電子商務(wù)安全結(jié)構(gòu)管理

前言：本站為你精心整理了電子商務(wù)安全結(jié)構(gòu)管理范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

[摘要]針對(duì)目前電子商務(wù)的安全技術(shù)中的高代價(jià)和弱互操作性已經(jīng)成為了解決信息安全的瓶頸問(wèn)題，本文提出了基于XML的電子商務(wù)安全架構(gòu)。它的設(shè)計(jì)思想是將信息運(yùn)用XML描述，然后針對(duì)XML中敏感信息進(jìn)行加密簽名等安全處理，架構(gòu)中的XML組件從整個(gè)應(yīng)用系統(tǒng)中分離出來(lái)成為通用插件，使兩者成為一種松耦合的關(guān)系，提高了軟件的可重用性。

[關(guān)鍵詞]電子商務(wù)XML安全SOAP

一、引言

電子商務(wù)源于英文ELECTRONICCOMMERCE，指的是利用簡(jiǎn)單、快捷、低成本的電子通訊方式，買(mǎi)賣(mài)雙方不是面對(duì)面地進(jìn)行各種商貿(mào)活動(dòng)。電子商務(wù)可通過(guò)多種電子通訊方式來(lái)完成，但現(xiàn)在人們所探討的電子商務(wù)主要是以EDI和Internet來(lái)完成的，作為一種新型的商務(wù)模式，電子商務(wù)具有普遍性、方便性、整體性、安全性、協(xié)調(diào)性等特征。隨著全球貿(mào)易信息化進(jìn)程地不斷深入的同時(shí)，也使經(jīng)濟(jì)和社會(huì)面臨著日益嚴(yán)重的信息安全威脅。電子商務(wù)的安全要素很多，歸納起來(lái)，主要有信息的機(jī)密性，信息的完整性，不可抵賴(lài)性及身份認(rèn)證性四種，其他還有數(shù)據(jù)傳輸?shù)目煽啃砸约耙恍┤藶榈囊蛩兀绲赖滤刭|(zhì)和法制觀念。

現(xiàn)有的電子商務(wù)安全體系，普遍來(lái)看，他們都包括硬件防火墻等安全硬件，通過(guò)SSL等協(xié)議構(gòu)建的安全傳輸層，通過(guò)以服務(wù)器構(gòu)建的安全認(rèn)證系統(tǒng)，還有審計(jì)服務(wù)構(gòu)成的安全管理層。這是一個(gè)復(fù)合、網(wǎng)狀、立體的安全防護(hù)系統(tǒng)。當(dāng)然，它提供了一個(gè)硬件為基礎(chǔ)的安全防護(hù)網(wǎng)具有非常高的安全性。但是硬件投資的成本是非常高昂的，如果能夠在保證安全系數(shù)的情況下作軟件的替換無(wú)疑對(duì)安全系統(tǒng)的成本降低有著很大的作用。

二、電子商務(wù)安全技術(shù)

電子商務(wù)的核心問(wèn)題就是交易的安全性是否能夠得到保證，電子商務(wù)處理過(guò)程中的安全保障技術(shù)，包括數(shù)據(jù)安全、網(wǎng)絡(luò)安全和系統(tǒng)安全。目前已提出的大部分用于Internet的電子商務(wù)協(xié)議表明，在電子商務(wù)的交易過(guò)程中客戶(hù)可能會(huì)損失他們的金錢(qián)或泄漏他們的秘密。為了保護(hù)客戶(hù)的金錢(qián)和隱私，Internet的交易必須做到安全、可靠、信任和匿名，要保證電子商務(wù)中的數(shù)據(jù)安全目前主要采用兩種技術(shù)：加密技術(shù)與認(rèn)證技術(shù)。

數(shù)據(jù)作為信息的載體，其安全性是電子商務(wù)安全性的基礎(chǔ)，而數(shù)據(jù)加密是信息加密的主要手段。目前，加密算法很多，根據(jù)密鑰性質(zhì)不同，可分為傳統(tǒng)密碼體制和公開(kāi)密鑰密碼體制兩大類(lèi)。傳統(tǒng)密碼體制中最有代表性、使用最廣泛的是1997年美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布的DES算法。現(xiàn)代公開(kāi)密鑰密碼體制中，加密密鑰與解密密鑰是不相同的，加密密鑰對(duì)于解密過(guò)程并不適用。在公開(kāi)密鑰密碼體制中又稱(chēng)為非對(duì)稱(chēng)密碼體制，這種密碼體制的代表是RSA體制，這是目前主要的密碼體制。

