基于互聯網的電子商務安全系統的設計

摘要:隨著因特網(Internet)的飛速發展和信息經濟、網絡經濟等概念的提出，電子商務越來越受到人們的關注，尤其是隨著Internet技術的日益成熟，電子商務真正的發展將是基于Internet技術之上的。本文詳細闡述了本文所提出的基于Internet的電子商務安全系統的需求分析，并具體描述電子商務安全系統的功能模塊設計，包括基于Web Service的PKI系統的設計和基于優化的XML安全技術的電子訂單的設計。

關鍵詞:Internet;電子商務;安全系統

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)03-582-02

The Design of Electronic Commerce Security System

ZHANG Wei-jun， XIE Jing

(Nanjing Xiaozhuang University， Xingzhi College， Nanjing 211171， China)

Abstract: With the Internet(Internet) and the rapid development of information economy， network economy， put forward the concept of e-commerce more and more attention， especially with the Internet technology has become more sophisticated e-commerce development will be based on the real Internet Technology above. This paper describes the proposed in this paper e-commerce-based Internet security system needs analysis， and specifically describe the function of e-commerce security systems modular design， including Web Service for PKI-based system design and optimization of XML-based electronic security technology order design.

Key words: internet; E-commerce; security system

電子商務是現代計算機和網絡技術迅猛發展的產物，它以其簡單、高效、跨區域等優點潛移默化的改變了人們的生活。隨著信息技術與數字化網絡迅速發展和普及，電子商務成為當今信息化研究的熱點。Internet的全球化、開放性特點，使得基于Internet的電子商務的安全性問題日益突出。建立電子商務安全體系結構，成為電子商務建設中首先需要解決的問題。

1 電子商務安全系統的需求分析

1.1 基于Web Service的PKI系統

傳統的PKI系統是客戶端和傳統PKI服務的兩層模式。然而客戶端可能遵循不同的傳統PKI標準規范，例如X509、SPKI或者PGP，每種PKI解決方案都有相對應的語法和語義，使得客戶端應用程序的復雜性增加。

相比傳統的PKI體系，基于Web Service的PKI工作模型是靈活的分布式應用框架，其表現的優越性具體如下:

1)解決了傳統PKI客戶端的互聯互通問題，特別適合客戶機與服務器通信，可以跨越防火墻或代理軟件通信;

2)降低了客戶端應用程序開發配置的復雜性;

3)減少了網絡流量，將傳統PKI服務生成的證書備份到數據庫中的策略，在一定程度上減少了網絡流量;

4)具有可擴展性，支持實時交互和協作。滿足大規模系統的需要，提高系統處理效率，有效解決了傳統PKI體系存在多方面的缺點，有利于PKI體系的發展。

基于Web Service的工作模式的PKI系統有效的解決了傳統PKI產品之間的互聯、可擴展等問題。

1.2 改進基于XML安全技術的電子訂單

擴展標記語言XML(Extensible Markup Language)是世界萬維網聯盟制定的一種數據標準。它以其結構化、互操作性、易于交換和可擴展性的特點在很多行業得到了廣泛的應用。XML為實現安全、高效的電子商務提供了一種開放的標準，它解決了傳統數據交換的一些弱點，將中小企業帶入到電子商務之中。使用XML結構化的數據可以將數據從商業規范和表現形式中分離出來，便利地進行交換和處理，所以它一經出現就成為新一代數據交換的標準。但是電子商務將關注過多地放在實現數據交換上，對于保證XML數據安全的問題缺乏足夠的重視。隨著現有解密算法提出的新挑戰，忽視XML數據的安全會使得交易中的機密信息和敏感信息面臨危險。

2 基于Web Service的PKI系統的設計

本系統選擇最簡單的單CA信任模型，即整個PKI體系中只有一個CA，用來負責證書申請、證書簽發、證書策略的制定及密鑰托管和恢復等功能。PKI中所有的終端用戶都信任這個CA，它為PKI中的所有終端用戶簽發和管理證書。這種模型的優點是容易實現，易于管理，所有的終端用戶都能實現相互認證，但是不易擴展到大量的、不同的群體的用戶。

