CN101473625A - 安全域信息保护装置和方法 - Google Patents
安全域信息保护装置和方法 Download PDFInfo
- Publication number
- CN101473625A CN101473625A CNA2007800229610A CN200780022961A CN101473625A CN 101473625 A CN101473625 A CN 101473625A CN A2007800229610 A CNA2007800229610 A CN A2007800229610A CN 200780022961 A CN200780022961 A CN 200780022961A CN 101473625 A CN101473625 A CN 101473625A
- Authority
- CN
- China
- Prior art keywords
- service access
- information
- access information
- protection
- described service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了安全域信息保护装置和方法。处理服务访问信息以确定它是否包括敏感信息,所述服务访问信息与安全域外的外部用户对在所述安全域中提供的服务的访问相关联。如果所述服务访问信息包括所述敏感信息的话,保护动作例如在所述服务访问信息上、在整个服务消息上或其一个或多个部分上被实施,以保护所述敏感信息。还提出了规范语言和执行环境以提供高速处理。可以在存储在机器可读介质上的数据结构中指定敏感信息检测标准、保护动作、以及可能的目标,要在所述目标上实施所述保护动作。
Description
相关申请的交叉引用
本发明申请要求名为“SECURE DOMAIN INFORMATIONPROTECTION APPARATUS AND METHODS”、提交于2006年6月20日的美国临时专利申请60/815,134的优先权,该临时专利申请的全部内容在此引入作为参考。
本发明涉及下列专利申请的每一个:
美国临时专利申请60/814,983、名为“NETWORK SERVICEPERFORMANCE MONITORING APPARATUS AND METHODS”,提交于2006年6月20日,以及美国实用新型专利申请11/557,287,提交于2006年11月7日,并要求其优先权;
美国临时专利申请60/815,099、名为“COMMUNICATIONNETWORK APPLICATION ACTIVITY MONITORING ANDCONTROL”,提交于2006年6月20日,以及美国实用新型专利申请11/460,789,提交于2006年7月28日,并要求其优先权;
美国临时专利申请60/814,963、名为“SECURE COMMUNICATIONNETWORK USER MOBILITY APPARATUS AND METHODS”,提交于2006年6月20日,以及美国实用新型专利申请11/465,172,提交于2006年8月17日,并要求其优先权。
技术领域
本发明一般地涉及通信,特别地涉及提供安全域的信息保护。
背景技术
在一些垂直的市场部门,企业间的应用集成在很长时间以来已经成为公司的重要任务。公司出于许多目的需要交换数字信息,而且这些数据经常要在交换所涉及的两方之间保密。对于有规律地交换非常敏感的数据的行业,已经建立了一些政府规章以保证采取合适的措施来保护这些数据。例如,在美国,健康保险携带和责任法案(HIPAA)为卫生保健提供者制定了个人医疗数据的存储和交换保密规定,而且,Gramm-Leach-Bliley法案在金融服务业用作类似的目的。
敏感应用数据的保护例如根据公司网络性质的不同可以采取多种形式,但是最迫切的数据保密要求可能是规章制定的、经营对客户的个人数据负有责任的生意的那些行业。以上提到的HIPAA和Gramm-Leach-Bliley法案就是这类保密规章的例子。
面向服务的体系结构(SOA)促进了数据的交换,但是使得数据保密要求的执行非常困难或者甚至是不可能的。公司SOA基础设施中的应用服务器不可能意识到它的任何服务的最终客户是否为公司之外的,特别是在应用服务器经由例如入口向用户显露服务的场合。
