商业源码 谁能解释下数字签名具体是怎样的呢?
数字签名是使用了公钥加密技术并用于鉴别数字信息的方法。简单地说,数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被他人进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。
数字签名主要经过以下几个过程:
1、信息发送者使用一单向散列函数(HASH 函数)对信息生成信息摘要;
2、信息发送者使用自己的私钥签名信息摘要;
3、信息发送者把信息本身和已签名的信息摘要一起发送出去;
4、信息接收者通过使用与信息发送者使用的同一个单向散列函数(HASH 函数)对接收的信息本身生成新的信息摘要,再使用信息发送者的公钥对信息摘要进行验证,以确认信息发送者的身份和信息是否被修改过。
GlobalSign数字证书认证中心–提供全球可信的SSL、SSL证书、SSL数字证书、 域名型DVSSL证书、企业型OVSSL证书、增强型EVSSL证书、防范钓鱼网站、防黑客攻击、代码签名证书、服务器证书、微软代码签名认证、Symbian代码签名证书、数字签名证书、中文数字证书、PDF签名证书等服务
① 浏览器发送一个连接请求给安全服务器。
② 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。
③ 客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的,询问客户是否需要继续。
④ 接着客户浏览器比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户浏览器认可这个服务器的合法身份。
⑤ 服务器要求客户发送客户自己的证书。收到后,服务器验证客户的证书,如果没有通过验证,拒绝连接;如果通过验证,服务器获得用户的公钥。
⑥ 客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。
⑦ 服务器从客户发送过来的密码方案中,选择一种加密程度最高的密码方案,用客户的公钥加过密后通知浏览器。
⑧ 浏览器针对这个密码方案,选择一个通话密钥,接着用服务器的公钥加过密后发送给服务器。
⑨ 服务器接收到浏览器送过来的消息,用自己的私钥解密,获得通话密钥。
⑩ 服务器、浏览器接下来的通讯都是用对称密码方案,对称密钥是加过密的。
① 客户端的浏览器向服务器传送客户端SSL协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。
② 服务器向客户端传送SSL协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。
③ 客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的CA是否可靠,发行者证书的公钥能否正确解开服务器证书的"发行者的数字签名", 服务器证书 上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。
④ 用户端随机产生一个用于后面通讯的"对称密码",然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的"预主密码"传给服务器。
⑤ 如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的"预主密码"一起传给服务器。
⑥ 如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA是否可靠,发行CA 的公钥能否正确解开客户证书的发行CA的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的"预主密码 ",然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
⑦ 服务器和客户端用相同的主密码即"通话密码",一个对称密钥用于SSL协议的安全数据通讯的加解密通讯。同时在SSL通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。
⑨ 服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
⑩ SSL的握手部分结束,SSL安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。
① 浏览器发送请求给服务器,服务器首先返回证书;
② 浏览器比对服务器返回证书是否由信赖的CA中心签发,以及证书里的消息如:域名和公钥,通过后证明此服务器是安全的目标服务器,此时浏览器得到服务器的公钥;
