電子政務電子簽章應用 建議書                  北京金關科技有限公司  
版權聲明 北京金關科技有限公司（以下簡稱北京金關）擁有本文檔（包括所涉及的主題）的專利、專利申請、商標、版權及其他知識產(chǎn)權。北京金關授予您閱讀本文檔的權利；但是，除非有北京金關明確提供的書面特許協(xié)議，本文檔的提供并不意味著授予您相關專利、商標、版權或其他任何知識產(chǎn)權的特許。 復制與傳播 遵守所有生效的版權法是用戶的責任。在未經(jīng)北京金關明確書面許可的情況下，不得對本文檔的任何部分進行復制（備份目的除外），不得將其保存于或引進到公開的檢索系統(tǒng)中，不得以任何形式和任何方式（電子、影印、錄制、機械或其他任何此處未指明的方式）進行傳播或用于任何目的。 示例 如果本文檔有示例部分，則在示例部分中所描述的公司、組織、產(chǎn)品、人及事件均屬虛構，與真實的公司、組織、產(chǎn)品、人及事件無任何關系。 變更 本文檔的參考資料中所提及的包括Web站點、Internet資源、第三方的技術標準與規(guī)范等在內的信息，如在本文檔交付后有變更，恕不另行通知。 版權所有者 ©版權所有北京金關  地址為： 北京市朝陽區(qū)芍藥居北里112樓2405。所有權利均予保留。 商標 TO-KEY、TJSECPKI、TJONSIGN或其他本文檔中提及的太極產(chǎn)品，是北京金關的商標或注冊商標。本文檔所提到的真實的公司和產(chǎn)品的名稱可能是其各自所有者的商標。 聯(lián)系人 如有任何疑問或問題，請與support@china-pki.com聯(lián)系。 未經(jīng)本使用規(guī)定明確授予的任何權利均予保留。  
目   錄 1          政府行業(yè)應用需求分析... 4 1.1          概述... 4 2          基于PKI體系的電子簽章技術... 5 2.1  PKI技術介紹... 5 2.2  電子簽章技術... 5 3          TJONSIGN電子簽章系統(tǒng)... 7 4          TJONSIGN電子簽章系統(tǒng)構成與功能... 8 4.1          產(chǎn)品結構... 8 4.2          產(chǎn)品功能... 8 4.3          產(chǎn)品特性... 10 4.4          TO-KEY介紹... 10 4.4.1        TO-KEY數(shù)字令牌概述：... 10 4.4.2        結構... 11 4.4.3        功能... 11 4.4.4        特點... 11 5          產(chǎn)品使用說明：... 13 5.5.1簽章制作... 13 5.5.2電子簽章... 13 5.5.3手寫簽名... 16

1          政府行業(yè)應用需求分析

1.1        概述

電子政務中一個十分重要的方面就是文件的分發(fā)和流轉，通過電子的方式實現(xiàn)無紙化辦公。作為一個電子文檔，如何來保證： 1、            文件的真實性？---文件沒有篡改過，并且是可信的 2、            文件頒發(fā)者的身份是真實的？-----假冒他人頒發(fā)文件 3、            文件的不可抵賴性？ 4、            文件打印復制管理？ 所有這些，在傳統(tǒng)的紙文件中，可以采用簽名、蓋章等方式來保障，但是在電子文檔中，如果采用一個印章或簽名的圖片來實現(xiàn)，顯然是沒有價值的。因為電子文檔復制或修改一個文件中的圖片是十分簡單的。

2          基于PKI體系的電子簽章技術

2.1  PKI技術介紹

PKI（Public Key Infrastructure 的縮寫）即“公鑰基礎設施”，是一種遵循既定標準的密鑰管理平臺，它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。 PKI體系包括：CA認證中心和基于數(shù)字證書的應用（認證、授權+加密+簽名）。其中，CA認證中心提供數(shù)字證書的頒發(fā)、管理、廢止和發(fā)布以及密鑰的管理和備份。 PKI體系是目前解決信息安全問題最成熟、最標準、最先進的技術。通過建立PKI體系可以將一個無序、無管理的、無政府的網(wǎng)絡社會改造成有序、可管理的網(wǎng)絡社會，從而杜絕黑客肆無忌憚的攻擊，并且為內部的信息化管理提供一套安全高效的機制。

2.2  電子簽章技術

PKI的一個最基本的應用就是數(shù)字簽名，數(shù)字簽名采用特定的數(shù)字簽名算法來保證文件的真實性和不可抵賴性并能實現(xiàn)身份驗證。電子簽章即是數(shù)字簽名的典型應用。 基于PKI體系的電子簽章過程：                          

3          TJONSIGN電子簽章系統(tǒng)

TJONSIGN電子簽章系統(tǒng)基于PKI技術框架， 運用了數(shù)字簽名技術，電子印章內嵌含了對所簽文檔的數(shù)字簽名信息，因而保證了公文的真實性、唯一性、來源確認性和不可否認性及印章本身的不可復制性。完全區(qū)別于僅僅在文檔中插入一個印章圖片的應用模式。簽章系統(tǒng)采用多層次全方位的簽章驗證機制，確保文件安全及印章來源可靠；采用TO-KEY電子鑰匙存儲印章數(shù)據(jù)，確保簽章的安全和權威。 TJONSIGN電子簽章系統(tǒng)是一整套基于Windows平臺采用ActiveX技術開發(fā)的應用軟件，它可實現(xiàn)在Word，Excel文件上加蓋電子印章和手寫簽名，并將該簽章和文件通過數(shù)字簽名技術綁定在一起，一旦被綁定的文件內容發(fā)生改變(非法篡改或傳輸錯誤)，簽章將失效。只有合法擁有印章鑰匙盤并且有密碼權限的用戶才能在文件上加蓋電子簽章。 TJONSIGN電子簽章系統(tǒng)既可以單機使用，也可以在網(wǎng)絡中部署。既可以作為一個完全獨立的產(chǎn)品，也可以作為一個中間產(chǎn)品與辦公自動化系統(tǒng)有效的結合起來。  

4          TJONSIGN電子簽章系統(tǒng)構成與功能

4.1        產(chǎn)品結構

TJONSIGN電子簽章系統(tǒng)包括： CA（數(shù)字證書認證中心）、單位制章系統(tǒng)、個人制章軟件、簽章軟件、驗證軟件等。 其中：CA、印章管理系統(tǒng)安裝在服務器上；個人制章軟件、簽章軟件、驗證軟件安裝在個人計算機上。 CA實現(xiàn)證書的頒發(fā)、管理以及密鑰的產(chǎn)生和密鑰的管理。 單位制章系統(tǒng)：對單位印章進行制作。 個人制章軟件可以制作個人的印章和簽名 簽章軟件結合TO-KEY數(shù)字令牌一起使用，密鑰、證書由TO-KEY數(shù)字令牌保存，數(shù)字簽名算法也由TO-KEY數(shù)字令牌實現(xiàn)。簽章軟件嵌入到Word/Excel里，用來實現(xiàn)印章或簽名。文檔一旦簽名，任何改動都會導致簽章驗證失敗。 產(chǎn)品結構示意圖：  

CA認證中心   數(shù)字證書頒發(fā)   數(shù)字證書認證

單位用戶申請數(shù)字證書

單位用戶領取數(shù)字證書 TO-KEY鑰匙盤

印章制作系 統(tǒng)

單位用戶領取數(shù)字證書 TO-KEY鑰匙盤(已經(jīng) 存儲電子印章及單位和個人身份信息）

Word簽名印章及驗證系統(tǒng)

Excel簽名印章及驗證系統(tǒng)

HTML簽名印章及驗證系統(tǒng)

Word 文檔

Excel 文檔

HTML 文檔

 

                             

4.2        產(chǎn)品功能

 

