【文章內(nèi)容簡(jiǎn)介】 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號(hào)北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 11 頁(yè) 的蓋章時(shí)間 也將 來自于 電子印章服務(wù)器的時(shí)間 。 3） 驗(yàn)章 該軟件提供對(duì)加蓋電子印章的電子文件進(jìn)行有效性驗(yàn)證的功能。軟件提供快速驗(yàn)章和聯(lián)網(wǎng)驗(yàn)章兩種方式進(jìn)行驗(yàn)證。 A 快速驗(yàn)章 用戶對(duì)蓋章電子文件驗(yàn)證的時(shí)候，不用通過網(wǎng)絡(luò)連接到電子印章服務(wù)器，系統(tǒng)會(huì)自動(dòng)驗(yàn)證文件上電子印章的有效性，但不對(duì)用章記錄中的時(shí)間做有效性驗(yàn)證。 B聯(lián)網(wǎng)驗(yàn)章 用戶對(duì)蓋章電子文件驗(yàn)證的時(shí)候，要通過網(wǎng)絡(luò)連接到電子印章服務(wù)器，可以驗(yàn)證該印章 的有效性，包括該電子印章是否 已經(jīng) 被廢止或者失效等 ，同時(shí)可以對(duì)“聯(lián)網(wǎng)蓋章”生成的用章記錄進(jìn)行有效性驗(yàn)證 。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號(hào)北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 12 頁(yè) 4） 印章密碼 用戶在看章、驗(yàn)章和蓋章時(shí)，都需要輸入電子印章密碼。超過三次輸入密碼錯(cuò)誤，則該電子印章自動(dòng)鎖死。 用戶可以修改電子印章密碼，并且修改時(shí)不需要聯(lián)網(wǎng)到電子印章服務(wù)器 。如果密碼忘記 或者輸入密碼錯(cuò)誤導(dǎo)致鎖死 ，則需要按照規(guī)定 找電子印章管理員 進(jìn)行密碼重置。 5） 查看用章記錄 每次使用電子印章 時(shí) ，軟件會(huì)自動(dòng)記錄電子印章的用印 記錄 ?？梢噪S時(shí)查看這些記錄。用印記錄保存在電子印章存儲(chǔ)介質(zhì)中 ，也可以根據(jù)用戶的需要保存在電子印章服務(wù)器上 。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號(hào)北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 13 頁(yè) 與 CA的結(jié)合 電子印章系統(tǒng)和 CA的結(jié)合體現(xiàn)在如下幾個(gè)方面： 電子印章的制發(fā)系統(tǒng)是審核、制作、發(fā)放管理電子印章的管理系統(tǒng)。在制發(fā)過程中，系統(tǒng)自動(dòng)和相關(guān)聯(lián)的 CA中心的 RA系統(tǒng)銜接，獲得電子印章的數(shù)字證書，同時(shí)通過 PKI 設(shè)備的接口存儲(chǔ)數(shù)字證書、印章數(shù)據(jù)等。 電子印章的蓋章、驗(yàn)章動(dòng)作是需要調(diào)用數(shù)字證書的相關(guān)信息。 電子印章的有效性是和電子印章所綁定的數(shù)字證書的有效性（是否有效、有效期等）密切相關(guān)的。 電子印章的在線驗(yàn)章需要電子印章中心管理系統(tǒng)向 CA中心獲取可用的數(shù)字證書黑名單。電子印章的離線驗(yàn)章中，數(shù)字 證書的根證書必須是安裝到系統(tǒng)中的對(duì)應(yīng)的 CA的 root 證書。 印章服務(wù)器與 CA服務(wù)器間的交互 書生電子印章系統(tǒng)與 CA系統(tǒng)之間采用松耦合的方式進(jìn)行連接。通過書生電子印章服務(wù)器與 CA服務(wù)器以及 CA發(fā)布 CRL列表的服務(wù)器（可能為 LDAP服務(wù)器）進(jìn)行數(shù)據(jù)交互。 書生電子印章保存在移動(dòng)存儲(chǔ)設(shè)備上（如 UKey）。在制作電子印章的過程中，首先需要在 UKey內(nèi)生成私鑰和證書。此過程印章服務(wù)器與 CA服務(wù)器進(jìn)行交互，向 CA服務(wù)器提供公鑰并獲得經(jīng)過 CA簽名的證書。 同時(shí)，與 CA提供的 CRL列表相似，印章服務(wù)器也提供電子印章狀態(tài)信息 數(shù)據(jù)。