（系统工程专业论文）协同电子商务及其服务系统安全性研究.pdf

中文摘要 i 中中 文文 摘摘 要要 由于世界贸易与网络技术发展的一体化，电子商务以往的模式已经 无法满足电子商务和经济发展之需要，所以涌现出了若干个企业联合在 一起为客户提供整体化的、协作化的商业服务，也就是所说的协同的商 务模式。这种新模式出现是企业前进之需要，也说明电子商务的应用正 朝开放性、协作服务化方向迈进。但是，就在各企业电子商务的应用从 以往简单的一对一模式朝协同式商务模式转换之时，存在于安全方面的 问题仍是大家更多关注的。怎样提升跨越企业边界安全信息的互相操作 特性，给予电子商务的交易协同安全之服务，则是电子商务现在安全研 究之重点与难点的地方。 文章以协同电子商务定义为出发点，对协同电子商务的出现、理论 基础、定义以及协同电子商务的内容进行了阐述，对协同电子商务系统 中最常采用的安全技术，如：数字签名、身份认证、访问控制以及加密 技术等进行了论述。还针对使用的主要的安全规范做了一些研究，以两 个安全规范为基础，给出了一个解决协同电子商务安全之方案。提出的 这个方案对协同电子商务中的当前最为普遍的用户反复多次认证登录的 问题进行了解决，同时实现了互操作在跨安全域时如何安全共享用户的 信息。后面给出一个具体的应用，对方案进行了安全性与可行性的分析。 关键字：协同电子商务、安全声明标记语言、单点登录 英文摘要 ii abstract as the world economy and technological development, network integration, e-commerce model of the past can no longer meet the requirements of electronic and service-oriented direction. however, in the business e-commerce applications from the previous one on one simple model for ow to improve border security information across the enterprise interoperability t of e-commerce security research and one of the difficulties. article to t elaborate on the collaborative e-commerce systems in the most commonly aption technology are discussed. the paper also used for collaborative e- specifications, based on the synergy of a given e-commerce security solution . this ation of users logged on to repeat the title for a solution, while achievingpecific in application, the feasibility of the program and safety analysis. key words: 第一章 引言 第 1 页 共 48 页 第一章第一章 引引 言言 在此针对问题的产生背景、意义、主要的研究任务和文章的框架组成做整体的 说明。 1.1 问题提出背景问题提出背景 由于 internet 的飞速发展，使的电子商务不仅出现而且快速发展。电子商务在 众多的商务领域得到了广泛的应用，因而导致以往各类的传统的商业业务的交易模 式发生了革命性的变化。不同企业之间已经不再是纯粹的竞争的关系，在更多的时 候企业之间更应该是合作者的关系。也就是说，各企业之间更加注重的是多方的开 源节流、互赢互利，而不再是只注重强调彼此间的残酷竞争。那么以往仅局限于个 别的企业之间的电子数据表单的传递或者是互联网上商品交易的有关信息的发布与 查询的电子商务模式已经不能够满足发展的要求，此时协同电子商务模式的出现刚 好顺应了这样一个发展趋势。该模式强调不同机构与部门间协调工作，追求整体的 开源节流和利益最大化，最终实现各环节共赢。协同电子商务的模式是电子商务的 发展全新阶段。 1.1.1 协同商务之源起协同商务之源起 电子商务的发展现正进入第三个阶段，这一阶段是以传统的企业为主体，这一 阶段我们又称协同电子商务的阶段。协同商务（collaborative commerce，简称 c-commerce），将其誉为“新一代的电子商务”模式 1。 早期的企业资源规划和企业流程再造，其重点都是有关企业内部资源的整合， 忽略了外部整合的重要性。到了二十世纪九十年代初期，企业才逐步将重心转移到 整合企业外部上下游厂商之间的合作，发展出供应链管理。由于环境不断变化，不 管是企业资源规划还是供应链管理都已显得不足。因这些系统是个别存在与上、中、 下游不同企业之间，所以产生多重流程从而减缓了快速回应消费群体的能力。 