主要处理证书和印章的验证,以确保签章的合法性。电子签章服务器是对印章卡和个人证书进行合法性验证,确保电子签章的安全性和严密性。主要进行如下几个方面的验证:
电子印章认证模块支持所有客户端电子签章软件进行电子签章时对电子印章的认证,例如支持MS Office、WPS、RED Office、PDF和网页签章时的认证服务。也就是说,不论客户端电子签章采取何种电子签章软件,都可以使用统一的认证服务系统,这样大大提高了系统的整体性和可扩展性,节省了投资。
主要进行以下认证:
a) 数字证书合法性验证:验证数字证书是否由指定的合法颁发机构颁发,如果只是客户端控件,则难以在盖章时就进行验证。
b) 数字证书是否过期:即验证数字证书是否在有效期之内。由于有效的时间必须是服务器端时间,因为依据用户客户端时间来判别证书是否在有效期内是没有任何意义的。
c) 数字证书是否被废止:电子签章服务器会定期从数字证书中心获取废止的证书列表CRL,这样,通过验证证书是否被废止,就可以保证尽管在有效期内,但由于某种原因被废止的数字证书对应的电子印章卡不可以签章。如果没有验证服务器这一点也做不到。
d) 验证电子印章卡或者身份认证卡是否被挂失或销毁:如果说以上几点可以通过公安CA中心提供的服务来完成的话,电子印章卡的状态列表就只有电子印章管理子系统可以产生和发布。因为尽管以上有关数字证书的验证都通过,如果电子印章卡临时遗失、由于电子印章的印模图片改变而导致电子印章不可再用、或者印章管理中心强制停用某个电子印章,如果签章时不进行验证,所有这些情况都难以鉴别出来,进而会导致不合法的电子签章行为,给电子印章的使用造成混乱。 网页签章服务器端组件的主要功能包含在统一的电子签名认证服务器中了,其主要就是以下两项功能:
a) 验证电子签章(签名)卡以及其中数字证书的合法性;
b) 网页信息的防篡改验证:通过对签名对象的数字签名来鉴别提交的网页信息是否是签名之前的信息。只有验证通过才向数据库中写入数据,否则向客户端报警“网页信息在提交到服务器端时被篡改”。 文件加解密需要服务器端组件与客户端组件结合来完成,服务器端组件主要是实现对客户端提交的加密后的密文进行解密,同时对传递到客户端的文件进行加密。
加解密组件采用数字信封技术实现,数字信封是结合对称密钥和非对称密钥技术各自的优点来实现高效、安全的加解密。
组件首先利用随机对称密钥对文件进行加密,然后再用收件方的公钥加密对称密钥,并将加密后的密钥和密文一起发送到收件人,收件人首先利用自己的私钥解密出对称密钥,再用该密钥解密密文即可获得明文文件。
在实际使用中,有时候根据用途而将对称密钥成为交换密钥。
文件加密解密服务器组件的主要功能包括:
a) 对客户端发送过来的文件进行解密:客户端加解密组件在解决客户端到服务器端的文件传输安全时,对交换密钥进行加密的是服务器证书的公钥,因此,服务器端解密时则采用服务器证书的私钥进行解密以获取交换密钥的明文对密文进行解密。
b) 对发送到客户端的文件进行加密:当客户端访问者需要浏览某个文件时,服务器端组件将利用随机产生的交换密钥对文件进行加密,然后再用收文方的公钥对交换密钥进行加密,将密文与加密后的交换密钥一起发送到客户端。客户端再利用其自身的私钥解密获取交换密钥并以此交换密钥解密密文而获得原文。