Internet上一种新型的CORBA应用安全防护模型
>
在这种模型里,仍用SSL对Internet上传送的IIOP请求加密,但是,CORBA客户对象直接和CORBA服务对象通信,中间不设任何防火墙,他们之间的通信安全由CORBA安全服务保证。由于CORBA安全服务(CORBASec)为CORBA客户对象与CORBA服务对象之间的通信提供了直接的安全语言环境,它能提供比IIOPProxy更可靠的身份鉴别、安全审计、授权和访问控制功能。
但是这种模型有个非常严重的缺陷:既使CORBA应用程序能够很好地保护自己,但是不能保证主机上的其他应用和服务也能提供相同级别的安全防护。如果要对这些应用和服务也提供全面的安全防护,则每台主机都需要一个防火墙系统,很显然这是不现实的。
四.CORBA应用的一种新型的安全防护模型
1:基本实现原理
由于上面常见的两种模型都有其缺点,我们提出了这种新的安全模型,它综合了前两种模型的优点,在保证完整地传递CORBA对象之间的安全语言环境的同时,又能很好地对其他非CORBA应用和服务提供安全保障。其基本原理如下(图4)所示:
在这种模型里,在保持客户对象和服务对象之间的安全语言环境的基础上,再设一个基于Tcp层的CORBA防火墙系统(TcpProxy),对除CORBA应用之外的服务提供保护,但是它比IIOPProxy要简化了许多,它的任务只是将加密了的包含IIOP请求的tcp数据流从客户对象转发给服务对象,它并不象IIOPProxy一样对IIOP请求进行控制,客户对象和服务对象之间仍保持有直接的安全语言环境,因此它能利用CORBA的安全服务(CORBASec),满足CORBA应用的独特安全需求。
由于TcpProxy不对IIOP请求的内容进行检查,而由服务对象对IIOP的请求内容进行检查,并提供审计、授权和访问控制功能,因此,CORBA应用程序不但拥有了和端对端模型一样的安全保护,而且有TcpProxy提供低层安全防护,能对ip和Tcp级的网络攻击过滤,确保了传给服务对象的Tcp信息流是安全的。另外,由于TcpProxy只连接了CORBA应用使用的端口号,因此,非CORBA的服务也得到了保护。
2:安全性比较
在新型安全防护模型里,TcpPorxy只工作在Tcp层,它不能对IIOP消息流中的恶意内容进行过滤。例如:易受到针对CORBA服务的缓冲区溢出攻击等。它提供的安全级别看起来比IIOPProxy要低,但是,实际上IIOPProxy也带来了许多的安全问题:
1)在没有IIOPProxy的CORBA应用中,客户对象的请求和安全语言环境是一同传给服务对象的,因此服务对象能从安全语言环境中直接得到客户对象的身份鉴别标志,从而直接对之进行授权和访问控制;然而,IIOPProxy将客户对象的请求和客户的身份鉴别标志(即安全语言环境)分离,这就意味着不能保证服务对象接受到的从IIOPProxy转发来的请求和由IIOPProxy附在请求上的服务语言环境是相一致的。
2)服务对象只信任IIOPProxy,也导致另一个严重的安全问题。如果一个黑客成功地入侵了防火墙主机,则整个CORBA应用的安全就被破坏了。另外,仅靠IIOPProxy对IIOP消息中的恶意内容进行过滤也有相当的局限性。因为II 《Internet上一种新型的CORBA应用安全防护模型(第3页)》
本文链接地址:http://www.oyaya.net/fanwen/view/141054.html
在这种模型里,仍用SSL对Internet上传送的IIOP请求加密,但是,CORBA客户对象直接和CORBA服务对象通信,中间不设任何防火墙,他们之间的通信安全由CORBA安全服务保证。由于CORBA安全服务(CORBASec)为CORBA客户对象与CORBA服务对象之间的通信提供了直接的安全语言环境,它能提供比IIOPProxy更可靠的身份鉴别、安全审计、授权和访问控制功能。
但是这种模型有个非常严重的缺陷:既使CORBA应用程序能够很好地保护自己,但是不能保证主机上的其他应用和服务也能提供相同级别的安全防护。如果要对这些应用和服务也提供全面的安全防护,则每台主机都需要一个防火墙系统,很显然这是不现实的。
四.CORBA应用的一种新型的安全防护模型
1:基本实现原理
由于上面常见的两种模型都有其缺点,我们提出了这种新的安全模型,它综合了前两种模型的优点,在保证完整地传递CORBA对象之间的安全语言环境的同时,又能很好地对其他非CORBA应用和服务提供安全保障。其基本原理如下(图4)所示:
在这种模型里,在保持客户对象和服务对象之间的安全语言环境的基础上,再设一个基于Tcp层的CORBA防火墙系统(TcpProxy),对除CORBA应用之外的服务提供保护,但是它比IIOPProxy要简化了许多,它的任务只是将加密了的包含IIOP请求的tcp数据流从客户对象转发给服务对象,它并不象IIOPProxy一样对IIOP请求进行控制,客户对象和服务对象之间仍保持有直接的安全语言环境,因此它能利用CORBA的安全服务(CORBASec),满足CORBA应用的独特安全需求。
由于TcpProxy不对IIOP请求的内容进行检查,而由服务对象对IIOP的请求内容进行检查,并提供审计、授权和访问控制功能,因此,CORBA应用程序不但拥有了和端对端模型一样的安全保护,而且有TcpProxy提供低层安全防护,能对ip和Tcp级的网络攻击过滤,确保了传给服务对象的Tcp信息流是安全的。另外,由于TcpProxy只连接了CORBA应用使用的端口号,因此,非CORBA的服务也得到了保护。
2:安全性比较
在新型安全防护模型里,TcpPorxy只工作在Tcp层,它不能对IIOP消息流中的恶意内容进行过滤。例如:易受到针对CORBA服务的缓冲区溢出攻击等。它提供的安全级别看起来比IIOPProxy要低,但是,实际上IIOPProxy也带来了许多的安全问题:
1)在没有IIOPProxy的CORBA应用中,客户对象的请求和安全语言环境是一同传给服务对象的,因此服务对象能从安全语言环境中直接得到客户对象的身份鉴别标志,从而直接对之进行授权和访问控制;然而,IIOPProxy将客户对象的请求和客户的身份鉴别标志(即安全语言环境)分离,这就意味着不能保证服务对象接受到的从IIOPProxy转发来的请求和由IIOPProxy附在请求上的服务语言环境是相一致的。
2)服务对象只信任IIOPProxy,也导致另一个严重的安全问题。如果一个黑客成功地入侵了防火墙主机,则整个CORBA应用的安全就被破坏了。另外,仅靠IIOPProxy对IIOP消息中的恶意内容进行过滤也有相当的局限性。因为II 《Internet上一种新型的CORBA应用安全防护模型(第3页)》
★读了本文的人也读了: