導語：稅控收款機安全管理論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

編者按：本論文主要從稅控信息加密；稅控系統軟件在線升級的信息安全設計；異常拔卡情況下信息安全保護的硬件及軟件設計；其他異常情況下的信息安全保護的軟件設計等進行講述，包括了MD5加密算法簡介、稅務申報數據加密、異常拔卡保護設計需求、異常拔卡保護的硬件設計、異常拔卡保護的軟件實現等，具體資料請見：

論文摘要：為防止惡意攻擊，文章從稅控信息加密、稅控軟件系統在線升級、異常情況處理等方面闡述了進一步提高稅控收款機安全性的設計方法

論文關鍵詞：稅控收款機；信息加密；軟件在線升級；異常情況處理

稅控系統由于涉及信息的敏感性，自然成為黑客的攻擊目標。為防止惡意攻擊，并保證稅控收款機在諸如掉電、異常拔卡等異常事件發生時的信息安全，根據信息技術安全性評估準則(GB／T18336—2001)的要求，稅控收款機必須達到以下信息安全目標：應用軟件的維護、升級應嚴格授權管理；稅控收款機應保證存儲數據的完整性；當異常事件發生時，應保證存儲數據的一致性；能夠記錄任何對稅控收款機的訪問、操作；稅控收款機保留的所有接口必須受控，不允許留有通用調試接口，不允許留有隱蔽通道；對于嵌入式操作系統，應只提供與稅控收款機業務相關的功能；確保稅控IC卡與稅控收款機間的數據一致性。鑒于篇幅所限，且有關稅控收款機掉電保護方面的信息安全設計之前已撰文論述，以下只從稅控信息加密、稅控軟件系統在線升級、異常情況處理等方面闡述進一步提高稅控收款機的信息安全性的設計方法。

l稅控信息加密

為防止黑客攻擊稅控收款機的信息系統，稅控收款機采用MD5加密算法進行數據加密，為稅控收款機的信息安全提供了多重保護。

1．1MD5加密算法簡介

MD5算法是一種著名的Hash算法。MD5的全稱是Message-DigestAlgorithm5(信息一摘要算法)，在20世紀90年代初由MitLaboratoryforComputerScience和RsaDataSecurityInc的Ronald1．Rivest開發，經MD2、MD3和MD4發展而來，如今它在技術上更加成熟，安全性也更高。Hash算法(也稱雜湊函數或雜湊算法)是把任意長的輸入消息串變化成固定長的輸出串的一種算法。這個輸出串稱為該消息的雜湊值。一個安全的雜湊函數應該至少滿足以下四個條件：

(1)輸入長度是任意的；

(2)輸出長度是固定的；

(3)對每一個給定的輸入，計算輸出即雜湊值是很容易的；

(4)給定雜湊函數的描述，找到兩個不同的輸入消息雜湊到同一個值是計算上可行的，或給定雜湊函數的描述和一個隨機選擇的消息，找到另一個與該消息不同的消息，使得它們雜湊到同一個值是計算上不可行的，這樣就保證了加密數據的安全。

1．2稅務申報數據加密

本機軟件系統的稅控密鑰(包括主控密鑰、數據加密解密密鑰、稅控數據鑒別密鑰、發票管理密鑰、外部認證密鑰等)、軟件升級、電子簽名、通訊口令等都采用了MD5加密方式。

本機軟件系統存放和校驗經過加密的數據，防止因為口令丟失而給用戶造成不必要的損失。稅控收款機內置大容量稅控存儲器，保存每筆交易記錄。每筆交易記錄包含的信息有；發票流水號、開票時間、交易金額、稅額、稅種、稅率、記錄號等。這些信息應以MD5密文方式存儲，防止篡改數據。

稅控收款機開出的累計發票或退票金額以及近期稅務申報數據同時保存在稅控IC卡中。稅控IC卡中累計發票金額和稅務申報數據應與稅控存儲器保存的數據一致，這樣可以有效地防止篡改、刪除記錄。

2稅控系統軟件在線升級的信息安全設計

為了確保嵌入式系統軟件在線升級的安全性，系統采用地址向量跳轉的方式來指向不同的系統軟件程序。所有系統程序的人口地址保存在NandFlash的一個指針向量表中，這個向量表正常運行期間不能改變且地址固定。

系統上電后，通過BootLoader建立系統的運行環境，接著到指針向量表中讀取向量指針；然后跳轉到向量指針所指的地址讀取數據，即將NandFlash中的系統程序復制到Sdram中；BootLoader把控制權交給操作系統，系統開始運行；然后嵌入式系統根據網絡數據來決定是否升級；軟件升級執行完畢后，修改指針向量表中的向量指針，使之指向新的系統模塊。

