CN106452796B - 认证授权方法、涉税业务平台和相关设备 - Google Patents

认证授权方法、涉税业务平台和相关设备 Download PDF

Info

Publication number
CN106452796B
CN106452796B CN201611071474.0A CN201611071474A CN106452796B CN 106452796 B CN106452796 B CN 106452796B CN 201611071474 A CN201611071474 A CN 201611071474A CN 106452796 B CN106452796 B CN 106452796B
Authority
CN
China
Prior art keywords
tax
service platform
related service
private key
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611071474.0A
Other languages
English (en)
Other versions
CN106452796A (zh
Inventor
高翔
胡文彬
刘祥涛
赵彦晖
孙淏添
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Weizhong Credit Technology Co Ltd
Original Assignee
Shenzhen Micro Tax Silver Information Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Micro Tax Silver Information Service Co Ltd filed Critical Shenzhen Micro Tax Silver Information Service Co Ltd
Priority to CN201611071474.0A priority Critical patent/CN106452796B/zh
Publication of CN106452796A publication Critical patent/CN106452796A/zh
Application granted granted Critical
Publication of CN106452796B publication Critical patent/CN106452796B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/12Accounting
    • G06Q40/123Tax preparation or submission
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Finance (AREA)
  • Accounting & Taxation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例公开了一种认证授权方法、涉税业务平台、税局前置系统、防伪税控设备和涉税系统,用于提高认证授权的检验可靠性和有效性。本发明实施例方法包括:涉税业务平台获取税务用户的包括防伪税控设备的PIN码的授权信息,涉税业务平台获取私钥,然后,根据私钥对预设信息进行签名,得到加密因子;涉税业务平台根据PIN码调用防伪税控设备的接口后,通过防伪税控设备的接口向防伪税控设备发送加密因子;涉税业务平台获取防伪税控设备发送的签名数据以向税局前置系统发送该签名数据;从而,涉税业务平台获取税局前置系统发送的授权成功信息。通过加密因子和私钥来进行管控,提高了对涉税业务平台是否获取税务用户授权的检验可靠性,保证了防伪税控设备税务用户对涉税业务平台授权的有效性。

Description

认证授权方法、涉税业务平台和相关设备
技术领域
本发明涉及数据处理领域,尤其涉及一种认证授权方法、涉税业务平台、税局前置系统、防伪税控设备和涉税系统。
背景技术
随着国家税务总局税制改革以及营改增的推进,越来越多的企业转为使用防伪税控设备进行开票。
防伪税控设备核心是基于CA技术,构建用户身份安全,在使用环节上大都是两个主体的关系,即服务端通过防伪税控设备校验客户端的身份,并根据有效鉴权提供系统内的相关服务,一般在系统内部完成。
如果税务用户通过第三方涉税系统办理相关涉税业务,则第三方涉税系统需要获得税务用户的授权,为用户提供相关涉税服务;用户的授权行为一般是每次操作涉税业务时,对第三方涉税系统进行授权。
第三方涉税系统代表税务用户和税局系统交互,需要将税务用户防伪税控设备授权的信息,传到税局内部系统,获取税局内部系统的认可后,第三方涉税系统才能代表企业进行相关的涉税操作。
由于证书加密的数据传输是先经过了第三方涉税系统,再到税局内部系统,所以税局需要确认用户的每次授权信息的有效性,确保不被第三方涉税系统仿冒和截留。
但是,本发明的发明人进过研究后发现,防伪税控设备现有的单次证书加密技术的不足有:
没有充分考虑到第三方涉税系统代表防伪税控设备税务用户,根据用户授权处理相关涉税业务的应用场景。
防伪税控设备的授权行为一般是每次操作涉税业务时授权的,授权行为的传导行为不能灵活适用于第三方涉税系统的多种场景,即在某些应用场景下,授权会失效,必须重新获得授权才可继续操作。
若在现有方案中,只考虑用户的一次授权即可让第三方涉税系统多次代表税务用户执行涉税业务办理,将会产生被第三方涉税系统仿冒和截留的分险。
发明内容
本发明实施例提供了一种认证授权方法、涉税业务平台、税局前置系统、防伪税控设备和涉税系统,用于提高认证授权的检验可靠性和有效性。
为了解决上述技术问题,本发明实施例提供了以下技术方案:
一种认证授权方法,所述方法应用于涉税业务平台,所述方法包括:
涉税业务平台获取税务用户的授权信息,其中所述授权信息包括防伪税控设备的PIN码;
所述涉税业务平台获取私钥,所述私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;
所述涉税业务平台根据所述私钥对预设信息进行签名,得到加密因子;
所述涉税业务平台根据所述PIN码调用所述防伪税控设备的接口;
所述涉税业务平台通过所述防伪税控设备的接口向所述防伪税控设备发送所述加密因子;
所述涉税业务平台获取所述防伪税控设备发送的签名数据,所述签名数据由所述防伪税控设备对所述加密因子进行签名后得到;
所述涉税业务平台向所述税局前置系统发送所述签名数据;
所述涉税业务平台获取所述税局前置系统发送的授权成功信息,所述授权成功信息由所述税局前置系统对所述签名数据的防伪税控设备的签名验签成功,以及确定对所述加密因子签名的私钥与所述密钥对的公钥配对后生成得到。
为了解决上述技术问题,本发明实施例还提供了以下技术方案:
一种认证授权方法,所述认证方法应用于税局前置系统,所述方法包括:
税局前置系统获取涉税业务平台发送的签名数据,所述签名数据由防伪税控设备对加密因子进行签名后得到,所述加密因子由所述涉税业务平台根据私钥对预设信息进行签名后得到;
所述税局前置系统对所述签名数据的防伪税控设备的签名进行验签;
所述税局前置系统使用预存的公钥对所述签名数据的加密因子进行解密,确定对所述加密因子签名的所述私钥和所述公钥是否配对;
若对所述防伪税控设备的签名验签成功,以及所述私钥和所述公钥配对,则所述税局前置系统生成授权成功信息;
所述税局前置系统向所述涉税业务平台发送所述授权成功信息。
为了解决上述技术问题,本发明实施例还提供了以下技术方案:
一种认证授权方法,所述方法应用于防伪税控设备,所述方法包括:
防伪税控设备获取涉税业务平台发送的加密因子,所述加密因子由所述涉税业务平台根据私钥对预设信息进行签名后得到;
所述防伪税控设备对所述加密因子进行签名,得到签名数据;
所述防伪税控设备向所述涉税业务平台发送所述签名数据。
为了解决上述技术问题,本发明实施例还提供了以下技术方案:
一种涉税业务平台,包括:
认证授权模块,用于获取税务用户的授权信息,其中所述授权信息包括防伪税控设备的PIN码;
所述认证授权模块,还用于获取私钥,所述私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;
所述认证授权模块,还用于根据所述私钥对预设信息进行签名,得到加密因子;
防伪税控设备接口模块,用于根据所述PIN码调用所述防伪税控设备的接口;
所述防伪税控设备接口模块,还用于通过所述防伪税控设备的接口向所述防伪税控设备发送所述加密因子;
所述防伪税控设备接口模块,还用于获取所述防伪税控设备发送的签名数据,所述签名数据由所述防伪税控设备对所述加密因子进行签名后得到;
所述认证授权模块,还用于向所述税局前置系统发送所述签名数据;
所述认证授权模块,还用于获取所述税局前置系统发送的授权成功信息,所述授权成功信息由所述税局前置系统对所述签名数据的防伪税控设备的签名验签成功,以及确定对所述加密因子签名的私钥与所述密钥对的公钥配对后生成得到。
为了解决上述技术问题,本发明实施例还提供了以下技术方案:
一种税局前置系统,包括:
系统认证授权模块,用于获取涉税业务平台发送的签名数据,所述签名数据由防伪税控设备对加密因子进行签名后得到,所述加密因子由所述涉税业务平台根据私钥对预设信息进行签名后得到;
所述系统认证授权模块,还用于对所述签名数据的防伪税控设备的签名进行验签;
所述系统认证授权模块,还用于使用预存的公钥对所述签名数据的加密因子进行解密,确定对所述加密因子签名的所述私钥和所述公钥是否配对;
所述系统认证授权模块,还用于若满足对所述防伪税控设备的签名验签成功、以及所述私钥和所述公钥配对的条件,则生成授权成功信息;
所述系统认证授权模块,还用于向所述涉税业务平台发送所述授权成功信息。
为了解决上述技术问题,本发明实施例还提供了以下技术方案:
一种防伪税控设备,包括:
防伪税控设备获取模块,用于获取涉税业务平台发送的加密因子,所述加密因子由所述涉税业务平台根据私钥对预设信息进行签名后得到;
签名模块,用于对所述加密因子进行签名,得到签名数据;
防伪税控设备发送模块,用于向所述涉税业务平台发送所述签名数据。
为了解决上述技术问题,本发明实施例还提供了以下技术方案:
一种涉税系统,包括涉税业务平台、税局前置系统和防伪税控设备,
其中,
所述涉税业务平台,为如上所述的涉税业务平台;
所述税局前置系统,为如上所述的税局前置系统;
所述防伪税控设备,为如上所述的防伪税控设备。
从以上技术方案可以看出,本发明实施例具有以下优点:
涉税业务平台获取税务用户的授权信息,其中授权信息包括防伪税控设备的PIN码;涉税业务平台获取私钥,该私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;然后涉税业务平台根据私钥对预设信息进行签名,得到加密因子;跟着,涉税业务平台根据PIN码调用防伪税控设备的接口;从而通过防伪税控设备的接口向防伪税控设备发送加密因子;涉税业务平台获取防伪税控设备发送的签名数据,签名数据由防伪税控设备对加密因子进行签名后得到;然后,涉税业务平台向税局前置系统发送签名数据;涉税业务平台获取税局前置系统发送的授权成功信息,其中,授权成功信息由税局前置系统对签名数据的防伪税控设备的签名验签成功,以及确定对加密因子签名的私钥与密钥对的公钥配对后生成得到。这样,税局前置系统检验税务用户是否对涉税业务平台进行授权可通过私钥来进行管控,即使通过防伪税控设备的签名认证了涉税业务平台获取了税务用户的授权,若涉税业务平台获取不到税局前置系统生成的私钥,导致税局前置系统端不能执行私钥和公钥的配对检验,或者加密因子的私钥不合法,则税局前置系统不反馈授权成功信息,确认该涉税业务平台未获取到税务用户的合法授权,不能代表该税务用户执行涉税业务。私钥由税局前置系统发放,加密因子的生成需要该私钥,通过加密因子和私钥来进行管控,提高了对涉税业务平台是否获取税务用户授权的检验可靠性,在一些场合可使得税务用户向涉税业务平台一次授权,涉税业务平台可多次执行涉税业务办理,也能降低风险。充分保证防伪税控设备税务用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
附图说明
图1为本发明实施例提供的一种认证授权方法所涉及的网络架构图;
图2为本发明实施例提供的一种认证授权方法的方法流程图;
