区（县）政府电子签章平台技术建议书成都安证通信息技术有限公司2006年目录一、区（县）政府电子签章平台建设方案 (2)1.1、数字证书颁发系统 (3)1.2、电子印章管理系统 (3)1.3、电子签名认证系统 (4)1.4、客户端电子签章软件 (5)1.5、信息安全加密中间件 (11)二、电子印章在办公自动化系统中的应用 (12)三、电子签章认证原理与认证流程 (13)3．1电子印章制作流程 (13)3．2电子印章盖章流程 (14)3．3电子签章验证原理 (15)3．4点对点公文加密传输流程 (17)3．5文档打印控制与归档格式 (18)四、ESA2000电子印章系统产品优势 (19)一、区（县）政府电子签章平台建设方案区（县）政府电子签章平台是以PKI公共密钥体系为技术基础的信息安全应用支持平台，主要为区（县）一级电子政务系统提供全面的集成的电子签名/电子签章等安全服务。

区（县）政府电子签章平台的总体架构应该由五大部分构成，即：数字证书颁发系统、电子印章管理系统、电子签章认证系统和客户端电子签章软件以及信息加密组件。

如下页图所示，区（县）政府电子签章平台包括以下五部分：1)数字证书颁发系统：主要负责区（县）政府机关电子印章所需要的数字证书的颁发和管理。

2)电子印章管理系统：主要负责电子印章的申请、审批、制作、发放、挂失和销毁等管理，是专门为电子印章的颁发和管理机构使用而开发的。

同时提供电子签章的签章日志审计，以便于了解何人何时在哪个文件上加盖过电子印章。

3)电子签名认证系统：在进行电子签章时，客户端软件首先会提交认证请求到电子签章认证服务系统去进行认证，以确保电子签章的安全性和严密性，电子签章系统中的所有客户端签章软件共享统一的认证服务器，以保证系统结构的简便性和易维护性。

4)客户端电子签章软件：实现对具体的文档或信息内容进行电子签章和验证工作，电子签章系统包括了一系列的客户端签章软件，根据产品形态可以分为三大类：文档电子签章软件（支持Word、Excel、永中Office、中文2000等各类文档），网页签章控件。

5)信息加密中间件：提供对称加密、非对称加密以及数字信封加密组件供各类应用调用。

区（县）政府电子印章中心部署图1.1、数字证书颁发系统数字证书系统采用Windows 2003 Server就可以架构一个满足区（县）一级电子签章平台对于数字证书的要求。

1.2、电子印章管理系统电子印章管理系统是一个基于关系型数据库的电子印章制作与管理系统，其主要功能主要是对电子印章的申请、审批、制作、审核、启用、销毁、监控等进行全面的管理，从电子印章制作环节确保电子印章的安全合法。

