电子签章技术方案

  • 格式:docx
  • 大小:108.18 KB
  • 文档页数:14

电子签章系统

技术方案

电子签章系统项目技术方案

- 2 -

第1章 系统总体设计

1.1 设计原则

1。1.1安全性

电子印章系统基于国际公认的公钥基础设施(PKI)体系,采用著名的RSA非对称加密算法(2048位)对印章进行数字签名,能保证签章身份的可鉴别性,防止对签章的否认与抵赖.

1。1。2易用性

电子印章安全设备易用,电子印章产品同时可支持十几种USB-KEY设备(包括指纹仪),签章时只需点击盖章,输入密码后即可从已插入的各个设备中取得印章.电子印章验证易用,验证印章时,只需在想要验证的印章上右击验证即可.系统提示和帮助信息准确、及时.当鼠标移动到印章图像上时,可以自动提示印章的的相关信息和验证结果等。

1.1.3开放性

从技术体系上,采取基于Microsoft .NET平台,C/S与B/S架构混合的体系。此结构既支持电子印章分散式应用,也支持与基于B/S结构的业务系统无缝结合应用。Web应用使用HTTP+XML技术,保证用户在不同操作系统终端上使用印章平台功能.

1。1。4扩展性

电子印章系统采用了完全安全控件化技术,分散式与集中式应用并存的应用模式,因此, 电子印章系统可用于OA、行政审批等各个业务系统中。

1.2 总体结构设计 电子签章系统项目技术方案

- 3 -

图:电子印章系统总体架构图

➢ 电子印章服务器承担电子印章的统一制作、发放、管理、安全控制等各项功能,通过服务器端将事先扫描好的签名、公章图案与数字证书、数字水印、用户身份信息等绑定,制作生成电子印章,并导入到USB—Key等存储设备中,发放给每个用户。

➢ 电子印章客户端是在终端文档/流程上进行签名批注的客户端软件。

➢ 在和业务系统完成接口开发后,用户在需要签章的页面或文档上,插入USB-Key,即可使用电子印章客户端进行签名盖章操作。

第2章 系统功能设计

2.1 电子印章管理平台功能

2.1.1 印章管理 电子印章

管理平台

电子印章存放载体

(如加密U盘)

客户端

(盖章、签批) 电子签章系统项目技术方案

- 4 - 2.1.1.1 印章申请和审核

申请

(1) 电子印章管理平台具有管理用章申请的功能,用户可以通过客户端向管理平台发出用章申请,待管理员批准后,用户便获得印章使用权。

(2) 管理员可以审批并发放用户自行申请的印章.

(3) 用户申请的印章,其管理方式与服务器颁发的印章一致.

用户自行申请的印章与管理员制作的印章采用同一管理模式。

审核

待确认申请者身份及权限后,管理员将及时答复申请者.

2.1.1.2 印章制作和发放

印模采集

制章前需要采集公章和个人签名的印模,用于制作印章。一般流程是由用户在白纸上盖上需要制作的公章的印鉴,或者手写签名,然后将印鉴或签名扫描处理成印模图片.这一步处理决定了印章制作的外观质量,因此相当重要. 公司将提供相关印模采集表格和操作指引,协助用户完成印模的采集。

印章制作

当制作印章时,管理员可以根据模板制作印章,也可以选择制作好的印模图片,或者选用已存于USB KEY中的印章图片.制作过程中,签章系统可自动读取存于USB KEY中的数字证书及用户信息,以减轻管理人员工作负担,提高制章效率。印模收集及制作须严格遵守有关规范和说明文件.

印章发放

管理员根据用户权限发放印章。管理员在管理页面中可绑定和收回印章授权(用户及印章须记入同一单位名下,方可相互绑定)。印章在最终发放前,须由审核员核对印章及用户信息,待审核通过后方可发放。为了便于应用,系统支持将单个印章发放给多个用户的功能.

发放的印章是和用户的证书密切绑定,用户没有USBKEY则无法取得及使用印章,因此保证了印章制发的安全性.

印章监控和存储

印章监控 电子签章系统项目技术方案

- 5 - 签章系统可对电子印章进行全程监控,监督遍及从电子印章的制作和发放到印章的管理及更新的整个流程。电子签章系统实行集中管理制度,统一监管,严格控制印章使用期限。用户独立管理所属单位或部门的电子印章,并且签章系统能自动生成印章管理与使用日志,提高管理水平。

系统内设三权分立的管理员授权模型,实行清晰的层级管理制度。签章系统架构起以系统管理、电子印章管理和系统日志审计管理为核心的三权体系,环环相扣,互相监督,有效地提升系统的安全度.系统外设严格的准入门槛,只有经过严厉筛选的人员(系统管理员、印章管理员和审计员),方可访问并使用上述系统.

印章存储

电子印章全部存放于服务器上,当客户端用户进行本地签章及验证时,须凭借数字证书连接电子印章服务器进行身份认证,然后用户根据自身权限调用授权的电子印章。签章系统会自动记录各种使用情况,生成日志并上传到服务器,有助于安全审计,保障签章的安全可控。

对于某些不能连接服务器的特定情况,服务器支持离线授权功能,即将印章导入到USBKEY中,允许用户离线签章。离线签章可采取有限授权模式:即向USB KEY中每次只写入一定量授权使用次数,当使用次数用完时,再向服务器申请新的使用次数。这样既可有效控制印章使用次数,又可大幅降低客户端与服务器间的通讯负载量。

2.1.1.3 支持印章/用户一体化管理

电子印章管理平台能够实现快速制章,即用户可在一个页面内完成账户注册、证书选择、及印章制作及发放多项功能。整个制章过程所费时间较短,省时省力。

2.1.2 系统管理

2.1.2.1 单位管理

单位浏览

单位管理界面左侧为单位导航栏,点击单位树节点,便可展开当前节点并查看其子节点。管理员可在此页面进行相关操作诸如添加单位、编辑子节点信息、单位状态等。

添加单位

通过输入单位名称,可以添加新单位。

修改单位状态 电子签章系统项目技术方案

- 6 - 可修改单位状态.

注:单位状态无效时,单位用户将不能登陆服务器,但仍能享受印章验证服务。

修改单位名称

可修改单位名称。

注:若该单位已有印章,则禁止更改其名称。

导出与打印功能

单位名称列表可以导出成Excel表格或直接打印出来。

分级管理

服务器采用分级管理方案:通过分级管理模式,用户便可自行管理内部电子印章和签名。

2.1.2.2 用户管理

用户浏览

在导航栏中选择要编辑的单位名,然后刷新页面,窗口便列出该单位所有用户.管理员可在页面上手动查找需要编辑的用户,也可以通过检索找到该用户。

添加用户

可以新增用户.

用户设置

可以在管理页面上设置用户角色和证书信息。

注:如需向下属单位发放单位系统管理员权限时,仍应使用administator下放权限。

角色说明

电子签章系统用户角色包括:超级用户、监控者、机要员、系统管理员和印章管理员。各角色的访问权限初始设置为:

(1) 印章管理员:制作及发放印章。

(2) 系统管理员:系统设置及权限设置。

(3) 机要员:负责盖章、验证、加密、解密等事宜。

(4) 审计员:监督印章发放和制作情况;整理报表;查看印章和用户运行情况,及时反馈给有关人员;做好统计工作,内容包括:印章数量、印章使用次数、管理权限、用户单位、可用印章信息、停用印章信息、永久停用印章信息、印章状态信息、用户名电子签章系统项目技术方案

- 7 - 称及状态。

点击“用户角色”,选择相应的角色,然后点击“确定”便可完成添加操作.

备注:系统初始用户名:administrator 密码:111111, administrator用户只具有“超级用户”权限。用户只能担任一种角色,不能同时兼任两种角色,以免角色责任混乱。

修改用户状态

在用户管理页面中,点击需要修改的用户状态,然后便可修改用户状态(可用、暂停及永久停用).

跨单位调动用户

若用户被调往新单位,签章系统会自动将该用户调至新单位名下.

修改用户信息

在用户管理页面上可修改用户个人信息。

导出与打印功能

用户名称列表可以导出成Excel表格或直接打印出来.

2.1.3 日志审计

2.1.3.1 日志记录

签章服务器有完善的日志功能,在用户进行登录、用户管理、单位管理、印章管理、印章使用及更新时,系统都会进行日志记录.

此外,服务器对日志数据信息有签名检验机制,在数据保存入数据库时对日志信息进行签名,并将签名结果也保存入数据库。在对数据访问时自动对签名结果进行校验,

并将验证结果自动显示给管理员。

2.1.3.2 日志查询

签章系统可以对单位管理、用户管理、用户登录、印章制作、吊销、挂失、管理、使用等行为日志记录进行查询,查询操作方法如下:

单位管理日志

“单位管理日志”内容包括:操作用户、操作方式、操作时间、IP地址、操作描述等,进行日志查询。

用户管理日志 电子签章系统项目技术方案

- 8 - “用户管理日志"内容包括:操作用户、操作方式、操作时间、IP地址、操作描述等.

用户登录日志

“用户登录日志"内容包括:用户名、IP地址、操作方式、操作时间、操作描述等.

印章管理日志

“印章管理日志”内容包括:印章ID、用户名、操作类型、操作时间、描述等.

印章使用日志

“印章使用日志”内容包括:印章标题、操作用户、使用时间、IP地址、操作方式、盖章说明等。

上述查询出的日志,都可以导出成本地文件.

印章制作情况

电子签章服务器可以显示出整个平台印章制作个数和情况信息,如下图是广西公安厅印章平台的制章情况:

2.1.4 用户自助

电子签章服务器内置有自助平台模块,以满足系统实际需求.管理员无须回收已发放的USB KEY(含证书)并通过服务器进行相关操作。客户端用户只需通过自助平台进行简单操作,即可达成用户与证书的绑定、印章确认和自动更新及下载功能,实现安全性与方便性的统一。

(1) 用户登录

用户只需要输入用户和密码或者插入装有PKI证书的USB KEY,就可以一键直接登录进用户自助平台模,如下图服务平台所示。

信息修改

用户自助模块提供用户个人信息的修改、更新功能。其中,用户可以在此将证书与其账户绑定。

(2) 印章确认

用户自助模块提供印章确认功能。用户可以对颁发给其本人的印章进行检查,如果检查无误,可以确认接受;如果发现有问题,可以拒绝接受,并将原因提交反馈给平台管理员。此功能进一步加强了印章的管理和使用安全,并有助于相关责任的确定.