文档介绍：-
. z.
财务管控系统电子签名及原始凭证电子化
解决案
2013年7月
目录
目录2
1、背景3
2、应用现状3
**财务管控应用情况3

取的技术案不同，其可靠性、正确性、稳定性可能会有较大的不同，因此导致了其法律效力也不应在同一水平上。而“功能等同原则〞可以较好地解决这一问题，其根本模式有三个：第一，只有符合一定条件的电子签名才具有与传统签名同等的法律效力;第二，不同模式和特性的电子签名以其稳定性、可靠性、真确性为标准对应不同的法律效力;第三，到达相应要求的电子签名即可具备与传统签名等同的法律效力，而不管具体的技术解决案是什么。以此作为判断电子签名是否具有法律效力的依据，减少了电子技术的多样性对电子签名效力造成的不稳定影响。



、解决案
远光财务管控系统，在企业部进展业务单据流转传递时候引入电子签名，在客户端签章用户使用盖章工具盖章时，印章来源都是从所连接的信任效劳器中数据库调来，且每一个独立的用户都使用自己唯一的KEY证书，从而保证了印章来源的可靠性，平安性，可信性。
-
. z.

身份认证案采用以智能卡〔或USB KEY〕为存储介质的基于数字证书的身份认证式。这种式具有明显的优点：
采用基于公钥密码体制的CA数字证书认证机制，是目前所公认的最平安的身份认证式之一，并且技术成熟，具有通用的国际标准。
采用智能卡〔或USB KEY〕作为数字证书的存储介质。设备可以在部进展密码运算，不允将用户私钥导出和复制，并且带有PIN保护，能有效抵御蛮力尝试。在使用上，目前大多数的计算机都有USB接口，此类设备的使用简单便。
〔3〕采用基于数字证书的身份认证式，可以实现双因素认证的需求，攻击者如果想冒充合法用户的身份进入系统，不仅需要窃取到存储用户私钥的存储介质，还需要知道保护用户私钥的PIN码，而PIN码的尝试一般只有三次，这种双因素认证机制可以大大提高认证的平安强度，也会使得身份冒充变得更加困难。
身份认证过程步骤：
①用户将USB KEY插入客户端机器，客户端机器自动从USB KEY中读取用户名；
②客户端将USB KEY的ID号和用户名发给效劳器并请求效劳器对用户进展身份认证；
③效劳器产生一个随机数并发往客户端；
④客户端将收到的随机数发给USB KEY；
⑤使用USB KEY中的私钥对收到的随机数进展签名操作，并将签名结果发回客户端；
⑥客户端将签名结果连同USB KEY中存储的数字证书发送到效劳器端；
⑦效劳器端使用接收的数字证书对客户端发送的签名结果进展验证，如果验证通过就认为用户的身份合法，否则用户不合法；
⑧效劳器完成对用户的身份认证以后，根据效劳器端配置的用户权限表给用户分配权限，如果用户具有审批业务单据的权限，则允用户进展审批，否则拒绝；
⑨效劳器端将用户身份的认证结果和访问权限结果发给客户端。
-
. z.
⑩客户端根据身份认证结果和访问权限的结果允或者拒绝用户。

财务管控模块支持两种式的用户身份认证：基于用户口令的式和基于身份令牌的式。
为便与其他平安系统效劳集成，进一步增强信息平安级别，财务管控模块提供了“第三用户适配接口〞，通过定制相关的适配器并动态配置，快速完成包括LDAP效劳器在的用户身份认证效劳的集成；借助于更加专业的平安产品效劳，从而更好地满足客户所需的用户身份认证式和鉴别强度。目前财务管控模块已提供多个国外公司的相关适配器，包括LDAP目录用户适配器〔IBM Tivoli Directory Server、Microsoft Active Directory等〕、吉大正元南开目录效劳适配器、江南PKI用户适配器，安达通SUREID用户适配器。以上适配器可通过财务管控模块的管理控制台进展配置，如以下图：
PKI/CA集成
财务管控模块通过“PKI/CA数字签名验证接口适配器〞,与特定PKI/CA产品效劳集成，完成数字签名及签名验证，目前系统已经与多家国PKI系统集成并使用。通过集成PKI/CA，使用数字签名技术，到达系统数据的完整性和操作的不可否认性，满足【人民国电子签名法】所要求的平安标准。
财务管控模块已经提供“天威诚信〞和“**格尔〞PKI数字签名验证适配器，可以在财务管控模块管理控制台中配置，见以下图。

资金运营作为财务管控的一个核心模块，在财务管控整体平安设计的根底上增加了相关平