物流综合信息平台中信息的平安性设计与实现


     分类号 密级 UDC 学 位 论 文 物流综合信息平台中信息的平安性设计与实现 缪立强 〔作者姓名〕 指导教师姓名 李洪伟 〔职务、职称、学位、单位名称及地址〕 申请专业学位级别 硕士 专业名称 软件工程 论文提交日期 2021.3 论文辩论日期 2021.6 学位授予单位和日期 电子科技大学 辩论委员会主席 评阅人 2021年 月 日 注1:注明?国际十进分类法UDC?的类号。 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何奉献均已在论文中作了明确的说明并表示谢意。 签名: 日期: 年 月 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保存、使用学位论文的规定,有权保存并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或局部内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 〔保密的学位论文在解密后应遵守此规定〕 签名: 导师签名: 日期: 年 月 日 摘 要 当前的物流行业开展十分迅速,我国的物流公司也在全社会的需求中得以壮大,随着人们对于物流行业的认可与期待,物流企业要进一步加强自身的业务能力,竞争力。这点在国内的中小公司中尤为重要,物流信息化,物流信息系统的采用已经成为现代物流行业的标志,然而有信息的地方,就会有信息平安问题,这里也不例外。物流信息平安的保障为维持物流业务正常工作的信息系统提出了更高的要求,简单的口令认证方式己缺乏以满足物流公司的需求,带有身份认证的系统成为开发使用的目标。然而这类软件大多由国外大型软件公司所开发,其功能往往过于庞大冗余,价格更是高企不下,本文就从这个角度出发,提出了基于开源技术的物流信息系统。 本文的核心目标是通过在实际工程中构建一个平安的物流信息系统网站,分析在该特定环境中的电子商务平安需求,研究制定物流信息平台的平安策略,总结物流信息系统的根本平安需求,提出一个物流信息平台的根本体系架构。然后,以作者参与设计、开发的长江物流网为对象,通过对平台系统的设计和构建以及平台相关情况的分析,对物流信息平台平安关键技术进行了实现。 关键词:物流信息平台,信息平安,加密,CA认证 ABSTRACT With the rapid development of the world logistics industry and the demand of the whole world, Chinese logistics companies have progressed a lot recently And the logistics corporation should improve their business management ability while people are asking for more service. Information system's application is becoming the basic standard in the logistics industry; however, the information security problems have appeared. The logistics information security guarantee needs the normal logistics information system to do more, which is responsible for the daily business of the logistics service flow.The simple authentication which is using the old password is not capable for the modern logistic company's demands. Information system with strict identity authentication function is becoming the new object whether in system development or software application. With the fact that such information system is always produced by huge foreign software companies and always prices high the small companies need the system too but they can afford much less. This is the basic purpose of this paper which support a logistics information system with identity authentication function developed by open source techniques. The core objective of this paper is to build a safe E-commerce network in the practical project, analyze its security demands in specific conditions, study and draw up security strategies for the platform, summarize basic rules for its security, and finally propose the fundamental system architecture for E-commerce security. Taking an E-commerce network the author has jointly designed and developed as the object and on the basis of the analysis of its design, construction and other aspects, the paper carefully studies and analyzes the security demands of the system platform, determines its basic security strategies, andto realize the application of E-commerce security technologies . Keywords: logistics information platform; information security; encryption; CA certification 目 录 第一章 绪论 1 1.1研究背景 1 1.2物流信息平台的现状和开展趋势研究 1 国外物流信息平台的研究状况 2 1.2.2 国内物流信息平台的研究现状 3 国内外物流信息系统现状 5 1.3 研究内容和组织结构 7 1.3.1 本文的研究内容 7 1.3.2 本文的组织结构 7 第二章 物流信息平台结构与信息平安关键技术 9 2.1 物流信息平台概述 9 现代物流与信息化的关系 9 长江物流园物流信息系统的特点 9 2.2物流信息平台信息平安策略 10 网络平安存在的隐患 11 网络平安策略 12 2.3关键平安技术 13 2.3.1 SSL通信协议 13 2.3.2公共密钥根底结构PKI 14 数据传输加密技术 16 2.4本章小结 18 第三章 综合物流信息平台的平安需求分析 20 3.1物流信息系统体系结构 20 订单管理 20 仓储管理 22 客户管理 24 系统管理 24 3.2物流信息平台网络平安需求 25 用户登录身份验证 25 数据I/0 25 与其它系统对接 26 网络数据的传输 26 客户的资料的保存 27 受理确实认等环节 27 3.2.7回单确认 27 仓储管理 28 配送管理 28 费用管理 28 商品价格管理 29 客户管理 29 帐务的清算 29 本钱核算 30 其它一些物流环节 30 3.3本章小结 30 第四章 物流信息系统平安设计 32 4.1用户身份认证机制 32 口令认证 33 利用数字签名技术实现身份认证 33 4.2访问控制和权限管理 33 访问控制设计 34 4.3数据的平安传输 35 设计原理 35 应用策略 36 第五章 物流信息平台平安关键技术实现 38 5.1系统的开发环境和开发工具 38 5.2系统平安策略 38 5.3身份认证 39 安装效劳器数字证书 39 设置SSL实现Web平安通信 41 身份认证的实现 42 身份认证操作界面 43 5.4数据机密性的设计与实现 44 5.5信息完整性的保障和数字签名 54 使用数字签名技术 54 基于RSA算法的数字签名的实现 56 第六章 结论与展望 57 致 谢 59 参考文献 61 第一章 绪论 1.1研究背景 2001年,我国顶住巨大的市场压力正式启动了国家“十五〞科技攻关重大工程“国家信息平安应用示范工程〞。目前,我国电子商务活动已经进入到几乎所有商务领域,同时物流信息平台相应得到快速开展。物流信息平台的建立,使物流具备了一系列新特点:信息化电子商务时代,物流信息化是电子商务的必然要求。物流信息化表现为物流信息的商品化、物流信息收集的数据库化和代码化、物流信息处理的电子化和计算机化、物流信息传递的标准化和实时化、物流信息存储的数字化等。自动化的根底是信息化,自动化的目标是经济化,自动化的核心是机电一体化,自动化的外在表现是无人化,自动化的效果是省力化,而作为根底的信息化数据的平安是重要保证。 随着Internet技术的开展,基于Internet的电子商务活动应运而生并迅速开展。物流综合信息平台就具有电子商务的某些特征。经济全球化和信息技术的迅速开展,企业生产资料的获取与产品经营范围也日趋扩大,社会生产、货物流通、商品交易及其信息管理方式正在并将继续发生深刻变革。本文围绕着物流信息管理与信息平安的核心内容,从实用性的角度分析了物流信息平台,研究如何利用现代物流信息技术平安理论,使企业在网络时代制定出科学合理的商流、物流、资金流、信息流政策并保证其的平安性等,从而促进电子商务物流的开展,实现企业管理与信息技术的全面融合,提升企业的核心竞争力。 物流领域的信息化有两层含义:一是物流配送系统的计算机通信网络,另外是与下游顾客之间的联系也要通过计算机网络通信。智能化是物流自动化、信息化的一种高层次应用,物流作业过程大量的运筹和决策。在物流信息化的进程中,信息平安是不可回避的技术难题,其在一定程度上决定物流信息化的成败。 1.2物流信息平台的现状和开展趋势研究 国外物流信息平台的研究状况 国外学者对物流信息系统研究与国外物流的开展是同步的,起步相对较早,己经在物流与供给链信息管理研究中取得了很多成果: 1983年Parson的文章?信息技术:一项新的竞争利器?[1]和1985年Porter的文章?信息如何带来竞争优势?[2]文中都阐述了类似的观点,即:可以预见信息技术的开展必将给企业带来极大的影响,掌握并能良好运用信息技术的各类企业将在竞争中取得相当大的优势。 1986年 Stenger在?信息系统在物流管理中的运用:过去,现在和将来?一文中指出,物流管理必须依靠信息技术提供的强大支持,才能充分发挥效能。文章对信息系统在物流管理中的运用情况进行了分析和总结,并对未来的开展趋势做出了预测[3]。 1990年Stock在?计算机,通讯与信息技术的战略管理:仓库管理的机遇与挑战?文中指出,在仓库与库存管理中运用计算机和信息通讯技术进行辅助决策是企业面临的一大机遇与挑战,也是仓库管理的开展方向[4]。 1992年Rogers在?提高效劳响应速度:ED工的战略潜力?文中指出引入电子数据交换(EDI)能实现商业伙伴间的商业数据交换与自动化处理,提高作业效率,极大的提高效劳响应速度[5]。 1992年L.Lee在?管理供给链详解:缺陷与时机?[6]一文以及其后的一系列文章中 L.Lee(1995)[7],L.Lee(1997)[8] [9],指出高质量、实时的双向的涉及需求和供给的信息是企业实施供给链管理的根底。 自1991年 IntronaL.D在?信息技术给物流业带来的冲击?[l0]一文后,陆续有许多学者将注意力集中到信息技术与物流业的研究上来。如:Harrington,L.H(1992)[11],Fox,T(1994)[12],Bardi,E.J(1994)[13],Bowersox, D.J(1995)[14] ,Gustin,C.M(1995)[15],Lew1S(1997)[16],分别从信息技术与物流业现状分析,信息技术对物流的影响,物流信息系统设计,信息系统对战略管理的影响,物流信息系统集成,物流信息系统协同等多个方面进行了研究,取得了一批有价值的成果。 1998年,?物流杂志?的“寻找质量〞调查发现有五个领域与物流的效劳质量有重要关系。按重要性的程度先后排列,是及时性、效劳的价值、信息技术、客户效劳以及设备和运作。而最关键的物流能力,那么取决于信息技术、全程跟踪、EDI、网络或电子商务能力[17]。 2000年美国著名的物流和供给链管理学者Lancioni(2000)[18]总结前期研究后指出,IT技术为供给链管理提供了巨大的削减本钱和提高效劳水平的时机,并指出了IT在供给链管理中的应用领域,如采购运输、订单处理、消费者效劳、生产方案和供给商关系管理。 2000年Avier在?对实施JIT的交易本钱分析?一文中指出,信息门户是基于易定制架构而为用户所偏好的搜索相关信息的开始点。通过建立门户连接内容、商务和社区,使企业能够整合存储在企业内部和外部的各种信息,并为用户提供了一个单一的访问企业各种信息资源的入口,从而节约了交易本钱[19]。 2003年 MatSAbrahamsson等在?通过物流信息平台提高战略能力?文中对物流信息平台做了描述与界定,认为物流信息平台是物流信息系统中非常重要的一局部,是物流信息的管理与控制中心,良好的物流信息平台运作能有效提升企业灵活性[20]。 2003年 A Gunasekaran在?小型物流公司的成功管理?中,通过调查研究和案例分析,提出了专门用来分析小型第三方物流企业的一个经验性模型,它通过战略方案、存货管理、运输、能力方案和信息技术五个主要指标作为分析的框架。指出各种类型的信息技术都可以使用,包括企业内部局域网,外网和全球互联网,加上EDI和WWW效劳及ERP企业资源方案等,并强调了信息技术的使用还包括数据挖掘 (data mining)和数字仓库 (data warehousing) [21]。 2006年K.L.Choy等在?开展集成物流信息系统提升第三方物流能力?一文中指出第三方物流效劳是区域物流的核心,但仍然有局部第三方物流效劳商与其合作伙伴间还在使用手动交易这类无效率的交易模式,因此文章提出了一个广义的物流信息管理平台 Integrated Logistics Information Management System(ILIMS)来解决此问题。此平台将国内外的物流信息效劳与物流运作连为一体,以较低的本钱满足物流系统运营需要。并给出了一个(ILIMS)的运行实例[22]。 国内物流信息平台的研究现状 国内学者对物流信息系统研究相对较晚,但近年来在这方面取得了大量的研究成果,其中物流信息平台方向的主要研究成果有: 2002年董千里在?区域物流信息平台与资源整合?文中研究了第三方物流提供商利用区域物流信息平台整合社会物流资源的方式,将综合物流信息平台分为微观(企业)和宏观(区域)两个层次,着重从区域物流信息平台角度,分析研究工商企业、第三方物流企业和政府主管部门等不同主体,对区域物流信息的需求及社会物流资源整合要求,探讨第三方物流提供商利用区域物流信息平台的功能及其运行机制进行物流资源整合的方式,进而提出第三方物流提供商整合物流资源可利甩的区域物流信息平台“剧场模型〞。根据“剧场模型〞,强调第三方物流提供商必须吸收“第四方物流〞概念中的供给链方案设计、一体化管理和咨询能力,这样才能利用区域物流信息平台提高社会物流资源整合能力,最终实现第三方物流提供商整合社会物流资源的思路和实际运作模式[23]。 2002年薛胜军等在?基于CSCW的物流信息平台的开发(英文)?文中介绍了计算机支持的协同工作(CSCW)的根本原理,分析了物流信息平台开发的过程与环境,探讨了将CSCW与物流信息平台的开发相结合的优越性和可能性。并且结合一个交通运输业物流信息平台开发的实例,探讨了基于CSCW的物流信息平台的开发方法[24]。 2003年蔡淑琴等在?区域性物流信息平台结构的研究?文中在分析区域性物流信息平台规划现存问题和按培根模式规划的区域性物流层次结构的根底上,分析了该模式下物流平台的不同用户的功能需求及信息需求,构造了信息平台的总体框架和层次结构。指出与核心业务紧密相关的信息平台是公用信息平台和物流业务信息平台,政府管理部门信息平台和政府职能部门支撑信息平台那么是物流信息平台的辅助平台,后台系统由政府统一建设和管理,在实际的物流信息平台建设中只需为其提供和相关信息平台的接口即可[25]。 2003年何杰等在?省级物流信息平台体系结构方案分析?文中结合江苏省现代物流开展规划工程,在分析物流信息平台规划的战略目标和总体功能需求的根底上,基于不同梯度对省级物流信息平台体系结构提出了3种构建方案,在比拟分析3种方案优缺点根底上,选择最优方案作为省级物流信息平台的规划方案[26]。 2004年赖平仲等在?物流园区信息平台系统规划框架设计?文中指出为了物流园区的高效运营,首先应当把信息平台的建设当作物流园区的一个生产投入要素,大力提高信息的利用率,减少信息传递的环节和流程,力求以最短的流程、最快的速度和最小的费用,传输高质量的信息。根据信息属性和技术可实现的方法,物流信息平台由共用信息平台、物流根底信息平台和作业信息平台三局部组成,共用信息平台是中心[27]。 2004年崔南方等在?