数字认证技术在网上办税系统中的应用
2017-06-01叶鸣晔
叶鸣晔
(闽江学院 软件学院,福建 福州 350001)
数字认证技术在网上办税系统中的应用
叶鸣晔
(闽江学院 软件学院,福建 福州 350001)
随着网络经济的不断发展,互联网技术的逐渐成熟,网上办税业务应用越来越广泛,网上办税系统成为了税务办公自动化不可缺少的重要环节.由于互联网本身的特性--开放性和匿名性,使得用户在网络中如何能相信对方,而且网上存在着不可预知的病毒、黑客等,这些都使得网上办税面临安全挑战.因而数字认证技术为网上办税系统的安全提供了重要保障.
数字认证;加密;数字签名;私钥;公钥
1 引言
随着计算机技术普及和网络技术的发展,各级政府部门的政务工作信息化建设正逐步加强,税务局可以适时推出纳税信息电子申报的方式,纳税人只要在各自的电脑上安装好相关税务软件(由税务局提供)或使用互联网(IE)浏览器的报税界面,通过互联网连接税务局相应的服务器,便可迅速完成纳税的电子申报工作.
网上办税是将计算机的各优点以及网络时代的优势应用于税务系统,因此大幅度提交了工作效率,增强了税务业务的安全性,同时遏制了漏税、偷税等不法行为的发生.但事情总有正反两方面,人们正在享受信息时代带来的便利的同时,也不得不面临网络安全的严峻考验.因此我们在网上办税系统中该如何确定电子办税用户的身份,如何确保电子办税数据的保密性、不可修改性和不可否认性,都是网上办税系统安全稳定运行的关键.
为了保证网上办税系统的安全运行,我们可以在网上办税系统中采用基于SSL(Secure socket Layer)安全套接层协议,并通过使用数字证书和其相对应的私钥,来完成纳税人和税务部门之间的身份认证,确定了系统中纳税人身份的真实性和合法性,同时又保证了税务部门的可信任性.
2 数字认证技术的简介
数字证书是一种检验用户身份的电子文件,又叫“网络身份证”、“数字身份证”.它是PKI体系中最基本的元素,由数字证书认证中心(CA)颁发并经认证中心数字签名的权威性的电子文档.
数字证书用于互联网上标识该证书持有者的真实有效身份,有点像我们生活中使用的居民身份证或者驾驶证,解决了互联网上“我是谁”的问题,进而保证了网上办税系统传递数据的完整性、机密性,以及双方身份的真实有效性和具体行为的不可抵赖性,从而保障税务业务在网络上的安全性.
在网上办税系统中,数字证书是包括了纳税人的身份信息和公钥,以及CA中心的私钥签名.其中,身份验证机构可以确保证书信息的真实性,纳税人的公钥可以保证信息传输的完整性,纳税人的私钥签名(即数字签名)可以保证信息的不可否认性.
在现实中,公民的身份证是由公安机关签发,而网络用户的身份凭证由CA中心签发,只有经过CA中心签发的证书在网络中才具备可认证性.在网上办税系统中,CA中心为网上办税系统搭建了一个相对安全的且可相互信赖的环境,解决了在互联网上“我是谁”的问题,以及其他信息安全等一系列问题.
身份认证在网络安全中是最重要的一道防线,我们可以通过可靠的身份认证技术来确保网上办税系统的信息只会被正确的对象所访问.身份认证技术确保了某个人或某个事物的身份,这意味着当一个人(或事物)声称具有某种身份时,认证技术将提供方法来证实这一说法是正确的.
在网上办税系统中,身份认证是对税务机关、银行和纳税人三方的认证,因此三方都需要持有由CA中心颁发的数字证书.为了能够证明该公钥的持有者是真实有效的,我们可以用数字证书把用户的身份和用户的公钥捆绑起来.
3 数字认证技术的原理
在网上办税系统中,数字证书一般选用的是公开密钥体系,也称为“非对称密钥体系”.在这个体系中,我们将用户身份与密钥进行绑定,作为识别用户的关键.CA中心为了证明用户的公钥与其身份的对应关系,会向该用户发放数字证书来证明此关系.
传统的数据加密一般都是通过对称密钥进行的,但对称密钥机制为密钥的管理带来很多漏洞,因为通讯双方时刻都要保持一个完全相同的密钥,一旦一方丢失或者泄密,安全大门就完全敞开.
网上办税系统可以选用公开密钥体系,是将密钥一分为二,给每个通讯者两个密钥:公开密钥和私有密钥.用这一对的相互匹配的密钥进行加密和解密,一个专门加密,一个专门解密.其中,公开密钥可以公布给所有人知晓,私有密钥则由自己保存和使用,故而公开密钥体系也称为双密钥体系.这种机制有助于在网上办税系统中实现数据的传输安全和传输确认.
