【文章內(nèi)容簡介】 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 11 頁 的蓋章時間 也將 來自于 電子印章服務(wù)器的時間 。 3） 驗章 該軟件提供對加蓋電子印章的電子文件進行有效性驗證的功能。軟件提供快速驗章和聯(lián)網(wǎng)驗章兩種方式進行驗證。 A 快速驗章 用戶對蓋章電子文件驗證的時候，不用通過網(wǎng)絡(luò)連接到電子印章服務(wù)器，系統(tǒng)會自動驗證文件上電子印章的有效性，但不對用章記錄中的時間做有效性驗證。 B聯(lián)網(wǎng)驗章 用戶對蓋章電子文件驗證的時候，要通過網(wǎng)絡(luò)連接到電子印章服務(wù)器，可以驗證該印章 的有效性，包括該電子印章是否 已經(jīng) 被廢止或者失效等 ，同時可以對“聯(lián)網(wǎng)蓋章”生成的用章記錄進行有效性驗證 。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 12 頁 4） 印章密碼 用戶在看章、驗章和蓋章時，都需要輸入電子印章密碼。超過三次輸入密碼錯誤，則該電子印章自動鎖死。 用戶可以修改電子印章密碼，并且修改時不需要聯(lián)網(wǎng)到電子印章服務(wù)器 。如果密碼忘記 或者輸入密碼錯誤導(dǎo)致鎖死 ，則需要按照規(guī)定 找電子印章管理員 進行密碼重置。 5） 查看用章記錄 每次使用電子印章 時 ，軟件會自動記錄電子印章的用印 記錄 。可以隨時查看這些記錄。用印記錄保存在電子印章存儲介質(zhì)中 ，也可以根據(jù)用戶的需要保存在電子印章服務(wù)器上 。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 13 頁 與 CA的結(jié)合 電子印章系統(tǒng)和 CA的結(jié)合體現(xiàn)在如下幾個方面： 電子印章的制發(fā)系統(tǒng)是審核、制作、發(fā)放管理電子印章的管理系統(tǒng)。在制發(fā)過程中，系統(tǒng)自動和相關(guān)聯(lián)的 CA中心的 RA系統(tǒng)銜接，獲得電子印章的數(shù)字證書，同時通過 PKI 設(shè)備的接口存儲數(shù)字證書、印章數(shù)據(jù)等。 電子印章的蓋章、驗章動作是需要調(diào)用數(shù)字證書的相關(guān)信息。 電子印章的有效性是和電子印章所綁定的數(shù)字證書的有效性（是否有效、有效期等）密切相關(guān)的。 電子印章的在線驗章需要電子印章中心管理系統(tǒng)向 CA中心獲取可用的數(shù)字證書黑名單。電子印章的離線驗章中，數(shù)字 證書的根證書必須是安裝到系統(tǒng)中的對應(yīng)的 CA的 root 證書。 印章服務(wù)器與 CA服務(wù)器間的交互 書生電子印章系統(tǒng)與 CA系統(tǒng)之間采用松耦合的方式進行連接。通過書生電子印章服務(wù)器與 CA服務(wù)器以及 CA發(fā)布 CRL列表的服務(wù)器（可能為 LDAP服務(wù)器）進行數(shù)據(jù)交互。 書生電子印章保存在移動存儲設(shè)備上（如 UKey）。在制作電子印章的過程中，首先需要在 UKey內(nèi)生成私鑰和證書。此過程印章服務(wù)器與 CA服務(wù)器進行交互，向 CA服務(wù)器提供公鑰并獲得經(jīng)過 CA簽名的證書。 同時，與 CA提供的 CRL列表相似，印章服務(wù)器也提供電子印章狀態(tài)信息 數(shù)據(jù)。這里的電子印章狀態(tài)包括印章本身的狀態(tài)和其對應(yīng)的證書的狀態(tài)，其中證書的狀態(tài)既是印章服務(wù)器從 CA 的 CRL列表服務(wù)器自動下載的數(shù)據(jù)，這些數(shù)據(jù)下載后與印章本身的狀態(tài)數(shù)據(jù)共同保存在印章服務(wù)器數(shù)據(jù)庫中。