一、概述
从20世纪70年代以来,很多大型企业依靠电子数据交换(EDI--Electronic Data Interchange)实现业务处理的自动化。EDI着重于商业伙伴之间的事务处理标准化,但是EDI标准缺乏灵活性和可扩展性。进入20世纪90年代,随着Web技术的发展,尤其是在1995年Java出现以后,许多企业开始采用以Web应用为核心系统来支持电子商务。电子商务(e-business)是指借助Internet及相关技术进行商务活动,而一个具体的电子商务是这样的一个机构,它通过内部网、外部网和Web将关键业务系统直接连接到客户、员工、供应商以及业务伙伴。一个传统企业要转型为一个电子商务型企业,就要使用Internet技术转变关键的业务过程,如客户关系管理、电子商贸、供应链管理、企业内部管理。这个转变过程也是一个综合使用Internet技术、信息技术、商务技术转变业务方式的过程。
从理论上讲,电子商务主要可分为两大类型:
· BtoB方式--企业与企业之间网上交易;
· BtoC方式--持卡消费者与商户之间网上购物。
目前,中国电子商务的主流模式是以BtoC为主,我们综观在国内的众多的中文网站或者是商务网站,我们看到他们基本上是BtoC,是以这种商务网站模式为主导的,这种商业模式的目的把产品卖上去,什么东西都可以,网上零售店,网上拍卖,集体竞价,等等,各种的方法,通过不同的方法,目的就是要把产品卖出去,用模式作为主导,有的做零售,有的做网上拍卖。并不是以产品为主导,在这样的一些模式当中,它产品内容可能比较丰富,它搜索各种各样的商品放到网上去,比如说,大家比较熟悉的像拍卖的网站,或者像雅虎有些产品放在上面。
本文不涉及到BtoC模式的安全问题,重点在于BtoB模式。
BtoB是一种还属于发展阶段的电子商务,是未来电子商务的一个核心。它基本上可以分为两种类型:
· 多对多模式,由一个独立网站构成,为众多的中小企业提供一个大型的开放式电子商务交易平台。这种平台可以形象地描述为Internet超市,所不同的是,交易各方都是企业;
· 一对多模式,是由某个大型企业建造,是一个采购供应链和销售链的整合。
我们认为,在中国目前的Internet应用现状下,一对多的BtoB电子商务模式将会迅速崛起,成为主导模式并很快创造出实际效益。
例如,今年8月15日,中国石化集团开通运行了石化产品销售电子商务系统和物资采购供应电子商务系统。前者首批上网客户400余家,中石化股份有限公司所属25家化工企业将全部上网运作。该系统的主要功能包括:在线交易、会员管理、产品信息管理、销售系统数据交换、综合查询分析、客户信息反馈、信息发布、以及其他辅助功能。
物资采购供应系统首批上网供应商300家左右,物资7万余种,预计最终上网供应商将达到1500家,物资37万种,年交易额500亿元,中石化股份有限公司涉及集团采购和统一组织采购的所属65家分公司也将全部上网运作。该系统功能包括供应商管理、采购计划和订单管理、采购管理、统计报表管理、信息发布、物资信息查询、采购绩效分析等。上网采购业务范围包括集团采购和统一组织采购。
这是国内较为实际应用的一个案例。据此,我们不难预见,国内同等规模的企业也将建立自己的电子商务。
BtoB电子商务模式实际上是会员制模式,其特点是参与交易的企业都要预先登记注册。从网络应用的角度来讲,这是一个已知边界的网络应用,是Extranet。在网络应用安全方面,重点在于身份认证、授权访问以及数据安全和交易的抗否认性。这几方面,是WebST的强项。对于电子商务的网络安全方面是强调防止恶意攻击和防杀病毒。
因此,本方案是针对BtoB电子商务的具体网络结构和应用模式,分析其存在的安全风险,提出各个层次的安全解决方案,可作为相关项目的参考。
二、BtoB电子商务应用模式框架
电子商务的最大技术特点就是Web应用。
要转变传统的业务过程,就需要开发和部署电子商务应用系统的一个基础,电子商务应用框架正是这样的一个基础。许多企业希望电子商务应用系统具备下列特征:
