电子签章系统
来源:电子政务工程服务 更新时间:2012-04-15

 

一、前言

      在信息时代的今天,网络技术的发展使信息的传播和交流更加方便和快捷,为了提高办公效率,越来越多的政府机构、公司企业采用电子办公软件平台(比如WPS、MS Office等),通过网络实现公文的传输,享受互联网所带来的快捷与高效。但是,随之而来的网络入侵和攻击其破坏力之巨大远远超出人们的想象,网络安全问题也越来越受到人们的重视。
        文档发文者是谁?文档发文者是不是他人冒充?文档有没有被发文者以外的人所篡改?如何安全可靠、方便直观地解决上述问题成为新形势下电子办公系统所面临的任务。
     随着《电子签名法》的颁布,在公文传输中使用电子签名技术成为了最突出的一种解决方案。电子签名并不是书面签名的数字图像化,它以一种电子数据的形式存在。例如在网络文件传输中,利用电子签名,收件人能够轻松验证发件人的身份和签名,验证出文件的原文在传输过程中有无变动。
电子签名的主要优点如下:首先,它能够以相对简便的方式实现更大的安全性和可靠性,将以各种伪造的原因为由逃避责任的风险降到较低的限度。电子签名技术可以实现信息的完整性,并可以防止未经授权的客体获得关键数据,及时发现非授权篡改信息的各种行为,避免信息篡改所带来的严重后果。电子签名从功能上来讲与纸质签名方式相同,根据新的《电子签名法》规定,以电子方式签订的电子合同与传统的书面合同具有同样的法律约束力。其次,电子签名技术具有很高的透明性,可以保证各种事务处理的安全性和透明度,它可以采用各种优化算法来提高数据处理速度,并可以对数据进行加工、储存和传送,能方便的集成到现有业务系统中,不影响原系统结构和处理流程,对上层应用来说无需关心其实现细节。
  目前,国际上规定的电子签名的方案主要有以下三种主要模式:一是“最低要求方案”,也称“技术非特定化方案”。它确立技术的“中立”地位,认为电子签名是相对存在的多种技术手段,应由市场和消费者去做出具体的判断和选择,立法者只需要提出原则性要求,不应对具体技术做出选择。该方案具有示范性的是1996年联合国贸易法委员会制定的《电子商务示范法》(UNCITRAL Model Law on Electronic Commerce)。二是“数字签名方案”,也称“技术特定化方案”。它确定以非对称加密技术为基础的数字签名作为合法的电子签名技术,对认证中心提出了某些具体的技术和财务条件要求,规定密钥持有人的责任并明确了判别签名可靠性的条件。美国律师协会1996年制定的《ABA数字签名指南》(ABA-Digital Signature Guidelines)和欧盟制定的《欧洲电子签名标准化行动计划》(EU-Wide satandardisation initiatives, EESSI),是采用这种方案的典型例子。三是“双轨制方案”。它是一种“混合型”的折衷方案。它对各种电子认证方法规定条件,赋予其最低限度的法律效力,对某些广泛使用的技术(即“数字签名”)赋予较大的法律效力,以建立一套可以不受时间淘汰限制的规制体系。联合国《电子签名示范法》(UNCITRAL Model Law on Electronic Signatures)采用的是这种方案。
虽然电子签名有多种实现方式,但当前较成熟的,使用方便具有可操作性的,在世界先进国家和我国普遍使用的电子签名技术还是基于公钥基础设施(PKI)的数字签名技术。
  基于公钥基础设施(PKI)的数字签名技术采用了非对称密码体制。数字签名技术提供了如下特性:
  真实性
  真实性意味着接收者能够有效的验证发送者所发送的信息的真实性。
   数据完整性
  数据完整性意味着可以很容易地验证数据从发送者发出后到接收者中间过程是否被篡改过。
   不可抵赖性
  不可抵赖性意味着数据的签名者无法成功抵赖他发送并签名过的数据。
电子签章系统正是利用数字签名的这些特性来实现对电子文档的安全保护和验证。
  电子签章系统没有明确的定义和实现方式,综观市场上各种电子签章系统,一般都是采用嵌入的方式在电子文档中插入公章图样,通过提供给用户菜单、工具条等方式来实现用户与电子图章的互操作,并采用密码技术对文档进行签名和验证。
  济南得安计算机技术有限公司是国家密码管理机构认定的商用密码科研定点单位、商用密码产品生产定点单位和销售许可单位,是微软在国内PKI应用领域第一个合作伙伴。公司凭借在密码安全、PKI方面雄厚的技术力量开发了自主产权的得安电子签章系统。“得安电子印章系统V2.0”,2006年4月7日通过了公安部公共信息网络安全监察局的检测。

  二、得安电子签章系统主要功能和特点

  得安电子签章系统从功能上主要可以分为三大部分:
  1. WORD/EXCEL签章模块,该部分实现与WORD/EXCEL的无缝结合,并提供给用户简单直观的菜单和工具条来实现文档签章验证等各种操作,其中,SZD13智能密码钥匙是签章模块中用户证书和图章的载体;
  2. 电子图章管理模块,实现对SZD13智能密码钥匙中电子图章的管理;
  3. 电子公章制作模块,通过该模块可以方便迅速的生成各种电子公章图样,供签章模块使用。
  2.1得安电子签章系统采用的关键技术:
  Ø 组件技术
  得安电子签章系统采用了组件的技术,以可视化控件的形式嵌入到文档中,可以方便的集成与卸载。并且组件化技术可以使用户致力于具体的业务应用,不必考虑组件本身。
  Ø PKI技术
  利用PKI技术中的数字签名技术,对文档信息进行数字签名,从而完成对文档内容的真实性和完整性认证以及签名者的不可抵赖性认证。
  Ø 图像处理技术
  通过对签名图案的复杂图像处理,使得签名图案能上浮于底案之上,随意拖动,达到良好的视觉效果。另外公章制作模块也采用了各种图像处理方法以达到清晰的图章效果。
  2.2得安电子签章系统的功能和特点
  1. 支持多签章
  得安电子签章系统支持在文档中进行多重签章,各签章之间互不影响,这种特点正适应了电子办公系统中公文流转的特点,适用于多级审批及多人会签。
  2. 自主版权
  得安电子签章系统由我公司自主开发,具有自主版权,避免了采用国外模块所带来的安全性隐患。
  3. 安全性
  采用1024比特模长RSA算法及安全Hash算法SHA1。
密码运算采用智能密码钥匙,智能密码钥匙通过PIN码保护,确保私钥不出卡,密码运算在卡内进行,保证了运算过程的安全性。
  4. 透明性
  由于密码技术及其安全产品原理、算法都非常复杂,系统具有透明性,使得直接用户不必详细理解其技术原理即可使用。
  5. 稳定性
  得安电子签章系统采用了基于组件的技术,可以完全嵌入OFFICE环境中,而对OFFICE原有的功能不产生任何影响。签署后的电子签章与OFFICE文档完全融合,成为一个整体。
避免使用OFFICE开发常用的VBA宏技术,从而不会产生因用户禁用宏而导致软件失效的问题。
  6. 方便性
  得安电子签章系统自动在Word/Excel环境菜单中添加了菜单项,通过选择点击菜单项可以在文档或工作表中插入图章,通过鼠标事件即能够实现文档签章等各项功能,便于用户的操作。
  7. 直观性
  嵌入到文档中的电子图章可以透明显示,不影响原有的编辑功能,并可以随意拖动到任意位置签章,可以达到同纸质盖章相同的效果;
电子公章制作模块在制章时采用了所见即所得的方式,制出的图章效果一目了然,可以通过调整参数获得期望的公章图样。

