自考“計算機及應用”專業(yè)論文參考范文（9） -自考串講筆記

　　5.電子商務安全需求

　　今天的電子商務系統(tǒng)中，一些安全需求與類似于DCE的環(huán)境大相徑庭。在DCE中，客戶必須信任服務器和系統(tǒng)，但需保護服務器以防未驗證的客戶。電子商務環(huán)境中，也需要防止有惡意的會員。因此，系統(tǒng)必須保護客戶以防惡意的服務器和另外的客戶，也要保護服務器以防未驗證的客戶?；ハ嗖恍湃蔚膮⑴c者這個概念并不是DCE所固有的。

　　在傳統(tǒng)的環(huán)境中，通過所有權(quán)來指定系統(tǒng)的責任，并用通過這些所有權(quán)的范圍來定義信任邊界。在開放式系統(tǒng)中，信任邊界、所有權(quán)和責任范圍可能不同，這引發(fā)了不同的問題。例如，商家可能負責購物過程的安全性，而不能控制客戶系統(tǒng)。另外，也常常不能規(guī)定客戶軟件所運行的平臺（例如，CORBA產(chǎn)品，Java版本，操作系統(tǒng)）或安全政策（例如，操作系統(tǒng)安全性配置）。另一方面，客戶可能負責一段它并不理解的而后臺透明運作的軟件，而這個軟件可能是由一個后來和客戶發(fā)生糾紛的供應商提供的。這造成了系統(tǒng)中可信部分如何在供應商和客戶間分配的問題。

　　交易的合伙人之間的契約關(guān)系應該指明風險分派，責任分派和解決糾紛的原則。就電子商務來說，我們現(xiàn)在必須處理可能來自一些不可信任源，并且運行在不安全的下層操作系統(tǒng)上的硬件和軟件，因此建立這種契約關(guān)系的困難就更大了。這樣的軟件偶爾會失效或者惡意地運作，并且太復雜而不能成為多數(shù)終端用戶的責任。

　　在更技巧性的層上，事務和支付需求更強的完整性和機密性保護，同時需要保證電子兌現(xiàn)的匿名性。也可能存在購物時可以在瀏覽器端下載輕量的客戶應用程序的需求。在這些情況下，客戶機裝不上大的安全基本設施?？蛻舳说陌踩咭苍S也不允許購物軟件永久安裝在客戶機上。為了使開放的電子商務能實際運作起來，安全電子商務產(chǎn)品需要不定制就可使用，也需要銀行掩飾電子支付系統(tǒng)潛在的安全漏洞。

　　6.CORBA和電子商務安全性

　　CORBA安全服務規(guī)范提供了消息層完整性和負責者的鑒定/認可，這兩項對電子商務應用程序都很關(guān)鍵。然而，OMG的電子商務域任務組織（OMG－ECDTF）為電子商務系統(tǒng)識別另外幾種安全需求。CORBA規(guī)范中并沒有下面的需求，或者由于它們?nèi)晕幢惶岢?，或者由于它們超出了CORBA所能達到的范圍：

　　事務審核：CORBA安全規(guī)范提供了審核數(shù)據(jù)產(chǎn)生，但沒有提供所需數(shù)據(jù)和粒度。

　　基于角色的存取控制：盡管好的粒度或者靈敏的商務交易中需要單獨的存取控制，但電子商務把基于角色的存取控制作為主要形式。CORBA安全性沒有提供基于角色的存取控制。

　　認可：CORBA規(guī)定根據(jù)的生成，但是不提供存儲根據(jù)、恢復根據(jù)和確認根據(jù)的工具。電子商務所需的完全的認可功能包括根據(jù)生成、確認、存儲、恢復和遞送權(quán)力。這個服務可以提供創(chuàng)造、起源、接收、服從、贊成、遞送和行為的認可。

　　完整性：應該提供將數(shù)據(jù)變成完整性所保護的數(shù)據(jù)、將完整性所保護的數(shù)據(jù)轉(zhuǎn)變回原始數(shù)據(jù)、檢查是否遺失完整性的功能。另外，也需要著手一些另外的完整性問題。例如，需要有一些用來防止惡意的軟件，例如防止計算機病毒所做未驗證的修改的機制。除消息層完整性以外，CORBA沒有提供任何電子商務系統(tǒng)需要的其他層上的完整性功能。

　　授權(quán)：CORBA提供了使得個別責任變得容易的“扮演的授權(quán)”。然而，電子商務需要別的授權(quán)選項，例如簡易授權(quán)，復合授權(quán)，組合特權(quán)授權(quán)（不允許把這些特權(quán)來追溯回某些中間節(jié)點），和追溯授權(quán)（提供了鏈中的授權(quán)追溯）。目前，CORBA并不要求提供這些授權(quán)模式。

　　授權(quán)在安全性審核中發(fā)揮作用。它支持將一條復雜的對象請求鏈追溯回最初的用戶。

　　安全性審核庫管理：審核服務可以用來保證所有的用戶對他們發(fā)起的安全相關(guān)事項負責任，并保證建立、保持和保護安全相關(guān)事項的審核跟蹤。另外，必須提供警告設施，并且收集、剖面、過濾、分析和查詢審核數(shù)據(jù)也是可能的。CORBA目前沒有提供任何審核管理功能。

　　安全性管理：電子商務安全性管理應該關(guān)心以下三個范疇：管理功能的安全性、安全服務管理和安全機制管理。當前，CORBA并沒有提供任何安全性管理工具。

　　7.基于CORBA的電子商務

　　CORBA作為電子商務系統(tǒng)的底層結(jié)構(gòu)有許多優(yōu)點，本節(jié)概述其中幾個優(yōu)點。

　　開放式電子商務系統(tǒng)的兩個主要需求是互操作性和完整性。所有的客戶和供應商應用程序都應該可以在一個靈活的、動態(tài)的、開放的框架中，越過不同平臺，不同編程語言和商業(yè)布局來互操作。CORBA可以從開放的電子商務環(huán)境的復雜性中抽象出來。CORBA方便了電子商務系統(tǒng)和其它系統(tǒng)之間的交互作用，比如股票管理系統(tǒng)、會計系統(tǒng)、行銷系統(tǒng)等，并使得和以前的應用程序的之間集成變得容易，例如，一個舊的股票數(shù)據(jù)庫系統(tǒng)。

　　從軟件開發(fā)者的觀點來看，CORBA使得一切都變得比較簡單，尤其是如果打算進行不同的商店配置時。CORBA抽象了網(wǎng)絡和動態(tài)的遠程商店調(diào)用，允許應用程序開發(fā)者集中精力在實際的程序上，而不是集中在底層結(jié)構(gòu)的內(nèi)部工作方式上。應用程序開發(fā)者可以再利用已存在系統(tǒng)中的部分（例如安全性系統(tǒng)）來開發(fā)新程序。CORBA的靈活結(jié)構(gòu)也使得開發(fā)者可以實現(xiàn)整個商業(yè)街的一部分來迎合特殊的貿(mào)易需求，并為進一步增強系統(tǒng)和容易地升級這部分商業(yè)街軟件提供堅實的基礎。將來，個別基于CORBA的可定制的商業(yè)街組件就可用了，可以購買它，并可以很容易的將之即插即用進已存在的商業(yè)街中，來增強或升級商店系統(tǒng)，。

　　為了使得商店組件的動態(tài)互用性運轉(zhuǎn)起來，一套定義良好的標準服務需要在電子商務環(huán)境下可用。例如，用來描述對象（例如貨物、服務、合同、發(fā)票或帳單等）的語義需要廣泛定義。因此，OMG和商業(yè)網(wǎng)（CommerceNet）共同定義了一系列電子商務服務的需求，也就是說，語義數(shù)據(jù)工具，選擇/商議工具和支付服務。語義數(shù)據(jù)工具提供了對電子市場參與者之間語義信息交換的支持，商議服務提供了一組從事商業(yè)事務的參與者，在服務或工具的選擇和配置上相互協(xié)定的支持，而電子支付工具關(guān)注支付協(xié)議的調(diào)用。

　　實際上，CORBA還是經(jīng)常被認為是一項不成熟的技術(shù)，尤其是CORBA沒有實現(xiàn)許多服務，例如安全性服務。除了與不成熟的ORB實現(xiàn)相關(guān)的問題外，軟件開發(fā)者也往往沒有完全訓練到可以熟練編寫基于CORBA的組件的地步。就本地程序來說，基于CORBA的應用程序開發(fā)幾乎與普通的應用程序開發(fā)相同，因此并沒有真正造成問題，但是例如實現(xiàn)一個透明的提供了ORB層安全性的安全性服務就需要專業(yè)知識。

　　目前，對基于CORBA的電子商務系統(tǒng)的評價使得這些開發(fā)足以為一些公司盈利了。例如，銀行配置基于CORBA的個人銀行業(yè)，或者股票交易系統(tǒng)可能因為它是顧客的最主要地邊緣技術(shù)的服務提供者而獲益。

　　8.結(jié)論

　　許多CORBA的核心概念對電子商務系統(tǒng)是有用的，例如，互操作性和綜合性，平臺、編程語言和安全機制等的靈活性，底層組件布局和網(wǎng)絡的抽象，安全性功能的透明性，安全性的自動增強。

　　然而，目前可用的CORBA實現(xiàn)相當不成熟，而且并沒有實現(xiàn)最初指出的所有的功能。例如，目前沒有一個完全的安全性服務實現(xiàn)是可以定制使用的。這樣把實現(xiàn)自定義的安全服務的工作留給了應用程序開發(fā)者，他們需要有安全性和所使用CORBA產(chǎn)品的內(nèi)部運轉(zhuǎn)機制的專業(yè)知識。

　　即使是未來CORBA功能沒有消弱，也沒被別的什么東西（例如Java RMI和COM＋）來代替，本文描述的基本概念也將成為任何電子商務中件的核心需求。如果CORBA如許多人推測，變成了電子商務的新的Internet標準的話，提供基于CORBA的商業(yè)街和服務越快的商務，獲益越多。因此，為了當分布式對象中件廣為使用時獲得競爭優(yōu)勢，軟件開發(fā)者很明顯現(xiàn)在就得熟悉CORBA概念。

　　注：本文受課題號為863-30602-02-01，名為“基于WEB的應用服務器及其集成框架”項目支持，主要對項目中的涉及的電子商務框架的安全性提出自己的觀點

　　參考文獻：

　　1.《電子商務概論》  方美琪   清華大學出版社  1999年出版

　　2. http://www.omg.org     CORBA Services Specification

　　3. http://www.omg.org     CORBA Specification

　　4. http://www.b2bbeijing.net/info/wenzhai/infowz21060108.htm   中間件在電子商務中的應用

　　5.http://61.132.182.23/cit/200008/04.htm   Internet上一種新型的CORBA應用安全防護模型