Electronic signature middle-platform for railway science and technology management
-
摘要:
针对铁路科技管理业务流程多元、过程文件种类繁多的特点,设计并实现了铁路科技管理电子签署中台。研究数据加密、时间戳等关键技术,以及该电子签署中台架构;作为铁路科技管理核心电子签署业务中枢,该电子签署中台为前台各业务系统提供可复用的线上文件签署服务,形成统一协同的文件管理模式;设计基于铁路科技管理中专家评审文件签署典型场景的应用方案,实现数据文件的线上流转与电子化签署,提高科技管理效率,优化管理流程,保障数据安全,为科技管理全流程线上办公提供新的解决方案。
Abstract:In response to the diverse business processes and various types of process documents in railway science and technology management, this paper designed and implemented an electronic signature middle-platform for railway science and technology management, studied key technologies such as data encryption and timestamp, as well as the architecture of the electronic signature middle-platform. As the core electronic signature business center of railway science and technology management, this electronic signature middle-platform provided reusable online document signing services for various front-end business systems, forming a unified and collaborative document management mode. The paper designed an application scheme based on the typical scenario of expert review document signing in railway technology management to implement the online circulation and electronic signing of data files, improve the efficiency of science and technology management, optimize management processes, ensure data security. It provides a new solution for the online office of the entire process of science and technology management.
-
随着信息技术的融合发展和“双碳”战略的落地实施,中国国家铁路集团有限公司以构建铁路科技管理生态、促进铁路科技资源共享为目标,面向全国铁路(简称:全路)研发了以科研项目管理为核心,多业务协同的科技管理信息系统,实现科研项目、科技成果、专家等多业务信息化管理并提供数字化、智能化的辅助支撑服务[1]。但在铁路科技管理工作中,专家评审、合同签订、项目结题等环节仍依赖纸质表单的审批签字和邮寄存档,无形中影响了科技管理效率和管理成本。
电子签名技术作为数字化转型、无纸化办公的重要手段,在政务服务、金融保险、医疗等多行业取得良好的应用效果;在铁路行业,电子签名技术已在铁路货运电子商务系统(简称:95306)和铁路工程文档平台中得到应用[2-3],但在铁路科技管理领域,因业务场景复杂、主体多样、数据敏感等原因,电子签名技术鲜有相关应用研究报道。
因此,在铁路科技管理领域引入电子签署和智能管理方式具有重要意义。本文针对铁路科技管理业务广泛、文件繁多、流程多元的特点,设计铁路科技管理电子签署中台(简称:电子签署中台),旨在提升铁路科技管理效能和管理水平。
