PDF电子印章系统的设计.doc

《PDF电子印章系统的设计.doc》由会员分享，可在线阅读，更多相关《PDF电子印章系统的设计.doc（4页珍藏版）》请在三一办公上搜索。

1、ComputerKnowledgeandTechnology电脑知识与技术软件设计开发本栏目责任编辑谢媛媛第6卷第30期2010年10月PDF电子印章系统的设计谢汀芬中南大学软件学院保险职业学院湖南长沙410083摘要随着办公自动化和计算机技术的飞速发展电子公文在人们在生活与工作中的应用越来越频繁该文设计了一种基于PDF的电子印章系统该设计中文档的接收者通过比对接收的文档的数字摘要值与附于电子印章中的摘要值来判断文档是否被篡改从而在一定程度上保证了电子文档的完整性和有效性同时还可以通过与数字证书中的内容比对来确定该文档的电子印章是否由发送方签发以保证印章的真实性。关键词PD电子印章设计实现中图

2、法分类号TP311文献标识码A文章编号1009-3044201030-8533-03DesignElectronicSealBasedonPDFXIEDing-fenCentralSouthUniversityChangsha410083ChinaAbstract:WiththerapiddevelopmentofOAsystemandcomputertechnologytheuseofe-documentinthepeoplelivingandworkingismoreandmorefrequently.ItproposedanewelectronicsealsystembaseonPfil

3、e.Intherealizationofthissystemthereceivesofthedocumentcancomparethenumberofthedigestvaluetodeterminewhetherthedocumenthasbeentampered.Meanwhiletheelec-tronicsealsystemcanachieveitsauthorityandrealitybycomparingthecontentofthedigitalcertificate.Keywords:PDelectronicsealdesignrealizing1概述由于电子印章系统应用范围广

4、从企业到事业单位都在推广无纸化办公而各个单位之间的公文流转并不相同因此电子印章系统通常是一个复杂的系统在设计中需要考虑它的通用性与实用性。本文主要研究C/S模式下的电子印章系统整个系统由服务器端和客户端两个部分构成。服务器端实际上是一个改进的CA中心它主要负责数字证书的颁发、认证等相关操作以及电子印章的制作、分发、归档、存储和失效性等相关操作即对数字证书进行管理也对电子印章文件进行管理。客户端则包含了两个部分分别是数字签名模块和PDF文档生成模块数字签名模块负责对PDF文件中的电子印章数据进行数字签名而PDF文档生成器负责将其它格式的文档转化为PDF格式并实现与用户的直接交互。本系统的三个核心

5、模块分别是数字证书及电子印章管理模块、PDF文档生成器模块和数字签名模块。整个系统结构如图1所示。2电子印章系统中的CA设计2.1改进的CA中电子印章文件结构在已有的电子印章管理系统及研究中对于电子印章的发放、管理、注销以及挂失等常规操作一般是由相关部门的管理人员来进行操作在有些系统中电子印章的开发商也会参与其中这样势必将带来印章管理的混乱造成重大的安全隐患因此需要有一个权威的机构来实现电子印章的管理这种权威机构成为CA中心随着无纸化办公的推进往往一个CA不能快速准确的处理所有的用户请求因此建立合适的CA体系也是非常有必要的。本文将电子印章的管理和数字证书的管理进行整合设计出如下的改进后的CA

6、中心与电子印章管理的关系如图2表示。这种改进后的CA中心将提高整个电子印章系统的工作效率方便用户的各种操作整个系统的信任关系明确清晰从CA分发给用户的文件可信程度更高减少了系统的开发代价降低了系统的开发成本系统更加简洁对用户更加友好。将电子印章管理系统和数字证书管理合并后在新改进的CA中不仅涉及到数字证书的处理也需要对电子印章文件进行相应处理。对于用户而言CA不仅能颁发数字证书而且能颁发电子印章文件。实际上改进的CA需要对这些电子印章文件进行数字签名从而确保电子印章的可信度。电子印章文件的内部结构如图3所示。收稿日期2010-08-06作者简介谢汀芬1981-女湖南长沙人讲师工程硕士研究方向为

