OA系统CA数字证书认证和电子签名解决方案

电子签章平台解决方案电子印章平台是为业务人员提供电子化签批技术手段，在审批过程中实现业务人员电子化签批及部门业务章的电子化签印的应用支撑平台。

通过提供数字证书服务，实现客户端登录、信息申报提交过程中的数字加密服务。

在本项目中，电子签章用于辅助业务办理系统进行业务的电化审批，主要应用于网上受理、网上审核、办结出证三个环节，实现以下功能：1.在业务人受理业务时进行电子化签批及受理信息的加密，实现受理人员身份的确认及受理信息的防篡改验证。

2.使用电子签章客户端U盾完成各部门业务人员在业务审核审批中的电子化签章，实现审批人员身份的确认及审批信息的防篡改验证。

3.在办结发证时进行证照批文电子化盖章，签章信息具有可查询、追溯。

一、整体架构政务服务申请人在线提交各类电子表单和电子文档材料时，根据所申请服务事项的要求，在电子表单和电子文档材料上加盖申请人的电子印章。

政务服务实施机构在事项办结时，在办件结果电子证照及文书上加盖签发机构的电子印章。

经加盖电子印章的表单、文档材料、电子证照、文书，均可进行签章信息查看（包括签章者姓名、印章名称、签章时间、签章保护内容等）、印章证书查看（包括印章关联证书的基本信息、有效期限、颁发机构和颁发目的等）、文档完整性检查（被篡改的文档显示无效印章的样式）。

电子印章平台是以PKI体系和数字签名等技术为基础，利用数字证书为证书载体和用户身份认证的凭证，为用户的用章行为提供授权和验证等服务，满足电子文书内容真实、完整、不可否认以及盖章、签字合法性的应用要求。

同时也可提供与签章相关联的或是增强签章安全性一些其他服务。

基于电子印章系统架构的电子印章平台的总体架构如下图所示：二、部署架构电子签章平台由电子签章服务器及签章客户端组成，部署架构如下图所示：1、电子签章服务器电子签章服务器部署在信息中心，主要负责电子签章U盾CA数字证书的颁发和使用控制，还负责进行电子签章、部门印章前的验证和印章、签名后的验证及管理工作。

统一身份认证及访问控制技术方案1.方案概述1.1. 项目背景随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/Intranet 的业务系统，如各类网上申报系统，网上审批系统，OA 系统等。

系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施；而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题：1)如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度；2)多个身份认证系统会增加整个系统的管理工作成本；3)用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨；4)无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化；5)无法统一分析用户的应用行为；因此，对于有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少整个系统的成本。

单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关"的目标，方便用户使用。

1.2. 系统概述针对上述状况，企业单位希望为用户提供统一的信息资源认证访问入口，建立统一的、基于角色的和个性化的信息访问、集成平台的单点登录平台系统。

该系统具备如下特点：∙单点登录：用户只需登录一次，即可通过单点登录系统（SSO）访问后台的多个应用系统，无需重新登录后台的各个应用系统。

后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。

∙即插即用：通过简单的配置，无须用户修改任何现有B/S、C/S应用系统，即可使用。

解决了当前其他SSO解决方案实施困难的难题。

∙多样的身份认证机制：同时支持基于PKI/CA数字证书和用户名/口令身份认证方式，可单独使用也可组合使用。

身份管理平台解决方案1. 应用背景计算机网络和信息技术的迅速发展使得企业信息化的程度不断提高，在企业信息化过程中，诸如OA、CRM、ERP、OSS等越来越多的业务系统应运而生，提高了企业的管理水平和运行效率。

与此同时，各个应用系统都有自己的认证体系，随着应用系统的不断增加，一方面企业员工在业务系统的访问过程中，不得不记忆大量的帐户口令，而口令又极易遗忘或泄露，为企业带来损失；另一方面，企业信息的获取途径不断增多，但是缺乏对这些信息进行综合展示的平台。

在上述背景下，企业信息资源的整合逐步提上日程，并在此基础上形成了各业务系统统一认证、单点登录（SSO）和信息综合展示的企业门户（Portal）。

现有的门户产品多集中于口令方式的身份认证，如何更安全的进行统一认证，并保证业务系统访问的安全性，成为关注的焦点。

2. 基于CA认证的统一身份管理平台时代亿信推出的基于CA认证的统一身份管理平台解决方案，以资源整合（业务系统整合和内容整合）为目标，以CA认证和PKI技术为基础，通过对用户身份的统一认证和访问控制，更安全地实现各业务系统的单点登录和信息资源的整合。

平台兼容口令认证、PFX证书文件认证、USB智能卡认证等多种认证方式，并采用SSL 加密通道、关键信息加密签名、访问控制策略等安全技术充分保证身份认证和业务系统访问过程的安全性。

