ＳＣＡ核心框架安全服務的研究與實現

摘要:SCA核心框架是基于分布式CORBA中間件設計實現的，同時核心框架又是一個開放式的架構。安全性幾乎影響SCA體系結構的每個方面。簡要介紹了SCA的安全性隱患及需求。著重討論了基于CORBA安全服務的波形軟件認證和訪問控制。

關鍵詞:SCA核心框架;CORBA;安全服務;訪問控制;認證

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6962-03

Analysis and Implementation for Security Service in Core Framework of SCA

LIU Jun-chen， SHI Jun-wu

(School of Electronic Science， National University of Defence Technology， Changsha 410073， China)

Abstract: The core framework(CF) design is based on the distribute Object Request Broker Architecture(CORBA).The CF is an open framework. The security can exert an influence on multiple aspects in the framework of Software Common Architecture(SCA).This paper introduced the hidden trouble， and the demands to the security in the SCA. at the beginning. Then the authentication and access control were explain in detail.

Key works: CF of SCA; CORBA; security service; access control; authentication

在基于軟件通信體系架構(SCA)的軟件無線電系統中，其核心框架和其它軟件組件是基于分布式公共對象請求代理體系(CORBA)中間件開發的。由于基于CORBA的分布式應用較傳統系統具有更多的受攻擊點，SCA專門發布了安全補充規范對SCA系統的安全問題進行了闡述。但安全補充規范中對系統安全問題也僅僅給出了原則性的約束和要求，而并沒有提出規范詳細的安全實施策略。

1 SCA核心框架的安全訪問風險

由于SCA核心框架是基于分布式CORBA中間件設計實現的，同時核心框架又是一個開放式的架構，具有標準的接口訪問標準，因此核心框架軟件平臺較其它的軟件系統存在較多的安全訪問風險。如果不對SCA核心框架中各種接口的訪問進行安全保護，勢必導致基于SCA實現的軟件無線電系統在實際應用過程中存在嚴重安全威脅，這些安全威脅主要體現在如下兩個方面:

1) 缺乏波形軟件認證機制，無法阻止未經認證的波形軟件(或其它有害軟件)下載到系統中。

SCA的動態下載和同時支持多頻段、多模式的能力在為用戶帶來極大方便的同時，也產生了極大的安全隱患。SCA在對波形應用的下載過程中缺乏對波形進行必要的安全認證機制，這樣將導致系統不能阻止未經過安全認證的波形(或其它有害軟件)下載到系統當中，這一缺陷在基于無線方式下載波形的應用中將造成嚴重的后果。

2) 無法鑒別用戶的合法身份或訪問權限，導致系統控制權被非法用戶或低權限用戶獲取。

由于缺少對用戶身份進行鑒別、授權、訪問控制等安全保護，導致SCA系統無法有效地對不同使用權限的用戶進行管理，無法阻止低權限的用戶操作系統的核心部件，同時也不能有效防止非法用戶入侵系統，獲取核心框架中核心組件(域管理器、應用工廠、設備管理器等)的控制權，對系統進行關閉、停止波形應用運行、植入非法軟件等破壞性操作。

2 非法用戶獲取系統控制權的方法及途徑

SCA核心框架由一系列CORBA IDL語言定義的接口組成，這些接口詳細定義了對基于SCA架構的軟件無線電系統內所有軟硬件資源進行管理的操作，SCA規范對這些接口和操作的訪問方法進行了詳細的定義。任何基于CORBA的客戶端只需要根據規范的要求調用這些接口的操作就可完成相應的任務。因此，如果不對這些接口(特別是一些重要的接口如域管理器、設備管理器、應用工廠等)的訪問進行必要的安全保護，必然導致SCA無線電裝備在實際戰場環境中存在巨大的安全使用風險。

如圖1所示，核心框架由一組相互關聯的IDL接口集組成，這些接口按功能又分為三類接口:框架控制接口(DomainManager、ApplicationFactory、DeviceManager等)、框架服務接口(FileManager、FileSystem、File)、框架應用接口(port、LifeCycle、TestableObject，、PortSupplier、PropertySet等)。其中，域管理器(DomainMananger)是整個域管理的核心，負責對系統內所有的軟硬件資源進行管理，包括波形應用軟件的安裝/卸載、波形組件控制、設備狀態管理、設備和服務的注冊/注銷、文件操作等。域管理器作為用戶管理系統的接口組件，用戶只需通過CORBA命名服務解析得到域管理器的對象引用，既可獲得系統內其它重要組件(如:設備管理器、設備組件、應用工廠、文件管理器等)的訪問控制權，進而通過調用這些組件的操作和屬性對系統進行管理和控制。而根據SCA規范要求，域管理器在命名服務中的綁定名為缺省的“domain”，這樣非法用戶就可使用該綁定名獲取域管理器的對象引用，對系統進行非法操作。這些操作以及可能造成的危害包括:

1) 植入非法軟件。非法用戶通過域管理器(DomainManager)的installApplication()接口或通過域管理器得到文件管理器(FileManager)接口的文件操作函數將非法軟件安裝到系統的波形目錄中。進而通過應用工廠(ApplicationFactory)的create()函數運行非法軟件。

2) 釋放(停止)波形軟件。非法用戶通過域管理器(DomainManager)的applications屬性序列可得到系統內所有管理波形應用程序的Application對象，并通過調用該對象的stop()和releaseObject()函數來停止和釋放波形應用程序的運行。非法用戶還可通過域管理器的uninstallApplication()將波形應用程序文件集從系統內刪除。

3) 關閉系統。非法用戶通過域管理器(DomainManager)的DeviceManagers屬性序列可到達系統內所有的設備管理器，進而通過設備管理器的devices屬性得到所有的設備組件，并調用其stop()和releaseObject()函數來停止設備運行。還可調用設備管理器的shutdown()函數來關閉系統所有的設備。

4) 刪除系統內的數據文件。非法用戶通過域管理器(DomainManager)的fileMgr屬性得到系統文件管理器(FileManager)的控制權，并且調用文件管理器的文件操作函數刪除系統內一些重要的數據文件。

5) 竊取系統和波形的重要工作參數指標。SCA系統內軟硬件的一些工作參數(如各類處理器的性能指標參數、各種波形的指標參數等)都以XML配置文件的方式保存來供系統運行使用。非法用戶可通過域管理器(DomainManager)的deviceManagers和applications屬性得到所有設備和應用的操作引用，進而通過profile()函數獲得相應的設備或波形的配置文件，從中獲取相應參數指標。

此外，由于IDL定義的核心框架的各種接口對用戶都是公開的，并且它們的訪問等級相同，這對所有用戶無論是系統管理員還是普通用戶都具有訪問核心框架所有接口的權限。這樣勢必導致權限較低或非法侵入系統的用戶能夠輕易通過域管理器組件獲取各種重要組件的訪問控制權，對系統造成損害。因此，有必要對核心框架各種接口的訪問進行精確粒度的訪問控制，對各類接口的訪問賦予相應的訪問權限。

3 基于CORBA的SCA核心框架安全服務的實現

根據SCA核心框架的安全訪問風險和非法用戶獲得系統控制權的方法和途徑。通過對波形軟件進行認證來阻止未經認證的波形軟件下載到系統中，通過訪問控制來阻止非法用戶的非法訪問，也通過安全服務中心來完成用戶的注冊、發放證書，同時進行權限的配置。

3.1 波形軟件認證

波形軟件認證是使用基于公共密鑰的安全策略來證明其身份的有效性，它建立在公共密鑰加密，數字簽名上，具體而言，使用符合X.509的數字證書。使用這種方法必須有一個第三方的證書授權(CA)中心來為波形軟件和系統簽發數字證書，波形軟件和系統從CA獲取數字證書，并且必須信任該CA中心。在下載波形軟件時，首先傳遞波形軟件的數字證書，其中包含了將其公鑰交給系統。

波形軟件證書是標志一個波形軟件身份的一系列特征數據，其作用類似現實生活中的身份證。CA對包含密鑰的波形軟件及其公用密鑰進行數字簽名。通過建立自己的CA，運行OpenSSL命令工具制作CA自簽名證書，以及由CA簽名的系統證書和波形軟件證書以及他們各自的私鑰文件。如圖2所示，通過對外提供GUI界面方便通過CA生成所需要的證書。

當需要下載一個波形時，系統要求提供波形軟件的數字證書。收到波形軟件的證書后，系統利用CA的公開密鑰對其簽名進行解密，獲得信息的散列碼。然后系統用與CA相同的散列算法對證書的信息進行處理，得到一個散列碼，將次散列碼與對簽名解密所得的散列碼進行對比，若相等則表明此證書確實是CA簽發的，而且是完整的未被篡改的證書。具體的過程，如圖3所示。這樣，波形軟件就通過了認證。

3.2 安全服務中心

安全服務中心為CORBA分布式對象提供了一個集中式管理，是CORBA訪問控制的配置和管理中心。從CORBA安全需求和相應對象服務的分析中可以看出，建立一個安全服務中心是完全必要的。

安全服務中心由安全管理員來完成用戶的注冊、發放證書，同時進行權限的配置。安全服務中心通過GUI界面幫助安全管理員對訪問控制數據庫的安全信息進行管理，包括信息的添加、修改和刪除等。安全服務中心能有效的提供客戶和服務器之間的基于角色的訪問控制的依賴信息。安全管理員通過安全服務中心的管理接口進行合理的對象管理和用戶管理。

用戶管理:包括增加系統新用戶、設定用戶的角色、設定角色擁有的權限及刪除無效用戶等。

對象管理:包括對象的增加及其所需權限的設定、對象所需權限的修改及刪除無用的對象等。

CORBA安全服務允許為不同的對象方法應用相同的策略，即把具有同等安全需要的對象方法放在相同的安全域中，為了進一步說明安全域的具體形式。CORBA安全服務給出了所需權限模型。所需權限模型提出按靈敏度(及危險程度)來對方法進行分組。方法的名稱描述了該方法的功能，但是安全管理員不需要指導方法的功能，他們需要知道該方法的靈敏度。每個對象調用應該具備的權限。通常，實際應用過程中有以下四種所需權限:

1) g(get):該方法僅僅用來給調用者返回信息，如返回狀態信息、屬性值等。

2) s(set):該方法用于改變對象內部信息，如改變對象的屬性，改變對象所包含的數值列表等。

3) u(use)該方法用戶使對象完成某項工作，例如計算或打印。

4) m(manager):該方法不應為正常用戶所調用，通常是系統管理員才能使用。

3.3 訪問控制

3.3.1 用戶證書的錄入

用戶通過用戶名和密碼在安全管理中心得到自己對應的證書。并在ORB層提供了安全認證和接入控制，實現了證書等用戶安全信息的錄入，以及數據在傳輸過程中的安全保障。

CORBA中采用的是SSL安全協議，它是在ORB中配置的，必須使用服務配置文件去完成它。配置文件的內容如下:

TAO_SSLIOP:_make_TAO_SSLIOP_Protocol_Factory() \"\"

static Resource_Factory \"-ORBProtocolFactory SSLIOP_Factory\"

其中TAO_SSLIOP:_make_TAO_SSLIOP_Protocol_Factory() \"\"將在ORB中從名字為TAO_SSL的庫文件中加載SSLIOP協議。本項目中，通過配置文件，把通過OpenSSL創建的安全認證模塊加載到CORBA中。

進而通過設定ORB參數把配置文件加載到ORB上。

CORBA::ORB_var orb =

CORBA::ORB_init (argc1， argv1， \"\"，);

其中的兩個參數，一個設置為“-ORBSvcConf”;另外的一個設置為“server.Conf(client.conf)”。這樣就把服務器端(客戶端)的配置文件加載到了服務器端(客戶端)的程序中。

3.3.2 攔截器實現訪問控制

通過CORBA提供的ORB攔截器機制，將ORB服務封裝為一個訪問控制攔截器嵌入到ORB中，ORB在處理客戶和服務器之間交互時，就會在某些預定時刻執行攔截器，從而實現訪問控制。訪問控制攔截器的目的就是，保證任何通過ORB發出的目標對象訪問請求，都能夠為該對象的訪問控制策略所驗證，而不被旁路。

1) 添加訪問控制攔截器

CORBA規范中定義了攔截器機制，在攔截器被觸發時，傳入的參數包括與當前請求相關的一些信息。而且必須實現攔截器的接口，并將當前攔截器注冊到ORB中，在ORB中添加訪問控制攔截器的步驟如下:

構建ORB初始化器(ORBInitializer)，將定義好的攔截器與ORB初始化器綁定:

將ORB初始化器注冊到ORB中。

攔截器的目的是使ORB服務成為ORB的一部分，使ORB在處理過程中自動執行。因此攔截器的注冊必須在ORB初始化過程中完成，而不能在一個已經完成初始化的ORB上添加攔截器。可以通過ORB初始化器向ORB注冊攔截器。每個ORB在構造時，都可以指定一個ORB初始化器。ORB初始化器的IDL定義如下:

interface ORBInitializer{

void pre_init(in ORBInitInfo info);

void post init(in ORBInitInfo info);

};

當ORB初始化器注冊到ORB后，ORB會在初始化的過程中自動調用方法pre_init和post_init來為ORB添加攔截器。方法中的輸入參數info為一個ORBInitInfo對象。它表示當前ORB的初始化信息。

2) 得到用戶和對象調用信息

通過攔截器的receive_request攔截點來得到用戶的對象調用信息，以及用戶的證書信息。

(1) 得到對象調用信息

operation=ri->operation;來得到用戶的對象請求信息。

(2) 得到用戶身份信息

服務器攔截器用SSLIOP::Current接口來確定請求當前操作的客戶身份。

首先，必須得到SSLIOP::Current對象的應用。

SSLIOP::Current_var SSLIOPCurrent=

SSLIOP::Current::_narrow(CORBA::Object_var(

orb->resolve_initial_references(“SSLIOPCurrent”)));

此后，通過get_peer_certificate能夠用于獲取調用者的身份

SSLIOP::ANS_1_Cert_var cert=

ssliop->get_peer_certigicate();(3) 訪問判決

執行訪問控制決策的代碼放在AccessDecision對象(簡稱ADO)里，其訪問控制策略執行過程如圖4所示。

如圖4所示，通過調用者的身份從安全服務中心得到調用者擁有的權限，將這些權限與策略對象準予的有效權限進行比較，如果需要的權限都具備，那么策略允許發起調用，按照正常的CORBA對象調用步驟進行，并返回最終結果。

4 結束語

SCA安全服務是構建安全分布式SCA應用平臺強有力的保障，通過對安全問題進行了討論，提出了解決問題的實現方法，基于CORBA的SCA核心框架安全服務很好的實現了波形軟件的認證，杜絕了非法用戶對系統控制權的獲取。但SCA面臨的安全問題所涉及的領域相當廣泛，系統仍有許多需要改善的地方，今后繼續完善基于RBAC與安全系統的結合。

參考文獻:

[1] l.Rousseau，S.Natkin，A Framework of Secure Object System Architecture[J]，IEEE 1997:108-115.

[2] OMG Security Service Specification，Version 1.8，[S].March 2002.

[3] Bogdan C.Popescu，Maarten ban Steen，Andrew S.Tanenbaum，A Security Architecture for Object-Based Distribured Systems[J].IEEE 2002.

[3] Blakley B，CORBA安全性指南——面向對象系統的安全性[M].康博創作室，譯.北京:人民郵電出版社，2000.

[4] 王飛，張玥.CORBA安全服務的研究與實現[J].微機發展，2004，15:16-20.

[5] 陳明峰，尹剛，吳泉源.CORBA中安全代理的攔截器研究[J].計算機應用研究，2004.

[6] 王薇，高寶建，黃鵬宇.基于CORBA的安全系統設計與實現[J].微電子與計算機，2006，23(10):122-124.

[7] 李曉東，周興社.通用CORBA安全服務的研究與實現[J].計算機工程與應用，2003，1.

[8] 廖軍.基于嵌入式CORBA的核心框架研究與實現[D].2003.01.