這里的電子印章狀態(tài)包括印章本身的狀態(tài)和其對(duì)應(yīng)的證書的狀態(tài)，其中證書的狀態(tài)既是印章服務(wù)器從 CA 的 CRL列表服務(wù)器自動(dòng)下載的數(shù)據(jù)，這些數(shù)據(jù)下載后與印章本身的狀態(tài)數(shù)據(jù)共同保存在印章服務(wù)器數(shù)據(jù)庫(kù)中。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號(hào)北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 14 頁(yè) 交互過程 上圖中所稱服務(wù)器，均為邏輯功能上的服務(wù)器。 電子印章的生成 書生電子印章服務(wù)器通過控制本地的 UKey，利用 Ukey 中的運(yùn)算器，在Ukey內(nèi)部生成公、私鑰對(duì)，并將公鑰倒出傳送至 CA服務(wù)器。 CA服務(wù)器根據(jù)印章服務(wù)器傳送的公鑰生成證書并進(jìn)行簽名，將證書發(fā)送回印章服務(wù)器。最后印章服務(wù)器將含有公鑰信息的證書寫 入 Ukey。 這個(gè)過程涉及到的 CA服務(wù)器接口是標(biāo)準(zhǔn)的證書生成接口。書生服務(wù)器只需讀取 CA服務(wù)器返回的數(shù)據(jù)，不需 CA服務(wù)器調(diào)用任何功能接口。 Ukey中保存的數(shù)據(jù)為證書，印章的 epf文件，印章元數(shù)據(jù)，用章記錄等。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號(hào)北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 15 頁(yè) 其中數(shù)字證書、 epf文件、元數(shù)據(jù)為制章時(shí)寫入的固定數(shù)據(jù)，使用制章者的私鑰簽名?？蛻舳俗x取時(shí)用制章者的公鑰驗(yàn)簽。印章數(shù)據(jù)采用對(duì)稱密鑰加密。簽名運(yùn)算調(diào)用 IC 芯片的接口執(zhí)行，私鑰不出 UKey。 印章狀態(tài)信息維護(hù) 電子印章狀態(tài)包括印章本身的狀態(tài)和其對(duì)應(yīng)的證書的狀態(tài)，其中任何一部分狀態(tài)失效均會(huì)導(dǎo)致電子印章聯(lián)網(wǎng)驗(yàn) 證失敗。 電子印章狀態(tài)信息保存在印章數(shù)據(jù)庫(kù)服務(wù)器中。印章服務(wù)器管理功能會(huì)定期的自動(dòng)從 CA 的 CRL列表服務(wù)器獲取 CRL數(shù)據(jù)，并根據(jù)獲取的 CRL內(nèi)容更新數(shù)據(jù)庫(kù)中對(duì)應(yīng)印章狀態(tài)信息。 這個(gè)過程中需要 CA開放標(biāo)準(zhǔn)的獲取 CRL數(shù)據(jù)的接口，印章服務(wù)器調(diào)用此接口獲取數(shù)據(jù)后更新印章數(shù)據(jù)庫(kù)服務(wù)器。 對(duì) CA的支持 只要是符合國(guó)家信產(chǎn)部認(rèn)可的 第三方 CA系統(tǒng)，書生電子印章系統(tǒng)均可以與其按照以上描述進(jìn)行正常的連接。 電子印章的 KEY可以使用其 CA的 KEY，但需要書生公司進(jìn)行集成測(cè)試 。主要工作包括： ? 證書部分：將證書導(dǎo)入電子印章存儲(chǔ)介質(zhì) Ukey的網(wǎng)頁(yè) 。 ? Ukey 部分：實(shí)現(xiàn)簽名，驗(yàn)證簽名，證書讀取等功能模塊；實(shí)現(xiàn)存取硬件Ukey功能模塊；這些模塊之間的協(xié)同合作進(jìn)行聯(lián)合調(diào)試。 不采用 CA的方式 與 CA結(jié)合主要是獲得 CA證書，將 CA證書與印章數(shù)據(jù)結(jié)合導(dǎo)入電子印 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號(hào)北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 16 頁(yè) 章 UKEY，并通過 CA證書對(duì)電子印章進(jìn)行驗(yàn)證。 如 果 不與 CA證書結(jié)合，電子印章系統(tǒng)也可以利用 WINDOWS 操作系統(tǒng)的根證書機(jī)制，由操作系統(tǒng)直接獲取統(tǒng)一的根證書，替代 CA證書。