P I K 在淮 国安税网上 申 系报统 中的应 用刘 健
(淮安 市国家税 务局 江苏 ,淮安 2 3 0 ) 210
摘 :介要 绍了 P I K的理论技术 和,及该技以术淮安 在税 网上申国报 统中的系 应,描用述 P I 术了提有 供效的 息安信服全务的 K 具体 技实 ,解决 现申报 系统了的中身认证份, 息信机 的密,信性的完息整性信息,不的抵可 性的问题赖. 关键 词:网 申报 上信;安息 全; 字数 书证 ;P KI
h TA ipa i n fe pl t o o P KI nh F i aTxc i te l e eRu r s t nO in Sy t mo fln es e H i una a M u i pl nc ia O if o S e fcte f t aAd n sr to o T ato nmi i ta i n xafi L
Ja U I in
a(a bx lan Tui n C .nsy2 0 C/1 h tnl)a lh Ha~ , ,/ gu, 52 0 ,ah / a t u ' 1/a
An ba t Tthsa e toi e ut he Pct ngl rs c: i ppr nrd sc hte I eK oh yo.a We 1at e e ohoy plai n hn f e ar rs tin sse s I sh t c nl ga pi t oit ei x etn uole yt mo H a a c l n fu ni
M upli f i o S a nc eai Ofc e f t t A dnt in f a a ani dr este K eIh o oyo r v d ef ci ne mo ia cs yr ves cad e o v mdiirt ooT xt , ci esh P t nc gl t po e feit v ri t e uo isrie, n s lre o b f s tn e t dnyi hu in o t i,fr t oc inetayi ih tt a t et a i nnoma i e c on fn l di
,t
ifr tn en r yonm ia i tg io t
,
i frto n e n uit on o m an o ir p-d in .
Ka e w o dy s:r lFa rtr ns i it x e n uole ; bP el ni uKe I aft ur tIf torS c ry Dii;ac y n r srce;noua in mue tig tlr i it Cte e cfa
引 1言
随着世 界济经全球化 网络,化发展 ,互联 网及的相 技
关 的成术并 熟泛推广 广网,上 税收业也蓬务勃发展起来 ,信 息
抵赖 抗 . 性用利 KP1 们能 够 方便 地 建立 和 维 护 一 个 人
信 的可,大 模 规网络计 算环 ,并境 且 能够 确 认 此彼的 身 份 ,
安 全进地行 信息 换 交
在. 网络传输 中全安的重要性突 显来 出同. 时随,着密 技码 术
2 2数字书 证
数.字 书 证一 个包是 用 含户 身信 息份和 公钥信 ,息并
可由信 的 第 三 方 权机 威 进构行 了数 字签 名 的文 或 数件据 结 构 . 由于 数字证 中书含 证书 持有包者的 钥 信公息,而且 每
的发展
,产 生了 P r bcP Ky rIst e Ku " u i n ae r c,公r基钥 础 ( l ftu 设 ) 施 术它, 使用熟成公开的密机制钥,综合了密码 术技,技
数摘要字技 ,术数签字 等名多安项技术 以及全 一套成熟 的
安全管
理 机来制供提效有信息的全服务 安P.K I技术己经 被 泛广应用 于子电政务和 电子务商 被证, 是保明 基证于互 网联 的子政电和务 电子务安商 全最的佳决解方案 . 本文 主 包括要以下 方 面 的两内容 一是: 根 据 对前目
安淮 国税网 上申 报系统 研的究 ,发现 其 存 的安在全威胁 ;二
张证书都 有个 一相 对 的应用
户私钥 因此数,字证 书 体系继 承了 公 密 码体钥 系 数据的 加密 ,密 钥交换和 数 字签 的名 特性 . 同又 由时 于数字 证书中 包证 含书持有者 的个 人身份 信息 而 ,且 身份信 和息 公钥的正 确 由可性 信公正 第三的 来 方 证 .因此保在进 行身 份 鉴别 ,字数 名 签时 加更 观 .可 以 直
供提更多 信 息更,具 可信性
.针是 对存 在 的安 威全胁 ,运用 P K 术 在I 淮 国税安 上网 技
报 申统 系中解 决身 认份 证,信 息机 的密 性,完整性 ,不可 赖抵性 问的 题 . 通 过在 淮 安 税国 的网 上 申报 系统 用 应KI P术, 实 技现 了 提升 安 性全能 的目 . 的
1
3P .I K服务 P
作为全安基 础设施 ,能 不 同 的用户为 按 同不安 全 I
需求K提 供种 多全 安务 .服 括身份 包认证 认 ,证 息 的机信密
性 完整, 性和不 可抵赖性 .