采用認(rèn)證技術(shù)可以直接滿(mǎn)足身份認(rèn)證、信息完整性、不可否認(rèn)和不可修改等多項(xiàng)網(wǎng)上交易的安全需求，較好地避免了網(wǎng)上交易面臨的假冒、篡改、抵賴(lài)、偽造等種種威脅。認(rèn)證技術(shù)主要涉及身份認(rèn)證和報(bào)文認(rèn)證兩個(gè)方面的內(nèi)容。身份認(rèn)證用于鑒別用戶(hù)的身份，報(bào)文認(rèn)證用于保證通信雙方的不可抵賴(lài)性和信息的完整性。目前，在電子商務(wù)中廣泛使用的認(rèn)證方法和手段主要有數(shù)字簽名、數(shù)字摘要、數(shù)字證書(shū)、安全認(rèn)證體系，以及其他一些身份認(rèn)證技術(shù)和報(bào)文認(rèn)證技術(shù)。

三、基于XML的電子商務(wù)安全架構(gòu)

1.體系結(jié)構(gòu)

根據(jù)現(xiàn)有的電子商務(wù)安全體系的優(yōu)缺點(diǎn)之后，我們提出了基于XML組件的電子商務(wù)安全體系。如下圖所示。

這種基于XML組件的電子商務(wù)安全體系主要是在安全認(rèn)證層和安全管理層之間加入了XML安全組件。

(1)XML加密：提供對(duì)電子商務(wù)數(shù)據(jù)信息的XML加密和解密。能夠根據(jù)應(yīng)用的需要選擇加密粒度，實(shí)現(xiàn)多方位的加密解密訪(fǎng)問(wèn)。同時(shí)部分加密可以使XML文檔能夠進(jìn)行文檔的分級(jí)訪(fǎng)問(wèn)，也就是說(shuō)同一份文檔對(duì)于不同權(quán)限的用戶(hù)看到的內(nèi)容是不同的。

(2)XML簽名:對(duì)XML文檔進(jìn)行簽名以及簽名驗(yàn)證，為電子商務(wù)提供確認(rèn)性和不可否認(rèn)的服務(wù)。

(3)XKMS:提供類(lèi)似于PKI的密鑰管理功能。XML密鑰管理規(guī)范(XMLKeyManagementSpecification，XKMS)為訪(fǎng)IA和集成公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure，PKI)擬出了一種容易的機(jī)制。

(4)SAML和XACML：提供可遷移的信任體系和XML資源操作的權(quán)限控制。XML密鑰管理規(guī)范(XMLKeyManagementSpecification,XKMS)使得安全性基礎(chǔ)設(shè)施易于管理，而安全性斷言標(biāo)記語(yǔ)言(SecurityAssertionMarkupLanguage,SAML)則使信任可以移植。XACML是用來(lái)決定是否允許一個(gè)請(qǐng)求使用一項(xiàng)資源，比如它是否能使用整個(gè)文件，多個(gè)文件，還是某個(gè)文件的一部分。

(5)SOAP：提供基于SOAP協(xié)議的XML信息傳輸服務(wù)。SOAP(SimpleObjectAccessProtocol，簡(jiǎn)單對(duì)象訪(fǎng)問(wèn)協(xié)議)技術(shù)有助于實(shí)現(xiàn)大量異構(gòu)程序和平臺(tái)之間的互操作性，從而使存在的應(yīng)用能夠被廣泛的用戶(hù)所訪(fǎng)問(wèn)。SOAP是把成熟的基于HTTP的WEB技術(shù)與XML的靈活性和可擴(kuò)展性組合在一起。

2.工作流程

XML組件的構(gòu)架設(shè)置客戶(hù)機(jī)－客戶(hù)端網(wǎng)關(guān)（XML組件）－服務(wù)端網(wǎng)關(guān)（XML組件）－Web服務(wù)器的形式提供服務(wù)。我們假設(shè)客戶(hù)機(jī)和客戶(hù)端網(wǎng)關(guān)服務(wù)器在同一內(nèi)網(wǎng)之中，客戶(hù)端發(fā)送的請(qǐng)求信息以SOAP信息結(jié)構(gòu)的形式發(fā)往客戶(hù)端網(wǎng)關(guān)服務(wù)器。在客戶(hù)端網(wǎng)關(guān)服務(wù)器中對(duì)請(qǐng)求的SOAP信息進(jìn)行加密和簽名處理然后通過(guò)公網(wǎng)發(fā)送往服務(wù)端網(wǎng)關(guān)服務(wù)器。在服務(wù)端網(wǎng)關(guān)服務(wù)器中對(duì)剛才的SOAP信息進(jìn)行解密和簽名驗(yàn)證等處理，然后將原始的請(qǐng)求SOAP信息發(fā)送往Web服務(wù)器。這樣就完成了一個(gè)單向的傳輸過(guò)程，服務(wù)端往客戶(hù)端發(fā)送應(yīng)答信息就是一個(gè)反向的過(guò)程。

我們可以把安全信道當(dāng)作企業(yè)的內(nèi)網(wǎng)系統(tǒng)。把XML組件服務(wù)器看成是內(nèi)網(wǎng)之間的網(wǎng)關(guān)。信息在內(nèi)網(wǎng)中傳遞是安全的，但是在內(nèi)網(wǎng)之間的傳遞確實(shí)存在不安全因素的。通過(guò)XML組件就可以解決問(wèn)題。

四、基于XML組件的安全架構(gòu)的優(yōu)勢(shì)

基于XML組件的電子商務(wù)安全體系主要使用XML安全組件取代了傳統(tǒng)安全體系模型中的安全認(rèn)證層和安全傳輸層。比較傳統(tǒng)的安全模型有如下優(yōu)勢(shì)。

1.數(shù)據(jù)的粗粒度性

在XML安全電子商務(wù)體系中，無(wú)論消息單位是XML文件還是二進(jìn)制附件，它們都是經(jīng)過(guò)加密或簽名的，或者既經(jīng)過(guò)加密又包含簽名的。對(duì)于XML文檔來(lái)說(shuō)，由于XML的結(jié)構(gòu)化特性，具體的操作可能具有高度的粗粒度性。

2.信息的部分加密

傳統(tǒng)的加密技術(shù)總是趨向于把整個(gè)信息文件進(jìn)行整體的加密，然后傳輸，到達(dá)目的地后再進(jìn)行整體解密。而XML加密解密的特點(diǎn)就是，可以針對(duì)信息中的每一特定部分進(jìn)行解密，提高加密效率，如對(duì)銀行卡號(hào)進(jìn)行XML加密得到以下密文：

JackyKong

xmlns=’/2001/04/xmlenc#’Type=’/2001/04/xmlenc#Content’>

A2B45C56

BankoftheInternet

04/06

3.簡(jiǎn)單的信任遷移和訪(fǎng)問(wèn)控制

SAML是一個(gè)由OASIS驅(qū)動(dòng)的模型，它嘗試融合相互競(jìng)爭(zhēng)的AuthML和S2ML規(guī)范，使認(rèn)證和授權(quán)信息的互換便于進(jìn)行。“可擴(kuò)展訪(fǎng)問(wèn)控制標(biāo)記語(yǔ)言”是與SAML緊密相關(guān)的，但它更著重于特定XML文檔的上下文中的面向主題特權(quán)對(duì)象的安全性模型，它也由OASIS指導(dǎo)，又是被稱(chēng)為XACML或XACL(即使在同一些文檔中)。通過(guò)用XACL編寫(xiě)規(guī)則，策略制訂者可以定義，對(duì)于特定XML文檔和前面所述的情況中的相關(guān)事情，由誰(shuí)來(lái)實(shí)施哪些訪(fǎng)問(wèn)特權(quán)。

4.更安全的傳輸

將安全性應(yīng)用于有效負(fù)荷可以解決傳輸層機(jī)制不能很好處理的安全性問(wèn)題，例如安全特性的持久性。XML安全性機(jī)制在Web服務(wù)協(xié)議中使用廣泛。他們幫助為長(zhǎng)時(shí)間運(yùn)行的事務(wù)或者以多次反射方式涵蓋多種域的事務(wù)提供持久性認(rèn)證、數(shù)據(jù)加密和發(fā)送方驗(yàn)證。XML安全性的用途包括剩余數(shù)據(jù)保護(hù)，即數(shù)據(jù)經(jīng)過(guò)簽名和加密之后再插入到數(shù)據(jù)庫(kù)中。

綜上所述，XML安全層設(shè)計(jì)符合電子商務(wù)信息的加密性(XML加密解密)、完整性(XML簽名)、不可否認(rèn)性(XKMS體系)、訪(fǎng)問(wèn)權(quán)限性(XACML)這些要求，能夠?yàn)楝F(xiàn)代電子商務(wù)提供保障。

五、小結(jié)

本文對(duì)電子商務(wù)的概念及其安全性作了相關(guān)的說(shuō)明。然后，針對(duì)現(xiàn)有安全體系的不足，我們?cè)O(shè)計(jì)了基于XML組件的電子商務(wù)安全體系。設(shè)計(jì)思想是將信息運(yùn)用XML描述，然后針對(duì)XML中敏感信息進(jìn)行加密簽名等安全處理。架構(gòu)中的XML組件從整個(gè)應(yīng)用系統(tǒng)中分離出來(lái)成為通用組件，使兩者成為一種松散耦合的關(guān)系，提高了軟件的可重用性。并且詳細(xì)地說(shuō)明了基于XML的電子商務(wù)安全體系的優(yōu)勢(shì)。