網上報稅中ＰＫＩ互操作性的研究

摘要：通過對網上報稅安全問題的分析，明確指出隨著《電子簽名法》的實施，采用PKI機制的網上報稅電子數據的法律地位得到解決后，PKI的互操作性問題是影響當前網上報稅安全的瓶頸。隨后對網上報稅應用與多個PKI互操作問題進行詳細分析，提出可以采用安全中間件架構（事務傳輸層）來解決網上報稅中PKI互操作問題。

關鍵詞：安全； 公鑰密碼基建； 互操作性； 中間件； 電子政務

中圖法分類號：TP309．2文獻標識碼：A

文章編號：1001－3695(2007)01-0167－03

1介紹

中國互聯網的蓬勃發展，把個人、企業和政府緊密聯系起來，政務電子化（尤其是稅務電子化）由于其大大提高了政府辦公效率，降低了辦公成本，已經成為時代發展的必然趨勢。

網上報稅系統通過互聯網方式進行報稅處理，為納稅人提供了完成納稅義務的方便手段，減輕了納稅負擔，加快了報稅速度，提高了稅收征管效率，降低了征收成本，確保了稅款能夠及時入庫，具有明顯的經濟效益和社會效益。然而，網絡是開放的，是高度自由的，也是不安全的。無論電子數據是在互聯網還是在專線上傳輸，都面臨著被竊聽、截取、竄改的可能。如果不解決安全問題，網上報稅即使具有再多的優越性，也難以順利推廣；甚至有可能由于數據泄密給納稅人帶來災難性損失，同時也會影響稅務機關的社會形象。

可見，安全性就是開展網上報稅業務的基本保障，是不可回避的。

2005年4月正式實施的《中華人民共和國電子簽名法》作為我國在電子商務和信息化領域的第一部法律，明確了電子交易的法律地位以及交易各方所應承擔的法律責任，指出：數據電文作為證據必須保證其真實性，應當考慮的因素[1]有：

①生成、存儲或者傳送數據電文方法的可靠性；

②保持內容完整性方法的可靠性；

③用于鑒別發件人的可靠性；

④其他相關因素。

數據電文可以作為電子政務、電子商務的證據。這解決了長期困擾網上報稅應用推廣的電子數據的法律地位問題。當前的重點是保證在互聯網及專線上傳輸的網上報稅電子數據的真實、完整、有效，以符合《電子簽名法》的要求。

網上報稅需要解決的安全問題主要體現在：

(1)通信安全。網上報稅要求系統能夠保證申報、返回回執等每一業務環節的安全，確保信息在傳輸過程中不被泄漏和竄改。

(2)身份認證和訪問控制。網上報稅是面向社會的，其服務對象不僅包括納稅相關人員還有非納稅人員，分別擔任著不同的角色，對應承擔的法律責任也不同。系統應該能對這些用戶進行身份識別并對其操作權限進行嚴格管理和控制。

(3)業務安全。網上報稅實現了企業、稅務、銀行及政府其他部門（如海關、工商局等）之間信息交換的無紙化。在每一環節應該保證公正（不可抵賴性）。這就要求系統對每一核心操作留有依據，一旦發生業務糾紛能夠提供法律證據。

在分布式環境下，安全問題的一個可行的解決方案就是采用公鑰密碼基建（PKI）。網上報稅也可以采用基于PKI的安全機制。這是因為網上報稅涉及到大量的用戶和組織，給每一次的通信雙方都分發和管理密鑰是不切實際的。公鑰密碼系統通過允許將加密后的密鑰公開而減輕了密鑰管理問題[2]。此外，基于電子交易的特性，不可抵賴性是一個根本的安全要求，公鑰密碼系統的數字簽名能力正是實現不可抵賴性最合適的方法[3]。

從20世紀90年代中期起，電子商務興起后，出于安全的考慮，大量基于PKI的應用得以推出。由于交易信息的保護一般受機構和業務應用的本質影響，這些根據機構和業務應用訂立的安全策略通常會加入到PKI證書中，所以不同的部門和行業往往需要建立自己的PKI體系。隨著我國《電子簽名法》的出臺，明確了電子簽名在我國具有與手寫簽名一樣的法律效力。可以預見，國內將有更多的部門、行業建立起基于自身信任管理機制的PKI體系。

對于一個相對封閉的用戶群體（如單位內部），形成一個自治PKI域，實施PKI以保證通信安全相對容易。然而在不同的域（即不同的PKI體系）之間，域間用戶就無法保證能順利進行安全通信。

一般的網上報稅系統涉及到幾萬家企業、銀行、稅務、國庫、工商以及海關等行政部門，在現實情況下，相當多的大型企業或行業，以及各行政單位都會針對自身安全策略的需要，建立起適合自身要求的PKI體系。要求所有這些單位部門都基于同一PKI體系，顯然不合實際。

因此，一個網上報稅應用就需要同時支持多個PKI。這樣的情況會導致網上報稅應用系統的復雜性不斷增加。因為每加入一個新的PKI，為了滿足新的PKI的安全策略需要，就勢必對應用進行修改以符合要求。隨著參與單位越來越多，新的PKI不斷加入，應用程序需要不停修改，進而影響了整個業務。應用與PKI之間的互操作性問題，歸根結底就是各PKI間的互操作性問題。從以上分析可以看出，網上報稅從安全角度而言，很重要的是要解決傳送、接收各方相互間PKI的互操作性問題。本文所指的PKI互操作性，就是在分布式系統中各部分（或組件）處理不同部分生產的PKI對象的能力。

2PKI互操作性

PKI互操作性也就是在整個PKI應用系統中各個不同組件之間進行PKI操作時的交互作用（兼容性）[4]。

這些交互作用體現在：

①同一個PKI中的各成分間的交互作用；

②不同PKI的交互作用；

③不同PKI應用的交互作用；

④PKI應用與其所基于的PKI之間的交互作用。

互操作性問題實際上是一個多維問題。當不同的PKI組成部分，如認證中心（CA）、注冊服務（RA）、 證書驗證服務（VA）和目錄服務（DS）互相作用時，存在著互操作性問題。當來自不同信任領域的PKI應用進行相互交流時，同樣存在互操作性問題，這時就要求對來自不同PKI的證書進行處理。而信任管理體系是高度依賴于政策的，各個組織政策之間的差異很大。當一個組織與來自不同信任領域的一個新的應用相連時，為了滿足新的不同信任管理政策的要求，需要改變應用的業務邏輯，這就必然影響了整個應用的穩定性。而信任領域既可以基于國家政府部門（省、市），也可以由產業、行業（如銀行、金融、交通等）定義這一事實，更是加劇了互操作性問題。圖1描述了PKI互操作的多維性。在地域、行業、技術中均存在多種不同的PKI體系。

圖1PKI互操作性的多維性

除了多維互操作性問題，在不同的信任領域同樣存在互操作性問題。通常，每一個PKI代表了一個信任領域，這個領域以CA作為信任的第三方。對于解決不同PKI發出的證書的互操作性問題的典型方法就是交叉證明和交叉識別，而交叉證明和交叉識別這些證書時，首先需要解決類似格式和證書的表示等技術問題。除此之外，更困難和更復雜的部分是不同的信任領域背后所基于的法律和政策的框架不同（甚至存在矛盾），就像對證書誤用的法律義務上的差別以及在不同CA之間不同的撤回政策等都進一步使情況變得更復雜。然而，這些問題都直接影響到應用層的設計與運作，都是在電子政務、電子商務事務中實現不可抵賴性的迫切需要，也是PKI應用中不可避免的。

網上報稅涉及不同的行業、地域、不同的行政部門。出于安全考慮，其中越來越多的單位建立起了基于自身信任領域的PKI體系。網上報稅將這些紛繁復雜、各成體系的PKI聯系在一起，如何解決復雜的PKI互操作性問題，使PKI的復雜性對整個應用的影響降到最低，是順利實現網上報稅的關鍵。下面將深入討論網上報稅的應用與PKI的互操作性問題，隨后基于中間件思想，我們提出一個解決網上報稅應用與PKI互操作的方案。

