稅務在線信息系統中的CA認證

摘要：隨著網上申報、在線審批等網絡在線信息系統的應用推廣，CA認證成為保障信息安全的關鍵技術。本文包括三部分內容：PKI和CA認證的技術原理，在線業務的基本架構及CA配置，以及稅務系統的CA建設。在“金稅三期”的納稅人服務平臺中，CA證書將作為信息安全的基本技術應用于各在線服務信息系統。

關鍵詞：PKI? 在線業務系統 ?CA認證 ?三層架構? 金稅三期

隨著稅收電子化的飛速發展，網上報稅、網上審批等在線業務為納稅人帶來了極大的方便，然而，一些重要納稅人數據在傳輸過程中被竊取篡改、網絡欺詐、網絡攻擊等問題也隨之出現，只有建立網絡安全保障體系，網上活動才能得以完善，CA技術是保障網絡安全的核心技術。

一、PKI和CA認證的工作原理

（一）公共密鑰和不對稱加密 （Public-Key and Asymmetric Cryptography）

公共密鑰加密（Public Key Cryptography）為計算機用戶提供了一種安全交換信息的方法。公共密鑰加密標準是由 RSA 實驗室組織世界各地的安全系統開發人員推出的一種規范。目前 PKCS 使用較為普遍，并且其中的某些標準文檔成為正式或非正式標準的一部分，包括 ANSI X9 文檔、PKIX、SET、S/MIME 及 SSL。公共密鑰加密又叫作非對稱加密（Asymmetric Encryption），它基于由Diffie 和 Hellman 開發的數學模式。

公共密鑰加密技術允許任何人對信息進行加密處理后，將它發送給另一個人，而不需要預先交換密鑰。但該過程對于互相了解的或屬于同一組織的兩個人之間是不可行的。在公共密鑰加密過程中，實現Internet 上的敏感數據報文的交換，需要提供兩種密鑰支持：公共密鑰和私人密鑰。公共密鑰是由其主人加以公開的，而私人密鑰必須保密存放。為發送一份保密報文，發送者必須使用接收者的公共密鑰對數據進行加密，一旦加密，只有接收方用其私人密鑰才能加以解密。換句話說，如果 A 要向 B 發送經過加密的數據，那么 A 使用 B 的公共密鑰對將要發送的數據進行加密處理，而 B 使用對應的私人密鑰才可以對由 A 發送的那些加密數據解密。

相反地，用戶也能用自己私人密鑰對使用公共密鑰加密的數據加以處理。但該方法對于加密敏感報文而言并不是很有用，這是因為每個人都可以獲得解密信息的公共密鑰。但它可以應用于下面的一種情形：當一個用戶想用自己的私人密鑰對數據進行了處理，可以用他提供的公共密鑰對數據加以處理，這提供了"數字簽名"的基礎。

公共密鑰基礎設施（PKI：Public Key Infrastructure）是一種基于以上基本概念、提供公共密鑰創建和管理的系統，支持用戶高效實現數據加密和密鑰交換過程。

（二）CA認證的工作原理

根據PKI的結構，身份認證的實體需要有一對密鑰，分別為私鑰和公鑰。其中的私鑰是保密的，公鑰是公開的。從原理上講，不能從公鑰推導出私鑰，窮舉法來求私鑰則由于目前的技術、運算工具和時間的限制而不可能。每個實體的密鑰總是成對出現，即一個公鑰必定對應一個私鑰。公鑰加密的信息必須由對應的私鑰才能解密，同樣，私鑰做出的簽名，也只有配對的公鑰才能解密。公鑰有時用來傳輸對稱密鑰，這就是數字信封技術。密鑰的管理政策是把公鑰和實體綁定，由CA中心把實體的信息和實體的公鑰制作成數字證書，證書的尾部必須有CA中心的數字簽名。（cer文件）. 由于CA中心的數字簽名是不可偽造的，因此實體的數字證書不可偽造。CA中心對實體的物理身份資格審查通過后，才對申請者頒發數字證書，將實體的身份與數字證書對應起來。由于實體都信任提供第三方服務的CA中心，因此，實體可以信任由CA中心頒發數字證書的其他實體，放心地在網上進行作業和交易。

數字安全證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關 （證書授權中心）的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標準。

CA認證中心（Certificate Authority）作為權威的、可信賴的、公正的第三方機構，專門負責發放并管理所有參與網上交易的實體所需的數字證書。它作為一個權威機構，對密鑰進行有效地管理，頒發證書證明密鑰的有效性，并將公開密鑰同某一個實體（消費者、商戶、銀行）聯系在一起。隨著認證中心（或稱CA中心）的出現，使得開放網絡的安全問題得以迎刃而解。利用數字證書、PKI、對稱加密算法、數字簽名、數字信封等加密技術，可以建立起安全程度極高的加解密和身份認證系統，確保電子交易有效、安全地進行，從而使信息除發送方和接收方外，不被其他方知悉（保密性）;保證傳輸過程中不被篡改（完整性和一致性）;發送方確信接收方不是假冒的（身份的真實性和不可偽裝性）;發送方不能否認自己的發送行為（不可抵賴性）。

二、在線業務的基本架構及CA配置

基于三層架構的應用程序體系結構由于存在如下諸多優勢而被各行業在線業務系統所采用：Remote Access（遠程訪問資料），可通過Internet存取遠程數據庫;High Performance（提升運算效率）解決集中式運算（Centralize）及主從式架構（Client-Server）中，數據庫主機的運算負擔，降低數據庫主機的Connection Load，并可由增加App Server處理眾多的數據處理要求;Client端發出Request（工作要求）后，便可離線，交由App Server和DataBase Server共同把工作完成，減少Client端 的等待時間等。

（一）三層架構下的信息流程

三層架構的組成：

1、界面層

界面層提供給用戶一個視覺上的界面，通過界面層，用戶輸入數據、獲取數據。界面層同時也提供一定的安全性，確保用戶有會看到機密的信息。

2、邏輯層

邏輯層是界面層和數據層的橋梁，它響應界面層的用戶請求，執行任務并從數據層抓取數據，并將必要的數據傳送給界面層。

3、數據層

數據層定義、維護數據的完整性、安全性，它響應邏輯層的請求，訪問數據。這一層通常由大型的數據庫服務器實現。

三層架構的優勢：三層架構屬于瘦客戶的模式，用戶端只需一個較小的硬盤、較小的內存、較慢的CPU就可以獲得不錯的性能。相比之下，單層或胖客戶對面器的要求太高。另一個優點在于可以更好的支持分布式計算環境。邏輯層的應用程序可以有多個機器上運行，充分利用網絡的計算功能。分布式計算的潛力巨大，遠比升級CPU有效。三層架構的最大優點是它的安全性。用戶端只能通過邏輯層來訪問數據層，減少了入口點，把很多危險的系統功能都屏蔽了。

（二）在線業務中的CA 配置

CA有三個主要功能：身份識別、數字簽名、加密。數字證書是一段數字，該數字說明了一個身份，任何人無法修改它，因為任何人都不能假冒 CA 但卻可以驗證數字證書是否正確。

在線業務系統如網上申報納稅系統中大量應用這一技術，擁有CA的用戶必須通過CA才能夠登錄到系統中。納稅人登錄時不但要驗證納稅人的登錄密碼，還同時需要驗證CA的密碼，完全正確才能登錄到系統。

1、納稅人使用IE瀏覽器通過SSL協議登錄網上申報納稅服務系統，系統驗證納稅人登錄密碼和CA證書完全正確后才可進入系統。

2、納稅人根據需要申報的內容填寫各申報表，錄入數據進行申報。系統將納稅人的申報數據使用CA簽名后，通過Internet將數據傳遞到WEB服務器。

3、申報完成后，在繳納模塊中提取稅款進行繳納。與申報一樣，繳納的數據也是先CA簽名后將數據傳遞到WEB服務器。同時根據國庫報文規則要求，繳納時系統自動為納稅人選擇同金庫數據進行繳納。

