Windows 2000 電子商務平臺

Windows 2000服務器家族--卓越的電子商務平臺 當前的電子商務模式，比較流行的有Business to Business(B to B)和Business to Customer(B to C)兩種。這兩種模式各有特點，所以在實現時對操作系統和開發方法的要求有所不同，但是Windows 2000服務器家族所具備的高性能、高可靠性、可伸縮性，以及集成在Windows 2000中的豐富的功能，為快速、可靠地建立功能強大的B to B和B to C電子商務系統提供了卓越的服務器平臺。本文將介紹Windows 2000服務器家族對建立電子商務應用的支持。 支持電子商務的特性和服務 Internet Information Server 5.0 絕大多數的電子商務系統，是建立在WWW的基礎上的。Windows 2000服務器中內置了一個新的Web服務器--Internet Information Server(IIS) 5.0。在Windows NT 4.0的平臺上，4.0版本的IIS以其強大的服務能力和豐富的開發手段，使其成為了電子商務的主要服務器平臺?，F在IIS 5.0在原有的基礎上，又增加了許多新的功能。 IIS 5.0將運行在它上面的Web站點應用和IIS核心服務隔離開來，而且可以對每個站點應用配置獨立的CPU使用率，并可以獨立停止和重起每個進程。這大大提高了Web服務器的可靠性和穩定性，是您建立的電子商務站點運行的更加可靠。 在安全性方面，IIS 5.0可以使用Windows 2000 Active Directory實現用戶身份的驗證，也可以使用證書和Active Directory的結合來驗證用戶。這為電子商務系統提供了即靈活又可靠的對用戶身份的確認。 IIS 5.0上的Web站點的開發使用的時Active Server Page (ASP) 3.0。ASP提供了強大的功能和與Windows的緊密集成，同時ASP 3.0又進一步提高了效率。ASP 3.0提供了和XML的集成，同時也可以用ADSI 2.0對Windows 2000 Active Directory進行操作。使用Microsoft Visual InterDev 6.0開發工具，您可以快速建立您的電子商務系統，也可以建立一個復雜但是功能強勁的電子商務系統。 7×24小時不停頓服務 對于一些關鍵性的電子商務站點，能否提供不停頓的服務是一個重要的條件。Windows 2000 Advance Server的Windows群集服務可以使用兩臺服務器建立2個節點的群集，而Windows 2000 Datacenter Server則可以建立4個節點的群集。群集的建立使得在某臺服務器出現故障時，其他服務器可以接管他的工作，保證系統的運行。 Windows群集服務的另一個功能是能夠為Web服務器建立32個節點的網絡流量平衡的群集，也就是最多可以同時有32臺服務器作為同一個Web站點提供服務而不需要額外的硬件設備。這個功能可以用于建立為大量用戶同時提供服務的大型電子商務站點。 網絡連接支持 在Windows 2000中，TCP/IP是作為唯一的缺省網絡協議來安裝的。Windows 2000中的TCP/IP是符合Internet標準的，可以和任何支持TCP/IP的計算機通訊。在Windows 2000中，TCP/IP的實現經過了仔細的優化，可以提供優越的網絡通訊性能。 Windows 2000的TCP/IP增加了IPSec，可以自動為兩臺計算機之間的數據傳遞進行加密，為電子商務提供更好的安全性。 在Intranet/Extranet的方式中，電子商務的用戶可能系統使用虛擬私有網(VPN)以提供更強的數據安全性。 Windows 2000的路由和遠程訪問服務同時提供了撥號用戶接入和VPN的功能。 Windows 2000同時提供了PPTP和L2TP兩種VPN方式。 Windows 2000還提供了對ATM的支持，為將來高帶寬的網絡連接做好了準備。 證書服務 Windows 2000的公共密鑰基礎結構(PKI)使用符合X..509標準的證書。通過Active Directory，Windows 2000可以將證書用于數據加密、用戶身份驗證、智能卡登錄、加密文件系統等。 證書服務是Windows 2000的CA。證書服務可以為Windows 2000網絡用戶頒發證書，也可以通過IIS為其他用戶頒發證書。Windows 2000的證書服務器可以建立樹形結構，由根CA向分支CA提供CA證書，然后分支CA在向用戶頒發證書。 Windows 2000上的電子商務系統既可以使用Windows 2000的證書服務，也可以使用其它第三方CA提供的證書。 電子商務系統開發 Windows 2000的分布式開發結構，為開發大型的電子商務站點提供了基礎。內置的MS DTC服務和Message Queuing服務，可以用于開發分布式的應用。新的ADO 2.5為訪問各種不同類型的數據庫提供了統一的接口。通過在ASP中使用ADO，不但可以訪問關系型的數據庫，如Microsoft SQL Server和Oracle Server，還可以訪問Exchange Server的數據庫和Active Directory的目錄數據庫。 Windows 2000不但本身具備了多種能力，而且還是一個優秀的應用服務器操作系統。在Windows 2000上運行的其他Microsoft服務器產品和第三方產品，也為建立電子商務系統提供了各種條件。Microsoft Site Server 3.0 Commerce Edition是專門用于建立電子商務系統的服務器軟件。Site Server 3.0 Commerce Edition運行在Windows 2000上，可以使用它的向導工具快速建立一個電子商務站點，也可以使用它提供的對象開發一個功能強大的站點。 電子商務的安全性 在電子商務系統的實現中，安全問題一直是最受到關注的問題。因為電子商務系統的運行經常涉及到非常敏感或非常有價值的數據，所以任何在安全問題上的漏洞都可能造成巨大的損失。 在計算機環境的安全性問題上，主要有三個需要解決的問題： l 用戶身份的識別 首先需要保證正在使用系統的人就是你所授權可以使用系統的那個人，必須有方法防止有人冒名頂替或欺騙 l 數據存儲的安全 要有完整的安全策略來保護敏感的數據，只有得到特定授權的人才可以對數據進行指定的操作 l 數據傳遞的安全 電子商務的數據肯定需要在網絡上傳輸，必須防止有人偷聽和非法修改在網絡上傳遞的數據，必須對數據進行加密 同時，好的安全系統還要求為設置和維護安全性提供簡單而有效的方法。在Windows 2000服務器家族中，提供了一系列的內置的安全特性和服務，來實現網絡系統的安全性和對電子商務的支持。 Public Key Infrastructure (PKI) 公鑰基礎結構（PKI）是Windows 2000系統的分布式安全性的基礎。公共密鑰系統使用的是一對密鑰，其中一個是用戶的私有密鑰，由用戶保存在安全的地方；另一個是用戶的公共密鑰，公開給其他人。使用用戶的公鑰加密的數據，必須用用戶的私鑰才能解開。在Windows 2000環境中，公共密鑰系統可以用于Web用戶身份驗證、Web服務器身份驗證、安全電子郵件、IPSec、代碼簽名、加密文件系統等。 發布公鑰使用的公鑰證書，通常簡稱為'證書'。證書是包含了證書的所有者、公鑰、有效期、頒發者和其他信息的一個數據結構?，F在使用的證書多數是基于X.509標準，Windows 2000的PKI也是使用這個標準。在Windows 2000中，證書的頒發和管理可以使用內置的證書服務（Certificate Service），也可以使用第三方頒發的證書。 用戶身份驗證 Active Directory是Windows 2000中的目錄服務，也是Windows 2000最核心的服務之一。 在Windows 2000的網絡環境中，Active Directory的最主要的功能就是實現用戶身份的驗證。Windows 2000的用戶身份驗證使用的是Kerberos V5協議，這種驗證方法最大的好處是可以實現單一注冊，也就是允許用戶通過在網絡中的一個地方的一次登錄就可以使用網絡上他可以獲得的所有資源。對于非Windows 2000的用戶，也可以使用原來的NTLM的身份驗證方式。 在身份驗證時，用戶需要提供他的有效的用戶名和口令。但是作為對這種傳統的身份驗證的增強，在Windows 2000中還可以使用智能卡進行身份驗證。在智能卡中存放了用戶的個人信息和他的私鑰，用戶登錄時必須在讀卡機中插入他的智能卡，同時輸入對應的個人識別碼（PIN），才能通過身份驗證。 相對于口令驗證，智能卡有更強的安全性。因為口令比較容易被不懷好意的人得到，被猜測到的可能性也較大。而智能卡就像一把無法復制的鑰匙，只有拿在手里才能打開大門。用智能卡進行身份驗證需要Windows 2000 PKI的支持。 對于用戶身份驗證的管理，Active Directory還提供的進一步的配置。在Active Directory中設置了一系列的安全模板，可以方便的配置特定的Windows 2000系統的安全性。在安全模板中，詳細地設定了各方面的安全配置，包括用戶賬戶、用戶操作的審核、各類事件的記錄、對系統服務的配置，對注冊表和文件系統的安全管理。 在電子商務系統中，某些情況下無法通過Active Directory實現用戶身份的驗證，例如用戶是通過Internet而不是Intranet訪問電子商務系統。一般情況下用戶使用的由證書頒發機構頒發給他的證書來遞交身份的驗證。此時Active Directory允許將指定的證書映射到對應的用戶賬戶，也可以將多個證書指定的一個用戶賬戶。這樣通過Internet訪問的用戶也具有了Active Directory驗證的身份，同時具有對各種對資源訪問的權力。 用戶所擁有和使用的證書，可以是由Windows 2000內置的證書服務Certificate Service頒發，也可以是由其他受信任的證書頒發機構頒發的證書。 數據存儲的安全性 在Windows 2000系統中，數據存儲在NTFS 5.0格式的分區或卷中。在NTFS的文件系統中，每個文件和文件夾都有相應的用戶訪問控制列表(Access Control List)。任何一個通過了身份驗證的用戶，如果需要訪問一個文件，必須是在這個文件的訪問控制列表中已經有了相應的賦予這個用戶的許可。對于沒有獲得許可的用戶，Windows 2000將禁止他對這個文件的操作。在NTFS 5.0文件系統中，對訪問控制的配置是可繼承的，也就是在上一級文件夾上配置的訪問控制可以一直向下作用到它包含的文件和子文件夾中。這個功能可以使文件系統的安全配置更加簡單。 在Windows 2000中，還可以配置對指定文件的審核。審核可以讓管理員看到有哪些用戶對這個文件進行了什么樣的操作。對于一些關鍵的文件，審核可以增加系統的安全性。 NTFS文件系統提供了用戶對文件訪問的控制，但是存放在物理設備（硬盤等）上的數據是沒有加密的。所以仍然存在可能繞過Windows 2000操作系統而直接訪問物理設備上的數據，從而造成泄密。對于這種情況，Windows 2000提供了加密文件系統(EFS)。加密文件系統也是使用了PKI，存放在物理設備上的數據都是經過加密的數據，只有文件的所有者（用戶）才能使用這些文件。數據的加密和解密需要用戶的公鑰和私鑰，但是整個過程對用戶來講是透明的，用戶感覺不到數據的加解密處理。 數據傳輸的安全性 對于電子商務來講，數據在公共網絡上的傳輸是不可避免的。于是數據在傳輸過程中就很可能被被竊聽、攔截和欺騙。要保證數據傳輸的安全，必須對傳輸中的數據進行加密。 當我們用IIS 5.0作為電子商務的Web服務器平臺，用Internet Explorer來連接到這個站點時，為了獲得安全性，可以使用Web服務器的安全套接字層（Security Sockets Layer, SSL）。SSL在Web瀏覽器（IE）和Web服務器（IIS）之間建立安全（https://）的通信連接，使用公共密鑰技術對通信的數據進行加密。默認情況下加密使用40位長度的密鑰，受到密鑰出口長度的限制，在中國不能使用128位長度的密鑰。但是IIS 4.0中增加了服務器網關加密（SGC），可以使用128位的密鑰專門為金融機構提供全球范圍的安全數據傳遞。 數據加密傳輸的另一種方法是可以使用虛擬私有網（VPN）。VPN可以在公共的網絡（Internet）上建立一個安全的數據傳輸隧道，這樣用戶在使用公共網絡時就可以象使用自己的內部網絡一樣。Windows 2000支持的VPN方式為點對點隧道協議（PPTP）和第二層隧道協議（L2TP）。其中PPTP使用Microsoft點對點加密（MPPE）方式對數據進行加密，而L2TP則使用IPSec。IPSec直接對IP包進行加密，還可以用于在兩臺計算機之間的直接的數據加密傳輸。在某些基于Intranet/Extranet形式的電子商務系統中，經常會采用某種形式的VPN讓遠程的用戶連接到內部網絡。(清華微軟高級技術培訓中心 徐曉峰)