電子商務(wù)系統(tǒng)科技類論文
電子商務(wù)是當(dāng)今世界知識(shí)經(jīng)濟(jì)迅猛發(fā)展的象征,是經(jīng)濟(jì)全球化和信息網(wǎng)絡(luò)化的產(chǎn)物。下文是學(xué)習(xí)啦小編為大家整理的關(guān)于電子商務(wù)系統(tǒng)科技類論文的范文,歡迎大家閱讀參考!
電子商務(wù)系統(tǒng)科技類論文篇1
淺談電子商務(wù)與支付系統(tǒng)
摘要:支付方式按使用的技術(shù)不同,可以大體上分為傳統(tǒng)支付方式和電子支付方式兩種;按流通形態(tài)的不同,可以分為開(kāi)放式和封閉式兩種。傳統(tǒng)支付指的是通過(guò)現(xiàn)金流轉(zhuǎn)、票據(jù)轉(zhuǎn)讓以及銀行轉(zhuǎn)賬等物理實(shí)體的流轉(zhuǎn)來(lái)實(shí)現(xiàn)款項(xiàng)支付的方式。電子支付是通過(guò)先進(jìn)的通信技術(shù)和可靠的安全技術(shù)實(shí)現(xiàn)的款項(xiàng)支付結(jié)轉(zhuǎn)方式。開(kāi)放式支付方式指的是支付方式所代表的價(jià)值信息可以在主體之間無(wú)限傳遞下去。而封閉式支付方式指的是價(jià)值信息只能在有限的主體間進(jìn)行傳遞。
關(guān)鍵詞:電子商務(wù) 現(xiàn)金支付 網(wǎng)絡(luò)支付
1 傳統(tǒng)支付方式
1.1 物物交換的支付方式。支付最早的方式就是物物交換。在原始社會(huì),沒(méi)有貨幣,使用的都是以物易物的支付方式,但這種支付方式在交易的范圍和規(guī)模上有很大的局限性,很難做到等值交換。
1.2 貨幣支付方式。
真正具有現(xiàn)代意義的貨幣結(jié)算是從貨幣成為交換的媒介物之后開(kāi)始的,通過(guò)貨幣來(lái)交換物品。貨幣的形式不是長(zhǎng)期固定的,曾出現(xiàn)不同的形式,比如:實(shí)物貨幣、貴金屬、紙幣等,在現(xiàn)階段,現(xiàn)金支付是最常見(jiàn)的方式?,F(xiàn)金是由國(guó)家組織或政府發(fā)行的,分紙幣和硬幣兩種。紙幣只是一種貨幣符號(hào),它本身是沒(méi)有價(jià)值的,國(guó)家賦予并保證了它的價(jià)值之后,它才能作為貨幣流通;而硬幣因?yàn)楹幸徊糠钟袃r(jià)值的金屬成分,所以它本身也是有價(jià)值的?,F(xiàn)金的最大特點(diǎn)是簡(jiǎn)單、便于攜帶,因?yàn)樗膬r(jià)值是由國(guó)家來(lái)保障的,所以在交易的過(guò)程中,可以是匿名進(jìn)行的,在進(jìn)行小額支付的時(shí)候大多選擇現(xiàn)金完成。現(xiàn)金是一種開(kāi)放的支付方式,一手交錢,一手交貨。
只要有現(xiàn)金,就可以完成支付。但這種支付方式也受很多限制,一是時(shí)間和空間的限制,交易雙方必須是同一時(shí)間同一地點(diǎn)。二是不同發(fā)行主體的限制。三是對(duì)大宗交易有限制,金額巨大,選擇現(xiàn)金支付不方便也不安全?,F(xiàn)金支付有利有弊,但因?yàn)榉绞奖容^簡(jiǎn)單,在一些商品的零售過(guò)程中比較常見(jiàn)。物物交換和貨幣交換都要求在同一時(shí)間同一地點(diǎn),限制了交易的范圍和規(guī)模?,F(xiàn)在信息化時(shí)代已經(jīng)來(lái)臨,最注重的就是效率,傳統(tǒng)的支付方式已經(jīng)不能滿足大眾的需求,一種以銀行為中介的支付結(jié)算方式就應(yīng)運(yùn)而生了。
1.3 銀行轉(zhuǎn)帳支付方式。
