文/曹爽

信息安全的核心是通過計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和安全技術(shù)，保護(hù)在信息系統(tǒng)中傳輸、交換和存儲的消息的機(jī)密性、完整性、可用性、不可否認(rèn)性、可靠性和可控性?；诠€基礎(chǔ)設(shè)施的數(shù)字證書技術(shù)就是信息安全保障中的重要手段。

1　數(shù)字證書技術(shù)

1.1　公鑰基礎(chǔ)設(shè)施

公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI），是基于公鑰理論和技術(shù)建立的網(wǎng)絡(luò)信息安全技術(shù)體系，是一種遵循標(biāo)準(zhǔn)、為用戶提供公鑰證書管理、密鑰管理、網(wǎng)絡(luò)信息安全應(yīng)用和安全管理的基礎(chǔ)設(shè)施，主要解決大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)和信任問題。公鑰基礎(chǔ)設(shè)施的理論基礎(chǔ)是非對稱密鑰密碼體制。公鑰基礎(chǔ)設(shè)施一般由認(rèn)證系統(tǒng)（Certification Authority，CA）、 注冊系統(tǒng)（Registration Authority，RA）、證書庫等部分組成。

1.2　數(shù)字證書

數(shù)字證書是公鑰基礎(chǔ)設(shè)施的現(xiàn)實(shí)載體，與現(xiàn)實(shí)世界的身份證類似，能夠證明個(gè)人、團(tuán)體或設(shè)備的身份。通過數(shù)字證書我們可以實(shí)現(xiàn)身份認(rèn)證、信息加密、簽名等一系列安全操作。如同身份證由公安局頒發(fā)一樣，數(shù)字證書由CA頒發(fā)，與身份證上公安局蓋章類似，CA對證書內(nèi)容進(jìn)行數(shù)字簽名。技術(shù)上分析，數(shù)字證書是一段經(jīng)CA簽名的、包含擁有者身份信息和公開密鑰的數(shù)據(jù)體。數(shù)字證書和一對公、私鑰相對應(yīng)。公鑰以明文形式放到數(shù)字證書中，私鑰為擁有者掌握。

2　稅務(wù)數(shù)字證書系統(tǒng)

2.1　建設(shè)情況

金稅三期工程所建成的稅務(wù)數(shù)字證書系統(tǒng)是稅務(wù)系統(tǒng)信息安全保障體系的重要組成部分，該系統(tǒng)自2011年起實(shí)施，目前，全國所有省國稅局和部分省地稅局部署該系統(tǒng)。

2.2　總體設(shè)計(jì)

稅務(wù)數(shù)字證書系統(tǒng)提供證書簽發(fā)、更新、注銷等全生命周期管理，并為各類業(yè)務(wù)系統(tǒng)證書應(yīng)用需求提供支持。該系統(tǒng)采用總局和省局兩級部署，建設(shè)兩套，一套主要為稅務(wù)人員服務(wù)，另一套主要為納稅人提供服務(wù)。

稅務(wù)數(shù)字證書系統(tǒng)主要包含五個(gè)子系統(tǒng)，功能如下：密鑰管理系統(tǒng)（KMC）負(fù)責(zé)加密密鑰的生產(chǎn)和管理；證書簽發(fā)系統(tǒng)（CSS）負(fù)責(zé)用戶數(shù)字證書的簽發(fā)和管理；證書注冊系統(tǒng)（RA）負(fù)責(zé)用戶數(shù)字證書的注冊管理；證書狀態(tài)查詢系統(tǒng)（OCSP）為用戶提供證書狀態(tài)查詢服務(wù)；證書目錄服務(wù)（LDAP）為用戶或應(yīng)用系統(tǒng)提供證書和證書撤銷列表（CRL）查詢服務(wù)。

2.3　高可用性設(shè)計(jì)

為實(shí)現(xiàn)稅務(wù)數(shù)字證書系統(tǒng)的高可用性，提升容災(zāi)能力，根據(jù)金稅三期工程總體架構(gòu)設(shè)計(jì)方案，稅務(wù)數(shù)字證書系統(tǒng)在兩地建設(shè)了雙中心，分別作為生產(chǎn)環(huán)境和災(zāi)備環(huán)境，通過數(shù)據(jù)安全傳輸系統(tǒng)實(shí)現(xiàn)兩中心間的異地?cái)?shù)據(jù)備份，出現(xiàn)緊急情況可進(jìn)行生產(chǎn)環(huán)境切換。

