基于CA证书的电子单证系统

基于CA证书的电子单证系统

曾文君

（同济大学电子与信息工程学院上海200092）

【摘要】：具有重要标志意义的《电子签名法》的颁布实施，使得电子单证替代纸质单证成为可能。随着在电子单证技术上的探索越来越深入，一套基本完整的、切实可行的技术方案已经逐步形成。本文分析了由电子单证模板设计系统，电子单证数据填充系统和电子单证CA证书签名系统组成的，基于CA证书的电子单证系统。

【关键词】：CA证书、PKI体系、电子单证、电子签名体系。

1、引言

传统的纸质单证，需要耗费大量的人力物力进行管理，成本高昂。如果能有方案减少或取代纸质单证的使用，那么从节约成本和环保等多方面考虑都是非常有意义的。但是，由于缺少相关法律法规的规范和保障，在2005年《电子签名法》正式颁布之前，电子化单证无法推行。

近年来，电子认证技术不断的发展，逐渐成熟，随着《电子签名法》的颁布实施，电子单证取代传统纸质单证成为可能。这无疑成为众多大量使用纸质单证的公司机构的福音———纸质单证成本远远高于电子单证，有价纸质单证需要严格执行相关单证管理规范，印刷、入库、领用、分发、配送、存储，都需要耗费大量的成本。电子单证在降低使用成本的同时，更是为环保事业做出了一定的贡献。

2、电子单证系统的组成

是否能够让大众接受认可电子单证替代纸质单证，最重要的是电子单证要与纸质单证具有同样的法律效力。

按照《电子签名法》的要求，要使电子单证具备法律效力，至少要具备以下条件（请详细参考相关法律文件，此处仅针对CA证书相关的部分进行说明）：

a)使用的CA证书属于电子签名人包括法人、自然人所有。

b)签署电子签名制作数据仅由电子签名人控制，即CA证书的签名私钥由签名人保管。

c)签署后对电子签名的任何改动能够被发现。

d)签署后对数据电文内容和形式的任何改动能够被发现。

结合《电子签名法》的要求以及电子文件生成

技术，一个完整的电子单证系统包含以下部分：

·电子单证模板设计系统·电子单证数据填充系统·电子单证CA证书签名系统

3、电子单证模板设计系统

一般选取PDF格式作为电子单证的格式，生成PDF文件的模板生成工具现已有众多的解决方案，比较有代表性的有开源的ireport，付费的有AdobeAcrobatXIPro。两款工具相比较而言，AdobeAcrobatXIPro操作方式更适合一般非软

件开发人员使用。

电子单证模板上包含静态信息和变量信息，将电子单证中的格式、图片、文字说明等静态的信息固化在模板上，并标示出变量信息，生成电子单证模板。

4、电子单证数据填充系统

支持将模板设计工具生成的模板上传到电子单证生成服务器的指定路径，并结合生成电子单证模板的技术，电子单证生成服务器端需要给生成的电子模板中的变量根据实际业务上的需求填

2012年第12期福建充动态数据，生成PDF格式的电子单证（此时的电子单证尚未签名，不具备法律效力）。

5、电子单证CA证书签名系统

使电子单证具有法律效力的最关键的部分是CA证书签名系统，用于对生成的PDF电子单证进行CA证书签名，使电子单证具备签署后对数据电文内容和形式的任何改动能够被发现等特性，符合《电子签名法》的要求。

CA证书签名体系中包含以下三个重要部分：·CA认证中心

·CA证书私钥加密系统·CA证书验证系统

5.1CA认证中心———符合《电子签名法》要求的CA认证中心

基于PKI（PublicKeyInfrastructure）体系，包含：具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）。

认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；

数字证书库：用于存储已签发的数字证书及公钥，并匹配已签发的数字证书与法人或自然人的信息，在需要验证时可以调阅某数字证书颁发法人或自然人的具体信息。CA认证中心需要保证数字证书需要与申请电子证书的法人或自然人一一对应，且同一个证书不能对应一个以上的法人或自然人。

密钥备份及恢复系统：为了避免用户丢失密钥造成的数据损失，必须具备备份与恢复系统。

证书作废系统：数字证书是基于实体法人或自然人的，所以随着实体的变化，数字证书也会有作废、更换的需要。现在的多数CA认证中心出于安全性、经济性等多方面考虑，一般都会给所颁发的证书设定一定的有效期限，超过有效期而未做更新就会作废。

由于CA认证中心需要向国家相关部门申请，并具有专门的相关资质，故一般企业使用数字证书签名都采用向符合法律规范要求具有电子证书颁发资格的CA认证中心申请电子签名证书的方式，而不自行建立CA认证中心。

5.2CA证书私钥加密系统

申请获得的电子签名证书由公钥和私钥组成，公钥用于验证，私钥用于签名。向相关CA认证中心申请电子证书后出于安全考虑可将私钥保存在加密机中。用不同的CA证书时使用加密机的IP地址和端口号作为区分调用。

电子单证签发者用私钥对生成电子单证中的

电脑

101

数据采用哈希算法做摘要，并对摘要进行RSA算法操作，用来保证电子单证签发者无法抵赖曾签发此电子单证，同时也确保此电子单证签发后未曾被篡改。如果签发后被篡改，则使用公钥验证会失败。

现有的加密算法技术，在高并发环境对特大文件的处理效率硬件代价还比较高，故建议尽可能的控制电子单证的文件大小。同时可按文件大小区分同步异步处理，以保证大部分高时效要求的小文件的处理速度。

为满足现在用户对单证上公章图形的要求，签名时可结合图形技术，在生成的未签名电子单证上加盖红章，后再进行签名加密。

5.3CA证书验证系统

一般由数字证书签发机构提供数字证书上传验证服务，可将已签发的电子单证上传至数字证书签发机构，由证书签发机构确认电子单证签名过程中使用到电子证书对应的法人、自然人，并提供给要求验证的用户查看。对于发生过篡改的电子单证，需要将证书失效的情况也反馈至申请验证的用户。

6、结束语：

随着加密技术的进一步发展以及法律法规在电子签名领域的健全，未来电子单证取代纸质单证是必然的趋势。在这样的趋势和环境下，相关的技术体系及应用值得我们进一步的摸索及实践。

大批量应用电子单证带来的存储、检索问题，以及大文件的签名效率等问题，都还需要更加深入的探索实践。

希望在不久的将来能够因为我们在这个领域的探索和推广为地球增添多一点点的绿色。

参考文献：

[1]CarlisleAdams,SteveLloyd.UnderstandingPKI.SecondEdition.Boston:Addison-Wesley,2002:28.

[2]InternationalStandard.ISO/IEC9594-8.TheDirectory:Public-keyandattributecertificateframeworks.Geneva:ISO,2000

[3]UnitedStatesGeneralAccountingOffice.AdvancesandRemainingChallengestoAdoptionofPublicKeyInfras-tructureTechnology.Washington,D.C.:GAO,2001:74

[4]UnitedStatesGeneralAccountingOffice.StatusofFed-eralPublicKeyInfrastructureActivitiesatMajorFederalDepartmentsandAgencies.Washington,D.C.:GAO,2003:7[5]《PKI技术(信息安全国家重点实验室信息安全丛书)》荆继武林璟锵冯登国