電子印章方案

1、電子簽章系統(tǒng)實(shí)現(xiàn)原理及方案目錄目錄 21. 數(shù)字簽名與電子印章 32. 電子印章原理 33. 電子印章文件格式 44. 電子印章系統(tǒng)實(shí)現(xiàn) 55. 電子簽章系統(tǒng)的特點(diǎn) 96. 結(jié)論 101. 數(shù)字簽名與電子印章傳統(tǒng)的實(shí)物印章依靠印模的復(fù)制困難來(lái)保證文檔的真實(shí)性，隨著科學(xué)技術(shù)的開(kāi)展和普及， 印模的復(fù)制越來(lái)越容易， 傳統(tǒng)的實(shí)物印章已經(jīng)變得十分不可靠， 迫切需要新的認(rèn)證技術(shù)來(lái)代替。 對(duì)于電子文檔來(lái)說(shuō)， 傳統(tǒng)的印章表現(xiàn)為文檔中的一張圖片， 由于電子圖片的復(fù)制十分容易，依靠印章圖片來(lái)保證電子文檔的真實(shí)性已經(jīng)毫無(wú)意義。數(shù)字簽名的平安性遠(yuǎn)遠(yuǎn)高于傳統(tǒng)印章，按理說(shuō)，在電子文檔中，完全可以用數(shù)字簽名代替印章來(lái)保證文

2、檔的真實(shí)性， 而不必考慮印章圖片有關(guān)問(wèn)題， 但實(shí)際情況并沒(méi)有那么簡(jiǎn)單。首先，傳統(tǒng)的印章概念在中國(guó)根深蒂固，如果在電子印章中完全拋棄傳統(tǒng)的印章概念，簡(jiǎn)單的用數(shù)字簽名代替電子印章， 用戶往往難以接受， 因此， 國(guó)內(nèi)市場(chǎng)上出現(xiàn)了一些基于印章或簽名圖片的平安技術(shù)，其中的一些理論根底并不充分。其次，與數(shù)字簽名相比較，電子印章的需求更復(fù)雜。如果是對(duì)原文件的一次蓋章，在對(duì)原文件插入印章圖片、 落款和蓋章日期后進(jìn)行數(shù)字簽名， 用數(shù)字簽名代替電子印章沒(méi)有任何問(wèn)題，但是， 很多情況下，往往是一個(gè)文件需要蓋多個(gè)印章，即要對(duì)同一個(gè)文件屢次插入印章圖片、 落款和蓋章日期。 傳統(tǒng)的紙文件原件只有一份， 實(shí)際的蓋章過(guò)程只能

3、在同一個(gè)文件上進(jìn)行， 也就是說(shuō)即便是甲乙雙方同時(shí)蓋章， 蓋章也是有順序的， 而電子文檔卻有可能出現(xiàn)真正的同時(shí)蓋章的情況。 數(shù)字簽名的根本要求是原文件不能修改， 在原文件中插入印章圖片、 落款和蓋章日期等會(huì)使數(shù)字簽名驗(yàn)證無(wú)法通過(guò)， 如果只對(duì)插入印章圖片、 落款和蓋章日 期之前的文件進(jìn)行簽名， 圖片、 落款和蓋章日期這些信息就得不到有效保護(hù)， 因此不能簡(jiǎn)單 的用數(shù)字簽名代替電子印章。2. 電子印章原理利用數(shù)字簽名技術(shù)的電子印章系統(tǒng)，需要對(duì)數(shù)字簽名進(jìn)行一些改進(jìn)，主要解決兩個(gè)問(wèn)題： 1 在簽名文檔中插入圖片、落款和蓋章日期等信息后， 仍然能夠保證原來(lái)的簽名通過(guò)驗(yàn)證； 2 印章圖片、 落款和蓋章日期等蓋

