宋福剛　劉清茂　管文強　李魯江

摘 要 《財務(wù)網(wǎng)上審簽系統(tǒng)》綜合運用數(shù)字簽名、指紋掃描、數(shù)字證書、數(shù)據(jù)庫、信息安全等相關(guān)技術(shù)實現(xiàn)了機關(guān)、企事業(yè)領(lǐng)導對財務(wù)開支票據(jù)的網(wǎng)上遠程審查簽字，完善了財務(wù)的管理管控。

關(guān)鍵詞 數(shù)字簽名；指紋掃描；數(shù)字證書；PKI/CA；聯(lián)審會簽

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）08-0028-02

在當今的財務(wù)管理中，各種開支的票據(jù)一般都需要單位某個或幾個領(lǐng)導的聯(lián)合審批簽字才可以報銷。目的是加強財務(wù)監(jiān)督，提高經(jīng)費使用效益，維護財經(jīng)紀律的嚴肅性、增強經(jīng)費開支透明度和防止財務(wù)支出的混亂。但這種聯(lián)審會簽逐漸有流于形式的趨勢，比如同是平級的部門領(lǐng)導，對于個別有疑問的開支，往往礙于情面，草草簽之；再如諸多機關(guān)單位，由于領(lǐng)導外出活動多、時間長，無法按計劃要求組織安排經(jīng)費開支后的聯(lián)審會簽，造成各種經(jīng)費結(jié)算報銷不及時的問題等。針對當前聯(lián)審會簽暴露出的矛盾問題，經(jīng)過充分調(diào)研論證設(shè)想研制《財務(wù)網(wǎng)上審簽系統(tǒng)》。

1 系統(tǒng)架構(gòu)

1）系統(tǒng)拓撲結(jié)構(gòu)，見圖1。

圖1

2）系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，見圖2。

2 系統(tǒng)功能

依據(jù)終端用戶職能范圍的不同，系統(tǒng)分為審簽客戶端、財務(wù)管理客戶端和數(shù)字認證中心三部分，詳細功能模塊如圖3

所示。

2.1 財務(wù)管理客戶端

1）預算管理。主要有預算導入、預算對比兩大功能。

2）賬目管理。結(jié)算證錄入、呈批件錄入，差旅費錄入均屬于憑證錄入，該部分分為兩部分功能：①數(shù)據(jù)錄入，對結(jié)算證進行添加、刪除、編輯操作。在錄入過程中如需錄入資產(chǎn)與行政性消耗支出則點擊資產(chǎn)與行政性消耗支出錄入進行相關(guān)數(shù)據(jù)錄入；②單據(jù)電子化，對所有單據(jù)及結(jié)算證進行拍照并將電子憑證存入數(shù)據(jù)庫，包括調(diào)用相機、保存圖片及圖片查看三部分。

圖2

圖3 財務(wù)網(wǎng)上審簽系統(tǒng)模塊組成圖

單擊某條數(shù)據(jù)后調(diào)用相機按鈕可以調(diào)用外部相機，對該結(jié)算證的相關(guān)單據(jù)進行拍照，雙擊某條結(jié)算證后即可顯示該條結(jié)算證的已存圖片，用戶可對圖片進行編輯和刪除。結(jié)算證錄入由各部門人員完成，呈批件錄入由財務(wù)人員完成。財務(wù)部門可根據(jù)部門及時間條件生成資金使用情況表下發(fā)給各部門主管。

3）審簽。審簽單生成：財務(wù)人員可按時間、部門等信息生成聯(lián)審會簽單，在其每筆款項上均有明細使用情況及實時對比鏈接，用于遠程簽字領(lǐng)導對疑問進行詳細查看。

審簽查看：依據(jù)部門查看相應(yīng)審簽單的詳細審核信息。

4）系統(tǒng)管理。系統(tǒng)管理實現(xiàn)部門、科目、用戶、角色信息的維護，對數(shù)據(jù)庫進行備份、恢復并引入了日志管理功能。

用戶管理：用于維護用戶基本信息。實現(xiàn)各單位人員基本信息的添加、修改及刪除功能。

角色管理：將人員進行分類，不同終端用戶權(quán)限不同，登錄不同的客戶端。

部門管理：維護單位內(nèi)部具體部門的相應(yīng)信息。可增加下一級部門，實現(xiàn)部門信息的添加、修改、刪除功能。

日志管理：系統(tǒng)可對各用戶操作進行詳細記錄，形成日志，通過日志管理可以查詢到各用戶或各時段對系統(tǒng)進行的各類操作。并可對日志進行備份，以備日后查閱。

數(shù)據(jù)備份與恢復：管理員對數(shù)據(jù)庫可進行備份、還原操作，以防信息丟失，增強系統(tǒng)安全性。

2.2 票據(jù)審簽客戶端

審簽：對審簽時間段的結(jié)算證進行審核，此模塊與預算對比模塊關(guān)聯(lián)，可實時顯示當前開支與預算情況的對比，為會簽提供依據(jù)。點擊結(jié)算證可查看票據(jù)圖片。選擇會簽單位進行審簽，并將會簽單存入數(shù)據(jù)庫。

