1.2 “E 证通”企业数字证书在电子政务中的应用
数字证书是管理机构这一权威部门下发的数字证书。作为被电子政务所信任的第三方,CA 机构具有的特点是:唯一性、权威性及公正性,它需要承担对公钥体系中对公钥进行检验的责任,检验它是否具有合法性。它对申请数字证书、签发数字证书、撤销数字证书、管理数字证书、发放数字证书负全部责任,并将对密钥及用户信息进行管理的服务提供出来。对电子政务来说,数字证书产生了巨大的促进作用,特别是在应用在电子政务上时,它能够产生保护的效果。但是在运用数字证书方面,还是有些小问题存在,比如:CA 机构目前对于数字证书进行发放的部门来说属于第三方部门,但是在电子政务方面却有两种模式存在,第一是由政府实施垂直管理的一些部门,其次是由地方负责管理的横向部门。到现在为止数字证书被逐渐的应用于垂直及横向的一些管理部门中。由这两类部门给出的数字证书并不相同,但是就政务服务对象来说,也就是某些组织机构及公民而言,运用电子政务系统办理各种事情,在需要多个政务系统办理业务时就需要带多个 CA 数字证书。因此数字证书对于政务而言,地位非常的重要,它需要相关的部门实施统一规划,让不同的 CA 证书也能够实现兼容,或是将连接接口构建起来,以防出现资源的重复浪费与建设的情况。
“E 证通”企业数字证书主要功能是保障网上办公及政务。交换彼此的信件、对文件加以传送、对公告进行发布、对通知加以传达、对工作流加以控制、对员工实现培训、对人事及财务进行管理等等的内容。运用“E 证通”企业数字证书能够十分完美的将传输的安全性、对身份的识别、管理权限等问题解决,使网络上的办公变得更为流畅;网上的政务存在很多的应用种类,而在这些种类不断变多的过程中,原本需要经过指定的人员至政府各个部门的窗口上办理的相关手续及事情,现在可以在网上实现办理。例如:在网上进行申请注册、申报、网上的纳税及审批、指派任务等事项。应用数字证书可以保证在网上政务使用的过程中,能够对身份加以识别,实现安全的文档传输。
1.2.1 青岛市“E 证通”项目的建立与发展
山东省的数字证书认证管理公司、青岛联信高科技有限公司、山东远程宽带技术有限公司共同联合出资将青岛市的数字证书认证管理公司建立起来,这是一家高科技的公司,是经过青岛市与山东省相关政府的主管部门批准授权的企业,于青岛市范围内跨行业、跨部门的提供签发与管理数字证书的企业,是权威性的认证机构。青岛市的数字证书认证管理公司是专业的提供青岛安全认证与信任服务的厂商,将为打造数字青岛而提供服务,将建立互联网信任、有序、安全的环境当中自身的目标,确保交易双方主体的身份具备真实性,确保信息具备保密性与完整性,在交易过程中保证信息的不可抵赖性,将全方位服务提供给青岛的市民。
青岛市的“E 证通”项目的建设是一步步的开展的。青岛市七届市委会议于 1996 年 2月召开,在这第六十六次的常委会议中,有关政府的领导决定建立起市委市政府计算机的中心,建立起统一的服务于青岛宏观决策及办公信息的网络系统,并开启金宏工程,这个工程对于建设全市的机关电子政务而言是具备跨世纪的意义的;市政府与市委在 1998 年决定将青岛市政务信息网站建立起来,这个网站对我国来说是第一个在严格的意义之上可以被叫做政府的公共服务网站的网站;1998 年七月两办合作给出通知,将在青岛市的内部机关对金宏电子政务系统实施统一的启动,进一步的推动了机关内部的网络化进程;青岛2001 市政府在第 12 届的人大会议上提出,要加速建设青岛电子政府工程,加快实施的步伐。市政府又于同年的 5 月展开了电子政府技术和战略的研讨会议,为将电子政府推向更高的层次而提出一系列的技术、舆论、思想、规划的准备;两办在 2002 年 3 月,将《青岛市的电子政务工程 2002-2005 年规划纲要》印发出来,将全新一轮的建设电子政务的工程启动起来;2004 年青岛政府对首次协调小组领导会议进行主持与召开,并于该会议之上表决通过了《关于加快推进电子政务建设和应用的意见》,将电子政务更高层次发展应用的目标与任务确定下来;两办于 2007 年十月向下颁发了《关于建设全市机关平级结合网络视频会议系统的通知》;市委常务和常务副市长在 2008 年初,组织展开了关于建设整合信息专题会议,将全市共享的电子政务平台建设任务确定下来,逐步将整个内部的青岛机关电子政务的系统整合到统一的平台之上,并严格把关电子政务报告和项目审核;2009年两办在该年 11 月颁布《关于运用现代科技手段预防腐败工作的意见》,制定将青岛市共同的电子监察平台建设起来;第四十三次的市长办公会议在 2010 年作出决定,建设起对全市电子政务加以负责的保障体系,并实施发卡的服务,并协调好卡片的应用工作;第四十八次的市长办公会议于 2010 年 5 月决定以政府融资机构名义注资青岛市的数字证书认证管理公司,将 CA 数字证书统一的发放给企业,全面的开启企业的 CA 电子签名认证工作。
首批开通数字证书应用的系统主要有:
(1)青岛国税局“税税通”网上办税厅(2)青岛地税网上办税综合业务平台(3)青岛市网上审批在线办理系统(4)青岛市工商局企业网上年检系统、青岛市工商局审计报告、验资报 网上备案系统(5)青岛市建设工程交易监管信息系统(6)青岛市统计信息网上直报系统(7)青岛市人力资源和社会保障企业网上办事大厅:社会保险网上申报系统、劳动用工网上登记系统、劳动监察网上年检系统(8)房地产市场信息发布系统(9)科技计划网上申报系统(10)青岛市政府采购电子化管理大平台系统(11)青岛市污染源在线监测数据查询系统(12)国有企业出资人网上财务管理系统
1.2.2 青岛市“E 证通”企业数字证书的作用
青岛市“E 证通”企业数字证书具备身份认证、数字签名、电子印章等一些功能。帮助企业在运用数字证书对网上的审计与年检、验资报告备案登陆系统时,借助数字证书对自己的身份加以认证,也能够证明企业的身份真实合法性。而在申报年检的数据,申请增加备案数据的数字签名认证时,数字证书就法律的效力而言,具备与盖章或手写签字相同的法律效力,确保数据具备不可抵赖性与完整性,逐渐的实现无纸化的各种申报。数字证书所具备的电子印章功能能够更好的将可视化与直观化的签名手段与在线盖章等功能提供给企业,企业不必到现场受理就能够在线确认申报数据,极大的提升了审核申报的效率,对企业而言十分方便。
为了配合电子政务办公室规划建设青岛电子政务公共服务统一认证平台,在各部门的外网中部署统一认证网关,以实现基于数字证书的企业单点登录应用。该平台以 PKI/CA技术为核心,结合国内外先进的产品架构设计理念,实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能,为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务[17].
通过青岛市“E 证通”企业数字证书的运用,在电子政务方面能够将之与政府的政务工作及现代的信息技术结合在一起。青岛市“E 证通”企业数字证书将解密、加密、签名、验证签名这一类安全技术问题解决。在传输信息之前首先进行数据加密与数字签名,加密收到的数据包,然后解密数字签名并对签名加以验证,最终实现与政务相关的信息的不可否认性、保密性和数据的完整性,在和其他的一些业务相结合的过程中,最终实现控制访问的权限;通过青岛市“E 证通”企业数字证书的运用,在进行网上报税的过程中,纳税人可以借助客户端的报税软件登陆网上的报税系统,能够不受时间限制的实现申报,并借助支付的平台,在网上实现资金的安全划转。数字签名与加密的技术能够确保安全的传送信息与现金,具备不可抵赖性;通过青岛市“E 证通”企业数字证书的运用,在实现网上缴费的过程中,保证缴费具备可靠性与安全性。数字证书的数字签名技术能够非常有效的防止用户出现抵赖的行为。