4、章時(shí)產(chǎn)生的信息需要同原始文檔一起受到簽名保護(hù)。根據(jù)電子印章對(duì)數(shù)字簽名的要求，我們可以將電子印章的簽名文檔分成兩局部：原始文檔和附加信息即：印章圖片、落款和蓋章日期等 。對(duì)于同一文檔的不同電子印章，原始文檔相同而附加信息各不相同， 電子印章中的數(shù)字簽名實(shí)際上是對(duì)原始文檔和附加信息合成的新文檔提取數(shù)字摘要，然后對(duì)摘要進(jìn)行私鑰加密。我們將加蓋了電子印章的文件稱為“蓋章文件。 為了能夠在 Internet 上方便、穩(wěn)定地傳輸， “蓋章文件最理想的格式應(yīng)該是純文本， 同時(shí)， “蓋章文件應(yīng)該能夠方便地合成和解析。基于以上考慮，本文設(shè)計(jì)了一種基于XML 的“蓋章文件格式。在“蓋章文件中原始文件和印章圖片、

5、落款、 蓋章日期分別存放在不同的元素中， 只是在向用戶顯示時(shí)才將它們合成在一起， 這樣可以保證屢次蓋章后原文件不被修改。 同時(shí)與印章相對(duì)應(yīng)的數(shù)字簽名不是對(duì)原始文件的數(shù)字簽名，而是對(duì)“蓋章申請(qǐng)的簽名。與“蓋章文件一樣， “蓋章申請(qǐng)采用 XML 文件格式。 “蓋章申請(qǐng)中包含了原文件的數(shù)字摘要和印章圖片、落款、蓋章日期等信息，從而保證了所有這些信息都受到數(shù)字簽名的保護(hù)?！吧w章文件包含原始文檔、印章圖片、落款、蓋章日期、對(duì)“蓋章申請(qǐng)的數(shù)字簽名、簽名證書(shū)等信息，這些信息按照一定的規(guī)那么存儲(chǔ)在XML 文件的元素中，根據(jù)這些信息， 用戶可以從 “蓋章文件中恢復(fù) “蓋章申請(qǐng)、 驗(yàn)證數(shù)字簽名或?qū)⑿碌纳w章信息參加

6、 “蓋章文件中即：對(duì)原始文件加蓋新印章 。 “蓋章文件中原始文件、印章圖片、數(shù)字簽名和簽名證書(shū)等二進(jìn)制數(shù)據(jù)都經(jīng)過(guò)了 Base64 編碼。為了能夠正確恢復(fù)和顯示蓋章后的原始文檔， “蓋章文件中應(yīng)該包含原始文檔類型、顯示和編輯原始文檔的軟件名稱、印章圖片在原始文檔中的位置等信息。 “蓋章文件解析程序可以做成Office 或?yàn)g覽器插件， 這些插件程序可以按照 “蓋章文件中存儲(chǔ)的信息， 正確顯示原始文件及印章圖片。同時(shí)， 插件程序還具有驗(yàn)證數(shù)字簽名、根據(jù)用戶要求生成 “蓋章申請(qǐng)、合成“蓋章文件等功能。3. 電子印章文件格式“蓋章文件由原始文件正文經(jīng)過(guò) Base64 編碼 、原始文件根本信息文件名 ,

7、文件類型 , 文件編輯器, 文件查看器等 、零個(gè)或多個(gè)印章組成：<!ELEMENT蓋章文件（文件名？，文件類型,文件編輯器*,文件查看器*,正文編碼方式 , 正文 , 印章 *）>其中： “文件名為原始文件名稱可選 ，用于為用戶從“蓋章文件中提取原始文件時(shí)提供默認(rèn)的文件名稱； “文件類型為原始文件的類型如：DOC、 PDF、 XLS 等 ； “文件編輯器”為處理原始文件的編輯軟件如：WINWORD.EXEEXCEL.EXE； “文件查看器"為查看原始文件的軟件如： 、 ACRORD32.EXE； “正文編碼方式，將正文編碼為文本的算法目前為Base64 ； “正文，經(jīng)過(guò)B

