网上报税,身份认证是关键!

网上电子报税是指纳税人利用电脑

上网，通过Internet把报税数据发送到税务局的报税服务器，报税服务器实时接收报税数据并对其进行分析校验，把正确的数据导入到征管数据库，并把申报结果或错误信息及时反馈给纳税人的过程。网上报税方便了纳税人使其无须到办税大厅上门申报;提高了税务机关征管稽查的效率，为集中征收的新征管模式铺平了道路。

本文只是针对与网上报税系统中的身份认证与数据加密部分进行介绍。需要说明的是:针对于任何系统，其核心的是其业务流程，而系统安全是在为了保证其业务流程能顺利完成而进行的必要保护手段。任何系统没有安全产品的保护是存在致命隐患的，而任何安全产品没有实际应用系统所依附也是没有实际意义的。在此只讨论安全认证只是便于叙述。

传统的“密码+用户名”认证的缺陷

1． 密码位数太长，难于记忆;密码太短，容易破解。

2． 密码容易扩散，或者容易得到。

3． 密码可以被多人使用，无法统计真实地使用情况。

目前一些网上报税系统中对身份认证以及数据加密都比较重视，许多厂家都按照自己的理解提出自己的方案。

双因子身份认证:现实生活中很多都有应用。举个例子:我们用银行卡在ATM机上取款。首先，我们要有一张银行卡（硬件部分），其次我们要有密码（软件部分）。ATM机上的操作就是一个应用系统，如果缺一部分就无法取到钱，这就是双因子认证的事例。因为系统要求两部分（软的、硬的）同时正确的时候才能得到授权进入系统，而这两部分因为一软一硬，他人即使得到密码，因没有硬件不能使用;或者得到硬件，因为没有密码还是无法使用硬件。这样弥补了“密码+用户名”认证中，都是纯软的，容易扩散，容易被得到的缺点。

考虑到用户使用环境多种多样性、低成本要求、实用性以及安全性等因素，飞天诚信推出了一种USB接口的硬件身份认证设备―ePass身份认证锁（以下简称ePass）。ePass即USB KEY是一款基于 USB 接口的客户端身份认证的硬件设备，无需附加电源且类似于IC卡读卡器的设备，只有拇指般大小，可穿在钥匙链上，方便使用者随身携带。其中，ePass1000可以基于冲击响应体制实现对用户的强双因子认证。

网上身份认证流程

纳税人登陆到税务局网站，要进行网上报税活动，首先进行其身份的确认。

1． 客户机（纳税人的电脑）首先向认证服务器发出登录请求。服务器（认证服务器）则通过用户名（或者用户编码―在ePass1000中存储）便可从用户数据库中取出相应用户的密钥;

2． 当认证服务器收到客户的登录请求后，便向客户机发送一个随机字符串，此串最终送入客户机的ePass1000中用于计算。与此同时，认证服务器则根据用户名取出对应的密钥并利用发送给客户机的随机串X，在服务器上用加密引擎进行运算，得到运算结果Rh;

3． 客户机将此随机串X传入ePass1000，ePass1000则利用此串与内置在其中的密钥文件通过硬件加密引擎进行运算，也得到一个运算结果Rc，将此运算结果可直接在网络中发送给认证服务器。

4． 认证服务器比较两运算结果Rh(服务器) 与Rc（客户机）是否相同，便可确定一个网络用户的合法性;

此认证过程中，完成了认证服务器端对客户端的单项身份认证。而使用者无需输入用户账号，只是简单地输入ePass1000硬件本身的一个用户识别码（PIN码）――此项可选择，即可完成认证过程。

由于密钥存在于ePass1000中，而整个运算过程也是在其中来完成的，密钥鉴别是通过加密算法来实现的，随机串作为运算的一个输入因子使其运算结果也随输入的变化而变化。导致每次登陆认证过程中认证服务器与客户端之间的数据往来每次都不相同。如果黑客简单截获到认证过程的数据仍无法在网络中冒充ePass1000客户端。

需要注意的是客户密钥存在于ePass1000中，作为一种特殊的文件存在，本身是不可读，且可以设置用户PIN码保护。