1) 基于标准;
2) 以服务器为中心;
3) 可伸缩;
4) 能利用已有的核心系统;
5) 可快速部署和易用;
6) 易管理。
下面介绍电子商务应用框架的基本系统模型和应用服务。
1.1 基本系统模型
电子商务应用框架为设计电子商务解决方案提供了一个模型。这个框架基于一个多层的分布式环境,在这个环境中,任何多的各层应用逻辑和商业服务分离为各种组件,这些组件通过网络相互通信。在它的最基本的形式中,可以被描述为一个"逻辑上"的3层计算模型,即分层是在逻辑上的,并不要求是物理上的。这个基本的3层系统模型包括客户、Web 应用服务器、服务器(见图1)。在这3个逻辑层中的应用元素通过一组业界标准的协议、服务和软件连接器互相连接起来。
图1:基本系统模型
在模型中:
1) 客户端--这个应用框架支持广泛的客户端设备,从个人数字助理(PDA)、智能卡(smartcard)、数字无绳电话等大众普遍使用的设备到网络计算机和个人计算机。将这些客户端设备连结到Web应用服务器的思路是使用一组被广泛支持的基于Internet的技术和协议。客户端的主要作用是将应用产生的结果信息显示给用户。正因为如此,这种客户通常被称为"瘦客户",也就是说在客户端执行的应用逻辑很少或没有,这样,很小的软件(如Web浏览器)需要在客户端安装。
2) Web应用服务器--Web应用服务器是这样的一个平台,它为应用的业务逻辑提供了一个运行环境。它包括HTTP服务器和企业Java服务,支持分布式网络环境下应用软件的快速开发和部署。应用软件在Web应用服务器及其内嵌的JVM(Java Virtual Machine,Java虚拟机)中运行。这些服务端的组件通过HTTP或IIOP(Internet Inter-ORB Protocol)与客户和其它组件通信,并利用网络基础架构提供的目录和安全服务。这些组件还可以利用数据库、事务处理和群件等设施。
3) 连到外部服务的连接器--外部服务通常是企业在信息技术上多年投资的结果,是人们日常工作所依赖的应用和数据。这些应用和数据是重要的商务资源,需要以一种安全且可控的方式连接到Web上,使得企业充分发挥它们的作用为顾客、业务伙伴和员工服务。连接器就是使得它成为现实的一种机制。连接器将中间层内新增的业务逻辑连结到企业已有的应用和数据,从而将Internet的力量无缝地连接到企业中来。
这个电子商务基本系统模型集中体现了面向Web的网络计算风格,并结合了显示、业务逻辑、数据存贮这3层应用元素。这个基本系统模型的特性如下:
1) 基于Web浏览器/Java applet使能的广泛的客户连接。
2) 易管理的客户,通过配置需要很少或无须本地的软件安装和数据备份。
3) 一次编写,到处可运行的应用软件的快速开发及即时部署。
4) 提倡软件复用,使得新添程序量最小化、生产效率最大化,并提高软件质量。
5) 与外部服务的连接,在这些外部服务系统中驻留着已有业务应用和数据,充分发挥它们的作用为顾客、业务伙伴和员工服务。
1.2 应用服务
BtoB电子商务应用主要针对企业到企业之间业务模式而开发,有两种应用服务系统,一是企业产品销售系统,实现了企业和经销商(代理商)之间的网上交易与管理;一是企业采购供应系统,实现企业和原材料供应商之间的网上交易与管理。这两个系统都要具有远程管理功能。每个系统又分为前台和后台两个部分。
1.2.1 产品销售系统
产品销售系统的前台管理部分主要是供经销商(代理商)使用,分为五大部分:基本信息录入、预订单管理、订单管理、退货单管理、综合查询。进入前台管理系统之后,经销商们通过选单可以方便地更改和录入自己的基本信息和密码,完成预订单、订单和退货单的生成、修改和查询过程。
产品销售系统的后台管理部分主要是由企业销售部门使用,也分为五大部分:基本信息管理、订单管理、退货管理、库存管理、综合查询。
1.2.2采购供应系统
采购供应系统的前台管理部分主要是由企业采购部门使用,分为五大部分:基本信息录入、预订单管理、订单管理、退货单管理、综合查询。进入前台管理系统之后,采购人员通过选单可以方便地更改和录入自己的基本信息和密码,查询各个供应商的产品目录的相关信息,完成预订单、订单和退货单的生成、修改和查询过程。
采购供应系统的后台管理部分主要是由各个供应商使用,也分为五大部分:基本信息管理、订单管理、退货管理、库存管理、综合查询。这部分主要是远程管理。
1.2.3邮件服务系统
建立免费E-mail系统的目的是,为会员提供免费E-mail系统,建立与会员联系的信息渠道。
1.2.4客户关系管理系统
这部分包括会员投诉、会员咨询、会员统计查询等部分。通过客户关系管理功能,再辅以日常积累的会员信息,可以储存丰富的会员数据库,从而实现会员公关、业务宣传和产品营销等宣传活动。
1.2.5会员注册系统
BtoB电子商务的交易参与者都是企业,并以会员方式进行注册,实现安全管理。会员注册信息存放于会员信息库,还有会员单位资料、财务资料以及投诉、咨询、技术支持等以往记录,这些信息均为保密信息。
1.2.6安全管理平台
这部分目前是最薄弱的环节,也是阻碍电子商务发展的瓶径。本方案将重点讨论这部分。
三、BtoB电子商务的网络结构
根据图1的基本系统模型,我们可以提供出一个通用型的BtoB电子商务的网络结构图(图2)。在实际项目中会有变化。红色虚线框内是电子商务中心网络,所有应用服务器都是通过防火墙连接到Internet上,传统的应用服务通过另一个防火墙接入到中心网络,很显然这是一个不安全的结构。
 |
图2 电子商务网络结构
其中:
·Web服务器--展示电子商务所提供的网上主页,形成一个企业电子商务门户,是客户提出服务申请和接受服务的界面;
·数据库服务器--用于存放客户信息(会员资料、帐户信息、服务信息)以及用户定制信息;
·管理维护工作站--供系统管理员使用,进行系统的管理维护监控等;
·客户机通过浏览器访问企业电子商务WWW主页,提出服务申请和使用服务。
四、BtoB电子商务的安全需求
BtoB电子商务实际上是一个具有特殊服务的网站,它的安全需求可分为两个层次和一个方面,一个是网络层的安全需求;一个是应用层的安全需求。一个方面是后台管理的安全需求。
1.1 网络层风险
·网络中心连通Internet之后,可能遭受到来自Internet的不分国籍、不分地域的恶意攻击;
·在Internet 上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染企业网内部的服务器、主机;更有一些黑客程序也将通过这种方式进入企业网,为黑客、竞争对手获取企业数据创造条件;
·BtoB电子商务内部注册连接的会员用户很多,很难保证没有用户会攻击BtoB电子商务的服务器。事实上,权威数据表明,来自于内部的攻击,其成功的可能性要远远大于来自于Internet的攻击,而且内部攻击的目标主要是获取其他会员企业的机密信息,如产品的价格、订货数据等,其损失要远远高于系统破坏。
1.2 网络层安全需求
基于以上风险,在上述两层网络结构中,网络层安全主要解决企业网络互联时和在网络通讯层安全问题,需要解决的问题有:
·BtoB电子商务网络进出口控制(即IP过滤);
·BtoB电子商务网络和链路层数据加密;
·安全检测和报警、防杀病毒。
1.2.1 网络进出口控制
需要对进入BtoB电子商务网站进行管理和控制,通过防火墙或虚拟网段进行分割和访问权限的控制。同样需要对内网到公网进行管理和控制。要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
1.2.2 网络和链路层数据加密
对关键应用需要进行链路层数据加密。
1.2.3 安全检测和报警、防杀病毒
安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:
·及时发现来自网络内外对网络的攻击行为;
·详实地记录攻击发生的情况;
·当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;