EDI與B2B應(yīng)用業(yè)務(wù)不斷發(fā)展,銀行作為一種支付結(jié)算的中介,讓交易不必非得在同一時(shí)間和同一地點(diǎn)。銀行轉(zhuǎn)帳支付結(jié)算方式就是以銀行信用為基礎(chǔ),借助銀行為支付結(jié)算中介的貨幣給付行為(即分離出來(lái)的支付環(huán)節(jié))。此時(shí)貨幣就是現(xiàn)金和存款等,可供采用的支付手段更是多樣,比如現(xiàn)金、支票、信用卡、匯兌等等。轉(zhuǎn)帳支付結(jié)算方式也稱為非現(xiàn)金結(jié)算方式或票據(jù)結(jié)算。如果交易雙方都在銀行開(kāi)設(shè)了資金賬號(hào),那么只需要辦理一定的手續(xù),銀行就會(huì)把需要支付的金額從支付者的賬號(hào)轉(zhuǎn)移到接收者的賬號(hào)??梢允∪ピS多的勞力和財(cái)力,能提高交易的效率并且降低成本。目前國(guó)際上最主要的資金支付結(jié)算方式就是轉(zhuǎn)帳支付結(jié)算方式,
有以下三種類型。①信用卡支付結(jié)算。信用卡是由銀行或者金融公司發(fā)行的,可以用此向特定的銀行支取一定款項(xiàng)的信用憑證,或者向特定商家購(gòu)買貨物或享受服務(wù)。用戶只要開(kāi)設(shè)賬號(hào)、存錢并提供信用證明,就可以拿到信用卡。在交易的時(shí)候,只要用戶通過(guò)銀行專線網(wǎng)絡(luò)支付,資金就會(huì)從自己的信用卡轉(zhuǎn)移到別人的資金賬號(hào)上,完成支付。在個(gè)人的商務(wù)資金結(jié)算中比較常見(jiàn)。信用卡這種支付方式雖然可以簡(jiǎn)化收款手續(xù),非常的方便高效,但是也存在一些缺點(diǎn):一是信用卡具有一定的有效期,過(guò)期失效;二是有可能遺失;三是交易費(fèi)用較高。②資金匯兌。資金匯兌也被稱為銀行匯款,是指企業(yè)(或匯款客戶)委托銀行將其款項(xiàng)支付給收款人的結(jié)算方式。適用的范圍很廣,通常適用于企業(yè),也可以用于個(gè)人,方便匯款客戶向異地的收款人主動(dòng)付款。③支票支付。支票支付是目前中國(guó)企業(yè)與企業(yè)間最常用的支付結(jié)算方式,指紙質(zhì)支票的支付結(jié)算。支票支付的優(yōu)點(diǎn)是用起來(lái)很方便,特別是對(duì)大額資金的支付,但支票支付也有它的缺點(diǎn),比如:涉及面太廣,增加各部門(mén)的成本,有時(shí)無(wú)法兌現(xiàn)。
2 傳統(tǒng)支付結(jié)算方式的局限性
2.1 支付速度與處理效率比較低。大多數(shù)傳統(tǒng)支付因?yàn)樯婕暗囊蛩剌^多,又是人工操作,支付速度與處理效率都比較低。因?yàn)閭鹘y(tǒng)支付方式很多都是有形的,無(wú)論在哪個(gè)方面都有較高的保障,并且管理運(yùn)行模式也已經(jīng)比較成熟。但因?yàn)槭鞘止げ僮鞯模嬖谛实拖碌膯?wèn)題。
2.2 大多數(shù)傳統(tǒng)支付結(jié)算方式在支付安全上問(wèn)題較多。因?yàn)橛袀螏?、空頭支票的出現(xiàn),增加了許多的不確定性和風(fēng)險(xiǎn),尤其是在支付跨區(qū)域遠(yuǎn)距離的過(guò)程中。
2.3 傳統(tǒng)支付方式受時(shí)空限制。傳統(tǒng)支付方式對(duì)時(shí)間和空間的要求都很高,與用戶希望隨時(shí)隨地交易的需求不一樣。隨著電子商務(wù)的普及,用戶的需求得到了滿足,并且可以隨時(shí)查閱結(jié)算信息等。
2.4 大部分的傳統(tǒng)支付結(jié)算方式應(yīng)用起來(lái)并不方便。傳統(tǒng)的支付結(jié)算方式介質(zhì)和發(fā)行者太多,而且各銀行的使用方法都不一樣,對(duì)用戶來(lái)說(shuō)應(yīng)用起來(lái)很不方便。
