汽車產(chǎn)業(yè)鏈SaaS平臺配件庫存信息集成安全技術(shù)

楊靜雅，孫林夫,吳奇石

(1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院，四川 成都 610031；2.西南交通大學(xué) CAD工程中心，四川 成都 610031)

0 引言

汽車產(chǎn)業(yè)鏈圍繞汽車生產(chǎn)、銷售、售后服務(wù)及零部件供應(yīng)等活動，形成了一個(gè)以整車制造廠、經(jīng)銷商、服務(wù)商、配件供應(yīng)商等企業(yè)為節(jié)點(diǎn)的供應(yīng)鏈。信息技術(shù)的不斷發(fā)展使供應(yīng)鏈企業(yè)間由個(gè)體競爭發(fā)展為基于供應(yīng)鏈的整體競爭，各節(jié)點(diǎn)企業(yè)間的相互配合、協(xié)作經(jīng)營對供應(yīng)鏈的發(fā)展至關(guān)重要[1]。在汽車產(chǎn)業(yè)鏈的售后服務(wù)環(huán)節(jié)中，各服務(wù)商、二級中心庫實(shí)際配件庫存信息的實(shí)時(shí)共享，可以加快整車制造廠配件中心(以下簡稱配件中心)審核配件訂單的速度，提高配件中心制定庫存計(jì)劃和調(diào)撥決策的效率，從而改善售后服務(wù)質(zhì)量，降低庫存成本，實(shí)現(xiàn)汽車產(chǎn)業(yè)鏈產(chǎn)業(yè)價(jià)值的最大化。

為滿足售后服務(wù)環(huán)節(jié)配件信息實(shí)時(shí)共享的需求，楊靜雅等[1]基于支持企業(yè)間業(yè)務(wù)協(xié)同的軟件即服務(wù)(Software-as-a-Service, SaaS)平臺，提出面向SaaS平臺的多源異構(gòu)配件庫存信息動態(tài)集成模型、驅(qū)動算法及關(guān)鍵技術(shù)。然而，該模型和算法缺乏對配件信息集成過程中安全問題[2-5]的研究，如注冊數(shù)據(jù)向SaaS平臺的傳輸安全、在平臺的存儲和調(diào)用安全，以及配件庫存信息Web服務(wù)的傳輸安全等，特別是對基于開放網(wǎng)絡(luò)運(yùn)行且由第三方軟件運(yùn)營商搭建和維護(hù)的SaaS平臺而言，安全問題尤為重要，上述安全問題一旦出現(xiàn)，可能導(dǎo)致企業(yè)日常業(yè)務(wù)活動受阻、庫存計(jì)劃或決策失效、配件管理工作混亂等。

近年來，國內(nèi)外已有不少學(xué)者對SaaS平臺的應(yīng)用安全進(jìn)行了研究，如基于平臺的身份認(rèn)證[6-8]、基于平臺的傳輸和存儲安全[9-13]、基于平臺的訪問控制[14-15]等。張秀芹等[10]以加密鎖為核心對服務(wù)請求者進(jìn)行身份認(rèn)證，采用基于簡單對象訪問協(xié)議(Simple Object Access Protocol, SOAP)擴(kuò)展的數(shù)據(jù)傳輸安全技術(shù)，實(shí)現(xiàn)了服務(wù)請求者的身份認(rèn)證和數(shù)據(jù)傳輸安全，然而文獻(xiàn)描述較籠統(tǒng)，沒有詳細(xì)給出可擴(kuò)展標(biāo)記語言(eXtensible Markup Language, XML)加密的方案，而且設(shè)計(jì)的基于加密鎖的身份認(rèn)證方法成本高、使用不方便。陳靜等[11]設(shè)計(jì)了SaaS平臺的數(shù)據(jù)安全解決方案，采用非對稱加密技術(shù)、Web服務(wù)技術(shù)、Hash技術(shù)和數(shù)字簽名技術(shù)實(shí)現(xiàn)了企業(yè)數(shù)據(jù)的傳輸安全、存儲安全和發(fā)送的不可抵賴性；肖慶等[12]提出協(xié)作企業(yè)業(yè)務(wù)數(shù)據(jù)加密和提交算法以及基于業(yè)務(wù)數(shù)據(jù)查詢的解密算法，實(shí)現(xiàn)了數(shù)據(jù)的傳輸和存儲安全；余洋等[13]提出面向產(chǎn)業(yè)鏈協(xié)同SaaS平臺的數(shù)據(jù)安全模型，分別利用消息摘要、密鑰交換、對稱加密算法和數(shù)據(jù)庫提供的透明數(shù)據(jù)加密(Transparent Data Encryption,TDE)算法實(shí)現(xiàn)了數(shù)據(jù)的安全傳輸與存儲。然而，文獻(xiàn)[11-13]均只研究了基于SaaS平臺的業(yè)務(wù)單據(jù)數(shù)據(jù)安全問題，沒有涉及基于XML的Web服務(wù)數(shù)據(jù)安全問題，因此也沒有對基于SaaS平臺的Web服務(wù)數(shù)據(jù)安全進(jìn)行研究，而本文的部分研究內(nèi)容則是Web服務(wù)傳輸?shù)陌踩珕栴}。

在Web服務(wù)傳輸安全方面，網(wǎng)絡(luò)服務(wù)(Web Service, WS)安全標(biāo)準(zhǔn)[16-19]有兩種實(shí)現(xiàn)方案：①面向連接的安全方案，如安全套接層(Secure Sockets Layer, SSL)、網(wǎng)際協(xié)議安全(Internet Protocol Security, IPSec)；②基于XML加密和XML簽名的方案。然而，面向連接的方案只保證信息傳輸過程的安全性，并未考慮端點(diǎn)處的安全，與本文的安全要求不符；其次，WS安全標(biāo)準(zhǔn)中的XML信息由對稱密鑰加密，而本文只對配件庫存XML信息中的敏感字段加密，加密數(shù)據(jù)量小，又考慮到密鑰管理的難度，因此采用非對稱加密技術(shù)對配件庫存XML信息的敏感字段進(jìn)行加密；另外，本文的協(xié)作企業(yè)配件庫存信息Web服務(wù)并非為協(xié)作企業(yè)端主動提交傳輸，而是由平臺查詢操作驅(qū)動、調(diào)用事件觸發(fā)的自動傳輸，不需要防范協(xié)作企業(yè)抵賴，因此不需進(jìn)行數(shù)字簽名，只要計(jì)算消息摘要保證傳輸完整即可。

SaaS平臺以企業(yè)聯(lián)盟為單位獨(dú)立運(yùn)營，鑒于本文研究的實(shí)際業(yè)務(wù)內(nèi)容——“查詢聯(lián)盟內(nèi)各協(xié)作企業(yè)實(shí)時(shí)配件庫存信息”的安全級別要求：①通過平臺身份驗(yàn)證的企業(yè)用戶均可向平臺私有統(tǒng)一描述、發(fā)現(xiàn)和集成(Universal Description, Discovery and Integration, UDDI)中心注冊配件庫存信息Web服務(wù)；②通過平臺身份驗(yàn)證和盟主企業(yè)授權(quán)的用戶查詢事件均可調(diào)用該聯(lián)盟內(nèi)所有協(xié)作企業(yè)的配件庫存信息Web服務(wù)，而且平臺的身份驗(yàn)證機(jī)制和盟主企業(yè)對合法用戶的授權(quán)機(jī)制已有相應(yīng)研究[20]和規(guī)范，本文不再單獨(dú)設(shè)計(jì)Web服務(wù)的注冊身份驗(yàn)證和調(diào)用訪問控制，而與其他注冊信息一起統(tǒng)籌考慮。

綜上分析，本文基于文獻(xiàn)[1]的集成方案，對注冊信息的安全設(shè)計(jì)要考慮其既不被抵賴，又能夠安全傳輸和存儲，因此采用面向消息的加密思想，參考文獻(xiàn)[10-13]的安全解決方案，提出注冊信息安全提交和安全存儲算法以及安全調(diào)用策略；通過比較WS標(biāo)準(zhǔn)傳輸方案，并分析本文研究的協(xié)作企業(yè)配件庫存信息Web服務(wù)集成的特點(diǎn)，提出配件庫存信息安全傳輸算法。

1 汽車產(chǎn)業(yè)鏈協(xié)同SaaS平臺多源配件信息安全集成需求

1.1 汽車產(chǎn)業(yè)鏈協(xié)同SaaS平臺多源配件信息集成方案[1]

在售后服務(wù)配件協(xié)同供應(yīng)環(huán)節(jié)，圍繞SaaS平臺存在以整車制造廠為盟主企業(yè)，以服務(wù)商、二級中心庫為協(xié)作企業(yè)的多個(gè)企業(yè)聯(lián)盟。各服務(wù)商、二級中心庫遍布全國甚至世界各地，按其所屬區(qū)域劃分為不同的片區(qū)；各聯(lián)盟獨(dú)立運(yùn)營，整車制造廠配件中心業(yè)務(wù)員通過平臺可以查詢各服務(wù)商、二級中心庫的實(shí)時(shí)配件庫存，以審核配件訂單并制定配件補(bǔ)給決策。具體實(shí)現(xiàn)過程如圖1所示。

各協(xié)作企業(yè)將其配件庫存信息調(diào)用入口(Web服務(wù)地址)注冊到平臺私有UDDI中心，注冊是集成實(shí)現(xiàn)的前提，注冊時(shí)提交的信息項(xiàng)(簡稱注冊信息)如表1所示。當(dāng)某協(xié)作企業(yè)向SaaS平臺提交配件訂單申請后，其所屬盟主企業(yè)配件中心業(yè)務(wù)員查詢該協(xié)作企業(yè)及聯(lián)盟內(nèi)其他各協(xié)作企業(yè)的配件庫存，以審核配件訂單并制定配件補(bǔ)給決策。查詢操作事件觸發(fā)調(diào)用平臺私有UDDI注冊中心配件庫存信息的Web服務(wù)地址，將各地配件庫存信息動態(tài)集成到SaaS平臺；同時(shí)，該調(diào)用觸發(fā)數(shù)據(jù)庫同步事件，以保證所集成的信息實(shí)時(shí)準(zhǔn)確。向SaaS平臺集成的協(xié)作企業(yè)的配件庫存信息關(guān)鍵屬性如表2所示。

表1 協(xié)作企業(yè)向平臺注冊時(shí)提交的信息項(xiàng)

表2 向平臺集成的配件庫存信息關(guān)鍵屬性

1.2 多源配件信息集成的安全需求

由1.1節(jié)的多源配件信息集成方案可知，其整個(gè)過程包括注冊信息的提交、存儲和調(diào)用，以及配件庫存信息的集成傳輸，在這幾個(gè)環(huán)節(jié)中，若注冊信息或配件庫存信息在傳輸過程中被截獲篡改，注冊信息在存儲過程中被泄露或被非法調(diào)用，則將給平臺應(yīng)用帶來安全隱患。具體的安全需求分析如下：

(1)向平臺注冊信息的企業(yè)身份認(rèn)證，要求：①只有通過身份認(rèn)證的企業(yè)才可以向平臺注冊信息；②企業(yè)對注冊的信息具有不可抵賴性。若企業(yè)無約束地向平臺注冊信息，則可能出現(xiàn)UDDI中心服務(wù)器負(fù)荷過重或注冊惡意鏈接。

(2)注冊信息向平臺注冊傳輸過程中，以及配件庫存信息向平臺集成傳輸過程中，若注冊信息或配件庫存信息被攻擊者截獲訪問，則可能造成企業(yè)配件庫存信息泄露，影響企業(yè)制定配件庫存計(jì)劃；若注冊信息或配件庫存信息被篡改，則可能導(dǎo)致合法用戶因訪問到惡意鏈接而遭受攻擊，或者訪問到錯(cuò)誤的配件庫存信息而制定錯(cuò)誤的配件決策。

(3)注冊信息在平臺私有UDDI注冊中心存儲過程中，由于注冊信息存儲在第三方運(yùn)營商數(shù)據(jù)中心，若注冊信息被泄露或篡改，則可能影響企業(yè)的配件庫存決策。

(4)注冊信息在調(diào)用工程中，若Web服務(wù)地址被非法訪問，例如聯(lián)盟A企業(yè)業(yè)務(wù)員的查詢事件調(diào)用了聯(lián)盟B企業(yè)的Web服務(wù)地址，非法訪問了聯(lián)盟B企業(yè)的配件信息，則可能為聯(lián)盟A企業(yè)制定生產(chǎn)計(jì)劃與調(diào)配庫存帶來便利，但卻損害了聯(lián)盟B企業(yè)的利益。

2 汽車產(chǎn)業(yè)鏈協(xié)同SaaS平臺多源配件信息動態(tài)集成安全方案

2.1 SaaS平臺多源配件信息動態(tài)集成安全模型

為滿足1.2節(jié)中分析的多源配件信息集成過程中的安全需求，建立如圖2所示的SaaS平臺多源配件信息動態(tài)集成安全模型。該模型主要由注冊信息安全提交模塊、注冊信息安全存儲模塊、注冊信息安全調(diào)用模塊和配件庫存信息安全集成傳輸模塊構(gòu)成。

(1)為保證注冊信息的安全提交，SaaS平臺客戶端和服務(wù)器端分別對注冊信息進(jìn)行非對稱加密、安全數(shù)字簽名和安全簽名驗(yàn)證。數(shù)字簽名由數(shù)字摘要技術(shù)(又稱消息摘要技術(shù))和非對稱密鑰加密技術(shù)構(gòu)成。

(2)為保證注冊信息在平臺私有UDDI中心的存儲安全，分別采用非對稱加密、數(shù)字摘要技術(shù)，以及存儲完整性驗(yàn)證和非對稱解密算法實(shí)現(xiàn)。

(3)采用基于屬性和角色權(quán)限(用戶所屬聯(lián)盟)的策略，控制企業(yè)用戶的查詢事件調(diào)用注冊信息中的Web服務(wù)地址。

(4)為保證配件庫存信息向平臺集成傳輸過程中的完整性和保密性，采用非對稱加密技術(shù)(加密敏感字段，數(shù)據(jù)量小)保證傳輸?shù)谋Ｃ苄裕捎脭?shù)字摘要技術(shù)保證傳輸?shù)耐暾浴?/p>

(5)為保證安全方案順利執(zhí)行，需要對密鑰進(jìn)行合理分配。平臺的密鑰管理服務(wù)器用密鑰生成工具為平臺和每個(gè)已授權(quán)企業(yè)(包括盟主企業(yè)和協(xié)作企業(yè))用戶分配唯一的公、私密鑰對。平臺運(yùn)營商向某權(quán)威認(rèn)證中心申請包括平臺公鑰的數(shù)字證書，并將證書向已授權(quán)企業(yè)用戶公開。平臺密鑰管理服務(wù)器存儲平臺私鑰，以及盟主企業(yè)和協(xié)作企業(yè)用戶的公鑰，盟主企業(yè)和協(xié)作企業(yè)用戶保管各自的私鑰。平臺密鑰管理服務(wù)器不允許平臺開發(fā)人員和運(yùn)營人員訪問，只有接收到平臺服務(wù)器請求才會返回相應(yīng)的密鑰。

2.2 模型對象的數(shù)學(xué)描述

為了便于描述，先對模型涉及的對象進(jìn)行定義。

定義1設(shè)U為SaaS平臺售后服務(wù)配件協(xié)同供應(yīng)環(huán)節(jié)中的任意一個(gè)企業(yè)聯(lián)盟，EU={E1,E2,…,En}為聯(lián)盟U中的企業(yè)集，對?Ex∈EU，Ex=(ExID,ExINF)，其中：ExID為企業(yè)在平臺的唯一標(biāo)識；ExINF為企業(yè)在平臺的基本信息。

本文將聯(lián)盟中的盟主企業(yè)和協(xié)作企業(yè)分別用Ec和E簡化表示。

定義2協(xié)作企業(yè)E的注冊信息由二元組Mweb=(E,Addrweb)表示，其中：E=(EID,EINF)；Addrweb為E的配件庫存信息Web服務(wù)地址。

定義3協(xié)作企業(yè)的配件庫存信息用partInf表示，partInf包含敏感字段(如單價(jià)、數(shù)量)。

定義4用DA表示計(jì)算摘要的算法，DA(Mweb)表示對注冊信息Mweb計(jì)算摘要生成的結(jié)果。

定義5用AED表示非對稱加密，可以抽象定義為一個(gè)四元組AED=(AE,AD,PU,PR)，其中：AE和AD分別表示非對稱加密AED的加密和解密操作；PU和PR為公、私密鑰對；AE(Mweb,PU)表示用公鑰PU對Mweb加密，加密結(jié)果為AE(Mweb)。

本文設(shè)定平臺的公私密鑰對為PUS，PRS，盟主企業(yè)和協(xié)作企業(yè)的公私密鑰對分別為PUEc，PREc和PUE，PRE。

定義6基于屬性和角色權(quán)限的注冊信息調(diào)用Inv，用一個(gè)三元組Inv=(EID,encryInf,User)表示，其中：encryInf表示在平臺存儲的已加密的注冊信息；User=(U,R)表示企業(yè)用戶，U為用戶所屬的聯(lián)盟，R為用戶的角色，R==er表示用戶為配件中心業(yè)務(wù)員，其查詢請求事件有權(quán)調(diào)用所屬聯(lián)盟內(nèi)所有協(xié)作企業(yè)的注冊信息。

若滿足(R==er)&&(UUser==UEID)，則User的查詢請求事件可以調(diào)用encryInf，調(diào)用觸發(fā)對encryInf的解密與存儲安全驗(yàn)證操作。

2.3 集成安全模型算法

2.3.1 注冊信息安全提交算法

注冊信息安全提交過程如圖3所示，算法描述如下：

算法1注冊信息安全提交算法。

輸入：注冊信息Mweb(包括協(xié)作企業(yè)E的標(biāo)識EID)，E的公鑰PUE和私鑰PRE，平臺的公鑰PUS和私鑰PRS。

輸出：S_DA(Mweb)||AE(Mweb)||EID。

步驟1協(xié)作企業(yè)E登錄平臺，填寫注冊信息Mweb，點(diǎn)擊提交。

步驟2平臺客戶端注冊機(jī)制regi_C調(diào)用平臺的公鑰PUS，對Mweb執(zhí)行非對稱加密算法AE(Mweb,PUS)，生成AE(Mweb)。

步驟3regi_C計(jì)算Mweb的摘要，生成DA(Mweb)。

步驟4E提供私鑰PRE，regi_C執(zhí)行AE(DA(Mweb),PRE)，生成E的簽名SigE。

步驟5regi_C將SigE||AE(Mweb)||EID封裝成數(shù)據(jù)包，并將數(shù)據(jù)包發(fā)送給平臺服務(wù)器端。

步驟6平臺服務(wù)器端注冊控制機(jī)制regi_S向密鑰管理服務(wù)器請求平臺私鑰PRS，并發(fā)送EID請求協(xié)作企業(yè)E的公鑰PUE，密鑰管理服務(wù)器返回PRS和PUE。

步驟7regi_S執(zhí)行AD(SigE,PUE)得到E_DA(Mweb)。

步驟8regi_S用PRS解密AE(Mweb)，得到Mweb，并用相同的消息摘要計(jì)算方法計(jì)算Mweb的摘要，得到S_DA(Mweb)。

步驟9regi_S驗(yàn)證S_DA(Mweb)和E_DA(Mweb)是否一致，是則執(zhí)行步驟10，否則提示并退出。

步驟10regi_S調(diào)用平臺公鑰PUS加密Mweb生成AE(Mweb)。

步驟11regi_S將S_DA(Mweb)||AE(Mweb)||EID提交平臺私有UDDI注冊中心。

注冊信息安全提交算法3次運(yùn)用了非對稱加密技術(shù)，兩次用于加密注冊信息，分別保證注冊信息在傳輸和存儲過程中的保密性；一次用于對注冊信息進(jìn)行數(shù)字簽名，數(shù)字簽名既保證了注冊企業(yè)身份的合法性和不可抵賴性，也保證了注冊信息傳輸過程中的完整性。最后，為驗(yàn)證AE(Mweb)在平臺存儲過程中的完整性，將Mweb的摘要也一并存入數(shù)據(jù)中心。

2.3.2 注冊信息存儲安全的實(shí)現(xiàn)

注冊信息存儲安全包括存儲保密性和存儲完整性。2.3.1節(jié)用平臺公鑰對注冊信息加密，將密文存儲于平臺私有UDDI中心，只有通過平臺服務(wù)器調(diào)用平臺私鑰才能解密訪問明文，從而保證了注冊信息的存儲保密性。本節(jié)通過算法來保證注冊信息在平臺的存儲完整性，過程如圖4所示，算法描述如算法2所示。

企業(yè)用戶查詢配件庫存信息，查詢操作驅(qū)動調(diào)用注冊信息，調(diào)用事件驅(qū)動對注冊信息的解密和存儲完整性進(jìn)行驗(yàn)證。

算法2解密算法和存儲完整性驗(yàn)證算法。

輸入：S_DA(Mweb)||AE(Mweb)。

輸出：Mweb。

步驟1平臺服務(wù)器請求平臺私鑰PRS，密鑰管理服務(wù)器返回PRS。

步驟2平臺服務(wù)器端調(diào)用控制機(jī)制call_S執(zhí)行解密算法AD(Mweb,PRS)，得到Mweb。

步驟3call_S計(jì)算Mweb的摘要，生成DA(Mweb)。

步驟4call_S驗(yàn)證S_DA(Mweb)和DA(Mweb)是否一致，是則執(zhí)行步驟5，否則提示并退出。

步驟5call_S判斷AE(Mweb)保持了存儲完整性，并輸出Mweb。

2.3.3 配件庫存信息傳輸安全的實(shí)現(xiàn)

由算法2得到Mweb，call_S繼續(xù)訪問Mweb中的Addrweb，觸發(fā)各地配件庫存信息向平臺集成，集成時(shí)配件庫存信息以XML格式傳輸，其安全傳輸過程如圖5所示，算法描述如算法3所示。

算法3配件庫存信息安全傳輸算法。

輸入：配件庫存信息partInf，協(xié)作企業(yè)E，E的公鑰PUE和私鑰PRE，E所屬聯(lián)盟盟主企業(yè)的公鑰PUEc和私鑰PREc。

輸出：partInf。

步驟1協(xié)作企業(yè)E端的集成機(jī)制integ_E調(diào)用E所屬聯(lián)盟盟主企業(yè)的公鑰PUEc，對partInf的敏感字段執(zhí)行非對稱加密算法AE(partInf′,PUEc),生成AE(partInf′)。

步驟2integ_E計(jì)算partInf的摘要，生成DA(partInf)。

步驟3integ_E將DA(partInf)||AE(partInf′)封裝成數(shù)據(jù)包，將其發(fā)送給平臺客戶端。

步驟4平臺客戶端集成機(jī)制integ_S提示查詢用戶輸入密鑰(盟主企業(yè)私鑰PREc)，用PREc對AE(partInf′)執(zhí)行解密操作，得到partInf。

步驟5integ_S用與協(xié)作企業(yè)端相同的消息摘要算法計(jì)算partInf的摘要，得到S_DA(partInf)。

步驟6integ_S驗(yàn)證DA(partInf)和S_DA(partInf)是否一致，是則執(zhí)行步驟7，否則提示并退出。

步驟7integ_S向用戶展示配件庫存信息明文。

3 汽車產(chǎn)業(yè)鏈協(xié)同SaaS平臺配件信息集成安全模型的安全性和可行性分析

3.1 安全性分析

本文提出的安全模型的安全性主要體現(xiàn)在以下方面：

(1)注冊企業(yè)的不可抵賴性 平臺客戶端用注冊企業(yè)私鑰進(jìn)行的數(shù)字簽名和平臺服務(wù)器端用注冊企業(yè)公鑰進(jìn)行的數(shù)字簽名驗(yàn)證保證了注冊企業(yè)的不可抵賴性。

(2)注冊信息的傳輸安全性 假設(shè)經(jīng)數(shù)字簽名和加密后的協(xié)作企業(yè)注冊信息在向平臺服務(wù)器端傳輸時(shí)被攻擊者X截獲篡改并重放。首先，攻擊者X沒有平臺的私鑰，不能解密出明文，保證了注冊信息的傳輸保密性；其次，不論X篡改的是截獲數(shù)據(jù)包的哪部分，平臺簽名驗(yàn)證注冊信息時(shí)，都會判斷為不一致而丟棄數(shù)據(jù)包(消息摘要算法的雪崩效應(yīng))，保證了注冊信息的傳輸完整性，如圖6所示。

(3)注冊信息的存儲安全性 協(xié)作企業(yè)的注冊信息以密文的形式與其消息摘要一起存儲在平臺私有UDDI中心。攻擊者X在竊取密文后，因沒有平臺私鑰而無法解密出明文，合法查詢請求事件則會觸發(fā)平臺端調(diào)用控制機(jī)制執(zhí)行注冊信息解密算法得到明文，從而保證了注冊信息的存儲保密性。若攻擊者X篡改了密文，則平臺端調(diào)用控制機(jī)制執(zhí)行存儲完整性驗(yàn)證算法將因校驗(yàn)不一致而丟棄數(shù)據(jù)包，從而保證了注冊信息的存儲完整性。

(4)配件庫存信息的傳輸安全性 類似(3)的分析，協(xié)作企業(yè)端集成機(jī)制和平臺端集成機(jī)制的加解密算法保證了配件庫存信息的傳輸保密性，消息摘要算法和消息摘要驗(yàn)證算法保證了傳輸完整性。圖7所示為某聯(lián)盟協(xié)作企業(yè)中“刮雨器電機(jī)帶支架總成”庫存未解密的展示數(shù)據(jù)(加密字段為“單價(jià)”和“數(shù)量”)，以及用輸入的盟主企業(yè)私鑰解密后的展示數(shù)據(jù)。

3.2 可行性分析

本文提出的安全解決方案可以概括為協(xié)作企業(yè)注冊信息的安全提交和協(xié)作企業(yè)配件庫存信息的安全集成兩個(gè)環(huán)節(jié)。待加密數(shù)據(jù)包括協(xié)作企業(yè)注冊信息和協(xié)作企業(yè)配件庫存信息敏感字段兩部分，兩部分的數(shù)據(jù)量都不大。考慮到密鑰管理的難度，本文采用非對稱加密技術(shù)加密數(shù)據(jù)，并選擇非對稱加密(Rivest Shamir Adleman, RSA)算法；另外，選擇SHA-1算法計(jì)算數(shù)據(jù)的消息摘要。實(shí)驗(yàn)的客戶端、服務(wù)器端和協(xié)作企業(yè)端均為2.60 GHz主頻、8 G內(nèi)存的PC機(jī)，實(shí)驗(yàn)環(huán)境為SQL Server 2008 R2，Visual Studio 2010，C#. Net。

注冊信息的安全提交由單個(gè)協(xié)作企業(yè)執(zhí)行，執(zhí)行操作的并發(fā)概率小，其過程分析如表3所示。執(zhí)行安全提交操作20次，客戶端的平均運(yùn)行時(shí)間小于10 ms，服務(wù)器端的平均運(yùn)行時(shí)間小于20 ms，因此判斷注冊信息安全提交方案可行。

表3 注冊信息安全提交過程分析

安全集成過程由用戶查詢操作驅(qū)動，包括注冊信息的安全存儲驗(yàn)證算法和配件庫存信息的安全傳輸算法，如表4所示。安全集成過程總的運(yùn)行時(shí)間主要取決于查詢事件涉及的協(xié)作企業(yè)數(shù)量，數(shù)量越多，平臺服務(wù)器端和客戶端分別對協(xié)作企業(yè)注冊信息和配件庫存信息進(jìn)行加解密的次數(shù)越多，相應(yīng)耗時(shí)也越長。平臺上每個(gè)聯(lián)盟一般有幾百家協(xié)作企業(yè)，每家協(xié)作企業(yè)一般有幾千種配件，本文只對配件的單價(jià)和庫存數(shù)量字段進(jìn)行加密。以企業(yè)聯(lián)盟P為例，聯(lián)盟P有協(xié)作企業(yè)406家，每家協(xié)作企業(yè)的配件種類有4 000～9 000種不等，查詢聯(lián)盟P內(nèi)所有協(xié)作企業(yè)的配件庫存，執(zhí)行20次，平臺服務(wù)器端和客戶端的平均運(yùn)行時(shí)間均小于300 ms；協(xié)作企業(yè)端為幾百家企業(yè)并行執(zhí)行非對稱加密與消息摘要算法，算法的平均運(yùn)行時(shí)間遠(yuǎn)小于300 ms。因此，判斷安全集成方案可行。

表4 安全集成過程分析

4 結(jié)束語

本文研究汽車產(chǎn)業(yè)鏈協(xié)同平臺售后服務(wù)環(huán)節(jié)配件庫存信息動態(tài)集成過程中的安全問題，針對協(xié)作企業(yè)注冊信息的身份認(rèn)證安全、傳輸安全、存儲安全，以及配件庫存信息Web服務(wù)的集成傳輸安全等問題，提出注冊信息安全提交方案、安全存儲和調(diào)用方案，以及配件庫存信息Web服務(wù)安全傳輸方案，保證了在平臺不可信的環(huán)境中，授權(quán)企業(yè)用戶能夠查詢到實(shí)時(shí)準(zhǔn)確的配件庫存信息，進(jìn)而做出正確的配件庫存決策，實(shí)現(xiàn)售后服務(wù)環(huán)節(jié)配件的協(xié)同供應(yīng)。下一步的工作主要是優(yōu)化本文提出的數(shù)據(jù)安全模型，研究如何提高算法執(zhí)行效率，使產(chǎn)業(yè)鏈協(xié)同SaaS平臺售后服務(wù)環(huán)節(jié)的協(xié)作更加高效。