VisiBroker Edition

安 全 注 意 事 项Java:prompt> vbj -Dvbroker.se.iiop_tp.scm.iiop_tp.manager.exportBiDir=trueClient安 全 注 意 事 项使 用 双 向 IIOP 可 能 会 引 发 重 大 的 安 全 问 题 。 在 缺 少 其 它 安 全 机 制 的 情 况 下 , 一 个恶 意 客 户 可 能 会 作 声 明 使 其 连 接 可 双 向 地 用 于 其 所 选 择 的 任 何 主 机 或 端 口 。 更 有 甚者 , 一 个 客 户 可 以 指 定 不 在 其 主 机 上 驻 留 的 安 全 敏 感 的 对 象 的 主 机 和 端 口 。 在 缺 少其 它 安 全 机 制 的 情 况 下 , 已 接 受 输 入 连 接 的 服 务 器 无 法 查 证 发 起 连 接 的 客 户 的 身份 , 也 无 法 验 证 该 客 户 的 诚 实 性 。 另 外 , 服 务 器 可 以 通 过 双 向 连 接 来 访 问 其 它 可 以访 问 的 对 象 。 这 就 是 为 什 么 我 们 鼓 励 为 回 调 对 象 使 用 单 独 的 、 双 向 SCM。 如 果 对客 户 的 诚 实 性 有 任 何 疑 虑 , 我 们 建 议 您 不 要 使 用 双 向 IIOP。为 保 证 安 全 性 , 运 行 VisiBroker 的 服 务 器 不 要 使 用 双 向 IIOP, 除 非 作 显 式 配 置 使其 可 以 使 用 双 向 IIOPrectional 。vbroker...scm..manager.importBiDir 属 性 可 以 使 您 控 制 单个 SCM 的 双 向 性 。 例 如 , 您 可 以 选 择 仅 在 一 个 使 用 SSL 来 验 证 客 户 的 服 务 器 引 擎上 实 现 双 向 IIOP 而 不 让 其 它 的 常 规 IIOP 连 接 作 双 向 使 用 。( 参 阅 第 28-1 页 " 双向 VisiBroker ORB 属 性 " 以 取 得 关 于 此 操 作 的 详 情 。) 另 外 , 您 也 可 能 想 在 客 户端 实 现 只 连 通 到 在 客 户 防 火 墙 之 外 作 回 调 的 服 务 器 的 双 向 连 接 。 要 在 客 户 和 服 务 器之 间 建 立 高 度 的 安 全 性 , 您 应 该 以 双 向 认 证 方 式 使 用 SSL ( 在 客 户 端 和 服 务 器 端将 vbroker.security.peerAuthenticationMode 设 为 REQUIRE_AND_TRUST )。28-6 VisiBroker 开 发 者 指 南