簽字票據(jù)查看：審簽完成后查看各單位會簽效果。

審簽交流：聯(lián)合審簽中遇到問題，在此模塊可進行實時

交流。

2.3 數(shù)字認證中心

1）密鑰管理中心。數(shù)據(jù)庫配置信息：用于數(shù)據(jù)庫配置信息和數(shù)據(jù)庫用戶管理以及管理員口令的設(shè)置。

密鑰備用庫查詢：顯示備用密鑰的數(shù)量，密鑰長度，密鑰狀態(tài)，當密鑰長度小于80時系統(tǒng)自動生成新的密鑰。

密鑰在用庫查詢：已經(jīng)發(fā)放密鑰數(shù)量、用戶信息、發(fā)放時間、密鑰狀態(tài)。

密鑰查詢：對在用和備用密鑰信息、狀態(tài)提供查詢功能。

2）證書管理中心。數(shù)字證書信息查詢：查看當前用戶信息，證書查詢負責查詢當前證書狀態(tài)。

證書申請管理：證書申請分為三種類型：設(shè)備證書，用戶提供證書請求，將證書請求提交申請證書；用戶單一證書，用戶提交信息申請簽名證書；雙證申請，用戶提交信息申請加密、簽名證書。

中心信息配置：中心配置信息主要分為三部分：中心配置信息和策略、管理員口令管理、中心數(shù)據(jù)庫配置信息。中心策略主要包括用戶證書期限、用戶證書簽名算法、CRL發(fā)布點、用戶證書發(fā)布點四部分。

證書模板管理：證書模板管理分為四部分，定制、導入、發(fā)布和注銷證書模板。對不同類型用戶定制證書模板調(diào)用證書模板生成工具進行模板的制定。

注銷列表管理：證書注銷列表管理主要負責發(fā)放和查看證書黑名單。

3 關(guān)鍵技術(shù)

3.1 數(shù)字簽名技術(shù)

數(shù)字簽名模塊基于PKI/CA體系，是當前網(wǎng)上電子商務(wù)/政務(wù)中進行身份確認、數(shù)據(jù)完整性、抗抵賴性最安全的方法之一。本系統(tǒng)通過認證中心數(shù)字證書實現(xiàn)用戶實際身份和密鑰的統(tǒng)一，密鑰寫入KEY中，無法導出，保證密鑰安全性。系統(tǒng)采用非對稱加密技術(shù)，通過Hash和RSA算法，采用1024位高強度密鑰，對信息進行私鑰加密，用戶通過公鑰驗證簽名者身份。它實際使用了信息發(fā)送者的私有密鑰變換所需傳輸?shù)男畔?，對于不同的文檔信息，發(fā)送者的數(shù)字簽名并不相同。沒有私有密鑰，任何人都無法完成非法復制，私鑰只掌握在用戶手中。為防止存有私鑰的KEY丟失，我們建設(shè)了數(shù)字認證中心實現(xiàn)對證書的及時注銷與恢復，并引入指紋技術(shù)防止KEY被他人冒用。數(shù)字簽名技術(shù)廣泛應(yīng)用于銀行、政府部門，《電子簽名法》也賦予其法律依據(jù)。endprint

3.2 數(shù)字認證中心設(shè)計

為及時、快速、安全的為用戶發(fā)放數(shù)字證書，我們設(shè)計開發(fā)了系統(tǒng)數(shù)字認證中心，為實現(xiàn)證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發(fā)放，同時具有相關(guān)管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發(fā)放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數(shù)字信封加簽名方式進行信息傳遞，保證數(shù)據(jù)的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統(tǒng)需求。

3.3 指紋KEY技術(shù)

為保證用戶私鑰和數(shù)字證書的安全，系統(tǒng)采用了安全性更高的指紋+USB KEY技術(shù)，KEY中內(nèi)置智能芯片，用于存儲用戶私鑰及數(shù)字證書，利用USB KEY內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質(zhì)，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內(nèi)完成，全過程中私鑰不出KEY介質(zhì)。進行數(shù)字簽名前還必須進行指紋驗證，由指紋采集儀驅(qū)動程序驅(qū)動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據(jù)指紋圖像由采集算法生成特征數(shù)據(jù)，將特征數(shù)據(jù)存入指紋數(shù)據(jù)庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術(shù)保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎(chǔ)上才能夠進行數(shù)字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結(jié)束語

《財務(wù)網(wǎng)上審簽系統(tǒng)》是在現(xiàn)有財務(wù)軟件基礎(chǔ)上采用先進的數(shù)子簽名、指紋掃描、數(shù)字證書、信息安全等相關(guān)技術(shù)保證了異地網(wǎng)上簽名的不可否認性、不可修改性，實現(xiàn)審簽流程的異地化、遠程化、電子化以及預算經(jīng)費實時分析對比功能的進一步完善，達到完善財務(wù)信息化建設(shè)、提高財務(wù)管理效率、增加財務(wù)管理透明性及有效性的目標。對于加強單位經(jīng)費的管控、分析，提高財務(wù)票據(jù)審批具有十分現(xiàn)實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數(shù)字簽名算法研究[J].系統(tǒng)工程與電子技術(shù)，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數(shù)字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網(wǎng)的雙重數(shù)字簽名的描述與驗證[J].系統(tǒng)仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數(shù)字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數(shù)字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數(shù)字簽名的應(yīng)用模型設(shè)計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數(shù)字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數(shù)字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數(shù)字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應(yīng)用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint

3.2 數(shù)字認證中心設(shè)計

為及時、快速、安全的為用戶發(fā)放數(shù)字證書，我們設(shè)計開發(fā)了系統(tǒng)數(shù)字認證中心，為實現(xiàn)證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發(fā)放，同時具有相關(guān)管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發(fā)放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數(shù)字信封加簽名方式進行信息傳遞，保證數(shù)據(jù)的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統(tǒng)需求。

3.3 指紋KEY技術(shù)

為保證用戶私鑰和數(shù)字證書的安全，系統(tǒng)采用了安全性更高的指紋+USB KEY技術(shù)，KEY中內(nèi)置智能芯片，用于存儲用戶私鑰及數(shù)字證書，利用USB KEY內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質(zhì)，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內(nèi)完成，全過程中私鑰不出KEY介質(zhì)。進行數(shù)字簽名前還必須進行指紋驗證，由指紋采集儀驅(qū)動程序驅(qū)動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據(jù)指紋圖像由采集算法生成特征數(shù)據(jù)，將特征數(shù)據(jù)存入指紋數(shù)據(jù)庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術(shù)保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎(chǔ)上才能夠進行數(shù)字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結(jié)束語

《財務(wù)網(wǎng)上審簽系統(tǒng)》是在現(xiàn)有財務(wù)軟件基礎(chǔ)上采用先進的數(shù)子簽名、指紋掃描、數(shù)字證書、信息安全等相關(guān)技術(shù)保證了異地網(wǎng)上簽名的不可否認性、不可修改性，實現(xiàn)審簽流程的異地化、遠程化、電子化以及預算經(jīng)費實時分析對比功能的進一步完善，達到完善財務(wù)信息化建設(shè)、提高財務(wù)管理效率、增加財務(wù)管理透明性及有效性的目標。對于加強單位經(jīng)費的管控、分析，提高財務(wù)票據(jù)審批具有十分現(xiàn)實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數(shù)字簽名算法研究[J].系統(tǒng)工程與電子技術(shù)，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數(shù)字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網(wǎng)的雙重數(shù)字簽名的描述與驗證[J].系統(tǒng)仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數(shù)字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數(shù)字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數(shù)字簽名的應(yīng)用模型設(shè)計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數(shù)字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數(shù)字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數(shù)字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應(yīng)用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint

3.2 數(shù)字認證中心設(shè)計

為及時、快速、安全的為用戶發(fā)放數(shù)字證書，我們設(shè)計開發(fā)了系統(tǒng)數(shù)字認證中心，為實現(xiàn)證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發(fā)放，同時具有相關(guān)管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發(fā)放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數(shù)字信封加簽名方式進行信息傳遞，保證數(shù)據(jù)的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統(tǒng)需求。

3.3 指紋KEY技術(shù)

為保證用戶私鑰和數(shù)字證書的安全，系統(tǒng)采用了安全性更高的指紋+USB KEY技術(shù)，KEY中內(nèi)置智能芯片，用于存儲用戶私鑰及數(shù)字證書，利用USB KEY內(nèi)置的公鑰算法實現(xiàn)對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質(zhì)，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內(nèi)完成，全過程中私鑰不出KEY介質(zhì)。進行數(shù)字簽名前還必須進行指紋驗證，由指紋采集儀驅(qū)動程序驅(qū)動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據(jù)指紋圖像由采集算法生成特征數(shù)據(jù)，將特征數(shù)據(jù)存入指紋數(shù)據(jù)庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術(shù)保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎(chǔ)上才能夠進行數(shù)字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結(jié)束語

《財務(wù)網(wǎng)上審簽系統(tǒng)》是在現(xiàn)有財務(wù)軟件基礎(chǔ)上采用先進的數(shù)子簽名、指紋掃描、數(shù)字證書、信息安全等相關(guān)技術(shù)保證了異地網(wǎng)上簽名的不可否認性、不可修改性，實現(xiàn)審簽流程的異地化、遠程化、電子化以及預算經(jīng)費實時分析對比功能的進一步完善，達到完善財務(wù)信息化建設(shè)、提高財務(wù)管理效率、增加財務(wù)管理透明性及有效性的目標。對于加強單位經(jīng)費的管控、分析，提高財務(wù)票據(jù)審批具有十分現(xiàn)實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數(shù)字簽名算法研究[J].系統(tǒng)工程與電子技術(shù)，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數(shù)字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網(wǎng)的雙重數(shù)字簽名的描述與驗證[J].系統(tǒng)仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數(shù)字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數(shù)字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數(shù)字簽名的應(yīng)用模型設(shè)計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數(shù)字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數(shù)字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數(shù)字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應(yīng)用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint