電子商務(wù)應(yīng)用系統(tǒng)的安全問(wèn)題研究.pdf

1、電子商務(wù)應(yīng)用能夠從質(zhì)量、成本和處理速度等方面來(lái)改善企業(yè)的經(jīng)營(yíng)，隨之而來(lái)的是信息資源的安全性問(wèn)題。協(xié)同商務(wù)平臺(tái)作為電子商務(wù)應(yīng)用的一個(gè)實(shí)例，同樣有必要對(duì)其所面臨的潛在安全威脅進(jìn)行深入的分析，進(jìn)而提出相應(yīng)的解決方案來(lái)保障系統(tǒng)安全地運(yùn)行。信息系統(tǒng)中的安全性問(wèn)題主要包含身份認(rèn)證服務(wù)、訪問(wèn)控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)和不可否認(rèn)服務(wù)等幾個(gè)方面。90年代以來(lái)出現(xiàn)的基于角色的訪問(wèn)控制(RBAC)策略，通過(guò)引入角色的概念，將用戶映射為在一個(gè)組織中

2、的某種角色，把訪問(wèn)權(quán)限授權(quán)給相應(yīng)的角色，根據(jù)用戶擁有的角色進(jìn)行訪問(wèn)授權(quán)與控制，有效整合了傳統(tǒng)訪問(wèn)控制技術(shù)的優(yōu)勢(shì)，又克服了它們的不足，使得制訂和執(zhí)行保護(hù)策略的過(guò)程更加靈活，也簡(jiǎn)化了管理員的管理工作。在電子商務(wù)應(yīng)用中，常常涉及到口令、訂單等敏感數(shù)據(jù)的傳輸，因此必須考慮數(shù)據(jù)的機(jī)密性、完整性和不可抵賴性等方面。 本文以協(xié)同商務(wù)平臺(tái)為實(shí)例，詳細(xì)分析了電子商務(wù)應(yīng)用系統(tǒng)中的安全性需求，并給出了相關(guān)的解決方案。身份認(rèn)證采用基于Forms的認(rèn)證方

3、式，可以得到最大的靈活性。系統(tǒng)中不保存明文口令而是保存用戶口令的散列值和一個(gè)隨機(jī)值，以此來(lái)增強(qiáng)系統(tǒng)抗字典攻擊的能力。訪問(wèn)控制方面采用了基于RBAC的訪問(wèn)控制模型，使用角色繼承來(lái)解決不同類型的企業(yè)之間角色集沖突的問(wèn)題，并提供了一個(gè)圖形化的角色管理工具來(lái)簡(jiǎn)化管理員的工作；采用前端控制器模式來(lái)保護(hù)電子商務(wù)應(yīng)用系統(tǒng)中的普通Web頁(yè)面和Web服務(wù)，采用這種模式可以使系統(tǒng)具有更好的可維護(hù)性。為了實(shí)現(xiàn)數(shù)據(jù)完整性，需要采用數(shù)字簽名技術(shù)，在Web環(huán)境中可