[发明专利]一种提高CORBA接口安全性的方法及装置

说明书

技术领域

本发明涉及CORBA(Common Object Request Broker Architecture，公共对象请求代理体系结构)领域的接口安全技术，尤其涉及一种提高CORBA接口安全性的方法及装置。

背景技术

在目前以CORBA接口对外提供服务的系统中，一般都没有考虑接口安全性的问题。像目前电信行业运营商制定的网管北向接口CORBA规范中，联通WCDMA(Wideband Code Division Multiple Access，宽带码分多址接入)规范没有这方面的内容，电信的规范该功能是待定，只有移动的TD-SCDMA(Time Division-Synchronous Code Division Multiple Access，时分同步的码分多址)规范提供了安全管理接口需求，但是没有提出针对CORBA接口的设计方案。当前网络的安全性问题日益突出，后续3G将实现全IP系统和互联网的无缝对接，而如果对外提供的对接接口不考虑安全性，就没法对服务调用者进行控制。这样会带来一些安全方面的缺陷，例如：任何一个服务调用者都可以调用所提供的所有服务，而服务提供者对这些调用及调用者的数量却无法加以控制，而且频繁的恶意的调用操作也会造成服务提供者的崩溃。

发明内容

本发明要解决的技术问题是提供一种提高CORBA接口安全性的方法及装置，以解决服务提供者无法对服务调用者加以控制的问题。

为解决上述问题，本发明提供了一种提高CORBA接口安全性的装置，包括：拦截模块、控制模块及存储模块；

所述存储模块用于保存访问控制列表，该列表中记录有是否允许服务调用者调用服务的控制信息；

所述拦截模块用于从CORBA中间件处拦截服务调用者发往服务提供者的调用服务请求，并将所述调用服务请求发送给所述控制模块；

所述控制模块用于在接收到所述调用服务请求后，从中提取出鉴权信息，并结合所述存储模块中保存的访问控制列表判断所述服务调用者是否有权限调用其所请求的服务；如判断出有权限，则还用于将所述调用服务请求发送给服务提供者。

进一步地，上述装置还可具有以下特征：

所述拦截模块位于所述CORBA中间件中。

进一步地，上述装置还可具有以下特征：

所述控制模块从调用服务请求中提取出的鉴权信息包括所述服务调用者的IP地址、端口号及所请求调用的服务的标识信息；

所述访问控制列表中记录的控制信息包括允许的服务调用者的IP地址、端口号及所允许其调用的服务的标识信息。

进一步地，上述装置还可具有以下特征：

所述控制模块还用于将接收到的所述调用服务请求保存下来。

进一步地，上述装置还可具有以下特征：

所述控制模块如判断出所述服务调用者没有权限调用其所请求的服务，则还用于丢弃所述调用服务请求。

本发明还提供了一种应用上述装置提高CORBA接口安全性的方法，包括：

所述装置中保存有访问控制列表，该列表中记录有是否允许服务调用者调用服务的控制信息；

所述装置从CORBA中间件处拦截到服务调用者发往服务提供者的调用服务请求后，从该请求中提取出鉴权信息，并结合本地保存的所述访问控制列表判断所述服务调用者是否有权限调用其所请求的服务；如判断出有权限，则将所述调用服务请求发送给所述服务提供者。

进一步地，上述方法还可具有以下特征：

所述装置从所述调用服务请求中提取出的鉴权信息包括所述服务调用者的IP地址、端口号及所请求调用的服务的标识信息；

所述访问控制列表中记录的控制信息包括允许的服务调用者的IP地址、端口号及所允许其调用的服务的标识信息。

进一步地，上述方法还可包括：

所述装置在接收到所述调用服务请求后，将该请求保存下来。

进一步地，上述方法还可具有以下特征：

所述装置如判断出所述服务调用者没有权限调用其所请求的服务，则将所述调用服务请求丢弃。

本发明为服务提供者提供了一种简单、有效的手段以便对服务调用者进行监控和鉴权。采用本发明不需要对原有系统的结构进行修改，也不依赖CORBA中间件本身是否实现了具体的安全协议，不依赖CORBA规范的版本，也不依赖CORBA中间件的版本。

附图说明

图1为本发明实施例中提高CORBA接口安全性的装置结构图。

具体实施方式

下面将结合附图及实施例对本发明的技术方案进行更详细的说明。