7、数字水印加密。图1系统结构图2CA与电子印章关系ISSN1009-3044oputernowledgeandTechnology电脑知识与技术Vol.6No.30October2010pp.8533-8535E-mail:Tel:86-551-569096356909648533ComputerKnowledgeandTechnology电脑知识与技术本栏目责任编辑谢媛媛软件设计开发第6卷第30期2010年10月2.2基于分布式层次简化信任模型的CA中心体系事实上CA中心是PKI的重要组成部分CA中心的建立离不开PKI机制的支撑。PKIPublicKeyInfrastructure是在公开密钥

8、理论和技术基础上的一种综合性安全平台一个典型的PKI系统包含了CA证书机构、RA注册机构以及相应的PKI存储库。在PKI机制中信任关系模型是网络上通信双方?嗷湃蔚幕壳爸髁鞯男湃文椭饕兴闹炙欠直鹗欠植际叫湃文汀A的严格层次模型、以用户为中心的信任模型以及WEB模型不同的信任模型均有其各自的使用环境在电子印章系统中通常会涉及到不同部门或不同机构之间的交互因此本文中提出一种基于分布式层次简化信任模型该模型的信任体系结构如图4所示在这种信任模型中可以根据电子印章系统的需要根据所处部门或者机构的不同将各实体划分到相应的域中而且每个域里只设置一个CA这里称之为部门CA在部门CA的下面不存在子CA只设置一级

9、或者多级的RA这样设置之后可以减少CA的路径处理和其可能带来的安全问题此外通过一级或者多级的RA注册可以分担CA的部分功能从而增强其扩展性同时也降低了CA的负担3客户端的设计与实现基于PDF的电子印章系统的客户端包括PDF文档生成器及数字签名模块下面将分别对它们的设计与实现进行描述3.1PDF文档生成器模块本文所设计的电子印章系统在处理过程中统一处理的是PDF格式的文件因此需要将其它格式的文件转换为PDF格式PDF文档生成器可以实现该转换PDF文档生成器的工作流程PDF文档生成器是本系统的核心之一它可以实现对各种文档格式的PDF转换并进行盖章操作以及文档的封装保护操作其工作流程如下所示1第一步

10、用户创建原始需要盖章的文档2第二步对原始文档完成PDF格式的转换3第三步进行插入盖章的操作4第四步对盖章后的文档进行数字签名操作5最后将该文档发送给接收方本系统中所有的处理文档均采用PDF格式因此将其它文档转换为PDF文档时非常重要的一个步骤它主要包括两个方面的内容1格式转换本系统的设计采用的是通用的虚拟打印机机制利用Adobe公司提供的ps流驱动程序和Ghostscript的动态链接库把各种格式的原始文档转换为PDF格式文档2文档的加密处理采用PKI的数字信封技术利用随机生成的密钥实现对盖章后的PDF文档的ES加密加密后再采用非对称加密算法使用C中心服务器提供的私钥对盖章后的PDF文档的唯一

11、ID号、对之前加密所使用的对称密钥信息进行加密并进行封装该模块的结构如图5所示3.2数字签名模块3.2.1数字签名模块的设计目标数字签名模块主要是用来提供电子印章系统中对数据进行数字签名的方法同时在签名操作完成后将签名信息保存下来当需要发送已经盖章的电子文档时连同签名信息以及原文件一起发送到文件的接收方最后接收方利用各元素对文档进行验证其设计目标主要包含以下几个方面1对文档内容进行数字摘要在发送方将电子文档的内容确定下来准备签名操作时首先需要对电子文档的内容进行数字摘要计算这样操作可以减少所需要进行的数字签名的容量避免数字摘要计算所得到的值过大显然各个文档由于内容和数字等信息的不同必将产生唯一

12、而不重复的数字摘要值当将这个摘要值与电子文档进行关联后就能保证印章的独一无二的特性若有非法用户盗用该电子印章那么经过计算所获得的数字摘要值必定与原文件的数字摘要值不相等在文档接收方的验证将无法通过从而保证了电子印章的安全性2对摘要值进行数字签名数字签名的过程实际上是通过计算所获得的摘要值结合签名者自身的私钥通过一定的加密算法进行计算来得到数字签名的值3对数字摘要进行验证在文档的接收方需要对接收到的文档以及关联文件进行验证该数字签名模块通过解析文件来获得发送方的公钥或者通过读图3电子印章文件内部结构图4PKI信任结构模型图5模块结构图8534ComputerKnowledgeandTechnol

