威客方案工作室（微信公众号：weikefangan） 第 1 页 共 15 页 电子电子凭证凭证智能签章系统智能签章系统 技术方案技术方案 威客方案工作室（微信公众号：weikefangan） 第 2 页 共 15 页 目录目录 第一章 电子凭证电子签章系统建设方案 . 3 1.1 设计架构 . 3 1.1.1 功能模块 . 3 1.1.2 系统集成架构 . 6 1.1.3 部署架构及环境要求 . 7 1.1.4 性能实现 . 8 1.1.5 高可用设计 . 8 1.2 方案详述 . 9 1.2.1 电子印章 . 9 1.2.2 电子凭证平台特点 . 9 1.2.3 系统安全机制 . 11 1.3 应用效果 . 12 1.3.1 Adobe Reader 阅读器自动校验通过 13 1.3.2 Adobe Reader 阅读器自动校验不通过 13 1.3.3 骑缝章电子凭证效果 . 14 1.4 方案优势 . 15 威客方案工作室（微信公众号：weikefangan） 第 3 页 共 15 页 第一章第一章 电子凭证电子凭证电子签章系统电子签章系统建设方案建设方案 1.1 设计架构设计架构 电子凭证电子签章系统是一个集中的基础服务平台，即前端入口接收来自于业务系统的业务数据，经 过平台内部处理后，对外部用户提供一致的电子凭证电子签章服务。 电子凭证电子签章系统主要包含：电子凭证的生成与电子凭证模板管理，电子印章制作与管理，对电 子凭证进行批量签章，调用数字签名服务器提供数字证书服务，电子凭证验证服务。 电子凭证电子签章系统具有清晰的输入输出逻辑。能接受通用的 xml 等数据流文件，同时也能支持接 收 PDF、Word 等文件。通过平台内部处理（模板合成、加盖印章及防伪、添加数字证书） ，最后将电子凭 证以电子文件予以存储。 1.1.1 功能模块功能模块 电子凭证系统细分为电子凭证生成服务器系统、管理服务器系统、加密签章服务器系统、在线验证系 统四部分组成。如下图所示： 电子凭证系统 管理服务器加密签章系统在线验证系统 盖章 规则 管理 签章 日志 管理 凭证 电子 签章 电子 凭证 验证 凭证生成服务器 凭证 模板 管理 自动 生成 凭证 凭证 日志 管理 签名 服务 器 印章 用户 管理 凭证 存储 接口 电子凭证系统功能模块图 1.1.1.1 电子凭证电子凭证生成服务器生成服务器 电子凭证生成服务器可对电子凭证模板进行管理,并对提交的电子凭证数据和对应的电子凭证模板合并 生成电子凭证格式文档,其主要功能包括： (1) 电子凭证模板管理 (2) 基于表单技术的电子凭证动态生成 (3) 将文档转存为 PDF 格式 该模块负责接收各个业务系统提交的业务数据或业务文档，并将其转化为标准的输出文件格式（PDF 威客方案工作室（微信公众号：weikefangan） 第 4 页 共 15 页 文件格式） 。 该模块提供专业的成熟的模板设计工具和模板管理平台，可以所见即所得地快速设计开发各种电子凭 证模板，并方便地维护各种个性化的模板版本（能按电子凭证种类、地区等等分类） 。可以直接支持 WORD 文件作为模板，无需技术部门重新设计开发。具备模板的集中管理、版本分配功能。 1.1.1.2 管理服务器管理服务器 管理服务器分为盖章规则的管理、签章日志管理、印章管理、业务系统管理、人员管理、证书管理等 子模块。其中盖章规则管理可以对提交的规则进行增加修改删除查询的操作;签章日志管理可以对所有的印 章记录进行查看和统计。 印章管理模块提供生成电子化印章及管理功能，能支持以各实体公司和全局视图的两个方面的印章管 理、能追踪印章的使用管理和使用记录查询，支持系统使用或维护人员简单方便的自行新增电子印章。 该模块具备对外提供上述功能的独立接口，便于其它不同系统调用。 管理服务器在系统权限上支持集中控制，分级管理 在横向上通过“用户角色权限”三维权限管理模型，可以给不同的人赋予不同的角色，进而分 配不同的使用权限 在纵向上通过管理范围来设定每个人的权限适用范围，可以实现分级管理，下级永远无法看到上 级部门的信息 分级管理要做得彻底，对印章图样（又称印模） 、印章、人员、证书、单据、日志等全部分级控制， 实现了真正意义上的集中管理、分级控制 管理服务器在功能模块上分为以下几个方面： 印模管理： 包括印模的申请、印模审批、印模管理。 印模申请：提交印章图片，申请印章制作。同时印模进入印模库。 印模审批：如印模审批通过，则进入印章制作流程。 印模管理：印模图片的删除、编辑、修改。 印章管理： 印章制作：通过申请的印模申请，进入印章制作，印章制作后进入印章库。 印章管理：印章的停用、启用、删除。 印章权限设置：印章权限设置，允许印章授权给用户、角色、部门使用。非授权用户无法使用印章。 日志管理： 威客方案工作室（微信公众号：weikefangan） 第 5 页 共 15 页 详细记录章的添加删除等日志信息。日志信息包括：操作人，操作人的 IP ,操作人的 MAC、操作时间、 操作结果等等。 用户证书管理： 负责用户证书的设置匹配。 系统管理： 系统的初始化配置设置。 应用系统管理： 应用系统为需要使用电子凭证平台来办理签章业务的外围系统做用户身份管理，如电子商务系统、SIP 系统等。 模板管理 电子凭证平台所用模板主要是由目前应用系统中已有的 word 模板通过模板制作工具转换而成的， 可用 于与业务数据的 xml 合成最后生成 PDF 文档。 业务类型管理 业务类型是指需要使用电子单据平台进行相关业务签章操作的业务。 组织机构管理 组织机构管理主要是对企业的单位和部门进行设置和管理。 用户管理 用户为签章平台用户，每个用户均属于一个部门，具备一个或多个角色、具有相应的管理范围。角色 决定了该用户的菜单权限，管理范围决定了用户的菜单权限适用的范围。 1.1.1.3 加密签章服务器系统加密签章服务器系统 加密签章服务器系统对凭证进行签章后形成带有电子印章的电子凭证，然后对电子凭证进行数字签名。 本模块具备电子凭证签名及验签功能，可以完成电子凭证的签名认证和加密处理。能够确保业务数据 的真实性、完整性和有效性。 1.1.1.4 在线验证平台在线验证平台 在线验证平台主要是提供给电子凭证客户用来电子凭证是否真实、有效的功能，可对已经签章和证书 加密签名的电子凭证进行验证,包括文档内容,盖章人和盖章时间等信息的校验，可进行高速验签。 威客方案工作室（微信公众号：weikefangan） 第 6 页 共 15 页 1.1.1.5 数字证书数字证书使用使用 电子凭证电子签章系统支持各第三方数字认证中心（CA）颁发的数字证书，如果电子签章的主体是同 一个或者几个固定的法律主体，那数字证书可以使用文件证书的方式加密存储在电子签章系统中。 1.1.2 系统集成架构系统集成架构 1) 企业核心业务系统在获取电子凭证数据后,将数据提交至电子凭证生成服务器上,由它使用相应模 板生成文档(PDF 格式) 2) 电子凭证生成服务器生成的 PDF 文档或者外围系统直接生成的文件递交给加密签章系统,该系统根 据文档类型自动选用相应的盖章规则,调用数字签名服务器对文档进行盖章签名 3) 智能签章平台生成的签章文件回传给相应系统 4) 客户进入系统或者通过邮件下载电子凭证，并可以将下载的电子凭证提交至在线验证平台上验证 电子凭证。 Internet DMZ区 公司内部 内网 Web Service接口 核心业务平台 业务区 数据库服务器 公 司 内 部 网 络 凭证在线验证平台 成员单位 在线验证 EMAIL 离线、在线验证 网销平台 WEB服务器 电子商务区 电子凭证 智能签章平台 PDF模板管理 数字签名服务器 印章管理平台 系统部署图 威客方案工作室（微信公众号：weikefangan） 第 7 页 共 15 页 1.1.3 部署架构及环境要求部署架构及环境要求 系统可分离或合并部署单据生成模块、管理服务、加密盖章模块、在线验证服务；考虑到这几个模块 的性能要求不一样，如管理服务模块使用较少，如果完全分离部署将增大开销，并且不能充分利用系统资 源。所以我们建议使用合并部署模式，在合并部署时，可将更多设备用于负载均衡，最优化利用硬件资源， 架构如下： 影像系统 网销系统 签章 规则 电子单据 电子单据系统电子单据系统 单据数据 电子单据 单据模板 外围系统外围系统 公文系统 其它系统 电子签章系统服务器1 单据生成模块 管理服务 加密盖章模块 在线验证服务 负 载 均 衡 器 电子签章系统服务器2 电子签章系统服务器n 单据生成模块 管理服务 加密盖章模块 在线验证服务 单据生成模块 管理服务 加密盖章模块 在线验证服务 服务器环境要求：服务器环境要求： 对于管理服务、加密盖章模块、在线验证服务等模块，可以部署在 Windows Server 系列或者 Linux 及 UNIX 设备服务器上设备服务器上。 对于电子凭证生成模块，需要部署在 Windows Server 系列服务器上。 建议单机配置为 2GHz 以上 8 核或者等效 8 核 CPU，内存为 8G 以上，Web 服务器存储空间为 100G 以上。使用双机负载策略。 中间件要求：中间件要求： 系统基于 J2EE 平台，支持所有通用中间件。标准版本使用 tomcat 6.0。 数据库要求：数据库要求： 威客方案工作室（微信公众号：weikefangan） 第 8 页 共 15 页 系统支持所有支持 JDBC 协议的数据库，如 Oracle、SQL Server、DB2 等。标准版本使用 mysql 4.0。 1.1.4 性能实现性能实现 针对 1M 大小的 PDF 文件，服务器能保证 200 次签章并发量，在最大并发量下的平均响应时间在 4 秒 之内，并且消耗的资源量低。可实现每秒 100 次以上的签章和验章速度，能够满足长时间运行的稳定性， 即使长时间高压力下运行释放压力后，各种资源能够顺利回收，系统一切运行指标正常。 1.1.5 高可用设计高可用设计 系统设计上做到构件化设计，系统框架、业务逻辑、数据存储三者分离，可分别维护和更新。 系统的所有 WEB 框架程序可直接基于目录备份， 恢复时直接用最新备份程序进行覆盖即可。 业务逻辑部分由管理员直接配置，无需更新系统框架，相关配置数据亦存储在数据库中。 签章系统的日志、模板、配置数据、缓存数据等均存储在数据库中，数据损坏后直接可用最 新备份数据进行恢复。 使用现有成熟的数据库中心和存储，保障稳定运行。 系统具有自动清理及存储转储功能，确保日志、缓存文件、配置等信息对系统性能影响最小，保障 长期高速稳定运行。 系统具有定时（手动）备份功能，保障宕机后的快速恢复。 使用负载设备将签章系统服务器单机拓机风险降到最低。对于负载设备要求做到双机热备。 威客方案工作室（微信公众号：weikefangan） 第 9 页 共 15 页 1.2 方案详述方案详述 1.2.1 电子印章电子印章 电子印章产品具有以下特性： 支持各种格式的签章，一体化解决方案，支持格式包括： a) PDF/AIP/CEB 等版式格式 b) Word/Excel/Wps 等编辑格式 c) JPEG/BMP/TIFF/PNG 等图像格式 d) 各种报表、网页格式 e) 其它任何可以打印的格式 签完章的电子凭证可以下载成各种通用格式，如 PDF、WORD、TIFF、JPEG 等。 对于 PDF 格式电子凭证，标准的 AdobeReader 无需安装任何插件即可验证 签章服务器基于任务驱动，提供统一接口，支持基于服务器证书的快速自动签章 支持复杂的基于业务类型/凭证类型实现自动定位的批量盖章。 a) 支持基于文字定位 b) 支持绝对坐标定位 c) 支持