自考“計(jì)算機(jī)及應(yīng)用”專(zhuān)業(yè)論文參考范文（8） -自考串講筆記

基于CORBA的電子商務(wù)系統(tǒng)的安全性

摘要：電子商務(wù)使用了刊登廣告并出售貨物的新方法來(lái)進(jìn)行交易，并為動(dòng)態(tài)開(kāi)放式電子商務(wù)環(huán)境中的大組客戶(hù)提供服務(wù)和信息。本文說(shuō)明了實(shí)現(xiàn)電子商務(wù)應(yīng)用程序所用的技術(shù)，該技術(shù)集中于CORBA框架對(duì)于這些解決方案的支持。

關(guān)鍵詞：通用對(duì)象請(qǐng)求代理體系結(jié)構(gòu)，電子商務(wù)，安全性，平臺(tái)

Security in CORBA-based Electronic Commerce Systems

LIU Hai-Yan，TIAN Xin-Yan，TIAN Xin-Yu

Abstract： Electronic commerce provides business with new ways of advertising and selling goods， services， and information to large groups of customers in dynamic open electronic commerce environments. This article addresses the technologies for realizing electronic commerce applications， focusing on the relevance of the CORBA framework for these solutions.

Key Words：CORBA，electronic commerce， security， platform

1. 電子商務(wù)介紹

通俗的說(shuō)，所謂電子商務(wù)，就是在網(wǎng)上開(kāi)展商務(wù)活動(dòng)－當(dāng)企業(yè)將它的主要業(yè)務(wù)通過(guò)企業(yè)內(nèi)部網(wǎng)（Intranet）、外部網(wǎng)（Extranet）以及Internet與企業(yè)的職員、客戶(hù)供銷(xiāo)商以及合作伙伴直接相連時(shí)，其中發(fā)生的各種活動(dòng)就是電子商務(wù)。電子商務(wù)是基于Internet/Intranet或局域網(wǎng)、廣域網(wǎng)、包括了從銷(xiāo)售、市場(chǎng)到商業(yè)信息管理的全過(guò)程。

目前，電子商務(wù)只是在對(duì)通用方針和平臺(tái)意見(jiàn)一致的參與者間的封閉組織內(nèi)進(jìn)行。例如，電子數(shù)據(jù)交換（EDI）被用來(lái)在一個(gè)機(jī)構(gòu)的多個(gè)分支之間，或者在建立了契約聯(lián)系的機(jī)構(gòu)之間安全地傳輸數(shù)據(jù)。而在這些早期階段，電子商務(wù)系統(tǒng)只處理某幾個(gè)方面的完全商務(wù)事務(wù)。

當(dāng)客戶(hù)可以通過(guò)他們的Web瀏覽器來(lái)使用的第一批基于web的商店出現(xiàn)時(shí)，建立了電子商務(wù)的一個(gè)更全面的概念作為Internet上傳遞貨物和價(jià)格的方式?，F(xiàn)在，大多數(shù)電子商務(wù)系統(tǒng)是基于web的，并且允許客戶(hù)通過(guò)他們的web瀏覽器購(gòu)買(mǎi)貨物并用信用卡結(jié)帳。然而，基于web的應(yīng)用程序的局限功能使得很難向客戶(hù)提供全范圍的服務(wù)。

未來(lái)，電子商務(wù)解決方案的需求將超過(guò)當(dāng)前級(jí)別。將來(lái)的系統(tǒng)將必須通過(guò)多個(gè)自治的服務(wù)提供商來(lái)滿(mǎn)足動(dòng)態(tài)開(kāi)放式環(huán)境中的需求，電子商務(wù)將成為一個(gè)包含多個(gè)交易實(shí)體間復(fù)雜的交互作用的分布式過(guò)程。在一個(gè)開(kāi)放式市場(chǎng)中，有許多獨(dú)立的貨物和服務(wù)的供應(yīng)商，并且可能有通過(guò)合并第三方提供的服務(wù)來(lái)提供服務(wù)的調(diào)解者。客戶(hù)本身也可能合并隨選（on-demand）產(chǎn)品或者服務(wù)來(lái)實(shí)現(xiàn)合成包。因此，現(xiàn)代的電子商務(wù)系統(tǒng)必須能集成不同種類(lèi)參與系統(tǒng)和不同政策領(lǐng)域中互相不信任的用戶(hù)。

