1. 建设方案

1.1 方案架构

图 1人力资源社会保障电子印章体系总体结构

如上图所示，人力资源社会保障电子印章体系整体上分为部、省、市三级结构，各级电子印章系统主要由电子印章制作系统、电子印章状态发布系统、电子印章应用系统等组成。电子印章数字证书由人力资源社会保障行业电子认证系签发管理。部级电子印章系统与国家政务服务平台统一电子印章系统（以下简称为“国办印章系统”）对接，地方人社电子印章系统可通过部级电子印章系统接入国办印章系统，实现与地方政务服务平台电子印章系统的信任接入，实现基于密码技术支撑的统一身份认证、统一电子印章、统一电子证照的跨地市、跨区域互认。

图 2 电子印章系统组成关系

1.2 方案部署

人力资源社会保障各级电子印章相关系统部署于业务专网，公众服务网可按需要部署电子印章应用系统，如下图所示。

1.3 方案描述

图 3地方人力资源社会保障电子印章系统组成

如上图所示，地方（省、市）人力资源社会保障电子印章系统主要部署在业务专网与公共服务网；

· 业务专网为人力资源和社会保障内部用户提供身份认证、内部业务流转和审批的电子印章和内部公文的电子印章。

· 公共服务网为在人力资源和社会保障外网所面向的人员、企业和其他机构提供身份认证、业务审批和电子证照等业务系统的电子印章。

1.3.1 业务专网电子印章系统

业务专网电子印章系统主要由电子印章接入系统、电子印章制作系统、电子印章应用系统、电子印章查询系统、电子印章专用签名验签服务器及SSL安全网关组成。其中，SSL安全网关、电子印章接入系统主要实现与人社部行业统一电子印章系统建立加密通道，在加密网络传输进行安全互连，接入行业统一电子印章信任体系。

1.3.2 公共服务网电子印章系统

公共服务网电子印章系统主要由电子印章应用系统、电子印章查询系统移动电子印章支撑系统、签名验签服务器及SSL应用安全网关组成。公共服务网电子印章制作统一由业务专网电子印章系统提供。

1.4 系统建设方案

人力资源社会保障电子印章系统统一由人力资源社会保障电子认证体系提供电子认证服务；包含证书申请、延期、变更、吊销等数字证书全生命周期服务。部、省、市单独向人力资源社会保障电子认证申请电子印章所使用的数字证书。

1.5 电子印章系统建设

1.5.1 电子印章基础设施业务

1.5.1.1 电子印章制作和状态发布系统对接流程

图4：系统对接业务流程

对接业务流程描述：

a)各地人力资源社会保障电子印章系统建设完成后，首先经电子印章接入测试系统检测电子印章制作系统、状态发布系统国办接口的正确性。

b)各地人力资源社会保障电子印章系统测试通过后，逐级提交测试报告和系统对接申请，即市级向省级平台提交测试报告和系统对接申请，省级向部级平台提交测试报告和系统对接申请。

c)部级审核部门核验申请材料的完整性和检测报告的正确性，通过后进行正式系统对接。

1.5.1.2 电子印章制作系统注册

当各地方的电子印章制作系统通过电子印章接入系统测试后，方可与部级电子印章系统进行对接，各地方电子印章制作系统应通过部级印章服务管理系统在部里注册，由人力资源社会保障行业CA印章根为其签发电子印章制作系统证书，用于电子印章制作和身份鉴别。注册流程见图。

图 电子印章制作系统注册

注册流程如下： 

a) 管理人员将电子印章制作系统注册申请信息录入印章服务管理系统。申请信息包括系统名称、系统IP地址和端口号、系统所在省市、系统公钥等；

b) 人力资源社会保障行业CA为电子印章制作系统颁发数字证书，用印章根签发；

c) 将数字证书返回电子印章制作系统。

1.5.1.3 电子印章状态发布系统注册

当各地方的电子印章状态发布系统通过电子印章接入系统测试后，方可与部级电子印章系统进行对接，各地方电子印章状态发布系统应通过部级印章服务管理系统在部里注册，由人力资源社会保障行业CA印章根为其签发电子印章状态发布系统证书，用于身份鉴别，具体流程见图。