2.4　稅務(wù)數(shù)字證書

2013年，稅務(wù)總局發(fā)布中華人民共和國稅務(wù)行業(yè)標(biāo)準(zhǔn)《SWT 6-2013稅務(wù)系統(tǒng)數(shù)字證書格式標(biāo)準(zhǔn)》，該標(biāo)準(zhǔn)在遵循GB/T 20518-2006《信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式》標(biāo)準(zhǔn)的基礎(chǔ)上結(jié)合稅務(wù)行業(yè)特點(diǎn)制訂。該標(biāo)準(zhǔn)規(guī)定了稅務(wù)系統(tǒng)數(shù)字證書基本格式。按使用對象，稅務(wù)數(shù)字證書通常分為人員證書、設(shè)備證書、機(jī)構(gòu)證書三種類型。人員證書包括操作員證書、稅務(wù)人員證書和納稅人證書。

2.5　應(yīng)用情況

稅務(wù)數(shù)字證書系統(tǒng)作為核心安全基礎(chǔ)設(shè)施，通過簽名認(rèn)證系統(tǒng)為各類稅務(wù)應(yīng)用系統(tǒng)提供身份認(rèn)證、加解密和簽名驗(yàn)簽等功能，并提供了標(biāo)準(zhǔn)化的安全接口供調(diào)用。

隨著稅務(wù)數(shù)字證書系統(tǒng)建設(shè)完成，經(jīng)過數(shù)年的推廣應(yīng)用，稅務(wù)數(shù)字證書在網(wǎng)上申報(bào)、財(cái)稅庫銀、外部數(shù)據(jù)交換等信息系統(tǒng)中得到廣泛應(yīng)用，稅務(wù)系統(tǒng)網(wǎng)絡(luò)安全保障水平也因此得到極大提升。2014年增值稅發(fā)票管理新系統(tǒng)推行中，稅務(wù)數(shù)字證書與發(fā)票新系統(tǒng)緊密結(jié)合，在業(yè)務(wù)流程中的各個(gè)環(huán)節(jié)充分利用稅務(wù)數(shù)字證書實(shí)現(xiàn)了涉稅業(yè)務(wù)的應(yīng)用安全，成為其必不可少的組成部分。

3　發(fā)展思路

3.1　升級密碼算法

按照國家加強(qiáng)密碼管理，推進(jìn)國產(chǎn)密碼算法應(yīng)用，確保自主可控的工作要求，稅務(wù)數(shù)字證書系統(tǒng)也需要進(jìn)行相應(yīng)優(yōu)化調(diào)整。調(diào)整過程應(yīng)以不影響現(xiàn)有系統(tǒng)和已發(fā)證納稅人的正常使用為原則，可分步驟完成整體升級：

（1）升級現(xiàn)有稅務(wù)數(shù)字證書系統(tǒng)，具備發(fā)放新算法證書的能力；

（2）升級其他有證書應(yīng)用需求的業(yè)務(wù)系統(tǒng)。

3.2　優(yōu)化部署架構(gòu)

隨著在增值稅發(fā)票管理新系統(tǒng)等核心業(yè)務(wù)領(lǐng)域的廣泛應(yīng)用，稅務(wù)數(shù)字證書系統(tǒng)支撐作用愈發(fā)重要，成為稅收業(yè)務(wù)正常開展的基礎(chǔ)保障。為保障持續(xù)穩(wěn)定運(yùn)行，需要考慮軟件升級優(yōu)化與硬件設(shè)備擴(kuò)充來支撐逐步擴(kuò)大的用戶量和性能要求。

3.3　拓寬應(yīng)用范圍

隨著網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，如何加強(qiáng)內(nèi)部管理、嚴(yán)控安全風(fēng)險(xiǎn)成為重要課題，而充分利用稅務(wù)數(shù)字證書就是一個(gè)行之有效的管理方法。今后，對于核心應(yīng)用系統(tǒng)，可以考慮引入稅務(wù)數(shù)字證書實(shí)現(xiàn)多因子認(rèn)證。同時(shí)，要深化稅務(wù)數(shù)字證書系統(tǒng)在電子稅務(wù)局等領(lǐng)域的應(yīng)用，進(jìn)一步提升納稅服務(wù)質(zhì)效，減輕納稅人負(fù)擔(dān)。

3.4　探索技術(shù)創(chuàng)新

信息技術(shù)迅猛發(fā)展，科技進(jìn)步成為推動社會前進(jìn)的主要力量，云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈從理論研究進(jìn)入到落地應(yīng)用階段。要實(shí)現(xiàn)稅收現(xiàn)代化，穩(wěn)固強(qiáng)大的信息體系必不可少，而新技術(shù)的應(yīng)用必將推動稅收信息化走入新的階段。作為基礎(chǔ)設(shè)施的稅務(wù)數(shù)字證書系統(tǒng)，核心價(jià)值在于為應(yīng)用提供穩(wěn)定可靠的安全支撐。隨著稅務(wù)應(yīng)用系統(tǒng)的架構(gòu)調(diào)整，稅務(wù)數(shù)字證書系統(tǒng)也需要適應(yīng)新技術(shù)和新應(yīng)用模式，適應(yīng)網(wǎng)絡(luò)安全新要求。