電子商務(wù)與金融：第4章 金融安全認證3

CFCA支持的應(yīng)用

中國金融認證中心所發(fā)證書支持的應(yīng)用范圍包括電子商務(wù)、網(wǎng)上銀行等。PKI電子證書也可以用于企業(yè)級OA系統(tǒng)、MIS系統(tǒng)以及企業(yè)內(nèi)部之間網(wǎng)絡(luò)安全通信的管理等。企業(yè)應(yīng)用電子商務(wù)帶來的改變對于中小企業(yè)來講，電子商務(wù)能給它們帶來許多新的機遇和挑戰(zhàn)，它能夠解決中小企業(yè)面臨的許多困難和問題。Internet的到來可以為中小企業(yè)開辟更廣泛的市場空間。由于信息的競爭在企業(yè)的競爭優(yōu)勢中發(fā)揮著越來越重要的作用，有了電子商務(wù)，中小企業(yè)在信息方面就能夠與大企業(yè)競爭?？偟膩碇v，電子商務(wù)對中小企業(yè)帶來的影響可以分為以下幾個方面：

1.全球市場中小企業(yè)傳統(tǒng)市場的競爭力可以得到加強；中小企業(yè)有更多的機會將產(chǎn)品銷售到全球各個國家和地區(qū)。2.市場供應(yīng)鏈對供應(yīng)商提供設(shè)計和工程服務(wù)的要求將增加；廠商將外包更多的非核心業(yè)務(wù)；客戶將需要更多的電子通信以用于下訂單、記賬等業(yè)務(wù)，當(dāng)大的客戶有這種要求時，這將對供應(yīng)鏈產(chǎn)生大的影響；客戶將要求他們的供應(yīng)商提供更多的存貨管理服務(wù)，如數(shù)據(jù)倉庫和訂單管理；制造商將繼續(xù)減少供應(yīng)商的總數(shù)量；供應(yīng)鏈中各公司之間的聯(lián)系將更加緊密。

3.內(nèi)部操作和過程控制

隨著更多地使用聯(lián)網(wǎng)信息技術(shù)和系統(tǒng)集成技術(shù)，公司內(nèi)的通信和協(xié)作將改進；將更多的使用自動化制造技術(shù)，為集成外部數(shù)據(jù)和內(nèi)部操作提供更大的機會，如EDI和MRP系統(tǒng)的集成；企業(yè)雇員的數(shù)量將

減少，但每個雇員的工作量將增加；企業(yè)的操作和管理成本將減少。

4.客戶服務(wù)

制造商將試圖縮短它們的新產(chǎn)品和服務(wù)面世的時間；制造商將試圖將價格降到最低；產(chǎn)品質(zhì)量將受到更大的重視；供應(yīng)商將會發(fā)現(xiàn)有必要更好更快地提供有關(guān)訂單狀態(tài)的信息；商家將會更加重視產(chǎn)品的售后服務(wù)；信息和電信服務(wù)之間的競爭將加??；提供給制造商的信息和電信服務(wù)的種類將增加；新的電子商務(wù)產(chǎn)品和服務(wù)將出現(xiàn)；人力資源和工作結(jié)構(gòu)；計算機在企業(yè)中的作用將更加重要；小公司在訓(xùn)練員工使用計算機方面，將比大公司更困難些。

5.作為商業(yè)資產(chǎn)

信息本身將成為重要的可銷售商品（如數(shù)據(jù)庫）；公司內(nèi)部數(shù)據(jù)在決策時將起重要作用；通過聯(lián)網(wǎng)，制造廠商將具有更多更好的機會來更廣泛地訪問有用的商業(yè)和技術(shù)信息。6.商業(yè)前景：中小企業(yè)使用網(wǎng)絡(luò)可以及時地獲取最新的商業(yè)發(fā)展趨勢的信息，以指導(dǎo)自己的生產(chǎn)和銷售。

（一）支持B2B應(yīng)用模式1.使用B2B模式軟件工具的必要性：在Internet環(huán)境下，用傳統(tǒng)的瀏覽器與服務(wù)器之間進行信息傳遞時，不能提供高強度的加密機制，其安全性不能滿足企業(yè)級和電子商務(wù)對數(shù)據(jù)處理的安全性要求：證書、協(xié)議密鑰算法易破譯，交易風(fēng)險太大，對網(wǎng)上銀行、網(wǎng)上購物的B2B應(yīng)用模式不安全；證書、協(xié)議沒有提供數(shù)字簽名的功能，不具備抗否認性；不能在線進行CRL自動查詢；不具備完善的證書管理功能等；因此要加強其安全管理。Entrust率先在業(yè)界提出了在B/S之間增加過度軟件。即代理軟件，分客戶端代理軟件和服務(wù)器代理軟件B2B支持應(yīng)用模式之一—網(wǎng)上購物B2B電子商務(wù)的特點是支付金額大、安全性要求高、缺乏法律保障等，CFCANon-SET系統(tǒng)所發(fā)的企業(yè)級證書支持B2B網(wǎng)上購物的應(yīng)用模式。涉及：采購用戶、商家、銀行、CA認證中心等各方。各方的應(yīng)用（參課本）

B2B模式具體交易流程①企業(yè)客戶在下載CFCA根證書及裝好企業(yè)級證書后，可訪問商家的Web主頁；②用戶瀏覽、選擇欲購物品，填好訂單及支付賬號；③商家將客戶端的支付交易請示傳送到銀行支付服務(wù)器;④銀行支付服務(wù)器進行交易處理;⑤銀行支付服務(wù)器將這筆交易中的扣款轉(zhuǎn)賬信息返送給商家;⑥商家的Webserver把交易成功的信息顯示給用戶表示支付已接受。B2B交易模式的特點①雙方認證;②完整的密鑰和證書的生命周期管理體系;③對用戶而言具有通用性和透明性；④客戶端、服務(wù)器自動進行CRL查詢；⑤強大的密碼機制；⑥雙重密鑰對機制，具有不可否認性。

案例：蘇寧電器股份有限公司蘇寧B2B企業(yè)電子訂單項目單位簡介：蘇寧電器連鎖集團股份有限公司是一家致力于家電行業(yè)的上市股份有限制公司，公司主要從事綜合電器的銷售和服務(wù)，致力于在全國發(fā)展專業(yè)連鎖。經(jīng)營范圍涉及空調(diào)、冰箱、洗衣機、彩電、音響、碟機、小家電等傳統(tǒng)家電，以及手機、電腦、辦公設(shè)備、數(shù)碼等信息家電，涵蓋300多個品牌，10萬種規(guī)格型號的3C電器產(chǎn)品，為廣大消費者提供充足的選擇和專業(yè)的服務(wù)。是國內(nèi)家電連鎖業(yè)中的領(lǐng)頭羊。

項目背景：為了更好的整合資源，提高整體供銷存系統(tǒng)的效率，蘇寧電器公司需要采用電子訂單交易平臺的模式，用電子訂單來代替?zhèn)鹘y(tǒng)手工方式，向供應(yīng)商傳遞訂單。在為蘇寧電器的應(yīng)用系統(tǒng)提供高安全性的同時，滿足功能全面、部署靈活、簡單實用、便于擴展的各項要求。

需要解決的問題：1.B2B網(wǎng)站全球唯一性認證

2.B2B系統(tǒng)中供應(yīng)商登錄安全身份認證

3.B2B系統(tǒng)中訂單簽名

4.訂單從后臺SAP通過EAI導(dǎo)入B2B系統(tǒng)，訂單需要B2B系統(tǒng)自動加入蘇寧內(nèi)部分公司（訂單所屬公司）數(shù)字證書簽名

5.供應(yīng)商登錄審核訂單時，訂單中加入供應(yīng)商的數(shù)字證書簽名6.對后臺系統(tǒng)產(chǎn)生結(jié)算清單由供應(yīng)商進行數(shù)字簽名，并保證供應(yīng)商證書的唯一性7.在下載的Excel訂單簽名8.蘇寧方需要由自己來管理和發(fā)放供應(yīng)商證書應(yīng)用情況：系統(tǒng)建成后，將為蘇寧電器所有產(chǎn)品供應(yīng)商以USBkey的形式配發(fā)數(shù)字證書，用于在各地可登錄業(yè)務(wù)系統(tǒng)。B2B支持應(yīng)用模式之二—網(wǎng)上銀行B2B模式的網(wǎng)上銀行應(yīng)用是指將傳統(tǒng)的銀行對公業(yè)務(wù)轉(zhuǎn)移到網(wǎng)上進行，主要面向大客戶的交易雙方。網(wǎng)上銀行是端對端交易，即客戶對銀行，只涉及到交易雙方（企業(yè)級用戶和銀行）。雙方的應(yīng)用（參課本）簡要流程：1）用戶瀏覽訪問銀行主頁，選擇交易類別；2）銀行應(yīng)用服務(wù)器接收驗證交易申請，并轉(zhuǎn)換通信格式到后臺記賬；3）銀行后臺賬務(wù)系統(tǒng)將交易結(jié)果返送到應(yīng)用服務(wù)器；4）應(yīng)用服務(wù)器將該筆交易送到用戶端加以顯示，表示交易完成。案例：中國民生銀行網(wǎng)上銀行系統(tǒng)單位背景：中國民生銀行于1996年1月12日在北京正式成立，是我國首家主要由非公有制企業(yè)入股的全國性股份制商業(yè)銀行，同時又是嚴格按照《公司法》和《商業(yè)銀行法》建立的規(guī)范的股份制金融企業(yè)。多種經(jīng)濟成份在中國金融業(yè)的涉足和實現(xiàn)規(guī)范的現(xiàn)代企業(yè)制度，使中國民生銀行有別于國有銀行和其他商業(yè)銀行，而為國內(nèi)外經(jīng)濟界、金融界所關(guān)注。

項目背景：為順應(yīng)現(xiàn)代企業(yè)以及企業(yè)集團的發(fā)展與普遍需求，民生銀行隆重推出了優(yōu)勢卓越的企業(yè)網(wǎng)上銀行服務(wù)。民生網(wǎng)通過Internet將客戶的電腦與銀行主機相連，架起客戶與銀行間的安全快速通道，使客戶在任意時間和地點，足不出戶就可以享受到民生銀行安全、高效、快捷的金融服務(wù)。

為實現(xiàn)將銀行服務(wù)直接送到廣大客戶家中，達到足不出戶，輕松實現(xiàn)投資理財?shù)男枰裆y行推出全新的金融服務(wù)工具個人網(wǎng)銀系統(tǒng)。需要解決的問題：

一、系統(tǒng)安全

·準(zhǔn)入安全：《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》實施后中國民生銀行是批準(zhǔn)開辦網(wǎng)上銀行業(yè)務(wù)的第一家股份制商業(yè)銀行。

·安全評估:國內(nèi)首家通過國家信息安全測評中心安全評估的網(wǎng)上銀行系統(tǒng)·認證安全:采用中國金融認證中心（CFCA）權(quán)威數(shù)字證書認證，安全可信賴·交易安全:采用國際通行的SSL協(xié)議,Entrust產(chǎn)品技術(shù)以及高安全級別操作系統(tǒng)標(biāo)準(zhǔn),保證客戶信息防破譯、防篡改、防重發(fā)、建立高度安全通道·內(nèi)控安全:嚴密的企業(yè)交易授權(quán)及內(nèi)控機制，嚴格

核對操作權(quán)限、密碼，有效保障企業(yè)資金安全

二、高效快捷

·高速通道：功能強大的新一代業(yè)務(wù)處理系統(tǒng)提供全天候強大支持

·實時結(jié)算：系統(tǒng)內(nèi)轉(zhuǎn)賬實時到賬

·便捷授信：授信額度自動生成，額度循環(huán)使用，快速發(fā)放，隨借隨還

應(yīng)用情況:

采用CFCA數(shù)字證書來保證網(wǎng)上銀行安全：

1、身份的可靠性：網(wǎng)銀服務(wù)器端和用戶端進行了雙向的身份認證，確認雙方身份的可靠；

2、信息的保密性和完整性：用戶在提交轉(zhuǎn)帳支付等機密信息時，服務(wù)器端和用戶端會建立一個安全通道，確保信息傳遞的真實完整；3、交易的不可否認性：系統(tǒng)對于提交的重要交易信息或表單進行簽名，并在服務(wù)器端進行保留，便于在發(fā)生糾紛時舉證，防止交易抵賴。

為了快速地對證書和黑名單進行查詢，民生銀行在本地部署了目錄服務(wù)，作為CFCA主目錄服務(wù)的鏡像。

（二）支持B2C應(yīng)用模式B2C的應(yīng)用模式應(yīng)用領(lǐng)域分：SETB2C網(wǎng)上購物和Non-SET網(wǎng)上購物PKI系統(tǒng)。1.SETB2C模式網(wǎng)上購物系統(tǒng)（SET購物流程）

持卡人商戶收單銀行認證中心支付網(wǎng)關(guān)發(fā)卡銀行協(xié)商訂單確認審核確認審核批準(zhǔn)認證認證認證2.Non-SETB2C網(wǎng)上購物系統(tǒng)Non-SETB2C交易是兩次端對端的交易過程。商家相對于客戶端來說是服務(wù)器（WebServer），而相對銀行的支付服務(wù)器來說，它又是Client.其特點：1）交易流程相對簡單；2）作到瀏覽器/服務(wù)器雙方認證；3）商家使用兩個證書：一個是WebServer證書，一個是企業(yè)（高級）證書，可以進行郵件加密和數(shù)字簽名；4）商家與客戶之間是BtoC模式；商家與銀行之間的是BtoB模式；5）WebServer可自動進行CRL檢查。3Non-SETB2C網(wǎng)上銀行應(yīng)用Non-SETB2C網(wǎng)上銀行的特點網(wǎng)上銀行交易只涉及到兩方，是端對端的認證和交易過程。B2C業(yè)務(wù)模式的網(wǎng)上銀行，主要指商業(yè)銀行的對私業(yè)務(wù)，即零售業(yè)務(wù)，服務(wù)對象一般是個人用戶，所辦理的業(yè)務(wù)有：個人賬戶查詢、服務(wù)信息查詢、個人賬戶轉(zhuǎn)賬、代收代付、證券交易、外匯買賣等。個人用戶分兩類：一、只作網(wǎng)上賬務(wù)及信息查詢，只需實現(xiàn)客戶端對Web服務(wù)器的認證，采用SSL協(xié)議，安全性要求低的服務(wù)。二、作銀行對私業(yè)務(wù)交易，主要在其瀏覽器中裝兩個證書，CFCA根證書及SSL用戶證書與Web服務(wù)器證書之間實現(xiàn)雙向認證。安全性要求高。網(wǎng)上銀行B2C業(yè)務(wù)交易流程用戶銀行Web服務(wù)器瀏覽訪問雙方認證交易訂單銀行后臺應(yīng)用系統(tǒng)賬務(wù)更新通信轉(zhuǎn)換特點：交易流程簡單；雙方認證；安全性要求低；

WebServer實現(xiàn)自動的CRL查詢五、金融認證中心的證書業(yè)務(wù)規(guī)則金融認證體系的根CA充分體現(xiàn)權(quán)威性，負責(zé)制定金融認證體系的策略，監(jiān)督和管理認證體系策略的實施情況。金融認證中心制定證書實施說明，其核心是金融認證服務(wù)的業(yè)務(wù)規(guī)則。主要包括以下四個內(nèi)容網(wǎng)關(guān)（銀行）業(yè)務(wù)規(guī)則商戶（企業(yè)）業(yè)務(wù)規(guī)則持卡人（個人）業(yè)務(wù)規(guī)則中介結(jié)構(gòu)業(yè)務(wù)規(guī)則

要求掌握持卡人（個人）業(yè)務(wù)規(guī)則六、電子商務(wù)參與方的法律關(guān)系1.網(wǎng)上交易客戶間的法律關(guān)系：買方的義務(wù)；買方的義務(wù)；買賣雙方不履行合同義務(wù)的救濟2.網(wǎng)上交易客戶與銀行間的法律關(guān)系3.認證中心與電子商務(wù)參與方的法律關(guān)系（各自的權(quán)利和義務(wù)）認證中心應(yīng)有的管理機制認證中心（CA）是進行網(wǎng)上合法身份和合法交易認證的權(quán)威證明機構(gòu)，它依據(jù)國家法律、法規(guī)開展工作。它堅持公平、公正、信譽第一的原則，起到維護網(wǎng)上金融信譽、防止金融詐騙的作用。認證CA以獨立于認證用戶（商家和消費者）和參與者（檢查和使用證書的相關(guān)方）的第三方的地位證明網(wǎng)上活動的合法有效性。其本身不從事商業(yè)業(yè)務(wù)，不進行網(wǎng)上采購和消費活動。它接受國家政府部門的監(jiān)督和管理。認證中心具有獨立法人地位，為用戶管理認證證書；認證用戶自原向認證中心申請認證證書以開展電子商務(wù)活動；參與方是自愿加入認證中心的會員單位，必須接受有效證書的信用，完成用戶涉及的電子商務(wù)活動。電子商務(wù)中各方的義務(wù)1）認證中心：發(fā)布用戶認證證書、管理認證證書、保證認證的安全可靠，其本身必須滿足管理、操作于系統(tǒng)的有關(guān)要求。對參與者進行嚴格的審查和認證保證發(fā)放的證書具有可靠的權(quán)威性和信任度發(fā)布可靠及時的認證信息2）認證用戶（商家、消費者等）：合法使用認證機制、獲得證書，開展電子商務(wù)活動。報出本身準(zhǔn)確的相關(guān)信息及時檢查證書內(nèi)容和信息妥善包管好私人密鑰及時匯報出現(xiàn)的問題，例如密鑰泄露、交易異常等現(xiàn)象3）參與者（銀行等其他相關(guān)方）：合法使用認證機制，按照有關(guān)規(guī)定進行電子商務(wù)操作。檢查證書本身的合法有效性、進行證書失效檢查