电子政务电子签章应用 建议书                  北京金关科技有限公司  
版权声明 北京金关科技有限公司（以下简称北京金关）拥有本文档（包括所涉及的主题）的专利、专利申请、商标、版权及其他知识产权。北京金关授予您阅读本文档的权利；但是，除非有北京金关明确提供的书面特许协议，本文档的提供并不意味着授予您相关专利、商标、版权或其他任何知识产权的特许。 复制与传播 遵守所有生效的版权法是用户的责任。在未经北京金关明确书面许可的情况下，不得对本文档的任何部分进行复制（备份目的除外），不得将其保存于或引进到公开的检索系统中，不得以任何形式和任何方式（电子、影印、录制、机械或其他任何此处未指明的方式）进行传播或用于任何目的。 示例 如果本文档有示例部分，则在示例部分中所描述的公司、组织、产品、人及事件均属虚构，与真实的公司、组织、产品、人及事件无任何关系。 变更 本文档的参考资料中所提及的包括Web站点、Internet资源、第三方的技术标准与规范等在内的信息，如在本文档交付后有变更，恕不另行通知。 版权所有者 ©版权所有北京金关  地址为： 北京市朝阳区芍药居北里112楼2405。所有权利均予保留。 商标 TO-KEY、TJSECPKI、TJONSIGN或其他本文档中提及的太极产品，是北京金关的商标或注册商标。本文档所提到的真实的公司和产品的名称可能是其各自所有者的商标。 联系人 如有任何疑问或问题，请与support@china-pki.com联系。 未经本使用规定明确授予的任何权利均予保留。  
目   录 1          政府行业应用需求分析... 4 1.1          概述... 4 2          基于PKI体系的电子签章技术... 5 2.1  PKI技术介绍... 5 2.2  电子签章技术... 5 3          TJONSIGN电子签章系统... 7 4          TJONSIGN电子签章系统构成与功能... 8 4.1          产品结构... 8 4.2          产品功能... 8 4.3          产品特性... 10 4.4          TO-KEY介绍... 10 4.4.1        TO-KEY数字令牌概述：... 10 4.4.2        结构... 11 4.4.3        功能... 11 4.4.4        特点... 11 5          产品使用说明：... 13 5.5.1签章制作... 13 5.5.2电子签章... 13 5.5.3手写签名... 16

1          政府行业应用需求分析

1.1        概述

电子政务中一个十分重要的方面就是文件的分发和流转，通过电子的方式实现无纸化办公。作为一个电子文档，如何来保证： 1、            文件的真实性？---文件没有篡改过，并且是可信的 2、            文件颁发者的身份是真实的？-----假冒他人颁发文件 3、            文件的不可抵赖性？ 4、            文件打印复制管理？ 所有这些，在传统的纸文件中，可以采用签名、盖章等方式来保障，但是在电子文档中，如果采用一个印章或签名的图片来实现，显然是没有价值的。因为电子文档复制或修改一个文件中的图片是十分简单的。

2          基于PKI体系的电子签章技术

2.1  PKI技术介绍

PKI（Public Key Infrastructure 的缩写）即“公钥基础设施”，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。 PKI体系包括：CA认证中心和基于数字证书的应用（认证、授权+加密+签名）。其中，CA认证中心提供数字证书的颁发、管理、废止和发布以及密钥的管理和备份。 PKI体系是目前解决信息安全问题最成熟、最标准、最先进的技术。通过建立PKI体系可以将一个无序、无管理的、无政府的网络社会改造成有序、可管理的网络社会，从而杜绝黑客肆无忌惮的攻击，并且为内部的信息化管理提供一套安全高效的机制。

2.2  电子签章技术

PKI的一个最基本的应用就是数字签名，数字签名采用特定的数字签名算法来保证文件的真实性和不可抵赖性并能实现身份验证。电子签章即是数字签名的典型应用。 基于PKI体系的电子签章过程：                          

