格尔电子签章系统白皮书

《格尔电子签章系统白皮书》由会员分享，可在线阅读，更多相关《格尔电子签章系统白皮书（18页珍藏版）》请在装配图网上搜索。

1、格尔产品白皮书 格尔电子签章系统产 品 白 皮 书上海格尔软件股份有限公司版权声明：本文件中出现的全部内容，除另有特别注明，版权均属上海格尔软件股份有限公司（以下简称格尔软件）所有，未经格尔软件书面许可，任何人不得以任何形式擅自拷贝、传播、复制、泄露本文件的全部或部分内容。目 录1概述41.1背景41.2名词解释42产品概述63产品组成73.1标准版73.2单机版83.3产品区别84产品功能95产品特点146产品部署171 概述1.1 背景在信息时代的今天，网络技术的发展使信息的传播和交流更加方便和快捷，为了提高办公效率，越来越多的政府机构、公司企业采用电子办公软件平台(比如WPS、MSOff

2、ice等)，通过网络实现公文的传输，享受互联网所带来的快捷与高效。但是，随之而来的网络入侵和攻击其破坏力之巨大远远超出人们的想象，网络安全问题也越来越受到人们的重视。数据发送者是谁？数据发送者是不是他人冒充？数据有没有被发送者以外的人所篡改？如何安全可靠、方便直观地解决上述问题成为新形势下电子办公系统所面临的任务。格尔电子签章系统以先进的数字技术模拟传统实物印章，可以有效方便的解决以上问题，使文档在传输过程中安全可靠，实现防伪造、防篡改、防抵赖功能。1.2 名词解释电子印章：电子印章通过使用硬软件技术，以电子化的方式模拟物理印章的使用，使用户在电子政务，电子商务等活动中拥有一种符合传统用章习惯

3、的应用体验；同时电子印章又采用了先进的加密，签名，信息隐藏等安全技术，从而是其具有物理印章不可比拟的安全性和可追溯性。数字签名：被签名数据的哈希值经过私钥加密后的结果。通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照，就能验证数字签名。数字证书：用于验证需认证者的标识信息与公钥对应关系的一种数字文档。哈希(Hash) ：通过对原文进行单向哈希函数运算得到的定长字符串，原文不同哈希值就不同，通过哈希值无法还原出原文。PKI(Public Key Infrastructure) ：公开密钥基础设施。CRL(Certificate Revocation List) ：黑名单。OCSP(O

4、nline Certificate Status Protocol) ：在线证书状态协议。DTS(Data Time-Stamp) ：数字时间戳，为相应的文档或信息提供时间认证的服务。身份认证：与传统的信息交换不同，参与网上信息交换的各方没有实际见面，任何一方都有被冒充的可能，所以安全应用系统必须采用某种机制，使能够确认对方的身份。数据的保密：在许多应用中，信息的内容是需要严格保密的，但是在网络上，网络侦听技术使数据的获取变得十分容易，因此对信息的加密是安全应用系统重要的特点。防止篡改数据：由于网络的公开特性，使得信息提供者以外的人修改信息成为可能。如何防止他人篡改信息是安全应用系统需要解决的

5、一个重要问题。防止对操作的抵赖：在信息提供过程中如果一方在确认信息操作后又抵赖，将对应用系统的使用造成很大的损失。安全应用系统必须提供某种技术手段，以便应用系统能对信息的提供进行确认。2 产品概述格尔电子签章系统是一个提供数字签章服务以及对数据验证其数字签章的真实性、有效性和防篡改的服务平台，是格尔软件股份有限公司的数字签章验证产品，可以有效保护网络资源的安全访问。支持HTTP、HTTPS的B/S应用以及FTP、远程桌面等通用的C/S应用。该产品可以被广泛地在网上银行、网上证券和网上商户等电子商务和电子政务活动中，应用于验证用户身份、检验交易凭证和防止抵赖等方面。格尔电子印章是以先进的数字技术

6、模拟传统实物印章，其管理、使用方式符合实物印章的习惯和体验，其加盖的电子文件具有与实物印章加盖的纸张文件相同的外观、相同的有效性和相似的使用方式，格尔电子印章是将传统的印章模式和数字签名技术完美结合为一体的应用软件系统。它可在WORD、EXCEL、HTML（WEB页面）、WPS、PDF、版式文件上实现手写电子签名和加盖电子印章，并将该签章和文件通过数字签名技术绑定在一起，一旦被绑定的文档内容发生改变（非法篡改或传输错误），签章将失效。只有合法拥有印章钥匙盘并且有密码权限的用户才能在文件上加盖电子签章。保证文档防伪造、防篡改、防抵赖，安全可靠。3 产品组成格尔电子签章系统由电子印章系统管理中心和

7、签章客户端组成，电子印章系统管理中心对印章统一进行管理制作合成(基于PKI/CA身份认证技术)，负责电子印章的集中管理包括印章的申请、制作、吊销、授权等电子印章生命周期的全程监控，另有打印控制、日志审计等模块。签章客户端与电子印章系统管理中心结合, 实现对文档的签章功能（文档签章功能:确定对当前的文件进行盖章, 该功能需要将印章钥匙盘的支持, 同时需要输入密码确认用户身份）。3.1 标准版 概述格尔电子印章标准版是一套基于在线认证和体现完整的印章管理功能的电子印章系统,实现电子印章的申请、审批、颁发、销毁、权限控制、制作、等电子印章的全程管理等功能。 性能签名:150次/秒,验签:500次/秒

8、签名:1000次/秒,验签:2000次/秒 应用基于网络实时认证与管理的标准版电子印章系统。包括客户端签章软件、电子印章系统管理中心和电子签章认证系统三大部分。其主要特点就是安全性和可管理性大大加强。3.2 单机版 概述单机版本就是签章用户只需要安装客户端软件并拥有电子印章密钥盘就可以签章，签章时不需要连接认证服务器进行实时认证，签章日志等都由应用信息系统实现。单机版本包括客户端电子签章软件和印章制作软件两部分组成，单机版本的印章制作软件就是一个用VC开发的客户端程序，主要完成电子印章的制作、更新、授权，数字证书的颁发与更新，签章软件则实现具体的电子签章功能，功能与网络版本的功能基本雷同。 应

9、用单机版本比较适合于局域网范围内的入门级用户使用。3.3 产品区别单机版和标准版的区别在于没有后台系统，在印章使用过程中，没有全程审记，以及记录使用日志。另外，单机版与系统版本很重要的一点，不具备严格的打印控制功能。单机版本的打印份数控制，以及打印控制由业务系统负责处理。4 产品功能系统功能分为以下几大模块功能说明数据签名功能提供普通格式/P7 attach/P7 detach等多种格式的数字签名功能签名验证功能提供普通格式/P7 attach/P7 detach等多种格式的数字签名验证功能文件签名功能对文件提供数字签名功能文件验证签名功能对文件提供数字签名验证功能证书有效性验证功能提供黑名单

10、/OCSP等多种方式的证书有效性验证获取证书信息功能提供证书解析功能，获取证书中的任意主题信息以及扩展项信息多种证书支持功能支持格尔、CFCA、SHECA及多数省级CA中心数字证书支持多签章支持在文档中进行多重签章，各签章之间互不影响，这种特点正适应了电子办公系统中公文流转的特点，适用于多级审批及多人会签。文档盖章在电子文档上加盖印章，实现该功能需要印章钥匙盘，同时需要输入密码确认用户身份。手写签批实现电子文档上的手写签名和批阅，该功能可用鼠标或手写笔批阅，签名或批阅时需要输入密码确认用户身份。本公司有专用的手写签批板可供选择。可以写出毛笔、钢笔等效果。安全控制设置文档的权限控制、打印权限等控

11、制。电子签名采用电子签名技术对文档内容和印章信息做签名。证书校验验证证书的真实性和有效性，采用OCSP和CRL来实现实时和分时的证书校验。会签保护盖章后设置会签保护表示不可以修改文档，但是可以再盖章实现会签盖章。印章雾化为防止通过拷屏和截图方式获取清晰的印章，可以设置印章雾化，此功能采用特有算法来实现印章图片的虚化，使印章图片雾化显示，但是打印是清晰的。印章脱密印章由红色变为灰色的，此功能类似于纸质盖章文件的复印件。区域绑定支持绑定一个或多个数据区域，一旦绑定区域的数据发生改变，印章能够主动发现，并在印章上划上横线标示绑定数据修改。区域锁定区域锁定后即不允许修改。再次修改需要插入USBKey认

12、证身份。位置锁定印章不允许被移动，位置固定。位置解锁允许印章移动，此功能需要插KEY校验用户身份。撤销印章删除加盖的印章，此功能需要插KEY校验用户身份。灰度打印印章打印时采用灰度输出。打印份数印章具有特定的份数，一旦打印超出设定份数，则打印失败。手写颜色手写签批时可以选择不同的颜色。手写笔宽手写签批时可以选择不同的笔迹宽度。笔迹平滑通过特殊的算法来平滑手写笔迹。水印可以利用数字水印技术在输出的纸质文件的每一页特定位置加入不可见水印信息，这种水印信息人的肉眼不可见，只有利用特殊光源才可以看得见。水印信息不可通过照相、扫描仪进行复制。这样初步通过特殊光源设备预判纸质文件的真伪二维条码印章图片只是

13、一个表现形式，通过高精度扫描仪、复印机结合其它技术手段是可以还原印章图片的，所以防伪不能完全依据印章图片，要结合多种技术手段，如含数字签名的二维条码打印防伪安全性采用1024比特模长RSA算法及安全Hash算法SHA1。密码运算采用智能密码钥匙，智能密码钥匙通过PIN码保护，确保私钥不出卡，密码运算在卡内进行，保证了运算过程的安全性。透明性由于密码技术及其安全产品原理、算法都非常复杂，系统具有透明性，使得直接用户不必详细理解其技术原理即可使用。稳定性格尔电子签章系统采用了基于组件的技术，可以完全嵌入OFFICE环境中，而对OFFICE原有的功能不产生任何影响。签署后的电子签章与OFFICE文档

14、完全融合，成为一个整体。避免使用OFFICE开发常用的VBA宏技术，从而不会产生因用户禁用宏而导致软件失效的问题。方便性格尔电子签章系统自动在Word/Excel环境菜单中添加了菜单项，通过选择点击菜单项可以在文档或工作表中插入图章，通过鼠标事件即能够实现文档签章等各项功能，便于用户的操作。防复制印章不可通过Word的复制功能进行复制，杜绝利用已有电子签章仿造新的文件，即使是在同一文档中也不可以利用复制功能加盖印章。防伪造签章不可仿造。签章图片与证书绑定在一起，具有唯一性，即使是同一个签章图片在不同的时刻生成的电子印章也不一样。通过采用数字水印技术可以保证电子印章打印到纸面上后依然具有防伪功能

15、。系统备份恢复功能系统可以备份当前所有配置，保证系统瘫痪时的快速恢复日志发送功能系统将日志以SYSLOG的方式发送到指定服务器。双机热备功能高可靠性多种开发接口支持客户端提供C开发API，COM方式API，Java开发API5 产品特点 支持BS/CS等各类不同架构的应用系统，提供个性化的技术服务。 防伪性强: 支持印章雾化显示，真正保护印章图片，有效防止拷屏、数码相机拍摄、写字板打开等方式盗用原始印章图片，打印是清晰的，以区别于伪造的印章。电子印章系统还提供多重密码控制和证书身份控制。提供可靠严密的安全平台解决方案，完全满足单位信息安全的保证和要求。 兼容性强: 可兼容各种格式和各种版本Of

16、fice以及相关Office控件。 稳定性强: 产品采用模块化面向对象的设计模式，各个模块之间处理的事情相对独立，并且很好地解决了各个模块之间的聚合关系. 开发语言采用面向对象的C+语言，既能提供产品的运行速度，又能很好的实现面向对象的模块化设计理念。 客户端均以控件方式实现: 直接内嵌到业务系统中，客户端采用COM组件方式，并有微软认证的数字签名，可通过IE浏览器自动安装或升级，无需用户进行IE安全性级别等其他相关设置，对于B/S的应用，不需要对每台客户端进行单独手动安装，容易部署。 支持服务器分级管理。支持多管理员模式。 电子印章管理平台：集中控制，分级管理，日志审计。 能在浏览器网页上任

17、意地方签署安全电子印章（Web版），或者在Word、Excel。 系统支持使用或者不使用X.509数字证书对文档进行认证。支持第3方CA颁发的数字证书。 系统支持直接从EKEY加入签章。 盖章后的文档一旦被修改，印章将以灰色显示。更加清楚了然。 可以通过程序或者界面控制印章的锁定，一旦锁定，印章将不能被移动。 鼠标移动到印章上，会自动显示印章，文档认证以及证书认证的信息。 可以使用印章锁定文档。被锁定的文档如果要解锁，必须具有签章时附加的证书，或者，如果印章不需要证书，必须知道印章的口令。 可以控制印章打印时的状态。使得电子文档和纸面文档互相不影响。比如，可以设定印章在打印的时候不打印，让纸面

18、文档还是通过传统公章来认证。 可集成性：WEB版本可集成到任何WEB系统中。 安全性：系统设置专用网络接口管理系统，系统关闭所有不需要的服务和端口（如FTP、SSH等），只保留服务端口，避免外界的攻击。 易用性：系统所有管理操作均采用WEB方式，操作简单方便。 多种类型签名数据支持。支持原文数据签名、文件签名、哈希后签名及PKCS7等格式签名数据的验证。 多种证书验证方式支持。支持黑名单验证方式以及OCSP验证方式。 多种开发接口支持。客户端提供C开发API，Java开发API，方便应用的调用。 系统日志标准输出支持。通过标准的syslog方式将用户日志发送到指定服务器。 备份恢复功能支持。系统具有备份和恢复功能，对于系统的数据和配置进行加密完全备份，能够快速恢复。 双机热备功能支持。系统可以进行双机热备，保证系统的高可用性。6 产品部署以下是格尔电子签章系统典型的部署网络拓扑图：图：典型部署示意图18上海格尔软件股份有限公司上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015URL: