电子商务的安全性设计与实现毕业设计论文.doc

毕业设计说明书电子商务系统的安全性设计与实现0806064157 电子与计算机科学技术邓洪跃学生姓名： 学号： 网络工程学 院： 韩燮专 业： 指导教师： 2012年 5 月电子商务系统的安全性设计与实现摘要随着计算机网络与因特网技术的发展与普及, 电子商务已逐步进入人们的日常生活, 电子商务活动已经演变成利用因特网进行经济活动的网络经济。在电子商务环境下所进行的交易活动中，其安全性，可靠性，不可否认性等一直是人们关注的问题。电子商务系统的安全性，涉及到对称加密算法和非对称加密、SSL协议、数字签名和数字证书。数字证书是对数字签名的应用。数字证书的制作需要利用openssl来生成根证书与密钥、服务器端证书与密钥、客户端证书与密钥。整个系统是利用PHP来实现后台逻辑与显示，HTML和JS来实现前端的排版与交互特效。系统逻辑业务主要是会员的注册与登录，选择商品加入购物车，实现在线购买。在用户进行注册之后，下载数字证书，然后再进行登录时，要实现对用户的认证就需要对客户端证书的验证，没有数字证书和非本人的证书不能登陆，防止用户账号被盗后被别人登陆进行非法操作。对客户端证书的验证需要apache服务器对SSL的支持，以及客户证书的自动生成，写入相关信息来完成对用户的协议的上的认证和业务逻辑上的认证。关键词：电子商务，安全性，apache, SSL, 认证Design and Implementation of the security of e-commerce system Abstract Along with the computer network and the Internet technology development and popularization, e-commerce has gradually entered the Peoples Daily life, e-commerce affairs activity has evolved into using Internet to economic activities of the network economy. In the electronic commerce environment the trading activities, their safety, reliability, cant denial of the concern has always been a problem. The electronic commerce system security, involves the symmetrical encryption algorithm and asymmetric encryption, SSL protocol, digital signatures and digital certificate. Digital certificate is to the application of digital signature. Digital certificate production need to use to generate a certificate and openssl key, the server certificate and key, the client certificate and key. The whole system is using PHP to realize logic and display background, HTML and JS to realize the typesetting and interactive front special effects. The main business of the system logic is member of the registration and login, choose goods add to cart , realize the online purchase. In users after registering, download digital certificate, and then when they log on, to realize the need of user authentication of client certificate validation, no digital certificate and not my certificate cant log in, preventing the user accounts have it stolen operating illegally landing by others. To the client of the apache server validation certificate need to SSL support, and customers of the automatic generation of certificate, written to the related information to complete the agreement to the user authentication and the business logic of the authentication. Key Words: e-commerce，security，apache，SSL，authentication中北大学2012届毕业设计说明书目 录1 绪论11.1 论文选题背景11.2 电子商务安全的内容11.3 电子商务对信息安全的需求21.4 电子商务信息安全面临的威胁31.4.1 电子商务信息传输安全隐患31.4.2 电子商务交易双方的信息安全隐患32 电子商务各种安全技术分析42.1 SSL安全套接层42.2 对称加密52.3 非对称加密62.4 数字摘要72.5 数字签名72.6 数字证书83 电子商务安全系统分析和设计103.1 电子商务系统分析103.1.1 可行性分析103.1.2 需求分析103.2 网站功能模块103.3 电子商城的功能分析113.3.1 网站工作流程分析113.3.2 网站用例分析143.4 详细设计173.4.1 数据库设计173.5.2 模块设计223.5 电子商务系统测试273.5.1 电子商务系统安全性测试273.5.2 电子商务系统购物功能测试303.6 电子商城架构设计334 章电子商务安全实验环境配置和测试354.1 服务器（apache）的相关配置要求354.2 客户端（浏览器）的相关配置要求374.3 SSL环境测试结果375 结束语39参 考 文 献40致 谢42第 I 页 共 I页 中北大学2012届毕业设计说明书1 绪论1.1 论文选题背景随着计算机网络与因特网技术的发展与普及, 电子商务已逐步进入人们的日常生活, 电子商务活动已经演变成利用因特网进行经济活动的网络经济。网络银行和网络商城等的出现, 正悄悄地改变人们的购物方式、消费方式和生活观念, 更方便了人们的日常生活, 真正实现了“24小时、全天候、足不出户、送货上门”的理财与消费方式。目前, 影响电子商务发展的最大障碍之一是消费者担心他们的信用卡信息的泄密。由于电子商务中交易双方互不见面, 将会产生许多传统商务模式中不会出现的安全问题, 如假冒、否认、欺诈、泄密、网络黑客、通信监听和木马病毒等。因此, 交易的安全是确保电子商务过程能够顺利进行的必要条件。电子商务是建立在因特网上的一种商业应用, 因特网使得电子商务能够以比较低廉的成本从事较大经济规模的商业活动。而电子商务是否可以蓬勃发展, 进而掌握未来的经济命脉, 完全依赖于安全技术的研究与发展以及安全交易架构的建立1。1.2 电子商务安全的内容 电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此，电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。计算机网络设备安全是值设备不受到人为或者不确定因素的影响。计算机网络系统是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与电子商务交易安全实际上是密不可分的，两者相辅相成，缺一不可。没有计算机网络安全作为基础，商务交易安全就犹如空中楼阁，无从谈起。没有商务交易安全保障，即使计算机网络本身再安全，仍然无法达到电子商务所特有的安全要求。1.3 电子商务对信息安全的需求在电子商务环境下所进行的交易活动中，其安全性，可靠性，等一直是人们关注的问题。为了保障在整个电子交易过程中能够安全顺利的完成网上交易，电子商务的信息安全有以下几方面需求2-4:(1) 信息的保密性。电子商务作为贸易的一种手段，其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务则建立在一个开放的网络环境(Internet)上，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防非法的信息存取和信息在传输过程中被非法窃取。(2) 保密性一般通过密码技术对传输的信息进行加密处理来实现。信息的完整性。数据输入时的意外差错或欺诈行为，可能会导致贸易各方信息的差异。另外，数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此，贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。(3) 信息的真实性。只有信息流、资金流、物流的有效转换，才一能保证电子商务的顺利实现，而这一切是以信息的真实性为基础。信息的真实性一方面是指网上交易双方提供信息内容的真实性;另一方面是指网上交易双方身份信息的真实性，即对人或实体的身份进行鉴别，为身份的真实性提供保证，使交易的双方能够在相互不见面的情况下确认对方的身份。一般可通过认证机构和证书来实现。(4) 信息的不可抵赖性。对进行电子商务交易的贸易双方来说，一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已经不可能。因此，要在交易信息的传输过程中为参与交易的个人，企业或国家提供可靠的标识。(5) 信息的有效性。电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此，要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，这对于保证贸易数据在确定的时刻、确定的地点是有效的。1.4 电子商务信息安全面临的威胁1.4.1 电子商务信息传输安全隐患 信息传输安全是指电子商务运行过程中，物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括5: (l) 窃取商业秘密; (2) 攻击网站; (3) 网上诈骗; (4) 否认发出信息。1.4.2 电子商务交易双方的信息安全隐患传统商务活动是面对面进行的，交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet的信息流动来实现商品交换的，信息技术手段使不法之徒有机可乘，这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁6：(1) 卖方面临的信息安全威胁。例如，假冒合法用户名义改变商务信息内容，致使电子商务活动中断，造成商家名誉和用户利益等方面的受损;恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;信息间谍通过技术手段窃取商业秘密;黑客入侵并攻击服务器，产生大量虚假订单挤占系统资源，令其无法响应正常的业务操作。(2) 买方面临的信息安全威胁。如用户身份证明信息被拦截窃用，以致被要求付帐或返还商品发送的商务信息不完整或被篡改，用户无法收到商品；受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭黑客破坏，计算机设备发生故障导致信息丢失。2 电子商务各种安全技术分析2.1 SSL安全套接层 SSL安全协议最初是由Netscape Communication公司设计开发的，又叫“安全套接层（Secure Sockets Layer）协议”，主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接字的客户和服务器间事务安全的协议，它涉及所有TC/IP应用程序。(1) SSL安全协议主要提供三方面的服务7： 1) 用户和服务器的合法性认证 认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了验证用户是否合法，安全套接层协议要求在握手交换数据进行数字认证，以此来确保用户的合法性。 2) 加密数据以隐藏被传送的数据 安全套接层协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换SSL初始握手信息，在SSL握手情息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。 