ICS35.240

CCSL70

團(tuán)體標(biāo)準(zhǔn)

T/CESAXXXX—202X

電子印章總體技術(shù)框架

Electronicseal—Overalltechnicalframework

征求意見稿

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

已授權(quán)的專利證明材料為專利證書復(fù)印件或扉頁，已公開但尚未授權(quán)的專利申

請(qǐng)證明材料為專利公開通知書復(fù)印件或扉頁，未公開的專利申請(qǐng)的證明材料為專利

申請(qǐng)?zhí)柡蜕暾?qǐng)日期。

202X-XX-XX發(fā)布202X-XX-XX實(shí)施

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)發(fā)布

T/CESAXXXX—202X

電子印章總體技術(shù)框架

1范圍

本文件給出了電子印章的總體技術(shù)框架以及規(guī)定了電子印章各系統(tǒng)結(jié)構(gòu)組成、功能、應(yīng)用流程、安

全等要求。

本文件適用于自然人、法人及其他組織電子印章應(yīng)用服務(wù)場(chǎng)景下電子印章系統(tǒng)的技術(shù)設(shè)計(jì)、開發(fā)和

應(yīng)用，其他業(yè)務(wù)場(chǎng)景在滿足行業(yè)相關(guān)要求的前提下可參照?qǐng)?zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20988信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T38540信息安全技術(shù)安全電子簽章密碼技術(shù)規(guī)范

GM/T0047安全電子簽章密碼檢測(cè)規(guī)范

GA/T1106信息安全技術(shù)電子簽章產(chǎn)品安全技術(shù)要求

3術(shù)語和定義

GB/T38540-2020界定的以及下列術(shù)語和定義適用本文件。

3.1

電子印章electronicseal

一種由電子印章制章者數(shù)字簽名的安全數(shù)據(jù)。

注:包括電子印章所有者信息和圖形化內(nèi)容的數(shù)據(jù)﹐用于安全簽署電子文件。

[來源：GB/T38540-2020,3.1]

3.2

電子簽章electronicsealsignature

使用電子印章簽署電子文件的過程。

注:電子簽章可實(shí)現(xiàn)與紙質(zhì)文件蓋章操作相似的可視效果，可保障數(shù)據(jù)來源的真實(shí)性、數(shù)據(jù)完整性以及簽名人行為的

不可否認(rèn)性。

[來源：GB/T38540-2020,3.2]

3.3

電子印章系統(tǒng)electronicsealsystem

電子印章管理系統(tǒng)和電子簽章軟件的統(tǒng)稱。

1

T/CESAXXXX—202X

[來源：GB/T38540-2020,3.5]

3.4

制章者electronicsealmaker

電子印章系統(tǒng)中具有電子印章制作和管理權(quán)限的機(jī)構(gòu)。

注:電子印章中的圖像和相關(guān)信息應(yīng)經(jīng)制章者進(jìn)行數(shù)字簽名，電子印章中的制章者證書應(yīng)是該機(jī)構(gòu)的單位證書。

[來源：GB/T38540-2020,3.6]

3.5

簽章者electronicsealsigner

電子印章的所有者,是具備電子印章法定使用權(quán)限的實(shí)體。

[來源：GB/T38540-2020,3.7]

3.6

物電一體印章physical-electronicintegratedseal

將傳統(tǒng)實(shí)物印章與電子印章相結(jié)合，完成印章數(shù)據(jù)同模同軌，實(shí)現(xiàn)實(shí)物印章與電子印章的統(tǒng)一管理。

注：電子印章印模數(shù)據(jù)來源由公安部門建設(shè)的印章治安管理信息系統(tǒng)提供，并由公安部門備案并管理。

4縮略語

下列縮略語適用于本文件。

CA：證書頒發(fā)機(jī)構(gòu)（CertificateAuthority）

CRL：證書吊銷列表（CertificateRevocationList）

LDAP：輕量目錄訪問協(xié)議（LightweightDirectoryAccessProtocol）

PIN：個(gè)人識(shí)別密碼（PersonalIdentificationNumber）

PKI：公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）

UKey:通過USB（通用串行總線接口）直接與計(jì)算機(jī)相連、具有密碼驗(yàn)證功能、可靠高速的小型存

儲(chǔ)設(shè)備（USBKey）

5總體技術(shù)框架

5.1概述

電子印章的應(yīng)用是采用PKI公鑰密碼技術(shù)，將數(shù)字圖像處理技術(shù)與電子簽名技術(shù)進(jìn)行結(jié)合，以印章

外觀模擬方式對(duì)電子文檔進(jìn)行數(shù)字簽名，以確保文檔來源的真實(shí)性以及文檔的完整性，防止對(duì)文檔未經(jīng)

授權(quán)的篡改，并保證電子簽章過程機(jī)密性、信息完整性、行為不可抵賴性和事后可追溯性等。

電子印章總體技術(shù)框架包括電子印章管理、服務(wù)和應(yīng)用等內(nèi)容。其主要由電子印章管理系統(tǒng)、電子

印章服務(wù)系統(tǒng)、電子印章應(yīng)用系統(tǒng)和輔助系統(tǒng)構(gòu)成。電子印章總體技術(shù)框架見圖1：

2

T/CESAXXXX—202X

印章備案

公安部門建設(shè)的印章治安管電子印章管理系統(tǒng)

理信息系統(tǒng)

印章數(shù)據(jù)

電子印章數(shù)據(jù)

CA中心電子印章服務(wù)系統(tǒng)

C

頒證RL印用

發(fā)書時(shí)章印

間

證驗(yàn)下調(diào)申

戳

載

請(qǐng)

書用

證

PKI目錄服務(wù)系統(tǒng)

電子印章應(yīng)用系統(tǒng)

輔助系統(tǒng)核心系統(tǒng)

用戶方（自然人、法人及其他組織）

圖1電子印章總體技術(shù)框架

電子印章總體技術(shù)框架應(yīng)包括電子印章管理系統(tǒng)、電子印章服務(wù)系統(tǒng)、電子印章應(yīng)用系統(tǒng)和輔助

系統(tǒng)。其中：

a)電子印章管理系統(tǒng)是對(duì)電子印章受理、制作及簽發(fā)、繳銷進(jìn)行統(tǒng)一、有效處理的管理系統(tǒng)。系

統(tǒng)可通過技術(shù)和管理手段保證電子印章內(nèi)容的真實(shí)有效，即電子印章圖片和電子印章?lián)碛姓?/p>

真實(shí)身份吻合。每一個(gè)電子印章有唯一對(duì)應(yīng)的公鑰證書，電子印章管理系統(tǒng)借助身份證書簽發(fā)

系統(tǒng)為電子印章?lián)碛姓呱暾?qǐng)和制作數(shù)字證書。

b)電子印章服務(wù)系統(tǒng)是為電子印章應(yīng)用提供支撐服務(wù)，提供統(tǒng)一和開放的接口，主要對(duì)簽章、驗(yàn)

章過程提供在線支持。

c)電子印章應(yīng)用系統(tǒng)是簽章者對(duì)具體的簽章對(duì)象文檔進(jìn)行簽章、驗(yàn)章的應(yīng)用軟件，直接面對(duì)最終

用戶，提供電子印章的使用功能。

d)輔助系統(tǒng)主要由公安部門建設(shè)的印章治安管理信息系統(tǒng)、CA中心、PKI目錄服務(wù)系統(tǒng)組成。

5.2電子印章管理系統(tǒng)

