摘要：随着网上申报、在线审批等网络在线信息系统的应用推广，CA认证成为保障信息安全的关键技术。本文包括三部分内容：PKI和CA认证的技术原理，在线业务的基本架构及CA配置，以及税务系统的CA建设。在“金税三期”的纳税人服务平台中，CA证书将作为信息安全的基本技术应用于各在线服务信息系统。

关键词：PKI  在线业务系统  CA认证  三层架构  金税三期

随着税收电子化的飞速发展，网上报税、网上审批等在线业务为纳税人带来了极大的方便，然而，一些重要纳税人数据在传输过程中被窃取篡改、网络欺诈、网络攻击等问题也随之出现，只有建立网络安全保障体系，网上活动才能得以完善，CA技术是保障网络安全的核心技术。

一、PKI和CA认证的工作原理

（一）公共密钥和不对称加密 （Public-Key and Asymmetric Cryptography）

公共密钥加密（Public Key Cryptography）为计算机用户提供了一种安全交换信息的方法。公共密钥加密标准是由 RSA 实验室组织世界各地的安全系统开发人员推出的一种规范。目前 PKCS 使用较为普遍，并且其中的某些标准文档成为正式或非正式标准的一部分，包括 ANSI X9 文档、PKIX、SET、S/MIME 及 SSL。公共密钥加密又叫作非对称加密（Asymmetric Encryption），它基于由Diffie 和 Hellman 开发的数学模式。

公共密钥加密技术允许任何人对信息进行加密处理后，将它发送给另一个人，而不需要预先交换密钥。但该过程对于互相了解的或属于同一组织的两个人之间是不可行的。在公共密钥加密过程中，实现Internet 上的敏感数据报文的交换，需要提供两种密钥支持：公共密钥和私人密钥。公共密钥是由其主人加以公开的，而私人密钥必须保密存放。为发送一份保密报文，发送者必须使用接收者的公共密钥对数据进行加密，一旦加密，只有接收方用其私人密钥才能加以解密。换句话说，如果 A 要向 B 发送经过加密的数据，那么 A 使用 B 的公共密钥对将要发送的数据进行加密处理，而 B 使用对应的私人密钥才可以对由 A 发送的那些加密数据解密。

相反地，用户也能用自己私人密钥对使用公共密钥加密的数据加以处理。但该方法对于加密敏感报文而言并不是很有用，这是因为每个人都可以获得解密信息的公共密钥。但它可以应用于下面的一种情形：当一个用户想用自己的私人密钥对数据进行了处理，可以用他提供的公共密钥对数据加以处理，这提供了"数字签名"的基础。

公共密钥基础设施（PKI：Public Key Infrastructure）是一种基于以上基本概念、提供公共密钥创建和管理的系统，支持用户高效实现数据加密和密钥交换过程。

（二）CA认证的工作原理

根据PKI的结构，身份认证的实体需要有一对密钥，分别为私钥和公钥。其中的私钥是保密的，公钥是公开的。从原理上讲，不能从公钥推导出私钥，穷举法来求私钥则由于目前的技术、运算工具和时间的限制而不可能。每个实体的密钥总是成对出现，即一个公钥必定对应一个私钥。公钥加密的信息必须由对应的私钥才能解密，同样，私钥做出的签名，也只有配对的公钥才能解密。公钥有时用来传输对称密钥，这就是数字信封技术。密钥的管理政策是把公钥和实体绑定，由CA中心把实体的信息和实体的公钥制作成数字证书，证书的尾部必须有CA中心的数字签名。（cer文件）. 由于CA中心的数字签名是不可伪造的，因此實体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后，才对申请者颁发数字证书，将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心，因此，实体可以信任由CA中心颁发数字证书的其他实体，放心地在网上进行作业和交易。

数字安全证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关 （证书授权中心）的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。

CA认证中心（Certificate Authority）作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。它作为一个权威机构，对密钥进行有效地管理，颁发证书证明密钥的有效性，并将公开密钥同某一个实体（消费者、商户、银行）联系在一起。随着认证中心（或称CA中心）的出现，使得开放网络的安全问题得以迎刃而解。利用数字证书、PKI、对称加密算法、数字签名、数字信封等加密技术，可以建立起安全程度极高的加解密和身份认证系统，确保电子交易有效、安全地进行，从而使信息除发送方和接收方外，不被其他方知悉（保密性）;保证传输过程中不被篡改（完整性和一致性）;发送方确信接收方不是假冒的（身份的真实性和不可伪装性）;发送方不能否认自己的发送行为（不可抵赖性）。

二、在线业务的基本架构及CA配置

基于三层架构的应用程序体系结构由于存在如下诸多优势而被各行业在线业务系统所采用：Remote Access（远程访问资料），可通过Internet存取远程数据库;High Performance（提升运算效率）解决集中式运算（Centralize）及主从式架构（Client-Server）中，数据库主机的运算负担，降低数据库主机的Connection Load，并可由增加App Server处理众多的数据处理要求;Client端发出Request（工作要求）后，便可离线，交由App Server和DataBase Server共同把工作完成，减少Client端 的等待时间等。