3網上報稅與PKI的互操作性

在PKI被公認為是一個滿足B2B事務需要的安全機制而被廣泛接受時，仍然存在著技術障礙阻礙著PKI在電子商務上的應用。其主要原因就是PKI模塊給電子商務/電子政務應用開發者帶來的復雜面。在實際應用中，不可避免的一些PKI相關的組件無法放置在PKI層，而同時卻又要求PKI服務被植入應用本身以確保應用是安全的。例如，廢除危及安全的密鑰所采取的機制與分發及撤回密鑰相關的證書列表的機制是相互獨立的。由于不同的應用所基于的政策相差很大，顯然將相互獨立的組件放置在同一PKI層是沒有意義的。

為了通過更好的安全保護達到進一步改善網上報稅的目的，首先考慮現有的網上報稅應用中的PKI實現（圖2）。在這個設計中，為了實現安全需求，網上報稅應用層需要與PKI層打交道，同時也需要直接操作PKI對象（數據結構），如數字證書等。正如上文提到的，PKI對象的格式和表示方法基于PKI的不同而差別很大，所以應用的實現往往需要為某一個特別的PKI而定制。

隨著網上報稅的應用推廣，系統需要與越來越多的企業、單位、其他組織的更多信息系統相聯系，于是，就面臨著應用程序需要處理許多不同的PKI和CA這種狀況。然而，當一個應用開發基于一個特殊的CA（假定為PKI#1）所發布的證書，即使只是采用了基本的工具和證書格式，應用也僅僅只能解釋PKI#1所發布的證書。對于一個應用而言很難期望知道其他證書提供者（假定為PKI#2）采用的格式和安全策略，也就無法處理PKI#2的證書。

這樣，就有必要在網上報稅應用設計時考慮處理不同PKI對象的問題，使得應用能夠與來自其他組織或不同信任領域的PKI組件協同工作。實際上，也就是需要應用程序自身能滿足所有PKI服務以及未來擴展的復雜性，這就使得問題變得更加復雜。一旦新的信任關系建立，應用軟件就需要擴展以滿足新的PKI。增加一個PKI#2后，網上報稅應用必須擴展以滿足基于PKI#2的數據格式和業務邏輯要求（圖3）。

這樣就帶來了兩個問題：①應用開發者為了能夠正確調用新的PKI服務，需要做出很大的努力去理解新的PKI層面的細節。而現實情況是應用開發者很難理解日益復雜的PKI技術；同時，從應用開發者的角度來看，安全只是整個應用中的一小部分，主要的開發工作應當集中在設計和實現應用軟件的業務邏輯中。

②每次建立一個新的連接，就需要對應用進行擴展修改以適應新的PKI的安全需求，如果應用不隨之修改，那么就無法與其他PKI相互協同工作，這使得整個網上報稅業務應用層變得很不穩定。PKI層與應用層之間的相互關聯關系將不斷改變。根據軟件發展原理，除非一個穩定和一個定義好的界面已經建立起來，否則只要下一層持續變化，那么上一層不可能穩定，而且使整個應用穩定正確運行的機會很小。

可以看出，目前影響網上報稅安全應用的一個關鍵瓶頸就是應用與PKI的互操作問題，歸根結底就是PKI的互操作問題。針對這個問題，我們建議在應用與PKI兩者之間利用一個穩固界面將持續擴展的PKI層對應用層的影響進行屏蔽。

4安全中間件

為了滿足PKI互操作性而需要不斷地改變應用軟件，這顯然存在很大的技術與管理問題。為了解決這些問題，我們建議利用一個中間件層將PKI相關組件從應用層中分離出來，以解決PKI組件的復雜性和多樣性。針對這些需求，文獻[5]提出的事務傳輸層對網上報稅系統的安全設計比較合適。

事務傳輸層實際上就是安全中間件，它改變了應用與PKI之間的緊耦合關系，為電子商務（政務）的應用提供了一個簡單的安全界面。通過簡單調用事務傳輸層可以確保事務（或事務傳輸）的安全。它具有以下功能：