同时对电子签章人进行授权管理和签章日志管理。

该系统基于J2EE架构开发，采用B/S结构，适合大型政府机构架构集中统一的电子印章制作、颁发、管理平台。

1）、电子印章管理系统主要功能电子印章管理系统分为四大功能模块：系统设置管理、电子印章申请、电子印章管理、印章授权管理、签章审计管理。

●系统设置管理：主要是完成系统基础数据的设置、系统权限管理、用户密码管理、数据备份与恢复等功能。

●电子印章申请：主要包括印章申请、申请审批、图片制作、印章审核、图片更新等功能，经过审核的印章则可以进入电子印章卡的制作阶段。

●电子印章管理：通过印章审核之后，印章的基本信息和处理后印章图片已经处于待制作的状态，这时可以通过电子印章卡管理模块来制作电子印章卡。

该模块主要功能包括印章卡初始化、数字证书管理、印章卡图片管理、印章卡发放、印章卡挂失、印章卡销毁、印章卡密码解锁。

●印章授权管理：电子印章卡制作完成后，还需要对电子印章卡的使用进行授权，以满足网络版电子签名时对签名者的身份进行认证。

●印章审计管理：对各个签章人的签章日志进行审计，以弄清楚何人、何时在何处加盖了电子印章或电子签名。

2）、电子印章管理系统运行环境●客户端操作系统：Windows 98/ Me /2000/XP/2003。

●服务器操作系统：Windows 2000/NT/XP/2003/Linux/Unix。

●数据库管理系统：支持Oracle 9i以上版本或MS Access 2000。

●Web服务器：TOMCAT、Resin、weblogic等流行的Web服务器。

1.3、电子签名认证系统电子签名服务系统是集电子签章认证、身份认证、数字签名认证和信息加解密为一体的集成认证服务系统。

对于电子签章认证来说，不论客户端电子签章采取何种电子签章软件，都可以使用统一的认证服务系统，这样大大提高了系统的整体性和可扩展性，节省了投资。

电子签名认证服务系统使用JA V A开发，就有很好的跨平台特性，能够满足各种规模的电子签名认证服务的要求，具有很大的灵活性。

主要进行如下几个方面的验证：●数字证书合法性验证：验证数字证书是否由指定的合法颁发机构颁发，如果只是客户端控件，则难以在盖章时就进行验证。

●数字证书是否过期：即验证数字证书是否在有效期之内。

由于有效的时间必须是服务器端时间，因为依据用户客户端时间来判别证书是否在有效期内是没有任何意义的。

●数字证书是否被废止：电子签章服务器会定期从数字证书中心获取废止的证书列表CRL，这样，通过验证证书是否被废止，就可以保证尽管在有效期内，但由于某种原因被废止的数字证书对应的电子印章卡不可以签章。

如果没有验证服务器这一点也做不到。

●电子印章卡是否被挂失或销毁：如果说以上几点可以通过第三方CA中心提供的服务来完成的话，电子印章卡的状态列表就只有电子印章管理系统可以产生和发布。

因为尽管以上有关数字证书的验证都通过，如果电子印章卡临时遗失、由于电子印章的印模图片改变而导致电子印章不可再用、或者印章管理中心强制停用某个电子印章，如果签章时不进行验证，所有这些情况都难以鉴别出来，进而会导致不合法的电子签章行为，给电子印章的使用造成混乱。

●数字签名验证：对提交的数字签名数据包进行解析和验证，防止在传输过程中数据被非法篡改。

1.4、客户端电子签章软件客户端电子签章软件是电子签章平台中具体实现对签章对象进行电子签章和验证的软件。

根据签章对象的不同，分为文档电子签章软件、网页签章控件和表单签章控件。

客户端电子签章软件既可以作为单机版单独使用，也可以与电子签名认证系统一同使用，作为网络版电子签章系统的客户端软件使用。

1）、客户端电子签章软件功能描述客户端电子签章软件主要是对各类文档型文件或网页信息进行电子签章的软件，主要实现对Word、Excel、永中Office、中文2000等文档和网页信息进行电子签章与电子签名认证。

主要包括以下主要功能：文档签章：对文档或网页信息进行数字签名处理，并且在文档或网页的任意地方显示图章或手写签名，可以达到纸质盖章或纸质手写签名相同的效果。

支持多个单位或个人的联合发文（会签）。

支持对选择区域进行单独签名，从而使得在WORD、EXCEL等文件中可以在第一个人盖章之后，还允许其他人直接在文档中添加批注意见，而不会使得第一个人的电子签名失效。

这一特点使得电子签章系统可以满足联合审批的应用要求。

给出相应错误提示签章过程已签章的文件已签章的文件会签过程●文档验证：主要验证文档内容是否被篡改并显示证书和印章信息。

授权阅读文件的人都可以对文档的完整性进行验证，而不管它是否持有数字签名卡或印章卡。

如果签署后的文档发生了变更，验证时则会提示文档验证不通过。

●撤消签章：撤消选定的签章，使该签名对文档的效用消除。

只有盖章者本人才可以撤销其本人加盖的电子印章。

●脱机验证：脱机验证签署者所用数字证书是否由信赖机构所颁发。

在证明签署者身份的同时，签署者对所签文档不可抵赖。

●联机验证：通过联接到证书办法机构的认证服务器或电子签名认证服务器来验证签署者所用数字证书是否由信赖机构颁发。

●签章信息：显示签章信息，如签章者姓名、印章名称、签章时间、签章保护内容等等。

●查看证书：查看签署者个人证书的基本信息，进而了解数字证书的有效期限、颁发机构和颁发目的等证书信息。

●打印设置：设置打印份数。

只有持有签章卡的人才能够设置打印份数，并且打印份数一旦设置，其他签章人就不能够设置了。

●文件打印：调用文件打印功能，在进行文件打印之前，系统自动巡检所有电子印章和电子签名，如果有一个印章或签名不能通过验证，则系统拒绝执行打印操作。

●文档锁定：文档一旦加盖了签名或印章，文档即自动锁定，不可编辑。

可以设置锁定密码。

2）、客户端电子签章软件的技术特点●实现多个签章部分重叠时的透明显示，同时支持电子印章图片与文档的同比例缩放。

●支持文档在不可编辑状态下的会签功能——在一个文件上加盖多个电子印章，从而满足联合发文的需求。

●支持对文档内容的每一个区域进行签名保护，从而实现联合审批的要求。

●完善而严密的打印控制，文档可以设置为“禁止打印”、“不限打印份数”和“设定许可份数”三种打印状态。

文件打印时，自动巡检所有电子印章，只要有一个验证通不过就不能打印，许可打印份数打印完成之后，就再也不可打印。

●印章不可通过办公软件本身的复制功能进行复制，杜绝利用已有电子签章仿造新的文件，即使是在同一文档中也不可以利用复制功能加盖印章。

●唯一支持各种国产Office办公软件系统，以及国产办公软件Linux桌面版本。

●完全利用COM+组件实现，避免使用宏而造成系统的不安全。

3）客户端电子签章软件应用图例●在公文正文中加盖电子印章●在批阅件中加盖个人签名●支持Word中的联合审批●支持在Excel中的联合审批●在网页中加盖个人电子签名1.5、信息安全加密中间件众所周知，信息加密可以采用对称密钥，也可以采用公开密钥体系中的公钥加密，两种加密的流程图如下图一和图二所示。

图一：对称密钥加密原理对称密钥加密中，加密与解密使用的是同一把密钥，那么如何传递密钥是最大的问题，但对称密钥具有加密速度快的特点。

图二：非对称密钥加密原理而非对称密钥加密，则是采用接受方的公钥加密，接受者利用其所持有的私钥来解密，由于公钥是公开的，不存在安全传输的问题，但是，公钥加密速度慢，效率低，一般来说，对称密钥加密速度大约是非对称密钥加密速度的四百倍左右。

为了既保证加密速度，又保证密钥传输的安全性，一般采用对称密钥加密信息内容，而用非对称密钥的公钥加密对称密钥，收信人则利用其持有的私钥解密收到的加密数据包以获取解密密钥，使用解密密钥解密加密过的内容以获取原始信息。

这一加密/解密过程又称为“数字信封”。

信息加密组件包括对称密钥加密组件、公钥加密组件和“数字信封”组件。

对称密钥加密算法支持DES、3DES等算法，同时支持国密办SSF33算法。

公钥加密算法支持RSA、 ECC（可选）、SHA-1、MD5等算法。

一、电子印章在办公自动化系统中的应用电子印章在办公自动化系统中主要应用在以下几个方面：1）电子公文管理系统中：如果没有使用电子印章，电子公文的安全性得不到保障，首先，收文方无法确认收到的公文是否是合法者发送的，其次也无法确认发送的公文是否被人恶意截取并被篡改。