技術領域

本發明涉及CORBA(Common?Object?Request?Broker?Architecture，公共對象請求代理體系結構)領域的接口安全技術，尤其涉及一種提高CORBA接口安全性的方法及裝置。

背景技術

在目前以CORBA接口對外提供服務的系統中，一般都沒有考慮接口安全性的問題。像目前電信行業運營商制定的網管北向接口CORBA規范中，聯通WCDMA(Wideband?Code?Division?Multiple?Access，寬帶碼分多址接入)規范沒有這方面的內容，電信的規范該功能是待定，只有移動的TD-SCDMA(Time?Division-Synchronous?Code?Division?Multiple?Access，時分同步的碼分多址)規范提供了安全管理接口需求，但是沒有提出針對CORBA接口的設計方案。當前網絡的安全性問題日益突出，后續3G將實現全IP系統和互聯網的無縫對接，而如果對外提供的對接接口不考慮安全性，就沒法對服務調用者進行控制。這樣會帶來一些安全方面的缺陷，例如：任何一個服務調用者都可以調用所提供的所有服務，而服務提供者對這些調用及調用者的數量卻無法加以控制，而且頻繁的惡意的調用操作也會造成服務提供者的崩潰。

發明內容

本發明要解決的技術問題是提供一種提高CORBA接口安全性的方法及裝置，以解決服務提供者無法對服務調用者加以控制的問題。

為解決上述問題，本發明提供了一種提高CORBA接口安全性的裝置，包括：攔截模塊、控制模塊及存儲模塊；

所述存儲模塊用于保存訪問控制列表，該列表中記錄有是否允許服務調用者調用服務的控制信息；

所述攔截模塊用于從CORBA中間件處攔截服務調用者發往服務提供者的調用服務請求，并將所述調用服務請求發送給所述控制模塊；

所述控制模塊用于在接收到所述調用服務請求后，從中提取出鑒權信息，并結合所述存儲模塊中保存的訪問控制列表判斷所述服務調用者是否有權限調用其所請求的服務；如判斷出有權限，則還用于將所述調用服務請求發送給服務提供者。

進一步地，上述裝置還可具有以下特征：

所述攔截模塊位于所述CORBA中間件中。

進一步地，上述裝置還可具有以下特征：

所述控制模塊從調用服務請求中提取出的鑒權信息包括所述服務調用者的IP地址、端口號及所請求調用的服務的標識信息；

所述訪問控制列表中記錄的控制信息包括允許的服務調用者的IP地址、端口號及所允許其調用的服務的標識信息。

進一步地，上述裝置還可具有以下特征：

所述控制模塊還用于將接收到的所述調用服務請求保存下來。

進一步地，上述裝置還可具有以下特征：

所述控制模塊如判斷出所述服務調用者沒有權限調用其所請求的服務，則還用于丟棄所述調用服務請求。

本發明還提供了一種應用上述裝置提高CORBA接口安全性的方法，包括：

所述裝置中保存有訪問控制列表，該列表中記錄有是否允許服務調用者調用服務的控制信息；

所述裝置從CORBA中間件處攔截到服務調用者發往服務提供者的調用服務請求后，從該請求中提取出鑒權信息，并結合本地保存的所述訪問控制列表判斷所述服務調用者是否有權限調用其所請求的服務；如判斷出有權限，則將所述調用服務請求發送給所述服務提供者。

進一步地，上述方法還可具有以下特征：

所述裝置從所述調用服務請求中提取出的鑒權信息包括所述服務調用者的IP地址、端口號及所請求調用的服務的標識信息；

所述訪問控制列表中記錄的控制信息包括允許的服務調用者的IP地址、端口號及所允許其調用的服務的標識信息。

進一步地，上述方法還可包括：

所述裝置在接收到所述調用服務請求后，將該請求保存下來。

進一步地，上述方法還可具有以下特征：

所述裝置如判斷出所述服務調用者沒有權限調用其所請求的服務，則將所述調用服務請求丟棄。

本發明為服務提供者提供了一種簡單、有效的手段以便對服務調用者進行監控和鑒權。采用本發明不需要對原有系統的結構進行修改，也不依賴CORBA中間件本身是否實現了具體的安全協議，不依賴CORBA規范的版本，也不依賴CORBA中間件的版本。

附圖說明

圖1為本發明實施例中提高CORBA接口安全性的裝置結構圖。

具體實施方式

下面將結合附圖及實施例對本發明的技術方案進行更詳細的說明。