楊靜雅，孫林夫,吳奇石

(1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院，四川 成都 610031；2.西南交通大學(xué) CAD工程中心，四川 成都 610031)

0 引言

汽車產(chǎn)業(yè)鏈圍繞汽車生產(chǎn)、銷售、售后服務(wù)及零部件供應(yīng)等活動(dòng)，形成了一個(gè)以整車制造廠、經(jīng)銷商、服務(wù)商、配件供應(yīng)商等企業(yè)為節(jié)點(diǎn)的供應(yīng)鏈。信息技術(shù)的不斷發(fā)展使供應(yīng)鏈企業(yè)間由個(gè)體競(jìng)爭(zhēng)發(fā)展為基于供應(yīng)鏈的整體競(jìng)爭(zhēng)，各節(jié)點(diǎn)企業(yè)間的相互配合、協(xié)作經(jīng)營(yíng)對(duì)供應(yīng)鏈的發(fā)展至關(guān)重要[1]。在汽車產(chǎn)業(yè)鏈的售后服務(wù)環(huán)節(jié)中，各服務(wù)商、二級(jí)中心庫(kù)實(shí)際配件庫(kù)存信息的實(shí)時(shí)共享，可以加快整車制造廠配件中心(以下簡(jiǎn)稱配件中心)審核配件訂單的速度，提高配件中心制定庫(kù)存計(jì)劃和調(diào)撥決策的效率，從而改善售后服務(wù)質(zhì)量，降低庫(kù)存成本，實(shí)現(xiàn)汽車產(chǎn)業(yè)鏈產(chǎn)業(yè)價(jià)值的最大化。

為滿足售后服務(wù)環(huán)節(jié)配件信息實(shí)時(shí)共享的需求，楊靜雅等[1]基于支持企業(yè)間業(yè)務(wù)協(xié)同的軟件即服務(wù)(Software-as-a-Service, SaaS)平臺(tái)，提出面向SaaS平臺(tái)的多源異構(gòu)配件庫(kù)存信息動(dòng)態(tài)集成模型、驅(qū)動(dòng)算法及關(guān)鍵技術(shù)。然而，該模型和算法缺乏對(duì)配件信息集成過(guò)程中安全問(wèn)題[2-5]的研究，如注冊(cè)數(shù)據(jù)向SaaS平臺(tái)的傳輸安全、在平臺(tái)的存儲(chǔ)和調(diào)用安全，以及配件庫(kù)存信息Web服務(wù)的傳輸安全等，特別是對(duì)基于開放網(wǎng)絡(luò)運(yùn)行且由第三方軟件運(yùn)營(yíng)商搭建和維護(hù)的SaaS平臺(tái)而言，安全問(wèn)題尤為重要，上述安全問(wèn)題一旦出現(xiàn)，可能導(dǎo)致企業(yè)日常業(yè)務(wù)活動(dòng)受阻、庫(kù)存計(jì)劃或決策失效、配件管理工作混亂等。

近年來(lái)，國(guó)內(nèi)外已有不少學(xué)者對(duì)SaaS平臺(tái)的應(yīng)用安全進(jìn)行了研究，如基于平臺(tái)的身份認(rèn)證[6-8]、基于平臺(tái)的傳輸和存儲(chǔ)安全[9-13]、基于平臺(tái)的訪問(wèn)控制[14-15]等。張秀芹等[10]以加密鎖為核心對(duì)服務(wù)請(qǐng)求者進(jìn)行身份認(rèn)證，采用基于簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(Simple Object Access Protocol, SOAP)擴(kuò)展的數(shù)據(jù)傳輸安全技術(shù)，實(shí)現(xiàn)了服務(wù)請(qǐng)求者的身份認(rèn)證和數(shù)據(jù)傳輸安全，然而文獻(xiàn)描述較籠統(tǒng)，沒有詳細(xì)給出可擴(kuò)展標(biāo)記語(yǔ)言(eXtensible Markup Language, XML)加密的方案，而且設(shè)計(jì)的基于加密鎖的身份認(rèn)證方法成本高、使用不方便。陳靜等[11]設(shè)計(jì)了SaaS平臺(tái)的數(shù)據(jù)安全解決方案，采用非對(duì)稱加密技術(shù)、Web服務(wù)技術(shù)、Hash技術(shù)和數(shù)字簽名技術(shù)實(shí)現(xiàn)了企業(yè)數(shù)據(jù)的傳輸安全、存儲(chǔ)安全和發(fā)送的不可抵賴性；肖慶等[12]提出協(xié)作企業(yè)業(yè)務(wù)數(shù)據(jù)加密和提交算法以及基于業(yè)務(wù)數(shù)據(jù)查詢的解密算法，實(shí)現(xiàn)了數(shù)據(jù)的傳輸和存儲(chǔ)安全；余洋等[13]提出面向產(chǎn)業(yè)鏈協(xié)同SaaS平臺(tái)的數(shù)據(jù)安全模型，分別利用消息摘要、密鑰交換、對(duì)稱加密算法和數(shù)據(jù)庫(kù)提供的透明數(shù)據(jù)加密(Transparent Data Encryption,TDE)算法實(shí)現(xiàn)了數(shù)據(jù)的安全傳輸與存儲(chǔ)。然而，文獻(xiàn)[11-13]均只研究了基于SaaS平臺(tái)的業(yè)務(wù)單據(jù)數(shù)據(jù)安全問(wèn)題，沒有涉及基于XML的Web服務(wù)數(shù)據(jù)安全問(wèn)題，因此也沒有對(duì)基于SaaS平臺(tái)的Web服務(wù)數(shù)據(jù)安全進(jìn)行研究，而本文的部分研究?jī)?nèi)容則是Web服務(wù)傳輸?shù)陌踩珕?wèn)題。

在Web服務(wù)傳輸安全方面，網(wǎng)絡(luò)服務(wù)(Web Service, WS)安全標(biāo)準(zhǔn)[16-19]有兩種實(shí)現(xiàn)方案：①面向連接的安全方案，如安全套接層(Secure Sockets Layer, SSL)、網(wǎng)際協(xié)議安全(Internet Protocol Security, IPSec)；②基于XML加密和XML簽名的方案。然而，面向連接的方案只保證信息傳輸過(guò)程的安全性，并未考慮端點(diǎn)處的安全，與本文的安全要求不符；其次，WS安全標(biāo)準(zhǔn)中的XML信息由對(duì)稱密鑰加密，而本文只對(duì)配件庫(kù)存XML信息中的敏感字段加密，加密數(shù)據(jù)量小，又考慮到密鑰管理的難度，因此采用非對(duì)稱加密技術(shù)對(duì)配件庫(kù)存XML信息的敏感字段進(jìn)行加密；另外，本文的協(xié)作企業(yè)配件庫(kù)存信息Web服務(wù)并非為協(xié)作企業(yè)端主動(dòng)提交傳輸，而是由平臺(tái)查詢操作驅(qū)動(dòng)、調(diào)用事件觸發(fā)的自動(dòng)傳輸，不需要防范協(xié)作企業(yè)抵賴，因此不需進(jìn)行數(shù)字簽名，只要計(jì)算消息摘要保證傳輸完整即可。

SaaS平臺(tái)以企業(yè)聯(lián)盟為單位獨(dú)立運(yùn)營(yíng)，鑒于本文研究的實(shí)際業(yè)務(wù)內(nèi)容——“查詢聯(lián)盟內(nèi)各協(xié)作企業(yè)實(shí)時(shí)配件庫(kù)存信息”的安全級(jí)別要求：①通過(guò)平臺(tái)身份驗(yàn)證的企業(yè)用戶均可向平臺(tái)私有統(tǒng)一描述、發(fā)現(xiàn)和集成(Universal Description, Discovery and Integration, UDDI)中心注冊(cè)配件庫(kù)存信息Web服務(wù)；②通過(guò)平臺(tái)身份驗(yàn)證和盟主企業(yè)授權(quán)的用戶查詢事件均可調(diào)用該聯(lián)盟內(nèi)所有協(xié)作企業(yè)的配件庫(kù)存信息Web服務(wù)，而且平臺(tái)的身份驗(yàn)證機(jī)制和盟主企業(yè)對(duì)合法用戶的授權(quán)機(jī)制已有相應(yīng)研究[20]和規(guī)范，本文不再單獨(dú)設(shè)計(jì)Web服務(wù)的注冊(cè)身份驗(yàn)證和調(diào)用訪問(wèn)控制，而與其他注冊(cè)信息一起統(tǒng)籌考慮。

