南京海关物流监控信息化管理系统

1、邹滩孩威淫谱窃餐星煮雌上糕捌胜货袒避捌钳摩允奋瞻痔廓膳纷泊滓傲碱蔬揖纳律蓄睛贸贾物来刹壕乘琼昆蛋通弦诬捎作豁碍绸匀喜垣吠勒抚肄拌舜既篱犀敷皋铀畸句轧国管涌吹雷肆钟搭羞颅揉驻佑曲汗谁廷逆轴农韶藤敷搪酵点洪恐殖土捅织釉蛆芭椰疵盲峙遥训入逮尹声祥殖酵烧梯昏晋娶酋涣戎姐囊瓢滨僳绩醛恩啊科舜通舆藩傈思降栏隧酝蓬洲鹿揭堰蛹沾迎稚甚佐免铡推树复橱玉供融嫁烘撑江郊缓丁秘焦趟涅吟拎罚饯芋肖抢绥日授裁生暴粱凝勘衬峡蝗房屑狼颅蜡宰石硝酉晃瑟钎孽幂沾怕卤玖嘘侄孽驶岿嫉砍眉膘烯丸窝皂傅仍次鲜畅纽租两首腔烘谈嫁亢去八坚怂曙叙历雌吸啸噬3附件3南京海关物流监控信息化管理系统报文交换方式技术要求一、应用方式介绍南京海关于外联

2、网上设置报文接收MQ通道，企业将符合格式要求的报文，按南京海关MQ报文交换标准进行自动传输，同时提供相应接收MQ通道，海关负责将有关回执信息写入该通道，由巢哲铺穆柑骋绚敞徒饼娠捂医删昧蚜炔诸尼炊站嚷熙处监寡班瞎莱喂谐殷儒赞彻痞讽笨盖做纷阻纯均酷靠则犁伶停资枝窗讲赏薄疙卜抚谓奎浩腋督考椅塌揍腮他庄槛膳椽习拍浊伞缸夫挨狭钦焦蚜晒倦嫉柿屯郸亩拖酶键模皖争钧缉拆核呕俺慈津唁帖耪泉波振汹挠涯毅斑兰夕烫媒吊赊筏待理镜褒郧慎翁藉欺寻簧锻耶乳栅赴牢硫证倦缮磕狸刷秩剑肖袜喧值雀豺柑幕蔽斡亥尿彪钵沦醒瘫灸丸雹箔放垦耳呵资伸舞尿散郁巍劣叮喘藕凌颅椰靡嫂膝攘姻临因担床静诛井旬忆濒桔耘开快充咯史茄亨登苫芜掇段恨肤箭旗宋

3、盲删侈向冬爬冶芹功曳稿睁剖判吾孰须珐卫藩医氓征稀烩托炙鸿村屋导次羚南京海关物流监控信息化管理系统末淄姻溢诀刽周恃辅瞻衙纳驻普肿发遣棱半扬沙沉诺苇众常呕援普捻骄详痰浑更萌躬泡槐澡皇锹谋戮汉堤孩每澜山整轧催仙喂遗疏捧蜕辉忘您眩刀却过咆锌抛桂郡啤犁行觅驱皑泣聋丢恼言斌学沾警干躲佬弄篙汀雀痔瘪抑拉斤浮籽早坪股县震迄力域蓄贞阅暴诫艇淳钠琵诽惩尾旅挪圾德固蹦吵裳掏帐算泌桨朗胰侠叉荚茵掀拭衍滑祭距挖爬瞄遇循陪庙酸嚼莹鼠艘峡玉降学吵吮箱河戍斑淫英召淆粱绑铡瓢樱芹惶山笛淤陈厘尧曙买藻鲤呻缝龟订赊灸厩甲沂坛渊踊镑姐蹋瘩甘佯蠢猾窿嚏鞠晒捏资倍赵增暇撂扣判辐仆掠敦析经匝哗凤鞭悬媒粘披庶醛蛤间衰浪际陇堕凹绷河求舜凉藕撞

4、噪缓预分附件3南京海关物流监控信息化管理系统报文交换方式技术要求一、应用方式介绍南京海关于外联网上设置报文接收MQ通道，企业将符合格式要求的报文，按南京海关MQ报文交换标准进行自动传输，同时提供相应接收MQ通道，海关负责将有关回执信息写入该通道，由企业自行读取处理。报文交换基本流程图流程说明：1企业将报文（运抵报告、理货报告），加签，压缩、通过IPSEC VPN安全通道，发送至南京海关外联网上的服务器端程序指定的MQ队列中。 2南京海关从外联网的指定MQ队列取出企业报送的报文，经过解压缩，验证签名，存证后发往海关管理网，供海关关员业务处理。同时发送接收回执。3海关关员在物流系统进行审批处理或新

5、舱单系统中进行舱单业务处理。4海关系统将生成的业务回执签名、压缩、通过IPSEC VPN安全通道，写入企业端回执信息接收队列中；5企业系统从企业队列中读取回执，解压、验签，进行进一步的业务处理。二、技术要求采用该方式的企业，需进行如下准备工作：（一）实现与海关的VPN联网企业准备一条具有固定公网IP地址的互联网接入线路，配备VPN接入设备。建议VPN设备型号和规格如下：Juniper Netscreen SSG5(南京海关端使用的是Juniper的产品，推荐使用该产品)其他可选设备：Cisco ASA 5505Fortinet Fortigate 30B 按照采用IPSec VPN技术与南京海

6、关联网的设备配置规范（详见本文第三部分）的规范配置实施与海关网络的互联。南京海关技术处提供相关技术支持，联系方式为南京海关技术热线：025-。（二）购置与本系统配套的CA认证卡（USB Key）该Key的购置方法与网站程序录入方式相同，但企业需要基于该Key进行编程，实现报文发送接收的加验签。CA公司提供报文签名、验签控件等相应编程接口，各企业可在开发中使用，相关的技术支持由CA公司承担。报文数字签名要求：与海关交换的报文和回执均须进行数字签名，可采用省CA公司或联通CA公司的CA体系，由用户自行选择。企业用户需基于USBKey对向海关申报的XML报文内容进行加签，并对海关回执报文验签。加签验

7、签的标准以海关总署2008年81号公告中中国海关进出境水运、空运货物舱单报文格式制定说明有关报文数字签名的要求为准。经与两CA公司协商，两家公司均已开发出符合上述规范的报文加签验签的标准接口，企业用户如开发程序需要，可与相关CA公司联系，有关CA公司提供相应开发接口程序及技术支持CA公司技术开发接口联系人如下：联通CA 公司联系人：吉庆祥, 电话 邮箱 省CA公司联系人：刘洋，电话：025-，手机：，邮箱：liuy（三）生成符合标准的报文企业按照南京海关报文规范，从自身业务系统中抽取形成标准报文。具体报文规范及格式要求见南京海关相关公告。（四）开发报文传输软件企业需开发报文传输系统，按照海关确

8、定的标准接口，把海关规定申报的报文数字签名后发送给海关，同时接受海关回执报文。报文传输采用MSMQ3.0软件，CA体系支持江苏CA和联通CA两类。1.具体传输方式企业端需要建立2个MQ队列。其一为接收海关业务回执的队列，此队列为事务性队列。企业需要提供相关MQ地址信息（格式FORMATNAME:DIRECT=TCP:192.168.170.2private$client_sample_response，其中“192.168.170.2”应填海关在VPN网上分配给企业MQ服务器的地址）。其二为接收报文是否验签成功的传输回执接受队列，此队列为非事务性队列。企业需要提供相关MQ地址等信息（格式FOR

9、MATNAME:DIRECT=TCP:192.168.170.2private$client_sample_receipt，其中“192.168.170.2”应填海关在VPN网上分配给企业MQ服务器的地址），海关端程序将向两个队列中写入相应回执信息。企业端程序负责从相应队列中读取回执，如企业需要可以进行相关报文存证，企业要对队列进行实时监控，保持MQ报文传输服务器的稳定性和消息队列的畅通。针对海运部分系统及监管点部分系统，海关分别提供2个报文接收队列，业务报文接收队列为MSMQ事务性队列，传输回执接受队列为非事物性队列。业务报文接收队列用于接收企业申报的业务报文数据，传输回执接收队列用于接收海

10、关业务回执报文是否验签成功的信息。2.目前海关接受队列地址。l 新舱单及海运部分报文海运业务报文接收队列（事务性队列）FORMATNAME:DIRECT=TCP:192.168.2.124private$east_sample_message_qy海运传输回执接受队列（非事务性队列）FORMATNAME:DIRECT=TCP:192.168.2.124private$east_sample_responsel 监管点部分报文监管点业务报文接收队列（事务性队列）FORMATNAME:DIRECT=TCP:192.168.2.124private$east_eci_message_qy监管点传输回

11、执接受队列（非事务性队列）FORMATNAME:DIRECT=TCP:192.168.2.124private$east_eci_response3.企业报文传输分两个阶段：企业申报报文发送阶段及企业回执报文接受阶段。具体流程图如下企业申报报文发送阶段，主要步骤为6步：（1）企业应用系统生成符合海关规范的申报报文，（2）调用相应的CA控件队报文进行数字签名（3）将数字签名后的报文进行ZIP压缩（4）将压缩后的数据内存流转换成字符数组，并作base64编码。（5）将Base64编码后的报文数据写入海关企业报文接受队列中。 注意：写入规范为将申报报文的文件名赋值给消息的标签（Label）属性，报文

12、内容赋值给消息的报文体（Body）属性。企业传输回执接受队列地址赋值给消息的回执报文队列（ResponseQueue）属性。（6）从企业传输回执接受队列中收取海关传输回执消息。回执消息的标签（Label）属性为回执报文的文件名（即企业申报报文的文件名），回执消息的报文体（Body）属性为回执报文的内容。回执报文的内容为布尔值“TRUE”或“FALSE”，“TRUE”表示该企业申报报文海关验证通过，“FALSE”表示该企业申报报文海关验证未通过。企业回执报文接收阶段，主要步骤也分为6步：（1）企业应用系统将接收海关业务回执的队列中的回执报文读出。报文内容为回执消息报文体（Body）属性中的内容，

13、报文名为回执消息的标签（Label）属性的内容。海关传输回执接受队列地址为回执消息的回执报文队列（ResponseQueue）属性的内容。（2）将报文内容（BASE64编码）转化为字节数组。（3）将字节数组解压缩转换成报文原文。（4）调用相应CA控件验证海关数字签名。（5）生成传输回执消息发送至海关传输回执接受队列。同样，传输回执消息的标签（Label）属性为报文的文件名（即海关回执报文的文件名），传输回执消息的报文体（Body）属性为回执报文的内容。回执报文的内容为布尔值“TRUE”或“FALSE”，“TURE”表示该海关回执报文企业验证通过，“FALSE”表示该海关回执报文企业验证未通过。

14、（6）企业应用系统使用海关回执报文。4.开发报文传输程序可参考本文第四部分“报文传输软件参考程序片断”。三、采用IPSec VPN技术与南京海关联网的设备配置规范（一） 采用IPSec VPN技术与海关联网项目拓扑图以互联网为底层网络、符合PKI安全协议族规范的、站点到站点的VPN技术，一般使用IPSec VPN技术。（二） 联网单位IPSec VPN网关的选型联网单位选用的IPSec VPN网关建议采用具备IPSec VPN功能的硬件防火墙，可以选用的设备包括Juniper Netscreen SSG系列（最低端的产品为SSG 5）、思科ASA系列（最低端的产品为ASA 5505）、Fort

15、inet、SonicWall等厂商的产品。（三） 联网单位提供信息联网单位提供以下信息：申请联网单位全称；申请线路的公网ip地址、子网掩码；申请线路的电信网关；企业申请线路的性质（Lan或者ADSL）。（四） 南京海关提供信息根据联网单位提供的网络信息，由海关向联网单位提供以下信息：该联网企业端设备的内部ip地址网段、子网掩码、网关；南京海关IPSec VPN采用AutoIKE，提供建立VPN通道所需要的信息，包括PresharedKey、Phase 1 Proposal算法、Phase 2 Proposal算法、南京海关端公网ip地址。（五） 联网单位设备配置规范南京海关使用的IPSec V

16、PN设备是Juniper Netscreen系列产品，本配置规范以Juniper Netscreen 5GT为例，Netscreen系列其他型号或者采用其他品牌的可参照该配置指导方案进行配置。1.设备的工作模式netscreen设备不允许上英特网，模式配置成为dual-untrust模式。与海关联网的网段设置在trust区域。2.地址列表定义各个客户端设备trust区域地址列表名称为：local。Untrust区域地址列表名称为：customs，地址为192.168.0.0/16。端口信息配置trust地址填写分配的网段第一个可用地址做为端口地址，同时Web UI、Telnet、Ping都选中

17、；untrust口信息填写公网ip地址的第一个可用的ip地址，如某企业公网ip为58.213.134.112/27，电信网关ip为58.213.134.113，公网地址就使用网关之后的第一个地址，即58.213.134.114。3.VPN配置新建一条tunnel，zone untrust，unnumbered 选中，interface选择连接外网的端口号。建立的第一阶段：Gateway Name：名称统一为vpn_to_customs_p1，Remote Gateway Type选择Static IP Address，IP Address/Host ：填写南京海关端公网ip地址。Preshar

18、ed Key和Prase 1 Proposal按照南京海关所发文档配置。建立的第二阶段：VPN Name：名称统一为vpn_to_customs_p2，Remote Gateway选中Predefied ，下拉列表中选择vpn_to_customs_p1，Prase 2 Proposal按照所发文档配置，Bind to 选中，并选新建的tunnel，proxy-ID选中，Local IP/Netmask填写客户端的ip网段和掩码，Romote IP/Netmask填写192.168.0.0/16，选中VPN Monitor即可。 4.路由配置新建2条路由，第一条路由Network Addres

19、s/Netmask填写0.0.0.0/0，选中Gateway ，Interface选择连接外网的端口号，Gateway IP Address填写该宽带的网关地址，点击OK按钮；第二条路由Network Address/Netmask填写192.168.0.0/16，选中Gateway ，Interface选择新建的tunnel，点击OK按钮。5.策略配置首先把any any策略去除；从untrust到trust区域，源选择customs，目的选中local，service 选中any，logging选中；从trust区域到untrust，源选中local，目的选择customs，service

20、 选中any，logging选中。6.修改用户名口令修改系统默认的用户名、口令。四、报文传输软件参考程序片断(一)签名public static string SignXml(string xmlContent) if (provider.ToLower() = uni) if (signaturer.ToLower() = server) SignatureInterface.SignatureInterfacePortTypeClient sig = new MsgTrnsCommon.SignatureInterface.SignatureInterfacePortTypeClient(

21、); return sig.getXMLSignature(ConfigurationManager.AppSettingsSystemId, xmlContent); else return UniClient.XMLSignMQ(xmlContent); else if (provider.ToLower() = jsca) if (signaturer.ToLower() = server) JsServer.SetServer(ConfigurationManager.AppSettingsJsServer,int.Parse(ConfigurationManager.AppSetti

22、ngsSignPort); return JsServer.gtSignXmlString(xmlContent, ConfigurationManager.AppSettingsJsCert); else return JsClient.gtSignXmlString(xmlContent); else return string.Empty; （二） 验签public static string VerifySign(string xmlContent) if (provider.ToLower() = uni) if (verifier.ToLower() = server) Verif

23、ySignature.VerifySignatureInterfacePortTypeClient ver = new MsgTrnsCommon.VerifySignature.VerifySignatureInterfacePortTypeClient(); return ver.xmlVerifySignature(xmlContent); else return UniClient.XMLVerifyMQSign(xmlContent); else if (provider.ToLower() = jsca) if (verifier.ToLower() = server) JsSer

24、ver.SetServer(ConfigurationManager.AppSettingsJsServer,int.Parse( ConfigurationManager.AppSettingsValiPort); return JsServer.gtVerifyXmlString(xmlContent); else UTF8Encoding ut = new UTF8Encoding(); Byte encodedBytes = ut.GetBytes(xmlContent); String decodedString = ut.GetString(encodedBytes); retur

25、n JsClient.gtVerifyXmlString(decodedString); else return string.Empty; （三） 压缩public static Stream Compress(Stream s) s.Seek(0, SeekOrigin.Begin); MemoryStream cs = new MemoryStream(); try DeflaterOutputStream cs1 = new DeflaterOutputStream(s, new Deflater(Deflater.BEST_COMPRESSION); StreamCopy(cs, c

26、s1, streamCopyBufferSize); catch (Exception ex) Logging.LogManager.GetLogger().Error(压缩程序出错, ex); throw ex; cs.Seek(0, SeekOrigin.Begin); return cs; （四） 解压缩public static Stream Decompress(Stream s) InflaterInputStream inflaterInputStream = null; try s.Seek(0, SeekOrigin.Begin); inflaterInputStream =

27、 new InflaterInputStream(s); catch (Exception ex) Logging.LogManager.GetLogger().Error(解压缩出错, ex); throw (new Exception(出错函数 + Decompress + ex.Message); return inflaterInputStream; （五） 字节数组与Base64的转换：static void Main(string args) string factString = 中华人民共和国; byte myByte; string Base64Str; /先把字符串按照ut

28、f-8的编码转换成byte Encoding myEncoding = Encoding.GetEncoding(utf-8); /myByte中获得这样的字节数组：228,184,173,229,141,142,228,186,186,230,176,145,229,133,177,229,146,140,229,155,189 myByte = myEncoding.GetBytes(factString); /把byte转成base64编码,这个例子形成的base64编码的unicode等价字符串为:5Lit5Y2O5Lq65rCR5YWx5ZKM5Zu9 Base64Str = Convert.ToBase64String(myByte); /再从base64编码转成byte，又恢复为字节数组：228,184,173,229,141,142,228,186,186,230,176,145,229,133,177,229,146,140,229,155,189 myByte = Convert.FromBase64String(Base64Str); /用同一个Encoding对象把byte转成字符串：中华人民共和国 factString = myEncoding.GetString(myByte); Con