【摘要】随着因特网（Internet）的飞速发展和信息经济、网络经济等概念的提出，电子商务越来越受到人们的关注，尤其是随着Internet技术的日益成熟，电子商务真正的发展将是基于Internet技术之上的。本文详细阐述了本文所提出的基于Internet的电子商务安全系统的需求分析，并具体描述电子商务安全系统的功能模块设计，包括：基于Web Service的PKI系统的设计和基于优化的XML安全技术的电子订单的设计。

　　【关键词】Internet；电子商务；安全系统

　　The Design of Electronic Commerce Security System

　　nanjingxiaozhuang university xingzhi college  wei jun zhang  jing xie   211171   jiangsu nanjing

　　【Abstract】With the Internet （Internet） and the rapid development of information economy， network economy， put forward the concept of e-commerce more and more attention， especially with the Internet technology has become more sophisticated e-commerce development will be based on the real Internet Technology above. This paper describes the proposed in this paper e-commerce-based Internet security system needs analysis， and specifically describe the function of e-commerce security systems modular design， including： Web Service for PKI-based system design and optimization of XML-based electronic security technology order design.

　　【Key words】Internet； e-commerce； Security System

　　电子商务是现代计算机和网络技术迅猛发展的产物，它以其简单、高效、跨区域等优点潜移默化的改变了人们的生活。随着信息技术与数字化网络迅速发展和普及，电子商务成为当今信息化研究的热点。Internet的全球化、开放性特点，使得基于Internet的电子商务的安全性问题日益突出。建立电子商务安全体系结构，成为电子商务建设中首先需要解决的问题。

　　一、电子商务安全系统的需求分析

　　1.1基于Web Service的PKI系统

　　传统的PKI系统是客户端和传统PKI服务的两层模式。然而客户端可能遵循不同的传统PKI标准规范，例如X509、SPKI或者PGP，每种PKI解决方案都有相对应的语法和语义，使得客户端应用程序的复杂性增加。

　　相比传统的PKI体系，基于Web Service的PKI工作模型是灵活的分布式应用框架，其表现的优越性具体如下：

　　（l）解决了传统PKI客户端的互联互通问题，特别适合客户机与服务器通信，可以跨越防火墙或代理软件通信；

　　（2）降低了客户端应用程序开发配置的复杂性；

　　（3）减少了网络流量，将传统PKI服务生成的证书备份到数据库中的策略，在一定程度上减少了网络流量；

　　（4）具有可扩展性，支持实时交互和协作。满足大规模系统的需要，提高系统处理效率，有效解决了传统PKI体系存在多方面的缺点，有利于PKI体系的发展。

　　基于Web Service的工作模式的PKI系统有效的解决了传统PKI产品之间的互联、可扩展等问题。

　　1.2改进基于XML安全技术的电子订单

　　扩展标记语言XML （ Extensible Markup Language）是世界万维网联盟制定的一种数据标准。它以其结构化、互操作性、易于交换和可扩展性的特点在很多行业得到了广泛的应用。XML为实现安全、高效的电子商务提供了一种开放的标准，它解决了传统数据交换的一些弱点，将中小企业带入到电子商务之中。使用XML结构化的数据可以将数据从商业规范和表现形式中分离出来，便利地进行交换和处理，所以它一经出现就成为新一代数据交换的标准。但是电子商务将关注过多地放在实现数据交换上，对于保证XML数据安全的问题缺乏足够的重视。随着现有解密算法提出的新挑战，忽视XML数据的安全会使得交易中的机密信息和敏感信息面临危险。

　　二、基于Web Service的PKI系统的设计

　　本系统选择最简单的单CA信任模型，即整个PKI体系中只有一个CA，用来负责证书申请、证书签发、证书策略的制定及密钥托管和恢复等功能。PKI中所有的终端用户都信任这个CA，它为PKI中的所有终端用户签发和管理证书。这种模型的优点是容易实现，易于管理，所有的终端用户都能实现相互认证，但是不易扩展到大量的、不同的群体的用户。