③ 浏览器发送客户端证书给服务器进行验证,通过后建立连接,此时服务器获得客户端的公钥;
④ 客户端用各自的公钥、私钥发送对称秘钥,之后的通信就用对称秘钥进行加解密。(公钥和私钥为不对称秘钥,性能开销大于对称秘钥)
① 如双向认证前两步一样;
② 客户端用服务端公钥传送对称秘钥, 后续就用对称秘钥进行加解密再传送数据。
参考资料:
Domino网络域是共享一个公共Domino目录的Domino服务器和用户的集合。其主要的功能是邮件路由。 用户的网络域由他们的基于服务器的邮件文件的场所决定。 为使Domino服务器与不同网络域中的服务器进行通信,可在“Domino目录”中创建“网络域”文档来定义名称、场所以及对相邻和不相邻的Domino网络域及非Domino网络域的访问权限。2 验证字 验证字是标识用户或服务器的唯一数字签名。 Domino使用两种类型的验证字:Notes验证字和Internet验证字。 Notes验证字被存储在Notes或Domino标识符文件中,并且将名称与公用密钥相关联。Notes验证字能允许用户和服务器访问特定的Domino服务器。 Internet验证字包含公用密钥、名称、到期日期和数字签名。Internet客户机验证字允许用户使用SSL客户机身份验证或发送S/MIME消息来访问服务器。客户机验证字被存储在Notes标识符文件中(如果正在使用Notes客户机)或存储在用户硬盘上的文件中。Internet服务器验证字允许用户使用SSL服务器身份验证访问服务器。服务器验证字被存储在服务器硬盘上的密钥集文件中。组织和组织单元 组织是用于生成验证字的名称。组织信息作为根验证字,存放在Domino目录和各标识符文件中,作为系统验证使用。组织验证字可以生成组织单元的子验证字,进行不同组织单元的验证。同一个系统下的服务器和用户的验证字都将由组织和组织单元验证字来生成与验证。标识符(ID)文件 标识符文件用于存放组织/组织、服务器或者用户的验证信息。 CERTID是一个组织或组织单元的验证字文件,在服务器安装和设置时创建,它自动验证第一个服务器的标识符和管理员的用户标识符。 SERVERID中存储服务器的证书和标识符信息,以便于服务器之间或服务器和客户机之间的通讯。
单向认证
Https在建立Socket连接之前,需要进行握手,具体过程如下:
1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
2、服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书
3、客户端使用服务端返回的信息验证服务器的合法性,包括:
证书是否过期
发型服务器证书的CA是否可靠
返回的公钥是否能正确解开返回证书中的数字签名
服务器证书上的域名是否和服务器的实际域名相匹配
验证通过后,将继续进行通信,否则,终止通信
4、客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择
5、服务器端在客户端提供的加密方案中选择加密程度最高的加密方式。
6、服务器将选择好的加密方案通过明文方式返回给客户端
7、客户端接收到服务端返回的加密方式后,使用该加密方式生成产生随机码,用作通信过程中对称加密的密钥,使用服务端返回的公钥进行加密,将加密后的随机码发送至服务器
8、服务器收到客户端返回的加密信息后,使用自己的私钥进行解密,获取对称加密密钥。 在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。
双向认证
双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,具体过程如下:
1、客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
2、服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书
3、客户端使用服务端返回的信息验证服务器的合法性,包括:
证书是否过期
发型服务器证书的CA是否可靠
返回的公钥是否能正确解开返回证书中的数字签名
服务器证书上的域名是否和服务器的实际域名相匹配
验证通过后,将继续进行通信,否则,终止通信
4、服务端要求客户端发送客户端的证书,客户端会将自己的证书发送至服务端
5、验证客户端的证书,通过验证后,会获得客户端的公钥
6、客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择
7、服务器端在客户端提供的加密方案中选择加密程度最高的加密方式
8、将加密方案通过使用之前获取到的公钥进行加密,返回给客户端
9、客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后,产生该加密方式的随机码,用作加密过程中的密钥,使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端
10、服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。
密码算法的特性
1、是否需要事先配送私钥:对称密码需要考虑
2、是否会遭到中间人攻击:非对称密码分发公钥时需要考虑
3、不可抵赖(可被双方 和 第三方 用原理证明):非对称密码分发公钥时需要考虑
4、能否保证消息的机密性:即不可破译
5、能否保证消息的完整性(一致性):即不可篡改
6、不可冒充(伪造)
总结:对称密码(解决456)--非对称密码之单向通信--> 混合密码(解决1) --非对称密码之数字签名--> 公钥证书(解决23)
概念
密码算法:加密算法 + 密钥 + 解密算法,简称密码
密钥空间:密钥的所有取值
隐蔽式安全性:以密码算法不为人所知,来保证机密性
分组密码:对明文进行分组加密,而非以全文作为输入
流密码:不分组,整体加密
破解密文的方法
1、窃听 + 破译
2、社会工程学
破解密钥的方法
1、暴力破解(密钥穷举),例如破译凯撒密码
2、频率分析,例如破译简单替换密码
3、选择明文攻击(对分组进行明文穷举)
加密系统的可选技术
隐写术:将消息藏在更大的数据中,例如藏头诗
伪随机数生成器
散列值(摘要,哈希值,指纹):原文经过散列函数(摘要函数,哈希函数,杂凑函数,单向加密)计算出来的值
对称密码(共享密钥密码):加密和解密用同一个私钥
非对称密码(公钥密码):公钥加密,私钥解密
消息认证码
数字签名
公钥证书
碰撞:两个消息的散列值相同
弱抗碰撞性:给定一条消息,很难找到另一条消息与其散列值相同。防止以下情形,Bob持有一个消息A,计算其摘要;Alice找到与A散列值相同的另一条消息B,用B将A调包;由于摘要不变,不被Bob发觉
强抗碰撞性:很难找到两条散列值相同的消息。防止以下情形,Alice拿两个摘要相同的消息A和B,将A发给Bob;Bob计算其摘要;Alice再用B将A调包;由于摘要不变,不被Bob发觉
MD5(Message Digest 5)
历史:1991年Ronald Rivest 设计出MD5
现状:2004年王小云提出了MD5碰撞攻击算法
SHA
历史:1993年NIST发布SHA,1995年发布SHA-1,2002年发布SHA-2
现状:2004年王小云提出了SHA-0的碰撞攻击算法;2005年王小云提出了SHA-1的碰撞攻击算法
SHA-3
历史:2007年NIST发起选拔SHA-3,2012年Joan Daemen等人设计的Keccak算法被选定为SHA-3
弱伪随机数:随机性
强伪随机数:不可预测性
真随机数:不可重现性
随机数生成器:硬件可以通过热噪声实现真随机数
伪随机数生成器:软件只能生成伪随机数,需要一种子seed来初始化
伪随机数算法:线性同余法、散列法、密码法等
好的对称密码解决:不可破译
缺点:需要事先配送密钥
凯撒密码
加密算法:字母平移
密钥:平移位数
解密算法:逆向平移
破解密钥:穷举可能的密钥
简单替换密码
加密算法:一个字母替换成另一个字母
密钥:替换表
解密算法:逆向替换
破解密钥:对密文的字母 和 字母组合进行频率分析,与通用频率表对比;用破译出来的明文字母,代入密文,循环分析
Enigma密码
发明者:德国人Arthur Sherbius
加密算法:双重加密,每日密钥作为密钥1,想一个密钥2;用密钥1加密密钥2,得到密钥2密文;用密钥2加密消息;将密钥2密文和消息密文一起发出
密钥:密钥册子记录的每天不同的密钥
解密算法:用每日密钥解密密钥2密文,得到密钥2;用密钥2解密消息密文
破译者:Alan Turing 图灵
DES密码(Data Encryption Standard)
历史:1974年IBM公司的Horst Feistel开发出了Lucifer密码,1977年被美国国家标准学会(American National Standards Institute,ANSI)确定为DES标准
加密算法:以64比特为一组,进行16轮运算。在一轮中,把一组分为左侧和右侧,并从密钥中提取子密钥;轮函数用一侧和子密钥生成一个比特序列,用这个比特序列对另一侧进行异或运算(XOR)
密钥:长度56位
破译:可在现实时间内被暴力破解
三重DES密码(triple-DES,TDEA,3DES)
加密算法:将DES重复三次
密钥:长度 56 3
AES密码(Advanced Encryption Standard)
历史:1997年,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)公开募集AES,2000年比利时密码学家Joan Daemen 和 Vincent Rijmen提交的Rijndael方案,被选为标准
加密算法:以128比特为一组,进行多轮的替换、平移、矩阵运算
密钥:有128,192,256三种长度
分组密码的迭代模式
ECB模式:Electronic CodeBook mode,电子密码本模式;明文分组 和 密文分组 顺序对应。主动攻击者可以改变密文分组的顺序,复制 或 删除密文分组,使得接受者解密后得到错误的明文
CBC模式:Cipher Block Chaining mode,密码分组链接模式;将本组明文 和 上组密文 进行异或运算后,在进行加密;如果被篡改,则不能正常解密
CFB模式:Cipher Feedback mode,密文反馈模式;将本组明文 和 上组密文 进行异或运算后,就得到本组的密文
OFB模式:Output Feedback mode,输出反馈模式;用随机比特序列作为初始化组(初始化向量);用初始化组的密文和 明文分组 异或运算,得到密文分组;再次对初始化组密文进行加密运算,得到新的初始化组密文,跟下组明文进行异或运算,以此类推
CTR模式:CounTeR mode,计数器模式;用随机比特序列作为计数器的初始值,加密后与明文分组进行异或操作,得到密文分组;计数器加一,对下组明文进行加密
对称密码中,发送方发送密文时,带上消息的MAC值A;接收方用相同方法计算出MAC值B;对比A和B,确保消息不被篡改
Encrypt-then-MAC:MAC值为消息密文的散列值
Encrypt-and-MAC:MAC值为消息明文的散列值
MAC-then-Encrypt:MAC值为明文散列值的密文
重放攻击:攻击者窃听到Alice给Bob发送的消息后,重复给Bob发送,Bob以为都是Alice发的
预防重放攻击:消息里带有一个id
比对称密码:不可篡改、不可伪造
缺点:需要实现配送私钥
基于口令的密码:Password Based Encryption,PBE
解决:密钥(会话密钥)保存问题
CEK:会话密钥
KEK:用来加密CEK的密钥
方案
1、随机数作为盐salt,口令 + 盐 的散列值作为KEK
2、用KEK加密CEK,得到CEK密文
3、只保存盐和CEK密文,人脑记住口令,丢弃KEK
字典攻击:如果没有盐参与生成KEK,那么口令决定了KEK,常用的口令对应一个常用KEK字典,攻击者直接拿常用KEK去解密CEK密文
盐的作用:KEK由盐参与形成,不可能有KEK字典包含这样的KEK
非对称密码单向通信,不能单独用于通信,只用在混合密码中
方案:Alice 给 Bob 分发加密密钥(公钥);Bob用公钥加密消息,发送给Alice;Alice用解密密钥(私钥)解密
总结:消息接收者是密钥对主人,即私钥持有人;公钥用于加密,私钥用于解密
RSA密码
历史:1978年,Ron Rivest、Adi Shamir、Reonard Adleman共同发表了RSA
加密算法:密文 = 明文 E mode N
公钥:E 和 N的组合
解密算法:明文 = 密文 D mode N
私钥:D 和 N的组合
生成密钥对
生成质数:用伪随机数生成随机数,通过Miller-Rabin测试法测试它是不是质数,直到得到质数
求最大公约数:欧几里得的辗转相除法
1、求N
生成两个512位的质数p和q,N = p q
2、求L
L是p-1 和 q-1 的最小公倍数
3、求E
用伪随机数生成(1,L)范围内的随机数,直到满足E和L的最大公约数为1
4、求D
用伪随机数生成(1,L)范围内的随机数,直到满足(E D) mod L = 1
破解:对N进行质因数分解,得到p和q,从而求出D。但是对大数的质因数分解,未有快速有效的方法
首次通信为混合密码,后续通信为对称密码
比消息认证码:无需事先配送私钥
总体思路:Bob 用会话密钥加密消息,用Alice的公钥加密会话密钥,一起发给Alice;Alice用私钥解密会话密钥,用会话密钥解密消息
会话密钥:用来加密消息的 对称密码的密钥
1、Alice 给 Bob 发送公钥
2、Bob随机生成会话密钥,用会话密钥加密消息,得到消息密文
3、Bob用公钥加密会话密钥,得到会话密钥密文
4、Bob将会话密钥密文和消息密文一起发给Alice
5、Alice用私钥解密会话密钥,再用会话密钥解密消息
6、双方都有了会话密钥,从此以后,可以用对称密码通信了,带上消息认证码
缺点:分发公钥时,可能遭受中间人攻击;Alice可能对给Bob发送公钥这件事进行抵赖
中间人攻击:中间人从一开始Alice向Bob发放公钥时,就拦截了消息,得到Alice的公钥;然后伪装成Alice,向Bob发送自己的公钥;从而Bob打算发给Alice的消息,能被中间人解密
不能单独用于通信,只用在公钥证书中
明文签名:Alice用签名密钥(私钥)加密消息的摘要,把摘要密文和消息明文一起发给Bob;Bob解密摘要密文,得到摘要A;算出明文摘要B,对比A和B
总结:私钥用于加密,公钥用于解密,与 非对称加密之单向通信,刚好反过来
公钥证书:Public-Key Certificate,PKC,简称证书
认证机构:Certification Authority,CA
证书标准:国际电信联盟ITU 和 国际标准化组织ISO指定的X509标准
流程:
1、Alice在CA登记
2、CA生成Alice的证书明文,包含Alice登记的信息、Alice的公钥、CA信息
3、CA用自己的私钥加密证书明文部分,得到数字签名
4、证书明文部分 和 数字签名 组成PKC,颁发给Alice
5、Bob向Alice获取这个PKC,拿本地已有的CA公钥去验证证书,就得到了可信的Alice的公钥
6、从此Alice 和 Bob之间可以进行混合密码通信
首次通信为从CA获取PKC,后续通信为混合密码
比混合密码:防止了中间人攻击;CA不能抵赖自己的证书
历史:1994年网景公司设计出SSL,2014年SSL 30被发现安全漏洞,1999年IEIF发布TLS
TLS(Transport Layer Security)是SSL(Secure Socket Layer)的后续版本,在tcp和http之间加一层TLS,就是https
OpenSSL:OpenSSL是实现SSL/TLS协议的工具包
以https为例
0、浏览器安装时,存有几个CA公钥;服务器在CA登记,拿到证书
1、浏览器访问一个https地址,服务器返回自己的证书
2、浏览器根据证书上的CA信息,拿对应的CA公钥验证证书,得到可信的服务器公钥
3、浏览器生成对称密码的密钥(会话密钥),用服务器公钥加密后发给服务器
4、服务器解密后得到会话密钥,从此用对称密码通信,带上消息认证码
1、生成JKS证书:keytool -genkeypair -alias "别名" -keyalg "RSA" -keystore "D:\appjks"
2、将JKS转换成PKCS12:keytool -importkeystore -srckeystore D:\appjks -destkeystore D:\appp12 -deststoretype pkcs12
3、将PKCS12转成pem:openssl pkcs12 -in /appp12 -out apppem
4、提取加密后的私钥:将pem中 “—–BEGIN ENCRYPTED PRIVATE KEY—–” 至 “—–END ENCRYPTED PRIVATE KEY—–” 的内容拷贝出来,保存为ciphertextkey
5、将密文私钥转成明文私钥:openssl rsa -in ciphertextkey -out plaintextkey
jks(Java Key Storage):二进制格式,包含证书和私钥,有密码保护
pfx 或 p12(Predecessor of PKCS#12):二进制格式,包含证书和私钥,有密码保护
pem(Privacy Enhanced Mail):文本格式,包含证书,可包含私钥,私钥有密码保护
der 或 cer:二进制格式,只包含证书
crt(Certificate):可以是der格式,也可以是pem格式,只包含证书
SSL证书:SSL证书必须绑定域名,不能绑定IP
加密服务、密钥管理服务
值得推荐的电子签名平台—— 线上合同全过程管理软件,助力远程办公、无纸化办公,推荐数字化办公专家电子签章 “微签”。
签署方式
权威CA数字证书验证支持国家权威机构颁发的CA数字证书、Ukey证书既支持RSA国际标准,也支持SM2国密标准、可查看签章有效性、真实身份、签章时间等、签章后的文件不能修改。
签章日志全程追踪系统记录详细的签章日志、包括签章人、时间、IP、动作等、符合审计监管要求。
电子签名平台挺多的,关键还是要看用在什么场景下,用户的群体是什么样的,以及对法律合规性的要求。现在国内规模最大的是e签宝,也是中国第一家互联网电子签名平台,2002年成立,提供了一套从电子签名到文档归档管理、从存证保全到司法出证等全流程服务,不仅是浙江省政府“最多跑一次”指定电子签供应商,合作伙伴还包括阿里巴巴、索尼、华夏银行、海康威视、吉利、百威、顶新集团等顶级企业。
e签宝产品不仅通过国家密码管理局商用密码产品品种和型号审批,还拥有ISO27001信息安全管理体系认证,ISO27018云端个人数据保护认证、可信云服务认证,计算机信息系统安全专用产品检测、等保三级认证等,其中等保三级认证得分为全行业最高,也是国家“安全可靠技术和产业联盟”成员,在技术安全和权威资质方面属业界领先。
您好,目前国内可信的平台有 法大大、上上签和e签宝和易企签。
其他平台可以根据他们的这个问题的回答来了解 ,我在这里主要说一下易企签。
壹:
易企签如何保障电子合同的安全性?