綜上分析，本文基于文獻(xiàn)[1]的集成方案，對(duì)注冊(cè)信息的安全設(shè)計(jì)要考慮其既不被抵賴，又能夠安全傳輸和存儲(chǔ)，因此采用面向消息的加密思想，參考文獻(xiàn)[10-13]的安全解決方案，提出注冊(cè)信息安全提交和安全存儲(chǔ)算法以及安全調(diào)用策略；通過(guò)比較WS標(biāo)準(zhǔn)傳輸方案，并分析本文研究的協(xié)作企業(yè)配件庫(kù)存信息Web服務(wù)集成的特點(diǎn)，提出配件庫(kù)存信息安全傳輸算法。

1 汽車產(chǎn)業(yè)鏈協(xié)同SaaS平臺(tái)多源配件信息安全集成需求

1.1 汽車產(chǎn)業(yè)鏈協(xié)同SaaS平臺(tái)多源配件信息集成方案[1]

在售后服務(wù)配件協(xié)同供應(yīng)環(huán)節(jié)，圍繞SaaS平臺(tái)存在以整車制造廠為盟主企業(yè)，以服務(wù)商、二級(jí)中心庫(kù)為協(xié)作企業(yè)的多個(gè)企業(yè)聯(lián)盟。各服務(wù)商、二級(jí)中心庫(kù)遍布全國(guó)甚至世界各地，按其所屬區(qū)域劃分為不同的片區(qū)；各聯(lián)盟獨(dú)立運(yùn)營(yíng)，整車制造廠配件中心業(yè)務(wù)員通過(guò)平臺(tái)可以查詢各服務(wù)商、二級(jí)中心庫(kù)的實(shí)時(shí)配件庫(kù)存，以審核配件訂單并制定配件補(bǔ)給決策。具體實(shí)現(xiàn)過(guò)程如圖1所示。

各協(xié)作企業(yè)將其配件庫(kù)存信息調(diào)用入口(Web服務(wù)地址)注冊(cè)到平臺(tái)私有UDDI中心，注冊(cè)是集成實(shí)現(xiàn)的前提，注冊(cè)時(shí)提交的信息項(xiàng)(簡(jiǎn)稱注冊(cè)信息)如表1所示。當(dāng)某協(xié)作企業(yè)向SaaS平臺(tái)提交配件訂單申請(qǐng)后，其所屬盟主企業(yè)配件中心業(yè)務(wù)員查詢?cè)搮f(xié)作企業(yè)及聯(lián)盟內(nèi)其他各協(xié)作企業(yè)的配件庫(kù)存，以審核配件訂單并制定配件補(bǔ)給決策。查詢操作事件觸發(fā)調(diào)用平臺(tái)私有UDDI注冊(cè)中心配件庫(kù)存信息的Web服務(wù)地址，將各地配件庫(kù)存信息動(dòng)態(tài)集成到SaaS平臺(tái)；同時(shí)，該調(diào)用觸發(fā)數(shù)據(jù)庫(kù)同步事件，以保證所集成的信息實(shí)時(shí)準(zhǔn)確。向SaaS平臺(tái)集成的協(xié)作企業(yè)的配件庫(kù)存信息關(guān)鍵屬性如表2所示。

表1 協(xié)作企業(yè)向平臺(tái)注冊(cè)時(shí)提交的信息項(xiàng)

表2 向平臺(tái)集成的配件庫(kù)存信息關(guān)鍵屬性

1.2 多源配件信息集成的安全需求

由1.1節(jié)的多源配件信息集成方案可知，其整個(gè)過(guò)程包括注冊(cè)信息的提交、存儲(chǔ)和調(diào)用，以及配件庫(kù)存信息的集成傳輸，在這幾個(gè)環(huán)節(jié)中，若注冊(cè)信息或配件庫(kù)存信息在傳輸過(guò)程中被截獲篡改，注冊(cè)信息在存儲(chǔ)過(guò)程中被泄露或被非法調(diào)用，則將給平臺(tái)應(yīng)用帶來(lái)安全隱患。具體的安全需求分析如下：

(1)向平臺(tái)注冊(cè)信息的企業(yè)身份認(rèn)證，要求：①只有通過(guò)身份認(rèn)證的企業(yè)才可以向平臺(tái)注冊(cè)信息；②企業(yè)對(duì)注冊(cè)的信息具有不可抵賴性。若企業(yè)無(wú)約束地向平臺(tái)注冊(cè)信息，則可能出現(xiàn)UDDI中心服務(wù)器負(fù)荷過(guò)重或注冊(cè)惡意鏈接。

