一種基于虛擬專用網及數據加密技術的企業財務會計記錄直報系統的實現方案

摘 要：隨著計算機與通信技術的發展和應用的推廣，一些地區的財政部門為提高本轄區內的企業數據上報的及時性和便利性，積極升級改造企業財務會計記錄的上報方法，其中有些地方利用了互聯網的便利性，推出了企業財務會計記錄直報系統。但是，由于目前日益嚴重的信息安全問題困擾著很多地方的企業及其主管部門，如何在信息安全和工作效率之間找到一個平衡點，是很多系統建設者要考慮的重要問題。本文針對了從企業財務會計記錄采集、發送到接收、入庫中可能存在的安全問題，提出使用虛擬專用網技術以及數據加密、數字信封、哈希函數和數字簽名等技術，從而避免在這個過程中的安全隱患，提高了整個系統的信息安全保障。

關鍵詞：財務會計記錄；虛擬專用網；數據加密；數字簽名

中圖分類號：TP311.1 文獻標識碼：A

Abstract：With the promotion of the development and application of computer and communications technology，some areas of the financial sector for improve the timeliness and convenience within the jurisdiction of the enterprise data reported that actively upgrading transformation of the enterprise financial accounting records of the reporting method，which in some places using the convenience of internet，launched the enterprise financial accounting records of the reporting system.But due to the increasingly serious problem of information security plagued many local enterprises and departments，how to find a balance point between of the information security and the work efficiency is a lot of system builders to consider important issues.This paper also discusses from the enterprise financial accounting records collected and sent to the receiver，thetreasury may exist safety problem，it proposes using virtual private network technology and digital encryption，digital envelope，hash function and digital signature etc.，thus avoiding security hidden danger in the process，improve the information security of the whole system.

Keywords：financial accounting records；virtual private net；data encryption；digital signature

1 引言（Introduction）

隨著計算機與通信技術的發展和應用的推廣，當前社會進入了信息社會，同時信息的安全問題也成為了人們關注的焦點，為了解決信息安全中存在的一些問題，很多人致力于發現新的安全技術以及新的算法的應用。在人們解決信息安全的過程中，普遍認為加密技術是信息安全的核心。因此，數據加密技術也隨著信息社會的到來而蓬勃發展。為了提高信息的安全性，人們將多種加密技術綜合起來，充分發揮各種技術的特點，共同提高信息的安全性；比如利用數據加密、數字信封、哈希函數和數字簽名等技術來實現數據的機密性、完整性、認證性和不可否認性[1-3]。

目前，一些地區的財政部門為提高本轄區內的企業數據上報的及時性和便利性，積極升級改造企業財務會計記錄的上報方法，其中有些地方利用了互聯網的便利性，推出了企業財務會計記錄直報系統。通過這種方式，提高了企業財務會計記錄數據上報系統的性能，提高了工作效率，但是由于這些數據可能包含每個企業的商業機密，因此，不論是在企業財務會計記錄的生成、傳輸還是上報過程中，都會存在數據信息的安全性問題，可能造成信息的泄露、篡改，就會使企業蒙受損失，影響系統的正常運行以及企業的信譽、生產和經營。

因此，一個功能完善的企業財務會計記錄直報系統，除了需要具備之前系統的數據導入、數據查詢、數據統計、權限控制等功能外，企業財務會計記錄數據從生成到入庫的安全性尤其重要。企業財務會計記錄直報系統不僅需要保證數據信息的準確性和及時性，更要保證的機密性、完整性、認證性和不可否認性。而本研究方案所使用的虛擬專用網[4]及多種數據加密技術，很好地滿足了企業財務會計記錄直報系統的要求，為企業財務會計記錄直報提供了一個較好的解決方案。

通過對企業財務會計記錄直報系統使用環境的研究，并針對從企業財務會計記錄采集、發送到企業財務會計記錄接收、入庫過程中可能存在的安全問題，提出了一套完整的解決方案：通過虛擬專用網技術在互聯網上建立數據傳輸安全通道，實現各企業與本地財政系統的隨時聯網，提高了系統的可伸縮性，降低系統運行成本；再利用數據加密、數字信封、哈希函數和數字簽名[5]來實現數據的機密性、完整性、可鑒別和不可否認性，為企業財務會計記錄直報系統的正常運行，提供了安全保障。

本文主要介紹本系統所使用的虛擬專用網、數據加密、數字信封、哈希函數和數字簽名等技術及系統的設計和實現原理。

2 系統主要技術（Main technology of system）

本研究方案主要涉及的技術包括虛擬專用網、數據加密、數字信封、哈希函數和數字簽名等技術，現這些技術簡單介紹。

2.1 虛擬專用網技術

虛擬專用網（Virtual Private Net，即VPN），通常是在公用網絡（Internet）上建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。它的功能是在公用網絡上建立專用網絡，進行加密通訊，虛擬專用網網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問，在企業網絡中有廣泛應用。虛擬專用網能提供如下功能：

（1）數據加密：以保證通過公網傳輸的信息即使被人截獲也不會泄露。

（2）信息認證和身份認證：保證信息的完整性、合法性，并能鑒別用戶身份。

（3）提供訪問控制：不同用戶有不同的訪問權限。

目前，除了一些專業的公司如思科（Cisco）、華為等有虛擬專用網產品外，常用的操作系統如Windows、Unix，甚至Android、iOS都帶有虛擬專用網功能。

2.2 RSA公鑰加密算法

RSA[6]是目前很有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的絕大多數密碼攻擊，已被ISO推薦為公鑰數據加密標準。RSA公鑰加密算法是1977年由羅納德·李維斯特（Ron Rivest）、阿迪·薩莫爾（Adi Shamir）和倫納德·阿德曼（Leonard Adleman）一起提出的。1987年首次公布，當時他們三人都在麻省理工學院工作。RSA就是他們三人姓氏開頭字母拼在一起組成的。在本系統中，使用的密鑰長度為1024比特。

2.3 數據加密標準

數據加密標準（Data Encryption Standard，DES）[7]，是一種使用對稱密鑰加密的算法。1977年被美國聯邦政府的國家標準局確定為聯邦資料處理標準（FIPS），并授權在非密級政府通信中使用，隨后該算法在國際上廣泛流傳開來。

DES設計中使用了分組密碼設計的兩個原則：混淆（Confusion）和擴散（Diffusion），其目的是抗擊敵手對密碼系統的統計分析?；煜鞘姑芪牡慕y計特性與密鑰的取值之間的關系盡可能復雜化，以使密鑰和明文以及密文之間的依賴性對密碼分析者來說是無法利用的。擴散的作用就是將每一位明文的影響盡可能迅速地作用到較多的輸出密文位中，以便在大量的密文中消除明文的統計結構，并且使每一位密鑰的影響盡可能迅速地擴展到較多的密文位中，以防對密鑰進行逐段破譯。為了提高DES的加密強度，也可以使用雙重DES和三重DES。在本系統中，使用的密鑰長度為2048比特。

2.4 信息—摘要算法5

信息—摘要算法5（Message-Digest Algorithm 5，

MD5）[8，9]，為計算機安全領域廣泛使用的一種哈希函數，用以提供消息的完整性保護，該算法的文件號為RFC 1321，用于確保信息傳輸完整一致，是計算機廣泛使用的雜湊算法（也稱摘要算法、哈希算法）之一。

3 系統設計及實現（System design and realization）

本系統的拓撲結構如圖1所示。

在本系統中，財政部門的信息中心安裝有本系統的服務器（Web Service）和數據庫服務器，而該財政部門其所管轄的每個企業都有系統客戶端，在這些系統客戶端中安裝有“基礎數據采集引擎”（負責財務會計記錄的采集），這些系統客戶端在需要時可以通過虛擬專用網與服務器相連，不需要時則斷開連接。雖然，把很多企業的客戶端通過VPN的方式連入信息中心的服務器后，如同組建了一個局域網，為各企業上報數據帶來了方便性、快捷性；但也會引起本“局域網”的安全問題，如果某個企業可以通過把自己系統客戶端或本企業的其他計算機的網卡設置成混雜模式，就可以監聽本網絡中其他計算機的通信，為了解決本系統可能存在的安全問題，系統服務器和每個系統客戶端都采用了通過第三方CA認證的RSA密鑰管理機制，上報的數據文件必須進過加密處理。系統客戶端上報數據文件的步驟如下：

第一步：系統客戶端采集企業財務會計記錄。一般而言，在每個周期內，系統客戶端根據需要完成企業財務會計記錄的采集，生成上報數據文件，如M0。

第二步：系統客戶端對上報數據簽名。客戶端利用MD5生成上報數據M0的信息摘要h0，并用自己的RSA私鑰K1對該信息摘要進行數字簽名h1。然后將上報數據文件M0和數字簽名h1合并為M1。

第三步：系統客戶端加密上報數據。客戶端隨機產生一個DES密鑰KDES，用DES密鑰加密M1，生成密文C1；再用服務器的公鑰加密DES密鑰KDES生成數字信封C2。

第四步：系統客戶端向系統服務器發送數據?？蛻舳送ㄟ^VPN方式請求連接服務器，通過服務器驗證后，客戶端將向系統服務器發送上報數據及數字簽名的密文C1和數字信封C2。

系統服務端處理上報的數據文件有兩個步驟如下：

第一步：系統服務器驗證上報數據。服務器收到客戶端發送的C1和C2后，使用自己的私鑰打開數字信封C2，得到客戶端的DES密鑰KDES；并用此密鑰KDES去解密C1，得到數據M1，再從M1中分離出M0和h1。然后求出上報數據M0的信息摘要hS，再對該客戶端的數字簽名進行身份驗證，即使用該客戶端的RSA公鑰解密h1，得到收到的該客戶端發送的消息摘要hC，比較hS和hC，如果hS=hC，則說明M0確是該客戶端發送的上報數據，如果hS≠hC，則收到的上報數據是不可信的。

第二步：企業財務會計記錄的入庫。系統服務器在收到客戶端發送的上報數據并完成驗證后，認為該企業財務會計記錄確是某個企業所發，于是將企業財務會計記錄入庫。完成后通知客戶端斷開VPN連接。

如果在服務器完成企業財務會計記錄入庫后，發現企業財務會計記錄存在錯誤，系統客戶端可以重新發送企業財務會計記錄，服務器收到重新入庫的請求后，先刪除之前的錯誤企業財務會計記錄，再把通過驗證的新收到的企業財務會計記錄入庫，避免了錯誤信息的存在。

4 結論（Conclusion）

本系統將虛擬專用網技術和數據加密、數字信封、哈希函數和數字簽名等結合在一起，實現了系統在安全方面的功能，滿足了當前條件下信息的安全性。而且在試運行過程中，該系統可以實現企業財務會計記錄的直報要求，并達到快速及時、安全性的要求。但該系統還存在部分不足，主要存在一下幾個問題，一是有時候網速比較慢，可能是由于虛擬專用網的配置引起的；二是目前使用的DES和RSA算法的密鑰長度可能成為安全隱患。對于以上問題，將在以后的版本中進一步改進和完善。

參考文獻（References）

[1] Liu Jinhui，et al.DigitalSignature Protocol Based on Error-correcting Codes[J].Huazhong Univ. of Sci.&Tech.（Natural Science Edition），2014，42（11）：97-101.

[2] Wang Mingwei，HuYupu.Forward and Backward Secure Signature Scheme[J].JournalofXidian University，

2014，41（2）：71-78.

[3] Wang Ding，Wang Ping，Lei Ming.Cryptanalysis and Improvement of Gateway-oriented Password Authenticated Key Exchange Protocol Based on RSA[J].Acta Electronica Sinica，2015，41（1）：176-184.

[4] 百度百科[EB/OL].http：//baike.baidu.com/view/480950.htm

[5] 何明星，等.高效的可證明安全的無證書數字簽名方案[J].電子科技大學學報，2015，44（6）：887-891.

[6] 陳財森，等.針對RSA算法的蹤跡驅動數據Cache計時攻擊研究[J].計算機學報，2014，37（5）：1039-1051.

[7] 程磊.基于AES和RSA的網絡數據加密方案[J].現代電子技術，2015，38（09）：87-89.

[8] 吳志軍，趙婷，雷縉.基于改進的Diameter/EAP-MD5的SWIM認證方法[J].通信學報，2014，35（8）：1-7.

[9] 百度百科[EB/OL].http：//baike.baidu.com/view/7636.htm.

作者簡介：

康保軍（1970-），男，碩士，系統分析師.研究領域：軟件工

程，數據庫應用.