3 電子支付與網(wǎng)絡(luò)支付的概念、基本功能、特征
3.1 電子支付與網(wǎng)絡(luò)支付的概念。電子支付是指通過(guò)電子信息化的手段實(shí)現(xiàn)交易中價(jià)值與使用價(jià)值的交換過(guò)程,英文一般描述為Electronic Payment,或者簡(jiǎn)稱為E- Payment,也稱電子支付與結(jié)算。網(wǎng)絡(luò)支付是指以金融電子化網(wǎng)絡(luò)為基礎(chǔ),以商用電子化工具和各類交易卡為媒介,采用現(xiàn)代計(jì)算機(jī)技術(shù)和通信技術(shù)作為手段,通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)特別是Internet,以電子信息傳遞形式來(lái)實(shí)現(xiàn)流通和支付,英文一般描述為Net Payment或Internet Payment,也稱網(wǎng)絡(luò)支付與結(jié)算。
3.2 網(wǎng)絡(luò)支付的基本功能。
?、僬J(rèn)證交易雙方、防止支付欺詐。因?yàn)榫W(wǎng)絡(luò)支付需要先通過(guò)認(rèn)證機(jī)構(gòu)或注冊(cè)機(jī)構(gòu)的認(rèn)證,如果各方身份都符合規(guī)定,以上機(jī)構(gòu)就會(huì)向各方發(fā)放數(shù)字證書(shū)。網(wǎng)絡(luò)支付就可以通過(guò)這種數(shù)字簽名和數(shù)字認(rèn)證的方式對(duì)各方進(jìn)行認(rèn)證,來(lái)保證網(wǎng)絡(luò)支付交易流程的完善。
?、诩用苄畔⒘?。一定要阻止未被授權(quán)的第三者知道信息的真正含義,所以一定要對(duì)信息進(jìn)行加密,當(dāng)然也得解密,通常都是采用單密鑰體制或雙密鑰體制的方法。在數(shù)據(jù)傳輸?shù)倪^(guò)程中也要采用技術(shù)保證它的保密性和完整性。
?、蹟?shù)字摘要算法確認(rèn)支付電子信息的真?zhèn)???梢圆捎脭?shù)據(jù)雜湊的技術(shù)使數(shù)據(jù)完整無(wú)缺的到達(dá)接收者一方。
?、鼙WC交易行為和業(yè)務(wù)的不可否認(rèn)性。系統(tǒng)可以做到,在交易中一旦貿(mào)易雙方發(fā)生矛盾,尤其是有關(guān)支付結(jié)算的爭(zhēng)辯時(shí),系統(tǒng)可以生成或者提供一些證據(jù)來(lái)幫助快速的辨別糾紛中的真?zhèn)危源藖?lái)保證系統(tǒng)在相關(guān)行為或業(yè)務(wù)中的不可抵賴性,因?yàn)樗膶?shí)現(xiàn)方式是數(shù)字簽名等技術(shù)。
?、萏幚砭W(wǎng)貿(mào)易業(yè)務(wù)的多邊支付問(wèn)題。在處理網(wǎng)貿(mào)易業(yè)務(wù)的多邊支付的時(shí)候,因?yàn)闋砍遁^多,最好多邊的信息能連接在一起,因?yàn)樯碳乙^續(xù)交易必須先確認(rèn)傳送的購(gòu)貨信息,而銀行要提高支付也必須先確認(rèn)支付。采用雙重?cái)?shù)字簽名等技術(shù)可以實(shí)現(xiàn)這種需求,能做到商家不讀取客戶的支付指令,銀行不讀取商家的購(gòu)貨信息。
⑥提高支付效率。網(wǎng)絡(luò)支付的支付效率很高,因?yàn)樗氖掷m(xù)和過(guò)程比較簡(jiǎn)單。
3.3 網(wǎng)絡(luò)支付的特征。
網(wǎng)絡(luò)支付在很多方面與傳統(tǒng)的支付方式是不同的,比如:
