ERP解決方案

當前位置：工程項目OA系統(tǒng) > ERP系統(tǒng) > ERP設計運用 > ERP解決方案

erp項目實施解決方案

　　ERP的應用系統(tǒng)中，置入東方中訊PKI/CA體系或企業(yè)自建PKI/CA體系，實現(xiàn)安全可信的企業(yè)信息系統(tǒng)。CA認證體系框架如圖2-1所示：

　　圖2-1 CA認證體系

　　2.3.2 網(wǎng)絡架構

　　企業(yè)安全體系由安全接入網(wǎng)關和CA認證體系(包括簽名取證系統(tǒng)、證書應用中間件、簽名驗證服務器、電子簽章系統(tǒng)、時間戳服務器、時間源服務器、安全存儲系統(tǒng)、加密機)組成，為ERP系統(tǒng)提供身份認證、訪問控制、數(shù)據(jù)傳輸加密、數(shù)字簽名、電子簽章、安全存儲等于一體的安全解決方案。企業(yè)體系網(wǎng)絡架構如圖2-2所示：

　　圖2-2 企業(yè)安全體系網(wǎng)絡架構圖

　　網(wǎng)絡結構圖說明：

　　1) ERP系統(tǒng)端前置安全接入網(wǎng)關

　　l 實現(xiàn)用戶安全接入：基于數(shù)字證書的用戶真實身份鑒別和嚴格的訪問控制策略保證合法的用戶安全接入網(wǎng)絡，阻止非法用戶訪問;

　　l 實現(xiàn)ERP系統(tǒng)單點登錄：用戶在成功登陸網(wǎng)關后，用戶在訪問其他的應用系統(tǒng)時，網(wǎng)關可以進行模擬代填或將用戶信息傳遞給后臺服務器實現(xiàn)自動登錄功能，用戶只需要登錄一次就可以訪問所授權的應用系統(tǒng)，降低企業(yè)管理成本。

　　2) 客戶端與安全接入網(wǎng)關通過SSL安全鏈路通信，保證信息傳輸過程中的機密性、完整性和可信性;

　　3) CA認證體系為ERP系統(tǒng)提供對敏感數(shù)據(jù)的加密和安全存儲，對關鍵審批環(huán)節(jié)的電子簽名和電子簽章的功能，在發(fā)生糾紛時，能從簽名取證系統(tǒng)快速獲取簽名數(shù)據(jù)，提供有效的電子證據(jù)。

　　2.1 企業(yè)ERP系統(tǒng)安全保障體系

　　CA管理員通過數(shù)字證書簽發(fā)系統(tǒng)給企業(yè)用戶簽發(fā)數(shù)字證書，以及相應的CA認證產(chǎn)品(含簽名取證系統(tǒng)、證書應用中間件、簽名驗證服務器、電子簽章系統(tǒng)、時間戳服務器、時間源服務器、安全存儲系統(tǒng)、加密機)建立PKI/CA安全信任體系，實現(xiàn)用戶身份的真實性，信息傳輸?shù)陌踩煽啃?、操作的不可抵賴性。CA安全認證體系由可信身份認證、安全傳輸通道、可信電子簽名、可信電子簽章、數(shù)據(jù)安全存儲、可信時間戳簽名等子體系組成。各子體系詳細內容如下：

　　2.4.1可信身份認證體系

　　可信身份認證體系是密碼設備、數(shù)字證書、安全接入網(wǎng)關、簽名取證系統(tǒng)、證書應用中間件、ERP系統(tǒng)共同構建。用戶安全訪問ERP系統(tǒng)的流程如圖2-3所示：

　　2.4.2 安全傳輸通道

　　客戶端與ERP系統(tǒng)之間使用SSL協(xié)議(Security Socket Layer安全套接層協(xié)議)。SSL協(xié)議用于建立用戶與服務器之間的加密通信，確保所傳遞信息的機密性和安全性。SSL安全機制是依靠數(shù)字證書來實現(xiàn)，基于公用密鑰和私人密鑰，用戶使用公用密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須使用相應的私人密鑰。

　　使用SSL安全機制的通信過程如下：用戶與服務器建立連接后，服務器會把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會話密鑰，并用公共密鑰對會話密鑰進行加密，然后傳遞給服務器，服務器端用私人密鑰進行解密，這樣，用戶端和服務器端就建立了一條安全通道，只有SSL允許的用戶才能與服務器進行通信，從而解決了客戶端與ERP系統(tǒng)服務器之間信息加密傳輸?shù)膯栴}。

　　用戶登錄ERP系統(tǒng)后，用USBKEY對財務數(shù)據(jù)、重要數(shù)據(jù)等審批意見進行數(shù)字簽名。流程說明如下：

　　1) 客戶端和安全接入網(wǎng)關平臺完成雙向身份認證，建立SSL通道;

　　2) 用戶利用數(shù)字證書對提交的電子單據(jù)進行數(shù)字簽名;

　　3) 已簽名的數(shù)據(jù)通過SSL通道加密傳輸?shù)紼RP系統(tǒng);

　　4) ERP系統(tǒng)獲取用戶的電子訂單信息及其數(shù)字簽名;

　　5) ERP服務器調用簽名驗證服務器的驗證函數(shù)接口，驗證用戶身份、簽名數(shù)據(jù)的完整性和有效性;

　　6) 驗證通過后將電子簽名、簽名數(shù)據(jù)存儲于簽名取證系統(tǒng);

　　7) CA認證平臺向ERP服務器返回簽名結果;

　　8) ERP系統(tǒng)向客戶端返回結果。

　　電子簽名體系具有以下特點：

　　Ø 電子取證、驗證流程快捷、方便;