  三、得安电子签章系统典型解决方案

  电子签章系统可以应用在文档管理、OA、电子政务等各种具有典型文档安全性需求的系统中,下面以电子政务公文流转系统为例,介绍得安电子签章系统的典型解决方案。
  在电子政务文档的流转过程中,发文者想要自己发出去的文档得到收文者的信任和认同,具有纸质文档相同的法律效力;收文者想要确认发文者的身份合法性,确认文档没有修改。对于发文者和收文者来说,他们一致要求系统的使用上直观简单,不用投入过多的精力学习使用。
  Microsoft Office 2003虽然自带了数字签名功能,但是由于其使用非常不直  观,除少数专业用户外,一般用户很难掌握使用。
  为解决上述问题,我们引入了组件技术。
由于组件的信息和状态可以持久化保存在文档中,我们完全可以将发文者的证书信息和签名信息保存到组件中,等收文者打开文档后,再根据组件中的证书信息和签名信息验证文档的完整性和不可抵赖性。同时,利Windows图形方面的编程,我们可以将印章的图形也保存在组件中并显示,使之具有同纸质文档相同效果。当文档被篡改后,可以改变正常的图形信息(比如显示一个红叉图形),使用户对文档的完整性一目了然。为了方便用户使用,我们进一步将组件整合进Word/Excel环境中,使之与其浑然一体。
  文档的完整性和不可抵赖性主要是利用数字签名技术实现,其安全性的关键在于电子证书的分发和使用。为了保证签名证书的唯一性和不被冒用,我们将证书保存在SZD13智能密码钥匙中。
SZD13智能密码钥匙是通过国家密码管理局(原国家密码管理委员会办公室)安全性审查的客户端加密产品,可存储标志持有者身份、持有者权限等非常敏感、重要、保密的信息,如数字证书的公、私钥对。SZD13智能密码钥匙带有密码运算的加密协处理器,保证密码运算的安全性和高效性。同时,它有足够的空间存放用户的印章图形信息。除此以外,SZD13智能密码钥匙无需借助读卡器,可通过USB接口直接与计算机相连,使用非常方便。
为了管理智能密码钥匙中的证书信息和图章信息,我们引入了电子图章管理工具。电子图章工具负责更新智能密码钥匙中的图章和证书信息等工作。
另外根据用户需求我们开发了电子公章制作中心软件,可以制作圆形、椭圆形、方形、三角形等各式图章图案,可以满足大部分用户制作各种电子公章的需求。
  下面是一个电子签章的图样:
  得安电子签章系统签章图样,图中的印章图片是由印章制作模块制作的。

  注:具体的菜单内容和系统版本相关,图样仅供参考。

  一个典型的公文流转系统采用电子签章系统后如下图所示:
 

  上面结构图具体实施步骤如下:
  1、首先每个发文者都需要使用智能密码钥匙到CA中心申请自己的证书,并通过公章制作模块制作自己的图章,并用图章管理模块将个人的图章导入到智能密码钥匙中;
  2、发文者使用智能密码钥匙通过得安Word/Excel签名组件对需要发布的文档进行签章操作;
  3、发文者在公文系统中发布文档;
  4、收文者在公文系统中获取此文档;
  5、收文者打开经过签章的文档,通过Word/Excel签名组件验证文档的完整性,并可以查看发文者签章意见等信息。
根据具体的公文流转流程,发文者和收文者角色并不是一成不变的,上述2、3、4、5可以构成循环的操作。得安OFFICE签名控件支持在Word/Excel文档上进行多重签名,正适应了多人会签的需求。

  四、应用案例

  广西玉林市政府电子政务系统
  玉林市政府电子政务系统是玉林市政务信息化重要项目,由第三方系统集成商承包。经过多方比较和试用,用户和系统承包单位选定得安电子签章系统作为电子政务系统的签章配套产品。
该政务系统由IE内嵌WORD的方式实现公文的拟制或电子公文的上传,经过签章审核后形成正式公文,通过办公系统实现公文在各个政府机关之间的接收、发送等流转。同时对公文的处理状态可以进行监控,对处理过的公文进行查询、统计。

  五、结束语

  电子办公系统的普及成为时代信息化的必然,而保障电子文档安全性的电子签章系统也将会成为公文流转中不可或缺的角色,以强大技术力量为依托的得安电子签章系统也必会在信息化舞台上继续迈出坚实的步伐。