基于數(shù)字簽名的財務網(wǎng)上審簽系統(tǒng)

宋福剛　劉清茂　管文強　李魯江

摘 要 《財務網(wǎng)上審簽系統(tǒng)》綜合運用數(shù)字簽名、指紋掃描、數(shù)字證書、數(shù)據(jù)庫、信息安全等相關技術實現(xiàn)了機關、企事業(yè)領導對財務開支票據(jù)的網(wǎng)上遠程審查簽字，完善了財務的管理管控。

關鍵詞 數(shù)字簽名；指紋掃描；數(shù)字證書；PKI/CA；聯(lián)審會簽

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）08-0028-02

在當今的財務管理中，各種開支的票據(jù)一般都需要單位某個或幾個領導的聯(lián)合審批簽字才可以報銷。目的是加強財務監(jiān)督，提高經(jīng)費使用效益，維護財經(jīng)紀律的嚴肅性、增強經(jīng)費開支透明度和防止財務支出的混亂。但這種聯(lián)審會簽逐漸有流于形式的趨勢，比如同是平級的部門領導，對于個別有疑問的開支，往往礙于情面，草草簽之；再如諸多機關單位，由于領導外出活動多、時間長，無法按計劃要求組織安排經(jīng)費開支后的聯(lián)審會簽，造成各種經(jīng)費結算報銷不及時的問題等。針對當前聯(lián)審會簽暴露出的矛盾問題，經(jīng)過充分調研論證設想研制《財務網(wǎng)上審簽系統(tǒng)》。

1 系統(tǒng)架構

1）系統(tǒng)拓撲結構，見圖1。

圖1

2）系統(tǒng)網(wǎng)絡結構，見圖2。

2 系統(tǒng)功能

依據(jù)終端用戶職能范圍的不同，系統(tǒng)分為審簽客戶端、財務管理客戶端和數(shù)字認證中心三部分，詳細功能模塊如圖3

所示。

2.1 財務管理客戶端

1）預算管理。主要有預算導入、預算對比兩大功能。

2）賬目管理。結算證錄入、呈批件錄入，差旅費錄入均屬于憑證錄入，該部分分為兩部分功能：①數(shù)據(jù)錄入，對結算證進行添加、刪除、編輯操作。在錄入過程中如需錄入資產與行政性消耗支出則點擊資產與行政性消耗支出錄入進行相關數(shù)據(jù)錄入；②單據(jù)電子化，對所有單據(jù)及結算證進行拍照并將電子憑證存入數(shù)據(jù)庫，包括調用相機、保存圖片及圖片查看三部分。

圖2

圖3 財務網(wǎng)上審簽系統(tǒng)模塊組成圖

單擊某條數(shù)據(jù)后調用相機按鈕可以調用外部相機，對該結算證的相關單據(jù)進行拍照，雙擊某條結算證后即可顯示該條結算證的已存圖片，用戶可對圖片進行編輯和刪除。結算證錄入由各部門人員完成，呈批件錄入由財務人員完成。財務部門可根據(jù)部門及時間條件生成資金使用情況表下發(fā)給各部門主管。

3）審簽。審簽單生成：財務人員可按時間、部門等信息生成聯(lián)審會簽單，在其每筆款項上均有明細使用情況及實時對比鏈接，用于遠程簽字領導對疑問進行詳細查看。

審簽查看：依據(jù)部門查看相應審簽單的詳細審核信息。

4）系統(tǒng)管理。系統(tǒng)管理實現(xiàn)部門、科目、用戶、角色信息的維護，對數(shù)據(jù)庫進行備份、恢復并引入了日志管理功能。

用戶管理：用于維護用戶基本信息。實現(xiàn)各單位人員基本信息的添加、修改及刪除功能。

角色管理：將人員進行分類，不同終端用戶權限不同，登錄不同的客戶端。

部門管理：維護單位內部具體部門的相應信息。可增加下一級部門，實現(xiàn)部門信息的添加、修改、刪除功能。

日志管理：系統(tǒng)可對各用戶操作進行詳細記錄，形成日志，通過日志管理可以查詢到各用戶或各時段對系統(tǒng)進行的各類操作。并可對日志進行備份，以備日后查閱。

數(shù)據(jù)備份與恢復：管理員對數(shù)據(jù)庫可進行備份、還原操作，以防信息丟失，增強系統(tǒng)安全性。

2.2 票據(jù)審簽客戶端

審簽：對審簽時間段的結算證進行審核，此模塊與預算對比模塊關聯(lián)，可實時顯示當前開支與預算情況的對比，為會簽提供依據(jù)。點擊結算證可查看票據(jù)圖片。選擇會簽單位進行審簽，并將會簽單存入數(shù)據(jù)庫。