　　Ø 通用性好：客戶端只需通過調用接口調用證書服務，可以支持采用C/C++、Java、C#等主流開發(fā)語言開發(fā)的程序。支持標準的證書、數(shù)字簽名加解密算法;

　　Ø 支持雙向簽名：客戶端和服務器端均具備簽名、驗簽名功能，可以用來實現(xiàn)雙向、多次簽名的高安全級別方案;

　　Ø 支持時間戳應用：支持時間戳服務;

　　Ø 支持安全存儲：支持對重要數(shù)據(jù)加密存儲于簽名取證系統(tǒng)中。

　　2.4.4 可信電子簽章體系

　　ERP系統(tǒng)業(yè)務的審批流程中，使用電子簽章對流程的關鍵審批環(huán)節(jié)加蓋電子簽章，形象模擬現(xiàn)實紙質審批流程，同時對簽章文件或數(shù)據(jù)進行保護。電子簽章體系是由證書介質、數(shù)字證書、簽章應用中間件、電子簽章系統(tǒng)、ERP系統(tǒng)組成。電子簽章流程如圖2-5所示：

　　2.5.1 需求分析

　　移動電子辦公如何有效的解決身份認證、交易數(shù)據(jù)的完整、保證交易的安全性及不可否認性，都是客戶以及電商企業(yè)最關心的問題。

　　1. 關于通信安全需求

　　傳統(tǒng)的有線網(wǎng)絡是利用通信電纜作為傳播介質，這些介質大部分處于地下等比較安全的場所，因此中間的傳輸區(qū)域相對是受控制的。而在無線通信網(wǎng)絡中，

　　所有的通信內容(如移動用戶的通話信息、身份信息、位置信息等)都是通過無

　　線信道傳送的，無線信道是一個開放性信道，其利用無線電波進行傳播的特性，

　　使得任何個人和組織不需要申請就可以進行通信。在無線網(wǎng)絡中的信號很容易受到攔截并被解碼，只要具有適當?shù)臒o線接收設備就可以很容易實現(xiàn)無線竊聽，而且很難被發(fā)現(xiàn)。這對于移動電子商務的信息安全構成了潛在威脅。

　　2. 關于審批權限的安全需求

　　如何保障企業(yè)的審批安全，避免權利被盜用風險，是企業(yè)面臨的第二大主要問題，這也是無紙化辦公的重要原因之一。利用ERP系統(tǒng)進行審批必然會

　　涉及到網(wǎng)上審批，網(wǎng)上審批是目前企業(yè)辦公發(fā)展的一個重點。而在網(wǎng)上審批過程

　　中存在著被黑客通過木馬等惡意程度進行偽造、假冒和復制的風險，從而損害企業(yè)利益，同時也對企業(yè)信譽造成不良影響。

　　3. 關于身份認證的需求

　　在無線通信網(wǎng)絡中，移動站與網(wǎng)絡控制中心以及其它移動站之間不存在固定的物理連接，移動站必須通過無線信道傳送用戶的身份信息。由于無線信道信息傳送過程可能被竊聽，當攻擊者截獲到一個合法用戶的身份信息時，他就可以利用這個信息來冒充該合法用戶的身份進行網(wǎng)上審批，這就是所謂的身份冒充攻擊。

　　2.5.2 基于PKI/CA移動終端安全解決方案

　　1. 基于數(shù)字證書和安全接入網(wǎng)關的身份認證安全

　　移動辦公平臺屬于一種 C/S 或B/S的架構系統(tǒng)，不能直接集成證書應用。為此，可以提供證書應用開發(fā)接口(API)幫助用戶進行證書功能的集成，以下將從安全原理、安全構架、證書應用開發(fā)接口(API)和具體流程分別介紹應用系統(tǒng)集成方案。

　　1) 雙向身份認證

　　實現(xiàn)雙向身份認證的原理是通過雙向認證的加密通道來實現(xiàn)。在實現(xiàn)雙向身份認證時，專用客戶端需要對證書進行處理，包括完成服務器證書的驗證，讓用戶選擇證書進行提交等。

　　2) 信息抗抵賴

　　數(shù)據(jù)傳輸?shù)目沟仲囆砸彩峭ㄟ^數(shù)字簽名技術來實現(xiàn)的，信息抗抵賴需要增加下列模塊：

　　3) 安全集成架構

　　根據(jù)上述安全原理，采用證書應用開發(fā)接口(API) ，對移動辦公系統(tǒng)進行安全集成，系統(tǒng)安全架構如下圖所示：

　　系統(tǒng)安全集成涉及的證書應用接口包括：

　　2. 基于數(shù)字證書及簽名驗證服務器的數(shù)據(jù)安全

　　基于移動互聯(lián)網(wǎng)的各種公文、訂單、用戶身份敏感信息和交易敏感信息等都需要保證內容被加密和不可被篡改。和身份認證一樣，在移動平臺，同樣需要開發(fā)相應的中間件產(chǎn)品支持上層應用和下層外設(如雙接口 Key 或 TF 卡等)以實現(xiàn)對 iOS、Android 等系統(tǒng)的數(shù)字證書應用支持。之后才可以使用數(shù)字證書完成對以上信息實現(xiàn)數(shù)據(jù)加密和數(shù)字簽名以及驗簽，以保障信息的完整性和保密性。目前提供支持 iOS 與 Android 系統(tǒng)的上層證書管理與應用中間件，支持軟證書與硬件證書進行 SSL 雙向身份認證與數(shù)字簽名?？梢允褂脩敉ㄟ^使用自己的證書(私鑰)來對交易過程中所要提交的表單內容進行簽名，在客戶端能夠實現(xiàn)對字符串、文件的簽名，并能夠驗證來自服務器端的簽名。

發(fā)布：2010-04-19 11:16 編輯：泛普軟件 · zhangyan [打印此頁] [關閉]

相關欄目：