基於安證通ESA2008電子簽章系統架構的 電子簽章系統的總體架構如下圖所示:
電子簽章系統總體架構圖
如上圖所示,整個電子簽章平臺系統由數字證書認證系統(PKI/CA系統)、電子印章管理子系統、電子簽名認證子系統和客戶端電子簽章軟件構成,系統總體架構包括“三橫”、“兩縱”;
其中“三橫”包括:
支撐層:是現有的PKI基礎設施。電子簽章系統是以PKI體系作為基礎的應用類安全平臺系統,通過接口從兩個層面與PKI集成,首先是***用警用USBKEY密碼鑰匙,其次是基於數字證書的認證和簽章、簽名、加密。
管理層:是整個電子簽章系統的核心,是公安各類應用系統應用電子簽章的基礎平臺。包括電子簽章認證系統和電子印章管理系統。從簽章的密鑰盤發放、印章的申請、審批、制作、電子印章的發放、授權/再授權、掛失/取消掛失以及電子印章的銷毀等管理,以及對電子印章的印模圖片庫進行維護和管理,同時提供電子印章使用審計管理功能,是各類應用系統安全使用電子簽章的保障。
應用層:應用層主要包括兩個部分,壹個是公安的業務信息系統,例如:警務平臺、辦公自動化系統(OA)等。另外壹個是電子簽章應用支持系統,能滿足公安各種應用系統內的文檔蓋章,如MS office(word&excel)簽章、wps簽章、pdf簽章、web簽章、 表單簽章等。
“兩縱”包括:
管理體系:在應用系統內采用電子簽章,必須有相應的管理規範相配套包括:簽章申請規範、簽章制作規範、簽章使用規範。作為公安行業電子簽章系統最主要的供應商,北京安證通公司具有公安行業電子印章管理和使用的豐富經驗,我們將在系統部署過程中,與相關部門壹起根據 的具體情況,制定《 電子印章管理和使用規範》,以加強 機關對電子印章的管理。
安全體系:電子簽章系統作為應用安全支撐平臺系統,應該具備完善的安全保障體系,安全保障體系主要包括:安全管理、安全運行、安全技術。關於安全管理,我們將在中標之後,參照我們已經給別的公安系統制定的《電子印章管理與使用規範》協助制定《 電子印章管理與使用規範》;在技術上將采用成熟的技術實現電子印章服務器的集群部署,實現負載均衡和數據同步,保證系統安全穩定的運行。
在不影響現有業務系統流程基礎上,采用在應用層的業務系統內的各類文檔、法律文書中采用嵌入式方式集成電子簽章客戶端軟件,將電子簽章與業務系統和PKI/PMI體系有機整合,達到從上至下,由內而外的“加強管理、保證安全”。
各個部分的具體功能概述如下:
1) 公安CA系統:主要實現數字證書的申請、審批、頒發、銷毀、更新等功能,目前 已經建成PKI基礎設施,本投標方案中電子簽章系統所需要的數字證書統壹由 CA系統頒發和管理。
2) 電子印章管理子系統:主要完成電子印章的申請、審批、制作以及電子印章的發放、授權/再授權、掛失/取消掛失以及電子印章的銷毀管理,以及對電子印章的印模圖片庫進行維護和管理。同時提供電子印章使用審計管理功能-------詳細記錄了簽章人在何時、何處加蓋或撤銷過哪個電子印章。通過“用戶——角色——權限”三維權限管理模型,可以給不同的人賦予不同的角色,進而分配不同的使用權限,這樣可以將申請、制章、管章的權限分配給不同人員,從而從流程上加強印章安全管理,這樣從印章管理的角度也能確保印章來源的真實、可靠。因目前公安key已經下發到民警手中,系統支持本地制章和遠程制章兩種模式,以方便電子印章、電子簽名的制作,且不影響已有業務系統的正常使用。
3) 電子簽名認證子系統:包括了電子印章認證模塊、網頁(表單)千張服務器端組件、信息加解密組件,對所有電子簽章請求和驗章請求進行在線的驗證,確保只有合法的簽署者才可以進行簽章,同時提供身份認證功能。
4) 客戶端電子簽章軟件:電子簽章客戶端軟件是用章人直接使用來實現電子簽章操作的軟件,包括Word簽章軟件、Excel簽章軟件、PDF/DSF簽章軟件、WPS簽章軟件和WEB簽章軟件(含html和winform窗體)以及電子簽章中間件。
由上述總體架構可以看出, 電子簽章系統是壹個系統架構合理,認證體系安全嚴密,能夠支持所有應用信息系統對電子簽章需求的電子簽章平臺系統。