网上报税安全解决方案

在全国很多城市的税务管理部门都开始实施网上报税，此种方式大大减少了纳税户往返于税务部门、银行的烦恼，大大减轻了税务部门的工作量。可以预见，网上报税将成为今后主要的税务申报方式。
网上报税主要是通过税务部门建立专门的申报网站，纳税户通过Internet访问税务部门网站上的网上报税系统，正确填写电子化申报表后，递交申报数据至税务部门服务器，税务部门的WWW服务器对这些数据进行处理、储存，并将处理结果反馈给纳税人的一种电子申报方式

网上报税应用中主要存在以下几个安全问题：

· 身份认证
由于非法用户可以伪造、假冒网上报税系统和纳税户的身份，因此登录到网上报税系统的纳税户无法知道他们所登录的系统是否是可信的网上报税系统，网上报税系统也无法验证登录的纳税户是否是经过认证的合法纳税户，非法用户可以借机进行破坏。"用户名＋口令"的传统认证方式安全性较弱，纳税户口令易被窃取而导致损失。
· 信息的机密性
传输在纳税户客户端与网上报税服务器之间的敏感信息和纳税数据，如纳税户的信用卡号、密码等，有可能在传输过程中被非法用户截取。
· 信息的完整性
敏感信息和交易数据在传输过程中有可能被恶意篡改。
· 信息的不可抵赖性
纳税户与税务部门间进行的税务申报行为一旦被其中的一方所否认，另一方没有已签名的记录来作为仲裁的依据。

针对上述的安全性问题，我们提出了如图所示的基于PKI体系的、易于实施的网上报税安全解决方案。

我们的解决方案

· TW-CA认证中心系统
TW-CA认证中心系统是一种用于认证网络用户身份的软件系统，它使用非对称密码体制和数字签名等密码技术建立，用于确保电子交易安全、顺利地进行。
金信万凯信息技术有限公司提供的证书认证系统TW-CA是一个基于PKI 的功能强大、安全可靠的证书中心系统，能够满足政府部门、金融企业证书认证中心建设的功能需求。
纳税户的数字证书可以通过TW-CA建立的证书管理系统进行发放。
· 网上交易安全中间件TW-TrueSign
TrueSign是专门针对网上银行、网上证券、网上报税等PKI网上交易系统而设计的应用层中间件，主要解决网上交易系统中的数据机密性、数据完整性、防抵赖、身份识别、访问控制等关键安全问题。
TrueSign自动管理用户的密钥、证书和证书验证，提供信息加密、信息签名、信息签名并加密、交易签名、身份认证等接口，有效屏蔽了PKI技术的复杂性，使应用系统开发人员在不具备PKI专业知识背景的条件下，就可以构建安全的应用系统。
· 具体应用
工商税务部门为纳税户提供载入了其认可的数字证书以及私钥的TW-sKey，纳税人必须插入所持有的TW-sKey，同时输入PIN才能登录网上报税系统。通过证书和https可以建立SSL安全加密传输通道，可以进行服务器的和用户的证书的双向验证。TW-sKey的双因子认证方式提高了安全性，确保了用户的合法权益。
用户在进行报税时，所提交的表单数据通过TW-TrueSign的IE签名插件，使用用户TW-sKey中的私钥和RSA算法进行数字签名，然后连同原始表单数据一同传给服务器，服务器接到数据后，通过服务器端的TW-TrueSign签名验证服务器进行签名的验证，如果签名正确，则说明传过来的数据没有被篡改过，保证了数据的完整性，同时也表明了信息是该用户提交的，具有不可抵赖性。