Windows 2000服務(wù)器家族--卓越的電子商務(wù)平臺(tái) 當(dāng)前的電子商務(wù)模式，比較流行的有Business to Business(B to B)和Business to Customer(B to C)兩種。這兩種模式各有特點(diǎn)，所以在實(shí)現(xiàn)時(shí)對(duì)操作系統(tǒng)和開(kāi)發(fā)方法的要求有所不同，但是Windows 2000服務(wù)器家族所具備的高性能、高可靠性、可伸縮性，以及集成在Windows 2000中的豐富的功能，為快速、可靠地建立功能強(qiáng)大的B to B和B to C電子商務(wù)系統(tǒng)提供了卓越的服務(wù)器平臺(tái)。本文將介紹Windows 2000服務(wù)器家族對(duì)建立電子商務(wù)應(yīng)用的支持。 支持電子商務(wù)的特性和服務(wù) Internet Information Server 5.0 絕大多數(shù)的電子商務(wù)系統(tǒng)，是建立在WWW的基礎(chǔ)上的。Windows 2000服務(wù)器中內(nèi)置了一個(gè)新的Web服務(wù)器--Internet Information Server(IIS) 5.0。在Windows NT 4.0的平臺(tái)上，4.0版本的IIS以其強(qiáng)大的服務(wù)能力和豐富的開(kāi)發(fā)手段，使其成為了電子商務(wù)的主要服務(wù)器平臺(tái)。現(xiàn)在IIS 5.0在原有的基礎(chǔ)上，又增加了許多新的功能。 IIS 5.0將運(yùn)行在它上面的Web站點(diǎn)應(yīng)用和IIS核心服務(wù)隔離開(kāi)來(lái)，而且可以對(duì)每個(gè)站點(diǎn)應(yīng)用配置獨(dú)立的CPU使用率，并可以獨(dú)立停止和重起每個(gè)進(jìn)程。這大大提高了Web服務(wù)器的可靠性和穩(wěn)定性，是您建立的電子商務(wù)站點(diǎn)運(yùn)行的更加可靠。 在安全性方面，IIS 5.0可以使用Windows 2000 Active Directory實(shí)現(xiàn)用戶(hù)身份的驗(yàn)證，也可以使用證書(shū)和Active Directory的結(jié)合來(lái)驗(yàn)證用戶(hù)。這為電子商務(wù)系統(tǒng)提供了即靈活又可靠的對(duì)用戶(hù)身份的確認(rèn)。 IIS 5.0上的Web站點(diǎn)的開(kāi)發(fā)使用的時(shí)Active Server Page (ASP) 3.0。ASP提供了強(qiáng)大的功能和與Windows的緊密集成，同時(shí)ASP 3.0又進(jìn)一步提高了效率。ASP 3.0提供了和XML的集成，同時(shí)也可以用ADSI 2.0對(duì)Windows 2000 Active Directory進(jìn)行操作。使用Microsoft Visual InterDev 6.0開(kāi)發(fā)工具，您可以快速建立您的電子商務(wù)系統(tǒng)，也可以建立一個(gè)復(fù)雜但是功能強(qiáng)勁的電子商務(wù)系統(tǒng)。 7×24小時(shí)不停頓服務(wù) 對(duì)于一些關(guān)鍵性的電子商務(wù)站點(diǎn)，能否提供不停頓的服務(wù)是一個(gè)重要的條件。Windows 2000 Advance Server的Windows群集服務(wù)可以使用兩臺(tái)服務(wù)器建立2個(gè)節(jié)點(diǎn)的群集，而Windows 2000 Datacenter Server則可以建立4個(gè)節(jié)點(diǎn)的群集。群集的建立使得在某臺(tái)服務(wù)器出現(xiàn)故障時(shí)，其他服務(wù)器可以接管他的工作，保證系統(tǒng)的運(yùn)行。 