一種電子公文安全傳輸系統的安全傳輸方法
2023-10-04 13:46:19
一種電子公文安全傳輸系統的安全傳輸方法
【專利摘要】本發明涉及一種電子公文安全傳輸系統的安全傳輸方法,其按如下步驟進行:客戶端登錄協同辦公系統登記公文,蓋章後進行數字籤名並發送,系統保留籤名信息;客戶端到服務端傳輸採用HTTPS雙向加密數字證書保護,伺服器端驗證客戶端數字證書合法性後雙方協商主密鑰加解密;商密三級以上公文在伺服器端進行數字信封封裝後,由接收單位數字籤收,並下載數字信封,並通過單位私鑰解開數字信封;客戶端的電子版式文件列印份數控制由客戶端直接HTTPS連接電子公章系統。本發明保證單位之間行文的需要,保證公文的嚴肅性,規範性和傳輸的安全性,縮短內部信息傳遞的周期,減少人力資源浪費,實現內部辦公網絡的各種數據互聯互通、資源共享。
【專利說明】一種電子公文安全傳輸系統的安全傳輸方法
【技術領域】
[0001]本發明涉及一種電子公文安全傳輸系統的安全傳輸方法,應用於電子公文信息傳送。
【背景技術】
[0002]電子公章應用於電子文件之上,與傳統的手寫籤名、蓋章具有完全相同功能的技術。有了電子公章,任何信息都可以放心地通過網絡以電子文件的形式傳輸。電子公文傳輸的主要需求是從一個單位安全的將電子公文傳輸到另外一個或多個單位,並且可從協同辦公系統中直接產生公文,讀取後進行公文傳輸。公文傳輸的主要業務包括:公文轉版、公文登記、公文查看、公文蓋章、公文發送、公文補發、公文回收、公文催辦、公文監控、公文接收/回執、公文轉辦、公文列印、公文下載、公文刪除、公文查詢、公文統計。要求實現公文能夠實時發送和接收,同時,系統需和電子公章系統、電子版式文件、CA認證中心/加密機進行有效的結合,以保障電子公文在傳送過程中的安全性和便捷性。
【發明內容】
[0003]本發明的目的在於提供一種電子公文安全傳輸系統的安全傳輸方法,該方法具備通用性,具備文檔版式統一、文檔顯示效果統一、文檔自動交換、公文不可更改、公文電子蓋章特點,同時採用國際先進的數字版權保護技術,多種加密算法能非常好解決系統傳遞過程的安全問題,使系統達到輕鬆掌握,方便使用的效果。
[0004]本發明的技術方案在於:一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:包括電子公文傳輸系統、電子公章系統、證書伺服器、電子版式文件、HTTPS> UKey ;其按如下步驟進行:
1)客戶端通過UKey登入電子公文傳輸系統,並登記電子版式文件的公文,通過電子公章系統蓋章後進行數字籤名並發送,系統保留籤名信息;
2)客戶端到服務端傳輸採用HTTPS雙向加密數字證書保護,伺服器端驗證客戶端數字證書合法性後雙方協商主密鑰加解密;
3)商密三級以上公文在伺服器端進行數字信封封裝後,由接收單位數字籤收,並下載數字信封,並通過單位私鑰解開數字信封;
4)客戶端的電子版式文件列印份數控制由客戶端直接HTTPS連接電子公章系統。
[0005]其中,所述的電子公文傳輸系統提供基礎的傳輸操作界面和服務,用戶直接操作電子公文傳輸系統進行日常的公文收發和轉辦核心業務。
[0006]所述的電子公章系統提供電子公章的分發、蓋章、驗證、列印控制功能,保證傳送公文的安全性和有效性。
[0007]所述電子版式文件包括版式文件生成軟體、版式文件閱讀軟體;所述的版式文件生成軟體提供Word,WPS、PDF常見文檔轉換為統一格式的版式文件功能,並為版式文件蓋章、信息存放和安全控制提供支持。[0008]所述的證書伺服器基於PKI體系提供統一的安全認證基礎組件,提供證書分發、認證、吊銷基礎服務功能。
[0009]所述的HTTPS在證書的基礎上提供端到端的加密數據傳輸方案,通過證書伺服器結合對稱加密完成數據的數字信封方式傳送。
[0010]所述的UKey存儲用戶的私密信息包括X.509V3證書、身份信息、公章信息、其他信息,用戶可以選擇具有生物識別功能的UKey充分保證UKey使用的安全。
[0011]本發明的優點在於:
本發明保證了公文傳輸的安全、可靠、高效、實用,選擇特定的安全傳輸技術如SSL加密隧道、CA中心、UKey和加密機,合理選擇保障公文的傳輸過程安全;實現從一個單位安全的將電子公文傳輸到另外一個或多個單位,並且可從協同辦公系統中直接產生公文,讀取後進行公文傳輸;保證單位之間行文的需要,保證公文的嚴肅性,規範性和傳輸的安全性,縮短內部信息傳遞的周期,減少人力資源浪費,實現內部辦公網絡的各種數據互聯互通、資源共享。
【專利附圖】
【附圖說明】
[0012]圖1所示為本發明的電子公文傳輸業務流程圖。
[0013]圖2所示為本發明協同辦公系統中電子公文傳輸業務流程圖。
[0014]圖3所示為本發明的系統組成示意圖。
[0015]圖4所示為本發明的系統設計思路。
[0016]圖5所不為本發明的公文傳輸原理圖。
[0017]圖6所示為本發明的三重公文安全保障體系。
[0018]圖7所示為本發明的公文籤收防抵賴。
[0019]圖8所示為本發明的秘密公文封裝/打開過程。
[0020]圖9所示為本發明的公文物理存儲安全示意圖。
[0021]圖10所示為本發明的全局公文安全傳輸原理圖。
【具體實施方式】
[0022]為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合附圖,作詳細說明如下。
[0023]參考圖1至圖10,本發明涉及一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:包括電子公文傳輸系統、電子公章系統、證書伺服器、電子版式文件、HTTPS> UKey ;其按如下步驟進行:
1)客戶端通過UKey登入電子公文傳輸系統,並登記電子版式文件的公文,通過電子公章系統蓋章後進行數字籤名並發送,系統保留籤名信息;
2)客戶端到服務端傳輸採用HTTPS雙向加密數字證書保護,伺服器端驗證客戶端數字證書合法性後雙方協商主密鑰加解密;
3)商密三級以上公文在伺服器端進行數字信封封裝後,由接收單位數字籤收,並下載數字信封,並通過單位私鑰解開數字信封;
4)客戶端的電子版式文件列印份數控制由客戶端直接HTTPS連接電子公章系統。[0024]上述的電子公文傳輸系統提供基礎的傳輸操作界面和服務,用戶直接操作電子公文傳輸系統進行日常的公文收發和轉辦核心業務。
[0025]上述的電子公章系統提供電子公章的分發、蓋章、驗證、列印控制功能,保證傳送公文的安全性和有效性。
[0026]上述電子版式文件包括版式文件生成軟體、版式文件閱讀軟體;所述的版式文件生成軟體提供Word,WPS、PDF常見文檔轉換為統一格式的版式文件功能,並為版式文件蓋章、信息存放和安全控制提供支持。
[0027]上述的證書伺服器基於PKI體系提供統一的安全認證基礎組件,提供證書分發、認證、吊銷基礎服務功能。
[0028]上述的HTTPS在證書的基礎上提供端到端的加密數據傳輸方案,通過證書伺服器結合對稱加密完成數據的數字信封方式傳送。
[0029]上述的UKey存儲用戶的私密信息包括X.509V3證書、身份信息、公章信息、其他信息,用戶可以選擇具有生物識別功能的UKey充分保證UKey使用的安全。
[0030]具體實施過程:
公文傳輸的特點決定了其對安全的重要性,按照國家等級保護要求從安全管理制度、應用安全、傳輸層安全、網絡層安全、物理層安全等層面保障公文傳輸的安全。根據國家電網公司辦公廳對行文安全的要求,結合國家電網公司信息安全實驗室對企業信息安全的規定,商密三級以上公文的傳輸要求達到國家對商密傳輸的管理要求,即使用的算法和安全廣品必須是國密辦指定。
[0031]區域公文傳輸中心的主要設計思想是以特定的區域為中心建立區域公文傳輸中心,被接收公文單位通過登入協同辦公系統或公文傳輸系統進行公文的上傳和下載。區域公文傳輸中心維護一個單位列表,此列表是公文聯網傳輸待選單位列表,它標識了公文可送達範圍。以總部區域公文傳輸系統為中心,總部公文傳輸中心存放了總部內部單位之間、總部與各網省、各網省之間的聯網傳輸公文信息,在制度允許的情況下,區域中心各單位間任意進行公文的傳輸。
