【论文】基于数字证书的B2B电子订单系统解决方案.pdfVIP

1 基于数字证书的B2B 电子订单系统解决方案 张晓奇，王丹志，宋美娜，鄂海红 信息产业部重点实验室北京邮电大学PCNCAD 中心，北京（100876 ） E-mail ：alphazxq@ 摘 要：通过分析作为B2B （Business to Business ，即企业对企业的电子商务）网上交易重 要组成部分的电子订单管理所面临的主要安全问题，结合数字证书技术提出了一种电子订单 系统的解决方案：交易过程中买卖双方使用权威的CA （Certificate Authority ，即证书授权中 心）颁发的数字证书标识各自的身份，并对订单信息进行加密和签名，可以有效地解决身份 认证的可靠性以及信息的机密性、完整性和不可抵赖性等安全问题。 关键词：电子订单；数字证书；身份认证；加密；数字签名 中图分类号：TP393.08 1. 引言 近年来，随着信息技术的不断发展，企业间电子商务（B2B ）应用逐渐成熟。然而，作 为B2B 应用中一个重要的组成部分—— 电子订单管理的发展却由于多种原因明显滞后，其 中最主要的因素就是作为电子订单管理关键环节的电子订单确认的真实性和有效性难以保 证。一份电子订单不仅涉及到企业之间的机密数据，同时作为合同的一种形式，又不可避免 地涉及到法律上的问题，是需要安全技术、法律依据等多方面综合加以解决的问题。 数字证书采用公开密钥技术，用于在互联网通信中标识通信各方的身份信息。目前， 证书的格式及认证方法遵循 ITU-T X.509 国际标准。应用数字证书结合公开密钥加密技术， 可以有效地解决电子商务中身份认证、信息的机密性、完整性和不可抵赖性等安全问题。 2. 当前B2B 电子订单管理面临的安全问题 B2B 网上交易相对于传统的商务流程可以大量降低企业成本，提高业务效率。但是由 于网上交易是建立在开放的Internet 之上，加上B2B 交易金额往往比较巨大，就给网上交易 带来了巨大的安全隐患。 身份认证：需要对交易参与各方进行身份认证和访问控制，保证只有身份真实且具 有访问权限的用户才能访问电子订单系统。在传统的身份认证方式中，用户名/ 口 令在未受保护的网络上传输，容易被截取和监听，即使口令被加密也无法防范重 放攻击。如果选用足够长的密码或者经常修改密码，又会给维护带来很大的难题。 信息的机密性：交易双方的订单信息以及在交易平台上流动的一些机密资料有可能 在传递过程中被非法用户窃取，造成商业机密的泄露。 信息的完整性：敏感、机密信息和数据在买卖双方和交易平台之间传递时可能被非 法用户恶意篡改，给用户造成重大损失。 信息的不可抵赖性：对于信息发布、确认订单等关键交易步骤，一旦有一方事后予 以否认，另一方则很难找到可作为法律依据的证据。 正是由于以上诸多安全问题，目前在我国的B2B 电子商务平台上主要还是以信息的发 布和获取为主，网上交易业务的开展并不广泛。利用数字证书则可以有效地解决上述问题， 1本课题得到国家科技支撑计划：现代服务业共性服务集成化技术研究（课题编号:2006BAH02A03 ） 的资助。 - 1 - 从而促进我国B2B 网上交易业务的迅速发展。 3. 数字证书简介 3.1 公开密钥技术 公开密钥技术用于解决在没有事先约定好密钥的通信双方之间传输加密消息的难题。 每个实体都有一个密钥对，包括一个公开密钥（公钥），一个私密密钥（私钥），公钥向外 [1] 发布，私钥只由自己唯一拥有 。 公开密钥技术采用数学方法保证即使在已知明文、密文和加密密钥（公开密钥）的情 况下，想要推导出解密密钥（私密密钥），在计算上也是不可能的。用公钥加密过的信息也