通过青岛市“E 证通”企业数字证书的运用,在实现网上招标的过程中提供帮助。所谓网上的招标指的是于互联网中对电子商务的基础平台加以利用,将安全的传递与处理招标信息的通道提供出来,其中包含公布招标的信息、发放招标的标书、收集应标书、通知投标的结果、签订项目协议或合同这整个的过程。将这样的一整套的具备完整功能的 B2C、B2B 网上招标的系统建立起来,不但能够使市场的需求得到满足,而且还能够有力的推进电子商务广度与深度的发展;通过青岛市“E 证通”企业数字证书的运用,在实现网上办公系统的过程中,青岛市 CA 将安全认证的技术提供出来,能够十分有效的将网上办公系统原本存在的信息安全的问题解决,借助数字证书实现身份的鉴别,与加密机数字签名这一类安全技术相结合,实现信息完整性与机密性和不可否认性,并和其它的技术相结合实现对访问权限的控制;通过青岛市“E 证通”企业数字证书的运用,在实现远程教育的过程中提供帮助。在 INTERNET 技术不断发展的过程中,在教育模式中远程的教育模式将逐步成为一个重要的模式。教学者与学生都使用自己具备的数字证书通过 INTERNET 登录远程教育的平台,实现听课、讲课与课堂的讨论等,实现信息的加密与访问控制等,以保证有序而安全的教学秩序。
青岛市“E 证通”企业数字证书将逐步的成为青岛市信息化发展的有力安全保证,将为建设青岛市网络信任的体系、建设诚信的青岛提供出强而有力的技术上的支持。
1.2.3 青岛市“E 证通”企业数字证书应用实例分析--青岛市地税局数字证书认证方案
1.2.3.1 项目背景网上电子报税是指纳税人利用电脑,通过 Internet 把报税数据发送到税务局的报税服务器,报税服务器实时接收报税数据并对其进行分析校验,把正确的数据导入到征管数据库,并把申报结果或错误信息及时反馈给纳税人的过程。网上报税方便了纳税人使其无须到办税大厅上门申报;提高了税务机关征管稽查的效率,为集中征收的新征管模式铺平了道路[18].随着互联网络的发展,越来越多的网络应用系统从专用或内部网扩展到互联网上。目前互联网的很多应用,如网上证券、网上银行、电子政务、电子商务等,逐渐成为时代的潮流。但是基于 TCP/IP 的网络互连协议,存在着很多的安全问题,比如数据是采用明文传输、身份得不到证实等。信息的安全得不到保证,信息可能被非法用户访问,阅读和修改,特别是电子商务中的敏感信息(金融账号,账号密码和支付信息等)。
这一切都必须有一种安全机制来保证信息传输的安全性、保密性、有效性和不可抵赖性。
1.2.3.2 需要解决的问题
(1)“用户名+密码”认证缺陷。密码位数太长,难于记忆;密码太短,容易破解。实际应用中密码长度很难超过 10 位;密码容易扩散,或者容易得到。例如:趁着操作者输入密码时,在其后偷窥;或者在电脑中放入木马程序,记录操作者输入的数据;再有可以拦截传输的数据,进行分析查找到密码[19];密码可以被多人使用,无法统计真实地使用情况。
(2)恶意申报。如果网上申报系统没有安全有力的身份验证体系,申报人的登陆名称和口令一旦泄露,则极有可能出现他人冒用申报人的身份进行恶意申报。如果出现这种情况,则会给申报人带来直接的经济损失。
(3)申报数据的保密性。由于个人所得税涉及绝对的个人隐私,个人收入数据的泄露将给申报人带来深远的影响和多方不便,将使申报人丧失对税务机关的信任,并有可能引起申报人与税务机关之间的纠纷。因此,申报数据的保密性显得直观重要。该数据不光保证互联网传输的安全性,还要保证数据存储的安全性和访问的严格控制。
(4)申报过程的合法性。通过网上申报的方式为用户提供了极大的便捷,免除了大厅排队等待,填写一系列纸质表格的繁琐。但便捷的同时带来了申报数据电子报文化合法性的问题。
1.2.3.3 解决方案信息系统中进行的应用安全系统建设应该包括如下几个部分:
(1)SSL 安全认证网关。原先 WEB 服务器采用用户名+口令方式登录并进行明文传输,接入 SSL 安全认证网关后通过以下机制来保证 WEB 服务器、数据库的安全:外部用户只能通过 SSL 网关对 Web 服务器进行访问。用户数据在 IE 浏览器和 SSL 安全认证网关之间以 128 位高强度密钥加密的安全通道中传输。SSL 网关对访问用户进行身份认证(包含数字签名认证、证书链认证、黑名单认证、证书有效期认证)。Web 应用也可以获得用户数字证书信息,根据用户信息对用户进行更细微的身份认证。身份认证审核通过后用户就可以正常的访问 Web 或其它服务器。日志审计服务器可以方便的对用户的访问情况进行审计。访问控制服务器可以根据 SSL 网关提供的用户信息、访问的 URL 提供有效的访问控制功能[20].