区域公共物流信息平台系统设计))文中分析了区域公共物流信息平台的信息需求与功能需求,从综合信息效劳、数据交换、物流交易、货物跟踪和行业应用托管5个方面对其功能进行了设计,并提出了平台的体系结构,为弥补中小企业物流信息化建设中资金与人才方面的缺乏和建设区域公共物流信息平台提供了思路[28]。 2005年廖妹敏在?广东省物流信息平台构建的设想?文中阐述了物流信息平台构建的客观性,然后指出了广东省物流信息平台构建的战略目标,在此根底上分别从省政府统一规划的角度和物流企业管理者的角度提出了相应的物流信息平台规划方案和物流信息平台结构体系方案。广东省物流信息规划方案共分为省级物流共用信息平台层、省内城市物流共用信息平台层和城市物流园区信息平台层三个层次。每个层次中的各物流共用信息平台都是以web站点的形式发布物流信息,通过EDI电子数据交换系统实现平台信息的数据交换,用户可以通过Internet进行访问[29]。 2005年马军等在?电子化物流协同作业信息交换平台构建及经济分析?文中结合实际应用系统的开发,给出了电子化物流协同作业信息交换平台的框架结构、信息处理的流程以及所使用的技术;通过分析该信息交换平台所提供的应用效劳,结合交易费用经济学的有关理论,说明了该信息交换平台可有效地降低物流业务参与各方的交易费用[30]。 2005年季常煦等在?城市交通共用信息平台数据管理技术?文中指出为了有效地组织城市交通共用信息平台中的资源,为数据处理提供有力支持,在分析交通信息平台的数据存储需求的根底上,提出了一个基于数据库和数据仓库技术的城市交通共用信息平台数据存储体系结构,并对其中的中心数据库和历史信息数据仓库的关键技术进行了详细讨论[31]。 2005年周剑峰在其博士论文?城市交通共用信息平台数据处理技术研究?中指出高效地管理城市交通共用信息平台中海量的交通数据及地理数据,同时对这些数据进行处理和综合分析,是实现信息平台功能的关键技术之一。文章在对城市交通共用信息平台体系框架研究的根底上,深入研究了平台的数据处理技术。提出了基于数据库技术和数据仓库技术的城市交通共用信息平台的体系结构,着重地研究了城市交通共用信息平台中的数据仓库技术;构造了数据融合与数据挖掘技术在城市交通共用信息平台中应用的体系结构,探讨了它们在平台的具体应用;研究了基于数据挖掘技术的城市交通拥堵多发路段分析方法。对于我国各城市正在进行城市交通共用信息平台的建设具有很好的理论参考和实际指导价值[32]。 1.2.3国内外物流信息系统现状 下面介绍目前物流软件供给商的概况。 关于物流软件的提供商究竟有多少的问题,目前没有确切的答案。据专家估计仅国内就有500多家,此外还有一些知名的国外物流商、IT厂商和咨询公司也在中国的物流软件市场中淘金。这些企业可以大体分为以下几类: 第一类是国外著名的大公司,其中既有像IBM、ORACLE这样著名的仃商,也有像SAP、i2、EXE这样的专业性物流和供给链管理软件供给商。这类企业的主要市场是高端客户,例如跨国公司在华的分公司,国内大型制造商或物流商。 第二类的是国内比拟成功的物流专业性软件供给商,在国内市场有一定影响。例如招商迪辰、中软冠群、博科、全程物流等,这些企业往往有国外资金或技术的背景,起点较高,又有外乡化优势。其中特别要提到的是有些软件公司在国内某些行业、领域比拟成功,例如上海时运、五奥环等在连锁分销领域有比拟好的口碑。 第三类是国内知名的ERP供给商,如用友、金蝶等。这些企业在财务管理系统领域取得了较大的市场份额,进而向企业管理软件ERP领域进军。由于有较好的客户群根底,也由于绝大多数制造业企业的信息化是以ERP为主要内容的,物流只是作为ERP的一种延伸。 第四类是其他物流软件供给商,规模小、实力弱,大局部还很不稳定。其中有些成功的企业,主要得益于物流信息化需求的增长,自身在某些方面有一技之长,还有就是本钱低、价格有优势。 在目前这种物流信息系统开展状况下,已经出现了不少能够提供平安保障的物流及供给链管理系统,例如Wosign公司推出了基于PKI技术的供给链管理系统信息平安解决方案,其功能概括如下: (1)为企业的效劳器〔web效劳器和其他效劳器)部署全球通用的支持所有浏览器的 128位的SSL证书,确保全球用户在任何地方都可以使用任何浏览器访问企业的SCM效劳器,支持从浏览器到效劳器之间机密信息的高强度加密传输,从而有效地防止了信息的机密信息、帐号、密码和交易数据的机密性和完整性。 (2)为每个访问企业SCM系统的用户(员工、供给商和客户)颁发一个全球通用的单位数字证书或单位数字证书用于登录SCM系统的真实身份认证和用于每个在线操作的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑和专用电脑的间谍软件或其他可能的手段非法使用数字证书问题,其为用户添加了USB型移动数字证书来确保是真实的合法用户平安地登录SCM系统(需要登录和在线处理业务时就把移动数字证书插入电脑的USB口,用完就拔下)。此证书还可以用于企业与供给商之间的电子邮件签名和加密,实现平安的企业电子邮件通信。 (3)为需要电子合同交换的供给商颁发全球通用的PDF文件签名证书,方便企业与供给商和客户之间利用 Adobe Acrobat提供的签名文档和验证文档功能在线签署电子合同和在线批阅有关文件,从而彻底丢掉纸和笔,解决无纸化和有纸化的冲突问题。为了确保文件签名的权威性,PDF签名证书仅使用USBKey为证书载体,需要签名和签署文件时把USBKey插入电脑中即可。此证书同时可以用于(2)中登录SCM系统的真实身份认证,还可以用于企业与供给商之间的电子邮件签名和加密,实现平安的企业电子邮件通信。 以上解决方案涉及到的产品有:效劳器SSL证书、客户端数字证书和PDF文件签名证书。通过上述产品功能可以看到,目前基于PKI技术的物流供给链信息系统已经存在,也已根本解决信息平安问题,本文的目的就是对物流供给链信息系统中的平安问题进行分析以及给出基于java平台的实现,目的在于为长江物流网提供平安解决方法及技术实现,相对于市场上的商业产品,java平台的开源及免费的特性是最大的优势。 1.3 研究内容和组织结构 本文的研究内容 〔1〕研究分析PKI认证、数字证书、数据加密、数字签名等各种网络平安技术,探讨了其在物流信息系统中应用的现实意义; 〔2〕深入分析物流信息系统的业务构成及信息平安需求; 〔3〕探讨了物流信息系统的设计技术,深入研究信息传输过程中平安性设计方案,为本物流信息平台作出了合理的选择; 〔4〕物流信息平台平安系统的具体设计与实现,即在物流信息系统中实现了身份认证、数据传输、密钥管理等功能。 本文的组织结构 论文分为六章,各章内容简介如下: 第一章为绪论,主要介绍了课题的背景,物流信息系统在电子商务中的地位;信息平安技术在国内外的研究状况及其在物流领域的研究状况。 第二章介绍了物流信息平台的结构和面临的平安隐患,并对本文信息平安使用的技术进行了简介。 第三章详细分析了物流信息系统的业务构成及各个功能模块存在的平安性需求。 第四章对物流信息系统平安机制进行设计,提出保障系统平安的解决方案,有步骤地介绍如何构建平安的物流信息系统和解决系统存在的一些平安问题。 第五章是前面所述方案的具体实现,系统结合长江物流信息系统的特点,用J2EE平台提供的开发包实现对用户身份认证、敏感数据的加密保存、机密数据的加密传输等功能。 第六章为结束语。 第二章 物流信息平台结构与信息平安关键技术 物流信息技术是现代信息技术在物流各个作业环节中的综合应用,是现代物流区别于传统物流的根本标志,也是物流技术中开展最快的领域。它是建立在计算机、网络通信技术平台等各种技术根底之上包括通信网络技术、自动识别技术〔条码技术、RFID技术〕、空间信息技术〔GPS、GIS〕、物流系统自动化技术〔自动化仓库系统、自动分拣系统〕以及在这些技术手段支撑下的数据库技术和面向行业的管理信息系统等软件技术。物流信息技术为现代物流业向更大范围的信息共享与交互的方向开展提供了根底平台。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和相对不成熟的物流综合信息平台增加了人们对其开展的担忧。从某些角度上看,信息平安问题是物流综合信息平台的生命线。 2.1 物流信息平台概述 现代物流与信息化的关系 随着现代物流与网络技术的结合应用,物流企业与网络的结合日趋完善,目前已经出现越来越多的物流信息平台,物流信息平台是基于计算机网络、分布、异构的环境中,同时随着计算机技术、通讯技术和信息技术的不断开展,如何利用这些新兴技术在因特网上构建物流信息平台,来实现物流的信息化、快速化,也成为了物流开展的新趋势。目前,理论界还没有对物流信息平台的定义进行明确界定,物流信息平台是一个大型复杂的集成应用系统,它以Internet为媒介,物流的供给链成员或工作人员通过浏览器和分布在不同地域的其他成员进行交互,同时借助Web效劳技术,使处理复杂的业务和数据变得方便可行,实现数据增值。物流企业信息平台是一个涉及到多个复杂的集成模块和众多供给链成员企业商业机密的复杂系统,任何一个平安漏洞都可能使物流信息平台受到致命的打击,其平安问题不容无视。过去由于根底技术的问题,研究物流信息平台的平安领域存在较大困难。现在,随着各种平安技术和平安体系的不断进步,有必要在现有的物流企业研究成果上利用这些技术体系对其平安框架进行深入的研究,以便为物流信息平台提供一套平安保障体系,来保证信息平台的平稳运行、盟员信息的保密传输、资源的合法共享等。 信息系统的建设和应用是物流现代化的主要内容。现代物流采取了集采购、运输、仓储、分拨、包装、配送、代理与销售等环节为一体的组织方式;应用了现代高科技的电子计算机技术和信息技术;实现了物流运作中的组织网络化、经营市场化、信息电子化、反响快速化、功能集成化、效劳系列化、作业标准化、目标系统化和手段现代化。所以,物流信息系统建设的成功与否直接与企业的开展壮大密切相关,以美国联邦快递〔Unitedparcel Serviee,UPS〕为代表的企业应用和推广的物流信息技术是现代物流的核心,是物流现代化的标志。尤其是飞速开展的计算机网络技术的应用使物流信息技术到达新的水平,物流信息技术也是物流技术中开展最快的领域,从数据采集的条形码系统,到办公自动化系统中的微机、互联网,各种终端设备等硬件以及计算机软件等都在日新月异地开展。 长江物流园物流信息系统的特点 本文是以大型物流信息系统为平台,即长江物流信息平台,与其它物流信息系统一样,该系统都是为物流配送提供信息支撑效劳,但是该系统涉及物流从货物揽收、分拣、仓储、配送、投递等所有物流环节。具体来说,这里的大型物流信息系统由信息采集与订单管理、干线配送、终端配送三大局部23个子系统组成,整个系统包括单据录入、单据分拣、揽收管理、配送管理、车辆调度管理、后台管理、配置管理、客户关系管理〔CRM〕、订单生成、支付、帐务清分等功能。实现了整个信息的全程透明地连贯传输,为实物的物流配送提供了强大的信息处理支撑。它的特点是: 〔1〕系统为统一的,开放的现代物流社会大平台,可整合社会运输、货源、仓储等物流资源,为全社会提供揽收、仓储、包装、运输、配送等综合物流效劳。 〔2〕系统将四流〔商品流、实物流、资金流、信息流〕合一,以 客户效劳中心、移动互联网接入、物流网站、电子化邮局终端等多种接入方式,以“绿卡〞和“银联〞网上支付、货到付款等多种支付手段的电子商务大平台。通过数据系统,提供XML、TXT等多种方式与外部系统对接,可与客户的ERP等系统的无缝对接。 〔3〕系统具有良好的开放性和适用性,在可能条件下尽量标准化,做到技术标准统一、数据库统一、处理流程统一、操作界面统一、业务拓展规那么统一,能够充分适应业务开展的需要,便于操作和维护。 2.2物流信息平台信息平安策略 随着Internet技术的开展,基于Internet的电子商务活动应运而生并迅速开展。物流综合信息平台就具有电子商务的某些特征。电子商务是借助于公共网络进行网上交易,快速而又有效地实现各种商务活动过程的电子化、网络化、直接化。但是出于各种目的的网络入侵和攻击也越来越频繁,脆弱的网络和相对不成熟的物流综合信息平台增加了人们对其开展的担忧。从某些角度上看,信息平安问题是物流综合信息平台的生命线。“平安〞问题是一个永恒的话题,之所以永恒,是因为不管哪个行业,从古至今都涉及到平安。简而言之:“只要有人类活动的场所就有平安〞。 网络平安是信息系统平安的重要组成局部。网络平安与可信任网络环境是同一问题的两种表述方法。所谓平安或可信任都是相对的,绝对的网络平安或可信任网络环境是不可实现的。因为网络平安或可信任网络环境所涉及的问题不仅多而复杂,而且各种问题之间的关系是变化的:同时网络对信息系统来说,仅是为信息存储、传输、交换和利用提供载体和通信环境,因此其本身的平安并不是目的,而且离开了信息系统〔作为一个整体〕的平安以及具体的平安目标,网络平安在“度〞上无法确定,也就变得毫无意义。因此,网络平安的内容与度应根据信息系统平安总需求对其进行分配,并确定它与其他平安组件之间的协调关系。 一般而论,信息平安或信息系统安个就是为一个组织机构实现业务、办公和决策网络化的信息系统,按照其管理意志和业务处理流程,建立起保障各种应用信息在获取、处理、存储和传输过程中保持其机密性、完整性、可用性、可控性和可审计性的特性而建立起的一个体系和工程实现。网络〔物理、虚拟或逻辑〕的作用那么是为信息系统提供控制信息和实用信息的通信环境和传输平台,因此网络平安可理解为是为信息系统提供一个可信的通信环境和平安的传输平台。 网络平安存在的隐患 由于协议族的主要协议及因特网原始主干均源于美国国防部的研究方案和工程应用,它运行于国防部内部封闭的网络,网络内的用户和设备在严密的管理制度约束和高强度的平安观念培训机制下,其运行环境是平安的。最初TCP/IP协议族的设计及其使用环境根本未考虑互联技术造成的平安隐患和固有的漏洞。但是美国军方在将这一技术和主千网移交给社会使用时,己将原始主干网络分成无物理连接的两个局部。由干TCP/IP协议族的运行环境发生了变化,再没有人们想象中那么平安。如今因特网中的攻击方式层出不穷,人们因为商业的、政治的或个人的目的相互窃听、攻击和破坏。攻击者们充分利用IP协议的如下平安隐患: 〔1〕人为的无意失误:如操作员平安配置不当造成的平安漏洞,用户平安意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络平安带来威胁; 〔2〕人为的恶意攻击:此类攻击又可以分为以下两种。一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏; 〔3〕网络协议及软件的漏洞和“后门〞:网络软件不可能是百分之百的无缺陷和无漏洞的,然而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件大局部就是因为平安系统不完善所招致的苦果。 另外,软件“后门〞一般都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门〞洞开,其造成的后果将不堪设想。所有这些不平安因素,都有可能给网络系统带来巨大的威胁,造成数据和信息的泄密和丧失,甚至是网络系统的瘫痪。计算机网络平安威胁涉及到许多方面,目前网络平安所面临的主要潜在威胁有以下几个方面: 信息泄密:主要表现为网络信息被窃听,这种仅窃听而不破坏网络信息的侵犯被称为消极侵犯者; 信息篡改:这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者。积极佼犯者截取网上的信息包,并进行更改使之失效,或者成心添加一些有利于自己的数据,起到信息误导的作用。积极侵犯者的破坏作用最大; 传输非法信息流:用户可能允许自己同其他用户进行某些类型的通信,但禁止其它类型的通信。如允许电子邮件传输而禁止文件传送; 网络资源的错误使用:如果不合理地设定资源访问控制,一些资源有可能被偶然或成心地破坏; 非法使用网络资源:非法用户登录系统并使用网络资源,造成资源的消耗,损害合法用户的利益。 网络平安策略 网络所带来的诸多不平安因素使得网络使用者不得不采取相应的网络平安对策。为了堵塞平安漏洞和提供平安的通信效劳,必须运用一定的策略来对网络进行平安建设,这已为广阔网络开发商和网络用户所共识。现今主要的网络平安策略主要有以下几种: 〔1〕身份验证和访问控制 身份验证和访问控制策略,包括决定什么权限的用户能够访问什么平安级别的信息,以及作出这一判断的一组规那么和应用于该规那么的验证机制。通常的验证机制有:口令、令牌/智能卡〔通常具有微处理器〕,或者生物特征〔如:指纹、虹膜等〕。另外,公共密钥根底设施〔PKI〕也能够充当身份验证的角色,PKI以数字证书和数字签名技术为根底,因而能够确定信息发送者的身份,至少能够确认信息在传输的过程中是否被篡改。 〔2〕平安传输 网络平安协议和标准〔如:SSL,SET,IPSEC等〕是保证信息平安传输的一个重要手段。这些协议和标准使得通过网络传输的数据更加难以非法解析,从而使攻击者难以对截获的消息作有效的分析。另外,作为传统的平安技术,数据加密在平安传输中也有着举足轻重地位,利用上述协议实现的数据传输通常是以加密的形式进行的。数据加密技术最有效的方式就是使通过网络传输的数据对于攻击者来说是不可读的。加密算法通常分为两类:对称密钥算法和非对称密钥算法。所谓对称密钥算法就是加密解密都使用相同的密钥,非对称密钥算法就是加密解密使用不同的密钥。非常著名的PGP公钥加密以及RSA加密方法都是非对称加密算法。 2.3关键平安技术 SSL通信协议 〔1〕SSL协议的特点 SSL协议 〔Secure socket tayer〕是由网景〔Netscape〕公司推出的一种平安通信协议,能够对信用卡和个人信息提供较强的保护。SSL是提供计算机之间的平安连接,对整个会话进行加密的协议,其目标是在效劳器和客户机两端同时实现支持,从而保证两个应用间通信的保密性和可靠性。其特点是: ①连接是保密的,对于每个连接都有一个唯一的会话密钥,采用对称密码体制〔如DES、RC4等〕来加密数据。 ②连接是可靠的,消息的传输采用信息验证算法〔如MD5、SHA等〕进行完整性检验。 ③对端实体的鉴别采用非对称密码体制〔如RSA等〕进行认证。 目前,利用公开密钥技术的SSL协议,已成为Internet上保密通讯的工业标准。现行web浏览器普遍将HTIT和SSL相结合,从而实现平安通信。 〔2〕协议标准 SSL协议由SSL记录协议和SSL握手协议两局部组成。 ① SSL记录协议 SLL记录协议记录在可靠的传输协议之上,为高层协议提供数据封装、压缩加密、等根本功能的支持。 在SSL协议中,所有的传输数据都被封装在记录中。记录是由记录头和长度不为0的记录数据组成的。所有的SSL通信包括握手消息、平安空白记录和应用数据都使用SSL记录层。SSL记录协议包括了记录头和记录数据格式的规定。 ② SSL握手协议 SSL握手协议建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL握手协议包含两个阶段:第一个阶段用于建立私密性通信信道,第二个阶段用于客户认证。 第一阶段是通信的初始化阶段,通信双方都发出HELLO消息,当双方都接收到HELLO消息时,就有足够的信息确定是否需要一个新的密钥,假设不需要新的密钥,双方立即进入握手协议的第二阶段。否那么,此时效劳器方的SERVER—HELLO消息将包含足够的信息使客户方产生一个新的密钥。这些信息包括效劳器所持有的证书、加密规约和连接标识。假设密钥产生成功,客户方发出CUENT—MASTER—KEY消息,否那么发出错误消息。最终当密钥确定以后,效劳器方向客户方发出SERVER--VERIFY消息。 因为只有拥有适宜的公钥的效劳器才能解开密钥。需要注意的一点是每一通信方向上都需要一对密钥,所以一个连接需要四个密钥,分别为客户方的读密钥、客户方的写密钥、效劳器方的读密钥、效劳器方的写密钥。 第二阶段的主要任务是对客户进行认证,此时效劳器已经被认证了。效劳器方向客户发出认证请求消息:REQUEST--CERTIFICATE。当客户收到效劳器方的认证请求消息,发出自己的证书,并且监听对方回送的认证结果。而当效劳器收到客户的认证,认证成功返回SERVER—FINISH消息,否那么返回错误消息。到此为止,握手协议全部结束。 公共密钥根底结构PKI PKI〔Public key infrastructure〕是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码效劳及所必需的密钥和证书管理体系。简单来说就是利用公钥理论和技术建立的提供平安效劳的根底设施,PKI技术是信息平安技术的核心,也是电子商务的关键和根底技术。PKI的根底技术包括加密、数字签名、数字完整性机制、数字信封、双重数字签名等。 PKI作为一种平安技术,已经深入到网络的各个层面。这从一个侧面反映了PKI强大的生命力和无与伦比的技术优势。PKI的灵魂来源于公钥密码技术,这种技术使得“知其然不知其所以然〞成为一种可以证明的状态,使得网络上的数字签名有了理论上的平安保障。围绕着如何用好这种非对称密码技术,数字证书破壳而出,并成为PKI中最为核心的元素。 PKI的优势主要表现在: (1) 采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的效劳上具有不可替代的优势。这种可追究的效劳也为原发数据完整性提供了更高级别的担保。支持可以公开地进行验证,或者说任意的第三方可验证,能更好地保护弱势个体,完善平等的网络系统间的信息和操作的可追究性。 (2) 由于密码技术的采用,保护机密性是PKI最得天独厚的优点。PKI不仅能够为相互认识的实体之间提供机密性效劳,同时也可以为陌生的用户之间的通信提供保密支持。 (3) 由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证效劳范围的无限制地扩张,这使得PKI能够成为一种效劳巨大用户群的根底设施。PKI采用数字证书方式进行效劳,即通过第三方颁发的数字证书证明末端实体的密钥,而不是在线查询或在线分发。这种密钥管理方式突破了过去平安验证效劳必须在线的限制。 (4) PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。撤销机制提供了在意外情况下的补救措施,在各种平安环境下都可以让用户更加放心。另外,因为有撤销技术,不管是永远不变的身份、还是经常变换的角色,都可以得到PKI的效劳而不用担忧被窃后身份或角色被永远作废或被他人恶意盗用。为用户提供“改正错误〞或“懊悔〞的途径是良好工程设计中必须的一环。 (5) PKI具有极强的互联能力。不管是上下级的领导关系,还是平等的第三方信任关系,PKI都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地效劳于符合人类习惯的大型网络信息系统。PKI中各种互联技术的结合使建设一个复杂的网络信任体系成为可能。PKI的互联技术为消除网络世界的信任孤岛提供了充足的技术保障。 利用PKI可以方便地建立和维护一个可信的网络计算环境,并且不需要用户干预,完全后台进行,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息。 PKI体系包括证书认证中心〔Certificate authority,CA〕、数字证书库、公钥备份库、恢复系统、证书作废系统、应用接口〔API〕等五大系统,其中CA是PKI平安体系的核心,因此这一体系又被称作PKI/CA架构。 使用基于公钥技术系统的用户建立平安通信信任机制的根底是:网上进行的任何需要平安效劳的通信都是建立在公钥的根底之上的,而与公钥成对的私钥只掌握在他们与之通信的另一方。这个信任的根底是通过公钥证书的使用来实现的。公钥证书就是一个用户的身份与他所持有的公钥的结合,在结合之前由一个可信任的权威机构CA来证实用户的身份,然后由其对该用户身份及对应公钥相结合的证书进行数字签名,以证明其证书的有效性。 PKI必须具有权威认证机构CA在公钥加密技术根底上对证书的产生、管理、存档、发放以及作废进行管理的功能,包括实现这些功能的全部硬件、软件、人力资源、相关政策和操作程序,以及为PKI体系中的各成员提供全部的平安效劳,如:实现通信中各实体的身份认证、保证数据的完整、抗否认性和信息保密等。 PKI的根底技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。在实际运用中,使用由可信的认证机构颁发的数字证书进行数字签名,数字证书中包含了用户身份的局部信息、用户的公钥信息和以对证书本身的签名。发送者用数字证书对电子文件进行签名后,将电子文件并同数字证书一起传送给接收方,接收方即可利用数字证书上所载的公钥验证数字签名的真实性与文件的完整性。数字签名利用基于PKI的数字证书提供了平安身份验证,保证了电子文件的真实有效性、不可否认性、传输过程中的保密性与不可篡改性。 认证中心CA是数字证书的签发机构,它是公钥根底设施的核心,也就是网络解决方案的关键,是PKI应用中权威的、可信任的、公正的第三方机构。它对某个主体〔如人、组织或某个效劳器〕的公钥进行公证,以证明主体的身份与它的公钥相匹配。认证中心对自己颁发的证书进行签名,从而保证其颁发证书的合法性和权威性。 数字证书通过运用对称和非对称密码体制建立起一套严密的身份认证系统,可以保证:信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖。一个典型的CA系统[33]包括平安效劳器、注册机构RA、CA效劳器、u)AP目录效劳器和数据库效劳器等。 CA的作用是检查证书持有者身份的合法性,并签发证书〔在证书上签字〕,以防证书被伪造或篡改,以及对证书和密钥进行管理。认证中心是检验管理密钥是否具有真实性的第三方,它是一个权威机构,专门验证交易双方的身份。验证的方法是接受个人、商家、银行等涉及交易的实体申请数字证书,核实情况,批准或拒绝申请,颁发数字证书。认证中心除了检验外,还具有管理、搜索和验证证书等职能。 认证中心主要有以下几种功能: 〔1〕证书的颁发 〔2〕证书的更新 〔3〕证书的查询 〔4〕证书的验证 〔5〕证书的作废 〔6〕证书的归档 〔7〕提供密钥托管和密钥恢复效劳 对于一个大型的应用环境,认证中心往往采用一种多层次的分级结构,各级的认证中心类似于各级行政机关,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。处在最高层的是金融认证中心〔Root CA〕,它是所有人公认的权威。 2.3.3数据传输加密技术 为了保障认证信息的传输平安,防止用户的认证信息在传输和存储过程中被窃取和盗用,通常采用密码机制来保证。 〔1〕密码学概念[34] 数据机密性是由加密算法提供的。所谓加密〔Eneryption〕是指将一个信息〔或称明文—Plain Text〕经过加密钥匙〔Encryption Key〕及加密函数转换,变成无意义的密文〔Ciphertext〕,而接收方那么将此密文经过解密函数、解密钥匙〔DeeryptionKey〕复原成明文,所以加密技术是网络平安技术的基石。加密其实就是对消息进行重新编码,从而隐藏消息内容,使非法用户无法获得消息的真实内容。 密钥〔keyword〕是用于加解密的一些特殊信息,它是控制明文与密文之间变换的关键,它可以是数字、词汇或语句。密钥分为加密密钥〔Eneryption Key〕和解密密钥〔Decryption Key〕。基于密钥的加密、解密变换过程如图2-1所示: 图2-1数据加解密流程 基于密钥的加密算法通常有两类:私钥加密算法和公开密钥算法。根据密钥的管理方式不同,密码体制可分为对称密码体制和非对称密码体制两类。对称密码体制又称私钥加密体制,属于传统密码学,加密密钥和解密密钥相同;非对称密码体制又称公开密钥体制,属于现代密码学,加密密钥和解密密钥不同。 〔2〕密码体制 前面已经提到两种密码体制,分为对称密码、非对称密码体制。下面就来分析一下两种体制的工作原理及具体算法。 1、对称密码体制 基于该体制的系统原理:所谓对称密钥体制,就是加密和解密使用同一个密钥〔一般称为会话密钥〕的密码技术。通信双方必须交换彼此密钥,发送信息时,发送方用自己的密钥对传输信息进加密,接收方收到信息后,用发送方所给的密钥进行解密。数学表示[35]如下: 加密过程:EK(P)=C 解密过程:DK(C)=P 推导为:DK(EK(P))=P 公式中P,C,K,E和D分别为明文、密文、密钥、加密算法和解密算法。 对称密钥系统的算法:对称密钥算法又称专用密钥算法或单密钥算法,加密/解密对使用同一个密钥,即同一个算法,如DES和NIT的Kerberos算法。单密钥是最简单数据加密方式,通信双方必须彼此交换密钥,当需要给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的平安就是一个问题。 对称密码的优缺点:对称密钥加具有加密、解密速度快,便于用硬件实现、保密度高等优点。尤其是DES,它是迄今为止世界上最为广泛使用和流行的一种对称密钥加密算法,己有大量的软件和硬件实现方法。但是对称密钥加密算法也有其缺点: 这种方式在多方通信时因为需要保存很多密钥而变得复杂。因为如果网内任意两个用户通信时都使用互不相同的密钥,那么N个人就要使用N(N—1)/2密钥,密钥的管理〔密钥产生、分发、更换等〕是一个难以解决的问题,而且密钥本身的平安就是一个问题,难以满足开放式计算机网络的需要;密码具有有效期,需要进行不断的更换;加密方每次启用新密钥时,都要经过某种秘密渠道把密钥传给解密方,而密钥在传递的过程中容易泄漏。 2、非对称密码体制 基于该体制的系统原理:所谓非对称密钥密码体制,就是加密和解密使用不同的密钥的密码技术,且从一个难于推出另一个。每个用户都有一对选定的密钥,一个是公开密钥〔可以让所有欲通信的人知道〕;另一个由用户平安拥有,是私人密钥〔一个专门为自己使用的密钥〕。公开密钥〔公钥〕和私人密钥〔私钥〕不能由一个推出另一个,但是公钥加密的信息只能由私钥解密,反之亦然。数学表示如下: 加密过程:Ek1(P)=C 解密过程:Dk2(C)=P 推导出:Dk2(Ek1(P))=P 其中,kl和k2分别为加密密钥和解密密钥。 非对称密码的算法:又称公开密钥加密算法,其密钥是成对生成的,每对由一个公钥和一个私钥组成,加密密钥不同于解密密钥。人们将加密密钥〔公钥〕公之于众,谁都可以使用;而解密密钥〔私钥〕只有解密人自己知道。这样,一个具体用户就可以将自己设计的加密密钥和算法公诸于众,而只保密解密密钥。任何人利用这个加密密钥和算法向该用户发送的加密信息,该用户均可以将之复原。 非对称密码算法的优缺点:使用公钥加密算法,通信双方事先无需利用秘密通道和复杂协议来交换密钥就可建立起保密通信。网络中的每个用户只需保存自己的解密密钥,N个用户仅需产生N对密钥,密钥少,便于管理。但是,与对称密钥加密算法相比,公钥加密算法加、解密速度慢。 非对称密钥的优点可以归结为四点如下: 密钥少便于管理,网络中的每一个用户只需保存自己的解密密钥,那么N个用户仅需产生N对密钥; 密钥分配简单,加密密钥表就像 号码本一样,分发给用户,而解密密钥那么主用户自己保管; 不需要秘密的通道和复杂的协议来传送密钥; 可以实现数字签名,发送方使用只有自己知道的密钥进行签名,接收方利用公开密钥进行检查。也许通信一方并不认识某一实体,但只要它的效劳器认为该实体的CA是可靠的,就可以进行平安通信,而这正是电子商务中所要求。效劳方对自己的资源可根据客户CA的发行机构的可靠程度来授权。非对称密钥的缺点主要是其处理速度慢于对称密码机制。 2.4本章小结 网络应用的推广与深入使网络平安技术也得到了空前的开展,但是网络依然面临着平安的困扰。可以说,网络与威胁同行。本章首先介绍物流信息平台的信息化特点和信息平安技术策略,包括网络平安隐患及其原因、策略;随后介绍网数据加密解密技术、身份认证技术等网络平安技术。 第三章 综合物流信息平台的平安需求分析 3.1物流信息系统体系结构 物流信息平台主要有公共信息发布、协议管理、商务管理、工作流程管理、私有信息中心、资源管理等功能。供给链成员可以在不同的地域通过浏览器登陆到物流信息平台主界面,输入用户名、密码进行身份认证和权限识别后,进入到相应的业务系统进行操作。在此过程中,如何保证客户信息的平安,如何保证工作人员身份不被假冒,如何保证信息平台运行时的平安,如何保证信息平台根底设施的平安,如何保证信息在平台上传输的平安等等一系列问题,都是物流信息平台平安保障体系开发和部署的时候应该考虑的问题。 防火墙的工作原理是按照事先规定的配置和规那么,监控所有通过防火墙的数据流,只允许授权的数据通过,同时记录有关的联接来源、效劳器提供的通信量和试图入侵的任何企图,以方便网络管理员的检测和跟踪。 本章从几个根本的物流系统模块出发,对每个局部的系统功能和流程加以分析说明,最终得出系统设计,是系统实现的依据。本系统主旨是构建能够提供信息平安需求的物流系统,系统设计首先要考虑物流的业务流程需求,实现物流业务的根本功能。首先我们看物流信息系统的一般业务模块,订单,仓储和客户是物流公司的核心,也是本系统设计的主要局部,其次对于系统的管理涉及到操作员与系统运行,也单独列出一个模块。 图3-1表示了整个系统得功能结构,下面分模块对系统进行设计。 图3-1物流信息系统结构 订单管理 该模块的功能是进行接单管理〔订单管理〕、分单管理〔订单处理〕、任务单管理和订单跟踪。对于分单管理,其功能和委托对应,比方出库委托在分单管理中有出库委托分单[36]和出库委托拆单。 〔1〕接单管理 本局部负责管理客户订单,主要包括:出库委托管理、入库委托管理、调拨委托管理、退货委托管理、加工委托管理、配送委托管理。 订单管理的单据录入有两种方式,手工录入和系统自动导入。手工录入又有两种方式,界面录入和Excel文件导入。 物流信息系统根据客户的出库委托指令向配送中心 〔Distribution Center〕下达出库任务单,配送中心业务部门需要对下达的出库委托进行确认,经过确认后的委托单方可作为仓库收货出库的凭据。 物流信息系统根据客户发出的入库指令向配送中心下达入库任务单,同样配送中心业务部门需要对下达的入库委托进行确认,经过确认后的委托单方可作为仓库入库的凭据。 调拨委托包括配送中心间的调拨和配送中心内部的移库。客户调拨委托由客户下达,同时必须指定出入库运作网点;配送业务中心内部调拨委托由各配送中心下达,同时必须指定出入库运作网点。而对内部的移库一般由配送中心下达。 订单管理模块主要用来录入、管理各种委托信息。主要功能包括委托单的增加、保存、删除、修改、审核、弃审、查询等。 〔2〕分单管理 分单管理包括分单和拆单两局部。分单就是把订单〔委托单〕按流程分成不同的任务,然后由相应的部门去执行任务。拆单就是把订单〔委托单〕按流程和货物数量分成不同的任务,然后由相应的部门去执行任务。比方一个有运输的出库任务,通过分单可以分成一个出库任务单〔无运输〕和一个运输任务单。而一个有运输的出库任务,通理过拆单可以分成多个出库任务单〔无运输〕和多个运输任务单。分单到仓储管理模块时需要考虑配送中心的属性,如果配送中心只有一个仓库,就直接能产生配送中心的任务单和仓库的通知单。 分单方式有人工分单和自动分单。对于自动分单,系统在内部实现。人工分单,其功能模块包括对入库、出库、调拨、运输、退货、加工、配送委托分单及其对应拆单的管理。 〔3〕订单跟踪 包括委托单跟踪、任务单跟踪和作业单跟踪。 〔4〕任务单管理 包括入库任务单管理、出库任务单管理、运输任务单管理和加工任务单管理。每个功能模块都有任务单审核、确定、取消、删除、查询功能。任务单管理分两局部,一局部由营运中心处理、一局部由配送中心处理。他们之间的关系如下:配送中心分单的目的就是将营运中心的仓储任务单〔出库任务单、入库任务单等〕分到配送中心所管辖的仓库,在系统是以通知单的方式下达的,仓库接到通知到之后,才进行相应的操作。 仓储管理 该局部的主要功能包括入库管理、出库管理、库存管理、储存分析、根底设置管理和查询报表管理,其功能结构如图3-2所示。 图3-2仓储管理模块 仓库管理系统是进行货品管理和处理的系统。通过这个系统,可以实现仓储作业流程的电子化。系统同时支持多种类型的出/入库、多个公司或仓库运做、多种类型的计费方式。系统通过预出/入库查询可以对货品存储和出货等进行安排方案。系统通过客户端电子商务系统与客户建立数据接口,可以根据客户的要求,实现客户货品的远程管理。 〔l〕入库管理 包括货物验收、库位分配和生成上架单。