構(gòu)建電子印章一體化管理體系初探

◆宋慶蓉 吳勇華 周文卓

構(gòu)建電子印章一體化管理體系初探

◆宋慶蓉1吳勇華2周文卓3

（1.廣西壯族自治區(qū)人民政府辦公廳內(nèi)網(wǎng)管理中心 廣西 530012；2.廣西壯族自治區(qū)人民政府辦公廳內(nèi)網(wǎng)管理中心 廣西 530012；3.中安網(wǎng)脈（北京）技術(shù)股份有限公司 廣西 530000）

目前電子印章與物理印章具有同等的法律效力，已經(jīng)成為各級(jí)各部門電子公文系統(tǒng)不可或缺的工具。當(dāng)前各地使用的電子印章系統(tǒng)并未采用統(tǒng)一的電子印章和簽章數(shù)據(jù)格式、簽章和驗(yàn)簽流程、服務(wù)接口及密碼算法標(biāo)準(zhǔn)，導(dǎo)致不同行政地區(qū)、不同部門、不同行業(yè)的電子印章無(wú)法做到互認(rèn)互驗(yàn)。規(guī)范統(tǒng)一互認(rèn)的數(shù)據(jù)格式、驗(yàn)簽流程、通信協(xié)議及密碼服務(wù)接口標(biāo)準(zhǔn)，是構(gòu)建規(guī)范統(tǒng)一電子印章系統(tǒng)實(shí)現(xiàn)互認(rèn)互驗(yàn)的前提，建設(shè)標(biāo)準(zhǔn)統(tǒng)一的電子印章庫(kù)是電子印章實(shí)現(xiàn)互認(rèn)互驗(yàn)的關(guān)鍵。

電子印章；電子簽章；互認(rèn)互驗(yàn)；印章標(biāo)準(zhǔn)

電子印章是將傳統(tǒng)印章與電子簽名技術(shù)進(jìn)行結(jié)合，通過(guò)采用組件技術(shù)、PKI技術(shù)、圖像處理技術(shù)以及密碼技術(shù)，按照公鑰密碼技術(shù)標(biāo)準(zhǔn)體系，以電子形式對(duì)電子文檔進(jìn)行數(shù)字簽名及簽章，以確保文檔來(lái)源的真實(shí)性及文檔完整性，防止對(duì)文檔未經(jīng)授權(quán)的篡改，并確保簽章行為的不可否認(rèn)性。

目前市場(chǎng)上電子印章產(chǎn)品很多，不同行政區(qū)劃、行業(yè)、系統(tǒng)可能采用的是不同的電子印章產(chǎn)品，在電子印章推廣使用中，必然要碰到產(chǎn)品的技術(shù)和應(yīng)用模式的標(biāo)準(zhǔn)化問題[1]。電子印章系統(tǒng)建設(shè)標(biāo)準(zhǔn)有很多，其中主流的《安全電子簽章密碼技術(shù)規(guī)范GM/T 0031-2014》[2]、《國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)C 0120-2018》[3]、《信息安全技術(shù)安全電子簽章密碼技術(shù)規(guī)范GB/T 38540-2020》[4]均為國(guó)家制定的相關(guān)技術(shù)規(guī)范，分別適用于各類電子政務(wù)應(yīng)用中電子印章系統(tǒng)的開發(fā)和使用、國(guó)家政務(wù)服務(wù)平臺(tái)電子印章系統(tǒng)的建設(shè)。通過(guò)對(duì)以上3個(gè)技術(shù)標(biāo)準(zhǔn)的對(duì)比分析，發(fā)現(xiàn)印章系統(tǒng)除了基礎(chǔ)的數(shù)字簽名技術(shù)外，并沒有統(tǒng)一的數(shù)據(jù)格式、服務(wù)接口以及標(biāo)準(zhǔn)化的技術(shù)架構(gòu)，在電子印章數(shù)據(jù)格式、電子簽章數(shù)據(jù)格式、簽章和驗(yàn)簽流程、服務(wù)接口及密碼算法等存在著差異，而且沒有設(shè)計(jì)統(tǒng)一的電子印章庫(kù)。結(jié)合以上3個(gè)國(guó)家電子印章技術(shù)標(biāo)準(zhǔn)以及電子印章實(shí)際使用情況以及各級(jí)各部門電子公文系統(tǒng)電子印章的使用需求，本文提出一種電子印章系統(tǒng)架構(gòu)，淺析如何做到電子印章系統(tǒng)互認(rèn)互驗(yàn)。