5.2.1系統(tǒng)結(jié)構(gòu)組成

電子印章管理系統(tǒng)由印章受理服務(wù)器、LDAP服務(wù)器組成，結(jié)構(gòu)圖見圖2。

印章受理服務(wù)器主LDAP服務(wù)器

PKICA服務(wù)器

PKILDAP服務(wù)器

印章受理終端

3

T/CESAXXXX—202X

圖2電子印章管理系統(tǒng)結(jié)構(gòu)圖

5.2.2功能要求

電子印章管理系統(tǒng)功能設(shè)計(jì)，宜滿足以下功能：

a)印章受理。

b)印章制作。

c)印章繳銷。

d)印章查詢。

e)印章鎖定/解鎖。

f)印章數(shù)據(jù)檢查。

g)日志查詢。

h)日志審計(jì)。

i)印章從業(yè)人員管理。

j)印章檢查人員管理。

k)系統(tǒng)管理員管理。

5.3電子印章服務(wù)系統(tǒng)

5.3.1系統(tǒng)結(jié)構(gòu)組成

電子印章服務(wù)系統(tǒng)由印章服務(wù)網(wǎng)關(guān)、印章授權(quán)服務(wù)器、時(shí)間戳服務(wù)器、在線證書驗(yàn)證服務(wù)器組成，

結(jié)構(gòu)圖見圖3。

密碼設(shè)備數(shù)據(jù)庫

印章授權(quán)服務(wù)器在線證書驗(yàn)證服務(wù)器

印章服務(wù)網(wǎng)關(guān)時(shí)間戳服務(wù)器

圖3電子印章服務(wù)系統(tǒng)結(jié)構(gòu)圖

5.3.2功能要求

電子印章服務(wù)系統(tǒng)功能設(shè)計(jì)，宜滿足以下功能：

a)印章證書在線驗(yàn)證服務(wù)。

b)CRL下載服務(wù)。

c)印章授權(quán)管理功能。

d)用印申請(qǐng)服務(wù)。

e)用印服務(wù)。

f)時(shí)間戳服務(wù)。

5.4電子印章應(yīng)用系統(tǒng)