[0032]公文的安全傳輸控制方面,各單位通過證書伺服器頒發的X.509V3證書寫入UKey,傳輸過程通過證書效驗完成對稱密鑰的數據信封雙重加解密,充分保障傳輸過程的安全。公文交換全過程採用SSL安全網關傳輸,用戶需要插入UKey輸入使用密碼並進行生物識別後訪問系統進行公文的聯網傳輸。公文安全傳輸使用的主要技術有J2SE5.0技術架構;WebLogic9.2中間件平臺;Visual C++7.0編寫上傳下載ActiveX控制項;OraclelOg存儲服務;IE6+ ;不使用開源軟體,自主研發表單定製平臺;PKI安全體系。
[0033]公文安全傳輸米用三重公文安全保障體系。第一重保障,所有公文傳輸信息包括控制信息全部採用HTTPS雙向加密方式,伺服器間、伺服器客戶間採用數字證書保護;第二重保障,所有公文信息的籤發、籤收都經過客戶端數字籤名保護,具有不可抵賴性,即客戶不能否認其操作合法性;第三重保障,商密二級及以上密級的公文全部採用數字信封封裝,接收單位必須用數字證書及私鑰解密後方可查看,高強度加密安全。
[0034]最佳實施例:
電子公文傳輸的主要需求
電子公文傳輸的主要需求是從一個單位安全的將電子公文傳輸到另外一個或多個單位,並且可從協同辦公系統中直接產生公文,讀取後進行公文傳輸。在圖1和圖2中可以看到公文傳輸的主要業務包括:公文轉版、公文登記、公文查看、公文蓋章、公文發送、公文補發、公文回收、公文催辦、公文監控、公文接收/回執、公文轉辦、公文列印、公文下載、公文刪除、公文查詢、公文統計。同時實現公文能夠實時發送和接收,系統需和電子公章系統、電子版式文件、CA認證中心/加密機進行有效的結合,以保障電子公文在傳送過程中的安全性和便捷性。
[0035]電子公文安全傳輸系統組成
在圖3中可以看到系統組成以電子公文傳輸系統為核心,提供基礎服務、業務功能和安全傳輸服務,系統組合在一起形成電子公文安全傳輸系統。平臺主要有電子公文傳輸系統
提供基礎的傳輸操作界面和服務,用戶直接操作電子公文傳輸系統進行日常的公文收發和轉辦核心業務。
[0036]電子公章系統
提供電子公章的分發、蓋章、驗證、列印控制功能,保證傳送公文的安全性和有效性。
[0037]電子版式文件 版式文件生成軟體
提供Word,WPS、PDF常見文檔轉換為統一格式的版式文件功能,並為版式文件蓋章、信息存放和安全控制提供支持。
[0038]版式文件閱讀軟體 證書伺服器
基於PKI體系提供統一的安全認證基礎組件,提供證書分發、認證、吊銷基礎服務功倉泛。
[0039]HTTPS
在證書的基礎上提供端到端的加密數據傳輸方案,通過證書伺服器結合對稱加密完成數據的數字信封方式傳送。
[0040]加密機
系統加密算法要求選用國密辦指定的商用密碼標準SCB2加密算法。
[0041]UKey
存儲用戶的私密信息包括X.509V3證書、身份信息、公章信息、其他信息。用戶可以選擇具有生物識別功能的UKey充分保證UKey使用的安全。
[0042]公文傳輸中心
在圖4中展示區域公文傳輸中心的主要設計思想是以特定的區域為中心建立區域公文傳輸中心,被接收公文單位通過登入協同辦公系統或公文傳輸系統進行公文的上傳和下載。
[0043]在圖5中系統的公文傳輸思路主要是集中式的公文傳輸,基本原理是以某一特定區域為中心部署一套電子公文安全傳輸系統,各單位直接登錄公文傳輸系統或登錄本單位的協同辦公系統進行公文的登記、蓋章、發送、監控、接收業務。各單位協同辦公系統則調用電子公文安全傳輸系統接口進行公文的收、發和監控功能。公文發送操作流程如下:
用戶登錄協同辦公系統或電子公文安全傳輸系統; 用戶上傳公文到協同辦公系統或電子公文安全傳輸系統;
協同辦公登錄用戶到電子公文傳輸中心獲取公文傳輸摘要信息;
待接收協同辦公系統接收到公文請求開始進行公文傳送(下載);
傳送完畢,用戶進行公文操作(查看、刪除、列印)。
[0044]三重公文安全保障體系
