意源电子签章系统ib-ess技术白皮书.docVIP

意源电子签章系统IB－ESS 技术白皮书 江苏意源科技有限公司 版权信息 2007 ?江苏意源科技有限公司 Jiangsu IdeaBank Technology Co., Ltd. 2007年2月 第版 IdeaBank、IdeaBankTM、IdeaBank意源、意源 、cKey、IB-ESS、IB-NPS 3000、NPS、ProTrust或其它本文档中提及的意源产品标识与名称，是意源公司的商标或注册商标。 联系方法 电话：0510传真：0510地址：江苏省无锡新区长江路21号信息产业园邮编：214028 E-mail： marketing@ 目 录 1. 背景 3 2. 电子签章应用技术说明 4 2.1 系统架构 4 2.2 各组成部分 5 2.3 签章机制 5 2.4 验证机制 6 3. 系统的功能 8 4. 技术特点 10 5. 运行环境 11 1. 背景 中国政府法制信息网中相关法律），运行在Windows系统上的安全软件。 2. 电子签章应用技术说明 2.1 系统架构 意源电子签章系统IB－ESS由签章服务器、若干管理客户端、若干签章客户端组成。其中，管理客户端包括管理员客户端、签章申请客户端、制章客户端、日志审计客户端等；而签章客户端则直接用于签章操作。系统架构如下图所示： 意源电子签章系统作为一个电子签章平台，采用了C/S的架构，见下图： 其中，签章服务器端由签章服务程序、印章数据库组成。管理客户端由cKey智能密码钥匙、印章申请模块、印章制作模块、日志查询模块及用户管理模块组成。签章客户端由cKey智能密码钥匙、电子签章控件组成。 2.2 各组成部分 cKey智能密码钥匙 .1协议。 制章软件 制章软件是管理客户端软件的一部分，用于生成印章，并将印章保存在印章数据库中。制章软件由制章者进行操作，制章者需要有用于身份、权限识别的SZD19-B智能密码钥匙。在制章操作前需要对制章者进行身份、权限认证。在制章时，将把印章和签章者的数字证书进行绑定，然后，将印章信息和制章者的数字签名一起存储在印章数据库中。 印章数据库 印章数据库安装于签章服务器内，主要用于存储数字证书、印章、用户信息，同时还记录用章、撤章情况。 签章服务程序 签章服务程序安装于签章服务器内，主要提供数据库访问、服务器端的加解密运算服务（运算在加密卡内完成）、与客户端交互等操作。同时该程序包含了证书验证模块，提供证书查验的功能，可以对制章者、签章者证书进行验证。 签章控件 签章控件安装在签章客户端，主要完成对文档数据的签名、验证、加解密、Hash运算以及与服务器端进行交互等一系列操作。 2.3 签章机制 意源电子签章系统的签章客户端系统基于PKI技术框架，采用数字证书，运用了电子印章技术和电子签名技术，加盖在文档上的电子签章中，嵌入了对所签文档的数字签名信息，因而保证了文档的真实性、唯一性、来源确认性和不可否认性及印章本身的不可复制性。完全区别于仅仅在文档中插入一个印章图片的应用模式，并符合《中华人民共和国电子签名法》的相关条款。 在签章时，签章者个人数字证书、私钥存储在SZD19-B智能密码钥匙中，方便使用，并且可以安全保存与数字证书对应的私钥。签章时，需要使用SZD19-B智能密码钥匙中的私钥，并且将文档Hash值和印章信息绑定，这样可以保证签章时，仅由签章者本人控制，不可抵赖，使签章达到可验证，但不可复制的目的。另外，在签章可验证的同时，通过比对已签文档的Hash值和当前文档的Hash值，来有效地防止文档的篡改。如图所示： 在具体的签章计过程中，首先验证制章者的数字签名，保证印章本身合法、真实；同时，对要保护的文档进行Hash运算，然后用此Hash值和印章信息一起再进行二次Hash运算后，得到签章Hash值，使用SZD19-B智能密码钥匙中的RSA私钥对签章Hash值进行签名运算，形成签章签名值，即签章完成。 2.4 验证机制 验证签名时，首先验证制章者的签名数据，保证印章本身合法、真实；验证通过后，用签章者的数字证书解开签章签名值，得到签章Hash值，然后对已签文档的Hash值和签章信息进行二次Hash运算，与解开的签章Hash值进行比对，从而验证签章是否可信。同时由于签章者的私钥是唯一的，所以通过解签名达到了认证签章者身份的目的，使其不可抵赖。 在验证文档时，计算当前文档的Hash值，然后和已签文档的Hash值进行比对，便可以判断文档的真实性。 3. 系统的功能文档签章能够在Word/Excel文档的任意地方显示图章或手写签名，可以达到纸质盖章或纸质手写签名相同的效果。在文档图章可以移动后图章或手写签名不能移动。图章或手写签名存放于cKey中（通过意源电子签章系统cKey），其他任何