Windows群集服務(wù)的另一個(gè)功能是能夠?yàn)閃eb服務(wù)器建立32個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)流量平衡的群集，也就是最多可以同時(shí)有32臺(tái)服務(wù)器作為同一個(gè)Web站點(diǎn)提供服務(wù)而不需要額外的硬件設(shè)備。這個(gè)功能可以用于建立為大量用戶(hù)同時(shí)提供服務(wù)的大型電子商務(wù)站點(diǎn)。 網(wǎng)絡(luò)連接支持 在Windows 2000中，TCP/IP是作為唯一的缺省網(wǎng)絡(luò)協(xié)議來(lái)安裝的。Windows 2000中的TCP/IP是符合Internet標(biāo)準(zhǔn)的，可以和任何支持TCP/IP的計(jì)算機(jī)通訊。在Windows 2000中，TCP/IP的實(shí)現(xiàn)經(jīng)過(guò)了仔細(xì)的優(yōu)化，可以提供優(yōu)越的網(wǎng)絡(luò)通訊性能。 Windows 2000的TCP/IP增加了IPSec，可以自動(dòng)為兩臺(tái)計(jì)算機(jī)之間的數(shù)據(jù)傳遞進(jìn)行加密，為電子商務(wù)提供更好的安全性。 在Intranet/Extranet的方式中，電子商務(wù)的用戶(hù)可能系統(tǒng)使用虛擬私有網(wǎng)(VPN)以提供更強(qiáng)的數(shù)據(jù)安全性。 Windows 2000的路由和遠(yuǎn)程訪問(wèn)服務(wù)同時(shí)提供了撥號(hào)用戶(hù)接入和VPN的功能。 Windows 2000同時(shí)提供了PPTP和L2TP兩種VPN方式。 Windows 2000還提供了對(duì)ATM的支持，為將來(lái)高帶寬的網(wǎng)絡(luò)連接做好了準(zhǔn)備。 證書(shū)服務(wù) Windows 2000的公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)使用符合X..509標(biāo)準(zhǔn)的證書(shū)。通過(guò)Active Directory，Windows 2000可以將證書(shū)用于數(shù)據(jù)加密、用戶(hù)身份驗(yàn)證、智能卡登錄、加密文件系統(tǒng)等。 證書(shū)服務(wù)是Windows 2000的CA。證書(shū)服務(wù)可以為Windows 2000網(wǎng)絡(luò)用戶(hù)頒發(fā)證書(shū)，也可以通過(guò)IIS為其他用戶(hù)頒發(fā)證書(shū)。Windows 2000的證書(shū)服務(wù)器可以建立樹(shù)形結(jié)構(gòu)，由根CA向分支CA提供CA證書(shū)，然后分支CA在向用戶(hù)頒發(fā)證書(shū)。 Windows 2000上的電子商務(wù)系統(tǒng)既可以使用Windows 2000的證書(shū)服務(wù)，也可以使用其它第三方CA提供的證書(shū)。 電子商務(wù)系統(tǒng)開(kāi)發(fā) Windows 2000的分布式開(kāi)發(fā)結(jié)構(gòu)，為開(kāi)發(fā)大型的電子商務(wù)站點(diǎn)提供了基礎(chǔ)。內(nèi)置的MS DTC服務(wù)和Message Queuing服務(wù)，可以用于開(kāi)發(fā)分布式的應(yīng)用。新的ADO 2.5為訪問(wèn)各種不同類(lèi)型的數(shù)據(jù)庫(kù)提供了統(tǒng)一的接口。通過(guò)在ASP中使用ADO，不但可以訪問(wèn)關(guān)系型的數(shù)據(jù)庫(kù)，如Microsoft SQL Server和Oracle Server，還可以訪問(wèn)Exchange Server的數(shù)據(jù)庫(kù)和Active Directory的目錄數(shù)據(jù)庫(kù)。 Windows 2000不但本身具備了多種能力，而且還是一個(gè)優(yōu)秀的應(yīng)用服務(wù)器操作系統(tǒng)。在Windows 2000上運(yùn)行的其他Microsoft服務(wù)器產(chǎn)品和第三方產(chǎn)品，也為建立電子商務(wù)系統(tǒng)提供了各種條件。Microsoft Site Server 3.0 Commerce Edition是專(zhuān)門(mén)用于建立電子商務(wù)系統(tǒng)的服務(wù)器軟件。Site Server 3.0 Commerce Edition運(yùn)行在Windows 2000上，可以使用它的向?qū)Чぞ呖焖俳⒁粋€(gè)電子商務(wù)站點(diǎn)，也可以使用它提供的對(duì)象開(kāi)發(fā)一個(gè)功能強(qiáng)大的站點(diǎn)。 電子商務(wù)的安全性 在電子商務(wù)系統(tǒng)的實(shí)現(xiàn)中，安全問(wèn)題一直是最受到關(guān)注的問(wèn)題。因?yàn)殡娮由虅?wù)系統(tǒng)的運(yùn)行經(jīng)常涉及到非常敏感或非常有價(jià)值的數(shù)據(jù)，所以任何在安全問(wèn)題上的漏洞都可能造成巨大的損失。 在計(jì)算機(jī)環(huán)境的安全性問(wèn)題上，主要有三個(gè)需要解決的問(wèn)題： l 用戶(hù)身份的識(shí)別 首先需要保證正在使用系統(tǒng)的人就是你所授權(quán)可以使用系統(tǒng)的那個(gè)人，必須有方法防止有人冒名頂替或欺騙 l 數(shù)據(jù)存儲(chǔ)的安全 要有完整的安全策略來(lái)保護(hù)敏感的數(shù)據(jù)，只有得到特定授權(quán)的人才可以對(duì)數(shù)據(jù)進(jìn)行指定的操作 l 數(shù)據(jù)傳遞的安全 電子商務(wù)的數(shù)據(jù)肯定需要在網(wǎng)絡(luò)上傳輸，必須防止有人偷聽(tīng)和非法修改在網(wǎng)絡(luò)上傳遞的數(shù)據(jù)，必須對(duì)數(shù)據(jù)進(jìn)行加密 同時(shí)，好的安全系統(tǒng)還要求為設(shè)置和維護(hù)安全性提供簡(jiǎn)單而有效的方法。在Windows 2000服務(wù)器家族中，提供了一系列的內(nèi)置的安全特性和服務(wù)，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全性和對(duì)電子商務(wù)的支持。 Public Key Infrastructure (PKI) 公鑰基礎(chǔ)結(jié)構(gòu)（PKI）是Windows 2000系統(tǒng)的分布式安全性的基礎(chǔ)。公共密鑰系統(tǒng)使用的是一對(duì)密鑰，其中一個(gè)是用戶(hù)的私有密鑰，由用戶(hù)保存在安全的地方；另一個(gè)是用戶(hù)的公共密鑰，公開(kāi)給其他人。使用用戶(hù)的公鑰加密的數(shù)據(jù)，必須用用戶(hù)的私鑰才能解開(kāi)。在Windows 2000環(huán)境中，公共密鑰系統(tǒng)可以用于Web用戶(hù)身份驗(yàn)證、Web服務(wù)器身份驗(yàn)證、安全電子郵件、IPSec、代碼簽名、加密文件系統(tǒng)等。 發(fā)布公鑰使用的公鑰證書(shū)，通常簡(jiǎn)稱(chēng)為'證書(shū)'。證書(shū)是包含了證書(shū)的所有者、公鑰、有效期、頒發(fā)者和其他信息的一個(gè)數(shù)據(jù)結(jié)構(gòu)。現(xiàn)在使用的證書(shū)多數(shù)是基于X.509標(biāo)準(zhǔn)，Windows 2000的PKI也是使用這個(gè)標(biāo)準(zhǔn)。在Windows 2000中，證書(shū)的頒發(fā)和管理可以使用內(nèi)置的證書(shū)服務(wù)（Certificate Service），也可以使用第三方頒發(fā)的證書(shū)。 用戶(hù)身份驗(yàn)證 Active Directory是Windows 2000中的目錄服務(wù)，也是Windows 2000最核心的服務(wù)之一。 在Windows 2000的網(wǎng)絡(luò)環(huán)境中，Active Directory的最主要的功能就是實(shí)現(xiàn)用戶(hù)身份的驗(yàn)證。Windows 2000的用戶(hù)身份驗(yàn)證使用的是Kerberos V5協(xié)議，這種驗(yàn)證方法最大的好處是可以實(shí)現(xiàn)單一注冊(cè)，也就是允許用戶(hù)通過(guò)在網(wǎng)絡(luò)中的一個(gè)地方的一次登錄就可以使用網(wǎng)絡(luò)上他可以獲得的所有資源。對(duì)于非Windows 2000的用戶(hù)，也可以使用原來(lái)的NTLM的身份驗(yàn)證方式。 在身份驗(yàn)證時(shí)，用戶(hù)需要提供他的有效的用戶(hù)名和口令。但是作為對(duì)這種傳統(tǒng)的身份驗(yàn)證的增強(qiáng)，在Windows 2000中還可以使用智能卡進(jìn)行身份驗(yàn)證。在智能卡中存放了用戶(hù)的個(gè)人信息和他的私鑰，用戶(hù)登錄時(shí)必須在讀卡機(jī)中插入他的智能卡，同時(shí)輸入對(duì)應(yīng)的個(gè)人識(shí)別碼（PIN），才能通過(guò)身份驗(yàn)證。 相對(duì)于口令驗(yàn)證，智能卡有更強(qiáng)的安全性。因?yàn)榭诹畋容^容易被不懷好意的人得到，被猜測(cè)到的可能性也較大。而智能卡就像一把無(wú)法復(fù)制的鑰匙，只有拿在手里才能打開(kāi)大門(mén)。用智能卡進(jìn)行身份驗(yàn)證需要Windows 2000 PKI的支持。 對(duì)于用戶(hù)身份驗(yàn)證的管理，Active Directory還提供的進(jìn)一步的配置。在Active Directory中設(shè)置了一系列的安全模板，可以方便的配置特定的Windows 2000系統(tǒng)的安全性。在安全模板中，詳細(xì)地設(shè)定了各方面的安全配置，包括用戶(hù)賬戶(hù)、用戶(hù)操作的審核、各類(lèi)事件的記錄、對(duì)系統(tǒng)服務(wù)的配置，對(duì)注冊(cè)表和文件系統(tǒng)的安全管理。 在電子商務(wù)系統(tǒng)中，某些情況下無(wú)法通過(guò)Active Directory實(shí)現(xiàn)用戶(hù)身份的驗(yàn)證，例如用戶(hù)是通過(guò)Internet而不是Intranet訪問(wèn)電子商務(wù)系統(tǒng)。一般情況下用戶(hù)使用的由證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)給他的證書(shū)來(lái)遞交身份的驗(yàn)證。此時(shí)Active Directory允許將指定的證書(shū)映射到對(duì)應(yīng)的用戶(hù)賬戶(hù)，也可以將多個(gè)證書(shū)指定的一個(gè)用戶(hù)賬戶(hù)。這樣通過(guò)Internet訪問(wèn)的用戶(hù)也具有了Active Directory驗(yàn)證的身份，同時(shí)具有對(duì)各種對(duì)資源訪問(wèn)的權(quán)力。 用戶(hù)所擁有和使用的證書(shū)，可以是由Windows 2000內(nèi)置的證書(shū)服務(wù)Certificate Service頒發(fā)，也可以是由其他受信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)。 數(shù)據(jù)存儲(chǔ)的安全性 在Windows 2000系統(tǒng)中，數(shù)據(jù)存儲(chǔ)在NTFS 5.0格式的分區(qū)或卷中。在NTFS的文件系統(tǒng)中，每個(gè)文件和文件夾都有相應(yīng)的用戶(hù)訪問(wèn)控制列表(Access Control List)。任何一個(gè)通過(guò)了身份驗(yàn)證的用戶(hù)，如果需要訪問(wèn)一個(gè)文件，必須是在這個(gè)文件的訪問(wèn)控制列表中已經(jīng)有了相應(yīng)的賦予這個(gè)用戶(hù)的許可。對(duì)于沒(méi)有獲得許可的用戶(hù)，Windows 2000將禁止他對(duì)這個(gè)文件的操作。在NTFS 5.0文件系統(tǒng)中，對(duì)訪問(wèn)控制的配置是可繼承的，也就是在上一級(jí)文件夾上配置的訪問(wèn)控制可以一直向下作用到它包含的文件和子文件夾中。這個(gè)功能可以使文件系統(tǒng)的安全配置更加簡(jiǎn)單。 在Windows 2000中，還可以配置對(duì)指定文件的審核。審核可以讓管理員看到有哪些用戶(hù)對(duì)這個(gè)文件進(jìn)行了什么樣的操作。對(duì)于一些關(guān)鍵的文件，審核可以增加系統(tǒng)的安全性。 NTFS文件系統(tǒng)提供了用戶(hù)對(duì)文件訪問(wèn)的控制，但是存放在物理設(shè)備（硬盤(pán)等）上的數(shù)據(jù)是沒(méi)有加密的。所以仍然存在可能繞過(guò)Windows 2000操作系統(tǒng)而直接訪問(wèn)物理設(shè)備上的數(shù)據(jù)，從而造成泄密。對(duì)于這種情況，Windows 2000提供了加密文件系統(tǒng)(EFS)。加密文件系統(tǒng)也是使用了PKI，存放在物理設(shè)備上的數(shù)據(jù)都是經(jīng)過(guò)加密的數(shù)據(jù)，只有文件的所有者（用戶(hù)）才能使用這些文件。數(shù)據(jù)的加密和解密需要用戶(hù)的公鑰和私鑰，但是整個(gè)過(guò)程對(duì)用戶(hù)來(lái)講是透明的，用戶(hù)感覺(jué)不到數(shù)據(jù)的加解密處理。 數(shù)據(jù)傳輸?shù)陌踩? 對(duì)于電子商務(wù)來(lái)講，數(shù)據(jù)在公共網(wǎng)絡(luò)上的傳輸是不可避免的。于是數(shù)據(jù)在傳輸過(guò)程中就很可能被被竊聽(tīng)、攔截和欺騙。要保證數(shù)據(jù)傳輸?shù)陌踩仨殞?duì)傳輸中的數(shù)據(jù)進(jìn)行加密。 當(dāng)我們用IIS 5.0作為電子商務(wù)的Web服務(wù)器平臺(tái)，用Internet Explorer來(lái)連接到這個(gè)站點(diǎn)時(shí)，為了獲得安全性，可以使用Web服務(wù)器的安全套接字層（Security Sockets Layer, SSL）。SSL在Web瀏覽器（IE）和Web服務(wù)器（IIS）之間建立安全（https://）的通信連接，使用公共密鑰技術(shù)對(duì)通信的數(shù)據(jù)進(jìn)行加密。默認(rèn)情況下加密使用40位長(zhǎng)度的密鑰，受到密鑰出口長(zhǎng)度的限制，在中國(guó)不能使用128位長(zhǎng)度的密鑰。但是IIS 4.0中增加了服務(wù)器網(wǎng)關(guān)加密（SGC），可以使用128位的密鑰專(zhuān)門(mén)為金融機(jī)構(gòu)提供全球范圍的安全數(shù)據(jù)傳遞。 數(shù)據(jù)加密傳輸?shù)牧硪环N方法是可以使用虛擬私有網(wǎng)（VPN）。VPN可以在公共的網(wǎng)絡(luò)（Internet）上建立一個(gè)安全的數(shù)據(jù)傳輸隧道，這樣用戶(hù)在使用公共網(wǎng)絡(luò)時(shí)就可以象使用自己的內(nèi)部網(wǎng)絡(luò)一樣。Windows 2000支持的VPN方式為點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。其中PPTP使用Microsoft點(diǎn)對(duì)點(diǎn)加密（MPPE）方式對(duì)數(shù)據(jù)進(jìn)行加密，而L2TP則使用IPSec。IPSec直接對(duì)IP包進(jìn)行加密，還可以用于在兩臺(tái)計(jì)算機(jī)之間的直接的數(shù)據(jù)加密傳輸。在某些基于Intranet/Extranet形式的電子商務(wù)系統(tǒng)中，經(jīng)常會(huì)采用某種形式的VPN讓遠(yuǎn)程的用戶(hù)連接到內(nèi)部網(wǎng)絡(luò)。(清華微軟高級(jí)技術(shù)培訓(xùn)中心 徐曉峰)