图5 电子印章状态发布系统注册

注册流程如下： 

a) 管理人员将电子印章状态发布系统注册申请信息录入国家政务服务平台统一电子印章管理系统。申请信息包括系统名称、系统IP地址和端口号、系统所在省市、系统公钥等；

b 人力资源社会保障行业CA为电子印章状态发布系统颁发数字证书，用印章根签发；

c) 将数字证书返回电子印章状态发布系统。

1.5.1.4.电子印章业务

电子印章按应用范围可分为跨行业应用和行业内应用；

· 跨行业应用的电子印章在申领时，唯一赋码的申请应按照国办要求进行申请，并完成印章备案；

· 行业内应用的电子印章在申领时，唯一赋码的申请应按行业内的赋码要求进行填写，且无需到国办平台备案。

1.5.1.4.1 电子印章申领

电子印章使用主体可向电子印章制作主体申领电子印章，具体流程见图 6。

图6 电子印章申领

电子印章申领流程描述如下：

1)电子印章使用主体向电子印章制作主体提交申领材料；

2)电子印章制作主体核验申领材料正确性；

3)电子印章制作主体根据提交的申领材料制作电子印章印文图像，印文图像规格和样式在1:1打印下应遵循实物印章有关规定和标准；

4)电子印章制作主体登录电子印章系统根据申请单位提交的材料，录入提交电子印章申请信息，包括：单位统一社会信用代码、单位行政区划码、单位类型（国家行政机关或事业单位）、单位名称、经办人姓名、经办人公民身份号码、经办人手机号码、单位地址、审批单位名称、审批单位行政区划码、电子印章名称、电子印章印文图像（如果制作电子印章要导入电子印章应用系统，还应提交从电子印章应用系统导出的电子印章申请数据包）；

5)由人力资源社会保障行业CA为电子印章颁发数字证书（一个数字证书只能对应一枚电子印章）；

6)从国家政务服务平台电子印章信任支撑系统获取电子印章唯一赋码、公安对称密钥、公安印章信息，并完成印章备案。

7)电子印章系统根据申请材料生成电子印章；

8)电子印章制作主体下载制作完成的电子印章；

9)电子印章制作主体向电子印章使用主体交付电子印章。

10)电子印章的存储包括USB-Key、印章加密数据包和移动端三种方式：

USB-Key存储于专用密码介质中。

印章加密数据包存储于服务器中，在服务端进行电子签章；

移动端存储于手机或者移动设备中，可通过二维码扫描、PIN码的方式进行电子签章。

1.5.1.4.2 电子印章变更

电子印章使用主体因机构变动、名称变更等原因需要更换电子印章时，应进行电子印章变更，具体流程见图7。

图7 电子印章变更

电子印章变更流程描述如下：

1)电子印章使用主体向电子印章制作主体提交变更申请材料；

2)电子印章制作主体核验电子印章变更申请材料正确性；

3)电子印章制作主体核验后，登录电子印章系统注销原有电子印章；

4)电子印章制作主体申请新电子印章（新电子印章申请见电子印章申领流程）；

5)电子印章制作主体向电子印章使用主体交付变更后的电子印章。

6)电子印章存储于服务器、USB-key或移动设备中

1.5.1.4.3 电子印章挂失

电子印章使用主体因电子印章载体遗失时，应进行电子印章挂失，具体流程见图8。

图8 电子印章挂失

电子印章挂失流程描述如下：

电子印章使用主体向电子印章制作主体提交电子印章挂失申请材料；

电子印章制作主体核验电子印章变更申请材料正确性；

电子印章制作主体核验后，登录相应的电子印章系统挂失原有电子印章；

电子印章制作主体申请新电子印章（新电子印章申请见电子印章申领流程）；

电子印章制作主体向电子印章使用主体交付新电子印章。

1.5.1.4.4 电子印章注销

电子印章使用主体因自身业务原因需要注销本单位电子印章时，可通过电子印章系统实现，具体流程见图9。

图9 电子印章注销

电子印章注销流程描述如下：

电子印章使用主体向电子印章制作主体提交电子印章注销申请材料；

电子印章制作主体核验电子印章注销申请材料正确性；

电子印章制作主体核验后，登录相应的电子印章系统注销指定的电子印章。

1.5.1.4.5 电子印章续期

电子印章使用主体因电子印章或数字证书到期，向电子印章制作主体提交续期申请材料，具体流程见图10。

图10 电子印章续期

电子印章续期流程描述如下：

电子印章使用主体向电子印章制作主体提交电子印章续期申请材料；

电子印章制作主体核验电子印章续期申请材料正确性；

电子印章制作主体核验后，登录相应的电子印章系统进行电子印章续期操作。

1.5.1.4.6 电子印章更换

电子印章使用主体因电子印章载体损坏等原因需要更换载体时，向电子印章制作主体提交更换申请材料，具体流程见图11。

图11电子印章更换

电子印章更换流程描述如下：

电子印章使用主体向电子印章制作主体提交更换申请材料；

电子印章制作主体核验电子印章变更申请材料的正确性；

电子印章制作主体核验后，登录电子印章系统注销原有电子印章；

电子印章制作主体申请新电子印章（新电子印章申请见电子印章申领流程）

电子印章制作主体向电子印章使用主体交付更换后的电子印章。

2. 电子印章应用

2.1 签章

电子印章使用主体可根据自身情况设计建设不同模式的电子印章应用系统，满足自身电子印章应用需求。电子印章的应用模式主要分为分散式和集中式两种：

· 分散式用章

电子印章存储在电子印章使用主体的智能密码钥匙或移动端中，电子印章使用主体使用电子印章客户端软件进行签章或验章，可完成离线或在线电子签章和验章操作。

图示11：分散式用章

分散式用章描述：

1)业务办理人员在人社业务系统办理签章相关业务时，人社业务系统通过调用电子印章客户端软件完成签章操作。

2)电子印章客户端软件签章时，使用UKEY或者移动设备进行签名运算。

3)电子印章客户端软件签章时既可以从UKEY或移动设备读取电子印章，也可以从电子印章制作系统中读取电子印章完成离线或在线的电子签章操作。

· 集中式用章

电子印章存储于集中式用章系统中，电子印章使用主体使用电子印章应用系统（集中式用章系统）进行签章或验章，可在线完成电子签章和验章操作，电子印章应用系统可扩展用章用户管理、权限管理、日志审计等功能。

图示12：集中式用章

集中式应用描述：

a)业务办理人员在人社业务系统办理签章相关业务时，人社业务系统通过接口调用方式向电子印章应用系统发起签章请求。

b)电子印章应用系统响应签章请求并把已签文件返回给人社业务系统。

c)密码设备在整个签章流程中提供安全可靠的签名服务。

d)电子印章状态发布系统在签章、验章过程中提供电子印章有效性查询服务。

2.2 验章 

验章操作要求如下：

· 分散式用章

1）电子印章使用主体可根据业务需求和验章环境选择离线验章或在线验章。

2）离线验章主要包括验证电子印章和已签章文件的真实性、完整性；

3）在线验章是在离线验章的基础上，通过查询电子印章状态发布服务确认签章时电子印章的有效性。

· 集中式用章

1）集中式用章模式下对签章文件进行验章时，应验证电子印章和签章文件的完整性、真实性，同时验证签章时电子印章的有效性。

2）验证电子印章有效性时，可在线查询电子印章状态发布服务，也可下载电子印章吊销列表进行查询。