摘 要：隨著計算機與通信技術(shù)的發(fā)展和應(yīng)用的推廣，一些地區(qū)的財政部門為提高本轄區(qū)內(nèi)的企業(yè)數(shù)據(jù)上報的及時性和便利性，積極升級改造企業(yè)財務(wù)會計記錄的上報方法，其中有些地方利用了互聯(lián)網(wǎng)的便利性，推出了企業(yè)財務(wù)會計記錄直報系統(tǒng)。但是，由于目前日益嚴重的信息安全問題困擾著很多地方的企業(yè)及其主管部門，如何在信息安全和工作效率之間找到一個平衡點，是很多系統(tǒng)建設(shè)者要考慮的重要問題。本文針對了從企業(yè)財務(wù)會計記錄采集、發(fā)送到接收、入庫中可能存在的安全問題，提出使用虛擬專用網(wǎng)技術(shù)以及數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等技術(shù)，從而避免在這個過程中的安全隱患，提高了整個系統(tǒng)的信息安全保障。

關(guān)鍵詞：財務(wù)會計記錄；虛擬專用網(wǎng)；數(shù)據(jù)加密；數(shù)字簽名

中圖分類號：TP311.1 文獻標識碼：A

Abstract：With the promotion of the development and application of computer and communications technology，some areas of the financial sector for improve the timeliness and convenience within the jurisdiction of the enterprise data reported that actively upgrading transformation of the enterprise financial accounting records of the reporting method，which in some places using the convenience of internet，launched the enterprise financial accounting records of the reporting system.But due to the increasingly serious problem of information security plagued many local enterprises and departments，how to find a balance point between of the information security and the work efficiency is a lot of system builders to consider important issues.This paper also discusses from the enterprise financial accounting records collected and sent to the receiver，thetreasury may exist safety problem，it proposes using virtual private network technology and digital encryption，digital envelope，hash function and digital signature etc.，thus avoiding security hidden danger in the process，improve the information security of the whole system.

Keywords：financial accounting records；virtual private net；data encryption；digital signature

1 引言（Introduction）

隨著計算機與通信技術(shù)的發(fā)展和應(yīng)用的推廣，當(dāng)前社會進入了信息社會，同時信息的安全問題也成為了人們關(guān)注的焦點，為了解決信息安全中存在的一些問題，很多人致力于發(fā)現(xiàn)新的安全技術(shù)以及新的算法的應(yīng)用。在人們解決信息安全的過程中，普遍認為加密技術(shù)是信息安全的核心。因此，數(shù)據(jù)加密技術(shù)也隨著信息社會的到來而蓬勃發(fā)展。為了提高信息的安全性，人們將多種加密技術(shù)綜合起來，充分發(fā)揮各種技術(shù)的特點，共同提高信息的安全性；比如利用數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等技術(shù)來實現(xiàn)數(shù)據(jù)的機密性、完整性、認證性和不可否認性[1-3]。

目前，一些地區(qū)的財政部門為提高本轄區(qū)內(nèi)的企業(yè)數(shù)據(jù)上報的及時性和便利性，積極升級改造企業(yè)財務(wù)會計記錄的上報方法，其中有些地方利用了互聯(lián)網(wǎng)的便利性，推出了企業(yè)財務(wù)會計記錄直報系統(tǒng)。通過這種方式，提高了企業(yè)財務(wù)會計記錄數(shù)據(jù)上報系統(tǒng)的性能，提高了工作效率，但是由于這些數(shù)據(jù)可能包含每個企業(yè)的商業(yè)機密，因此，不論是在企業(yè)財務(wù)會計記錄的生成、傳輸還是上報過程中，都會存在數(shù)據(jù)信息的安全性問題，可能造成信息的泄露、篡改，就會使企業(yè)蒙受損失，影響系統(tǒng)的正常運行以及企業(yè)的信譽、生產(chǎn)和經(jīng)營。

因此，一個功能完善的企業(yè)財務(wù)會計記錄直報系統(tǒng)，除了需要具備之前系統(tǒng)的數(shù)據(jù)導(dǎo)入、數(shù)據(jù)查詢、數(shù)據(jù)統(tǒng)計、權(quán)限控制等功能外，企業(yè)財務(wù)會計記錄數(shù)據(jù)從生成到入庫的安全性尤其重要。企業(yè)財務(wù)會計記錄直報系統(tǒng)不僅需要保證數(shù)據(jù)信息的準確性和及時性，更要保證的機密性、完整性、認證性和不可否認性。而本研究方案所使用的虛擬專用網(wǎng)[4]及多種數(shù)據(jù)加密技術(shù)，很好地滿足了企業(yè)財務(wù)會計記錄直報系統(tǒng)的要求，為企業(yè)財務(wù)會計記錄直報提供了一個較好的解決方案。

通過對企業(yè)財務(wù)會計記錄直報系統(tǒng)使用環(huán)境的研究，并針對從企業(yè)財務(wù)會計記錄采集、發(fā)送到企業(yè)財務(wù)會計記錄接收、入庫過程中可能存在的安全問題，提出了一套完整的解決方案：通過虛擬專用網(wǎng)技術(shù)在互聯(lián)網(wǎng)上建立數(shù)據(jù)傳輸安全通道，實現(xiàn)各企業(yè)與本地財政系統(tǒng)的隨時聯(lián)網(wǎng)，提高了系統(tǒng)的可伸縮性，降低系統(tǒng)運行成本；再利用數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名[5]來實現(xiàn)數(shù)據(jù)的機密性、完整性、可鑒別和不可否認性，為企業(yè)財務(wù)會計記錄直報系統(tǒng)的正常運行，提供了安全保障。

本文主要介紹本系統(tǒng)所使用的虛擬專用網(wǎng)、數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等技術(shù)及系統(tǒng)的設(shè)計和實現(xiàn)原理。

2 系統(tǒng)主要技術(shù)（Main technology of system）

本研究方案主要涉及的技術(shù)包括虛擬專用網(wǎng)、數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等技術(shù)，現(xiàn)這些技術(shù)簡單介紹。

2.1 虛擬專用網(wǎng)技術(shù)

虛擬專用網(wǎng)（Virtual Private Net，即VPN），通常是在公用網(wǎng)絡(luò)（Internet）上建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它的功能是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊，虛擬專用網(wǎng)網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉(zhuǎn)換實現(xiàn)遠程訪問，在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。虛擬專用網(wǎng)能提供如下功能：

（1）數(shù)據(jù)加密：以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡蝗私孬@也不會泄露。

（2）信息認證和身份認證：保證信息的完整性、合法性，并能鑒別用戶身份。

（3）提供訪問控制：不同用戶有不同的訪問權(quán)限。

目前，除了一些專業(yè)的公司如思科（Cisco）、華為等有虛擬專用網(wǎng)產(chǎn)品外，常用的操作系統(tǒng)如Windows、Unix，甚至Android、iOS都帶有虛擬專用網(wǎng)功能。

2.2 RSA公鑰加密算法

RSA[6]是目前很有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的絕大多數(shù)密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標準。RSA公鑰加密算法是1977年由羅納德·李維斯特（Ron Rivest）、阿迪·薩莫爾（Adi Shamir）和倫納德·阿德曼（Leonard Adleman）一起提出的。1987年首次公布，當(dāng)時他們?nèi)硕荚诼槭±砉W(xué)院工作。RSA就是他們?nèi)诵帐祥_頭字母拼在一起組成的。在本系統(tǒng)中，使用的密鑰長度為1024比特。

2.3 數(shù)據(jù)加密標準

數(shù)據(jù)加密標準（Data Encryption Standard，DES）[7]，是一種使用對稱密鑰加密的算法。1977年被美國聯(lián)邦政府的國家標準局確定為聯(lián)邦資料處理標準（FIPS），并授權(quán)在非密級政府通信中使用，隨后該算法在國際上廣泛流傳開來。