在 1998 年，著名调查研究机构 gartner group 就针对上述情况开始研究电子商 务所能发展的潜力，并提出了协同商务的概念。很多分析师已提出协同商务将成为 下一代电子商务的新趋势。 协同电子商务及其服务系统的安全性研究 第 2 页 共 48 页 2 1.1.2 发展与现存问题发展与现存问题 企业资源管理 erp 重点是在于企业内部的资讯的整合，而所提出的协同商务则 更多关注企业内部与外部不同交易方的协同作业。犹如著名的管理学家 michael hammer 所指出的：协同商务是要“推倒横亘在企业之间的高墙” 2。 在国外这种模式的出现和发展一早就受到了国外企业的关注。从 gartner group 结构的调查研究发现，那些有着协同的商务功能的企业与客户群体，比无此能力的 竞争对手能够多获八成以上的机会。因而对企业以后的发展和生存来说，协同商务 的重要性不言而喻。同时协同商务也将引导 e-marketplace 未来的发展，通过供应商、 采购商以及金融服务商、后勤作业等的集成，将信息整合，把商业价值链整体的运 作效率大幅度提升。 中国多数大的企业均采用了“跨企业的协同管理平台” ， 在纵向产业链信息化 管理得以延伸。例如：蒙牛集团通过“跨企业协同管理平台”成功延伸了其管理范 围。到零四年八月，任意一蒙牛子公司与其经销商的业绩数据均可通过企业的信息 管理平台及时传回总公司，通过平台的一些功能相关部门立刻对传回的数据做进一 步的处理并分析。 2同样海尔集团基于 mysap.com 的协同系统，通过网络将自身业 务与其供应商相连在了一块。海尔经由 sap 采购系统之运营获取了极其可观的经济 利益，如省去了集团近百分之四采购花费；降低将近两亿元人民币的购买成本；仓 储面积降低一半，库存资金降低约七亿人民币，库存资金的周转日期减为原来的二 分之一；降低仅一点五亿元不良资产的资金占用。3 我国中关村软件公司、神州航天科技等以及许多知名公司均开发了不同版本的 软件包，大力提倡协同。随协需要的上升， “以人为中心之协同工作必成为以后判断 企业是不是有着真正竞争力的主要因素” 。 用户、资源、流程与应用之协同将会充 斥各个角落。 尽管电子商务的发展进行的迅速，然而现在的电子商务却在全球交易额中只占 很小一块，尤其我国的电子商务的发展更加的迟缓。零三年，贸易其总额中通过全 球互联网所进行的已有 1.24 万亿美元，但零四年我国的总额却只有 117 亿美元4。 原因究竟是什么呢？有很多调查部门进行了广泛的调查，结果发现最主要的原因是 网上交易的安全问题。为此，针对网上交易的安全技术做了大量的研究。然而随着 经济发展和新的商务模式即协同电子商务的出现，造成发展缓慢更多是由于目前绝 大多数的企业因管理和技术等方面的因素，还未将企业的 crm、供应链管理以及核 第一章 引言 第 3 页 共 48 页 心业务过程等纳入到因特网，企业供应商或客户还不能通过网络与企业实时、互动 的交换信息。 企业现用的大多数是以单一的企业为安全服务边界的安全系统，当有用户想要 访问该企业的关键、核心的资源时，就必须接受企业的安全系统检测，只有通过认 证以及授权后访问才能进行。电子商务发展初期的这种安全保护模式，在客户与企 业一对一做交易时，并且一项交易活动仅在该企业内部就能完成时，是可以满足客 户和企业的需要的，然而在协同电子商务的业务中，每一个企业只是存在于商业链 中的一个点，不同的企业需要提供不同服务给客户，合作者间的彼此服务也是可能 的，此时，若仍使用以前的安全服务系统要求每一个客户或者用户每回访问时都必 须通过认证授权，则会中断业务流程，客户也可能会因为流程的麻烦则停止本次交 易，那么企业业务的拓展必然会受影响。 现实中，企业会依据其自身情况来自己选择实现的方案和采用的安全技术，那 么互操作在不同企业安全系统间的实现是非常困难的，业务与用户的信息不能从一 个企业延伸到下一企业。不同企业为确保其核心资源的安全，就需对单个用户实施 检测认证，企业的安全服务系统也只能以该企业为边界提供一定安全服务，从而难 以实现企业外部协同。 1.1.3 近阶段研究现状近阶段研究现状 为和相关合作的站点展开合作，传统网站需要用户分别登录至每个网站，采用 多个用户名等身份信息进行验证，并对全部信息分开保存。为此，某些网站将其合 作企业的一些特定服务信息纳入自己企业的网站，从表面看，该企业实现了让用户 单点登录，且只需要通过该企业门户站点对用户的验证，对联盟企业的各种服务即 可使用，然而客户与企业之间实际交易的实现是由该门户站点企业通过发送 e-mail 或拨打电话等方式要求其联盟企业完成此项服务，其实这些企业之间根本没有真正 实现协同。 某些安全服务系统虽然确实实现了关联企业之间用户信息的安全共享和跨区域 的互操作，可是让联盟企业得选择相同的一种安全系统，从而失去了数据通信的灵 活性，并且不利于新成员的加入。有时对于某一个企业来说，可能它需要同时加入 好几个企业联盟，那么这个企业就需要安装多种安全系统来实现本企业与联盟企业 之间的互操作，企业的安全系统将会非常复杂并且维护困难。有着巨大潜力的商务 活动，发展速度是 b2c 的三倍，若仍以传统自治系统来解决企业之间业务活动，已 协同电子商务及其服务系统的安全性研究 第 4 页 共 48 页 4 经无法满足协同电子商务即新一代的商务模式的需要。 