一、数据安全
1 三级等保机房
易企签三级等保机房,保证物理、结构、主机、应用、数据等各方面的安全。其中,对于数据安全,易企签能够检测系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性,且能通过加密或其他有效措施对数据进行安全保护。
2 金融级别数据可靠性
易企签采用金融级别的安全存储环境,有效防止篡改,保证数据的完整、一致和准确。
3 数据异地备份
易企签提供完善的安全存储环境,除本地备份外,还可以异地备份,有效保证用户数据信息的安全性和完整性。
二、签署安全
1 公安部、工商总局联网实名认证
2 签署意愿认证
在使用易企签进行合约签署时,需要输入签署密码,认证签署人的签署意愿,保证了合同签署内容是由签署双方出于公平自愿原则签署。
3 高强度数字加密
用户使用易企签进行在线审批、合同签署、在线传输、在线存储等服务的过程中,实现全程数字加密,保护用户隐私安全,防泄露、防篡改,保证电子合同的机密性与安全性。
三、传输安全
1 全站HTTPS加密传输
易企签全站使用HTTPS服务器,使服务端和客户端、客户端和客户端之间的所有通讯都是加密的,保证电子合同传输过程不被窥探,不被泄露和篡改。
2 敏感数据脱敏处理
在文件传输过程中,对于敏感隐私数据,比如身份证号、手机号、工商注册号等数据,易企签会进行脱敏处理,以此避免敏感数据的泄露。
四、运维安全
1 分级运维管理、分级监控体系
易企签采用分级运维管理,保证运维人力资源的有效利用,以此提供给用户完善的监控和跟踪机制。同时,易企签分级监控体系,保证了数据的安全、稳定、可靠。
2 多机房网络分级安全部署
易企签实现多机房网络分级安全部署,保障易企签系统能够对机房级别的故障容错,保障用户数据在灾难情况下不受影响。
贰:
易企签电子合同是否具有法律效力?
法律所要求的以下四点,易企签都满足。
1 电子签名制作数据用于电子签名时,属于电子签名人专有。
易企签电子签名制作数据(俗称“电子章”)包括:用户专有的签名私钥(用于数字签名)、用户的手写签名数据或图章信息和数字证书。用户手写签名或图章信息可以直观的标识电子签名人,易企签制作电子签章提供手写和上传图章信息生成“电子章”。
2 签署时电子签名制作数据仅由电子签名人控制。
易企签通过一次性口令等强认证手段,验证电子签名人的身份,通过验证才允许电子签名人访问电子签名制作数据(“电子章”),保证电子签名人的对电子签名的实质上的控制。
3 签署后对电子签名的任何改动能够被发现。
易企签电子签名支持数字证书,采用工业标准的数字证书(俗称“网上身份证”)标识签名人,保证签名人的真实性,通过高强度的数字签名机制保证电子签名信息无法被篡改或伪造。
4 签署后对数据电文内容和形式的任何改动能够被发现。
易企签采用了高强度的银行级别的安全密码技术:哈希、加密、公开密钥密码算法实现数字签名,在签名文档被改动后,可以自动识别文档改动并警告用户。
叁:
易企签如何保障电子印章可管可控?
1、融合了印章图像处理和密码学应用技术实现在线快速制作印章,制作的印章和企业(个人)的数字证书绑定
支持通过本地上传、扫码上传、在线制作创建企业下的电子印章,其中本地上传主要用于电脑本地存有印章,通过此种方式可以直接上传文件创建印章,为了方便用户从手机上直接上传印章,系统提供“扫码上传”支持从手机移动端上传印章;也可用“在线制作”通过系统电子印章模板快速制作电子印章。
使用“本地上传”制作电子印章:
使用“扫码上传”从手机直接上传印章制作电子印章:
使用“在线制作”通过系统电子印章模板快速生成电子印章:
2、在线用章,实现全程数字化业务流程闭环处理
通过在业务管理系统中添加电子印章功能,可实现企业业务合同等文件发起、审批、签字盖章、归档全程在线,印章可以由印章管理人员根据需要进行授权,可以按时间段授权,按照次数授权,也可以单次进行授权。
印章管理员:可使用指定的印章并对该印章使用的合同文件具有调阅、下载等权限。
法务:具备流转到节点的合同文件审核、修改等权限。
普通员工:可通过系统快速发起各类文件内容,快速申请用印。
整个合同用章流程从申请、审批、签字或盖章、归档全程在线化、对公司印章进行角色管理、权限控制、证据留存,为组织印章管理提供技术支撑。
企业成员也可以向企业印章管理人员申请印章使用权,申请成功之后,需要等待印章管理人员审批通过。 企业成员申请印章使用操作界面:
企业印章管理员审批操作界面:
3、电子印章全方位管理
总结: 通过构建统一、高效、安全的电子合同生命周期管理平台,可以实现电子合同在线签署,消除快递成本,缩减合同不匹配造成的效率低下等问题,解决物理印章使用模式中效率管控与风险控制的矛盾,实现企业印章可管可控。
综上所述:易企签是一个非常可靠的电子签名平台 。
0条评论