【文章內容簡介】 北京書生電子技術有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網址： 第 11 頁 的蓋章時間 也將 來自于 電子印章服務器的時間 。 3） 驗章 該軟件提供對加蓋電子印章的電子文件進行有效性驗證的功能。軟件提供快速驗章和聯(lián)網驗章兩種方式進行驗證。 A 快速驗章 用戶對蓋章電子文件驗證的時候，不用通過網絡連接到電子印章服務器，系統(tǒng)會自動驗證文件上電子印章的有效性，但不對用章記錄中的時間做有效性驗證。 B聯(lián)網驗章 用戶對蓋章電子文件驗證的時候，要通過網絡連接到電子印章服務器，可以驗證該印章 的有效性，包括該電子印章是否 已經 被廢止或者失效等 ，同時可以對“聯(lián)網蓋章”生成的用章記錄進行有效性驗證 。 北京書生電子技術有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網址： 第 12 頁 4） 印章密碼 用戶在看章、驗章和蓋章時，都需要輸入電子印章密碼。超過三次輸入密碼錯誤，則該電子印章自動鎖死。 用戶可以修改電子印章密碼，并且修改時不需要聯(lián)網到電子印章服務器 。如果密碼忘記 或者輸入密碼錯誤導致鎖死 ，則需要按照規(guī)定 找電子印章管理員 進行密碼重置。 5） 查看用章記錄 每次使用電子印章 時 ，軟件會自動記錄電子印章的用印 記錄 。可以隨時查看這些記錄。用印記錄保存在電子印章存儲介質中 ，也可以根據用戶的需要保存在電子印章服務器上 。 北京書生電子技術有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網址： 第 13 頁 與 CA的結合 電子印章系統(tǒng)和 CA的結合體現在如下幾個方面： 電子印章的制發(fā)系統(tǒng)是審核、制作、發(fā)放管理電子印章的管理系統(tǒng)。在制發(fā)過程中，系統(tǒng)自動和相關聯(lián)的 CA中心的 RA系統(tǒng)銜接，獲得電子印章的數字證書，同時通過 PKI 設備的接口存儲數字證書、印章數據等。 電子印章的蓋章、驗章動作是需要調用數字證書的相關信息。 電子印章的有效性是和電子印章所綁定的數字證書的有效性（是否有效、有效期等）密切相關的。 電子印章的在線驗章需要電子印章中心管理系統(tǒng)向 CA中心獲取可用的數字證書黑名單。電子印章的離線驗章中，數字 證書的根證書必須是安裝到系統(tǒng)中的對應的 CA的 root 證書。 印章服務器與 CA服務器間的交互 書生電子印章系統(tǒng)與 CA系統(tǒng)之間采用松耦合的方式進行連接。通過書生電子印章服務器與 CA服務器以及 CA發(fā)布 CRL列表的服務器（可能為 LDAP服務器）進行數據交互。 書生電子印章保存在移動存儲設備上（如 UKey）。在制作電子印章的過程中，首先需要在 UKey內生成私鑰和證書。此過程印章服務器與 CA服務器進行交互，向 CA服務器提供公鑰并獲得經過 CA簽名的證書。 同時，與 CA提供的 CRL列表相似，印章服務器也提供電子印章狀態(tài)信息 數據。這里的電子印章狀態(tài)包括印章本身的狀態(tài)和其對應的證書的狀態(tài)，其中證書的狀態(tài)既是印章服務器從 CA 的 CRL列表服務器自動下載的數據，這些數據下載后與印章本身的狀態(tài)數據共同保存在印章服務器數據庫中。 北京書生電子技術有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網址： 第 14 頁 交互過程 上圖中所稱服務器，均為邏輯功能上的服務器。 電子印章的生成 書生電子印章服務器通過控制本地的 UKey，利用 Ukey 中的運算器，在Ukey內部生成公、私鑰對，并將公鑰倒出傳送至 CA服務器。 CA服務器根據印章服務器傳送的公鑰生成證書并進行簽名，將證書發(fā)送回印章服務器。最后印章服務器將含有公鑰信息的證書寫 入 Ukey。 這個過程涉及到的 CA服務器接口是標準的證書生成接口。書生服務器只需讀取 CA服務器返回的數據，不需 CA服務器調用任何功能接口。 Ukey中保存的數據為證書，印章的 epf文件，印章元數據，用章記錄等。 北京書生電子技術有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網址： 第 15 頁 其中數字證書、 epf文件、元數據為制章時寫入的固定數據，使用制章者的私鑰簽名?？蛻舳俗x取時用制章者的公鑰驗簽。印章數據采用對稱密鑰加密。簽名運算調用 IC 芯片的接口執(zhí)行，私鑰不出 UKey。 印章狀態(tài)信息維護 電子印章狀態(tài)包括印章本身的狀態(tài)和其對應的證書的狀態(tài)，其中任何一部分狀態(tài)失效均會導致電子印章聯(lián)網驗 證失敗。 電子印章狀態(tài)信息保存在印章數據庫服務器中。印章服務器管理功能會定期的自動從 CA 的 CRL列表服務器獲取 CRL數據，并根據獲取的 CRL內容更新數據庫中對應印章狀態(tài)信息。 這個過程中需要 CA開放標準的獲取 CRL數據的接口，印章服務器調用此接口獲取數據后更新印章數據庫服務器。 對 CA的支持 只要是符合國家信產部認可的 第三方 CA系統(tǒng)，書生電子印章系統(tǒng)均可以與其按照以上描述進行正常的連接。 電子印章的 KEY可以使用其 CA的 KEY，但需要書生公司進行集成測試 。主要工作包括： ? 證書部分：將證書導入電子印章存儲介質 Ukey的網頁 。 ? Ukey 部分：實現簽名，驗證簽名，證書讀取等功能模塊；實現存取硬件Ukey功能模塊；這些模塊之間的協(xié)同合作進行聯(lián)合調試。 不采用 CA的方式 與 CA結合主要是獲得 CA證書，將 CA證書與印章數據結合導入電子印 北京書生電子技術有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網址： 第 16 頁 章 UKEY，并通過 CA證書對電子印章進行驗證。 如 果 不與 CA證書結合，電子印章系統(tǒng)也可以利用 WINDOWS 操作系統(tǒng)的根證書機制，由操作系統(tǒng)直接獲取統(tǒng)一的根證書，替代 CA證書。整個電子印章系統(tǒng)采用統(tǒng)一的唯一系統(tǒng)根證書進行制章和驗章 。 在與 CA中心結合的情況下 ，電子印章系統(tǒng)的每個印章?lián)碛胁煌奈ㄒ坏腃A證書；而 不與 CA中心結合的情況下，電子印章系統(tǒng)中的所有印章都有相同的唯一根證書。 不與 CA中心結合，由依賴 CA證書認證為主的模式變化為依賴印章數據認證為主的模式，兩者出發(fā)點不同，卻可以獲得同樣的安全認證效果。這種模式，可以降低成本，減少接口開發(fā)工作量，縮短系統(tǒng)建設工期。 將來在 CA統(tǒng)一規(guī)劃好之后，可以切換到 CA。但是切換之前已制作的電子印章仍使用以前的 系統(tǒng)根 證書，切換之后新制作的電子印章使用 CA證書，集成工作同上。 電子印章的安全體系 ? 基于公鑰基礎設施 PKI（ Public Key Infrastructure） ? 為了保證安全電子印章是安全可靠的體系， 數字簽名 證書須通過 web connector 模式導入智能卡，印章圖像是用智能卡私有文件（需要用戶 PIN 碼）模式保存的，印章圖像 +證書的存儲空間需要 35K+40K，證書私鑰一旦導入智能卡就不能再出卡了。 ? 電子印章系統(tǒng) 能夠 與 CA數字證書安全應用無縫整合。應用基于 PKI的 CA數字證書，實現在具體業(yè)務操作中對公文的蓋章、驗章等功能，實現信息傳輸的保密性和完整性，通過對有效業(yè)務信息的一次性加密和簽名，以及離線驗證的功能，真正實現網上 操作的不可否認性。 北京書生電子技術有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網址： 第 17 頁 ? 書生 電子印章系統(tǒng) 的 對 IC 卡的訪問控制設計為一個開放靈活的體系結構，支持基于國際標準的 PKCS 開發(fā)接口和 CryptoAPI 接口，也可以增加支持其它類型的 IC 設備接口。產品目前已經支持了（通過測試的）多家主流 IC 卡設備。對于項目指定的 IC 卡和 Key，如果該設備是基于開放的標準接口的，則本印章系統(tǒng)可以無縫結合，如果是基于特定的開發(fā)接口，也可以為該類設備定制。 與 應用 系統(tǒng)的接口 書生 電子印章系統(tǒng) 能與應用系統(tǒng)進行良好結合，結合后的應用系統(tǒng)是一個完整系統(tǒng)，即印章功能應嵌入至應用系統(tǒng)中。結合僅需應用系 統(tǒng)進行少量的修改即可完成。 應用 系統(tǒng)生成待蓋章的格式文件，之后系統(tǒng)后臺通過 print 接口自動調用書生 SEP 轉換器轉成 SEP 文件，這些過程對操作者而言都是透明的，前臺察覺不到。之后系統(tǒng)平臺將調用書生閱讀器和電子印章客戶端，采用 OCX控件方式，此時待蓋章文件即被打開并且書生電子印章客戶端已嵌入到當前工作頁面，在相應位置加蓋印章后點擊“蓋章完畢”按鈕，蓋章后的文件通過財務系統(tǒng)自動上傳到服務器，并進入系統(tǒng)下一個流程。蓋章流程如下圖所示。 瀏覽蓋章文件時 ，仍按照目前的工作流程，瀏覽者直接選擇“瀏覽文件”相關按鈕，財務系統(tǒng)平臺自動調用書生閱讀器和電子印章客戶端，通過 OCX待蓋章 文件 SEP文件 蓋章 已蓋章的 SEP文件