3.1 加密
公开密钥体系中的一个重要功能就是加密.我们是通过用户的公钥和私钥来实现加密功能.若我们要对信息进行加密或者解密,就必须用同一个用户的一套公钥和私钥来共同配对使用.通常,我们可以将公钥告知其他人,但私钥在非授权的情况下不能告诉别人.这就好比我们的大楼,楼下大门钥匙每个住户都有,但自家大门的钥匙却只有住户本人才有,不能随便给其他人,只有当住户本人把钥匙给你了,你才有权利进该住户家.
现假设,甲想传输一个重要文件给乙,这个文件是属于公司机密,而恰好丙对甲和乙的这份文件十分关注,总想窃取甲发送给乙的文件,以获得甲公司的机密,于是他不断监控甲乙的网络通信,希望在甲通过网络传输该文件时可以从中截获.为了防止丙的这个行为,实现文件的安全传输,我们可以采用以下步骤,如图1所示.
图1 加密工作流程示意图
3.2 数字签名
公开密钥体系中的另一个重要功能是数字签名.数字签名又称“电子签名”,是传统签名的数字化,所以具备了手写签名的两个特性,即可验证性和不可伪造性.
为什么需要数字签名呢?报文认证可用于保证双方之间的数据交换不被第三方侵犯;但它无法保证双方自身的相互欺骗.假如某甲给某乙发送一个认证信息,甲乙双方之间可能存在:乙伪造了另一个不同的消息,但却声称是从甲那收到的;甲发完认证信息后,却否认发过该消息,乙也无法证明甲确实发过该消息.而我们引入数字签名,就可以彻底解决了收发双方就传送内容可能发生的争端,有效的防止传输过程中的篡改、假冒和传输错误,为网上办税服务创造了条件.
加入了数字签名和验证后,发送者向接收者传输文件的过程是发送者先用哈希函数从原文中得到数字签名,再用自己的私钥对数字签名进行加密,并把加密后的数字签名加在原文后面,再用接收者的公钥对文件进行加密,并把加密后的文件传输给接收者;接收者在收到加密后的文件,就用其私钥对该密文进行解密,从中获得发送者的原文和附在其后的数字签名.再用发送者的公开密钥对刚获得的数字签名进行解密,并验证其真实性.若传输的数据在发送的过程中有被恶意篡改,则解密出来的数字签名和计算出来的数字签名将不一致,如若完全一致,则说明数据在传送过程中没有被破坏.这整个加密过程是不可逆的,也就是说只有拥有私钥的人才能解密.这样用户只要公开其公钥,而保留其私钥(私钥一般不能告诉别人,除非授权)就可以安全的传输信息了.
4 数字认证技术在网上办税系统中的应用
在网上办税系统中,税务机关和纳税用户二者之间采取基于数字证书的双向认证方式进行认证.只有在税务局服务器中认定该用户为合法用户的,方可访问其业务应用系统.与此同时,用户也会对该税务局服务器的证书进行判断,若为合法服务器才可以进行网上连接.
税务机关对纳税用户的CA系统验证流程是当纳税用户访问网上办税系统进行纳税申报时,纳税用户将自己持有的数字证书发送给税务机关,税务机关收到纳税用户发来的数字证书后,由网上办税系统调用CA认证服务器接口,利用纳税用户传过来的公钥验证纳税用户的数字签名,若验证通过,则说明纳税人的证书是合法的,再通过CA认证服务器将验证结果返回给网上办税系统.这样纳税用户就可以访问网上办税系统了.同样,纳税用户也可以采用相同的方式验证税务机关的真实性.
出于安全考虑,可以为系统提供两台CA认证服务器,其中一台作为CA认证备份服务器.网上办税系统需要访问CA认证服务器端口,CA认证服务器不直接对外提供服务.为了保证数字证书有效性验证,CA认证服务器还需要定时访问CA中心三个指定网站同步红名单(已申请此网上应用的企业名单集)、黑名单(阻止其对此网上应用的企业名单集).
在验证CA证书的过程中,首先确保CA证书必须插在登录网上办系统的电脑上,再进行以下验证:
(1)CA证书的有效期是否已过.
(2)CA登录时是否连接上了CA服务器.
(3)验证的CA证书对应纳税人是否已经注册.
(4)验证CA证书对应纳税人电脑编码是否已经在网上办税系统内开通.
(5)验证CA证书对应纳税人电脑编码在网上办税系统中登录方式是否是CA登录.
以上几种情况直接限制了CA的登录,出现任何一种情况都将登录失败.使用CA认证系统作为网上办税系统的安全卫士,可以为其提供有针对性的安全保障,并在技术上为税务部门与纳税人双方建立起互相信任的机制.
〔1〕张先红.数字签名原理及技术[M].北京:机械工业出版社,2004.5-7.
〔2〕廖洪利.网上报税的安全性研究 [J].现代计算机,2002 (145):49-53.
〔3〕徐建兵,曲俊华.公开密钥加密体系和数字签名技术的研究[J].现代电力,2004,21(1):80-85.
TP309
:A
:1673-260X(2017)05-0022-02
2017-03-04