電子商務系統開發過程中的安全設計

[摘要] 安全設計是開發電子商務系統的關鍵問題之一。其核心在于后臺的數據訪問控制和前端Web頁面的訪問控制。本文在描述并分析了目前主流的基于角色的數據訪問控制和基于ASP.Net技術的Web頁面訪問控制的基礎上，提出了基于數據和Web頁面雙重訪問控制的安全模型——DWACBSM（Data and Web Access Control Based Security Model）。

[關鍵詞] 電子商務系統 開發 安全 設計

一、問題的提出

就目前主流B/S（Browser/Server，瀏覽器/服務器）模式的電子商務系統開發設計而言，其對應的安全模塊設計主要包括兩方面的工作：其一是對后臺數據的安全訪問控制；其二是對Web頁面的訪問控制。但在系統的具體開發過程中，兩者并非孤立而是彼此關聯地分布在B/S模式所對應的三層結構（表示層、應用層、數據層）的每一個層次之中。

目前流行的數據訪問控制方式是基于角色的訪問控制(RBAC，Role base access control)；而微軟的基于.Net技術的Web認證方式可方便地實現對Web頁面的安全訪問控制。在具體的開發過程中可將兩者有效結合，實現所謂基于數據和Web雙重訪問控制的安全模型——DWACBSM(Data and Web Access Control Based Security Model)。

二、基于角色的數據訪問控制（RBAC）

RBAC的核心思想在于：對數據訪問的“許可 (Permission)”權限被分配給特定的角色，而角色可被指派（賦予）給不同的用戶，不允許用戶直接與許可關聯。RBAC對數據訪問的“許可 (Permission)”權限由數據庫管理員統一管理，并可根據實際需要定義不同的角色；用戶根據其職能和責任被指派（賦予）給相應的角色并取得角色所具有的許可權限。

RBAC安全策略具有下列優點:大大降低了數據庫管理員的工作量和工作的復雜度。數據訪問的權限分配通常是管理員的一項繁重工作，而在RBAC中根據用戶的實際工作崗位將用戶與角色相關聯。一方面，定義、添加、刪除角色中的用戶易于操作。另一方面可以通過更改角色的權限實現對大批量用戶權限的更新。在實際系統中，由于用戶角色的數量總是遠遠少于用戶的數量，而且角色也相對穩定，用戶的變化則相對頻繁，所以RBAC的管理代價是很小的。

系統管理員可以通過定義角色、角色分層、角色限制來實現廣泛、復雜的安全策略。在具體電子商務系統實現過程中，可設計下列通用的數據庫邏輯模型，以配合RBAC安全策略的實施。

數據訪問控制的管理可以分兩個層次來設計，一是用戶和角色的管理，這是系統管理員的工作；二是對用戶及用戶操作合法性的確認。

1.用戶與角色的管理

系統管理員的系統操作集可定義為：

SystemOperation={addUser，delUser，updateUser，AddRole，delRole，updateRole，addPermissionAssignment，DelPermissionAssignment，addRoleAssignment，delRoleAssignment}

即分別為：添加用戶、刪除用戶、更新用戶、添加角色、刪除角色、更新角色、為角色增加學科、刪除角色的某個許可、為用戶分配角色、取消用戶的某個角色。在具體數據庫設計時可設計相應函數來加以實現。

2.用戶及用戶操作合法性的確認

對用戶身份的認證是通過對“用戶→口令”的檢查來實現的。一旦用戶通過認證，就為用戶產生一個有效的“票據”，該票據是用戶進行系統訪問的“通行證”。

通過認證的用戶，每次訪問敏感數據前都要進行許可檢查。這個過程是通過查詢UserRole表和ACL來完成。只有當該用戶對應的角色具有目標數據的操作許可，并且角色可以訪問的密級不低于數據的固有密級時，認證才能通過。這個過程可考慮使用下述自定義的函數實現：

IsPermission(ticket，operation，objiect)：確認用戶user對目標數據object是否具有操作operation的許可權力，其中ticket是用戶的票據。

在具體實現的過程中，如采用.Net作為開發平臺，考慮到.Net架構的CLR（Common Language Runtime，通用語言運行環境）針對SQL Server進行了優化，故選用SQL Server數據庫是效率很高的一種方式。

三、WEB頁面的訪問控制

對Web頁面訪問控制的目的在于防止敏感頁面的非法訪問。Web頁面訪問控制是在表示層實現的。如采用Asp.Net技術來設計系統的表示層時，需分成兩個部分來設計：其一是用戶的認證與授權；其二是根據用戶權限定制網頁。

對Web訪問的認證方式是和系統選用的開發標準向關聯的。考慮到微軟的Asp.Net技術提供了更靈活的方式，并易于實現。

四、基于數據和Web頁面的雙重訪問控制

上述基于RBAC的數據訪問控制策略和Web頁面的認證和授權，組成了本文所提出的基于數據和Web雙重訪問控制的安全模型——DWACBSM（Data and Web Access Control Based Security Model）。

系統的安全模型由數據訪問控制和Web訪問控制兩個部分組成。數據訪問控制是安全模型的主要部分，它管理用戶認證、訪問特許權檢查工作。其中特許權檢查模塊是數據訪問模塊對外的接口。當用戶調用特許權檢查模塊時，特許權檢查模塊把用戶票據、目標對象名稱、操作分別傳給用戶管理模塊和目標管理模塊，如果口令非法或者目標對象不存在，則立即通知特許權檢查模塊；否則用戶管理模塊將用戶ID、目標對象管理模塊、目標ID和操作代碼傳給用戶角色管理模塊，用戶角色管理模塊通過檢查用戶所屬角色并查詢ACL來確定用戶是否具有操作許可，完成后把許可信息反饋給特許檢查模塊，特許檢查模塊根據存取規則到目標對象管理模塊中獲取數據。

參考文獻:

[1]吳晨孫少波葉莞:ASP.NET數據庫項目案例導航.清華大學出版社，2004

[2]齊治昌譚慶平寧洪:軟件工程.高等教育出版社，2004

[3]Joe MartinBrett Tomson:循序漸進 ASP.NET程序設計.中國青年出版社，2001