()
1身份认 (证u hnai )i 的息 接者 应收 能该 tAet t n :信c o
够 确 认 息信 的 来源, 得 使 交 易双 方的 身 份 不能 入被 侵 者 假
2简
介
2 1. 钥基础公设 施PI ul( en atc u) PbiKK y I rs u te c r r
数f字摘要 技 术, 字数签 名 等多项安全 术 以及 一套技成 熟的 全安 理管 制 机提 供来有效 的信 息 安 服务 ,全通 过建 设C (Ae t t niA hur y C r f a i toi, 书证 认 证中心 ) 证心 中用为 i cot 认
户 签数发字证 书 用户,在 业务 系 统使用 中书证,完成用 户的 身认份 ,访 问控制 证以及 信 传输 息的机 性密 完 整性, 和
冒
伪或 ;装
(
数据的机 性 密 o( fet Ⅱ :确保y一计个机系算 2 ) C n in it d )a( 息)的完整 性 ( e rtn 息) 收者应 接能 够该 信3 I g ti y信 验: 接证 收 到的信息在 传 送过 程没 中有 被篡改 因此 ,侵 者 入不 可
能用 虚消假息 替代 合法消 ;息
P
技 术 使用 熟成的公 密钥机开 ,综合制 密了码技 术 统 中的信息,被和传的输息信能仅被授让读取的双方得权到 ;IK
() 可赖 抵 ( o性 R p- din a:交易 旦 达成一, 4 N不n ue t )i o
发送 者 事后不 否能 认 他所 送 发消的息.
原3淮安 税国 网 上申 报系存 在的风统 险 原 淮
国税 网安上 报申 统存 系的在风险 如 下 : () 上 申报 系统 登的录 口 令 申报和提 交 数 据的 都 是 1网以明 形文式 在在 互联 网 传输 ,上 有没 采 相用应 的技 手术 段来保 障 申数报据 全 安.容 发易 生 口令 窃 被 , 申取报数 据被 窥 ,被 篡改 等偷 问 . 题( ) 2 上网申 报 统系没 为有 纳 税人 提 能 供够 证明 己自已 如 期如 实进 ,行 报 申的子电凭证 .实 工作 中已际经出现 部 分企 业用 网 上式 方申 后 报,因 各为 种原因 导, 致申报 系 统没有 接 申报数到 据 问题的 .
心
图
1电子 名 签的关 环 节 键
纳
税 人 自用 己私 钥对 信的息 摘进 要行 加密 , 形数 成 字签 ,附加 在名原 文 上之,再 用 接收 方的公 对 钥个整 件 文进
4 IP K在淮 安国税 网上申报 系 统 中的应
4 1用建 立 I 系解 P征决纳双 身方真实份性的问题 . K体用户
份身 的安全 是系 安 全统的 门户 , 必须过通 效有 的 技 术 手 段 能够惟 确 一定用 户的身 份 . 于 PKI 基的系 数体 字证 认 书技证术 ,不 可 仅对 以户用身 份进 行 强认 证 还,
可
行 密 ,加接 方收 到收密文后 , 用自 己私的 钥对 密文 进行 解
密
, 得到对 方的原 文和 字数签 名 再 根 . 据同样的 希哈 算 法从原 文 中 计 出算信 息 摘要, 然与 用后对方公 钥 解 密所 到
得签 名 的 进行 较比,如 数 据果在 传 和输处 理过 中被程 篡 ,改
收 方接 不会 就 收正到确 数 的签字 名; 如 完 果全 致 .就表一 明
数据遭 篡 改 未, 息信是完 整的 .任 何 人可都 以通过 用使
以 对户 用操的 进 作行 字签 数 名加与密 ,有 效防 了信息 被 篡改止和抵 赖 .目 的前登录 方 式主 要 采智 能 用EYK的 " 双 因认 证素"方式 用 , 不户仅要拥 有惟 一 代 表 身 份 其智的 能 K Y,还E要 同 时指导该 K YE的 P I , 码有只 两样 同时 满N 时 足用 户, 能登才 录统 .系 从而最大 程 度地 保证 了 户 用身份
的 全安.