(2)签名验证系统。原先 WEB 服务器根据用户名进行权限分配,来处理用户提交的信息。接入签名验证服务器后,用户通过证书验证后,对提交的用户信息进行数字签名,这个数据包将被 WEB 服务器转发给签名验证服务器,签名验证服务器验证后,将结果返回给 WEB 服务器,由 WEB 服务器根据验证结果,对用户提交的信息进行处理,保证了数据的完整性和有效性。签名验证系统由服务器和客户端组成。在服务器端安装验证签名软件系统,在客户端安装签名控件。目前地税局用户为 7 万户,每个企业平均报 5 个税种,所有企业在 10 天内完成报税,一共报税 35 万次,该系统能够满足需求。
(3)安全客户端。用户在证书应用时,只需要在系统的客户端增加安全应用的客户端软件(CSP),即可实现客户端的身份认证、数据加解密、数字签名、本机信息的保护等安全功能。
(4)数字证书。本方案采用的是青岛数字认证中心颁发的“E 证通”企业数字证书。
1.2.3.4 建设完成后的认证流程纳税用户端的认证流程:
(1)用户安装 USBKey 的驱动程序和证书应用控件并将数字证书与电脑相连;(2)用户启动 IE 浏览器,输入需要访问的应用系统的网络地址(https);(3)建立 SSL 安全通道;(4)客户端证书应用控件进行数字签名以证明身份;(5)要求用户输入 USB Key 访问口令的对话框,用户输入;(6)将待验证的签名信息通过安全通道传递给服务器;(7)服务器解析证书信息,验证签名信息并进行应用系统身份认证登录;(8)服务器将应用系统返回的用户界面返回给用户端浏览器,用户正常访问;(9)证书用户实际操作仅需输入证书密码即可实现登入应用系统并访问。
管理端的认证流程:(1)系统管理员在管理主机上安装 USBKey 的驱动程序和证书应用控件并将数字证书与电脑相连;(2)启动 IE 浏览器,输入需要访问的管理系统的网络地址(https);(3)建立 SSL 安全通道;(4)客户端证书应用控件进行数字签名以证明身份;(5)要求用户输入 USB Key 访问口令的对话框,用户输入;(6)将待验证的签名信息通过安全通道传递给服务器;(7)服务器解析证书信息,验证签名信息并进行应用系统身份认证登录;(8)服务器将应用系统返回的管理界面返回给管理端浏览器。
加入 SSL 安全网关后,证书用户首先将证书介质接入 PC 机(例如 USBkey 可以,插入USB 口) ,在 IE 中输入要访问的 URL(例如 https://www.qdds.cn,协议是 https),这时会弹出一个对话框,要求选择用户证书,或自动读取选择 USBkey 中存储的用户证书后,要求输入 USBKey 的保护密码,输入正确后,则从 Key 中随即产生一个会话密钥,用来加密通信内容,建立起加密通信通道,SSL 安全网关再将用户的数据以明文的形式转发给相应的 WEB 服务器,从而完成数字证书验证身份和数据信息加密的功能。事实上这个过程是用户端和 SSL 安全网关双向身份认证的过程。只有双方都通过对方的验证后,才允许用进行下一步操作,否则拒绝登录。
信息完整性、不可抵赖性的实现:在证书用户通过身份认证后,登录相应的 WEB 页面,提交信息数据后,需要对信息数据签名(点击签名按钮),通过 SSL 安全网关转发给相应的 WEB 服务器,WEB 服务器要验证用户签名时,将签名数据转发给签名验证服务器进行验证,验证通过(签名验证服务器通知 WEB 服务器),再由 WEB 服务器对用户提交的信息数据进行处理。