为了这些问题的解决，国际的标准化组织 oasis 下属的 sstc，一个关于安全 服务技术的协会提出了 saml（security assertion markup language 安全声明标记语 言）标准参考 5，在业务合作者之间用于信息的授权和认证的交换。saml 规范和 标准化组织的另一种语言规范xacml（extensible access control markup language，可扩展访问控制标记语言） 5一起成为标准化组织的有关上下文安全的语 言标准，这样就为企业联盟伙伴在信息交换和信息共享的安全方面奠定了语言基础。 自打这两规范出来，很多企业在它们的基础上拿出了自己的安全服务的解决方 案。各自的解决方案的思路大体都是一致的，在具体实现上会有所区别。统一的解 决思路是通过一个门户站点将有联盟关系的企业统一在一起，关于客户身份的识别 和客户权限的限定由统一的安全服务器来负责管理，而具体、实际的应用服务是由 各个联盟站点提供的，各个联盟商家在自己的站点安装例如 agent 的专用软件，通 过这个软件和统一的安全服务器进行通信，并且从该处获得安全的数据信息，这样 来实现对客户的授权决策6。该解决方案的好处是能够单点登录、集中的进行认证。 它的缺点是方案太繁琐，商家导入时的成本过高，所以主要是大的企业之间或公司 内部的协同采用的方案。多数的中小公司没有绝对的能力采用该协同平台完成之间 协同交易，因而没有大范围的应用性。 有关 c-e-commerce 的安全服务的研究还是开始的阶段， 怎样将传统安全技术和 安全声明标记语言、可扩展访问控制标记语言这两规范结合起来，开发可应用于不 同联盟的协同安全服务系统，还有开发 web 应用当然基于这种全新的协同安全服务 的基础，这些课题都是很有研究价值的。 1.2 论文主要内容及目标 论文主要内容及目标 文章主要研究内容如下： 1、针对协同商务的源起、发展情况进行了分析，指出了解决协同电子商务安全 问题的紧迫性、必要性。然后又对需要使用的一些安全规范和安全技术进行 了学习、分析和研究这是为问题的解决找到理论基础。 2、给出了一种安全的解决方案，该方案以 saml 为基础，以协同电子商务的安 全要求为中心。还有安全系统的安全设计和各个功能模块的详细的设计。 3、对给出的安全解决方案关于协同电子商务的，通过一应用实例进行了安全性 第一章 引言 第 5 页 共 48 页 和可行性的分析。 文章的目的就是给出了一种协同电子商务安全解决方案，主要是针对这样的问 题，就是联盟企业间在进行协同交易时客户必须反复登录认证以及客户在跨安全域 互操作时的安全信息共享的问题。提出的这种协同电子商务安全解决方案是采用 saml 安全规范和已有的安全技术，使得处于一个联盟中的企业之间可以以统一的 格式交换认证并且能够进行信息的授权，以实现企业间真正的协同商务。 1.3 论文的组织论文的组织 论文共分有六章进行阐述： 第一章为引言，这章对电子商务当前发展的情况进行了说明分析，提出协同电 子商务是以后发展的必然结果，指出对协同电子商务而言，安全问题的重要影响， 说明了文章的核心主题和主要研究内容。 第二章针从协同电子商务定义、特点以及包含的主要内容等各点进行研究，在 整体上介绍说明了什么是协同电子商务。 第三章描述协同电子商务使用到的一些安全技术，包括有数字签名技术、身份 认证技术、访问控制技术、数据加密技术等。 第四章研究了相关的协议和安全规范，主要是 saml 规范，而且就 ssl 协议和 xacml 规范做了一些介绍。 第五章是一个协同电子商务安全解决方案的提出， 当然是针对 c-e-commerce 发 展中的主要安全问题。 第六章是对给出的安全解决方案的可行性和安全性的分析，是通过一典型的实 例应用来分析的。 第七章对所做工作给出一简单总结，并做了简单设想，是对协同电子商务的以 后发展研究动态的设想。 第二章 概述之协同电子商务 第 6 页 共 48 页 6 第二章第二章 概述之协同电子商务概述之协同电子商务 电子商务在经历了第一阶段（以媒体和 it 厂商为主体）和第二阶段（以电子商 务服务商为主体）的发展后，已进入第三阶段是以传统企业为核心主体的。这一阶 段即被称为协同电子商务阶段。这一章主要是针对协同电子商务定义、协同电子商 务的主要内容以及理论架构和特点分别来做说明介绍。 2.1 协同电子商务的定义协同电子商务的定义 协同电子商务（collaborative electronic commerce，简称 c-e-commerce），被称 为“下一代的电子商务”，它的基本思想最先是一九九年时 gartner group 提出的。 他对于协同商务的定义是这样的： “协同商务就是要把商务活动过程中所有阶段涉及到的信息拿出来共享，这种 商业战略是对价值链上有着共同商业利益的合作伙伴们的一种激励。协同商务的主 要目标增强企业获得利润的能力以及更好的满足客户不断增长的需求。利益链上的 所有企业将他们的核心竞争优势进行组合，通过创造更好的服务和更新的产品来获 取利润的最大化。” 