2.1 系统功能及架构平台的系统架构如图1所示，主要包括以下部分：门户系统（Portal）：各业务系统信息资源的综合展现；平台管理系统：平台用户的注册、授权、审计；各业务系统的配置；门户管理；CA系统：平台用户的数字证书申请、签发和管理；用户统一认证：用户身份的CA数字证书认证、认证过程的SSL加密通道；单点登录（SSO）：业务系统关联（mapping）、访问控制、访问业务系统时信息的加密签名和SSL加密通道；图1 基于CA认证的统一身份管理平台架构2.2 系统的实现和安全机制2.2.1 用户注册和授权（1）企业每一个用户在平台完成用户注册，得到自己的统一帐户（passport）；（2）如果采用证书文件或USB智能卡认证方式，则CA系统自动为平台用户签发数字证书，并与用户的统一帐户对应。

OA办公系统需求方案1.引言2.目标和目的3.功能需求4.非功能需求5.系统架构6.项目计划7.风险管理8.结论引言OA办公系统是一种基于互联网的办公自动化系统，旨在提高企业的工作效率和管理水平。

本文将详细介绍OA办公系统的需求方案，包括目标和目的、功能需求、非功能需求、系统架构、项目计划和风险管理等方面。

目标和目的OA办公系统的目标是为企业提供一个高效、方便、安全、可靠的办公自动化平台，以实现企业信息化的管理。

其主要目的是通过信息化手段，提高企业的工作效率和管理水平，降低企业的运营成本和管理成本。

功能需求OA办公系统的主要功能需求包括：人力资源管理、财务管理、客户关系管理、项目管理、文档管理、信息发布、工作流程管理等。

其中，人力资源管理包括员工档案管理、考勤管理、薪酬管理等；财务管理包括预算管理、会计核算、报销管理等；客户关系管理包括客户档案管理、销售管理、售后服务等；项目管理包括项目计划、进度管理、成本管理等；文档管理包括文档存储、文档检索、文档共享等；信息发布包括公告发布、新闻发布、通知发布等；工作流程管理包括流程设计、流程审批、流程监控等。

非功能需求OA办公系统的非功能需求主要包括：安全性、可靠性、可用性、易用性、可扩展性。

其中，安全性是指系统需要具备一定的安全保障措施，以保护企业的信息安全；可靠性是指系统需要具备高可靠性，确保系统的稳定性和可靠性；可用性是指系统需要具备较高的可用性，以满足企业的日常工作需求；易用性是指系统需要具备良好的用户界面和用户体验，以提高用户的使用满意度；可扩展性是指系统需要具备一定的可扩展性，以适应企业的业务发展需求。

系统架构OA办公系统的系统架构采用B/S架构，即浏览器/服务器架构。

其中，浏览器作为客户端，通过互联网访问服务器端的应用程序，实现各项功能。

服务器端采用分层架构，包括展示层、业务逻辑层、数据访问层等，以实现系统的高效、稳定、安全运行。

项目计划OA办公系统的项目计划分为三个阶段：需求分析阶段、设计开发阶段、测试上线阶段。

电子签章插件功能介绍1 总体介绍1.1 设计思路iSignature金格电子签章系统产品采用ActiveX技术开发，将电子印章和数字签名技术完美结合为一体的应用软件系统。

它可在Word、Excel、Html以及自主知识产权的GDF版式文件上实现手写电子签名和加盖电子印章；并可将签章和文件绑定在一起，通过密码验证、签名验证、数字证书确保文档防伪造、防篡改、防抵赖，安全可靠。

iSignature金格电子签章系统由支持PKI技术并带CPU的硬件和支持各种应用的软件组成。

硬件采用Key智能密码设备（通称智能密码钥匙盘），该设备是国家商业密码管理委员会定点生产的商用密码产品，通过了国家商业密码管理委员会的商用密码产品技术鉴定，该设备自带快速存储器和加密处理机制，用于存放单位或个人数字证书、用户所属标识和单位印章或个人签名信息，并进行硬件级签名运算，该设备通过USB接口与计算机相连，在使用时数字证书和签名印章等信息不会残留在内存或硬盘中，设备体积小，重量轻，携带方便。

iSignature金格电子签章V5版本采用全新内核，应用模块化、组件化设计思路，全面支持XML语言，丰富强大功能，具有扩展性、安全性、稳定性、兼容性特点，兼容性方面主要体现在与第三方软件（邮件、OA、ERP、档案软件等）无缝集成。

