杨振东 孔国露

摘要：该文主要研究内容是油料供应管理系统电子印章应用。针对当前油料供应管理系统在数据交换中出现的主要问题，论文从油料供应管理电子印章平台结构设计、安全设计和系统功能几个方面提出了具体的应用方案，构建基于应用层面的安全保障体系，为电子凭证合法、安全提供可靠保障，圆满解决了这些问题。本方案为电子印章在后勤领域其他业务系统的应用提供了很好的借鉴。

关键词：电子印章;油料供应;供应管理

中图分类号：TP311        文献标识码：A

文章编号：1009-3044（2021）27-0021-00

油料供应管理是后勤保障的重要内容，伴随着信息技术的应用逐步发展。近年来油料管理部门提出依据油料供应管理相关规章制度，全面分析油料供应管理业务需求，研究统一规范的油料供应管理业务流程和手续制度，启动了油料供应管理系统建设工程。随着油料供应管理系统的推广使用，各单位通过它在网络平台上开展油料供应管理相关业务，实现了凭证办理网络化，生成了大量的电子凭证，这些电子凭证是业务办理的重要依据，一旦被非法篡改将导致难以估计的后果。印章是解决电子凭证是否有效的一个重要手段。因此建立电子印章安全平台来解决电子凭证在不同业务系统之间流转和数据交换等安全问题成为下一步油料供应管理系统发展趋势。

1电子印章概述

电子印章是传统印章在信息社会逐步发展起来的，它很好地将现代科技和传统习惯相结合，是网络中的身份确认与授权“手段”。近年来，随着电子印章在政府机构、企业等单位的逐步应用，其技术不断发展和成熟，渐渐出现了电子印章平台的概念。该平台实际上是一个电子印章中心服务机构，依托平台可以为各级用户提供电子印章服务，包括制作、发放、管理、备案、查询和验证电子印章等等。平台建立以后，电子印章的标准化，规范化和完全具有法律效力才有了技术基础[1-11]。

2油料供应管理电子印章平台结构设计

为适应油料供应管理系统数据交互需求，建立专用的电子印章服务平台。印章系统将数字签名等安全数据以印章的形式嵌入到油料供应管理系统的业务数据中进行“盖章”;带有电子印章业务数据在内部网络中传输，到达接收方后，系统再对数据进行解密处理，以确定数据的发送方和真伪即“验章”，整个应用系统逻辑结构如图1所示。

（1）首先在后勤保障部部署油料供应管理电子印章服务平台。平台主要为各级油料管理部门提供电子印章的制作、发放等服务。平台核心业务逻辑采用COM+组件来完成，利用Windows提供的“组件服务”控制台，可以很方便地部署和设置。

（2）电子印章和用户证书存放于USBKEY中，由油料供应管理电子印章服务平台统一备案和验证。之所以选择USBKEY是因其运算快速、存储量大、安全性比较高，而且难于破译和伪造，还可以把私有密钥、数字证书存储在它内部相当安全的智能芯片上，从而确保了在设备内部完成最核心的加解密运算。另外，USBKEY还具备便于携带，采用USB标准接口通讯，无须专门的读卡设备即插即用等优点。

（3）客户端由上述安全设备USBKEY，ActiveX控件包和具体的盖章软件组成。核心是ActiveX控件包，它加载在浏览器中对功能进行了封装，提供API接口供油料供应管理系统调用。当然，用户必须插上USBKEY，通过验证通过后才可以使用。

3油料供应管理电子印章平台安全设计

为了实现整个油料供应管理系统所使用的电子印章必须是唯一的，不能被其他任何单位或个人复制或篡改，系统在安全设计方面采用PKI/CA技术体系。PKI（Pubic Key Infrastructure）是一种遵循标准的利用公钥加密技术为网络环境下业务开展提供一套安全基础平台的技术和规范[12-16]。油料供应电子印章服务平台的应用是完全基于PKI体系的，其最大优点就在于标准。底层安全功能的具体实现方式对系统来说是不用关心的，它只需调用标准的CryptoAPI接口就能完成。正是采用标准体系使得系统本身几乎不做改动就可以和满足各种安全级别的加密设备或解决方案融合，如图2所示。

在军队内网下的信任和认证问题光靠PKI技术还不能完全解决，必须建立一种机制可以识别各级油料部门的身份，其他部门也可以通过这种机制验证其身份。后勤保障部承担CA（Certification Authority）认证中心这一角色。它负责颁发数字证书，以证明各油料部门在军队内网中身份的真实性，并负责油料供应管理系统数据交换时检验和管理证书。此外，为避免给操作系统和后台数据库带来安全威胁，确保应用于数据的全面安全，油料供应管理電子印章服务平台设计时软件上采用独立安全控件，硬件上利用USBKEY设备，电子印章数据本身也是以PKI加密体系加密数据的形式进行存储并备案。

4油料供应管理电子印章平台功能

油料供应管理电子印章平台功能可分为服务器端和客户端两个部分。

（1）电子印章服务器端功能设计

首先各级油料管理部门向上逐级申请电子印章，同时提供单位物理印章扫描图片，并汇总于后勤保障部，后勤保障部以各单位上报的图片为模板，统一制作和发放电子印章;其次制作完成的印章导出到USBKEY的安全外设中，系统对电子印章进行整个生命周期的管理，包括电子印章的制作、管理、发放、授权、挂失、停用、更新、重新生成颁发的全过程记录和管理。电子印章实行集中控制，统一监管、使用期限可控。各油料管理部门独立管理各自单位的电子印章，客户端会自动记录各类与印章有关的操作日志;再次为验证和保护印章，平台采用易碎水印，一旦印章图像被更改即便是一个像素，水印本身就会遭到破坏;最后利用平台生成数字证书并对证书进行查询、更新、吊销等日常管理。

（2）电子印章客户端功能设计