对于协同商务，企业资源管理研究中心（简称 amt）给出了更通俗定义： 强调处于全球经济背景，企业现代经营管理之思想，就是利用网络技术，把 企业内外供应链上的各种业务进行合作，即改变企业业务经营模式与方法以期待达 到资源最充分的利用。7 利用 web 平台，在企业中构建一以人为本，将企业业务流程看做血脉的信息 平台，借由此平台打通企业内外部各信息节点，达到所有信息充分共享，资源充分 开发，利用。7 在协同电子商务系统中还蕴含着企业的经营管理思想和业务交易的模式，所以 它并不单纯只是一个软件，通过它来帮助企业进行运作和盈利。通过该系统企业的 各部门，雇员与企业，供货商与企业，用户与企业，社会相关单位（如网银、网上 报税等）与企业之间紧密关联在一起，可协同的进行工作，实时地对有关情况做出 同步调的反应处理。 协同电子商务及其服务系统安全性研究 第 7 页 共 48 页 2.2 协同电子商务内容协同电子商务内容 在商务交易活动中，各企业共同协作为完成之间交易的一系列的过程即为协同 电子商务的过程。下图 2.1 表示出了价值链上协同商务活动所涉及区域。所以说协 同商务是一囊括产品所有过程之协作工作，核心是企业内部之协同，企业间之协同， 企业与有关部门之协同8。 协同之企业内部，指的是不同周期计划之间，各个部门计划之间，不同级别计 划之间之协同。所有这些前提是企业里面电子化，它的主要目的是将企业内部资源 整合，排除了信息孤岛，并沿企业拟定战略方向进行前进。 协同之企业间，指的是整个供应链间之协同。包括不同企业间信息资源共享， 各企业间有关业务流程整合，目的是让所有的运作规划要兼顾到整体供应链最优化， 而不是只从单一企业自己方面考虑。 协同之企业与社会有关部门间，是说除了企业与用户间的事，协同电子商务还 会涉及社会上许多单位。比如需要与银行合作来解决支付手段，需要通过政府的参 与来实现网上税收等。真正协同电子商务的实现必须要以社会全面的电子化为基础， 同时企业和社会有关单位间必须协同工作。这样以网银结算、网上审计、网上保险、 网上报税等为支撑，企业可将资源统一利用，将数据库冗余减少，确保数据格式与 内容一致。只有如此将真正实现完全意义上的协同电子商务。 图 2.1 协同商务涉及范围7 这里面最核心和最重要的是企业之间的协同，通过企业间的协同，可使供应链 上所有节点相关业务均可无缝连接，这样各节点企业就能在竞争中取得非常可观的 利益。 第二章 概述之协同电子商务 第 8 页 共 48 页 8 2.3 协同电子商务特色协同电子商务特色 使涉及电子商务的各个要素一起工作，让企业系统整体状态不混乱，正常发挥 功能的整体性，这就是协同电子商务需要做的。它有着以下特点8： 1、系统完整性 对协同电子商务而言，它不光是提供单一功能块，还提供很完整的电子商务的 系统。其中有电子商务系统、业务信息仓库、供应链优化管理、决策支持系统、erp 系统、crm 系统等众多与电子商务基础环境、决策支持、实施条件等有关内容。完全 意义上的电子商务就是协同电子商务。首先是企业里面自身的电子化，接着是相互 连接各企业，自动协同最后在互联网上实现。 我们一般情况下所指的电子商务不全面。只要企业能够联网，有自己对外的平 台，不论该企业里面是不是电子化，也不论它的配送、支付情况如何，就说该企业 有电子商务。而且在该企业的内部，为配合管理，企业是会使用一些软件，例如销 售管理软件、财务管理软件、物流管理软件等等，但一般只是一个独立的软件，无 法称为一个整体系统，提供商关注的是自己单个领域的问题。 2、系统整体性 协同电子商务着重考虑协同系统的相关内外联系，强调协作群体系统整合和资 源共享，从而让消费者成本、质量和服务变成所有参与者共同的绩效目标，最终追 求整体最优化以及群体竞争优势的提升。 3、系统开放性 所有协同电子商务中的模块组成一个开放的系统。当外界输入负熵流时，只有 在开放系统中才能够产生协同。不管是什么人员，也不管是合作伙伴还是供应商， 均可透过工作平台快速获得相关业务、应用和服务等等方面信息。也就是说对涉及 电子商务的任何人员系统都是开放的。在虚拟市场上不同机构在共享相应信息，做 出相对的反应和决策。在外界出现变化时，系统中信息流随其改变，系统的协同就 是在各要素对这些变化做出同步协调反应中产生的。 4、模块集成性和功能协同性 组成协同电子商务的许多模块之间是紧密集成在一起的，并非孤立毫无关系的 个体。这种集合是按照经营管理思想和业务模式合理整合在一起。当某一事物出现 时，各模块都可做出协调同步之反应。如：销售增加，供应商则随时调整订单，供 应商生产系统改变，企业可立即修改接货时间。 协同电子商务及其服务系统安全性研究 第 9 页 共 48 页 相应模块所涉及的人的行动协同性可由模块功能的协同性带动。相应人员可根 据系统中信息流，互相配合并调整自己的行动，系统始终处在整体有组织状态，整 体功能正常发挥。 协同成功是依赖协同电子商务，真正实现付出最少，获取成功最 大。协同电子商务中的各种工具也是协同使用的。协同电子商务支持电话、手机、 互联网等多种交互方式。各工具使用利于实现协同。 5、智能化业务处理 协同电子商务已部分超出作为工具的范畴，它反映了一种经营管理思想。所以 有着智能化的部分功能，降低了人的加入。提供数据仓库全面解决方案，并对报表、 数据等具有一定分析能力。搜索分类、内容管理之功能也在其中，根据用户不同用 途将数据转化为不同信息。通过公司内部信息流水线、公司主要业务程序和人事管 理程序的整合，协同电子商务简化了人力资源管理方法与过程，人力资源优化与自 动化得以实现。 6、增殖性服务 除提供产品，协同电子商务解决方案还向用户提供完全服务。从安装前人员培 训到系统安装直至实施过程中咨询、维护，服务贯穿始终。相当于是服务性行业， 服务花费比产品花费高很多。可以说，协同商务体现着供应商和用户的协调。 协同电子商务及其服务系统的安全性研究 第 10 页 共 48 页 第三章第三章 采用的安全标准采用的安全标准 网上进行商务活动时安全是需要重视的，所以针对 e-commerce 发展安全系统的 完善并能迅速对事件进行反应很重要。为此就必须增强现有的安全技术 authentication 和 access control，还要研究新一代安全系统。现在有很多不太成 型的商品、技术以及一些规范，只是针对 security problem 的一个方面，其互操作 较难实现。 为推进 collaborative e-commerce 安全服务之发展，xacml 与 saml 等标准已由 oasis 组织的 sstc 协会推出，给数据在企业外部、企业内部间的安全共享、交换打 造了语言之基础。 saml 标准的目的是不同单位之间不用变换里面的安全架构，来实现信息的安全 传递， 以及怎样互换身份与查询信息。 对于依据 saml 交流的信息怎样去用则是 xacml 的入口点。这里对 saml 较细致说明，对安全协议之 ssl 和标准之 xacml 简要介绍。 3.1 标准之标准之 saml 安全声明标记语言 security assertion markup language， 即 saml 是在因特网上传 输认证、授权和权利限制信息的新标准9。零五年三月 saml2.0 通过批准，将对身份 认证在企业协同合作者的共享的步伐有所推动。 saml 实行 xml 单一说明，让产生于各个安全系统的资料可进行交换，是一种语 言。它用于合作者间信息授权和验证交换，是面向的 web 服务且 web 服务是基于 xml 的架构。 3.1.1 用用 saml 的原因的原因 采用 saml 的四方面理由如下： 1、cookie 文件存在限制 浏览器中的 cookie 文件可存入第一次登录网站的一些信息，减少后续登录的开 销， 这是许多单点登录产品所用方式。 在跨 dns 命名域中 cookie 文件无法发挥作用。 因而当企业联盟跨 dns 域名构建之时的需求则无法满足。解决 cross-domain sso 即 跨域问题，必须用另外的技术了。 2、单点登录互操作要用 第三章 采用的安全标准 第 11 页 共 48 页 怎样实现单点登录或是跨域登录，不同系统实现不同。当商业活动需要联盟伙 伴协作，存在 cdsso 要求或者企业间构建是跨 dns 命名域，则要在所有域中使用 同款 sso 解决方案。在解决方案中做为供应商可常使用的技术则是 saml。 3、web 服务应用的要求 web services 当前应用很广，使用 web 服务时有关的 security 问题主要存在于 这，即在 point to point 的基础上提供 confidentiality、authorize completion 的解决的 方式。 这样的标准可由 saml 提供， 来回通信的组成部分之间则可进行 authentication 和 certification statement 等可靠信息的互换。 4、企业联盟的需要 跨联盟边界 simple positioning management 的需要，让用户可减少标准个数，或 合并为单一定义的标准。 3.1.2 概念概念 model 之之 saml saml 外围以 xml 为基础，为交换信息的安全性，它给出了双方经 web 服务 给定权限与确认的机制。并延续了 xml 跨系统的数据描述特色，使得企业内部、企 业之间、端到端的安全得以保障。saml 主要设计目标是对于给予服务和认证给出 标准的安全信息的描述和共享的机制，这样联盟企业安全系统的间通过共享交易、 客户等安全信息来构建互操作， 以便为联盟企业间的 e-commerce 交易提供协同的安 全方面服务。下图 4.1 是 saml 的概念上模型。 实体认证授权机构策略决策点 pdp 属性授权机构 属性声明 决策执行点 pep 资源 ldap目录，radius服务器， kerberos kdc 等其他非saml，认证 服务 策略库 ldap目录，关系型 数据库等属性存储库 认证声明 授权决策声明 图 3.1 saml 模型 3.1.3 saml 规范规范 saml 是一说明语言，它主要是怎样利用 xml 实现关于安全信息之共享，并非 协同电子商务及其服务系统的安全性研究 第 12 页 共 48 页 只限制在信息怎样写，于是在因特网中，能按定好的统一的方式来写和用一些以被 大面积采用的安全方面技术。saml 规范由四块组成：声明、请求回应协议、绑定 与匹配文件5。 1、声明 saml基本data objects对象为声明， 共有3类声明： attribute声明、 authentication 声明与 decision 声明。