入库管理模块负责完成实际入库操作,它由入库通知中获取入库明细信息〔货品和相应的数量〕。通过一般入库管理功能模块可灵活地对入库货品进行入库操作;同时还可对一张入库单进行多仓入库操作。对规定的货品记录批号和到期日,以确保先进先出的库存周转。预打印与货品相关的条码标签贴在入库货品上,以满足仓管对货品跟踪的需要。本系统的各种入库类型〔如调拨入库、退货入库、移库入库、包装入库、加工入库等〕直接反映到菜单,通过相应的菜单分别进入特定类型入库界面,这样系统中所有的功能清晰条理,易于使用。 〔2〕出库管理 包括拣货管理和出库登记。出库管理功能块负责完成实际出库操作,从外部的出库通知单中获取出库单据信息〔货品和相应的数量〕。出库类型有订单出库、调拨出库、移库出库、报废出库、调整出库、盘点出库二组装出库、拆卸出库、加工出库以及其它出库类型。 〔3〕库存管理 主要对库内货品进行管理,如库位调整、保质期管理、库存预警、退换管理和报废处理等。在仓库内部对货品的所有操作均要考虑批号。 〔4〕储存分析 对于企业来讲,过大的库存会导致资金积压,过小的库存,又不能满足销售或生产的需要,因此根据运营规模需要对每种货品的库存有一个合理的控制,其指标有三个:最高库存、最低库存、平安库存〔满足一定效劳需要的库存,一般介于最高与最低库存量之间,企业根据自身情况、市场或其他因素来设置〕。本功能完成存货〔包括原材料、产品等〕三项指标的设置和管理。 〔5〕根底设置管理 对仓库根底信息进行管理与维护,如仓库信息、货位设置、机械设备。仓库设置是对仓库根本信息〔如仓货位置、面积、仓库类型、仓库名称等等信息〕进行设置与维护。已经使用的仓库将不能删除,欲要作废必先将仓库内所有货品进行转仓处理后才可以将仓库作废。提供仓库的新增、修改、删除、作废、启用功能。不能将已启用的仓库直接修改为未启用状态,但可将未启用仓库改为启用状态。货位设置是对仓库内库号、库区、货位等进行设置,根据用户需求可以自由设货位信息。机械设备管理就是对物流公司所拥有的仓库、货架、搬运设备等的备案和管理。 〔6〕查询及报表管理 提供仓储模块的查询和报表,现主要提供入库查询、出库查询及月结报表,以后可依客户要求逐渐增加相应的报表。 入库查询是按任意时间段查询客户入库情况,包括客户名称、入库时间、数量、入库原因、批次、货位、质量状态、收货时间、入库时间、送货人等搬运查询是按任意时间段查询搬运组〔人〕的入库、出库运作汇总。 出库查询是任意时段按客户、品种、产品等查询物品的出库情况,包括出库时间、产品类别、产品名称、产品代码、型号规格、出库单号、货位、出库数量、送货客户名称、计量单位。货物出货查询是按产品批次、入库单号查询货物出库情况,包括出库时间、出库数量、送货客户名称、提货人、送货客户原始订单号。月结报表包括:客户月入库明细及汇总、客户月出库明细及汇总、各承运人月运输汇总、各搬运组〔人〕运作汇总、月报废汇总、月移库移位汇总、各客户月更换包装明细及汇总、各客户月增值加工明细及汇总。 客户管理 该模块负责客户资料管理和客户合同的管理。在物流领域,客户管理的作用在于以客户反响监控效劳质量。通过对客户资料全方位、多层次的管理,使企业与客户之间共享信息和收益,共同承当风险。此外,通过挖掘客户资料和信息,可以辅助市场开发人员分析客户需求,发现更有价值的客户,为公司的客户定位和市场拓展提供有力依据。客户资料管理主要是维护客户的根本信息。客户包括委托客户和二级客户。所要维护的根本信息有客户名称、编码、行业、地址、网址、联系人、联系人 、曾经委托本公司工程的根本情况及客户最后的满意程度等。一个二级客户可能是多个委托客户的客户。 客户合同管理子模块主要是管理客户的合同信息,包括已经完成的合同的执行情况、取消的合同被取消的原因以及正在或尚未执行的合同的详细信息。 3.1.4系统管理 该模块主要是对系统的使用权限按角色进行分配,在系统运行过程中进行监督。 另外,负责系统的维护工作,当系统出现故障时,负责数据库复原等工作。此功能模块实现对系统管理员以及配送中心系统管理员的帐号进行维护和管理的功能。系统具体可以增加/修改删除管理员帐号及其权限等操作,该功能模块的使用权限为总公司的系统管理员。 〔1〕角色设置:定义各个操作角色〔包括角色编码、名称、描述〕,对每一角色再定义相关的详细菜单和按钮操作权限。本模块支持角色的增加、修改和删除。系统管理员给各种操作角色分配不同的权限。 〔2〕操作员设置:对于物流公司的子公司或是运作网点,比方配送中心等,系统也会为他们设立操作权限。该功能定义具体的操作员的登录号、对应的员工、对应的用户名和密码,可对操作员进行增加、修改。但系统只对操作员进行是否禁用限制,禁止使用的操作员不能继续登录做单,其对应的未完成的单据要进行转单处理。 〔3〕密码修改:密码修改时要输入旧密码、新密码、确认新密码三局部,只有完全正确的才能允许修改。进入此模块可以修改系统管理员和操作员的密码。 〔4〕日志:用于记录登录操作员的IP地址、登录时间及动作描述等系统信息。除了日志记录之外,还要进行日志管理,在该模块可进行查询、查看、删除和删除全部等操作。 3.2物流信息平台网络平安需求 用户登录身份验证 一个系统的用户初始登录口令对一个系统的平安保障的重要性不言自明,但由于通常采用的静态口令存在一些网络平安隐患:如极易被内部不法分子〔尤其是内部高科技人员〕不法获得;静态的密码长度有限,在目前的技术水平下,编写一个简单的计算机程序就可以将静态密码穷举出来;静态密码在网络传输过程中,极易被不法分子截获。而采用数字证书并结合相应的平安措施可以用来保障物流信息系统用户登录身份平安。 数据I/0 在数据I/O方面,需要重点考虑两个方面的问题,一是订单信息的输入问题,即:物流信息系统采用何种方式〔如:FTP、Email等〕接收外部系统的订单信息,然后通过I/O以何种格式将订单信息倒入信息系统,并调用订单生成子系统生成订单;二是输出方面的问题,即:物流信息系统如何将处理后的订单信息同样通过I/O子系统输出给外部信息系统。在系统的输出方面,系统还要解决好如何通过多种方式〔譬如:Email、WAP、 查询、企业ERP系统、其它网站等〕把一些订单信息即时发送给相应的客户等问题。在信息输入/输出两个方面,需要能按照客户要求的平安高度进行保密传输。对客户发出的一些订单请求,系统应具有一定的防止抵赖或冒名发送信息的能力。 在物流信息系统内部各子系统之间也存在数据交换问题,I/O子系统除了要解决好外部系统的数据通过信息采集、业务受理模块录入的问题,还要解决好物流信息系统内部各子系统之间的数据交换问题。在系统内部各子系统之间进行数据交换时,也要防止留下一些为不怀好意的人进行恶意攻击的后门。 如果在物流信息系统的数据I/O中引入数字签名、数据加密、解密等技术,那么将有利于保障数据传输过程中的平安性和保密性。 与其它系统对接 物流信息系统对社会提供广泛的物流信息支持效劳,这就决定了该系统必然是一个开放的、灵活的、可扩展的信息系统。物流信息系统除与综合计算机网存在重要的关联外,还与CA认证中心、 客户效劳中心、电子商城、物流合作伙伴信息系统、客户系统、其它电子商务网站、大客户信息系统、民航、铁路、海关、海运、GPS控制中心、智能终端等有着密切的联系。 在物流信息系统与企业或客户的系统对接方面,为了保障物流客户的根本利益,需要对要对接的系统在平安方面提供足够的平安保障,让客户能放心的把他们的系统与物流信息系统进行对接。物流信息系统需要在客户资料保密、登录的身份验证、数据的加密传输、数据的加密保存〔如果客户需要的话〕、数据的交换与本地下载等方面提供平安方面的保证。要在客户的系统与物流信息系统之间建立起一条平安的数据传输通道,防止可能出现的抵赖、冒名等欺骗行为的发生。 3.2.4网络数据的传输 无论物流信息系统采用何种运行模式,都涉及到数据的网络传输问题,如果数据以明文的形式在网上传输,那么存在一些黑客截取网络数据的可能,一旦他们截取了客户的重要信息,将会对客户造成十分被动的影响,甚至造成财产的损失。因此,如何防止在网络上数据传输过程中数据被截取的危险发生,也是需要认真思考的一个问题。 3.2.5客户的资料的保存 随着Internet技术的飞速开展和企业上网的加快,原来需要保存在机密柜中的客户资料正越来越多的被放到了网上,网络有其好的一面,网络也有不平安的一面。因此,如何保护客户的机密信息,同样是物流信息系统需要解决的难题。 保存客户的资料存在两个方面的涵义,一是企业本身开展的需要,二是保护客户自身的利益。 随着竞争的日益剧烈,企业的产品和效劳本身己经不能区别出很大差异,那么,如何留住老客户、争取新客户?如何获取市场和客户的消费信息,挖掘和分析这些数据,从中得出有用的、正确的结论,来为市场和客户提供更好的产品和效劳呢?这是一个客户关系管理需要解决的问题。同时,我们不难看出:谁掌握了客户的资料,谁就拥有了市场,就能在剧烈的竞争中处于有利的地位。从这种意义上讲,保存好客户的资料,也就等于保护了自身的开展的时机。 而对客户来讲,如果客户的资料泄露给了他的竞争对手,那么客户在今后的竞争中将处于不利的局面,可以给客户带来直接上意义的经济损失或使客户错失开展的时机,甚至给客户带来灾难性的后果。因此,保护好客户的资料信息,就显得格外的重要。 加密数据保存是解决数据平安性的一个比拟彻底的方法,在需要使用数据时才解密相应的加密数据。 3.2.6受理确实认等环节 客户通过物流信息系统进行操作或执行受理确认后,系统能根据客户保存在物流信息系统中的数据,在今后可能发生交易冲突时作为判断是非的依据。也即是说,系统能够在发生利益冲突或纠纷时起到防止客户可能出现的抵赖、否认等现象的发生。 3.2.7回单确认 回单确认是对返回给客户的已签收单据确实认处理。回单是与客户结算的凭证,回单确认为对帐提供依据信息。物流信息系统如果作到回单不能抵赖以及今后可能发生纠纷时能确认回单人的身份,那将是非常有意义的事情。 3.2.8仓储管理 仓储管理包括入库管理、出库管理、库存管理、根本资料管理和统计分析五个局部的业务需求。 在仓储管理中,需要对仓储操作用户的身份进行严格的认证和授权,尤其是商品资料的数量、价格等的修改,同时系统要有改动的相关日志记录。 3.2.9配送管理 一体化物流效劳中的配送管理是指:第三方物流效劳商对配送环节所进行的业务和信息的一系列管理活动。它是第三方物流效劳商根据委托客户的要求,通过对相关资源进行科学合理地调配,以保证物流货物按照最经济、最有效地物流方式满足委托客户对物流提出的时间、空间、质量、数理等方面的各种要求。 配送业务管理包括:业务统计、配送质量统计、车辆管理、耗材管理、本钱管理、时限控制管理等模块。信息管理包括:路径信息管理、配载方案管理、车辆调度管理、查询信息管理等模块。 系统在支持配送管理方面,涉及到本钱管理、车辆调度、时限控制管理等方面的内容,对这些配送操作的用户需要进行严格的身份认证和授权操作,因此,这些操作者们的身份确实认与权限管理就显得非常重要。 3.2.10费用管理 这里的费用管理主要包括以下两个方面的内容: 〔1〕销售费用管理 销售费用管理是对商品销售环节所产生的费用进行记帐式管理,记录分销邮购商品在销售环节的销售费用、广告费用、管理费用等。物流信息系统提供销售费用记录的查询、修改、增加、删除功能。 〔2〕运输配送费用管理 商品运输配送环节所产生的费用管理,记录在这些环节中的所有支出包括封装费用、分发费用、拆卸费用、装车费用、油费、修理费、搬运费等。上述的费用信息的管理也需要有特殊授权用户才能改动,是谁改动的,今后也有据可查。 3.2.11商品价格管理 〔1〕商品订购价格管理需要注意下述情况: ①根据合同〔或协议〕分批次记录商品订购价格; ②如果不是因输入的原因需要修改商品的订购价格应把原价格保存下来,记录价格日期与变更原因; ③订购价格的查询、更改只能是具有权限的人才可操作。 〔2〕销售价格管理 销售价格管理指的是设定商品对外分销邮购价格。物流信息系统提供销售价格的增加、修改、删除、查询、打印等功能。 商品订购价格与商品销售价格的有效管理,需要对管理操作者的登录进行严格的身份确认,并对不同级别的操作者进行分级授权,对发生的操作也应有不可抵赖的历史记录资料。 3.2.12客户管理 完成对客户〔委托人〕的档案维护、资质、级别〔信誉、忠诚度等〕等方面的管理,系统应可以根据客户实际业务情况动态调整客户级别。 客户管理也需要具有权限的人才可操作。 3.2.13帐务的清算 清算按涉及的利益单位不同分为外部清算和内部清算两种方式。外部清算完成物流单位与非物流单位的资金清算,外部清算涉及的非物流利益单位有协议客户、社会运输企业、保险公司等合作伙伴。内部清算完成物流单位间的资金清算,内部清算涉及的利益单位是物流单位,包括物流总公司、省子公司、地市分公司等。 系统资金清算由清分、结算两局部组成,系统要为会计系统提供资金划拨的相关凭证的数据接口。具体在物流信息系统中,即从业务受理到末端的配送全过程存在多少个物流处理环节,订单就要经过多少次信息处理环节。订单信息的流转记录了在各个环节对物流过程的奉献情况。最后通过帐务处理的清分、结算,实现对物流利润的分配。 此外,帐务清分还涉及各级用户的物流清算数据查询、清分凭证的下载等。 帐务清算在整个物流信息系统中的重要性如此,因此,一定要确保整个帐务清分环节数据的可靠性。防止出现对涉及帐务资料篡改、操作抵赖等现象的发生。对帐务清算的登录用户身份要进行严格的认证。 3.2.14本钱核算 本钱核算是指按照指定的核算工程将与该核算工程相关的本钱进行统计和汇总。物流本钱核算信息系统由中邮物流总公司、各省物流子公司〔或相关机构〕、地市物流分公司〔或相关机构〕进行本钱核算的人员使用。系统的原始数据采集自物流业务发生的各个环节,系统生成的本钱核算、测算数据提供决策支持使用。 本钱核算以工程分类,并根据环节、部门等信息进行核算。地市分公司负责本地市本钱核算、省子公司负责省内跨市本钱核算、中邮物流总公司负责全国跨省业务的本钱核算。 在本钱核算中,也要有措施确保本钱核算的数据是可靠的,非授权的用户是不能修改本钱数据的,对修改正的数据信息也要有相应的记录以作日后核查的依据。 3.2.15其它一些物流环节 在物流信息系统中,还有一些其它方面的环节需要注意其平安性,譬如:涉及使用支付网关的一些帐号、用户名、帐户密码、交易金额等信息。 3.3本章小结 通过前面对物流信息系统的平安需求进行分析,不难看出物流信息系统多个处理环节,如:用户登录身份验证、数据I/O、与其它系统对接、网络数据的传输、客户的资料的保存、受理确实认等环节、回单确认、仓储管理、配送管理、费用管理、商品价格管理、客户管理、帐务的清算、本钱核算、支付网关等环节对用户登录身份的严格认证、数据的加解密操作、操作防抵赖等平安方面对平安认证的应用有强烈的应用需求。这些平安认证需求可归纳为以下几类: 〔1〕物流信息传输的平安性问题 要解决物流信息被截取、偷看的有效措施,就必然涉及到物流信息的加密、解密、传输等方面的问题。 〔2〕物流处理操作的不可抵赖性问题 譬如:购置者在网上下了订货单不成认;在车货交易的平台上,用户发现不同时间段的因价格改变,那么他可能抵赖先前的交易甚至到营业前台去投诉。 〔3〕物流信息的完整性问题 物流数据被非授权更改会破坏数据的完整性。要保证贸易数据在确定的时刻、确定的地点、传递的信息等是有效的。 〔4〕物流登录用户身份识别的问题 只有那些通过物流信息系统认证的用户,才能被授权登录物流信息系统。 〔5〕冒充或矢口否认 抵赖或矢口否认是物流活动中较大的一种威胁。物流中间过程要处理大量合同、契约、订单等商贸数据,其起草、递交、投递等环节都容易发生抵赖或矢口否认现象,尤其是采用自动转发、重新定向效劳方式时,其危险性更大。 〔6〕物流效劳端的识别问题 物流信息系统效劳器信息的识别问题,但是提供网上物流信息效劳的主体〔效劳器、物流配送公司等〕的网上身份如何被物流客户识别、信任,如何保证他们发布消息来源的可靠性及可追溯性等等一系列问题。 〔7〕访问权限控制问题 由于大型物流信息系统模块多、功能强,针对不同的用户类型,我们需要对物流用户进行授权,不同的用户可以访问不同的功能模块、拥有不同级别的权限进行相关的操作,而不是任何人都拥有同样的权限、访问相同的物流资源。 第四章 物流信息系统平安设计 物流信息信息系统是在充分把握长江物流园手工信息处理流程的根底上,进行信息的采集、归纳、整理从而到达集中统一的管理物流信息及其流向。管理信息系统开发是以系统工程为指导进行系统规划、系统分析、系统设计、系统实施、系统运行维护与评价。它从问题提出开始,包括确立系统目标及总体功能结构,分析现有系统业务和数据处理,确定新系统的逻辑功能及信息需求,设计系统的硬件结构和软件结构,系统实施、运行、维护,这样一个过程。 在第3.2章节中我们根据对系统平安风险的分析得出了系统的平安需求,主要有三个方面:一是对用户身份的认证,二是对访问权限和需求的控制,三是对数据平安的需求。 4.1用户身份认证机制 用户身份认证物流信息系统的第一道防线。每一个申请进入系统的终端用户都要通过身份识别和验证。身份认证又称身份鉴别或称身份验证,包括身份识别和身份认证。身份识别是用户向系统出示自己的身份证明过程,身份认证是指系统查核用户的身份证明的过程,实质上是查明用户是否具有他所请求资源的存储和使用权。 这两项工作是判别和确认通信双方真实身份的两个重要环节。身份认证是实现网络平安的重要机制之一。在平安的网络通信中,涉及的通信各方必需通过某种形式的身份验证机制来证明他们的身份,验证用户的身份与所宣称的是否一致然后才能实现对于不同用户的访问控制和记录。 根据被认证方赖以证明身份的秘密的不同,身份认证可以分为两大类:基于秘密信息的身份认证方法和基于物理平安性的身份认证方法。而目前最常用的身份认证方法有用户ID/口令、基于公钥证书的层次系统和基于秘密密钥的共同信任的第三方等机制。 4.1.1口令认证 口令认证是鉴别用户身份最常见最简单的方法。系统为每一个合法用户建立一个用户名/口令对,当用户登录系统或使用某项功能时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户、口令与系统内已经存在的合法用户的用户名/口令对是否匹配,如与某一项用户名/口令对匹配,那么该用户的身份得到了认证。其优点是用户易于接受、便于使用、本钱低廉,不必再增设根底设施,直接投入使用即可得到根本的平安保障,只需简单的软件就可到达目的,因此得到了广泛的应用。 