Internet上一种新型的CORBA应用安全防护模型
但这种模型有其缺点:IIOPProxy转发解密后的请求给服务对象时,它并不对请求再加密,或只用防火墙的密钥加密,服务对象和客户对象之间也没有完全传递安全语言环境,而CORBA的安全语言环境含有保证服务对象和客户对象之间通信安全的重要信息(如客户的鉴别证书等)。
2第二种模型是:端到端的安全防护模型
在这种模型里,仍用SSL对Internet上传送的IIOP请求加密,但是,CORBA客户对象直接和CORBA服务对象通信,中间不设任何防火墙,他们之间的通信安全由CORBA安全服务保证。由于CORBA安全服务(CORBASec)为CORBA客户对象与CORBA服务对象之间的通信提供了直接的安全语言环境,它能提供比IIOPProxy更可靠的身份鉴别、安全审计、授权和访问控制功能。
但是这种模型有个非常严重的缺陷:既使CORBA应用程序能够很好地保护自己,但是不能保证主机上的其他应用和服务也能提供相同级别的安全防护。如果要对这些应用和服务也提供全面的安全防护,则每台主机都需要一个防火墙系统,很显然这是不现实的。
四.CORBA应用的一种新型的安全防护模型
1:基本实现原理
由于上面常见的两种模型都有其缺点,我们提出了这种新的安全模型,它综合了前两种模型的优点,在保证完整地传递CORBA对象之间的安全语言环境的同时,又能很好地对其他非CORBA应用和服务提供安全保障。其基本原理如下(图4)所示:
在这种模型里,在保持客户对象和服务对象之间的安全语言环境的基础上,再设一个基于Tcp层的CORBA防火墙系统(TcpProxy),对除CORBA应用之外的服务提供保护,但是它比IIOPProxy要简化了许多,它的任务只是将加密了的包含IIOP请求的tcp数据流从客户对象转发给服务对象,它并不象IIOPProxy一样对IIOP请求进行控制,客户对象和服务对象之间仍保持有直接的安全语言环境,因此它能利用CORBA的安全服务(CORBASec),满足CORBA应用的独特安全需求。
由于TcpProxy不对IIOP请求的内容进行检查,而由服务对象对IIOP的请求内容进行检查,并提供审计、授权和访问控制功能,因此,CORBA应用程序不但拥有了和端对端模型一样的安全保护,而且有TcpProxy提供低层安全防护,能对ip和Tcp级的网络攻击过滤,确保了传给服务对象的Tcp信息流是安全的。另外,由于TcpProxy只连接了CORBA应用使用的端口号,因此,非CORBA的服务也得到了保护。
2:安全性比较
在新型安全防护模型里,TcpPorxy只工作在Tcp层,它不能对IIOP消息流中的恶意内容进行过滤。例如:易受到针对CORBA服务的缓冲区溢出攻击等。它提供的安全级别看起来比IIOPProxy要低,但是,实际上IIOPProxy也带来了许多的安全问题:
1)在没有IIOPProxy的CORBA应
- 上一篇论文: 实时嵌入式软件测试工具的研究
- 下一篇论文: 如何将使用PB5开发的应用程序平滑迁移到PB6