8、ase64 編碼的原始文檔； “印章包含與蓋章有關(guān)的信息，可以是零個(gè)或多個(gè)，零個(gè)對(duì)應(yīng)沒(méi)有印章的情況?！坝≌掠捎≌聢D片、數(shù)字簽名、印章根本信息名稱、顯示落款、顯示日期、蓋章日期等組成：<!ELEMENT 印章（ 名稱 ？, 顯示落款 ？, 顯示日期 ？, 蓋章日期 , 印章圖片 ？, 數(shù)字簽名）>“顯示日其中： “名稱為印章名稱可選 ； “顯示落款為顯示于正文的印章落款； 期為顯示于正文的蓋章日期； “蓋章日期為蓋章的實(shí)際時(shí)間， 由印章效勞器填寫(xiě)； “印章圖片為顯示于正文的印章圖片； “數(shù)字簽名為印章對(duì)應(yīng)的數(shù)字簽名?！帮@示落款包括“落款和“落款位置兩個(gè)元素：<!ELEMENTM

9、示落款（落款,落款位置？）>其中： “落款為顯示于正文的落款內(nèi)容； “落款位置描述“落款在正文中顯示的位置， 據(jù)此可以將“落款顯示在正文的適宜位置。位置的表達(dá)方式可以按照頁(yè)號(hào)、水平位置字符或絕對(duì)坐標(biāo)毫米等 、垂直位置行或絕對(duì)坐標(biāo)毫米等的方式表示，也可以采取“其它表示法，如：提前在正文模板中做插入標(biāo)記，按照這些標(biāo)記插入印章“落款：<!ELEMENT落款位置（頁(yè)號(hào)?,水平位置?,垂直位置?,其它表示法？）>印章的“顯示日期和“印章圖片的位置表示方式與“顯示落款類似?！皵?shù)字簽名包括簽名證書(shū)和簽名算法等內(nèi)容：<!ELEMEN微字簽名（證書(shū)編碼算法,證書(shū)編碼,正文摘要算法,數(shù)字簽

10、名要算法, 數(shù)字簽名編碼算法, 數(shù)字簽名 ）>其中： “證書(shū)編碼是經(jīng)過(guò)編碼的簽名證書(shū)，存放在“蓋章文件中，用來(lái)驗(yàn)證數(shù)字簽名； “正文摘要算法用來(lái)提供生成“蓋章申請(qǐng)時(shí)的“正文摘要； “數(shù)字簽名編碼為對(duì)“蓋章申請(qǐng)的數(shù)字簽名，經(jīng)過(guò)Base64 編碼?！吧w章申請(qǐng)是蓋章插件提供給印章效勞器，要求簽名蓋章的XML文件，“蓋章文件包含 “正文編碼摘要和 “印章兩個(gè)元素。 其中， “正文編碼摘要保證了對(duì) “蓋章申請(qǐng)的簽名能夠提供對(duì)原始文檔的簽名保護(hù)； “印章與蓋章文件中的“印章元素結(jié)構(gòu)相同：<!ELEMENT蓋章申請(qǐng)（正文編碼摘要，印章）印章效勞器得到“蓋章申請(qǐng)后，填寫(xiě)“蓋章時(shí)間，然后按照“蓋章申

11、請(qǐng)要求的算法對(duì) “蓋章申請(qǐng)進(jìn)行數(shù)字簽名， 然后將簽名證書(shū)、簽名編碼等信息添寫(xiě)到“蓋章申請(qǐng)文件中，將“蓋章申請(qǐng)反響給用戶，由蓋章插件合成“蓋章文件。為保證數(shù)字簽名的穩(wěn)定性，在對(duì)“蓋章申請(qǐng)簽名前，應(yīng)該刪除“蓋章申請(qǐng)中的空格、注釋、回車換行等字符。4. 電子印章系統(tǒng)實(shí)現(xiàn)印章系統(tǒng)與CA系統(tǒng)效勞器配合使用，即電子印章系統(tǒng)的印章證書(shū)來(lái)自于CA效勞器,電子印章系統(tǒng)通過(guò) CA系統(tǒng)生成、發(fā)布、撤消電子印章證書(shū)。同時(shí)印章效勞器維護(hù)和管理印 章數(shù)據(jù)庫(kù)，印章數(shù)據(jù)庫(kù)中包含印章圖片、印章證書(shū)密鑰及印章授權(quán)使用情況記錄。由于印章密鑰存放于印章效勞器，印章 效勞器應(yīng)該處于高度平安的環(huán)境保護(hù)下，包括物理隔離和網(wǎng)絡(luò)平安等等，同時(shí)

12、印章的使用情況應(yīng)該有完整的日志記錄。系統(tǒng)以B/S方式實(shí)現(xiàn)。CA效勞器和印 章效勞器通過(guò)Web效勞器管理印章、密鑰、 證書(shū)、接受用戶蓋章申請(qǐng)等。以下通過(guò)一個(gè)甲方 "蓋章'、乙方"驗(yàn) 證'、再"蓋章的過(guò)程，說(shuō)明電子印章系 統(tǒng)的使用過(guò)程?！吧w章''、"驗(yàn)證'、再"蓋 章過(guò)程需要客戶端軟件瀏覽器插件或 Office插件支持。甲方蓋章過(guò)程：1首先是將原文件Base64編碼保存，然后從印章效勞器得到印章圖片，然后將圖片插入正文適宜的位置供 用戶查看和調(diào)節(jié)印章位置，同時(shí)插入印章落款、蓋章時(shí)間等信息，客戶端軟件搜集這些信

13、 息，與原文件 Base64編碼摘要一起打包成“蓋章申請(qǐng)''。2將“蓋章申請(qǐng)發(fā)送到印章效勞器，印章效勞器將實(shí)際蓋章時(shí)間寫(xiě)入“蓋章申請(qǐng)中，然后對(duì)“蓋章申請(qǐng)數(shù)字簽名， 將“蓋章申請(qǐng)''、數(shù)字簽名以及印章證書(shū)一起打包成“蓋章數(shù)據(jù)，發(fā)送到客戶端。3客圖1電子印章系統(tǒng)結(jié)構(gòu)戶端將原文件Base64編碼、“蓋章數(shù)據(jù)等信息打包成蓋章文件。:印章服務(wù)器將文件編碼(ase64 ),得到正文編碼申請(qǐng)印章圖片返回印章圖片將印章圖片編碼(WBase64 ),等到印章圖片編碼將圖片插VI.正文，顯示給用戶收集蓋章信息,生成蓋章申請(qǐng)傳送蓋章申請(qǐng)?zhí)崛∩w章申請(qǐng)中印章圖片摘要按照印章圖片摘從數(shù)據(jù)庫(kù)

14、中查詢印章密鑰利用印章申請(qǐng)中的信息和服務(wù)器E寸間、印章數(shù)字證書(shū)生成原始蓋章數(shù)據(jù)用印章密鑰對(duì)原始蓋章數(shù)據(jù)簽名，生成蓋章數(shù)據(jù)傳送蓋章數(shù)據(jù)利用正文編碼和蓋章數(shù)據(jù)生產(chǎn)蓋章文件圖2蓋章過(guò)程交互圖乙方印章驗(yàn)證及再蓋章過(guò)程：1首先是從蓋章文件中提取原文件Base64編碼、印章圖片、落款、數(shù)字簽名、數(shù)字證書(shū)等信息，恢復(fù)蓋章申請(qǐng)?jiān)玻?yàn)證數(shù)字簽名以確認(rèn)蓋章是 否有效。2恢復(fù)原文件顯示給用戶。3按照蓋章程序再蓋章。:乙方分析蓋章文件，提取正文編碼，驗(yàn)證所有簽名的有效性恢復(fù)蓋章原變臺(tái)文件，并顯示給用戶申請(qǐng)印章圖片返回印章圖片將印章圖片編碼（Base64 ）,等到印章圖片編碼將圖片插,正文，顯示給用戶收集蓋章信息，生

