孟慶仙

摘 要：以電子認(rèn)證技術(shù)為核心的信息安全保障體系建設(shè)為出發(fā)點(diǎn)，建立完善的符合國(guó)家對(duì)于電子政務(wù)信息化建設(shè)要求的納稅服務(wù)平臺(tái)，保障納稅服務(wù)平臺(tái)用戶(hù)身份的真實(shí)性，數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性，以及各種操作行為的不可抵賴(lài)性和證據(jù)的可追溯性，是納稅服務(wù)平臺(tái)亟待解決的問(wèn)題。

關(guān)鍵詞：電子認(rèn)證；數(shù)字證書(shū)；身份認(rèn)證系統(tǒng)；數(shù)字簽名

DOI：10.16640/j.cnki.37-1222/t.2016.08.143

互聯(lián)網(wǎng)是融合了計(jì)算機(jī)技術(shù)和通訊技術(shù)的優(yōu)秀成果，已經(jīng)成為了我們?nèi)粘Ｉ畈豢扇鄙俚囊徊糠郑哂薪换シ奖?、信息容量大、?yīng)用成本低的特點(diǎn)，是多元化納稅服務(wù)最主要的方式。構(gòu)建基于互聯(lián)網(wǎng)的納稅服務(wù)平臺(tái)，可以使納稅企業(yè)涉稅業(yè)務(wù)辦理不再受時(shí)間和場(chǎng)地的限制，足不出戶(hù)即可完成涉稅業(yè)務(wù)；而且納稅客戶(hù)端可以對(duì)加蓋印章的電子繳款憑證查看、下載、驗(yàn)證和打印，遠(yuǎn)程報(bào)稅不僅簡(jiǎn)化業(yè)務(wù)處理流程，而且更加方便快捷，節(jié)約時(shí)間、節(jié)約資金成本、提高效率、省時(shí)、省力、更省心。

建設(shè)省地稅納稅服務(wù)平臺(tái)的電子認(rèn)證服務(wù)保障項(xiàng)目，必須為地稅納稅服務(wù)平臺(tái)的電子認(rèn)證集成和改造提供全方位服務(wù)支持，為地稅納稅服務(wù)平臺(tái)應(yīng)用提供統(tǒng)一的電子認(rèn)證服務(wù)，并針對(duì)網(wǎng)上報(bào)稅的需求，對(duì)企業(yè)報(bào)稅的關(guān)鍵操作和關(guān)鍵數(shù)據(jù)進(jìn)行簽名服務(wù)，滿(mǎn)足地稅納稅服務(wù)平臺(tái)電子報(bào)稅的信任系統(tǒng)體系建設(shè)需要。

綜上所述，報(bào)稅企業(yè)基于因特網(wǎng)通過(guò)納稅服務(wù)平臺(tái)進(jìn)行涉稅業(yè)務(wù)辦理，電子認(rèn)證建設(shè)目標(biāo)如下：

