1、計(jì)劃類別 項(xiàng)目編號 項(xiàng)目技術(shù)報(bào)告課題名稱 項(xiàng)目主持人 承擔(dān)單位 題目：一種基于虛擬專用網(wǎng)及數(shù)據(jù)加密技術(shù)的企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)系統(tǒng)的實(shí)現(xiàn)方案隨著計(jì)算機(jī)與通信技術(shù)的發(fā)展和應(yīng)用的推廣，一些地區(qū)的財(cái)政部門為提高本轄區(qū)內(nèi)的企業(yè)數(shù)據(jù)上報(bào)的及時性和便利性，積極升級改造企業(yè)財(cái)務(wù)會計(jì)記錄的上報(bào)方法，其中有些地方利用了互聯(lián)網(wǎng)的便利性，推出了企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)系統(tǒng)。但是，由于目前日益嚴(yán)重的信息安全問題困擾著很多地方的企業(yè)及其主管部門，如何在信息安全和工作效率之間找到一個平衡點(diǎn)，是很多系統(tǒng)建設(shè)者要考慮的重要問題。本文針對了從企業(yè)財(cái)務(wù)會計(jì)記錄采集、發(fā)送到接收、入庫中可能存在的安全問題，提出使用虛擬專用網(wǎng)技術(shù)以及數(shù)據(jù)加

2、密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等技術(shù)，從而避免在這個過程中的安全隱患，提高了整個系統(tǒng)的信息安全保障。關(guān)鍵詞：財(cái)務(wù)會計(jì)記錄；虛擬專用網(wǎng)；數(shù)據(jù)加密；數(shù)字簽名Abstract：With the promotion of the development and application of computer and communications technology，some areas of the financial sector for improve the timeliness and convenience within the jurisdiction of the enterpris

3、e data reported that actively upgrading transformation of the enterprise financial accounting records of the reporting method，which in some places using the convenience of internet，launched the enterprise financial accounting records of the reporting system.But due to the increasingly serious proble

4、m of information security plagued many local enterprises and departments，how to find a balance point between of the information security and the work efficiency is a lot of system builders to consider important issues.This paper also discusses from the enterprise financial accounting records collect

5、ed and sent to the receiver，thetreasury may exist safety problem，it proposes using virtual private network technology and digital encryption，digital envelope，hash function and digital signature etc.，thus avoiding security hidden danger in the process，improve the information security of the whole sys

6、tem.Keywords：financial accounting records；virtual private net；data encryption；digital signature1 引言（Introduction）隨著計(jì)算機(jī)與通信技術(shù)的發(fā)展和應(yīng)用的推廣，當(dāng)前社會進(jìn)入了信息社會，同時信息的安全問題也成為了人們關(guān)注的焦點(diǎn)，為了解決信息安全中存在的一些問題，很多人致力于發(fā)現(xiàn)新的安全技術(shù)以及新的算法的應(yīng)用。在人們解決信息安全的過程中，普遍認(rèn)為加密技術(shù)是信息安全的核心。因此，數(shù)據(jù)加密技術(shù)也隨著信息社會的到來而蓬勃發(fā)展。為了提高信息的安全性，人們將多種加密技術(shù)綜合起來，充分發(fā)揮各種技術(shù)的特點(diǎn)，

7、共同提高信息的安全性；比如利用數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等技術(shù)來實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、認(rèn)證性和不可否認(rèn)性1-3。目前，一些地區(qū)的財(cái)政部門為提高本轄區(qū)內(nèi)的企業(yè)數(shù)據(jù)上報(bào)的及時性和便利性，積極升級改造企業(yè)財(cái)務(wù)會計(jì)記錄的上報(bào)方法，其中有些地方利用了互聯(lián)網(wǎng)的便利性，推出了企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)系統(tǒng)。通過這種方式，提高了企業(yè)財(cái)務(wù)會計(jì)記錄數(shù)據(jù)上報(bào)系統(tǒng)的性能，提高了工作效率，但是由于這些數(shù)據(jù)可能包含每個企業(yè)的商業(yè)機(jī)密，因此，不論是在企業(yè)財(cái)務(wù)會計(jì)記錄的生成、傳輸還是上報(bào)過程中，都會存在數(shù)據(jù)信息的安全性問題，可能造成信息的泄露、篡改，就會使企業(yè)蒙受損失，影響系統(tǒng)的正常運(yùn)行以及企業(yè)的信譽(yù)、生產(chǎn)和經(jīng)營。