1 电子签署中台架构设计
1.1 中台理念概述
中台通过集中化、模块化和标准化的方式,对公共核心能力和业务逻辑进行抽象、集中管理,实现公共资源的共享和柔性复用[4]。中台作为中间层,集成后台稳定的数据资源和业务逻辑,面向前台提供标准可复用的技术能力和业务基础。主流中台架构包含业务中台和数据中台。业务中台将后台资源进行抽象包装整合,转化为前台友好的可复用、可共享的核心能力,实现后端业务资源到前台易用能力的转化;数据中台负责从后台和业务中台收集数据,经过存储、计算和产品化的过程,形成核心数据能力[5-6]。通过业务中台和数据中台的协同管理,实现业务的标准化、流程化和数据驱动,提高业务的敏捷性、灵活性和决策的准确性,进一步推动领域数字化转型和业务创新。
1.2 电子签署中台架构
铁路科技管理工作业务领域广,电子签署中台不仅需要满足现阶段应用系统需求,还必须具有良好的扩展性和适应能力,以便于通过模块化的扩展能够满足未来各种新的需求。通过建立电子签署中台,实现铁路科技管理领域电子签署业务标准化和自动化管理,构筑铁路科技管理协同创新生态。
电子签署中台架构如图1所示。
电子签署中台包括业务中台和数据中台。业务中台提供权限体系、流程引擎等核心业务服务,以及实名认证、CA机构证书等云端服务;数据中台作为数据采集、计算和储存的核心支撑,实现数据的仓库化统一存储,提供数据可视化展示、标准化数据管理和数据统计分析服务,为铁路科技管理数据资源整合共享提供技术准备。
2 电子签署中台功能设计
2.1 业务中台功能
业务中台是对铁路科技管理各项业务中对电子签署服务的共性需求进行提炼整合,并转化为可复用可共享的核心服务能力。在铁路科技管理过程中规划设计6个共享服务模块:配置中心、签署服务中心、印章管理中心、文件管理中心、合规管理中心和运营管理(简称:运维)管理中心。业务中台功能架构如图2所示。
2.1.1 配置中心功能
配置中心是电子签署中台构建灵活的基础架构,支撑动态配置管理的重要基石。主要包括签署模板管理、签署流程管理和签署权限管理等核心业务功能。(1)签署模板管理是根据业务需求灵活预设签署模板,指定签署位置、添加文件水印等信息;(2)签署流程管理是通过可视化的流程设计器,支持管理人员根据业务流程逻辑快速定义和编排电子文件流转路径和审批环节;(3)签署权限管理是细粒度的权限控制,对用户角色设定访问和操作权限,对敏感文档或特殊流程限制访问范围,严格保障数据安全和签署规范。
2.1.2 签署服务中心功能
签署服务中心是实现安全高效电子签署的重要环节,主要包括身份认证管理、数字证书管理和在线签署服务等核心功能。(1)身份认证服务是通过身份验证、双因素认证和数字证书等手段,对签署方进行认证,验证真实身份,确保参与签署文件的各方身份的真实性和合法性;(2)数字证书管理是对CA证书的申请、审核、下载、更新和作废等生命周期的全程管理,是确保电子签名法律效力的关键环节;(3)在线签署服务是用户基于已认证数字证书,通过短信链接、扫码等管理人员预设方式进行文件签署。
2.1.3 印章管理中心功能
印章管理中心是对电子印章全过程管理与管控授权,其功能架构如图3所示,主要涵盖印章全生命周期管理、印章授权管理和印章使用管理。(1)印章全生命周期管理涵盖电子印章制作、印章变更、印章停用、印章移交和印章销毁全生命周期管理;(2)印章授权管理是根据组织架构对印章进行分级分权管理,并对使用流程进行审核监督;(3)印章使用管理是用户基于标准化用印流程自动授权或依据自由流程授权监控使用电子印章。
2.1.4 文件管理中心功能
文件管理中心是电子签署文件的集中存储库,包含签署文件管理、文件安全管理和归档管理等核心功能。(1)签署文件管理支持多维度的文档的分类存储、版本控制与快速检索;(2)文件安全管理通过多重加密技术和严格的访问权限控制保障签署文件安全;(3)归档管理是依据归档策略对已完成全业务流程文件进行有组织安全合规的长期保存和管理,保障电子文件的真实性和可追溯性。
2.1.5 合规管理中心功能
合规管理中心是通过有效的数据存证服务、日志审计和风险预警保障签署文件和签署流程的安全合规。(1)数据存证服务是通过数字技术和法律手段,对数据进行保存、备份和保全,用于证明电子文件的合法性和有效性;(2)日志审计是对系统日志、签署流程日志、用印日志等信息加密存储,保证审计日志的安全和不可篡改;(3)风险预警是通过智能化的技术手段和管理措施,对可能存在的印章滥用、盗用和伪造等风险进行提前识别、评估并发出警告的过程,并支持风险项交办变更。
