B TO B电子商务系统
安全应用解决方案
需求分析
B TO B电子商务是指两个或多个交易伙伴通过Web进行交易的行为，它是一个将买方、卖方以及服务于他们的中间商（如金融机构）之间的信息交换和交易行为集成到一起的电子运作方式。而这种技术的使用会从根本上改变企业的计划、生产、销售和运行模式，甚至改变整个产业社会的基本生存方式。
然而，企业在得益于信息革命所带来的新机遇，享受B TO B电子商务系统带来的便利的同时，也不得不面对系统信息安全问题的严峻考验。通过网络传递的信息会不会被截获和篡改，网络另一方的人的身份是否真实，如何确保人们不能抵赖在网上所做的历史行为等等这些信息安全问题已经引起了政府各部门、各企业以及每个互联网用户的重视。
企业信息系统安全应用
基于数字证书的电子认证技术已经可以成功解决用户身份识别、数据安全、数据完整和历史行为不可抵赖等安全问题。电子认证采用PKI（公开密钥基础设施）技术，为用户收发电子邮件、访问Web站点、网上公文传递等应用提供了安全保障。
为了配合企业的信息化工作，加强B TO B电子商务系统的安全性，广东省电子商务认证中心（以下简称广东CA）向企业用户提供电子认证服务。利用基于数字证书的用户身份认证技术对B TO B电子商务系统中的文档数据进行数字签名，确保文档数据信息的完整性，确认文档数据的真实来源，防止出现抵赖行为或他人伪造篡改数据；利用基于数字证书的数据加密技术对在网络上传输的机密文档进行加密，防止商业机密或其他敏感信息泄漏。
文档电子签名系统
系统简介
文档电子签名系统是由广东CA研制和开发的对Word或Excel文档进行数字签名及验证的软件产品，该产品可以解决公文流转过程中题。X.509数字证书和PKCS加密技术对文档及其阅读者的批示意见进行签名和验证。它的主要功能是：
文档签名 ：利用数字证书，把签名者的个人身份、签署意见与文档绑定在一起。
文档验证 ：验证文档内容在签名后是否遭到第三方篡改，以及确认签名者的身份。
更改签名图标：根据签名人的喜好可以随意定制签名图标的风格。 
定制签名域 ：在某些有特殊要求的签名位置，可以对参加签名的人作一定的限制。
系统配置需求
硬件配置Pentium133以上机型，64M以上内存，4M以上硬盘空间。操作系统?Windows 98SE、Windows NT 4.0 (sp3.0)、Windows 2000或更高版本操作系统。 
应用软件Microsoft office 97 或以上。
数字证书广东CA颁发的数字证书。数字S/MIME技术可以确保电子邮件的安全Outlook 2000等，把数字证书与Outlook Express等应用软件结合在一起，用户无须进行任何开发工作，就可以充分利用系统现有的资源，发送和接收使用数字证书加密和签名的安全邮件。
在邮件添加数字签名时，数字签名和加入邮件中。可以验证的身份CA的网站上查找到接收者的数字证书。
使用数字证书登录Web应用系统
当前，基于Web的B TO B电子商务系统已经得到了广泛应用，但目前绝大多数该类系统对用户身份的认证是采用“用户名+口令”的方式，系统信息资源的分配和管理面临着重大的安全隐患。具体表现在：
口令易被猜测，在传输中也易被截获，给用户和网络管理者带来极大的安全风险。
为了相对安全，用户被迫记忆繁琐冗长的口令。
用户的用户名与口令容易泄密（如：被偷窥），盗用者可以在任何一台联网的计算机上登录系统，冒充合法用户进行非法操作，而合法用户和管理人员可能对此毫无察觉，合法用户的身份无法确认。
用户在做完相关操作后，由于涉及到自身利益，可能出现抵赖曾经做过某些操作的现象，增加了B TO B交易的风险。
在服务器端，用于认证用户信息的资料，容易成为黑客攻击的对象，也容易被超级用户（如：系统管理员）有意或无意的泄露。
Internet上的信息站点容易被伪造。 B TO B系统网站被假冒后，可以被用来发布虚假消息，误导企业员工和其他用户，造成不可估量的损失。
系统中的信息在网上传输时，采用明文的方式进行传输，敏感信息容易被泄露、篡改。
要解决上述问题，只需在B TO B电子商务系统中引入电子认证技术。即在系统服务器端安装服务器数字证书，用户使用客户端数字证书登录系统，服务器与客户机之间采用SSL安全协议保证信息传输安全和确认系统用户的真实身份。与传统的“用户名+口令”登录方式相比，数字证书登录技术更加安全和方便：
用户登录系统的成功与否依赖于证书的有效性与私有密钥的合法性，高强度的加密算法保证登录用户的合法性和唯一性。
用户数字证书的私有密钥是保存在物理设备——USB电子令牌上的，不容易被导出或拷贝，保证了用户私有密钥的安全性和唯一性，使用者无法抵赖曾经进行过的操作，也不能在非法场所登录系统。
用户在成功登录系统的同时，已经向系统服务器表明了自己的身份，用户身份得以认证。
系统服务器也将向客户端浏览器表明了自己的真实身份，假冒的站点由于没有合法的服务器证书，将无法取得系统用户的信任，从根本上杜绝了假冒站点的现象。
USB电子令牌成本低廉，小巧玲珑，支持热插拔。用户无需记忆繁琐冗长的用户名和口令，只需要在拥有USB接口的计算机（现在USB接口已经是计算机的标准配置）上使用自己的数字证书，即可登录应用系统进行合法操作。
系统服务器与客户机之间的信息传递采用加密通道，保证了机密数据的安全性。
网证通电子认证系统的特点
广东CA拥有国内独立开发的列入国家“863计划”的网证通电子认证系统平台，该系统完全具有独立的知识产权，在国内处于领先水平，并通过广东省公安厅、国家公安部等部门的审查和技术鉴定，2001年1月份还获得国家公安部颁发的《计算机信息系统安全专用产品销售许可证》。自1999年5月份正式开通业务以来，广东CA已经为社会组织和个人颁发了8万多张各类型数字证书，成为业界知名的电子认证服务提供商。
网证通电子认证系统具有以下的技术特点：
基于开放的通用数据安全平台CDSA
网证通电子认证系统为分层结构，以通用数据安全平台CDSA为基石，向上提供应用组件对象接口。可方便的加入第三方的解决方案，如证书格式，加密算法，加密软硬件模块等。
完全支持中文
网证通电子认证系统完全支持BMPString编码，数字证书的所有域都支持中文。
遵循相关国际标准
系统颁发的数字证书符合X.509 V3国际标准。此外，系统还应用了PKI相关技术标准，如：PKCS#12、PKCS#10、PKCS#7、PKCS#1、DER等，具有的很强的互通性和兼容性。
方便的证书查询功能
用户可通过WEB界面，通过各种组合条件查询证书的信息及其有效状态。
针对企业内部使用的优化
方便的数据录入，可从EXCEL、Word等文档中自动批量地录入企业员工的身份资料。
丰富的应用开发接口
网证通电子认证系统提供丰富的应用开发接口(API)，通过使用这些开发接口，可以在应用程序中实现读取证书信息、加/解密数据、数字签名、验证签名、查询证书黑名单(CRL)等功能。
B TO B电子商务系统安全应用解决方案
                            		2
B TO B电子商务系统安全应用解决方案
		  

B电子商务系统.doc