功能	說明
文檔簽章功能	確定對當前的文檔進行蓋章，該功能需要TO-KEY數(shù)字令牌的支持，同時需要輸入PIN碼確認用戶身份。
手寫簽名功能	確定對當前的文檔進行簽名或批閱，該功能需要手寫筆和TO-KEY數(shù)字令牌支持，簽名或批閱是需要輸入PIN碼確認用戶身份，支持大部分廠商的手寫筆。
簽章驗證功能	該功能能夠驗證文檔內容是否被修改或簽章信息是否有效。
身份認證功能	通過利用簽署者的證書頒發(fā)機構的證書，對簽署者的身份進行認證。一方面能夠辨別簽署者身份的真?zhèn)危硪环矫婺軌虼_保簽署者身份的不可抵賴性，即一旦簽名而且身份認證通過，則簽名者將無法否認此簽名。
撤消簽章功能	該功能用來撤消簽章，撤消簽章時需要確認原先加蓋印章或簽名人的身份和密碼。
證書查看功能	任何人都能夠查閱簽署者證書的相關信息，信息包括證書版本、證書序列號、簽名算法、頒發(fā)者詳細信息、有效起始日期、有效終止日期、用戶詳細信息、DER公鑰值、證書自定義級別
支持雙證書功能	可以支持雙證書應用，包括加密證書和簽名證書，安全性更高。
移動簽章功能	該功能用來移動簽章所在文檔中的位置。
禁止移動功能	執(zhí)行該功能過后，該簽章的位置將不能夠更改了。
文檔保護功能	加蓋公章的文檔可以使用文檔保護功能來鎖定文檔，鎖定后的文檔將永久不能被修改。
文檔解鎖功能	對被鎖定的文檔進行解鎖，根據(jù)鎖定密碼來確認文檔解鎖。
意見簽署	在簽章或簽名的同時可以簽署意見，閱讀者可以閱讀到文檔簽字人的意見
會簽功能：	支持多個人對一個文檔的簽章或簽名，
打印限制功能	可以限制該文檔打印的份數(shù)。
讀取服務器時間功能	產(chǎn)品提供讀取服務器時間的接口，也就是簽章時間可以統(tǒng)一從服務器上讀取時間。
提供相應二次開發(fā)數(shù)據(jù)接口	可以將簽章相關信息（文件名稱、單位名稱、簽章用戶名稱、簽章名稱、簽章時間、簽章機器IP地址）保存到服務器的數(shù)據(jù)庫，方便二次開發(fā)，實現(xiàn)電子簽章軟件與客戶系統(tǒng)相結合應用。

 

4.3        產(chǎn)品特性

l    安全性： PKI體系（Public Key Interface）的電子簽名和電子印章的綁定，個人私鑰保存到USB接口的一種集智能卡和讀寫器于一體的USB加密鑰匙TO-KEY數(shù)字令牌里面。 l    驗證性：可通過文檔驗證，瀏覽到被簽章的文檔名稱、簽章用戶、簽章單位、簽章時間、簽章名稱，同時驗證文檔的內容是否被篡改，篡改后文檔的印章自動顯示失效。 l    便攜性：電子文檔一經(jīng)簽名或蓋章，簽章數(shù)據(jù)信息和文檔綁定在一起，并可安全地進行傳輸。 l    開放性：系統(tǒng)完全兼容國際標準（x.509，PKCS）證書格式，可以直接融入國家及國際組織的PKI體系。支持任何符合CSP的USB KEY。 l    兼容性：可以對OFFICE文檔簽名也可以對網(wǎng)頁進行簽名還可以對嵌入到電子表單中，對表單進行簽名。 l    簡單性：印章信息、身份信息等均存儲在TO-KEY中，只要有TO-KEY數(shù)字令牌以及與其對應的PIN碼就可以實現(xiàn)簽章，而與使用哪個計算機沒有關系，只要計算機上安裝了簽章軟件就可以了。