簽字票據(jù)查看：審簽完成后查看各單位會簽效果。

審簽交流：聯(lián)合審簽中遇到問題，在此模塊可進行實時

交流。

2.3 數(shù)字認證中心

1）密鑰管理中心。數(shù)據(jù)庫配置信息：用于數(shù)據(jù)庫配置信息和數(shù)據(jù)庫用戶管理以及管理員口令的設置。

密鑰備用庫查詢：顯示備用密鑰的數(shù)量，密鑰長度，密鑰狀態(tài)，當密鑰長度小于80時系統(tǒng)自動生成新的密鑰。

密鑰在用庫查詢：已經(jīng)發(fā)放密鑰數(shù)量、用戶信息、發(fā)放時間、密鑰狀態(tài)。

密鑰查詢：對在用和備用密鑰信息、狀態(tài)提供查詢功能。

2）證書管理中心。數(shù)字證書信息查詢：查看當前用戶信息，證書查詢負責查詢當前證書狀態(tài)。

證書申請管理：證書申請分為三種類型：設備證書，用戶提供證書請求，將證書請求提交申請證書；用戶單一證書，用戶提交信息申請簽名證書；雙證申請，用戶提交信息申請加密、簽名證書。

中心信息配置：中心配置信息主要分為三部分：中心配置信息和策略、管理員口令管理、中心數(shù)據(jù)庫配置信息。中心策略主要包括用戶證書期限、用戶證書簽名算法、CRL發(fā)布點、用戶證書發(fā)布點四部分。

證書模板管理：證書模板管理分為四部分，定制、導入、發(fā)布和注銷證書模板。對不同類型用戶定制證書模板調用證書模板生成工具進行模板的制定。

注銷列表管理：證書注銷列表管理主要負責發(fā)放和查看證書黑名單。

3 關鍵技術

3.1 數(shù)字簽名技術

數(shù)字簽名模塊基于PKI/CA體系，是當前網(wǎng)上電子商務/政務中進行身份確認、數(shù)據(jù)完整性、抗抵賴性最安全的方法之一。本系統(tǒng)通過認證中心數(shù)字證書實現(xiàn)用戶實際身份和密鑰的統(tǒng)一，密鑰寫入KEY中，無法導出，保證密鑰安全性。系統(tǒng)采用非對稱加密技術，通過Hash和RSA算法，采用1024位高強度密鑰，對信息進行私鑰加密，用戶通過公鑰驗證簽名者身份。它實際使用了信息發(fā)送者的私有密鑰變換所需傳輸?shù)男畔?，對于不同的文檔信息，發(fā)送者的數(shù)字簽名并不相同。沒有私有密鑰，任何人都無法完成非法復制，私鑰只掌握在用戶手中。為防止存有私鑰的KEY丟失，我們建設了數(shù)字認證中心實現(xiàn)對證書的及時注銷與恢復，并引入指紋技術防止KEY被他人冒用。數(shù)字簽名技術廣泛應用于銀行、政府部門，《電子簽名法》也賦予其法律依據(jù)。endprint

3.2 數(shù)字認證中心設計

為及時、快速、安全的為用戶發(fā)放數(shù)字證書，我們設計開發(fā)了系統(tǒng)數(shù)字認證中心，為實現(xiàn)證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發(fā)放，同時具有相關管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發(fā)放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數(shù)字信封加簽名方式進行信息傳遞，保證數(shù)據(jù)的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統(tǒng)需求。

3.3 指紋KEY技術

為保證用戶私鑰和數(shù)字證書的安全，系統(tǒng)采用了安全性更高的指紋+USB KEY技術，KEY中內置智能芯片，用于存儲用戶私鑰及數(shù)字證書，利用USB KEY內置的公鑰算法實現(xiàn)對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內完成，全過程中私鑰不出KEY介質。進行數(shù)字簽名前還必須進行指紋驗證，由指紋采集儀驅動程序驅動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據(jù)指紋圖像由采集算法生成特征數(shù)據(jù)，將特征數(shù)據(jù)存入指紋數(shù)據(jù)庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎上才能夠進行數(shù)字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結束語

