业务外包与企业认证

2024-09-18

业务外包与企业认证（精选9篇）

业务外包与企业认证篇1

1 我国质量认证存在的问题

随着我国加入世界贸易组织后对外贸易的飞速发展, 自2002年到2008年, 我国获得质量管理体系认证的各类企业数量已连续七年居世界第一。但是, 我国的质量认证还存在很多问题。例如, 获得认证的企业质量管理体系运行有效性不高, 多数企业质量管理的基本方法和工具不常用、个别质量认证机构所做的质量认证报告不实、虚假认证等。以上提到的质量认证的问题归根结底是由质量认证监管机制存在缺陷造成的。虽然我国认证认可监督管理委员会加强了对质量认证市场的整顿力度和对违规、造假认证的处罚, 但是由于监管机制不够完善、执行力不够, 使认证成为认证机构与企业之间的博弈行为。本文通过研究质量认证市场存在的博弈关系, 分析质量认证可能出现的问题的原因, 并提出解决问题相应的建议。

2 博弈模型中的要素和假设

一个博弈模型的描述必须具备的三个要素:一是局中人 (即参与人) , 每局博弈中至少有两个参与人。二是局中人的策略, 即规定各局中人在博弈过程中可以选择的行为或行为水平的全体。三是支付矩阵, 即参与主体在不同策略下确定不同收益组成的效用矩阵。在本文的博弈中, 博弈的参与人为认证机构和认证企业两方, 认证企业是指参与认证的独立的以盈利为目的的企业;认证机构是指独立于制造商、销售商和消费者的具有法人资格的第三方机构, 在规定的范畴内对企业进行认证, 同样以盈利为目的。而且在本次博弈中, 双方采取的策略都为“合作”与“不合作”, 支付矩阵如下图1所示。

假设在认证中, 认证企业与认证机构对彼此参与博弈的成本、收益等信息不能通过任何途径准确了解, 即存在信息不对称。而且, 博弈可能是一次的静态博弈, 也可能是多次的动态博弈。下面对企业质量认证存在的问题通过博弈的方法进行分析。

3 企业质量认证存在的问题的博弈分析

企业在进行质量认证的过程中, 与认证机构既存在合作关系, 也存在利益冲突的不合作关系, 这样的关系决定企业既想要与认证机构积极合作在企业中贯彻认证, 又想通过认证机构在最短的时间内, 以最少的成本取得认证证书。以下是对问题的博弈分析。

3.1 企业从短期利益出发的质量认证问题的博弈分析

企业从短期利益出发的质量认证, 多数是为了公关、宣传的需要, 或是为了获取证书, 满足某市场的准入条件。不考虑认证有效期内的审核, 我们可以将企业的质量认证过程看作是单次的博弈。

假设, 认证企业与认证机构在认证之前是互不了解的, 双方都以自身利益最大化为原则。我们将此博弈定义为非合作博弈, 即每个参与者都单独的选择它的策略, 而完全忽略其他参与者的决策。在此博弈中, 认证企业在认证的过程中会将会采取两种策略, 要么是积极合作策略, 要么是不合作策略, 即[合作, 不合作], 认证机构也采用同样的策略, 即[合作, 不合作]。认证机构和认证企业采取的策略不同, 取得的收益也会各不相同, 其中a12>a22>a11>a21>0, b12>b22>b11>b21>0, a表示认证企业获得的收益, b表示认证机构获得的收益;下标1表示采取不合作策略, 2表示采取合作策略;aij (i=1、2, j=1、2) 表示认证企业采取i策略, 认证机构j策略, 认证企业获得的收益;bij (i=1、2, j=1、2) 表示认证机构采取i策略, 认证公司采取j策略, 认证机构获得的收益。两者的支付矩阵如上图1所示:

当认证机构选择不合作策略时, 认证企业选择不合作策略 (a11>a21) ;当认证机构选择合作策略时, 认证企业选择不合作策略 (a12>a22) 。因此无论认证机构选择合作策略, 还是投机策略, 认证企业都会选择不合作策略。同样的, 无论认证企业选择不合作还是合作策略, 认证机构都会选择不合作策略。在这个博弈中, “不合作策略”是认证机构与认证企业的占优策略, 纳什均衡[不合作, 不合作]是双方的占优策略均衡。

也就是说, 在以取得证书为目的的一次博弈中, 认证机构和认证企业都会选择短期利益最大化的不合作策略, 这样的认证中出现问题是必然的。

3.2 企业从长期利益出发的质量认证问题的博弈分析

从长期利益出发, 获证之后, 企业在认证有效期内需要进行一年一度的审核, 这就可以把质量认证中的认证企业与认证机构看作是无限次重复的博弈, 每次博弈都构成纳什均衡。而且, 考虑到资金的时间价值, 即折现率不等于0。资金的时间价值, 是指一定量资金在不同时点上的价值量差额。通常情况下, 它相当于没有风险也没有通货膨胀情况下的社会平均利润率。折现率可视为资金时间价值的一种具体表现。净现值, 是指项目计算期内, 按设定折现率或基准收益率计算的每年净现金流量现值的代数和, 是考虑资金时间价值的投资决策的动态指标。

假设认证企业和认证机构采取不合作策略的概率都为p (0≤p≤1) , 则他们首次选择合作策略时的概率为1-p。引入折现率i (0

3.2.1 企业的净现值分析

(1) 认证机构首先做出不合作的决策时, 企业的净现值

认证机构首次选择了不合作策略, 之后双方始终采取[不合作, 不合作]策略, 认证企业的净现值

认证企业首次选择了合作策略, 根据纳什均衡, 之后双方会一直采取[不合作, 不合作]策略, 认证企业的净现值

当认证机构首次选择不合作策略时, 认证企业的期望净现值

(2) 认证机构首先做出合作的决策时, 企业的净现值

认证机构首次选择合作战略, 双方始终采取[合作, 合作]策略, 此时, 认证企业的净现值NPV3=a22[1+1/ (1+i) +1/ (1+i) 2+…]=a22 (1+i) /i

认证企业首次选择不合作策略, 根据纳什均衡, 之后双方一直采取[不合作, 不合作]策略, 认证企业的净现值

当认证机构首次采取合作策略时, 认证企业的期望净现值

3.2.2 认证企业净现值的优化分析

当认证机构采取不同的策略时, 认证企业的期望净现值为

在p、i满足什么条件时F取得极大值, 首先, 对F求关于p的一阶导数, 使其等于0:

再对F求关于p的二阶导数, 使其小于0

进一步推导得

求解 (1) 式得2a11≥a12+a21

由a22+a11-a12-a21<0和a22>a11得2a11≤a12+a21, 故 (1) 的解不合题意, 舍去。

因假设考虑资金的时间价值所以i=0的解舍去, 即p=1, 不合作的解舍去, 所以当, 此时F取极大值。

当i=2 (a22-a11) / (a12+a21-2a22) 时, p=0, 说明此时的认证企业和认证机构都采取公开策略, 企业期望净现值取得极大值。

3.3 结论

从以上的博弈模型可证明, 从短期利益出发的一次博弈中, 即企业获得质量认证资格证书, 认证机构获取认证收益的博弈中。认证双方为实现自身利益的最大化, 一定都会选择不合作的占优策略, 这使企业产品质量和质量管理水平得不到提高, 也使质量认证机构的权威性、公正性降低。

在多次的博弈中, 考虑到资金的时间价值, 并对期望净现值进行优化后得出的结果, 双方将选择合作策略, 此时双方收益取得最大化。这是因为在反复的认证中企业与认证机构之间的信息不完全被消除。认证机构欺骗企业, 企业可以向监管部门投诉, 要求认证机构赔偿;企业想要在质量认证方面对认证机构隐瞒, 认证机构也会在反复的认证注意到这些问题, 并对企业所获得的质量认证做出相关的惩处。因此, 审核工作将会有效地约束认证机构和企业的违规认证行为, 并消除认证中可能存在的问题。

国家认证认可监督管理委员加强统一管理、监督和综合协调全国认证认可工作将会大大增强质量认证有效性。认证监管部门积极参与将会加强认证机构按照规章制度进行认证, 使其不仅做好证书颁发前的审核工作, 而且加强认证有效期内的审核工作, 从而有效避免认证出现的问题。

4 解决问题的相关建议

综合以上对质量认证中企业与认证机构之间博弈关系的分析的结果, 对提高企业质量管理体系认证科学性、有效性和质量管理水平, 提出以下几点措施:

首先, 政府部门对企业进行质量认证做出正确的倡导, 加强质量认证机构认证资格的评定, 大力倡导普及群众性质量改进活动, 加强质量认证监督部门与其他部门合作, 加强质量认证问题的监督, 将违规认证、虚假认证等扼杀在萌芽中。

其次, 质量认证监管部门完善质量认证监管机制, 健全认证机构的认可评价体系, 加强对质量认证机构的监督管理, 加大对违规认证的惩罚力度, 强制要求认证机构对其认证的企业做出认证承诺, 并在其认证的企业出现质量事故时承担一定的连带责任。

第三, 加强对企业质量认证方面的指导。转变企业领导与员工对质量与质量认证的认识, 加强对员工质量素质培养, 提高全面质量管理意识, 要以质量认证为契机引入规范管理、全方位提升质量管理的方法与工具, 将质量管理意识切实落到企业质量管理的各方面、各环节, 树立全员参与的质量观。

第四, 质量认证机构加强行业自律, 严格按照相关法律法规做好质量认证和质量认证有效期内的审核工作, 明确制定审核工作周期。并加强质量认证从业人员的培训, 提高质量认证从业人员的素质。

参考文献

[1]我国获得质量管理体系认证企业连续7年居世界第一[N].新华社上海, 2009年10月22日.

[2]陈邦柱, 高举全面质量管理大旗努力加强服务能力建设[R].中国质量, 2010.1.

[3]2009:质量水平总体提升管理水平喜中有忧[R].中国质量, 2010.1.

[4]李保明著.效应理论与纳什均衡的选择-对协调与合作问题的探讨[M].经济科技出版社, 北京, 2003年8月.

[5]张琦译.博弈论与经济学[M].经济管理出版社, 北京, 2005年4月第一版.

[6]中级会计资格/财政部会计资格评价中心编, 财务管理[M].中国财政经济出版社, 北京, 2007.10.

业务外包与企业认证篇2

为了有效地杜绝养老金多领、冒领现象的发生，保证养老基金的安全性，对所有企业离退休及供养人员每年进行一次生存认证。需本人持有效二代居民身份证前来办理，参保人员和身份证上的照片要仔细核对，如有疑问的可请人帮忙核对，也可以询问参保人员的相关信息（如出生年月、居住地住等），如果是冒领人员，会有心虚的表现。对有些因特殊情况不能本人前来办理的，需提供相应的证明材料方给以办理。

一、注意事项如下：

1、对于居住在偏远地区因行动不便、身患残疾的企业离退休人员及供养人员，可以提供相应的村委资料由他人代为办理；

2、已出境定居的离退（职）休人员需提供相应的驻外大使馆健在证明材料；

3、居住在县域外的离退休人员，可以持《异地居住离退休人员领取养老金资格协助认证表》到当地的社保经办机构协助办理，再邮寄回我处。

4、如遇本单位同事担保做健在证明的，需提供参保人员的姓名、身份证号码，担保人员要签字为准。

5、以上资料都要保存归档。

二、系统操作程序：

1、生存认证系统操作程序：养老待遇管理→生存认证→本打钩（如2015）

→认证

2、因未生存认证而待遇暂停的人员前来办理的系统操作程序：

养老待遇管理→退休待遇恢复（业务信息栏恢复原因显示：退休生存证明已

报；恢复年月无需手工改动，系统会自动显示）→审

核后→生存认证（步骤同上）★注意事项：待遇暂停大致有以下几种原因（因帐号有误而银行退回的、重复享受待遇的、未生存认证等等）。待遇暂停原因消除后停发的待遇再予补发。

3、查询待遇暂停原因系统操作方法：个人管理→个人综合查询→操作日志。

三、退休人员死亡其家属需持退休人员的身份证和死亡证明（火化证明）前来办理。

审计认证业务风险浅析篇3

(一) 两者同属于审计业务范畴

审计认证业务与传统的财务报表审计业务同属于审计业务范畴, 注册会计师都要以独立、客观公正的第三者身份接受委托, 对被审计对象进行专业的鉴证、评价, 并出具审计报告;要经过计划、搜集证据、评价鉴证、出具报告的过程。该过程对注册会计师的独立性和专业胜任能力都有较高的要求, 决定了在审计业务时注册会计师始终都处于风险之中。

(二) 两者的目标差异

审计认证业务与财务报表审计业务的本质目标是一致的。作为同属于审计业务范畴的业务, 其本质目标都是保证受托责任的全面有效履行。但其具体的目标存在差异:财务报表审计旨在评价、鉴定财务报告的真实性、合法性和公允性;而审计认证业务多是在评价、鉴证的基础上对系统的安全性、效率性、效果性等方面是否符合相关标准与规定的要求的认证。

(三) 两者对注册会计师专业知识要求的差异

不论是从事财务报表审计还是审计认证业务, 对注册会计师专业胜任能力都有较高的要求, 但由于认证业务涉及行业的广泛性和认证内容的多样性, 审计认证业务对注册会计师的专业胜任能力要求更高。审计认证业务除了要注册会计师具备传统的会计、审计、管理学等方面的知识外, 对电子信息技术、网络技术、伦理学等方面的知识也要求精通。

(四) 两者理论基础的差异

财务报表审计有较为完善的理论基础, 技术手段也随着科技的进步不断发展。审计认证业务对于注册会计师而言属于新型业务, 虽然审计界不断对注册会计师开展审计认证业务进行探索, 但其理论基础比较薄弱, 特别是审计功能拓展理论中风险理论研究的不足, 不能为注册会计师从事审计认证务时对风险的衡量与控制提供技术手段与理论支持。

(五) 两者报告形式的差异

财务报表审计的审计报告一定是由两名具有签字资格的注册会计师签发的书面形式, 而审计认证报告的形式可以是书面的, 也可以是其他形式的, 具有多样性。且认证并不是每年一次, 具有其持续性。

二、审计认证业务的风险分析

(一) 主体风险

虽然注册会计师具有丰富的认证工作经验和专业知识, 在消费者看来具有超然独立、客观、公正的第三者的职业形象, 但会计师事务所并不是唯一的认证服务机构, 其他的中介机构在认证业务经验上要比注册会计师有优势。同时, 审计认证业务对注册会计师有较高专业素质要求, 注册会计师如果在业务中过分信赖自己的专业经验, 忽视知识的学习更新与结合实际分析认证对象的特殊性, 容易在认证时作出错误的认证, 从而导致风险的发生。

(二) 对象风险

不同的行业具有不同的市场特点, 不同的审计认证对象具有不同的特点, 因此在审计认证中针对不同的对象需要设计不同的认证程序。事务所会针对一个行业设计一种通用的审计认证程序, 具体认证会根据对象的不同属性进行确定具体的认证程序。但认证对象处于不断变化中, 这无疑给事务所带来风险与成本的权衡选择问题。基于成本效益原则, 事务所不会针对每一个认证对象设计专门细化的认证程序, 而是将认证对象属性近似的一类设置相对固定的认证程序。这样事务所会因认证对象承担一定程度的风险, 这一风险是不能忽略的。

(三) 需求者风险

认证信息的使用者往往对涉及的专业知识知之甚少, 也没有机会做实际调查, 所以注册会计师的认证信息对其而言是极具价值的。在认证业务中, 审计期望差的存在使注册会计师易遭受诉讼。有诉讼偏好的认证信息使用者一旦从服务商处得不到满意的产品、服务或者遭受损失, 在对服务商进行索赔同时, 会将认证信息的提供者——注册会计师一并诉讼, 这比传统的财务报表审计遭受的诉讼要频繁的多。

(四) 法律风险

新兴产业在我国市场上缺乏足够的法律规范, 针对新兴产业的法律法规更新的速度是较快的, 一旦有针对性的法律法规的出台与实施, 必然会给注册会计师在目前条件下从事的认证业务带来不利的影响。在我国的法律环境下, 大部分人认为注册会计师从事审计业务的法律风险是较小的, 但随着法律体系的完善, 未来注册会计师面临的将是更加苛刻的法律环境。

(五) 行业风险

认证业务是一种认证对象多样化、属性多样化、信息需求者分布行业广泛、业务发生频繁的一种服务, 其需要的保证程度较传统的财务报表审计相对更高。在目前的非注册会计师认证市场上, 政府规章、统一化标准等对认证的要求非常严格, 注册会计师除了要遵守相关的规章外, 更要注重相关审计准则与法规。审计认证作为一种保证程度更高的审计服务, 其认证内容与具体业务联系更加紧密, 其动态属性带来的是动态的风险。

三、审计认证业务的风险控制

(一) 识别风险控制策略

借鉴风险管理理论的风险评级与排序的2×2矩阵 (图1) 来识别、评级和排序认证风险。常用的策略主要有接受风险、转移风险、控制风险以及消除风险等。针对于A、B、C、D四个不同区域的认证风险采用不同的管理策略: (1) 处于A区间的风险发生的概率高、影响大。当该区域的风险可控性和资源消耗超出事务所的承受范围, 不符合成本效益原则, 事务所可以考虑退出战略以消除业务风险。 (2) 处于B区间的风险发生概率低, 但影响恶劣。注册会计师可以考虑通过购买职业保险或提取风险基金的方式接受或转移风险。 (3) 处于C区间的风险发生概率高, 影响小。频发的此类风险使注册会计师花费大量的精力来应对。因此, 注册会计师在日常的实务中应予以控制此类风险。 (4) 处于D区间的风险发生概率低、影响小。注册会计师在成本效益的原则下, 不会在此类风险的应对上花费太多的审计资源, 但并不意味着此类风险可以忽略。

(二) 选择风险应对措施

主要包括: (1) 谨慎选择审计认证服务对象。除了对专业胜任能力、独立性等应考虑的因素外, 还要充分了解待认证对象的相关信息, 尽量规避信用较差、风险存在重大不确定性的客户。 (2) 提高从业人员的素质。审计认证业务从业人员专业知识的拓展非常重要, 同时注册会计师还应增强风险意识, 做好被诉讼的准备。 (3) 缩小期望差。审计期望差的存在易导致注册会计师遭受诉讼, 注册会计师应合理的提高认证的保证程度, 缩小审计期望差, 降低风险程度。 (4) 提取风险基金, 建立风险应对机制。参与保险成为个人和企业应对风险的重要手段。事务所在开展认证业务时也可以通过保险的形式将业务风险转移, 或者提取风险基金建立风险应对机制。 (5) 制度规范的保障。目前我国的会计、审计法规的制定机构并没有就注册会计师从事认证业务制定相关的规定, 但审计认证业务最终会成为会计师事务所的重要业务之一。法规制定机构应提前制定相关规定, 为注册会计师从事该业务提供法规和标准的指南。

参考文献

[1]蔡春、黄益建:《审计认证论》, 中国时代经济出版社2006年版。

[2][英]比尔.维特, 李正全译:《风险管理与危机解决》, 上海人民出版社2004年版。

[3]刘伟华译:《风险管理 (ACCA) 》, 中信出版社2002年版。

[4]李若山、杜滨、曹利:《二十一世纪审计职业服务范围的变革》, 《审计研究》2001年第2期。

[5]方红星:《注册会计师保证服务的发展与研究》, 《中国注册会计师》2005年第5期。

[6]林启云:《注册会计师非审计业务研究》, 东北财经大学出版社2004年版。

业务外包与企业认证篇4

我们经常在商品包装上看到外方内圆，里面有个“S”的图标，还带有CHINA的字样，表示经过了我国的企业产品质量认证。但好多人并不知道它的意义，也不了解它，更不知道它的问题，下面我就来阐述一下。

所谓的产品质量认证制度：是指依据具有国际水平的产品标准和技术要求，经过认证机构确认并通过颁发认证证书和产品质量认证标志的形式，证明产品符合相应标准和技术要求的活动。分为安全认证和合格认证。

推行产品质量认证制度的目的，是通过对符合认证标准的产品颁发认证标志，便于消费者识别，也有利于提高经认证合格的企业和产品的市场信誉，增强产品的市场竞争能力，以激励企业加强质量管理，提高产品质量水平。同时，由作为第三方的认证机构对产品质量进行认证，已成为许多国家保证产品质量的一种普遍做法。经过质量认证的产品可以方便地进入国际市场，有利于进一步促进我国对外经济贸易的发展。

实行产品质量认证的目的是保证产品质量，提高产品信誉，保护用户和消费者的利益，促进国际贸易和发展国际质量认证合作。其意义具体表现在以下几方面：

1、提高商品质量信誉和在国内外市场上的竞争力

商品在获得质量认证证书和认证标志并通过注册加以公布后，就可以在激烈的国内国际市场竞争中提高自己产品质量的可信度，有利于占领市场，提高企业经济效益。

2、提高商品质量水平，全面推动经济的发展

商品质量认证制度的实施，可以促进企业进行全面质量管理，并及时解决在认证检查中发现的质量问题；可以加强国家对商品质量进行有效地监督和管理，促进商品质量水平不断提高。同时，已取得质量认证的产品，还可以减少重复检验和评定的费用。

3、提供商品信息，指导消费，保护消费者利益，提高社会效益

消费者购买商品时，可以从认证注册公告或从商品及其包装上的认证标志中获得可靠的质量信息，经过比较和挑选，购买到满意的商品。

不仅如此，产品质量认证还能促进企业的发展，推动推动经济增长方式从粗放型向集约型转变。中国加入WTO一方面为国内企业发展提供了契机，为中国企业参与国际竞争、拓展国际市场、引进和消化国际通行的管理经营模式和理念提供了很好环境；另一方面，国家宏观管理和市场监督政策及管理手段与国际的接轨也使企业的生存面临严峻的考验，企业自身产、供、销等环节的管理与运作能否适应竞争环境是企业面临的重大问题。应该说开展产品质量认证活动，为企业提供了很好的外力与内力的共促作用。开展产品质量认证对企业自身的管理、生产、营销、服务等经营活动有以下几方面好处：

一、企业可以改善和优化内部产、供、销等过程。突出体现在：

1、提高管理效率。取得质量认证资格必须具备的一个基本条件是企业必须按照标准要求建立质量体系。企业在建立产品质量体系和取得认证的过程，运用质量管理体系标准先进的管理理念，重组和界定部门及人员的职责，并以文件化、法制化的质量体系文件规范管理，理顺人、财、物、信息等内部流通及反馈的各种关系，以达到提高管理效率、增强管理层决策效能的目的。

2、提高人员素质。通过建立和优化质量管理体系，能有效贯彻标准的全员参与和人员培训与考核的要求，使企业培训具有目的性、针对性和计划性，考核筛选最适合岗位的人员上岗，以激发人员学习与提高的主动性，从而保证人员素质满足企业不断发展的需要。

3、有效降低生产成本。通过对影响质量的主要因素、生产过程的识别与有效控制，在运行中采取自我能力评价和纠正、预防措施的机制，建立产品零部件供应商资质评价、零部件适应性开发、产品供货质量控制等措施，降低生产、经营等环节的不合格品率，降低产品研发与市场推广的风险，以达到减少物耗成本。

4、促进企业产品技术改进。遵循设计要素的控制原则，企业可建立较完善的产品技术改进和产品结构调整过程中的开发、设计、验证、更新运行机制，缩短从产品设计到市场销售的周期，增强产品的市场适应能力。

可以说通过产品质量认证企业引进了由企业质量管理专家、产品技术专家、产品质量诊断专家组成的综合评价及诊断系统，强化了企业对自身问题的识别与处理能力，也拓宽了与外界环境的交流渠道，通过内外力的有机结合，推动企业发展。

二、企业可以增强市场竞争能力。突出体现在：

l、企业通过取得认证资格，提高了合同执行效率、进一步完善了服务、提高了产品实物质量，树立了企业、产品和服务的信誉，建立了品牌形象。

2、增强市场竞争力，扩大市场占有份额。由于运行质量保证体系和符合产品认证需要的专业技术及管理要求，企业在内部设计能力、产品的生产组织、产品质量的稳定性、销售及用户服务等市场行为进一步规范，降低了各环节成本，提高了产品附加价值，从而促进企业扩大销售渠道和销售量，实现优质优价，获得更大利润。

3、有助于企业树立全球经济竞争意识。随着全球经济一体化的发展趋势和中国加入世界贸易组织后宏观环境的变化，特别是国家有计划有步骤地实施产品质量认证的国际互认，使企业产品顺利走向国际市场和生产基地的国际化成为可能。建立并运行质量体系，优化产品生产结构和提高产品质量，是企业在市场竞争异常激烈的环境中生存与发展的手段，也是企业取得国际通行证，为自身发展战略目标的实现提供了有效的保证。

4、顺应国家有关产品质量监督管理变革。在《中华人民共和国产品质量法》中第九条明确提出“国家根据国际通用的质量管理标准，推行企业质量体系认证制度”。随着国家质量监督检验检疫总局对认证工作的加强和“一证代多证”的管理改革思路，企业获得产品质量认证资格，可避免重复抽查和检验。

但是，任何事情都有利有弊，我国的质量认证还不够完善，还存在着许多问题，有待我们解决完善。

其中，有些企业在产品获得质量认证，成为免检商品后，就不像以前那么认真生产了，经常会出现一些企业的商品质量下降，服务质量下降，最终导致产品销售停滞，导致企业出现危机甚至是破产。

例如：三鹿集团曾是中国最大奶粉制造商之一，其奶粉产销量连续十五年全中国第一。但是，曾经的免检产品，因为疏于奶源检查，结果导致部分奶源被长期掺入三氯氰胺，直接危害了饮用者的人身安全，最后导致企业破产。这不仅让三鹿付出了代价，更是让中国的奶制品行业付出了惨痛的代价。因为三鹿奶粉事件，许多奶制品销售受阻，企业形象在全国、乃至全世界严重下降，直接影响了我国奶制品在世界市场的竞争力。导致我国的奶制品行业需要几年才能恢复原来的活力。

另外，我国的某些行业还不够发达，无法形成有力的产品质量认证。比如汽车制造业，这就使得我国的质量认证说服力不强，特别是在世界市场，我国的质量认证并不一定被认可，还要经过国外的检验。

还有，获得质量认证合格后，容易让员工有懈怠心理，导致部分员工工作态度不积极，影响企业运转，降低企业的生产效率。并且，企业获得产品质量认证资格，可避免重复抽查和检验，这就使得企业放松心态，产生类似三鹿集团的时间。并且，出现了类似三鹿事件的事情，是对我国质量认证的打击，是我国质量认证体系的权威下降。

有些时候，企业会专和经过质量认证的企业合作，这不仅不能充分的利用各种资源，还会是新兴企业举步难见，难以发展，这就影响了我国经济发展，破坏经济扩展。

所以，综上所述，我国的质量认证体制还存在很大的问题。

因此，我们不仅要看到质量认证给我们带来的好处、意义，更要看到它的问题，尽快完善，使我国的质量认证体系进一步发展，为我国经济的发展做出更大的贡献，带来更大的意义。

论述我国企业产品质量认证的意义与存在系别：专业班级：姓名：学号：问题

市场营销

物流0802

王跃

业务外包与企业认证篇5

1.1 IP网络上业务联合认证带来的便利

世界上的许多发明创造来源于仿生学,而虚拟世界(互联网世界)上的许多应用和规则来源于现实世界上已有的应用和规则。在现实世界中随着社会的发展和人们之间业务交往的不断增加,全球各国之间的合作交流越来越多,这不可避免地要有国家之间的人员往来,为保证各国安全,在有双边协议的国家和地区之间具有人员互访的相关政策,其中普遍使用的是护照和签证制度。下面以一个主权国家外的人员进入一个主权国家时需要进行的相关认证和授权流程:

(1)从人出生开始就针对每一个人做一些相关的身份档案(如出生证明等);

(2)根据其个人信息由国家的权威结构(如国家公安管理部门)认证并签发身份证件(身份证、护照等),并根据相关规定定期进行审查和核实工作;

(3)在某人需要获得某项许可(如进入国境)时,由相关的机关或管理部门(如大使馆等)针对申请人历史资料信息以及其他相关的政策或策略信息进行授权(如签证等);

(4)然后获得签证的人员可以在签证允许的范围内进入获得签证的国家。

在一个国家的公民获得进入某个其他需求进行签证国家的签证过程可以看出,其中一个公民的护照便是该公民的一个身份标识,在申请签证时所提交的相关材料与拟进入国家的相关政策为是否给予签证的策略,而所获得的签证便为对申请签证公民的授权。对于非生根签证成员国的签证而言,该签证仅可作为进入签发签证的一个国家,而对于生根签证成员国(即德国、法国、西班牙、葡萄牙、荷兰、比利时、卢森堡、意大利、希腊、奥地利、芬兰、挪威、冰岛、瑞典、丹麦)所给予的签证,则相当于“联合的”签证。

若将上面的现实社会中的签证获得过程对应于虚拟空间的认证和授权而言,非生根签证成员国的签证对应于访问一个业务系统需要进行一次认证,而申根国家的签证则对应于通过一个业务系统的认证和授权,并可以访问具有联合协议关系的其他业务系统的联合认证。而对于生根签证国家之间具有联合确认的给予签证的共同原则并在具体实施时使用,在得到生根签证的人员进入到生根成员国中非签证授权国时根据各国的要求需要进入该国的人员在规定的时间内到专门机构进行登记。生根签证的方便性给国家和个人都带来了很大的方便,为此加入到生根成员国的国家逐渐增加。

若将覆盖全球的Internet看作是一个虚拟的世界的话,则可以将在Internet网络上提供各种业务的IP网络业务系统类比于各个国家。在目前所采用的业务系统访问控制方式与进入各个国家前需要获得护照和签证相类似。由于IP网络上的业务系统的种类和数量远远超过现实社会中的国家的数量,为此在现实社会中在签证方面可以采用几个国家联合起来组成一个生根成员国组织,在虚拟世界中也以采用类似的方式在多个业务系统之间建立起一个联盟,每一个联盟的成员可以有独立的认证和授权系统,其结果可以根据联盟成员之间的协议相互认可。

1.2 IP网络业务联合认证基本需求

在IP网络上进行认证和鉴权与在现实社会上进行类似的认证和鉴权不同点在于,在现实社会中所有关于个人的认证和鉴权是通过个人的签名、个人的照片与本人对应与个人所在的单位以及共同工作的同事等来提供针对个人的一些证明材料,提供的证明材料通常是采用实物来进行。进行认证和鉴权可以采用面对面的方式进行。而在虚拟的网络世界中提供的相关的信息需要通过网络来传递、信息采用的格式和内容的写法需要采用共同遵守的格式和语法进行。目前已经组建了采用不同认证协议的认证和鉴权系统的各业务系统。为此在进行IP网络业务联合认证和鉴权时应考虑如下一些需求:

(1)需要规定各业务系统之间采用的共同认证结果等凭证语法和语言;

(2)需要规定各业务系统之间传递认证凭证等相关信息的封装格式和传输协议;

(3)需要规定进行联合认证系统之间进行联合认证的相关中间件的一致性;

(4)在使用联合认证时尽可能不改变业务系统已经组建的认证和鉴权系统;

(5)使用联合认证的各业务系统之间具有各方均认可的“联盟”协议。

2 IP网络业务联合认证发展背景

2.1 发展背景

事实上联合认证的思想并不是全新的理念,I-ETF的PKIX研究组所制定的一套基于X.509和PKI的第三方认证架构标准就是一个可应用于跨越平台提供相互认证的一种体系架构。我国也建设了基于PKI的CA认证中心,但由于基于PKI的认证系统价格问题和使用时的复杂性。目前基于PKI的认证体系应用与其他业务中仅是理论上的一种方法,很少将其应用于实际应用中。目前IP电话、IP视讯会议系统大多使用RADIUS认证系统实现对与会者的认证,其认证是在一个较为封闭的范围内进行,对于跨系统的认证还没有好的解决方案。

这种情况下自本世纪初,一些组织进行了联合标志管理和联合认证相关标准制定、产品研究、开发和应用试验等工作。

2.2 基本思想

对于每一个业务提供者和每一个内容提供者而言,他们均希望直接对用户进行管理以为用户更好的服务或从用户处获得最大的利益。为此在Internet这个虚拟的世界中,每一个提供有偿信息资源的Web业务提供者均以会员制方式或明码标价的方式从用户处收取相应的信息费用。对于一个用户而言若使用由不同信息提供者提供的服务需要到每一个信息提供者处注册并在使用所提供的业务时通过信息提供者的认证。因每一个信息提供者处均有其各自的认证系统,而传统的认证技术(如Radius协议、Diameter协议等)均是采用客户端—服务器的方式(该种方式非常适合于Web业务本身的客户端—服务器的业务提供方式)进行,故用户在每次使用一个信息提供者提供的业务时均需要进行一次认证。

在这种业务运行方式下,业界目前正在研究在多个信息提供者之间的联盟,在用户已经在这些信息提供者处注册后,信息提供者询问用户是否希望将其与另一个或几个信息提供者处的注册信息进行联合,以便在用户通过了一个信息提供者处的认证后通知与其有联盟关系的其他信息提供者,使得用户在使用其他信息提供者提供的业务时不需要重新进行认证。在这种联盟关系中信息提供者可以使用相同或不相同的认证方式,用户也可以在不同的信息提供者处采用不同的用户名和密码进行注册。

2.3 联合认证技术的实施需解决的相关问题

从“联合”一词本身来看就包含有了多个业务的提供者,而对于认证本身来讲需要使用某种认证技术。谈到联合,不同的业务提供者之间必须对其所提供服务的用户进行身份标识以区分用户的身份,出于隐私的考虑需要区分用户在现实社会中的身份和在网络上使用的临时身份,需要考虑经过认证的认证结果的表示形式以及在相互信任并具有协议的业务提供者之间进行传递所采用的相关协议,传输这些采用标准化的格式的认证结果的传输协议,描述用户及业务系统相关信息的元数据、对于相关协议的一致性检查方式、联合认证技术应用于不同业务环境下的应用配置。

与认证密切相关的问题是授权问题。业务认证的目的一方面是为了验证用户的身份以便对用户使用业务实施计费,另一方面是处于安全的原因,区分用户的不同身份来为用户提供不同种类以及有不同安全级别要求的业务。这就要求提供根据用户提供的信息区分用户的不同属性,根据针对用户不同属性的不同策略来为用户提供相应的业务或服务。这需要有标准化的描述不同策略的格式和方式。

3 IP网络业务联合认证技术发展状况

3.1 国外发展情况

国外在联合认证技术研究起步于2001年左右,现在有试验系统在运行,但还没有形成大规模产业。影响较大的项目有Internet2的Shibboleth项目和Liberty联盟计划,OASIS发布的SAML和XACML标记语言标准,以及Microsoft联合IBM制定的WS-Federation标准。

3.1.1 Shibboleth项目

Shibboleth项目是美国Internet2项目的一个,于2003年公布了1.0版本。研究内容主要为跨机构认证和授权框架,它定义了一种机构间的合作架构,通过一个联邦可以查询所有参加合作的单位。如果有人访问那些共享网络服务,共享服务将通过联邦通知该用户身份的管理者认证该身份。认证工作由身份管理者完成,不属于Shibboleth框架。认证通过后,共享服务将根据服务自身授权的要求向身份管理者提交属性请求,并根据返回的用户属性决定授权。授权工作由被访问的网络服务完成,也不属于Shibboleth框架。可以说,形容Shibboleth最好的词汇是“框架”,它只实现了建立联盟最主要的部分,具体的认证和授权工作都交给机构自己去完成。

Shibboleth的优点是非常灵活,缺点是联盟组织方式太过简单和松散,该项目目前主要应用在教学科研机构。Shibboleth从2003年开始应用于美国的一些大学,2005年该系统的推广得到快速发展,目前全球有超过500个地区在使用该系统,其中芬兰、瑞士、美国和英国等地区基于该项目分别建立了自己的机构联盟,仅美国的联盟InCommon中就有二十多所大学参加。另一个对Shibboleth比较感兴趣的研究方向是网格计算,Globus和Condor项目以此为基础分别开发了GridShib和CondorShib用于加强它们在跨机构合作时的安全管理。

3.1.2 Liberty联盟

Liberty联盟成立于2001年9月,到2006年3月有全球超过150家企业、非盈利组织和政府部门加入该联盟,包括SUN、IBM、Intel、HP、AOL等在网络安全领域国际领先的企业。与Shibboleth相比,Liberty计划提出了身份联合框架(Identity Federation Framework,ID-FF)、身份Web服务框架(Identity Web Services Framework,ID-WSF)、服务接口规范(Service Interface Specifications,ID-SIS)。可以说,Liberty的研究核心是用户身份(Identity),通过在多个身份认证机构之间建立一种信任关系缔结身份联盟,构成信任圈。这种信任关系让一个用户在一个网站登录,也可以访问另一个网站,实现了信任域内部的单点登录和简化登录(Single Sign On,Simplified Sign On,SSO)。

3.1.3 SAML

无论是Shibboleth项目还是Liberty联盟计划,虽然它们在实现跨机构的方式上各有侧重,在技术上却都采用了SAML语言,并且不同程度地影响了SAML语言和跨机构联合认证与授权技术标准的发展。SAML(Security Assertion Markup Language)是一种在不同安全域之间交换身份验证和授权凭证的标准,它主要规范了两部分内容:安全信息交换格式和交换方式。声明(Assertion)是SAML的基本数据对象,定义了需要交换的内容,包括认证声明、属性声明、授权决议声明3种形式。SAML同时定义了一组请求/应答,分别用于在安全实体间交换声明、身份识别符等信息。

