商务基础支撑平台

三、商务基础支撑平台

商务基础支撑平台是信息系统的安全卫士，阻止一切非法、未经授权的闯入，保护企业的商业数据和技术数据。一个功能完整的安全平台要包括网络安全、主机安全、操作系统安全、应用安全和数据安全。系统遵循国家标准和规定，集成应用多种安全技术，为综合管理信息系统构建一个可管理、可监控、可测评的安全屏障。并且，商务基础支撑平台还面向系统性能，侧重于保障系统的运行效率、可靠性和优化，例如动态负载平衡、系统管理维护等。

（一）CA认证

由于电子商务是用电子方式和企业网络营销推广服务进行商务活动，通常参与各方是互不见面的，因此身份的确认与安全通信变得非常重要，解决方案就是建立中立的、权威的、公正的电子商务认证中心——CA认证中心，它所承担的角色类似于网络上的“公安局”和“工商局”，给个人、企事业单位和政府机构签发数字证书——“网上身份证”，用来确认电子商务活动中各自的身份，并通过加解密方法实现网上安全的信息交换与安全交易。

所谓CA（Certificate Authority）认证中心，是采用PKI（Public Key Infrastructure）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构。

但是，需要强调的是，由于国情的特殊性，CA认证中心似乎需要政府的授权，但实际上，CA认证中心只是根据政府机构已签发的身份、资质证明文件进行审核，并没有增加新的内容，实际上是一种更为安全的会员制，因此CA认证中心的商业运作性质要大过政府行为，除非以后真正由CA认证中心来发放电子身份证、电子营业执照等。

（二）支付网关

支付网关的角色是信息网与金融网连接的中介，它承担双方的支付信息转换的工作，所解决的关键问题是让传统的封闭的金融网络能够通过网关面向互联网的广大用户，提供安全方便的网上支付功能。

支付网关可确保交易在互联网用户和交易处理商之间安全、无缝的传递，并且无须对原有主机系统进行修改。它可以处理所有互联网支付协议，互联网安全协议，交易交换，信息及协议的转换以及本地授权和结算处理。另外，它还可以通过设置来满足特定交易处理系统的要求。离开了支付网关，网络银行的电子支付功能也就无法实现。

支付网关的主要功能是将互联网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部传回来的响应消息，将数据转换为互联网传送的数据格式，并对其进行加密。即支付网关主要完成通信、协议转换和数据加解密功能，以保护银行内部网络。

具体地说，银行使用支付网关可以实现以下功能：

1.配置和安装互联网支付能力；

2.避免对现有主机系统的修改；

3.采用直观的用户图形接口进行系统管理；

4.适应诸如扣账卡、电子支票、电子现金以及微电子支付等电子支付手段；

5.提供完整的商户支付处理功能，包括授权、数据捕获和结算及对账等；

6.通过对互联网上交易的报告和跟踪，对网上活动进行监视；

7.通过采用RSA公共密钥加密和SET协议，可以确保网络交易的安全性；

8.使互联网的支付处理过程与当前支付处理商的业务模式相符，确保商户信息管理上的一致性，并为支付处理商进入互联网交易处理提供机会。

（三）公钥基础设施（PKI）

为了保证参与电子商务交易的各个角色身份的真实性和交易的安全性，防止欺诈的发生，人们进行了多年的研究，初步形成了一套完整的电子商务安全解决方案，即公钥基础设施。公钥基础设施（Public Key Infrastructure，PKI），即公钥体系，是一种利用非对称密码算法（即公开密钥算法）原理和技术为电子商务的开展提供一套安全基础平台的技术和规范，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成，它是一种遵循标准的利用公钥加密技术为电子商务、电子政务、网上银行和网上证券的开展提供一整套安全保证的基础平台。

一个安全、有效的公钥基础设施系统主要提供认证、数据完整性、数据保密性、不可否认性、公正及时间戳等方面服务，所以它应该具有的功能包括：公钥数字证书的管理、密钥的备份和恢复、证书撤销表的发布和管理、自动管理历史密钥、自动更新密钥、支持交叉认证。

为了完成以上的功能，公钥基础设施系统至少应该由认证中心CA、证书和证书库、Web安全通信平台、安全的WWW服务器、X.500目录服务器等几部分组成。在这些组成部分中，认证中心是PKI的核心执行机构，是PKI的主要组成部分，它是一个交易各方都信任的权威性和公正性的第三方机构。

一个典型、完整、有效的PKI应用系统至少应具有以下五个部分；

1.认证中心CA

CA是PKI的核心，CA负责管理PKI结构下的所有用户（包括各种应用程序）的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的黑名单登记和黑名单发布，后面有CA的详细描述。

2.X.500目录服务器

X.500目录服务器用于发布用户的证书和黑名单信息，用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。

3.具有高强度密码算法（SSL）的安全WWW服务器

SSL（Secure Socket Layer）协议最初由Netscape企业发展，现已成为网络用来鉴别网站和网页浏览者身份，以及在浏览器使用者及网页服务器之间进行加密通信的全球化标准。

4.Web（安全通信平台）

Web有Web Client和Web Server两部分，分别安装在客户端和服务器端，通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性和身份验证。

5.自开发安全应用系统

自开发安全应用系统是指各行业自开发的各种具体应用系统，例如银行、证券的应用系统等。完整的PKI包括认证政策的制定（包括遵循的技术标准、各CA之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等）、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。

（四）性能优化工具

主要是改善网站服务质量，包括流量管理、动态数据缓存、网络动态负载、知识管理等。

（五）安全服务器

安全服务器是为了保证电子商务系统的数据安全、应用安全和交易安全。