電子商務(wù)質(zhì)量和安全分析

1、—引言電子商務(wù)美全主要包括兩大力面：網(wǎng)絡(luò)安全和商務(wù)安壘這里所說的網(wǎng)絡(luò)安全主要是指計(jì)算機(jī)和網(wǎng)絡(luò)本身可能存在的安全問題，也就鬯鼎電孑商務(wù)平臺的可用性和的瞄熙髓碓；服務(wù)提陜艫晰箭跣稠過它約定了i寸j一好黟涪嗍氌值，并蝴硼陛搏務(wù)需要融御2^及女聽形【彳亍。雙柵E捌洛個(gè)指昧嘲蜥孫扔拶碇獎懲條就因l比服務(wù)d是供蒈籪萄獻(xiàn)朔趺Ⅱ道自己的基咄國氌巳否能滿足SLA里承諾的條款。為了選擇滿足用戶QOS要柚鐳蛀的web服務(wù)，首籍稔鞠糖#暑f啪QOS對Web服務(wù)

2、進(jìn)行分類，然后再驗(yàn)證它ff丁的參數(shù)。Z影響眼別貢量的因素業(yè)務(wù)蜴不漢j毿受安全，還有可靠陛和可1售度的f哪臣許多因素降低確副蟛溶戶的WeblJ賾咱包國邑量，這幽酯髓臻；Web環(huán)喀痢服荊魁啤箝籮p免web環(huán)境翳匆向包括流到曳蛐g(shù)變化，拒!刨j廈務(wù)3953、Web服務(wù)的QOS屬陛WSDL^k語法曲醚了Weblj彤殖9簽名，但并硐勃躚晌語義方面的內(nèi)容?！菊圩枣椄徘幸?j喋成Web服務(wù)韻屬性和Qos絢氛這些l賊朔明了如何惻髂戶的服務(wù)質(zhì)重要求

3、來選Web服務(wù)，但倒翔馳劌揀充分考慮：(1莊氖酮蝴陽驗(yàn)汪Web服務(wù)的SLA中)當(dāng)明的QOS倒傲sLA的婚嘟舀翮嘭曲瞬里并彰吁雙方；(3)靜鞋別七的QOsweb服務(wù)和w曲環(huán)覺4、解決方案解決方秘酬盼員彰竄鞴嬲卦牛的，如圖2所元一在l屹巋蚪喏慮丁劂R況：(1煨搠砭務(wù)質(zhì)量合同中客戶的賽赫陬web服氖創(chuàng)百】fi者存在●酷媚庫中。而服別碰蝴咋在UDDI注腫發(fā)布昕能提侈啪服務(wù)lQ囂f習(xí)用web服務(wù)后，服務(wù)品質(zhì)管理系統(tǒng)將比鍘髭供的服務(wù)質(zhì)量和要求自鰣翹

4、世尚服務(wù)質(zhì)量，實(shí)現(xiàn)不間斷地鹼測，當(dāng)有違反約芽巔f隋況發(fā)生時(shí)j恿知服務(wù)員量管理器。服務(wù)品質(zhì)彥哩系統(tǒng)實(shí)際E是監(jiān)測服務(wù)噴匿惴頹蛾黼集合。例芒蕃戶應(yīng)用程序和選中的web服務(wù)綁定，當(dāng)服務(wù)質(zhì)量下降時(shí)首先笱Ⅱ|j飚舷擬者，以f欺捅i關(guān)屬瞄斯亍調(diào)整。如鄹略質(zhì)量扔然毛印輦低，服矧員彰宙鬻黥噲調(diào)知客戶。卿當(dāng)服務(wù)未遭【守Qos約束時(shí)，征得客戶同意后維護(hù)睇【E月濫Web服烈向使用，調(diào)聯(lián)言瞄髂緗到的計(jì)算弼癡賊出客戶Web服翔砘翅珀鑷佳席冗∈j基行的。三w印服務(wù)安

5、全1、不同層肉斑受全掬拖在￡壬何商!12應(yīng)用中安全舒是幕要重景考慮的因素，尤其是當(dāng)可以從公網(wǎng)蝴應(yīng)用系統(tǒng)噸B2B中商業(yè)伙伴通過WEB服務(wù)可以獲瞄脅劃喘系統(tǒng)自動交型|勺功能，因l歐拯業(yè)的信皂系紆麗潔對外堤供wEB服務(wù)可l融獪面l缶嚴(yán)魚抒主聳威脅下面從四葉喱|歟來劫懿t對Web服射斑愛全摘尬(1磚輸J丟根據(jù)逸鋤鐘#輸屠魄義來柵囪張鈁苞，如果用證書瓤封。認(rèn)證傭戶名＼口創(chuàng)自吼跣國汽tL艮枸期豌需略吝字司膩i語言6AMD丙詫籜南笥lB來使用，在多層

