電子認(rèn)證系統(tǒng)設(shè)計

孟慶仙

摘 要：以電子認(rèn)證技術(shù)為核心的信息安全保障體系建設(shè)為出發(fā)點(diǎn)，建立完善的符合國家對于電子政務(wù)信息化建設(shè)要求的納稅服務(wù)平臺，保障納稅服務(wù)平臺用戶身份的真實(shí)性，數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾裕约案鞣N操作行為的不可抵賴性和證據(jù)的可追溯性，是納稅服務(wù)平臺亟待解決的問題。

關(guān)鍵詞：電子認(rèn)證；數(shù)字證書；身份認(rèn)證系統(tǒng)；數(shù)字簽名

DOI：10.16640/j.cnki.37-1222/t.2016.08.143

互聯(lián)網(wǎng)是融合了計算機(jī)技術(shù)和通訊技術(shù)的優(yōu)秀成果，已經(jīng)成為了我們?nèi)粘Ｉ畈豢扇鄙俚囊徊糠郑哂薪换シ奖恪⑿畔⑷萘看蟆?yīng)用成本低的特點(diǎn)，是多元化納稅服務(wù)最主要的方式。構(gòu)建基于互聯(lián)網(wǎng)的納稅服務(wù)平臺，可以使納稅企業(yè)涉稅業(yè)務(wù)辦理不再受時間和場地的限制，足不出戶即可完成涉稅業(yè)務(wù)；而且納稅客戶端可以對加蓋印章的電子繳款憑證查看、下載、驗證和打印，遠(yuǎn)程報稅不僅簡化業(yè)務(wù)處理流程，而且更加方便快捷，節(jié)約時間、節(jié)約資金成本、提高效率、省時、省力、更省心。

建設(shè)省地稅納稅服務(wù)平臺的電子認(rèn)證服務(wù)保障項目，必須為地稅納稅服務(wù)平臺的電子認(rèn)證集成和改造提供全方位服務(wù)支持，為地稅納稅服務(wù)平臺應(yīng)用提供統(tǒng)一的電子認(rèn)證服務(wù)，并針對網(wǎng)上報稅的需求，對企業(yè)報稅的關(guān)鍵操作和關(guān)鍵數(shù)據(jù)進(jìn)行簽名服務(wù)，滿足地稅納稅服務(wù)平臺電子報稅的信任系統(tǒng)體系建設(shè)需要。

綜上所述，報稅企業(yè)基于因特網(wǎng)通過納稅服務(wù)平臺進(jìn)行涉稅業(yè)務(wù)辦理，電子認(rèn)證建設(shè)目標(biāo)如下：

（1）足不出戶就可以安全、高效、快捷的完成涉稅業(yè)務(wù)辦理工作。

（2）報稅系統(tǒng)能夠迅速對報稅企業(yè)身份進(jìn)行合法性驗證并返回驗證結(jié)果。

（3）報稅企業(yè)登錄報稅系統(tǒng)申報的數(shù)據(jù)及其過程的保密性和完整性。

（4）報稅企業(yè)對其地稅納稅服務(wù)平臺所進(jìn)行的一系列操作行為不可抵賴。

（5）報稅企業(yè)對電子繳款憑證進(jìn)行正常獲取的合法性和有效性。

地方稅務(wù)局電子認(rèn)證系統(tǒng)是以PKI/PMI技術(shù)為基礎(chǔ)，利用數(shù)字證書認(rèn)證中心的PKI/PMI系統(tǒng)為用戶簽發(fā)數(shù)字證書。身份認(rèn)證網(wǎng)關(guān)與數(shù)字證書結(jié)合，保障登錄納稅服務(wù)平臺用戶身份的真實(shí)可靠性；數(shù)字簽名服務(wù)器與數(shù)字證書結(jié)合，對用戶提交的關(guān)鍵數(shù)據(jù)進(jìn)行保護(hù)，以實(shí)現(xiàn)提交內(nèi)容的完整性、可靠性和行為的不可抵賴性。電子簽章系統(tǒng)生成電子印章，與數(shù)字證書結(jié)合，為用戶提供文檔保護(hù)、電子簽章以及驗章等服務(wù)，以實(shí)現(xiàn)蓋章內(nèi)容保密性和完整性、蓋章行為不可否認(rèn)以及蓋章合法性要求。

1 系統(tǒng)框架

納稅服務(wù)平臺應(yīng)用電子認(rèn)證建設(shè)整體方案框架以國家相關(guān)政策法規(guī)及行業(yè)相關(guān)標(biāo)準(zhǔn)為依據(jù)，以PKI技術(shù)為基礎(chǔ)，以數(shù)字證書為手段，通過應(yīng)用安全支撐平臺與納稅服務(wù)平臺的應(yīng)用系統(tǒng)進(jìn)行深度結(jié)合，為用戶提供身份認(rèn)證、數(shù)字簽名和電子簽章服務(wù)。

通過對納稅服務(wù)平臺電子認(rèn)證需求的深入調(diào)研和分析，我們認(rèn)為，本次項目中身份認(rèn)證和電子簽名的邏輯框架設(shè)計從總體上分為身份認(rèn)證體系和應(yīng)用安全支撐體系兩個層次，二者相輔相成，缺一不可：

（1）身份認(rèn)證體系：主要為用戶提供全面的、貼切的證書服務(wù)，通過數(shù)字證書的技術(shù)手段實(shí)現(xiàn)用戶身份的可信描述；針對本次納稅服務(wù)平臺應(yīng)用安全建設(shè)項目，身份認(rèn)證體系可直接使用云南CA所頒發(fā)的證書體系。

（2）應(yīng)用安全支撐體系：主要包括身份認(rèn)證和電子簽名，它們屬于身份認(rèn)證體系和應(yīng)用系統(tǒng)之間的橋梁，通過身份認(rèn)證體系發(fā)揮的中間件作用，業(yè)務(wù)系統(tǒng)可以方便、快速的實(shí)現(xiàn)用戶管理和證書與應(yīng)用系統(tǒng)之間的安全整合。

2 部署方式

身份認(rèn)證網(wǎng)關(guān)采用雙機(jī)熱備部署方式。部署中有兩臺網(wǎng)關(guān)，一臺為主機(jī)，一臺為備用機(jī)，并實(shí)時進(jìn)行狀態(tài)監(jiān)測，當(dāng)主機(jī)發(fā)生問題時自動將業(yè)務(wù)轉(zhuǎn)移到備用機(jī)，當(dāng)主機(jī)恢復(fù)正常后自動切回。

雙機(jī)熱備部署方式用于解決安全認(rèn)證網(wǎng)關(guān)的單點(diǎn)故障問題，對后臺受保護(hù)的應(yīng)用系統(tǒng)提供更可靠的安全認(rèn)證等服務(wù)。

3 身份認(rèn)證對系統(tǒng)的改造

針對B/S應(yīng)用系統(tǒng)，身份認(rèn)證網(wǎng)關(guān)提供針對各種開發(fā)平臺的過濾器，應(yīng)用系統(tǒng)只需要把過濾器部署到業(yè)務(wù)系統(tǒng)，過濾器經(jīng)過簡單的配置就可以和身份認(rèn)證網(wǎng)關(guān)進(jìn)行通訊，為業(yè)務(wù)系統(tǒng)提供單點(diǎn)登錄的功能。

用戶在訪問應(yīng)用的時候，部署于業(yè)務(wù)系統(tǒng)端的過濾器就會截獲該用戶的請求，經(jīng)過判斷，對于經(jīng)過認(rèn)證的用戶請求直接予以通過，對于未經(jīng)過認(rèn)證的請求直接重定向到身份認(rèn)證網(wǎng)關(guān)，身份認(rèn)證網(wǎng)關(guān)針對該請求，提示用戶進(jìn)行身份認(rèn)證，在經(jīng)過認(rèn)證后，把該請求再次重定向到業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)的插件截獲該請求后，發(fā)現(xiàn)已經(jīng)認(rèn)證，則該請求可以順利的訪問業(yè)務(wù)資源。在訪問其他的業(yè)務(wù)系統(tǒng)的時候，同理部署于業(yè)務(wù)系統(tǒng)的插件也會校驗用戶的請求，對于已經(jīng)驗證通過的請求，則不再進(jìn)行認(rèn)證，達(dá)到“單點(diǎn)登錄”的效果。

（1）用戶啟動客戶端瀏覽器，訪問應(yīng)用系統(tǒng)。

（2）Filter截獲請求，連接網(wǎng)關(guān)檢查用戶是否已經(jīng)認(rèn)證，如果未認(rèn)證，將認(rèn)證請求重定向到網(wǎng)關(guān)。

（3）用戶提交身份信息到網(wǎng)關(guān)進(jìn)行認(rèn)證。

（4）網(wǎng)關(guān)生成Ticket，并經(jīng)客戶端重定向至Filter。

（5）Filter提交Ticket至網(wǎng)關(guān)。

（6）網(wǎng)關(guān)通過SAML協(xié)議，返回用戶主Token。

（7）Filter根據(jù)主Token，生成動態(tài)Token并返回給客戶端。客戶端攜帶動態(tài)Token訪問應(yīng)用系統(tǒng)。

納稅服務(wù)平臺電子認(rèn)證服務(wù)也可以使用數(shù)字證書接口方式實(shí)現(xiàn)身份認(rèn)證，實(shí)現(xiàn)原理和身份認(rèn)證網(wǎng)關(guān)一樣。但由于用戶使用身份認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證后可以直接訪問應(yīng)用系統(tǒng)，身份認(rèn)證不占用業(yè)務(wù)系統(tǒng)軟硬件資源、訪問速度快、系統(tǒng)業(yè)務(wù)處理效率高；此外，身份認(rèn)證網(wǎng)關(guān)采用旁路部署，網(wǎng)關(guān)對用戶透明，用戶體驗好，并且不在現(xiàn)在業(yè)務(wù)系統(tǒng)做任何開發(fā)，不用更改現(xiàn)有網(wǎng)絡(luò)拓?fù)洌子诩嫒菰邢到y(tǒng)。所以推薦使用身份認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)身份認(rèn)證。

參考文獻(xiàn)：

[1]盧開澄.計算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全[M].計算機(jī)密碼學(xué)，1998.

[2]沈華.電子政務(wù)統(tǒng)一認(rèn)證體系設(shè)計與研究[D].2005.