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 14 頁 交互過程 上圖中所稱服務(wù)器，均為邏輯功能上的服務(wù)器。 電子印章的生成 書生電子印章服務(wù)器通過控制本地的 UKey，利用 Ukey 中的運算器，在Ukey內(nèi)部生成公、私鑰對，并將公鑰倒出傳送至 CA服務(wù)器。 CA服務(wù)器根據(jù)印章服務(wù)器傳送的公鑰生成證書并進行簽名，將證書發(fā)送回印章服務(wù)器。最后印章服務(wù)器將含有公鑰信息的證書寫 入 Ukey。 這個過程涉及到的 CA服務(wù)器接口是標準的證書生成接口。書生服務(wù)器只需讀取 CA服務(wù)器返回的數(shù)據(jù)，不需 CA服務(wù)器調(diào)用任何功能接口。 Ukey中保存的數(shù)據(jù)為證書，印章的 epf文件，印章元數(shù)據(jù)，用章記錄等。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 15 頁 其中數(shù)字證書、 epf文件、元數(shù)據(jù)為制章時寫入的固定數(shù)據(jù)，使用制章者的私鑰簽名?？蛻舳俗x取時用制章者的公鑰驗簽。印章數(shù)據(jù)采用對稱密鑰加密。簽名運算調(diào)用 IC 芯片的接口執(zhí)行，私鑰不出 UKey。 印章狀態(tài)信息維護 電子印章狀態(tài)包括印章本身的狀態(tài)和其對應(yīng)的證書的狀態(tài)，其中任何一部分狀態(tài)失效均會導(dǎo)致電子印章聯(lián)網(wǎng)驗 證失敗。 電子印章狀態(tài)信息保存在印章數(shù)據(jù)庫服務(wù)器中。印章服務(wù)器管理功能會定期的自動從 CA 的 CRL列表服務(wù)器獲取 CRL數(shù)據(jù)，并根據(jù)獲取的 CRL內(nèi)容更新數(shù)據(jù)庫中對應(yīng)印章狀態(tài)信息。 這個過程中需要 CA開放標準的獲取 CRL數(shù)據(jù)的接口，印章服務(wù)器調(diào)用此接口獲取數(shù)據(jù)后更新印章數(shù)據(jù)庫服務(wù)器。 對 CA的支持 只要是符合國家信產(chǎn)部認可的 第三方 CA系統(tǒng)，書生電子印章系統(tǒng)均可以與其按照以上描述進行正常的連接。 電子印章的 KEY可以使用其 CA的 KEY，但需要書生公司進行集成測試 。主要工作包括： ? 證書部分：將證書導(dǎo)入電子印章存儲介質(zhì) Ukey的網(wǎng)頁 。 ? Ukey 部分：實現(xiàn)簽名，驗證簽名，證書讀取等功能模塊；實現(xiàn)存取硬件Ukey功能模塊；這些模塊之間的協(xié)同合作進行聯(lián)合調(diào)試。 不采用 CA的方式 與 CA結(jié)合主要是獲得 CA證書，將 CA證書與印章數(shù)據(jù)結(jié)合導(dǎo)入電子印 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 16 頁 章 UKEY，并通過 CA證書對電子印章進行驗證。 如 果 不與 CA證書結(jié)合，電子印章系統(tǒng)也可以利用 WINDOWS 操作系統(tǒng)的根證書機制，由操作系統(tǒng)直接獲取統(tǒng)一的根證書，替代 CA證書。整個電子印章系統(tǒng)采用統(tǒng)一的唯一系統(tǒng)根證書進行制章和驗章 。 