4、申報、繳納的數據提交到后臺后，系統驗證簽名正確后，才對數據進行業務處理。

無論是申報環節還是繳納環節都有數字簽名，如果數據在網絡中被截獲篡改，服務器驗證簽名時會發現錯誤，保證每筆稅款都是完整的、不可抵賴的，保障納稅人的數據安全。

三、稅務系統的CA建設

信息系統的發展，特別是在線應用的大規模推廣應用創造了一個巨大的市場，由于經濟利益的驅動，全國CA系統建設良莠不齊。而CA中心本身應該是一個大家普遍認可的權威機構，所以國稅總局在“金稅三期”建設方案中規劃了全國稅務系統CA建設方案，并要求各省在信息系統建設中要考慮CA認證系統的建設。

（一）CA的層次

從CA的層次結構來看，可以分為認證中心（根CA）、密鑰管理中心（KM）、認證下級中心（子CA）、證書審批中心（RA中心）、證書審批受理點（RAT）等。 CA中心一般要發布認證體系聲明書，向服務的對象鄭重聲明CA的政策、保證安全的措施、服務的范圍、服務的質量、承擔的責任、操作流程等條款。

1、CA中心

CA中心主要職責是頒發和管理數字證書。其中心任務是頒發數字證書，并履行用戶身份認證的責任。CA中心在安全責任分散、運行安全管理、系統安全、物理安全、數據庫安全、人員安全、密鑰管理等方面，需要十分嚴格的政策和規程，要有完善的安全機制。另外要有完善的安全審計、運行監控、容災備份、事故快速反應等實施措施，對身份認證、訪問控制、防病毒防攻擊等方面也要有強大的工具支撐。CA中心的證書審批業務部門則負責對證書申請者進行資格審查，并決定是否同意給該申請者發放證書，并承擔因審核錯誤引起的、為不滿足資格的證書申請者發放證書所引起的一切后果，因此，它應是能夠承擔這些責任的機構擔任;證書操作部門（Certificate P-rocessor，簡稱CP）負責為已授權的申請者制作、發放和管理證書，并承擔因操作運營錯誤所產生的一切后果，包括失密和為沒有授權者發放證書等，它可以由審核業務部門自己擔任，也可委托給第三方擔任。

2、RA

RA（Registration Authority），數字證書注冊審批機構。RA系統是CA的證書發放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發放等工作;同時，對發放的證書完成相應的管理功能。發放的數字證書可以存放于IC卡、硬盤或軟盤等介質中。RA系統是整個CA中心得以正常運營不可缺少的一部分。

（二）CA建設和推廣要加大力度

我局系統中現在使用的是上海CA中心的證書，從應用實踐來看，證書運營機構宣傳的諸多應用中，現階段納稅人使用證書的主要用途就是稅務申報和繳納業務。這一方面說明稅務系統的信息化建設走在了其他行業的前列，另一方面也說明稅務系統內CA建設的必要性，因為使用第三方的認證系統影響了部分納稅人使用網上業務系統的積極性。

“金稅三期”工程中應進一步加大CA建設和推廣的力度，這樣在納稅人服務平臺中，稅務在線信息系統的開發可以使用系統內的CA接口，實現更細的耦合度和更強的安全功能;納稅人可以免費使用稅務局提供的證書服務，更好地體現稅務系統作為政府部門的公共服務職能。

參考文獻：

[1]王世高. 計算機數據保護 [M]. 北京：機械工業出版社，2003.

[2]Qianfei Fu，Shoubao Yang，Maosheng Li，Junmao Zhun. Decentralized Computational Market Model for Grid Resource Management. Proceedings of the International Workshop on Grid and Cooperative Computing（GCC2003）.

[3]《稅務系統信息技術應用》中國稅務出版社，2001年6月.

[4]陳永紅，陳子慧. 網絡大師 [M]. 北京：清華大學出版社，2003.

[5]Li MaoSheng，Yang ShouBao. Research on grid resource reliability model based on promise. ITCC 2005.

[6]丁箐. 博士論文： 網格環境下資源管理的研究. 中國科學技術大學. 2002.

[7]A. Jsang，A Logic for Uncertain Probabilities，International Journal of Uncertainty，Fuzziness and Knowledge-Based Systems，vol. 9，no. 3，June 2001.

[8]http：//crad.ict.ac.cn

作者簡介：周濟人，（1983年4月2日出生——），男，漢族，安徽合肥人，畢業于廈門大學軟件工程學院，碩士研究生，工程師，主要研究方向：信息安全。