图3为本发明实施例提供的一种认证授权方法的方法流程图;
图4为本发明实施例提供的一种认证授权方法的方法流程图;
图5为本发明实施例提供的一种认证授权方法的方法流程图;
图6为本发明实施例提供的一种涉税业务平台的结构示意图;
图7为本发明实施例提供的一种税局前置系统的结构示意图;
图8为本发明实施例提供的一种防伪税控设备的结构示意图;
图9为本发明实施例提供的一种涉税系统的结构示意图。
具体实施方式
本发明实施例提供了一种认证授权方法、涉税业务平台、税局前置系统、防伪税控设备和涉税系统,用于提高认证授权的检验可靠性和有效性。
图1为本发明实施例提供的一种认证授权方法所涉及的网络架构图,其包括涉税业务平台103、防伪税控设备110和税局前置系统107,其中
涉税业务平台103可在获取税务用户的授权后,代表该税务用户办理涉税业务,涉税业务平台103包括用户认证授权系统104和数据存储系统102。
防伪税控设备110可用于进行开票,以及提供税务用户的税务信息。
税局前置系统107可用于生成密钥对和对税务用户授权给涉税业务平台的有效性的进行确认。
税局前置系统107可部署在某个税局,涉税业务平台103可通过防火墙105访问税局前置系统107,税局前置系统107包括系统登记模块106和系统认证授权模块108两部分,税局前置系统107对接税局现有的涉税应用系统。
在本发明有的实施例中,如果涉税业务平台103需要对接多个税局的涉税应用系统109,则将税局前置系统部署在多个税局,即每一个税局部署一套税局前置系统系统。
在本发明有的实施例中,税局前置系统107允许多个涉税业务平台103接入;只要遵循税局前置系统提供的技术规范,其他的第三方涉税业务平台也可以接入税局前置系统。
涉税业务平台103包含多个部分,例如,用户认证授权和数据存储部分,数据存储包括授权数据和业务数据的存储,涉税业务平台为防伪税控设备税务用户提供服务,防伪税控设备税务用户101通过涉税业务平台的UI界面进行授权和涉税业务办理。
涉税业务平台获取税务用户的授权信息,其中授权信息包括防伪税控设备的PIN码;涉税业务平台获取私钥,该私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;然后涉税业务平台根据私钥对预设信息进行签名,得到加密因子;跟着,涉税业务平台根据PIN码调用防伪税控设备的接口;从而通过防伪税控设备的接口向防伪税控设备发送加密因子;涉税业务平台获取防伪税控设备发送的签名数据,签名数据由防伪税控设备对加密因子进行签名后得到;然后,涉税业务平台向税局前置系统发送签名数据;涉税业务平台获取税局前置系统发送的授权成功信息,其中,授权成功信息由税局前置系统对签名数据的防伪税控设备的签名验签成功,以及确定对加密因子签名的私钥与密钥对的公钥配对后生成得到。这样,税局前置系统检验税务用户是否对涉税业务平台进行授权可通过私钥来进行管控,即使通过防伪税控设备的签名认证了涉税业务平台获取了税务用户的授权,若涉税业务平台获取不到税局前置系统生成的私钥,导致税局前置系统端不能执行私钥和公钥的配对检验,或者加密因子的私钥不合法,则税局前置系统不反馈授权成功信息,确认该涉税业务平台未获取到税务用户的合法授权,不能代表该税务用户执行涉税业务。私钥由税局前置系统发放,加密因子的生成需要该私钥,通过加密因子和私钥来进行管控,提高了对涉税业务平台是否获取税务用户授权的检验可靠性,在一些场合可使得税务用户向涉税业务平台一次授权,涉税业务平台可多次执行涉税业务办理,也能降低风险。充分保证防伪税控设备税务用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
图2为本发明实施例提供的一种认证授权方法的方法流程图。结合图1所示的网络架构图和上述内容,以涉税业务平台执行本发明实施例提供的方法的角度为例,参见图2,本发明实施例提供的方法流程包括:
步骤201:涉税业务平台获取税务用户的授权信息。
其中授权信息包括防伪税控设备的PIN码;
步骤202:涉税业务平台获取私钥。
其中,私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;
步骤203:涉税业务平台根据私钥对预设信息进行签名,得到加密因子;
步骤204:涉税业务平台根据PIN码调用防伪税控设备的接口;
步骤205:涉税业务平台通过防伪税控设备的接口向防伪税控设备发送加密因子;
步骤206:涉税业务平台获取防伪税控设备发送的签名数据,签名数据由防伪税控设备对加密因子进行签名后得到;
步骤207:涉税业务平台向税局前置系统发送签名数据;
步骤208:涉税业务平台获取税局前置系统发送的授权成功信息。
其中,授权成功信息由税局前置系统对签名数据的防伪税控设备的签名验签成功,以及确定对加密因子签名的私钥与密钥对的公钥配对后生成得到。
可选地,
涉税业务平台获取私钥,包括:
涉税业务平台从存储模块中读取预存的私钥。
涉税业务平台从存储模块中读取预存的私钥之前,方法还包括:
涉税业务平台向税局前置系统发送用于请求私钥的系统登记申请;
涉税业务平台获取税局前置系统发送的私钥;
涉税业务平台在存储模块存储私钥。
可选地,
涉税业务平台向税局前置系统发送用于请求私钥的系统登记申请,包括:
涉税业务平台每天在预设时间向税局前置系统发送用于请求私钥的系统登记申请。
可选地,
涉税业务平台获取防伪税控设备发送的签名数据之后,方法还包括:
涉税业务平台使用私钥对签名数据进行加密,得到授权请求;
涉税业务平台向税局前置系统发送签名数据,包括:
涉税业务平台向税局前置系统发送授权请求。
可选地,
涉税业务平台获取防伪税控设备发送的签名数据之后,方法还包括:
涉税业务平台对签名数据的防伪税控设备的签名进行验签。
综上所述,税局前置系统检验税务用户是否对涉税业务平台进行授权可通过私钥来进行管控,即使通过防伪税控设备的签名认证了涉税业务平台获取了税务用户的授权,若涉税业务平台获取不到税局前置系统生成的私钥,导致税局前置系统端不能执行私钥和公钥的配对检验,或者加密因子的私钥不合法,则税局前置系统不反馈授权成功信息,确认该涉税业务平台未获取到税务用户的合法授权,不能代表该税务用户执行涉税业务。私钥由税局前置系统发放,加密因子的生成需要该私钥,通过加密因子和私钥来进行管控,提高了对涉税业务平台是否获取税务用户授权的检验可靠性,在一些场合可使得税务用户向涉税业务平台一次授权,涉税业务平台可多次执行涉税业务办理,也能降低风险。充分保证防伪税控设备税务用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
图3为本发明实施例提供的一种认证授权方法的方法流程图。结合图1所示的网络架构图和上述内容,以税局前置系统执行本发明实施例提供的方法的角度为例,参见图3,本发明实施例提供的方法流程包括:
步骤301:税局前置系统获取涉税业务平台发送的签名数据。
签名数据由防伪税控设备对加密因子进行签名后得到,加密因子由涉税业务平台根据私钥对预设信息进行签名后得到;
步骤302:税局前置系统对签名数据的防伪税控设备的签名进行验签;
步骤303:税局前置系统使用预存的公钥对签名数据的加密因子进行解密,确定对加密因子签名的私钥和公钥是否配对;
步骤304若对防伪税控设备的签名验签成功,以及私钥和公钥配对,则税局前置系统生成授权成功信息;
步骤305:税局前置系统向涉税业务平台发送授权成功信息。
可选地,
税局前置系统获取涉税业务平台发送的签名数据之前,方法还包括:
税局前置系统获取涉税业务平台发送的用于请求私钥的系统登记申请;
税局前置系统生成密钥对,密钥对包括私钥和公钥;
税局前置系统向涉税业务平台发送私钥。
可选地,
税局前置系统生成授权成功信息之前,方法还包括:
税局前置系统判断对加密因子签名的私钥是否在预设的有效期内;
若对防伪税控设备的签名验签成功,以及私钥和公钥配对,则税局前置系统生成授权成功信息,包括:
若对防伪税控设备的签名验签成功,以及私钥和公钥配对,以及私钥在预设的有效期内,则税局前置系统生成授权成功信息。
综上所述,税局前置系统获取涉税业务平台发送的签名数据,对签名数据的防伪税控设备的签名进行验签;使用预存的公钥对签名数据的加密因子进行解密,确定对加密因子签名的私钥和公钥是否配对;若对防伪税控设备的签名验签成功,以及私钥和公钥配对,则税局前置系统生成授权成功信息;税局前置系统向涉税业务平台发送授权成功信息。其中,签名数据由防伪税控设备对加密因子进行签名后得到,加密因子由涉税业务平台根据私钥对预设信息进行签名后得到。私钥由税局前置系统发放,加密因子的生成需要该私钥,通过加密因子和私钥来进行管控,提高了对涉税业务平台是否获取税务用户授权的检验可靠性,在一些场合可使得税务用户向涉税业务平台一次授权,涉税业务平台可多次执行涉税业务办理,也能降低风险。充分保证防伪税控设备税务用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