圖6中公文安全傳輸米用三重公文安全保障體系。第一重保障,所有公文傳輸信息包括控制信息全部採用HTTPS雙向加密方式,伺服器間、伺服器客戶間採用數字證書保護;第二重保障,所有公文信息的籤發、籤收都經過客戶端數字籤名保護,具有不可抵賴性,即客戶不能否認其操作合法性;第三重保障,商密二級及以上密級的公文全部採用數字信封封裝,接收單位必須用數字證書及私鑰解密後方可查看,高強度加密安全。
[0045]證書伺服器功能
證書伺服器的職責:向用戶/伺服器/單位頒發證書和私鑰;x.509V3中各欄位屬性的意義:
版本號:X.509V3
序列號:標識證書的唯一整數
籤名:用於籤證書的算法標識,SHA-1和RSA的對象標識符就用來說明該數字籤名是利用RSA對SHA-1雜湊加密
頒發者:證書頒發者的可識別名(DN)
有效期:證書有效期的時間段
主體:用戶標識、Email
主體公鑰信息:主體的公鑰以及算法標識符;
類型:個人身份證書、單位身份證書、伺服器證書、網關身份證書 頒發者UID:證書頒發者的唯一標識符 主體WD:證書擁有者的唯一標識符
頒發DT伺服器證書,OA伺服器證書和客戶端證書時使用到證書伺服器。
[0046]系統管理員配置信息界面的導出伺服器證書的功能使用到證書相關內容。
[0047]數字籤名技術-公文籤發籤收防抵賴,參見圖7
公文的籤收採用數字籤名技術,確認接受者身份並防止籤收抵賴:
公文傳輸系統通過數字籤名技術實現公文籤發和公文籤收的不可抵賴性:
公文籤發的要素包括發送公文HASH ;籤發時間、籤發單位、籤發人、籤發時間戳;
籤收包含的要素包括發接收公文HASH ;籤收文回執條;籤收人;籤收單位;籤文時間
戳;
將以上信息進行數字籤名後,存儲在傳輸系統籤收記錄中,進行今後籤發、籤收抵賴驗籤,防止抵賴;
數字信封技術-機密公文的安全傳輸
參照圖8對於機密公文的安全傳輸可選採用數字信封技術以保證打開公文信封的用戶是經過證書伺服器授權的單位:
待發公文通過單位證書中的公鑰產生數字信封:
通過HTTPS加密傳輸待發公文; 通過協同辦公系統存儲公文信封(接口中轉);
通過Web客戶端調用ActiveX解開數字信封;
在數字信封公文傳輸中,公文發送方採用對稱密鑰來加密公文,然後將此對稱密鑰用接收方的公開密鑰來加密(這部分稱數字信封)後,將它和加密後的公文一起發送給接收方,接收方先用相應的私有密鑰打開數字信封得到對稱密鑰,然後使用對稱密鑰解開加密公文。數字信封主要包括數字信封打包和數字信封拆解,數字信封打包是使用對方的公鑰將加密密鑰進行加密的過程,只有對方的私鑰才能將加密後的數據(通信密鑰)還原;數字信封拆解是使用私鑰將加密過的數據解密的過程。
[0048]數字信封的功能類似於普通信封,普通信封在法律的約束下保證只有收信人才能閱讀信的內容,數字信封則採用密碼技術保證了只有規定的接收人才能閱讀信息的內容。數字信封中採用了對稱密碼體制和公鑰密碼體制。信息發送者首先利用隨機產生的對稱密碼加密信息,再利用接收方的公鑰加密對稱密碼,被公鑰加密後的對稱密碼被稱之為數字信封。在傳遞信息時,公文接收方若要解密信息,必須先用自己的私鑰解密數字信封得到對稱密碼,才能利用對稱密碼解密所得到的信息。這樣就保證了公文傳輸的真實性和完整性。
[0049]UKey 功能
為了能過進行公文傳輸,公文的收、發單位必須申請UKey後才能登入電子公文傳輸系統進行公文的收發,用戶申請和使用UKey的過程如下:
用戶帳號/密碼申請(統一目錄)
向證書管理員提交數字證書申請;
向公章管理機構提交公章使用申請(需要數字證書);
製作並分發UKey,寫入數字證書、私鑰和公章數據;
修改Ukey使用初始密碼;
插入UKey登錄公文傳輸系統,使用公文傳輸功能。
[0050]伺服器數據存儲安全
充分考慮伺服器機密數據系統存儲的安全,附圖9對以下機密數據進行加密保護: 用戶密碼:採用單向散列算法存儲(MD5 ,SHA1);
公文及附件:公文及附件存儲的安全性通過伺服器硬體加密算法(公文傳輸中心加密機)加密保護存放密文信息在共享文件存儲區域,用戶接收公文時對文件進行解密傳輸(根據數據處理量大小會降低伺服器性能);
籤發信息、籤收回執:(公文HASH、操作用戶、伺服器時間戳)採用PKCS#7規範進行籤名封裝;在發送,補發,籤收功能模塊中用UKey對用戶信息進行籤名。