1 電子印章技術(shù)標(biāo)準(zhǔn)簡(jiǎn)述

近年來(lái)主流的電子印章技術(shù)標(biāo)準(zhǔn)及規(guī)范有GM/T0031-201（4）國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)、GB/T 38540-2020以及相關(guān)機(jī)構(gòu)發(fā)布的業(yè)務(wù)標(biāo)準(zhǔn)，確保了電子公文的真實(shí)性、完整性、不可抵賴性和可驗(yàn)證性及電子印章本身的完整性、不可偽造性以及合法性，但是這些技術(shù)標(biāo)準(zhǔn)沒有統(tǒng)一的電子印章和簽章數(shù)據(jù)格式，統(tǒng)一的驗(yàn)章、簽章和驗(yàn)簽流程，統(tǒng)一的應(yīng)用服務(wù)接口及密碼算法標(biāo)準(zhǔn)，沒有把所有印章數(shù)據(jù)整合起來(lái)，難以做到互相兼容，導(dǎo)致現(xiàn)有的電子印章系統(tǒng)無(wú)法做到跨行政區(qū)域、跨行業(yè)、跨部門、跨網(wǎng)絡(luò)、跨應(yīng)用間互認(rèn)互驗(yàn)。

2 電子印章技術(shù)標(biāo)準(zhǔn)對(duì)比

我國(guó)2003年6月1日起實(shí)施《中華人民共和國(guó)電子簽章條例》，2005年4月1日啟動(dòng)首部信息化法律——《電子簽名法》，電子印章開始逐步走進(jìn)我們的生活。電子印章首先在政府機(jī)構(gòu)大量應(yīng)用，電子印章可以解決政府辦公管理的地理瓶頸，與現(xiàn)代政府管理的應(yīng)用相結(jié)合，在電子公文流轉(zhuǎn)時(shí)加蓋電子印章確保電子公文的真實(shí)性、完整性、不可抵賴性和可驗(yàn)證性。

為滿足電子公文應(yīng)用對(duì)電子印章的實(shí)際使用需求，各機(jī)關(guān)單位建設(shè)了各自的電子印章系統(tǒng)，但建設(shè)的技術(shù)標(biāo)準(zhǔn)不統(tǒng)一且互不兼容，產(chǎn)生了電子印章跨行政區(qū)域、跨行業(yè)、跨部門、跨網(wǎng)絡(luò)、跨應(yīng)用互認(rèn)互驗(yàn)難。

基于不同標(biāo)準(zhǔn)建設(shè)的電子印章系統(tǒng)互認(rèn)互驗(yàn)的需求，亟須解決現(xiàn)有存在的問題。我們從電子印章、電子簽章數(shù)據(jù)格式和電子印章、電子簽章驗(yàn)證流程的角度淺析GM/T0031-201（4）國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)、GB/T38540-2020三大技術(shù)標(biāo)準(zhǔn)之間的差異性，闡述解決跨行政區(qū)域、跨行業(yè)、跨應(yīng)用實(shí)現(xiàn)電子印章系統(tǒng)互認(rèn)互驗(yàn)問題、建設(shè)總體電子印章庫(kù)的方案可行性。

3 數(shù)據(jù)格式對(duì)比

3.1 電子印章數(shù)據(jù)格式

對(duì)比GM/T0031-201（4）國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)、GB/T38540-2020標(biāo)準(zhǔn)，從組成層次、組成內(nèi)容兩個(gè)方面分析這三個(gè)標(biāo)準(zhǔn)的電子印章數(shù)據(jù)格式，如下圖1、2、3所示。

圖1 GM/T0031標(biāo)準(zhǔn)電子印章數(shù)據(jù)格式

圖2 國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)電子印章數(shù)據(jù)格式

經(jīng)對(duì)比分析，這三種標(biāo)準(zhǔn)的電子印章數(shù)據(jù)格式自上而下均有三層。

第一層：GM/T0031標(biāo)準(zhǔn)將簽名信息放在第一層，簽名信息內(nèi)容放在第二層中拆開；國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)和GB/T38540標(biāo)準(zhǔn)均在第一層中將簽名信息拆開顯示。