·当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行。
·对防火墙进行安全检测和分析;
·对Web服务器检测进行安全检测和分析;
·对操作系统检测进行安全检测和分析。
需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。
1.3 应用层的安全需求
1.3.1 BtoB电子商务应用系统安全风险:
对Web应用系统的攻击可以分为两类:
1) 由于攻击者对网络结构和系统应用模式不了解,主要通过对Web应用服务器进行系统攻击,破坏操作系统或获取操作系统管理员的权限,再对应用系统进行攻击,以获取企业的重要数据;在电子商务的三层结构(数据库服务器-应用服务器-应用客户端)中,通过对数据库服务器的重点保护,可以防止大多数攻击;
2) 攻击者了解了网络结构和系统应用模式,直接通过对应用模式的攻击,获取企业的机密信息,这些攻击包括:
非法用户获取应用系统的合法用户帐号和口令,访问应用系统;
用户通过系统的合法用户帐号,利用系统的BUG,访问其授权范围以外的信息;
攻击者通过应用系统存在的后门和隐通道(如隐藏的超级用户帐号、非公开的系统访问途径等),访问应用服务器或数据库服务器;
在数据传输过程中,通过窃听等方式获取数据包,通过分析、整合,获取企业的机密信息。
这类攻击主要来源于企业内部,包括通过授权使用应用系统的员工,开发、维护这些应用系统的员工、开发商。
1.4 BtoB电子商务应用的安全需求
Web应用是BtoB电子商务的主要模式。在基于Internet等公共网络上,其安全需求是在交易过程中,必须严格按照会员的身份进行控制对信息的访问,对服务器也必须进行必要的身份认证。在认证的基础上根据会员用户的身份对信息进行授权的访问控制,如有需要建立应用层的数据加密,保证数据隐秘性和完整性。
应用层的安全需求是客户应以自己的身份进行授权的操作,并保证自己的帐户资源不被别人窃取,具体描述为:
·会员客户和企业电子商务服务器的双向身份鉴别--防止双向欺骗和假冒;
·会员帐户资源的授权访问控制--只能做授权范围内的操作;
·资源的保密性和完整性--防止会员客户的口令、帐户信息被网上窃听;
·防止否认和抵赖--为业务仲裁提供法律依据;
·帐户资源访问的监视和审计。
1.5 后台管理的安全需求
所谓后台管理是指企业内部对电子商务的数据库、应用服务器等系统进行的日常管理工作,这些工作直接涉及到客户保密信息。在管理过程中,系统管理员也要进行身份认证和授权管理,这样可以将内部风险降到最低限度。所以后台管理的安全需求基本属于应用层的。
五、BtoB电子商务的整体安全解决方案
根据三维信息系统安全体系结构,并基于上述网络结构和应用模型进行定位分析,在这里提出总体安全技术策略。三维信息系统安全体系结构见下图:
图2 三维信息系统安全体系结构
从上述体系结构而言,安全是一个全局的问题,一个产品是不能够解决一个整体的安全方案,必须由不同层次的产品来解决不同的安全问题。比如:链路层的加密机,网络层的防火墙和VPN(IP加密机),应用层的认证、授权,以及防病毒、安全监测、安全审计和安全管理,等等,这些机制不可能在一个产品中全部实现。因此整体的安全方案必须系统地、完整地、统一地进行方案设计。
所以,针对BtoB电子商务的各层次安全需求,采用各种成熟的安全技术和产品,配备有效的管理策略和手段,是我们提出的《WebST BtoB电子商务安全解决方案》的主要思想。
1.1 网络层安全解决方案
根据上面提出的网络层安全需求,一是要保证BtoB电子商务的网络结构不能被攻破,二是要求对攻击能够预警,三是防杀病毒。所以要有针对性地采用成熟技术和产品。这里需要着重强调的是,以上技术和产品首先要建立在一个安全的网络结构上。
1.1.1.1 安全网络结构设计
在没有安全设计的网络中,其结构呈现为两层,即简单地分为外部网络和内部网络,中间以路由器或加之防火墙隔离,这样结构的风险在于内部网络的各个应用服务器和数据库可能受到直接攻击,如同图2所示。
