楊振東 孔國露

摘要：該文主要研究內(nèi)容是油料供應(yīng)管理系統(tǒng)電子印章應(yīng)用。針對當(dāng)前油料供應(yīng)管理系統(tǒng)在數(shù)據(jù)交換中出現(xiàn)的主要問題，論文從油料供應(yīng)管理電子印章平臺結(jié)構(gòu)設(shè)計(jì)、安全設(shè)計(jì)和系統(tǒng)功能幾個(gè)方面提出了具體的應(yīng)用方案，構(gòu)建基于應(yīng)用層面的安全保障體系，為電子憑證合法、安全提供可靠保障，圓滿解決了這些問題。本方案為電子印章在后勤領(lǐng)域其他業(yè)務(wù)系統(tǒng)的應(yīng)用提供了很好的借鑒。

關(guān)鍵詞：電子印章;油料供應(yīng);供應(yīng)管理

中圖分類號：TP311? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）27-0021-00

油料供應(yīng)管理是后勤保障的重要內(nèi)容，伴隨著信息技術(shù)的應(yīng)用逐步發(fā)展。近年來油料管理部門提出依據(jù)油料供應(yīng)管理相關(guān)規(guī)章制度，全面分析油料供應(yīng)管理業(yè)務(wù)需求，研究統(tǒng)一規(guī)范的油料供應(yīng)管理業(yè)務(wù)流程和手續(xù)制度，啟動了油料供應(yīng)管理系統(tǒng)建設(shè)工程。隨著油料供應(yīng)管理系統(tǒng)的推廣使用，各單位通過它在網(wǎng)絡(luò)平臺上開展油料供應(yīng)管理相關(guān)業(yè)務(wù)，實(shí)現(xiàn)了憑證辦理網(wǎng)絡(luò)化，生成了大量的電子憑證，這些電子憑證是業(yè)務(wù)辦理的重要依據(jù)，一旦被非法篡改將導(dǎo)致難以估計(jì)的后果。印章是解決電子憑證是否有效的一個(gè)重要手段。因此建立電子印章安全平臺來解決電子憑證在不同業(yè)務(wù)系統(tǒng)之間流轉(zhuǎn)和數(shù)據(jù)交換等安全問題成為下一步油料供應(yīng)管理系統(tǒng)發(fā)展趨勢。

1電子印章概述

電子印章是傳統(tǒng)印章在信息社會逐步發(fā)展起來的，它很好地將現(xiàn)代科技和傳統(tǒng)習(xí)慣相結(jié)合，是網(wǎng)絡(luò)中的身份確認(rèn)與授權(quán)“手段”。近年來，隨著電子印章在政府機(jī)構(gòu)、企業(yè)等單位的逐步應(yīng)用，其技術(shù)不斷發(fā)展和成熟，漸漸出現(xiàn)了電子印章平臺的概念。該平臺實(shí)際上是一個(gè)電子印章中心服務(wù)機(jī)構(gòu)，依托平臺可以為各級用戶提供電子印章服務(wù)，包括制作、發(fā)放、管理、備案、查詢和驗(yàn)證電子印章等等。平臺建立以后，電子印章的標(biāo)準(zhǔn)化，規(guī)范化和完全具有法律效力才有了技術(shù)基礎(chǔ)[1-11]。

2油料供應(yīng)管理電子印章平臺結(jié)構(gòu)設(shè)計(jì)

為適應(yīng)油料供應(yīng)管理系統(tǒng)數(shù)據(jù)交互需求，建立專用的電子印章服務(wù)平臺。印章系統(tǒng)將數(shù)字簽名等安全數(shù)據(jù)以印章的形式嵌入到油料供應(yīng)管理系統(tǒng)的業(yè)務(wù)數(shù)據(jù)中進(jìn)行“蓋章”;帶有電子印章業(yè)務(wù)數(shù)據(jù)在內(nèi)部網(wǎng)絡(luò)中傳輸，到達(dá)接收方后，系統(tǒng)再對數(shù)據(jù)進(jìn)行解密處理，以確定數(shù)據(jù)的發(fā)送方和真?zhèn)渭础膀?yàn)章”，整個(gè)應(yīng)用系統(tǒng)邏輯結(jié)構(gòu)如圖1所示。

（1）首先在后勤保障部部署油料供應(yīng)管理電子印章服務(wù)平臺。平臺主要為各級油料管理部門提供電子印章的制作、發(fā)放等服務(wù)。平臺核心業(yè)務(wù)邏輯采用COM+組件來完成，利用Windows提供的“組件服務(wù)”控制臺，可以很方便地部署和設(shè)置。