他
的公钥人 来确 认签 名的正 性确 ,由于 字数 签名 能只 私由 钥 的真 正拥 有 者来生成 . 所以 , 送发方 无 对 信法息 发送行
为 行进 抵赖.
合 数结字签 技 术名 , 安淮国 网税上申 报 统系 实现了 电 子 执回 生的 成下,载 ,查询和 第 方三 证验 为建,立起 网上 申报 纠纷 解 机 制决提供可 靠的技 基础术. 前 ,目基于 P IK 数的字 证 书 已 放 发了 20 0 0 份多 , 证书 数 量占 安淮 市国 家
税务 局 般一 纳税 总 数 人的3 %左 右 有,效地 提 高了税 务 0
纳当税人 利 网上 用申报 系 进 行统 税纳 报 时 申,税纳人
将
己在自CA 中心 获得 数 的证 字发 送书 给税 国机 关( 数 该字
证书包 括 税 人 纳的身 份 息信 公钥和,以及 CA 中心的私 钥 签名 ) , 税务 机关在 到 纳税 人收 发 来 数的字 书证后 用利 纳 税人 的公 钥 验证纳税 人 的数字 签 ,如名果签名 通过 验证
则, 证明纳税 人持有的 书 证真 的是. 这样 , 税务 机 就 可关以
部
门的 公效办率 , 让业企足 不 户就出可 以 安全 ,准确 快 ,捷 办地理 申 报业 务.
结束5语 本
文 介 绍 PK了 I 术在 淮 安国 税 网 申上报业 务中 的 应技用 ,有 地加 效强申报 安 全 的性.随 着PKI 术
在 不断 技 发展 如,何减 少 身份 认证 制机 信 息和证认机 制 中计 的量 算 通 和量 信,而 同 又 时能提 较 高供 安的 性 能 ,全是 信息 安 全领 域
的 究研 人进 一 员需步要研 究的 课 题0.
根
据 纳税 人身的份 赋 予其 相 的应身份 限权 去访 问上 网申
报系统 .
同样
,纳 税 也可 人采以 同样用 方 法的验证税 机 关务的 真 实 性 当纳.税人 需 要 进 行网上 申报业 务时 ,税向务机 关 网 上申报 服 务提 器验出证请 求 , 税 务 机将 自己的数 关字 证
发书送给 纳人 税纳,税人利用 C 下载 A的税务机 关公 进钥 验行 证如 ,果验 证 过通 , 则可 证以明税务 机身 份关的真 实 性
.
参
考献 :
文] 先 [红.数 字 名 原 签 及理 技术 . 械工 业 出 版1 机
社张 , O . 4—7 2 . 5O
在
网上 报 申统系 中税 ,务 机 关和银 行之间 也以 通可 过
[
1 w 】 著 . 张s 玉 清, 建陈 奇等 译 . 基 钥础 2A rI N dea h 等公设 施 (K ) IP: 现实和 管 理电 子 安 全清 华. 大 学出 版 社 , 200
:12 -2 6. 2
采 这种 方式 实现 相用 互份身的 鉴别 认证
.
4 2加入字证数 书现实 申报数据 的 密机 性 完整和性 .
不可赖 性抵
这 主 通要数 字 过签名 来 成完 ,数字 签名 就 根是据单 向
[】 晓军 .K 技 术 及 应 用 其的 分析 .算 机 技术 与 发 展 5邓 P,l 计 20
年 I 0, 8 8 (第 6卷期 ) .
散
算 列 法对原, 文 生产一个 能 体现原文 特 和文 征签件 署 人
特征 的1 位信 息8摘要 , 这 哈 种希算法 主 的特要 是 输点人 2数 据的任何变化 会都 起引输 出 数 的据不 预 可 的极大测 化变. 电子 签 关键名环节 如图1 示 . 所 作
者简 介刘: 健( 79 ,男 本,科 初,职级 称,淮安市 】 一7
)国家 税 务局 应 ,用 研究 .
稿 日期 :收 02 —4 0 0-90 一 1
曩
军 7 3
P I K 在淮 国安税网上 申 系报统 中的应 用刘 健
(淮安 市国家税 务局 江苏 ,淮安 2 3 0 ) 210
摘 :介要 绍了 P I K的理论技术 和,及该技以术淮安 在税 网上申国报 统中的系 应,描用述 P I 术了提有 供效的 息安信服全务的 K 具体 技实 ,解决 现申报 系统了的中身认证份, 息信机 的密,信性的完息整性信息,不的抵可 性的问题赖. 关键 词:网 申报 上信;安息 全; 字数 书证 ;P KI
h TA ipa i n fe pl t o o P KI nh F i aTxc i te l e eRu r s t nO in Sy t mo fln es e H i una a M u i pl nc ia O if o S e fcte f t aAd n sr to o T ato nmi i ta i n xafi L
Ja U I in
a(a bx lan Tui n C .nsy2 0 C/1 h tnl)a lh Ha~ , ,/ gu, 52 0 ,ah / a t u ' 1/a
An ba t Tthsa e toi e ut he Pct ngl rs c: i ppr nrd sc hte I eK oh yo.a We 1at e e ohoy plai n hn f e ar rs tin sse s I sh t c nl ga pi t oit ei x etn uole yt mo H a a c l n fu ni
M upli f i o S a nc eai Ofc e f t t A dnt in f a a ani dr este K eIh o oyo r v d ef ci ne mo ia cs yr ves cad e o v mdiirt ooT xt , ci esh P t nc gl t po e feit v ri t e uo isrie, n s lre o b f s tn e t dnyi hu in o t i,fr t oc inetayi ih tt a t et a i nnoma i e c on fn l di
,t
ifr tn en r yonm ia i tg io t
,
i frto n e n uit on o m an o ir p-d in .
Ka e w o dy s:r lFa rtr ns i it x e n uole ; bP el ni uKe I aft ur tIf torS c ry Dii;ac y n r srce;noua in mue tig tlr i it Cte e cfa
引 1言
随着世 界济经全球化 网络,化发展 ,互联 网及的相 技
关 的成术并 熟泛推广 广网,上 税收业也蓬务勃发展起来 ,信 息
抵赖 抗 . 性用利 KP1 们能 够 方便 地 建立 和 维 护 一 个 人
信 的可,大 模 规网络计 算环 ,并境 且 能够 确 认 此彼的 身 份 ,
安 全进地行 信息 换 交
在. 网络传输 中全安的重要性突 显来 出同. 时随,着密 技码 术
2 2数字书 证
数.字 书 证一 个包是 用 含户 身信 息份和 公钥信 ,息并
可由信 的 第 三 方 权机 威 进构行 了数 字签 名 的文 或 数件据 结 构 . 由于 数字证 中书含 证书 持有包者的 钥 信公息,而且 每
的发展
,产 生了 P r bcP Ky rIst e Ku " u i n ae r c,公r基钥 础 ( l ftu 设 ) 施 术它, 使用熟成公开的密机制钥,综合了密码 术技,技
数摘要字技 ,术数签字 等名多安项技术 以及全 一套成熟 的
安全管
理 机来制供提效有信息的全服务 安P.K I技术己经 被 泛广应用 于子电政务和 电子务商 被证, 是保明 基证于互 网联 的子政电和务 电子务安商 全最的佳决解方案 . 本文 主 包括要以下 方 面 的两内容 一是: 根 据 对前目
安淮 国税网 上申 报系统 研的究 ,发现 其 存 的安在全威胁 ;二
张证书都 有个 一相 对 的应用
户私钥 因此数,字证 书 体系继 承了 公 密 码体钥 系 数据的 加密 ,密 钥交换和 数 字签 的名 特性 . 同又 由时 于数字 证书中 包证 含书持有者 的个 人身份 信息 而 ,且 身份信 和息 公钥的正 确 由可性 信公正 第三的 来 方 证 .因此保在进 行身 份 鉴别 ,字数 名 签时 加更 观 .可 以 直
供提更多 信 息更,具 可信性
.针是 对存 在 的安 威全胁 ,运用 P K 术 在I 淮 国税安 上网 技
报 申统 系中解 决身 认份 证,信 息机 的密 性,完整性 ,不可 赖抵性 问的 题 . 通 过在 淮 安 税国 的网 上 申报 系统 用 应KI P术, 实 技现 了 提升 安 性全能 的目 . 的
1
3P .I K服务 P
作为全安基 础设施 ,能 不 同 的用户为 按 同不安 全 I
需求K提 供种 多全 安务 .服 括身份 包认证 认 ,证 息 的机信密
性 完整, 性和不 可抵赖性 .