[0051]公文安全傳輸的全局安全流程為:
客戶端登錄協同辦公系統登記公文,蓋章後進行數字籤名並發送,系統保留籤名信
息;
客戶端到服務端傳輸採用HTTPS雙向加密數字證書保護,伺服器端驗證客戶端數字證書合法性後雙方協商主密鑰加解密;
商密三級以上公文在伺服器端進行數字信封封裝後,由接收單位數字籤收,並下載數字信封,並通過單位私鑰解開數字信封;
客戶端的電子版式文件列印份數控制由客戶端直接HTTPS連接電子公章系統。[0052]參照附圖10公文安全傳輸的詳細的流程如下:
客戶端籤發採用SHA1_RSA數字籤名;
伺服器HTTPS加密傳輸採用伺服器證書雙向保護;
伺服器連接證書伺服器效驗證書0SCP/CRL ;
伺服器數字信封封裝(商密三級及以上)採用國密辦指定商密加密算法SCB2,數字信封封裝;
客戶端籤收採用SHA1_RSA數字籤名;
客戶端拆開數字信封(商密三級及以上)。
[0053]以上所述僅為本發明的較佳實施例,凡依本發明申請專利範圍所做的均等變化與修飾,皆應屬本發明的涵蓋範圍。
【權利要求】
1、一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:包括電子公文傳輸系統、電子公章系統、證書伺服器、電子版式文件、HTTPS、UKey ;其按如下步驟進行: 1)客戶端通過UKey登入電子公文傳輸系統,並登記電子版式文件的公文,通過電子公章系統蓋章後進行數字籤名並發送,系統保留籤名信息; 2)客戶端到服務端傳輸採用HTTPS雙向加密數字證書保護,伺服器端驗證客戶端數字證書合法性後雙方協商主密鑰加解密; 3)商密三級以上公文在伺服器端進行數字信封封裝後,由接收單位數字籤收,並下載數字信封,並通過單位私鑰解開數字信封; 4)客戶端的電子版式文件列印份數控制由客戶端直接HTTPS連接電子公章系統。
2、根據權利要求1所述的一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:所述的電子公文傳輸系統提供基礎的傳輸操作界面和服務,用戶直接操作電子公文傳輸系統進行日常的公文收發和轉辦核心業務。
3、根據權利要求1所述的一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:所述的電子公章系統提供電子公章的分發、蓋章、驗證、列印控制功能,保證傳送公文的安全性和有效性。
4、根據權利要求1所述的一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:所述電子版式文件包括版式文件生成軟體、版式文件閱讀軟體;所述的版式文件生成軟體提供Word,WPS、PDF常見文檔轉換為統一格式的版式文件功能,並為版式文件蓋章、信息存放和安全控制提供支持。
5、根據權利要求1所述的一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:所述的證書伺服器基於PKI體系提供統一的安全認證基礎組件,提供證書分發、認證、吊銷基礎服務功能。
6、根據權利要求1所述的一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:所述的HTTPS在證書的基礎上提供端到端的加密數據傳輸方案,通過證書伺服器結合對稱加密完成數據的數字信封方式傳送。
7、根據權利要求1所述的一種電子公文安全傳輸系統的安全傳輸方法,其特徵在於:所述的UKey存儲用戶的私密信息包括X.509V3證書、身份信息、公章信息、其他信息,用戶可以選擇具有生物識別功能的UKey充分保證UKey使用的安全。
【文檔編號】H04L29/06GK103580868SQ201310383878
【公開日】2014年2月12日 申請日期:2013年8月29日 優先權日:2013年8月29日
【發明者】林莉莉, 周晟, 伍剛, 付婷, 林敏
申請人:國家電網公司, 國網福建省電力有限公司, 國網福建省電力有限公司信息通信分公司