安证通电子印章是一种电子签章系统。电子签章系统是以 已经建成的PKI/PMI技术为基础,为 各类业务应用信息系统提供电子签章/电子签名应用安全认证服务的平台型系统,系统充分利用 PKI/PMI系统为签发的数字证书USBKEY进行身份认证和电子签章的介质。
目录
1、电子签章系统安全性设计1.1 印章印模安全存储1.2 制章授权安全可控1.3 印章管理安全规范1.4 电子印章安全使用1.5 文件安全打印控制1.6 用章日志安全可鉴2.1 系统总体设计
1、电子签章系统安全性设计ESA2008电子签章系统从印章的申请、印章制作与存储,签章过程和文件打印各个阶段都有严密的安全设计。主要包括以下七个方面:
1) 印章印模安全存储:如何保护经过扫描获取的印章印模图片的安全性,确保无关人员不会直接从电子印章数据库中拷贝印章印模文件就可以获得印模图片。
2) 授权制章安全可控:如何确保制章环节的安全性。
3) 印章管理安全规范:如何从管理的角度确保电子印章的安全。
4) 电子印章安全使用:如何杜绝非授权的签章行为。
5) 签章文档安全打印:当电子印章经过电子签章软件加盖到具体的文档中之后,如何防止电子签章数据中的印章印模图片的安全性控制,如何保证印章的安全输出。
6) 用章日志安全可鉴:如何确保与印章相关的操作的可审计性。
7) 数据库内容防篡改:如何保证印章系统数据库内重要信息的安全性
电子文档输出到纸质上之后的防伪问题不属于电子签章系统的功能模块,我们将在《纸质文件打印防伪解决方案》节进行描述。
1.1 印章印模安全存储加盖在纸质上的印章或者个人签名经过扫描后便形成印章印模图,经过审核之后就可以导入电子印章管理系统中作为印模库存储起来,为了保障印模图片不被拷贝出去随意使用,系统在导入图片时采用128位密钥加密存储,这样,只有在系统内才可以浏览印章图片,印模库离开系统后,不能够显示。
1.2 制章授权安全可控电子印章的安全首先要从制章环节严格把关。制章授权包括两个层面:
1)是指必须只有被授权的人才可以操作“电子印章制作”的功能项,如果使用者不具备该项功能使用权,当然不可以制章;
2)制章授权另一层面的意思是指即使是授权人在进行制章时,必须连接上由厂商(本)发放的制章授权卡,如果没有制章授权卡,也是不能够制章的,由于制章授权卡是物理设备,因此,要想仿冒是不可能的。这样大大提高了制章环节的安全性。
1.3 印章管理安全规范ESA2008电子签章系统完全体现了我国行政机关和大型国有企业对于印章管理的思想,同时利用网络技术独有的特性将印章使用过程中的安全性与印章管理思想融为一体。印章管理中心可以通过挂失、销毁电子印章来控制印章持有人使用印章的行为。
1.4 电子印章安全使用为了实现电子印章的安全使用,ESA2008电子签章系统从三个方面来实现。
1)制作电子印章时,将USBkey中的数字证书与印章印模图片进行绑定。具体绑定方法和安全控制原理如下:
a) 制作电子印章时,将印章印模图片采用随机生成的对称密钥对印模图片进行加密,同时从USBkey中读取公钥信息,用此公钥对加密密钥进行加密,并且将加密之后的密钥存储在数据库中,同时将加密后的印章印模图片存储在USBkey或数据库中,由于解密电子印章的密钥采用公钥加密存储在数据库中,因此,只有拥有USBkey同时又获得了加密密钥的人,才可以通过客户端电子签章软件来解密获取印章印模原始图片。
b) 盖章时,通过验证后,系统会将加密后的加密密钥传递到客户端,同时客户端程序利用USBkey中的私钥对加密密钥进行解密以获取印模图片的解密密钥,进而对加密的印模图片进行解密,从而获取印模图片。
c) 任何人不论是从USBkey中拷贝电子印章还是从数据库中获取电子印章,由于无法同时窃取USBkey和存储在数据库中的加密后的解密密钥以及相关的解密程序,因此,电子印章的安全性是可以得到绝对保障的。
2)对于印章管理中心已经挂失、销毁的印章,印章持有人也不可以再使用。