8、因此，一個功能完善的企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)系統(tǒng)，除了需要具備之前系統(tǒng)的數(shù)據(jù)導(dǎo)入、數(shù)據(jù)查詢、數(shù)據(jù)統(tǒng)計(jì)、權(quán)限控制等功能外，企業(yè)財(cái)務(wù)會計(jì)記錄數(shù)據(jù)從生成到入庫的安全性尤其重要。企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)系統(tǒng)不僅需要保證數(shù)據(jù)信息的準(zhǔn)確性和及時性，更要保證的機(jī)密性、完整性、認(rèn)證性和不可否認(rèn)性。而本研究方案所使用的虛擬專用網(wǎng)4及多種數(shù)據(jù)加密技術(shù)，很好地滿足了企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)系統(tǒng)的要求，為企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)提供了一個較好的解決方案。通過對企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)系統(tǒng)使用環(huán)境的研究，并針對從企業(yè)財(cái)務(wù)會計(jì)記錄采集、發(fā)送到企業(yè)財(cái)務(wù)會計(jì)記錄接收、入庫過程中可能存在的安全問題，提出了一套完整的解決方案：通過虛擬專用網(wǎng)技術(shù)在互

9、聯(lián)網(wǎng)上建立數(shù)據(jù)傳輸安全通道，實(shí)現(xiàn)各企業(yè)與本地財(cái)政系統(tǒng)的隨時聯(lián)網(wǎng)，提高了系統(tǒng)的可伸縮性，降低系統(tǒng)運(yùn)行成本；再利用數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名5來實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、可鑒別和不可否認(rèn)性，為企業(yè)財(cái)務(wù)會計(jì)記錄直報(bào)系統(tǒng)的正常運(yùn)行，提供了安全保障。 本文主要介紹本系統(tǒng)所使用的虛擬專用網(wǎng)、數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等技術(shù)及系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)原理。2 系統(tǒng)主要技術(shù)（Main technology of system）本研究方案主要涉及的技術(shù)包括虛擬專用網(wǎng)、數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等技術(shù)，現(xiàn)這些技術(shù)簡單介紹。2.1 虛擬專用網(wǎng)技術(shù)虛擬專用網(wǎng)（Virtual Private

10、 Net，即VPN），通常是在公用網(wǎng)絡(luò)（Internet）上建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它的功能是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊，虛擬專用網(wǎng)網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問，在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。虛擬專用網(wǎng)能提供如下功能：（1）數(shù)據(jù)加密：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡蝗私孬@也不會泄露。（2）信息認(rèn)證和身份認(rèn)證：保證信息的完整性、合法性，并能鑒別用戶身份。（3）提供訪問控制：不同用戶有不同的訪問權(quán)限。目前，除了一些專業(yè)的公司如思科（Cisco）、華為等有虛擬專用網(wǎng)產(chǎn)品外，常用的操作系統(tǒng)如Windows、Unix，甚至A

11、ndroid、iOS都帶有虛擬專用網(wǎng)功能。2.2 RSA公鑰加密算法RSA6是目前很有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA公鑰加密算法是1977年由羅納德李維斯特（Ron Rivest）、阿迪薩莫爾（Adi Shamir）和倫納德阿德曼（Leonard Adleman）一起提出的。1987年首次公布，當(dāng)時他們?nèi)硕荚诼槭±砉W(xué)院工作。RSA就是他們?nèi)诵帐祥_頭字母拼在一起組成的。在本系統(tǒng)中，使用的密鑰長度為1024比特。2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）7，是一種使用