基于Web Service的PKI工作模型分三層或多層，其中最基本的三層結構為:客戶端、Web服務及數據庫。

2.1 PKI系統的功能模塊設計

本PKI工作模型的功能模塊主要由證書注冊模塊、證書生成模塊及證書管理模塊組成，其中證書管理模塊包括證書查詢模塊、證書刪除模塊及證書編輯模塊構成。

1)證書注冊模塊:用戶完成證書申請注冊的功能。

2)證書生成模塊:用戶信息審核之后，生成證書并簽發給用戶的功能。

3)證書管理模塊:CA中心管理員完成證書查詢、刪除、編輯的功能。

為了便于維護和管理，CA各個模塊之間都是相互獨立設計和編碼，這樣如果在以后的升級中，添加新的模塊功能，或者是修改模塊功能，其他模塊都可以不需要改變其源代碼。

2.2 PKI系統的分層實現設計

從軟件的實現的角度來看，這幾項功能的實現可分為四個邏輯層，分別為Web層、業務外觀層、Web服務層、數據訪問層。這四層實現的功能分別為:

l)Web層:為客戶端提供對應用程序的訪問。Web層由ASP.NET Web窗體和代碼隱藏文件組成。Web窗體只是用HTML提供用戶操作，而代碼隱藏文件實現各種控件的事件處理;

2)業務外觀層:為Web層提供處理證書注冊、證書簽發、證書查詢、證書刪除和證書編輯界面。業務外觀層用作隔離層，它將用戶界面與各種業務功能的實現隔離開來。

3)Web服務層:包含各種節觸b服務的實現。

4)數據訪問層:為Web服務層、業務外觀層提供數據服務。

3 基于優化的XML安全技術的電子訂單的設計

傳統的數據傳輸方式的風險在于密文數據保存在原XML文檔中，并一起進行傳輸。所以，當整個XML文檔被截取或非法復制后，由于現有加密或簽名算法的缺陷，XML文檔會被非法用戶獲得。針對上述XML數據傳輸方式所存在的風險，本文在實現WS Security規范所提出的安全標準的基礎上做出改善，把密文信息與原XML文檔分離傳輸，設計出一個新的可應用在電子商務信息系統中的XML數據安全傳輸方案。通過實現這個XML數據的安全通信方案，電子商務系統可實現XML數據較高的通信安全性和認證安全性。

3.1 電子訂單發送端功能設計

在發送端，電子訂單處理流程如下:

1)將電子訂單生成XML文檔;

2)根據XML文檔中各元素內容的重要性編制一個DTD文檔對XML文檔進行分解，并生成一個XSLT樣式表;

3)使用由W3C最新制訂的XSLT 2.0技術把單一的XML文檔轉換為多個獨立的XML文檔;

4)根據XML數據的保密程度對該分離后的XML文檔進行XML簽名確認，為保證數字簽名的有效性，使用SHA-256的簽名算法對XML數據進行簽名確認;

5)簽名后，對各XML文檔進行加密(如DES算法)，對DTD文檔和XSLT樣式單使用XML加密中高安全等級的加密算法(如RSA算法)進行加密;

6)把XML數據、DTD文檔和XSLT樣式單傳輸到接收端。

3.2 電子訂單接收端功能設計

在接收端，電子訂單處理流程如下:

1)首先對接收到的各XML文檔進行解密和簽名認證;

2)然后利用 XSLT2.0技術，根據DTD文檔和XSLT樣式單的記錄，把分解后的各XML文檔重新組合為單一的文檔。

在本方案中，因為多個單獨的XML文檔難以在網絡中被全部截取，而缺少任何一個分解后的XML文檔就無法重組為原XML文檔，所以在一定程度上保障了XML數據的保密性。把不同保密等級的數據進行分離傳輸，避免了密文數據與XML文檔一起傳輸的弊病，減低了XML數據被截取和破解的風險，這就保證了整個XML文檔的安全。

參考文獻:

[1] 姜慶娜.基于Internet的電子商務安全支付系統的研究[J].學位論文，2005.

[2] 郭正榮，周城.基于PKI的電子簽章系統的實現[J].計算機科學， 2006，33(9).

[3] 劉建偉，王育民.網絡安全—技術與實踐[M].北京:清華出版社， 2005.

[4] 蔡月茹，柳西玲.Web Services基礎教程[M].北京:清華大學出版社，2005:35-36.