3)传统的实物印章无法控制印章持有人随意盖章的行为,而ESA2008电子签章系统则可以提供接口函数,通过与应用信息系统紧密集成来约束电子印章持有人的随意盖章行为。 “盖章”可以认为是业务流程中一个节点上的一项“活动”,因此,应用信息系统可以通过权限控制来制定特定的印章持有人只能够对某些特定类型的文件盖章。离开办公信息系统平台,印章持有人即使想盖章,也无从下手,因为他无法找到盖章的操作命令。
1.5 文件安全打印控制由于微软的Office或者任何一款国产Office软件本身并不具备打印控制功能,而在实际应用中如果对带有电子印章的文件没有任何打印控制措施,而直接采用Office本身的打印功能进行文档的输出打印,将导致以下问题的产生,而不被用户单位所接受:
1) 文件修改了还可以打印:当文档内容被改变时,依然可以打印,因为Office本身并不会在打印之前进行文档验证,这将导致假冒红头文件泛滥,即使不是恶意的造假行为,也会导致电子文档与纸质文件的不一致性;
2) 无法控制打印份数:我国是一个拥有几千年印鉴传统的文明古国,印鉴即代表权威性,也代表合法性。因此,我们国家对于印鉴有着严密的制作审批制度,印鉴使用单位也制定了严密的印鉴保管和用印制度,目的就是确保用印的安全,防止滥用印鉴,把用印的责任缩小到最小的范围之内。相对于实物印鉴的管理,电子印章通过严密的管理和使用控制可以很好地控制印章的安全性。但是如果对加盖了电子印章的文档的打印输出不加以控制,则用户可以任意打印带有红色印章的纸质文件,则将容易引起混乱。
为了杜绝随意从已经签过章的Office文档中获取带有红色印章的纸质文件,我们对签章后的Office文档的打印做了以下控制:
u 屏蔽了Office自身的打印功能:只要Office文档中含有电子印章,签章软件自动将Office的各项打印功能进行了屏蔽,使得用户无法通过Office 的打印功能任意打印文档;
u 增加了自定义的打印控制功能:签章软件增加了“文档打印”功能,只有通过该打印功能才可以打印签章后的Office文档;
u 只有持有具备打印权限的USBkey的人才可以打印含有电子签章的Office文档;
u 合法的打印者每一次打印都会在后台印章管理系统中写入完整的打印日志;
u 可以指定特定文档只能够打印有限的份数,也可以禁止打印或者不限制打印份数,完全根据用户的实际要求进行控制;
u 当卸载电子签章软件后,已经签章的Office文档可以正常打开且不可修改,但是印章自动显示为黑色,因此,利用Office打印功能也不可能得到带有红章的纸质文件,有效防止红章文件的流散,保证安全。
u 通过接口函数,提供两种绑定打印机的方式:
a .通过接口函数调用特定打印机来实现绑定,本方法简捷容易实现;
b.通过改造打印机的驱动程序来绑定特定打印机,这种方法更具安全性和可靠性,但是要求统一采购打印机。
通过这种设计控制,可以严格控制签章文档的打印输出,对于任何一份打印件的出处,都可以追溯。这样最大程度地保障了用印的安全性。
安证通在此标准设计的基础上还可以根据用户在某些特殊场合的特殊应用需求,制订更有针对性的打印控制方式。
对电子文档打印成纸纸文件的防伪安全性介绍见《纸质文件防伪解决方案》章节。
1.6 用章日志安全可鉴与传统的实物印章管理规范中规定要对所有签章行为进行记录一样,电子签章系统也对与签章有关的操作进行了详细的记录,日志信息主要包括:
1) 登录日志:某人登录印章管理系统的登录信息,包括登录时间、登录人、登录所用机器的IP地址等等;
2) 制章日志:每一次制章都有制章日志,包括:制章人、制章日期、IP地址、印章名称等等;
3) 签章日志:记录谁、在哪个文件、在哪台机器上加盖了什么印章;
4) 撤章日志:记录谁、在哪个文件、在哪台机器上撤销了什么印章;
5) 打印日志:记录谁、在哪台机器上打印了哪个文件以及打印的红头文件份数。
2 系统建设方案
2.1 系统总体设计电子签章系统是以 已经建成的PKI/PMI技术为基础,为 各类业务应用信息系统提供电子签章/电子签名应用安全认证服务的平台型系统,系统充分利用 PKI/PMI系统为签发的数字证书USBKEY进行身份认证和电子签章的介质。
