電子政務(wù)電子簽章應(yīng)用 建議書                  北京金關(guān)科技有限公司  
版權(quán)聲明 北京金關(guān)科技有限公司（以下簡(jiǎn)稱北京金關(guān)）擁有本文檔（包括所涉及的主題）的專利、專利申請(qǐng)、商標(biāo)、版權(quán)及其他知識(shí)產(chǎn)權(quán)。北京金關(guān)授予您閱讀本文檔的權(quán)利；但是，除非有北京金關(guān)明確提供的書面特許協(xié)議，本文檔的提供并不意味著授予您相關(guān)專利、商標(biāo)、版權(quán)或其他任何知識(shí)產(chǎn)權(quán)的特許。 復(fù)制與傳播 遵守所有生效的版權(quán)法是用戶的責(zé)任。在未經(jīng)北京金關(guān)明確書面許可的情況下，不得對(duì)本文檔的任何部分進(jìn)行復(fù)制（備份目的除外），不得將其保存于或引進(jìn)到公開的檢索系統(tǒng)中，不得以任何形式和任何方式（電子、影印、錄制、機(jī)械或其他任何此處未指明的方式）進(jìn)行傳播或用于任何目的。 示例 如果本文檔有示例部分，則在示例部分中所描述的公司、組織、產(chǎn)品、人及事件均屬虛構(gòu)，與真實(shí)的公司、組織、產(chǎn)品、人及事件無任何關(guān)系。 變更 本文檔的參考資料中所提及的包括Web站點(diǎn)、Internet資源、第三方的技術(shù)標(biāo)準(zhǔn)與規(guī)范等在內(nèi)的信息，如在本文檔交付后有變更，恕不另行通知。 版權(quán)所有者 ©版權(quán)所有北京金關(guān)  地址為： 北京市朝陽(yáng)區(qū)芍藥居北里112樓2405。所有權(quán)利均予保留。 商標(biāo) TO-KEY、TJSECPKI、TJONSIGN或其他本文檔中提及的太極產(chǎn)品，是北京金關(guān)的商標(biāo)或注冊(cè)商標(biāo)。本文檔所提到的真實(shí)的公司和產(chǎn)品的名稱可能是其各自所有者的商標(biāo)。 聯(lián)系人 如有任何疑問或問題，請(qǐng)與support@china-pki.com聯(lián)系。 未經(jīng)本使用規(guī)定明確授予的任何權(quán)利均予保留。  
目   錄 1          政府行業(yè)應(yīng)用需求分析... 4 1.1          概述... 4 2          基于PKI體系的電子簽章技術(shù)... 5 2.1  PKI技術(shù)介紹... 5 2.2  電子簽章技術(shù)... 5 3          TJONSIGN電子簽章系統(tǒng)... 7 4          TJONSIGN電子簽章系統(tǒng)構(gòu)成與功能... 8 4.1          產(chǎn)品結(jié)構(gòu)... 8 4.2          產(chǎn)品功能... 8 4.3          產(chǎn)品特性... 10 4.4          TO-KEY介紹... 10 4.4.1        TO-KEY數(shù)字令牌概述：... 10 4.4.2        結(jié)構(gòu)... 11 4.4.3        功能... 11 4.4.4        特點(diǎn)... 11 5          產(chǎn)品使用說明：... 13 5.5.1簽章制作... 13 5.5.2電子簽章... 13 5.5.3手寫簽名... 16

1          政府行業(yè)應(yīng)用需求分析

1.1        概述

電子政務(wù)中一個(gè)十分重要的方面就是文件的分發(fā)和流轉(zhuǎn)，通過電子的方式實(shí)現(xiàn)無紙化辦公。作為一個(gè)電子文檔，如何來保證： 1、            文件的真實(shí)性？---文件沒有篡改過，并且是可信的 2、            文件頒發(fā)者的身份是真實(shí)的？-----假冒他人頒發(fā)文件 3、            文件的不可抵賴性？ 4、            文件打印復(fù)制管理？ 所有這些，在傳統(tǒng)的紙文件中，可以采用簽名、蓋章等方式來保障，但是在電子文檔中，如果采用一個(gè)印章或簽名的圖片來實(shí)現(xiàn)，顯然是沒有價(jià)值的。因?yàn)殡娮游臋n復(fù)制或修改一個(gè)文件中的圖片是十分簡(jiǎn)單的。