（1）足不出戶(hù)就可以安全、高效、快捷的完成涉稅業(yè)務(wù)辦理工作。

（2）報(bào)稅系統(tǒng)能夠迅速對(duì)報(bào)稅企業(yè)身份進(jìn)行合法性驗(yàn)證并返回驗(yàn)證結(jié)果。

（3）報(bào)稅企業(yè)登錄報(bào)稅系統(tǒng)申報(bào)的數(shù)據(jù)及其過(guò)程的保密性和完整性。

（4）報(bào)稅企業(yè)對(duì)其地稅納稅服務(wù)平臺(tái)所進(jìn)行的一系列操作行為不可抵賴(lài)。

（5）報(bào)稅企業(yè)對(duì)電子繳款憑證進(jìn)行正常獲取的合法性和有效性。

地方稅務(wù)局電子認(rèn)證系統(tǒng)是以PKI/PMI技術(shù)為基礎(chǔ)，利用數(shù)字證書(shū)認(rèn)證中心的PKI/PMI系統(tǒng)為用戶(hù)簽發(fā)數(shù)字證書(shū)。身份認(rèn)證網(wǎng)關(guān)與數(shù)字證書(shū)結(jié)合，保障登錄納稅服務(wù)平臺(tái)用戶(hù)身份的真實(shí)可靠性；數(shù)字簽名服務(wù)器與數(shù)字證書(shū)結(jié)合，對(duì)用戶(hù)提交的關(guān)鍵數(shù)據(jù)進(jìn)行保護(hù)，以實(shí)現(xiàn)提交內(nèi)容的完整性、可靠性和行為的不可抵賴(lài)性。電子簽章系統(tǒng)生成電子印章，與數(shù)字證書(shū)結(jié)合，為用戶(hù)提供文檔保護(hù)、電子簽章以及驗(yàn)章等服務(wù)，以實(shí)現(xiàn)蓋章內(nèi)容保密性和完整性、蓋章行為不可否認(rèn)以及蓋章合法性要求。

1 系統(tǒng)框架

納稅服務(wù)平臺(tái)應(yīng)用電子認(rèn)證建設(shè)整體方案框架以國(guó)家相關(guān)政策法規(guī)及行業(yè)相關(guān)標(biāo)準(zhǔn)為依據(jù)，以PKI技術(shù)為基礎(chǔ)，以數(shù)字證書(shū)為手段，通過(guò)應(yīng)用安全支撐平臺(tái)與納稅服務(wù)平臺(tái)的應(yīng)用系統(tǒng)進(jìn)行深度結(jié)合，為用戶(hù)提供身份認(rèn)證、數(shù)字簽名和電子簽章服務(wù)。

通過(guò)對(duì)納稅服務(wù)平臺(tái)電子認(rèn)證需求的深入調(diào)研和分析，我們認(rèn)為，本次項(xiàng)目中身份認(rèn)證和電子簽名的邏輯框架設(shè)計(jì)從總體上分為身份認(rèn)證體系和應(yīng)用安全支撐體系兩個(gè)層次，二者相輔相成，缺一不可：

（1）身份認(rèn)證體系：主要為用戶(hù)提供全面的、貼切的證書(shū)服務(wù)，通過(guò)數(shù)字證書(shū)的技術(shù)手段實(shí)現(xiàn)用戶(hù)身份的可信描述；針對(duì)本次納稅服務(wù)平臺(tái)應(yīng)用安全建設(shè)項(xiàng)目，身份認(rèn)證體系可直接使用云南CA所頒發(fā)的證書(shū)體系。

（2）應(yīng)用安全支撐體系：主要包括身份認(rèn)證和電子簽名，它們屬于身份認(rèn)證體系和應(yīng)用系統(tǒng)之間的橋梁，通過(guò)身份認(rèn)證體系發(fā)揮的中間件作用，業(yè)務(wù)系統(tǒng)可以方便、快速的實(shí)現(xiàn)用戶(hù)管理和證書(shū)與應(yīng)用系統(tǒng)之間的安全整合。

2 部署方式

身份認(rèn)證網(wǎng)關(guān)采用雙機(jī)熱備部署方式。部署中有兩臺(tái)網(wǎng)關(guān)，一臺(tái)為主機(jī)，一臺(tái)為備用機(jī)，并實(shí)時(shí)進(jìn)行狀態(tài)監(jiān)測(cè)，當(dāng)主機(jī)發(fā)生問(wèn)題時(shí)自動(dòng)將業(yè)務(wù)轉(zhuǎn)移到備用機(jī)，當(dāng)主機(jī)恢復(fù)正常后自動(dòng)切回。

雙機(jī)熱備部署方式用于解決安全認(rèn)證網(wǎng)關(guān)的單點(diǎn)故障問(wèn)題，對(duì)后臺(tái)受保護(hù)的應(yīng)用系統(tǒng)提供更可靠的安全認(rèn)證等服務(wù)。

3 身份認(rèn)證對(duì)系統(tǒng)的改造

針對(duì)B/S應(yīng)用系統(tǒng)，身份認(rèn)證網(wǎng)關(guān)提供針對(duì)各種開(kāi)發(fā)平臺(tái)的過(guò)濾器，應(yīng)用系統(tǒng)只需要把過(guò)濾器部署到業(yè)務(wù)系統(tǒng)，過(guò)濾器經(jīng)過(guò)簡(jiǎn)單的配置就可以和身份認(rèn)證網(wǎng)關(guān)進(jìn)行通訊，為業(yè)務(wù)系統(tǒng)提供單點(diǎn)登錄的功能。

