孙金生

摘要：数字签名技术是用于辨别电子文件签名人身份及文件内容确认的手段，通过电子签名技术可以保证文件的完整性和真实性，防止文件内容在传输和存储过程中被篡改，在存在多专业协同的企业中十分必要。同时，由于企业中存在着大量的人员出差，设计移动电子签名变得十分必要。该文设计并实现了一种方便快捷的移动签名方式：通过手机扫描二维码的方式实现手机与服务期端的交互，从而完成签名，极大地提高了各专业间协同的效率。

关键词：企业；电子签名；移动；安全

中图分类号：TP311 文献标识码：A 文章编号：1009-5039（2018）16-0072-02

1 概述

电子签名技术是指在电子文件中以电子形式存在，可用于辨别电子文件签名人身份以及电子文件内容已被签名人认可。电子签名技术能够利用PKI/CA体系来保证设计文件内容的完整性和真实性，确保签名人行为的不可抵赖性，同时通过系统后台审计功能可以对签名人的历史操作具有可追溯性。[1]《中华人民共和国电子签名法》在十四条中明确了可靠的电子签名与手写签名或者盖章具有同等的法律效力。[2]《电子签名法》确立电子签名的法律效力。

中国铁路设计集团有限公司作为勘察设计企业，各专业设计人员在承接设计业务时，向合作部门提供的设计图纸或设计文件，内容必须准确、真实、可靠。如何保证设计图纸或设计文件的完整性、设计人员身份的可认证性以及签名人行为的抗抵赖性，提高文件设计、审签、传递、归档的效率，成为企业亟需解决的问题。而电子签名技术很好地解决了这一问题。同时，由于各专业人员出差频繁，通过移动端实现快速电子签名，保障工作的效率也亟待解决。因此，进行企业移动电子签名系统的研究与实现具有十分重要的意义。

根据以上分析，企业电子签名系统的业务需求为： 1）采用电子签名来保证文件的完整性和真实性，防止文件内容在传输和存储过程中被篡改。2）所有电子签名流程做到留痕、可验证、可追溯性，以确认操作人的行为。3）通过移动端方便、快捷的完成电子签名。

2 移动电子签名总体架构

如图1所示，移动电子签名系统有数字证书系统、电子签名管理系统、客户端签名系统及移动客户端四个部分组成。

数字证书系统包括CA、RA及KMC及加密机，其中CA系统负责数字证书的制作、申请、审核、更新，CRL管理；RA负责数字证书生命周期管理；KMC是密钥管理中心，管理维护加密证书密钥；加密机用于实现各种密码算法。

电子签名管理系统是整个系统的核心组件及纽带，主要用于用户签字图片的存储，签章图片生成、存储，用户身份信息验证，系统审计，申请/传递场景证书等重要功能。

客户端签名系统用于在PDF、CAD和Office格式文档上加盖/撤销签名，支持的文件类型有：DWG、DOC、DOCX、XLS、XLSX、PDF。同时需要实现签名验签功能。

移动客户端用于扫描二维码，完成用户身份信息及签名图片的传递，以及签名图片的采集和签名图片透明化处理。

移动电子签名的流程如图1所示，用户登录移动客户端进行用户身份信息（用户名，手机号或手机S/N号）验证；扫描二维码申请签名；电子签名管理系统将用户身份信息传递到数字证书系统申请证书；数字证书系统生成用户的场景证书并返回用户的场景证书；电子签名管理系统得到用戶的场景证书，传递给客户端签名系统对文件进行签名。

3 移动电子签名关键技术

3.1 密钥管理技术

密钥管理为数字认证中心提供加密密钥对，并提供对这些密钥对的备份、归档、恢复、更新等相关服务。

1）密钥生成与保存：密钥的生成过程涵盖了随机数的采集、种子数的筛选、算法的运算、密钥强弱的分析等技术，产生后的密钥加密后存储在数据库中。

2）密钥分发：密钥生成后安全的存储在数据库中，在数字证书管理系统需要时发送密钥，密钥传输过程采用SSL协议。

3）密钥的更新：当证书到期或用户需要时，密钥管理根据数字证书管理系统请求为用户生成新的非对称密钥。

4）密钥的备份：为了保证重要数据不丢失，需要对密钥进行备份。

5）密码服务：密码服务为密钥管理的各项业务提供密码支持。

3.2 安全传输技术

在进行数字签名过程中，需要对传递的重要文件进行安全传输，防止文件泄露。目前采用的最广泛的安全传输技术就是文件加密，下面提出了一种基于对称秘钥与非对称秘钥相结合的文件加密机制。加/解密的流程如下所示：

文件加密，利用对称加密密钥加密正文，用接收方的公钥加密对称加密密钥，使用数字签名完成文件的完整性校验和身份认证，最后加密后的明文，加密后的对称加密密钥以及签过名的摘要共同构成了密文。

文件解密，先利用接收方的私钥解密对称加密密钥，然后使用对称加密密钥解密加密正文，最后可以利用数字签名校验文件的完整性以及发件人身份，若校验通过，则可以获得由发送方发送过来的明文。

4 移动电子签名功能实现

4.1 数字证书系统

数字证书系统主要包括证书设计、证书管理、CRL管理、辅助功能等模块。其中证书设计实现对不同种类、不同格式的证书进行设计；证书管理实现证书申请、审核、签发、发布、撤销等功能；CRL管理包括CRL的产生、发布及更新；辅助功能包括证书和CRL的查询、系统日志及审计等。

4.2 电子签名系统

电子签名系统主要包括电子签名管理、申请/传递证书、签名/验签服务、加密/解密服务、用户身份验证等模块。其中电子签名管理主要包括电子签名申请、审批、制作、发送、印章印膜管理、印章分类管理等功能；申请/传递证书实现电子签名系统与数字证书系统之间的交互；加密/解密服务提供加密、解密接口；用户身份验证实现对用户身份信息的验证。

4.3 客户端签名系统

客户端签名系统实现加盖签名、撤销签名、签名验证、签名信息查看、电子文档防伪、文字批注等模块。其中加盖签名实现在指定位置加盖签名；撤销签名可以撤销本人签名；签名验证实现签名文档的合法性验证及人员身份验证；电子证书防伪实现在电子文档上增加数字或光学水印；文字批注实现在OFFICE、PDF中进行文字批注的功能。

4.4 移动客户端

移动客户端用于扫描二维码，登录完成用户身份信息及签名图片的传递，以及签名图片的采集，和签名图片透明化处理。其中签名图片采集及优化实现手写签名的录入、优化及上传。

5 结论

根据企业实际需求，本文设计了一套移动电子签名系统方案，并实现基于手机在PDF、AutoCAD、Office等电子实体文件上进行本地签名。用户通过移动客户端与电子签名管理系统通信，完成签名及数字证书的管理和使用，最终实现对电子图纸及文档的签名及认证，极大提高了各专业间协同的效率。

参考文献：

[1] 牛浩苒，牛立新.浅析电子签章技术在企业的应用[J].人才资源开发，2016（23）：58-60.

[2] 全国人民代表大会常务委员会. 中华人民共和国电子签名法[Z]. 2015-04-24.