中讯亚太电子签章系统技术白皮书v1.2
中讯亚太科技有限公司
2014年2月
目录
1．系统概述 (1)
1.1 系统背景 (1)
1.2 总体结构 (1)
2．功能介绍 (3)
2.1 概述 (3)
2.2 服务器管理系统 (4)
2.3 客户端签章系统 (5)
3．主要特色 (5)
3.1 支持SM2算法和RSA算法 (5)
3.2 支持国密标准和ISO 32000-1标准 (6)
3.3 支持多型号的USB Key (6)
3.4 支持一Key多章、一证多章 (6)
3.5 支持双证书 (7)
3.6 支持文档会签 (7)
3.7 签章使用控制 (7)
3.8 印章存储信息 (7)
3.9支持多种格式文档的签章 (8)
1．系统概述
为了适应电子政务等各种应用中电子文件电子签章需求和满足《中华人民共和国电子签名法》中可靠电子签名的要求，中讯亚太科技有限公司基于PKI技术研发了电子签章系统，实现电子签章管理、电子文件电子签章、电子签章验证、电子签章撤销等功能。

本系统可以广泛应用于政府部门、电子政务、企事业单位等各种领域，实现对电子文件的电子签章和版权保护。

1.1 系统背景
现阶段我国文件签章占主导地位的还是手工签章，整个过程既耗费纸张，也耗费人们的时间和精力，完成签章操作有的需要几天或更长的时间，这种情况与现阶段我国电子政务高速发展的环境是不相符的，人们迫切要求研发出一种电子签章产品，既可实现绿色办公、节约纸张，又可提高效率，节省时间，在家中或办公室里就可以完成签章操作。

本系统就是在这种背景下应运而生的，以期把人们从繁琐的纸质办公中解放出来。

1.2 总体结构
本系统主要由服务端管理系统和客户端签章系统两部分构成，服务器负责电子印章的管理，客户端负责电子文件的电子签章、签章验证、签章撤销，其总体结构如下图1-2-1所示。

图1-2-1 电子签章系统总体结构图
服务器的主要功能是把电子印章写入到KEY中，客户端的主要功能是使用KEY中的电子印章对电子文件进行签章。

密码机的主要任务是对印章数据进行签名，保证印章数据的安全性。

浏览器端或客户端通过HTTPS协议与服务器进行通讯，保证通讯数据的安全。

服务器管理系统采用B/S模式三层架构实现，网页显示通过JSP 等技术实现，中间层用WEBLOGIC等应用服务器来实现，数据模型层通过ORACLE 等数据库来实现。