目前通用的安全结构是在外网和内网之间增加一个子网,起着缓冲隔离作用,如图3所示。我们将BtoB电子商务网络划分为三个区域:
·外部网络--指通过路由器连接到的Internet及其他公网;
·非军事化区--这是一个服务子网,由安全代理服务器、公共服务器(DNS、Mail)构成;
·内部网络--由BtoB电子商务的实际应用服务器和数据库组成。
图3 安全的三网段结构
注意,在安全结构中改变了防火墙的位置,通过配置防火墙,将网络分为三个区域。在安全结构下,外部网络的远程客户不能直接访问到BtoB电子商务的各个应用服务器,而是只能访问到非军事化区中代理服务器(代理服务器实际上是我们重点推荐产品--WebST,在后面会专门介绍),再由代理服务器访问BtoB电子商务中心内网的对应应用服务器。对外公开服务器,如WWW、E-mail等,也可以放在非军事化区中。
这样,安全结构起到了基本安全的保障作用,但是还不足够,还要和其他技术、产品相结合才能产生最终安全效应。
1.1.1.2 防火墙技术与产品
防火墙在技术上已经相对成熟,也有许多国内外产品可供选择,但需要注意一定要选择支持三网段的防火墙。
在图3中,我们看到防火墙是设置在接入Internet的路由器后端,将BtoB电子商务网络划分为三个区域,即三个网段,如上所述。通过合理地配置防火墙过滤规则,满足下列需求:
·远程客户只能访问非军事化区的安全代理服务器,不能直接对内部网络的BtoB电子商务应用服务器和数据库进行访问;
·内部网络的客户端只能访问本网段的应用服务器,不能访问防火墙以外的任何其他网络;
·服务子网中的安全代理服务器可以通过防火墙,访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口;
防火墙的功能就是提供网络层访问控制,所以其配置准确严密与否至关重要,只要配置正确,关闭不需要的服务端口,就可以基本实现网络层的安全。
1.1.1.3 入侵检测技术与产品
随着Internet应用的不断普及,黑客入侵事件也呈上升趋势,对于象BtoB电子商务这样以公开主页提供保密性业务服务,面临被攻击的可能性大幅度增加。在安装防火墙和划分三网段安全结构后,降低了这种风险,但没有彻底消除。因为防火墙只是被动的防止攻击,不能预警攻击。所以对于BtoB电子商务这样关键应用,我们建议采用入侵检测系统(IDS)。
目前国外流行的入侵检测产品主要有ISS公司的RealSecure、Axent的ITA、ESM,以及NAI的CyberCop Monitor等。
国内产品中有科网威信息技术有限公司的 "天眼"入侵检测系统。它根据国内网络的特殊情况,由中国科学院网络安全关键技术研究组经过多年研究,综合运用了多种检测系统成果制研成功的。它根据系统的安全策略作出反映,实现了对非法入侵的定时报警、记录事件,方便取证,自动阻断通信连接,重置路由器、防火墙,同时及时发现并及时提出解决方案,它可列出可参考的全热链接网络和系统中易被黑客利用和可能被黑客利用的薄弱环节,防范黑客攻击。该系统的总体技术水平达到了"国际先进水平"入侵。
入侵检测系统可分为两类:基于主机和基于网络。
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如Web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
我们建议针对BtoB电子商务应用,适宜采用基于主机的IDS,安装在非军事化区中,主要检测针对安全代理(WebST)的攻击。
采用IDS在总体上可以实现防范黑客攻击,目前存在的问题是可能会有误警,并占用主机宝贵的资源,这就是安全代价。
1.1.1.4 防杀病毒技术与产品
防病毒产品包括网络防病毒产品和主机防病毒产品。主机防病毒产品只能对单一主机进行保护,而网络防病毒产品通过在网络入口实施内容检查和过滤,可以防止病毒通过邮件、FTP等方式从Internet进入企业网。