①傳統(tǒng)的支付方式流轉(zhuǎn)的方式是通過(guò)實(shí)物來(lái)交易的,完成款項(xiàng)支付的實(shí)物包括現(xiàn)金、票據(jù)、銀行的匯兌等;但是網(wǎng)絡(luò)支付使用的不是實(shí)物,而是通過(guò)技術(shù)使用的數(shù)字流轉(zhuǎn)完成信息傳輸,它的支付方式都是數(shù)字化。
②傳統(tǒng)的支付方式一般都是在較為封閉的系統(tǒng)環(huán)境中進(jìn)行的;而網(wǎng)絡(luò)支付則是在一個(gè)開(kāi)放的系統(tǒng)平臺(tái)(即因特網(wǎng))的工作環(huán)境中進(jìn)行的。
?、蹅鹘y(tǒng)的支付方式對(duì)一些配套設(shè)施的要求不高,但是網(wǎng)絡(luò)支付對(duì)此有很高的要求,必須有聯(lián)網(wǎng)的微機(jī)、相關(guān)的軟件和其他一些配套設(shè)施;還有就是媒介的不同,傳統(tǒng)的支付方式使用的是傳統(tǒng)的通信媒介,但是網(wǎng)絡(luò)支付使用的都是一些最先進(jìn)的通信手段。
?、芫W(wǎng)絡(luò)支付具有方便、快捷、高效、經(jīng)濟(jì)的優(yōu)勢(shì)。傳統(tǒng)的支付方式受很多的限制,比如時(shí)間和空間等,但是網(wǎng)絡(luò)支付卻沒(méi)有任何的限制,甚至它的工作模式能做到每周七天,每天24小時(shí)服務(wù),網(wǎng)絡(luò)支付的支付費(fèi)用也比傳統(tǒng)支付的費(fèi)用低很多很多,而且只要一臺(tái)上網(wǎng)的PC機(jī)就可以完成整個(gè)支付過(guò)程。
參考文獻(xiàn):
[1]夏名首主編.網(wǎng)絡(luò)支付與結(jié)算[M].北京交通大學(xué)出版社,2007
-07-01.
[2]屈武江等編著.電子商務(wù)安全與支付技術(shù)(第二版)[M].中國(guó)人民大學(xué)出版社,2013-03-01.
[3]祝凌曦主編.電子支付與網(wǎng)絡(luò)銀行[M].北京交通大學(xué)出版社,2010-06-01.
[4]陳月波主編.電子支付與網(wǎng)上金融[M].中國(guó)財(cái)政經(jīng)濟(jì)出版社,2009-01-01.
電子商務(wù)系統(tǒng)科技類論文篇2
淺析電子商務(wù)安全管理軟件系統(tǒng)開(kāi)發(fā)
摘 要 針對(duì)于現(xiàn)在國(guó)內(nèi)外的公司和科研機(jī)構(gòu)還在研究開(kāi)發(fā)各個(gè)組件和接口而沒(méi)有綜合的安全解決方案的現(xiàn)狀,提出一個(gè)針對(duì)電子商務(wù)程序的綜合安全解決方案滿足用戶希望得到完備、綜合服務(wù)的需要。基本實(shí)現(xiàn)了用戶所需要的對(duì)稱加密解密、非對(duì)稱加密解密、數(shù)字簽名、消息摘要,認(rèn)證授權(quán),協(xié)議過(guò)濾,數(shù)據(jù)過(guò)濾,日志管理的功能;對(duì)目錄遍歷攻擊、注射攻擊、跨站腳碼攻擊、隱藏域攻擊等做到有效地防御。
【關(guān)鍵詞】電子商務(wù)安全 加密解密 安全監(jiān)控 J2EE 日志管理
1 可行性研究與軟件需求分析
1.1 可行性研究
本課題研究使用sun公司推出的J2EE開(kāi)發(fā)構(gòu)架,分布式的電子商務(wù)安全管理軟件系統(tǒng)。系統(tǒng)采用的技術(shù)路線為:
* 采用完全獨(dú)立于軟硬件平臺(tái)的J2EE技術(shù)路線,利用JAVA,開(kāi)發(fā)基于J2EE平臺(tái)之上通用的中間件產(chǎn)品支撐企業(yè)級(jí)應(yīng)用。
* 采用Web方式、B/S五層的系統(tǒng)體系結(jié)構(gòu),確保滿足用戶個(gè)性化需求。
