网络电子印章系统安全解决方案

摘 要：针对电子印章网络安全需求，提出一种基于网络的电子印章服务平台，该平台利用PKI、数字签名、数字水印等关键技术，在分析加密硬件安全性和服务平台自身安全性等安全需求后，提出了用户登录认证、印章制作、文档签章、签章文档的验证、公文流转的安全设计方案。该方案对保护电子印章、签章公文等信息安全性、惟一性、不可否认性有很好效果。

关键词：电子印章；PKI；数字水印；身份认证

中图分类号：TP319 文献标识码：A 文章编号：16727800（2013）002008902

0 引言

随着网络的迅速发展，电子公文得到了越来越广泛的使用。但是电子公文的易备份性使得电子公文在传输中的安全性、合法性、有效性得不到有力保证。因此如何保证文件的安全性、规范性是电子公文在传输中的一个重要问题。针对电子公文在网络中传输的特点，本文提出了一种基于网络的电子印章服务平台架构，该架构可以将签章后的电子公文通过网络安全快捷地传送给接收方。

1 电子印章服务平台

电子印章服务平台逻辑上主要分为：印章服务器/权限中心、印章制作中心、公文流转中心3部分。其总体结构描述如图1所示。

印章服务器/权限设置中心：主要负责与后台数据库通信，管理各个客户端用户的权限授予，接受并执行客户端发送的请求，并将用户操作记录形成日志。

印章制作中心：主要负责印章的制作、检索、查看、撤销工作，是进行公文流转的前期工作。

公文流转中心：是电子印章系统的核心部分，该中心嵌入到Word、Excel等应用软件中，主要负责文档审阅、签章、签名认证、打印控制、文档作废等工作。

2 关键技术

2.1 PKI技术

PKI（Public Key Infrastructure），即公钥基础设施。它是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验证数字证书持有者身份的一种体系。PKI主要由认证机构CA中心、证书及相关业务受理审核中心、密钥管理中心、证书库等部分组成。其中CA中心是PKI系统的核心，是数字证书的签发机构。它通过对实体身份信息和相应公钥数据的数字签名，来捆绑该实体的公钥和身份，以证明各实体在网上身份的真实性。

电子印章服务平台就是利用PKI技术建立的一项提供安全签章服务的设施平台。PKI技术是电子印章服务平台信息安全的核心技术。

2.2 数字签名技术

数字签名就是信息发送方用自己的私钥对传输文档中提取的数字摘要进行加密操作并传给接收方，接收方用发送方的公钥解开数据后，就可以确定消息来自于谁。数字签名可以用来保证网络信息在传输过程中的完整性、信息发送方的身份不可抵赖性和可认证性，可以解决否认、伪造、篡改、冒充等问题，是保证网络中传输数据没有被非法篡改的重要手段。

2.3 数字水印技术

数字水印技术是一种信息隐藏技术。它是通过一定的算法将一些标志性信息直接嵌入多媒体内容中，而不影响原内容的价值和使用，并且不能被人的知觉系统感知。目前大多数水印制作方案都采用密码学中的加密体系来加强，在水印嵌入、提取时采用一种密钥。嵌入多媒体作品中的数字水印应当满足安全性、隐蔽性、稳健性、水印容量足够大这几个方面的要求。

2.4 USB KEY技术

USB KEY技术以智能卡技术为基础，在硬件设备中内置单片机或者智能卡芯片，具备一定存储空间，可以存储用户的私钥以及数字证书，利用USB KEY内置的公钥算法可以实现对用户身份的认证。

3 平台安全性设计

3.1 安全需求

（1）电子印章加密硬件的安全性。作为存储数字证书和用户私钥的智能密码钥匙（USB KEY），其自身的安全性是非常重要的。智能密码钥匙的安全性主要由两方面决定：一方面是加密算法的自身强度，一方面是密钥的保密强度和质量。

（2）电子印章服务平台自身的安全性。电子印章服务平台中电子印章制作、公文流转等过程都涉及到用户身份的认证、印章制作、印章存储、传输、使用权限的控制等一系列安全问题。这些问题如果解决不好，都会使系统的安全性无法得到保障。

3.2 解决方案

电子印章的安全方案设计主要体现在用户登录认证、印章制作、文档签章、签章文档的验证、公文流转等应用流程中。

（1）基于用户身份的访问控制。用户必须通过持有获得第三方认证机构签发数字证书的USB KEY并提供正确的PIN码才能够登录系统。用户在第一次登录前还必须获得管理员的授权，该部分在服务器/权限中心完成。管理员可以对用户进行制章、持章、日志审核、公文流转设置4个角色的授权。

（2）基于数字证书和数字水印的制章签名。为了保证电子印章的真实性、不可复制、不可删除性，将印章信息以双水印形式嵌入印章图片中。第一层水印信息包括印章ID、制章者证书、持章者证书。使用制章者私钥加密，利用DCT算法在频域中实现。主要用于验证印章的真实性和有效性。第二层水印信息包括印章制作单位、印章有效期等需要公开的信息，无需加密。利用LSB算法直接嵌入印章图片中。方便用户查看印章基本信息。

（3）基于数字证书和数字水印的签章文档签名及验证。签章时，将电子公文的数据进行散列运算后利用印章持有者私钥签名，将签名后的信息以水印形式嵌入电子印章图片，和原电子公文整合到一起形成一个新的签章文档，实现印章和文档的一对一关系。

验证签名时，对签章文档的印章进行拆分。将签章时嵌入的水印即电子公文的数字签名信息提取出来，并用印章持有者公钥解密，得到结果M1。同时对被签名的原始数据做散列运算，得到结果M2，将两结果进行比较，若一致表示文档信息真实可靠。其签名验证过程如图2所示。

4 结语

本文提出的基于网络的电子印章服务平台集成了PKI技术、数字签名技术、数字水印技术、USB KEY技术。与以前的安全方案比较有以下改进：一是运用了多层数字水印技术。利用电子印章对文档进行多重保护，将文档数字签名以水印形式嵌入印章图片中，真正实现印章与电子公文一一对应的关系，从而保证了电子公文的真实性、可靠性和不可篡改性；二是利用PKI进行身份认证和数字签名，为电子公文进行网络流转提供了有效保障，从而提高电子公文在网络流转过程中的安全性和可靠性。

参考文献：

＼[1＼] 宁子岚.基于数字签名和数字水印技术的电子印章系统＼[D＼].长沙：长沙理工大学，2007.

＼[2＼] 许盛伟，李彦兵.一种基于PKI的电子印章系统安全应用方案＼[J＼].计算机应用软件，2008（10）.

＼[3＼] 宁子岚，向元平.基于PKI和数字水印的电子签章系统＼[J＼].计算机时代，2009（12）.

＼[4＼] 陈勇强，胡汗平.一种基于PKI和数字水印的电子印章应用方案＼[J＼].武汉工业学院学报，2005（2）.

＼[5＼] 刘世栋，杨林.基于CA的电子印章系统设计与实现＼[J＼].国防科技大学学报，2003（1）.