服务器管理系统实现采用现在比较流行的MVC设计框架：即模型层、视图层、控制层分层设计，结构清晰、易于维护。

服务器管理系统选用了现在比较流行的MVC框架实现SSH，即Strus 2.3 、Spring3.3、Hibernate 4.2。

2．功能介绍
2.1 概述
中讯亚太管理系统主要实现对电子文件的电子签章。

本系统主要包括组织管理、权限控制、系统管理、印章控制、日志审计、印章使用等几大功能。

组织管理功能主要包括的模块有：组织管理、用户管理，主要实现对企业组织树型结构的建立。

权限控制功能主要涉及的模块有：角色管理、管理员管理，主要实现对登录用户所访问的模块和部门的权限控制。

系统管理功能主要涉及的模块有：KEY管理、印章管理、系统管理，主要实现对KEY数据、印章数据、系统数据的管理。

印章控制功能主要涉及的模块有：印章管理、使用控制，主要实现对印章在使用时进行使用日期范围、使用次数、IP范围、离线使用等方面的控制。

日志审计功能主要涉及的模块有：日志管理，主要实现对系统审计日志的查询、显示和下载。

印章使用功能主要涉及的模块有：电子签章、签章验证、签章撤销等。

下面对各个功能模块分别进行介绍。

2.2 服务器管理系统
服务端管理系统包含了多个模块：
●KEY管理：登记、修改、删除用户KEY。

只有登记过的
KEY才可以用于签章。

●印章管理：新发、管理印章。

包括：印章图片写入KEY中、
启用或停用印章、对印章限定日期使用范围等。

●使用控制：对印章的使用进行控制，包括：设置最大签章
次数、设置允许或禁止IP范围、使用日期范围、离线使用
等。

●日志管理：可以查询和下载本系统的日志信息。

●组织管理：以树形结构建立企业各部门之间的上下级关系，
对企业的组织机构进行管理。

●角色管理：新增、删除、修改角色信息，设置角色对各个
模块的权限。

●用户管理：新增、删除、修改用户信息，建立用户和部门
的所属关系。

●管理员管理：新增、删除、修改管理员信息，指定管理员
和角色、部门的所属关系。

管理员只能访问其所属角色所
拥有的模块，只能对其所属部门及其子部门进行管理。

●系统管理：可以备份和恢复数据库。

●批量签章功能（可选）：实现对PDF等格式文件的批量签
章功能。

2.3 客户端签章系统
客户端签章系统包含了多个模块：
●PDF专用浏览器：用于打开、浏览PDF文档，签署电子
签章、验证电子签章等。

●office电子签章：提供软件模块，支持多个版本的office，
可以对office电子文件进行签章、验章、撤章等。

●网页签章：提供组件，支持在业务系统中对表单执行签章、
验章、撤章等。

●AutoCAD模块电子签章：提供对多个版本的AutoCAD的
电子签章、验章、撤章的支持。

●客户端开发包：提供多种接口供业务系统进行调用，方便
实现各类定制功能。

3．主要特色
3.1 支持SM2算法和RSA算法
中讯亚太电子签章系统支持SM2算法。

当使用SM2算法时，遵循GM/T 0003-2012 《SM2椭圆曲线公钥密码算法》、GM/T 0004-2012 《SM3密码杂凑算法》、GM/T 0009-2012 《SM2密码
算法使用规范》、GM/T 0010-2012 《SM2密码算法加密签名消息语法规范》。

同时，本电子签章系统还能兼容RSA算法。

采用RSA算法时，符合PKCS1、PKCS7规范。

3.2 支持国密标准和ISO 32000-1标准
从1.3版开始，PDF文档格式中集成了电子签名规范。

当文档被签署时，签名信息中保存了签名者和文档状态信息。

PDF文档的电子签名能用于认证用户身份和检测文档是否被篡改。

PDF电子签名可以是公/私密码运算，也可能是一个生物识别格式，如手写签名、指纹或视网膜扫描。

中讯亚太电子签章对ISO 32000-1规范进行了扩展，使其支持SM2、SM3算法。

3.3 支持多型号的USB Key
中讯亚太电子签章系统使用《智能密码钥匙密码应用接口规范》规定的接口操作USB Key。

只要是符合标准规范的USB Key都可以在系统中使用。

3.4 支持一Key多章、一证多章
中讯亚太电子签章使用USB Key作为印章的载体，可以在一个USB Key 内发放多个电子印章。

每个电子印章需要绑定一个数字证书，盖章时，使用数字证书的私钥对文档进行电子签名。

中讯亚太电子印章系统支持一个数字证书绑定多个电子印章，如：一个个人数字证书可以绑定一个私章和一个手写签名，能够满足各种业务需求。

本系统使用的电子印章数据信息为符合《安全电子签章密码应用技术规范（征求意见稿）》中规定的电子印章数据信息。

3.5 支持双证书
双证书是指用于加密的数字证书和用于签名的证书分开，由2张数字证书来完成工作。

签名证书的密钥由用户的USB Key产生，加密证书的密钥由密码管理中心产生，这样既能保证用户签名密钥的唯一性又能保证加密密钥丢失或损坏后能够恢复回来。

中讯亚太电子印章系统支持双证书认证体系，制作电子印章的时候，电子印章自动和签名证书进行绑定。

盖章的时候使用签名证书对文档进行签名，符合双证书密钥的使用要求。

3.6 支持文档会签
中讯亚太电子签章系统支持在一个文档内多人、多次盖章，后续盖章不影响前面盖章的有效性，能够满足合同签署、文档会签的要求。

3.7 签章使用控制
中讯亚太电子签章系统包含使用控制功能，能够通过IP、使用次数、使用期限等条件控制签章的使用。

3.8 印章存储信息
根据《安全电子签章密码应用技术规范（征求意见稿）》的要求，电子印章信息必须保存在硬件设备中，就本系统而言，要保存在KEY 中，同时电子印章信息必须符合ASN.1规范。

本系统的电子印章存储信息在设计上完全符合《安全电子签章密码应用技术规范（征求意见稿）》规范。

3.9支持多种格式文档的签章
提供对PDF、网页表单、Office和AutoCAD格式文档的支持。