【正文】 程中，錄入與提交時(shí)間上發(fā)生在兩個(gè)相分離的階段，在兩階段之間，應(yīng)用系統(tǒng)對(duì)錄入的數(shù)據(jù)進(jìn)行了持久化保存。由于異步交易是被系統(tǒng)分兩階段受理的，這就涉及到以下三個(gè)方面的問題：A． 錄入與提交的關(guān)系管理。B． 如何保證提交的數(shù)據(jù)就是用戶當(dāng)初錄入的數(shù)據(jù)。C． 如何記錄交易在兩階段的日志狀態(tài)。錄入與提交的關(guān)系定義不當(dāng)將會(huì)導(dǎo)致交易錄入與提交被同時(shí)完成而違反了業(yè)務(wù)處理流程，錄入的數(shù)據(jù)被系統(tǒng)保存后有可能遭到非法篡改，非異步交易執(zhí)行后的日志狀態(tài)不會(huì)被更新而異步交易在提交后日志狀態(tài)將會(huì)被更新。應(yīng)用系統(tǒng)中需要定義成異步的交易通常有以下兩類：178。 需要授權(quán)的交易。出于業(yè)務(wù)管理和業(yè)務(wù)安全方面的考慮，大部分管理類和金融類的交易都需要經(jīng)過一定的授權(quán)流程后方能被提交。178。 部分定時(shí)交易，如預(yù)約轉(zhuǎn)賬等。預(yù)約一筆在周三轉(zhuǎn)賬的預(yù)約轉(zhuǎn)賬有可能是周一被錄入的，用戶在錄入后，預(yù)約轉(zhuǎn)賬的數(shù)據(jù)將被網(wǎng)銀系統(tǒng)保存直到周三這筆轉(zhuǎn)賬才會(huì)真正發(fā)生。應(yīng)用系統(tǒng)必須定義簡(jiǎn)單、清晰、易維護(hù)的錄入與提交關(guān)系模型，保證被保存的錄入數(shù)據(jù)不會(huì)被非法篡改，同時(shí)要求異步交易的日志狀態(tài)是明確的，不應(yīng)出現(xiàn)錄入與提交相矛盾的日志狀態(tài)。 交易數(shù)據(jù)不可否認(rèn)性需求交易數(shù)據(jù)不可否認(rèn)性是指應(yīng)用系統(tǒng)的客戶不能否認(rèn)其所簽名的數(shù)據(jù)，客戶對(duì)交易數(shù)據(jù)的簽名是通過應(yīng)用系統(tǒng)使用客戶的數(shù)字證書來完成的。數(shù)字證書的應(yīng)用為交易數(shù)據(jù)不可否認(rèn)性提供了技術(shù)支持，而電子簽名法的頒布為交易數(shù)據(jù)不可否認(rèn)性提供了法律基礎(chǔ)。在應(yīng)用系統(tǒng)中通常要求對(duì)所有管理類與金融類的交易進(jìn)行數(shù)字簽名，以防客戶事后對(duì)交易或交易數(shù)據(jù)的抵賴。應(yīng)用系統(tǒng)需同時(shí)保存客戶錄入的原始數(shù)據(jù)和簽名后的數(shù)據(jù)，保存期限依業(yè)務(wù)部門的具體要求而定?？紤]到系統(tǒng)性能和對(duì)用戶的響應(yīng)問題，應(yīng)用系統(tǒng)可只簽與交易有關(guān)的關(guān)鍵數(shù)據(jù)，支付類的交易只對(duì)付款人賬號(hào)、付款金額、收款人姓名、收款人賬號(hào)、收款人開戶行五個(gè)字段進(jìn)行數(shù)字簽名就可以了。 監(jiān)控與審計(jì)需求安全級(jí)別要求高的應(yīng)用系統(tǒng)應(yīng)提供對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控的功能，監(jiān)控的內(nèi)容包括系統(tǒng)當(dāng)前登錄的用戶、用戶類型、用戶正在訪問的交易、用戶登錄的IP等。