1.2 应用层安全解决方案
所谓应用层就是面向用户的实际应用,其安全需求在前面已经详细描述过。也可以精练地总结为"WWW"问题,即:
什么人(Who)可以做什么(What)并要知道他做过什么(What)。
落实到BtoB电子商务这个具体应用上,系统应当能够确定客户是什么人,他可以做什么不可以做什么,客户在过去地某段时间内多做过什么操作。
WebST可以一揽子解决上述问题。
1.2.1 WebST安全服务
WebST提供下列五大安全服务:
·双向身份认证--客户和BtoB电子商务应用服务器要互相取得身份信任,这是基于Kerberos身份认证协议的;
·对象访问控制--细粒度的对象访问控制,对象是网络系统中的资源总和,最具特色的是对动态对象(如动态URL)的访问控制,使得动态Web应用可以纳入安全体系;
·数据传输加密--所有数据在传输过程中均可以加密,保证了数据的机密性和完整性。也可以根据设定加密标志,不加密传输,具有灵活性;
·审计日志服务--提供详实的审计日志文件,记录客户、各个应用服务器在网络中的活动;
·安全管理服务--提供基于Java编程的管理控制台,以图形界面对用户、资源对象、服务器以及访问控制授权策略进行管理和维护。
1.2.2 WebST的安全组件
·WebST安全服务器--WebST安全服务器对安全域中的所有成员(客户和应用服务器)提供集中的身份认证服务。同时它提供一个中央注册数据库,内含被保护对象空间中所有合法用户和组的登录帐号;
·WebSEAL服务器--WebSEAL作为HTTP安全代理,保护指定的Web应用。来自客户端的Web请求,无论来NetSEAT授权用户还是非授权用户(非NetSEAT客户,也就是原HTTP用户,对WebSEAL服务器来说是"非授权用户"),首先由WebSEAL服务器处理。WebSEAL服务器根据对象的ACL检查用户的访问权限。,如果用户具有访问权限,WebSEAL服务器将HTTP请求递交给第三方Web服务器,由它来处理这个请求并将结果返回给WebSEAL服务器,然后WebSEAL服务器将这个结果按安全RPC方式返回给NetSEAT用户,或按HTTP方式返回给非NetSEAT用户。
·NetSEAL服务器--NetSEAL作为TCP安全代理,保护安全域内的网络应用服务器。NetSEAL可以允许或阻止用户运行某个服务器上的某个网络应用,如FTP、Telnet以及用户自行设计的网络应用。NetSEAL和WebSEAL一样,提供相同级别的数据安全性和完整性。NetSEAL起到了分布式应用层防火墙的功能。
·WebST Java控制台--这是一个图形界面的管理工具,用来对WebST的用户帐号、访问控制策略、服务器对象等进行管理。主要有用户帐号管理器、ACL管理器、对象空间管理和NetSEAL/WebSEAL服务器管理器等部分。管理控制台基于Java-DCE开发,独立于硬件和操作系统平台,使用拖拉式操作,有很好的人机界面,同时具有很强的安全性。可以管理WebST安全域内的所有安全对象。
·NetSEAT安全客户端--这是一个轻量型的客户端软件,运行在客户端Win95/98上,用来与安全服务器、WebSEAL/NetSEAL服务器进行身份认证和建立安全通信通道。NetSEAT对应用的客户端软件不作任何改变,采用陷阱方式,由NetSEAT设置IP陷阱、截取IP数据包,由NetSEAT进行处理,根据安全策略使用WebST安全通道,或仍使用固有协议。
·PKMS服务器--在WebST的机制中,将基于公共密钥的SSL策略集成在一起,用在Web应用方面。WebSEAL服务器通过公共密钥管理服务器(PKMS)与SSL连接起来。PKMS实际是身份认证网关和建立基于SSL的加密通道,客户端不必使用WebST的客户端软件NetSEAT,可使用SSL浏览器登录到PKMS,PKMS将用户的身份映射成WebST用户身份并且通过RPC进行传输,也就是将SSL的用户标识传递给WebSEAL服务器。PKMS是用来与Internet用户之间临时建立起相互信任的安全会话过程,然后将Internet用户身份映射到WebST访问控制机制可以管理的用户身份。
(在BtoB电子商务的应用中,真正实用的是SSL安全协议方式,所以PKMS是必不可少的。)
六、WebST应用于BtoB电子商务
1.1 WebST应用于BtoB电子商务的网络结构
图4给出WebST是如何应用于BtoB电子商务的网络结构中的。
图4 WebST应用于BtoB电子商务的安全结构
1.2 组件作用说明
· WebST安全服务器、WebSEAL服务器、PKMS服务器可以安装在一台主机上,该机放置在非军事化区中。WebST安全服务器担负所有访问BtoB电子商务的客户的身份认证;WebSEAL服务器作为安全应用代理,根据身份进行访问控制决策;PKMS服务器将客户提交的CA证书转换为WebST的身份证书再提交给WebST安全服务器;
· 在内网中的WWW服务器和非军事化区中WebSEAL服务器之间有一条兰色虚线,这是WebST提供的灵巧连接(Smart Junction)功能,它将内网WWW的对象空间连接到WebSEAL的目录里,给予客户一个统一的资源空间访问点;
· 在这个结构中,远程的会员客户的客户机可以采用NetSEAT安全客户端,也可以采用浏览器的SSL安全协议访问应用。所涉及到的CA证书方面的细节在后面介绍。
1.3 安全的后台管理
在以前一般的安全解决方案都将注意力集中在前台应用与客户之间,而在不同程度上忽略和忘记内网的后台管理工作的安全。所谓后台管理是一个很广泛的含义,在不同的网络应用中有不同的内容。总的来说是网络管理员和应用管理员的工作,他们需要通过各种网管软件或应用自行设计的管理软件,对网络中的各种资源对象进行管理操作。于是在这个过程中也存在着安全问题,如管理员的身份、管理员的操作权限和管理员的操作记录。
从安全风险的程度来讲,来自管理员的安全风险更强,他们不需要象黑客那样从外部费力的攻击,他们具有得天独厚的便利条件,如果有恶意的话,他们所造成的危害更大。所以加强后台管理的安全是非常重要的事情。
后台管理的安全漏洞主要是口令的泄露。现有的网管软件和应用管理软件在身份认证上基本都是明码口令,极容易被窃取。
我们的思路是将后台管理纳入WebST的统一安全体系内。图4中也体现了这个结构。在BtoB电子商务的非军事化区里安装NetSEAL服务器,并配置成对内网中所有应用服务器进行保护。在管理工作站上增加NetSEAT安全客户端。这样,管理员要想直接访问应用服务器进行各种管理操作时,就必须经过WebST的身份认证和经过NetSEL的访问控制,为后台管理起到安全保障作用;
1.4 BtoB电子商务内部CA解决方案
在BtoB电子商务应用方案和安全解决方案中,一定要配备CA设施,为会员客户颁发代表身份的CA证书。图4中配备CA设施。
CA设施主要由三个组件构成:
·CA服务器--也称为证书服务器,它的主要作用是签发和管理所有的证书以及证书作废表。CA服务器接受证书服务申请并提供相应的服务;
·CA管理客户端--CA管理客户端是由CA超级管理员使用,负责CA系统本身的管理,并不签发最终用户的证书;
·CA维护客户端--CA维护客户端是由CA操作员使用,负责用户的证书申请、证书更新、证书作废、证书查询、作废证书查询等工作。
实际上,CA设施内含密钥管理中心(KMC),这部分对客户是透明的。
目前CA设施产品已经成熟,最近推出的Windows 2000也提供了CA设施。在国内,也有成熟产品可供选择。在本方案中,由于是以WebST为核心的,而WebST接受的CA证书格式是PEM,所以要注意这一点。
CA设施在CA层次关系上可以有两种,一种是内部根CA,它不需要取得其他CA的授权;一种普通CA,它需要得到上一级CA的授权,以产生信任。
在本方案中,我们采用的是第一种,内部CA。
1.5 安全系统性能的考虑
安全系统性能主要指可靠性、可用性、可伸缩性。WebST是基于分布式计算环境DCE设计而成,所以能够保证这三方面性能的高要求。
从 BtoB电子商务的业务模式来看,安全系统的可靠性是最重要的。我们建议,采用WebST复制功能,构造前端复制的双WebST安全服务器结构,图4中所示的就是复制的前端WebST安全服务器结构。
复制的前端WebST 安全服务器可以实现系统容错性,提高可靠性。当两个或多个复制的前端安全服务器响应用户请求时,网络容错配置将起作用。容错性是指不会所有的服务器同时都失效。如果一个安全服务器出错,复制的安全服务器仍可为用户提供访问安全服务。
图4是一个完整的BtoB电子商务安全解决方案结构,为了清晰起见,我们没有将入侵检测系统和防杀病毒系统标志出来。
七、BtoB电子商务安全解决方案的使用效果
BtoB电子商务的安全解决方案是和BtoB电子商务的业务流程结合在一起的,其使用效果对客户是透明的,也就是"在不知不觉中得到安全保障"。下面我们从BtoB电子商务的业务流程来描述安全解决方案是如何工作的。
1.1 会员用户申请办理网上交易业务
1. 首先,用户要在企业BtoB电子商务网站上申请入会并进行注册;
2. 经审核有效后,以邮政方式得到一个密码信封,获得会员用户帐号和口令,以备网上申请证书用,也是今后具体操作时需要提交给身份认证所用;
3. 用户使用所得到的用户帐号和口令,从BtoB电子商务网站申请下载客户CA证书,并存放在指定的浏览器目录中;
4. 用户配置浏览器。
1.2 用户使用BtoB电子商务业务
1. 用户在个人微机上使用浏览器,通过企业网页进入BtoB电子商务系统;
2. 在首次进入时,安全系统弹出有关CA证书的一些信息框,主要是向客户说明服务器的CA证书情况,需要客户确认。然后再弹出用户名和口令的对话框,用户需要输入所申请到的用户名和口令。(需要提醒的是,BtoB电子商务网站颁发给用户的用户名是固定不可更改的,但口令是可以更改的,而且当用户得到初次口令后第一件事就是及时上网更改这个口令,这时才做到只有你一个人知道这个口令。);
3. 在安全系统内部实际上是进行了CA证书向WebST的内部证书转化的工作。这个转化的成功必须是CA证书得到CA服务器的认证,用户名和口令必须得到WebST的认证,这两者的结合成功才能最终成功,所以这实际是双保险的身份认证,完全不同于一般的CA认证和一般的系统口令认证(如操作系统);
4. 所有认证过程中的数据传输都将加密进行。而WebST的身份认证过程更是严谨,用户的口令从不在网上明码传输,而是将口令经过算法转换为一个初始会话密钥,经过安全协议传到安全服务器,认证过程要经过几次才能最后完成,这就是Kerberos V5的身份认证协议;
5. 每次经过身份认证后,其有效时间是可以设置的,系统默认值是8小时,根据安全需求,可以将这个时间设置很短。但是用户退出BtoB电子商务服务后再次登录,还是需要重新进行身份认证;
6. WebST根据会员用户的情况已经将访问权限做了授权,会员用户之间不能互相访问和查询,同一个会员单位内的不同用户也有权限划分;
7. 安全管理员每天需要浏览查阅WebST的审计日志文件,主要是看是否有不正常的登录企图。另外要坚持备份日志文件,作为日后纠纷的凭据资料。
1.3 WebST的身份认证与CA证书的关系
在上面第3、4小点已做了详细介绍,这里要强调的是,CA证书的使用是需要用户名和口令的认证过程,如果没有WebST,这个过程就是十分脆弱的,如明码传送和单向认证,极易被窃取。WebST的身份认证就是加固这个过程。
八、结束语
BtoB电子商务是一个具体的Internet应用,有着广阔的发展空间,但其安全性是足以影响发展进程。所以,既安全可靠又方便使用是开展BtoB电子商务业务的前提。本方案力图在这两方面做到平衡。由于国内各大企业的业务模式具有自己的特点,一定也会反映在各自的电子商务业务上,所以在具体实施项目时会有不同程度的调整,存在一个个性化定制的过程,因此,本方案具备BtoB电子商务安全解决方案的设计指南功能,而非实施方案,请读者注意。