12、對稱密鑰加密的算法。1977年被美國聯(lián)邦政府的國家標(biāo)準(zhǔn)局確定為聯(lián)邦資料處理標(biāo)準(zhǔn)（FIPS），并授權(quán)在非密級政府通信中使用，隨后該算法在國際上廣泛流傳開來。DES設(shè)計(jì)中使用了分組密碼設(shè)計(jì)的兩個原則：混淆（Confusion）和擴(kuò)散（Diffusion），其目的是抗擊敵手對密碼系統(tǒng)的統(tǒng)計(jì)分析?；煜鞘姑芪牡慕y(tǒng)計(jì)特性與密鑰的取值之間的關(guān)系盡可能復(fù)雜化，以使密鑰和明文以及密文之間的依賴性對密碼分析者來說是無法利用的。擴(kuò)散的作用就是將每一位明文的影響盡可能迅速地作用到較多的輸出密文位中，以便在大量的密文中消除明文的統(tǒng)計(jì)結(jié)構(gòu)，并且使每一位密鑰的影響盡可能迅速地?cái)U(kuò)展到較多的密文位中，以防對密鑰進(jìn)行逐段破譯。

13、為了提高DES的加密強(qiáng)度，也可以使用雙重DES和三重DES。在本系統(tǒng)中，使用的密鑰長度為2048比特。2.4 信息摘要算法5信息摘要算法5（Message-Digest Algorithm 5，MD5）8，9，為計(jì)算機(jī)安全領(lǐng)域廣泛使用的一種哈希函數(shù)，用以提供消息的完整性保護(hù)，該算法的文件號為RFC 1321，用于確保信息傳輸完整一致，是計(jì)算機(jī)廣泛使用的雜湊算法（也稱摘要算法、哈希算法）之一。3 系統(tǒng)設(shè)計(jì)及實(shí)現(xiàn)（System design and realization）本系統(tǒng)的拓?fù)浣Y(jié)構(gòu)如圖1所示。在本系統(tǒng)中，財(cái)政部門的信息中心安裝有本系統(tǒng)的服務(wù)器（Web Service）和數(shù)據(jù)庫服務(wù)器，而該財(cái)

14、政部門其所管轄的每個企業(yè)都有系統(tǒng)客戶端，在這些系統(tǒng)客戶端中安裝有“基礎(chǔ)數(shù)據(jù)采集引擎”（負(fù)責(zé)財(cái)務(wù)會計(jì)記錄的采集），這些系統(tǒng)客戶端在需要時可以通過虛擬專用網(wǎng)與服務(wù)器相連，不需要時則斷開連接。雖然，把很多企業(yè)的客戶端通過VPN的方式連入信息中心的服務(wù)器后，如同組建了一個局域網(wǎng)，為各企業(yè)上報(bào)數(shù)據(jù)帶來了方便性、快捷性；但也會引起本“局域網(wǎng)”的安全問題，如果某個企業(yè)可以通過把自己系統(tǒng)客戶端或本企業(yè)的其他計(jì)算機(jī)的網(wǎng)卡設(shè)置成混雜模式，就可以監(jiān)聽本網(wǎng)絡(luò)中其他計(jì)算機(jī)的通信，為了解決本系統(tǒng)可能存在的安全問題，系統(tǒng)服務(wù)器和每個系統(tǒng)客戶端都采用了通過第三方CA認(rèn)證的RSA密鑰管理機(jī)制，上報(bào)的數(shù)據(jù)文件必須進(jìn)過加密處理。系

15、統(tǒng)客戶端上報(bào)數(shù)據(jù)文件的步驟如下：第一步：系統(tǒng)客戶端采集企業(yè)財(cái)務(wù)會計(jì)記錄。一般而言，在每個周期內(nèi)，系統(tǒng)客戶端根據(jù)需要完成企業(yè)財(cái)務(wù)會計(jì)記錄的采集，生成上報(bào)數(shù)據(jù)文件，如M0。第二步：系統(tǒng)客戶端對上報(bào)數(shù)據(jù)簽名?？蛻舳死肕D5生成上報(bào)數(shù)據(jù)M0的信息摘要h0，并用自己的RSA私鑰K1對該信息摘要進(jìn)行數(shù)字簽名h1。然后將上報(bào)數(shù)據(jù)文件M0和數(shù)字簽名h1合并為M1。第三步：系統(tǒng)客戶端加密上報(bào)數(shù)據(jù)?？蛻舳穗S機(jī)產(chǎn)生一個DES密鑰KDES，用DES密鑰加密M1，生成密文C1；再用服務(wù)器的公鑰加密DES密鑰KDES生成數(shù)字信封C2。第四步：系統(tǒng)客戶端向系統(tǒng)服務(wù)器發(fā)送數(shù)據(jù)。客戶端通過VPN方式請求連接服務(wù)器，通過服務(wù)器