2          基于PKI體系的電子簽章技術(shù)

2.1  PKI技術(shù)介紹

PKI（Public Key Infrastructure 的縮寫）即“公鑰基礎(chǔ)設(shè)施”，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，簡(jiǎn)單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。 PKI體系包括：CA認(rèn)證中心和基于數(shù)字證書的應(yīng)用（認(rèn)證、授權(quán)+加密+簽名）。其中，CA認(rèn)證中心提供數(shù)字證書的頒發(fā)、管理、廢止和發(fā)布以及密鑰的管理和備份。 PKI體系是目前解決信息安全問題最成熟、最標(biāo)準(zhǔn)、最先進(jìn)的技術(shù)。通過建立PKI體系可以將一個(gè)無序、無管理的、無政府的網(wǎng)絡(luò)社會(huì)改造成有序、可管理的網(wǎng)絡(luò)社會(huì)，從而杜絕黑客肆無忌憚的攻擊，并且為內(nèi)部的信息化管理提供一套安全高效的機(jī)制。

2.2  電子簽章技術(shù)

PKI的一個(gè)最基本的應(yīng)用就是數(shù)字簽名，數(shù)字簽名采用特定的數(shù)字簽名算法來保證文件的真實(shí)性和不可抵賴性并能實(shí)現(xiàn)身份驗(yàn)證。電子簽章即是數(shù)字簽名的典型應(yīng)用。 基于PKI體系的電子簽章過程：                          

3          TJONSIGN電子簽章系統(tǒng)

TJONSIGN電子簽章系統(tǒng)基于PKI技術(shù)框架， 運(yùn)用了數(shù)字簽名技術(shù)，電子印章內(nèi)嵌含了對(duì)所簽文檔的數(shù)字簽名信息，因而保證了公文的真實(shí)性、唯一性、來源確認(rèn)性和不可否認(rèn)性及印章本身的不可復(fù)制性。完全區(qū)別于僅僅在文檔中插入一個(gè)印章圖片的應(yīng)用模式。簽章系統(tǒng)采用多層次全方位的簽章驗(yàn)證機(jī)制，確保文件安全及印章來源可靠；采用TO-KEY電子鑰匙存儲(chǔ)印章數(shù)據(jù)，確保簽章的安全和權(quán)威。 TJONSIGN電子簽章系統(tǒng)是一整套基于Windows平臺(tái)采用ActiveX技術(shù)開發(fā)的應(yīng)用軟件，它可實(shí)現(xiàn)在Word，Excel文件上加蓋電子印章和手寫簽名，并將該簽章和文件通過數(shù)字簽名技術(shù)綁定在一起，一旦被綁定的文件內(nèi)容發(fā)生改變(非法篡改或傳輸錯(cuò)誤)，簽章將失效。只有合法擁有印章鑰匙盤并且有密碼權(quán)限的用戶才能在文件上加蓋電子簽章。 TJONSIGN電子簽章系統(tǒng)既可以單機(jī)使用，也可以在網(wǎng)絡(luò)中部署。既可以作為一個(gè)完全獨(dú)立的產(chǎn)品，也可以作為一個(gè)中間產(chǎn)品與辦公自動(dòng)化系統(tǒng)有效的結(jié)合起來。  

4          TJONSIGN電子簽章系統(tǒng)構(gòu)成與功能

4.1        產(chǎn)品結(jié)構(gòu)

TJONSIGN電子簽章系統(tǒng)包括： CA（數(shù)字證書認(rèn)證中心）、單位制章系統(tǒng)、個(gè)人制章軟件、簽章軟件、驗(yàn)證軟件等。 其中：CA、印章管理系統(tǒng)安裝在服務(wù)器上；個(gè)人制章軟件、簽章軟件、驗(yàn)證軟件安裝在個(gè)人計(jì)算機(jī)上。 CA實(shí)現(xiàn)證書的頒發(fā)、管理以及密鑰的產(chǎn)生和密鑰的管理。 單位制章系統(tǒng)：對(duì)單位印章進(jìn)行制作。 個(gè)人制章軟件可以制作個(gè)人的印章和簽名 簽章軟件結(jié)合TO-KEY數(shù)字令牌一起使用，密鑰、證書由TO-KEY數(shù)字令牌保存，數(shù)字簽名算法也由TO-KEY數(shù)字令牌實(shí)現(xiàn)。簽章軟件嵌入到Word/Excel里，用來實(shí)現(xiàn)印章或簽名。文檔一旦簽名，任何改動(dòng)都會(huì)導(dǎo)致簽章驗(yàn)證失敗。 產(chǎn)品結(jié)構(gòu)示意圖：  

CA認(rèn)證中心   數(shù)字證書頒發(fā)   數(shù)字證書認(rèn)證

單位用戶申請(qǐng)數(shù)字證書

單位用戶領(lǐng)取數(shù)字證書 TO-KEY鑰匙盤

印章制作系 統(tǒng)

單位用戶領(lǐng)取數(shù)字證書 TO-KEY鑰匙盤(已經(jīng) 存儲(chǔ)電子印章及單位和個(gè)人身份信息）

Word簽名印章及驗(yàn)證系統(tǒng)

Excel簽名印章及驗(yàn)證系統(tǒng)

HTML簽名印章及驗(yàn)證系統(tǒng)

Word 文檔

Excel 文檔

HTML 文檔

 

                             

4.2        產(chǎn)品功能

 

功能	說明
文檔簽章功能	確定對(duì)當(dāng)前的文檔進(jìn)行蓋章，該功能需要TO-KEY數(shù)字令牌的支持，同時(shí)需要輸入PIN碼確認(rèn)用戶身份。
手寫簽名功能	確定對(duì)當(dāng)前的文檔進(jìn)行簽名或批閱，該功能需要手寫筆和TO-KEY數(shù)字令牌支持，簽名或批閱是需要輸入PIN碼確認(rèn)用戶身份，支持大部分廠商的手寫筆。
簽章驗(yàn)證功能	該功能能夠驗(yàn)證文檔內(nèi)容是否被修改或簽章信息是否有效。
身份認(rèn)證功能	通過利用簽署者的證書頒發(fā)機(jī)構(gòu)的證書，對(duì)簽署者的身份進(jìn)行認(rèn)證。一方面能夠辨別簽署者身份的真?zhèn)?，另一方面能夠確保簽署者身份的不可抵賴性，即一旦簽名而且身份認(rèn)證通過，則簽名者將無法否認(rèn)此簽名。
撤消簽章功能	該功能用來撤消簽章，撤消簽章時(shí)需要確認(rèn)原先加蓋印章或簽名人的身份和密碼。
證書查看功能	任何人都能夠查閱簽署者證書的相關(guān)信息，信息包括證書版本、證書序列號(hào)、簽名算法、頒發(fā)者詳細(xì)信息、有效起始日期、有效終止日期、用戶詳細(xì)信息、DER公鑰值、證書自定義級(jí)別
支持雙證書功能	可以支持雙證書應(yīng)用，包括加密證書和簽名證書，安全性更高。
移動(dòng)簽章功能	該功能用來移動(dòng)簽章所在文檔中的位置。
禁止移動(dòng)功能	執(zhí)行該功能過后，該簽章的位置將不能夠更改了。
文檔保護(hù)功能	加蓋公章的文檔可以使用文檔保護(hù)功能來鎖定文檔，鎖定后的文檔將永久不能被修改。
文檔解鎖功能	對(duì)被鎖定的文檔進(jìn)行解鎖，根據(jù)鎖定密碼來確認(rèn)文檔解鎖。
意見簽署	在簽章或簽名的同時(shí)可以簽署意見，閱讀者可以閱讀到文檔簽字人的意見
會(huì)簽功能：	支持多個(gè)人對(duì)一個(gè)文檔的簽章或簽名，
打印限制功能	可以限制該文檔打印的份數(shù)。
讀取服務(wù)器時(shí)間功能	產(chǎn)品提供讀取服務(wù)器時(shí)間的接口，也就是簽章時(shí)間可以統(tǒng)一從服務(wù)器上讀取時(shí)間。
提供相應(yīng)二次開發(fā)數(shù)據(jù)接口	可以將簽章相關(guān)信息（文件名稱、單位名稱、簽章用戶名稱、簽章名稱、簽章時(shí)間、簽章機(jī)器IP地址）保存到服務(wù)器的數(shù)據(jù)庫(kù)，方便二次開發(fā)，實(shí)現(xiàn)電子簽章軟件與客戶系統(tǒng)相結(jié)合應(yīng)用。

 

4.3        產(chǎn)品特性

l    安全性： PKI體系（Public Key Interface）的電子簽名和電子印章的綁定，個(gè)人私鑰保存到USB接口的一種集智能卡和讀寫器于一體的USB加密鑰匙TO-KEY數(shù)字令牌里面。 l    驗(yàn)證性：可通過文檔驗(yàn)證，瀏覽到被簽章的文檔名稱、簽章用戶、簽章單位、簽章時(shí)間、簽章名稱，同時(shí)驗(yàn)證文檔的內(nèi)容是否被篡改，篡改后文檔的印章自動(dòng)顯示失效。 l    便攜性：電子文檔一經(jīng)簽名或蓋章，簽章數(shù)據(jù)信息和文檔綁定在一起，并可安全地進(jìn)行傳輸。 l    開放性：系統(tǒng)完全兼容國(guó)際標(biāo)準(zhǔn)（x.509，PKCS）證書格式，可以直接融入國(guó)家及國(guó)際組織的PKI體系。支持任何符合CSP的USB KEY。 l    兼容性：可以對(duì)OFFICE文檔簽名也可以對(duì)網(wǎng)頁(yè)進(jìn)行簽名還可以對(duì)嵌入到電子表單中，對(duì)表單進(jìn)行簽名。 l    簡(jiǎn)單性：印章信息、身份信息等均存儲(chǔ)在TO-KEY中，只要有TO-KEY數(shù)字令牌以及與其對(duì)應(yīng)的PIN碼就可以實(shí)現(xiàn)簽章，而與使用哪個(gè)計(jì)算機(jī)沒有關(guān)系，只要計(jì)算機(jī)上安裝了簽章軟件就可以了。

4.4        TO-KEY介紹

4.4.1   TO-KEY數(shù)字令牌概述：

隨著電子政務(wù)和電子商務(wù)的發(fā)展，人們需要有相應(yīng)的網(wǎng)絡(luò)身份。目前最常用的網(wǎng)絡(luò)身份有：用戶ID或智能卡，但是用戶ID難以記憶而且存在安全隱患；智能卡需要讀卡器，使用十分不方便。TO-KEY數(shù)字令牌是將USB讀卡器與IC卡結(jié)合在一起，一方面實(shí)現(xiàn)IC卡的功能，另外一方面又省去了讀卡器的麻煩。體積小巧，攜帶方便。在當(dāng)今的網(wǎng)絡(luò)社會(huì)中，已經(jīng)逐步取代智能卡成為個(gè)人網(wǎng)絡(luò)身份的一個(gè)令牌。 TO-KEY數(shù)字令牌除了可以作為個(gè)人身份的載體以外，更可以實(shí)現(xiàn)密碼算法并產(chǎn)生隨機(jī)數(shù)，從而作為一個(gè)加密和認(rèn)證的器件越來越得到信息安全方面的認(rèn)可。更重要的是，TO-KEY數(shù)字令牌作為信息安全終端產(chǎn)品，其密碼算法功能完全取代了微軟的MS-CSP（加密服務(wù)模塊），從而與IE、OUTLOOK等應(yīng)用軟件無縫集成。 TO-KEY數(shù)字令牌提供PKCS#11的標(biāo)準(zhǔn)接口，任何基于PKCS#11開發(fā)的應(yīng)用軟件，都可以直接使用該器件。當(dāng)然TO-KEY數(shù)字令牌還能提供完整的SDK開發(fā)工具包，將該產(chǎn)品集成到開發(fā)商的應(yīng)用軟件中，實(shí)現(xiàn)開發(fā)商定義的功能！  

4.4.2     結(jié)構(gòu)

l                  采用USB讀卡器和IC卡集成結(jié)構(gòu)，使用攜帶方便 l                  內(nèi)置芯片操作系統(tǒng)（COS） l                  內(nèi)置CPU、16KEEPROM以及RSA、DES算法引擎 l                  本身就是一個(gè)完整的計(jì)算機(jī)系統(tǒng)

4.4.3     功能

l                存儲(chǔ)功能：存儲(chǔ)2張數(shù)字證書、2對(duì)公私鑰、30組用戶名和口令。通過COS對(duì)存儲(chǔ)內(nèi)容實(shí)現(xiàn)文件管理。 l                隨機(jī)數(shù)生成、公私鑰對(duì)生成 l                密碼算法實(shí)現(xiàn)： 對(duì)稱算法：DES、3DES、RC2、RC4 非對(duì)稱算法：RSA1024、RSA2048 摘要算法：SHA-1、MD5 數(shù)字簽名：MD5 RSA、SHA-1 RSA

4.4.4     特點(diǎn)

l                內(nèi)置芯片操作系統(tǒng)（COS） l                快速實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證（小于0.5秒） l                快速產(chǎn)生公鑰私鑰對(duì) l                快速實(shí)現(xiàn)文件加密 l                內(nèi)置唯一的一個(gè)序列號(hào)、一對(duì)公私鑰、一張證書 l                集成USB讀卡器和IC卡，使用、攜帶方便 l                支持RSA公司的PKCS#11標(biāo)準(zhǔn)和微軟的MS-CSP標(biāo)準(zhǔn)，CSP通過微軟的簽名 l                完善的SDK開發(fā)包，便于實(shí)現(xiàn)二次開發(fā)

5          產(chǎn)品使用說明：

5.5.1簽章制作

將印章或簽名原樣掃描或手寫輸入設(shè)備輸入，保存為gif類型，制作成除印章或簽名信息之外的地方均為純白格式的圖片。然后執(zhí)行TJONSIGN簽章制作程序，選擇簽章圖片、填寫簽章信息以及選擇數(shù)字證書，如下圖所示：  

5.5.2電子簽章

Word簽章說明: 打開Word,您將看到如下界面：   其中懸浮窗部分就是電子簽章的工具欄按鈕。 選擇您需要蓋章的文檔，將光標(biāo)停留在需要蓋章的位置，點(diǎn)擊上面看到的電子簽章按鈕，將會(huì)彈出一個(gè)簽章信息，你可以選擇印章名稱，然后輸入密碼（若與USB-KEY綁定則無需密碼），填寫簽名意見，如圖： 若與USB-KEY綁定則需輸入PIN碼，如下圖： 點(diǎn)擊OK后即可蓋章，如下圖：  

5.5.3手寫簽名

選擇您需要簽字的文檔，將光標(biāo)停留在需要簽字的位置，點(diǎn)擊上面看到的手寫簽名按鈕，將會(huì)彈出一個(gè)手寫簽名的繪圖框，如下圖： 輸入簽名，點(diǎn)擊鼠標(biāo)右鍵可以添加手寫簽名，如下圖： 點(diǎn)擊確定即完成手寫簽名，如下圖：       簽章的文檔若被篡改，簽章將增加兩橫，顯示為非法簽章，如下圖所示： 對(duì)簽章點(diǎn)擊鼠標(biāo)右鍵可執(zhí)行文檔的驗(yàn)證、鎖定，簽章的驗(yàn)證，簽章信息顯示，簽章的移動(dòng)以及撤銷等操作。                                                               北京金關(guān)科技有限公司