前言：尋找寫作靈感？中文期刊網用心挑選的信息系統集成框架下信息安全論文，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

1基于信息安全技術的集成框架

基于PKI/CA技術的跨行業集成框架按照分層的思想進行設計，利用了PKI/CA技術作為數據傳輸的安全保障，利用消息中間件作為數據傳輸的通道，屏蔽各方系統的異構性，從而將跨部門、跨行業的信息系統進行集成。從技術上看，系統集成后，各方系統將是對等部署結構。從單方來看，該框架結構可分為與內部系統接口、電子憑證庫系統、電子印章系統、時間戳系統、PKI/CA基礎設施、直達通道、收發系統7個部分。

1.1PKI/CA基礎設施

以數字證書為核心的PKI/CA技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，從而保證：信息除發送方和接收方外不被其他人竊取；信息在傳輸過程中不被篡改；接收方能夠通過數字證書來確認發送方的身份；發送方對于自己的信息不能抵賴。

1.2與內部系統接口

一方面主要負責將業務系統中存儲的業務數據、電子印章等按照預先確定的規范組成相應的xml電子報文，再傳入電子憑證庫系統；另一方面，從電子憑證庫系統中接收對方傳入的xml格式報文，解密后傳入內部系統。此外，還可實現直接與收發系統連接，實現不需要安全保障機制的普通查詢等業務，以提高數據交換效率。

1.3電子憑證庫系統

電子憑證庫系統可形象描述為現實中存放文件的“鐵皮柜”，是整個集成框架的核心部分。包括電子憑證模板管理、傳輸隊列路由管理、安全管理、憑證管理等4大功能。憑證模板管理模塊按照雙方的約定，設計傳輸憑證的樣式以及具體的簽章個數及位置；傳輸隊列路由管理模塊用來記錄憑證傳出的去向和接收的來源；安全管理模塊用來控制使用電子憑證庫系統的范圍，避免未經允許的用戶使用電子憑證庫，此外還包括預留印鑒的校對、詳細記錄各種日志信息，實現對憑證操作的可追溯等功能；憑證管理模塊用來實現電子憑證收發、作廢、恢復、查詢、打印、狀態監控、歸檔等功能。

1.4電子印章系統

電子印章系統可形象描述為現實中存放大紅印章的保險柜。其功能包括公章管理、私章管理及印章備案管理。在實現上，將CA證書與電子印章圖片進行綁定，從而保證某個印章圖片與具體的CA證書有關。

1.5時間戳系統

時間戳系統基于PKI技術，對外提供精確可信的時間戳服務。它采用精確的時間源、高強度高標準的安全機制，以確認系統處理數據在某一時間的存在性和相關操作的相對時間順序，為信息系統中的時間防抵賴提供基礎服務。

1.6直達通道用于實時性強的數據傳輸處理。例如某些查詢服務，可通過明文進行系統間數據傳輸。

1.7基于消息中間件的收發系統

充分利用消息中間件高效可靠的消息傳遞機制進行平臺無關的數據交流，并基于數據通信來進行分布式系統的集成。通過提供消息傳遞和消息排隊模型，實現跨行業系統間電子憑證信息的發送和接收，發送者將消息發送給消息服務器，消息服務器將消息存放在若干隊列中，在合適的時候再將消息轉發給接收者。消息中間件能在不同平臺之間通信，它常被用來屏蔽掉各種平臺及協議之間的特性，實現應用程序之間的協同操作。

2基于PKI/CA技術的集成框架實現

在集成多個異構系統時，首先需要各方商定交換憑證的格式，即交換報文規范。其次，要規范電子憑證格式、電子印章格式，可以互聯互通。第三，要規范電子憑證庫系統、電子印章系統等軟件服務系統的服務接口，為各方異構系統提供交換服務。第四，各方要改造已有系統，使其與集成框架進行對接。下面就最重要的報文規范和各方系統改造方案進行說明。

2.1規范交換報文

雙方之間數據交換標準需要進行嚴格的約定，需要制定標準報文規范以實現雙方或多方系統互聯互通。報文分報文頭和報文體兩部分：報文頭是交換各方進行數據交換的相關信息，主要是為電子憑證在消息中間件上按照消息傳輸時增加的頭信息；報文體包括電子憑證數量和電子憑證信息兩個部分。電子憑證數量用于描述報文中所包含的電子憑證的筆數，電子憑證信息可包括一筆或多筆電子憑證，每筆憑證由憑證狀態、附加信息、業務憑證原文、簽名信息以及簽章信息5個部分組成。

2.2實現步驟

業務系統產生憑證，加蓋印章之后，需要存放入憑證庫，并通過收發通道發送給接收方，具體實現步驟如下：

（1）甲方業務系統調用內部系統服務接口生成憑證原文，憑證格式參照2.1小節。

（2）甲方業務系統通過內部服務接口調用電子憑證服務系統接口對憑證進行簽章。

（3）甲方電子憑證庫系統調用電子印章系統接口加蓋電子印章。首先對憑證已經存在的簽章進行校驗，如果存在原文纂改，則直接返回錯誤；校驗通過后，再對憑證進行簽章。其原理本地取出已燒入UsbKey的印章圖片的Hash摘要送入電子印章系統驗章，驗章通過后調用時間戳服務系統接口加蓋時間戳，然后將憑證原文的Hash摘要和帶時間戳的電子印章Hash摘要送入UsbKey中進行私鑰簽名。

（4）甲方內部服務接口通過電子憑證庫系統調用收發通道的發送接口，利用數字信封技術發送到接收方（乙方）。

（5）乙方系統進行接收、解開數字信封、驗章、校驗業務數據一系列操作后將憑證回單，回單時也要進行電子簽章等一系列操作。

（6）甲方電子憑證庫系統定時從收發通道中讀取數據，并進行打開數字信封、解密、驗章等操作，通過驗證之后，放入甲方的電子憑證庫中。

（7）甲方業務系統接口定期從憑證庫中查詢憑證回單，通過一些業務邏輯驗證之后，存放入甲方業務系統的數據庫中。

（8）甲方業務系統客戶端調用刷新界面來查看已回單的業務數據，并調用電子憑證系統接口打印電子憑證。

3實例和應用效果

本研究成果已應用于河北省預算單位、財政廳、河北省內絕大多數商業銀行和中國人民銀行石家莊中心支行系統間的銜接，實現預算審批、資金申請、電子支付、清算等事項。財政廳使用的政府財政管理信息系統主要用于預算填制、審批。人行使用的Tips系統主要用于資金清算。商業銀行系統主要用于資金的支付。由于所屬不同的責任主體，各方系統不可能重新開發為一套業務系統，原來采用信息流輔助業務控制的辦法進行信息系統整合，即信息可通過一定辦法進行交換，業務上通過紙質憑證加蓋公章，再由人工傳遞到相關單位進行紙質憑證核對。通過引入基于PKI基礎設施的系統集成模型，將三方系統從預算審批到資金支付，再到資金清算的全鏈條貫通，完全實現了信息流、業務流的自動化運轉，大大提高了業務辦公安全性、資金支付效率，壓縮了行政辦公成本。僅省本級財政部門本身就可節約紙張100萬張/年，并減少了公車傳遞紙質憑證、人工蓋章、驗章所需時間，更重要的是由于引入了電子簽名技術，杜絕了“蘿卜章”，資金支付的安全性得到了有效保障。

4結語

目前我國還沒有標準統一的電子憑證報文規范、電子印章結構規范。如果在國家層面制定有關標準后，基于這一模型不同廠商的電子憑證庫系統、電子印章系統將可實現互連互通，將更加方便跨部門、跨行業系統的整合。通過將PKI/CA技術、電子憑證庫系統、電子印章系統、消息中間件系統引入系統整合模型，可對已有的遺留系統進行整合，為系統整合提供一個靈活、開放、安全的技術方案。隨著我國信息化建設的深入發展和行業整合的加劇，該框架必將有廣闊的發展空間。

作者：王連澤 單位：河北省財政廳信息中心