數字證書技術在稅收信息化中的應用

文/曹爽

信息安全的核心是通過計算機、網絡、密碼技術和安全技術，保護在信息系統中傳輸、交換和存儲的消息的機密性、完整性、可用性、不可否認性、可靠性和可控性。基于公鑰基礎設施的數字證書技術就是信息安全保障中的重要手段。

1　數字證書技術

1.1　公鑰基礎設施

公鑰基礎設施（Public Key Infrastructure，PKI），是基于公鑰理論和技術建立的網絡信息安全技術體系，是一種遵循標準、為用戶提供公鑰證書管理、密鑰管理、網絡信息安全應用和安全管理的基礎設施，主要解決大規模網絡中的公鑰分發和信任問題。公鑰基礎設施的理論基礎是非對稱密鑰密碼體制。公鑰基礎設施一般由認證系統（Certification Authority，CA）、 注冊系統（Registration Authority，RA）、證書庫等部分組成。

1.2　數字證書

數字證書是公鑰基礎設施的現實載體，與現實世界的身份證類似，能夠證明個人、團體或設備的身份。通過數字證書我們可以實現身份認證、信息加密、簽名等一系列安全操作。如同身份證由公安局頒發一樣，數字證書由CA頒發，與身份證上公安局蓋章類似，CA對證書內容進行數字簽名。技術上分析，數字證書是一段經CA簽名的、包含擁有者身份信息和公開密鑰的數據體。數字證書和一對公、私鑰相對應。公鑰以明文形式放到數字證書中，私鑰為擁有者掌握。

2　稅務數字證書系統

2.1　建設情況

金稅三期工程所建成的稅務數字證書系統是稅務系統信息安全保障體系的重要組成部分，該系統自2011年起實施，目前，全國所有省國稅局和部分省地稅局部署該系統。

2.2　總體設計

稅務數字證書系統提供證書簽發、更新、注銷等全生命周期管理，并為各類業務系統證書應用需求提供支持。該系統采用總局和省局兩級部署，建設兩套，一套主要為稅務人員服務，另一套主要為納稅人提供服務。

稅務數字證書系統主要包含五個子系統，功能如下：密鑰管理系統（KMC）負責加密密鑰的生產和管理；證書簽發系統（CSS）負責用戶數字證書的簽發和管理；證書注冊系統（RA）負責用戶數字證書的注冊管理；證書狀態查詢系統（OCSP）為用戶提供證書狀態查詢服務；證書目錄服務（LDAP）為用戶或應用系統提供證書和證書撤銷列表（CRL）查詢服務。

2.3　高可用性設計

為實現稅務數字證書系統的高可用性，提升容災能力，根據金稅三期工程總體架構設計方案，稅務數字證書系統在兩地建設了雙中心，分別作為生產環境和災備環境，通過數據安全傳輸系統實現兩中心間的異地數據備份，出現緊急情況可進行生產環境切換。

2.4　稅務數字證書

2013年，稅務總局發布中華人民共和國稅務行業標準《SWT 6-2013稅務系統數字證書格式標準》，該標準在遵循GB/T 20518-2006《信息安全技術 公鑰基礎設施 數字證書格式》標準的基礎上結合稅務行業特點制訂。該標準規定了稅務系統數字證書基本格式。按使用對象，稅務數字證書通常分為人員證書、設備證書、機構證書三種類型。人員證書包括操作員證書、稅務人員證書和納稅人證書。

2.5　應用情況

稅務數字證書系統作為核心安全基礎設施，通過簽名認證系統為各類稅務應用系統提供身份認證、加解密和簽名驗簽等功能，并提供了標準化的安全接口供調用。

隨著稅務數字證書系統建設完成，經過數年的推廣應用，稅務數字證書在網上申報、財稅庫銀、外部數據交換等信息系統中得到廣泛應用，稅務系統網絡安全保障水平也因此得到極大提升。2014年增值稅發票管理新系統推行中，稅務數字證書與發票新系統緊密結合，在業務流程中的各個環節充分利用稅務數字證書實現了涉稅業務的應用安全，成為其必不可少的組成部分。

3　發展思路

3.1　升級密碼算法

按照國家加強密碼管理，推進國產密碼算法應用，確保自主可控的工作要求，稅務數字證書系統也需要進行相應優化調整。調整過程應以不影響現有系統和已發證納稅人的正常使用為原則，可分步驟完成整體升級：

（1）升級現有稅務數字證書系統，具備發放新算法證書的能力；

（2）升級其他有證書應用需求的業務系統。

3.2　優化部署架構

隨著在增值稅發票管理新系統等核心業務領域的廣泛應用，稅務數字證書系統支撐作用愈發重要，成為稅收業務正常開展的基礎保障。為保障持續穩定運行，需要考慮軟件升級優化與硬件設備擴充來支撐逐步擴大的用戶量和性能要求。

3.3　拓寬應用范圍

隨著網絡安全形勢日益嚴峻，如何加強內部管理、嚴控安全風險成為重要課題，而充分利用稅務數字證書就是一個行之有效的管理方法。今后，對于核心應用系統，可以考慮引入稅務數字證書實現多因子認證。同時，要深化稅務數字證書系統在電子稅務局等領域的應用，進一步提升納稅服務質效，減輕納稅人負擔。

3.4　探索技術創新

信息技術迅猛發展，科技進步成為推動社會前進的主要力量，云計算、大數據、區塊鏈從理論研究進入到落地應用階段。要實現稅收現代化，穩固強大的信息體系必不可少，而新技術的應用必將推動稅收信息化走入新的階段。作為基礎設施的稅務數字證書系統，核心價值在于為應用提供穩定可靠的安全支撐。隨著稅務應用系統的架構調整，稅務數字證書系統也需要適應新技術和新應用模式，適應網絡安全新要求。