国库信息系统横向联网签名服务解决方案吉大正元信息技术股份有限公司2008年03月目录1背景概述 (2)2需求分析 (3)3解决方案 (5)4功能描述 (8)4.1数字签名 (8)4.2数字信封功能 (8)4.3证书解析 (8)4.4数据编码 (9)4.5数据摘要 (9)4.6获取原文 (9)4.7获取文件 (9)5方案特点 (10)1 背景概述随着场经济的发展，尤其是社会信息化进程的推进和税收征管体制改革的深入，充分利用现代信息技术，加强和改进税收征管，确保税款应收尽收、及时入库，同时又以人为本，为纳税人提供优质、快捷、方便、高效的纳税环境，已经成为税务、财政及国库等税收征管部门和广大纳税人的共同要求。

利用信息技术改善税收征管和纳税环境的一个重要手段就是财、税、库、关、行横向联网。

国库横向联网系统(TIPS系统)是以人行国库为中心，与财政、税务、海关、商业银行等部门进行信息的横向联网，利用电子信息和网络数据交换方式代替传统的手工单据及票据交换方式，电子缴税，全面实现国库收付业务的电子化、票据交换的无纸化操作，以增强国库资金管理的时效性和准确性，实现多个部门之间国库管理信息的资源共享，确保预算收入及时、准确、足额入库，保证财政资金的正常调度，直接服务于政府的预、决策。

"横行联网"的核心思想是达到税款"实时代扣"，财政收入和拨款实时到帐，信息资源共享，完善纳税服务体系。

由于国库横向联网是横跨不同行政体系的信息交互，那么如何保证各体系之间信息专递的互信？如何保证缴库信息的安全性、完整性、身份的不可抵赖？在《财税库银税收收入电子缴库横向联网管理暂行办法》第二章基本要求第六条明确指出“电子缴库信息的传输实行全过程加密及身份确认，能够保证信息的安全性、完整性、不可篡改性和不可否认性。

”在此基础上，国库横向联网系统通过数字签名实现了对信息安全的保护。

2 需求分析人民银行下发的相关技术标准中指出：TIPS业务系统可采用软件和硬件的形式完成对缴库信息的数字签名，从而保证信息的完整性、不可篡改性和不可否认性。

目前，各级国库单位大部分系统采用人行下发的数字签名接口通过软件方式实现对信息的数字签名，但是采用软件的方式存在以下几个方面的风险：传统信息交互方式⏹系统压力不可控在目前建设完成的TIPS业务系统中，均采用接口的方式实现国库信息的签名与验签，实际上签名与验签是作为TIPS整体系统的一个功能，但是由于在TIPS业务系统中，系统主机和资源的选择往往是依据TIPS本身业务的压力而进行选择。

由于TIPS业务系统的国库信息的提交时间相对比较集中，因此在大批量的国库信息上报过程中，对信息的签名与验签占用了大量的系统资源，造成TIPS系统整体的性能下降。

但是在信息提交不集中的时间段TIPS业务主机的系统压力正常，因此TIPS业务的整体系统压力不可控。

给TIPS业务系统的稳定运行造成了一定隐患。

⏹业务与安全融合TIPS业务目前采用了人行下发的标准签名接口进行国库信息的签名与验签，业务流程与安全紧密融合，但是这就造成了一旦签名接口进行改动或升级势必会涉及到业务本身，同时如果TIPS业务进行响应的修改或修订，也将影响到安全部分，那么无论上述那种情况最终的结果都是造成TIPS业务整体的改造成本升高，影响TIPS业务应用正常应用的周期。

同时，在银行、财政很多国库单位，对于TIPS业务层面的管理和签名等涉及安全层面的管理是相对分离的，即业务对应的是业务部门，安全则对应信科部门或者安全部门。

管理的分离和系统的融合造成了一旦TIPS业务出现故障，很难进行问题和责任的定位，无端增加了业务的应急响应成本。

这也是在业务系统应用过程中无法避免的问题。

⏹安全性低不符合国家相关规定由于TIPS业务系统在实现数字签名的时候需要调用业务的签名证书，但是在TIPS业务的应用环境中缺少安全的证书容器，签名证书多以文件的方式保存在TIPS业务系统中，安全性差，一旦被他人更换后果不可估计，造成了TIPS业务的安全隐患。

同时，在国家密码管理局颁发的《认证系统密码及其相关安全技术规范》中明确指出“证书密钥的产生和使用必须在硬件载体中完成。

”⏹资源无法复用在TIPS业务系统中通过签名接口实现对信息的签名与验证签名，从单个业务系统看并未有太多的问题，但是从整体业务体系来看，需要通过接口实现业务流转过程中的系统会很多。

我们以商业银行为例，在TIPS系统需要数字签名保证其信息完整性、不可篡改性和不可否认性。

还有网银系统、内部办公、同人行连接的征信系统、票据影印系统等等业务系统都需要对类似TIPS业务的安全防护手段。

目前，针对上述提到的一些业务只能针对响应的业务通过接口进行开发，实现数字签名和签名验证的功能。

那么重复的工作无疑增加了业务建设的成本，同时即使业务改造完成也面临着我们上面提到的系统压力和业务与管理之间的各种问题，这也是任何一个国库单位不想看到的局面。

3 解决方案针对上面我们所提到的问题，那么我们建议在TIPS业务系统中采用硬件签名服务器的形式提供集中的签名与签名验证工作。

如下图：签名服务器数据接口签名服务器签名服务器签名服务器其具体的应用流程如下所示(我们以商业银行完整的缴库信息交互为例)：签名服务器签名服务器1. 商业银行TIPS信息将需要签名的数据通过数据接口发送给后台的硬件签名服务器；2. 硬件签名服务器将选择TIPS业务的签名证书将提交过来的信息进行数字签名，并将签名结果返回商行TIPS业务系统；3. 商行的TIPS系统将签名后的缴库信息通过专网传递到人民银行的TIPS业务系统中；4. 人行TIPS业务系统直接将商行签名后的缴库信息转发给后台硬件签名服务器；5. 硬件签名服务器对商行的缴库信息进行验证，并对验证结果进行数字签名返回给人行的TIPS系统；6. TIPS系统将签名验证的回执返回给商行的TIPS系统；7. 商行TIPS系统将人行签名的回执发送给签名服务器，签名服务器完成对签名校验，并返回给商行TIPS系统；8. 完整的签名以验证的流程完毕；如上面的流程所示，其中任何一个签名校验出错都将反馈给TIPS业务系统。

在上述的TIPS业务的数据签名流程中，人民银行的TIPS业务系统硬件签名服务器的改造以在2007年由我公司完成，目前人民银行TIPS业务系统后台部署了2台我公司硬件签名服务器通过负载均衡可以完成2000笔/秒业务的签名与验签压力,最大可达3200笔/秒业务的签名与验证签名的工作。

同时由于人民银行CA系统是我公司与2004年承建，并且目前TIPS业务中的DSign接口由我公司提供，因此在硬件签名服务器的后台替换中，前台已建设完成的业务系统无需做任何改动，TIPS系统的签名服务部分平滑的过渡到硬件平台实现，大大提升了系统整体的处理效率，并且未来扩展更为简单。

(在上述的流程中，由于签名压力并不大因此可以保持签名的方式不变验证签名由签名服务器完成，可根据用户的具体需求和业务压力情况进行定制)经过上面的业务改造，我们前面提到的一些问题得到了相应的解决： 系统压力可控TIPS采用上述的建设模式以后，各国库单位的TIPS系统可以选择将签名或验签的工作提交给签名服务器进行处理，由于签名服务器是独立的硬件设备，单独完成对数据的签名与验证签名，因此其系统的压力更可控，可以根据不同的签名或签名验证的效率选择不同档次的签名服务器。

那么对于TIPS 业务来说，待签名或签名验证的数据仅仅是通过数据接口发送给签名服务器，签名或签名验证的工作将不再占用系统主机的资源，整体的TIPS业务环境压力更加可控。

⏹业务与安全独立由于业务与安全部分的相对独立，那么再TIPS整体的业务环境中，业务系统的管理模符合了国库单位的管理模式，一旦TIPS整体业务出现问题可以迅速的定位故障，是业务流程？还是数据发送？还是签名服务器的设备故障？⏹安全性高符合国家相关规定在硬件签名服务器实现的TIPS业务环境中，TIPS业务的签名证书将被存储到硬件签名服务器中，签名服务器通过硬件加密卡对证书进行保存，并且不允许签名证书的私钥导出，这就保证了业务系统证书的安全性和唯一性，根本不可仿冒和伪造，大大提高了TIPS业务系统的整体安全性。

同时，也满足了国家对密钥管理的相关要求。

⏹资源复用从上面提到的业务模式中我们可以看到，对业务数据签名或签名验证的工作由独立的签名服务器进行承担，业务系统仅需要将数据形成固定格式发送给签名服务器即可，剩下的签名与验签的工作在签名服务器中进行完成。

我们可以看到，对于签名服务器来说其主要的功能就是数字签名与签名的验证，其无需和任何一个业务进行绑定，因此签名服务器就相当于一个伺服系统，其它有同TIPS类似业务需求的业务系统均可以通过签名服务器实现对信息安全性、完整性、不可篡改性和不可否认性的校验。

我们还是以商业银行为例，当建立的签名服务体系后，我们刚才提到的网上银行、内部办公、同人行连接的征信系统、票据影印系统都可以将需要签名或者验证的信息发送给签名服务器，由签名服务器统一进行处理。

那么大大降低了系统建设和改造的成本，使原有需要独立完成功能集中实现，资源得以复用。

4 功能描述吉大正元硬件签名服务器系统主要由两部分组成，即签名服务器和安全客户端开发包。

(客户端开发包即目前人行发布的DSign开发包)⏹产品组成服务器端：签名服务器客户端：Java版开发包ActiveX控件开发包C/C++开发包其可以实现的业务功能如下：4.1 数字签名服务器具备对数据进行签名的功能。

要签名的数据可以是单个原文内容、单个文件，也可以是多个原文内容、多个文件。

4.2 数字信封功能服务器提供制作数字信封，支持数据和文件形式。

4.3 证书解析服务器具备解析证书（包含加密证书和签名证书）的功能。

主要提供以下内容：⏹获取证书主题⏹获取证书颁发者⏹获取证书序列号⏹获取证书有效期⏹获取证书标准扩展项内容⏹获取部分自定义扩展项内容4.4 数据编码服务器提供对一段内容进行Base64编码和Base64解码的功能。

4.5 数据摘要服务器提供对一段内容进行摘要的功能。

4.6 获取原文验证签名后或者解数字信封后，服务器提供从签名包或者数字信封中获取原文内容的功能。

如果有多个原文可以依次取得。

4.7 获取文件验证签名后或者解数字信封后，服务器提供从签名包或者数字信封中获取文件内容的功能。

如果有多个文件可以依次取得。

5 方案特点⏹签名服务器是目前唯一经过人民银行TIPS业务系统测试的成熟产品；⏹目前，人民银行TIPS业务采用的硬件解决方案，并满足人民银行2000笔/秒的业务需求，已经实现了同各国库单位的横向联网(签名验证)⏹目前TIPS业务采用的签名数字证书是我公司承建的人行内网CA所签发，签名接口标准和开发包均为我公司DSign接口，无需进行二次开发。