AJAX技术结合加密技术在ERP系统中的应用

摘要：随着AJAX（Asynchronous JavaScript and XML）技术的广泛应用，它的方便性、快捷性、友好性，受到广大用户的认可，但是如果WEB上的用户名密码验证也采用AJAX技术，无疑会存在很大风险。利用AJAX技术结合加密技术，即能保持AJAX技术给用户带来的愉快体验，又能增强WEB互交时的安全性。

关键词：AJAX；加密；ERP

中图分类号：TP393.09 文献标识码：A文章编号：1007-9599 (2011) 10-0000-01

AJAX Technology Combines Encryption Technology Application in the ERP System

Zhou Jian,Zhao Zhenyi

(Wenzhou Vocational College of Science and Technology,Wenzhou325006,China)

Abstract:With the AJAX(Asynchronous JavaScript and XML)technology,widely used,its convenience,speed,friendliness,accept-

ance by the majority of users,but if the username and password on the WEB authentication also uses AJAX technology,no doubt there will be great risk.AJAX technology combines the use of encryption technology that is able to maintain the AJAX technology gives users a pleasant experience,but also enhance the interactive WEB when safety.

Keywords:AJAX;Encryption;ERP

一、引言

近年来随着以博客，社交网，微博，维基百科为代表的WEB2.0技术的应用，一种更注重用户体验的WEB浏览方式被广大用户所追捧，由于AJAX技术具备了：方便、快捷、友好的优点，顺应了这种潮流，因此得到了广泛的应用。

二、ERP现状

ERP即Enterprise Resource Planning，企业资源计划，是基于计算机技术和管理科学的最新发展，以信息技术为基础平台，融合了先进的企业管理理念，对企业各方面的资源进行充分的调配和平衡，并以最科学的方式整合企业资源，为企业决策层、管理层和操作层提供解决方案，快速达到组织目标（陈启申，2004）。

ERP，即企业资源计划，是由美国著名的咨询公司Gartner Group于90年代初提出的（黄小原，2006）。它代表了当前在全球范围内应用最广泛、最有效的一种企业管理方法，其实质是在制造资源计划（MRPII）基础上进一步发展而成的面向供应链的管理思想，综合应用了客户机/服务器体系、关系数据库结构、面向对象技术、图形用户界面、第四代语言（4GL）、网络通讯等信息产业成果。

目前，绝大多数ERP系统采用B/S三层结构，如图2-1，最大的优点就是可以在任何地方进行操作而不用安装任何专门的软件，只要有一台能上网的电脑就能使用，客户端零维护。系统的扩展非常容易。

图2-1.B/S的三层结构

由于B/S结构在ERP中大规模推广，不可避免的也带来了一系列的安全问题。因为，大部分的B/S系统都是在HTTP协议之上的，在HTTP的通道中传输数据是不会加密的，这样数据就很容易被窃取。当然，可以将系统升级到SSL的安全链接之上，这是一些银行网站的普遍做法，但是相对于ERP系统来说，成本过高，而且ERP上的数据安全性不如银行高，因此大部分的ERP系统架设者不会采用SSL的安全链接，不仅提高成本，还影响速度。那么如何解决这个问题？

三、AJAX结合加密技术

要解决上述问题，首先要了解ERP系统的安全要求。比起银行网站，普通的ERP系统安全要求要低，因此，ERP系统的数据中，可以分为需要安全加密，和无需安全加密两种。无需安全加密的数据，很明显可以继续使用HTTP的通道。所以，只要解决需要安全加密的数据的安全性，整个ERP系统的安全性就会得到极大的提升。

ERP系统中，一些是需要安全加密的数据有，比如用户登录系统时进行用户名和密码的验证，一般情况下设计者会将用户的用户名和密码置于网页的表单中，即FORM这个元素。当用户按下登录或者提交时，网页就会将这个FORM表单的数据使用HTTP通道从客户端发送服务端，安全隐患就在这个过程，密码以明文的形式在网络上传递，到了服务端，如果你的系统存储密码是用非对称加密，这时密码就会从明文加密到密文，然后和系统存储的密码密文进行比较，就能完成整个验证过程。

因此，只要在用户单击登录按钮时，AJAX即将发送数据时，在客户端将密码用非对称加密成密文，然后再从客户端发送到服务端，即使在网络中数据被人侦听、截获，因为是不可逆加密，所以不会泄露用户的密码。其实，就是在AJAX传输过程中，将需要安全加密的数据加密成密文，上一段以密码为例，采用的是非对称加密，因为服务端就存储着非对称加密的密文，只不过把密码加密成密文这个过程提前到传输以前，就能很好的提高系统的安全性。当然，在传输其它数据的时候，可根据数据的特性做相应的加密方法的改变，比如在传输生产数据时，如有安全需求，就可以采用对称加密，对称加密密钥再用非对称进行传输。

采用以上方法就可以在不增加系统负担的情况下，就能很好的提升系统的安全性，这种方法能够给目前众多正在运行的ERP系统所接受，是在原有的基础上进行的一次改变。

四、结束语

本文通过对ERP系统中传输数据存在安全性问题进行分析，将ERP系统中的数据分为，有安全需求和无安全需求。对有安全需求数据，从客户端向服务端传输前，进行对称加密或者非对称加密，在不提高系统开销的情况下提升系统的安全性，此方法十分具有可操作性，希望对以后同类型的系统有借鉴作用。

参考文献：

[1]陈启申.ERP一从内部集成起步[J].北京:电子工业出版社,2004,4

[2]黄小原,卢震,赵晓煌.ERP理论与构建[J].北京:科学出版社,2006,6(1):16-17

[作者简介]周剑，男，浙江温州人，软件设计师，本科，主要研究方向：计算机网络。