由 saml 概念模型看出，saml 的声明是一种程序包，是各 个授权方把各个声明组装在一块。一些情形下授权方是提供一些应用服务的企业， 可存在于因特网上随便一个位置。采用 xml 的格式来进行 saml 声明的一些定义。 authentication 声明，它是对一事实的声明，即认证系统对主体的认证已胜利完 成。为对主体进行鉴别，让其它安全域来参考，声明中对主体认证的方式、机构等 验证信息做了描述。 attribute 声明，有着关于主体的信用等级、访问限制、某些合法声明等一些特定 信息。在整个信任域里某个信任域里主体的有着的属性均可得以解释，是共识于信 任域中所有的成员的。 decision 声明，用来指明主体能进行或者被授权进行的操作。 对建立了声明的授权方，以 xml 的签名标准为准对其声明进行需要的数字签 名。 saml 的关键内容是声明，它的内容用 xml 表示，嵌套结果也可包含进来。可 用含有一系列的内部元素（用以代表一系列声明）的 envelope 元素。 2、请求/回应协议 该协议是对 saml 数据基于两方间互享时需要互换的消息格式和类别的规定。 这样用户则可对 saml 的权威部门递送请求，如对三种声明等有关信息查询，从 saml 权威部门获取回答。 saml 中有一 request/response 协议，协议中包含有请求/响应消息格式定义， 是基于 xml 的。包含四种请求，即属性查询、限制查询、机密查询与授权决定查询。 不管请求类别如何，响应格式（只包括作为回答的一种响应）只一种。若有不对的 地方，则给出错误消息。saml 客户端发起 saml 请求，安全服务则返回 saml 的 响应。 3、绑定 saml 定义了其消息的互换怎么通过标准传输协议与标准消息收发协议进行。 可用已有的许多协议来传输 saml 声明。soap 绑定是 saml 当前实现了的绑定。 第三章 采用的安全标准 第 13 页 共 48 页 soap 绑定就是对于 saml的请求/响应怎样用soap 发送、 接收。 绑定中可用http、 ftp、smtp 等协议，但 saml 是独立的。下图 4.2 体现了 soap 消息中 saml 请 求/响应消息的位置。 soap消息 soap头消息 soap正文 saml请求/响应 图 3.2 saml 绑定 而图 3.3 展现了声明、协议、绑定三者间关系。 saml规范 声明 有关主体的身份验证 、属性和授权信息 协议 用于处理声明的的请求 /响应消息 绑定 指定如何通过标准的传输和消息收发架构或 协议交换声明 图 3.3 saml 之规范体系 4、profile profile 是一个 rule set，用于给里面放入、得到和加入整合信息。现在定义核心 是两 rule set：一是用在 web 浏览器的 sso，一是用在 saml 中的 soap 绑定。由 于 cookies 文件的局限，二者都未用 cookies 文件。 3.1.4 saml 环境环境 使用 saml 的环境是一致统一行业的传输协议。它还给各个安全系统拿出了一 协同电子商务及其服务系统的安全性研究 第 14 页 共 48 页 通有的框架，让企业和供货商、用户和合作同伙间可靠认证、授予权限和基础资料 的互换。 saml 是一中间的平台，不用受供货商的基本结构的限制，因其是借着 xml 对 已有安全模式做描述。所以 saml 只需企业提前达成联盟的协议，做互操作的两点 可用不同的安全系统，它们都能识别并处理 saml 的数据。 3.1.5 saml 究竟怎样工作究竟怎样工作 它工作的原理如下图： 图 3.4 saml 工作原理10 使用者现给认证方（指 saml 能认出来的某一应用程序或一安全引擎）拿一个 证书；经由这些认证结构使用者将拿到 saml 的令牌形式的识别标记和认证。拿着 这个令牌试着访问某一被保护的资源，然后授权决策点根据自己的策略规范给出一 决议，若同意则产生一授权声明，附加于 saml 的标志上。最后使用者的 saml 标 记则可以 sso 方式出现在其联盟的合作者面前。 3.1.6 怎么用怎么用 saml 通过下面几个方式来使用 saml。 1、sso 方式 sso 即单点登录方式，是说用户在某一站点获取了认证授权后，只做一次登录， 若要访问其他有关站点的资源时，用户想访问的那个站点可用 saml 令牌从第一次 登录的站点取得访问者的证书信息。这个过程中是在后台处理信息互换，所以说各 个安全系统对访问者的资料做了定位。 2、authorization service 方式 常用在一个安全的边界范围内，访问者进入时，企业的 web 服务器向安全系统 要求认证，安全系统给访问者一令牌或则凭证，即生成一 saml 声明。根据凭证， 第三章 采用的安全标准 第 15 页 共 48 页 访问者发出请求后，就会从安全系统拿到访问人员的细致的信息，再通过这些信息 针对其请求给出一是否授权的决议。 3、b2b 方式 b2b 情况下，网上交易的两方可利用 saml 让各自的安全系统相互交换信息， 也可通过双方之外的其他企业的 saml 服务，交易时进行安全信息的断言和互换。 