5.4.1功能要求

4

T/CESAXXXX—202X

電子印章應(yīng)用系統(tǒng)功能設(shè)計(jì)，宜滿足以下功能：

a)印章顯示。

b)查看印章基本信息。

c)查看印章列表。

d)查看證書。

e)簽章功能。

f)驗(yàn)證印章。

g)PIN碼驗(yàn)證。

6電子印章應(yīng)用流程

6.1簽章者申請(qǐng)流程

制章者應(yīng)對(duì)符合資格的簽章者簽發(fā)證書，并進(jìn)行管理。具體流程見圖4：

a)制章者應(yīng)先審核簽章者的簽章資格；

b)資格審核通過后為簽章者向CA系統(tǒng)提交證書申請(qǐng)；

c)將頒發(fā)的簽章者證書下載進(jìn)智能密碼鑰匙中；

d)制章者登錄電子印章管理系統(tǒng)對(duì)簽章者證書信息進(jìn)行記錄；

e)制章者應(yīng)為簽章者證書配置證書鏈以及CRL；

f)電子印章管理系統(tǒng)應(yīng)對(duì)以上操作進(jìn)行記錄并生成相應(yīng)的日志。

開始

審核簽章者資格

審核是否通過

N

Y

申請(qǐng)國密標(biāo)準(zhǔn)證書

證書灌裝進(jìn)入U(xiǎn)Key

配置證書信任鏈信息

結(jié)束

圖4簽章者申請(qǐng)流程

6.2電子印章制發(fā)流程

電子印章制發(fā)前應(yīng)對(duì)印章申請(qǐng)者證書的狀態(tài)以及合法性、有效性進(jìn)行檢查，對(duì)于檢查不合格的證書，

應(yīng)禁止為其制章。

5

T/CESAXXXX—202X

電子印章制作時(shí)應(yīng)確保電子印章印模外觀與實(shí)物印章保持一致，電子印章制作數(shù)據(jù)宜在公安部門

建設(shè)的印章治安管理信息系統(tǒng)完成備案，以實(shí)現(xiàn)實(shí)物印章與電子印章統(tǒng)一管理、同章同模，保證電子印

章數(shù)據(jù)的合規(guī)性。

電子印章具體制發(fā)流程見圖5：

a)印章管理員插入登錄UKey，登錄UKey完成自檢；

b)管理員輸入密碼登錄電子印章管理系統(tǒng)；

c)印章管理員插入簽章者UKey；

d)簽章者UKey完成自檢，自檢通過進(jìn)行下步操作，失敗則結(jié)束電子印章制作；

e)電子印章管理系統(tǒng)驗(yàn)證簽章者UKey身份，身份成功，繼續(xù)下步操作；身份認(rèn)證失敗則結(jié)束電子

印章制作；

f)印章管理員添加簽章者單位信息；印章管理員添加印章信息，應(yīng)選擇簽章者所屬單位、印章屬

性、印章圖片、圖片長寬等信息；

g)信息輸入完成后保存印章數(shù)據(jù)，電子印章制作完成。

管理員登入

開始Ukey

進(jìn)行自檢

登入簽章者UkeyYN

進(jìn)行自檢自檢是否通過

NY

自檢是否通過寫入簽章者主體信息

公安印章管理部

寫入印章主體信息門備案印章信息

保存電子印章結(jié)構(gòu)數(shù)據(jù)

結(jié)束

圖5電子印章制發(fā)流程

6.3電子印章驗(yàn)證流程

電子印章的驗(yàn)證流程見圖6，具體要求應(yīng)滿足GB/T38540-2020中6.3節(jié)中的規(guī)定。

6

T/CESAXXXX—202X

開始

獲取待驗(yàn)證

電子印章數(shù)據(jù)

N電子印章

數(shù)據(jù)格式合規(guī)性

Y

簽名數(shù)據(jù)驗(yàn)證

N

電子印章

簽名值的正確性

Y

制章人證書信任鏈；

有效期；吊銷列表；

密鑰用法；

N

制章人簽名證書

的有效性

Y

N電子印章日期的

有效性

Y

結(jié)束

圖6電子印章驗(yàn)證流程

6.4電子印章簽署流程

電子印章簽署流程見圖7，具體要求應(yīng)滿足GB/T38540-2020中7.2節(jié)中的規(guī)定。

7

T/CESAXXXX—202X

開始

N

檢測(cè)鑰匙盤狀態(tài)

Y

獲取鑰匙盤中簽章者數(shù)據(jù)

證書信任鏈驗(yàn)證

N

證書有效期驗(yàn)證

證書吊銷列表驗(yàn)證

證書密鑰用法驗(yàn)證

Y

獲取鑰匙盤電子印章數(shù)據(jù)

N

驗(yàn)證電子印章

合規(guī)性

Y

獲取簽章者證書列表

N驗(yàn)證簽章證書是

否存在于簽章者

證書列表中

Y

獲取待簽名原文數(shù)據(jù)

計(jì)算待簽名原文數(shù)據(jù)雜湊值

N對(duì)原文數(shù)據(jù)雜湊值

進(jìn)行簽名，并驗(yàn)證

簽名數(shù)據(jù)有效性

Y

加蓋印章，上傳操作日志

結(jié)束

圖7電子印章簽署流程

8

T/CESAXXXX—202X

6.5電子簽章驗(yàn)證流程

電子簽章驗(yàn)證流程見圖8，具體要求應(yīng)滿足GB/T38540-2020中7.3節(jié)中的規(guī)定。

開始

獲取待驗(yàn)證電子簽章數(shù)據(jù)

N

電子簽章

數(shù)據(jù)格式合規(guī)性

Y

獲取待驗(yàn)證電子簽章簽名值

N

電子簽章

簽名值的正確性

Y

獲取待驗(yàn)證電子簽章簽名證書

N

簽章證書的有效性

Y

獲取電子簽章時(shí)間信息

N

簽章時(shí)間的有效性

Y

計(jì)算原文雜湊值

N匹配原文雜湊值，驗(yàn)

證雜湊值的正確性