但在这种方法中,用户口令的明文传输使口令极易被猜想、窃取和窥探得到,系统就会被攻破,尤其在网络环境下明文传输的缺陷使得这种身份认证变得极为不平安。因此,大多数对平安性要求较高的应用,一般均在传输密码前先利用DES或3DES等算法对其进行加密。不过,这种方法仍然无法完全防止窃听的危害,攻击者仍可以采用离线方式对口令密文实施字典攻击,而且暴力攻击仍然是可能的,对弱口令更是如此。同时,这种方式对篡改、重放和冒充等攻击亦无有效方法抗击。 4.1.2利用数字签名技术实现身份认证 目前在网络中比拟常用的是基于口令的认证方式,这是一种弱认证方式,口令在网络传输的过程中很容易被窃取和破译,不适用于平安性较高的场合,而且其认证是单向的,浏览器不能对效劳器进行认证。 在物流信息系统中,数字证书可以作为识别客户身份的最正确方式,通过使用由可信证书机构CA颁发的数字证书,结合对应的私钥,完成对用户的单向或双向身份认证,克服传统的口令认证方式的弊端。 4.2访问控制和权限管理 4.2.1授权原那么 物流信息系统中访问控制与权限管理根据用户角色分类设计,并遵循最小授权原那么。 〔1〕每一类用户的操作权限相互别离,互不兼容。系统中的用户分为三大类:物流信息系统管理人员、操作员和客人。软件中控制物流信息管理人员能分配系统维护模块下的各种权限;而操作员那么不能分配系统维护模块下的各种权限。 〔2〕所有进入系统的人员都必须经过授权。虽然拥有合法用户码和口令字,可以进入系统,但没有经过授权时,只能停留在用户登录界面。 〔3〕授权实行最小化权限。授权原那么是:只授予必要权限,不授予充分权限。 〔4〕系统中的每一种资源都授予权限控制。物流信息系统中对每个功能模块、每个模块下的管理功能、每一管理功能下的业务数据群以及对每一数据群的各种操作动作均分别授权,形成权限的层次控制体系。 〔5〕任何企图的越权行为都应得到有效的阻止。每个用户的权限都是通过系统授权的,对个别重要的特殊权限,只有特殊身份的用户可以执行时,在软件系统中增加硬性控制,即使系统管理员分配了不该分配的权限时,通过软件的控制,同样可以阻止这种有意或无意的越权行为。 4.2.2访问控制设计 访问控制机制可对通过身份认证的用户进行授权,同时向平安审核机制提供支持。访问控制的实现建立在以下的根底上: 1、用户己经通过身份认证,Web效劳器已经建立认证和身份标志的一一对应关系,同时平安客户端己得到认证标志; 2、访问的应用系统己定义好身份标志与用户类型的对应关系,并且己定义好每种用户类型对应的访问权限。 〔1〕用户通过普通浏览器发出访问请求,要求访问Web效劳器; 〔2〕平安客户端作为代理在访问请求中参加认证标志,表示在此次访问以前已经通过身份认证; 〔3〕后台应用程序根据Web效劳器上记录的该用户的认证标志和身份标志来确定其用户类型,并赋予其一用户类型标志,形成用户信息列表; 〔4〕后台应用程序在确定了该用户的用户类型标志后,根据访问控制规那么确定其可以访问的信息级别其中D级为最低级,A级为最高级,级别越高能访问的内容越多以及可对该信息作何种操作; 〔5〕用户访问信息资源; 〔6〕数据库效劳器将用户访问结果返回给后台程序; 〔7〕应用后台程序将结果转发给用户。 此外,还根据不同角度分别设计了具体的访问控制与权限管理方法。包括以下两个方面: 1、不同管理级上的访问控制与权限管理 根据应用范围的分级,确定各种应用群体在物流信息系统中的级次定位。各级次之间的访问控制与权限管理实行“上一级管下一级,一级管一级,逐级控制。不能越级,也不能跨级〞;相同级次之问的权限管理遵从“别离原那么〞、“牵制原那么〞和“最小授权原那么〞根据以上控制原那么,软件系统要实现的控制过程为: 〔1〕当一个用户登录系统时,系统首先根据用户名判断该用户的管理级次和结点定位,然后只显示该级次、该结点及该结点所隶属的功能结构树供选择。 该级次以上以及同级次不同结点所隶属的功能结构树,根本不显示,使其无法越级操作,也不能跨结点操作。 〔2〕用户登录系统后,系统根据用户名及人员注册表判断该用户的应用角色是酒店管理人员、前台效劳人员还是客户,然后根据角色权限,显示该用户可以进入的子系统或功能模块,供其选择。 2、不同操作功能的权限控制物流信息系统中所有的操作动作可归结为增加、删除、修改、复制〔或备份〕、恢复、查询、统计、汇总、打印输出等假设干大类,系统要求对每个操作员所能执行的各类操作动作进行权限控制。比方查询功能,如果客户有查询自己物流信息的查询权限。 4.3数据的平安传输 设计原理 基于WEB的应用程序都要通过网络向终端用户或与终端用户以及在中间应用程序节点之间传递平安敏感数据。敏感数据可能包括用于身份验证的凭据或数据,例如信用卡号码或银行交易明细。物流信息系统中同样包含了大量的敏感数据,所以为了防止不必要的信息泄露以及保护数据在传输过程中免受非授权修改,通信终点之问的通道必须是平安的。 当一个Web请求从用户的应用程序的物理部署层传递时,这个请求要通过三个不同的通道。分别是:客户端—效劳器—应用程序效劳器一数据库效劳器。 客户端到Web效劳器的链接可能通过Internet实现,通常是使用 。其余两个链接是在内部效劳器之问进行的。 平安通信具有以下两个特点: 1、保密性:指确保数据处于私有和保密状态,并且不会被使用网络监控软件的窃听者查看到。通常借助加密来到达保密目的。 2、完整性:平安的信道还必须确保数据在传输过程中免受意外或者恶意的修改。完整性通常是通过使用“消息身份验证代码〔MAC〕〞实现的常用的平安通信技术主要有以下三种: 〔1〕平安套接层协议〔SSL Security Socket Layer〕。它是网景〔Netscape〕公司据出的基于Web应用的平安协议,该协议处于应用层和传输层之间,主要是使用公钥密码体制和X.509数字证书技术保护信息传输的机密性和完整性,主要适用于点对点之间的信息传输,常用于Browser和Web Server之间的信息交换。同时也可以用于保护从运行Microsoft SQL Server 2000的数据库效劳器进出的Web效劳消息和通信的平安。 〔2〕Internet协议平安〔IPSec〕[37][38]。IPSec提供传输级平安通信解决方案,可以用于保护两台计算机之间传送的数据平安。IPSec使用十分复杂,必须安装和维护客户端软件,另外,从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。这条平安通道的建立,使得从企业外部访问的PC和被访问资源之问形成了一条潜在的“危险通路〞,危险容易从分支渗透到VPN另外一端的企业总部,数据的平安性能没有方法保证。IPSec最大的缺点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。 〔3〕远程过程调用〔RPO〕加密。分布式COM〔DCOM〕使用的RPC协议提供了一个身份验证级别,它对客户端和效劳器之间传送的每个数据包都进行加密。 4.3.2应用策略 1、平安通信措施 比拟以上的三种平安通信技术,SSL克服了IPSec的缺乏,用户可以轻松实现平安易用、无需客户端安装且配置简单的远程访问,从而降低用户的总本钱并增加远程用户的工作效率。 因此在物流信息系统中采用SSL效劳器端验证,从而实现客户无须一定要拥有数字证书或密钥对才能实现平安通信。但是SSL效劳器仍无法对客户的身份进行认证,然而系统所采用的用户身份认证技术恰好解决了这个问题。 所以采用SSL效劳器端验证并结合前面所用到的用户身份认认证技术能很好地构建平安、高性能的通信通道。 2、使用SSL的几点说明 〔1〕SSL协议应用建立后,访问支持SSL协议的页面时,必须使用 S协议,地址丌头应输入互“ s://〞,而不是“ ://〞。 〔2〕SSL协议应用仅对双方通信的数据进行透明的加密传输,而不进行访问控制。用户是否有权访问应用系统,应由应用系统或操作系统通过用户名和口令控制。 〔3〕浏览器通过SSL协议访问效劳器时,任何信息都要进行加密和解密处理,所以浏览器的访问速度会有所降低。尤其在第一次连接效劳器时,由于要初始化SSL会活和连接的状态信息,并协商加密和解密方案,因而速度降低更为明显。 〔4〕由于证书颁发机构是用户自己建立的,它不在浏览器默认的证书颁发机构内,因而浏览器不认为该效劳器证书是平安可信的。用户在第一次访问主页时系统会提示警告信息,并且明显降低访问速度。在客户机浏览器上加装证书颁发机构的根证书可以消除此现象,根证书可从颁发效劳器证书的Windows2000操作系统的“Microsoft证书效劳〞页面下载。 第五章 物流信息平台平安关键技术实现 本章主要阐述通过使用加密技术、数字签名、数字证书等平安技术来保证物流信息平台系统的平安性,主要包括:信息的保密性、身份的真实性、信息的完整性、访问可控性和不可抵赖性。 5.1系统的开发环境和开发工具 系统在架构设计中使用的是Brower/Server模式,这主要考虑到用户在地理上比拟分散,使用B/S模式更加有利于系统的更新与维护。 系统在设计中选用的是J2EE平台,选择该平台主要是考虑到平台的稳定性与其成熟的技术,另外功能强大的组件也是选择其作为开发平台的重要原因。在操作系统方面选择的是微软的Windows 2000 Server,Web应用效劳器选用的是Web Logic Server9.0,它是目前市场上最卓越的BEA应用效劳器之一,系统同时选用了Apache的Tomcat5.5,在数据库方面,系统选用了MySQL。在开发工具上,使用Eclipse+My Eclipse作为开发工具。 5.2系统平安策略 物流信息平台平安保障体系是为物流信息平台效劳的,应实现以下目标:保护信息平台的可用性和稳定性;保护信息平台效劳的连续性;防范信息平台的非法访问及非授权访问;防范入侵者对信息平台的恶意攻击与破坏;保护物流成员通过信息平台传输数据信息过程中的机密性、完整性;防范网络病毒对信息平台的侵害;实现信息平台的动态的、系统的、制度化的、以预防为主的平安管理模式。如果说物流信息平台平安保障体系的目标是一座大厦的话,那么相应的平安策略就是施工的蓝图,其平安策略可以归纳为以下几个方面:平安保障信息平台的设计、建设要遵守国家、政府部门相关的平安法律、法规、制度、标准和技术指南。建立完备的备份和应急响应机制,关键网络设备、系统信息和数据均要有备份手段和恢复机制。物流企业各业务系统软件要进行严格测试才能正式在物流信息平台上运行。通过防火墙、入侵检测系统和信息平台监测系统,有效抵御各种黑客攻击行为。对操作系统、数据库管理系统进行严格的平安配置,安装平安补丁,对关键主机安装主机保护系统。定期使用漏洞扫描系统对VE信息平台进行平安漏洞扫描,提出平安改良报告。通过安装网络防病毒软件,并定期升级病毒库,防止病毒入侵。物流企业成员均使用支持数字证书的智能IC卡,按最少特权原那么,授予适宜的权限,并能对其访问和操作进行唯一性识别,确保业务操作的不可否认性。建立与成员企业身份认证系统,构建统一认证网关,提供身份认证,保证数据存储、交换的完整性、可用性和敏感数据的机密性。建立完备的平安认证、授权、审计机制,保证设备的平安,同时从网络、系统、应用三个层面对每一项信息平台上的事务活动均有详细的日志记录,保证物流信息平台上的事务完全可以被追踪。建立有效的平安效劳体系,以适应信息平台平安的动态性、复杂性和长期性特点。 本系统构建了一个平安的信息根底平台,采用PKI体系及CA系统架构,为物流信息平台提供了良好的应用环境。PKI主要是针对开放型的大型互联网络应用环境而设计的,以保证公开密钥的可靠性。其根本机制是定义和建立身份、认证和授权技术,然后分发、交换这些技术。PKI对数据加密、数字签名、防抵赖、数据完整性以及身份鉴别所需的密钥和认证实施统一的集中化管理,支持物流信息平台的参与者在网络环境下建立和维护平等的信任关系,保证电子化平安操作。PKI是建立在公开密钥机制根底上的,为了保证信息的平安性,将数据加密、数字签名、身份认证等平安技术,通过证书及密钥的形式用以提供加密、签名、第三方信任、防抵赖、时间戳、交叉认证等平安效劳。 CA〔认证中心〕是PKI的核心效劳。CA主要采用公钥密码体制来提供与公钥证书相关的证书生成、公布、延续以及废弃等认证管理效劳。CA主要完成以下几个功能: 〔1〕为用户生成<公开密钥,私有密钥>对,并通过一定的途径发给用户; 〔2〕为用户CA签发数字证书,形成用户的公开密钥信息,并通过一定的途径分发给用户; 〔3〕对用户证书的有效性的验证; 〔4〕对用户的数字证书进行管理。这些处理包括有效证书的公布、撤消证书的公布〔有时也称证书黑表的维护〕和证书归档等。 CA签发的数字证书在网络里对用户的作用,相当于现实生活中的身份证,是由一个可信的第三方签名的一张证明。数字证书在网络通信中起到这个作用:用户B声称自己具有公开加密密钥K1,A可以要求B出示数字证书,以证明B的公开密钥确实是K1。利用基于数字证书的身份识别,可以确保用户身份识别的真实性;利用数字证书对提交的表单数据进行数字签名,确保客户身份的真实性、物流过程中产生的数据的完整性和不可抵赖性:利用基于数字证书的数据加密技术对网络中传输的机密文件加密,可以确保敏感信息的平安传输,防止敏感数据被恶意篡改或者泄露。 5.3身份认证 目前在网络中比拟常用的是基于口令的认证方式,这是一种弱认证方式,口令在网络传输的过程中很容易被窃取和破译,不适用于平安性较高的场合,而且其认证是单向的,浏览器不能对效劳器进行认证。 在物流信息平台中,数字证书可以作为识别客户身份的最正确方式,通过使用由可信证书机构CA颁发的数字证书,结合对应的私钥,完成对用户的单向或双向身份认证,克服传统的口令认证方式的弊端。 5.3.1安装效劳器数字证书 为了实现平安登录,我们采用SSL协议和数字证书相结合的双向认证方式。使用SSL加密机制实现在客户和效劳器之间建立一条加密通道,确保所传输的数据不被非法窃取:首先客户端与IIS效劳器建立通信连接,接着IIS把数字证书与公用密钥发给客户端。然后客户端使用这个公共密钥对客户端的会话密钥进行加密后,传递给IIS效劳器,效劳器端接收后用私人密钥进行解密,这时就在客户端和IIS效劳器间创立了一条平安数据通道,只有被IIS效劳器允许的客户才能与它进行通信。 数字证书适应网络环境中对信息传输的保密性、数据传输的不可修改性、发送信息的不可否认性的要求,加密强度可达1024位,保证信息及管理操作的平安可靠,对于信息在网络上的平安传递起到了保障作用。 在启用SSL建立平安通道之前,首先要在效劳器端安装效劳器证书,安装效劳器证书步骤如下: 〔1〕在效劳器上生成证书申请文件,这个过程,将配置网站证书的申请选项,并生成一个证书申请文件。 ①翻开IIS管理界面,设置长江物流信息平台的属性。 ②设置目录平安性属性,创立一张新证书。如图5-1所示。 图5-1 IIS证书向导 ③为证书填入相关描述性的名称,选择适宜的位长。 ④公用名称必须与网站的网址名称〔不是IP地址〕一致。也就是说如果网站的网址为,那么公用名称也需要为。 ⑤将证书文件存放在硬盘中,此时效劳器本地机上的申请格式书已经申请成功。 〔2〕登录下载一级根证书,并在当前位置翻开,按照操作步骤,将其保存到效劳器上。 〔3〕在Internet信息效劳中,选择效劳器证书。 〔4〕选择目前证书的存放路径,显示证书摘要及证书安装路径。 〔5〕完成效劳器数字证书的安装。 5.3.2设置SSL实现Web平安通信 当安装完证书后,此时网站已经具有了SSL加密的功能,但网站并没有强制加密,也就是说网站可用 也可用 S访问。如果需要保护某些特别重要的内容,需要在这些目录或者网页上使用SSL加密,设置Web的平安通信属性,当用户访问这些信息的时候,也同样需要出示证书进行身份验证。 〔1〕进入Internet信息效劳。 〔2〕翻开计算机图标,找到需要申请证书的站点名称,此工程中为“jy56〞。 〔3〕双击站点名称处,进入工程的目录。 〔4〕选择需要证书登录的目录,点击右键进行属性设置。 〔5〕进入平安通信对话框。 〔6〕选择“要求平安通道〔SSL〕〞和“接受客户证书〞然后确认。 如图5-2所示。 图5-2启用SSL Windows网络操作系统内置的IIS是大家最常用的Web效劳器。但在系统默认配置下,IIS使用的是“ 协议〞即以明文的形式传输数据,没有采用任何加密手段,传输的重要数据很容易被窃取,这对于平安性要求很高的物流信息平台来说,是远远不够的。为了保证物流信息传输过程中的万无一失,必须在Web效劳器上设置SSL,对要求用证书登录的栏目实现证书认证功能。 当浏览器试图连接这个经过SSL认证加密的效劳器时,被要求出示数字证书,此时就会唤醒一个SSL会话。然后效劳器和客户端进行一系列的信息交换,以完成客户端和效劳器端证书的双向认证。 5.3.3身份认证的实现 〔1〕由客户端主动向物流信息平台效劳器端发送自己的数字证书文件UCERC和对证书的签名ESign 〔UCERC,rA〕,同时将证书和对证书的签名使用物流信息平台的公钥加密发送EPksh〔ESign〔UCERC,rA〕,UCERC〕。 〔2〕物流信息平台收到客户端发来的信息,首先使用物流信息平台的私钥解密得到客户端的证书和对证书的签名,对证书进行有效性验证,接着从证书中得到客户的公开密钥。用客户端的公钥对客户端的签名进行验证,客户端身份验证结束,使用物流信息平台的私钥对自己的证书进行签名,同时使用客户端的公钥将证书和签名的证书EPkc〔ESign 〔UCERS,rB〕,UCERS〕发送给客户端。 〔3〕客户端收到消息后执行以下动作:使用私钥解密信息,验证效劳器端数字证书UCERS,取出物流信息平台的公钥对签名进行解密,如果解密成功,那么验证物流信息平台的身份。完成双方的身份认证过程。身份认证过程如图5-3所示。 图5-3身份认证流程图 5.3.4身份认证操作界面 客户中请登录系统时,需输入网上注册的账号和登录密码。 登陆界面如图5-4所示。 客户输入账号和密码,单击登陆按钮,系统弹出CFCA证书选择对话框,选择您要使用的证书,以保证远程计算机的身份认证。 证书验证成功,客户可以直接进入系统页面。 如果没有客户证书或者没有效劳器信任的客户证书都不能访问该网站。客户证书是效劳器判断客户端是否可信任的依据,用来防止不被信任的客户端访问该效劳器。SSL保证了客户端和效劳器之间通信的保密性和可靠性,并且在效劳器端和客户端同时实现支持。 将数字证书和SSL结合使用实现了浏览器的身份验证、资源访问控制等功能,加强了网络信息传输的平安性。 图5-4物流信息平台登陆界面 5.4数据机密性的设计与实现 在客户端与网上物流信息平台效劳器之间的敏感信息,如客户的订单号、快递订单号等信息,有可能在传输过程中被非法用户截取。保密性就是保证信息传输的平安性。 为保证信息在不平安信道的传输平安,本系统的平安设计方案如下所示。 〔1〕客户UI填写物流信息后,形成电子文档MI,发送信息时,产生会话密钥k,将MI加密为密文Ek(MI)。 〔2〕使用物流信息平台TA的公钥Pkta将会话密钥k加密生成密文EPkta(k),同时发送两份密文Ek(MI)和EPkta(k)。 〔3〕物流信息平台收到加密信息后,先使用自己的私钥Skta解密:DSkta(EPkta(k))得到会话密钥k。 〔4〕对加密信息进行解密Dk(Ek(MI))得到物流信息MI。 这样,物流信息平台信息在传输的过程中,如果被监听者截获,得到了密文和加密的密钥,即使监听者有物流信息平台的公钥,但是没有物流信息平台的私钥,无法解密得到通用密钥,也无法得到物流信息。保证了信息传递的机密性,即使被截获也无法得到真实的物流信息。 具体操作过程如下: 客户端上传物流信息之前,需要获得物流信息传输密钥和物流信息平台公钥,点击系统维护菜单,选择下载效劳器端公钥。 在上传物流信息时,进行加密处理物流信息:通过DES算法对物流信息进行加密,解密。 对物流信息的加密采用DES对称加密算法[39],使用DES加密与解密,其流程图如图5-5所示。 图5-5 DES加密流程图 程序的主要编写方法如下: 加密过程: void idea_enc(int data11 [],int key1[]) //待加密的64位数据首地址 {int i; int tmp,x; int zz[]=new int[6]; for(i=0;i<48:i+=6) //进行8轮循环 {for(int j=0,box=i;j<6;j++,box++) {zz[j]=key1[box];} x=handle_data(data11,zz); tmp=data11[1];∥交换中间两个 data11[1]=data11[2]; data11[2]=tmp; ) tmp=data11[1]; //最后一轮不交换 Data11[1]=data11[2]; data11[2]=tmp; data11[0]=MUL(data11[0],key1[48]); data11[1]=(char)((data11[1]+key1[49])%0x10000); data11l2]=(char)((data11[2]+key1[50])%0x10000); data11[3]=MUL(data11[3],key1[51]); } 解密的过程: void key_decryExp(int outkey[]) //解密密钥的变逆处理 {int tmpkey[]_new int[52]; int i; for(i=0;i<52;i++) {tmpkey[i]=outkey[wz_spkey[i]];} //换位 for(i=0;i<52;i++) {outkey[i]=tmpkey[i];} for(i=0;i<18;i++) {outkey[wz_spaddrever[i]]=(char)(65536-outkey[wz_spaddrever[i]]);} //替换成加法逆 for(i=0;i<18;i++) {outkey[wz_spmulrevr[i]]=(char)(mullnv(outkey[wz_spmulrevr[i]]));} ∥替换成乘法逆 } 〔2〕通过RSA公钥加密算法对DES加密的会话密钥进行加密。 使用RSA对DES算法产生的密钥进行加密[40 [41]。 生成密钥主要过程如图5-6所示: 图5-6 RSA密钥生成过程 主要方法如下: //此类提供了针对加密和解密的密码cipher功能。它构成了Java Cryptographic Extension(JCE)框架的核心。 Importjava.security.*;//为平安框架提供类和接口。包括那些实现了可方便配置的、细粒度的访问控制平安架构的类。此包也支持密码公钥对的生成和存储,以及包括信息摘要和签名生成在内的可输出密码操作。最后,此包提供支持signed/guarded对象和平安随机数生成的对象。 import javax.crypto.Cipher; import java.security.spec.RSAPublicKeySpec; ∥此类指定RSA公用密钥import java.security.spec.RSAPrivateKeySpec; //此类指定RSA专用密钥 import java.security.spec.InvalidKeySpecException; impon java.security.interfaces.RSAPrivateKey; import java.security.inteffaces.RSAPublicKey; import java.io; import java.math.BigInteger; public class RSAUtil {public static KeyPMr generateKeyPair() throws EneryptException{ try{ //KeyPairGenerator类用于生成公钥和私钥对。密钥对生成器是使用getlnstance工厂方法(返回一个给定类的实例的静态方法)构造的。 //public static KeyPairGenerator getlnstance(String algorithm,Provider provider)throws NoSuchAlgorithmException 如果该可从指定的提供程序得到算法,那么生成实现了该指定算法的KeyeairGenerator对象。注;provider不一定都需要注册。 参数: algorithm算法的标准字符串名称。有关标准算法名称的信。 provider提供程序。 KeyPairGenerator keyPairGen=KeyPairGenerator.getlnstance(“RSA〞, Neworg.bouncycastle.jce.provider.BouncyCastleProvider()): final int KEY_SIZE=1024; //SecureRandom():此类提供加密的强随机数生成器 //initialize public void initialize(int keysize,SecureRandom random) 使用给定的随机源和默认的参数集合初始化确定密钥长度的密钥对生成器。 指定者:类KeyPairGeneratorSpi中的initialize 参数:keysize-密钥大小。这是特定于算法的度量(如模长度),以位数的形式指定。 Random-随机源。 keyPairGen.initialize(KEY_SIZE,new SecureRandom ()); //KeyPair:此类是简单的密钥对(公钥和稻钥)持有者。它没有增强任何平安性,另外初始化时应该将它当作PrivateKey对待。 //genKeyPair():生成密钥对。 如果此KeyPairGenerator没有被显式初始化,特定于提供程序的默认值将被用于所生成密钥的大小和其他(特定于算法的)值。每次调用此方法都将生成新的密钥对。 KeyPair keyPair=keyPairGen.genKeyPair(): retum keyPair; )catch(Exception e){ throw new EncryptException(e.getMessage()); } } /** *生成公钥 *@param modulus *@param publicExponent *@return RSAPublicKey *@throws EncryptException public static RSAPublicKey generateRSAPublicKey(byte[]modulus,byte[] publicExponent) throws EncryptException{ //密钥工厂是用来将keys(Key类型的不透明加密密钥)转换成key标准(根底密钥材料的透明表示),反之亦然。 KeyFactory keyFac=null; try{ keyFac=KeyFactory.getlnstance〞RSA〞 CastleProvider()): )catch(NoSuchAlgorithmException ex){ throw new EncryptException(ex.getMessage 0); } //RSAPublicKeySpec:此类指定RSA公用密钥 //public RSAPublicKeySpec(BigInteger modulus,BigInteger publicExponent) 创立一个新的RSAPublicKeySpee。 参数: modulus-系数 publicExponent一公用指数 RSAPublicKeySpec pubKeySpec=new RSAPublicKeySpec(new BigInteger (mod ulus)new BigInteger(publicExponent)); try{ retum(RSAPublicKey)keyFac.generatePublic(pubKeySpec); }catch(InvalidKeySpecException ex){ throw new EncryptException(ex.getMessage()): } } /** *生成私钥 *@param modulus *@param privateExponent *@return RSAPrivateKey *@throws EncryptException */ public static RSAPrivateKey generateRSAPrivateKey(byte[]modulus,byte[] privateExponent)throws EncryptException{ KeyFactory keyFac=null; try{ CastleProvider (); )catch(NoSuchAIgorithmException ex){ throw new EncryptException(ex.getMessage()): } RSAPrivateKeySpec priKeySpee=new RSAPrivateKeySpec(newBigInteger (modulus) new BigInteger(privateExponent)); try{ return(RSAPrivateKey)keyFac.generatePrivate(priKeySpec): )catch(InvalidKeySpecExceptiou ex){ throw new EncryptException(ex.getMessage()); } } /** *加密 *@param key加密的密钥 *@param data待加密的明文数据 *@return加密后的数据 4@throws EncryptException */ publm static byte[]encrypt(Key key,byte[]data)throws EncryptException{ try{ //public static final Cipher getlnstance(String transformationProvider provider)throws NoSuchAlgorithmException, NoSuchPaddingException 创立一个实现指定转换的Cipher对象,该转换由指定的提供程序提供。注:该provider不必被注册。 参数: Transformation-转换的名称,例如DES/CBC/PKCS5Padding。有关标准转换名称的信息,请参见Java Cryptography Extension Reference Guide的附录A。 Provider-提供程序 Cipher cipher=Cipher.getlnstance(“RSA〞,new org.bouncycastle.jce.provider. Bouncy CastleProvider()): public final void init(int opmode,Key key)throws InvalidKeyException 用密钥初始化此cipher。 参数: opmode-此cipher的操作模式(其为如下之一:ENCRYPT_MODE、 DECRYPT_MODE、WRAP_MODE或UNWRAP_MODE) Key-密钥 Cipher.init(Cipher.ENCRYPT_MODE,key); getBlockSize public final int getBlockSize() 返回块的大小(以字节为单位)。 返回:块的大小(以字节为单位),如果根底算法不是块ciphcr,那么返回0 int blockSize=cipher.getBloekSize(); //获得加密块大小,如:加密前数据为128个byte,而key_size=1024加密块大小为127 byte,加密后为128个byte;因此共有2个加密块,第一个127byte第二个为1个byte //pubfic finaI int getOutputSize(int inputLen) 在给定了输入长度inputLen(字节为单位)的情况下,返回用于保存下一个update或doFinal操作结果所需的输出缓冲区长度的字节数。 此调用还考虑到来自上一个update调用的未处理(已缓存)数据和填充。下一个update或doFinal调用的实际输出长度可能小于此方法返回的长度。 参数:inputLen-输入长度(以字节为单位) 返回:所需的输出缓冲区大小(以字节为单位) int outputSize=cipher.getOutputSize(data.length): //获得加密块加密后块大小 int leavedSize=data.1ength%blockSize; //需要的加密块数量 im blocksSize=leavedSize!=0 ?data.length/blockSize+1:data.length/blockSize; byte[]raw=new byte[outputSize*blocksSize]; int i=0: public final int doFinal(byte[]input,int inputOffset, int inputLen,byte[]output,int outputOffset)throws ShortBufferException, lllegalBlockSizeException,BadPaddingException 按单局部操作加密或解密数据,或者结束一个多局部操作。数据被加密还是解密取决于此cipher的初始化方式。 处理input缓冲区中从inputOffset开始(包含)的前inputLen个字节以及可能在上一次update操作过程中已缓存的任何输入字节,其中应用了填充(如果需要)。结果存储在output缓冲区中从outputOffset(包含)开始的位置。 如果output缓冲区太小无法保存该结果,那么抛出ShortBufferException。这种情况下,使用一个稍大的缓冲区再次调用。使用getOutputSize确定输出缓冲区应为多大。 结束时,此方法将把此cipher对象重置为上一次调用init初始化得到的状态。即重置该对象,可供加密或解密(取决于调用init时指定的操作模式)更多的数据。 注:如果抛出了任何异常,那么再次使用此cipher对象前,可能需要将其重置。 注:此方法应该是复制平安的,这意味着input和output缓冲区可引用相同的byte数组,并且在将结果复制到输出缓冲区时,不会覆盖任何未处理的输入数据。 参数: Input-输入缓冲区 inputOffset-input中输入开始位置的偏移量 inputLen-输入长度 output-保存结果的缓冲区 outputOffset-output中存储结果的位置的偏移量 返回: output中存储的字节数 while(data.length-i*blockSize>o){ if(data.length-i*blockSize>blockSize) cipher.doFinal(data,i*blockSize,blockSize,raw,i*outputSize); else cipher.doFinal(data,i*blockSize,data.length-i*blockSize,raw,i*outputSize); //这里面doUpdate方法不可用,查看源代码后发现每次doUpdate后并没有什么实际动作除了把byte[]放到ByteArrayOutputStream中,而最后doFinal的时候才将所有的byte[]进行加密,可是到了此时加密块大小很可能已经超出了OutputSize所以只好用dofinal方法。 