電子認證系統設計

孟慶仙

摘 要：以電子認證技術為核心的信息安全保障體系建設為出發點，建立完善的符合國家對于電子政務信息化建設要求的納稅服務平臺，保障納稅服務平臺用戶身份的真實性，數據傳輸的保密性、完整性，以及各種操作行為的不可抵賴性和證據的可追溯性，是納稅服務平臺亟待解決的問題。

關鍵詞：電子認證；數字證書；身份認證系統；數字簽名

DOI：10.16640/j.cnki.37-1222/t.2016.08.143

互聯網是融合了計算機技術和通訊技術的優秀成果，已經成為了我們日常生活不可缺少的一部分，具有交互方便、信息容量大、應用成本低的特點，是多元化納稅服務最主要的方式。構建基于互聯網的納稅服務平臺，可以使納稅企業涉稅業務辦理不再受時間和場地的限制，足不出戶即可完成涉稅業務；而且納稅客戶端可以對加蓋印章的電子繳款憑證查看、下載、驗證和打印，遠程報稅不僅簡化業務處理流程，而且更加方便快捷，節約時間、節約資金成本、提高效率、省時、省力、更省心。

建設省地稅納稅服務平臺的電子認證服務保障項目，必須為地稅納稅服務平臺的電子認證集成和改造提供全方位服務支持，為地稅納稅服務平臺應用提供統一的電子認證服務，并針對網上報稅的需求，對企業報稅的關鍵操作和關鍵數據進行簽名服務，滿足地稅納稅服務平臺電子報稅的信任系統體系建設需要。

綜上所述，報稅企業基于因特網通過納稅服務平臺進行涉稅業務辦理，電子認證建設目標如下：

（1）足不出戶就可以安全、高效、快捷的完成涉稅業務辦理工作。

（2）報稅系統能夠迅速對報稅企業身份進行合法性驗證并返回驗證結果。

（3）報稅企業登錄報稅系統申報的數據及其過程的保密性和完整性。

（4）報稅企業對其地稅納稅服務平臺所進行的一系列操作行為不可抵賴。

（5）報稅企業對電子繳款憑證進行正常獲取的合法性和有效性。

地方稅務局電子認證系統是以PKI/PMI技術為基礎，利用數字證書認證中心的PKI/PMI系統為用戶簽發數字證書。身份認證網關與數字證書結合，保障登錄納稅服務平臺用戶身份的真實可靠性；數字簽名服務器與數字證書結合，對用戶提交的關鍵數據進行保護，以實現提交內容的完整性、可靠性和行為的不可抵賴性。電子簽章系統生成電子印章，與數字證書結合，為用戶提供文檔保護、電子簽章以及驗章等服務，以實現蓋章內容保密性和完整性、蓋章行為不可否認以及蓋章合法性要求。

1 系統框架

納稅服務平臺應用電子認證建設整體方案框架以國家相關政策法規及行業相關標準為依據，以PKI技術為基礎，以數字證書為手段，通過應用安全支撐平臺與納稅服務平臺的應用系統進行深度結合，為用戶提供身份認證、數字簽名和電子簽章服務。

通過對納稅服務平臺電子認證需求的深入調研和分析，我們認為，本次項目中身份認證和電子簽名的邏輯框架設計從總體上分為身份認證體系和應用安全支撐體系兩個層次，二者相輔相成，缺一不可：

（1）身份認證體系：主要為用戶提供全面的、貼切的證書服務，通過數字證書的技術手段實現用戶身份的可信描述；針對本次納稅服務平臺應用安全建設項目，身份認證體系可直接使用云南CA所頒發的證書體系。

（2）應用安全支撐體系：主要包括身份認證和電子簽名，它們屬于身份認證體系和應用系統之間的橋梁，通過身份認證體系發揮的中間件作用，業務系統可以方便、快速的實現用戶管理和證書與應用系統之間的安全整合。

2 部署方式

身份認證網關采用雙機熱備部署方式。部署中有兩臺網關，一臺為主機，一臺為備用機，并實時進行狀態監測，當主機發生問題時自動將業務轉移到備用機，當主機恢復正常后自動切回。

雙機熱備部署方式用于解決安全認證網關的單點故障問題，對后臺受保護的應用系統提供更可靠的安全認證等服務。

3 身份認證對系統的改造

針對B/S應用系統，身份認證網關提供針對各種開發平臺的過濾器，應用系統只需要把過濾器部署到業務系統，過濾器經過簡單的配置就可以和身份認證網關進行通訊，為業務系統提供單點登錄的功能。

用戶在訪問應用的時候，部署于業務系統端的過濾器就會截獲該用戶的請求，經過判斷，對于經過認證的用戶請求直接予以通過，對于未經過認證的請求直接重定向到身份認證網關，身份認證網關針對該請求，提示用戶進行身份認證，在經過認證后，把該請求再次重定向到業務系統，業務系統的插件截獲該請求后，發現已經認證，則該請求可以順利的訪問業務資源。在訪問其他的業務系統的時候，同理部署于業務系統的插件也會校驗用戶的請求，對于已經驗證通過的請求，則不再進行認證，達到“單點登錄”的效果。

（1）用戶啟動客戶端瀏覽器，訪問應用系統。

（2）Filter截獲請求，連接網關檢查用戶是否已經認證，如果未認證，將認證請求重定向到網關。

（3）用戶提交身份信息到網關進行認證。

（4）網關生成Ticket，并經客戶端重定向至Filter。

（5）Filter提交Ticket至網關。

（6）網關通過SAML協議，返回用戶主Token。

（7）Filter根據主Token，生成動態Token并返回給客戶端?？蛻舳藬y帶動態Token訪問應用系統。

納稅服務平臺電子認證服務也可以使用數字證書接口方式實現身份認證，實現原理和身份認證網關一樣。但由于用戶使用身份認證網關進行身份認證后可以直接訪問應用系統，身份認證不占用業務系統軟硬件資源、訪問速度快、系統業務處理效率高；此外，身份認證網關采用旁路部署，網關對用戶透明，用戶體驗好，并且不在現在業務系統做任何開發，不用更改現有網絡拓撲，易于兼容原有系統。所以推薦使用身份認證網關實現身份認證。

參考文獻：

[1]盧開澄.計算機網絡中的數據保密與安全[M].計算機密碼學，1998.

[2]沈華.電子政務統一認證體系設計與研究[D].2005.