整個(gè)電子印章系統(tǒng)采用統(tǒng)一的唯一系統(tǒng)根證書進(jìn)行制章和驗(yàn)章 。 在與 CA中心結(jié)合的情況下 ，電子印章系統(tǒng)的每個(gè)印章?lián)碛胁煌奈ㄒ坏腃A證書；而 不與 CA中心結(jié)合的情況下，電子印章系統(tǒng)中的所有印章都有相同的唯一根證書。 不與 CA中心結(jié)合，由依賴 CA證書認(rèn)證為主的模式變化為依賴印章數(shù)據(jù)認(rèn)證為主的模式，兩者出發(fā)點(diǎn)不同，卻可以獲得同樣的安全認(rèn)證效果。這種模式，可以降低成本，減少接口開發(fā)工作量，縮短系統(tǒng)建設(shè)工期。 將來在 CA統(tǒng)一規(guī)劃好之后，可以切換到 CA。但是切換之前已制作的電子印章仍使用以前的 系統(tǒng)根 證書，切換之后新制作的電子印章使用 CA證書，集成工作同上。 電子印章的安全體系 ? 基于公鑰基礎(chǔ)設(shè)施 PKI（ Public Key Infrastructure） ? 為了保證安全電子印章是安全可靠的體系， 數(shù)字簽名 證書須通過 web connector 模式導(dǎo)入智能卡，印章圖像是用智能卡私有文件（需要用戶 PIN 碼）模式保存的，印章圖像 +證書的存儲(chǔ)空間需要 35K+40K，證書私鑰一旦導(dǎo)入智能卡就不能再出卡了。 ? 電子印章系統(tǒng) 能夠 與 CA數(shù)字證書安全應(yīng)用無(wú)縫整合。應(yīng)用基于 PKI的 CA數(shù)字證書，實(shí)現(xiàn)在具體業(yè)務(wù)操作中對(duì)公文的蓋章、驗(yàn)章等功能，實(shí)現(xiàn)信息傳輸?shù)谋Ｃ苄院屯暾?，通過對(duì)有效業(yè)務(wù)信息的一次性加密和簽名，以及離線驗(yàn)證的功能，真正實(shí)現(xiàn)網(wǎng)上 操作的不可否認(rèn)性。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號(hào)北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 17 頁(yè) ? 書生 電子印章系統(tǒng) 的 對(duì) IC 卡的訪問控制設(shè)計(jì)為一個(gè)開放靈活的體系結(jié)構(gòu)，支持基于國(guó)際標(biāo)準(zhǔn)的 PKCS 開發(fā)接口和 CryptoAPI 接口，也可以增加支持其它類型的 IC 設(shè)備接口。產(chǎn)品目前已經(jīng)支持了（通過測(cè)試的）多家主流 IC 卡設(shè)備。對(duì)于項(xiàng)目指定的 IC 卡和 Key，如果該設(shè)備是基于開放的標(biāo)準(zhǔn)接口的，則本印章系統(tǒng)可以無(wú)縫結(jié)合，如果是基于特定的開發(fā)接口，也可以為該類設(shè)備定制。 與 應(yīng)用 系統(tǒng)的接口 書生 電子印章系統(tǒng) 能與應(yīng)用系統(tǒng)進(jìn)行良好結(jié)合，結(jié)合后的應(yīng)用系統(tǒng)是一個(gè)完整系統(tǒng)，即印章功能應(yīng)嵌入至應(yīng)用系統(tǒng)中。結(jié)合僅需應(yīng)用系 統(tǒng)進(jìn)行少量的修改即可完成。 應(yīng)用 系統(tǒng)生成待蓋章的格式文件，之后系統(tǒng)后臺(tái)通過 print 接口自動(dòng)調(diào)用書生 SEP 轉(zhuǎn)換器轉(zhuǎn)成 SEP 文件，這些過程對(duì)操作者而言都是透明的，前臺(tái)察覺不到。之后系統(tǒng)平臺(tái)將調(diào)用書生閱讀器和電子印章客戶端，采用 OCX控件方式，此時(shí)待蓋章文件即被打開并且書生電子印章客戶端已嵌入到當(dāng)前工作頁(yè)面，在相應(yīng)位置加蓋印章后點(diǎn)擊“蓋章完畢”按鈕，蓋章后的文件通過財(cái)務(wù)系統(tǒng)自動(dòng)上傳到服務(wù)器，并進(jìn)入系統(tǒng)下一個(gè)流程。蓋章流程如下圖所示。 瀏覽蓋章文件時(shí) ，仍按照目前的工作流程，瀏覽者直接選擇“瀏覽文件”相關(guān)按鈕，財(cái)務(wù)系統(tǒng)平臺(tái)自動(dòng)調(diào)用書生閱讀器和電子印章客戶端，通過 OCX待蓋章 文件 SEP文件 蓋章 已蓋章的 SEP文件