3) 数据的完整性 安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。要说明的是，安全套接层协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护。例如，一台客户机与一台主机连接上了，首先是要初始化握手协议，然后就建立了一个SSL。对话进段。直到对话结束，安全套接层协议都会对整个通信过程加密，并且检查其完整性。这样一个对话时段算一次握手。而HTTP协议中的每一次连接就是一次握手，因此，与HTTP相比。安全套接层协议的通信效率会高一些。(3) SSL握手过程说简单点就是8： 通信双方通过不对称加密算法来协商好一个对称加密算法以及使用的key, 然后用这个算法加密以后所有的数据完成应用层协议的数据交换。握手一般都是由client发起的，SSL也不例外。client送给server它自己本身使用的ssl的version(ssl一共有三个version),加密算法的一些配置，和一些随机产生的数据，以及其他在SSL协议中需要用到的信息。 SSL握手有三个目的：客户端与服务器需要就一组用于保护数据的算法达成一致；它们需要确立一组由那些算法所使用的加密密钥；握手还可以选择对客户端进行认证。2.2 对称加密 对称加密算法是应用较早的加密算法，技术已经很成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密(也叫私钥加密)指加密和解密使用相同密钥的加密算法。有时又叫传统密码算法，就是加密密钥能够从解密密钥中推算出来，同时解密密钥也可以从加密密钥中推算出来。而在大多数的对称算法中，加密密钥和解密密钥是相同的，所以也称这种加密算法为秘密密钥算法或单密钥算法。它要求发送方和接收方在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密，所以密钥的保密性对通信性至关重要。 对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。而与公开密钥加密算法比起来，对称加密算法能够提供加密和认证却缺乏了签名功能，使得使用范围有所缩小。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性。2.3 非对称加密非对称加密算法（asymmetric cryptographic algorithm）又名“公开密钥加密算法”，非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。非对称加密算法需要两个密钥：公开密钥（public key）和私有密钥（private key）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。 非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。 非对称加密算法另一方面，甲方可以使用自己的私密钥对机密信息进行加密后再发送给乙方；乙方再用甲方的公钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。 非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要。非对称密码体制的特点：算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥，并且是非公开的，如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全，而非对称密钥体制有两种密钥，其中一个是公开的，这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。非对称加密算法的工作原理如下9： (1) A要向B发送信息，A和B都要产生一对用于加密和解密的公钥和私钥。(2) A的私钥保密，A的公钥告诉B；B的私钥保密，B的公钥告诉A。(3) A要给B发送信息时，A用B的公钥加密信息，因为A知道B的公钥。(4) A将这个消息发给B（已经用B的公钥加密消息）。(5) B收到这个消息后，B用自己的私钥解密A的消息。其他所有收到这个报文的人都无法解密，因为只有B才有B的私钥。2.4 数字摘要 数字摘要也就是Hash函数,是将任意长度的消息变成固定长度的短消息，它类似于一个自变量是消息的函数。数字摘要就是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度（128位）的密文这一串密文又称为数字指纹，它有固定的长度，而且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。数字摘要在数字签名中应用如下10：（1） 被发送文件用SHA编码加密产生128bit的数字摘要。（2） 发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。（3） 将原文和加密的摘要同时传给对方。（4） 对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。 （5） 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过；否则不然。2.5 数字签名 数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。数字签名是个加密的过程，数字签名验证是个解密的过程。签名过程:“发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密，这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方，接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要，接着再用发送方的公用密钥来对报文附加的数字签名进行解密，如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。 一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。2.6 数字证书 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。 数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。 数字证书实现了以下四大要素11，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性，即： （1）信息的保密性交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。 （2）交易者身份的确定性网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。 （3）不可否认性由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。 （4）不可修改性人们在感叹电子商务的巨大潜力的同时，不得不冷静地思考，在人与人互不见面的计算机互联网上进行交易和作业时，怎么才能保证交易的公正性和安全性，保证交易双方身份的真实性。国际上已经有比较成熟的安全解决方案，那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。3 电子商务安全系统分析和设计3.1 电子商务系统分析3.1.1 可行性分析本项目是在WINDOWS上用apache2.2、php5、mysql5.5开发的，同时也可以移植到linux环境下面。硬件方面，服务器的计算机只需要256MB内存，CPU达到512MB Hz即可。综上所述，此系统开发目标已明确，在技术和经济等方面均可行。因此系统的开发是完全可行的。3.1.2 需求分析 此系统需要完成如下功能 (1) 客户能搜索到自己的家； (2) 客户能调整自己的配置单； (3) 客户下单、查看订单、删除订单； (4) 客户注册、生成数字证书、安全登录，查看、修改个人信息，修改密码； (5) 情报人员对户型图管理。 (6) 设计管理布置图模型、和产品管理 (7) 对安全性的设计，实现对客户的认证、数字签名功能、抗否认性3.2 网站功能模块网站包括前台与后台，后台包括四个模块：产品管理 布置图模型管理、户型图管理 会员管理。前台包括四个大模块：搜索、网装商城、样本工程、方案大全、安全性设计；其中网装商城又包括了三个模块：商城显示、购物车功能、支付功能。安全性设计包含注册功能和安全登陆功能。图3-1 网站功能模块图3.3 电子商城的功能分析3.3.1 网站工作流程分析(1) 网站的前台工作流程，如图3-2所示图3-2 前台工作流程(2) 后台简管理化的流程图3-3 后台工作流程(3) 安全性设计的流程图3-4 安全性设计流程 3.3.2 网站用例分析(1) 客户在前台能实现的功能，如图所示图3-5 客户用例图(2) 后台人员实现的功能图3-6 情报人员用例图图3-7 设计师用例图3.4 详细设计3.4.1 数据库设计 表3-1 wz_member 会员表字段类型空默认注释engineer_idint(11)是NULL所属网装工程师编号emailchar(32)否注册邮箱visittinyint(1)否是否回访roleidint(11)否6用户组IDreal_namevarchar(20)否真实姓名sextinyint(1)否1性别，1表示男passwordvarchar(32)否密码phonechar(15)否手机号码addressvarchar(40)是0居住地址detailed_addressvarchar(100)否详细地址ageint(11)是0年龄Id_numbervarchar(100)否身份证号lastipchar(15)否0最后登录IPregipchar(15)否0注册IPregdatetimestamp否CURRENT_TIMESTAMP注册时间lastdateint(11)否0最后登录时间戳pfxvarchar(100)否是否下载过证书是否下载过证书是否下载过证书是否下载过证书是否下载过证书表3-2 wz_product网装产品表字段类型空默认注释idint(11)否产品自增IDcateg_idint(11)否0产品类别IDcateg_fidint(11)否产品前台分类SortPathvarchar(50)否类数字路径addressint(11)否产品地址p_identifiervarchar(20)否0产品代码标示pro_specificationvarchar(50)否产品规格namevarchar(40)否0产品名字ridint(11)否房间IDproductstext否组合产品discountint(11)否折扣introductiontext否产品简介descriptiontext是NULL产品描述续表3-3 wz_product网装产品表add_datetimestamp是CURRENT_TIMESTAMP录入时间picture_urlvarchar(100)是0原图图片地址thumb_urlvarchar(100)是0缩略图地址shop_urltext是NULL商城大图shop_thumb_urltext是NULL商城小图index_urltext是NULL首页推荐图index_thumb_urltext是NULL首页推荐图brand_idint(11)是0供应商品牌IDunitvarchar(10)是0产品出售单位名称square_meters_unitvarchar(10)是NULL平米单位market_pricefloat是0产品市场价true_pricefloat是0网装价square_meters_pricefloat是0平米价格installationfloat是0安装费is_displaytinyint(1)是1是否显示is_display_fronttinyint(1)否0前台是否显示create_html_timeint(11)是0生成静态网页时间hitint(11)是0点击次数buy_sumint(11)是0销售量athorvarchar(20)是0录入人templete _stylevarchar(30)是0模板风格sortint(11)是0排序推荐is_hotint(11)否0是否热卖is_newint(11)否0是否新品is_bestint(11)否0是否精品is_woodtinyint(1)否1是否木作positionint(11)否前台位置hot_sortint(11)否0热销排序best_sortint(11)否0精品排序work_hoursint(11)是0工时new_sortint(11)否0新品排序wood_sortint(11)否0木作产品排序unwood_sortint(11)否0非木作排序表3-4 wz_product_category_front 产品前台类别表 字段类型空默认注释idint(11)否自增idfidint(11)否父idSortPathvarchar(100)否数字路径namevarchar(100)否类别名称levelint(11)否类别级别sortint(11)否排序ViewFlagtinyint(1)否1是否显示表3-5 