(2)注冊(cè)信息向平臺(tái)注冊(cè)傳輸過(guò)程中，以及配件庫(kù)存信息向平臺(tái)集成傳輸過(guò)程中，若注冊(cè)信息或配件庫(kù)存信息被攻擊者截獲訪問(wèn)，則可能造成企業(yè)配件庫(kù)存信息泄露，影響企業(yè)制定配件庫(kù)存計(jì)劃；若注冊(cè)信息或配件庫(kù)存信息被篡改，則可能導(dǎo)致合法用戶因訪問(wèn)到惡意鏈接而遭受攻擊，或者訪問(wèn)到錯(cuò)誤的配件庫(kù)存信息而制定錯(cuò)誤的配件決策。

(3)注冊(cè)信息在平臺(tái)私有UDDI注冊(cè)中心存儲(chǔ)過(guò)程中，由于注冊(cè)信息存儲(chǔ)在第三方運(yùn)營(yíng)商數(shù)據(jù)中心，若注冊(cè)信息被泄露或篡改，則可能影響企業(yè)的配件庫(kù)存決策。

(4)注冊(cè)信息在調(diào)用工程中，若Web服務(wù)地址被非法訪問(wèn)，例如聯(lián)盟A企業(yè)業(yè)務(wù)員的查詢事件調(diào)用了聯(lián)盟B企業(yè)的Web服務(wù)地址，非法訪問(wèn)了聯(lián)盟B企業(yè)的配件信息，則可能為聯(lián)盟A企業(yè)制定生產(chǎn)計(jì)劃與調(diào)配庫(kù)存帶來(lái)便利，但卻損害了聯(lián)盟B企業(yè)的利益。

2 汽車產(chǎn)業(yè)鏈協(xié)同SaaS平臺(tái)多源配件信息動(dòng)態(tài)集成安全方案

2.1 SaaS平臺(tái)多源配件信息動(dòng)態(tài)集成安全模型

為滿足1.2節(jié)中分析的多源配件信息集成過(guò)程中的安全需求，建立如圖2所示的SaaS平臺(tái)多源配件信息動(dòng)態(tài)集成安全模型。該模型主要由注冊(cè)信息安全提交模塊、注冊(cè)信息安全存儲(chǔ)模塊、注冊(cè)信息安全調(diào)用模塊和配件庫(kù)存信息安全集成傳輸模塊構(gòu)成。

(1)為保證注冊(cè)信息的安全提交，SaaS平臺(tái)客戶端和服務(wù)器端分別對(duì)注冊(cè)信息進(jìn)行非對(duì)稱加密、安全數(shù)字簽名和安全簽名驗(yàn)證。數(shù)字簽名由數(shù)字摘要技術(shù)(又稱消息摘要技術(shù))和非對(duì)稱密鑰加密技術(shù)構(gòu)成。

(2)為保證注冊(cè)信息在平臺(tái)私有UDDI中心的存儲(chǔ)安全，分別采用非對(duì)稱加密、數(shù)字摘要技術(shù)，以及存儲(chǔ)完整性驗(yàn)證和非對(duì)稱解密算法實(shí)現(xiàn)。

(3)采用基于屬性和角色權(quán)限(用戶所屬聯(lián)盟)的策略，控制企業(yè)用戶的查詢事件調(diào)用注冊(cè)信息中的Web服務(wù)地址。

(4)為保證配件庫(kù)存信息向平臺(tái)集成傳輸過(guò)程中的完整性和保密性，采用非對(duì)稱加密技術(shù)(加密敏感字段，數(shù)據(jù)量小)保證傳輸?shù)谋Ｃ苄裕捎脭?shù)字摘要技術(shù)保證傳輸?shù)耐暾浴?/p>

(5)為保證安全方案順利執(zhí)行，需要對(duì)密鑰進(jìn)行合理分配。平臺(tái)的密鑰管理服務(wù)器用密鑰生成工具為平臺(tái)和每個(gè)已授權(quán)企業(yè)(包括盟主企業(yè)和協(xié)作企業(yè))用戶分配唯一的公、私密鑰對(duì)。平臺(tái)運(yùn)營(yíng)商向某權(quán)威認(rèn)證中心申請(qǐng)包括平臺(tái)公鑰的數(shù)字證書，并將證書向已授權(quán)企業(yè)用戶公開。平臺(tái)密鑰管理服務(wù)器存儲(chǔ)平臺(tái)私鑰，以及盟主企業(yè)和協(xié)作企業(yè)用戶的公鑰，盟主企業(yè)和協(xié)作企業(yè)用戶保管各自的私鑰。平臺(tái)密鑰管理服務(wù)器不允許平臺(tái)開發(fā)人員和運(yùn)營(yíng)人員訪問(wèn)，只有接收到平臺(tái)服務(wù)器請(qǐng)求才會(huì)返回相應(yīng)的密鑰。

2.2 模型對(duì)象的數(shù)學(xué)描述

為了便于描述，先對(duì)模型涉及的對(duì)象進(jìn)行定義。

定義1設(shè)U為SaaS平臺(tái)售后服務(wù)配件協(xié)同供應(yīng)環(huán)節(jié)中的任意一個(gè)企業(yè)聯(lián)盟，EU={E1,E2,…,En}為聯(lián)盟U中的企業(yè)集，對(duì)?Ex∈EU，Ex=(ExID,ExINF)，其中：ExID為企業(yè)在平臺(tái)的唯一標(biāo)識(shí)；ExINF為企業(yè)在平臺(tái)的基本信息。

本文將聯(lián)盟中的盟主企業(yè)和協(xié)作企業(yè)分別用Ec和E簡(jiǎn)化表示。

定義2協(xié)作企業(yè)E的注冊(cè)信息由二元組Mweb=(E,Addrweb)表示，其中：E=(EID,EINF)；Addrweb為E的配件庫(kù)存信息Web服務(wù)地址。

定義3協(xié)作企業(yè)的配件庫(kù)存信息用partInf表示，partInf包含敏感字段(如單價(jià)、數(shù)量)。

定義4用DA表示計(jì)算摘要的算法，DA(Mweb)表示對(duì)注冊(cè)信息Mweb計(jì)算摘要生成的結(jié)果。

定義5用AED表示非對(duì)稱加密，可以抽象定義為一個(gè)四元組AED=(AE,AD,PU,PR)，其中：AE和AD分別表示非對(duì)稱加密AED的加密和解密操作；PU和PR為公、私密鑰對(duì)；AE(Mweb,PU)表示用公鑰PU對(duì)Mweb加密，加密結(jié)果為AE(Mweb)。

本文設(shè)定平臺(tái)的公私密鑰對(duì)為PUS，PRS，盟主企業(yè)和協(xié)作企業(yè)的公私密鑰對(duì)分別為PUEc，PREc和PUE，PRE。

定義6基于屬性和角色權(quán)限的注冊(cè)信息調(diào)用Inv，用一個(gè)三元組Inv=(EID,encryInf,User)表示，其中：encryInf表示在平臺(tái)存儲(chǔ)的已加密的注冊(cè)信息；User=(U,R)表示企業(yè)用戶，U為用戶所屬的聯(lián)盟，R為用戶的角色，R==er表示用戶為配件中心業(yè)務(wù)員，其查詢請(qǐng)求事件有權(quán)調(diào)用所屬聯(lián)盟內(nèi)所有協(xié)作企業(yè)的注冊(cè)信息。

若滿足(R==er)&&(UUser==UEID)，則User的查詢請(qǐng)求事件可以調(diào)用encryInf，調(diào)用觸發(fā)對(duì)encryInf的解密與存儲(chǔ)安全驗(yàn)證操作。

2.3 集成安全模型算法

2.3.1 注冊(cè)信息安全提交算法

注冊(cè)信息安全提交過(guò)程如圖3所示，算法描述如下：

算法1注冊(cè)信息安全提交算法。

輸入：注冊(cè)信息Mweb(包括協(xié)作企業(yè)E的標(biāo)識(shí)EID)，E的公鑰PUE和私鑰PRE，平臺(tái)的公鑰PUS和私鑰PRS。

輸出：S_DA(Mweb)||AE(Mweb)||EID。

步驟1協(xié)作企業(yè)E登錄平臺(tái)，填寫注冊(cè)信息Mweb，點(diǎn)擊提交。

步驟2平臺(tái)客戶端注冊(cè)機(jī)制regi_C調(diào)用平臺(tái)的公鑰PUS，對(duì)Mweb執(zhí)行非對(duì)稱加密算法AE(Mweb,PUS)，生成AE(Mweb)。

步驟3regi_C計(jì)算Mweb的摘要，生成DA(Mweb)。

步驟4E提供私鑰PRE，regi_C執(zhí)行AE(DA(Mweb),PRE)，生成E的簽名SigE。

步驟5regi_C將SigE||AE(Mweb)||EID封裝成數(shù)據(jù)包，并將數(shù)據(jù)包發(fā)送給平臺(tái)服務(wù)器端。

步驟6平臺(tái)服務(wù)器端注冊(cè)控制機(jī)制regi_S向密鑰管理服務(wù)器請(qǐng)求平臺(tái)私鑰PRS，并發(fā)送EID請(qǐng)求協(xié)作企業(yè)E的公鑰PUE，密鑰管理服務(wù)器返回PRS和PUE。

步驟7regi_S執(zhí)行AD(SigE,PUE)得到E_DA(Mweb)。

步驟8regi_S用PRS解密AE(Mweb)，得到Mweb，并用相同的消息摘要計(jì)算方法計(jì)算Mweb的摘要，得到S_DA(Mweb)。

步驟9regi_S驗(yàn)證S_DA(Mweb)和E_DA(Mweb)是否一致，是則執(zhí)行步驟10，否則提示并退出。

步驟10regi_S調(diào)用平臺(tái)公鑰PUS加密Mweb生成AE(Mweb)。

步驟11regi_S將S_DA(Mweb)||AE(Mweb)||EID提交平臺(tái)私有UDDI注冊(cè)中心。

注冊(cè)信息安全提交算法3次運(yùn)用了非對(duì)稱加密技術(shù)，兩次用于加密注冊(cè)信息，分別保證注冊(cè)信息在傳輸和存儲(chǔ)過(guò)程中的保密性；一次用于對(duì)注冊(cè)信息進(jìn)行數(shù)字簽名，數(shù)字簽名既保證了注冊(cè)企業(yè)身份的合法性和不可抵賴性，也保證了注冊(cè)信息傳輸過(guò)程中的完整性。最后，為驗(yàn)證AE(Mweb)在平臺(tái)存儲(chǔ)過(guò)程中的完整性，將Mweb的摘要也一并存入數(shù)據(jù)中心。

2.3.2 注冊(cè)信息存儲(chǔ)安全的實(shí)現(xiàn)

注冊(cè)信息存儲(chǔ)安全包括存儲(chǔ)保密性和存儲(chǔ)完整性。2.3.1節(jié)用平臺(tái)公鑰對(duì)注冊(cè)信息加密，將密文存儲(chǔ)于平臺(tái)私有UDDI中心，只有通過(guò)平臺(tái)服務(wù)器調(diào)用平臺(tái)私鑰才能解密訪問(wèn)明文，從而保證了注冊(cè)信息的存儲(chǔ)保密性。本節(jié)通過(guò)算法來(lái)保證注冊(cè)信息在平臺(tái)的存儲(chǔ)完整性，過(guò)程如圖4所示，算法描述如算法2所示。

企業(yè)用戶查詢配件庫(kù)存信息，查詢操作驅(qū)動(dòng)調(diào)用注冊(cè)信息，調(diào)用事件驅(qū)動(dòng)對(duì)注冊(cè)信息的解密和存儲(chǔ)完整性進(jìn)行驗(yàn)證。

算法2解密算法和存儲(chǔ)完整性驗(yàn)證算法。

輸入：S_DA(Mweb)||AE(Mweb)。

輸出：Mweb。

步驟1平臺(tái)服務(wù)器請(qǐng)求平臺(tái)私鑰PRS，密鑰管理服務(wù)器返回PRS。

步驟2平臺(tái)服務(wù)器端調(diào)用控制機(jī)制call_S執(zhí)行解密算法AD(Mweb,PRS)，得到Mweb。

步驟3call_S計(jì)算Mweb的摘要，生成DA(Mweb)。

步驟4call_S驗(yàn)證S_DA(Mweb)和DA(Mweb)是否一致，是則執(zhí)行步驟5，否則提示并退出。

步驟5call_S判斷AE(Mweb)保持了存儲(chǔ)完整性，并輸出Mweb。

2.3.3 配件庫(kù)存信息傳輸安全的實(shí)現(xiàn)

由算法2得到Mweb，call_S繼續(xù)訪問(wèn)Mweb中的Addrweb，觸發(fā)各地配件庫(kù)存信息向平臺(tái)集成，集成時(shí)配件庫(kù)存信息以XML格式傳輸，其安全傳輸過(guò)程如圖5所示，算法描述如算法3所示。

算法3配件庫(kù)存信息安全傳輸算法。

輸入：配件庫(kù)存信息partInf，協(xié)作企業(yè)E，E的公鑰PUE和私鑰PRE，E所屬聯(lián)盟盟主企業(yè)的公鑰PUEc和私鑰PREc。

輸出：partInf。

步驟1協(xié)作企業(yè)E端的集成機(jī)制integ_E調(diào)用E所屬聯(lián)盟盟主企業(yè)的公鑰PUEc，對(duì)partInf的敏感字段執(zhí)行非對(duì)稱加密算法AE(partInf′,PUEc),生成AE(partInf′)。

步驟2integ_E計(jì)算partInf的摘要，生成DA(partInf)。

步驟3integ_E將DA(partInf)||AE(partInf′)封裝成數(shù)據(jù)包，將其發(fā)送給平臺(tái)客戶端。

步驟4平臺(tái)客戶端集成機(jī)制integ_S提示查詢用戶輸入密鑰(盟主企業(yè)私鑰PREc)，用PREc對(duì)AE(partInf′)執(zhí)行解密操作，得到partInf。

步驟5integ_S用與協(xié)作企業(yè)端相同的消息摘要算法計(jì)算partInf的摘要，得到S_DA(partInf)。

步驟6integ_S驗(yàn)證DA(partInf)和S_DA(partInf)是否一致，是則執(zhí)行步驟7，否則提示并退出。

步驟7integ_S向用戶展示配件庫(kù)存信息明文。

3 汽車產(chǎn)業(yè)鏈協(xié)同SaaS平臺(tái)配件信息集成安全模型的安全性和可行性分析

3.1 安全性分析

本文提出的安全模型的安全性主要體現(xiàn)在以下方面：

(1)注冊(cè)企業(yè)的不可抵賴性 平臺(tái)客戶端用注冊(cè)企業(yè)私鑰進(jìn)行的數(shù)字簽名和平臺(tái)服務(wù)器端用注冊(cè)企業(yè)公鑰進(jìn)行的數(shù)字簽名驗(yàn)證保證了注冊(cè)企業(yè)的不可抵賴性。

(2)注冊(cè)信息的傳輸安全性 假設(shè)經(jīng)數(shù)字簽名和加密后的協(xié)作企業(yè)注冊(cè)信息在向平臺(tái)服務(wù)器端傳輸時(shí)被攻擊者X截獲篡改并重放。首先，攻擊者X沒有平臺(tái)的私鑰，不能解密出明文，保證了注冊(cè)信息的傳輸保密性；其次，不論X篡改的是截獲數(shù)據(jù)包的哪部分，平臺(tái)簽名驗(yàn)證注冊(cè)信息時(shí)，都會(huì)判斷為不一致而丟棄數(shù)據(jù)包(消息摘要算法的雪崩效應(yīng))，保證了注冊(cè)信息的傳輸完整性，如圖6所示。

(3)注冊(cè)信息的存儲(chǔ)安全性 協(xié)作企業(yè)的注冊(cè)信息以密文的形式與其消息摘要一起存儲(chǔ)在平臺(tái)私有UDDI中心。攻擊者X在竊取密文后，因沒有平臺(tái)私鑰而無(wú)法解密出明文，合法查詢請(qǐng)求事件則會(huì)觸發(fā)平臺(tái)端調(diào)用控制機(jī)制執(zhí)行注冊(cè)信息解密算法得到明文，從而保證了注冊(cè)信息的存儲(chǔ)保密性。若攻擊者X篡改了密文，則平臺(tái)端調(diào)用控制機(jī)制執(zhí)行存儲(chǔ)完整性驗(yàn)證算法將因校驗(yàn)不一致而丟棄數(shù)據(jù)包，從而保證了注冊(cè)信息的存儲(chǔ)完整性。

(4)配件庫(kù)存信息的傳輸安全性 類似(3)的分析，協(xié)作企業(yè)端集成機(jī)制和平臺(tái)端集成機(jī)制的加解密算法保證了配件庫(kù)存信息的傳輸保密性，消息摘要算法和消息摘要驗(yàn)證算法保證了傳輸完整性。圖7所示為某聯(lián)盟協(xié)作企業(yè)中“刮雨器電機(jī)帶支架總成”庫(kù)存未解密的展示數(shù)據(jù)(加密字段為“單價(jià)”和“數(shù)量”)，以及用輸入的盟主企業(yè)私鑰解密后的展示數(shù)據(jù)。

3.2 可行性分析

本文提出的安全解決方案可以概括為協(xié)作企業(yè)注冊(cè)信息的安全提交和協(xié)作企業(yè)配件庫(kù)存信息的安全集成兩個(gè)環(huán)節(jié)。待加密數(shù)據(jù)包括協(xié)作企業(yè)注冊(cè)信息和協(xié)作企業(yè)配件庫(kù)存信息敏感字段兩部分，兩部分的數(shù)據(jù)量都不大?？紤]到密鑰管理的難度，本文采用非對(duì)稱加密技術(shù)加密數(shù)據(jù)，并選擇非對(duì)稱加密(Rivest Shamir Adleman, RSA)算法；另外，選擇SHA-1算法計(jì)算數(shù)據(jù)的消息摘要。實(shí)驗(yàn)的客戶端、服務(wù)器端和協(xié)作企業(yè)端均為2.60 GHz主頻、8 G內(nèi)存的PC機(jī)，實(shí)驗(yàn)環(huán)境為SQL Server 2008 R2，Visual Studio 2010，C#. Net。

注冊(cè)信息的安全提交由單個(gè)協(xié)作企業(yè)執(zhí)行，執(zhí)行操作的并發(fā)概率小，其過(guò)程分析如表3所示。執(zhí)行安全提交操作20次，客戶端的平均運(yùn)行時(shí)間小于10 ms，服務(wù)器端的平均運(yùn)行時(shí)間小于20 ms，因此判斷注冊(cè)信息安全提交方案可行。

表3 注冊(cè)信息安全提交過(guò)程分析

安全集成過(guò)程由用戶查詢操作驅(qū)動(dòng)，包括注冊(cè)信息的安全存儲(chǔ)驗(yàn)證算法和配件庫(kù)存信息的安全傳輸算法，如表4所示。安全集成過(guò)程總的運(yùn)行時(shí)間主要取決于查詢事件涉及的協(xié)作企業(yè)數(shù)量，數(shù)量越多，平臺(tái)服務(wù)器端和客戶端分別對(duì)協(xié)作企業(yè)注冊(cè)信息和配件庫(kù)存信息進(jìn)行加解密的次數(shù)越多，相應(yīng)耗時(shí)也越長(zhǎng)。平臺(tái)上每個(gè)聯(lián)盟一般有幾百家協(xié)作企業(yè)，每家協(xié)作企業(yè)一般有幾千種配件，本文只對(duì)配件的單價(jià)和庫(kù)存數(shù)量字段進(jìn)行加密。以企業(yè)聯(lián)盟P為例，聯(lián)盟P有協(xié)作企業(yè)406家，每家協(xié)作企業(yè)的配件種類有4 000～9 000種不等，查詢聯(lián)盟P內(nèi)所有協(xié)作企業(yè)的配件庫(kù)存，執(zhí)行20次，平臺(tái)服務(wù)器端和客戶端的平均運(yùn)行時(shí)間均小于300 ms；協(xié)作企業(yè)端為幾百家企業(yè)并行執(zhí)行非對(duì)稱加密與消息摘要算法，算法的平均運(yùn)行時(shí)間遠(yuǎn)小于300 ms。因此，判斷安全集成方案可行。

表4 安全集成過(guò)程分析

4 結(jié)束語(yǔ)

本文研究汽車產(chǎn)業(yè)鏈協(xié)同平臺(tái)售后服務(wù)環(huán)節(jié)配件庫(kù)存信息動(dòng)態(tài)集成過(guò)程中的安全問(wèn)題，針對(duì)協(xié)作企業(yè)注冊(cè)信息的身份認(rèn)證安全、傳輸安全、存儲(chǔ)安全，以及配件庫(kù)存信息Web服務(wù)的集成傳輸安全等問(wèn)題，提出注冊(cè)信息安全提交方案、安全存儲(chǔ)和調(diào)用方案，以及配件庫(kù)存信息Web服務(wù)安全傳輸方案，保證了在平臺(tái)不可信的環(huán)境中，授權(quán)企業(yè)用戶能夠查詢到實(shí)時(shí)準(zhǔn)確的配件庫(kù)存信息，進(jìn)而做出正確的配件庫(kù)存決策，實(shí)現(xiàn)售后服務(wù)環(huán)節(jié)配件的協(xié)同供應(yīng)。下一步的工作主要是優(yōu)化本文提出的數(shù)據(jù)安全模型，研究如何提高算法執(zhí)行效率，使產(chǎn)業(yè)鏈協(xié)同SaaS平臺(tái)售后服務(wù)環(huán)節(jié)的協(xié)作更加高效。