企业多级数字签名系统(MDSS) v1.1.1

在业务复杂的大型组织中，传统的纸制文件签署方法会消耗大量的时间，主要是文件的传递和等待签名人。明明有了电子文档，却不 得不打印、复印、找人签字；为保存签署完整的文件，只能将纸制文 件存档，无法发挥电子媒体的优势。另外，很多格式的电子文档不能或不便以纸制形式输出。如果能实施方便快捷的电子签名，无疑可以提高效率，更好地利用电子媒体。 MDSS用于解决局域网环境下的电子文件的数字签名，适合于企业用户。
电子签名和验证的基本原理：
电子签名(又称数字签名)技术建立在非对称密钥加密和报文摘要两种算法基础上。
1. 报文摘要算法：简单地讲，报文摘要(Message Digest)就是对一个电子文件用某种算法产生出一个最能体现这个文件特征的字符串来，一旦文件有任何改变，这个字符串都会发生变化，也就是说文件有任何变化，特征字符串都不能再通过验证。报文摘要也被称为"数字指纹"（Digital Fingerprint）。
2. 非对称密钥加密：非对称密钥加密也叫公开密钥加密(Public Key Encryption)。在非对称密钥加密体系中，每个人都有一对唯一对应的密钥：公开密钥和私有密钥，公钥对外公开，私钥由个人秘密保存；用其中一把密钥来加密，就只能用另一把密钥来解密。商户可以公开其公钥，而保留其私钥；客户可以用商户的公钥将发送的信息进行加密，安全地传送给商户，然后由商户用自己的私钥进行解密。公开密钥加密技术解决了密钥的发布和管理问题，是目前商业密码的核心。使用公开密钥技术，进行数据通信的双方可以安全地确认对方身份，提供通信的可鉴别性。
3. 电子签名和验证基本过程：签名过程：对原文的报文摘要使用私钥加密，得到加密的报文摘要，即签名。
MDSS具有以下功能：
1. 可以对任意格式的电子文件进行签名；
2. 同一电子文件可由多人签署，后签名的人可以指定自己的签名依赖于已有的一个或多个签名，形成签名依赖关系；
3. 可同时签署意见，另外，日期、签名人单位等信息也保在签名中；
4. 为用户提供了网络签名模式和本地签名模式，用户可以携带自己的密钥文件，在不联网的情况下签署文件；
5. 在匿名登陆和实名登陆模式下，可以实施签名验证，签名过程对用户透明。用户打开签名文件，不需用户参与，系统自动验证签名；
6. 通过验证签名文件可以考察以下内容：
a.原文件经何人签署、附 有何意见、签名人的身份等；
b.考察原文和签署的意见等信息在 签名后是否被更改；
7. 允许文件管理员固化签名文件，这一功能可用于文件归档。
8. 允许用户申请多个签名密钥，允许用户挂失自己保存的密钥。
另外，MDSS只解决文档数字签名问题，并不集成文件的传递和共享系统，因此MDSS可以和任何文档传递和共享方法配合使用。无论企业采用电子邮件、http（ftp）共享、windos网上邻居或其它方法传递和共享文档，都可以利用MDSS进行文档数字签名。
MDSS的安全性：
1. 使用了在计算机安全领域中通用的报文摘要算法、对称密钥加密 算法、非对称密钥加密算法、基于口令的加密算法。这些算法成熟可靠，广为使用。
2. 使用了动态传输加密技术，保证了传输信息的安全。
3. 实现了类似Kerberos 协议且具备应用层入侵检测、防护能力的登录方法。
4. 在应用层使用了比时间戳更为可靠的防止重发性攻击的方法。
5. MDSS对所有签名都进行监督和记录，用户可以查询自己签署过的已生效签名记录，一旦发现问题，可及时采取措施。
6. 对错误登录进行记录，用户可查询使用自己用户名的错误登录， 一旦发现问题，可及时采取措施。
7. 签名页防伪打印功能应用了签名人条形码、随机底纹技术，可以打印出难以伪造的签名页。不过，防伪打印并不是标准的身份鉴别技术，不能替代电子签名。