（2）電子印章和用戶證書存放于USBKEY中，由油料供應(yīng)管理電子印章服務(wù)平臺統(tǒng)一備案和驗(yàn)證。之所以選擇USBKEY是因其運(yùn)算快速、存儲量大、安全性比較高，而且難于破譯和偽造，還可以把私有密鑰、數(shù)字證書存儲在它內(nèi)部相當(dāng)安全的智能芯片上，從而確保了在設(shè)備內(nèi)部完成最核心的加解密運(yùn)算。另外，USBKEY還具備便于攜帶，采用USB標(biāo)準(zhǔn)接口通訊，無須專門的讀卡設(shè)備即插即用等優(yōu)點(diǎn)。

（3）客戶端由上述安全設(shè)備USBKEY，ActiveX控件包和具體的蓋章軟件組成。核心是ActiveX控件包，它加載在瀏覽器中對功能進(jìn)行了封裝，提供API接口供油料供應(yīng)管理系統(tǒng)調(diào)用。當(dāng)然，用戶必須插上USBKEY，通過驗(yàn)證通過后才可以使用。

3油料供應(yīng)管理電子印章平臺安全設(shè)計(jì)

為了實(shí)現(xiàn)整個(gè)油料供應(yīng)管理系統(tǒng)所使用的電子印章必須是唯一的，不能被其他任何單位或個(gè)人復(fù)制或篡改，系統(tǒng)在安全設(shè)計(jì)方面采用PKI/CA技術(shù)體系。PKI（Pubic Key Infrastructure）是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為網(wǎng)絡(luò)環(huán)境下業(yè)務(wù)開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范[12-16]。油料供應(yīng)電子印章服務(wù)平臺的應(yīng)用是完全基于PKI體系的，其最大優(yōu)點(diǎn)就在于標(biāo)準(zhǔn)。底層安全功能的具體實(shí)現(xiàn)方式對系統(tǒng)來說是不用關(guān)心的，它只需調(diào)用標(biāo)準(zhǔn)的CryptoAPI接口就能完成。正是采用標(biāo)準(zhǔn)體系使得系統(tǒng)本身幾乎不做改動就可以和滿足各種安全級別的加密設(shè)備或解決方案融合，如圖2所示。

在軍隊(duì)內(nèi)網(wǎng)下的信任和認(rèn)證問題光靠PKI技術(shù)還不能完全解決，必須建立一種機(jī)制可以識別各級油料部門的身份，其他部門也可以通過這種機(jī)制驗(yàn)證其身份。后勤保障部承擔(dān)CA（Certification Authority）認(rèn)證中心這一角色。它負(fù)責(zé)頒發(fā)數(shù)字證書，以證明各油料部門在軍隊(duì)內(nèi)網(wǎng)中身份的真實(shí)性，并負(fù)責(zé)油料供應(yīng)管理系統(tǒng)數(shù)據(jù)交換時(shí)檢驗(yàn)和管理證書。此外，為避免給操作系統(tǒng)和后臺數(shù)據(jù)庫帶來安全威脅，確保應(yīng)用于數(shù)據(jù)的全面安全，油料供應(yīng)管理電子印章服務(wù)平臺設(shè)計(jì)時(shí)軟件上采用獨(dú)立安全控件，硬件上利用USBKEY設(shè)備，電子印章數(shù)據(jù)本身也是以PKI加密體系加密數(shù)據(jù)的形式進(jìn)行存儲并備案。

4油料供應(yīng)管理電子印章平臺功能

油料供應(yīng)管理電子印章平臺功能可分為服務(wù)器端和客戶端兩個(gè)部分。

（1）電子印章服務(wù)器端功能設(shè)計(jì)

首先各級油料管理部門向上逐級申請電子印章，同時(shí)提供單位物理印章掃描圖片，并匯總于后勤保障部，后勤保障部以各單位上報(bào)的圖片為模板，統(tǒng)一制作和發(fā)放電子印章;其次制作完成的印章導(dǎo)出到USBKEY的安全外設(shè)中，系統(tǒng)對電子印章進(jìn)行整個(gè)生命周期的管理，包括電子印章的制作、管理、發(fā)放、授權(quán)、掛失、停用、更新、重新生成頒發(fā)的全過程記錄和管理。電子印章實(shí)行集中控制，統(tǒng)一監(jiān)管、使用期限可控。各油料管理部門獨(dú)立管理各自單位的電子印章，客戶端會自動記錄各類與印章有關(guān)的操作日志;再次為驗(yàn)證和保護(hù)印章，平臺采用易碎水印，一旦印章圖像被更改即便是一個(gè)像素，水印本身就會遭到破壞;最后利用平臺生成數(shù)字證書并對證書進(jìn)行查詢、更新、吊銷等日常管理。

（2）電子印章客戶端功能設(shè)計(jì)