论文部分内容阅读
摘要:该文主要研究内容是油料供应管理系统电子印章应用。针对当前油料供应管理系统在数据交换中出现的主要问题,论文从油料供应管理电子印章平台结构设计、安全设计和系统功能几个方面提出了具体的应用方案,构建基于应用层面的安全保障体系,为电子凭证合法、安全提供可靠保障,圆满解决了这些问题。本方案为电子印章在后勤领域其他业务系统的应用提供了很好的借鉴。
关键词:电子印章;油料供应;供应管理
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2021)27-0021-00
油料供应管理是后勤保障的重要内容,伴随着信息技术的应用逐步发展。近年来油料管理部门提出依据油料供应管理相关规章制度,全面分析油料供应管理业务需求,研究统一规范的油料供应管理业务流程和手续制度,启动了油料供应管理系统建设工程。随着油料供应管理系统的推广使用,各单位通过它在网络平台上开展油料供应管理相关业务,实现了凭证办理网络化,生成了大量的电子凭证,这些电子凭证是业务办理的重要依据,一旦被非法篡改将导致难以估计的后果。印章是解决电子凭证是否有效的一个重要手段。因此建立电子印章安全平台来解决电子凭证在不同业务系统之间流转和数据交换等安全问题成为下一步油料供应管理系统发展趋势。
1电子印章概述
电子印章是传统印章在信息社会逐步发展起来的,它很好地将现代科技和传统习惯相结合,是网络中的身份确认与授权“手段”。近年来,随着电子印章在政府机构、企业等单位的逐步应用,其技术不断发展和成熟,渐渐出现了电子印章平台的概念。该平台实际上是一个电子印章中心服务机构,依托平台可以为各级用户提供电子印章服务,包括制作、发放、管理、备案、查询和验证电子印章等等。平台建立以后,电子印章的标准化,规范化和完全具有法律效力才有了技术基础[1-11]。
2油料供应管理电子印章平台结构设计
为适应油料供应管理系统数据交互需求,建立专用的电子印章服务平台。印章系统将数字签名等安全数据以印章的形式嵌入到油料供应管理系统的业务数据中进行“盖章”;带有电子印章业务数据在内部网络中传输,到达接收方后,系统再对数据进行解密处理,以确定数据的发送方和真伪即“验章”,整个应用系统逻辑结构如图1所示。
(1)首先在后勤保障部部署油料供应管理电子印章服务平台。平台主要为各级油料管理部门提供电子印章的制作、发放等服务。平台核心业务逻辑采用COM+组件来完成,利用Windows提供的“组件服务”控制台,可以很方便地部署和设置。
(2)电子印章和用户证书存放于USBKEY中,由油料供应管理电子印章服务平台统一备案和验证。之所以选择USBKEY是因其运算快速、存储量大、安全性比较高,而且难于破译和伪造,还可以把私有密钥、数字证书存储在它内部相当安全的智能芯片上,从而确保了在设备内部完成最核心的加解密运算。另外,USBKEY还具备便于携带,采用USB标准接口通讯,无须专门的读卡设备即插即用等优点。
(3)客户端由上述安全设备USBKEY,ActiveX控件包和具体的盖章软件组成。核心是ActiveX控件包,它加载在浏览器中对功能进行了封装,提供API接口供油料供应管理系统调用。当然,用户必须插上USBKEY,通过验证通过后才可以使用。
3油料供应管理电子印章平台安全设计
为了实现整个油料供应管理系统所使用的电子印章必须是唯一的,不能被其他任何单位或个人复制或篡改,系统在安全设计方面采用PKI/CA技术体系。PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为网络环境下业务开展提供一套安全基础平台的技术和规范[12-16]。油料供应电子印章服务平台的应用是完全基于PKI体系的,其最大优点就在于标准。底层安全功能的具体实现方式对系统来说是不用关心的,它只需调用标准的CryptoAPI接口就能完成。正是采用标准体系使得系统本身几乎不做改动就可以和满足各种安全级别的加密设备或解决方案融合,如图2所示。
在军队内网下的信任和认证问题光靠PKI技术还不能完全解决,必须建立一种机制可以识别各级油料部门的身份,其他部门也可以通过这种机制验证其身份。后勤保障部承担CA(Certification Authority)认证中心这一角色。它负责颁发数字证书,以证明各油料部门在军队内网中身份的真实性,并负责油料供应管理系统数据交换时检验和管理证书。此外,为避免给操作系统和后台数据库带来安全威胁,确保应用于数据的全面安全,油料供应管理電子印章服务平台设计时软件上采用独立安全控件,硬件上利用USBKEY设备,电子印章数据本身也是以PKI加密体系加密数据的形式进行存储并备案。
4油料供应管理电子印章平台功能
油料供应管理电子印章平台功能可分为服务器端和客户端两个部分。
(1)电子印章服务器端功能设计
首先各级油料管理部门向上逐级申请电子印章,同时提供单位物理印章扫描图片,并汇总于后勤保障部,后勤保障部以各单位上报的图片为模板,统一制作和发放电子印章;其次制作完成的印章导出到USBKEY的安全外设中,系统对电子印章进行整个生命周期的管理,包括电子印章的制作、管理、发放、授权、挂失、停用、更新、重新生成颁发的全过程记录和管理。电子印章实行集中控制,统一监管、使用期限可控。各油料管理部门独立管理各自单位的电子印章,客户端会自动记录各类与印章有关的操作日志;再次为验证和保护印章,平台采用易碎水印,一旦印章图像被更改即便是一个像素,水印本身就会遭到破坏;最后利用平台生成数字证书并对证书进行查询、更新、吊销等日常管理。
(2)电子印章客户端功能设计 电子印章客户端具体实现电子印章的应用与验证。电子印章客户端必须与油料供应管理系统集成,将功能封装成AcitveX控件,业务信息系统通过JavaScript脚本调用控件接口,实现电子印章功能。
盖章。客户端用户插入USEKEY后,登录油料供应管理系统办理油料供应管理业务,在Web页面上通过光标定位盖章位置并加盖电子印章,打印时生成盖章后的PDF格式文档以便打印和留存,如图3所示。
加密和解密。业务信息系统之间的数据交换采取对称与非对称加密,以保证数据安全性。客户端对封装在XML文件中的传输单位、接收单位、消息类型等信息不作修改,只是在其<row>标签中增加一个电子印章标签,以加密的形式写入签章加密信息,仍按油料供应管理系统现有的传输体系把文件传输到接收单位,客户端再进行解密还原电子印章图像,如图4所示。
验证。客户端自动检测盖章后的XML文件是否原件,有没有人篡改,同时对已盖印章本身的有效性进行验证。
5结束语
针对当前油料供应管理系统生成的电子单证在不同业务系统之间流转和数据交换等方面存在的安全问题,本文探讨了引入电子印章,建立油料供应管理电子印章平台,并进一步从平台结构设计、安全设计和系统功能三个方面阐述了电子印章的应用来解决这些问题。整个应用方案与油料供应管理系统实现了无缝衔接,不仅解决了长期困扰系统的安全问题,而且最大限度地保持了系统原有的业务办理模式,使得各级油料业务人员能够轻松上手,也为电子印章在后勤领域其他业务系统的应用提供了很好的借鉴。
参考文献:
[1] 谭慧.基于电子印章的数字水印算法的实现[J].电脑与电信,2018(6):16-19.
[2] 马超,周翔,方镇林,等.基于OFD格式的电子印章技术应用研究[J].电子科学技术,2017,04(4):151-154.
[3] 胡荣磊,左珮良,蒋华.版式文档OFD签章模块的研究与实现[J].信息技术,2016,40(8):76-80.
[4] 许盛伟,张珍珍,崔敏龙.电子印章系统的互信互验关键技术研究与设计[J].计算机工程与设计,2016,37(7):1777-1780,1835.
[5] 黄华,关素洁.基于三重特征码水印的电子印章检测方案[J].南昌工程学院学报,2015,34(1):12-17,42.
[6] 邹梅群.信息系统安全管理中的电子印章与数字签名技术[J].网络空间安全,2016,7(Z2):52-54.
[7] 张凌燕,鄧若翰.非数字加密电子印文打印文书鉴定研究[J].铁道警察学院学报,2016,26(5):45-47.
[8] 张佳宁.电子公文流转系统中电子印章的制作与管理[J].数码世界,2016(10):64.
[9] 姜雷.神舟电子印章管理系统设计[J].网络安全技术与应用,2014(6):92,95.
[10] 宋孜孜.防伪电子印章技术的应用[J].数字技术与应用,2014(4):80,82.
[11] 左晋佺.基于电子印章技术的电子文件管理模式初探[J].档案管理,2014(6):36-37.
[12] 武高峰.PKI技术在工业互联网云平台中的应用研究[J].网络安全技术与应用,2018(10):41,48.
[13] 王晓丽,卓泽朋.PKI技术在云计算环境中的应用[J].哈尔滨师范大学自然科学学报,2018,34(4):38-40,91.
[14] 韩笑,李洁原.PKI技术在敏感信息采集传输中的应用研究[J].中国传媒科技,2018(8):50-51,69.
[15] 金锋,林巍.基于PKI体系框架的电子印章系统[J].福建电脑,2017,33(5):114-116.
[16] 杨迪,叶鹏,黄敬林.CA认证支撑下的电子文件可信服务研究[J].数字技术与应用,2017(5):63-65.
【通联编辑:闻翔军】
关键词:电子印章;油料供应;供应管理
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2021)27-0021-00
油料供应管理是后勤保障的重要内容,伴随着信息技术的应用逐步发展。近年来油料管理部门提出依据油料供应管理相关规章制度,全面分析油料供应管理业务需求,研究统一规范的油料供应管理业务流程和手续制度,启动了油料供应管理系统建设工程。随着油料供应管理系统的推广使用,各单位通过它在网络平台上开展油料供应管理相关业务,实现了凭证办理网络化,生成了大量的电子凭证,这些电子凭证是业务办理的重要依据,一旦被非法篡改将导致难以估计的后果。印章是解决电子凭证是否有效的一个重要手段。因此建立电子印章安全平台来解决电子凭证在不同业务系统之间流转和数据交换等安全问题成为下一步油料供应管理系统发展趋势。
1电子印章概述
电子印章是传统印章在信息社会逐步发展起来的,它很好地将现代科技和传统习惯相结合,是网络中的身份确认与授权“手段”。近年来,随着电子印章在政府机构、企业等单位的逐步应用,其技术不断发展和成熟,渐渐出现了电子印章平台的概念。该平台实际上是一个电子印章中心服务机构,依托平台可以为各级用户提供电子印章服务,包括制作、发放、管理、备案、查询和验证电子印章等等。平台建立以后,电子印章的标准化,规范化和完全具有法律效力才有了技术基础[1-11]。
2油料供应管理电子印章平台结构设计
为适应油料供应管理系统数据交互需求,建立专用的电子印章服务平台。印章系统将数字签名等安全数据以印章的形式嵌入到油料供应管理系统的业务数据中进行“盖章”;带有电子印章业务数据在内部网络中传输,到达接收方后,系统再对数据进行解密处理,以确定数据的发送方和真伪即“验章”,整个应用系统逻辑结构如图1所示。
(1)首先在后勤保障部部署油料供应管理电子印章服务平台。平台主要为各级油料管理部门提供电子印章的制作、发放等服务。平台核心业务逻辑采用COM+组件来完成,利用Windows提供的“组件服务”控制台,可以很方便地部署和设置。
(2)电子印章和用户证书存放于USBKEY中,由油料供应管理电子印章服务平台统一备案和验证。之所以选择USBKEY是因其运算快速、存储量大、安全性比较高,而且难于破译和伪造,还可以把私有密钥、数字证书存储在它内部相当安全的智能芯片上,从而确保了在设备内部完成最核心的加解密运算。另外,USBKEY还具备便于携带,采用USB标准接口通讯,无须专门的读卡设备即插即用等优点。
(3)客户端由上述安全设备USBKEY,ActiveX控件包和具体的盖章软件组成。核心是ActiveX控件包,它加载在浏览器中对功能进行了封装,提供API接口供油料供应管理系统调用。当然,用户必须插上USBKEY,通过验证通过后才可以使用。
3油料供应管理电子印章平台安全设计
为了实现整个油料供应管理系统所使用的电子印章必须是唯一的,不能被其他任何单位或个人复制或篡改,系统在安全设计方面采用PKI/CA技术体系。PKI(Pubic Key Infrastructure)是一种遵循标准的利用公钥加密技术为网络环境下业务开展提供一套安全基础平台的技术和规范[12-16]。油料供应电子印章服务平台的应用是完全基于PKI体系的,其最大优点就在于标准。底层安全功能的具体实现方式对系统来说是不用关心的,它只需调用标准的CryptoAPI接口就能完成。正是采用标准体系使得系统本身几乎不做改动就可以和满足各种安全级别的加密设备或解决方案融合,如图2所示。
在军队内网下的信任和认证问题光靠PKI技术还不能完全解决,必须建立一种机制可以识别各级油料部门的身份,其他部门也可以通过这种机制验证其身份。后勤保障部承担CA(Certification Authority)认证中心这一角色。它负责颁发数字证书,以证明各油料部门在军队内网中身份的真实性,并负责油料供应管理系统数据交换时检验和管理证书。此外,为避免给操作系统和后台数据库带来安全威胁,确保应用于数据的全面安全,油料供应管理電子印章服务平台设计时软件上采用独立安全控件,硬件上利用USBKEY设备,电子印章数据本身也是以PKI加密体系加密数据的形式进行存储并备案。
4油料供应管理电子印章平台功能
油料供应管理电子印章平台功能可分为服务器端和客户端两个部分。
(1)电子印章服务器端功能设计