①提供了一個相對標準的程序界面，以執行對事物數據的安全處理以及PKI相關數據結構的操作。

②提供了一個軟件開發工具箱，推動了來源于不同PKI實現的各種不同PKI對象（或數據結構）的整合。

③提供了一個支持對已保護的事務數據的可信賴交換的客戶端服務器結構。

事務傳輸層為網上報稅應用提供了應用編程接口以及一系列插件模塊的集合。應用編程接口通過產生符合PKCS標準的加密保護的信息和文件來提供一些易于使用的安全服務。插件模塊實現了如下的機制：它允許PKI將加密保護的信息通過HTTP或SMTP平臺進行無縫傳輸。通過把細節應用環節（如信息的包裝和格式等）從PKI層移開，將更有效和方便地滿足互操作性。

事務傳輸層簡化了應用與PKI之間的互操作性，允許不同類型的應用通過一個明確而簡單的安全界面與不同類型的PKI平臺進行聯系。

圖4描述加入了事務傳輸層的網上報稅系統的結構設計。該結構適應不同的PKI相關組件，進而推進了不同PKI之間的互操作性。

《電子簽名法》明確規定了當事人可以選擇使用符合其約定的可靠條件的電子簽名，這就給采用安全中間件架構提供了法律依據。網上報稅數據傳送雙方能夠靈活地采用不同的認證方式，或者雙方自行約定，或者采用信任的第三方，通過事務傳輸層的結構，屏蔽了不同PKI的復雜性，網上報稅系統應用設計者就可以把主要精力集中于涉稅業務邏輯當中，使其在現實事務中能夠正確實現。一個最典型的事務傳輸層的應用就是網上報稅中的安全文件交換。

基于安全中間件結構——事務傳輸層，網上報稅應用可以把來自不同行業、不同部門、不同領域的公共PKI以一個簡單有效的方式整合在一起，將所有PKI的復雜性都隱藏在中間層，無須在結構上影響已經存在的系統，就可以更為簡單地擴展新的基于PKI的應用。

5結束語

《電子簽名法》正式實施后，網上報稅中電子數據、電子簽名的法律效力問題得到了解決。本文描述了網上報稅系統的安全需求，具體分析了網上報稅的應用與PKI的互操作性，明確提出了當前影響網上報稅安全的一個關鍵瓶頸就是PKI的互操作問題；并提出利用一個安全中間件結構——事務傳輸層來解決網上報稅中存在的PKI互操作性問題。事務傳輸層吸取了不同PKI應用中技術和政策實現方面的不同和差異，屏蔽了復雜性，使得業務開發者能夠將注意力集中在涉稅業務邏輯上，在保證網上數據安全傳輸的同時，也易于擴展新的基于PKI的應用。可以預見，事務傳輸層不僅在網上報稅，而且在整個電子商務/電子政務領域具有廣泛的應用前景。

參考文獻：

［1］中華人民共和國電子簽名法[S]．20-04年8月28日第十屆全國人民代表大會常務委員會第十一次會議通過．

［2］謝冬青，冷健．PKI原理與技術[M]．北京：清華大學出版社，20-04．

［3］Mohan Atreya， Benjamin Hammond， Stephen Wu， et al. Digital Signatures[M]．Mc GrawHill Companies Inc.， 2002．

［4］PKI Forum．PKI Interoperability Framework White Paper [EB/OL]．http：//www.pkiforum.org/pdfs/ PKI Interoperability Framework.pdf，200103．

［5］KwokYan Lam，SiuLeung Chung，Ming Gu，et al．Security Middleware for Enhancing Interoperability of Public Key Infrastructure[J]．Computers and Security， 2003，22（6）：535546．

作者簡介：

李志斌(1975)，男，碩士研究生，主要研究方向為信息與網絡安全；

林國恩，男，教授，博導，主要研究方向為分布式系統、信息安全；

李建彬，男，主要研究方向為信息系統風險管理、信息安全。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文