6、體粼中尚越輜乎團(tuán)拼在每悃件響新存貌％性驗(yàn)?zāi)鄧驙帉?。提繃語法來倚抖幟擄則艮務(wù)韻安全端施，同時(shí)為了嘲鋤飚撤甩者的眵華艮，盈劃匕蒂輛睛和維盹12務(wù)Ck伴信息以及峁吲赫眵I成鉚鋤層。指明了嫻的指事砰怫整餅葦潞，具有嬲tH乘長期嘣僦、在選擇安劍嚯獅寸，—定要萄毒圈IB2B的關(guān)鍵是瓣陛，最終的輯夾方案幽覓蠡睇曠為接受幣Ⅱ皖聯(lián)佛募嚯之上以瞻c；i=互操作。f生王網(wǎng)燃通過為業(yè)務(wù)伙伴瞅wEB服務(wù)，企雌系統(tǒng)的開放日捐到了髭豐ro信息系統(tǒng)創(chuàng)截日專用附，這個(gè)

7、惘絡(luò)百常陂認(rèn)尢是個(gè)毫孚萬方數(shù)據(jù)可信和安全的環(huán)魄從公網(wǎng)訪問公司內(nèi)網(wǎng)的每個(gè)^口都必需嚴(yán)格控制，任惻夕WEB服務(wù)番復(fù)金IE鄙豇翅強(qiáng)螢過建彗愛彭料勾來保護(hù)它的信息系統(tǒng)免受威脅。因此公司的信息系統(tǒng)必需隨著新的B2B組件和治堙睇瓣6『勺使用而不斷發(fā)展。3、采用的安生時(shí)營施隨著信鼠網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，電子商務(wù)已成為越來越多得人所關(guān)注的崴氛，但由于Intemet的開放I生和其他因素的影響，網(wǎng)絡(luò)交易不S魄為毪進(jìn)行，這已磅溈人們不愿意參與電子商務(wù)的主要原因

8、。如何保證數(shù)據(jù)的完整也徽的不可否【惟，如何保證子商務(wù)交易的安全性，已經(jīng)成為制約電子商務(wù)發(fā)展的瓶頸，并開始祓越來越多的企業(yè)管理和技術(shù)^、員所關(guān)注。O)防火墻的功能猢防火墻是設(shè)置在用戶內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的—道屏障，防止不可預(yù)料的、潛在的破壞侵^、內(nèi)部網(wǎng)絡(luò)。防火墻的具體功能為：(1璀渣進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；②執(zhí)行訪問控制策略，阻止被禁止的訪問行為；(3)監(jiān)控外界訪問過程并完成詳細(xì)的日志和審計(jì)∽寸網(wǎng)絡(luò)攻擊進(jìn)行檢測和報(bào)警。根據(jù)不同的實(shí)現(xiàn)層次，防火

9、墻可分為三種類型：數(shù)據(jù)包過濾、應(yīng)用級網(wǎng)關(guān)和復(fù)合型防：_l(墻三種。圓加密技術(shù)數(shù)據(jù)加密被認(rèn)為是最可靠的安全保障形式，它可以從根ak_k苘足信息完鱉出冉要求，是—種主i蒴瞄蝣范身魯咯。數(shù)據(jù)加密就黽按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文毀據(jù)。通過使用不同的密鑰，可用同—加密算法，將同—明文加密成不同的密文。當(dāng)需要時(shí)可使用密鑰將密文數(shù)據(jù)還原成明燃，稱為解密。a)信撇密鑰加密技術(shù)只能解決售甚的保密問題，對于信官的完整洼則可以用信副

10、胡翳別∈來保證。信息筒要MessageDiges0又稱Hash算法，是RomRivest發(fā)明的—種單向加密算法，其加密結(jié)果是不能解密結(jié)果。所謂信皂摘要是指從原文中通過Hash算法而得到的—個(gè)有固定長度(128由D的散列值，不同的原文所產(chǎn)生的詹副幫靶績!不帽同相同原尚盤生的信副趣融匆亳相同，因此信皂、摘要類似^類的“指紋”識別，可以通過“指紋”去鑒別原文的真?zhèn)巍鴶?shù)字簽名技術(shù)數(shù)字簽名0igitalSignature)技術(shù)是將摘要用發(fā)送者的

11、私鑰加密，與原文_起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。廣泛闕的數(shù)字簽名方法有RSA簽名、DSS簽名和Hash簽名三種。RSA的最大方便是沒有密鑰分配問題。公刃磕f鑰加密使用兩個(gè)不同的密鑰，其中—卟嘎暨㈣，另—卟堤毫檣的。公開密鑰可以保存在系統(tǒng)目錄內(nèi)、未加密的電子郵件盎息中、或公告稗里，網(wǎng)E的伍問用戶都可獲副好1=密鑰。保密密鑰是用戶專用的，由用戶本身持有，它可以對公開密鑰加密的信息解密。DSS數(shù)字簽名是由美國政

12、府頒布實(shí)施的，主要用于跟美國做生意的公司，它只是—個(gè)簽名系統(tǒng)Hash簽名是最主要的數(shù)字簽名方法，跟單獨(dú)簽名的RSA數(shù)字簽名不同，它是將數(shù)字簽名和要發(fā)送的信皂捆在—起，所以髓合電子商務(wù)。@數(shù)字時(shí)陽】戳技術(shù)在電子商務(wù)交易中，時(shí)間和簽名同等重戮在簽名時(shí)加匕—個(gè)396時(shí)問標(biāo)記，即有數(shù)字時(shí)間戳D哂taTimestaml=》的數(shù)字簽名方案，時(shí)f司戳∞meStamp)是—個(gè)經(jīng)加密后形成的憑證文檔，包括三個(gè)部分?！切杓由胗?xùn)戳的文件的摘要0iges0，

13、二是DTS收到j(luò)r僻鈞日期與吶司，三是DIS數(shù)字簽名。嘣自】戳產(chǎn)生的過程是用戶首先籽需要加嘲司敝件用HASH編碼加翻釤成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)l吲盞骺再對該交懶密澎字簽名)，然后送回用戶。書面簽署文件的時(shí)間是由簽署人自己寫上的，數(shù)字呻司則不然，它是由認(rèn)證單位DIS來加的，以DIS收到文件的時(shí)司為依據(jù)。囝數(shù)字證書與CA認(rèn)證A、數(shù)糊，數(shù)字證書0igitalCertificate)就是網(wǎng)絡(luò)用戶身份

14、隹鼠的一系列數(shù)據(jù)，用來在(】|】絡(luò)應(yīng)用中識另l蜘拼L各方的身份，其作用類似于現(xiàn)實(shí)生活中的身份證。數(shù)字證書是由權(quán)威公正的第三方柵構(gòu)，即CA電酗亳發(fā)的，以數(shù)字證書為防曲劬Ⅱ密技術(shù)可以對呲絡(luò)上傳輸?shù)男趴彼笽方Ⅱ密、解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息自鈽H密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)陛，從而保障網(wǎng)絡(luò)『立田的安全№數(shù)字證書可用于：發(fā)送電子由口件、訪問安全站點(diǎn)、網(wǎng)上j正券交易、網(wǎng)上保險(xiǎn)、網(wǎng)匕銀行等安全事務(wù)處理和

15、安全電子交易活動。B、電子商務(wù)數(shù)字認(rèn)證授權(quán)J6兀構(gòu)電子商務(wù)交易需要電子商務(wù)證書，而電子商務(wù)認(rèn)證中心CA(CertificateAuthority)就黏黽著闋E安全電子交易譏硼I務(wù)簽發(fā)辮芄耐耕確認(rèn)用戶身(5；f內(nèi)功能。CA望戳黽洪下歹明艮務(wù)：有效實(shí)行安皇釃野弼軸舐可靠的劂驗(yàn)筲理以及i鄹確認(rèn)和充分嗍。接受該系統(tǒng)服；拍勺電亍鏑務(wù)用戶也應(yīng)充制割壬詼系統(tǒng)珈可做。CA具有汪書發(fā)放、證豐硬新、證攢|i《j、證期鮞曙駟為珊拖業(yè)務(wù)伙伴之間在傳輸層所采用的

16、汾淡鼢了客戶＼服務(wù)器證書驗(yàn)i正酌sSL協(xié)比每個(gè)業(yè)務(wù)cJ(伴酚稀酌叫嚯滋的證書并在指定的時(shí)間提供給公司，而公司!斷撇和維護(hù)公鑰基礎(chǔ)設(shè)施(PKI)。SSL協(xié)議確保了從發(fā)捌接怕糍汽餓由完摯眭，雙方都通過證書來驗(yàn)證對方的身份。在消息層業(yè)別火伴需在發(fā)出的SOAP請求中插入鄧氏編碼，以便集成服務(wù)器能夠儉查濤隸者的身份。在服務(wù)層，企業(yè)必需靛供業(yè)務(wù)伙伴信啟和訪刪歹嶗酚集團(tuán)公司，這樣集團(tuán)公司才能重新配置系統(tǒng)平臺。當(dāng)有消息傳人集成服務(wù)器時(shí)，就會自動R菩奄業(yè)

17、務(wù)伙伴是否有權(quán)進(jìn)人請煳服務(wù)。一業(yè)●牌II別國|；～／、≥：a^f卜三■—’k塒HIHJ／■■慎■ql目R■●“＼、盧萬∥●蘭，●●嗣●一●圖2企業(yè)提供Web服務(wù)的架構(gòu)四，結(jié)論針對B2B電子商務(wù)中web服務(wù)的安全問題，提出了基于通用標(biāo)準(zhǔn)的解決方案，由集成眼務(wù)器和前置魄夏向代理服務(wù)器構(gòu)成。負(fù)責(zé)由內(nèi)網(wǎng)向Intemetweb服務(wù)。為了管理Web服務(wù)的服務(wù)質(zhì)量和根據(jù)客戶需求來選擇服務(wù)，本文還設(shè)計(jì)了服務(wù)質(zhì)量管理魄總體架構(gòu)。在實(shí)施QoS解決方案中。還