第二層：GM/T0031標(biāo)準(zhǔn)將簽名信息顯示出來(lái)，其他的印章信息組成基本相同。

第三層：三種標(biāo)準(zhǔn)均按印章頭、屬性信息、印章圖片信息分為三部分。頭信息中三種標(biāo)準(zhǔn)顯示相同；屬性信息中，GM/T0031標(biāo)準(zhǔn)中不存在簽章者證書類型，國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)和GB/T38540標(biāo)準(zhǔn)中均存在，其他信息基本相同（稱謂不同）；印章圖片信息中，38540標(biāo)準(zhǔn)將圖像的寬度和高度分為兩個(gè)格式，而GM/T0031和國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)將圖像的高度和寬度分為一個(gè)格式，其他信息相同。

圖3 GB/T38540標(biāo)準(zhǔn)電子印章數(shù)據(jù)格式

3.2 電子簽章數(shù)據(jù)格式

對(duì)比GM/T0031-201（4）國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)、GB/T38540-2020標(biāo)準(zhǔn)中的電子簽章數(shù)據(jù)格式，如圖4、5、6所示：

圖4 0031標(biāo)準(zhǔn)電子簽章數(shù)據(jù)格式

圖5 國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)電子簽章數(shù)據(jù)格式

圖6 38540標(biāo)準(zhǔn)電子簽章數(shù)據(jù)格式

對(duì)比分析這三種標(biāo)準(zhǔn)的電子簽章數(shù)據(jù)格式，從組成層次上分析，三者均分兩層，但0031標(biāo)準(zhǔn)將簽章人證書和簽名算法標(biāo)識(shí)歸納到第二層。從組成內(nèi)容分析，國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)和38540標(biāo)準(zhǔn)組成內(nèi)容相同，但0031標(biāo)準(zhǔn)中缺少時(shí)間戳和自定義數(shù)據(jù)。

4 驗(yàn)證流程對(duì)比

4.1 電子印章驗(yàn)證流程

對(duì)比分析GM/T0031-201（4）國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)、GB/T38540-2020的電子印章驗(yàn)證流程，如表1所示：

表1 電子印章驗(yàn)證流程對(duì)比

對(duì)比分析以上三個(gè)標(biāo)準(zhǔn)的電子印章驗(yàn)證流程，均需要驗(yàn)證電子印章數(shù)據(jù)格式合規(guī)性、電子印章簽名值正確性、電子印章制章人證書有效性和電子印章有效期，只是在驗(yàn)證流程存在先后順序的差異。另外國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)需要額外驗(yàn)證電子印章狀態(tài)有效性，其他流程基本相同。

4.2 電子簽章驗(yàn)證流程

對(duì)比分析GM/T0031-201（4）國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)、GB/T38540-2020的電子簽章驗(yàn)證流程，如表2所示：

表2 電子簽章驗(yàn)證流程對(duì)比

對(duì)比分析以上三個(gè)標(biāo)準(zhǔn)的電子簽章驗(yàn)證流程，均需要驗(yàn)證電子簽章數(shù)據(jù)格式合規(guī)性、電子簽章簽名值正確性、電子簽章數(shù)字證書有效性、簽章時(shí)間有效性、原文雜湊值和電子印章有效性。而國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)和38540標(biāo)準(zhǔn)多驗(yàn)證簽章人證書是否在簽章人證書列表中和驗(yàn)證時(shí)間戳的有效性，而且三者之間的驗(yàn)證流程先后順序存在差異。

5 電子印章互驗(yàn)互認(rèn)設(shè)計(jì)

根據(jù)以上對(duì)GM/T0031-201（4）國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)、GB/T38540-2020標(biāo)準(zhǔn)的對(duì)比發(fā)現(xiàn)，在三大主流電子印章標(biāo)準(zhǔn)里，電子印章和電子簽章數(shù)據(jù)格式的組成層次和組成內(nèi)容基本一致，僅有層次內(nèi)容上下分布差異。基于這三大標(biāo)準(zhǔn)研發(fā)的電子印章產(chǎn)品，適配調(diào)試電子印章和電子簽章數(shù)據(jù)格式、雜湊算法、簽名算法間互相兼容是實(shí)現(xiàn)跨行政區(qū)域、跨行業(yè)、跨應(yīng)用之間電子印章互認(rèn)互驗(yàn)的先決條件。