总之,信息通过通信网络进行分发的服务可以被称为网络服务。“web服务”是网络服务的例子,表示通过公共互联网和许多专用网络在不同应用之间用于交换信息的下一代技术。Web服务提供了构建基于web的分布式应用的框架,并且能提供有效的和实际的自动机对机通信。
从技术观点来看,web服务是能使用标准互联网协议通过标准接口的网络可访问功能,所述标准互联网协议例如超文本传输协议(HTTP)、可扩展标记语言(XML)、简单对象访问协议(SOAP),等。
Web服务技术的实际力量在于它的简单性。核心技术仅处理公共语言和通信问题,并不处理应用集成的繁重任务。Web服务可以看成是用于互连多个异构不可信系统的复杂机对机远程程序呼叫(RPV)技术。通过对数据转换/透明度使用XML技术以及对消息传输使用例如HTTP和简单邮件传输协议(SMTP),Web服务有效地利用了许多新技术。
Web服务开发和标准化背后一个主要的驱动因素是,web服务通过提供不同应用之间的松散耦合促进无缝机对机应用级通信的能力。应用的这种松散耦合允许不同服务器上的应用户操作而不需要它们之间固定的、不灵活的接口。使用完全不同的技术的应用能使用标准web服务协议进行互操作。
尽管web服务仍然是新兴技术,应用之间数据交换的压力非常大,相应地,没有合适的授权或保护而发布敏感数据的风险也非常大。
在简化信息交换时,网络服务环境会使得保护敏感数据的问题变复杂。一些数据保护解决方案保证数据的安全存储和传输期间的端到端加密。这种解决方案并非总是可行,因为可能要求在中间点进行数据处理。对于web服务来说,web服务消息在传送中要求转化正属于这种情况。SOA中组合的web服务可以组合来自许多个体服务的数据以和谐地构成例如商业过程的一部分。这种手段对于商业应用来说是有力的工具,但是它并不支持端到端加密。
还有现有的解决方案对离开指定安全域的所有消息和数据进行加密。遗憾的是,该解决方案在许多情况下不能很好地依比例缩放。加密是计算上昂贵的功能,并且如果业务量中只有一小部分实际上是敏感的话,对所有数据进行加密是非常浪费的。更糟糕的是,该解决方案要求接收方实施相同的算法以便解密数据,而这并不总是可行或者节约的。
依赖“加密接口”和“未加密接口”的组合并不能保证符合政府保密规章-例如,敏感数据可以随时在未加密链路上发送。
尽管电子邮件网关能够对离开公司邮件服务器的出局邮件进行扫描和选择性加密,在不同的技术以及比电子邮件情况下更少约束的文件格式的基础上,为web服务消息和其它服务相关信息提供数据数据保护根本上依然是个难题。
另一种解决方案涉及可编程用于加密的专用XML防火墙类型设备。因而这种加密不是基于每个应用服务器的。这代表访问控制列表(ACL)方法
发明内容
根据本发明的实施例,用于web服务的数据保密策略可以在数据离开安全域的点上执行。敏感数据的实时鉴别和仅仅敏感数据的选择性保护可以作为可扩缩的解决方案提供。
本发明的实施例也可以用于提供完整的规范性框架、垂直市场的规章专用模块和/或基于模型搜索的语意人工智能(AI),其中所述规范性框架具有能意识到服务类型和能意识到用户群的处理。
根据本发明的一个方面,提供了机器实现的方法,该方法包括确定服务访问信息是否包括敏感信息,所述服务访问信息与安全域之外的外部用户对在所述安全域中提供的服务的访问相关联;以及在所述服务访问信息包括敏感信息的情况下,实施保护动作以保护所述敏感信息。。
保护动作可以包括以下一个或多个:丢弃所有服务访问信息、仅从服务访问信息中移除敏感信息、对所有服务访问信息加密、仅对服务访问信息中的敏感信息加密、对所有服务访问信息数字签名,以及仅对服务访问信息中的敏感信息数字签名。
执行的操作可以包括在服务访问信息的一部分上执行保护动作。
确定可以涉及对服务访问信息进行解析。
在一些实施例中,确定和执行涉及执行规范说明语言(RSL)程序,该程序定义与信息保护规范相关的敏感信息检测标准和保护动作。RSL程序可以包括指定各敏感信息检测标准和对应的保护动作的表项,在这种情况下,执行可以包括顺序地处理每个表项的服务访问信息。RSL程序可以包括可扩展类型表语言转换(XSLT)操作,并且使用可扩展标记语言(XML)扩展以支持加密作为保护动作。
该方法还可以包括识别与服务访问信息相关的保护策略。确定可以涉及确定服务访问信息是否包括在保护策略中指定的敏感信息。
识别操作可以涉及基于以下的一个或多个:服务访问信息的目的地、服务访问信息的源、外部用户、以及与该外部用户相关的外部域。
在一些实施例中,该方法在源域内的通信网络的web服务节点上实施。
该方法可以体现在例如存储在机器可读介质上的指令中。
还提供了一种装置,包括服务访问信息处理器,可用于确定安全域外的外部用户对安全域内提供服务的访问相关的服务访问信息是否包括敏感信息,以及保护模块,该模块可操作地耦合到所述服务访问信息处理器,并且在所述服务访问信息包括敏感信息的情况下,用于实施保护动作来保护所述敏感信息。
保护动作可以包括以下一个或多个:丢弃所有服务访问信息、仅从服务访问信息中移除敏感信息、对所有服务访问信息加密、仅对服务访问信息中的敏感信息加密、对所有服务访问信息数字签名,以及仅对服务访问信息中的敏感信息数字签名。
服务访问信息处理器可以包括用于解析服务访问信息的解析器。
在一些实施例中,服务访问信息处理器和保护模块的至少一个实施用于执行RSL程序的RSL环境,该程序定义与信息保护规范相关的敏感信息检测标准和保护动作。RSL程序可以包括指定各敏感信息检测标准和对应的保护动作的表项,在这种情况下,执行可以包括顺序地处理每个表项的服务访问信息。RSL程序可以包括XSLT操作,在一些实施例中使用XML扩展以支持加密作为保护动作。
该装置还可以包括可操作地耦合到服务访问信息处理器的存储器,用于存储保护策略。服务访问信息处理器可以进一步用于在存储器中识别与服务访问信息相关的保护策略,并且通过确定服务访问信息是否包括保护策略中指定的敏感信息来确定服务访问信息是否包括敏感信息。
服务访问信息处理器可以用于基于以下的一个或多个识别保护策略:服务访问信息的目的地、服务访问信息的源、外部用户、以及与该外部用户相关的外部域。
该装置可以例如在web服务节点上实施,该节点位于源域内的或者处于与外部用户相关的外部域中。
本发明的另一方面提供了存储数据结构的机器可读介质。数据结构包括识别敏感数据的检测标准,以及用于识别保护动作的保护动作字段,所述保护动作将被执行来保护在检测标准中识别的敏感信息,其中,识别的敏感信息在与访问相关的服务访问信息中由安全域外的外部用户对该安全域中提供的服务检测。
该数据结构还可以包括用于识别服务访问信息一部分的服务动作目标字段,保护动作将在所述服务访问信息上执行。
在阅读以下说明后,本发明的实施例的其他方面和特征对于本领域技术人员将变得明显。
附图说明
下面将参照附图更详细地描述本发明的实施例的例子。
图1是通信系统的框图。
图2是根据本发明的实施例的装置的框图。
图3是根据本发明的另一个实施例的方法的流程图。
图4是根据本发明的又一实施例的方法的流程图。
图5根据本发明的另一个实施例的数据结构的框图。
具体实施方式
图1是本发明的实施例得以实施的通信系统的框图。通信系统10包括通信网络12,企业系统22、24,应用系统26,以及远程用户系统设施28经由各自的通信链路耦合到通信网络12。
企业系统22包括一个或多个应用服务器32,应用平台34可操作地耦合到这个(这些)应用服务器,网关36可操作地耦合到该应用平台和通信网络12,一个或多个用户系统38可操作地耦合到应用平台和网关,身份系统40可操作地耦合到应用平台、用户系统以及网关,应用管理器42可操作地耦合到应用平台和网关。也可以使用其他部件或系统,诸如位于网关36任一侧以提供非军事区(DeMilitarized Zone)的防火墙。企业系统24可以具有相似的结构。
在应用系统26中,应用平台44可操作地耦合到通信网络12和一个或多个应用服务器46。远程用户系统设施28包括可操作地耦合到一个或多个用户系统49的应用代理48。
尽管可以在通信系统中提供许多企业系统、应用系统、远程用户系统设施以及可能的其它类型的系统,图1中仅示出特定类型系统的说明性例子,以避免图面过于复杂。出于类似原因,通信网络12的诸如边界或接入设备以及核心交换/路由部件的内部细节,以及企业系统24,也被从图1中省略。通信网络12的类型、结构和操作可以在本发明实施例的部署之间变化。本发明的其它实施例还可以包括企业系统、应用系统和/或远程用户系统设施,所述企业系统、应用系统和/或远程用户系统设施包括比示出的更少的、更多的、或不同的组件,这些组件具有类似的或不同的相互连接关系。