4、conversation 方式 以 sso 方式登录且会话参数不变和用于各站点的数据资源时，saml 可让访问 者在多个不同站点间随便前进。原始站点拿出一个凭证信息，目标站点坚持会话， 对要用的数据做验证。 3.2 xacml 标准标准 oasis 研发的以 xml 为基础的 xacml 标准在零三年二月时获批。xacml 是都可用的资源保护的策略语言和访问控制的语言11，它给出了用 xml 定义的语 法，来做访问系统资源时的管理，通常与 saml 一起用。 3.2.1 xacml 规范规范 这个规范是基于 xml 的一个访问控制方面的描述的策略语言， 而且还是访问控 制判别 request/response 语言。一般都可用的询问控制的需求（包括加入新功能，data type 等）的定义是由策略描述语言来实现，request/response 描述语言是让用户形成 以 query 即询问，来决定某一 action 即动作是不是允许它运行，且解释最后结果。4 个参数 deny，permit， indeterminate 和 not applicable 是访问请求所含有的关于用 户请求是不是被允许执行的问题中包括的。 执行的机制如此：如果有一用户想执行某一资源上（以 web 服务器或是一文件 系统）操作时，则会在事实上保护对这一资源的策略强行执行点 pep 发出一请求， 然后依据用户属性，想要用的资源、操作和另外的一些带着的信息来形成一 request， pep 再将这请求传至策略判断点 pdp，而 pdp 通过查看请求及它的策略信息，然后 给出这一访问是不是合法的回答，pep 将得到回答的返回，最后 pep 回应用户其请 求是否被允许。xacml 除是策略描述和 request/response 的语言，也有一些关系的 描述，比如定位请求对应的访问控制策略，并依据该请求与它的对应策略做出是否 相等的回答。 协同电子商务及其服务系统的安全性研究 第 16 页 共 48 页 下图为 xacml 访问控制的决策模型。 请求方策略执行点 (pep)责任 xacml上下文处理器 策略信息点(pip) 环境 请求评测责任 请求响应 属性 请求 属性 环境属性 策略决策点 (pdp) 判决结果 判决请求 策略管理点 (pap)主体 policy 资源资源 资源属性 主体 属性 图 3.5 访问控制决策模型之 xacml 5 3.2.2 xacml 语言模型语言模型12 模型的顶层即xacml访问控制的策略的根部是策略policy和策略集policyset， 在策略集里还可包含另外的策略和策略集，以便引用外地的策略及策略集。策略和 策略集可含有许多策略或是规则，且含有的这些有着不一样访问控制其判断结果的 决断，因而 xacml 采用一套合并算法来协调其判断结果。我们可以基于已有的多 种标准的合并的算法来建立满足自身要求的合并算法。 xacml 的策略决策点 pdp 要完成依据某一请求寻到对应策略的这部分工作， 为此 xacml 给出一个目标 target 特性，通过 target 可对某一请求中的策略，策略 集、规则 rule 碰到的在操作、资源、主项方面的限制做简化。若目标里全部条件均 符合，那么请求会关联至对应的 rule，policyset 以及策略上。通过布尔条件判断来 体现大部分的规则。条件成立返回规则结果，结果也可是错误或不适合。 属性 attributes 是执行时 xacml 的处理对象。属性有值并具有类型，是主体、 操作、资源或产生访问要求的环境特征值。属性值 attribute values 可以是访问者名 称，用户访问的期限，想要访问的文件，访问的时间等。当从策略执行点 pep 至策 略决策点pdp送出请求时， 将有一attributes扩展集被构成， 而且和策略中的attribute values 来对比，以产生有关访问控制的最终结果。 xacml 有着一特别的 bag 属性，指示者和选择者都以 bag 返回。指示者和选 择者通过设计一标记以便在无匹配项时生成一错误。若获得一个 bag 属性值，通过 一种方法对所得值比较来获取想要的关于是否许可进行访问控制的决定，通过一很 大的系统的函数集来实现。任意属性值的组合可为函数集的参数从而运作，传回系 统识别的各个类型的属性值。函数集还可构建分级的嵌套函数，可定义函数和特定 第三章 采用的安全标准 第 17 页 共 48 页 的数据类型共同起作用。 3.2.3 xacml 前后文前后文 其上下文很关键，是把应用程序和 xacml 的核心语言，还有其它内容分割开 来。下图描述了 xacml 规范应用范围及其上下文。xacml 用 xml schema 来定 义其上下文，对应用系统中 pdp 提供一输入、输出模式。这样不管应用程序环境如 何，表示法怎样，都必须将其变换为 xacml 的上下文。怎样转换不在 xacml 规 范之范围。 图 3.6 xacml 上下文5 3.3 xacml 与与 saml 关系关系 通常两个一块用，相互一起完成对访问者的识别认证和访问授权的控制。一 saml 请求发送给 xacml 以后，xacml 则依据提前定义的策略、规则来决定是 不是许可请求对某一资源的使用。 