CFCA电子印章系统解决方案

CFCA电子印章
产品解决方案
Version 1.0
中国金融认证中心
2008年11月
本方案是中国金融认证中心开发的电子印章系列产品的内容。

本材料的所有权归中国金融认证中心所有。

方案中的任何部分未经本公司许可，不得转印、影印或复印及传播。

© 2008中国金融认证中心All rights reserved.
地址：北京市宣武区右安门内大街新安南里甲1号
电话：86-10-83526655
传真：86-10-63555032
邮编：100054
网址：
目录
1方案背景
⏹PKI技术
PKI（Pubic Key Infrastructure）是遵循一系列标准的利用公钥密码技术为基础的一整套安全基础设施的通称。

PKI必须具有权威认证机构CA在公钥密码技术基础上对证书的产生、管理、存档、发放以及作废进行管理的功能，包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序，以及为PKI体系中的各成员提供全部的安全服务。

如：实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息保密等。

⏹数字证书
数字证书是各类实体（持卡人/个人、商户/企业、网关/银行等），在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。

简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。

身份验证机构的数字签名可以确保证书信息的真实性，证书格式及证书内容遵循X.509标准。

从证书的一般用途来看，数字证书可分为签名证书和加密证书。

签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。

2产品概述
目前在我国电子签名技术得到了的广泛推广，越来越多的用户开始使用数字证书来保证电子数据的完整性和权威性。

随着应用的不断深入，人们希望电子文档除了权威性外，在视觉效果上也能同纸质文档一样清晰明了，但是光靠一系列数据的电子签名是无法做到这一点的，电子印章便在这种需求下孕育而生。

电子印章是对电子签名技术的可视化扩展。

2.1 产品简介
CFCA电子印章系列产品种类繁多，可应用在Web页面、自制C/S应用程序、Office Word和Office Excel上面，通过把数字证书的电子签名技术和印章图片结合起来做到可视化签名效果，因此CFCA电子印章系列产品除了提供一个清晰明了的印章显示外，更能够
做到对数据的有效签名和验证签名。

2.2 产品结构图
3产品功能
3.1 CFCA制章工具
⏹定制和编辑印章图片
⏹绑定CFCA数字证书
⏹存储印章信息（包括硬件Key和支持服务器端签章的文件印章）
3.2 CFCA Web电子印章
⏹PKCS7格式签章（客户端、服务器端）
⏹PKCS7格式验章（客户端、服务器端）
⏹验证签章人证书（客户端、服务器端）
⏹普通Gif图片显示
3.3 CFCA Office电子印章
⏹PKCS7格式签章（客户端、服务器端）
⏹PKCS7格式验章（客户端、服务器端）
⏹文档锁定（客户端、服务器端）
⏹限制打印份数（客户端、服务器端）
⏹印章防拷贝技术
4电子签章实现过程
4.1 印章生成过程
4.1.1印章采集
印章图片要求：
目前USB Key的内存容量都在32K到64K之间，为了能够广泛的兼容更多的USBKey，能够在其上面存储印章信息，CFCA电子印章产品对印章图片提出了格
式规范：首先印章图片为gif格式，gif格式可以存储最大压缩比的图片，并且保证不会失真。

印章尺寸大小应为150*150到160*160像素，因为在此像素比的图片可以最完美的还原印章视觉效果。

为了表现签章的权威性和严肃性，印章图片除了原有的印章信息色+白色背景外不应有其他的任何杂色。

来自于真实印章的扫描图片：
首先应扫描用户的印章图样到电脑中，然后利用图片编辑工具生成符合规范的印章图片。

点击印章管理工具中的“选择印章图片”按钮将其加载到系统中。

使用CFCA印章管理工具实时生成：
CFCA印章管理工具提供印章图片的编辑和生成功能，我们只需要适当的印章文字编辑即可生成完全符合规范的印章图片：
4.1.2印章和数字证书的绑定及存储、
印章图片编辑完成之后就应该保存进相应的存储介质中，在保存之前用户需要根据制章工具的提示进行和证书的绑定工作，根据印章用途的不同我们应该做不同的绑定，如下图：
客户端签章用户：
请使用“写入客户端Key中”，输入Key的访问口令点击制章按钮，系统会自动检测出Key中的可用证书：
用户点击确定后开始将印章数据写入到USB Key中。

服务器端签章用户：
请使用“制作服务器端软印章”，接下来我们选择服务器端的pfx证书文件并输入pfx口令，再点击制章后会保存服务器端软印章文件到硬盘中。

我们对服务器端软印章进行了数字签名操作从而防止了印章信息遭到非法篡改。

4.2 签章过程（以Office为例）
4.2.1文件编辑
客户对相关的Office文档（签章原文）进行编辑和检查工作，在签章之后不应擅自改动文档内容，如需要修改则应删除yuan有签章，更改文档内容后再次盖章。

4.2.2插入空章
首先选择盖章位置，将鼠标焦点设在指定位置上，然后点击CFCAOffice印章的“插入签章”按钮插入一个空签章：
我们可以通过拖拽空签章来进行印章位置的调整，位置调整好之后开始进行下一步。

4.2.3签章
右键点击“盖章区域”，选择“文档签章”：
在弹出的对话框中，我们可以设置的内容如下：
1、签章后是否锁定文档，选中该选项在签章完成之后将不再允许任何形式的编辑。

2、允许打印次数，设置了该选项将严格限制打印次数，在打印次数为0后不再允许打印。

选择好之后点击签章按钮，签章完成：
4.2.4验证签章
为了检查文档的权威性和完整性，我们对已盖章的文档进行验章，右键点击印章图片并选择签章验证按钮后，系统将自动收集印章及文档相关信息加以验证，最后返回验章结果：
验证成功：
验证失败：
5产品特点
5.1 安全性
⏹采用国际标准的对称及非对称密钥算法
5.2 标准性
⏹支持X509 v3证书
⏹支持PKCS7 格式数字签名
⏹支持国际标准的对称及非对称密钥算法
5.3 易用性
⏹Web电子印章提供简单的调用接口供应用程序调用
⏹Office电子印章提供安装程序，用户安装后直接使用
⏹支持WebSphere、WebLogic、Tomcat等主流WEB服务器
5.4 特色
⏹CFCA电子印章产品和CFCA数字证书紧密相连通过使用CFCA数字证书来
增加电子印章的权威性、通过使用CFCA电子印章来增加数字签名的可视性6产品运行环境
6.1 硬件环境
6.2 软件环境
⏹操作系统
Windows2000以上操作系统
⏹系统软件
IE6.0及更高版本
7其他产品简示
浏览器上盖章后显示：
如果被非法篡改则显示验证错误：
Excel签章。