另外，這三大主流電子印章標(biāo)準(zhǔn)中，電子簽章驗(yàn)證流程基本一致，只是驗(yàn)證流程的先后順序有所差異。另外國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)和GB/T38540-2020標(biāo)準(zhǔn)相比于GM/T0031-2014標(biāo)準(zhǔn)都有額外驗(yàn)證項(xiàng)，也說(shuō)明國(guó)家政務(wù)服務(wù)平臺(tái)標(biāo)準(zhǔn)和GB/T38540-2020標(biāo)準(zhǔn)規(guī)范要求更精細(xì)，但是對(duì)于整體驗(yàn)證流程而言影響不大。所以適配、設(shè)計(jì)兼容統(tǒng)一的電子印章和電子簽章驗(yàn)證流程，建設(shè)總體電子印章庫(kù)整合所有的電子印章制章數(shù)據(jù)，是實(shí)現(xiàn)跨行政區(qū)域、跨行業(yè)、跨應(yīng)用之間電子印章互認(rèn)互驗(yàn)的關(guān)鍵。

基于以上技術(shù)解決思路，我們提出一種電子印章系統(tǒng)方案，實(shí)現(xiàn)對(duì)三大主流電子印章標(biāo)準(zhǔn)的兼容，對(duì)不同標(biāo)準(zhǔn)的電子印章實(shí)現(xiàn)互驗(yàn)互認(rèn)。

6 電子印章系統(tǒng)架構(gòu)

電子印章系統(tǒng)主要由電子印章服務(wù)器端、電子印章客戶端和電子認(rèn)證基礎(chǔ)設(shè)施組成。如下圖7所示。

電子印章服務(wù)器端由制章系統(tǒng)和服務(wù)系統(tǒng)組成。電子印章制章系統(tǒng)主要完成簽章人證書導(dǎo)入、印章申請(qǐng)信息錄入、初審、印章發(fā)放、狀態(tài)變更等工作，處理印章制作、撤銷、凍結(jié)、解凍等申請(qǐng)業(yè)務(wù)。電子印章服務(wù)系統(tǒng)同步采集已制作、已發(fā)放的電子印章數(shù)據(jù)，提供電子印章在線蓋章、驗(yàn)章服務(wù)。

電子印章客戶端包含印章存儲(chǔ)載體和簽章人證書存儲(chǔ)載體和電子簽章客戶端。電子印章存儲(chǔ)載體用于存儲(chǔ)電子印章數(shù)據(jù)，一般采用USBKEY作為載體，簽章人證書載體用于存儲(chǔ)簽章人證書，一般由權(quán)威CA直接發(fā)放到USBKEY內(nèi)。電子簽章客戶端主要提供蓋章、驗(yàn)章驗(yàn)簽等服務(wù)。

電子認(rèn)證基礎(chǔ)設(shè)施是電子印章系統(tǒng)的支撐，為電子印章系統(tǒng)提供所需身份證書、機(jī)構(gòu)證書及證書查驗(yàn)服務(wù)。

圖7 電子印章系統(tǒng)組成

8 建立統(tǒng)一印章庫(kù)

8.1 統(tǒng)一兼容不同印章數(shù)據(jù)格式

適配統(tǒng)一兼容的電子印章和電子簽章數(shù)據(jù)格式、雜湊算法、簽名算法，建設(shè)標(biāo)準(zhǔn)統(tǒng)一且高兼容性的電子印章庫(kù)，整合現(xiàn)有印章數(shù)據(jù)，實(shí)現(xiàn)跨行政區(qū)域、跨網(wǎng)絡(luò)、跨行業(yè)電子印章互認(rèn)互驗(yàn)。