DES設(shè)計中使用了分組密碼設(shè)計的兩個原則：混淆（Confusion）和擴散（Diffusion），其目的是抗擊敵手對密碼系統(tǒng)的統(tǒng)計分析?；煜鞘姑芪牡慕y(tǒng)計特性與密鑰的取值之間的關(guān)系盡可能復(fù)雜化，以使密鑰和明文以及密文之間的依賴性對密碼分析者來說是無法利用的。擴散的作用就是將每一位明文的影響盡可能迅速地作用到較多的輸出密文位中，以便在大量的密文中消除明文的統(tǒng)計結(jié)構(gòu)，并且使每一位密鑰的影響盡可能迅速地擴展到較多的密文位中，以防對密鑰進行逐段破譯。為了提高DES的加密強度，也可以使用雙重DES和三重DES。在本系統(tǒng)中，使用的密鑰長度為2048比特。

2.4 信息—摘要算法5

信息—摘要算法5（Message-Digest Algorithm 5，

MD5）[8，9]，為計算機安全領(lǐng)域廣泛使用的一種哈希函數(shù)，用以提供消息的完整性保護，該算法的文件號為RFC 1321，用于確保信息傳輸完整一致，是計算機廣泛使用的雜湊算法（也稱摘要算法、哈希算法）之一。

3 系統(tǒng)設(shè)計及實現(xiàn)（System design and realization）

本系統(tǒng)的拓撲結(jié)構(gòu)如圖1所示。

在本系統(tǒng)中，財政部門的信息中心安裝有本系統(tǒng)的服務(wù)器（Web Service）和數(shù)據(jù)庫服務(wù)器，而該財政部門其所管轄的每個企業(yè)都有系統(tǒng)客戶端，在這些系統(tǒng)客戶端中安裝有“基礎(chǔ)數(shù)據(jù)采集引擎”（負責(zé)財務(wù)會計記錄的采集），這些系統(tǒng)客戶端在需要時可以通過虛擬專用網(wǎng)與服務(wù)器相連，不需要時則斷開連接。雖然，把很多企業(yè)的客戶端通過VPN的方式連入信息中心的服務(wù)器后，如同組建了一個局域網(wǎng)，為各企業(yè)上報數(shù)據(jù)帶來了方便性、快捷性；但也會引起本“局域網(wǎng)”的安全問題，如果某個企業(yè)可以通過把自己系統(tǒng)客戶端或本企業(yè)的其他計算機的網(wǎng)卡設(shè)置成混雜模式，就可以監(jiān)聽本網(wǎng)絡(luò)中其他計算機的通信，為了解決本系統(tǒng)可能存在的安全問題，系統(tǒng)服務(wù)器和每個系統(tǒng)客戶端都采用了通過第三方CA認證的RSA密鑰管理機制，上報的數(shù)據(jù)文件必須進過加密處理。系統(tǒng)客戶端上報數(shù)據(jù)文件的步驟如下：

第一步：系統(tǒng)客戶端采集企業(yè)財務(wù)會計記錄。一般而言，在每個周期內(nèi)，系統(tǒng)客戶端根據(jù)需要完成企業(yè)財務(wù)會計記錄的采集，生成上報數(shù)據(jù)文件，如M0。

第二步：系統(tǒng)客戶端對上報數(shù)據(jù)簽名。客戶端利用MD5生成上報數(shù)據(jù)M0的信息摘要h0，并用自己的RSA私鑰K1對該信息摘要進行數(shù)字簽名h1。然后將上報數(shù)據(jù)文件M0和數(shù)字簽名h1合并為M1。

第三步：系統(tǒng)客戶端加密上報數(shù)據(jù)。客戶端隨機產(chǎn)生一個DES密鑰KDES，用DES密鑰加密M1，生成密文C1；再用服務(wù)器的公鑰加密DES密鑰KDES生成數(shù)字信封C2。

第四步：系統(tǒng)客戶端向系統(tǒng)服務(wù)器發(fā)送數(shù)據(jù)?？蛻舳送ㄟ^VPN方式請求連接服務(wù)器，通過服務(wù)器驗證后，客戶端將向系統(tǒng)服務(wù)器發(fā)送上報數(shù)據(jù)及數(shù)字簽名的密文C1和數(shù)字信封C2。