4.4        TO-KEY介紹

4.4.1   TO-KEY數(shù)字令牌概述：

隨著電子政務和電子商務的發(fā)展，人們需要有相應的網(wǎng)絡身份。目前最常用的網(wǎng)絡身份有：用戶ID或智能卡，但是用戶ID難以記憶而且存在安全隱患；智能卡需要讀卡器，使用十分不方便。TO-KEY數(shù)字令牌是將USB讀卡器與IC卡結合在一起，一方面實現(xiàn)IC卡的功能，另外一方面又省去了讀卡器的麻煩。體積小巧，攜帶方便。在當今的網(wǎng)絡社會中，已經(jīng)逐步取代智能卡成為個人網(wǎng)絡身份的一個令牌。 TO-KEY數(shù)字令牌除了可以作為個人身份的載體以外，更可以實現(xiàn)密碼算法并產(chǎn)生隨機數(shù)，從而作為一個加密和認證的器件越來越得到信息安全方面的認可。更重要的是，TO-KEY數(shù)字令牌作為信息安全終端產(chǎn)品，其密碼算法功能完全取代了微軟的MS-CSP（加密服務模塊），從而與IE、OUTLOOK等應用軟件無縫集成。 TO-KEY數(shù)字令牌提供PKCS#11的標準接口，任何基于PKCS#11開發(fā)的應用軟件，都可以直接使用該器件。當然TO-KEY數(shù)字令牌還能提供完整的SDK開發(fā)工具包，將該產(chǎn)品集成到開發(fā)商的應用軟件中，實現(xiàn)開發(fā)商定義的功能！  

4.4.2     結構

l                  采用USB讀卡器和IC卡集成結構，使用攜帶方便 l                  內置芯片操作系統(tǒng)（COS） l                  內置CPU、16KEEPROM以及RSA、DES算法引擎 l                  本身就是一個完整的計算機系統(tǒng)

4.4.3     功能

l                存儲功能：存儲2張數(shù)字證書、2對公私鑰、30組用戶名和口令。通過COS對存儲內容實現(xiàn)文件管理。 l                隨機數(shù)生成、公私鑰對生成 l                密碼算法實現(xiàn)： 對稱算法：DES、3DES、RC2、RC4 非對稱算法：RSA1024、RSA2048 摘要算法：SHA-1、MD5 數(shù)字簽名：MD5 RSA、SHA-1 RSA

4.4.4     特點

l                內置芯片操作系統(tǒng)（COS） l                快速實現(xiàn)數(shù)字簽名和驗證（小于0.5秒） l                快速產(chǎn)生公鑰私鑰對 l                快速實現(xiàn)文件加密 l                內置唯一的一個序列號、一對公私鑰、一張證書 l                集成USB讀卡器和IC卡，使用、攜帶方便 l                支持RSA公司的PKCS#11標準和微軟的MS-CSP標準，CSP通過微軟的簽名 l                完善的SDK開發(fā)包，便于實現(xiàn)二次開發(fā)

5          產(chǎn)品使用說明：

5.5.1簽章制作

將印章或簽名原樣掃描或手寫輸入設備輸入，保存為gif類型，制作成除印章或簽名信息之外的地方均為純白格式的圖片。然后執(zhí)行TJONSIGN簽章制作程序，選擇簽章圖片、填寫簽章信息以及選擇數(shù)字證書，如下圖所示：  

5.5.2電子簽章

Word簽章說明: 打開Word,您將看到如下界面：   其中懸浮窗部分就是電子簽章的工具欄按鈕。 選擇您需要蓋章的文檔，將光標停留在需要蓋章的位置，點擊上面看到的電子簽章按鈕，將會彈出一個簽章信息，你可以選擇印章名稱，然后輸入密碼（若與USB-KEY綁定則無需密碼），填寫簽名意見，如圖： 若與USB-KEY綁定則需輸入PIN碼，如下圖： 點擊OK后即可蓋章，如下圖：  

5.5.3手寫簽名

選擇您需要簽字的文檔，將光標停留在需要簽字的位置，點擊上面看到的手寫簽名按鈕，將會彈出一個手寫簽名的繪圖框，如下圖： 輸入簽名，點擊鼠標右鍵可以添加手寫簽名，如下圖： 點擊確定即完成手寫簽名，如下圖：       簽章的文檔若被篡改，簽章將增加兩橫，顯示為非法簽章，如下圖所示： 對簽章點擊鼠標右鍵可執(zhí)行文檔的驗證、鎖定，簽章的驗證，簽章信息顯示，簽章的移動以及撤銷等操作。                                                               北京金關科技有限公司