()
1身份认 (证u hnai )i 的息 接者 应收 能该 tAet t n :信c o
够 确 认 息信 的 来源, 得 使 交 易双 方的 身 份 不能 入被 侵 者 假
2简
介
2 1. 钥基础公设 施PI ul( en atc u) PbiKK y I rs u te c r r
数f字摘要 技 术, 字数签 名 等多项安全 术 以及 一套技成 熟的 全安 理管 制 机提 供来有效 的信 息 安 服务 ,全通 过建 设C (Ae t t niA hur y C r f a i toi, 书证 认 证中心 ) 证心 中用为 i cot 认
户 签数发字证 书 用户,在 业务 系 统使用 中书证,完成用 户的 身认份 ,访 问控制 证以及 信 传输 息的机 性密 完 整性, 和
冒
伪或 ;装
(
数据的机 性 密 o( fet Ⅱ :确保y一计个机系算 2 ) C n in it d )a( 息)的完整 性 ( e rtn 息) 收者应 接能 够该 信3 I g ti y信 验: 接证 收 到的信息在 传 送过 程没 中有 被篡改 因此 ,侵 者 入不 可
能用 虚消假息 替代 合法消 ;息
P
技 术 使用 熟成的公 密钥机开 ,综合制 密了码技 术 统 中的信息,被和传的输息信能仅被授让读取的双方得权到 ;IK
() 可赖 抵 ( o性 R p- din a:交易 旦 达成一, 4 N不n ue t )i o
发送 者 事后不 否能 认 他所 送 发消的息.
原3淮安 税国 网 上申 报系存 在的风统 险 原 淮
国税 网安上 报申 统存 系的在风险 如 下 : () 上 申报 系统 登的录 口 令 申报和提 交 数 据的 都 是 1网以明 形文式 在在 互联 网 传输 ,上 有没 采 相用应 的技 手术 段来保 障 申数报据 全 安.容 发易 生 口令 窃 被 , 申取报数 据被 窥 ,被 篡改 等偷 问 . 题( ) 2 上网申 报 统系没 为有 纳 税人 提 能 供够 证明 己自已 如 期如 实进 ,行 报 申的子电凭证 .实 工作 中已际经出现 部 分企 业用 网 上式 方申 后 报,因 各为 种原因 导, 致申报 系 统没有 接 申报数到 据 问题的 .
心
图
1电子 名 签的关 环 节 键
纳
税 人 自用 己私 钥对 信的息 摘进 要行 加密 , 形数 成 字签 ,附加 在名原 文 上之,再 用 接收 方的公 对 钥个整 件 文进
4 IP K在淮 安国税 网上申报 系 统 中的应
4 1用建 立 I 系解 P征决纳双 身方真实份性的问题 . K体用户
份身 的安全 是系 安 全统的 门户 , 必须过通 效有 的 技 术 手 段 能够惟 确 一定用 户的身 份 . 于 PKI 基的系 数体 字证 认 书技证术 ,不 可 仅对 以户用身 份进 行 强认 证 还,
可
行 密 ,加接 方收 到收密文后 , 用自 己私的 钥对 密文 进行 解
密
, 得到对 方的原 文和 字数签 名 再 根 . 据同样的 希哈 算 法从原 文 中 计 出算信 息 摘要, 然与 用后对方公 钥 解 密所 到
得签 名 的 进行 较比,如 数 据果在 传 和输处 理过 中被程 篡 ,改
收 方接 不会 就 收正到确 数 的签字 名; 如 完 果全 致 .就表一 明
数据遭 篡 改 未, 息信是完 整的 .任 何 人可都 以通过 用使
以 对户 用操的 进 作行 字签 数 名加与密 ,有 效防 了信息 被 篡改止和抵 赖 .目 的前登录 方 式主 要 采智 能 用EYK的 " 双 因认 证素"方式 用 , 不户仅要拥 有惟 一 代 表 身 份 其智的 能 K Y,还E要 同 时指导该 K YE的 P I , 码有只 两样 同时 满N 时 足用 户, 能登才 录统 .系 从而最大 程 度地 保证 了 户 用身份
的 全安.
