公務(wù)員期刊網(wǎng) 論文中心 正文

電子商務(wù)安全管理軟件系統(tǒng)開發(fā)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電子商務(wù)安全管理軟件系統(tǒng)開發(fā)范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。

電子商務(wù)安全管理軟件系統(tǒng)開發(fā)

一、軟件項(xiàng)目業(yè)務(wù)規(guī)劃

1.1項(xiàng)目規(guī)劃

項(xiàng)目目標(biāo):完成電子商務(wù)安全管理軟件系統(tǒng)的研制和開發(fā),并進(jìn)行市場(chǎng)化運(yùn)作;對(duì)電子商務(wù)安全標(biāo)準(zhǔn)進(jìn)行研究。主要功能:電子商務(wù)安全管理軟件系統(tǒng)實(shí)現(xiàn)的主要功能有:(1)提供訪問電子商務(wù)網(wǎng)站用戶的身份認(rèn)證、授權(quán);授權(quán)用戶在線刪除,添加,更新本人信息;實(shí)現(xiàn)了允許一種用戶可以以多種身分訪問電子商務(wù)程序的身份驗(yàn)證和授權(quán)的功能。

(2)過濾當(dāng)前用戶請(qǐng)求中是否含有違反HTTP協(xié)議的數(shù)據(jù)存在,包括參數(shù)缺失、參數(shù)異常、參數(shù)過多;過濾當(dāng)前用戶請(qǐng)求中是否含有違反當(dāng)前請(qǐng)求頁面的數(shù)據(jù)存在。

(3)對(duì)稱式和非對(duì)稱式的加密解密技術(shù):包括數(shù)字簽名算法、消息摘要技術(shù)、密鑰交換方法、提供基于數(shù)據(jù)庫(kù)的密鑰管理服務(wù)的內(nèi)容。

(4)收集功能模塊的日志信息,然后生成統(tǒng)一的日志信息,并進(jìn)行分類存儲(chǔ)(本課題提供數(shù)據(jù)庫(kù)存儲(chǔ)形式),然后提供查詢、刪除等功能(用戶可以對(duì)日志信息按日期、模塊名進(jìn)行查詢、刪除等操作)。

(5)隨時(shí)對(duì)受保護(hù)的電子商務(wù)應(yīng)用程序進(jìn)行安全監(jiān)控,若發(fā)現(xiàn)惡意代碼的攻擊,即刻發(fā)出報(bào)警信息。

(6)監(jiān)控系統(tǒng)和電子商務(wù)應(yīng)用程序的運(yùn)行情況,若系統(tǒng)或應(yīng)用程序出現(xiàn)異常,即刻發(fā)出報(bào)警信息。約束條件:本系統(tǒng)運(yùn)行時(shí)需要JAVA運(yùn)行環(huán)境人員所需工具所需資源:開發(fā)本項(xiàng)目需要參加人員熟練掌握J(rèn)AVA、XML、TOMCAT、MYSQL、JSP、STRUTS等,開發(fā)工具使用eclipse、editplus、mysql等。

1.2項(xiàng)目組織與進(jìn)度

本項(xiàng)目的開發(fā)共分四個(gè)時(shí)間段進(jìn)行,具體安排如下所示:系統(tǒng)調(diào)研和總體方案設(shè)計(jì)3個(gè)月系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)8個(gè)月系統(tǒng)程序?qū)崿F(xiàn)8個(gè)月α測(cè)試β測(cè)試3個(gè)月

1.3開發(fā)軟件所需要的工具軟件運(yùn)行環(huán)境

A.操作系統(tǒng):Linux系統(tǒng),Window2000Serve系統(tǒng)B.?dāng)?shù)據(jù)庫(kù):Oracle8i/9i,SQLServer2000,MysqlC.WEB服務(wù)器:Tomcat/Weblogic/Jboss編程語言:JAVA開發(fā)平臺(tái):eclipse測(cè)試與分析工具:paros

二、軟件開發(fā)設(shè)計(jì)與程序編碼

2.1軟件開發(fā)設(shè)計(jì)

電子商務(wù)安全管理軟件系統(tǒng)采用了模塊化的設(shè)計(jì)理念,遵循J2EE的開發(fā)標(biāo)準(zhǔn),充分利用了J2EE程序開發(fā)過程中所涉及到的開放源代碼的應(yīng)用軟件。整個(gè)軟件系統(tǒng)是在Tomcat5.5.9條件下進(jìn)行的研發(fā),開發(fā)工具選用的是Eclipse3.1,MySQL4.1提供了數(shù)據(jù)庫(kù)支持。此外,還使用了諸如Spring,Hibernate,Struts,Dom4j,Log4j等免費(fèi)軟件和技術(shù)。從軟件設(shè)計(jì)與軟件開發(fā)的角度看,電子商務(wù)安全管理軟件系統(tǒng)的設(shè)計(jì)規(guī)劃遵循了如下設(shè)計(jì)原則:

(1)電子商務(wù)安全管理軟件封裝了許多功能強(qiáng)大、易于使用的軟件功能模塊,對(duì)于統(tǒng)一安全接口標(biāo)準(zhǔn)研究十分必要。

