楊迪+葉鵬+黃敬林

摘要：隨著電子發(fā)票、電子證照、電子審批材料、電子憑證、電子病歷等電子文件應(yīng)用的不斷深入，電子文件的真實(shí)、安全、可用、可信是實(shí)際應(yīng)用的基礎(chǔ)，本文研究基于CA的身份認(rèn)證、數(shù)字簽名、電子印章、手寫(xiě)電子簽名等電子文件防篡改技術(shù)，通過(guò)在電子文件的全生命周期管理過(guò)程中引入相關(guān)的技術(shù)實(shí)現(xiàn)電子文件全生命周期可控，滿足電子文件真實(shí)可信的要求。

關(guān)鍵詞：電子文件；CA；身份認(rèn)證；數(shù)字簽名；電子印章；手寫(xiě)電子簽名；真實(shí)可信

中圖分類號(hào)：TP317.4 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）05-0063-03

1 引言

本文研究通過(guò)CA系統(tǒng)關(guān)聯(lián)電子文件系統(tǒng)的用戶組織信息實(shí)現(xiàn)對(duì)數(shù)據(jù)證書(shū)的申請(qǐng)、發(fā)放、管理為可信電子文件管理提供可靠的數(shù)字簽名服務(wù)；研究通過(guò)印章系統(tǒng)結(jié)合數(shù)字證書(shū)實(shí)現(xiàn)對(duì)電子印章、原簽跡簽名等相關(guān)印章服務(wù)提供統(tǒng)一的管理，通過(guò)提供 Ukey和本地軟證書(shū)兩種證書(shū)方式對(duì)客戶端提供客戶端證書(shū)服務(wù)；研究通過(guò)統(tǒng)一的集成接口服務(wù)為接入電子文件的業(yè)務(wù)系統(tǒng)提供身份驗(yàn)證、文件傳輸、遠(yuǎn)程發(fā)章、離線利用等相關(guān)電子文件可信服務(wù)，達(dá)到電子文件防篡改的目標(biāo)。

2 關(guān)鍵技術(shù)研究

2.1 身份認(rèn)證

身份認(rèn)證又被稱為身份識(shí)別（Identification）、實(shí)體認(rèn)證（Entity Authentication）、身份證實(shí)（Identity verification），主要用于確定某個(gè)用戶的真實(shí)身份與其是否就是他自己所聲稱的身份，從而確定用戶的具體訪問(wèn)權(quán)限。

一個(gè)成熟的身份認(rèn)證系統(tǒng)應(yīng)當(dāng)具有以下特征：（1）能正確驗(yàn)證通過(guò)合法用戶，誤報(bào)概率??；（2）攻擊者偽裝成申請(qǐng)者欺騙驗(yàn)證者成功的概率極?。唬?）不具有可傳遞性，即可以抵抗重放攻擊；（4）計(jì)算有效性；（5）通信有效性；（6）秘密參數(shù)能夠安全存儲(chǔ)；（7）第三方的實(shí)時(shí)參與以及第三方的可信賴性；（8）可證明安全性。

2.2 數(shù)字簽名

數(shù)字簽名指的是使用密碼算法對(duì)需要簽名的文件進(jìn)行加密后產(chǎn)生可用于表明某個(gè)人身份信息的校驗(yàn)密文的過(guò)程，從而保證該文件的完整性以及簽名者的抗抵賴性，一般采用密碼學(xué)中的公鑰加密算法實(shí)現(xiàn)。比較常用的公開(kāi)密鑰簽名算法有RSA，DSA等。

2.3 電子印章

電子印章技術(shù)目前主流的有以下四種方案，一是公開(kāi)密鑰的電子簽字；二是摘要式的電子簽章；三是電子郵戳；四是電子簽章卡。因電子簽章卡方案在管理和應(yīng)用方面具有一定的優(yōu)勢(shì)，目前在集團(tuán)公司等大型企業(yè)和政府電子政務(wù)中應(yīng)用最為廣泛。電子簽章卡技術(shù)是將印章信息存儲(chǔ)在一個(gè)類似U盤(pán)的介質(zhì)USB-KEY中，基于PKI公鑰基礎(chǔ)設(shè)施方案，對(duì)簽章者進(jìn)行身份識(shí)別，利用非對(duì)稱的公鑰算法對(duì)電子文檔進(jìn)行加密電子簽名，并根據(jù)傳統(tǒng)習(xí)慣用印章或簽名的圖形方式加以表現(xiàn)。使用電子簽章卡式電子印章替代傳統(tǒng)印章具有如下優(yōu)點(diǎn)：（1）基于公開(kāi)密鑰算法（PKI）的數(shù)字簽名認(rèn)證技術(shù)和加密技術(shù)，技術(shù)成熟且得到廣泛認(rèn)可；（2）數(shù)字證書(shū)由權(quán)威公正的CA中心簽發(fā)，可以實(shí)現(xiàn)安全的身份認(rèn)證，保障通過(guò)網(wǎng)絡(luò)傳送信息的真實(shí)性、完整性、保密性和不可否認(rèn)性；（3）使用隨機(jī)產(chǎn)生的、由1024位亂碼組成的密鑰。亂碼化運(yùn)算是一種相當(dāng)復(fù)雜的單向不可逆運(yùn)算過(guò)程，其破解復(fù)雜度完全可滿足需要，采用電子簽章比傳統(tǒng)的簽字蓋章安全得多；（4）可對(duì)電子簽章卡進(jìn)行實(shí)物管理，與原有公章管理制度容易銜接。

但是由于電子簽章卡的實(shí)物性質(zhì)，存在遺失被盜風(fēng)險(xiǎn)，而基于生物特征（指紋）安全技術(shù)的電子簽章卡，安全性得到進(jìn)一步提升，在用戶使用Ukey的同時(shí)還必須進(jìn)行指紋驗(yàn)證才能完成蓋章操作，基本上杜絕了非法蓋章的可能性，保障了公章安全。

指紋識(shí)別電子印章技術(shù)模型如圖1，需要對(duì)相關(guān)技術(shù)進(jìn)行研究開(kāi)發(fā)。

2.4 手寫(xiě)電子簽名

幾乎所有政府機(jī)關(guān)和公司在日常辦公中都會(huì)涉及到大量的審批、匯簽操作，傳統(tǒng)上相關(guān)領(lǐng)導(dǎo)和負(fù)責(zé)人一般采用手寫(xiě)簽字審批的方式，在電子文件憑證化及電子文件單軌制建設(shè)過(guò)程中，對(duì)傳統(tǒng)簽字方式的電子化方案必不可少。在前期的信息系統(tǒng)建設(shè)中，常見(jiàn)的方法是取消簽字環(huán)節(jié)，改用用戶名密碼的方式在流程中進(jìn)行確認(rèn)，同時(shí)采用線下紙質(zhì)簽字。但此種單一的審批方式尚有較多不足之處。一是審批痕跡欠缺，批注困難；二是空間受限較嚴(yán)重，制約了信息化系統(tǒng)的網(wǎng)絡(luò)化、異地化優(yōu)勢(shì)，不利于提高工作效率；三是原始紙質(zhì)憑據(jù)與電子化流程無(wú)法有效關(guān)聯(lián)。

手寫(xiě)式原筆跡簽名技術(shù)是電子簽名技術(shù)的一種，符合《電子簽名法》關(guān)于可靠簽名的特性——唯一性、保密性、不可復(fù)制性、防篡改性。用戶在手寫(xiě)板或PAD上閱覽、圈閱、批注相關(guān)電子文件后手寫(xiě)筆進(jìn)行傳統(tǒng)簽字確認(rèn)操作，信息系統(tǒng)可通過(guò)分析用戶書(shū)寫(xiě)過(guò)程中的速度、壓力、停頓等信息進(jìn)行識(shí)別。由信息系統(tǒng)將所審批文件與手寫(xiě)“簽名”圖像綁定為一份完整的加密文件，并加蓋時(shí)間戳、頒發(fā)加密證書(shū)，完成簽名確認(rèn)等審批審核工作。手寫(xiě)時(shí)原筆跡簽名技術(shù)無(wú)需記憶，難以模仿，使用起來(lái)更加自然、方便，同時(shí)該技術(shù)可在數(shù)字手寫(xiě)板、平板電腦、手持終端等設(shè)備上使用，極大的提高了辦公效率，既保持了紙質(zhì)簽名的直觀性和證據(jù)性，又具備電子簽名的便利性和可靠性。適用于領(lǐng)導(dǎo)審批、技術(shù)匯簽及柜臺(tái)用戶確認(rèn)等諸多業(yè)務(wù)環(huán)節(jié)，該技術(shù)的對(duì)辦公無(wú)紙化的推進(jìn)工作將起到重要的積極作用。手寫(xiě)電子簽名效果圖，如圖2。

目前簽名筆跡認(rèn)證技術(shù)主要分為靜態(tài)認(rèn)證和動(dòng)態(tài)認(rèn)證兩種。前者是通過(guò)掃描儀、攝像機(jī)、手寫(xiě)板等輸入設(shè)備，將簽名筆跡圖像輸入到信息系統(tǒng)，通過(guò)筆跡結(jié)構(gòu)、角度等書(shū)寫(xiě)習(xí)慣進(jìn)行分析驗(yàn)證的筆跡認(rèn)證技術(shù)；后者是通過(guò)手寫(xiě)板等設(shè)備實(shí)時(shí)采集書(shū)寫(xiě)人的簽名信息，對(duì)書(shū)寫(xiě)過(guò)程中的筆順、速度、壓力等信息進(jìn)行分析驗(yàn)證的筆跡認(rèn)證技術(shù)。兩種技術(shù)均有其特定應(yīng)用范圍和優(yōu)勢(shì)，將通過(guò)研究對(duì)比分析兩種技術(shù)的特點(diǎn)，建立動(dòng)靜態(tài)混合的簽名認(rèn)證方案。

建立混合筆跡簽名認(rèn)證計(jì)算機(jī)模型并進(jìn)行系統(tǒng)功能設(shè)計(jì)，原型圖，如圖3。endprint