他
的公钥人 来确 认签 名的正 性确 ,由于 字数 签名 能只 私由 钥 的真 正拥 有 者来生成 . 所以 , 送发方 无 对 信法息 发送行
为 行进 抵赖.
合 数结字签 技 术名 , 安淮国 网税上申 报 统系 实现了 电 子 执回 生的 成下,载 ,查询和 第 方三 证验 为建,立起 网上 申报 纠纷 解 机 制决提供可 靠的技 基础术. 前 ,目基于 P IK 数的字 证 书 已 放 发了 20 0 0 份多 , 证书 数 量占 安淮 市国 家
税务 局 般一 纳税 总 数 人的3 %左 右 有,效地 提 高了税 务 0
纳当税人 利 网上 用申报 系 进 行统 税纳 报 时 申,税纳人
将
己在自CA 中心 获得 数 的证 字发 送书 给税 国机 关( 数 该字
证书包 括 税 人 纳的身 份 息信 公钥和,以及 CA 中心的私 钥 签名 ) , 税务 机关在 到 纳税 人收 发 来 数的字 书证后 用利 纳 税人 的公 钥 验证纳税 人 的数字 签 ,如名果签名 通过 验证
则, 证明纳税 人持有的 书 证真 的是. 这样 , 税务 机 就 可关以
部
门的 公效办率 , 让业企足 不 户就出可 以 安全 ,准确 快 ,捷 办地理 申 报业 务.
结束5语 本
文 介 绍 PK了 I 术在 淮 安国 税 网 申上报业 务中 的 应技用 ,有 地加 效强申报 安 全 的性.随 着PKI 术
在 不断 技 发展 如,何减 少 身份 认证 制机 信 息和证认机 制 中计 的量 算 通 和量 信,而 同 又 时能提 较 高供 安的 性 能 ,全是 信息 安 全领 域
的 究研 人进 一 员需步要研 究的 课 题0.
根
据 纳税 人身的份 赋 予其 相 的应身份 限权 去访 问上 网申
报系统 .
同样
,纳 税 也可 人采以 同样用 方 法的验证税 机 关务的 真 实 性 当纳.税人 需 要 进 行网上 申报业 务时 ,税向务机 关 网 上申报 服 务提 器验出证请 求 , 税 务 机将 自己的数 关字 证
发书送给 纳人 税纳,税人利用 C 下载 A的税务机 关公 进钥 验行 证如 ,果验 证 过通 , 则可 证以明税务 机身 份关的真 实 性
.
参
考献 :
文] 先 [红.数 字 名 原 签 及理 技术 . 械工 业 出 版1 机
社张 , O . 4—7 2 . 5O
在
网上 报 申统系 中税 ,务 机 关和银 行之间 也以 通可 过
[
1 w 】 著 . 张s 玉 清, 建陈 奇等 译 . 基 钥础 2A rI N dea h 等公设 施 (K ) IP: 现实和 管 理电 子 安 全清 华. 大 学出 版 社 , 200
:12 -2 6. 2
采 这种 方式 实现 相用 互份身的 鉴别 认证
.
4 2加入字证数 书现实 申报数据 的 密机 性 完整和性 .
不可赖 性抵
这 主 通要数 字 过签名 来 成完 ,数字 签名 就 根是据单 向
[】 晓军 .K 技 术 及 应 用 其的 分析 .算 机 技术 与 发 展 5邓 P,l 计 20
年 I 0, 8 8 (第 6卷期 ) .
散
算 列 法对原, 文 生产一个 能 体现原文 特 和文 征签件 署 人
特征 的1 位信 息8摘要 , 这 哈 种希算法 主 的特要 是 输点人 2数 据的任何变化 会都 起引输 出 数 的据不 预 可 的极大测 化变. 电子 签 关键名环节 如图1 示 . 所 作
者简 介刘: 健( 79 ,男 本,科 初,职级 称,淮安市 】 一7
)国家 税 务局 应 ,用 研究 .
稿 日期 :收 02 —4 0 0-90 一 1
曩
军 7 3