《南京海关物流监控信息化管理系统》由会员分享,可在线阅读,更多相关《南京海关物流监控信息化管理系统(15页珍藏版)》请在金锄头文库上搜索。
1、1附件 3南京海关物流监控信息化管理系统报文交换方式技术要求一、应用方式介绍南京海关于外联网上设置报文接收 MQ 通道,企业将符合格式要求的报文,按南京海关 MQ 报文交换标准进行自动传输,同时提供相应接收 MQ 通道,海关负责将有关回执信息写入该通道,由企业自行读取处理。海运 用户 应用 系统 外联网 应用系 统管理 网应 用系 统新舱单 系统新舱单及 海运报文业务回执企业端海关外网端海关管 理网端海关运 行网端MS MQMS MQ 传输回执MS MQ监管 点用 户 应用 系统监管点报文业务回执MS MQ 传输回执MS MQ回执新舱单报文回执传输回执MS MQ传输回执MS MQ报文交换基本流
2、程图流程说明:1企业将报文(运抵报告、理货报告) ,加签,压缩、通过2IPSEC VPN 安全通道,发送至南京海关外联网上的服务器端程序指定的 MQ 队列中。 2南京海关从外联网的指定 MQ 队列取出企业报送的报文,经过解压缩,验证签名,存证后发往海关管理网,供海关关员业务处理。同时发送接收回执。3海关关员在物流系统进行审批处理或新舱单系统中进行舱单业务处理。4海关系统将生成的业务回执签名、压缩、通过 IPSEC VPN 安全通道,写入企业端回执信息接收队列中;5企业系统从企业队列中读取回执,解压、验签,进行进一步的业务处理。二、技术要求采用该方式的企业,需进行如下准备工作:(一)实现与海关的
3、 VPN 联网企业准备一条具有固定公网 IP 地址的互联网接入线路,配备VPN 接入设备。建议 VPN 设备型号和规格如下:Juniper Netscreen SSG5(南京海关端使用的是 Juniper 的产品,推荐使用该产品)其他可选设备:Cisco ASA 5505Fortinet Fortigate 30B按照采用 IPSec VPN 技术与南京海关联网的设备配置规范3(详见本文第三部分)的规范配置实施与海关网络的互联。南京海关技术处提供相关技术支持,联系方式为南京海关技术热线:025-84422112。(二)购置与本系统配套的 CA 认证卡(USB Key)该 Key 的购置方法与网
4、站程序录入方式相同,但企业需要基于该 Key 进行编程,实现报文发送接收的加验签。CA 公司提供报文签名、验签控件等相应编程接口,各企业可在开发中使用,相关的技术支持由 CA 公司承担。报文数字签名要求:与海关交换的报文和回执均须进行数字签名,可采用省 CA 公司或联通 CA 公司的 CA 体系,由用户自行选择。企业用户需基于 USBKey 对向海关申报的 XML 报文内容进行加签,并对海关回执报文验签。加签验签的标准以海关总署 2008 年 81 号公告中中国海关进出境水运、空运货物舱单报文格式制定说明有关报文数字签名的要求为准。经与两 CA 公司协商,两家公司均已开发出符合上述规范的报文加
5、签验签的标准接口,企业用户如开发程序需要,可与相关 CA 公司联系,有关 CA 公司提供相应开发接口程序及技术支持CA 公司技术开发接口联系人如下:联通 CA 公司联系人:吉庆祥, 电话 15651608803 邮箱 省 CA 公司联系人:刘洋,电话:025-83393073,手机:13851944980,邮箱:4(三)生成符合标准的报文企业按照南京海关报文规范,从自身业务系统中抽取形成标准报文。具体报文规范及格式要求见南京海关相关公告。(四)开发报文传输软件企业需开发报文传输系统,按照海关确定的标准接口,把海关规定申报的报文数字签名后发送给海关,同时接受海关回执报文。报文传输采用 MSMQ3
6、.0 软件,CA 体系支持江苏 CA 和联通 CA 两类。1.具体传输方式企业端需要建立 2 个 MQ 队列。其一为接收海关业务回执的队列,此队列为事务性队列。企业需要提供相关 MQ 地址信息(格式FORMATNAME:DIRECT=TCP:192.168.170.2private$client_sample_response,其中“192.168.170.2”应填海关在 VPN 网上分配给企业MQ 服务器的地址) 。其二为接收报文是否验签成功的传输回执接受队列,此队列为非事务性队列。企业需要提供相关 MQ 地址等信息(格式FORMATNAME:DIRECT=TCP:192.168.170.2
7、private$client_sample_receipt,其中“192.168.170.2”应填海关在 VPN 网上分配给企业 MQ服务器的地址) ,海关端程序将向两个队列中写入相应回执信息。企业端程序负责从相应队列中读取回执,如企业需要可以进行相关报文存证,企业要对队列进行实时监控,保持 MQ 报文传输服务器的稳定性和消息队列的畅通。针对海运部分系统及监管点部分系统,海关分别提供 2 个报文5接收队列,业务报文接收队列为 MSMQ 事务性队列,传输回执接受队列为非事物性队列。业务报文接收队列用于接收企业申报的业务报文数据,传输回执接收队列用于接收海关业务回执报文是否验签成功的信息。2.目前
8、海关接受队列地址。新舱单及海运部分报文海运业务报文接收队列(事务性队列)FORMATNAME:DIRECT=TCP:192.168.2.124private$east_sample_message_qy海运传输回执接受队列(非事务性队列)FORMATNAME:DIRECT=TCP:192.168.2.124private$east_sample_response监管点部分报文监管点业务报文接收队列(事务性队列)FORMATNAME:DIRECT=TCP:192.168.2.124private$east_eci_message_qy监管点传输回执接受队列(非事务性队列)FORMATNAME:D
9、IRECT=TCP:192.168.2.124private$east_eci_response3.企业报文传输分两个阶段:企业申报报文发送阶段及企业回执报文接受阶段。具体流程图如下6企业系统生成报文报文做ZIP 压缩压缩后数据转换成 字节数组 并作BASE64编码调用CA控件 对报文进行 数字签名写入报文对象 发送至海关业务报 文接收队列从本地海关传输回 执队列 接收海关传输回执企业申报报文发送流程企业申报报文发送阶段,主要步骤为 6 步:(1)企业应用系统生成符合海关规范的申报报文,(2)调用相应的 CA 控件队报文进行数字签名(3)将数字签名后的报文进行 ZIP 压缩(4)将压缩后的数据
10、内存流转换成字符数组,并作 base64 编码。(5)将 Base64 编码后的报文数据写入海关企业报文接受队列中。注意:写入规范为将申报报文的文件名赋值给消息的标签(Label)属性,报文内容赋值给消息的报文体(Body)属性。企业传输回执接受队列地址赋值给消息的回执报文队列7(ResponseQueue)属性。(6)从企业传输回执接受队列中收取海关传输回执消息。回执消息的标签(Label)属性为回执报文的文件名(即企业申报报文的文件名) ,回执消息的报文体(Body)属性为回执报文的内容。回执报文的内容为布尔值“TRUE”或“FALSE” , “TRUE”表示该企业申报报文海关验证通过,
11、“FALSE”表示该企业申报报文海关验证未通过。企业系统从本地海关 业务回执队列中收取 海关业务回执报文 (B64字符串)将验证信息 写入报文对象 发送至海关传输回执 接受队列将字节数组 做ZIP 解压缩转 换成原文企业应用系统使用回执 报文企业回执报文接受流程将回执信息 (B64字符串) 转化成字节数组调用CA控件验证数 字签名企业回执报文接收阶段,主要步骤也分为 6 步:8(1)企业应用系统将接收海关业务回执的队列中的回执报文读出。报文内容为回执消息报文体(Body)属性中的内容,报文名为回执消息的标签(Label)属性的内容。海关传输回执接受队列地址为回执消息的回执报文队列(Respon
12、seQueue)属性的内容。(2)将报文内容(BASE64 编码)转化为字节数组。(3)将字节数组解压缩转换成报文原文。(4)调用相应 CA 控件验证海关数字签名。(5)生成传输回执消息发送至海关传输回执接受队列。同样,传输回执消息的标签(Label)属性为报文的文件名(即海关回执报文的文件名) ,传输回执消息的报文体(Body)属性为回执报文的内容。回执报文的内容为布尔值“TRUE”或“FALSE” ,“TURE”表示该海关回执报文企业验证通过, “FALSE”表示该海关回执报文企业验证未通过。(6)企业应用系统使用海关回执报文。4.开发报文传输程序可参考本文第四部分“报文传输软件参考程序片
13、断” 。三、采用 IPSec VPN 技术与南京海关联网的设备配置规范(一)采用 IPSec VPN 技术与海关联网项目拓扑图以互联网为底层网络、符合 PKI 安全协议族规范的、站点到站点的 VPN 技术,一般使用 IPSec VPN 技术。9IPSec VPN Tunnel.1IPSec VPN Tunnel.nIPSec VPN Tunnel.2联网企业 IPSec VPN网关南京海关 IPSec VPN网关联网企业 IPSec VPN网关联网企业 IPSec VPN网关.Internet(二)联网单位 IPSec VPN 网关的选型联网单位选用的 IPSec VPN 网关建议采用具备 I
14、PSec VPN 功能的硬件防火墙,可以选用的设备包括 Juniper Netscreen SSG系列(最低端的产品为 SSG 5) 、思科 ASA 系列(最低端的产品为 ASA 5505) 、Fortinet、SonicWall 等厂商的产品。(三)联网单位提供信息联网单位提供以下信息:申请联网单位全称;申请线路的公网 ip 地址、子网掩码;申请线路的电信网关;企业申请线路的性质(Lan 或者 ADSL) 。(四)南京海关提供信息根据联网单位提供的网络信息,由海关向联网单位提供以下信息:该联网企业端设备的内部 ip 地址网段、子网掩码、网关;南京海关 IPSec VPN 采用 AutoIKE
15、,提供建立 VPN 通道所需要的信息,包括 PresharedKey、Phase 1 Proposal 算法、Phase 2 10Proposal 算法、南京海关端公网 ip 地址。(五)联网单位设备配置规范南京海关使用的 IPSec VPN 设备是 Juniper Netscreen 系列产品,本配置规范以 Juniper Netscreen 5GT 为例,Netscreen系列其他型号或者采用其他品牌的可参照该配置指导方案进行配置。1.设备的工作模式netscreen 设备不允许上英特网,模式配置成为 dual-untrust模式。与海关联网的网段设置在 trust 区域。2.地址列表定义
16、各个客户端设备 trust 区域地址列表名称为:local。Untrust 区域地址列表名称为:customs,地址为192.168.0.0/16。端口信息配置 trust 地址填写分配的网段第一个可用地址做为端口地址,同时 Web UI、Telnet、Ping 都选中;untrust 口信息填写公网 ip 地址的第一个可用的 ip 地址,如某企业公网 ip 为 58.213.134.112/27,电信网关 ip 为58.213.134.113,公网地址就使用网关之后的第一个地址,即58.213.134.114。3.VPN 配置新建一条 tunnel,zone untrust,unnumbered 选中,interface 选择连接外网的端口号。建立的第一阶段:11Gateway Name:名称统一为 vpn_to_customs_p1,Remote Gateway Type 选择 Static IP Address,IP Address/Host :填写南京
