一种提高CORBA接口安全性的方法及装置,所述装置包括:拦截模块、控制模块及存储模块;所述方法包括:上述装置中保存有访问控制列表,该列表中记录有是否允许服务调用者调用服务的控制信息;上述装置从CORBA中间件处拦截到服务调用者发往服务提供者的调用服务请求后,从该请求中提取出鉴权信息,并结合本地保存的访问控制列表判断服务调用者是否有权限调用其所请求的服务;如判断出有权限,则将调用服务请求发送给服务提供者。本发明专利技术为服务提供者提供了一种简单、有效的手段以便对服务调用者进行监控和鉴权。采用本发明专利技术不需要对原有系统的结构进行修改,也不依赖CORBA中间件本身是否实现了具体的安全协议。
【技术实现步骤摘要】
本专利技术涉及 CORBA (Common Object Request Broker Architecture,公共对象请求 代理体系结构)领域的接口安全技术,尤其涉及一种提高CORBA接口安全性的方法及装置。
技术介绍
在目前以CORBA接口对外提供服务的系统中,一般都没有考虑接口安全性的问 题。像目前电信行业运营商制定的网管北向接口 CORBA规范中,联通WCDMA(Wideband Code Division Multiple Access,宽带码分多址接入)规范没有这方面的内容,电信的规范该功 能是待定,只有移动的 TD-SCDMA(Time Division-Synchronous Code Division Multiple Access,时分同步的码分多址)规范提供了安全管理接口需求,但是没有提出针对CORBA接 口的设计方案。当前网络的安全性问题日益突出,后续3G将实现全IP系统和互联网的无 缝对接,而如果对外提供的对接接口不考虑安全性,就没法对服务调用者进行控制。这样会 带来一些安全方面的缺陷,例如任何一个服务调用者都可以调用所提供的所有服务,而服 务提供者对这些调用及调用者的数量却无法加以控制,而且频繁的恶意的调用操作也会造 成服务提供者的崩溃。
技术实现思路
本专利技术要解决的技术问题是提供一种提高CORBA接口安全性的方法及装置,以解 决服务提供者无法对服务调用者加以控制的问题。为解决上述问题,本专利技术提供了一种提高CORBA接口安全性的装置,包括拦截模 块、控制模块及存储模块;所述存储模块用于保存访问控制列表,该列表中记录有是否允许服务调用者调用 服务的控制信息;所述拦截模块用于从CORBA中间件处拦截服务调用者发往服务提供者的调用服 务请求,并将所述调用服务请求发送给所述控制模块;所述控制模块用于在接收到所述调用服务请求后,从中提取出鉴权信息,并结合 所述存储模块中保存的访问控制列表判断所述服务调用者是否有权限调用其所请求的服 务;如判断出有权限,则还用于将所述调用服务请求发送给服务提供者。进一步地,上述装置还可具有以下特征所述拦截模块位于所述CORBA中间件中。进一步地,上述装置还可具有以下特征所述控制模块从调用服务请求中提取出的鉴权信息包括所述服务调用者的IP地 址、端口号及所请求调用的服务的标识信息;所述访问控制列表中记录的控制信息包括允许的服务调用者的IP地址、端口号 及所允许其调用的服务的标识信息。进一步地,上述装置还可具有以下特征所述控制模块还用于将接收到的所述调用服务请求保存下来。进一步地,上述装置还可具有以下特征所述控制模块如判断出所述服务调用者没有权限调用其所请求的服务,则还用于 丢弃所述调用服务请求。本专利技术还提供了一种应用上述装置提高CORBA接口安全性的方法,包括所述装置中保存有访问控制列表,该列表中记录有是否允许服务调用者调用服务 的控制信息;所述装置从CORBA中间件处拦截到服务调用者发往服务提供者的调用服务请求 后,从该请求中提取出鉴权信息,并结合本地保存的所述访问控制列表判断所述服务调用 者是否有权限调用其所请求的服务;如判断出有权限,则将所述调用服务请求发送给所述 服务提供者。进一步地,上述方法还可具有以下特征所述装置从所述调用服务请求中提取出的鉴权信息包括所述服务调用者的IP地 址、端口号及所请求调用的服务的标识信息;所述访问控制列表中记录的控制信息包括允许的服务调用者的IP地址、端口号 及所允许其调用的服务的标识信息。进一步地,上述方法还可包括所述装置在接收到所述调用服务请求后,将该请求保存下来。进一步地,上述方法还可具有以下特征所述装置如判断出所述服务调用者没有权限调用其所请求的服务,则将所述调用 服务请求丢弃。本专利技术为服务提供者提供了一种简单、有效的手段以便对服务调用者进行监控和 鉴权。采用本专利技术不需要对原有系统的结构进行修改,也不依赖CORBA中间件本身是否实 现了具体的安全协议,不依赖CORBA规范的版本,也不依赖CORBA中间件的版本。附图说明图1为本专利技术实施例中提高CORBA接口安全性的装置结构图。 具体实施例方式下面将结合附图及实施例对本专利技术的技术方案进行更详细的说明。如图1所示,本专利技术所述装置包括拦截模块101、控制模块102及存储模块103, 存储模块103中保存有访问控制列表(Access Control List, ACL),该列表中记录有是否 允许服务调用者调用服务的控制信息。拦截模块101用于从CORBA中间件拦截服务调用者发往服务提供者的调用服务请 求,并将该调用服务请求发送给控制模块;控制模块102用于在接收到上述调用服务请求后,从中提取出鉴权信息,并结合 上述存储模块中保存的访问控制列表判断该服务调用者是否有权限调用其所请求的服务; 如判断出有权限,则将该调用服务请求发送给服务提供者。其中,拦截模块101可以设置在CORBA中间件中,这样所有的服务调用者所请求的所有服务都可以被该拦截模块101拦截到。其具体实现可以但不限于采用下述任意方式方式一在服务提供者侧实现一个ORB (Object Request Broker,对象请求代管者)初始 化(ORBhitializer)对象,在此对象中,注册一个拦截器来截获服务调用者的操作,即将 CORBA中间件发来的调用服务请求直接转发到控制模块102中。方式二对于一些开源的CORBA中间件,或者可以修改其代码的CORBA中间件,可以通过修 改该CORBA中间件代码的方式,将原本该发送给服务提供者的调用服务请求直接发送到控 制模块102中。控制模块102从调用服务请求中提取出的鉴权信息可以但不限于包括该服务调 用者的IP地址、端口号及所请求调用的服务的标识信息,该标识信息用于唯一的标识出该 服务,此处,该标识信息可以但不限于是该服务的名称;相应地,访问控制列表中保存有允许的服务调用者的IP地址、端口号及所允许其 调用的服务的标识信息。其具体实现可以但不限于采用下述两个方式中的任意一个;方式一采用XML文件的方式存储访问控制列表ACL,一个具体文件的例子如下< xml version=! .0” encoding=GB2312 ><root><allowcaller><ip>10.40.70.193</ip> <port>8888</port><operations>get—heartbeat_period,trigger—heartbeat</operations> </allowcaller></root>其中,一条控制信息中包含三个字段,IP代表允许的服务调用者的IP地址,port 代表可以允许的端口号,这里支持通配符,如*,代表所有的端口都允许。Operations代表 允许的操作名称,如在本实例中,IP地址为10. 40. 70. 193、端口号为8888的服务调用者仅 jtWSif get_heartbe£it_period 禾口 trigger—heartbeat SM^h1 f^S配符,如get_*等等。方式二采用数据库本文档来自技高网...
【技术保护点】
一种提高公共对象请求代理体系结构(CORBA)接口安全性的装置,其特征在于,包括:拦截模块、控制模块及存储模块;所述存储模块用于保存访问控制列表,该列表中记录有是否允许服务调用者调用服务的控制信息;所述拦截模块用于从CORBA中间件处拦截服务调用者发往服务提供者的调用服务请求,并将所述调用服务请求发送给所述控制模块;所述控制模块用于在接收到所述调用服务请求后,从中提取出鉴权信息,并结合所述存储模块中保存的访问控制列表判断所述服务调用者是否有权限调用其所请求的服务;如判断出有权限,则还用于将所述调用服务请求发送给服务提供者。
【技术特征摘要】
1.一种提高公共对象请求代理体系结构(CORBA)接口安全性的装置,其特征在于,包 括拦截模块、控制模块及存储模块;所述存储模块用于保存访问控制列表,该列表中记录有是否允许服务调用者调用服务 的控制信息;所述拦截模块用于从CORBA中间件处拦截服务调用者发往服务提供者的调用服务请 求,并将所述调用服务请求发送给所述控制模块;所述控制模块用于在接收到所述调用服务请求后,从中提取出鉴权信息,并结合所述 存储模块中保存的访问控制列表判断所述服务调用者是否有权限调用其所请求的服务;如 判断出有权限,则还用于将所述调用服务请求发送给服务提供者。2.如权利要求1所述的装置,其特征在于,所述拦截模块位于所述CORBA中间件中。3.如权利要求1所述的装置,其特征在于,所述控制模块从调用服务请求中提取出的鉴权信息包括所述服务调用者的IP地址、 端口号及所请求调用的服务的标识信息;所述访问控制列表中记录的控制信息包括允许的服务调用者的IP地址、端口号及所 允许其调用的服务的标识信息。4.如权利要求1所述的装置,其特征在于,所述控制模块还用于将接收到的所述调用服务请求保存下来。5.如权利要求1所述的装置,其特征在于,...
【专利技术属性】
技术研发人员:余海军,宋滔,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。