主要處理證書和印章的驗證,以確保簽章的合法性。電子簽章服務器是對印章卡和個人證書進行合法性驗證,確保電子簽章的安全性和嚴密性。主要進行如下幾個方面的驗證:
電子印章認證模塊支持所有客戶端電子簽章軟件進行電子簽章時對電子印章的認證,例如支持MS Office、WPS、RED Office、PDF和網頁簽章時的認證服務。也就是說,不論客戶端電子簽章采取何種電子簽章軟件,都可以使用統壹的認證服務系統,這樣大大提高了系統的整體性和可擴展性,節省了投資。
主要進行以下認證:
a) 數字證書合法性驗證:驗證數字證書是否由指定的合法頒發機構頒發,如果只是客戶端控件,則難以在蓋章時就進行驗證。
b) 數字證書是否過期:即驗證數字證書是否在有效期之內。由於有效的時間必須是服務器端時間,因為依據用戶客戶端時間來判別證書是否在有效期內是沒有任何意義的。
c) 數字證書是否被廢止:電子簽章服務器會定期從數字證書中心獲取廢止的證書列表CRL,這樣,通過驗證證書是否被廢止,就可以保證盡管在有效期內,但由於某種原因被廢止的數字證書對應的電子印章卡不可以簽章。如果沒有驗證服務器這壹點也做不到。
d) 驗證電子印章卡或者身份認證卡是否被掛失或銷毀:如果說以上幾點可以通過公安CA中心提供的服務來完成的話,電子印章卡的狀態列表就只有電子印章管理子系統可以產生和發布。因為盡管以上有關數字證書的驗證都通過,如果電子印章卡臨時遺失、由於電子印章的印模圖片改變而導致電子印章不可再用、或者印章管理中心強制停用某個電子印章,如果簽章時不進行驗證,所有這些情況都難以鑒別出來,進而會導致不合法的電子簽章行為,給電子印章的使用造成混亂。 網頁簽章服務器端組件的主要功能包含在統壹的電子簽名認證服務器中了,其主要就是以下兩項功能:
a) 驗證電子簽章(簽名)卡以及其中數字證書的合法性;
b) 網頁信息的防篡改驗證:通過對簽名對象的數字簽名來鑒別提交的網頁信息是否是簽名之前的信息。只有驗證通過才向數據庫中寫入數據,否則向客戶端報警“網頁信息在提交到服務器端時被篡改”。 文件加解密需要服務器端組件與客戶端組件結合來完成,服務器端組件主要是實現對客戶端提交的加密後的密文進行解密,同時對傳遞到客戶端的文件進行加密。
加解密組件采用數字信封技術實現,數字信封是結合對稱密鑰和非對稱密鑰技術各自的優點來實現高效、安全的加解密。
組件首先利用隨機對稱密鑰對文件進行加密,然後再用收件方的公鑰加密對稱密鑰,並將加密後的密鑰和密文壹起發送到收件人,收件人首先利用自己的私鑰解密出對稱密鑰,再用該密鑰解密密文即可獲得明文文件。
在實際使用中,有時候根據用途而將對稱密鑰成為交換密鑰。
文件加密解密服務器組件的主要功能包括:
a) 對客戶端發送過來的文件進行解密:客戶端加解密組件在解決客戶端到服務器端的文件傳輸安全時,對交換密鑰進行加密的是服務器證書的公鑰,因此,服務器端解密時則采用服務器證書的私鑰進行解密以獲取交換密鑰的明文對密文進行解密。
b) 對發送到客戶端的文件進行加密:當客戶端訪問者需要瀏覽某個文件時,服務器端組件將利用隨機產生的交換密鑰對文件進行加密,然後再用收文方的公鑰對交換密鑰進行加密,將密文與加密後的交換密鑰壹起發送到客戶端。客戶端再利用其自身的私鑰解密獲取交換密鑰並以此交換密鑰解密密文而獲得原文。