i++;} retunl raw; )catch(Exception e){ throw new EncryptException(e.getMessage (); } } /** *解密 *@param key解密的密钥 *@param raw已经加密的数据 *@retum解密后的明文 *@throws EncryptException */ public static byte[]decrypt(Key key,byte[]raw)throws EncryptException{ try{ Cipher cipher=Cipher.getlnstance(“ yCastleProvider()); cipher.init(cipher.DECRYPT_MODE,key); int blockSize=cipher.getBlockSize(); ByteArrayOutputStream bout=new ByteArrayOutputStream(64); Int j=0; while(raw.length-j*blockSize>0){ bout.write(cipher.doFinal(raw,j*blockSize,blockSize)); j++; } return bout.toByteArray(); }catch(Exception c){ throw new EncryptException(e.getMessage()); } } 5.5信息完整性的保障和数字签名 5.5.1使用数字签名技术 在物流信息传输的过程中,如果监听者截获了发送的密文和加密的密钥,然后发送一份假的数据包给物流信息平台,物流信息平台如何验证接收到的信息的真实性,系统如何保证信息传递的完整性,也是重要的急需解决的平安方案之一。保证信息的不可纂改,验证信息的真实性,需要使用数字签名技术例来保证。 这个协议满足我们期待的特征: 〔1〕签名是可信的。当客户的公开密钥被用来验证信息时,可以验证是否是客户签名的。 〔2〕签名是不可伪造的。知道客户的私人密钥的只有客户本人。 〔3〕签名是不可重用的。签名是文件的函数,并且不可能转换成另外的文件。 〔4〕被签名的文件是不可纂改的。如果文件有任何改变,文件就不可能用客户的公开密钥验证。 〔5〕签名是不可抵赖的。只有客户知道他的私人密钥,因此客户无法否认这是他的签名。 〔6〕数字签名实施方案: ①客户通过Hash函数计算物流信息MI得到MI的消息摘要m=Hash(MI)。 ②客户使用私钥Skui对消息摘要进行加密Eskui(m),形成数字签名s。 ③将密文Ek(MI)、加密的密钥Epkta(k)和数字签名s封装成一个数据块发送给物流信息平台。 〔7〕验证签名 ①物流信息平台得到信息后,使用客户的公钥Pkui将数字签名解密Dpkui(Eskui(m))得到消息摘要m’。 ②在信息加密传输过程中通过解密得到物流信息MI。使用Hash函数计算MI得到消息摘要m’。 ③比拟m和m’是否一致,如果一致那么确认信息的完整性。否那么收到的信息是无效的,要求重新发送物流信息。 物流信息在传递的过程中,如果被截获,得到密文、加密的密钥和数字签名,虽然数字签名可以由客户的公钥复原为消息摘要,但从消息摘要不可能反推出预映射值,所以对监听者毫无意义。 在上述方案中客户将物流信息用Hash函数计算得到消息摘要,并用自己的私钥将其加密,这就是本平安系统的“数字签名〞,从上述方案中可见,只要客户的发送信息中密文、加密的通用密钥和消息摘要中任意一项有丝毫的改动,那么物流信息平台收信后都会认定该数据块无效,所以即使信息被截获后伪造了新的数据块,监听者没有客户的私钥,也就不可对消息摘要加密,而他如果伪造消息摘要,又会因为物流信息用Hash计算后值与伪造的消息摘要肯定不同而失败,最终物流信息平台在对证消息摘要时,会发现信息被纂改,进而确认该数据块是否真的是由客户发来,这样可以保证信息的完整性,不可纂改,同时验证了数字签名的真实性。 使用的数字签名技术是基于Web的PKI应用方案,它利用对称加密技术、公钥加密技术、数字签名技术和数字证书对提交的表单进行签名,为网上信息传输提供平安保证。 5.5.2基于RSA算法的数字签名的实现 首先用生成一个MessageDigest类,确定计算方法: .getlnstance (“SHA-1”); 添加要进行计算摘要的信息: Alga.update(myinfo.getBytes()); 计算出摘要: byte[]digesta=alga.digest(); 发送给其他人你的信息和摘要;其他人用相同的方法初始化,添加信息,最后进行比拟摘要是否相同: Algb.isEqual(digesta,algb.digest()) 相关API: Java.security.MessageDigest类 static getlnstance(String algorithm) 返回一个MessageDigest对象,它实现指定的算法。 参数:算法名,如SHA-1或MD5 void update(byte input) void update(byte[]input) void update(byte[]input,int offset,int len) 添加要进行计算摘要的信息: byte[] digest() 完成计算,返回计算得到的摘要(对于MD5是16位,SHA是20位)。 复位:void reset0 比效两个摘要是否相同: static boolean isEqual(byte[]digesta,byte[]digestb) 数字签名模块的设计中用到的平安技术主要包括对称加密技术、公钥加密技术、数字签名技术、数字认证技术。通过在提交的表格中参加这些技术来提高其平安性。 在通常的信息传输中,表格数据未经任何处理,完全以明文方式传输。因此,本系统必须解决两个问题,一是数据的保密性,二是数据的完整性。 其中数据的保密性采用加密技术(包括对称加密和公钥加密)来实现。数据经过加密后,可有一定的抗分析和抗破译的能力,起到保密作用。 在数据的完整性问题上采用数字签名来解决。通信双方在收到信息后,对签名信息进行验证,以判断数据是否完整。 第六章 结论与展望 本文在J2EE平台上设计实现了一个基于信息平安技术的网物流信息系统。该系统利用网络技术,基于物流信息平台实际生活中的操作过程,实现物流信息处理平台。本系统在设计的时候充分考虑了平安问题,采用多种平安技术,如加密 技术、数字签名技术和数字证书技术等,为系统在实际应用中提供平安保障,并为以后更好的应用信息平安技术做了有益的尝试。 本系统有如下优点: 〔1〕采用了B/S的三层体系结构,使得系统可以轻松地实现分布式管理;另外灵活的系统体系结构,以及对Internet技术的充分运用,使系统可用性更高,伸缩性和扩展性强。客户端采用标准浏览器,用户无需升级维护。 〔2〕系统采用J2EE作为开发平台。优秀的平台为系统的实现提供了极大的帮助,在实现加密、解密以及数字签名等程序时,都大量使用了JAVA中提供的方法,另外第三方库也为这些算法的实现提供了便利。 〔3〕系统具有较高的平安性与可靠性。在充分分析了系统面临的平安问题后,采用了基于公钥根底设施PKI的信息平安技术,同时使用了数字证书技术、加密技术、数字签名技术、SSL等,对可能存在的平安问题做了相应的处理,从而大大提高了系统的平安性。 由于时间和设计开发经验问题,系统虽然实现了需求分析中要求的功能,并参加了相应的信息平安技术,但是系统还是存在不少的需要解决的问题,在接下来的工作中还有许多需要完善的地方: 〔1〕在系统设计方面,如无法同步的问题,即当向数据库提交数据时,不能及时的得到数据库的响应,当然这样做是迫于平安性的考虑,但对数据提交者而言那么存在一些实际的问题。因此在以后的设计过程中会不断积累经验,努力找到问题的解决方法。 〔2〕在代码实现方面,在编写RSA加密程序的时没有充分考虑到代码执行效率,咎其原因便是数学功底不够扎实,导致代码效率不高。另外由于自身对信息平安的了解有限,使得很多更加适合系统的算法没有被引入,这也是系统设计中另人遗憾的地方。 〔3〕进一步完善系统的平安体制。目前的系统已经初步实现了多种平安技术在系统中的应用,但是还有许多地方需要改良,如需要扩大平安技术的应用范围,不仅仅是一些核心信息要加密,其它的辅助信息也要做加密处理,并且要采用更高效、更平安的信息平安技术,如ECC等。类似这样的问题还有很多,主要是由于丌发经验欠缺,以及知识的匮乏造成的,相信通过未来的学习和工作会对系统的开发与设计提出更好的解决方案。 致 谢 在论文完成之际,首先向我的导师李洪伟老师表示由衷地感谢,导师那严谨的治学精神、一丝不苟的工作作风以及学术上的高标准要求,都使我受益匪浅。 本论文从选题到最后的定稿都是在导师的精心指导下完成的,在课题的研究过程中,导师一直对我严格要求,及时纠正课题研究过程中存在的问题,并不断给予我鼓励和鞭策。同时,也感谢我的企业导师张进工程师对我的关心与帮助,他渊博的专业知识、高超的技术水平以及勤奋进取的精神使我深感敬佩。恩师们的莫大支持与帮助,令我终生难忘。 参考文献 [1]Parsons, G.L Information technology: a new competitive weapon, Sloan Management Review,1983 pp.3-14. [2]Porter, M.E, Millar V E, How information gives you competitive advantage, Harvard Business Review, 1985 Vol.63 No.4, pp.149-60. [3]Stenger, A.J Information systems in logistics management: past,present and future. Transportation Journal,1986, Vol. 26 No.l, pp.65-82. [4]Stock, J.R Managing computer communication and information technology strategically: opportunities and challenges for warehousing, Logistics and Transportation Review, 1990 Vol. 25 No.2, pp.133-48. [5]Rogers, D.S, Daugherty, P.J, Stank, T.P Enhancing service responsiveness: the strategic potential of EDI,International Journal of Physical Distribution &Logistics Management,1992 Vol. 22 No.B, pp.15-20 [6]Lee H L, et al. Managing supply chain inventory: Pitfalls and opportunities.[J].Sloan ManagementReview,1992,spring. [7]Lee H L, et al. The Evolution of Supply Chain Management model and practice at Hewlett-Packard[J].Interfaces1995. 25(5). [8]Lee H L, et al. Information distortion in a supply chain: the bullwhip effect. [J). Management Science1997,43(4). [9]Lee H L, et al. The bullwhip effect in supply chains[J]. Sloan ManagementRev.l-997. [10]Introna, L.D, The impact of information technology on logistics, International Journal of Physical Distribution& Logistics Management, 1991. Vol. 21 No.S, pp.32-7. [11]Harrington, L.H, Integrated logistics systems: still more talk than action, Traffic World, 1992, Vol. 230 No.S,pp.34-6. [12]Fox, T, Logistics information systems design, in Robeson, J.F, Capacino, W.C (Eds),The Logistics Handbook,Free Press, New York, NY, 1994 pp.714-36. [13]Bardi, E.J, Raghunathan, T.S, Bagchi, P.K, Logistics information systems: the strategic role of top management,Journal of Business Logistics, 1994 Vol. 15 No.l, pp.71-85. [14]Bowersox, D.J, Daugherty, P.J, Logistics paradigms: the impact of information technology, Journal of Business Logistics, 1995 Vol. 16 No.l, pp.65-80. [15]Gustin, C.M, Daugherty, P.J, Stank, T.P, The effects of information availability on logistics integration, Journal of Business Logistics, 1995 Vol. 16 No.l, pp.l-21. [16]Lewes,I, t alalayevsxy,A,Logistics ano mtormation technology: a cooramation perspective,,Journai of Business Logistics,1997 Vol. 18 No. 1, pp.141-57. [17]Tomas. The Quest Continues, Logistics Management&Distribution.1998, August. [18]Richard A. Lancioni .New Developments in Supply Chain Management for the Millennium [J].Industrial Marketing Management. 2000(29). [19]Avier GonzaH lez Benito Isabel SuaHrez GonzaH lez Nbrtin Spring .Complementarities Between JIT Purchasing Practices:An Economic Analysis Based on Transaction Costs[J].Int.J.Production Economics,2000 [20]Mats Abrahamsson, Niklas Aldin, Fredrik Stahre. Logistics platforms for improved strategic flexibility [J].International Journal of Logistics 2003,6(3)85-106 [21]A Gunasekaran,E W T Ngai. The successful management of a small logistics company[J]. International Journal of Physical Distribution &Logistics Management,2003, 33(9): 825-842. [22]K.L.Choy; Stuart C.K. So; Henry C. W Lau; S.K. Kwok; Felix T.S. Chan International Journal of Business Performance Management, 2006 Vo1.8 No.2/3 [23]董千里.区域物流信息平台与资源整合.交通运输工程学报.2002 (4): 61-65 [24]薛胜军,谈冉.基于CSCW的物流信息平台的开发(英文).Proceedings of the 4th International Conference on Material Handling &Logistics Systems 2002 [25]蔡淑琴,梁静,等.区域性物流信息平台结构的研究.武汉理工大学学报(信息与管理工程版) , 2003 (3) ,99-102 [26]何杰,李旭宏等.省级物流信息平台体系结构方案分析.交通科技, 2003 C6 ): 75-77 [27]赖平仲,齐岩,等.物流园区信息平台系统规划框架设计.交通标准化, 2004 C6 ): 63-66 [28]崔南方,刘英姿,等.区域公共物流信息平台系统设计.科技进步与对策, 2004 (8 ): 144-146 [29]廖妹敏.广东省物流信息平台构建的设想.物流科技2005 (8 ): 77-80 [30]马军,刘军,等.电子化物流协同作业信息交换平台构建及经济分析.物流技术, 2005 (10 ): 260-263 [31]季常煦,杨楠,等.城市交通共用信息平台数据管理技术.吉林大学学报(工学版) , 2005 (6 ): 75-78 [32]周剑峰.城市交通共用信息平台数据处理技术研究:博士学位论文].吉林:吉林大学交通信息工程及控制2005 [33]康博.用J2EE开发企业级应用程序.北京:清华大学出版社,2004 [34]李中华,王建军.浅谈数据加密技术.乐山师范学院学报.2006,12 [35]李健.计算机网络平安与加密技术[M].科学出版社.2003 [36]基于Web 2.0和J2EE轻量级架构的物流信息系统 同济大学学位论文,2007 [37]胡珊.基于IPSec协议的VPN网络平安技术的研究与实现[D].南京:南京航空航天大学,2003 [38]韩锦荣,王新梅.lpsec虚拟专用网技术[J].通信技术,2003,〔4〕:55-86 [39]BruceSchneier著,吴世忠译.应用密码学〔第二版[M]〕.北京:机械工业出版社,2000.1-578 [40]彭晨阳.JAVA实用系统开发指南.北京:机械工业出版社,2005 [41]杨茂江.JAVA面向对象程序设计教程.北京:清华大学出版社,2004 本文档由香当网(https://www.xiangdang.net)用户上传