在與 CA中心結(jié)合的情況下 ，電子印章系統(tǒng)的每個印章?lián)碛胁煌奈ㄒ坏腃A證書；而 不與 CA中心結(jié)合的情況下，電子印章系統(tǒng)中的所有印章都有相同的唯一根證書。 不與 CA中心結(jié)合，由依賴 CA證書認證為主的模式變化為依賴印章數(shù)據(jù)認證為主的模式，兩者出發(fā)點不同，卻可以獲得同樣的安全認證效果。這種模式，可以降低成本，減少接口開發(fā)工作量，縮短系統(tǒng)建設(shè)工期。 將來在 CA統(tǒng)一規(guī)劃好之后，可以切換到 CA。但是切換之前已制作的電子印章仍使用以前的 系統(tǒng)根 證書，切換之后新制作的電子印章使用 CA證書，集成工作同上。 電子印章的安全體系 ? 基于公鑰基礎(chǔ)設(shè)施 PKI（ Public Key Infrastructure） ? 為了保證安全電子印章是安全可靠的體系， 數(shù)字簽名 證書須通過 web connector 模式導(dǎo)入智能卡，印章圖像是用智能卡私有文件（需要用戶 PIN 碼）模式保存的，印章圖像 +證書的存儲空間需要 35K+40K，證書私鑰一旦導(dǎo)入智能卡就不能再出卡了。 ? 電子印章系統(tǒng) 能夠 與 CA數(shù)字證書安全應(yīng)用無縫整合。應(yīng)用基于 PKI的 CA數(shù)字證書，實現(xiàn)在具體業(yè)務(wù)操作中對公文的蓋章、驗章等功能，實現(xiàn)信息傳輸?shù)谋Ｃ苄院屯暾?，通過對有效業(yè)務(wù)信息的一次性加密和簽名，以及離線驗證的功能，真正實現(xiàn)網(wǎng)上 操作的不可否認性。 北京書生電子技術(shù)有限公司 地址：北京市海淀區(qū)紫竹院路 81 號北方地產(chǎn)大廈 5 層 郵編： 100089 公司電話： 010－ 82331166 傳真： 010－ 82332929 網(wǎng)址： 第 17 頁 ? 書生 電子印章系統(tǒng) 的 對 IC 卡的訪問控制設(shè)計為一個開放靈活的體系結(jié)構(gòu)，支持基于國際標準的 PKCS 開發(fā)接口和 CryptoAPI 接口，也可以增加支持其它類型的 IC 設(shè)備接口。產(chǎn)品目前已經(jīng)支持了（通過測試的）多家主流 IC 卡設(shè)備。對于項目指定的 IC 卡和 Key，如果該設(shè)備是基于開放的標準接口的，則本印章系統(tǒng)可以無縫結(jié)合，如果是基于特定的開發(fā)接口，也可以為該類設(shè)備定制。 與 應(yīng)用 系統(tǒng)的接口 書生 電子印章系統(tǒng) 能與應(yīng)用系統(tǒng)進行良好結(jié)合，結(jié)合后的應(yīng)用系統(tǒng)是一個完整系統(tǒng)，即印章功能應(yīng)嵌入至應(yīng)用系統(tǒng)中。結(jié)合僅需應(yīng)用系 統(tǒng)進行少量的修改即可完成。 應(yīng)用 系統(tǒng)生成待蓋章的格式文件，之后系統(tǒng)后臺通過 print 接口自動調(diào)用書生 SEP 轉(zhuǎn)換器轉(zhuǎn)成 SEP 文件，這些過程對操作者而言都是透明的，前臺察覺不到。之后系統(tǒng)平臺將調(diào)用書生閱讀器和電子印章客戶端，采用 OCX控件方式，此時待蓋章文件即被打開并且書生電子印章客戶端已嵌入到當(dāng)前工作頁面，在相應(yīng)位置加蓋印章后點擊“蓋章完畢”按鈕，蓋章后的文件通過財務(wù)系統(tǒng)自動上傳到服務(wù)器，并進入系統(tǒng)下一個流程。蓋章流程如下圖所示。 瀏覽蓋章文件時 ，仍按照目前的工作流程，瀏覽者直接選擇“瀏覽文件”相關(guān)按鈕，財務(wù)系統(tǒng)平臺自動調(diào)用書生閱讀器和電子印章客戶端，通過 OCX待蓋章 文件 SEP文件 蓋章 已蓋章的 SEP文件