数字证书在税务系统中的应用
2016-2-29 16:24:31
◇纳税人的报税活动涉及到企业纳税信息(资金、税种、额度等)、国家财政税收信息等敏感信息。国税网上申报系统作为基于互联网的应用,在操作过程中不可避免面临由于虚拟、匿名、公开、明文等互联网特性而带来的信息安全问题。
◇为了保护网上报税业务数据的机密性、完整性和不可否认性,以及维护纳税人和税务部门的利益,国家税务总局要求必须利用数字证书和电子认证技术,在纳税人和税务部门之间构建起可靠的网络信任机制和信息安全保障。
◇经过近十年的发展,辽宁省已经实现“一企一证,一证通用”。通过工商部门颁发的“法人一证通”证书,可以在所有政府部门应用。已开通工商、地税、质监、社保、公积金中心、财政、经信委、药监、民政等多个部门应用,应用范围覆盖全省的企业。
一、需求分析:
目前国税网上申报系统的网络基础是互联网,而互联网固有的开放性又具有用户真实身份验证困难、信息在网络传输保密性差、容易遭受恶意篡改、用户容易抵赖其网络行为等问题;同时,在网上申报过程中没有产生具有法律效力的电子申报数据,极大增加了国税部门的业务安全风险,企业用户的权益也无法有效保障。
因此可以看出,网上申报系统安全需求主要包括以下内容:
1、确保纳税企业身份真实性;
2、确保申报信息传输的机密性;
3、确保网上申报过程中信息完整、不可否认性;
4、有效区分网上申报业务中申报企业和国税部门的责任。
二、方案设计:
1、设计思想
国税网上申报业务的安全保障核心,是在互联网开展的网上申报业务上实现传统的权益保障,建立基于“身份认证、授权管理、责任认定”网上申报业务的安全保障机制,实现对网上申报业务的安全保障。
本方案采用的总体思路是,在现有已成熟的申报系统框架下,依托《中华人民共和国电子签名法》,为企业用户颁发数字证书,网上申报系统通过集成数字证书及电子认证相关软硬件设备,为企业用户网上申报业务提供合法的数字证书强身份认证、合法电子签名、安全数字加密等功能,有效推动国税网上申报向安全化、合法化转变。
2、总体规划
在原有网上申报系统基础上,遵循《电子签名法》,建设数字证书和电子认证服务相关软硬件,搭建完整高效的信息安全保障体系。
申报系统企业端,通过安全服务中间件完成对企业数字证书的操作,实现纳税人数字证书的获取、识别、解析、签名/验签、加密/解密等操作。
申报系统服务端,通过调用电子认证服务模块(网关设备)的服务接口,实现签名验证、服务端签名、加密/解密等功能,形成网络传输过程中的安全防篡改机制;
网上申报系统应用安全解决方案总体架构如下图所示:
3、服务端口
4、组网方案
依据前面的总体规划,组网方案如下:
1)依托LNCA服务体系,面向纳税人及相关管理人员签发数字证书;
2)纳税用户使用数字证书登录国税网上申报系统进行网上申报,申报数据采用SSL安全通道实现数据安全保护;
3)申报系统服务端部署站点证书,防止网站遭受钓鱼攻击,同时激活SSL安全通道协议保障数据传输过程的真实完整和防泄密;
4)在申报系统服务端部署信息安全网关,实现登录用户的身份认证、签名数据的验证检测和服务器签名保护。
5)辽宁CA证书管理系统与国税信息安全网关安全采用基于互联网的SSL安全连接(https),实时推送证书黑白名单,确保证书状态一致。
6)申报应用系统可以连接辽宁省统一认证平台,作为认证服务的备份方案,当本地信息安全网关无法正常提供服务时,由统一认证平台接替承载认证服务,确保申报业务不中断,进一步提高认证服务的高可用性
5、数字证书应用设计
纳税人身份认证
◆ 新办理证书的纳税人,下载数字证书驱动程序,打开网上申报系统页面,插入UsbKey数字证书进行强身份认证登录。
◆ 已办理地税业务的用户,无需再次下载安装数字证书驱动程序,打开网上申报系统页面,插入UsbKey数字证书进行强身份认证登录。啥
◆ 网上申报系统调用信息安全网关服务接口,对使用数字证书登录的用户信息进行身份验证,包括证书有效期、证书吊销列表、证书合法性等验证。
◆ 认证通过后,用户可以进入系统进行各项税务申报业务,申报数据通过SSL安全通道实现安全保护。
数字签名
◆ 用户登录系统后,填写申报数据;
◆ 申报系统客户端调用证书安全服务中间件,对申报数据进行数字签名;
◆ 数据签名信息随同申报材料一起提交到申报网站;
◆ 申报网站调用签名验签服务器服务接口,验证数字签名的真实有效,验证通过后存入数据库供后台工作人员进行审批;
◆ 内部工作人员审批通过后,安全存储在服务器,一旦发生纠纷,则可以作为电子证据,为责任认定提供依据;
◆ 为了强化数据的安全性,申报系统可调用签名验签服务器,对申报材料进行服务器端签名,此时申报材料具有申报单位和国税双方数字签名。