移动办公电子签章解决方案-v.doc

移动办公电子签章解决方案 北京安证通信息技术有限公司 2011 05 目录 1 方案背景 1 2 需求分析 2 3 解决方案 3 3 1 方案建设思路 3 3 2 方案总体架构 4 3 3 方案部署说明 5 4 方案流程设计 6 4 1 系统构成 6 4 2 签章流程图 7 4 3 表结构设计 8 5 功能特点 8 1 方案背景 随着应用系统的建设与发展和移动办公的需求 如何解决移动办公中领导 签字 盖章问题 成为企事业单位在信息化建设过程中面临的新的问题 为了 不改变用户的业务流程和用章习惯 根据目前应用系统和移动办公系统的实际 情况 现给出移动办公电子签章解决方案 名词解释 标准办公模式 即目前的办公方式 以 PC 为客户端 连接至网路访问各类 应用服务器 移动办公模式 通过手机等通信设备访问应用系统服务平台 进行日常办 公 两种办公模式的系统部署结构图如下所示 适配服务器 E S A 2 0 0 8 电子签章服务器 办公自动化 新闻采编系统 手机终端 P C 终端 移动办公模式标准办公模式 办公系统部署结构示意图 2 需求分析 目前在标准办公模式情况下 用户在签章过程中 通过 UsbKey 对电子文 件及数据完成签章 考虑到移动办公终端的局限性 所以在移动办公系统中电 子签章系统的建设需解决以下问题 1 手机操作系统的多样性 2 不是所有手机终端都可以支持 SD 卡 3 Quick office 功能比 Microsoft office 功能要弱很多 不能支持直接在文 档中直接插入控件 且文档中没有层的概念 4 尽管有以上局限性 但是手机签章系统的建设必须可以实现对文档的签 章与签章功能 达到保护文档安全性 防篡改 防抵赖的效果 5 考虑到标准办公模式于移动办公模式的交叉使用 需解决在两种办公模 式下文档的互签 互验功能 6 用户所建设的 CA 系统需可以生成软证书 可以将软证书导入至手机或 SD 卡中 7 领导在手机与 PC 交叉办公如何解决撤销签章的问题 3 解决方案 3 1 方案建设思路 结合以上需求 移动办公电子签章系统解决方案建设思路如下 1 考虑到手机操作系统的多样性 对终端系统的支持采用移动办公系统中 的适配服务器进行适配 2 由于终端对 SD 卡支持的局限性 签名过程将使用软证书在电子签章服 务器端完成签名过程 从而保证数据及文档的安全性 如果可以确 保手机终端支持带有数字签名 加密功能的 SD 卡 则系统也可以直 接在手机中完成签名功能 3 考虑到 Quick Office 功能的局限性 将文档型文档采用 pdf 签章软件实 现 对于审批过程中的数据 将继续使用网页签章的模式实现 4 为了保证系统的安全性 无论是 PC 签章还是手机签章 我们均采用标 准的 PKI 技术 所以数据的安全性 完整性和不可抵赖性均可得到 保证 5 由于签名结果数据结构的一致性 所以无论在标准办公模式下签章还是 在移动办公模式下签章 均不会导致数据无法验证的问题 6 一定要保证目前所建设的 CA 系统可以完成软证书的发放或支持将证书 直接写入 SD 卡中 7 考虑到领导存在手机与 PC 交叉使用签章软件的问题 可通过调整撤销 签章验证模式解决 3 2 方案 总体架构 基于以上方案建设思路 移动办公电子签章解决方案总体架构图如下所示 适配服务器 E S A 2 0 0 8 电子签章服务器 办公自动化 新闻采编系统 手机终端 移动办公模式 移动办公签章中间件 移动办公电子签章解决方案可通过两种方式实现对文档的签字盖章即手机 终端完成和移动签章服务器完成 其两种实现方式的详细描述如下所述 3 2 1手机终端签章 基于手机中的 SD 卡进行签章 其工作原理同在 PC 上基于 key 的签章 其 签名 加密过程完全在手机中完成 印章图片可根据 SD 卡的容量决定 可以加 密存储在 SD 卡中 也可存储于电子签章服务器 3 2 2移动签章服务器 ESA2008 电子签章服务器端具有独立的移动签章模块 可同时提供移动办 公签章中间件安装在手机适配服务器端 通过移动办公系统与签章中间件的系 统集成实现签章功能 其实现方式可考虑以下两种方式即主动触发和轮询检测 的方式其原理如下所述 主动触发 即移动签章服务以 Java Servlet 的形式提供给业务系统来调用 业务系统通过 Servlet 的参数将手机号 用户名 签章数据 数字证书等信息 传给签章 Servlet 程序 然后 Servlet 签章完成后 再有业务系统指定的文件 名来输出签章后的文件 其特点是即时性效果好 轮询检测 即移动办公系统与移动签章服务建立公共表 进行文档与参数 的传递 根据相关参数设置 移动签章服务轮询检测需要签章的数据 一旦检 测到需要有待签数据 则自动触发签章程序 读取签章信息进行签章 其特点 是无需客户端进行干预 自动完成签章 但是会给移动办公系统数据库造成一 定的轮询访问压力 具体实现方式可根据实际业务数据大小进行确定 数据共享实现方式也考 虑采用的文件的方式实现 在实际应用中可根据实际的手机终端情况选择不同的实现方式 如果可以 统一手机操作系统和手机终端型号 则可以考虑采用在手机终端通过 SD 卡实现 签章操作 如果手机终端不能支持 SD 卡或多种操作系统并存 则建议采用第二 种方式实现签章功能 并且目前市场上基于 SD 卡本身的签名 加密技术的应用 并不是非常的成熟 3 3 方案部署说明 方案整体部署结构如下图所示 在手机适配服务器端安装移动办公签章中 间件即可 证书颁发机构 电子签章服务器 数据库 适配服务器 数字证书 数据库 服务区 移动办公签章中间件 移动办公 用户 移动办公 用户 移动办公 用户 4 方案流程设计 如果为在手机终端实现签章功能 则跟标准签章模式基本完全相同 以下 将描述基于移动签章服务器进行签章的办公流程 4 1 系统构成 移动办公签章解决方案由websign 批量签章控制程序 电子签章中间件 ESAWEB电子印章管理与认证中心三大部分构成 批量签章控制程序 电子签章软件 签章信息参数表 签章文档库 1 3 5 2 P d f X M L 数据 6 电子印章管理 与认证中心 4 签章成功 传回签章文档 修改标志位 签章失败 写日志 签章失败 写日志 图 1 批量签章流程 印章与证书 存储目录 4 2 签章流程图 由上图 1 可知 整个签章流程包括以下步骤 1 批量签章控制程序按照约定的机制检查需要签章的文档库 查看是否 有需要签章的文件 签章标识为 0 如果有 则进入 2 2 从签章信息参数表中获取待签章文档所需要加盖的印章特性参数以及 签章位置信息 3 批量签章控制程序将所获取的待签章文档以及对应的签章信息参数值 传给电子签章客户端软件 4 签章客户端软件将获得的电子印章信息传给 EASAWEB 电子印章管理与 认证中心软件进行认证 5 认证通过 则从指定目录中获取电子印章和数字证书信息传递给签章 客户端 否则就进入下一个轮巡 6 签章客户端对传递过来的待签章文档进行电子签章 签章成功则写日 志信息到 ESAWEB 电子印章管理与认证中心 同时将签章之后的文档 保存到原始数据库中替代原来的文档 并把文档签章标志改为 1 表示已签章 如果失败 则写日志 但不保存文档 也不改变签章文 档的标志位 系统进入下一个轮巡 4 3 表结构设计 1 首先业务系统将待签章的相关信息写入到共用表中 SIGNDOC SIGNINFO 两表间为 1 1 关系 DOCID 为关联条件 SIGNDOC 表中 DOCID 为业务系统的原始数据与共用的表的数据关系 ISSIGN 字段的值由业务系统置为 0 SOURCEDOC 为业务系统要签章的文档的条件值 根据此条件值去相应的 表中取相应的 PDF 文档 SIGNDOC 为签章后业务系统要存放位置的条件值 根据此条件值去相应 的表中更新相应的 PDF 文档 SIGNINFO 表中 DOCID 为业务系统的原始数据与共用的表的数据关系 SIGNBK 为印章位置 X 坐标与 y 坐标即及 n 页码用 隔开 SIGNEW 为二维条码位置 X 坐标与 y 坐标即及 n 页码用 隔开 SIGNPICID 为印章名称 ID QFSIGNTYPE 预留字段 默认为空 QFSIGNPICID 要签章的 Pfx 证书文件名称 ERWEICONTENT 二维条码的内容 2 签章服务器监测这两个表 如果有要签章的数据 那么执行签章动作 和签二维条码动作 这两个签章动作是签章服务器自动定时执行 具体流程是 与签章服务器有配套的签章客户端 该客户端定期向签章服务器发送签章请求 服务器去监测数据库是否有签章的数据 如果有则将签章相应数据传给客户端 来签章 客户端通过相应数据去取读需签章的 PDF 文件 签过章后把签过章的 文档再传给服务器并根据条件存入相应的数据表中 以及把 ISSIGN 字段置为 1 5 功能特点 1 安全性 以 PKI 体系为基础 结合数字签名技术 完成对电子数据的盖 章 保证电子数据的安全性 完整性和不可抵赖性 2 合法性 结合数字证书 保证签章人身份的合法性和不可抵赖性 3 方便性 移动签章与标准签章办公模式基本相同 4 高效性 即时签章 从而提高办公的效率 5 集成简单 无须对对现有应用系统进行改造