對(duì)金融類、管理類的交易以及應(yīng)用系統(tǒng)登錄交易需要完整地記錄用戶的訪問過程，記錄的關(guān)鍵元素包括：用戶登錄名、登錄IP、交易日期及時(shí)間、交易名稱、交易相關(guān)數(shù)據(jù)等，對(duì)有授權(quán)流程的交易要求完整記錄授權(quán)的經(jīng)過，授權(quán)記錄與交易記錄分開存放。 其它安全需求 登錄控制需求登錄通常是應(yīng)用系統(tǒng)的關(guān)鍵交易，系統(tǒng)通過登錄交易對(duì)用戶身份進(jìn)行認(rèn)證。針對(duì)不同角色的用戶指定不同的登錄策略：178。 最小權(quán)限集用戶，可使用用戶登錄名+靜態(tài)登錄密碼+圖形識(shí)別碼方式登錄。低安全性。178。 普通權(quán)限集用戶，可使用用戶登錄名+動(dòng)態(tài)登錄密碼+數(shù)圖形識(shí)別碼方式登錄。178。 高權(quán)限集用戶，可使用用戶登錄名+數(shù)字證書+靜態(tài)密碼+數(shù)圖形識(shí)別碼方式登錄。178。 所有權(quán)限集用戶，可使用用戶登錄名+數(shù)字證書+動(dòng)態(tài)密碼+數(shù)圖形識(shí)別碼方式登錄。應(yīng)用系統(tǒng)可提供客戶端加密控件對(duì)用戶輸入的密碼域進(jìn)行加密處理后再提交。連續(xù)登錄多次失敗的用戶，其IP將被應(yīng)用系統(tǒng)鎖定，24小時(shí)后系統(tǒng)將自動(dòng)對(duì)鎖定的IP進(jìn)行解鎖。這里登錄失敗的次數(shù)和IP鎖定時(shí)長根據(jù)業(yè)務(wù)需求說明應(yīng)由配置文件進(jìn)行設(shè)定。對(duì)于首次登錄系統(tǒng)的用戶，系統(tǒng)將強(qiáng)制定位到修改密碼的頁面，要求用戶修改初始密碼重新登錄方可使用系統(tǒng)。對(duì)于密碼類型和長度，系統(tǒng)將規(guī)則檢查。對(duì)于成功登錄的用戶，應(yīng)用系統(tǒng)自動(dòng)清除其連續(xù)登錄失敗的次數(shù)，同時(shí)初始化用戶的相關(guān)數(shù)據(jù)并同時(shí)對(duì)登錄數(shù)據(jù)進(jìn)行記錄，以備審計(jì)。 會(huì)話控制需求通過應(yīng)用服務(wù)器自身的會(huì)話管理或應(yīng)用程序的會(huì)話管理都可以控制會(huì)話的時(shí)長設(shè)定，設(shè)置過久的會(huì)話將給客戶端帶來安全風(fēng)險(xiǎn)，而設(shè)置過短則影響用戶的正常使用。該機(jī)制使在應(yīng)用層無狀態(tài)的HTTP/HTTPS協(xié)議，能夠支持需要狀態(tài)記錄的互聯(lián)網(wǎng)應(yīng)用，實(shí)現(xiàn)用戶登錄后在新的狀態(tài)下從事交易、超時(shí)斷路等功能。 被訪問對(duì)象控制需求應(yīng)用系統(tǒng)對(duì)用戶的關(guān)鍵資源或信息，提供操作權(quán)限設(shè)置支持，權(quán)限分為：查詢和更新兩類。權(quán)限為查詢的資源或信息只能對(duì)其進(jìn)行查詢操作，不能進(jìn)行更新。資源權(quán)限由開戶時(shí)指定，為加強(qiáng)安全性，權(quán)限分配可通過落地處理開通。 交易提醒需求交易提醒是指將客戶的賬號(hào)與客戶手機(jī)號(hào)、電子郵件等關(guān)聯(lián)起來，當(dāng)客戶信息發(fā)生變動(dòng)時(shí)，向客戶的手機(jī)發(fā)送一條短信或電話通知或發(fā)送一封電子郵件，及時(shí)準(zhǔn)確的告知客戶。