，验证签名，证书读取等功能模块；实现存取硬件Ukey功能模块；这些模块之间的协同合作进行联合调试。 不采用 CA的方式 与 CA结合主要是获得 CA证书，将 CA证书与印章数据结合导入电子印 北京书生电子技术有限公司 地址：北京市海淀区紫竹院路 81 号北方地产大厦 5 层 邮编： 100089 公司电话： 010－ 82331166 传真： 010－ 82332929 网址： 第 16 页 章 UKEY，并通过 CA证书对电子印章进行验证。 如 果 不与 CA证书结合，电子印章系统也可以利用 WINDOWS 操作系统的根证书机制，由操作系统直接获取统一的根证书，替代 CA证书。 整个电子印章系统采用统一的唯一系统根证书进行制章和验章。 在与 CA中心结合的情况下 ，电子印章系统的每个印章拥有不同的唯一的CA证书；而 不与 CA中心结合的情况下，电子印章系统中的所有印章都有相同的唯一根证书。 不与 CA中心结合，由依赖 CA证书认证为主的模式变化为依赖印章数据认证为主的模式，两者出发点不同，却可以获得同样的安全认证效果。 这种模式，可以降低成本，减少接口开发工作量，缩短系统建设工期。 将来在 CA统一规划好之后，可以切换到 CA。 但是切换之前已制作的电子印章仍使用以前的 系统根 证书，切换之后新制作的电子印章使用 CA证书，集成工作同上。 电子印章的安全体系  基于公钥基础设施 PKI（ Public Key Infrastructure）  为了保证安全电子印章是安全可靠的体系， 数字签名 证书须通过 web connector 模式导入智能卡，印章图像是用智能卡私有文件（需要用户 PIN 码）模式保存的，印章图像 +证书的存储空间需要 35K+40K，证书私钥一旦导入智能卡就不能再出卡了。  电子印章系统 能够 与 CA数字证书安全应用无缝整合。 应用基于 PKI的 CA数字证书，实现在具体业务操作中对公文的盖章、验章等功能，实现信息传输的保密性和完整性，通过对有效业务信息的一次性加密和签名，以及离线验证的功能，真正实现网上 操作的不可否认性。 北京书生电子技术有限公司 地址：北京市海淀区紫竹院路 81 号北方地产大厦 5 层 邮编： 100089 公司电话： 010－ 82331166 传真： 010－ 82332929 网址： 第 17 页  书生 电子印章系统 的 对 IC 卡的访问控制设计为一个开放灵活的体系结构，支持基于国际标准的 PKCS 开发接口和 CryptoAPI 接口，也可以增加支持其它类型的 IC 设备接口。 产品目前已经支持了（通过测试的）多家主流 IC 卡设备。 对于项目指定的 IC 卡和 Key，如果该设备是基于开放的标准接口的，则本印章系统可以无缝结合，如果是基于特定的开发接口，也可以为该类设备定制。 与 应用 系统的接口 书生 电子印章系统 能与应用系统进行良好结合，结合后的应用系统是一个完整系统，即印章功能应嵌入至应用系统中。 结合仅需应用系 统进行少量的修改即可完成。 应用 系统生成待盖章的格式文件，之后系统后台通过 print 接口自动调用书生 SEP 转换器转成 SEP 文件，这些过程对操作者而言都是透明的，前台察觉不到。 之后系统平台将调用书生阅读器和电子印章客户端，采用 OCX控件方式，此时待盖章文件即被打开并且书生电子印章客户端已嵌入到当前工作页面，在相应位置加盖印章后点击“盖章完毕”按钮，盖章后的文件通过财务系统自动上传到服务器，并进入系统下一个流程。 盖章流程如下图所示。 浏览盖章文件时 ，仍按照目前的工作流程，浏览者直接选择“浏览文件”相关按钮，财务系统平台自动调用书生阅读器和电子印章客户端，通过 OCX待盖章 文件 SEP文件 盖章 已盖章的 SEP文件。