● 摘要
在电子商务大行其道的今天,人们在享受其带来的便利与高效的同时,也越来越多地受到安全问题的困扰。如何让人们在安全的环境中充分享受电子商务的乐趣正成为人们日益关心的话题。 中小企业是国民经济中不可忽视的重要组成部分。要想真正繁荣电子商务,必须让中小企业的电子商务繁荣起来。然而,受到资金、技术、观念等因素的制约,现阶段中小企业的电子商务仍处于相对落后的阶段。其中安全问题是困扰他们的重要因素之一。如何建立较为通用的、低成本,并且可靠的电子商务安全策略成为了问题的关键所在。 面向中小企业的可定制电子商务项目正是在这种背景下应运而生,力图为广大中小企业构建一套灵活的、通用的电子商务系统,成为这一项目的最终目标。为这样的系统设计和实现安全策略,更加要求安全策略具有很强的可重用性和通用性,这在为中小企业解决关于安全问题的担忧方面,做了一次大胆而有益的尝试。 本论文从分析电子商务系统安全面临的威胁入手,经过对电子商务安全体系结构逐层的剖析之后,总结出了系统在安全方面的需求。并针对这些需求,结合项目的实际情况,设计了安全策略。利用OpenSSL开源软件包,开发基于SSL协议的安全代理,通过对传输信息实现高强度加密、安全认证等手段保证信息传输的安全,满足电子商务中要求的保密性、完整性、不可抵赖性等安全需求,在交易协议层、加密技术层、安全认证层上实现电子商务安全需求;针对可订制电子商务系统用户种类的多源性和复杂性,在权限控制与管理方面,引入角色机制,避免用户与权限直接的对应关系带来的复杂管理,比较好的解决了权限管理问题,在商务系统层上,用权限控制与管理模块筑起一道安全防线;在用户口令的保护方面,建立完善的口令存储机制,杜绝口令泄密的可能性。 按照以上策略将中小企业电子商务系统武装起来,基本可以防范常规的安全威胁,使中小企业解除对于安全问题的后顾之忧,信心百倍地发展电子商务,为业务的发展、企业的繁荣打下良好基础。