一、引言
电子商务(Electronic Commerce)是在Internet开放的网络环境下,基于浏览器/服务器应用方式,实现消费者的网上购物、商户之间的网上交易和在线电子支付的一种新型的商业运营模式。Web Service 是构筑在XML与Soap技术之上的一种典型的异构分布技术。自Web Service技术出现以來,其开放性的标准让各个不同系 统间能够互相交换资料。这种良好的开放性使得基于Web Service 构建电子商务系统成为趋势。现阶段推动电子商务面临的最大问题是如何保障电子商务过程中的安全性。由于Internet本身的开放性,使网上交易面临了种种危险,也由此对电子商务提出了相应的安全要求,主要体现在以下几个方面:
1.信息保密性。交易中的商务信息有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家而言要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个弄虚作假的黑店。因此能方便而可靠地确认对方身份是交易的前提。
3.不可否认性。由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。
4.不可修改性。交易的文件是不可被修改的,如能改动文件内容,那么交易本身便是不可靠的,客户或商家可能会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
一个典型的Web service设置将会充分利用多种不同的技术、对象模型和编程语言,其中或许会包含简单的Perl脚本和使用C++ 或 Java实现单个Web service,可能还会有建立在J2EE应用程序服务器之上的复杂应用。通过XML与SOAP协议的通用性,可扩展性,Web Service可以实现扩平台的不同应用程序之间的相互通信。但同时,也付出了一定的代价:很难保证这些系统的安全性。因为不同的技术体系、不同的操作系统平台所采用的安全认证技术是不同的,整个系统的安全级别与系统中最脆弱部分的安全级别相同,即安全系统中所谓的“木桶效应”。因此,我们要么避免使用某些技术,要么就对整个系统的安全性进行折衷。因此如何设计安全解决方案成为开发实现基于Web Service集成的电子商务系统必须解决的问题。因此本文提出基于统一安全服务(uniform security )的Web service体系结构。
二、Web Service 统一安全服务体系结构
统一安全服务体系结构的基本想法就是将系统的安全体系结构的复杂性迁移到所谓的统一安全服务层,因而使得系统的其他部分无须承担任何的安全职责。
在统一安全体系结构中,由一个单独的服务器来实现统一安全服务,在此服务器上可以找到所有的安全算法,该服务器是对所定义域进行鉴别的唯一场所。因此,统一安全的鉴别/注册方法还有另外一个优点:即便一个用户在一个特定域中同许多不同的安全元素相互作用,它只需要进行一次登录。统一安全服务其本身可能就是一个Web service,这样可以使得系统中其它子系统可以很方便的进行安全功能的集成。
被鉴别方首先调用统一安全服务来请求得到一个能够在特定域中标识其自身的身份ID。为了能够获得这个身份ID,被鉴别的一方首先必须提供正确的鉴别资格信息。鉴别资格信息具有多种不同的形式:例如,可以是简单的用户名/口令或者证书,但是也可以采用别的方法。统一安全服务使用底层潜在的安全体系结构对用户的资格信息进行验证,然后才赋予用户一个身份ID。
具体过程如下:
1:被鉴别方向统一安全服务发出登陆请求
2:统一安全服务返回被鉴别方身份ID
3:被鉴别方将应用请求与身份ID发往应用服务器
4:应用服务器将身份ID发往统一安全服务进行认证以及判权
5:统一安全服务返回认证以及判权结果
6:应用服务器根据返回的信息做出特定回应。