1.2 设计原则安全性和合法性遵循《中华人民共和国电子签名法》关于电子签名的规范，同时支持RSA算法和国密办SSF33算法，符合国家安全标准。

可靠性和先进性采用自主知识产权的核心智能识别签认技术，确保文档安全可靠。

采用COM、ActiveX技术开发，确保软件能够支持多种应用。

解决方案应用为用户量身定制提供电子签章解决方案，与各种应用信息系统、业务需求无缝结合应用。

产品化、标准化制造标准化产品，以持续的产品升级不断满足用户电子签章的需求变化，长期享受技术进步带来的价值提升，并提供全面的售后服务支持。

易用、适用、好用人性化的设计，可选配和扩充的应用功能合，无障碍地轻松学习和使用。

一、概述：国内某上市公司信息化起步较早，应用系统主要分布于总公司、局公司、处公司三级单位。

已经初步实现OA系统的信息整合，信息化工作进一步将围绕信息流、工作流的整合，工程管理系统的建立以及公共根底平安平台建设展开。

国内某上市公司信息系统是基于互联网进行建设，由于互联网的广泛性和开放性，使得整体信息系统存在很多平安隐患，给下一步的系统建设提出了高强度身份认证、数据机密性、完整性、不可抵赖等诸多平安需求。

基于PKI((PublicKeyInfrastructure ，公钥根底设施)技术、基于数字证书的完整的信息平安解决方案，从通信层面和应用层面解决了在网络环境和应用环境中的平安认证、数据加密、数据完整性保护和信息不可抵赖性的平安需求。

能够很好实现应用资源和信息资源的开放性和平安性的结合。

同时，PKI技术已经开展成熟并在各国得到了很好的应用，我国也建立了完善、自主的PKI平安体系，建设了很多地区性的CA认证中心和行业性CA认证中心。

PKI技术是国际上通行的信息平安技术，应用范围最为广泛，并且基于PKI技术的数字签名已经成为具有法律效率的信息平安手段。

在美国、加拿大、欧洲以及很多开展中国家都制定了相关电子签名法案，在我国电子签名法已于2005年4月1日正式开始实施，这些法案使得基于PKI技术的数字签名真正得到了法律的认可，并使得PKI技术逐步成为最为广泛采用的信息平安技术。

国内某上市公司信息化建设中的身份认证、数据保密、数据完整、行为的抗抵赖等平安需求可以通过建设内部CA认证系统，通过向应用系统的使用者签发数字证书，实现系统登录以及操作和传输的平安保护，保证国内某上市公司各级单位信息系统的应用平安。

二、总体设计思路某公司平安根底信息平台主要是建设企业内部CA认证系统，面向应用系统的用户和应用效劳器颁发数字证书;并通过数字签名系统(MRDSign)实现基于数字证书的身份认证，替换以前的用户名 +口令的认证模式。

1. 概述统一身份认证平台是基于PKI（Public Key Infrastructure）理论体系，利用CA、数字签名和数字证书认证机制，综合应用USB接口智能卡、安全通道、VPN等技术，为门户、OA等多业务系统用户提供统一身份认证和安全服务的综合平台。

1.1 认证系统实现目标本方案是按本地用户需求规划构建的统一身份认证平台，为本地用户各业务系统提供统一的身份认证和综合安全服务，以实现内联网、外联网及移动办公的统一认证：（1）建立本地用户自己独立的CA数字证书受理系统⏹基于CA，为平台各系统用户统一颁发数字证书；⏹支持数字证书的USB-KEY存储；（2）实现多应用的统一身份认证⏹统一的认证门户；⏹支持多个B/S结构、C/S结构的业务系统接入平台；⏹平台对用户统一授权和认证；⏹每一用户只使用一个USB-KEY访问所有被授权的系统；（3）移动办公安全⏹使用同一种认证方式进行VPN接入认证；⏹能够根据用户组授权访问不同的应用系统；⏹完善的日志和报表，提供用户登录、退出的时间等信息；（4）应用数据安全⏹本地文件使用个人证书进行加密保存和读取；⏹OA系统中秘密文件的加密存储和加密传输；⏹OA系统中电子邮件的签名和加密传输；1.2 统一身份认证平台主要功能门户系统（Portal）——各业务系统信息资源的综合展示。

统一授权——平台为用户统一颁发数字证书和私钥并存储在USB-KEY中，作为用户访问平台及各应用系统的凭据，并对用户访问应用系统的权限进行授权。

身份认证——用户在访问平台及各应用系统时，都使用相同的凭据（即包含用户证书和私钥的USB-KEY及其硬件保护口令PIN），并利用数字签名技术在平台进行身份认证，证明其身份的真实性。

单点登录（SSO）——用户在通过平台认证后，可直接访问已授权的各应用系统，实现不同应用系统的身份认证共享，从而达到多应用系统的单点登录。

数据共享——认证平台存储了用户的基本信息和证书信息，所有应用系统均可以充分利用这些信息，减少用户信息的重复录入。