一、项目背景与目标
1.1 合作背景
微爱帮监狱寄信写信小程序与焦作市邮政管理局、焦作邮政支局建立战略合作,实现"线上电子化-线下实体化"的监狱信件流转闭环,确保信件安全、合规、可追溯。
1.2 技术目标
三方系统对接目标:
┌─────────────────┬─────────────────────────────┐
│ 对接方 │ 技术目标 │
├─────────────────┼─────────────────────────────┤
│ 微爱帮平台 │ 生成标准加密信件文件 │
│ 焦作邮政管理局 │ 监管审核与数据备案 │
│ 焦作邮政支局 │ 物理打印与物流录入 │
│ 中国邮政系统 │ 物流轨迹追踪与信息同步 │
└─────────────────┴─────────────────────────────┘二、整体技术架构
2.1 系统对接架构
┌─────────────────────────────────────────┐
│ 微爱帮平台(云端) │
│ 信件生成 → 加密打包 → 数字签名 │
└───────────────┬─────────────────────────┘
│ HTTPS双向认证 + 国密加密
▼
┌─────────────────────────────────────────┐
│ 焦作市邮政管理局安全网关 │
│ 等保3.0合规区 → 监管审核 → 数据备案 │
└───────────────┬─────────────────────────┘
│ 政务专线 + 数字证书
▼
┌─────────────────────────────────────────┐
│ 焦作邮政支局内网系统 │
│ 文件解密 → 安全打印 → 物流录入 │
└───────────────┬─────────────────────────┘
│ 邮政内网专线
▼
┌─────────────────────────────────────────┐
│ 中国邮政物流系统 │
│ 运单生成 → 轨迹跟踪 → 状态回传 │
└─────────────────────────────────────────┘2.2 数据流转流程
三、安全技术标准
3.1 等保3.0合规要求
安全等级: 第三级
合规领域:
物理安全:
- 邮政支局专用安全打印室
- 视频监控与门禁系统
- 防电磁泄漏设备
网络安全:
- 政务外网与互联网物理隔离
- 边界防火墙策略
- VPN加密隧道
主机安全:
- 国产化操作系统(麒麟/统信)
- 安全基线配置
- 防病毒软件
应用安全:
- 双向数字证书认证
- 国密算法加密
- 完整操作审计
数据安全:
- 信件内容加密存储
- 数据传输加密
- 防篡改签名机制3.2 HTTPS配置规范
# 焦作邮政管理局服务器HTTPS配置
server {
listen 443 ssl http2;
server_name jz.post.weiaibang.com;
# EV SSL证书
ssl_certificate /etc/ssl/jiaozuo_post/ev_cert.pem;
ssl_certificate_key /etc/ssl/jiaozuo_post/private.key;
# 强制使用TLS 1.2+
ssl_protocols TLSv1.2 TLSv1.3;
# 国密算法优先
ssl_ciphers 'ECDHE-SM4-SM3:ECDHE-SM4-GCM-SM3:ECDHE-RSA-AES256-GCM-SHA384';
# 双向证书验证
ssl_verify_client on;
ssl_client_certificate /etc/ssl/jiaozuo_post/ca.crt;
# HSTS头
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# 微爱帮API接口
location /api/v1/letters {
# 验证微爱帮客户端证书
if ($ssl_client_verify != SUCCESS) {
return 403;
}
# 请求限制
limit_req zone=post_api burst=10 nodelay;
# 代理到内部处理服务
proxy_pass http://127.0.0.1:8080;
proxy_set_header X-Client-Cert $ssl_client_cert;
}
}四、信件数据标准
4.1 加密信件包结构
# 信件包数据结构
class EncryptedLetterPackage:
"""加密信件包(符合邮政标准)"""
def __init__(self):
# 信封信息(明文字段)
self.envelope = {
"version": "1.0",
"package_id": self.generate_package_id(),
"create_time": datetime.now().isoformat(),
"post_office_code": "410800", # 焦作邮政代码
"dest_post_office": "410802", # 目标支局代码
"priority": "normal", # 优先级
"security_level": "confidential" # 密级
}
# 信件内容(加密字段)
self.encrypted_content = {
"letter_id": "", # 信件ID
"inmate_info": {}, # 服刑人员信息
"family_info": {}, # 家属信息
"letter_content": "", # 信件正文
"attachments": [], # 附件列表
"audit_log": [] # 审核记录
}
# 安全控制字段
self.security = {
"encryption_algorithm": "SM4-GCM",
"key_id": "", # 加密密钥ID
"digital_signature": "", # 数字签名
"hash_value": "", # 内容哈希
"timestamp": int(time.time())
}
def to_postal_format(self):
"""转换为邮政标准格式"""
return {
"header": {
"format_version": "JZPOST-1.0",
"data_type": "PRISON_LETTER",
"encoding": "UTF-8"
},
"transport_info": self.envelope,
"encrypted_data": {
"ciphertext": self.encrypt_content(),
"iv": self.generate_iv(),
"tag": self.generate_auth_tag()
},
"verification": {
"signature": self.generate_signature(),
"certificate_chain": self.get_certificate_chain(),
"timestamp": self.security["timestamp"]
