油料供應管理系統電子印章應用研究

楊振東 孔國露

摘要：該文主要研究內容是油料供應管理系統電子印章應用。針對當前油料供應管理系統在數據交換中出現的主要問題，論文從油料供應管理電子印章平臺結構設計、安全設計和系統功能幾個方面提出了具體的應用方案，構建基于應用層面的安全保障體系，為電子憑證合法、安全提供可靠保障，圓滿解決了這些問題。本方案為電子印章在后勤領域其他業務系統的應用提供了很好的借鑒。

關鍵詞：電子印章;油料供應;供應管理

中圖分類號：TP311? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）27-0021-00

油料供應管理是后勤保障的重要內容，伴隨著信息技術的應用逐步發展。近年來油料管理部門提出依據油料供應管理相關規章制度，全面分析油料供應管理業務需求，研究統一規范的油料供應管理業務流程和手續制度，啟動了油料供應管理系統建設工程。隨著油料供應管理系統的推廣使用，各單位通過它在網絡平臺上開展油料供應管理相關業務，實現了憑證辦理網絡化，生成了大量的電子憑證，這些電子憑證是業務辦理的重要依據，一旦被非法篡改將導致難以估計的后果。印章是解決電子憑證是否有效的一個重要手段。因此建立電子印章安全平臺來解決電子憑證在不同業務系統之間流轉和數據交換等安全問題成為下一步油料供應管理系統發展趨勢。

1電子印章概述

電子印章是傳統印章在信息社會逐步發展起來的，它很好地將現代科技和傳統習慣相結合，是網絡中的身份確認與授權“手段”。近年來，隨著電子印章在政府機構、企業等單位的逐步應用，其技術不斷發展和成熟，漸漸出現了電子印章平臺的概念。該平臺實際上是一個電子印章中心服務機構，依托平臺可以為各級用戶提供電子印章服務，包括制作、發放、管理、備案、查詢和驗證電子印章等等。平臺建立以后，電子印章的標準化，規范化和完全具有法律效力才有了技術基礎[1-11]。

2油料供應管理電子印章平臺結構設計

為適應油料供應管理系統數據交互需求，建立專用的電子印章服務平臺。印章系統將數字簽名等安全數據以印章的形式嵌入到油料供應管理系統的業務數據中進行“蓋章”;帶有電子印章業務數據在內部網絡中傳輸，到達接收方后，系統再對數據進行解密處理，以確定數據的發送方和真偽即“驗章”，整個應用系統邏輯結構如圖1所示。

（1）首先在后勤保障部部署油料供應管理電子印章服務平臺。平臺主要為各級油料管理部門提供電子印章的制作、發放等服務。平臺核心業務邏輯采用COM+組件來完成，利用Windows提供的“組件服務”控制臺，可以很方便地部署和設置。

（2）電子印章和用戶證書存放于USBKEY中，由油料供應管理電子印章服務平臺統一備案和驗證。之所以選擇USBKEY是因其運算快速、存儲量大、安全性比較高，而且難于破譯和偽造，還可以把私有密鑰、數字證書存儲在它內部相當安全的智能芯片上，從而確保了在設備內部完成最核心的加解密運算。另外，USBKEY還具備便于攜帶，采用USB標準接口通訊，無須專門的讀卡設備即插即用等優點。

（3）客戶端由上述安全設備USBKEY，ActiveX控件包和具體的蓋章軟件組成。核心是ActiveX控件包，它加載在瀏覽器中對功能進行了封裝，提供API接口供油料供應管理系統調用。當然，用戶必須插上USBKEY，通過驗證通過后才可以使用。

3油料供應管理電子印章平臺安全設計

為了實現整個油料供應管理系統所使用的電子印章必須是唯一的，不能被其他任何單位或個人復制或篡改，系統在安全設計方面采用PKI/CA技術體系。PKI（Pubic Key Infrastructure）是一種遵循標準的利用公鑰加密技術為網絡環境下業務開展提供一套安全基礎平臺的技術和規范[12-16]。油料供應電子印章服務平臺的應用是完全基于PKI體系的，其最大優點就在于標準。底層安全功能的具體實現方式對系統來說是不用關心的，它只需調用標準的CryptoAPI接口就能完成。正是采用標準體系使得系統本身幾乎不做改動就可以和滿足各種安全級別的加密設備或解決方案融合，如圖2所示。

在軍隊內網下的信任和認證問題光靠PKI技術還不能完全解決，必須建立一種機制可以識別各級油料部門的身份，其他部門也可以通過這種機制驗證其身份。后勤保障部承擔CA（Certification Authority）認證中心這一角色。它負責頒發數字證書，以證明各油料部門在軍隊內網中身份的真實性，并負責油料供應管理系統數據交換時檢驗和管理證書。此外，為避免給操作系統和后臺數據庫帶來安全威脅，確保應用于數據的全面安全，油料供應管理電子印章服務平臺設計時軟件上采用獨立安全控件，硬件上利用USBKEY設備，電子印章數據本身也是以PKI加密體系加密數據的形式進行存儲并備案。

4油料供應管理電子印章平臺功能

油料供應管理電子印章平臺功能可分為服務器端和客戶端兩個部分。

（1）電子印章服務器端功能設計

首先各級油料管理部門向上逐級申請電子印章，同時提供單位物理印章掃描圖片，并匯總于后勤保障部，后勤保障部以各單位上報的圖片為模板，統一制作和發放電子印章;其次制作完成的印章導出到USBKEY的安全外設中，系統對電子印章進行整個生命周期的管理，包括電子印章的制作、管理、發放、授權、掛失、停用、更新、重新生成頒發的全過程記錄和管理。電子印章實行集中控制，統一監管、使用期限可控。各油料管理部門獨立管理各自單位的電子印章，客戶端會自動記錄各類與印章有關的操作日志;再次為驗證和保護印章，平臺采用易碎水印，一旦印章圖像被更改即便是一個像素，水印本身就會遭到破壞;最后利用平臺生成數字證書并對證書進行查詢、更新、吊銷等日常管理。

（2）電子印章客戶端功能設計