ＣＯＲＢＡ電子商務系統安全研究

劉　健

[摘 要]電子商務使用了刊登廣告并出售貨物的新方法來進行交易，并為動態開放式電子商務環境中的大組客戶提供服務和信息。本文說明了實現電子商務應用程序所用的技術，該技術基于CORBA框架對于這些解決方案的支持。

[關鍵詞]CORBA 電子商務 安全性 平臺

作者簡介：劉健（1980-），男，中國海洋大學工程碩士、濰坊市教育局科員，研究方向：網絡技術。

一、電子商務介紹

簡單的說，電子商務就是在網上開展商務活動－當企業將它的主要業務通過企業內部網（Intranet）、外部網（Extranet）以及Internet與企業的職員、客戶供銷商以及合作伙伴直接相連時，其中發生的各種活動就是電子商務。電子商務是基于Internet/Intra net或局域網、廣域網、包括了從銷售、市場到商業信息管理的全過程。目前，電子商務只是在對通用方針和平臺意見一致的參與者間的封閉組織內進行。例如，電子數據交換（EDI）被用來在一個機構的多個分支之間，或者在建立了契約聯系的機構之間安全地傳輸數據。

二、背景及未來電子商務安全性問題

Internet的爆發增長，使得通過為一大群顧客和供應商提供一個通用通訊環境的方法可以發揮電子商務的獨一無二的潛力。今天，網上有數以千計的面向消費者和面向交易的商務站點，并且這個數目正在快速增長。

從消費者的觀點來看，這個大型系統積極的方面是：用戶可以從相當大的產品范圍內選擇，并且尋找最合適的產品。提供者可以從大量的可能顧客和減少事務花費來獲益。未來電子商務系統的主要安全性問題是它們必須通過復雜的組件技術和信托關系在一個動態并開放的、不受控制的環境中操作。多數電子商務使用的電子支付系統必須透明地提供鑒定、完整性保護、機密性保護和認可。另外，客戶和提供者之間的通訊連接必須保持數據的機密性和完整性，首先保護客戶的隱私，其次是確保客戶購買的服務不能被篡改。目前電子商務系統還不能迎合這些關于功能性和安全性的需求。下面來描述如何用CORBA來解決一些問題。

三、CORBA概述

通用對象請求代理體系結構（CORBA）是對象管理組織（OMG）1995年首先開發出來的一個規范。其核心部分是對象請求代理（ORB），是一個便于實現不同硬件和軟件平臺上的互操作和集成的軟件總線。從軟件開發者的觀點來看，ORB抽象了分布式系統中遠程方法調用的內在的復雜性。CORBA可以抽象網絡通訊、平臺的差異、編程語言等的差異，透明地提供電子商務所需的安全性功能。另外，CORBA指定了大量CORBA服務，例如名字服務、事務服務、時間服務或安全性服務，這些服務分別著重于分布式系統中的某些特殊方面。

CORBA的工作機理是：在最初的綁定階段，客戶端應用程序通過ORB庫連接到一個活化組件或名字服務上，然后依次查詢實現庫中的目標對象引用并當目標對象還沒有運行起來時，啟動這個對象。目標對象引用然后就被傳回客戶端ORB庫。客戶無論何時通過對象代碼樁調用目標方的方法，ORB庫都要透明地連接到目標ORB庫上，然后目標ORB庫通過目標代碼骨架將請求傳遞給目標對象。

CORBA的靈活方法調用系統允許客戶動態綁定到服務方上，從而使得服務靈活動態地合成，以及交互作用的調和、互操作性和購物會話過程中的狀態保持都很方便。CORBA還使得電子商務系統支持合成產品的概念和由多個提供者的相應項構成的服務包的概念。例如，一個旅行社可以提供一個包括飛機票、旅店預約、汽車租賃等的旅行包。

四、CORBA和電子商務安全性

CORBA安全服務規范提供了消息層完整性和負責者的鑒定/認可，這兩項對電子商務應用程序都很關鍵。然而，OMG的電子商務域任務組織（OMG－ECDTF）為電子商務系統識別另外幾種安全需求。CORBA規范中并沒有下面的需求，或者由于它們仍未被提出，或者由于它們超出了CORBA所能達到的范圍：

①事務審核：CORBA安全規范提供了審核數據產生，但沒有提供所需數據和粒度。②基于角色的存取控制：盡管好的粒度或者靈敏的商務交易中需要單獨的存取控制，但電子商務把基于角色的存取控制作為主要形式。CORBA安全性沒有提供基于角色的存取控制。③認可：CORBA規定根據的生成，但是不提供存儲根據、恢復根據和確認根據的工具。電子商務所需的完全的認可功能包括根據生成、確認、存儲、恢復和遞送權力。這個服務可以提供創造、起源、接收、服從、贊成、遞送和行為的認可。④完整性：應該提供將數據變成完整性所保護的數據、將完整性所保護的數據轉變回原始數據、檢查是否遺失完整性的功能。另外，也需要著手一些另外的完整性問題。⑤安全性管理：電子商務安全性管理應該關心以下三個范疇：管理功能的安全性、安全服務管理和安全機制管理。當前，CORBA并沒有提供任何安全性管理工具。

五、基于CORBA的電子商務

CORBA作為電子商務系統的底層結構有許多優點，本節概述其中幾個優點。

開放式電子商務系統的兩個主要需求是互操作性和完整性。所有的客戶和供應商應用程序都應該可以在一個靈活的、動態的、開放的框架中，越過不同平臺，不同編程語言和商業布局來互操作。CORBA可以從開放的電子商務環境的復雜性中抽象出來。CORBA方便了電子商務系統和其它系統之間的交互作用。從軟件開發者的觀點來看，CORBA使得一切都變得比較簡單，尤其是如果打算進行不同的商店配置時。CORBA抽象了網絡和動態的遠程商店調用，允許應用程序開發者集中精力在實際的程序上，而不是集中在底層結構的內部工作方式上。應用程序開發者可以再利用已存在系統中的部分(例如安全性系統)來開發新程序。CORBA的靈活結構也使得開發者可以實現整個商業街的一部分來迎合特殊的貿易需求，并為進一步增強系統和容易地升級這部分商業街軟件提供堅實的基礎。將來，個別基于CORBA的可定制的商業街組件就可用了，可以購買它，并可以很容易的將之即插即用進已存在的商業街中，來增強或升級商店系統。

目前，對基于CORBA的電子商務系統的評價使得這些開發足以為一些公司盈利了。例如，銀行配置基于CORBA的個人銀行業，或者股票交易系統可能因為它是顧客的最主要地邊緣技術的服務提供者而獲益。

六、結論

許多CORBA的核心概念對電子商務系統是有用的，例如，互操作性和綜合性，平臺、編程語言和安全機制等的靈活性，底層組件布局和網絡的抽象，安全性功能的透明性，安全性的自動增強。

但是，目前可用的CORBA實現相當不成熟，而且并沒有實現最初指出的所有的功能。本文描述的基本概念也將成為任何電子商務中件的核心需求。如果CORBA如許多人推測，變成了電子商務的新的Internet標準的話，提供基于CORBA的商業街和服務越快的商務，獲益越多。

參考文獻

[1]《電子商務概論》，方美琪，清華大學出版社，1999年出版

[2]《電子商務安全導論》，蔣漢生，遼寧教育出版社，2005年出版

[3]http://www.b2bbeijing.net/info/wenzhai/infowz21060108.htm，中間件在電子商務中的應用

[4]http://61.132.182.23/cit/200008/04.htm，Internet上一種新型的CORBA應用安全防護模型