13、ogy电脑知识与技术软件设计开发本栏目责任编辑谢媛媛第6卷第30期2010年10月取发送方的数字证书取得公钥和签名信息将签名的信息解密来获取各元素的摘要算法和摘要值然后将在本地计算得到的摘要值与原摘要值进行对比实现对文档的验证操作。3.2.数字签名模块中数字摘要的实现数字签名与验证的实现均在客户端实现分别面向的是盖章者及印章的验证者需要实现的主要是数字摘要算法及数字签名过程在开发过程中使用的是CSP即加密服务提供体系。数字摘要的实现部分是利用一个Hash函数来产生数字摘要值其输入包含两个部分:用于产生摘要的源数据以及保存摘要值的数组。该过程实现之后数组中将保存输入数据的摘要值。3.3数字签名模

14、块中加密的实现数字加密的实现部分包含四个输入部分它们分别是需要进行加密的数据、用来保存加密后的数据、打开用户PFX文件所需的密码以及指向用户PFX文件的路径。其中前两者均为RYT_DATA_BLOB指针类型而且它们是专门用来对数据进行加密解密操作的结构。该过程实现之后加密得到的值将保存在相应的结构中。3.4数字签名模块中解密的实现解密是用来对已经经过数字签名的数据进行处理以获得数字摘要的过程。解密的实现部分包含三个输入部分它们分别是需要进行解密的数据、用来保存解密后的数据、指向用户公有证书的文件路径。其中前两者均为RYT_TA_BB指针类型而且它们是专门用来对数据进行加密解密操作的结构。该过程

15、实现之后解密得到的值将保存在相应的结构中。在实际编程中也可以通过调用ryptoI提供的与数字签名相关的函数来直接实现数字摘要及签名功能。35数字签名模块中签名的实现数字签名操作部分包含五个输入部分它们分别是摘要算法、用户私有证书的密码、私有证书路径、数字签名的数据以及保存签名值的数据。摘要算法为RYT_LGRITM_IENTIIER类型后两者为RYT_ATA_BB指针类型而且它们是专门用来对数据进行加密解密操作的结构。该过程实现之后数字签名得到的值将保存在相应的结构中。36数字签名模块中验证签名的实现验证签名操作是对输入的数据进行处理的过程它包含三个输入部分它们分别是数字签名后的数据、原数据以

16、及用户公有数字证书路径前两者为RYT_ATA_BB指针类型而且它们是专门用来对数据进行加密解密操作的结构。该过程实现之后将用一个标志位来表示验证是否成功。4服务器端的设计本系统的服务器端实际上是一个改进的A中心它的功能主要包含两个方面一方面是传统的数字证书的管理另一方面是对电子印章的管理。以下分别进行说明。41数字证书的管理用户在客户端根据A的要求填写个人信息等资料向服务器发出申请。服务器根据用户资料颁发数字证书。具体包含以下功能1数字证书的颁发根据用户填写的个人信息生成数字证书证书包含密钥对、颁发者信息、证书版本、序列号、有效日期等信息2数字证书的吊销当数字证书过期后服务器将启动相关程序对该

17、证书进行作废处理3数字证书的存储、归档等其他功能。4电子印章的管理该部分主要是对电子印章的生成、吊销等进行管理在服务器端直接产生印章用户只需要在客户端进行印章插入的操作即可这样可以保证用户印章的一致。以下是该模块具体包含的功能1电子印章文件的产生根据用户填写的个人信息生成电子印章文件文件中包含客户端的私钥、印章序号、有效日期等信息电子印章文件的吊销当印章文件过期后服务器将启动相关程序对该证书进行作废处理此外若用户发现印章文件丢失也可以申请印章作废处理。3电子印章文件的归档、存储等其他功能。数字证书的管理以及电子印章文件的管理可以用图6表示。参考文献1AdamsloydS.Understandi

18、ngublic-keyInfrastructureonceptsStan-dardsandeploymentonsiderationsM.MacmillanTechnicalublishing999.ouseleyRolkT.lanningforKIM.Wileyomputerublishing000.3张军.椭圆曲线数字签名及其在电子公文传输中的应用.成都:成都理工大学007.4冯世立李鹏飞张海峰.基于US安全钥的电子政务系统的安全性J.计算机与网络信息技术200648-51.5姚华祯.ES和ES的效率及安全性比较J.仲恺农业学院学报0061944-48.6吴刚.电子标书时间戳签名确认协议J.中国管理信息化2008703-05.图6电子印章的管理8535