16、驗(yàn)證后，客戶端將向系統(tǒng)服務(wù)器發(fā)送上報(bào)數(shù)據(jù)及數(shù)字簽名的密文C1和數(shù)字信封C2。系統(tǒng)服務(wù)端處理上報(bào)的數(shù)據(jù)文件有兩個步驟如下：第一步：系統(tǒng)服務(wù)器驗(yàn)證上報(bào)數(shù)據(jù)。服務(wù)器收到客戶端發(fā)送的C1和C2后，使用自己的私鑰打開數(shù)字信封C2，得到客戶端的DES密鑰KDES；并用此密鑰KDES去解密C1，得到數(shù)據(jù)M1，再從M1中分離出M0和h1。然后求出上報(bào)數(shù)據(jù)M0的信息摘要hS，再對該客戶端的數(shù)字簽名進(jìn)行身份驗(yàn)證，即使用該客戶端的RSA公鑰解密h1，得到收到的該客戶端發(fā)送的消息摘要hC，比較hS和hC，如果hS=hC，則說明M0確是該客戶端發(fā)送的上報(bào)數(shù)據(jù)，如果hShC，則收到的上報(bào)數(shù)據(jù)是不可信的。 第二步：企業(yè)財(cái)務(wù)

17、會計(jì)記錄的入庫。系統(tǒng)服務(wù)器在收到客戶端發(fā)送的上報(bào)數(shù)據(jù)并完成驗(yàn)證后，認(rèn)為該企業(yè)財(cái)務(wù)會計(jì)記錄確是某個企業(yè)所發(fā)，于是將企業(yè)財(cái)務(wù)會計(jì)記錄入庫。完成后通知客戶端斷開VPN連接。如果在服務(wù)器完成企業(yè)財(cái)務(wù)會計(jì)記錄入庫后，發(fā)現(xiàn)企業(yè)財(cái)務(wù)會計(jì)記錄存在錯誤，系統(tǒng)客戶端可以重新發(fā)送企業(yè)財(cái)務(wù)會計(jì)記錄，服務(wù)器收到重新入庫的請求后，先刪除之前的錯誤企業(yè)財(cái)務(wù)會計(jì)記錄，再把通過驗(yàn)證的新收到的企業(yè)財(cái)務(wù)會計(jì)記錄入庫，避免了錯誤信息的存在。4 結(jié)論（Conclusion）本系統(tǒng)將虛擬專用網(wǎng)技術(shù)和數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等結(jié)合在一起，實(shí)現(xiàn)了系統(tǒng)在安全方面的功能，滿足了當(dāng)前條件下信息的安全性。而且在試運(yùn)行過程中，該系統(tǒng)可以

18、實(shí)現(xiàn)企業(yè)財(cái)務(wù)會計(jì)記錄的直報(bào)要求，并達(dá)到快速及時、安全性的要求。但該系統(tǒng)還存在部分不足，主要存在一下幾個問題，一是有時候網(wǎng)速比較慢，可能是由于虛擬專用網(wǎng)的配置引起的；二是目前使用的DES和RSA算法的密鑰長度可能成為安全隱患。對于以上問題，將在以后的版本中進(jìn)一步改進(jìn)和完善。參考文獻(xiàn)（References）1 Liu Jinhui，et al.DigitalSignature Protocol Based on Error-correcting CodesJ.Huazhong Univ. of Sci.&Tech.（Natural Science Edition），2014，42（11）：97-101.2 Wang Mingwei，HuYupu.Forward and Backward Secure Signature SchemeJ.JournalofXidian University，2014，41（2）：71-78.3 Wang Ding，Wang Ping，Lei Ming.Cryptanalysis and Improvement of Gateway-oriented Password Authenticated Key Exchange Protocol Based on RSAJ.Acta Electronica Sinica，2015，41（1）：176-18