3          TJONSIGN电子签章系统

TJONSIGN电子签章系统基于PKI技术框架， 运用了数字签名技术，电子印章内嵌含了对所签文档的数字签名信息，因而保证了公文的真实性、唯一性、来源确认性和不可否认性及印章本身的不可复制性。完全区别于仅仅在文档中插入一个印章图片的应用模式。签章系统采用多层次全方位的签章验证机制，确保文件安全及印章来源可靠；采用TO-KEY电子钥匙存储印章数据，确保签章的安全和权威。 TJONSIGN电子签章系统是一整套基于Windows平台采用ActiveX技术开发的应用软件，它可实现在Word，Excel文件上加盖电子印章和手写签名，并将该签章和文件通过数字签名技术绑定在一起，一旦被绑定的文件内容发生改变(非法篡改或传输错误)，签章将失效。只有合法拥有印章钥匙盘并且有密码权限的用户才能在文件上加盖电子签章。 TJONSIGN电子签章系统既可以单机使用，也可以在网络中部署。既可以作为一个完全独立的产品，也可以作为一个中间产品与办公自动化系统有效的结合起来。  

4          TJONSIGN电子签章系统构成与功能

4.1        产品结构

TJONSIGN电子签章系统包括： CA（数字证书认证中心）、单位制章系统、个人制章软件、签章软件、验证软件等。 其中：CA、印章管理系统安装在服务器上；个人制章软件、签章软件、验证软件安装在个人计算机上。 CA实现证书的颁发、管理以及密钥的产生和密钥的管理。 单位制章系统：对单位印章进行制作。 个人制章软件可以制作个人的印章和签名 签章软件结合TO-KEY数字令牌一起使用，密钥、证书由TO-KEY数字令牌保存，数字签名算法也由TO-KEY数字令牌实现。签章软件嵌入到Word/Excel里，用来实现印章或签名。文档一旦签名，任何改动都会导致签章验证失败。 产品结构示意图：  

CA认证中心   数字证书颁发   数字证书认证

单位用户申请数字证书

单位用户领取数字证书 TO-KEY钥匙盘

印章制作系 统

单位用户领取数字证书 TO-KEY钥匙盘(已经 存储电子印章及单位和个人身份信息）

Word签名印章及验证系统

Excel签名印章及验证系统

HTML签名印章及验证系统

Word 文档

Excel 文档

HTML 文档

 

                             

4.2        产品功能

 

功能	说明
文档签章功能	确定对当前的文档进行盖章，该功能需要TO-KEY数字令牌的支持，同时需要输入PIN码确认用户身份。
手写签名功能	确定对当前的文档进行签名或批阅，该功能需要手写笔和TO-KEY数字令牌支持，签名或批阅是需要输入PIN码确认用户身份，支持大部分厂商的手写笔。
签章验证功能	该功能能够验证文档内容是否被修改或签章信息是否有效。
身份认证功能	通过利用签署者的证书颁发机构的证书，对签署者的身份进行认证。一方面能够辨别签署者身份的真伪，另一方面能够确保签署者身份的不可抵赖性，即一旦签名而且身份认证通过，则签名者将无法否认此签名。
撤消签章功能	该功能用来撤消签章，撤消签章时需要确认原先加盖印章或签名人的身份和密码。
证书查看功能	任何人都能够查阅签署者证书的相关信息，信息包括证书版本、证书序列号、签名算法、颁发者详细信息、有效起始日期、有效终止日期、用户详细信息、DER公钥值、证书自定义级别
支持双证书功能	可以支持双证书应用，包括加密证书和签名证书，安全性更高。
移动签章功能	该功能用来移动签章所在文档中的位置。
禁止移动功能	执行该功能过后，该签章的位置将不能够更改了。
文档保护功能	加盖公章的文档可以使用文档保护功能来锁定文档，锁定后的文档将永久不能被修改。
文档解锁功能	对被锁定的文档进行解锁，根据锁定密码来确认文档解锁。
意见签署	在签章或签名的同时可以签署意见，阅读者可以阅读到文档签字人的意见
会签功能：	支持多个人对一个文档的签章或签名，
打印限制功能	可以限制该文档打印的份数。
读取服务器时间功能	产品提供读取服务器时间的接口，也就是签章时间可以统一从服务器上读取时间。
提供相应二次开发数据接口	可以将签章相关信息（文件名称、单位名称、签章用户名称、签章名称、签章时间、签章机器IP地址）保存到服务器的数据库，方便二次开发，实现电子签章软件与客户系统相结合应用。

 

