技术领域 本发明涉及钢铁贸易交易系统的数据传输,更具体地指指一种B2B数 据交换系统和数据交换方法。 背景技术 电子商务活动中,存在两个或多个组织实体的信息系统需进行业务数 据交换的应用场景,简称B2B数据交换。这类的数据交换,类似于国际通 行的EDI,但不具备电子数据标准化定义和专用传输网络的条件;也类似 于企业内部系统间的数据集成交换,但不同的是数据交换无法在企业专用 网(Intranet)内进行,需保障数据安全,同时由于进行多组织的数据交换, 数据所属的企业身份有效性,不可抵赖和传输记录的可追溯性显得较为重 要。 目前,在实际使用中的B2B数据交换,主要通过两种方式实现,一类 为基于用户口令的明文传输,通讯方式为WebService,FTP或Http;另 一类是以HTTPS为基础的加密连接。第一类方式,传输方面使用明文传递, 可通过简单的数据包截留读取内容,存在严重的安全隐患;而目前广泛使 用的Https加密通讯,只解决数据加密传输的要求,由于仅使用访问口令, 无法确保口令与用户的对应,抵抗口令猜想式的攻击;也无法通过用户名 口令实现身份的认定和唯一性保障。 目前广泛使用的安全通讯解决方案为加密机,加密机是一个基于安全 的操作系统平台、具有高级通信保密性、完整性保护功能的控制系统。它 是专用软、硬件设备,可具有多个网络接口,可安装于内联网与公共网络 接口处,存储多份数字证书,提供各网络系统之间的加密、认证功能。虽 然加密机类产品已有较多应用,但是,此类设备采购成本高昂,只限于高 端的政府、金融等部门使用,且加密机目前只能支持TCP/IP Socket数据 包通讯方式,通讯接口的二次开发难度大,需较多专业知识,只支持少数 几种程序开发语言,无法适应电子商务环境中多样化的企业软件体系,因 此无法在中小客户中推广使用加密机。 由此,需要一种具有加密机的功能,够能够以较低的成本实现的,适 于中小客户使用的B2B数据交换技术。 发明内容 本发明旨在提供一种实现成本较低,但又能确保数据交换安全性的 B2B数据交换技术。 本发明首先提供一种B2B数据交换系统,包括:面向第一用户的第一 客户端、面向第二用户的第二客户端以及在第一客户端和第二客户端之间 进行数据交换的数据交换服务平台,其中第一用户需要与第二用户进行 B2B数据交换, 第一客户端具有第一内联网接口和第一互联网接口,第一用户通过第 一内联网接口将需要传输的数据提供给第一客户端,第一客户端对数据格 式转换、加密处理并加入第一用户的数字签名后形成第一传输格式数据, 提供给第一互联网接口等待发送;第一客户端进一步读取第一用户的第一 数字证书,将第一数字证书和第一传输格式数据一起通过第一互联网接口 发送给数据交换服务平台;第一客户端还在接收到数据交换服务平台转送 的数据后进行解密和格式恢复操作,还原出原始数据并提供给第一用户; 第二客户端具有第二内联网接口和第二互联网接口,第二用户通过第 二内联网接口将需要传输的数据提供给第二客户端,第二客户端对数据格 式转换、加密处理并加入第二用户的数字签名后形成第二传输格式数据, 提供给第二互联网接口等待发送;第二客户端进一步读取第二用户的第二 数字证书,将第二数字证书和第二传输格式数据一起通过第二互联网接口 发送给数据交换服务平台;第二客户端还在接收到数据交换服务平台转送 的数据后进行解密和格式恢复操作,还原出原始数据并提供给第二用户; 数据交换服务平台包括第一接口和第二接口,第一接口和第二接口都 是互联网接口,分别与第一客户端和第二客户端进行数据交换;数据交换 服务平台通过第一接口接收第一客户端发送的第一传输格式数据和第一数 字证书,根据第一数字证书记录第一用户的信息;数据交换服务平台还通 过第二接口接收第二客户端发送的第二传输格式数据和第二数字证书,根 据第二数字证书记录第二用户的信息;数据交换服务平台根据第一用户的 信息、第一传输格式数据、第二用户的信息、第二传输格式数据建立数据 传输日志,并将第一传输格式数据通过第二接口提供给第二客户端,将第 二传输格式数据通过第一接口提供给第一客户端。 其中的第一数字证书和第二数字证书预先由第一用户和第二用户在数 据交换服务平台中进行注册,数据交换服务平台接收到第一数字证书或第 二数字证书后,查找已经注册的信息作为第一用户的信息或者第二用户的 信息。 第一客户端和第二客户端采用对称加密和非对称加密结合的方法对数 据进行加密,相应的,第二客户端和第一客户端同样采用对称加密和非对 称加密结合的方法对数据进行解密。 本发明还提供一种B2B数据交换方法,包括: 发送方将需要传输的数据通过内联网接口提供给发送方客户端; 发送方客户端将数据进行格式转换、加密处理并加入发送方的数字签 名后形成传输格式数据; 发送方客户端获取发送方的数字证书,将该数字证书和传输格式数据 一起通过互联网接口发送给数据交换服务平台; 数据交换服务平台接收数字证书和传输格式数据; 数据交换服务平台根据该数字证书记录发送方的信息; 数据交换服务平台根据发送方的信息和传输格式数据建立数据传输日 志,并将传输格式数据提供给接收方客户端; 接收方客户端接收传输格式数据,进行格式转换、解密处理,还原出 原始数据后提供给接收方。 其中,数字证书预先在数据交换服务平台中进行注册,所述数据交换 服务平台接收到数字证书后,查找已经注册的信息作为发送方的信息。 发送方客户端采用对称加密和非对称加密结合的方法对数据进行加 密,相应的,接受方客户端采用对称加密和非对称加密结合的方法对数据 进行解密。 本发明的B2B数据交换能够确保很好的数据传输安全性,同时又能够 以较低的成本实现。 附图说明 图1揭示了本发明的B2B数据交换系统的功能框图; 图2揭示了本发明的B2B数据交换方法的流程图; 图3揭示了本发明的B2B数据交换方法的一应用实例的过程。 具体实施方式 首先介绍一下在本发明中所利用的一些技术: 数字证书:使用公钥配对的私钥进行了数字签名的包含用户身份、公 开密钥、有效期等许多相关信息的权威性的电子文件,是一个实体在网上 的电子身份证。数字证书包含的公钥和私钥可以认为是一种加密/解密的算 法凭证,公钥部分可以公开获得和流通,而私钥部分以秘密方式保存于物 理介质中,由物理介质的相关技术保障私钥在真实世界中的唯一存在,不 可复制。 数字签名:基于数字证书的一种信息技术处理,类似与传统的手写签 名保证信息的不可抵赖性。 对称加密算法:对称加密算法中解密和解密使用的是同一个密钥。对 称密钥密码体制是从传统的简单置换、替代密码发展而来的,对称密钥密 码体制从加密模式上可分为序列密码和分组密码两大类:常用的对称加密 算法有:RC4、RC2、IDEA、CAST。 非对称加密算法:非对称加密算法又被称之为公开密钥算法,因为算 法要求公开公私钥对中的公钥给他人。它要求密钥成对出现,一个为公开 密钥,一个为私有密钥,而且不可能从公开密钥推导出私有密钥,用公开 密钥加密的信息只能用私有密钥解密,反之亦然。除加密功能之外,公钥 系统还可提供数字签名。公钥加密算法主要有:RSA、Fertezza、ECC(椭圆 曲线)等。 随机数算法:随机数是指具有确定分布和概率的、位于一定阈值内的 一组数字.除了传统的均匀分布随机数之外,还有非均匀分布随机数,例如二 项分布、Poisson分布和指数分布等。随机数算法是指通过特定的运算方法, 获得随即数的算法。 ebXML:ebXML是联合国贸易简化和电子商务促进中心(UN/CEFACT) 及推进结构化信息标准组织(OASIS)于1999年11月成立的工作组。多 年来,全球一百多个国家,两千多个组织的EDI、XML专家、企业、行业 组织、软件服务商等约5000人参与了ebXML标准的制订工作。ebXML的 远景是提供“一套国际上一致认可的、由通用的XML语法和结构化文件组 成的技术规范,使电子商务简单易操作并且无所不在、最大限度的使用 XML、便于跨行业的B2B、B2C商务交易,促进全球贸易。 FTP:File-Transfer-Protocol的缩写,译为“文件传输协议”。文件传 输是指将文件从一台计算机上发送到另一台计算机上,传输的文件可以包 括电子报表、声音、编译后的程序以及字处理程序的文档文件。如果用户 要将一个文件从自己的计算机上发送到另一台计算机上,就应使用FTP上 载(upload)或(put)。而更多种的情况是用户使用FTP下载(download) 或获取(get)文件及管理文件进行文件删除、更名、移动。 WebService:Web Service是一个应用程序,它向外界暴露一个能够 通过Web进行调用的API,这就是说,能够用编程的方法通过web调用来 实现某个功能的应用程序。Web Service是一种新的Web应用程序分支, 它们是自包含、自描述,模块化的应用,可以在网络中被描述、发布、查 找以及通过Web调用服务器系统也就是采用这种传输系统以达到用户可 以直接针对自己虚拟主机进行文件的操作。 参考图2所示,本发明提供一种B2B数据交换方法,包括下述的步骤: 21.发送方将需要传输的数据通过内联网接口提供给发送方客户端; 22.发送方客户端将数据进行格式转换、加密处理并加入发送方的数 字签名后形成传输格式数据; 23.发送方客户端获取发送方的数字证书,该数字证书来自于保存该 数字证书的物理介质,发送方客户端将该数字证书和传输格式数据一起通 过互联网接口发送给数据交换服务平台; 24.数据交换服务平台接收数字证书和传输格式数据; 25.数据交换服务平台根据该数字证书记录发送方的信息; 26.数据交换服务平台根据发送方的信息和传输格式数据建立数据传 输日志,并将传输格式数据提供给接收方客户端; 27.接收方客户端接收传输格式数据,进行格式转换、解密处理,还 原出原始数据后提供给接收方。 其中,数字证书是预先在数据交换服务平台中进行注册,注册时注册 的信息包含了使用该数字证书的用户的信息,当数据交换服务平台接收到 数字证书后,直接查找已经注册的信息,并将已经注册的信息作为发送方 的信息。 发送方客户端采用对称加密和非对称加密结合的方法对数据进行加 密,相应的,接受方客户端采用对称加密和非对称加密结合的方法对数据 进行解密。 图3揭示了本发明的B2B数据交换方法的一应用实例的过程。具体的 过程如下: 加密发送的过程包括: (1)处,使用随机数算法生成128位长随机密钥radomKey。 (2)处,使用随机密钥radomKey和对称加密算法(SHA1)对需要 传输的原文FileText进行对称加密,生成密文cptText。 (3)处,使用接收方的数字证书公钥的非对称加密算法将随机密钥 radomKey加密为密钥Key。 (4)处,使用发送方私钥对密文cptText生成数字签名Signature。 (5)处,通过数据交换系统,以FTP或者WEB SERVICE的方式将密 文cptText和密钥Key,数字签名Signature组成一个数据包存入接收方的 待读数据区。 接收解密的过程包括: (6)处,使用发送方公钥验证数字签名Signature有效性,确定数据 真实有效。 (7)处,使用接收方的私钥和非对称算法解密密钥Key,运算获得随 机密钥radomKey。 (8)处,使用随机密钥radomKey和对称加密算法解密密文cptText, 获得原文FileText。 对于用户数字证书,可以采用如下方式进行管理: 基于数字认证安全体系,遵循CA中心提出的数字证书服务构建与管 理流程,由第三方建立数字证书应用服务系统,提供第三方CA服务,证 书注册管理(RA)、数字签名服务。同时由第三方负责证书管理,保证系 统安全不间断地提供证书的申请和作废,提供用户信息和证书的备份和归 档,保证系统数据的完整性。 用户提供注册信息,由第三方发放数字证书,同时在B2B数据加密交 换系统中注册用户和证书对应关系; 用户收到USB-KEY和密码信封; 访问数字签名应用系统,使用USB-KEY,拆开密码信封,输入原始密 码进行用户注册; 注册信息通过管理员审核,开始正式使用证书; 用户可在签名系统中修改用户信息和证书密码。 参考图1所示,本发明还提供一种B2B数据交换系统,包括:面向第 一用户的第一客户端、面向第二用户的第二客户端以及在第一客户端和第 二客户端之间进行数据交换的数据交换服务平台,其中第一用户需要与第 二用户进行B2B数据交换,需要说明的是,此处假设第一用户和第二用户 都有数据需要传输给对方,即第一用户和第二用户相互互为接收方和发送 方。 第一客户端11具有第一内联网接口111和第一互联网接口112。第一 用户10通过第一内联网接口111将需要传输的数据提供给第一客户端11, 第一客户端11对数据格式转换、加密处理并加入第一用户10的数字签名 后形成第一传输格式数据,提供给第一互联网接口112等待发送。第一客 户端11进一步读取第一用户10的第一数字证书,该第一数字证书来自保 存有第一数字证书的物理介质113,该物理介质113归第一用户10所有。 将第一数字证书和第一传输格式数据一起通过第一互联网接口112发送给 数据交换服务平台13。第一客户端11还在接收到数据交换服务平台13转 送的数据后进行解密和格式恢复操作,还原出原始数据并提供给第一用户 10。 第二客户端12具有第二内联网接口121和第二互联网接口122,第二 用户14通过第二内联网接口121将需要传输的数据提供给第二客户端12, 第二客户端12对数据格式转换、加密处理并加入第二用户14的数字签名 后形成第二传输格式数据,提供给第二互联网接口122等待发送;第二客 户端12进一步读取第二用户14的第二数字证书,该第二数字证书来自保 存有第二数字证书的物理介质123,该物理介质123归第二用户14所有。 将第二数字证书和第二传输格式数据一起通过第二互联网接口122发送给 数据交换服务平台13;第二客户端12还在接收到数据交换服务平台13转 送的数据后进行解密和格式恢复操作,还原出原始数据并提供给第二用户 14; 数据交换服务平台13包括第一接口131和第二接口132,第一接口 131和第二接口132都是互联网接口,分别与第一客户端11和第二客户端 12进行数据交换;数据交换服务平台13通过第一接口131接收第一客户 端11发送的第一传输格式数据和第一数字证书,根据第一数字证书记录第 一用户10的信息;数据交换服务平台13还通过第二接口132接收第二客 户12端发送的第二传输格式数据和第二数字证书,根据第二数字证书记录 第二用户14的信息;数据交换服务平台13根据第一用户10的信息、第 一传输格式数据、第二用户14的信息、第二传输格式数据建立数据传输日 志,并将第一传输格式数据通过第二接口132提供给第二客户端12,将第 二传输格式数据通过第一接口131提供给第一客户端11。 其中,第一数字证书和第二数字证书预先由第一用户和第二用户在数 据交换服务平台中进行注册,数据交换服务平台接收到第一数字证书或第 二数字证书后,查找已经注册的信息作为第一用户的信息或者第二用户的 信息。 第一客户端和第二客户端(作为发送方时)采用对称加密和非对称加 密结合的方法对数据进行加密,相应的,第二客户端和第一客户端(作为 接收方时)同样采用对称加密和非对称加密结合的方法对数据进行解密。 本发明的B2B数据交换能够确保很好的数据传输安全性,同时又能够 以较低的成本实现。