基于安证通ESA2008电子签章系统架构的 电子签章系统的总体架构如下图所示:
电子签章系统总体架构图
如上图所示,整个电子签章平台系统由数字证书认证系统(PKI/CA系统)、电子印章管理子系统、电子签名认证子系统和客户端电子签章软件构成,系统总体架构包括“三横”、“两纵”;
其中“三横”包括:
支撑层:是现有的PKI基础设施。电子签章系统是以PKI体系作为基础的应用类安全平台系统,通过接口从两个层面与PKI集成,首先是共用警用USBKEY密码钥匙,其次是基于数字证书的认证和签章、签名、加密。
管理层:是整个电子签章系统的核心,是公安各类应用系统应用电子签章的基础平台。包括电子签章认证系统和电子印章管理系统。从签章的密钥盘发放、印章的申请、审批、制作、电子印章的发放、授权/再授权、挂失/取消挂失以及电子印章的销毁等管理,以及对电子印章的印模图片库进行维护和管理,同时提供电子印章使用审计管理功能,是各类应用系统安全使用电子签章的保障。
应用层:应用层主要包括两个部分,一个是公安的业务信息系统,例如:警务平台、办公自动化系统(OA)等。另外一个是电子签章应用支持系统,能满足公安各种应用系统内的文档盖章,如MS office(word&excel)签章、wps签章、pdf签章、web签章、 表单签章等。
“两纵”包括:
管理体系:在应用系统内采用电子签章,必须有相应的管理规范相配套包括:签章申请规范、签章制作规范、签章使用规范。作为公安行业电子签章系统最主要的供应商,北京安证通公司具有公安行业电子印章管理和使用的丰富经验,我们将在系统部署过程中,与相关部门一起根据 的具体情况,制定《 电子印章管理和使用规范》,以加强 机关对电子印章的管理。
安全体系:电子签章系统作为应用安全支撑平台系统,应该具备完善的安全保障体系,安全保障体系主要包括:安全管理、安全运行、安全技术。关于安全管理,我们将在中标之后,参照我们已经给别的公安系统制定的《电子印章管理与使用规范》协助制定《 电子印章管理与使用规范》;在技术上将采用成熟的技术实现电子印章服务器的集群部署,实现负载均衡和数据同步,保证系统安全稳定的运行。
在不影响现有业务系统流程基础上,采用在应用层的业务系统内的各类文档、法律文书中采用嵌入式方式集成电子签章客户端软件,将电子签章与业务系统和PKI/PMI体系有机整合,达到从上至下,由内而外的“加强管理、保证安全”。
各个部分的具体功能概述如下:
1) 公安CA系统:主要实现数字证书的申请、审批、颁发、销毁、更新等功能,目前 已经建成PKI基础设施,本投标方案中电子签章系统所需要的数字证书统一由 CA系统颁发和管理。
2) 电子印章管理子系统:主要完成电子印章的申请、审批、制作以及电子印章的发放、授权/再授权、挂失/取消挂失以及电子印章的销毁管理,以及对电子印章的印模图片库进行维护和管理。同时提供电子印章使用审计管理功能-------详细记录了签章人在何时、何处加盖或撤销过哪个电子印章。通过“用户——角色——权限”三维权限管理模型,可以给不同的人赋予不同的角色,进而分配不同的使用权限,这样可以将申请、制章、管章的权限分配给不同人员,从而从流程上加强印章安全管理,这样从印章管理的角度也能确保印章来源的真实、可靠。因目前公安key已经下发到民警手中,系统支持本地制章和远程制章两种模式,以方便电子印章、电子签名的制作,且不影响已有业务系统的正常使用。
3) 电子签名认证子系统:包括了电子印章认证模块、网页(表单)千张服务器端组件、信息加解密组件,对所有电子签章请求和验章请求进行在线的验证,确保只有合法的签署者才可以进行签章,同时提供身份认证功能。
4) 客户端电子签章软件:电子签章客户端软件是用章人直接使用来实现电子签章操作的软件,包括Word签章软件、Excel签章软件、PDF/DSF签章软件、WPS签章软件和WEB签章软件(含html和winform窗体)以及电子签章中间件。
由上述总体架构可以看出, 电子签章系统是一个系统架构合理,认证体系安全严密,能够支持所有应用信息系统对电子签章需求的电子签章平台系统。
