CA认证支撑下的电子文件可信服务研究

杨迪+叶鹏+黄敬林

摘要：随着电子发票、电子证照、电子审批材料、电子凭证、电子病历等电子文件应用的不断深入，电子文件的真实、安全、可用、可信是实际应用的基础，本文研究基于CA的身份认证、数字签名、电子印章、手写电子签名等电子文件防篡改技术，通过在电子文件的全生命周期管理过程中引入相关的技术实现电子文件全生命周期可控，满足电子文件真实可信的要求。

关键词：电子文件；CA；身份认证；数字签名；电子印章；手写电子签名；真实可信

中图分类号：TP317.4 文献标识码：A 文章编号：1007-9416（2017）05-0063-03

1 引言

本文研究通过CA系统关联电子文件系统的用户组织信息实现对数据证书的申请、发放、管理为可信电子文件管理提供可靠的数字签名服务；研究通过印章系统结合数字证书实现对电子印章、原签迹签名等相关印章服务提供统一的管理，通过提供 Ukey和本地软证书两种证书方式对客户端提供客户端证书服务；研究通过统一的集成接口服务为接入电子文件的业务系统提供身份验证、文件传输、远程发章、离线利用等相关电子文件可信服务，达到电子文件防篡改的目标。

2 关键技术研究

2.1 身份认证

身份认证又被称为身份识别（Identification）、实体认证（Entity Authentication）、身份证实（Identity verification），主要用于确定某个用户的真实身份与其是否就是他自己所声称的身份，从而确定用户的具体访问权限。

一个成熟的身份认证系统应当具有以下特征：（1）能正确验证通过合法用户，误报概率小；（2）攻击者伪装成申请者欺骗验证者成功的概率极小；（3）不具有可传递性，即可以抵抗重放攻击；（4）计算有效性；（5）通信有效性；（6）秘密参数能够安全存储；（7）第三方的实时参与以及第三方的可信赖性；（8）可证明安全性。

2.2 数字签名

数字签名指的是使用密码算法对需要签名的文件进行加密后产生可用于表明某个人身份信息的校验密文的过程，从而保证该文件的完整性以及签名者的抗抵赖性，一般采用密码学中的公钥加密算法实现。比较常用的公开密钥签名算法有RSA，DSA等。

2.3 电子印章

电子印章技术目前主流的有以下四种方案，一是公开密钥的电子签字；二是摘要式的电子签章；三是电子邮戳；四是电子签章卡。因电子签章卡方案在管理和应用方面具有一定的优势，目前在集团公司等大型企业和政府电子政务中应用最为广泛。电子签章卡技术是将印章信息存储在一个类似U盘的介质USB-KEY中，基于PKI公钥基础设施方案，对签章者进行身份识别，利用非对称的公钥算法对电子文档进行加密电子签名，并根据传统习惯用印章或签名的图形方式加以表现。使用电子签章卡式电子印章替代传统印章具有如下优点：（1）基于公开密钥算法（PKI）的数字签名认证技术和加密技术，技术成熟且得到广泛认可；（2）数字证书由权威公正的CA中心签发，可以实现安全的身份认证，保障通过网络传送信息的真实性、完整性、保密性和不可否认性；（3）使用随机产生的、由1024位乱码组成的密钥。乱码化運算是一种相当复杂的单向不可逆运算过程，其破解复杂度完全可满足需要，采用电子签章比传统的签字盖章安全得多；（4）可对电子签章卡进行实物管理，与原有公章管理制度容易衔接。

但是由于电子签章卡的实物性质，存在遗失被盗风险，而基于生物特征（指纹）安全技术的电子签章卡，安全性得到进一步提升，在用户使用Ukey的同时还必须进行指纹验证才能完成盖章操作，基本上杜绝了非法盖章的可能性，保障了公章安全。

指纹识别电子印章技术模型如图1，需要对相关技术进行研究开发。

2.4 手写电子签名

几乎所有政府机关和公司在日常办公中都会涉及到大量的审批、汇签操作，传统上相关领导和负责人一般采用手写签字审批的方式，在电子文件凭证化及电子文件单轨制建设过程中，对传统签字方式的电子化方案必不可少。在前期的信息系统建设中，常见的方法是取消签字环节，改用用户名密码的方式在流程中进行确认，同时采用线下纸质签字。但此种单一的审批方式尚有较多不足之处。一是审批痕迹欠缺，批注困难；二是空间受限较严重，制约了信息化系统的网络化、异地化优势，不利于提高工作效率；三是原始纸质凭据与电子化流程无法有效关联。

手写式原笔迹签名技术是电子签名技术的一种，符合《电子签名法》关于可靠签名的特性——唯一性、保密性、不可复制性、防篡改性。用户在手写板或PAD上阅览、圈阅、批注相关电子文件后手写笔进行传统签字确认操作，信息系统可通过分析用户书写过程中的速度、压力、停顿等信息进行识别。由信息系统将所审批文件与手写“签名”图像绑定为一份完整的加密文件，并加盖时间戳、颁发加密证书，完成签名确认等审批审核工作。手写时原笔迹签名技术无需记忆，难以模仿，使用起来更加自然、方便，同时该技术可在数字手写板、平板电脑、手持终端等设备上使用，极大的提高了办公效率，既保持了纸质签名的直观性和证据性，又具备电子签名的便利性和可靠性。适用于领导审批、技术汇签及柜台用户确认等诸多业务环节，该技术的对办公无纸化的推进工作将起到重要的积极作用。手写电子签名效果图，如图2。

目前签名笔迹认证技术主要分为静态认证和动态认证两种。前者是通过扫描仪、摄像机、手写板等输入设备，将签名笔迹图像输入到信息系统，通过笔迹结构、角度等书写习惯进行分析验证的笔迹认证技术；后者是通过手写板等设备实时采集书写人的签名信息，对书写过程中的笔顺、速度、压力等信息进行分析验证的笔迹认证技术。两种技术均有其特定应用范围和优势，将通过研究对比分析两种技术的特点，建立动静态混合的签名认证方案。

建立混合笔迹签名认证计算机模型并进行系统功能设计，原型图，如图3。endprint