用戶(hù)在訪問(wèn)應(yīng)用的時(shí)候，部署于業(yè)務(wù)系統(tǒng)端的過(guò)濾器就會(huì)截獲該用戶(hù)的請(qǐng)求，經(jīng)過(guò)判斷，對(duì)于經(jīng)過(guò)認(rèn)證的用戶(hù)請(qǐng)求直接予以通過(guò)，對(duì)于未經(jīng)過(guò)認(rèn)證的請(qǐng)求直接重定向到身份認(rèn)證網(wǎng)關(guān)，身份認(rèn)證網(wǎng)關(guān)針對(duì)該請(qǐng)求，提示用戶(hù)進(jìn)行身份認(rèn)證，在經(jīng)過(guò)認(rèn)證后，把該請(qǐng)求再次重定向到業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)的插件截獲該請(qǐng)求后，發(fā)現(xiàn)已經(jīng)認(rèn)證，則該請(qǐng)求可以順利的訪問(wèn)業(yè)務(wù)資源。在訪問(wèn)其他的業(yè)務(wù)系統(tǒng)的時(shí)候，同理部署于業(yè)務(wù)系統(tǒng)的插件也會(huì)校驗(yàn)用戶(hù)的請(qǐng)求，對(duì)于已經(jīng)驗(yàn)證通過(guò)的請(qǐng)求，則不再進(jìn)行認(rèn)證，達(dá)到“單點(diǎn)登錄”的效果。

（1）用戶(hù)啟動(dòng)客戶(hù)端瀏覽器，訪問(wèn)應(yīng)用系統(tǒng)。

（2）Filter截獲請(qǐng)求，連接網(wǎng)關(guān)檢查用戶(hù)是否已經(jīng)認(rèn)證，如果未認(rèn)證，將認(rèn)證請(qǐng)求重定向到網(wǎng)關(guān)。

（3）用戶(hù)提交身份信息到網(wǎng)關(guān)進(jìn)行認(rèn)證。

（4）網(wǎng)關(guān)生成Ticket，并經(jīng)客戶(hù)端重定向至Filter。

（5）Filter提交Ticket至網(wǎng)關(guān)。

（6）網(wǎng)關(guān)通過(guò)SAML協(xié)議，返回用戶(hù)主Token。

（7）Filter根據(jù)主Token，生成動(dòng)態(tài)Token并返回給客戶(hù)端。客戶(hù)端攜帶動(dòng)態(tài)Token訪問(wèn)應(yīng)用系統(tǒng)。

納稅服務(wù)平臺(tái)電子認(rèn)證服務(wù)也可以使用數(shù)字證書(shū)接口方式實(shí)現(xiàn)身份認(rèn)證，實(shí)現(xiàn)原理和身份認(rèn)證網(wǎng)關(guān)一樣。但由于用戶(hù)使用身份認(rèn)證網(wǎng)關(guān)進(jìn)行身份認(rèn)證后可以直接訪問(wèn)應(yīng)用系統(tǒng)，身份認(rèn)證不占用業(yè)務(wù)系統(tǒng)軟硬件資源、訪問(wèn)速度快、系統(tǒng)業(yè)務(wù)處理效率高；此外，身份認(rèn)證網(wǎng)關(guān)采用旁路部署，網(wǎng)關(guān)對(duì)用戶(hù)透明，用戶(hù)體驗(yàn)好，并且不在現(xiàn)在業(yè)務(wù)系統(tǒng)做任何開(kāi)發(fā)，不用更改現(xiàn)有網(wǎng)絡(luò)拓?fù)?，易于兼容原有系統(tǒng)。所以推薦使用身份認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)身份認(rèn)證。

參考文獻(xiàn)：

[1]盧開(kāi)澄.計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全[M].計(jì)算機(jī)密碼學(xué)，1998.

[2]沈華.電子政務(wù)統(tǒng)一認(rèn)證體系設(shè)計(jì)與研究[D].2005.