1基于信息安全技术的集成框架
基于PKI/CA技术的跨行业集成框架按照分层的思想进行设计,利用了PKI/CA技术作为数据传输的安全保障,利用消息中间件作为数据传输的通道,屏蔽各方系统的异构性,从而将跨部门、跨行业的信息系统进行集成。从技术上看,系统集成后,各方系统将是对等部署结构。从单方来看,该框架结构可分为与内部系统接口、电子凭证库系统、电子印章系统、时间戳系统、PKI/CA基础设施、直达通道、收发系统7个部分。
1.1PKI/CA基础设施
以数字证书为核心的PKI/CA技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,从而保证:信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;接收方能够通过数字证书来确认发送方的身份;发送方对于自己的信息不能抵赖。
1.2与内部系统接口
一方面主要负责将业务系统中存储的业务数据、电子印章等按照预先确定的规范组成相应的xml电子报文,再传入电子凭证库系统;另一方面,从电子凭证库系统中接收对方传入的xml格式报文,解密后传入内部系统。此外,还可实现直接与收发系统连接,实现不需要安全保障机制的普通查询等业务,以提高数据交换效率。
1.3电子凭证库系统
电子凭证库系统可形象描述为现实中存放文件的“铁皮柜”,是整个集成框架的核心部分。包括电子凭证模板管理、传输队列路由管理、安全管理、凭证管理等4大功能。凭证模板管理模块按照双方的约定,设计传输凭证的样式以及具体的签章个数及位置;传输队列路由管理模块用来记录凭证传出的去向和接收的来源;安全管理模块用来控制使用电子凭证库系统的范围,避免未经允许的用户使用电子凭证库,此外还包括预留印鉴的校对、详细记录各种日志信息,实现对凭证操作的可追溯等功能;凭证管理模块用来实现电子凭证收发、作废、恢复、查询、打印、状态监控、归档等功能。
1.4电子印章系统
电子印章系统可形象描述为现实中存放大红印章的保险柜。其功能包括公章管理、私章管理及印章备案管理。在实现上,将CA证书与电子印章图片进行绑定,从而保证某个印章图片与具体的CA证书有关。
1.5时间戳系统
时间戳系统基于PKI技术,对外提供精确可信的时间戳服务。它采用精确的时间源、高强度高标准的安全机制,以确认系统处理数据在某一时间的存在性和相关操作的相对时间顺序,为信息系统中的时间防抵赖提供基础服务。
1.6直达通道用于实时性强的数据传输处理。例如某些查询服务,可通过明文进行系统间数据传输。
1.7基于消息中间件的收发系统
充分利用消息中间件高效可靠的消息传递机制进行平台无关的数据交流,并基于数据通信来进行分布式系统的集成。通过提供消息传递和消息排队模型,实现跨行业系统间电子凭证信息的发送和接收,发送者将消息发送给消息服务器,消息服务器将消息存放在若干队列中,在合适的时候再将消息转发给接收者。消息中间件能在不同平台之间通信,它常被用来屏蔽掉各种平台及协议之间的特性,实现应用程序之间的协同操作。
2基于PKI/CA技术的集成框架实现
在集成多个异构系统时,首先需要各方商定交换凭证的格式,即交换报文规范。其次,要规范电子凭证格式、电子印章格式,可以互联互通。第三,要规范电子凭证库系统、电子印章系统等软件服务系统的服务接口,为各方异构系统提供交换服务。第四,各方要改造已有系统,使其与集成框架进行对接。下面就最重要的报文规范和各方系统改造方案进行说明。
2.1规范交换报文
双方之间数据交换标准需要进行严格的约定,需要制定标准报文规范以实现双方或多方系统互联互通。报文分报文头和报文体两部分:报文头是交换各方进行数据交换的相关信息,主要是为电子凭证在消息中间件上按照消息传输时增加的头信息;报文体包括电子凭证数量和电子凭证信息两个部分。电子凭证数量用于描述报文中所包含的电子凭证的笔数,电子凭证信息可包括一笔或多笔电子凭证,每笔凭证由凭证状态、附加信息、业务凭证原文、签名信息以及签章信息5个部分组成。
2.2实现步骤
业务系统产生凭证,加盖印章之后,需要存放入凭证库,并通过收发通道发送给接收方,具体实现步骤如下:
(1)甲方业务系统调用内部系统服务接口生成凭证原文,凭证格式参照2.1小节。
(2)甲方业务系统通过内部服务接口调用电子凭证服务系统接口对凭证进行签章。
(3)甲方电子凭证库系统调用电子印章系统接口加盖电子印章。首先对凭证已经存在的签章进行校验,如果存在原文纂改,则直接返回错误;校验通过后,再对凭证进行签章。其原理本地取出已烧入UsbKey的印章图片的Hash摘要送入电子印章系统验章,验章通过后调用时间戳服务系统接口加盖时间戳,然后将凭证原文的Hash摘要和带时间戳的电子印章Hash摘要送入UsbKey中进行私钥签名。
(4)甲方内部服务接口通过电子凭证库系统调用收发通道的发送接口,利用数字信封技术发送到接收方(乙方)。
(5)乙方系统进行接收、解开数字信封、验章、校验业务数据一系列操作后将凭证回单,回单时也要进行电子签章等一系列操作。
(6)甲方电子凭证库系统定时从收发通道中读取数据,并进行打开数字信封、解密、验章等操作,通过验证之后,放入甲方的电子凭证库中。
(7)甲方业务系统接口定期从凭证库中查询凭证回单,通过一些业务逻辑验证之后,存放入甲方业务系统的数据库中。
(8)甲方业务系统客户端调用刷新界面来查看已回单的业务数据,并调用电子凭证系统接口打印电子凭证。
3实例和应用效果
本研究成果已应用于河北省预算单位、财政厅、河北省内绝大多数商业银行和中国人民银行石家庄中心支行系统间的衔接,实现预算审批、资金申请、电子支付、清算等事项。财政厅使用的政府财政管理信息系统主要用于预算填制、审批。人行使用的Tips系统主要用于资金清算。商业银行系统主要用于资金的支付。由于所属不同的责任主体,各方系统不可能重新开发为一套业务系统,原来采用信息流辅助业务控制的办法进行信息系统整合,即信息可通过一定办法进行交换,业务上通过纸质凭证加盖公章,再由人工传递到相关单位进行纸质凭证核对。通过引入基于PKI基础设施的系统集成模型,将三方系统从预算审批到资金支付,再到资金清算的全链条贯通,完全实现了信息流、业务流的自动化运转,大大提高了业务办公安全性、资金支付效率,压缩了行政办公成本。仅省本级财政部门本身就可节约纸张100万张/年,并减少了公车传递纸质凭证、人工盖章、验章所需时间,更重要的是由于引入了电子签名技术,杜绝了“萝卜章”,资金支付的安全性得到了有效保障。
4结语
目前我国还没有标准统一的电子凭证报文规范、电子印章结构规范。如果在国家层面制定有关标准后,基于这一模型不同厂商的电子凭证库系统、电子印章系统将可实现互连互通,将更加方便跨部门、跨行业系统的整合。通过将PKI/CA技术、电子凭证库系统、电子印章系统、消息中间件系统引入系统整合模型,可对已有的遗留系统进行整合,为系统整合提供一个灵活、开放、安全的技术方案。随着我国信息化建设的深入发展和行业整合的加剧,该框架必将有广阔的发展空间。
作者:王连泽 单位:河北省财政厅信息中心