4.3        产品特性

l    安全性： PKI体系（Public Key Interface）的电子签名和电子印章的绑定，个人私钥保存到USB接口的一种集智能卡和读写器于一体的USB加密钥匙TO-KEY数字令牌里面。 l    验证性：可通过文档验证，浏览到被签章的文档名称、签章用户、签章单位、签章时间、签章名称，同时验证文档的内容是否被篡改，篡改后文档的印章自动显示失效。 l    便携性：电子文档一经签名或盖章，签章数据信息和文档绑定在一起，并可安全地进行传输。 l    开放性：系统完全兼容国际标准（x.509，PKCS）证书格式，可以直接融入国家及国际组织的PKI体系。支持任何符合CSP的USB KEY。 l    兼容性：可以对OFFICE文档签名也可以对网页进行签名还可以对嵌入到电子表单中，对表单进行签名。 l    简单性：印章信息、身份信息等均存储在TO-KEY中，只要有TO-KEY数字令牌以及与其对应的PIN码就可以实现签章，而与使用哪个计算机没有关系，只要计算机上安装了签章软件就可以了。

4.4        TO-KEY介绍

4.4.1   TO-KEY数字令牌概述：

随着电子政务和电子商务的发展，人们需要有相应的网络身份。目前最常用的网络身份有：用户ID或智能卡，但是用户ID难以记忆而且存在安全隐患；智能卡需要读卡器，使用十分不方便。TO-KEY数字令牌是将USB读卡器与IC卡结合在一起，一方面实现IC卡的功能，另外一方面又省去了读卡器的麻烦。体积小巧，携带方便。在当今的网络社会中，已经逐步取代智能卡成为个人网络身份的一个令牌。 TO-KEY数字令牌除了可以作为个人身份的载体以外，更可以实现密码算法并产生随机数，从而作为一个加密和认证的器件越来越得到信息安全方面的认可。更重要的是，TO-KEY数字令牌作为信息安全终端产品，其密码算法功能完全取代了微软的MS-CSP（加密服务模块），从而与IE、OUTLOOK等应用软件无缝集成。 TO-KEY数字令牌提供PKCS#11的标准接口，任何基于PKCS#11开发的应用软件，都可以直接使用该器件。当然TO-KEY数字令牌还能提供完整的SDK开发工具包，将该产品集成到开发商的应用软件中，实现开发商定义的功能！  

4.4.2     结构

l                  采用USB读卡器和IC卡集成结构，使用携带方便 l                  内置芯片操作系统（COS） l                  内置CPU、16KEEPROM以及RSA、DES算法引擎 l                  本身就是一个完整的计算机系统

4.4.3     功能

l                存储功能：存储2张数字证书、2对公私钥、30组用户名和口令。通过COS对存储内容实现文件管理。 l                随机数生成、公私钥对生成 l                密码算法实现： 对称算法：DES、3DES、RC2、RC4 非对称算法：RSA1024、RSA2048 摘要算法：SHA-1、MD5 数字签名：MD5 RSA、SHA-1 RSA

4.4.4     特点

l                内置芯片操作系统（COS） l                快速实现数字签名和验证（小于0.5秒） l                快速产生公钥私钥对 l                快速实现文件加密 l                内置唯一的一个序列号、一对公私钥、一张证书 l                集成USB读卡器和IC卡，使用、携带方便 l                支持RSA公司的PKCS#11标准和微软的MS-CSP标准，CSP通过微软的签名 l                完善的SDK开发包，便于实现二次开发

5          产品使用说明：

5.5.1签章制作

将印章或签名原样扫描或手写输入设备输入，保存为gif类型，制作成除印章或签名信息之外的地方均为纯白格式的图片。然后执行TJONSIGN签章制作程序，选择签章图片、填写签章信息以及选择数字证书，如下图所示：  

5.5.2电子签章

Word签章说明: 打开Word,您将看到如下界面：   其中悬浮窗部分就是电子签章的工具栏按钮。 选择您需要盖章的文档，将光标停留在需要盖章的位置，点击上面看到的电子签章按钮，将会弹出一个签章信息，你可以选择印章名称，然后输入密码（若与USB-KEY绑定则无需密码），填写签名意见，如图： 若与USB-KEY绑定则需输入PIN码，如下图： 点击OK后即可盖章，如下图：  

5.5.3手写签名

选择您需要签字的文档，将光标停留在需要签字的位置，点击上面看到的手写签名按钮，将会弹出一个手写签名的绘图框，如下图： 输入签名，点击鼠标右键可以添加手写签名，如下图： 点击确定即完成手写签名，如下图：       签章的文档若被篡改，签章将增加两横，显示为非法签章，如下图所示： 对签章点击鼠标右键可执行文档的验证、锁定，签章的验证，签章信息显示，签章的移动以及撤销等操作。                                                               北京金关科技有限公司