ＣＯＲＢＡ电子商务系统安全研究

刘　健

[摘 要]电子商务使用了刊登广告并出售货物的新方法来进行交易，并为动态开放式电子商务环境中的大组客户提供服务和信息。本文说明了实现电子商务应用程序所用的技术，该技术基于CORBA框架对于这些解决方案的支持。

[关键词]CORBA 电子商务 安全性 平台

作者简介：刘健（1980-），男，中国海洋大学工程硕士、潍坊市教育局科员，研究方向：网络技术。

一、电子商务介绍

简单的说，电子商务就是在网上开展商务活动－当企业将它的主要业务通过企业内部网（Intranet）、外部网（Extranet）以及Internet与企业的职员、客户供销商以及合作伙伴直接相连时，其中发生的各种活动就是电子商务。电子商务是基于Internet/Intra net或局域网、广域网、包括了从销售、市场到商业信息管理的全过程。目前，电子商务只是在对通用方针和平台意见一致的参与者间的封闭组织内进行。例如，电子数据交换（EDI）被用来在一个机构的多个分支之间，或者在建立了契约联系的机构之间安全地传输数据。

二、背景及未来电子商务安全性问题

Internet的爆发增长，使得通过为一大群顾客和供应商提供一个通用通讯环境的方法可以发挥电子商务的独一无二的潜力。今天，网上有数以千计的面向消费者和面向交易的商务站点，并且这个数目正在快速增长。

从消费者的观点来看，这个大型系统积极的方面是：用户可以从相当大的产品范围内选择，并且寻找最合适的产品。提供者可以从大量的可能顾客和减少事务花费来获益。未来电子商务系统的主要安全性问题是它们必须通过复杂的组件技术和信托关系在一个动态并开放的、不受控制的环境中操作。多数电子商务使用的电子支付系统必须透明地提供鉴定、完整性保护、机密性保护和认可。另外，客户和提供者之间的通讯连接必须保持数据的机密性和完整性，首先保护客户的隐私，其次是确保客户购买的服务不能被篡改。目前电子商务系统还不能迎合这些关于功能性和安全性的需求。下面来描述如何用CORBA来解决一些问题。

三、CORBA概述

通用对象请求代理体系结构（CORBA）是对象管理组织（OMG）1995年首先开发出来的一个规范。其核心部分是对象请求代理（ORB），是一个便于实现不同硬件和软件平台上的互操作和集成的软件总线。从软件开发者的观点来看，ORB抽象了分布式系统中远程方法调用的内在的复杂性。CORBA可以抽象网络通讯、平台的差异、编程语言等的差异，透明地提供电子商务所需的安全性功能。另外，CORBA指定了大量CORBA服务，例如名字服务、事务服务、时间服务或安全性服务，这些服务分别着重于分布式系统中的某些特殊方面。

CORBA的工作机理是：在最初的绑定阶段，客户端应用程序通过ORB库连接到一个活化组件或名字服务上，然后依次查询实现库中的目标对象引用并当目标对象还没有运行起来时，启动这个对象。目标对象引用然后就被传回客户端ORB库。客户无论何时通过对象代码桩调用目标方的方法，ORB库都要透明地连接到目标ORB库上，然后目标ORB库通过目标代码骨架将请求传递给目标对象。

CORBA的灵活方法调用系统允许客户动态绑定到服务方上，从而使得服务灵活动态地合成，以及交互作用的调和、互操作性和购物会话过程中的状态保持都很方便。CORBA还使得电子商务系统支持合成产品的概念和由多个提供者的相应项构成的服务包的概念。例如，一个旅行社可以提供一个包括飞机票、旅店预约、汽车租赁等的旅行包。

四、CORBA和电子商务安全性

CORBA安全服务规范提供了消息层完整性和负责者的鉴定/认可，这两项对电子商务应用程序都很关键。然而，OMG的电子商务域任务组织（OMG－ECDTF）为电子商务系统识别另外几种安全需求。CORBA规范中并没有下面的需求，或者由于它们仍未被提出，或者由于它们超出了CORBA所能达到的范围：

①事务审核：CORBA安全规范提供了审核数据产生，但没有提供所需数据和粒度。②基于角色的存取控制：尽管好的粒度或者灵敏的商务交易中需要单独的存取控制，但电子商务把基于角色的存取控制作为主要形式。CORBA安全性没有提供基于角色的存取控制。③认可：CORBA规定根据的生成，但是不提供存储根据、恢复根据和确认根据的工具。电子商务所需的完全的认可功能包括根据生成、确认、存储、恢复和递送权力。这个服务可以提供创造、起源、接收、服从、赞成、递送和行为的认可。④完整性：应该提供将数据变成完整性所保护的数据、将完整性所保护的数据转变回原始数据、检查是否遗失完整性的功能。另外，也需要着手一些另外的完整性问题。⑤安全性管理：电子商务安全性管理应该关心以下三个范畴：管理功能的安全性、安全服务管理和安全机制管理。当前，CORBA并没有提供任何安全性管理工具。

五、基于CORBA的电子商务

CORBA作为电子商务系统的底层结构有许多优点，本节概述其中几个优点。

开放式电子商务系统的两个主要需求是互操作性和完整性。所有的客户和供应商应用程序都应该可以在一个灵活的、动态的、开放的框架中，越过不同平台，不同编程语言和商业布局来互操作。CORBA可以从开放的电子商务环境的复杂性中抽象出来。CORBA方便了电子商务系统和其它系统之间的交互作用。从软件开发者的观点来看，CORBA使得一切都变得比较简单，尤其是如果打算进行不同的商店配置时。CORBA抽象了网络和动态的远程商店调用，允许应用程序开发者集中精力在实际的程序上，而不是集中在底层结构的内部工作方式上。应用程序开发者可以再利用已存在系统中的部分(例如安全性系统)来开发新程序。CORBA的灵活结构也使得开发者可以实现整个商业街的一部分来迎合特殊的贸易需求，并为进一步增强系统和容易地升级这部分商业街软件提供坚实的基础。将来，个别基于CORBA的可定制的商业街组件就可用了，可以购买它，并可以很容易的将之即插即用进已存在的商业街中，来增强或升级商店系统。

目前，对基于CORBA的电子商务系统的评价使得这些开发足以为一些公司盈利了。例如，银行配置基于CORBA的个人银行业，或者股票交易系统可能因为它是顾客的最主要地边缘技术的服务提供者而获益。

六、结论

许多CORBA的核心概念对电子商务系统是有用的，例如，互操作性和综合性，平台、编程语言和安全机制等的灵活性，底层组件布局和网络的抽象，安全性功能的透明性，安全性的自动增强。

但是，目前可用的CORBA实现相当不成熟，而且并没有实现最初指出的所有的功能。本文描述的基本概念也将成为任何电子商务中件的核心需求。如果CORBA如许多人推测，变成了电子商务的新的Internet标准的话，提供基于CORBA的商业街和服务越快的商务，获益越多。

参考文献

[1]《电子商务概论》，方美琪，清华大学出版社，1999年出版

[2]《电子商务安全导论》，蒋汉生，辽宁教育出版社，2005年出版

[3]http://www.b2bbeijing.net/info/wenzhai/infowz21060108.htm，中间件在电子商务中的应用

[4]http://61.132.182.23/cit/200008/04.htm，Internet上一种新型的CORBA应用安全防护模型