（一）三层架构下的信息流程

三层架构的组成：

1、界面层

界面层提供给用户一个视觉上的界面，通过界面层，用户输入数据、获取数据。界面层同时也提供一定的安全性，确保用户有会看到机密的信息。

2、逻辑层

逻辑层是界面层和数据层的桥梁，它响应界面层的用户请求，执行任务并从数据层抓取数据，并将必要的数据传送给界面层。

3、数据层

数据层定义、维护数据的完整性、安全性，它响应逻辑层的请求，访问数据。这一层通常由大型的数据库服务器实现。

三层架构的优势：三层架构属于瘦客户的模式，用户端只需一个较小的硬盘、较小的内存、较慢的CPU就可以获得不错的性能。相比之下，单层或胖客户对面器的要求太高。另一个优点在于可以更好的支持分布式计算环境。逻辑层的应用程序可以有多个机器上运行，充分利用网络的计算功能。分布式计算的潜力巨大，远比升级CPU有效。三层架构的最大优点是它的安全性。用户端只能通过逻辑层来访问数据层，减少了入口点，把很多危险的系统功能都屏蔽了。

（二）在线业务中的CA 配置

CA有三个主要功能：身份识别、数字签名、加密。数字证书是一段数字，该数字说明了一个身份，任何人无法修改它，因为任何人都不能假冒 CA 但却可以验证数字证书是否正确。

在线业务系统如网上申报纳税系统中大量应用这一技术，拥有CA的用户必须通过CA才能够登录到系统中。纳税人登录时不但要验证纳税人的登录密码，还同时需要验证CA的密码，完全正确才能登录到系统。

1、纳税人使用IE浏览器通过SSL协议登录网上申报纳税服务系统，系统验证纳税人登录密码和CA证书完全正确后才可进入系统。

2、纳税人根据需要申报的内容填写各申报表，录入数据进行申报。系统将纳税人的申报数据使用CA签名后，通过Internet将数据传递到WEB服务器。

3、申报完成后，在缴纳模块中提取税款进行缴纳。与申报一样，缴纳的数据也是先CA签名后将数据传递到WEB服务器。同时根据国库报文规则要求，缴纳时系统自动为纳税人选择同金库数据进行缴纳。

4、申报、缴纳的数据提交到后台后，系统验证签名正确后，才对数据进行业务处理。

无论是申报环节还是缴纳环节都有数字签名，如果数据在网络中被截获篡改，服务器验证签名时会发现错误，保证每笔税款都是完整的、不可抵赖的，保障纳税人的数据安全。

三、稅务系统的CA建设

信息系统的发展，特别是在线应用的大规模推广应用创造了一个巨大的市场，由于经济利益的驱动，全国CA系统建设良莠不齐。而CA中心本身应该是一个大家普遍认可的权威机构，所以国税总局在“金税三期”建设方案中规划了全国税务系统CA建设方案，并要求各省在信息系统建设中要考虑CA认证系统的建设。

（一）CA的层次

从CA的层次结构来看，可以分为认证中心（根CA）、密钥管理中心（KM）、认证下级中心（子CA）、证书审批中心（RA中心）、证书审批受理点（RAT）等。 CA中心一般要发布认证体系声明书，向服务的对象郑重声明CA的政策、保证安全的措施、服务的范围、服务的质量、承担的责任、操作流程等条款。

1、CA中心

CA中心主要职责是颁发和管理数字证书。其中心任务是颁发数字证书，并履行用户身份认证的责任。CA中心在安全责任分散、运行安全管理、系统安全、物理安全、数据库安全、人员安全、密钥管理等方面，需要十分严格的政策和规程，要有完善的安全机制。另外要有完善的安全审计、运行监控、容灾备份、事故快速反应等实施措施，对身份认证、访问控制、防病毒防攻击等方面也要有强大的工具支撑。CA中心的证书审批业务部门则负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，因此，它应是能够承担这些责任的机构担任;证书操作部门（Certificate P-rocessor，简称CP）负责为已授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有授权者发放证书等，它可以由审核业务部门自己担任，也可委托给第三方担任。

2、RA

RA（Registration Authority），数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作;同时，对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。

（二）CA建设和推广要加大力度

我局系统中现在使用的是上海CA中心的证书，从应用实践来看，证书运营机构宣传的诸多应用中，现阶段纳税人使用证书的主要用途就是税务申报和缴纳业务。这一方面说明税务系统的信息化建设走在了其他行业的前列，另一方面也说明税务系统内CA建设的必要性，因为使用第三方的认证系统影响了部分纳税人使用网上业务系统的积极性。

“金税三期”工程中应进一步加大CA建设和推广的力度，这样在纳税人服务平台中，税务在线信息系统的开发可以使用系统内的CA接口，实现更细的耦合度和更强的安全功能;纳税人可以免费使用税务局提供的证书服务，更好地体现税务系统作为政府部门的公共服务职能。

参考文献：

[1]王世高. 计算机数据保护 [M]. 北京：机械工业出版社，2003.

[2]Qianfei Fu，Shoubao Yang，Maosheng Li，Junmao Zhun. Decentralized Computational Market Model for Grid Resource Management. Proceedings of the International Workshop on Grid and Cooperative Computing（GCC2003）.

[3]《税务系统信息技术应用》中国税务出版社，2001年6月.

[4]陈永红，陈子慧. 网络大师 [M]. 北京：清华大学出版社，2003.

[5]Li MaoSheng，Yang ShouBao. Research on grid resource reliability model based on promise. ITCC 2005.

[6]丁箐. 博士论文： 网格环境下资源管理的研究. 中国科学技术大学. 2002.

[7]A. Jsang，A Logic for Uncertain Probabilities，International Journal of Uncertainty，Fuzziness and Knowledge-Based Systems，vol. 9，no. 3，June 2001.

[8]http：//crad.ict.ac.cn

作者简介：周济人，（1983年4月2日出生——），男，汉族，安徽合肥人，毕业于厦门大学软件工程学院，硕士研究生，工程师，主要研究方向：信息安全。