系統(tǒng)服務(wù)端處理上報的數(shù)據(jù)文件有兩個步驟如下：

第一步：系統(tǒng)服務(wù)器驗證上報數(shù)據(jù)。服務(wù)器收到客戶端發(fā)送的C1和C2后，使用自己的私鑰打開數(shù)字信封C2，得到客戶端的DES密鑰KDES；并用此密鑰KDES去解密C1，得到數(shù)據(jù)M1，再從M1中分離出M0和h1。然后求出上報數(shù)據(jù)M0的信息摘要hS，再對該客戶端的數(shù)字簽名進行身份驗證，即使用該客戶端的RSA公鑰解密h1，得到收到的該客戶端發(fā)送的消息摘要hC，比較hS和hC，如果hS=hC，則說明M0確是該客戶端發(fā)送的上報數(shù)據(jù)，如果hS≠hC，則收到的上報數(shù)據(jù)是不可信的。

第二步：企業(yè)財務(wù)會計記錄的入庫。系統(tǒng)服務(wù)器在收到客戶端發(fā)送的上報數(shù)據(jù)并完成驗證后，認為該企業(yè)財務(wù)會計記錄確是某個企業(yè)所發(fā)，于是將企業(yè)財務(wù)會計記錄入庫。完成后通知客戶端斷開VPN連接。

如果在服務(wù)器完成企業(yè)財務(wù)會計記錄入庫后，發(fā)現(xiàn)企業(yè)財務(wù)會計記錄存在錯誤，系統(tǒng)客戶端可以重新發(fā)送企業(yè)財務(wù)會計記錄，服務(wù)器收到重新入庫的請求后，先刪除之前的錯誤企業(yè)財務(wù)會計記錄，再把通過驗證的新收到的企業(yè)財務(wù)會計記錄入庫，避免了錯誤信息的存在。

4 結(jié)論（Conclusion）

本系統(tǒng)將虛擬專用網(wǎng)技術(shù)和數(shù)據(jù)加密、數(shù)字信封、哈希函數(shù)和數(shù)字簽名等結(jié)合在一起，實現(xiàn)了系統(tǒng)在安全方面的功能，滿足了當(dāng)前條件下信息的安全性。而且在試運行過程中，該系統(tǒng)可以實現(xiàn)企業(yè)財務(wù)會計記錄的直報要求，并達到快速及時、安全性的要求。但該系統(tǒng)還存在部分不足，主要存在一下幾個問題，一是有時候網(wǎng)速比較慢，可能是由于虛擬專用網(wǎng)的配置引起的；二是目前使用的DES和RSA算法的密鑰長度可能成為安全隱患。對于以上問題，將在以后的版本中進一步改進和完善。

參考文獻（References）

[1] Liu Jinhui，et al.DigitalSignature Protocol Based on Error-correcting Codes[J].Huazhong Univ. of Sci.&Tech.（Natural Science Edition），2014，42（11）：97-101.

[2] Wang Mingwei，HuYupu.Forward and Backward Secure Signature Scheme[J].JournalofXidian University，

2014，41（2）：71-78.

[3] Wang Ding，Wang Ping，Lei Ming.Cryptanalysis and Improvement of Gateway-oriented Password Authenticated Key Exchange Protocol Based on RSA[J].Acta Electronica Sinica，2015，41（1）：176-184.

[4] 百度百科[EB/OL].http：//baike.baidu.com/view/480950.htm

[5] 何明星，等.高效的可證明安全的無證書數(shù)字簽名方案[J].電子科技大學(xué)學(xué)報，2015，44（6）：887-891.

[6] 陳財森，等.針對RSA算法的蹤跡驅(qū)動數(shù)據(jù)Cache計時攻擊研究[J].計算機學(xué)報，2014，37（5）：1039-1051.

[7] 程磊.基于AES和RSA的網(wǎng)絡(luò)數(shù)據(jù)加密方案[J].現(xiàn)代電子技術(shù)，2015，38（09）：87-89.

[8] 吳志軍，趙婷，雷縉.基于改進的Diameter/EAP-MD5的SWIM認證方法[J].通信學(xué)報，2014，35（8）：1-7.

[9] 百度百科[EB/OL].http：//baike.baidu.com/view/7636.htm.

作者簡介：

康保軍（1970-），男，碩士，系統(tǒng)分析師.研究領(lǐng)域：軟件工

程，數(shù)據(jù)庫應(yīng)用.