【文章內容簡介】 能夠對信用卡和個人信息提供較強的保護。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器，用以完成需要的安全交易操作。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法。216。認證用戶和服務器,使得它們能夠確信數(shù)據(jù)將被發(fā)送到確的客戶機和服務器上；216。加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)；216。維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。交易文件中，時間是十分重要的信息。在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被偽造和篡改的關鍵性內容。在電子交易中，同樣需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(DTS：digitaltimestampservice)就能提供電子文件發(fā)表時間的安全保護。數(shù)字時間戳服務（DTS）是網(wǎng)上安全服務項目，由專門的機構提供。時間戳（timestamp）是一個經加密后形成的憑證文檔，它包括三個部分：1）需加時間戳的文件的摘要(digest)，2）DTS收到文件的日期和時間，3）DTS的數(shù)字簽名。時間戳產生的過程為：用戶首先將需要加時間戳的文件用HASH編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時間信息后再對該文件加密（數(shù)字簽名），然后送回用戶。由Bellcore創(chuàng)造的DTS采用如下的過程：加密時將摘要信息歸并到二叉樹的數(shù)據(jù)結構；再將二叉樹的根值發(fā)表在報紙上，這樣更有效地為文件發(fā)表時間提供了佐證。數(shù)字憑證又稱為數(shù)字證書，是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源的訪問的權限。在網(wǎng)上的電子交易中，如雙方出示了各自的數(shù)字憑證，并用它來進行交易操作，那么雙方都可不必為對方身份的真?zhèn)螕?。?shù)字憑證可用于電子郵件、電子商務、群件、電子基金轉移等各種用途。，它包含了以下幾點：(1)憑證擁有者的姓名，(2)憑證擁有者的公共密鑰，(3)公共密鑰的有效期，(4)頒發(fā)數(shù)字憑證的單位，(5)數(shù)字憑證的序列號（Serialnumber），(6)頒發(fā)數(shù)字憑證單位的數(shù)字簽名。數(shù)字憑證有兩種類型：(1)個人憑證(PersonalDigitalID)：它僅僅為某一個用戶提供憑證，以幫助其個人在網(wǎng)上進行安全交易操作。個人身份的數(shù)字憑證通常是安裝在客戶端的瀏覽器內的。并通過安全的電子郵件（S/MIME）來進行交易操作。(2)企業(yè)（服務器）憑證（ServerID）：它通常為網(wǎng)上的某個Web服務器提供憑證，擁有Web服務器的企業(yè)就可以用具有憑證的萬維網(wǎng)站點(WebSite)來進行安全電子交易。有憑證的Web服務器會自動地將其與客戶端Web瀏覽器通信的信息加密。身份認證體系是平臺安全保障體系中的重要一環(huán)。它通過對用戶的鑒別，確定了用戶訪問網(wǎng)絡資源和信息資源的訪問控制級別與訪問控制方式。傳統(tǒng)的身份認證多采用靜態(tài)的用戶名/口令身份認證機制，客戶端發(fā)起認證請求，由服務器端進行認證并響應認證結果。用戶名/口令這種身份認證機制的優(yōu)點是使用簡單方便，但是由于沒有全面的安全性方面的考慮，所以這種機制存在諸多的安全隱患。絕大多數(shù)的用戶名/口令認證機制在身份認證協(xié)議中交換的認證消息為明文方式，未進行數(shù)據(jù)加密算法或者散列算法的處理，這樣導致的直接結果是用戶名和口令這些敏感數(shù)據(jù)容易被截獲和泄露。一些身份認證系統(tǒng)已經對這種安全性弱點做出了改進，它們在交換的認證消息中，使用用戶名/口令的散列運算結果來代替原來的用戶名/口令明文，由于散列算法的單向性特點，攻擊者即使截獲了口令的散列運算結果，也無法從中恢復出口令的明文內容，從而在一定程度上保護了口令的安全性。即使對口令進行散列處理，也無法避免一種被稱為“重播攻擊”的惡意攻擊方式。重播攻擊是指攻擊者并不試圖從截獲的數(shù)據(jù)中恢復出有價值的信息，而是直接將截獲的數(shù)據(jù)重發(fā)，以達到非法的目的。例如，由于口令是靜態(tài)的，除非用戶修改口令，不然口令是維持不變的，這樣進行散列運算處理后得到的結果也是不變的，攻擊者截獲了用戶名和口令的散列結果后，直接使用這些數(shù)據(jù)發(fā)起身份認證請求，認證服務器通常會認為這是一個合法的認證請求，并且由于用戶名和口令的散列結果都是合法的，攻擊者就能成功地通過身份認證，從而非法地獲得系統(tǒng)的訪問權限。