15、成蓋章申請(qǐng)傳送蓋章申請(qǐng)利用文件編碼不:印章服務(wù)器提取蓋章請(qǐng)中印章圖片摘要按照印章圖片摘要,人數(shù)據(jù)庫(kù)中查詢印章密鑰利用印章申請(qǐng)中的信息和服務(wù)器間、印章數(shù)字證書(shū)生成原始蓋章數(shù)據(jù)用印章密鑰對(duì)原始生章數(shù)據(jù)簽名，生成蓋章數(shù)據(jù)傳送蓋章數(shù)據(jù)）蓋章數(shù)據(jù)生產(chǎn)蓋章文件圖3印章驗(yàn)證及再蓋章過(guò)程交互圖支持多簽章 支持在文檔中進(jìn)行多重簽章， 各簽章之間互不影響， 這種特點(diǎn)正適應(yīng)了電子辦公系統(tǒng)中公文流轉(zhuǎn)的特點(diǎn)， 適用于多級(jí)審批及多人會(huì)簽。 簽章前電子印章可移動(dòng)，一旦簽章那么印章不能移動(dòng)。印章存放于USBW能卡中不能偽造，簽章過(guò)程中簽名運(yùn)算在 USBIF能卡內(nèi)進(jìn)行，絕對(duì)保證簽名私鑰不出USB智能卡。文檔驗(yàn)證可以很容易地驗(yàn)證

16、數(shù)據(jù)從發(fā)送者發(fā)出后到接收者中間過(guò)程是否被篡改正，是否有錯(cuò)行、字體顏色發(fā)生變化、圖片位置偏移、文檔屬性更改等破壞公文嚴(yán)肅性的情況。鎖定文檔 提供類似于MSOffice 自身的“保護(hù)文檔功能。 當(dāng)文檔處于鎖定狀態(tài)時(shí)，該文檔不可修改，但簽章的必要功能依然有效，如：“文檔驗(yàn)證，“簽章時(shí)間等等。打印控制 為了適用各種應(yīng)用的要求, 確保簽章打印可控, 實(shí)現(xiàn)了以下打印控制功能。 控制打印份數(shù)； 只有待打印文檔中所有的印章驗(yàn)證都通過(guò)的情況下， 才能 打印該文檔。 自主版權(quán) 自主開(kāi)發(fā)，具有自主版權(quán)，防止了采用國(guó)外模塊所帶來(lái)的平安性隱患。平安性 采用1024比特模長(zhǎng)RS砥法及平安Hash算法SHA1密碼運(yùn)算采用智

17、能密碼鑰匙， 智能密碼鑰匙通過(guò)PIN 碼保護(hù)， 確保私鑰不出卡， 密碼運(yùn)算在卡內(nèi)進(jìn)行，保證了運(yùn)算過(guò)程的平安性。透明性 由于密碼技術(shù)及其平安產(chǎn)品原理、 算法都非常復(fù)雜， 系統(tǒng)具有透明性， 使 得直接用戶不必詳細(xì)理解其技術(shù)原理即可使用。穩(wěn)定性電子簽章系統(tǒng)采用了基于組件的技術(shù)，可以完全嵌入OFFICE環(huán)境中，而OFFICER有的功能不產(chǎn)生任何影響。簽署后的電子簽章與OFFICE檔完全融合，成為一個(gè)整體。防止使用OFFICE開(kāi)發(fā)常用的VBA宏技術(shù)，從而不會(huì)產(chǎn)生因用戶禁用宏而導(dǎo)致軟件失效的問(wèn)題。方便性 電子簽章系統(tǒng)自動(dòng)在 Word/Excel 環(huán)境菜單中添加了菜單項(xiàng)，通過(guò)選擇點(diǎn)擊菜單項(xiàng)可以在文檔或工作表中插入圖章， 通過(guò)鼠標(biāo)事件即能夠?qū)崿F(xiàn)文檔簽章等各 項(xiàng)功能，便于用戶的操作。 直觀性 嵌入到文檔中的電子圖章可以透明顯示， 不影響原有的編輯功能， 并可以 隨意拖動(dòng)到任意位置簽章， 可以到達(dá)同紙質(zhì)蓋章相同的效果。 電子公章制作模塊在 制章時(shí)采用了所見(jiàn)即所得的方式， 制出的圖章效果一目了然， 可以通過(guò)調(diào)整參數(shù)獲 得期望的公章圖樣。 防復(fù)制 印章不可通過(guò) Word 的復(fù)制功能進(jìn)行復(fù)制， 杜絕利用已有電子簽章仿造新 的文件，即使是在同一文檔中也不可以利用復(fù)制功能加蓋印