2.背景及未來(lái)電子商務(wù)安全性問(wèn)題

Internet的爆發(fā)增長(zhǎng)，使得通過(guò)為一大群顧客和供應(yīng)商提供一個(gè)通用通訊環(huán)境的方法可以發(fā)揮電子商務(wù)的獨(dú)一無(wú)二的潛力。今天，網(wǎng)上有數(shù)以千計(jì)的面向消費(fèi)者和面向交易的商務(wù)站點(diǎn)，并且這個(gè)數(shù)目正在快速增長(zhǎng)。

從消費(fèi)者的觀(guān)點(diǎn)來(lái)看，這個(gè)大型系統(tǒng)積極的方面是：用戶(hù)可以從相當(dāng)大的產(chǎn)品范圍內(nèi)選擇，并且尋找最合適的產(chǎn)品。提供者可以從大量的可能顧客和減少事務(wù)花費(fèi)來(lái)獲益。

然而，電子商務(wù)成為世界新熱點(diǎn)，但其安全性也隨著信息化的深入也隨之要求愈高了?？焖俸筒皇芸刂频脑鲩L(zhǎng)產(chǎn)生了組織和技術(shù)天性方面的不同問(wèn)題。市場(chǎng)依舊是封閉的，并且常常沒(méi)有完全符合顧客和提供者的需求。今天的電子商務(wù)系統(tǒng)在私人擁有的平臺(tái)上運(yùn)行，因此應(yīng)用程序并不能互操作，也不能建立在對(duì)方的基礎(chǔ)上。安全性和支付系統(tǒng)仍然不成熟，并且常常是不相稱(chēng)的。只有用標(biāo)準(zhǔn)的電子商務(wù)框架才能解決這些問(wèn)題。

未來(lái)的電子商務(wù)系統(tǒng)的主要安全性問(wèn)題是它們必須通過(guò)復(fù)雜的組件技術(shù)和信托關(guān)系在一個(gè)動(dòng)態(tài)并開(kāi)放的，從而也是不受控制的環(huán)境中操作。多數(shù)電子商務(wù)使用的電子支付系統(tǒng)必須很容易使用的，也必須透明地提供鑒定、完整性保護(hù)、機(jī)密性保護(hù)和認(rèn)可。另外，客戶(hù)和提供者之間的通訊連接必須保持?jǐn)?shù)據(jù)的機(jī)密性和完整性，首先保護(hù)客戶(hù)的隱私，其次是確保客戶(hù)購(gòu)買(mǎi)的服務(wù)不能被篡改。

很不幸，今天的（基于web的）電子商務(wù)系統(tǒng)不能迎合這些關(guān)于功能性和安全性的需求。下面的段落描述如何用CORBA來(lái)解決一些問(wèn)題。

3.CORBA概述

通用對(duì)象請(qǐng)求代理體系結(jié)構(gòu)（CORBA）是對(duì)象管理組織（OMG）1995年首先開(kāi)發(fā)出來(lái)的一個(gè)規(guī)范。其核心部分是對(duì)象請(qǐng)求代理（ORB），是一個(gè)便于實(shí)現(xiàn)不同硬件和軟件平臺(tái)上的互操作和集成的軟件總線(xiàn)。從軟件開(kāi)發(fā)者的觀(guān)點(diǎn)來(lái)看，ORB抽象了分布式系統(tǒng)中遠(yuǎn)程方法調(diào)用的內(nèi)在的復(fù)雜性。CORBA可以抽象網(wǎng)絡(luò)通訊、平臺(tái)的差異、編程語(yǔ)言等的差異，并且可以透明地提供電子商務(wù)所需的安全性功能。另外，CORBA指定了大量CORBA服務(wù)，例如名字服務(wù)、事務(wù)服務(wù)、時(shí)間服務(wù)或安全性服務(wù)，這些服務(wù)分別著重于分布式系統(tǒng)中的某些特殊方面。

圖1用一種簡(jiǎn)單方式說(shuō)明了CORBA的工作機(jī)理：在最初的綁定階段，客戶(hù)端應(yīng)用程序通過(guò)ORB庫(kù)（①，②）連接到一個(gè)活化組件或名字服務(wù)上，然后依次查詢(xún)實(shí)現(xiàn)庫(kù)中的目標(biāo)對(duì)象引用（③）并當(dāng)目標(biāo)對(duì)象還沒(méi)有運(yùn)行起來(lái)時(shí)，啟動(dòng)這個(gè)對(duì)象（④，⑤）。目標(biāo)對(duì)象引用然后就被傳回客戶(hù)端ORB庫(kù)（⑥）。客戶(hù)無(wú)論何時(shí)通過(guò)對(duì)象代碼樁（⑧）調(diào)用目標(biāo)方的方法（⑦），ORB庫(kù)都要透明地連接到目標(biāo)ORB庫(kù)上（⑨），然后目標(biāo)ORB庫(kù)通過(guò)目標(biāo)代碼骨架（⑩，⑾）將請(qǐng)求傳遞給目標(biāo)對(duì)象。應(yīng)答通過(guò)⑾和⑦之間的鏈送回。

CORBA的靈活方法調(diào)用系統(tǒng)允許客戶(hù)動(dòng)態(tài)綁定到服務(wù)方上，從而使得服務(wù)靈活動(dòng)態(tài)地合成，以及交互作用的調(diào)和、互操作性和購(gòu)物會(huì)話(huà)過(guò)程中的狀態(tài)保持都很方便。

CORBA還使得電子商務(wù)系統(tǒng)支持合成產(chǎn)品的概念和由多個(gè)提供者的相應(yīng)項(xiàng)構(gòu)成的服務(wù)包的概念。例如，一個(gè)旅行社可以提供一個(gè)包括飛機(jī)票、旅店預(yù)約、汽車(chē)租賃和旅游向?qū)У鹊穆眯邪?

很不幸的，實(shí)際上多數(shù)CORBA的實(shí)現(xiàn)并沒(méi)有完全遵照規(guī)范，許多服務(wù)至今仍不可用。這對(duì)安全性服務(wù)尤其不幸，因?yàn)榘踩苑?wù)對(duì)任何基于CORBA的電子商務(wù)系統(tǒng)是絕對(duì)必需的。而且，不同廠(chǎng)商的CORBA實(shí)現(xiàn)并不總能完全互操作，尤其當(dāng)使用別的CORBA服務(wù)時(shí)。沒(méi)有定制的CORBA安全性服務(wù)部分地或者完全不遵照使得互操作成為可能的規(guī)范。

4.CORBA安全性概述

CORBA安全性規(guī)范包括一個(gè)安全模式和為應(yīng)用程序、管理程序和實(shí)現(xiàn)程序提供的接口和工具。規(guī)范中的通用安全互操作部分定義了通用安全性機(jī)制，使得可以安全互操作。

分布式對(duì)象系統(tǒng)的CORBA安全模式建立在表1所示的安全性特征的基礎(chǔ)上。

機(jī)密 性（Confidentiality）

完整性 （Integrity）

可說(shuō)明性 （Accountability）

表1： 安全性特征

CORBA安全服務(wù)規(guī)范定義了不同的對(duì)象接口，這些接口提供了下面的安全功能來(lái)增強(qiáng)上面提及的安全性特征（見(jiàn)表2）。

安全性管理：方法和范圍（Security Administration：Policies and Domains）

鑒定（Authentication）

安全性上下文制定（Security context establishment）

存取控制（Access control）

通訊保護(hù)（完整性，機(jī)密性）

Communications protection（integrity，confidentiality）

安全性審計(jì)（Security audit）

認(rèn)可（Non-repudiation）

表2 ：CORBA安全服務(wù)規(guī)范中的安全性功能

實(shí)際上，特別是在電子商務(wù)中，CORBA安全服務(wù)規(guī)范中的安全服務(wù)將不可避免的過(guò)于沉重和復(fù)雜。個(gè)別電子商務(wù)系統(tǒng)可能有不同于最初由OMG預(yù)想中CORBA系統(tǒng)的特別安全性需求。值得指出的是，在這個(gè)階段，CORBA安全性服務(wù)是圍繞分布式計(jì)算環(huán)境（DCE）而設(shè)計(jì)的，典型地都工作在類(lèi)似于校園的封閉式環(huán)境中，下層平臺(tái)和政策都可控制（也就是說(shuō)，可以安裝和管理DCE底層安全性結(jié)構(gòu)）。在這種環(huán)境中，基本的安全需求是保護(hù)系統(tǒng)，防止未驗(yàn)證的使用和修改。