　　基于Web Service的PKI工作模型分三层或多层，其中最基本的三层结构为：客户端、Web服务及数据库。

　　2.1PKI系统的功能模块设计

　　本PKI工作模型的功能模块主要由证书注册模块、证书生成模块及证书管理模块组成，其中证书管理模块包括证书查询模块、证书删除模块及证书编辑模块构成。

　　（1）证书注册模块：用户完成证书申请注册的功能。

　　（2）证书生成模块：用户信息审核之后，生成证书并签发给用户的功能。

　　（3）证书管理模块：CA中心管理员完成证书查询、删除、编辑的功能。

　　为了便于维护和管理，CA各个模块之间都是相互独立设计和编码，这样如果在以后的升级中，添加新的模块功能，或者是修改模块功能，其他模块都可以不需要改变其源代码。

　　2.2PKI系统的分层实现设计

　　从软件的实现的角度来看，这几项功能的实现可分为四个逻辑层，分别为：Web层、业务外观层、Web服务层、数据访问层。这四层实现的功能分别为：

　　（l）Web层：为客户端提供对应用程序的访问。Web层由ASP.NET Web窗体和代码隐藏文件组成。Web窗体只是用HTML提供用户操作，而代码隐藏文件实现各种控件的事件处理；

　　（2）业务外观层：为Web层提供处理证书注册、证书签发、证书查询、证书删除和证书编辑界面。业务外观层用作隔离层，它将用户界面与各种业务功能的实现隔离开来。

　　（3）Web服务层：包含各种节触b服务的实现。

　　（4）数据访问层：为Web服务层、业务外观层提供数据服务。

　　三、基于优化的XML安全技术的电子订单的设计

　　传统的数据传输方式的风险在于密文数据保存在原XML文档中，并一起进行传输。所以，当整个XML文档被截取或非法复制后，由于现有加密或签名算法的缺陷， XML文档会被非法用户获得。针对上述XML数据传输方式所存在的风险，本文在实现 WS Security规范所提出的安全标准的基础上做出改善，把密文信息与原XML文档分离传输，设计出一个新的可应用在电子商务信息系统中的XML数据安全传输方案。通过实现这个 XML数据的安全通信方案，电子商务系统可实现XML数据较高的通信安全性和认证安全性。

　　3.1电子订单发送端功能设计

　　在发送端，电子订单处理流程如下：

　　（l）将电子订单生成XML文档；

　　（2）根据XML文档中各元素内容的重要性编制一个DTD文档对XML文档进行分解，并生成一个XSLT样式表；

　　（3）使用由W3C最新制订的XSLT 2.0技术把单一的XML文档转换为多个独立的XML文档；

　　（4）根据XML数据的保密程度对该分离后的XML文档进行XML签名确认，为保证数字签名的有效性，使用SHA-256的签名算法对XML数据进行签名确认；

　　（5）签名后，对各XML文档进行加密（如DES算法），对DTD文档和XSLT样式单使用XML加密中高安全等级的加密算法（如RSA算法）进行加密；

　　（6）把 XML数据、DTD文档和XSLT样式单传输到接收端。

　　3.2电子订单接收端功能设计

　　在接收端，电子订单处理流程如下：

　　（1）首先对接收到的各XML文档进行解密和签名认证；

　　（2）然后利用 XSLT2.0技术，根据DTD文档和XSLT样式单的记录，把分解后的各XML文档重新组合为单一的文档。

　　在本方案中，因为多个单独的XML文档难以在网络中被全部截取，而缺少任何一个分解后的XML文档就无法重组为原XML文档，所以在一定程度上保障了XML数据的保密性。把不同保密等级的数据进行分离传输，避免了密文数据与XML文档一起传输的弊病，减低了XML数据被截取和破解的风险，这就保证了整个XML文档的安全。

　　参考文献

　　1、姜庆娜，基于Internet的电子商务安全支付系统的研究[学位论文]，2005

　　2、郭正荣、周城，基于PKI的电子签章系统的实现计算机科学第33卷第09期2006年

　　3、刘建伟、王育民，网络安全-技术与实践清华出版社2005年6月

　　4、蔡月茹、柳西玲，Web Services基础教程北京：清华大学出版社2005年35-36