針對靜態(tài)口令存在的各種安全漏洞，我們?yōu)槠脚_設計了動態(tài)口令解決方案，依據(jù)動態(tài)口令機制實現(xiàn)動態(tài)身份認證系統(tǒng)，徹底解決了網(wǎng)絡環(huán)境中的用戶身份認證問題。 CA認證方案除了上節(jié)中推薦的動態(tài)密碼身份鑒定方案以外，本方案中還使用了PKI/PMI的安全體系，通過PKI架構提供全網(wǎng)統(tǒng)一的信任服務體系，提供用戶身份認證功能。利用PKI技術，系統(tǒng)通過對客戶端與服務器進行雙重身份認證，確保系統(tǒng)的登錄者是合法用戶、用戶所登錄的系統(tǒng)是合法系統(tǒng)。（網(wǎng)站安全認證結構圖）上圖中通過利用CA認證系統(tǒng)，實現(xiàn)了以下功能：a) 通過為Portal的WEB服務器配置服務器證書，為網(wǎng)站提供安全、可靠的身份驗證，用戶通過驗證網(wǎng)站的服務器證書來判斷網(wǎng)站的真實性；b) 通過配置服務器證書將在客戶端和服務器之間建立SSL安全通道，確?？蛻舳撕头掌髦g數(shù)據(jù)傳輸?shù)陌踩籧) 通過服務器啟用雙向驗證的連接，要求客戶端提供用戶證書，來判斷用戶的真實身份。d) 在案件處理或公文流轉過程中，通過使用數(shù)字簽名，保證信息傳輸?shù)臋C密性、完整性和抗抵賴性。第四章、規(guī)范高效的本地化項目實施和培訓我公司承諾成立專門項目組，負責系統(tǒng)開發(fā)、實施和培訓。實施模式采用項目經理負責制，由專業(yè)的技術實施顧問團隊組成，并要求客戶方成立相應項目團隊，共同組成項目實施組，以保證項目順利進行。同時幫助企業(yè)培養(yǎng)內部咨詢、技術維護隊伍、以實現(xiàn)管理的持續(xù)改進。項目管理模式依托ISO9001：2000和CMMIML3項目管理規(guī)范，嚴格項目實施過程和控制管理。實施過程分為：管理咨詢、需求規(guī)劃、系統(tǒng)設計、系統(tǒng)編制、系統(tǒng)部署、系統(tǒng)切換、運營跟蹤、持續(xù)支持等八個階段。實施過程控制包括項目實施計劃控制、進度跟蹤、溝通機制、需求變更控制機制和項目實施檔案管理，保證項目實施質量和風險控制。 項目進度計劃工作日歷日工作內容項目組工作客戶項目組工作交易系統(tǒng)系統(tǒng)需求調研成熟演示；典型案例分析；總結業(yè)務模式和流程提出系統(tǒng)要求和業(yè)務模式需求報告和確認整理報告，提供業(yè)務需求報告確認業(yè)務需求系統(tǒng)分析系統(tǒng)分析和設計成員，提供系統(tǒng)分析報告確認系統(tǒng)分析報告，準備銀行、CA等外系統(tǒng)接口工作的聯(lián)系工作系統(tǒng)編碼和測試開發(fā)組軟件開發(fā)；銀行和CA系統(tǒng)接口開發(fā)和調試進行服務器和網(wǎng)絡硬件環(huán)境建設工作系統(tǒng)驗證開發(fā)組提供軟件系統(tǒng)和系統(tǒng)測試報告。并安裝測試版軟件系統(tǒng)；對系統(tǒng)驗證成事進行系統(tǒng)整體培訓；及時修改系統(tǒng)錯誤和系統(tǒng)功能驗證軟件功能和軟件系統(tǒng)質量，發(fā)現(xiàn)問題及時向項目組報告，到達及時糾錯的目的系統(tǒng)正式部署安裝正式軟件系統(tǒng)檢查軟件和網(wǎng)絡系統(tǒng)數(shù)據(jù)初始化指導進行系統(tǒng)數(shù)據(jù)設置等系統(tǒng)初始數(shù)據(jù)設置權限分配系統(tǒng)培訓對系統(tǒng)驗證成員進行進一步系統(tǒng)功能整體培訓；提供系統(tǒng)操作手冊和系統(tǒng)日常維護手冊；進一步學習系統(tǒng)操作和系統(tǒng)維護技能系統(tǒng)試運行跟蹤提供持續(xù)培訓和維護工作向用戶提供系統(tǒng)介紹、推廣和模擬運行系統(tǒng)保駕護航保證系統(tǒng)部不間斷維護積累模擬運行經驗，準備大規(guī)模推廣工作注：本公司本項目構成人員合理安排時間，保證在項目承諾日歷日內完成項目。跨平臺、多數(shù)據(jù)庫支持、后臺數(shù)據(jù)庫支持Oracle、Sybase、SQLServer等各類大型數(shù)據(jù)庫。采用J2EE體系結構，支持C/S模式和B/S三層結構。采用類庫、中間件組件、插件技術，增加了程序的可重用、穩(wěn)定性和可擴展性。充分利用數(shù)據(jù)庫分布式計算技術，大大提高了系統(tǒng)運行效率。采用適用于網(wǎng)絡技術的編程語言（XML），是供需鏈管理系統(tǒng)得以與電子商務的無縫集成。在金屬貿易、塑料、緊固件等電子交易、倉儲、加工、運輸及生產資料制造行業(yè)深入研究，總結優(yōu)秀的經營和管理特色，探索行業(yè)市場發(fā)展趨勢和將來格局預測，幫助企業(yè)規(guī)避風險，洞悉商業(yè)先機，如今在生產資料金屬行業(yè)整個產業(yè)鏈的信息化當中都有了極其成熟的生產資料板塊十大產品系列，實現(xiàn)了較為全面的信息化解決方案：1)、現(xiàn)貨電子交易管理系統(tǒng)；2)、生產資料物流企業(yè)ERP管理系統(tǒng)；3)、生產資料倉儲企業(yè)管理系統(tǒng)；4)、運輸配送