致力于电子商务标准化的国际组织OASIS(Organization for the Advancement of Structured Information Standards,结构信息标准推进组织)在2002年5月公布了SAML1.0标准。在2005年公布了SAML2.0标准。并于2006年6月SAML 2.0作为ITU-T建议X.1141成为ITU-T的正式标准建议。SAML语言定义的初衷是安全信息交换,在它的1.0和1.x版本中体现得非常充分。但是,随着Shibboleth和Liberty对SAML的采用和这两个项目在跨域认证和授权以及单点登录方面的影响越来越大,SAML在它的2.0版本中引入了Liberty的身份联合框架ID-FF,与Shibboleth的关系也越来越密切。自身的完善为SAML带来了更为广阔的发展空间,在其他安全项目中也被广泛采用。

3.1.4 XACML

XACML(e Xtensible Access Control Markup Lan-guage)是OASIS在2003年通过的一种通用的访问控制策略语言,它提供了请求主体(用户)与请求目标(资源)的行为(请求)规则的语法(基于XML)。XACML对访问控制策略语言和请求/响应(request/response)两方面都进行了描述。一个请求消息包含进行访问控制决策所必须的属性信息,包括主体(subject)属性的子集、行为(action)的属性、所请求资源(resource)的属性及执行环境的属性集。策略决策机制会根据一组策略对该请求消息进行评估。一个策略由两部分组成:一个目标(target)和一组规则(rule)。目标就是策略实施的对象,而规则是规定请求者提供的属性进行运算的规则。对于访问控制决策可能需要多重策略和规则,XACML定义了许多规则组合算法,从而把多个决策结果组合得到一个结果。当一个请求消息按照策略被评估后,一个XACML响应消息就返回。这个响应消息既传递了一个访问控制决策信息,同时也含有请求者在使用资源时必须履行的义务(obligation)的信息。

XACML体系结构与SAML体系结构是紧密相关的。它们有很多相同的概念,要处理的问题域也在很大程度上重叠:验证、授权和访问控制。但是在同一问题域中,它们要解决的是不同的问题。SAML要解决的是验证,并提供一种机制,在协同实体间传递验证和授权决策,而XACML则专注于传递这些授权决策的机制。

SAML标准提供了允许第三方实体请求验证和授权信息的接口。内部如何处理这些授权请求则由XACML标准解决。XACML不但处理授权请求,而且还定义了一种机制,来创建进行授权决策所需的规则、策略和策略集的完整基础设施。SAML和XACML结合为本项目的实现提供了很好的技术基础。

3.1.5 WS-Federation

Microsoft和IBM是WS-Federation的主要开发者,WS-Federation是两家公司开发的多个Web服务规范之一。这项规范没有建立在SAML 1.x的基础之上,虽然它与SAML和自由联盟ID-FF相似。WS-Federation涵盖与自由联盟ID-FF 1.2同样广泛的功能性,包括对多边身份联邦、账户链接、SSO以及隐私保护的支持。并且同SAML和自由联盟一样,WS-Federation主要通过浏览器限制和一种交换安全令牌的请求/回答协议,实现其目标。

与Liberty联盟和SAML不同的是,WS-Federation对于用于联邦安全服务的令牌是中立的:不管它是用户名/口令字、Kerberos票据、X.509证书,还是SAML断言。这是由于WS-Federation参考了WS-Security并继承了这项规范对多种令牌的支持。目前WS-Federation规范已经由OASIS发布。由于其在实现功能上与SAML有很多相似之处,业界普遍认为WS-Federation规范与SAML将在一段时间内共存。

3.2 国内研究发展情况

国内也于近两年启动了跨机构联合认证和授权相关的试验研究,目前尚处于起步阶段。一直以来,跨高校的资源共享、特别是与国际上其他高校的资源共享是教育科研网络发展的主要目标之一,跨机构统一身份认证和授权技术的发展为这一目标的实现提供了基础。

2005年下半年,北京大学开始相关技术的研究,采用Shibboleth技术,先后与北京邮电大学、成都电子科技大学、清华大学进行了大学之间的身份互相认证和互相授权试验,并且已经完成了与部分大学内部统一身份认证和授权系统的衔接,实际部署跨校网络应用正在进展中。

国家发展改革委员会在2006年CNGI在其CNGI项目中将跨机构统一认证相关课题列为安全领域的研究课题,在2006年国家863项目也将研究与跨机构统一认证的项目作为安全领域的研究课题。目前相关的研究工作正在进展之中。

摘要：本文主要从IP网络业务联合认证所带来的便利和基本需求入手,介绍IP网络联合认证发展背景及国内外发展现状。

业务外包与企业认证篇6

随着中国电信全业务经营的到来, 企业应用门户EAP (Enterprise Application Portal) 的建设将变得更加有意义, 面向外部客户的企业应用门户实现服务集成, 提供统一的客户感知;对内实现企业应用与业务集成, 为员工提供统一的工作平台。中国电信拥有繁杂的应用系统, 各省、各地市系统建设水平高低不一, 实现企业应用集成, 建设企业应用门户, 将提升企业形象、提升管理水平、提高员工的工作效率。广东电信在2007年实现企业信息应用中心 (EIAC) 的建设, 对企业应用系统集成和如何实现统一身份认证都有较好实践。

2 常见的认证实现方式

目前国际国内流行的认证方式有很多种, 主要常见实现方式的比较如下:

(1) HTTP的基本认证

HTTP基本认证方式得到了几乎全部浏览器的广泛支持, 其流程是:客户端添加认证头, 表示现在是认证用户发出的请求, 服务器端添加www-认证头, 标识认证区, 如果认证不正确或者没有认证头, 服务器返回401状态码。客户端接收到401状态码, 就知道需要认证, 要求客户输入认证信息。基本认证下从客户发送到服务器的所有数据 (包括用户名和口令) 都是用Base64编码加密的, 比较容易解密, 安全性小。

(2) 基于表单的认证

使用表单 (FORM) , 不但可以收集用户信息, 而且可以控制如何在服务器上认证用户, 通常是提示用户输入用户名和口令等认证信息和其它需要的信息。使用HTML表单认证, 数据是通过POST方式被封装在请求头部传递给服务器的, 比较容易被他人捕获。一种解决方案是在数据传输时采用安全套接字协议层 (SSL) , 确保传输安全性。SSL在数据被发送到网络上之前对数据进行加密, 而在数据到达目的地之后再将它们解密。

(3) Kerberos认证

Kerberos认证是一种为网络通信提供可信第三方服务的面向开放系统的认证机制, 采用对称DES加密, 每当用户申请得到某服务程序的服务时, 用户和服务程序会首先向Kerberos要求认证对方的身份, 认证建立在用户和服务程序对Kerberos的信任的基础上。

(4) LDAP

LDAP作为目录访问协议, 在统一用户资源管理的同时, 还提供了认证支持。LDAP支持匿名认证、基于口令的认证和基于证书的认证。其中基于口令的认证包括使用文摘MD5 (DIGEST-MD5) SASL机制 (保护口令) 的口令认证和TLS加密下的简单认证。

(5) X509数字证书

数字证书就是标志网络用户身份的数据, 用来在网络中识别用户身份, 数字证书采用公钥密码体制, 即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥 (私钥) , 用它进行解密和签名;同时拥有一把公共密钥 (公钥) 并可以对外公开, 用于加密和验证签名。

(6) SecureID数字令牌

在令牌 (SecurID) 身份认证中, 每个用户都持有各自的时间同步令牌。令牌内置时钟, 种子密钥和加密算法。时间同步令牌可以每分钟动态生成一个一次性有效的口令。用户访问系统时, 将令牌生成的动态口令和静态口令结合在一起作为口令上送到中心认证系统。认证中心不仅要核对用户的静态口令, 同时还根据当前时间和该用户的种子密钥计算出该用户当前的动态口令, 并进行核对。由于每个用户的种子密钥不同, 因此不同用户在同一时刻的动态口令也不同。口令只能在极短的时间内有效, 不必担心被其他人截取。该方法可以保证很高的安全性。

(7) RADIUS

RADIUS (远程用户拨号认证系统) 定义了在拨号服务器和集中存放认证信息的RADIUS服务器之间传输认证、授权和配置信息的协议, 是远程拨号认证的标准。

3 广东电信EAP认证实现方式

通过建设企业认证中心E A C (E n t e r p r i s e Authentication Center) 实现用户身份认证, 为各应用系统提供共同且唯一的登录口, 通过认证令牌 (EACToken和IASToken) 实现单点认证。

与其他认证方式不同的是, 广东电信结合了其内部现实环境, 充分利用企业用户存在唯一对应的域账号的特点, 在结合企业内部统一用户视图, 实现了全员用户管理与认证。这种实现方式在面向外部用户的EAP实现中具有极大的借鉴价值, 下面将详细介绍其实现。

3.1 EAC在EAP技术架构中的位置

EAP主要由水平门户与垂直门户两部分组成:水平门户搭建门户基础平台, 提供统一的基础服务 (包含统一认证服务、搜索服务、工作流引擎服务等) ;垂直门户主要是各独立应用系统IAS (independency Application System) 通过水平门户提供的基础服务或按基础服务的设计要求设计或改造系统, 通过统一的技术框架以松耦合方式集成, 保证系统的灵活性。

EAP的技术实现架构如图1所示:

右方为垂直门户中的各独立应用系统通过SOAP、HTTP、Socket等方式与水平门户接口交互, 通过工作流引擎为用户提供经认证授权的应用服务, 其中EAC是水平门户的基础服务之一, 在整个EAP中处于水平门户部分。

3.2 认证总体实现框架

认证总体框架如图2所示:

按多层设计指导思想, 分为3层:展示及接口层、业务逻辑层及数据访问层, 展示及接口层主要为用户提供登录页面, 为应用系统提供标准登录接口。参数校验及错误处理由展示及接口层实现。业务逻辑层组件包括以下内容: (1) 登录逻辑组件:除登录参数校验及错误处理外, 用户登录的主逻辑在此组件实现, 例如通过ADHelper完成登录验证, 产生及写入加密Token, 记录日志等流程; (2) 加解密组件:通过封装技术实现SHA1、3DES、Base64等常用加解密方法, 并实现快速开发包里的主要功能; (3) AD公共组件 (ADHelper) :目前版本实现与Active Directory身份验证功能; (4) 数据库访问组件:采用Microsoft Enterprise Library实现; (5) 日志/异常组件。

3.3 认证核心流程

认证逻辑结构如图3所示:

认证核心流程主要包括:首次认证、后续认证、退出认证3个流程。流程前置于规定如下: (1) 用户尚未拥有有效的IASToken, IAS系统需要向EAC发送认证请求的情况。在用户拥有有效的IASToken的情况下, IAS系统自行处理, 不需要与EAC认证系统交互; (2) 用户尚未获得EACToken, 或其EACToken已经失效, 均作为未获得EACToken看待。

3.4 认证令牌实现与IAS接入

EACToken是一个临时的身份凭证, 具有有效期属性, 当超过指定的时间后, EACToken不再有效, 当用户持续在EAP门户操作时, 系统应用自动延长用户的EACToken的有效期。

IASToken是一个临时的身份凭证, 具有有效期属性, 超过指定的时间后, IASToken不再有效。此时IAS需要在用户下一次访问其系统时使用用户TOKEN再次向EAC认证中心进行验证, 验证有效的情况下应用系统生成新的IASToken。IAS的Token有效期必须小于EACToken的有效期。

(1) 认证令牌的实现方式:

认证令牌EACToken采用内存Cookie的形式保存在用户的浏览器端, 该Cookie必须设置属性httponly。

E A C To k e n的格式定义如下:E A C To k e n=”EACToken:”+EACToken, 其中EACToken是加密后的字符串, 加密算法采用3DES, 加密过程主要由两步完成 (1) 生成摘要信息; (2) 采用3DES算法对原始数据以及摘要信息进行加密

EACToken至少包括如下属性:

(2) IAS接入:

为了方便各应用系统快速接入EAC认证中心, EAC封装了接口流程中的加密及实现细节, 只需要对认证是否通过做出判断即可。

4 总结

广东电信内部EAP用户庞大、需集成的系统繁杂, 认证的实现不能套用现有常见认证方式, 需结合广东电信的实际情况进行设计。

本认证方式集成统一用户视图来实现用户的管理, 直观的体现用户在整个企业组织架构中所处的位置, 并由此决定用户需授权访问IAS, 结合企业用户域, 利用ADHELPER组件实现用户身份的统一认证, 认证成功后授予用户访问认证令牌, 实现用户单点认证。这种实现方式充分利用企业域的功能, 实现用户账号的统一管理, 有利于身份的统一认证。

参考文献

[1]SOAP:Simple Object Access Protocol Specification1.1.IBM, Microsoft, DevelopMentor, 2000

[2]M.Sirbu, J.Chuang.Distributed Authentication in Kerberos Using Public KeyRFC1510:The Kerberos Network Authentication Service (V5) .1993-09

[3]高焕芝.单点登录技术的研究.北京邮电大学, 2006

[4]刘启新, 蒋东兴, 石碞, 沈锡臣.网络应用系统统一口令认证的研究与实现, 计算机工程, 2000, (S1)

[5]谭立球, 费耀平, 李建华.企业信息门户单点登录系统的实现.计算机工程, 2005, (17)

[6]胡毅时.基于Web服务的单点登录系统的研究.北京航空航天大学学报, 2004 (3)

业务外包与企业认证篇7

随着人们生活水平的提高与个体差异带来的观视体验的不同。使得人们对电视的观看由直播向点播转变, 由被动接收改为主动查找方式的变化。这给广电运营带来了新的挑战、新的机遇, 新的业务增长点。目前重庆有线的机顶盒类型多, 版本多, 且后期还有新的终端设备接入现网, 如家庭网关、智能终端、手机、平板、电脑等。而目前的认证平台已无法支撑后续灵活业务部署。在这样的背景下, 就需要一个具有支持多个不同类型, 多种类型的终端接入认证平台, 点播业务认证, 授权平台来支持后续的业务发展。

由此需要替换目前的机顶盒认证系统, 更换具有更强认证功能的系统来支持不同的终端接入。加入互动认证的模块, 支持互动业务的开展。

1系统介绍

新业务认证系统, 应保证目前现网所有的终端的开机流程不做改变的情况下能够正常认证, 除此之外还要支持新的终端。如:家庭网关、智能终端、手机、平板等。且接入的接口应尽可能的统一或限定在有限的个数。具备互动业务的认证、鉴权、询价、点播确认等功能支持点播业务的开展。同时支持为促使用户点播、满足市场的推广策略系统应具备一些优惠策略。如时段优惠、片源优惠、订购优惠。

1.1系统范围

SSO (单点登录认证) 认证服务是互动业务认证系统的子系统, 位于用户 (STB/PC) 和双向互动服务簇之间。担负终端用户身份认证、请求接入、业务路由等功能。也为后台管理系统提供管理员登入的身份认证。为信息认证系统提供终端认证凭证的管理和校验, 代理服务凭证的发放和校验。如图1所示。

本系统不参与处理信息系统的具体业务, 也不负责数据的维护。本系统不侵入其他系统的代码中, 只是负责过滤和检测。

1.2总体介绍

互动业务认证系统主要完成互动业务的验证、授权和记账。其主要功能用于管理何种用户可以访问何种对应服务设备的权限, 具有访问权的用户可以获得对应服务为那些。如何对正在使用的系统资源的用户所使用的资源数量进行记录。具体为:

1.验证:完成对用户身份的确认, 确认用户是否可以获得对应服务的访问权限。

2.授权:定义用户可以使用哪些指定资源的存取权。

3.记账:记录用户对各种网络服务的用量, 并提供给计费系统。

首先, 认证部分提供了对用户的身份的确认。整个认证环节是采用在终端输入用户名与密码的方式来进行用户身份的权限审核。认证的原理是每个用户都有一个唯一的权限标识。由业务认证服务器将用户的唯一标识同后台数据库中所有用户的标识进行逐一比对。如果符合, 则返回认证通过。如果不符合, 则拒绝对用户提供后续业务连接。

接下来, 用户需要通过获取响应授权来获得对应服务的权限。比如, 登陆系统后, 用户可能会执行查询来进行自身相关信息的查询, 授权会在这一过程中检测当前用户是否拥有执行这些命令的权限。授权过程是一系列控制策略的组合, 主要用于确定服务的种类或质量分别为那些, 用户所被允许使用的服务有哪些。一旦用户通过了认证, 他们也就被授予了相应的权限。

最后一步是记账, 这一过程将会计算用户在使用服务过程中消耗的资源数量。

验证授权和账户同样由业务认证服务器来提供。业务认证服务器是一个能够提供这三项服务的程序。

2系统架构方案

2.1系统运行环境

依赖本认证系统的应用是各种应用的增值系统, 所以本系统也发布为Tomcat下的http/https服务与后台服务的web service服务两种方式, 方便与其他系统的灵活集成与接入。

2.2系统部署架构

如图2所示。

2.2.1系统服务网络

负载均衡器:负载均衡器能够支持各种各样的负载均衡策略。大大提高各节点网络的性能和可靠性。

防火墙:防火墙对系统的后台服务器进行保护, 其防范对象是来自公共网上的对后台系统安全的威胁;

局域网交换机:实现对认证系统的服务器、BOSS系统、VOD平台等的互连, 可以在此划分VLAN。

2.2.2应用系统主机和存储系统

统一认证服务器:存储用户认证信息, 并提供目录服务;完成所有地区的用户使用互动业务、增值业务及未来其他业务的统一认证和授权处理, 配置4台服务器, 通过负载均衡服务器实现负载。

SSO管理服务器:负责同终端接口进行对接, 保证现网终端版本无需升级;配置2台服务器, 考虑负载均衡。

开发测试服务器:用于软件版本上线前的现场的开发、测试。

3系统总体设计

3.1业务功能

如图3所示, 业务认证系统会对接很多的外围系统, 包括企业内部的运营支持系统、BOSS、客服、网管、支付。对外的增值系统, 信息平台, 游戏平台, IMS系统等。

业务认证系统包括如下几个模块:系统管理, 统一会员管理、业务认证、用户管理、合作伙伴管理、业务管理、产品管理、订购管理、统计分析, 外围接口。

该方案可将不同系统的不同账号通过统一会员管理将账号统一, 避免由于系统过多导至用户需要记住大量的账号与密码的问题。进行模块化划分与开发, 各个模块的边界与功能进行清楚的界定, 有助于各小组专注于本模块的功能、性能开发。

针对业务我们根据功能与职能不同分别设计了三个模块。SDP (业务分发平台) 、SSO (单点登录认证) 、AAA (认证平台)

SDP:提供外围系统的接入能力, 并进行用户管理, 订购管理等, 采用java开发, B/S模式。

SSO:提供终端的开机认证能力, 包括登录, 开始登录。采用C++开发, 只提供后台服务。

AAA:提供包括点播在内互动业务内证的认证、授权、计账。包括优惠策略的计算。采用C++开发。提供后台的认证服务。

3.2总体架构

系统内部架构如图4所示。

统一业务认证的建设目标是为互动业务平台、相关增值业务系统提供可扩展的、稳定的、高效的认证、授权和记账服务。

通讯协议处理部分功能:该模块用于接收第三方系统认证通信请求, 并将经过认证系统处理后的认证结果返回给第三方系统, 需支持WebS ervice、TCP/IP、UDP等不同种类通讯协议。

格式解析处理部分功能:用于第三方系统发送过来的认证请求数据包根据接口协议进行内容解析, 其中包括对第三方数据来源校验、属性解析等部分;对认证完成后的数据按照同第三方系统约定的格式进行封装。

认证授权记帐处理池:对已经通过解析处理模块后的认证请求进行具体的业务或服务的认证、授权、记帐处理。该部分涉及到大量的策略计算、数据查询修改等操作, 是认证业务最核心部分, 在该阶段采用多线程并行处理机制。

公用功能:分为系统日志、配置功能界面、注册重载几个功能。

数据存储MyS QL:用于存储认证运行中的临时数据, 包括用户token, 用户基本信息、用户订购信息、产品信息、资费信息、服务信息、服务供应商等信息。

3.3业务流程设计

开机业务流程如图5所示。

说明如下:

1.终端通过携带智能卡号询问登录;

2.SSO生成随机token返回给终端;

3.终端将密码与和token进行组合加密发回至SSO进行密码验证;

4.SSO验证通过, 返回给终端访问首页。

首页分发业务流程如图6所示。

4技术要点

4.1设计思想

在设计时参考已有的成熟的开源软件, 吸收其成熟的架构。同时, 充分利用原有系统的工作成果, 在原有系统的基础上, 融入先进的解决方案。基于以上的改进和扩展, 划分出终端认证管理、门户负载调度、启动以及SOAP认证服务/客户端等模块, 与SSO核心模块共同构成SSO认证服务。

系统前期开发, 负载均衡采用较简单的平均分配原则。认为所有portal服务器的配置相同, 负载能力相同。在请求到来时, 转发分配给用户一个指定好的某IP段的portal服务器。

点播业务的量与频率会非常高, 需充分考虑到程序的处理能力可使用C++语言进行程序编写进行细粒度的控制, 提高程序执行效率。

4.2关键技术介绍

4.2.1 Web Service技术

Web Service是一种新的web应用程序分支, 通过Web通讯协议及资料格式的开放式标准 (例如HTTP、XML及SOAP等) 来为其他的应用程序提供服务。部署Web Service以后, 其他Web Service应用程序可以自动发现并调用其提供的对应服务。Web Service的主要体现的便利性为跨操作系统和业务平台的互操作性。因此, Web Service完全基于XML (可扩展标记语言) 、XSD (XMLSchema) 等并独立于操作系统平台和独立于软件规范标准的新平台。

Web Service通过wsdl格式文件来定义同不同服务之间通讯所使用到的接口名称、动作、传输的数据类型。服务端和客户端可以依据定义好格式的wsdl文件来用工具依据协议规范独立的生成代码框架。

4.2.2 Memcached技术

Memcached是一个高性能的分布式内存对象缓存系统, 主要用于动态网页应用, 以减轻核心后台数据库负载。它通过在内存中缓存数据和对象来减少读取核心后台数据库的次数, 从而提高用户访问网站的响应速度。其客户端可以用任何语言来编写, 并通过memcached协议与守护进程通信。

系统中用到的基础数据配置、用户登录token都存储在memcached中, 这样大大提高了开机认证的过程的响应时间, 提升用户体验。

4.2.3 Hibernate技术

Hibernate是一个开放源代码的对象关系映射框架, 它对JDBC (Java Database Connectivity Java数据库连接) 进行了非常轻量级的对象封装, 使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。Hibernate不仅负责从Java类到数据库表的映射 (还包括从Java数据类型到SQL数据类型的映射) , 还提供了面向对象的数据查询检索机制, 从而极大地缩短的手动处理SQL和JDBC上的开发时间。同时Hibernate可以在应用EJB的J2EE架构中取代CMP, 完成数据持久化的重任。

使用Hibernate来管理对象和关系数据库的映射, 使得开发人员在开发中不用去考虑数据的检索和修改SQL, 而由Hibernate来做中间的转换。

4.3技术架构特点

4.3.1灵活接入多业务

随着广电行业的发展, 在业务上也呈现出业务的多样性。直播业务, 互动业务, 游戏业务、开机能力业务等等。而这些业务的认证、鉴权没有一个统一的平台进行管理、某些甚至是空白。从目前与今后的发展来看, 业务会不断增多、接入终端也有很多种。

系统正是基于这样的背景而设计开发的。业务认证平台支持不同业务的接入, 如:机顶盒开机业务, 点播业务, 游戏业务等。系统的认证、鉴权都是基于标准的WebS ervice协议的。只要终端可以过通接口调用服务就可以进行业务的认证、鉴权。而不关心具体的终端。终端可以是手机, 电脑, 智能机顶盒, PAD等等。

4.3.2不同业务认证模式灵活

认证模式灵活是指对于开机的机顶盒是否是广电设备进行认证的不同模式。一种是严格检查模式确认已有终端的存在关系, 只有现网的, 并存在于系统中的终端才能允许接入。而非广电系统中的终端不允许接入。另一种是免认让模式, 只要是来询问的设备都认为是合法设备可以接入广电网络。

4.3.3支持OTT类业务

OTT是“Over The Top”的缩写, 是指通过互联网向用户提供各种应用服务。这种应用和目前运营商所提供的通信业务不同, 它仅利用运营商的网络, 而服务由运营商之外的第三方提供。OTT同时也是国际互联网运营商对互联网电视机顶盒业务的“昵称”, 其本质是利用统一的内容管理与分发平台, 通过开放的互联网, 向智能机顶盒提供高清的视频、游戏和应用, 是全球性的“云电视”技术系统架构, 例如将通过互联网传输的视频节目传输到TV上, 终端可以是电视机、电脑、机顶盒、PAD、智能手机等等。

4.3.4认证系统进程的单点故障防范

在业务认证系统中, A1主机和A2主机上各起一个实时计费进程, 两个实时认证进程均能独立实在业务认证系统中, A1主机和A2主机上各起一个实时计费进程, 两个实时认证进程均能独立实现实时认证的功能。

认证进程配置两个实时认证进程对应的地址和端口, 在发送请求时采用随机均衡发送。

当有某个进程连接异常时, 将该连接标志为异常, 所有请求均从另一个连接发送。同时间歇探测异常连接是否可重新使用。

5业务认证平台发展方向

5.1广电业务互联网化

目前认证提供的客户群体主要是广电在网终端用户, 受众群体存在一定的局限性。互联网化是将更多的客户引入到系统中来, 而非局限在广电网络内的客户。通过会员注册的方式, 将大量游离客户纳入到系统管理, 通过广电特有的一些服务将客户吸引进来。后续可推出大量的增值业务, 系统加入多样的第三方支付, 来方便客户的支付。业务认证平台可对接各式各样的外围系统, 可收集各系统对业务认证平台的修改意见与想法, 持续的改进系统, 向着互联网化越走越远。

移动化、娱乐化的互联网业务作为广电业务的发展方向, 在各大运营商都积极介入和发展自身的大众互联网服务, 也同其他互联网业务公司合作, 为广电的客户、互联网用户带来更好的体验, 业务认证系统为多类型的互联网用户接入提供接口, 各类互联网用户通过该平台接入系统, 享受广电的视频、娱乐、游戏等业务。

5.2多维度认证

增值业务平台为互联网用户提供各类认证模式, 不管是匿名用户还是通过账号登录, 以及广电自有用户可以通过客户信息直接进行业务登录, 认证系统为用户提供多维度, 多类型的接入方式, 满足不同渠道的用户登录需求。

5.3互联网支付

互联网用户在享受广电提供的各类增值服务中, 会涉及到费用支付, 特别是对于互联网匿名用户支付业务, 具有偶发性、匿名性、快速性等特点, 这类用户要求支付体验必须便捷、快速、安全等需求, 因此对互联网用户可以采用目前比较流行的第三方支付来保障支付的安全可靠。

同时为了便于支付的统一管理, 在增值业务管理平台对所有的支付进行分类汇总, 如果支付宝支付的账单模式, 可以提供给用户等相关的查询和对账, 账务统一也便于与财务收入的对接和分类汇总, 也为收入和市场提供很好的数据支持。

5.4增值业务接入

除了运营商自身的增值业务, 与运营商合作的第三方增值业务提供方就像增值业务超市一样, 可以为用户提供各类丰富的体验, 在与第三方合作过程中, 双方会在用户数据、业务数据上进行共享和交互, 增值业务平台需要将用户信息, 订购行为通过接口同步到第三方平台用户, 广电用户就可以享受第三方提供的各类增值服务, 通过收入结算方式将合作费用结算给第三方。

5.5与运营商传统核心业务计费系统对接

5.5.1订购同步

广电用户在第三方业务平台注册并订购业务后, 由第三方平台将用户的订购行为同步到增值业务平台, 增值业务平台记录后同步到计费系统, 计费系统按照订购时间、产品等要素进行计费。

广电用户在订购了第三方业务之后, 同步到增值业务平台, 平台记录该订购信息后将其同步给第三方平台进行业务开通激活, 为用户提供实时的服务。

当以上业务在任何一个平台发起退订或者注销后, 都同步到增值业务平台, 由增值业务平台记录后同步给对应的系统, 保障业务和计费数据的一致性。

5.5.2计费话单

第三方系统的计费话单生成之后, 可以直接同步给核心计费系统供各渠道查询, 业务可以经过增值业务平台进行二次的加工处理, 增加必要的要素有同步给计费系统, 对于部分增值业务平台够识别的完整计费要求, 可以直接进行话单的生成和处理。

6结束语

随着互联网化的发展和移动业务的日益月新, 如何为客户提供多样性的增值服务, 提高客户的粘稠度, 就必然需要给客户提供新颖性、趣味性、便捷性的增值服务或第三方服务, 如果进行这些增值业务的统一管理和运营, 就是业务认证系统下一步需要进行的系统性规划建设。

参考文献

[1]李昌金, 陈锦宇.电信企业信息系统统一身份认证平台[J].信息与电脑:理论版.2011 (05) .

业务外包与企业认证篇8

家庭装饰装修市场存在大量伪劣产品, 同时装修过程也存在较多猫腻。家装行业从业门槛较低、鱼龙混杂, 面对众多的家装企业, 消费者缺少核实企业诚信资质的方法和手段, 一旦出现售后问题, 消费者的合法权益较难获得保证。互联网上的装饰装修类网站, 一般由企业主办, 只要装修企业交钱, 不论信息真假, 统统刊载, 消费者难辨真伪。一旦装修过程中发生问题, 网站主办者不承担任何责任。

基于以上现实, 上海装饰装修行业协会推出了装饰装修公众服务平台。该平台秉持公平公正的原则, 免费发布经过协会认证的诚信企业供消费者查询。通过微信为消费者提供企业认证和查询服务, 避免消费者遭遇不诚信企业。同时该技术让公众服务平台进一步贴近消费者, 更好地为民生服务。

2 系统架构及模块

2.1 系统架构

系统架构图如图1所示。

数据库管理系统MicrosoftSQLServer2008部署在数据库服务器上, Web服务器部署Web程序, Web程序运行在Internet Information Services (IIS) 上, Web服务器和数据库服务器通过局域网进行连接。Web服务器接入Internet。当普通PC用户通过Internet访问该平台时, Web服务器通过数据库服务器获得数据并产生页面返回给用户。

当微信用户访问上海市装饰装修行业协会微信公众账号[5], 并通过菜单进行企业认证时, 微信服务器向微信用户提供平台认证页面跳转地址, 微信客户端获得跳转地址后向平台Web服务器发起获取认证页面请求, Web服务器从数据库服务器获得数据后产生页面数据返回给微信客户端供用户比对信息, 完成家装企业认证。

本系统开发中使用了WebAPI[1]和jQuery[3]MiniUI[2]开发框架。其中jQueryMiniUI作为前台页面开发框架, 它能缩短开发时间, 减少代码量, 使开发者能够更专注于业务。使用该框架能够轻松实现Web界面开发, 带来绝佳的用户体验。MiniUI能够帮助开发者快速创建Ajax无刷新、B/S快速录入数据、CRUD、Master-Detail、菜单工具栏、弹出面板、布局导航、数据验证、分页表格、树、树形表格等典型WEB应用系统界面。jQuery是一个优秀的Javascript框架。它是轻量级的js库。jQuery使用户能更方便地处理HTML、events、实现动画效果, 并且方便地为网站提供AJAX交互。jQuery帮助html页面保持代码和html内容分离。

前台与后台通过JSON[4]实现数据交互。JSON (JavaScriptObject Notation) 是一种轻量级的数据交换格式。JSON采用完全独立于语言的文本格式, 但是也使用了类似于C语言家族的习惯。这些特性使JSON成为理想的数据交换语言。易于人阅读和编写, 同时也易于机器解析和生成。

ASP.NET WebAPI是一种框架, 用于轻松构建可以被多种客户端访问的HTTP服务。WebAPI遵循MVC设计原则。WebAPI通过不同的http动作表达不同的含义, 这样就不需要暴露多个API来支持这些基本操作。请求的回复格式支持JSON、XML, 并且可以扩展添加其他格式。

微信公众平台是腾讯公司在微信的基础上新增的功能模块, 利用公众账号平台进行自媒体活动, 简单来说就是进行一对多的媒体性行为活动, 如商家通过申请公众微信服务号通过二次开发如对接微信会员云营销系统可以展示商家微官网、微会员、微推送、微支付、微活动、微报名、微分享、微名片等, 已经形成了一种主流的线上线下微信互动营销方式。

2.2 模块介绍

《上海市装饰装修行业公共服务平台》分为三部分:公众前台查询浏览、后台维护平台及微信公众服务平台。

前台负责处理公众对平台数据的查询请求。可查询内容包括:家装企业、设计师、项目经理、材料企业、历年各个荣誉企业榜单、装修案例及法律法规等信息。

后台负责维护前台能够查询到的所有信息, 同时还包含平台互动管理附属功能, 如平台访问次数统计和账号管理等。

微信公众服务平台, 主要包含企业认证服务。

3 系统实现

3.1 数据库设计

家装企业相关数据表如图2所示。

家装企业表Tab_HCompany存储家装企业的基本信息, 其中ID为主键, 自增;Flag字段用于标识该企业是否为质保金企业;MemberID存储该企业在上海市装饰装修协会的企业会员编号;CompanyName为企业名称;Qualification和StateQualification分别为上海市企业资质和国家级企业资质。

微信认证分质保金企业认证和会员企业认证, 会员企业包括质保金企业。通过质保金属性Flag和企业名CompanyName的模糊查询, 可以从表Tab_HCompany中筛选出是否存在该企业, 如果存在则显示该企业的认证资质等信息, 消费者通过核对这些信息即可区分该企业是否为真正的诚信企业。

家装企业门店表Tab_HCompany_Store存储家装企业门店的基本信息, 其中ID为主键, HCompanyID作为外键关联到Tab_HCompany表的ID。

家装企业图片表Tab_HCompany_Pic存储该企业的各种展示图片, 图片包含该企业曾经实施的项目图片, 荣誉证书以及企业LOGO。通过HCompanyID关联表Tab_HCompany的ID。图片文件直接存储在服务器磁盘目录中, 图片文件路径存储在PicPath字段。

类似地, 设计师表Tab_Designer和项目经理表Tab_ProjectManager通过HCompanyID关联表Tab_HCompany的ID, 维护设计师和项目经理与家装企业的隶属关系。

3.2 微信认证流程

(1) 微信扫描二维码。公众消费者通过微信客户端扫描协会颁发给每个家装企业铜牌上的二维码, 获得本平台微信公众账号。

(2) 微信客户端关注该公众账号。

(3) 菜单选择“企业认证”。公众账号内包含菜单“企业认证”, 其下包含两个子菜单“质保金企业认证”和“会员企业认证”。如图4所示。

(4) 微信获得菜单跳转地址。点击企业认证子菜单, 微信浏览器会根据微信公共账号管理平台的设定, 跳转到企业认证页面。其中质保金企业认证跳转到http://*****/sj_zsqy_query.aspx?flag=1页面, 会员企业认证菜单跳转到http://*****/sj_zsqy_query.aspx?flag=0页面。当flag=1时, 在所有质保金企业中查询企业名称, 当flag=0时, 在所有家装会员企业中查询该企业名称。

(5) 用户输入企业信息。输入企业名称、资质或所在区域。

(6) 返回企业认证信息。平台返回查询结果, 通过“点击”超链接获得更详细的企业信息, 进而验证该企业是否为上海市装饰装修协会认证的诚信企业。

平台程序采用MVC设计模式进行设计开发, 并使用Miniui的框架实现前后端分离, 降低前端和后端之间的耦合度, 加快开发速度, 降低维护复杂度。

后端负责与数据库表的交互, 实现数据库表数据的查询、修改、插入和删除等操作。前段负责数据信息的显示和输入数据的转换。前后端之间的数据交互使用JSON格式。

以微信用户认证企业为例, 微信客户端发出查询请求, 浏览器获得包含jquery代码的页面, 代码形如$.get ('<%=this.ResolveUrl ("~/Api/sysZsqy/GetHCompanyDetails") %>', jquery通过调用http协议的post或get方法向服务器请求新的url页面数据。请求数据以键值对的形式发送给后台, 如CompanyName=XXX&MemberID=XXX&…。URL路径包含了WebAPI的路径及方法, WebAPI框架解析后自动实现路由选择, 调用库sysZsqy中的方法GetHCompanyDetails () 。GetHCompanyDetails () 先通过HttpContext.Current.Request () 获得键名对应的键值, 并形成SQL查询语句的Where条件, 查询后将以JSON格式返回结果。示例代码如下所示:

Miniui框架通过控件的“name”字段和JSON中的key进行匹配, 控件的“valuefield”字段匹配JSON的value字段的数据。

当数据发生改变需要保持数据库时, 执行反向操作过程。Miniui控件通过控件的“name”字段和JSON的key匹配, 将控件数据存储到JSON的value, 并以键值对的形式发送给后台, 后台通过HttpContext.Current.Request[key]来获取页面上的值。后台通过entity framework把数据库中的表封装成各个类, 通过对实体类添加数据, 随后调用SaveChanges () 方法把企业的信息添加入数据库中, 示例代码如下:

4 结语

本文描述了运用jQueryMiniui框架和WebAPI框架, 实现装饰装修公共服务Web平台的技术和方法。同时将该平台与接微信公众账号进行对接, 实现了装饰装修消费者通过企业铜牌上的二维码进行企业资质认证, 帮助消费者避开不诚信装修企业, 更好的为民生服务。

摘要：该项目使用jQuery Miniui作为Web前台页面架构, 后台数据存储、处理运用WebAPI架构, 使得数据逻辑处理和前台页面显示进一步分离, 系统结构清晰, 扩展性强, 同时便于维护。功能上系统对接微信公众平台, 让消费者可以方便地查询经过装饰装修行业协会权威认证的资质企业, 为民生服务。

关键词：jQuery Miniui,WebAPI,微信,装饰装修,认证

参考文献

[1]Learn About ASP.NET Web API[OB/OL].http://www.asp.net/web-api

[2]MiniUI-快速开发WebUI[OB/OL].http://www.miniui.com/

[3]jQuery教程[OB/OL].http://www.w3school.com.cn/jquery/

[4]JSON教程[OB/OL].http://www.w3school.com.cn/json/