由于所使用的開(kāi)發(fā)語(yǔ)言具有平臺(tái)無(wú)關(guān)性的特點(diǎn),因此本項(xiàng)目所開(kāi)發(fā)的系統(tǒng)能夠應(yīng)用于多種操作系統(tǒng),不會(huì)因?yàn)椴僮飨到y(tǒng)的改變而改變,這就保證了本項(xiàng)目在技術(shù)上的可行性。此外,本項(xiàng)目所使用的加密解密技術(shù)和授權(quán)認(rèn)證等網(wǎng)絡(luò)應(yīng)用技術(shù)都是本課題組成員長(zhǎng)期研究的領(lǐng)域,具有較深厚的理論基礎(chǔ)和豐富的實(shí)踐經(jīng)驗(yàn)??梢?jiàn)項(xiàng)目技術(shù)風(fēng)險(xiǎn)較小。
本項(xiàng)目研究的目標(biāo)在于大幅度減少企業(yè)實(shí)施信息化平臺(tái)帶來(lái)的安全風(fēng)險(xiǎn),因此具有廣闊的市場(chǎng)。項(xiàng)目提出了電子商務(wù)安全管理軟件系統(tǒng)的架構(gòu),對(duì)電子商務(wù)安全標(biāo)準(zhǔn)進(jìn)行了研究,開(kāi)發(fā)基于開(kāi)放源代碼的自由軟件,開(kāi)發(fā)過(guò)程遵循先進(jìn)的軟件工程思想和項(xiàng)目管理方法,因此具有較低的軟件開(kāi)發(fā)、維護(hù)、升級(jí)成本,在市場(chǎng)中具有較強(qiáng)的競(jìng)爭(zhēng)力,市場(chǎng)風(fēng)險(xiǎn)較小。
電子商務(wù)安全管理市場(chǎng)是一個(gè)新興市場(chǎng),從2000年開(kāi)始已經(jīng)成為一個(gè)重要應(yīng)用領(lǐng)域。據(jù)市場(chǎng)研究公司Synergy Research Group 報(bào)告稱,2004年第1季度全球網(wǎng)絡(luò)安全市場(chǎng)銷售收入近10億美元,比2003年第4季度增長(zhǎng)了11%,比2003年第1季度增長(zhǎng)了近28%。而在2007年有望攀升至47億美元,年增長(zhǎng)率達(dá)25%。作為亞太網(wǎng)絡(luò)安全領(lǐng)域的第一大市場(chǎng),中國(guó)市場(chǎng)規(guī)模在2003年為2.02億美元,比2002年上升了近30%,而總體市場(chǎng)容量有望在5年之后擴(kuò)展至8億美元。電子商務(wù)的迅猛發(fā)展和網(wǎng)絡(luò)安全的廣闊前景使得電子商務(wù)安全管理市場(chǎng)成為網(wǎng)絡(luò)安全市場(chǎng)中一個(gè)迅速增長(zhǎng)點(diǎn)。
通過(guò)以上分析可知,本項(xiàng)目提出的開(kāi)發(fā)電子商務(wù)安全管理系統(tǒng)的構(gòu)想是可行的。
1.2 軟件需求分析
目前電子商務(wù)的安全問(wèn)題如下: 數(shù)據(jù)的安全管理包括:輸入輸出數(shù)據(jù)的過(guò)濾、數(shù)據(jù)的加密解密、數(shù)據(jù)的訪問(wèn)控制管理、系統(tǒng)的安全管理包括:交易完整管理、日志的管理、系統(tǒng)的安全策略管理和系統(tǒng)安全響應(yīng)等。現(xiàn)今電子商務(wù)安全開(kāi)發(fā)還集中在對(duì)加密、數(shù)字身份認(rèn)證、電子商務(wù)認(rèn)證等個(gè)別的”點(diǎn)”上,沒(méi)有綜合的安全管理軟件產(chǎn)品,而電子商務(wù)的健康發(fā)展迫切需要能夠解決多種安全問(wèn)題的產(chǎn)品。根據(jù)以上分析我們提出電子商務(wù)安全管理軟件的功能性框架示意圖如圖1所示。
綜合考慮系統(tǒng)的安全性及目前較流行的B/S模式設(shè)計(jì)出其技術(shù)架構(gòu),電子商務(wù)安全管理軟件可以分為以下幾個(gè)部分:數(shù)據(jù)過(guò)濾模塊,授權(quán)認(rèn)證模塊,協(xié)議過(guò)濾模塊,加密解密模塊,日志管理模塊,安全監(jiān)控模塊,應(yīng)用監(jiān)控模塊,DAO數(shù)據(jù)源。
2 軟件項(xiàng)目業(yè)務(wù)規(guī)劃
2.1 項(xiàng)目規(guī)劃
項(xiàng)目目標(biāo):完成電子商務(wù)安全管理軟件系統(tǒng)的研制和開(kāi)發(fā),并進(jìn)行市場(chǎng)化運(yùn)作;對(duì)電子商務(wù)安全標(biāo)準(zhǔn)進(jìn)行研究。
主要功能:
電子商務(wù)安全管理軟件系統(tǒng)實(shí)現(xiàn)的主要功能有:
(1)提供訪問(wèn)電子商務(wù)網(wǎng)站用戶的身份認(rèn)證、授權(quán);授權(quán)用戶在線刪除,添加,更新本人信息;實(shí)現(xiàn)了允許一種用戶可以以多種身分訪問(wèn)電子商務(wù)程序的身份驗(yàn)證和授權(quán)的功能。
(2)過(guò)濾當(dāng)前用戶請(qǐng)求中是否含有違反HTTP協(xié)議的數(shù)據(jù)存在,包括參數(shù)缺失、參數(shù)異常、參數(shù)過(guò)多;過(guò)濾當(dāng)前用戶請(qǐng)求中是否含有違反當(dāng)前請(qǐng)求頁(yè)面的數(shù)據(jù)存在。
(3)對(duì)稱式和非對(duì)稱式的加密解密技術(shù):包括數(shù)字簽名算法、消息摘要技術(shù)、密鑰交換方法、提供基于數(shù)據(jù)庫(kù)的密鑰管理服務(wù)的內(nèi)容。
(4)收集功能模塊的日志信息,然后生成統(tǒng)一的日志信息,并進(jìn)行分類存儲(chǔ)(本課題提供數(shù)據(jù)庫(kù)存儲(chǔ)形式),然后提供查詢、刪除等功能(用戶可以對(duì)日志信息按日期、模塊名進(jìn)行查詢、刪除等操作)。
(5) 隨時(shí)對(duì)受保護(hù)的電子商務(wù)應(yīng)用程序進(jìn)行安全監(jiān)控,若發(fā)現(xiàn)惡意代碼的攻擊,即刻發(fā)出報(bào)警信息。
(6)監(jiān)控系統(tǒng)和電子商務(wù)應(yīng)用程序的運(yùn)行情況,若系統(tǒng)或應(yīng)用程序出現(xiàn)異常,即刻發(fā)出報(bào)警信息。
約束條件:本系統(tǒng)運(yùn)行時(shí)需要JAVA運(yùn)行環(huán)境
人員所需工具所需資源:開(kāi)發(fā)本項(xiàng)目需要參加人員熟練掌握J(rèn)AVA、XML、TOMCAT、MYSQL、JSP、STRUTS等,開(kāi)發(fā)工具使用eclipse、editplus、mysql等。
2.2 項(xiàng)目組織與進(jìn)度
本項(xiàng)目的開(kāi)發(fā)共分四個(gè)時(shí)間段進(jìn)行,具體安排如下所示:
系統(tǒng)調(diào)研和總體方案設(shè)計(jì) 3個(gè)月
系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì) 8個(gè)月
系統(tǒng)程序?qū)崿F(xiàn) 8個(gè)月
α測(cè)試β測(cè)試 3個(gè)月
2.3 開(kāi)發(fā)軟件所需要的工具
軟件運(yùn)行環(huán)境
A.操作系統(tǒng):Linux系統(tǒng),Window2000 Serve系統(tǒng)