图4为本发明实施例提供的一种认证授权方法的方法流程图。结合图1所示的网络架构图和上述内容,以税局前置系统执行本发明实施例提供的方法的角度为例,参见图4,本发明实施例提供的方法流程包括:
步骤401:防伪税控设备获取涉税业务平台发送的加密因子,加密因子由涉税业务平台根据私钥对预设信息进行签名后得到;
步骤402:防伪税控设备对加密因子进行签名,得到签名数据;
步骤403:防伪税控设备向涉税业务平台发送签名数据。
综上所述,防伪税控设备获取涉税业务平台发送的加密因子后,防伪税控设备对加密因子进行签名,得到签名数据,并向涉税业务平台发送签名数据。这样防伪税控设备的签名和加密因子在防伪税控设备侧进行了绑定,而该加密因子由涉税业务平台根据私钥对预设信息进行签名后得到,该私钥由税局前置系统发放,从而涉税业务平台将该签名数据发送给税局前置系统可通过该私钥和防伪税控设备的签名对涉税业务平台是否获取税务用户授权进行确定,保证防伪税控设备税务用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
图5为本发明实施例提供的一种认证授权方法的方法流程图。为了更直观地对本发明实施例进行描述,下文以防伪税控设备为税控盘,税务用户为企业用户进行描述。参考图1所示的网络架构和上述内容,本发明实施例的认证授权方法包括:
步骤501:涉税业务平台每天在预设时间向税局前置系统发送用于请求私钥的系统登记申请。
涉税业务平台每天定时向税局前置系统发送系统登记申请,以向税局前置系统请求获取私钥。其中,预设时间可为每天的固定时间,对具体时间的设定本发明实施例不作具体限定,例如,预设时间可以是3:00、5:00等。
可以理解,在本发明有的实施例中,涉税业务平台向税局前置系统发送系统登记申请的操作可以每天执行一次,也可以每天执行多次,或者多天执行一次等,具体的发送系统登记申请的频次可根据具体场景设定。
步骤502:税局前置系统生成密钥对。
其中,密钥对包括私钥和公钥。
税局前置系统获取涉税业务平台发送的系统登记申请后,税局前置系统响应该申请,生成密钥对,该密钥对包括公钥(public key)和私钥(secret key)公钥也叫加密密钥,私钥也叫解密密钥或秘钥。
在本发明有的实施例中,税局前置系统还为该私钥配置一有效期,从而可使用该有效期对该私钥进行检验。
税局前置系统生成密钥对后,向该涉税业务平台发送秘钥,在本地存储对应的公钥,在有的实施例中还存储该私钥。
步骤503:涉税业务平台获取税局前置系统发送的私钥。
税局前置系统将生成的密钥对的私钥反馈回涉税业务平台,以使该涉税业务平台获取该私钥。该私钥可用于对授权数据的通讯进行加密,以及对数据进行签名。
步骤504:涉税业务平台在存储模块存储私钥。
在获取到该私钥后,涉税业务平台在存储模块存储该私钥,以为后续的签名、加密等操作做预备。
税局前置系统通过发放私钥,可通过该私钥对涉税业务平台的相应操作进行管控。在本发明的实施例中,该私钥的有效期为一天,每天该涉税业务平台定时向税局前置系统申请私钥,以在私钥失效后重新获取有效的私钥,这样,税局前置系统达到了通过私钥对涉税业务平台进行的管控可以包括时间上的管控。
可以理解,该私钥的有效期可以不限定在一天,例如有效期是几小时、几天等,相应的,涉税业务平台对私钥的申请可以是间隔几小时或几天一次,即以私钥的有效时间为间隔申请私钥。
在有的实施例中,为了使得涉税业务平台方便对其上存储的数据进行管理,该涉税业务平台的存储模块包括授权数据存储模块和业务数据存储模块,授权数据存储模块主要负责存储相关授权数据,业务数据存储模块主要负责存储用户基础业务数据。该私钥即存储到授权数据存储模块。
上述步骤501至步骤504,即为系统登记流程,本发明实施例通过系统登记流程的设计,可以强化税局对涉税业务平台的安全管控。
步骤505:涉税业务平台获取企业用户的授权信息。
其中授权信息包括税控盘的PIN码(中文名称:个人标识码;英文全称:personalidentification number)。
例如,当企业用户要进行业务办理时,企业用户通过涉税业务平台的UI界面进行授权和涉税业务办理。如企业用户首次使用涉税业务平台办理业务时,企业用户输入税控盘的PIN码等授权信息,从而涉税业务平台获取到包括PIN码的授权信息。
可以理解,本发明实施例的税务用户除了可以是企业用户外,还可以是个体工商户或其他形式的税务用户。
可选的,涉税业务平台获取企业用户输入的税控盘PIN码后,将该PIN码保存到授权数据存储模块。
步骤506:涉税业务平台从存储模块中读取预存的私钥。
如果企业用户要通过涉税业务平台办理相关涉税业务,则涉税业务平台需要获得企业用户的授权,并被税局内部系统认可该企业用户授权的有效性后,涉税业务平台才能代表企业用户进行相关的涉税操作。
通过已有的税控盘,可为涉税业务平台提供确认用户身份的服务,以及实施涉税应用的授权,在具体的认证授权的流程开始执行时,涉税业务系统要先获取从税局前置系统发放的私钥,该私钥的获取通过上述步骤向税局前置系统申请即可实现。
可以理解,涉税业务平台获取私钥可为从其存储模块中读取预存的私钥,若私钥读取失败,则触发涉税业务平台执行上述的系统登记流程,再次完成当天私钥的获取。
在有的实施例中,涉税业务平台可不预先获取私钥,在要对办理涉税业务的企业用户做认证授权时,才向税局前置系统发送系统登记申请,以请求获取私钥。
步骤507:涉税业务平台根据私钥对授权信息进行签名,得到加密因子。
在获取到私钥后,涉税业务平台根据该私钥使用签名算法对预设信息进行签名,得到加密因子。在本发明的实施例中,该预设信息是授权信息,当然,对预设信息的具体形式本发明实施例不做具体限定,例如可以是预先确定的信息、PIN码等等。
该加密因子是被涉税业务平台的私钥签名,从而根据该私钥可确定该加密因子为涉税业务平台生成的,根据该私钥可辨别该加密因子是否是伪造的,从而具有不可否认性。
而私钥是税局前置系统向涉税业务平台发放的,使用该私钥对加密因子进行签名,保证了通过对该私钥的验证,来确定该加密因子是否为私钥有效期内生产的,从而可对该加密因子进行时间上的管控。
步骤508:涉税业务平台根据PIN码调用税控盘的接口。
涉税业务平台要获取税控盘的数据,要调用税控盘的接口,具体的调用该税控盘的接口的方式为通过税控盘PIN码调用税控盘的接口。
涉税业务平台要确认企业用户的身份,以及本发明实施例要实施涉税应用的授权,可通过税控盘来实现。该税控盘存储有企业用户的身份信息和相关税务信息,经过企业用户的同意并输入正确的PIN码后,涉税业务平台可通过PIN码调用税控盘接口,通过调用税控盘的接口,获取用户的身份信息和相关税务信息,并为用户提供相关涉税服务。
步骤509:涉税业务平台通过税控盘的接口向税控盘发送加密因子。
通过PIN码调用税控盘的接口后,涉税业务平台可通过调用税控盘接口,获取税控盘的相关数据,以及通过该税控盘接口向该税控盘发送加密因子。
步骤510:税控盘对加密因子进行签名,得到签名数据。
税控盘获取到涉税业务平台发送的加密因子后,对该加密因子进行签名,得到签名数据,以使得其它设备根据该签名数据的税控盘的签名可对该税控盘进行认证。得到签名数据后,税控盘向涉税业务平台发送签名数据。
在本发明有的实施例中,该税控盘除了向涉税业务平台发送签名数据外,还可以将其它信息返回给涉税业务平台,例如,税控盘将签名数据、税控盘ID和预存的企业基础信息发送给涉税业务平台。
可以理解,本发明实施例的税控盘只是防伪税控设备的其中一种形式,防伪税控设备包括但不限于税控盘、金税盘等。
步骤511:涉税业务平台获取税控盘发送的签名数据。
涉税业务平台获取税控盘反馈的签名数据。
步骤512:涉税业务平台对签名数据的税控盘的签名进行验签。
在涉税业务平台获取到由税控盘的签名得到的签名数据后,涉税业务平台对该签名进行验签,以完成对税控盘的认证,并将对税控盘的认证结果等数据保存到授权数据存储模块。
在有的实施例中,税控盘将签名数据、税控盘ID和预存的企业基础信息发送给涉税业务平台,则涉税业务平台读取税控盘发送的企业基础信息,完成税控盘信息和具体企业用户之间的绑定,其中税控盘信息包括税控盘ID、PIN码等信息,绑定企业用户可通过绑定企业用户名实现。然后涉税业务平台将税控盘信息、企业基础信息和企业用户名绑定的信息保存到业务数据存储模块,从而在数据库中建立企业用户和税控盘的对应关系,以方便管理。
通过使用税控盘的税务信息可对企业用户的身份进行确认,并将相关身份认证信息传给税局,获得税局对企业用户授权给涉税业务平台的有效性的认可,以使涉税业务平台可代表企业用户进一步和税局内部系统交互。下面即对此进行描述。
步骤513:涉税业务平台使用私钥对签名数据进行加密,得到授权请求。
为了使得在数据传输时具有保密效果,涉税业务平台使用私钥对该签名数据进行加密,生成授权请求,该授权请求用于发送给税局前置系统。
步骤514:涉税业务平台向税局前置系统发送授权请求。
涉税业务平台向税局前置系统发送授权请求,以使税局系统验证企业用户向涉税业务平台授权的有效性。
在有的实施例中,如果该授权请求发送失败,则涉税业务系统将该授权请求放到本地缓存,且稍后再向税局前置系统重发。
当然,在有的实施例中,该涉税业务平台可直接向税局前置系统发送签名数据,即涉税业务平台不执行步骤513。
步骤515:税局前置系统对授权请求进行解密,得到签名数据。
税局前置系统获取到该授权请求后,因该授权请求由涉税业务平台使用私钥进行过加密,从而税局前置系统使用其上的公钥对该授权请求进行解密,得到签名数据,该签名数据由税控盘对加密因子进行签名后得到,而加密因子由涉税业务平台根据私钥对授权信息进行签名后得到。
当然,在有的实施例中,若涉税业务系统不对签名数据进行加密,而是直接向税局前置系统发送该签名数据,则税局前置系统获取涉税业务平台发送的签名数据,不用执行步骤515。
步骤516:税局前置系统对签名数据的税控盘的签名进行验签。
因该签名数据由税控盘对加密因子签名后得到,该签名数据携带有税控盘的签名,从而税局前置系统对该税控盘的签名进行验签,以判断该签名数据是否被税控盘签名。
例如,税局前置系统的系统认证授权模块根据保存在税局内部系统的税控盘ID等信息,对该解密的签名数据进行验签,以确认该签名数据是否是税控盘发出的。若验证成功,则该签名数据时税控盘发出的,否则不是。
步骤517:税局前置系统使用预存的公钥对签名数据的加密因子进行解密,确定对加密因子签名的私钥和公钥是否配对;
该签名数据携带有加密因子,在对税控盘的签名验签成功后,税局前置系统得到加密因子。该加密因子由涉税业务系统使用私钥对授权信息进行签名后得到,从而税局前置系统为了核实签名,使用其预存的公钥对该加密因子进行验签,若得到明文授权信息,则核实了签名,该公钥与私钥配对,即确认了加密因子和当天涉税业务平台通过系统登记模块登记的密钥对的一致性关系。若签名核实失败,则该公钥与私钥不配对。
其中,该公钥为步骤502中,税局前置系统生成的密钥对中的公钥。
步骤518:若对税控盘的签名验签成功,以及私钥和公钥配对,则税局前置系统生成授权成功信息。
如果对税控盘的签名验签成功,以及对加密因子的私钥核实签名正确,则确认企业用户对涉税业务平台的授权有效,税局前置系统允许涉税业务平台代表该企业用户办理涉税业务。从而税局前置系统生成授权成功信息,并向涉税业务平台发送授权成功信息。
在本发明有的实施例中,税局前置系统在生成私钥后,还为该私钥设置一有效期,从而税局前置系统生成授权成功信息之前,本发明实施例的方法还包括:判断对加密因子签名的私钥是否在预设的有效期内;相应地,税局前置系统生成授权成功信息的条件为:若对税控盘的签名验签成功,以及私钥和公钥配对,以及私钥在预设的有效期内,则税局前置系统生成授权成功信息。
如果加密因子的私钥核实签名错误或者该私钥非当天生成的,或者对税控盘的签名验签失败,则返回授权失败信息,以使涉税业务平台重新进入用户认证授权的流程。
可以理解,上述说明是基于私钥的有效期为一天进行的,在私钥的有效期为其它时间时,则上述的授权成功信息确认的是该有效期内企业用户对涉税业务平台的授权有效,以及若私钥非有效期内生成的,则税局前置系统返回授权失败信息。
在私钥的有效期为一天时,本发明的系统只需在企业用户办理涉税业务的当天,自动完成一次认证授权,即可保证当天授权的有效性,当天企业用户进行的其他涉税操作不需再进行授权,从而减少了用户重复授权的繁琐操作,并能灵活的适应涉税业务办理过程中的各种场景。
可以理解,在本发明有的实施例中也可以不为私钥设置有效期,从而授权成功信息的生成条件不包括对私钥有效期的检验,但为了对私钥进行时间上的管控,此时,税局前置系统会根据密钥对的生成时间,在预设时间内对预存的公钥进行删除,从而税局前置系统获取到涉税业务平台发送的签名数据后,该签名数据的加密因子的私钥若在税局前置系统上未存有对应公钥,即对加密因子签名的私钥在税局前置系统上没有配对的公钥,则表示该私钥已经过期或不合法,从而税局前置系统返回授权失败信息,以使涉税业务平台重新进入用户认证授权的流程,或者,税局前置系统不进行回复。
步骤519:涉税业务平台获取税局前置系统发送的授权成功信息。
涉税业务平台获取到税局前置系统发送的授权成功信息,则表示税局前置系统确认当天企业用户对涉税业务平台的授权有效,税局前置系统允许涉税业务平台代表该企业用户办理涉税业务。
上述步骤505至步骤519,即为用户认证授权流程。
通过用户认证授权的流程的设计,充分保证税控盘企业用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
另外,通过系统登记流程的设计,可以强化税局对涉税业务平台的安全管控;通过加密因子的设计,可以保障对税控盘加密要素的管控。
用户认证授权流程结束后,在私钥的有效期为一天的实施例中,涉税业务平台成功获得当天的授权,从而涉税业务平台可进行下一步的涉税业务办理。例如,涉税业务平台发送涉税业务办理请求到税局前置系统;如果该涉税业务办理请求发送失败,则涉税业务平台将该涉税业务办理请求保存到本地缓存,稍后重发;如果该涉税业务办理请求发送成功,则等待处理结果。
在有的实施例中,涉税业务平台获取到该授权成功信息后,将该授权成功信息保存在本地并于对应的企业用户绑定,或者,涉税业务平台会保存对应企业用户已获得授权的信息。从而下次该企业用户要办理涉税业务时,涉税业务平台可直接查询该企业用户是否已获得授权。
税局前置系统接收涉税业务平台发送的业务办理请求后,税局前置系统的系统认证授权模块检查涉税业务平台当天是否已获得授权,如果未获得授权,则返回未授权信息,以使涉税业务平台进入用户认证授权流程;如果涉税业务平台已获得当天的授权,则税局前置系统将业务办理请求转发到税局内部应用系统。
在有的实施例中,税局前置系统为了为多个涉税业务平台或企业用户服务,要对授权成功的企业用户进行记录。例如,在步骤518,授权成功后,税局前置系统保存对应的税控盘ID已获得授权的信息,以确定对应的企业用户已获得授权;或者,税局前置系统返回的授权成功信息包含授权码,用授权码区分不同的已获得授权的企业用户。
在有的实施例中,企业用户非首次使用涉税业务平台办理涉税业务,此时,企业用户登录涉税业务平台进行业务办理后,企业用户不必再输入税控盘PIN码。而涉税业务平台的认证授权模块检查当天是否已获得授权,如果未获得授权,则进入用户认证授权流程;如果涉税业务平台已获得当天的授权,则发送涉税业务办理请求到税局前置系统。以及,如果涉税业务办理请求发送失败,则将该涉税业务办理请求保存到本地缓存,稍后重发;如果该涉税业务办理请求发送成功,则等待处理结果。
本发明实施例通过已有的税控盘,为涉税业务系统确认用户身份,以及实施涉税应用的授权方面,提供了合规性的保障。并且,扩大了税控盘的使用范畴,有利于引入更多第三方的服务商,减少税局系统直接面对用户的压力。
这样,即解决了企业用户不直接访问税局系统的情况下,企业用户对涉税业务平台的授权行为,并且保证授权的有效性,从而为涉税业务平台的涉税差异化服务提供良好技术基础。
综上所述,涉税业务平台获取企业用户的授权信息,其中授权信息包括税控盘的PIN码;涉税业务平台获取私钥,该私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;然后涉税业务平台根据私钥对预设信息进行签名,得到加密因子;跟着,涉税业务平台根据PIN码调用税控盘的接口;从而通过税控盘的接口向税控盘发送加密因子;涉税业务平台获取税控盘发送的签名数据,签名数据由税控盘对加密因子进行签名后得到;然后,涉税业务平台向税局前置系统发送签名数据;涉税业务平台获取税局前置系统发送的授权成功信息,其中,授权成功信息由税局前置系统对签名数据的税控盘的签名验签成功,以及确定对加密因子签名的私钥与密钥对的公钥配对后生成得到。这样,税局前置系统检验企业用户是否对涉税业务平台进行授权可通过私钥来进行管控,即使通过税控盘的签名认证了涉税业务平台获取了企业用户的授权,若涉税业务平台获取不到税局前置系统生成的私钥,导致税局前置系统端不能执行私钥和公钥的配对检验,或者加密因子的私钥不合法,则税局前置系统不反馈授权成功信息,确认该涉税业务平台未获取到企业用户的合法授权,不能代表该企业用户执行涉税业务。私钥由税局前置系统发放,加密因子的生成需要该私钥,通过加密因子和私钥来进行管控,提高了对涉税业务平台是否获取企业用户授权的检验可靠性,在一些场合可使得企业用户向涉税业务平台一次授权,涉税业务平台可多次执行涉税业务办理,也能降低风险。充分保证税控盘企业用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
图6为本发明实施例提供的一种涉税业务平台的结构示意图。该涉税业务平台用于执行上述图2至图5对应的任一实施例中税业务平台执行的功能,参见图6,本发明实施例的税业务平台包括:
认证授权模块601,用于获取税务用户的授权信息,其中授权信息包括防伪税控设备的PIN码;
认证授权模块601,还用于获取私钥,私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;
认证授权模块601,还用于根据私钥对预设信息进行签名,得到加密因子;
接口模块602,用于根据PIN码调用防伪税控设备的接口;
接口模块602,还用于通过防伪税控设备的接口向防伪税控设备发送加密因子;
接口模块602,还用于获取防伪税控设备发送的签名数据,签名数据由防伪税控设备对加密因子进行签名后得到;
认证授权模块601,还用于向税局前置系统发送签名数据;
认证授权模块601,还用于获取税局前置系统发送的授权成功信息,授权成功信息由税局前置系统对签名数据的防伪税控设备的签名验签成功,以及确定对加密因子签名的私钥与密钥对的公钥配对后生成得到。
可选地,
认证授权模块601,还用于从存储模块中读取预存的私钥;
涉税业务平台还包括:系统登记申请模块603,
系统登记申请模块603,用于向税局前置系统发送用于请求私钥的系统登记申请;
系统登记申请模块603,还用于获取税局前置系统发送的私钥;
系统登记申请模块603,还用于在存储模块存储私钥。
可选地,
系统登记申请模块603,还用于每天在预设时间向税局前置系统发送用于请求私钥的系统登记申请。
可选地
认证授权模块601,还用于使用私钥对签名数据进行加密,得到授权请求;
认证授权模块601,还用于涉税业务平台向税局前置系统发送授权请求。
可选地,
认证授权模块601,还用于对签名数据的防伪税控设备的签名进行验签。
综上所述,认证授权模块601获取税务用户的授权信息,其中授权信息包括防伪税控设备的PIN码;认证授权模块601获取私钥,该私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;然后认证授权模块601根据私钥对预设信息进行签名,得到加密因子;跟着,接口模块602根据PIN码调用防伪税控设备的接口;从而接口模块602通过防伪税控设备的接口向防伪税控设备发送加密因子;接口模块602获取防伪税控设备发送的签名数据,签名数据由防伪税控设备对加密因子进行签名后得到;然后,认证授权模块601向税局前置系统发送签名数据;认证授权模块601获取税局前置系统发送的授权成功信息,其中,授权成功信息由税局前置系统对签名数据的防伪税控设备的签名验签成功,以及确定对加密因子签名的私钥与密钥对的公钥配对后生成得到。这样,税局前置系统检验税务用户是否对涉税业务平台进行授权可通过私钥来进行管控,即使通过防伪税控设备的签名认证了涉税业务平台获取了税务用户的授权,若涉税业务平台获取不到税局前置系统生成的私钥,导致税局前置系统端不能执行私钥和公钥的配对检验,或者加密因子的私钥不合法,则税局前置系统不反馈授权成功信息,确认该涉税业务平台未获取到税务用户的合法授权,不能代表该税务用户执行涉税业务。私钥由税局前置系统发放,加密因子的生成需要该私钥,通过加密因子和私钥来进行管控,提高了对涉税业务平台是否获取税务用户授权的检验可靠性,在一些场合可使得税务用户向涉税业务平台一次授权,涉税业务平台可多次执行涉税业务办理,也能降低风险。充分保证防伪税控设备税务用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
图7为本发明实施例提供的一种税局前置系统的结构示意图。该涉税业务平台用于执行上述图2至图5对应的任一实施例中税局前置系统执行的功能,参见图7,本发明实施例的税局前置系统包括:
系统认证授权模块701,用于获取涉税业务平台发送的签名数据,签名数据由防伪税控设备对加密因子进行签名后得到,加密因子由涉税业务平台根据私钥对预设信息进行签名后得到;
系统认证授权模块701,还用于对签名数据的防伪税控设备的签名进行验签;
系统认证授权模块701,还用于使用预存的公钥对签名数据的加密因子进行解密,确定对加密因子签名的私钥和公钥是否配对;
系统认证授权模块701,还用于若满足对防伪税控设备的签名验签成功、以及私钥和公钥配对的条件,则生成授权成功信息;
系统认证授权模块701,还用于向涉税业务平台发送授权成功信息。
可选地,
税局前置系统还包括:系统登记模块702,
系统登记模块702,用于获取涉税业务平台发送的用于请求私钥的系统登记申请;
系统登记模块702,还用于生成密钥对,密钥对包括私钥和公钥;
系统登记模块702,还用于向涉税业务平台发送私钥。
可选地,
系统认证授权模块701,还用于判断对加密因子签名的私钥是否在预设的有效期内;
系统认证授权模块701,还用于若对防伪税控设备的签名验签成功,以及私钥和公钥配对,以及私钥在预设的有效期内,则生成授权成功信息。
综上所述,系统认证授权模块701获取涉税业务平台发送的签名数据,对签名数据的防伪税控设备的签名进行验签;系统认证授权模块701使用预存的公钥对签名数据的加密因子进行解密,确定对加密因子签名的私钥和公钥是否配对;若对防伪税控设备的签名验签成功,以及私钥和公钥配对,则系统认证授权模块701生成授权成功信息;系统认证授权模块701向涉税业务平台发送授权成功信息。其中,签名数据由防伪税控设备对加密因子进行签名后得到,加密因子由涉税业务平台根据私钥对预设信息进行签名后得到。私钥由税局前置系统发放,加密因子的生成需要该私钥,通过加密因子和私钥来进行管控,提高了对涉税业务平台是否获取税务用户授权的检验可靠性,在一些场合可使得税务用户向涉税业务平台一次授权,涉税业务平台可多次执行涉税业务办理,也能降低风险。充分保证防伪税控设备税务用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
图8为本发明实施例提供的一种防伪税控设备的结构示意图。该涉税业务平台用于执行上述图2至图5对应的任一实施例中防伪税控设备执行的功能,参见图8,本发明实施例的防伪税控设备包括:
获取模块801,用于获取涉税业务平台发送的加密因子,加密因子由涉税业务平台根据私钥对预设信息进行签名后得到;
签名模块802,用于对加密因子进行签名,得到签名数据;
发送模块803,用于向涉税业务平台发送签名数据。
综上所述,获取模块801获取涉税业务平台发送的加密因子后,签名模块802对加密因子进行签名,得到签名数据,并发送模块803向涉税业务平台发送签名数据。这样防伪税控设备的签名和加密因子在防伪税控设备侧进行了绑定,而该加密因子由涉税业务平台根据私钥对预设信息进行签名后得到,该私钥由税局前置系统发放,从而涉税业务平台将该签名数据发送给税局前置系统可通过该私钥和防伪税控设备的签名对涉税业务平台是否获取税务用户授权进行确定,保证防伪税控设备税务用户对涉税业务平台授权的有效性及涉税业务平台访问税局系统的有效性。
图9为本发明实施例提供的一种涉税系统,该系统用于执行图2至图5所示的实施例中任一实施例提供的认证授权方法。该系统900包括:涉税业务平台901、税局前置系统902和防伪税控设备903,
其中,
该涉税业务平台,如上述图2、图5和图6所示的实施例中任一实施例示出的涉税业务平台,详见上述各示例性实施例,此处不再赘述;
该税局前置系统,如上述图3、图5和图7所示的实施例中任一实施例示出的税局前置系统,详见上述各示例性实施例,此处不再赘述;
该防伪税控设备,如上述图4、图5和图8所示的实施例中任一实施例示出的防伪税控设备,详见上述各示例性实施例,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (15)

1.一种认证授权方法,其特征在于,所述方法应用于涉税业务平台,所述方法包括:
涉税业务平台获取税务用户的授权信息,其中所述授权信息包括防伪税控设备的PIN码;
所述涉税业务平台获取私钥,所述私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;
所述涉税业务平台根据所述私钥对预设信息进行签名,得到加密因子;
所述涉税业务平台根据所述PIN码调用所述防伪税控设备的接口;
所述涉税业务平台通过所述防伪税控设备的接口向所述防伪税控设备发送所述加密因子;
所述涉税业务平台获取所述防伪税控设备发送的签名数据,所述签名数据由所述防伪税控设备对所述加密因子进行签名后得到;
所述涉税业务平台向所述税局前置系统发送所述签名数据;
所述涉税业务平台获取所述税局前置系统发送的授权成功信息,所述授权成功信息由所述税局前置系统对所述签名数据的防伪税控设备的签名验签成功,以及确定对所述加密因子签名的私钥与所述密钥对的公钥配对后生成得到。
2.根据权利要求1所述的方法,其特征在于,
所述涉税业务平台获取私钥,包括:
所述涉税业务平台从存储模块中读取预存的私钥;
所述涉税业务平台从存储模块中读取预存的私钥之前,所述方法还包括:
所述涉税业务平台向所述税局前置系统发送用于请求私钥的系统登记申请;
所述涉税业务平台获取所述税局前置系统发送的所述私钥;
所述涉税业务平台在所述存储模块存储所述私钥。
3.根据权利要求2所述的方法,其特征在于,
所述涉税业务平台向所述税局前置系统发送用于请求私钥的系统登记申请,包括:
所述涉税业务平台每天在预设时间向所述税局前置系统发送用于请求私钥的系统登记申请。
4.根据权利要求1所述的方法,其特征在于,
所述涉税业务平台获取所述防伪税控设备发送的签名数据之后,所述方法还包括:
所述涉税业务平台使用所述私钥对所述签名数据进行加密,得到授权请求;
所述涉税业务平台向所述税局前置系统发送所述签名数据,包括:
所述涉税业务平台向所述税局前置系统发送所述授权请求。
5.根据权利要求1所述的方法,其特征在于,
所述涉税业务平台获取所述防伪税控设备发送的签名数据之后,所述方法还包括:
所述涉税业务平台对所述签名数据的所述防伪税控设备的签名进行验签。
6.一种涉税业务平台,其特征在于,包括:
认证授权模块,用于获取税务用户的授权信息,其中所述授权信息包括防伪税控设备的PIN码;
所述认证授权模块,还用于获取私钥,所述私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;
所述认证授权模块,还用于根据所述私钥对预设信息进行签名,得到加密因子;
防伪税控设备接口模块,用于根据所述PIN码调用所述防伪税控设备的接口;
所述防伪税控设备接口模块,还用于通过所述防伪税控设备的接口向所述防伪税控设备发送所述加密因子;
所述防伪税控设备接口模块,还用于获取所述防伪税控设备发送的签名数据,所述签名数据由所述防伪税控设备对所述加密因子进行签名后得到;
所述认证授权模块,还用于向所述税局前置系统发送所述签名数据;
所述认证授权模块,还用于获取所述税局前置系统发送的授权成功信息,所述授权成功信息由所述税局前置系统对所述签名数据的防伪税控设备的签名验签成功,以及确定对所述加密因子签名的私钥与所述密钥对的公钥配对后生成得到。
7.根据权利要求6所述的涉税业务平台,其特征在于,
所述认证授权模块,还用于从存储模块中读取预存的私钥;
所述涉税业务平台还包括:系统登记申请模块,
所述系统登记申请模块,用于向所述税局前置系统发送用于请求私钥的系统登记申请;
所述系统登记申请模块,还用于获取所述税局前置系统发送的所述私钥;
所述系统登记申请模块,还用于在所述存储模块存储所述私钥。
8.根据权利要求7所述的涉税业务平台,其特征在于,
所述系统登记申请模块,还用于每天在预设时间向所述税局前置系统发送用于请求私钥的系统登记申请。
9.根据权利要求6所述的涉税业务平台,其特征在于,
所述认证授权模块,还用于使用所述私钥对所述签名数据进行加密,得到授权请求;
所述认证授权模块,还用于所述涉税业务平台向所述税局前置系统发送所述授权请求。
10.根据权利要求6所述的涉税业务平台,其特征在于,
所述认证授权模块,还用于对所述签名数据的所述防伪税控设备的签名进行验签。
11.一种税局前置系统,其特征在于,包括:
系统认证授权模块,用于获取涉税业务平台发送的签名数据,所述签名数据由防伪税控设备对加密因子进行签名后得到,所述加密因子由所述涉税业务平台根据私钥对预设信息进行签名后得到;
所述系统认证授权模块,还用于对所述签名数据的防伪税控设备的签名进行验签;
所述系统认证授权模块,还用于使用预存的公钥对所述签名数据的加密因子进行解密,确定对所述加密因子签名的所述私钥和所述公钥是否配对;
所述系统认证授权模块,还用于若满足对所述防伪税控设备的签名验签成功、以及所述私钥和所述公钥配对的条件,则生成授权成功信息;
所述系统认证授权模块,还用于向所述涉税业务平台发送所述授权成功信息。
12.根据权利要求11所述的税局前置系统,其特征在于,
所述税局前置系统还包括:系统登记模块,
所述系统登记模块,用于获取所述涉税业务平台发送的用于请求私钥的系统登记申请;
所述系统登记模块,还用于生成密钥对,所述密钥对包括私钥和公钥;
所述系统登记模块,还用于向所述涉税业务平台发送所述私钥。
13.根据权利要求11所述的税局前置系统,其特征在于,
所述系统认证授权模块,还用于判断对所述加密因子签名的所述私钥是否在预设的有效期内;
所述系统认证授权模块,还用于若对所述防伪税控设备的签名验签成功,以及所述私钥和所述公钥配对,以及所述私钥在预设的有效期内,则生成授权成功信息。
14.一种防伪税控设备,其特征在于,包括:
防伪税控设备获取模块,用于获取涉税业务平台发送的加密因子,所述加密因子由所述涉税业务平台根据私钥对预设信息进行签名后得到,所述私钥为税局前置系统生成的包括公钥和私钥的密钥对中的私钥;
签名模块,用于对所述加密因子进行签名,得到签名数据;
防伪税控设备发送模块,用于向所述涉税业务平台发送所述签名数据,以使得所述涉税业务平台向所述税局前置系统发送所述签名数据并获取所述税局前置系统发送的授权成功信息,所述授权成功信息由所述税局前置系统对所述签名数据的防伪税控设备的签名验签成功,以及确定对所述加密因子签名的私钥与所述密钥对的公钥配对后生成得到。
15.一种涉税系统,其特征在于,包括涉税业务平台、税局前置系统和防伪税控设备,
其中,
所述涉税业务平台,如权利要求6至10任一项所述的涉税业务平台;
所述税局前置系统,如权利要求11至13任一项所述的税局前置系统;
所述防伪税控设备,如权利要求14所述的防伪税控设备。
CN201611071474.0A 2016-11-29 2016-11-29 认证授权方法、涉税业务平台和相关设备 Active CN106452796B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611071474.0A CN106452796B (zh) 2016-11-29 2016-11-29 认证授权方法、涉税业务平台和相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611071474.0A CN106452796B (zh) 2016-11-29 2016-11-29 认证授权方法、涉税业务平台和相关设备