基于內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)情況，建設(shè)總體電子印章庫(kù)數(shù)據(jù)同步流程如圖8所示，公共網(wǎng)絡(luò)電子印章制章系統(tǒng)按兼容的技術(shù)標(biāo)準(zhǔn)和密碼算法生成印章數(shù)據(jù)和印章狀態(tài)，生成的電子印章數(shù)據(jù)和狀態(tài)通過(guò)統(tǒng)一的服務(wù)接口自動(dòng)或手動(dòng)導(dǎo)入的形式將印章數(shù)據(jù)及狀態(tài)同步到公共網(wǎng)絡(luò)電子印章庫(kù)，公共網(wǎng)絡(luò)電子印章客戶端調(diào)用服務(wù)接口獲取印章數(shù)據(jù)、狀態(tài)信息，達(dá)到電子公文在線蓋章、驗(yàn)章的目的。

圖8 印章庫(kù)數(shù)據(jù)同步流程

同理，內(nèi)部網(wǎng)絡(luò)電子印章庫(kù)通過(guò)服務(wù)接口完成內(nèi)部網(wǎng)絡(luò)電子印章數(shù)據(jù)和印章狀態(tài)采集，通過(guò)單導(dǎo)的方式獲取公共網(wǎng)絡(luò)電子印章數(shù)據(jù)及狀態(tài)，這樣內(nèi)部網(wǎng)絡(luò)電子印章庫(kù)有內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)的全部電子印章數(shù)據(jù)及印章狀態(tài)，不僅達(dá)到內(nèi)部網(wǎng)絡(luò)電子印章客戶端對(duì)內(nèi)部網(wǎng)絡(luò)電子公文做蓋章、驗(yàn)章操作的目的，也能驗(yàn)證加蓋公共網(wǎng)絡(luò)電子印章電子公文的真實(shí)性、完整性、不可抵賴性和可驗(yàn)證性，實(shí)現(xiàn)在內(nèi)部網(wǎng)絡(luò)環(huán)境對(duì)公共網(wǎng)絡(luò)電子印章的驗(yàn)章操作。

8.2 統(tǒng)一兼容不同印章驗(yàn)證流程

圖9 電子簽章驗(yàn)簽流程

制定統(tǒng)一電子簽章的驗(yàn)簽流程[5]，可參照三大主流電子印章標(biāo)準(zhǔn)進(jìn)行歸納，驗(yàn)證電子印章是否合規(guī)有效，蓋章文件的真實(shí)性、完整性，不可抵賴性。首先，對(duì)電子簽章數(shù)據(jù)格式類型識(shí)別，根據(jù)該類型電子簽章格式規(guī)范解析電子簽章數(shù)據(jù)，驗(yàn)證其合規(guī)性，驗(yàn)證其簽名值是否正確，然后，驗(yàn)證簽章人數(shù)字證書和簽章時(shí)間的有效性，其次，驗(yàn)證原文雜湊值，最后，驗(yàn)證電子印章的合規(guī)性、有效性，并驗(yàn)證簽章時(shí)間是否在印章有效期內(nèi)。當(dāng)上述驗(yàn)證均有效時(shí)電子簽章驗(yàn)證結(jié)果才有效，電子簽章驗(yàn)證流程如圖9所示。

9 結(jié)語(yǔ)

本文參考了國(guó)內(nèi)三大主流電子印章技術(shù)標(biāo)準(zhǔn)，對(duì)電子印章、電子簽章數(shù)據(jù)格式，雜湊算法、簽名算法，簽章、驗(yàn)簽流程等進(jìn)行兼容統(tǒng)一設(shè)計(jì)，提出了一個(gè)通用的電子印章系統(tǒng)架構(gòu)，通過(guò)建設(shè)統(tǒng)一兼容的電子印章庫(kù)實(shí)現(xiàn)對(duì)不同技術(shù)標(biāo)準(zhǔn)的電子印章間的互認(rèn)互驗(yàn)。

[1]宋建平，徐金偉.對(duì)電子印章的發(fā)展和應(yīng)用現(xiàn)狀的分析與思考[J].計(jì)算機(jī)安全，2008（4）：1-7.

[2]GM/T0031-2014 安全電子簽章密碼技術(shù)規(guī)范.

[3]國(guó)家政務(wù)平臺(tái)服務(wù)標(biāo)準(zhǔn).

[4]GB/T38540-2020 信息安全技術(shù)安全電子簽章密碼技術(shù)規(guī)范.

[5]許盛偉，張珍珍，崔敏龍.電子印章系統(tǒng)的互信互驗(yàn)關(guān)鍵技術(shù)研究與設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2016，37（07）：1777-1780.