本機稅控軟件的在線升級，應該遵循《XX信息軟件產業集團有限公司一稅控事業部一軟硬件和升級細則》。

研發部開發的硬件產品，經過ESD和EMI等測試合格以后，形成正式版本，交由信息安全管理辦公室登記備案。經過測試和安全評估的新版軟件，連同信息安全內部測試和評估報告，一同提交信息安全管理辦公室，經過確認以后，形成本稅控收款機嵌入式軟件的正式版本。信息安全管理辦公室再進行加密處理

(如圖2，軟件在線升級加密流程)，并在公司產品庫里登記，登記完成的新版軟件才可以通過各種媒介向工廠和產品商。信息安全管理辦公室應確保將與新版本配套的軟硬件下發給工廠安裝及生產。本機軟硬件版本號為18位ASCII碼，包括：1／0(1為硬件，0為軟件)+公司代碼(3位)+公司產品型號代碼(3位)+此產品型號的版本(2位)+“一”+軟硬件的日期(8位，YYYYMMDD)。本公司所有軟硬件維護人員，包經過培訓后的商的維護人員都在公司數據庫中注冊，這些在冊人員只有憑借其注冊密碼才能獲取公司的維護許可派工單。維護人員只有使用本公司開發的專用下載軟件才能對稅控收款機進行如升級程序等操作。

在圖3的第2步中，工作內容是可選擇的，如升級軟件程序等；工作密碼就是派工單上面的校驗碼。在圖3的第3步中，“下載軟件”可根據其選擇的工作內容，開放不同的工作程序供其操作。下載軟件與稅款收款機中的稅控專用BIOS通訊必須使用加密校驗機制，防止非法下載。

下載軟件應該記錄所有的通訊記錄，形成日志文件。稅控收款機中的稅控B10S也應該記錄部分重要的通訊記錄，如升級程序等，形成日志文件。記錄的內容應該包括：下載人員ID和下載時問等。這樣做到每一次下載都有記錄可循、有人可查，確保下載升級軟件過程中的信息安全。

3異常拔卡情況下信息安全保護的硬件及軟件設計

3．1異常拔卡保護設計需求

如果在與IC卡交換數據的時候，IC卡被拔出，將會導致通訊異常，導致稅控數據出錯。所以在稅控收款機設計過程中，應該充分考慮這種異常情況，特別針對用戶卡，因為其更容易被拔出。

3．2異常拔卡保護的硬件設計

(1)稅控卡拔卡保護的硬件設計。稅控卡采用PLUG—IN型IC卡卡座，此卡座無插卡檢測功能。可以在卡座上貼“鉛封”，防止人為地惡意拔卡操作，保證稅控數據的完整。

(2)用戶卡拔卡保護的硬件設計。用戶卡采用ID一1型IC卡卡座，其引腳CRD_DET能夠檢測IC卡是否插入，將其接入CPU的一個I／0口，卡座內無卡的時候，此引腳為高電平；卡插入后，產生低電平。通訊查詢CPU此I／0口狀態，可以得知IC卡是否存在。

3．3異常拔卡保護的軟件實現

拔卡保護的軟件實現主要考慮用戶卡被拔出的異常情況。與用戶卡通訊屬于可逆轉事件，

4其他異常情況下的信息安全保護的軟件設計

其他異常情況是指在與卡進行稅控數據交換的時候出現的除系統異常掉電和異常拔卡以外的異常情況，如卡錯誤、RAM錯誤等異常情況。其他異常情況通常是由不可預測的硬件錯誤導致。通常只能在軟件設計上采用容錯設計，與系統硬件設計無關。其他異常情況的軟件處理從兩方面考慮：不可逆轉事件和可逆轉事件。

4．1不可逆轉事件的軟件處理

對于不可逆轉事件只能執行一次，如果出現異常后重新再執行一次，則可能導致數據出錯，所以需要先把數據備份，再執行不可逆轉事件。

Step作為一個全局變量，保存在存儲器中，保證了步驟信息不會丟失，掉電重啟后不會重復已完成的步驟。如果不可逆操作過程出現異常，不能未經任何處理繼續執行下面的步驟，否則數據A可能已經被更改，成為臟數據。等異常消除后，重新執行該步驟，因Step不變，則臟數據A不會影響數據B，數據A將會被數據B還原為一塊干凈的數據后再執行此操作，那么執行結果將不會發生錯誤。

4．2可逆轉事件的軟件處理

在可逆轉事件處理過程中出現異常，不會導致數據紊亂。可以等異常消除后，再執行一遍，軟件無需作過多的處理，只需對異常錯誤作簡單提示即可。

5結束語

稅控收款機的信息安全性的設計是一項較為復雜的系統工程，隨著黑客攻擊手段的不斷翻新，信息安全設計人員應不斷提高加密軟件的破解難度。