行校验,
并将验证结果自动显示给管理员。 2.1.3.2 日志查询
签章系统可以对单位管理、用户管理、用户登录、印章制作、吊销、挂失、管理、使用等行为日志记录进行查询,查询操作方法如下: 单位管理日志
“单位管理日志”内容包括:操作用户、操作方式、操作时间、IP地址、操作描述等,进行日志查询。 用户管理日志
- 7 -
电子签章系统项目技术方案
“用户管理日志”内容包括:操作用户、操作方式、操作时间、IP地址、操作描述等。
用户登录日志
“用户登录日志”内容包括:用户名、IP地址、操作方式、操作时间、操作描述等。
印章管理日志
“印章管理日志”内容包括:印章ID、用户名、操作类型、操作时间、描述等。 印章使用日志
“印章使用日志”内容包括:印章标题、操作用户、使用时间、IP地址、操作方式、盖章说明等。
上述查询出的日志,都可以导出成本地文件。 印章制作情况
电子签章服务器可以显示出整个平台印章制作个数和情况信息,如下图是广西公安厅印章平台的制章情况:
2.1.4 用户自助
电子签章服务器内置有自助平台模块,以满足系统实际需求。管理员无须回收已发放的USB KEY(含证书)并通过服务器进行相关操作。客户端用户只需通过自助平台进行简单操作,即可达成用户与证书的绑定、印章确认和自动更新及下载功能,实现安全性与方便性的统一。 (1) 用户登录
用户只需要输入用户和密码或者插入装有PKI证书的USB KEY,就可以一键直接登录进用户自助平台模,如下图服务平台所示。 信息修改
用户自助模块提供用户个人信息的修改、更新功能。其中,用户可以在此将证书与其账户绑定。 (2) 印章确认
用户自助模块提供印章确认功能。用户可以对颁发给其本人的印章进行检查,如果检查无误,可以确认接受;如果发现有问题,可以拒绝接受,并将原因提交反馈给平台- 8 -
电子签章系统项目技术方案
管理员。此功能进一步加强了印章的管理和使用安全,并有助于相关责任的确定。 印章下载及更新
自助平台提供了印章下载功能,用户可以在页面上自行将印章导入到其使用的USB
KEY中,而无需提交USB KEY。而导入的过程中需要使用USB KEY证书签名以验证用户身份,用来保证导入过程的安全性。此功能适用于用户离线签章的情况下,印章的发放与更新。
2.1.5 水印管理
系统支持水印添加、查询、嵌入、停用等功能。
2.2 电子签章客户端功能
电子签章客户端是实现电子签章与验证的软件。不同功能需要不同的客户端软件。客户端软件包括电子文档签章软件、网页签章软件、安全中间件组件、手写批注组件、身份认证组件、加解密组件等软件。广州市 科技有限公司对 电子签章系统具有完全自主知识产权。
2.2.1 签章应用
(1) 支持多种格式
电子签章系统可直接在多种文本格式中实现签章应用,包括:MS-Word、MS-Excel(Office word/Excel支持office 2000及以上版本)、PDF、WPS、Web页面及自定义BCF文件等。而且通过二次开发结合,可以在其他文档上实现签章应用。 签章客户端已通过微软Office稳定性及兼容性测试认证,可有效保护word和excel文件内容、字体格式及文字颜色。另外还可保护EXCEL中的隐藏列、行及隐藏单元格。 (2) 多人会签
电子签章系统支持对Office文档进行多人会签,以满足联合审批的要求。支持联合签章时的印章重叠,即加盖多个印章时,即使两个印章重叠也能保证两个印章都清晰可见。 区域保护
电子印章支持对整篇文档进行锁定保护,也支持区域盖章,满足仅对文档内重要- 9 -
电子签章系统项目技术方案
区域进行签章保护的需要。 (3) 印章移动锁定设置
电子印章客户端支持印章移动和锁定的设置。在通常情况下,盖章后可直接通过鼠标拖动印章到任意位置,确定位置后,印章禁止移动。通过设置,盖章后的
文档也可以不锁定。 (4) 签盖骑缝章
为了确保多页文件的安全,电子签章系统客户端支持签盖骑缝章。 除了支持一般的右骑缝章外,电子签章系统还支持中缝章与左骑缝章。 需要说明的是,因为大部分的打印机是无法满幅无边距打印的。因此签章系统支持设置骑缝章页边距设置,将骑缝章往页面里面移位,以保证印章可被完全打印。因此,系统提供骑缝章设置功能。 (5) 透明印章
签章系统支持透明印章,印鉴位于被签内容上面,但并不覆盖内容,效果与纸质盖章或签名相似。
(6) 设置印章显示模式
点击“设置”按钮,可以选择印章显示模式。显示模式分为两类:一般模式和可见模式。一般模式下,在没有安装 电子签章的客户端上打开已盖章Word文档时,印章自动隐藏,印章不可见或显示为区别于红章的特定颜色(如黑色),以;可见模式下,在没有安装 电子签章的客户端上打开已盖章Word文档时,印章可见但文档被锁定。注:此项操作须在盖章前进行方能生效。
若文件接收方未安装签章系统,在一般模式下,接收方看不到印章,文档安全性较高。此外一般模式下的盖章文件要比可见模式下的小很多。注:虽然文档已经加盖电子印章,但用户可以进行相关设置,决定是否显示印章图片。 (7) 在线和离线盖章
签章系统支持在线和离线盖章。离线时直接调用安全设备内的印章;在线通过连接印章平台验证身份后调取相应的印章实现盖章。 (8) 支持多种设备
- 10 -
电子签章系统项目技术方案
签章系统支持密码分层协议,支持USB-KEY(比如:飞天ePass NG\\ND,明华,大明,华虹,吉大,九思泰达,海泰方圆,握奇)、公安部设备、指纹设备(中正指纹U盘,亚略特指纹仪)、手写板(小蒙恬,汉王,wacom)、PDA、平板电脑等多种设备盖章签名。下图是数字指纹验证:
数字指纹验证图
验章应用2.2.2 文档验证(1) 电子签章系统可为签章文
件提供离线、在线、批量验证功能,操作步骤如下:,系统弹出“验证 “验证” 电子印章”,在下拉菜单中单击打开签章文件,点击“公章列表”窗口,选择需要验证的电子印章,单击【验证】按钮,系统自动检测盖章文件,检测完毕,系统自动弹出验证信息窗口。
电子印章能对所签文档进行完整性认证,确定其是否被篡改。如果盖章文件被篡 。凭借数字签名的唯一性及可验证性,系文档已被更改”改,系统就会提示“盖章无效, 统能够构建明晰的追责机制,从而有效保障文档安全。 通过接口开发,系统也支持批量验证功能。 两种验证方式(2)
电子签章系统提供两种验证方式:在线验证和离线验证。用户通过在线验证可以 用户可有效辨别电子印章依靠这两种验证方式,查看印章的来源以及是不是依然有效。- 11 -
电子签章系统项目技术方案
和文档的真伪。 (3) 查看印鉴信息
用户可以通过电子签章系统查看文档印鉴信息:包括验证结果、盖章时间、盖章人、数字证书、印章外观、印章名称、印章来源、制印时间、制印人、所属单位等印章信息。
用户通过查看验证数字证书可以确认证书是否有效,进而核实盖章者身份真伪。此外还可以查看盖章者身份证书,进而确认盖章者身份。 (4) 数字水印
签章系统通过数字水印算法对印章图像进行保护。当印章图像被篡改时,水印将自动破坏印章图样,从而防止印章被复制。 在印章列表中,可查看印章信息及使用记录,印章制作人证书的相关信息以及印章所嵌入水印。 (5) 签名验证
电子签章系统具有签名验证功能,其验证方式和操作与功能验证是一致的(如下图所示)。 (6) 撤销印章
电子签章系统具有撤销印章的功能,用户可以撤销自己已经签盖的印章。
备注:只有用户才有权限撤消自己所盖的印章。用户利用自己的智能USB Key,然后输入密码即可。
2.2.3 审批批注