wz_order订单表 字段类型空默认注释idint(11)否自增IDorder_idchar(21)否订单编号transaction_idchar(28)否腾讯订单号midint(11)否会员idaddressvarchar(100)否订单地址sumpricefloat否订单的总价statussmallint(1)否1订单状态datetimestamp否CURRENT_TIMESTAMP插入时间time_successint(11)否1支付成功时间is_displayint(11)否1是否显示commentstext是NULL评语work_hoursint(11)是0工时表3-6 wz_order_products订单表的具体产品表 字段类型空默认注释idint(11)否自增IDorder_primidint(11)否order表自增IDroomtypeint(11)否房间类型productidint(11)否产品IDnumint(11)否产品数量pricefloat否产品价格statusint(11)否0单个产品状态midint(11)否所属会员ID表3-7 wz_cart 购物车 字段类型空默认注释cart_idint(11)否购物车编号midint(11)否会员idproductstext否购买的产品statustinyint(1)否0购买状态is_configtinyint(1)否0是否是配置单datetimetimestamp否CURRENT_TIMESTAMP购买时间表3-8wz_apartment户型图表 字段类型空默认注释IDint(11)否arra_idint(11)是0户型图标识IDnamevarchar(30)是0户型图名字urlvarchar(60)是0户型图URLthumb_urlvarchar(100)是0缩略图地址address_idvarchar(60)是0地址字符串编码squarefloat是0面积authorvarchar(100)否上传人m_idint(11)否承接人idundertake_dateint(11)否承接时间is_completetinyint(1)否0是否完成表3-9 wz_arrange_map_storage布置图模块表 字段类型空默认注释idint(11)否自增idurlvarchar(100)否0图片路径thumb_urlvarchar(100)否0图片缩略图productstext否0产品串ridint(11)否0房型idroom_sort_pathvarchar(100)否0房间数字路径lidint(11)否0档次idcodevarchar(50)否模块代码code_extravarchar(50)否模块代码备注wxint(11)否宽小wdint(11)否0宽大lxint(11)否长小ldint(11)否长大authorint(11)否上传人add_datetimestamp否CURRENT_TIMESTAMP添加时间undertake_adminint(11)否承接人IDundertake_dateint(11)否承接时间over_dateint(11)否完成时间effect_urlvarchar(100)否效果大图effect_thumb_urlvarchar(100)否效果缩略图layout_analysisvarchar(1000)否布局分析function_realizevarchar(1000)否功能实现effect_evaluationvarchar(1000)否效果评价3.5.2 模块设计(1) 搜索模块设计 点击搜索框，弹出搜索层，根据地区进行搜索用户的家图3-8 搜索框弹出层（2） 配置单模块设计 搜索的结构是每个家的各个房间的户型图 、效果图、以及效果图对应的产品列表。吃页面大量应用了JS特效，才有ajax进行加载每个房间的数据，使网站的加载速度大大提升。在切换每个房间时，下面每个房间对应的产品列表自动切换当前房间的方案，同时还能在线增加、删除、修改单个产品功能，并统计出单个房间的和总共的价格。图3-9 配置单页面 （3） 安全性模块设计 登陆和注册设计在一个页面，并且登陆是，是SSL安全登录，注册时会生成图3-10 注册和登陆页面 在登陆是提交的页面为HTTPS协议开头的地址，在HTTPS下，会进入SSL会话过程，在此过程中会对客户的数字证书进行验证，并且必是和账号一致的数字证书才能通过验证。 （4） 购物车模块设计 在用户点击配置单将产品加入购物车后，购物车中根据不同房间来显示不同的配置，并且计算好各个房间价格和总的价格图3-11 购物车页面 下图是最终下单完成后的订单显示页，显示订单的各种状态图3-12 查看订单页面 （5）产品管理模块设计 可以对产品进行添加、删除、修改、分类。排序、搜索等操作图3-13后台产品管理页面 （6）户型图布置图模块设计图3-14 户型图管理页面图3-15布置图模型管理页面3.5 电子商务系统测试3.5.1 电子商务系统安全性测试 注册用户并生成数字证书图3-16 测试注册 下载数字证书，并安装图3-17 提示安装证书 登陆时，服务器对客户端的数字证书认证，假如选择的不是和服务器相同的CA认证的证书，直接中断SSL会话。假如选择不是注册时的生成的证书，如CN的图3-18 证书弹出框虽然能够进行SSL通信，但是证书信息不符合，不能登陆 图3-19 信息提示假如选择第一个证书，那么登陆成功图3-20 个人后台首页3.5.2 电子商务系统购物功能测试 （1） 在配置单中给卫生间添加商品图3-21 配置单页面（2）进入商场首页，右边有提示，正在给卫生间添加商品图3-22 商城首页（3）成点击产品，添加商品成功。图3-23 产品详细页（4）返回配置单图3-24 显示新增加的产品（5）去购物车结算，跳转到腾讯财付通；由于在本地测试，只能数额的金钱才能被财付通正确识别，所以再代码中改为1分钱测试。图3-25 财付通结算页面3.6 电子商城架构设计 整个网站采用的是MVC的架构，即Model View Controller三部分，实现数据和视图的分离，方便开发和维护。主要结构如下图所示： 图3-26 网站整体文件core文件夹存放整个网站的框架路由和核心函数文件；modules目录是存放控制器类的目录，数据处理主要在这里；TPL目录是视图（模板）文件目录，前台的显示页面存在在此。如：/index.php?m=mall&c=index&a=init ，进入网站是单一入口哦index.php这个文件，里面接收问号后面的参数m为模块文件名称，c是控制器类名称，a是方法名称，如