B.數(shù)據(jù)庫(kù):Oracle8i/9i,SQL Server 2000,Mysql
C. WEB服務(wù)器:Tomcat/Weblogic/Jboss
編程語(yǔ)言:JAVA 開(kāi)發(fā)平臺(tái):eclipse
測(cè)試與分析工具:paros
3 軟件開(kāi)發(fā)設(shè)計(jì)與程序編碼
3.1 軟件開(kāi)發(fā)設(shè)計(jì)
電子商務(wù)安全管理軟件系統(tǒng)采用了模塊化的設(shè)計(jì)理念,遵循J2EE的開(kāi)發(fā)標(biāo)準(zhǔn),充分利用了J2EE程序開(kāi)發(fā)過(guò)程中所涉及到的開(kāi)放源代碼的應(yīng)用軟件。整個(gè)軟件系統(tǒng)是在Tomcat 5.5.9條件下進(jìn)行的研發(fā),開(kāi)發(fā)工具選用的是Eclipse 3.1, MySQL 4.1提供了數(shù)據(jù)庫(kù)支持。此外,還使用了諸如Spring,Hibernate,Struts, Dom4j,Log4j等免費(fèi)軟件和技術(shù)。
從軟件設(shè)計(jì)與軟件開(kāi)發(fā)的角度看,電子商務(wù)安全管理軟件系統(tǒng)的設(shè)計(jì)規(guī)劃遵循了如下設(shè)計(jì)原則:
(1)電子商務(wù)安全管理軟件封裝了許多功能強(qiáng)大、易于使用的軟件功能模塊,對(duì)于統(tǒng)一安全接口標(biāo)準(zhǔn)研究十分必要。
(2)軟件的開(kāi)發(fā)大量采用組件化、J2EE技術(shù),獨(dú)立于操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)。軟件內(nèi)部的模塊大量采用Bean,進(jìn)行業(yè)務(wù)邏輯的封裝,可以方便利于網(wǎng)絡(luò)層的請(qǐng)求響應(yīng)調(diào)用。
(3)系統(tǒng)采用XML文件格式來(lái)響應(yīng)業(yè)務(wù)請(qǐng)求,這樣可以實(shí)現(xiàn)系統(tǒng)邏輯各層之間良好的通訊和接口。
(4)全面考慮電子商務(wù)安全的各種需求, 設(shè)計(jì)統(tǒng)一的標(biāo)準(zhǔn)化的軟件結(jié)構(gòu), 使各種網(wǎng)絡(luò)安全技術(shù)運(yùn)行在軟件框架之下, 共同保護(hù)電子交易安全。
(5)提供開(kāi)放的API接口, 這樣使其他公司的軟件產(chǎn)品可以輕易的集成到這個(gè)軟件系統(tǒng)平臺(tái)上。
3.2 程序編碼
安全代理:安全代理模塊就像一個(gè)數(shù)據(jù)采集器;在電子商務(wù)安全控制中心中分析的所有HTTP信息都是通過(guò)安全代理模塊采集的。此外,安全代理模塊還負(fù)責(zé)在分析后將反應(yīng)結(jié)果返回給用戶。開(kāi)發(fā)安全代理模塊所使用技術(shù):ServletFilter。
(1)認(rèn)證授權(quán)模塊。身份驗(yàn)證和授權(quán)認(rèn)證模塊提供一種基于JAAS體系結(jié)構(gòu)的認(rèn)證解決方案。身份認(rèn)證是用戶或計(jì)算設(shè)備用來(lái)驗(yàn)證身份的過(guò)程,即確定一個(gè)實(shí)體或個(gè)人是否就是它所宣稱的實(shí)體或個(gè)人。授權(quán)確定了已認(rèn)證的用戶是否能夠訪問(wèn)他們所請(qǐng)求的資源或者執(zhí)行他們所請(qǐng)求執(zhí)行的操作。
(2)數(shù)據(jù)過(guò)濾模塊。數(shù)據(jù)過(guò)濾模塊實(shí)現(xiàn)兩種分析算法:模式匹配算法和行為建模算法。一種是基于誤用檢測(cè)算法的模式匹配,另一種是基于異常檢測(cè)算法的行為建模。
(3)協(xié)議過(guò)濾模塊。根據(jù)電子商務(wù)網(wǎng)站管理員的人工配置和HTTP協(xié)議細(xì)節(jié)執(zhí)行協(xié)議過(guò)濾算法,針對(duì)于安全數(shù)據(jù)中出現(xiàn)的冗余信息、檢測(cè)出的缺失信息,以及異常信息分別進(jìn)行安全分析,并且觸發(fā)相應(yīng)的安全動(dòng)作。
(4)安全監(jiān)控模塊 根據(jù)安全分析的結(jié)果與事先定義的安全動(dòng)作,模塊采用相應(yīng)的指定動(dòng)作。此外,這個(gè)模塊將向安全代理模塊發(fā)送動(dòng)作指令。如果發(fā)現(xiàn)黑客入侵,就隨時(shí)觸發(fā)“拒絕”動(dòng)作,然后發(fā)送警告給應(yīng)用程序的管理員。同時(shí),將惡意的入侵請(qǐng)求存入到數(shù)據(jù)庫(kù)作為入侵分析的日志文件。因此,攻擊者將會(huì)收到一個(gè)出錯(cuò)頁(yè)面或者請(qǐng)求被禁止的頁(yè)面。
(5)應(yīng)用監(jiān)控。應(yīng)用監(jiān)控模塊主要實(shí)現(xiàn)了對(duì)于訪問(wèn)電子商務(wù)應(yīng)用程序、安全代理模塊的應(yīng)用配置和應(yīng)用監(jiān)控功能。實(shí)現(xiàn)了應(yīng)用程序和電子商務(wù)安全管理軟件系統(tǒng)的動(dòng)態(tài)配置、實(shí)時(shí)監(jiān)控電子商務(wù)安全管理軟件系統(tǒng)的響應(yīng)速度。
(6)加密解密模塊。加密解密技術(shù)對(duì)于用戶要傳輸?shù)男畔⑦M(jìn)行加密操作,可以有效地保護(hù)信息的安全。加密解密模塊的實(shí)現(xiàn)方案使用平臺(tái)通用開(kāi)發(fā)包JCE (JavaTM Cryptography Extension),它的加密解密算法的強(qiáng)度較高,算法靈活,適應(yīng)于多種平臺(tái),從而使得用戶的敏感信息可以得到更好的保護(hù)。提供完善的加密解密服務(wù)接口,提供密鑰管理功能,包括密鑰存儲(chǔ)、檢索和密鑰自動(dòng)更新的功能,提高密鑰的安全性和保密措施。
(7)日志管理模塊。日志管理模塊的總體實(shí)現(xiàn)方案基于開(kāi)放源代碼項(xiàng)目―Log4j,主要實(shí)現(xiàn)了為電子商務(wù)安全管理軟件系統(tǒng)的功能模塊生成統(tǒng)一格式的日志信息,對(duì)產(chǎn)生的運(yùn)行日志、安全日志進(jìn)行統(tǒng)一的日志管理,針對(duì)不同來(lái)源的日志將其保存到不同的日志文件。
參考文獻(xiàn)
[1]曲濱鵬,李現(xiàn)紅.綜合信息平臺(tái)安全與對(duì)策[J].中國(guó)綜合信息平臺(tái),2003(8).
[2]袁峰,蔣文楊,潘雪松.綜合信息平臺(tái)安全管理的現(xiàn)狀及其對(duì)策[J].物流科技,2003.
[3][美]Aaron Walsh.Java寶典[M].郝志芬譯注.北京:電子工業(yè)出版社,2001.
[4][美]Gary Cornell.Java核心技術(shù)高級(jí)特性[M].五建華譯注.北京:機(jī)械工業(yè)出版社,2005.
[5]金勇華.Java網(wǎng)絡(luò)高級(jí)編程[M].北京:人民郵電出版社,2001.
[6]李德全.密碼學(xué)基礎(chǔ)[R].北京:中科院軟件所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室,2003.