xacml 把授权属性（由权限、主体、角色等合并的）变为授权声明，saml 则使用与传输这些授权声明。 用 ssl 协议来提供网上安全的通信服务和套接层的技术。在 os 中 ssl 在应用 层协议与 tcp 协议的中间。它分为协商层和记录层两层。其结构如下图： 高层协议 ssl协商层 ssl记录层 传输层 低层协议 图 3.7 ssl 的结构框图 协同电子商务及其服务系统的安全性研究 第 18 页 共 48 页 协商层的工作流程是通过发送消息在客户方和服务器之间进行通信，通过利用 双方关于加密的协商约定来交换其数据。记录层是把收到的上层数据进行分段，用 协商层商量好的压缩方式来进行压缩与加密，然后经由传输层传送。ssl 是现在在 传输层上广泛采用的协议中的一个。 协同电子商务及其服务系统的安全性研究 第 19 页 共 48 页 第四章第四章 相关的安全技术相关的安全技术 针对电子商务安全问题做的研究大体总结起来有这样几类：窃取和截获信息、 篡改信息、虚假信息以及交易的抵赖等。对于电子商务安全性的确保，相应的电子 商务系统应做到这些要求，即完整性、保密性、有效性、可靠性以及完善的审查能 力。 协同电子商务之过程是交易各方在一个商业活动中共同协作的一系列过程，目 的是为了交易的完成，比第一阶段和第二阶段的电子商务所涉及的范围要广泛。复 杂的系统安全隐患自然也就越多，对协同电子商务来说最重要就是它的安全性的保 障。 设计一个协同安全服务平台，在其之上来实现 collaborative e-commerce 的通用 安全服务。该平台的实现以统一授权管理与身份认证为基础，因而对这种商务平台 来说它的安全问题核心就是如何授权管理以及怎样进行身份认证。同时企业间共享 信息的安全传输一样要关注解决。 在协同安全服务系统里会用到身份认证的技术，访问控制的技术以及网络中的 数据加密技术，数字签名技术。 4.1 身份认证技术身份认证技术 图 4.1 安全系统的逻辑结构 电子商务里为保证交易安全的重要手段是访问控制和身份认证，以确保交易双 方间的互相信任。安全系统中的首道关卡就是身份认证，如上图 3.1 表示的，访问 电子商务安全系统之前，用户应先通过身份验证先验明身份，接下来用户能够访问 哪个资源再由访问监控器依据用户身份和授权的数据库来决定。本节介绍身份验证。 4.1.1 身份认证有关概念身份认证有关概念 身份认证指确定某个主体身份。其它安全机制的基础就是身份认证机制，是就 不合法用户访问网络资源的限制。文中介绍的身份验证指的是针对实体在信息安全 域里的身份验证。 安全域也称信任域，是一个受保护域，由一些主机或是资源组合而成，这些资 第四章 相关的安全技术 第 20 页 共 48 页 源或主机采用统一的访问控制策略。一个安全域可认定就是一个企业，里面有一个 中心安全服务器，用来辨别进入该安全域的用户。 把一人或一组织，也可是一个服务，一个应用等称为一个主体。这个概念是针 对一个安全域来说。主体可以有多于一个的身份，代表主体不同的访问权限，所以 当对某关键资源访问时，主体要声明并证明他的身份。 4.1.2 主要的方式主要的方式 主体对安全域做自己身份证明的一个过程就是身份认证。根据基于的因素不同， 认证的方式也有不同类型，比如基于口令的身份认证，基于证书的，基于智能卡的， 基于生物特征的方式 15。 1、以口令为认证依据 口令是用户自己设定的，只有自己知道的一些东西。当一用户输入了正确的口 令后，计算机就承认输入者是合法用户。这种身份认证的方式是非常不安全的。因 为口令这种静态的数据验证时要在网络和内存中传输，用来验证的信息每次都相同， 所以极其容易被一些木马或者网上的监听所截取。 2、以智能卡为认证依据 具有硬件加密的智能卡其安全性较高。一用户一卡，其上储存着用户自己秘密 信息，与存在验证服务器上的用户信息一致。用户通过输入自己的身份识别码，由 智能卡对其输入认证，成功以后就会读出卡里信息，然后和主机间执行认证。这虽 是一种双重因素的身份认证方式，安全性相对高一些，但从卡上读的数据依然是静 态，利用某些技术依然较容易截获用户用来验证身份的信息，安全隐患依然存在。 3、以生物特征为认证依据 这种方式的安全性，有效性以及可靠方面较好，是利用计算机与网络对用户唯 一可靠的指纹、虹膜等进行识别。这种方式现在依然存在较大局限性。它的稳定性 与准确性容易受影响，系统成本很高，还未能大范围使用。 4、以证书为认证依据 该方式采用公钥技术来做身份的识别。用户使用私钥进行消息的加密，接收消 息一方使用用户公钥解密。这就需要对接收方使用的公钥进行确认，可采用可信机 构签发的数字证书做验证。利用认证中心通过它的公钥对证书来验证。这种方式是 一双向认证过程，安全性比较高，现已广泛使用。 具体应用中，究竟选择哪种方式要根据系统需求与认证机制安全性能结合考虑。 协同电子商务及其服务系统的安全性研究 第 21 页 共 48 页 4.2 访问控制技术访问控制技术 访问控制是为保障网上资源不会被非法访问与使用，是主要策略之网络保护与 安全防护。这种与其它技术特别是身份认证技术联系紧密。 4.2.1 主要概念主要概念 访问控制通过对核心资源访问能力与范围的限制，阻止一些不合法用户进