基于數字簽名的財務網上審簽系統

宋福剛　劉清茂　管文強　李魯江

摘 要 《財務網上審簽系統》綜合運用數字簽名、指紋掃描、數字證書、數據庫、信息安全等相關技術實現了機關、企事業領導對財務開支票據的網上遠程審查簽字，完善了財務的管理管控。

關鍵詞 數字簽名；指紋掃描；數字證書；PKI/CA；聯審會簽

中圖分類號：TP3 文獻標識碼：A 文章編號：1671-7597（2014）08-0028-02

在當今的財務管理中，各種開支的票據一般都需要單位某個或幾個領導的聯合審批簽字才可以報銷。目的是加強財務監督，提高經費使用效益，維護財經紀律的嚴肅性、增強經費開支透明度和防止財務支出的混亂。但這種聯審會簽逐漸有流于形式的趨勢，比如同是平級的部門領導，對于個別有疑問的開支，往往礙于情面，草草簽之；再如諸多機關單位，由于領導外出活動多、時間長，無法按計劃要求組織安排經費開支后的聯審會簽，造成各種經費結算報銷不及時的問題等。針對當前聯審會簽暴露出的矛盾問題，經過充分調研論證設想研制《財務網上審簽系統》。

1 系統架構

1）系統拓撲結構，見圖1。

圖1

2）系統網絡結構，見圖2。

2 系統功能

依據終端用戶職能范圍的不同，系統分為審簽客戶端、財務管理客戶端和數字認證中心三部分，詳細功能模塊如圖3

所示。

2.1 財務管理客戶端

1）預算管理。主要有預算導入、預算對比兩大功能。

2）賬目管理。結算證錄入、呈批件錄入，差旅費錄入均屬于憑證錄入，該部分分為兩部分功能：①數據錄入，對結算證進行添加、刪除、編輯操作。在錄入過程中如需錄入資產與行政性消耗支出則點擊資產與行政性消耗支出錄入進行相關數據錄入；②單據電子化，對所有單據及結算證進行拍照并將電子憑證存入數據庫，包括調用相機、保存圖片及圖片查看三部分。

圖2

圖3 財務網上審簽系統模塊組成圖

單擊某條數據后調用相機按鈕可以調用外部相機，對該結算證的相關單據進行拍照，雙擊某條結算證后即可顯示該條結算證的已存圖片，用戶可對圖片進行編輯和刪除。結算證錄入由各部門人員完成，呈批件錄入由財務人員完成。財務部門可根據部門及時間條件生成資金使用情況表下發給各部門主管。

3）審簽。審簽單生成：財務人員可按時間、部門等信息生成聯審會簽單，在其每筆款項上均有明細使用情況及實時對比鏈接，用于遠程簽字領導對疑問進行詳細查看。

審簽查看：依據部門查看相應審簽單的詳細審核信息。

4）系統管理。系統管理實現部門、科目、用戶、角色信息的維護，對數據庫進行備份、恢復并引入了日志管理功能。

用戶管理：用于維護用戶基本信息。實現各單位人員基本信息的添加、修改及刪除功能。

角色管理：將人員進行分類，不同終端用戶權限不同，登錄不同的客戶端。

部門管理：維護單位內部具體部門的相應信息。可增加下一級部門，實現部門信息的添加、修改、刪除功能。

日志管理：系統可對各用戶操作進行詳細記錄，形成日志，通過日志管理可以查詢到各用戶或各時段對系統進行的各類操作。并可對日志進行備份，以備日后查閱。

數據備份與恢復：管理員對數據庫可進行備份、還原操作，以防信息丟失，增強系統安全性。

2.2 票據審簽客戶端

審簽：對審簽時間段的結算證進行審核，此模塊與預算對比模塊關聯，可實時顯示當前開支與預算情況的對比，為會簽提供依據。點擊結算證可查看票據圖片。選擇會簽單位進行審簽，并將會簽單存入數據庫。

簽字票據查看：審簽完成后查看各單位會簽效果。

審簽交流：聯合審簽中遇到問題，在此模塊可進行實時

交流。

2.3 數字認證中心

1）密鑰管理中心。數據庫配置信息：用于數據庫配置信息和數據庫用戶管理以及管理員口令的設置。

密鑰備用庫查詢：顯示備用密鑰的數量，密鑰長度，密鑰狀態，當密鑰長度小于80時系統自動生成新的密鑰。

密鑰在用庫查詢：已經發放密鑰數量、用戶信息、發放時間、密鑰狀態。

密鑰查詢：對在用和備用密鑰信息、狀態提供查詢功能。

2）證書管理中心。數字證書信息查詢：查看當前用戶信息，證書查詢負責查詢當前證書狀態。

證書申請管理：證書申請分為三種類型：設備證書，用戶提供證書請求，將證書請求提交申請證書；用戶單一證書，用戶提交信息申請簽名證書；雙證申請，用戶提交信息申請加密、簽名證書。

中心信息配置：中心配置信息主要分為三部分：中心配置信息和策略、管理員口令管理、中心數據庫配置信息。中心策略主要包括用戶證書期限、用戶證書簽名算法、CRL發布點、用戶證書發布點四部分。

證書模板管理：證書模板管理分為四部分，定制、導入、發布和注銷證書模板。對不同類型用戶定制證書模板調用證書模板生成工具進行模板的制定。

注銷列表管理：證書注銷列表管理主要負責發放和查看證書黑名單。

3 關鍵技術

3.1 數字簽名技術

數字簽名模塊基于PKI/CA體系，是當前網上電子商務/政務中進行身份確認、數據完整性、抗抵賴性最安全的方法之一。本系統通過認證中心數字證書實現用戶實際身份和密鑰的統一，密鑰寫入KEY中，無法導出，保證密鑰安全性。系統采用非對稱加密技術，通過Hash和RSA算法，采用1024位高強度密鑰，對信息進行私鑰加密，用戶通過公鑰驗證簽名者身份。它實際使用了信息發送者的私有密鑰變換所需傳輸的信息，對于不同的文檔信息，發送者的數字簽名并不相同。沒有私有密鑰，任何人都無法完成非法復制，私鑰只掌握在用戶手中。為防止存有私鑰的KEY丟失，我們建設了數字認證中心實現對證書的及時注銷與恢復，并引入指紋技術防止KEY被他人冒用。數字簽名技術廣泛應用于銀行、政府部門，《電子簽名法》也賦予其法律依據。endprint

3.2 數字認證中心設計

為及時、快速、安全的為用戶發放數字證書，我們設計開發了系統數字認證中心，為實現證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發放，同時具有相關管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數字信封加簽名方式進行信息傳遞，保證數據的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統需求。

3.3 指紋KEY技術

為保證用戶私鑰和數字證書的安全，系統采用了安全性更高的指紋+USB KEY技術，KEY中內置智能芯片，用于存儲用戶私鑰及數字證書，利用USB KEY內置的公鑰算法實現對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內完成，全過程中私鑰不出KEY介質。進行數字簽名前還必須進行指紋驗證，由指紋采集儀驅動程序驅動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據指紋圖像由采集算法生成特征數據，將特征數據存入指紋數據庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎上才能夠進行數字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結束語

《財務網上審簽系統》是在現有財務軟件基礎上采用先進的數子簽名、指紋掃描、數字證書、信息安全等相關技術保證了異地網上簽名的不可否認性、不可修改性，實現審簽流程的異地化、遠程化、電子化以及預算經費實時分析對比功能的進一步完善，達到完善財務信息化建設、提高財務管理效率、增加財務管理透明性及有效性的目標。對于加強單位經費的管控、分析，提高財務票據審批具有十分現實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數字簽名算法研究[J].系統工程與電子技術，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網的雙重數字簽名的描述與驗證[J].系統仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數字簽名的應用模型設計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint

3.2 數字認證中心設計

為及時、快速、安全的為用戶發放數字證書，我們設計開發了系統數字認證中心，為實現證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發放，同時具有相關管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數字信封加簽名方式進行信息傳遞，保證數據的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統需求。

3.3 指紋KEY技術

為保證用戶私鑰和數字證書的安全，系統采用了安全性更高的指紋+USB KEY技術，KEY中內置智能芯片，用于存儲用戶私鑰及數字證書，利用USB KEY內置的公鑰算法實現對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內完成，全過程中私鑰不出KEY介質。進行數字簽名前還必須進行指紋驗證，由指紋采集儀驅動程序驅動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據指紋圖像由采集算法生成特征數據，將特征數據存入指紋數據庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎上才能夠進行數字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結束語

《財務網上審簽系統》是在現有財務軟件基礎上采用先進的數子簽名、指紋掃描、數字證書、信息安全等相關技術保證了異地網上簽名的不可否認性、不可修改性，實現審簽流程的異地化、遠程化、電子化以及預算經費實時分析對比功能的進一步完善，達到完善財務信息化建設、提高財務管理效率、增加財務管理透明性及有效性的目標。對于加強單位經費的管控、分析，提高財務票據審批具有十分現實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數字簽名算法研究[J].系統工程與電子技術，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網的雙重數字簽名的描述與驗證[J].系統仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數字簽名的應用模型設計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint

3.2 數字認證中心設計

為及時、快速、安全的為用戶發放數字證書，我們設計開發了系統數字認證中心，為實現證書和密鑰不能一人掌握的安全需求，我們將其分為兩大功能模塊：證書認證中心和密鑰管理中心。證書認證中心功能主要負責接收證書申請、制作證書、證書發放，同時具有相關管理、配置功能。密鑰管理中心主要負責接收密鑰請求、密鑰生成、密鑰發放、密鑰恢復等功能，同時提供密鑰管理、配置等功能。CA（認證中心）和KM（密鑰中心）之間通過數字信封加簽名方式進行信息傳遞，保證數據的完整性和安全性，密鑰中心能夠生成RSA 1024比特密鑰，按照X.509標準生成證書，滿足了系統需求。

3.3 指紋KEY技術

為保證用戶私鑰和數字證書的安全，系統采用了安全性更高的指紋+USB KEY技術，KEY中內置智能芯片，用于存儲用戶私鑰及數字證書，利用USB KEY內置的公鑰算法實現對用戶身份的認證，USB KEY通過以下幾方面保證其安全性：一是硬件PIN碼保護，只有同時取得用戶的KEY硬件和用戶PIN碼才可以登錄；二是安全的存儲介質，KEY中密鑰外部命令無法讀取、修改；三是公鑰密碼體制，KEY在初始化時先將密碼算法燒制在ROM中，私鑰參與的密碼運算只在芯片內完成，全過程中私鑰不出KEY介質。進行數字簽名前還必須進行指紋驗證，由指紋采集儀驅動程序驅動指紋儀采集指紋，由指紋識別算法對指紋圖像進行處理，即根據指紋圖像由采集算法生成特征數據，將特征數據存入指紋數據庫，在需要時取出進行1：1或1：N對比，從而驗證用戶真實身份。指紋KEY技術保證了只有在擁有KEY硬件+PIN碼+用戶指紋的基礎上才能夠進行數字簽名，保證了用戶的真實性、防抵賴性、安全性。

4 結束語

《財務網上審簽系統》是在現有財務軟件基礎上采用先進的數子簽名、指紋掃描、數字證書、信息安全等相關技術保證了異地網上簽名的不可否認性、不可修改性，實現審簽流程的異地化、遠程化、電子化以及預算經費實時分析對比功能的進一步完善，達到完善財務信息化建設、提高財務管理效率、增加財務管理透明性及有效性的目標。對于加強單位經費的管控、分析，提高財務票據審批具有十分現實的意義。

參考文獻

[1]劉宏偉.一種基于身份的數字簽名算法研究[J].系統工程與電子技術，2008（30）：1159-1162.

[2]胡予濮.一個新型的NTRU類數字簽名方案[J].計算機學報，2008（31）：1661-1666.

[3]LIN，Song.基于Petri網的雙重數字簽名的描述與驗證[J].系統仿真學報，2008（20）：2498-2501.

[4]王曉峰.零知識證明的前向安全不可否認數字簽名方案[J].計算機工程，2007（33）：27-29.

[5]龐遼軍.一個預防欺詐的（t，n）門限數字簽名方案[J].電子與信息學報，2007（29）：895-897.

[6]陳文兵.基于XML數字簽名的應用模型設計與分析[J].計算機工程，2007，33（11）：154-156，162.

[7]王明強.一個新的模糊數字簽名方案[J].計算機工程，2006，32（23）：40-42.

[8]王會進.基于零知識證明的XML數字簽名方案[J].計算機工程，2006，32：143-145.

[9]鞠宏偉.基于RSA的證實數字簽名方案[J].計算機工程，2006（32）：154-156，165.

[10]韓益亮.ECDSA可公開驗證廣義簽密[J].計算機學報，2006，29（11）：2003-2012.

作者簡介

宋福剛（1971-），男，山東昌邑人，本科，研究方向：計算機應用。

劉清茂（1984-），男，山東泰安人，本科，研究方向：信息研究與安全。

管文強（1974-），男，山東德州人，研究生，研究方向：并行計算。

李魯江（1977-），男，山東濟南人，本科，研究方向：分布式計算。endprint