},
"barcode_info": self.generate_barcode()
}
def generate_barcode(self):
"""生成邮政标准条形码"""
# 格式: JZP[年份][月日][序列号][校验位]
barcode_data = {
"type": "128B",
"content": f"JZP{datetime.now().strftime('%y%m%d')}{self.envelope['package_id'][-6:]}",
"check_digit": self.calculate_check_digit()
}
return barcode_data4.2 物流信息对接标准
{
"logistics_info": {
"waybill_number": "YT1234567890123",
"post_office_code": "410802",
"operator_id": "JZYZ001",
"operation_time": "2025-01-15T14:30:00+08:00",
"sender_info": {
"name": "焦作邮政支局监狱通信专窗",
"address": "河南省焦作市解放区邮政支局",
"phone": "0391-2912345",
"postcode": "454000"
},
"receiver_info": {
"prison_name": "焦作焦南监狱",
"department": "狱政科通信办",
"address": "河南省焦作市监狱路1号",
"contact": "王警官",
"postcode": "454150"
},
"parcel_info": {
"weight": 0.02,
"size": "A4",
"package_type": "信件",
"declared_value": 0,
"special_handling": "监所邮件"
},
"tracking_events": [
{
"event_code": "ACCEPTED",
"event_time": "2025-01-15T14:35:00+08:00",
"location": "焦作邮政支局",
"operator": "张处理员",
"remark": "收寄成功"
}
]
}
}五、系统对接实现
5.1 微爱帮平台输出模块
# 微爱帮邮政对接模块
class PostalExportService:
"""邮政信件导出服务"""
def __init__(self):
self.sm4_cipher = SM4Cipher()
self.cert_manager = CertificateManager()
self.postal_api = PostalAPIClient()
def export_to_postal(self, letter_data: dict) -> dict:
"""导出信件到邮政系统"""
try:
# 1. 数据验证与清洗
validated_data = self.validate_letter_data(letter_data)
# 2. 生成加密信件包
letter_package = EncryptedLetterPackage()
letter_package.load_data(validated_data)
# 3. 数字签名
signature = self.cert_manager.sign(
letter_package.to_json(),
private_key="weiaibang_postal_key"
)
letter_package.security["digital_signature"] = signature
# 4. 生成最终输出文件
output_files = self.generate_output_files(letter_package)
# 5. 传输到邮政管理局
transfer_result = self.transfer_to_post_bureau(output_files)
# 6. 记录传输日志
self.log_transfer(letter_data["letter_id"], transfer_result)
return {
"success": True,
"package_id": letter_package.envelope["package_id"],
"transfer_id": transfer_result["transfer_id"],
"postal_receipt": transfer_result["receipt"]
}
except Exception as e:
logger.error(f"邮政导出失败: {str(e)}")
return {
"success": False,
"error": str(e),
"retry_count": self.get_retry_count(letter_data["letter_id"])
}
def generate_output_files(self, package: EncryptedLetterPackage) -> dict:
"""生成输出文件集"""
return {
# 主数据文件(加密JSON)
"data_file": {
"filename": f"{package.envelope['package_id']}.json.enc",
"content": package.to_postal_format(),
"mime_type": "application/json"
},
# 打印文件(PDF格式,含条码)
"print_file": {
"filename": f"{package.envelope['package_id']}.pdf",
"content": self.generate_printable_pdf(package),
"mime_type": "application/pdf"
},
# 清单文件(供邮局核对)
"manifest_file": {
"filename": f"{package.envelope['package_id']}.manifest",
"content": self.generate_manifest(package),
"mime_type": "text/plain"
},
# 校验文件(MD5校验)
"checksum_file": {
"filename": f"{package.envelope['package_id']}.md5",
"content": self.calculate_checksums(package),
"mime_type": "text/plain"
}
}
def transfer_to_post_bureau(self, files: dict) -> dict:
"""传输到邮政管理局"""
# 使用HTTPS客户端传输
client = PostalHTTPSClient(
base_url="https://jz.post.weiaibang.com",
cert_path="/etc/ssl/weiaibang/client.pem",