2.1.6 运维管理中心功能
运维管理中心是确保电子签署中台服务稳定运行的核心,包括集成管理、授权管理和状态管理等核心功能。(1)集成管理是对接入电子签署中台的业务系统进行集中管理。通过应用程序接口(API)等技术手段,实现跨系统的信息交换和流程协同,提高运维工作的连贯性和效率;(2)授权管理是对用户、单位、角色等访问控制(RBAC)、细粒度权限分配中心,实现权限的精细化管理,维护系统的安全性,避免未经授权的访问或操作导致的安全风险;(3)状态管理是对网络设备、数据库等基础设施及应用程序的实时状态监控和健康检查;通过收集和分析各类性能指标、日志信息,及时发现系统异常或性能瓶颈。
2.2 数据中台功能
数据中台的主要作用是对科技管理活动中产生的电子签署文件等数据进行汇集处理和标准化管理,并根据业务需求,向管理者提供可视化的数据展示和统计分析服务。
2.2.1 数据汇集
将分散在铁路科技管理各业务子系统中的各类电子签署文件和其他相关数据,通过数据接口、API、文件传输等方式,实现数据的实时或定期汇集,为后期数据加工与统计分析提供数据基础。
2.2.2 数据处理
对汇集数据进行清洗、转换和整合等处理,提升数据质量和可用性。处理过程中,去除重复数据、纠正错误数据、格式化数据等,确保数据的一致性和准确性;处理完成后,数据将被存储在统一的数据仓库或数据库中,以便后续的分析和查询。
2.2.3 标准化数据管理
为确保数据的准确性和一致性,数据中台需要设定统一的数据标准和管理规范。通过制定数据字典和元数据管理策略,明确数据的定义、来源、格式和更新频率等;同时监控数据质量,定期进行数据校验和审计,确保数据的完整性和可靠性。
2.2.4 数据统计分析
基于标准化管理的数据,数据中台可以进行统计分析,提取有价值的信息和洞察。统计分析包括趋势分析、关联分析、预测分析、异常检测等,为管理者提供决策支持,协助优化科技管理流程、提高管理效率。
2.2.5 数据可视化展示
为了直观地展示统计分析结果,数据中台需要提供数据可视化功能。通过图形、图表和仪表板等可视化形式展示数据,使管理者能够快速发现数据中的规律和趋势,提高数据解读的效率和准确性;可视化工具还支持交互式查询和数据分析,满足管理者的个性化需求。
3 关键技术
3.1 数据加密技术
为保障电子签署文件的完整性与真实性,采用数据加密算法对电子签署文件进行传输。如表1所示,传统公钥基础设施(PKI)体系基本算法的应用密码算法分为3类:对称加密算法、非对称加密算法和摘要(HASH)算法[7],每类算法应用场景单一。本文基于上述3个算法,针对数据防泄密和数据防篡改场景,设计加密传输方案。
表 1 PKI体系基本算法算法类型 实现原理 优点 缺点 主要应用 典型算法 对称加密 使用相同密钥进行加密和解密 加密速度快,算法公开 密码传递和保存风险高 防泄密 AES、DES、3DES、SM4等 非对称加密 使用公开密钥和私有密
钥进行加密与解密密钥不传输,数据安全性高 加解密效率比较低,
不易对大数据进行加解密防泄密、防抵赖 RSA、ECC、SM2等 摘要(Hash) 无密钥,算法与原文一致,
加密结果一致数据安全性高 加密算法不可逆 防篡改 SHA1、SHA256、SHA512、MD5、SM3等 3.1.1 数据防泄密算法
基于上述3种算法,本文利用对称加密算法效率高和非对称加密算法秘钥不传输、数据安全性高的优点,针对数据防泄密场景,设计了加密传输方案。如图4所示,发送方将发送明文O和加密密钥K分别通过对称加密算法和非对称加密算法进行加密得到密文Ef和Ek,并发送至接收方。接收方收到文件后,通过公钥对加密秘钥K进行非对称解密,进而通过秘钥K对密文Ef对称解密,获得原始明文文件O。
3.1.2 数据防篡改算法
基于摘要算法的不可逆性和非对称加密算法私钥的独有性设计电子签署文件防抵赖防篡改场景的传输方案,如图5所示。发送方将明文文件O通过摘要算法运算,加密形成不可逆的摘要密文H,摘要密文通过发送方私钥进行非对称加密形成密文Ek,发送方将明文O和密文Ek同时发送给接收方。接收方收到文件后将明文通过同样的摘要算法加密形成摘要H',同时,通过发起方的公钥对密文Ek解密,对比摘要密文H和H',判断文件是否被篡改。同时,此方案利用私钥只有本人拥有,且只能被对应的公钥进行解密的原理,防止发送人抵赖的问题。
3.2 时间戳技术
时间戳技术是数字签名的重要组成部分,采用Hash算法、非对称加密算法,采用第三方时间戳机构的可信时间验证签名数据的原始性和真实性。电子签署中台通过可信时间戳服务,证明数字签名文件的签署时间、次序及文件状态,保障电子签名文件的证据价值和可信性。
时间戳的生成涉及用户、时间戳认证机构、国家授时中心,由需要加时间戳的文件的摘要、数字时间戳服务(DTS,Digital Time-stamp Service)收到文件的权威日期和时间和DTS的数字签名信息3部分组成[8]。如图6所示,数字时间戳具体产生过程为:用户作为发送方将需要加时间戳的明文文件通过Hash函数编码加密形成消息摘要,发送至接收方;接收方DTS收到消息摘要后加入时间信息,再通过私钥进行加密,形成数字时间戳,送达发送方用户。其中,时间戳所依赖的时间由我国唯一法定时间源国家授时中心提供,保证时间的权威性和准确性。
4 应用方案设计
面向铁路科研立项评审、科技奖励评审、课题验收评审等科技评审活动,基于铁路科技管理电子签署中台,设计课题评价表、专家打分表等全文件线上签署流程,如图7所示。由管理人员配置签署模板并设置签署流程,专家用户登录业务系统,选择待签署文件,首次签署需要进行个人身份认证。认证通过后制作电子签名,并应用签名于待签署的文件,最后通过短信验证或人脸识别等方式进行签署确认,确认本人签署意愿,通过后完成文件签署,专家用户和管理人员可对签署文件进行下载预览。
5 结束语
在铁路科技管理过程中引入电子签名技术,既是推动铁路信息化发展的重要手段,也是提升铁路科研管理信息化水平的必然要求。本文以数字化转型为背景,以中台理念为依托,以新一代信息技术为支撑,研究构建了铁路科技管理电子签署中台,该电子签署中台采用混合云部署方式实现内外网的互联互通。其中,业务中台以配置中心、签署服务中心、印章管理中心、文件管理中心、合规管理中心和运维管理中心为业务核心,通过标准化API方式对接前台各业务系统,为其提供电子签署服务;并建立数据中台,对数据进行汇集、标准化管理和数据统计分析与可视化服务。最后,本文针对铁路科技管理中线上评审签字典型场景设计应用方案,为科研管理全流程线上办公提供解决方案。
-
表 1 PKI体系基本算法
算法类型 实现原理 优点 缺点 主要应用 典型算法 对称加密 使用相同密钥进行加密和解密 加密速度快,算法公开 密码传递和保存风险高 防泄密 AES、DES、3DES、SM4等 非对称加密 使用公开密钥和私有密
钥进行加密与解密密钥不传输,数据安全性高 加解密效率比较低,
不易对大数据进行加解密防泄密、防抵赖 RSA、ECC、SM2等 摘要(Hash) 无密钥,算法与原文一致,
加密结果一致数据安全性高 加密算法不可逆 防篡改 SHA1、SHA256、SHA512、MD5、SM3等 
下载: 导出CSV
-
[1] 安 源,翟夏普,龙艺璇. 铁路行业科研管理智能服务平台构建与应用实践[J]. 铁路计算机应用,2022,31(10):52-56. [2] 刘 洋. 基于集中部署的铁路货运电子商务系统(95306)应用设计及关键技术研究[J]. 铁道运输与经济,2023,45(2):68-75. [3] 解亚龙,王万齐,牛宏睿. 铁路工程文档平台关键技术研究与应用[J]. 铁道科学与工程学报,2020,17(8):2142-2151. [4] 冯文芳,田文中,杨雯琪. 基于微服务与中台理念的财务共享管理平台设计[J]. 财会通讯,2022(6):167-171. [5] 陈云腾,陈 卓. 基于中台架构的国有交通投资集团数字化转型研究[J]. 科学决策,2023(1):78-103. [6] 易中文,胡东滨,曹文治. 面向企业信息化系统集成的中台架构研究[J]. 科技管理研究,2021,41(1):166-174. DOI: 10.3969/j.issn.1000-7695.2021.01.024 [7] 张 力. 基于PKI的网络安全技术在电子政务中的应用研究[D]. 西安:西安电子科技大学,2014. [8] 耿宏印. 基于PKI数字签名在电子政务中的研究[D]. 郑州:华北水利水电大学,2018.
计量
- 文章访问数: 29
- HTML全文浏览量: 4
- PDF下载量: 14