另通過通知提醒功能，系統(tǒng)應(yīng)定期向用戶發(fā)送統(tǒng)計(jì)、明細(xì)、確認(rèn)等信息。第三章 應(yīng)用系統(tǒng)安全的總體解決方案 安全技術(shù)安全技術(shù)是安全子系統(tǒng)的理論基礎(chǔ)，安全子系統(tǒng)中主要涉及的安全技術(shù)包括：密碼技術(shù)、PKI技術(shù)體系、一次性口令技術(shù)等，另外考慮到目前實(shí)際應(yīng)用中，大部分WEB應(yīng)用系統(tǒng)是基于J2EE平臺(tái)的，J2EE平臺(tái)本身也對(duì)系統(tǒng)安全提供了較多內(nèi)置的支持，如JAAS技術(shù)等，所以本章中對(duì)于J2EE平臺(tái)的安全技術(shù)特性也有少量的討論。 密碼技術(shù)密碼技術(shù)是保護(hù)信息系統(tǒng)安全的基礎(chǔ)技術(shù)之一，密碼技術(shù)可以保證數(shù)據(jù)的保密性和完整性，同時(shí)它還具有身份認(rèn)證和數(shù)字簽名的功能。從密碼體制方面來說，密碼技術(shù)可分為對(duì)稱密鑰密碼技術(shù)和非對(duì)稱密鑰密碼技術(shù)兩大類。在應(yīng)用系統(tǒng)中常用的密碼技術(shù)主要有以下幾種：A．加密解密技術(shù)加密（Encryption）就是指通過特定的加密算法對(duì)數(shù)據(jù)進(jìn)行變換，將明文（Plaintext）轉(zhuǎn)換成密文（Cryptograph）；解密（Decryption）是加密的逆過程，解密的過程就是將密文還原為明文。設(shè)明文為P，密文為C，E為加密算法，D為解密算法，則加密解密的過程可以記為： ()上述的加密與解密過程沒有使用到密鑰，通常稱之為無密鑰密碼體制。無密鑰密碼主要依靠加密算法提供保密性，在應(yīng)用系統(tǒng)中這種密碼很少用到，主要使用還是有密鑰的密碼體制，在有密鑰的密碼體制中，密文的保密性依賴于密鑰而不依賴于算法，算法可以公開。其中，只有一個(gè)密鑰K的密碼體制稱為單鑰體制（Onekey System），又稱對(duì)稱加密體制（Symmetrical Encryption）；有加密密鑰KE和解密密鑰KD兩個(gè)密鑰的密碼體制稱為雙鑰體制（Twokey System），又稱非對(duì)稱加密體制（Dissymmetrical Encryption），有時(shí)也叫公開密鑰算法（Public Key Algorithm)。應(yīng)用系統(tǒng)中經(jīng)常使用最廣泛的對(duì)稱加密算法是DES算法 (Data Encryption Standard)，非對(duì)稱加密算法是RSA算法（Receive，Shamir，Adelman）。單鑰體制的加密解密過程可以記為： ()上式用圖示可以表示為：明文密文明文加密密鑰K解密密鑰K圖5 單鑰體制加密解密過程圖雙鑰體制的加密解密過程可以記為： ()上式用圖示可以表示為： 明文密文明文加密密鑰KE解密密鑰KD圖6 雙鑰體制加密解密過程圖還有一種應(yīng)用系統(tǒng)中經(jīng)常用到的加密技術(shù)是數(shù)據(jù)摘要，數(shù)據(jù)摘要就是應(yīng)用單向散列函數(shù)算法，將輸入的任意長度明文變換成固定長度的密文，而將此密文再轉(zhuǎn)換成明文在數(shù)學(xué)上來說是困難的。應(yīng)用系統(tǒng)中應(yīng)用最廣泛的數(shù)據(jù)摘要算法主要有MD5和SHA兩種，MD5輸出壓縮值為128bits，SHA輸出壓縮值為160bits。設(shè)Hash表示單向散列函數(shù)，則數(shù)據(jù)摘要的過程可以記為： ()上式用圖示可以