    下载文档到电脑,查找使用更方便

    文档的实际排版效果,会与网站的显示效果略有不同!!

    需要 5 香币 [ 分享文档获得香币 ]

    下载文档

    相关文档

    社区信息平台的设计与实现

    作为新时代的发展,信息化的浪潮已经不断地扩展到国家的任何一个社区区域,作为政府基层部门都很清楚地了解到现在社区的发展已经达到了社区信息化的程度,为了更好的在政府与居民间进行沟通,促进城市文明的进...

    3年前   
    1678    0

    毕业设计资料管控平台设计与实现

     毕业设计资料管控平台设计与实现Design and Implementation of Graduation Design Information Management and Contro...

    3个月前   
    135    0

    基于JavaEE平台的设计资源交易平台的设计与实现

    中国因改革开放政策实施的缘故,社会经济水平与日俱增,人民的消费水平也随之升高,中国正在经历前所未有的消费升级,越来越多的消费者在满足基本物质需求的基础上追求精致生活。

    3个月前   
    138    0

    社会管理综合信息平台数据分析报告

    **县社会管理综合信息平台2013年12月份数据分析报告  一、信息收集办理情况 12月份应报信息3255条,实报信息1396条,报送率42.89%。比上月下降20.5%。其中,平安信息...

    8年前   
    8943    0

    物流信息服务平台项目建设方案

    一、焦作物流业现状分析  经过多年的积聚和发展,焦作市已形成了较为完整的产业体系,由此带动了物流业的较快发展,物流业已成为焦作市服务业发展的主导产业之一。

    7个月前   
    135    0

    综合信息科关于今年综合信息工作的工作总结

    综合信息科关于今年综合信息工作的工作总结 一、综合信息主要工作总结 今年以来,我们紧紧围绕刘局长关于“强化亮点树形象”的总体要求,加强与省经贸委和市委办、市府办综合信息部门以及市属三家新闻...

    12年前   
    16293    0

    教师档案信息管理系统的设计与实现

    摘要 近年来,随着计算机科学技术和计算机网络技术的发展,高校对教师档案的管理逐渐被人们所重视,计算机技术已越来越广泛地在高校管理的各个领域得到应用。教师档案信息管理系统的设计与实现对高等院校的...

    5个月前   
    172    0

    企业文档信息管理系统的设计与实现

    企业文档信息管理系统的设计与实现摘要:随着计算机技术的不断发展,电子档案管理在企业文档信息管理中越来越得到广泛的应用及普及。本文通过对。。。。。的分析,针对。。。。。的问题,提出了。。。。。。...

    4天前   
    33    0

    物流信息系统课程设计报告

    课程设计指导教师评定成绩表项目分值优秀(100>x≥90)良好(90>x≥80)中等(80>x≥70)及格(70>x≥60)不及格(x<60)评分参考标准参考标准参考标准参考标准参考标准学习态...

    1年前   
    369    0

    物流公共信息平台项目投资策划书

    物流公共信息平台项目投资策划书 项目概述项目背景 随着中国加入WTO,中国的经济全球化越来越明显,中国企业由被动竞争逐渐转向了主动竞争,而没...

    2年前   
    804    0

    基于BS的师生课堂交流平台的设计与实现

    基于B/S的师生课堂交流平台的设计与实现是一项系统工程,要想科学、经济、实用地建设好师生课堂交流平台,应该在具备一定理论认识、一定资源的条件、一定师资的前提下,处理好以下几个关系:

    3个月前   
    299    0

    基于BS架构的网络教学平台的设计与实现

    当今是网络信息时代,出现了很多行业都依靠互联网的发展,这就是互联网+的概念。现在中国的网络教育如火如茶,百花齐放,有职业教育,有中小学教育,留学教学,兴趣教育等等,都利用了互联网的便捷性进行着知...

    5个月前   
    144    0

    基于Java EE平台的公交车辆运行监控系统的设计与实现

    随着经济和城市化地高速发展,市民有多种的出行方式,其中最为重要的是公交车出行。城市公交车需求的数量在快速地增长,它每天会产生大量的实时运行数据急需计算机系统做及时的处理。由于公交车的实时情况需要...

    3个月前   
    102    0

    论文基于JAVA的校园商铺平台的设计与实现

    物流的发展非常之快,在互联网购物变成了人民迈向美好生活重要的一步,在短时间内购买到或者订购到自己所需要的商品已经成为网上购物显著的需求。对于全校师生而言,相比较于在大型网站上购物所需要等待的物流...

    10个月前   
    529    0

    基于安卓手机平台的视频播放器的设计与实现毕业设计

    本科毕业设计 题目:基于安卓手机平台的视频播放器的设计与实现 Title:Design and implementation of the Android mobile phone p...

    2年前   
    862    0

    搭建沟通交流平台 实现稽查信息共享

    搭建沟通交流平台   实现稽查信息共享  ――**县地方税务局稽查局加强与国税稽查合作提升执法合力  国地税分设之后,分别建立了各自的稽查体系,对各自管辖内的业务进行稽查管理。稽查职能相同...

    9年前   
    11147    0

    毕业设计管理系统的设计与实现

    毕业设计管理系统的设计与实现 摘 要 随着Internet的飞速发展及互联网的普及,计算机已广泛用于政府、军事、科研、商业等部门,连接到千家万户,利用计算机实现毕业设计管...

    2年前   
    1933    0

    浅析信息传递在信息化战争中的重要性

    浅析信息传递在信息化战争中的重要性                                                 ----以伊拉克战争为例      宋洋        ...

    8年前   
    11568    0

    插画在书籍设计中的重要性

    摘 要我在日常学习和工作的生活中,发现人文社科通识类读物大都用通俗易懂、涵盖广泛、以古喻今的内容及写作方式,较能满足现代大众们的阅读心态与需求。如果在书本中再配有生动、趣味性强的插画,则更容...

    1年前   
    582    0

    泽州职中信息管理系统的设计与实现

    泽州职中学校现在的信息管理是通过excel表格、word文档等办公软件完成的,数据信息量较大,存在繁琐、易错漏的问题,为改善这个问题,设计开发了一套信息管理系统。

    9个月前   
    277    0

    文档贡献者

    夏***子

    贡献于2021-11-24

    下载需要 5 香币 [香币充值 ]
    亲,您也可以通过 分享原创文档 来获得香币奖励!
    下载文档

    该用户的其他文档