基于原笔迹签批的移动安全综合政务协同云平台研究与实现*

李承林，骆 亮

（广西经济信息中心，广西 南宁 530022）

0 引 言

随着“十三五”国家信息化规划实施扎实推进，各级党委、政府陆续出台一系列政策文件，加快推进电子政务建设与应用进程。党政机关推行网上办文和移动办公是必然趋势和方向，是提高文件办结率、提升行政效能的重要抓手。据不完全统计，在“十二五”期间，党政机关许多单位投入大量经费和人力建设办公自动化系统，推行网上办公。但是，实际应用过程中，文件流转的最后一个领导签批环节，大多数是沿用传统纸质公文手工签批方式，应用效果不理想，或者达不到预期效果。究其原因，主要是受签批习惯和安全因素的制约[1]。为此，本文提出一种基于贝塞尔曲线插值法实现原笔迹签批的技术，为移动政务协同平台安全运行和数据安全提供保障。

1 平台设计

1.1 总体架构设计

政务协同平台采用“平台+应用”架构进行设计，包括基础设施层、数据支撑层、应用支撑层、办公应用层、工作门户层、标准规范体系和信息安全保密体系，如图1所示。

图1 平台总体架构

1.2 基础设施层

利用VPDN移动专网技术、虚拟化技术、单向光闸技术构建基础设施层，包括系统层和网络层，是支撑信息系统运行的基础。

协同云平台采用服务器高可用集群和负载均衡的部署模式，提升系统的吞吐量和服务响应能力，保障系统持续对外提供服务。平台部署网络图，如 图2所示。

图2 平台部署网络

1.3 数据支撑层

为上层提供数据支撑，以信息整合共享标准和办公业务信息为基础，收集和整理各类信息数据，建立业务数据库，利用单向光闸技术建立内外网间数据安全交换信道和交换数据库和临时存储区，实现信息资源和数据库安全交换与共享。

1.4 应用支撑层

采用面向SaaS（Software as a Service）应用的多租户技术框架，构建办公应用SaaS模式云服务。应用支撑平台主要由用户管理、授权管理、安全管理、数据交换及业务管理共同构成。提供满足WFMC规范的标准工作流引擎和工作表单定制的功能，同时可以在工作流引擎的支持下开发、挂接其他业务应用；提供完善的文档资料管理功能，解决各种文档、表单、资料形成处理完毕后的立卷归档，同时提供强大的检索与查找功能；提供一批由简到繁、不同版本的系统功能插件，根据用户工作的实际需要选择使用。

1.5 办公应用层

办公应用层依托应用支撑平台，构建PC端应用和移动端应用。PC端系统主要功能包括工作门户、公文处理、公文查询、公文限时办结跟踪、公文办理统计、公文限时办结、督查督办、公文传输交换、政务安排、信息发布、知识管理、个人事务等应用功能，满足用户日常办文、办会、办事等业务协同需要；移动端实现移动工作门户，包括公文办理、领导政务安排、限办公文跟踪、领导辅助决策、通知公告、人事任免、公文查询等功能。

1.6 工作门户层

在办公应用层之上，工作门户层根据用户办公需要对应用功能和信息资源进行个性化配置。

1.7 系统安全设计

平台采用基于贝塞尔曲线插值法和加密的安全原笔迹手写签批技术、单向光传输的数据安全隔离交换技术、移动端文件自动销毁技术、VPDN认证、AAA认证、SSLVPN加密传输、移动终端机卡账号三重校验技术等多种安全技术进行系统安全设计，保障数据安全保密。

2 关键技术应用

2.1 贝塞尔曲线插值法和加密算法

贝塞尔曲线（Bézier Curve）是应用于二维图形应用程序的数学曲线，是计算机图形学中相当重要的参数曲线[2]。利用贝塞尔曲线插值法原理，对手写签批文字选取若干（X，Y）坐标值存储到矩阵数据库，同时对矩阵数据进行加密存储，防止篡改，实现安全原笔迹签批。当签批人在移动终端或PC端对公文表单和正文进行手写签批时，安全原笔迹签批组件模拟真实书写轨迹，利用贝塞尔曲线插值法和加密算法对签批内容进行数字摘要和加密传输保存，防止恶意篡改，保障签批内容真实性，实现安全原笔迹签批[3-4]。

2.2 SaaS多租户技术框架

多租户技术（Multi-tenancy Technology）是一种软件架构技术，实现不同租户间应用程序环境的隔离（Application Context Isolation）和数据的隔离（Data Isolation)，保障不同租户间应用程序不会相互干扰，同时保障数据的保密性。利用该技术架构实现不同用户系统快速部署，降低开发成本[5]。

本文政务协同云平台采用SaaS（Software as a Service）多租户技术框架设计（如图3所示），实现政务信息资源和协同应用服务集约化。通过后台配置，无需编码，快速部署，为不同用户提供综合政务协同标准应用，从应用程序、数据进行安全隔离保护。

图3 多租户技术框架设计

2.3 Hybrid混合移动应用开发集成框架

采用Hybrid混合移动应用集成开发框架（如图4所示）。Hybrid结合了原生态APP与HTML5技术，兼具原生态APP良好的用户交互体验优势和Web APP的跨平台开发优势，并提供丰富的移动建模组件和接口集成服务，实现了与综合政务协同平台无缝衔接、相关业务系统以及第三方移动应用的集成以及快速构建适应Android、IOS等多种移动终端智能安全可控的移动办公应用平台。与传统的原生态APP比较，Hybrid混合移动应用开发集成框架可以大幅度提高移动应用开发效率，降低开发成本，提升移动平台的灵活性和扩展性，满足移动政务办公需求[6]。

图4 Hybrid移动应用集成开发框架

如图4所示，通过可视化工具进行界面设计，右边的组件可以通过拖拽的方式放入设计区。工具支持所见即所得的编辑方式。此外，设计过程中可以通过模拟器即时预览终端的展示效果。

2.4 基于单向光传输的数据安全隔离交换技术

单向光传输数据安全隔离交换技术是基于光传输的物理特性，即单向性和可复制性，以满足不同网络之间数据单向传输的技术。平台由内网单元、外网单元和分光单向传输单元3部分组成。其中，内网单元与内部网络相连，外网单元与外部网络相连。分光单向传输单元是内、外网单元之间唯一且安全的数据传输通道，在保证内、外网单向隔离前提下，实现数据的单向传输，保障信息的安全[7]。

应用该技术实现内网和VPDN移动专网数据单向安全传输，即在VPDN移动专网和内网之间部署2台单向光闸。当用户访问VPDN移动专网上的移动办公应用时，内网协同平台将办公数据按照特定格式进行编码，通过连接内网的单向光闸将数据加密传输到移动终端。用户处理完毕后，移动办公平台将处理结果以同样的方式编码，通过连接VPDN专网的单向光闸将数据加密传回到协同平台保存。

2.5 移动端文本在线留痕编辑技术

移动端公文处理采用与PC端一致的仿真格式处理表单、正文和附件，可编辑公文的正文和附件并留痕，支持原笔迹手写修改和键盘输入编辑。公文编辑完成并保存到服务器端后，平台自动清除移动端编辑产生的临时存储数据，确保移动端不保留业务数据，从而保障信息的安全[8]。

3 结 语

本文依据贝塞尔曲线插值法和加密算法技术原理实现原笔迹签批，采用Hybrid混合开发技术搭建移动门户，应用面向SaaS应用的多租户技术框架、基于单向光传输的数据安全隔离交换技术、安全原笔迹手写签批技术、移动端文本在线留痕编辑技术等关键技术，构建基于原笔迹签批的移动安全综合政务协同云平台，并在某党政机关中开展应用示范，实现了“办文、办会、办事”全覆盖和全流程网上流转办理，实现了原笔迹签批和移动办公，显著提高了公文办结率，提升了行政效能。

参考文献：

[1] 喇全战.OA系统在中石油的应用现状浅析[J].化工管理,2015(30):138.LA Quan-zhan.Application Status of OA System in CNPC[J].Chemical Enterprise Management,2015(30):138.

[2] 杨薇,李怡宏.基于VC实现的贝塞尔曲线初探[J].科技经济导刊,2015(08):26,210.YANG Wei,LI Yi-hong.Research on Bezier Curve Based on VC[J].Technology and Economic Guide,2015(08):26,210.

[3] 成媛媛.屏幕原笔迹文档格式与交换体系研究[D].天津:南开大学,2015:28.CHENG Yuan-yuan.Research on Original Handwriting Document Format and Exchange System for the Touch Screen[D].Tianjin:Nankai University,2015:28.

[4] 陈绍涵,李灵华.数字墨水显示技术研究[J].现代计算机:普及版,2013(01):29-32.CHEN Shao-han,LI Ling-hua.Research on the Display Technology of Digital Ink[J].Modern Computer,2013(01):29-32.

[5] 邢俊鑫.基于多租户技术的中小企业SaaS服务平台设计与实现[D].镇江:江苏大学,2013:8.XING Jun-xin.Development of SMEs SaaS Platform Based on Multi-tenancy Technologies[D].Zhenjiang:Jiangsu University,2013:8.

[6] 王荣海.基于Hybrid App技术的企业移动应用系统构建研究[J].软件工程,2016(07):46-49.WANG Rong-hai.Research on the Construction of Enterprise Mobile Application System Based on Hybrid App Technology[J].Software Engineering,2016(07):46-49.

[7] 马会新.基于物理隔离的单向文件传输系统的设计与实现[D].武汉:华中科技大学,2015:18-20.MA Hui-xin.Design and Implementation of One-Way File Transfer System Based on Physical Isolation[D].Wuhan:Huazhong University,2015:18-20.

[8] 陈岭,陈根才,陈挺浙.基于Web的实时协同编辑系统[J].通信学报,2002(02):122-127.CHEN Ling,CHEN Gen-cai,CHEN Ting-zhe.Webbased Real-time Cooperative Edit System[J].Journal of China Institute of Communications,2002(02):122-127.