(1) 文档审批
签章系统支持对Office文档“先审批后盖章”的功能。审批功能是用于审核公文,只有通过了审核,才能对公文进行印章处理。 (2) 文字批注
电子签章系统具有文字批注的功能。可以在文档上实现文字批注的效果。 (3) 手写批注
电子签章系统具有手写批注的功能。可以在文档上实现手写批注的效果。
- 12 -
电子签章系统项目技术方案
2.2.4 安全控制
(1) 文档加解密
用户可通过硬件设备对盖章后的文档进行加密并保存成BCE特有文件。如果需要打开加密文件,用户须使用同型号硬件设备或输入密码才能解密。 (2) 文档锁定
盖章后的文档自动被锁定,这样可保护文档的完整性,防止被篡改。一旦被锁定,文档将不可更改。解锁时须输入口令,校验通过方可解锁。 (3) 文档字体颜色保护
电子签章除可对Word/Excel文档内容进行保护外,也可对文档字体颜色进行保护。如果盖章后的文档字体颜色被更改,通过验证亦可发现。 (4) 文档指定内容保护
电子签章系统可对指定内容或单元格的签章进行保护,借以满足多级审批的需要。 (5) 文档雾化和脱密
电子印章系统可支持印章雾化,在电脑上印章显示为虚拟模糊状态,打印出来时才显示为一个完整的印章。
此外, 电子印章系统可对文档进行脱密复制。被复制后,文档锁定被解除。印章外观变成黑色,以区别原印章。 (6) 文档打印控制
签章系统支持文档进行打印控制,如打印次数、打印印章为红色还是黑色,其具体规则如下:
打印时客户端必须连接至签章服务器,否则不能打印出红章文件。服务器数据库上记录了某个用户对于某篇文档的打印信息,包括授权打印份数信息和已打印份数信息。在未装电子签章系统或者装有电子签章系统但未插入KEY的机器上打印时,打印出来的为黑章,打印次数不受限制;在装有电子签章客户端的机器上插入key时,打印份数请求将发送至签章服务器进行审核,如果打印份数请求加上已打印份数未超过授权份数,能打印出红章文件,且已打印份数相应递增。如果打印份数请求加上已打印份数超过授权份数,则文档不能打印。同时,打印日志将自动存在服务器上,以供查询。
- 13 -
电子签章系统项目技术方案
此外,签章系统也支持结合应用系统进行控制。即由应用系统提出打印请求并进行控制处理,然后将处理结果(是否打印、打印印章为红色还是黑色)通过接口传递给电子签章系统,由签章系统根据结果打印。 (7) 防止截屏
由于电子印章采用水印技术保护电子文件,然而截屏得到的只是印章图像,缺少水印及印章属性信息,所以仍无法起到验证和保护的作用。 (8) 支持安全加密传输
客户端与服务器端之间的数据交换采取了对称于非对称加密,以保证数据安全性。同时,系统对数据进行高度加密传输,即使在传输过程中被人非法截获,也不会泄漏文档内容。
2.3 系统二次开发
2.3.1 通用开发接口
电子签章系统二次开发接口分为以下两种:
应用系统客户端调用的ActiveX控件和应用系统软件客户端(适用于C/S系 (1)统)或Web浏览器(适用于B/S系统)利用自动化语言(如JavaScript)调用控件的接口。
(2) 应用系统服务端使用的Web服务。应用系统服务器发送相应请求至指定Web服务上便可实现对应功能。
2.3.2 与业务系统结合
电子签章系统与其他应用系统相结合的一般模式:印章系统通过PKI等技术手段将数字签名等安全数据以印章的形式嵌入到应用系统的业务数据中,这就是所谓“盖章”;印章随着业务数据在应用系统中流转,需要之时,系统将运用PKI技术对印章数据和业务数据进行运算对比,借以确定业务数据的来源和真伪,即“验章”。上述描述是最典型的应用过程,当然具体应用中会有些许变化和调整。
- 14 -
电子签章系统项目技术方案
- 15 -
电子签章技术方案
