基于Web服务的电子商务平台的信息安全技术研究.pdf

基于 Web 服务的电子商务平台的信息安全技术研究1 于戈，董晓梅，刘海波，申德荣，杨晓春 （东北大学信息科学与工程学院，沈阳110004） E-mail: yuge@ 摘要：电子商务平台的安全性，是决定其整体性能的一个重要因素，如果没有一套有效的安 全机制，合作企业间的各种商业活动将无法顺利进行。为切实保证支持 e_ Business 的安全 性，本文针对基于 ASP 模式的电子商务平台，提出了一套先进而有效的电子商务平台安全技 术，解决电子商务平台中亟待解决的安全问题，为电子商务平台提供信息保密、访问权限控 制、数字签名、身份认证以及入侵检测等安全性保障。 关键词：web 服务，信息保密，访问控制，数字签名，入侵检测 1．引言 随着基于面向服务模式构建软件应用的新概念的提出，Web 服务 （Web Services ）成为 基于 Internet 的新一代电子商务的框架结构，基于 Internet 的B2B 和 B2C 的网上经营和管理 模式正在成为商业主流。为了满足中小企业的需求，一种新的服务产业正伴随着互联网的发 展而迅速崛起，即应用服务供应商 ASP 。ASP （Application Service Provider ）是指通过在互 联网络上配置、租赁和管理商业应用服务解决方案，为商业和个人顾客提供应用系统服务的 公司，为企业用户提供所需的 Web 网上服务及托管企业数据信息等所有可能的一切服务。 企业用户只需按需交纳一定的租用服务费用。这就是当前国际上正在兴起的基于 ASP 模式 的电子商务平台。ASP 服务模式为中小型企业提供了廉价的按需的网上服务业务，提高了 中小企业的市场竞争力。据预测，基于 ASP 模式提供的低廉、安全、灵活的 Web 服务将成 为为中小企业主要的商业运营管理模式。 但是，Web 服务由于推出的历史并不很长，存在着许多安全隐患。如 Sun 公司的 J2EE 、 IBM 公司的 Web Sphere 、微软公司的 Windows.Net 等 Web 服务运行环境,其推广成功与否都 极大地依赖于安全性问题的解决，这仍是亟待解决的难题。所以，微软公司提出了今后的研 究目标之一是可信赖计算（trustworthy computing ）。 电子商务平台的安全性，是决定合作伙伴商业运营整体性能的一个重要因素，如果没有 一个有效的安全机制，合作企业间的各种商业活动将无法顺利进行。国内外在对电子商务的 研究中，都不同程度地考虑了系统的安全性问题，并提出了一些解决方案，包括建立虚拟专 [1] [2] [3] 网（VPN ） ，构造安全通信基础设施 ，以及建立虚拟认证机构等 。 1 本课题得到教育部高等学校博士学科点专项科研基金 (20030145029) 、国家 863 计划 CIMS 主题 (2003AA414210)、国家自然科学基金 和教育部优秀青年教师科研教学奖励计划资助。 - 1 - 另一方面，由于目前的基于 TCP/IP 的 Internet 体系存在大量的安全隐患，ASP 在集中 了大量企业信息的同时，也就成了被非法者攻击的首选目标。特别是目前的许多操作系统存 在大量的安全漏洞，并且入侵者会随着安全技术发展而不断改进入侵技术，因此网络入侵行 为存在很大的不确定性。近年来，入侵行为的发展趋势能够看出，网络入侵已经由以前的单 用户行为向复杂的多用户的分布式协作式入侵发展。这种多用户的分布式协作入侵原理简 单，危害巨大，在攻击时夹杂在正常的网络通信中，不易检测与防范。例如简单的 DOS 和 [4] 分布式 DOS 入侵就可能导致 ASP 的全面瘫痪，造成重大损失 。 因此，为切实保证支持 e