基于Ｐ２Ｐ的企業(yè)電子商務(wù)信任模型

[摘要] 根據(jù)企業(yè)電子商務(wù)發(fā)展歷史及現(xiàn)狀，探討了如何將P2P對等通信應(yīng)用于電子商務(wù)中，以實(shí)現(xiàn)動(dòng)態(tài)集成的電子商務(wù)。并考慮到電子商務(wù)數(shù)據(jù)安全的需求，提出了基于P2P的企業(yè)電子商務(wù)信任模型。本模型繼承了傳統(tǒng)P2P模型的優(yōu)點(diǎn)，同時(shí)結(jié)合信任檢查機(jī)制，為商務(wù)主體提供了一種以低成本實(shí)現(xiàn)高可靠EDI應(yīng)用的方式。

[關(guān)鍵詞] 電子商務(wù) EDI P2P 信任

目前，Lightshare正在P2P網(wǎng)絡(luò)上開展電子商務(wù)。用戶可以在P2P網(wǎng)絡(luò)上購買或出售商品。而Interbind公司將P2P技術(shù)和B2B的商務(wù)模式結(jié)合起來，為B2B商務(wù)企業(yè)開發(fā)P2P網(wǎng)絡(luò)和分布式計(jì)算軟件。該公司的軟件可以使B2B用戶實(shí)現(xiàn)文件共享，并在P2P網(wǎng)絡(luò)上進(jìn)行合作。但是，現(xiàn)有的在P2P網(wǎng)絡(luò)上開展的電子商務(wù)大部分都是利用傳統(tǒng)的P2P模型實(shí)現(xiàn)的，不是特別適合企業(yè)間的電子數(shù)據(jù)交換。本文提出了一種基于信任的企業(yè)電子商務(wù)P2P應(yīng)用模型。

一、背景分析

企業(yè)電子商務(wù)最初起源于電子數(shù)據(jù)交換EDI(Electronic Data Interchange)。EDI實(shí)際上是一種將業(yè)務(wù)文件按一個(gè)公認(rèn)的標(biāo)準(zhǔn)從一臺計(jì)算機(jī)傳輸?shù)搅硪慌_計(jì)算機(jī)上去的電子傳輸協(xié)議方法，基于此方法，企業(yè)為實(shí)現(xiàn)相互間的電子數(shù)據(jù)交換開發(fā)了各種不同的專門通訊工具，這些工具通過特定的方式在企業(yè)間相互交換定單、合同、出入庫單據(jù)等商務(wù)電子數(shù)據(jù)。

在EDI實(shí)施的早期，電子數(shù)據(jù)資料的交換是以寄送磁帶、軟盤等物理載體的形式進(jìn)行的。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，電子數(shù)據(jù)資料的交換逐漸轉(zhuǎn)變?yōu)橥ㄟ^專用的通信網(wǎng)絡(luò)進(jìn)行傳送，這些通信網(wǎng)絡(luò)通常是通過租用的電話線在專用網(wǎng)絡(luò)上實(shí)現(xiàn)，這類專用的網(wǎng)絡(luò)被稱為VAN(增值網(wǎng))，這樣做的目的主要是考慮到安全問題。但隨著Internet安全性的日益提高，作為一個(gè)費(fèi)用更低、覆蓋面更廣、服務(wù)更好的系統(tǒng)，Internet逐漸表現(xiàn)出替代VAN而成為EDI的基本載體的趨勢。到20世紀(jì)90年代之后，EDI逐漸轉(zhuǎn)移到通過Internet進(jìn)行實(shí)施。

即便在Internet環(huán)境下，企業(yè)間EDI實(shí)施的方便快捷性、成本費(fèi)用上有了很大的改善，但上下游企業(yè)為了實(shí)現(xiàn)EDI仍然相當(dāng)麻煩，且需要花費(fèi)高昂的費(fèi)用。一般情況下企業(yè)為了實(shí)現(xiàn)EDI可能采用如下兩種方式之一：一是為實(shí)現(xiàn)EDI的雙方機(jī)器申請各自的互聯(lián)網(wǎng)IP地址，以便請求通訊的一方可以方便地通過Internet聯(lián)系到對方。二是實(shí)現(xiàn)EDI的雙方機(jī)器都連接到同一互聯(lián)網(wǎng)服務(wù)器，然后通過此服務(wù)器來聯(lián)絡(luò)雙方。采用第一種方式，企業(yè)必須為通訊主機(jī)申請互聯(lián)網(wǎng)IP，也就是說此主機(jī)不能置于某NAT之后，否則它不能被互聯(lián)網(wǎng)上的其他主機(jī)找到。這種方式下，企業(yè)申請的互聯(lián)網(wǎng)IP只能夠被此主機(jī)所專用，企業(yè)將為EDI通訊付出較高的成本。二，采用第二種方式，企業(yè)間的EDI專用軟件放置在專用的互聯(lián)網(wǎng)服務(wù)器上，此服務(wù)器要么是企業(yè)自己架設(shè)的，要么是租用第三方的，因此，企業(yè)除了需要支付一定的服務(wù)器支持費(fèi)用外，而且可能會對第三方形成強(qiáng)烈的依賴。

因此，不管采用以上的哪種方式，企業(yè)EDI的實(shí)施代價(jià)都是比較高的。那么有沒有一種實(shí)現(xiàn)在企業(yè)內(nèi)部隱藏在各自的NAT之后的業(yè)務(wù)處理終端之間直接交互數(shù)據(jù)的方式手段呢？在這些方面P2P具有獨(dú)特的優(yōu)勢，本文將基于此方面做一些簡單的研究。

二、P2P技術(shù)介紹

最近幾年，對等計(jì)算( Peer-to-Peer，簡稱P2P)迅速成為計(jì)算機(jī)界關(guān)注的熱門話題之一，財(cái)富雜志更將P2P列為影響Internet未來的四項(xiàng)科技之一。P2P是一種分布式網(wǎng)絡(luò)，網(wǎng)絡(luò)的參與者共享他們所擁有的一部分硬件資源（處理能力、存儲能力、網(wǎng)絡(luò)聯(lián)接能力、打印機(jī)等），這些共享資源需要由網(wǎng)絡(luò)提供服務(wù)和內(nèi)容，能被其他對等節(jié)點(diǎn)(Peer)直接訪問而無需經(jīng)過中間實(shí)體。在此網(wǎng)絡(luò)中的參與者既是資源（服務(wù)和內(nèi)容）提供者（Server），又是資源（服務(wù)和內(nèi)容）獲取者（Client）。P2P技術(shù)的特點(diǎn)體現(xiàn)在以下幾個(gè)方面:非中心化（Decentralization）;可擴(kuò)展性;健壯性;高性能/價(jià)格比;隱私保護(hù);負(fù)載均衡。與傳統(tǒng)的分布式系統(tǒng)相比，P2P技術(shù)具有無可比擬的優(yōu)勢。同時(shí)，P2P技術(shù)具有廣闊的應(yīng)用前景，正不斷應(yīng)用到軍事領(lǐng)域，商業(yè)領(lǐng)域，政府信息，通訊等領(lǐng)域。

三、基于信任的企業(yè)電子商務(wù)P2P應(yīng)用模型分析

1.模型建立

眾所周知，在典型的傳統(tǒng)P2P模型中，兩個(gè)處于互聯(lián)網(wǎng)中的Peer（即主機(jī)）分別隱藏于其各自的NAT（Network Address Translators）后面，彼此間不能直接發(fā)現(xiàn)對方。兩個(gè)Peer間的發(fā)現(xiàn)是通過一個(gè)P2P Server（也常稱為目錄服務(wù)器或發(fā)現(xiàn)服務(wù)器）來實(shí)現(xiàn)的，而一旦某Peer發(fā)現(xiàn)對方，則彼此間的聯(lián)絡(luò)就得以實(shí)現(xiàn)，其后續(xù)的資源共享操作將脫離P2P Server完成。

考慮到任何在互聯(lián)網(wǎng)上或通過局域網(wǎng)聯(lián)接到互聯(lián)網(wǎng)的主機(jī)之間，通過P2P機(jī)制均可輕易實(shí)現(xiàn)P2P連接，因此，企業(yè)間的電子商務(wù)數(shù)據(jù)交換也可架構(gòu)在P2P機(jī)制上，以充分利用P2P的優(yōu)點(diǎn)，實(shí)現(xiàn)低成本、高可靠的數(shù)據(jù)傳輸。但同時(shí)我們也會注意到，企業(yè)的商務(wù)數(shù)據(jù)是屬于企業(yè)內(nèi)部或關(guān)聯(lián)企業(yè)間的機(jī)密數(shù)據(jù)，應(yīng)該只能在有限范圍內(nèi)共享，因此，對P2P機(jī)制下企業(yè)電子商務(wù)的Peer進(jìn)行身份信任鑒別是有必要的。

假定在一既定P2P網(wǎng)絡(luò)中，有N個(gè)Peer，分別為：P1，P2，…，Pn，其中Pi，Pj（i，j∈N）為P2P網(wǎng)絡(luò)中的任意兩臺主機(jī)，Pk（k∈N）為P2P中的Peer發(fā)現(xiàn)服務(wù)器。則在企業(yè)電子商務(wù)P2P網(wǎng)絡(luò)的模型下Pi請求連接Pj的過程如下圖所示。

圖

如圖所示，Pi請求連接Pj的過程分為如下步驟:①Pi向Pk發(fā)出連接Pj的請求;②Pk利用其自身的發(fā)現(xiàn)機(jī)制搜尋到Pj，并將Pi的連接請求轉(zhuǎn)發(fā)給Pj;③Pj利用其自身的信任檢查機(jī)制對Pi進(jìn)行信任檢查，若通過檢查，則進(jìn)行下一步，否則拒絕Pi的聯(lián)接請求;④基于P2P機(jī)制原理，Pj向Pi方向“打洞”，創(chuàng)建一Session;⑤Pi利用第④步創(chuàng)建的Session實(shí)現(xiàn)與Pj的通訊連接，至此，由Pi發(fā)起至Pj的聯(lián)接成功完成。

2.信任機(jī)制建立

以上P2P連接過程第③步表明，Pi請求聯(lián)接Pj時(shí)必須首先獲得Pj的信任，因此，在Pj中應(yīng)該維護(hù)一個(gè)信任主機(jī)列表，且此列表至少記錄了被信任主機(jī)的ID。考慮到大多數(shù)企業(yè)的主機(jī)是通過ADSL或普通電話撥號方式聯(lián)接互聯(lián)網(wǎng)，其主機(jī)的IP地址可能是動(dòng)態(tài)分配的，或者其IP是隱藏在NAT后的，因此，在被聯(lián)接主機(jī)Pj中通過記錄被信任主機(jī)Pi的IP及其軟件端口號的方式來作為被信任主機(jī)Pi的ID的做法顯然是不合適的。同時(shí)，由于Pk可能是不固定的（具體取決于使用的何種P2P主機(jī)發(fā)現(xiàn)機(jī)制），依靠Pk來分配P2P網(wǎng)絡(luò)中的每個(gè)Peer的ID也是不可靠的。因此，使用Peer的MAC地址來作為每臺被信任主機(jī)的ID是恰當(dāng)?shù)倪x擇。Pi為了獲取Pj的信任，其簡單的處理過程如下:①Pi將其自身的MAC地址通過Pk轉(zhuǎn)發(fā)給Pj;②Pj在收到Pi的MAC地址后，通過人工干預(yù)的方式，決定對Pi信任與否;③若Pj信任Pi，則Pj將Pi的MAC地址作為被信任主機(jī)的ID存貯到其信任主機(jī)列表中，以備以后的P2P聯(lián)接檢查之用，即以后當(dāng)Pi再次請求聯(lián)接Pj時(shí)，Pj就勿需人工干預(yù)，直接通過信任主機(jī)列表進(jìn)行判斷對Pi信任與否。

在以上的處理過程中，為了更方便地幫助人工干預(yù)的方式進(jìn)行判斷，可以在傳輸Pi的MAC地址的同時(shí)，附加一定的Pi的描述信息，如：我是XXX，請求聯(lián)接您的主機(jī)。這樣，人工判斷起來就更方便了。

另外，考慮到數(shù)據(jù)傳輸?shù)陌踩?，此過程中也可以通過RSA機(jī)制來實(shí)現(xiàn)電子簽名與驗(yàn)證。

四、基于信任的企業(yè)電子商務(wù)P2P應(yīng)用優(yōu)點(diǎn)及前景

企業(yè)電子商務(wù)領(lǐng)域的P2P應(yīng)用，除了具有P2P本身所具有的優(yōu)點(diǎn)外，它還具有如下優(yōu)勢：一是以低成本實(shí)現(xiàn)高可靠的EDI應(yīng)用。基于P2P的企業(yè)電子商務(wù)勿需主機(jī)實(shí)行特別的Internet聯(lián)接，即可實(shí)現(xiàn)企業(yè)間商務(wù)數(shù)據(jù)的高效傳輸，即使主機(jī)被隱藏在NAT后面也同樣如此。二是以信任方式實(shí)現(xiàn)商務(wù)數(shù)據(jù)在P2P網(wǎng)絡(luò)上的安全傳輸。區(qū)別于傳統(tǒng)的P2P模型的匿名資源共享方式，本模型采用了在被聯(lián)接方接受（許可）請求方的聯(lián)接的前提下實(shí)現(xiàn)網(wǎng)絡(luò)通訊的方式，以保證商務(wù)數(shù)據(jù)只在關(guān)聯(lián)企業(yè)間傳輸。

基于P2P的企業(yè)電子商務(wù)研究現(xiàn)正處在方興未艾階段。預(yù)計(jì)，未來企業(yè)電子商務(wù)P2P應(yīng)用研究，將會圍繞P2P機(jī)制下的數(shù)據(jù)安全展開，比如，如何實(shí)現(xiàn)數(shù)字簽名，如何實(shí)現(xiàn)身份認(rèn)證等等。

參考文獻(xiàn):

[1]賈志林主編:電子商務(wù)案例教程.電子工業(yè)出版社，2006-02

[2] http://www.zdnet.com.cn/techupdate/intranet_internet／analysis／story／0，3800080991，39034611，00.htm

[3]P2P之TCP穿透NAT的原理[EB/OL].http:／／blog.csdn.net/alaiyeshi／archive ／2006／08／04／1019861.aspx.

[4] Beverly Yang，Hector Garcia-Molina.Comparing hybrid peer-to-peer systems[M].In VLDB，2001

[5]汪社教:P2P:一種新的信息交流與資源共享模式[J].現(xiàn)代圖書情報(bào)技術(shù)，2003，(年刊)

[6]白靜:公開密碼技術(shù)RSA算法的實(shí)現(xiàn)及保密性分析[J].電腦開發(fā)與應(yīng)用，2006年/19卷/9期

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。