《財務網(wǎng)上審簽系統(tǒng)》是在現(xiàn)有財務軟件基礎上采用先進的數(shù)子簽名、指紋掃描、數(shù)字證書、信息安全等相關技術保證了異地網(wǎng)上簽名的不可否認性、不可修改性，實現(xiàn)審簽流程的異地化、遠程化、電子化以及預算經(jīng)費實時分析對比功能的進一步完善，達到完善財務信息化建設、提高財務管理效率、增加財務管理透明性及有效性的目標。對于加強單位經(jīng)費的管控、分析，提高財務票據(jù)審批具有十分現(xiàn)實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數(shù)字簽名算法研究[J].系統(tǒng)工程與電子技術，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數(shù)字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網(wǎng)的雙重數(shù)字簽名的描述與驗證[J].系統(tǒng)仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數(shù)字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數(shù)字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數(shù)字簽名的應用模型設計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數(shù)字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數(shù)字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數(shù)字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint

3.2 數(shù)字認證中心設計

為及時、快速、安全的為用戶發(fā)放數(shù)字證書，我們設計開發(fā)了系統(tǒng)數(shù)字認證中心，為實現(xiàn)證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發(fā)放，同時具有相關管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發(fā)放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數(shù)字信封加簽名方式進行信息傳遞，保證數(shù)據(jù)的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統(tǒng)需求。

3.3 指紋KEY技術

為保證用戶私鑰和數(shù)字證書的安全，系統(tǒng)采用了安全性更高的指紋+USB KEY技術，KEY中內置智能芯片，用于存儲用戶私鑰及數(shù)字證書，利用USB KEY內置的公鑰算法實現(xiàn)對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內完成，全過程中私鑰不出KEY介質。進行數(shù)字簽名前還必須進行指紋驗證，由指紋采集儀驅動程序驅動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據(jù)指紋圖像由采集算法生成特征數(shù)據(jù)，將特征數(shù)據(jù)存入指紋數(shù)據(jù)庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎上才能夠進行數(shù)字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結束語

《財務網(wǎng)上審簽系統(tǒng)》是在現(xiàn)有財務軟件基礎上采用先進的數(shù)子簽名、指紋掃描、數(shù)字證書、信息安全等相關技術保證了異地網(wǎng)上簽名的不可否認性、不可修改性，實現(xiàn)審簽流程的異地化、遠程化、電子化以及預算經(jīng)費實時分析對比功能的進一步完善，達到完善財務信息化建設、提高財務管理效率、增加財務管理透明性及有效性的目標。對于加強單位經(jīng)費的管控、分析，提高財務票據(jù)審批具有十分現(xiàn)實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數(shù)字簽名算法研究[J].系統(tǒng)工程與電子技術，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數(shù)字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網(wǎng)的雙重數(shù)字簽名的描述與驗證[J].系統(tǒng)仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數(shù)字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數(shù)字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數(shù)字簽名的應用模型設計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數(shù)字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數(shù)字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數(shù)字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint

3.2 數(shù)字認證中心設計

為及時、快速、安全的為用戶發(fā)放數(shù)字證書，我們設計開發(fā)了系統(tǒng)數(shù)字認證中心，為實現(xiàn)證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發(fā)放，同時具有相關管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發(fā)放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數(shù)字信封加簽名方式進行信息傳遞，保證數(shù)據(jù)的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統(tǒng)需求。

3.3 指紋KEY技術

為保證用戶私鑰和數(shù)字證書的安全，系統(tǒng)采用了安全性更高的指紋+USB KEY技術，KEY中內置智能芯片，用于存儲用戶私鑰及數(shù)字證書，利用USB KEY內置的公鑰算法實現(xiàn)對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內完成，全過程中私鑰不出KEY介質。進行數(shù)字簽名前還必須進行指紋驗證，由指紋采集儀驅動程序驅動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據(jù)指紋圖像由采集算法生成特征數(shù)據(jù)，將特征數(shù)據(jù)存入指紋數(shù)據(jù)庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎上才能夠進行數(shù)字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結束語

《財務網(wǎng)上審簽系統(tǒng)》是在現(xiàn)有財務軟件基礎上采用先進的數(shù)子簽名、指紋掃描、數(shù)字證書、信息安全等相關技術保證了異地網(wǎng)上簽名的不可否認性、不可修改性，實現(xiàn)審簽流程的異地化、遠程化、電子化以及預算經(jīng)費實時分析對比功能的進一步完善，達到完善財務信息化建設、提高財務管理效率、增加財務管理透明性及有效性的目標。對于加強單位經(jīng)費的管控、分析，提高財務票據(jù)審批具有十分現(xiàn)實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數(shù)字簽名算法研究[J].系統(tǒng)工程與電子技術，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數(shù)字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網(wǎng)的雙重數(shù)字簽名的描述與驗證[J].系統(tǒng)仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數(shù)字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數(shù)字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數(shù)字簽名的應用模型設計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數(shù)字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數(shù)字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數(shù)字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint