ＣＯＲＢＡ電子商務系統(tǒng)安全研究

劉　健

[摘 要]電子商務使用了刊登廣告并出售貨物的新方法來進行交易，并為動態(tài)開放式電子商務環(huán)境中的大組客戶提供服務和信息。本文說明了實現(xiàn)電子商務應用程序所用的技術，該技術基于CORBA框架對于這些解決方案的支持。

[關鍵詞]CORBA 電子商務 安全性 平臺

作者簡介：劉?。?980-），男，中國海洋大學工程碩士、濰坊市教育局科員，研究方向：網(wǎng)絡技術。

一、電子商務介紹

簡單的說，電子商務就是在網(wǎng)上開展商務活動－當企業(yè)將它的主要業(yè)務通過企業(yè)內部網(wǎng)（Intranet）、外部網(wǎng)（Extranet）以及Internet與企業(yè)的職員、客戶供銷商以及合作伙伴直接相連時，其中發(fā)生的各種活動就是電子商務。電子商務是基于Internet/Intra net或局域網(wǎng)、廣域網(wǎng)、包括了從銷售、市場到商業(yè)信息管理的全過程。目前，電子商務只是在對通用方針和平臺意見一致的參與者間的封閉組織內進行。例如，電子數(shù)據(jù)交換（EDI）被用來在一個機構的多個分支之間，或者在建立了契約聯(lián)系的機構之間安全地傳輸數(shù)據(jù)。

二、背景及未來電子商務安全性問題

Internet的爆發(fā)增長，使得通過為一大群顧客和供應商提供一個通用通訊環(huán)境的方法可以發(fā)揮電子商務的獨一無二的潛力。今天，網(wǎng)上有數(shù)以千計的面向消費者和面向交易的商務站點，并且這個數(shù)目正在快速增長。

從消費者的觀點來看，這個大型系統(tǒng)積極的方面是：用戶可以從相當大的產(chǎn)品范圍內選擇，并且尋找最合適的產(chǎn)品。提供者可以從大量的可能顧客和減少事務花費來獲益。未來電子商務系統(tǒng)的主要安全性問題是它們必須通過復雜的組件技術和信托關系在一個動態(tài)并開放的、不受控制的環(huán)境中操作。多數(shù)電子商務使用的電子支付系統(tǒng)必須透明地提供鑒定、完整性保護、機密性保護和認可。另外，客戶和提供者之間的通訊連接必須保持數(shù)據(jù)的機密性和完整性，首先保護客戶的隱私，其次是確?？蛻糍徺I的服務不能被篡改。目前電子商務系統(tǒng)還不能迎合這些關于功能性和安全性的需求。下面來描述如何用CORBA來解決一些問題。

三、CORBA概述

通用對象請求代理體系結構（CORBA）是對象管理組織（OMG）1995年首先開發(fā)出來的一個規(guī)范。其核心部分是對象請求代理（ORB），是一個便于實現(xiàn)不同硬件和軟件平臺上的互操作和集成的軟件總線。從軟件開發(fā)者的觀點來看，ORB抽象了分布式系統(tǒng)中遠程方法調用的內在的復雜性。CORBA可以抽象網(wǎng)絡通訊、平臺的差異、編程語言等的差異，透明地提供電子商務所需的安全性功能。另外，CORBA指定了大量CORBA服務，例如名字服務、事務服務、時間服務或安全性服務，這些服務分別著重于分布式系統(tǒng)中的某些特殊方面。

CORBA的工作機理是：在最初的綁定階段，客戶端應用程序通過ORB庫連接到一個活化組件或名字服務上，然后依次查詢實現(xiàn)庫中的目標對象引用并當目標對象還沒有運行起來時，啟動這個對象。目標對象引用然后就被傳回客戶端ORB庫?？蛻魺o論何時通過對象代碼樁調用目標方的方法，ORB庫都要透明地連接到目標ORB庫上，然后目標ORB庫通過目標代碼骨架將請求傳遞給目標對象。

CORBA的靈活方法調用系統(tǒng)允許客戶動態(tài)綁定到服務方上，從而使得服務靈活動態(tài)地合成，以及交互作用的調和、互操作性和購物會話過程中的狀態(tài)保持都很方便。CORBA還使得電子商務系統(tǒng)支持合成產(chǎn)品的概念和由多個提供者的相應項構成的服務包的概念。例如，一個旅行社可以提供一個包括飛機票、旅店預約、汽車租賃等的旅行包。

四、CORBA和電子商務安全性

CORBA安全服務規(guī)范提供了消息層完整性和負責者的鑒定/認可，這兩項對電子商務應用程序都很關鍵。然而，OMG的電子商務域任務組織（OMG－ECDTF）為電子商務系統(tǒng)識別另外幾種安全需求。CORBA規(guī)范中并沒有下面的需求，或者由于它們仍未被提出，或者由于它們超出了CORBA所能達到的范圍：

①事務審核：CORBA安全規(guī)范提供了審核數(shù)據(jù)產(chǎn)生，但沒有提供所需數(shù)據(jù)和粒度。②基于角色的存取控制：盡管好的粒度或者靈敏的商務交易中需要單獨的存取控制，但電子商務把基于角色的存取控制作為主要形式。CORBA安全性沒有提供基于角色的存取控制。③認可：CORBA規(guī)定根據(jù)的生成，但是不提供存儲根據(jù)、恢復根據(jù)和確認根據(jù)的工具。電子商務所需的完全的認可功能包括根據(jù)生成、確認、存儲、恢復和遞送權力。這個服務可以提供創(chuàng)造、起源、接收、服從、贊成、遞送和行為的認可。④完整性：應該提供將數(shù)據(jù)變成完整性所保護的數(shù)據(jù)、將完整性所保護的數(shù)據(jù)轉變回原始數(shù)據(jù)、檢查是否遺失完整性的功能。另外，也需要著手一些另外的完整性問題。⑤安全性管理：電子商務安全性管理應該關心以下三個范疇：管理功能的安全性、安全服務管理和安全機制管理。當前，CORBA并沒有提供任何安全性管理工具。

五、基于CORBA的電子商務

CORBA作為電子商務系統(tǒng)的底層結構有許多優(yōu)點，本節(jié)概述其中幾個優(yōu)點。

開放式電子商務系統(tǒng)的兩個主要需求是互操作性和完整性。所有的客戶和供應商應用程序都應該可以在一個靈活的、動態(tài)的、開放的框架中，越過不同平臺，不同編程語言和商業(yè)布局來互操作。CORBA可以從開放的電子商務環(huán)境的復雜性中抽象出來。CORBA方便了電子商務系統(tǒng)和其它系統(tǒng)之間的交互作用。從軟件開發(fā)者的觀點來看，CORBA使得一切都變得比較簡單，尤其是如果打算進行不同的商店配置時。CORBA抽象了網(wǎng)絡和動態(tài)的遠程商店調用，允許應用程序開發(fā)者集中精力在實際的程序上，而不是集中在底層結構的內部工作方式上。應用程序開發(fā)者可以再利用已存在系統(tǒng)中的部分(例如安全性系統(tǒng))來開發(fā)新程序。CORBA的靈活結構也使得開發(fā)者可以實現(xiàn)整個商業(yè)街的一部分來迎合特殊的貿(mào)易需求，并為進一步增強系統(tǒng)和容易地升級這部分商業(yè)街軟件提供堅實的基礎。將來，個別基于CORBA的可定制的商業(yè)街組件就可用了，可以購買它，并可以很容易的將之即插即用進已存在的商業(yè)街中，來增強或升級商店系統(tǒng)。

目前，對基于CORBA的電子商務系統(tǒng)的評價使得這些開發(fā)足以為一些公司盈利了。例如，銀行配置基于CORBA的個人銀行業(yè)，或者股票交易系統(tǒng)可能因為它是顧客的最主要地邊緣技術的服務提供者而獲益。

六、結論

許多CORBA的核心概念對電子商務系統(tǒng)是有用的，例如，互操作性和綜合性，平臺、編程語言和安全機制等的靈活性，底層組件布局和網(wǎng)絡的抽象，安全性功能的透明性，安全性的自動增強。

但是，目前可用的CORBA實現(xiàn)相當不成熟，而且并沒有實現(xiàn)最初指出的所有的功能。本文描述的基本概念也將成為任何電子商務中件的核心需求。如果CORBA如許多人推測，變成了電子商務的新的Internet標準的話，提供基于CORBA的商業(yè)街和服務越快的商務，獲益越多。

參考文獻

[1]《電子商務概論》，方美琪，清華大學出版社，1999年出版

[2]《電子商務安全導論》，蔣漢生，遼寧教育出版社，2005年出版

[3]http://www.b2bbeijing.net/info/wenzhai/infowz21060108.htm，中間件在電子商務中的應用

[4]http://61.132.182.23/cit/200008/04.htm，Internet上一種新型的CORBA應用安全防護模型