首先各级油料管理部门向上逐级申请电子印章,同时提供单位物理印章扫描图片,并汇总于后勤保障部,后勤保障部以各单位上报的图片为模板,统一制作和发放电子印章;其次制作完成的印章导出到USBKEY的安全外设中,系统对电子印章进行整个生命周期的管理,包括电子印章的制作、管理、发放、授权、挂失、停用、更新、重新生成颁发的全过程记录和管理。电子印章实行集中控制,统一监管、使用期限可控。各油料管理部门独立管理各自单位的电子印章,客户端会自动记录各类与印章有关的操作日志;再次为验证和保护印章,平台采用易碎水印,一旦印章图像被更改即便是一个像素,水印本身就会遭到破坏;最后利用平台生成数字证书并对证书进行查询、更新、吊销等日常管理。
(2)电子印章客户端功能设计 电子印章客户端具体实现电子印章的应用与验证。电子印章客户端必须与油料供应管理系统集成,将功能封装成AcitveX控件,业务信息系统通过JavaScript脚本调用控件接口,实现电子印章功能。
盖章。客户端用户插入USEKEY后,登录油料供应管理系统办理油料供应管理业务,在Web页面上通过光标定位盖章位置并加盖电子印章,打印时生成盖章后的PDF格式文档以便打印和留存,如图3所示。
加密和解密。业务信息系统之间的数据交换采取对称与非对称加密,以保证数据安全性。客户端对封装在XML文件中的传输单位、接收单位、消息类型等信息不作修改,只是在其<row>标签中增加一个电子印章标签,以加密的形式写入签章加密信息,仍按油料供应管理系统现有的传输体系把文件传输到接收单位,客户端再进行解密还原电子印章图像,如图4所示。
验证。客户端自动检测盖章后的XML文件是否原件,有没有人篡改,同时对已盖印章本身的有效性进行验证。
5结束语
针对当前油料供应管理系统生成的电子单证在不同业务系统之间流转和数据交换等方面存在的安全问题,本文探讨了引入电子印章,建立油料供应管理电子印章平台,并进一步从平台结构设计、安全设计和系统功能三个方面阐述了电子印章的应用来解决这些问题。整个应用方案与油料供应管理系统实现了无缝衔接,不仅解决了长期困扰系统的安全问题,而且最大限度地保持了系统原有的业务办理模式,使得各级油料业务人员能够轻松上手,也为电子印章在后勤领域其他业务系统的应用提供了很好的借鉴。
参考文献:
[1] 谭慧.基于电子印章的数字水印算法的实现[J].电脑与电信,2018(6):16-19.
[2] 马超,周翔,方镇林,等.基于OFD格式的电子印章技术应用研究[J].电子科学技术,2017,04(4):151-154.
[3] 胡荣磊,左珮良,蒋华.版式文档OFD签章模块的研究与实现[J].信息技术,2016,40(8):76-80.
[4] 许盛伟,张珍珍,崔敏龙.电子印章系统的互信互验关键技术研究与设计[J].计算机工程与设计,2016,37(7):1777-1780,1835.
[5] 黄华,关素洁.基于三重特征码水印的电子印章检测方案[J].南昌工程学院学报,2015,34(1):12-17,42.
[6] 邹梅群.信息系统安全管理中的电子印章与数字签名技术[J].网络空间安全,2016,7(Z2):52-54.
[7] 张凌燕,鄧若翰.非数字加密电子印文打印文书鉴定研究[J].铁道警察学院学报,2016,26(5):45-47.
[8] 张佳宁.电子公文流转系统中电子印章的制作与管理[J].数码世界,2016(10):64.
[9] 姜雷.神舟电子印章管理系统设计[J].网络安全技术与应用,2014(6):92,95.
[10] 宋孜孜.防伪电子印章技术的应用[J].数字技术与应用,2014(4):80,82.
[11] 左晋佺.基于电子印章技术的电子文件管理模式初探[J].档案管理,2014(6):36-37.
[12] 武高峰.PKI技术在工业互联网云平台中的应用研究[J].网络安全技术与应用,2018(10):41,48.
[13] 王晓丽,卓泽朋.PKI技术在云计算环境中的应用[J].哈尔滨师范大学自然科学学报,2018,34(4):38-40,91.
[14] 韩笑,李洁原.PKI技术在敏感信息采集传输中的应用研究[J].中国传媒科技,2018(8):50-51,69.
[15] 金锋,林巍.基于PKI体系框架的电子印章系统[J].福建电脑,2017,33(5):114-116.
[16] 杨迪,叶鹏,黄敬林.CA认证支撑下的电子文件可信服务研究[J].数字技术与应用,2017(5):63-65.
【通联编辑:闻翔军】