Publications (2)

Publication Number Publication Date
CN106452796A CN106452796A (zh) 2017-02-22
CN106452796B true CN106452796B (zh) 2019-07-16

Family

ID=58219185

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611071474.0A Active CN106452796B (zh) 2016-11-29 2016-11-29 认证授权方法、涉税业务平台和相关设备

Country Status (1)

Country Link
CN (1) CN106452796B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107317678B (zh) * 2017-06-05 2019-12-03 北京网证科技有限公司 一种基于互联网的电子询证函处理方法及系统
CN109840814A (zh) * 2018-12-21 2019-06-04 航天信息股份有限公司 一种基于金税盘控制系统登录和数据同步的方法
CN109948371B (zh) * 2019-03-07 2021-06-25 深圳市智税链科技有限公司 为区块链节点发放身份证书的方法及相关装置
CN110399740B (zh) * 2019-07-29 2021-05-25 浙江诺诺网络科技有限公司 一种代理数据安全交互的方法和系统
CN110990820B (zh) * 2019-12-04 2022-03-29 爱信诺征信有限公司 税盘授权方法、装置、电子设备及存储介质
CN111181988A (zh) * 2020-01-02 2020-05-19 航天信息股份有限公司 税务数字证书网络共享方法、装置及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101017562A (zh) * 2006-11-28 2007-08-15 南京大学 一种基于通信网络的电子发票的生成和交互使用方法
CN101686128A (zh) * 2008-09-24 2010-03-31 北京创原天地科技有限公司 一种新型的USBKey外部认证方法和USBKey装置
CN102479412A (zh) * 2010-11-26 2012-05-30 航天信息股份有限公司 网络开票数据的处理方法和系统及税控装置和受理服务器
CN105635049A (zh) * 2014-10-29 2016-06-01 航天信息股份有限公司 基于客户端标识密码的防伪税控方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160189151A1 (en) * 2014-12-31 2016-06-30 Ebay Enterprise, Inc. Distributed authentication for mobile devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101017562A (zh) * 2006-11-28 2007-08-15 南京大学 一种基于通信网络的电子发票的生成和交互使用方法
CN101686128A (zh) * 2008-09-24 2010-03-31 北京创原天地科技有限公司 一种新型的USBKey外部认证方法和USBKey装置
CN102479412A (zh) * 2010-11-26 2012-05-30 航天信息股份有限公司 网络开票数据的处理方法和系统及税控装置和受理服务器
CN105635049A (zh) * 2014-10-29 2016-06-01 航天信息股份有限公司 基于客户端标识密码的防伪税控方法和装置

Also Published As

Publication number Publication date
CN106452796A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
CN106452796B (zh) 认证授权方法、涉税业务平台和相关设备
CN108834144B (zh) 运营商码号与账号的关联管理方法与系统
CN109005155B (zh) 身份认证方法及装置
CN107248075B (zh) 一种实现智能密钥设备双向认证和交易的方法及装置
CN107079034A (zh) 一种身份认证的方法、终端设备、认证服务器及电子设备
US20090187980A1 (en) Method of authenticating, authorizing, encrypting and decrypting via mobile service
EP1886204B1 (en) Transaction method and verification method
WO2012155644A1 (zh) 账单代付管理方法、装置及系统
CN105184557B (zh) 支付认证方法及系统
CN114531277B (zh) 一种基于区块链技术的用户身份认证方法
US12008568B1 (en) Systems and methods for an authorized identification system
JP2015537399A (ja) モバイル決済のためのアプリケーションシステム及びモバイル決済手段を提供する及び用いるための方法
KR20170005400A (ko) 암호화 시스템 및 방법
CN106936588A (zh) 一种硬件控制锁的托管方法、装置及系统
CN110401613A (zh) 一种认证管理方法和相关设备
CN110472426A (zh) 一种取代实物u盾的扫描加解密投标文件方法
CN106789024A (zh) 一种远程解锁方法、装置和系统
CN107609878B (zh) 一种共享汽车的安全认证方法及系统
CN115423457A (zh) 基于区块链的跨境金融支付结算方法及系统
JP6465426B1 (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
KR101754486B1 (ko) 계좌정보를 이용한 모바일 결제 서비스 제공 방법
US11451376B2 (en) Systems and methods for secure communication
CN113194077A (zh) 登录方法及装置、计算机设备及计算机可读存储介质
CN115526703A (zh) 企业用户认证授权方法及系统
US11418960B1 (en) Secure device pairing

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: Guangdong Nanshan District street of Shenzhen city in Guangdong province 518000 Shenzhen international software park a 8 Building 202 room

Patentee after: Shenzhen Weizhong credit Technology Co., Ltd

Address before: Guangdong Nanshan District street of Shenzhen city in Guangdong province 518000 Shenzhen international software park a 8 Building 202 room

Patentee before: Shenzhen micro tax silver Information Service Co., Ltd.

CP01 Change in the name or title of a patent holder