（信息与通信工程专业论文）软件通信体系结构corba安全策略研究与实现.pdf

国防科学技术大学研究生院硕士学位论文 摘要 软件通信体系结构( s c a ) 是一套基于c o r b a 中间件的组件框架模型， c o r b a 为s c a 核心接口间的通信提供了分布式消息处理环境。c o r b a 的安全策 略研究是实现s c a 软件无线电台( s d r ) 安全的重要组成部分。论文在s c a 安全 附录和c o r b a 安全规范的基础上，分析研究了s c a 中的c o r b a 安全策略，并 设计实现了o r b 中的插件协议s s l i o p 和基于拦截器的访问控制功能，很好的满 足了s c a 的安全需求。 首先，根据s c a 安全体系结构的需求，分析了用户访问核心框架重要接口的 风险及s c a 软件下载的风险；研究了c o r b a 安全服务在s c a 系统的重要作用； 详细介绍了c o r b a 安全服务规范，安全功能的参考模型和安全体系结构；同时 扼要介绍了安全体系结构的安全技术中的s s l 安全技术。 其次，设计并实现了o r b 中的以s s l 协议为基础的插件协议s s l i o p ，提供 了认证和安全调用功能，符合c o r b a 安全服务规范关于安全互操作的规定：并 在此基础上，通过拦截器的方式，实现了对系统核心框架接口的基于身份的安全 访问控制；探讨并有效实现了在o r b 中基于角色的访问控制，简化了访问控制策 略的制定和实施。 最后，论文搭建了一个测试平台，对系统的主体认证、安全对象调用和访问 控制进行了测试。测试的结果表明，安全协议插件s s l i o p 的实现能够提供安全基 础保障，访问控制对系统核心框架也起到很好的保护作用，且安全功能的加入并 未影响s c a 系统原有的功能。 主题词：s c ac o r b a安全服务s s l i o p访问控制 第i 页 国防科学技术大学研究生院硕+ 学位论文 a b s tr a c t s c a ，a so n eo ft h em o s ti m p o r t a n tc o m p o n e n t si nt h ew i r e l e s st e c h n o l o g yw a s e x p l o r e do nab a s i so ft h ec o r b ao r b 1 1 呛c o r b ao r bi s t h es o f t w a r el a y e r b e t w e e nt h ea p p l i c a t i o ns o f t w a r ea n dt h es y s t e ms o f t w a r e ，w h i c hs h i e l d st h ec o m p l e x i t y e n v i r o n m e n ta n da f f o r d sam o r eu n i t e da n dp o w e r f u la p i h o w e v e r , a st h eo p e n n i n g a r c h i t e z t u r e ，t h ec o r b ao r b a l s ol e a d ss o m ep o t e n t i a lc h a l l e n g e so fs y s t e m ss e c u r i t y i nt h i sv i e w ，t h es a f e t yo fc o r ef r a m e w o r ka n dt h ew i r e l e s ss o f t w a r ed o w n l o a dn e e d st o b ee n s u r e d i nt h i st h e s i s ，b a s e do nt h es c a s e c u r i t ys u p p l e m e n ta n dt h es e c u r i t ys p e c i f i c a t i o n , d oa n a l y s i sa n di m p l e m e n t a t i o nf o rc o r b a s e c u r i t ys e r v i c ep o l i c yi ns c a 1 1 1 ed e t a i l s i nt h i sp a p e ra r ea sf o l l o w i n g s ： f i r s t l y ，t h et h e s i sa n a l y z e st h er i s k so fa c c e s s i n ga r c h i t e c t u r eo fs e a , e a p e c i a l l y , t h e u n a v o i d a b l es e c u r i t yp r o b l e m so ft h ec o r b aw h e ni tf u n c t i o n sa sad i s t r i b u t e d s y s t e m a n dt h e nc o m b i n e dw i n lt h es c as y s t e m , a l s oa n a l y z e st h er i s k so fa c c e s s i n gt h e o o r cf r a m e w o r i ( a n dw i r e l e s ss o f e w a r ed o w n l o a d s e c o n d l y ，t h et h e s i sr e s e a r c h e st h ee f f e c t so fc o r b as e c u r i t ys e r v i c ei ns c a a r c h i t e c t u r e , a n a l y z e st h es e c u r i t ys e r v i c es p e c i f i c a t i o n , s e c u r i t yr e f e r e n c em o d e la n d s e c u r i t ya r c h i t e c t u r e ，a n dr e a l l yi n t r o d u c e st h es s ls e c u r i t yt e c h n o l o g yi nd e t a i l s t h i r d l y , t h et h e s i sd e s i g n sa n di m p l e m e n t st h es s l i o pp l u g g a b l ep r o t o c o li nt a o s y s t e m ，b a s e do nt h es s ls e c u r i t yt e c h n o l o g y d u et ot h i s ，t h es y s t e mh a sr e a l i z e dt h e p r i n c i p a la u t h e n t i c a t i o na n ds e c u r i t yo b j e c ti n v o c a t i o na n dt h es i m p l ea c c e s sc o n t r o l a l s oc o m e st r u e i nt h el a s ts e c t i o n , i ti m p l e m e n t st h er o l e - b a s e da c c e s sc o n t r o li nm i c o s y s t e m i n t h i sw a y ，w ec a ng e ts o m eu s e f u li m f o r m a t i o nf o rt h er o l e - b a s e da c c e s sc o n t r o li nt a o s y s t e mi nf u t u r e f i n a l l y , o n et e s t i n gp l a t f o r mi sc o n s t r u c t e di nt h i st h e s i sw h i c h a s s e s s e st h ep r i n c i p a la u t h e n t i c a t i o n , s e c u r ei n v o c a t i o na n da c c o s sc o n t r 0 1 k o yw o r d s ：s c a c o r b a s e c u r i t ys e r v i c e s s l i o pa c c e s sc o n t r o l 第i i 页 国防科学技术大学研究生院硕士学位论文 表目录 表3 1c o r b a 安全互操作清单1 6 表4 1 关联选项的定义一3 4 表4 2s s l i o p 配置选项3 6 表4 3 用户授权4 3 表4 4 所需的权限4 4 表5 3 访问控制的测试结果5 3 第1 i i 页 国防科学技术大学研究生院硕士学位论文 图目录 图2 1s c a 软件体系结构图6 图2 2y i r s 安全体系结构7 图2 3 安全策略和旁路机制。8 图2 4 核心框架各接口问的关系1 0 图3 1c o r b a 安全参考模型1 7 图3 2c o r b a 安全服务认证体系1 8 图3 3 访问控制模型1 9 图3 4c o r b a 的安全体系结构2 1 图3 5s s l 在t c p i p 网络分层结构模型中的位置2 3 图3 6 建立s s l 连接2 4 图4 1t a o 的体系结构2 8 图4 2t a o 的安全体系结构2 9 图4 3x 5 0 9 证书3 1 图4 4 软件生产商批准某软件3 1 图4 5s s l i o p 协议配置流程3 6 图4 6 非对称密码体制3 7 图4 7 拦截点示意图3 8 图4 8 服务器端请求调用流程4 0 图4 9 服务器端的安全功能4 1 图4 1 0 设定所需权限的流程4 5 图5 1 测试平台示意4 9 第1 v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均己在论文中作了明确的说明并表示谢意。 学位论文题目：筮佳i 醴篮丕垡捡g q 基坠塞全筮喳盈窥曼塞理 学位论文作者签名： 垒：l 坐爱 日期：矽呷年 if 月夕日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：筮佳亟焦体丕箜抱堡q 堕叁塞全筮喳盈窥皇塞超 学位论文作者签名：垄：l 幺龟星 日期：力瞬j 阴岁日 俐删擀：燃呲1 钏脚 国防科学技术大学研究生院硕士学位论文 第一章绪论 1 1 引言 联合战术无线电系统( j o i n tt a c t i c a lr a d i os y s t e m ，兀r s ) 【l 】是美国国防部为 三军研发的新一代无线电通信系统，该系统可为空中、地面、海上部队提供 2 m h z - 2 g h z 频段的视距和超视距的话音、视频和数据通信业务。j t r s 以一种开 放式的标准系统结构为基础。它的核心是以软件无线电技术为支撑构建的软件通 信体系结构。 软件通信体系结构( s o f t w a r ec o m m u n i c a t i o na r c h i t e c t u r e ，s c a ) 的目标是提 供一种标准的、开放的、可互操作的软件平台，用于实现软件无线通信中各种软 件组件的移植和重用。实现该目标的一个主要方面就是通过分布式公共对象请求 代理( c o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e ，c o r b a ) 构建一个核心框架和 操作环境。软件无线通信体系结构中的核心框架是开放应用层接口和服务的基本 “核心集【2 】，为软件设计者提供底层软件和硬件层的抽象。并且，在s c a 中， 域内各种组件间的通信，以及整个域的控制、配置与管理也是通过c o r b a 来完 成的。同时c o r b a 技术向s c a 提供了命名服务、日志服务、安全服务等，极大 的方便了核心框架的实现和波形应用的开发。 c o r b a 系统以其良好的异构性、互操作性、与现有系统的集成以及服务调用 的透明性而成为分布式对象系统的主流标准，并在全世界范围获得广泛应用。考 虑到安全保护的重要性、分布式对象系统的安全脆弱性以及当前面临的安全性威 胁，实现c o r b a 系统的安全服务是非常必要的。同时，c o r b a 分布式和跨平台 的结构特点也给身份认证、访问控制、责任追踪等安全策略的实施带来很大的困 难，所以从技术上看，c o r b a 安全问题研究具有很大的挑战性和前瞻性。 1 2 研究背景 在基于s c a 的软件无线电系统中，其核心框架和其它软件组件是基于分布式 c o r b a 中间件开发的。由于基于c o r b a 的分布式应用较传统系统具有更多的受 攻击点，s c a 专门发布了安全补充规范对s c a 系统的安全问题进行了阐述。然而， 到2 0 0 6 年5 月发布的最新版本s c a 2 2 2 为止，安全补充规范中对系统安全问题 也仅仅给出了原则性的约束和要求，而并没有提出规范详细的安全实施策略，这 第1 页 国防科学技术大学研究生院硕十学位论文 一方面是由于s c a 系统的安全性问题本来就非常复杂，目前还无法以规范的形式 全面系统的给出一整套行之有效的安全策略和安全手段；另一方面，也有相关资 料指出，是美军有意的对规范进行了简化，故意隐藏了具体的安全机制。 在目前的s c a 电台中，绝大部分仅仅通过简单的用户名口令方式对用户进行 认证，而这种方式早已无法防止恶意用户的入侵。在缺少安全机制的s c a 电台中， 系统无法对不同权限用户的操作行为进行有效的管理和约束，系统既无法阻止低 权限用户进入系统的核心部件，也不能有效阻止非法用户窃取s c a 核心框架中核 心组件( 域管理器、应用工厂、设备管理器等) 的控制权，进而执行非法开启或 关闭系统、窃取或篡改波形、窃取系统参数、植入非法软件等一系列破坏性操作【3 】。 为了对用户身份进行有效识别和认证，对用户的访问权限和操作行为进行有效管 理，必须设计系统的安全模型和可靠的安全策略，进行有效的安全访问控制。 1 3 研究现状 在j t r s 系统中，信息传递过程中的安全问题在系统研发初期就被列入到软件 通信结构的设计范畴之中，也正是出于信息安全的考虑，美军参照可编程模块化 通信系统指导文件的建议，在系统上将各个模块分为红边与黑边。通过对红边和 黑边传输信息的限制来达到安全的目的。 j t r s 结构体系对高级安全的实现提出了许多挑战，这些挑战是基于结构体系 的许多特征，这些特征违背了实现高级安全系统的传统方法。在j t r s 中，安全要 求应用于由操作系统、中间件和核心框架构成的操作环境中其中一个重要的较 高等级的安全策略实施源于中间件层c o r b ao r b 。 由于c o r b a 系统安全服务的重要性，对象管理组( o b j e c tm a n a g e r m e n t g r o u p ，o m g ) 从c o r b a 2 0 规范开始支持安全服务，并一直致力于安全服务规 范的完善与改进，并于2 0 0 2 年3 月推出最新的c o r b a 安全服务规范【4 】1 8 版本， 对c o r b a 系统安全服务的标准概念、参考模型、系统结构、互操作模型以及标 准实现接口进行了详细的定义和说明。国内外的许多研究机构和公司也在c o r b a 安全的研究与实现方面做了大量的工作，但总体来说，对c o r b a 安全技术的研 究目前还处于一个主要以完善功能为主的发展阶段。 在国外，c o r b a 研究领域的资深专家，华盛顿大学的d o u g l a sc s c h m i d t 教 授在其领导研究开发的t a o ( ma c eo i m ) 系统中加入了安全服务的实现。目 前t a o 实现了c o r b a 安全性功能包级别l 的大部分接口和c o r b a 安全性功能 包级别2 的部分接口f 5 j ，它的实现采用具有基本安全功能的s s l i o p ( i i o po v e rs s l ) 协议插件。协议插件提供安全认证、消息完整性及消息机密性等服务，但功能有 第2 页 国防科学技术大学研究生院硕士学位论文 限。开源项目j a c k o r b 实现了s s l 服务和通用安全互操作规范的s a s ( s e c u r i t y a t t r i b u t es e r v i c e ) 服务，提供了简单的认证和授权服务。a d i r o n 目前已经开发出 支持c o r b a 安全互操作级别2 的功能较为完善的安全o r b o r b a s e cs l 3 系统。 提供了认证、安全调用、应用层的访问控制等一系列安全功能，它在底层同时集 成了k e r b e r o s 和s s l 安全技术，是目前c o l 出a 安全服务领域较为领先的产品之 一o m i c o 安全服务遵循c o r b a 安全服务规范1 7 实现了安全性功能包级别2 的 安全服务，m i c o 安全服务基于m i c oo r b 采用标准的s s l 作为安全机制。m i c o 安全服务主要针对大型的电信领域开发的。其主要特点为：支持没有安全性意识 的应用程序和有安全性意识的应用程序；具备m i c 0 2 3 1o r b 的所有特性( 包括 p o a 的支持) ；实现了基于s s l 的s s l i o p 协议插件；包括针对x 5 0 9 和特定环 境的扩展属性：提供鉴别、消息保护、安全调用和审计的策略。 在国内，对c o r b a 安全服务研究较深入的单位有东南大学和国防科技大学。 东南大学在自主开发的分布式计算平台o r b u s 系统( c + + 版本) 中实现了遵循 c o r b a 安全规范v 1 5 ( 现在的版本是1 8 ) 的c o r b a 安全服务，但其安全功能 还不完善，目前仅支持基于主机名的访问控制功能。底层采用的安全机制也比较 单一，目前仅支持k c r b c r o s 安全技术，其安全服务的功能完备性、安全服务模块 的可互操作性有待进一步改进。国防科技大学在吴泉源教授的领导下致力于 c o r b a 中间件对象请求代理及c c m 实现平台的研究并形成产品，目前其o r b 产品s t a r b 璐已经在国内取得广泛的应用。他们在其s t a r b u s 和s t a r c c m 平台上开 发安全服务，对c o r b a 服务进行了适当扩展。其传输层支持s s l 机制；认证层 采用通用安全服务中的用户名口令( g s s u p ) 机制；属性层支持基于类型为主机 名( p r i n c i p a ln a m e ) 的身份属性的代理。实现了安全性功能级别包1 和安全性功 能级别包2 中的部分功能，其访问控制模块采用了基本的r b a c 模型作为授权策 略，但没有实现非否认性服务，目前版本也不完全符合c o r b a 安全服务标准( 比 如其o n z c n t 对象的实现) 6 1 。 总的来说，包括各种商业公司在内，目前c o r b a 系统的安全服务并没有被 成熟的实现。c o r b a 安全服务仍然有待进一步发展，仍然是当今科技界研究的一 个热点。 1 4 论文的研究内容及组织结构 本论文研究目标为：通过对s c a 体系结构安全访问风险的分析，以c o r b a 安全服务规范、安全参考模型和安全访问技术的研究为基础，提出了适用于具有 第3 页 国防科学技术大学研究生院硕士学位论文 s c a 应用特点的软件通信体系结构的c o r b a 安全访问模型和策略，从而提高s c a 体系结构的安全等级。 本论文的研究内容如下： 1 ) 研究s c a 系统c o r b a 安全访问隐患： 研究在s c a 核心框架接口访问过程中存在的安全隐患，分析用户非法访问控 制核心框架接口及其它组件接口的途径和方法；分析软件无线电下载的安全隐患。 2 ) c o r b a 安全服务研究： 对c o r b a 安全服务规范、安全功能参考模型和安全体系结构进行了研究， 重点研究了c o r b a 安全服务中登陆认证、安全调用、访问控制等技术，总结了 在分布式c o r b a 应用环境中对核心框架接口进行安全访问的策略和实现方法。 3 ) 提出了实现s c a 核心框架安全访问控制的模型和策略： 通过对c o r b a 安全参考模型中各种安全访问技术的研究，结合s c a 实际应 用特点，提出了适用于$ c a 体系结构的安全模型和访问策略。 4 ) 通过构建验证平台对安全模型和策略进行验证测试： 基于所提出的s c a 体系结构安全访问模型和策略，在p c 机上构建符合s c a 规范的、支持接口安全访问的核心框架软件平台，验证和测试安全访问模型对核 心框架接口的防护能力。 本文共分为五章。各章的内容概述如下： 第一章为绪论，介绍了本课题的背景，论述了本课题研究的现状，指出了本 课题的研究内容，最后概述了本文的组织结构。 第二章为s c a 体系结构安全访问风险分析，研究了s c a 安全体系结构的需求， 分析了基于c o r b a 的s c a 核心框架安全访问风险和软件无线电安全下载的风险。 第三章介绍了基于c o r b a 的s c a 安全服务的研究，介绍了c o r b a 的安全 服务规范，重点介绍了c o r b a 的安全参考模型和安全体系结构及s s l 安全机制。 第四章阐述了基于c o r b a 的s c a 的安全服务的设计和实现的一些关键的问 题，在t a o 系统中实现了s s l i o p 安全协议插件，通过拦截器进行了基于身份的 访问控制。在o r b 中实现了基于角色的访问控制。 第五章对c o r b a 的安全服务进行了测试，重点是登陆认证，安全调用和访 问控制方面的测试。 第六章为结束语，对本文所作的工作进行总结和评价，并指出进一步研究的 方向。 第4 页 国防科学技术大学研究生院硕十学位论文 第二章s c a 体系结构安全访问风险分析 s c a 是一种开放的通用体系结构，它定义了一个标准的、开放的、可互操作 的软件平台。通过该软件平台，底层硬件与实现波形功能的软件相互隔离。其目 的是确保软件和硬件的可移植性和可配置性，并确保根据s c a 开发的产品之间的 互通。s c a 软件体系结构如图2 1 所示，它分为六个层次：总线驱动和板级硬件 驱动层、网络和串行接口服务层、p o s i x 操作系统接口层、c o r b a 中间件层和核 心框架层。 核心框架( c f ) 、操作系统( o s ) 和c o r b a 中间件为上层的波形应用软件 提供了一个标准的操作环境( o e ) 。c f 是开放应用层接口和业务的核心集，为软 件应用设计提供底层软件和硬件更高层次的抽象。进一步简化编程和提高软件的 可移植性。o s 的功能是提供多线程支持的应用( 包括c f 应用) ，为了简化应用 的移植，要求为操作系统业务提供标准操作系统接口。c o r b a 中间件是系统结构 的基础，在分布式处理环境中作为消息传递技术。所有的核心接口都是由i d l 定 义。如图所示，o e 提供了可靠的传输机制，可以在总线支持级提供错误检测和纠 错能力，为在红边和黑边环境中实现安全保密功能。 如图所示，系统采用红黑边分离的方式，划分成两部分，红边物理总线和黑 边物理总线是分离的，它们通过安全组件互连。安全组件将前后两个部分进行隔 离，如果数据要穿越边界，红黑边的数据交换需经过安全组件进行加解密处理， 这样系统的安全性能够得到保证。红边的分类数据经过安全组件加密后，在黑边 视为相同的数据流，经统一的调制后，发送出去；而接受的数据，经解调后，在 黑边一样视为相同的数据流，安全组件解密后，在红边成为各种业务处理的分类 数据。 第5 页 国防科学技术大学研究生院硕士学位论文 葺# l 【b 囊全纽佟 探作环境 ( o e ) 非c 0 l 【b i o 组件 e 皿 垒签屹i l l c 网络a p i t ， 。! 竺警生：。j | 核框浆( c f ， j “，! 戮爹，r 藤箍蔫 。( 中阏镣一l “”9 ? ；，一p 嚣2 孑揉诈系统孽伽：“0 。 i，唾络协议援和串杼接罐蕨务一， 镀，蒜善诣凌。彘蠢 黑方硬件总线 f j 。tl l ，霪翟扩、：，l 援心框鬈( c f ) 至二整篷二尘堕鲨 ；? ? ? ( 中孵律，。? ? l 胍芽帮肚愚 蠢1 p o s i x 攮律謦绽囊酊? ，一 。， 瞬络协议栈和串行撩刮莸务 乏。援级燕持毯盛臻晨磊。o 红方硬件总线 图2 1s c a 软件体系结构图 图2 1 中，“安全部件 和“安全适配器 的方块是红黑硬件总线的分隔体 及红黑o s 、o r b 部件的分隔体。“安全部件 并不是所有的安全信息都封装在 这个功能块中，实际上，在红黑处理模块中也有安全要求。因此，在安全补充规 范中，图中的“安全部件 方块重新定义为“加解密子系统 ，对它的功能进行 了更为准确的定义。 2 1s c a 安全体系结构的需求 s c a 的安全结构将电台系统划分为三部分：红边处理、加解密子系统( c s s ) 、 黑边处理。保密无线电台的j t p s 安全体系结构的基本介绍如图2 2 所示： 第6 页 国防科学技术大学研究生院硕士学位论文 黑边i oi 黑边n 密码处理 黑边应用红边应用 控制旁路 ltt 黑边o e红边o e 黑边总线 红边总线 红边i 0i 红边胁n 图2 2j t r s 安全体系结构 如图2 2 所示，应用程序在软件无线电台的红边和黑边处理方运行，同时c s s 能维持系统内红边和黑边信息的分离。在具体的系统级别的环境中，c s s 要求比 红边或者黑边处理更高的安全保障。可以从结构上观察，软件无线电台安全体系 结构提供具体的旁路功能，这样软件无线电台内部控制和状态功能是需要o e 和应 用元件在跨密码功能非加密形式下，在软件无线电台的红边和黑边两方之间进行 通信。 图中密码子系统及其旁路功能的使用，以控制软件无限电台中从红边到黑边 之间的通讯传输和状态控制信息。由于操作环境的原因，c s s 必须在红边部分和 黑边部分的o r b 之间起桥梁作用。因为从红边部分到黑边部分的远程标准可以用 两种方法获得：第一种方法是通过使用命名服务获取注册对象的网络地址，红边 部分的对象从命名服务中得到远程对象接口并执行远程对象调用程序：第二种方 法使用“串行内部对象标准 ( i o r ) 来形成远程接口。 在j t r s 安全附录中对安全体系结构进行了补充，指出有必要定义一套控制参 数来定义对给定的无线配置应有哪些安全强制措施。同时，这些控制参数还要定 义响应的无线安全策略。安全策略是各种信息的集合，包括各种信息来源、无限 o e 和o r b 、可下载波形以及操作者安全管理者输入参数。因此软件无线电台的 安全与设备的支撑基础结构紧密相关。将安全策略集成到正确的j t r s 框架是成功 构建强健安全系统的关键。 第7 页 国防科学技术大学研究生院硕十学位论文 图2 3 安全镶略和旁路机制 j t r s 安全服务a p i 中上下文中的策略是用来控制j t r s 安全执行机制的行为 的相关信息。而这些策略的数量和内容在不同的j t r s 平台的结构中是不同的，它 是根据平台的配置及加载在其中的波形的数量和类型而采用不同的策略。这些策 略用来确定加密和旁路行为，访问控制及审计行为。图2 3 指出旁路策略是如何实 施的，控制旁路保护设备促使系统、波形配置和来自策略库中控制旁路策略的执 行。旁路策略包含设备在它执行机制中使用的信息，这样的信息决定了是否准许 信息从红边到黑边的传递。对于报头旁路设备是同样的道理，只是实施对象不一 样。 2 2 核心框架的安全访问风险分析 核心框架提供了诸如应用程序的实例化、卸载及文件管理、日志这样的基本 的应用程序服务。核心框架实体包括：域管理器；设备管理域：文件系统；文件 管理系统等。由于s c a 核心框架是基于分布式c o r b a 中间件设计实现的，同时 核心框架又是一个开放式的架构，具有标准的接口访问标准，因此核心框架软件 平台较其它的软件系统存在较多的安全访问风险。如果不对s c a 核心框架中各种 第8 页 国防科学技术大学研究生院硕士学位论文 接口的访问进行安全保护，势必导致基于s c a 实现的软件无线电系统在实际应用 过程中存在严重安全威胁，为了使c f 及它所实例化的应用程序的正常运行得到安 全保障，机制必须保证：在应用程序内产生正确的进程( 如实例化正确的波形及 系统应用程序) ；内部对象信息在正确的对象之间流动( 信息流的安全策略) ； 不实例化、不卸载低保障或无保障对象，不改变应用程序；读、写和文件执行都 应按照权限许可进行操作；软件下载的完整性得到保障；操作痕迹被记录；保证 操作记录不被非法改变或非法读取。总结这些安全威胁主要体现在如下两个方面： 1 ) 无法认证用户的合法身份或访问权限，导致系统控制权被非法用户或低 权限用户获取。 由于缺少对用户身份进行认证、授权、访问控制等安全保护，导致s c a 系统 无法有效地对不同使用权限的用户进行管理，无法阻止低权限的用户操作系统的 核心部件，同时也不能有效防止非法用户入侵系统，获取核心框架中核心组件( 域 管理器、应用工厂、设备管理器等) 的控制权，对系统进行关闭、停止波形应用 运行、植入非法软件等破坏性操作。 2 ) 缺乏波形软件认证机制，无法阻止未经认证的波形软件( 或其它有害软 件) 下载到系统中。 s c a 的动态下载和同时支持多频段、多模式的能力在为用户带来极大方便的 同时，也产生了极大的安全隐患。s c a 在对波形应用的下载过程中缺乏对波形进 行必要的安全认证机制，这样将导致系统不能阻止未经过安全认证的波形( 或其 它有害软件) 下载到系统当中，这一缺陷在基于无线方式下载波形的应用中将造 成严重的后果。 2 2 1用户获取系统控制权的安全分析 s c a 核心框架由一系列c o r b ai d l 语言定义的接口组成，这些接口详细定 义了对基于s c a 架构的软件无线电系统内所有软硬件资源进行管理的操作【8 】，s c a 规范对这些接口和操作的访问方法进行了详细的定义。任何基于c o r b a 的客户 端只需要根据规范的要求调用这些接口的操作就可完成相应的任务。因此，如果 不对这些接口( 特别是一些重要的接口，如域管理器、设备管理器、应用工厂等) 的访问进行必要的安全保护，必然导致s c a 无线电装备在实际战场环境中存在巨 大的安全使用风险。 第9 页 国防科学技术大学研究生院硕士学位论文 图2 4 核心框架各接口间的关系 如图2 4 所示，核心框架由一组相互关联的i d l 接口集组成，这些接1 2 1 按功能 又分为三类接口：框架控制接口( d o m a i n m a n a g c r 、a p p l i c a t i o n f a c t o r y 、 d e v i c c m a n a g c r 等) 、框架服务接口( f i l e m a n a g c r 、f i l e s y s t c m 、f i l e ) 、框架应用 接口( p 嘶、l i f e c y c l e 、t e s t a b l e o b j e c t , 、p o r t s u p p l i c r 、p r o p e r t y s e t 等) 。其中， 国防科学技术大学研究生院硕士学位论文 域管理器( d o m a i l ：l m a i 埘1 9 c r ) 是整个域管理的核心，负责对系统内所有的软硬件 资源进行管理，包括波形应用软件的安装卸载、波形组件控制、设备状态管理、 设备和服务的注册注销、文件操作等。域管理器作为用户管理系统的接口组件， 用户只需通过c o r b a 命名服务解析得到域管理器的对象引用，既可获得系统内 其它重要组件( 如：设备管理器、设备组件、应用工厂、文件管理器等) 的访问 控制权，进而通过调用这些组件的操作和属性对系统进行管理和控制。而根据s c a 规范要求，域管理器在命名服务中的绑定名为缺省的“d o m m n m m a g 贸 ，这样非 法用户就可使用该绑定名获取域管理器的对象引用，对系统进行非法操作。非法 操作可能造成的危害： 1 ) 植入非法软件。它包括非法的用户通过核心框架下载非法的软件，或者 合法用户过失性的下载了非法的软件，并将这些非法的软件安装到系统的波形目 录中。这些非法软件的运行可能给系统造成严重的危害。 2 ) 释放( 停止) 波形软件。非法用户通过域管理器得到系统内所有管理波 形应用程序的应用对象，并通过对象调用该对象来停止和释放波形应用程序的运 行，更为严重的是非法用户通过域管理器将正确的波形应用程序文件集从系统内 删除。这样的操作会影响系统的功能的实施。 3 ) 关闭系统。非法用户通过域管理器和命名服务可以获取应用系统的所有 组件。通过域管理的属性序列可到达系统内所有的设备管理器，进而通过设备管 理器的得到所有的设备组件，得到设备组件就能轻易的停止设备运行。还可调用 设备管理器来关闭系统所有的设备。这样会影响系统的正确运行。 4 ) 删除系统内的数据文件。非法用户通过域管理器得到系统文件管理器的 控制权，并且调用文件管理器的文件操作函数删除系统内一些重要的数据文件。 包括一些用户的操作痕迹，从而无法达到对用户操作行为的有据可查。 5 ) 窃取系统和波形的重要工作参数指标。s c a 系统内软硬件的一些工作参 数( 如各类处理器的性能指标参数、各种波形的指标参数等) 都以x m l 配置文件 的方式保存来供系统运行使用。非法用户可通过域管理器得到所有设备和应用的 操作引用，进而获得相应的设备或波形的配置文件，从中获取相应参数指标。 此外，由于i d l 定义的核心框架的各种接口对用户都是公开的，并且它们的 访问等级相同，这对所有用户无论是系统管理员还是普通用户都具有访问核心框 架所有接口的权限。这样势必导致权限较低或非法侵入系统的用户能够轻易通过 域管理器组件获取各种重要组件的访问控制权，对系统造成损害。因此，有必要 对核心框架各种接口的访问进行精确粒度的访问控制，对各类接口的访问赋予相 应的访问权限。 第1 1 页 国防科学技术大学研究生院硕士学位论文 2 2 2 软件无线电下载的安全分析 s d r 被认为是一项重要的无线电通信新技术【9 】，它指的是无线网络中设备的 运行模式以及参数可以通过软件进行修改或增加。软件无线电基于灵活的硬件平 台和自适应的软件能够解决无线通信领域的不断发展和技术革新，尤其是当波形、 调制技术、协议、服务以及标准发生变化的时候【l o 】，可以满足人们不断增加的在 不同无线网络环境中进行通信的需要。软件无线电台能够通过软件下载进行重新 配置，进而改变全部或部分无线电功能。软件下载是软件无线电的核心技术之一， 引起了国外学者的广泛关注，将其作为系统实现的一个关键问题予以考虑。 软件下载到软件无线电台的能力引入了几个新的安全问题，下载的软件要求 来源于一个非常可靠的提供者( 设备制造商) ，而应用软件的来源范围比较广。 软件的安全下载对s d r 设备是至关重要的【1 1 1 ，它的核心任务是保证恶意的软件代 码不能被下载以及激活。安全性需求可以归纳为以下四类t l 认证：提供软件下载的服务器端和请求下载软件的客户端能相互确认对方 身份。可以采用简单的口令方法或高级的加密技术实现。 2 完整性：确认接收的数据在传输中没被修改和破坏。在接收和安装新软件 之前，s d r 设备需要确认下载的数据没有被修改。采用加密和编码等技术验证信 息的完整性。 3 秘密性：信息必须秘文传送，只有合法的接受者才能将密文解密成明文。 以确保非法用户不能访问受保护的设备制造商或软件发行者的可执行软件，可采 用加密技术来实现。 4 不可否认性：双方对信息的发送和接收不能抵赖。采用数字签名或适当的 协议方法实现。 2 3 小结 本章对s c a 体系结构安全访问风险进行了分析，说明了s c a 安全体系结构的 需求，重点分析了核心框架的安全访问风险，其中包括了用户获取系统控制权和 软件无线电下载的安全分析。通过对系统安全隐患的分析，能更准确的把握系统 存在的安全问题，以便更好的研究和实现系统的安全服务，达到对系统更完善的 保护。 第1 2 页 国防科学技术大学研究生院硕士学位论文 第三章基于c o r b a 的s c a 安全服策略研究 图2 1 s c a 软件体系结构中的c o r b ao r b 表明了中间件的功能，它在为高 级应用程序提供通用接口的同时，在c o l 国a 软件总线上也提供了灵活的信息流。 这一级安全的实现需要o s 内核层中分离信息流和数据的服务，以便能够实施自身 ( 中间件) 的安全策略【1 2 1 。在应用程序层需要强调应用程序的安全服务，如果应 用程序安全服务向下转移到中间件，因为无法限制对象间的信息流，系统将变得 脆弱无力和无法认证。 3 1 c o r b a 安全服务在s c a 中的作用 在s c a 中，c o r b a 中间件是处于应用软件和系统软件( 操作系统、网络系 统、数据库等) 之间的一个软件层。c o r b a 的使用让应用程序的开发者从复杂的 底层环境中解脱出来，只需专注于业务的开发，因此可以实现各类分布式应用快 速、可靠和高效的开发。但正因为c o r b a 是一个跨平台的框架，提供分布式处 理，这样使s c a 存在分布式系统的一些安全隐患，c o r b a 安全服务能对s c a 系 统起到很好的保护作用。 软件无线通信体系结构中的核心框架是一系列标准的c o r b a 接口，它定义 了域配置管理所必需的各种接口和波形应用开发所必需的接口核心集，为各种软 件组件的部署、配置、管理、连接等功能提供服务。在s c a 中，通过构建核心框 架的优点：( 1 ) 对硬件设备进行满足s c a 规范的抽象和封装，通过适配器将相关的 硬件设备抽象封装为软件组件，以实现硬件设备的配置与管理；( 2 ) 对整个域中的 组件进行统一管理，通过借鉴c o r b a 组件模型的c c m 的思想，c f 将每个进入 系统的组件都进行注册，当这些组件撤销时，c f 负责将其从系统中注销；( 3 ) 利用 域配置描述文件对组件进行描述，利用c f 所提供的标准接口完成组件的自动部署 和动态配置；( 4 ) 通过分布式文件系统提供对物理上分布的文件系统进行的透明的 访问。核心框架的这些优点在给系统带来便利的同时，也为系统增加了风险。 c o r b a 技术向s c a 提供安全服务，极大的保障了核心框架的实现和波形应用的 开发。 嵌入式实时中间件为软件组件间的消息提供了统一的软总线。作为分布式应 用运行平台间的通信机制，c o r b a 技术可以解决硬件平台不断升级和软件需要保 持相对稳定之间的矛盾，实现软件组件的即插即用、自动寻找和动态部署等功能， 从而满足无线通信系统对硬件模块和软件组件的组合要求。c o r b a 安全服务能保 第1 3 页 国防科学技术大学研究生院硕士学位论文 障软件无线电中软件的安全下载。 中间件的安全方法是在系统内通过限制对象接口的访问来控制对象之间的信 息通过量。举个例子，每个对象在实例化之后，通过执行一个绑定函数随o r b 命 名服务注册，这个命名服务驻留在域管理进程空间中。只有在域管理进程空间内 的实体才可以执行解析和列表函数操作，从而有效的防止对象参考被非法