(2)軟件的開發(fā)大量采用組件化、J2EE技術(shù),獨(dú)立于操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)。軟件內(nèi)部的模塊大量采用Bean,進(jìn)行業(yè)務(wù)邏輯的封裝,可以方便利于網(wǎng)絡(luò)層的請(qǐng)求響應(yīng)調(diào)用。

(3)系統(tǒng)采用XML文件格式來響應(yīng)業(yè)務(wù)請(qǐng)求,這樣可以實(shí)現(xiàn)系統(tǒng)邏輯各層之間良好的通訊和接口。

(4)全面考慮電子商務(wù)安全的各種需求,設(shè)計(jì)統(tǒng)一的標(biāo)準(zhǔn)化的軟件結(jié)構(gòu),使各種網(wǎng)絡(luò)安全技術(shù)運(yùn)行在軟件框架之下,共同保護(hù)電子交易安全。

(5)提供開放的API接口,這樣使其他公司的軟件產(chǎn)品可以輕易的集成到這個(gè)軟件系統(tǒng)平臺(tái)上。

2.2程序編碼

安全:安全模塊就像一個(gè)數(shù)據(jù)采集器;在電子商務(wù)安全控制中心中分析的所有HTTP信息都是通過安全模塊采集的。此外,安全模塊還負(fù)責(zé)在分析后將反應(yīng)結(jié)果返回給用戶。開發(fā)安全模塊所使用技術(shù):ServletFilter。

(1)認(rèn)證授權(quán)模塊。身份驗(yàn)證和授權(quán)認(rèn)證模塊提供一種基于JAAS體系結(jié)構(gòu)的認(rèn)證解決方案。身份認(rèn)證是用戶或計(jì)算設(shè)備用來驗(yàn)證身份的過程,即確定一個(gè)實(shí)體或個(gè)人是否就是它所宣稱的實(shí)體或個(gè)人。授權(quán)確定了已認(rèn)證的用戶是否能夠訪問他們所請(qǐng)求的資源或者執(zhí)行他們所請(qǐng)求執(zhí)行的操作。

(2)數(shù)據(jù)過濾模塊。數(shù)據(jù)過濾模塊實(shí)現(xiàn)兩種分析算法:模式匹配算法和行為建模算法。一種是基于誤用檢測(cè)算法的模式匹配,另一種是基于異常檢測(cè)算法的行為建模。

(3)協(xié)議過濾模塊。根據(jù)電子商務(wù)網(wǎng)站管理員的人工配置和HTTP協(xié)議細(xì)節(jié)執(zhí)行協(xié)議過濾算法,針對(duì)于安全數(shù)據(jù)中出現(xiàn)的冗余信息、檢測(cè)出的缺失信息,以及異常信息分別進(jìn)行安全分析,并且觸發(fā)相應(yīng)的安全動(dòng)作。

(4)安全監(jiān)控模塊根據(jù)安全分析的結(jié)果與事先定義的安全動(dòng)作,模塊采用相應(yīng)的指定動(dòng)作。此外,這個(gè)模塊將向安全模塊發(fā)送動(dòng)作指令。如果發(fā)現(xiàn)黑客入侵,就隨時(shí)觸發(fā)“拒絕”動(dòng)作,然后發(fā)送警告給應(yīng)用程序的管理員。同時(shí),將惡意的入侵請(qǐng)求存入到數(shù)據(jù)庫(kù)作為入侵分析的日志文件。因此,攻擊者將會(huì)收到一個(gè)出錯(cuò)頁面或者請(qǐng)求被禁止的頁面。

(5)應(yīng)用監(jiān)控。應(yīng)用監(jiān)控模塊主要實(shí)現(xiàn)了對(duì)于訪問電子商務(wù)應(yīng)用程序、安全模塊的應(yīng)用配置和應(yīng)用監(jiān)控功能。實(shí)現(xiàn)了應(yīng)用程序和電子商務(wù)安全管理軟件系統(tǒng)的動(dòng)態(tài)配置、實(shí)時(shí)監(jiān)控電子商務(wù)安全管理軟件系統(tǒng)的響應(yīng)速度。

(6)加密解密模塊。加密解密技術(shù)對(duì)于用戶要傳輸?shù)男畔⑦M(jìn)行加密操作,可以有效地保護(hù)信息的安全。加密解密模塊的實(shí)現(xiàn)方案使用平臺(tái)通用開發(fā)包JCE(JavaTMCryptographyExtension),它的加密解密算法的強(qiáng)度較高,算法靈活,適應(yīng)于多種平臺(tái),從而使得用戶的敏感信息可以得到更好的保護(hù)。提供完善的加密解密服務(wù)接口,提供密鑰管理功能,包括密鑰存儲(chǔ)、檢索和密鑰自動(dòng)更新的功能,提高密鑰的安全性和保密措施。

(7)日志管理模塊。日志管理模塊的總體實(shí)現(xiàn)方案基于開放源代碼項(xiàng)目—Log4j,主要實(shí)現(xiàn)了為電子商務(wù)安全管理軟件系統(tǒng)的功能模塊生成統(tǒng)一格式的日志信息,對(duì)產(chǎn)生的運(yùn)行日志、安全日志進(jìn)行統(tǒng)一的日志管理,針對(duì)不同來源的日志將其保存到不同的日志文件。

作者:王欣 單位:天津現(xiàn)代職業(yè)技術(shù)學(xué)院