因此,应当理解,图1的通信系统10以及其它图的内容仅旨在用于说明性目的,并且本发明决不限于在图中明确示出的和此处描述的特定示例实施例。
本发明涉及的领域的技术人员应当熟悉许多不同类型的通信网络,包括诸如应用级网络的覆盖网络和更传统的基础设施。本发明不限于任何特定类型的通信网络。在一个实施例中,通信网络12是互联网或者某个其它公共网络。
接入技术的许多例子,通过所述接入技术系统22、24、26、28访问通信网络12,对本领域的技术人员也是熟悉的,并且相应地没有在图1中单独示出。
首先考虑企业系统22,应用服务器32支持可以提供用于至少被本地用户系统38使用的功能的应用,所述功能示例性地如服务。在部署多个应用服务器32的情况中,每个服务器支持各自的功能或服务集,所述各自的功能或服务集可以或可以不覆盖由其它服务器支持的服务。
在一些实施例中,在企业系统22、24的所有者或经营者具有协议的情况下,所述协议用于被他们的用户、和/或在远程用户系统设施28处的用户系统49进行系统间访问,也使得这些功能可用于被诸如企业系统24中的用户系统的外部用户系统使用。
此处对应用的使用的参考旨在传达任何这种功能的理念。一般地,应用服务器32执行软件应用以提供这些功能。在本文中,诸如web服务的服务,是呈现给用户系统的应用功能的例子。对应用、功能和服务的任何参考应当被相应地解释。
应用服务器32可以包括如一个或多个处理器、一个或多个存储设备的组件,以及用于与用户系统交换应用事务处理信息的接口,所述应用事务处理信息诸如服务请求消息和对应的响应。应用服务器32中的存储设备可以被用来存储用于被应用服务器处理器使用的操作系统软件、应用软件等。诸如22的企业系统经常被实现为网络,在这种情况下,网络接口使得应用服务器32能够与用户系统38以及可能的企业系统的其它组件进行通信。在另一可能的实现中,应用服务器32包括用于与不同的企业系统组件通信的单独接口。
用户系统38可以类似地包括一个或多个处理器、一个或多个存储设备、以及用于与应用服务器32和可能的企业系统22的其它组件通信的某类接口。操作系统软件、用于与应用服务器32交互的客户端软件、和/或其它类型的信息可以被存储在用户系统存储设备中。
本领域的技术人员应当熟悉许多不同类型的系统,所述不同类型的系统提供和/或使用网络应用。与这些应用实际如何被支持相比,本发明的实施例主要涉及保护与网络应用的使用相关联的敏感信息,并且相应地此处仅简要描述应用服务器32、用户系统38和它们的操作,达到说明本发明各方面的必要程度。
身份系统40表示一般在诸如公司网络的企业系统中被提供的另一组件,并且对于本领域的技术人员应当是熟悉的。在许多情况下,访问由应用服务器32支持的服务或其它功能必须被限制到特定用户集。身份系统40,其例如可以通过与轻量级目录访问协议(LDAP)目录或其它类型的用户数据库进行交互来认证用户和/或用户系统,供应可以被用于授权或拒绝对网络服务的访问的数字身份。
在结构方面,应用平台34包括与应用服务器32的用户系统接口兼容的应用服务器接口(示例性地如应用程序接口(API))、一个或多个与用户系统38的应用服务器接口兼容的接口,以及用于处理通过这些接口接收和/或传输的消息或其它信息的组件。如以下进一步详细描述的,外部用户系统可以能够通过网关36访问应用服务器32,在该情况中,应用平台34的用户系统接口还可以使得应用平台能够与网关36进行通信。不过,在一些实施例中,可以为该目的提供单独的网关接口。
网关36也将包括一个或多个与企业系统22的其它组件的接口兼容的内部接口、一个或多个用于使得通信信号能够通过通信网络12被传输和/或接收的外部接口、以及用于处理通过这些接口接收和/或传输的信号的媒介组件。
应用管理器42表示控制或监控单元,当信息在应用服务器32和本地用户系统38或外部用户系统之间被传送时,所述控制或监控单元本身可能不实施实时处理信息。应用管理器42可以通过兼容接口与应用平台34和网关36进行通信,示例性地如通过向平台和/或网关下载策略用于执行,来实施如配置应用平台和/或网关这样的功能。
可以以硬件、软件、固件或其某种组合来实现应用平台34、网关36和应用管理器42的内部组件。如以下参考图2描述的装置提供子系统的说明性例子,所述子系统可以被提供在应用平台34或网关36中。
在所谓的用于企业网络的面向服务体系结构(SOA)的传统部署中,SOA组件被单独部署并且被集成在每个应用服务器上。发布用于在网络上使用的服务,例如在企业系统22内,将要求服务注册装置,用于服务供给的发现和管理。尽管web服务标准解决限制服务访问到被授权的用户的需求,将需要web服务策略服务器来存储和提供该信息。由于软件供应商可能要求对应用和服务器进行实质性的改变以便适应企业系统,执行这些策略可能还是个挑战。
所有这些对企业来说可能表示一个重大项目,并且有可能具有相当长的实现周期。另外,实现这种项目要求的技术是高度专业的,这可能使得SOA实现在经济上不是切实可行的。
当例如在企业系统22、24之间向合作伙伴扩展web服务或其它类型的应用时,对于部署在应用服务器上的SOA基础设施甚至存在更多的挑战。例如,部署在合作伙伴场所处的应用可能使用不能自由共享用户身份信息的多样安全机制,这要求转换用于用户的安全令牌。将安全令牌转换的负担或其它安全功能置于每个应用服务器上倾向于昂贵并且效率低下。
由于应用服务器本身可能不知道用户系统或更一般地它的服务的消费者是否在它的企业系统的外部,数据保密性要求也是非常难于或甚至是不可能在每个应用服务器处执行的。
XML-特有的拒绝服务(XDoS)攻击,以及可能的其它威胁,可能在基于应用服务器的SOA实现中是特别成问题的。例如,web服务向XDoS攻击开放,这在应用服务器上不能被有效地处理。
将基于服务器的SOA移植到web服务模型以经由松耦合应用实现应用互操作性,使得需要附加的消息发送-示例性地如以SOAP报头和XML消息的形式-以及用于管理这些消息的附加处理要求成为必要。该附加的开销消耗网络带宽并且可以对应用服务器硬件产生重大的新要求。
用于部署SOA基础设施的可选模型是将SOA组件集成到企业网络单元中,如图1中所示。应用平台34、网关36和应用管理器42表示企业系统22中的SOA组件。
将SOA基础设施与应用服务器32分开部署可以提供若干好处:SOA基础设施因而是应用不可知的,应用要求最小的修改,SOA基础设施是端到端集成的解决方案,应用服务器处理开销被最小化,以及网络带宽可以被优化。
随着基于企业系统/网络的SOA部署,应用进行互操作所要求的任何消息转换可以根据在企业系统内设置的策略而不是通过应用本身被实施。这允许独立于应用来定义转换,消除了对应用供应商实现的依赖。
被要求来调适消息格式和内容的商务逻辑因而由企业而不是应用来提供,这使应用修改最小化。例如,可以在企业网络内调适web服务消息,来实现应用互操作性。当可能由于吞并、收购或需要与新的合作伙伴联合,新的互操作要求出现时,不要求进行应用修改。相反,新的用于消息转换的策略可以被定义为规定新的互操作性。
被部署为集成的企业网络解决方案的SOA基础设施可以提供单个监控、控制和统一报告点,示例性地如应用管理器42。例如,这对于使能适当的公司管理、持续的公司改进、以及证明符合有关数据保密性和网络安全的规章的能力,会是很重要的。
出于两个原因,可以显著减少对应用互操作性的应用服务器处理要求:应用服务器卸载和减少的被要求的转换的数量。转换可以例如在应用平台34处被一次进行,然后被转发到多个目的地上,而不是每个应用执行它自己的转换。
可以通过基于检查消息SOAP报头、XML标记或其它消息内容将分组路由至应用服务器32,来减少被附加的消息流量消耗的网络带宽。例如,路由可以对应用上下文敏感,而不是基于静态IP地址。
如果应用服务器功能要被扩展到合作伙伴企业系统,被部署为企业网络基础设施的SOA基础设施可以提供许多进一步的优点。安全令牌的转换可以在合作伙伴的网络之间的分界点处,示例性地如在用于外部访问应用服务器32的网关36处,被一次进行,这提供用于安全策略的单个执行点。数据保密性也可以在数据离开安全域的点处被执行,例如再次在网关36处。这驱动效率并且减少成本。另外,目标在于公司web服务的拒绝服务攻击可以在网关36处被防御,网关36是企业网络边界,可能是处理该问题的最安全的地方。
应用平台34提供用于集成传统上已作为独立应用运行的应用的SOA基础设施,并且可以使能这样的能力:控制和监控由合法用户发起的所有活动以由此允许生成统一的检查跟踪,转换消息和文档格式,管理包括web服务的分阶段展示(rollout)和例如发生意外行为回退到之前版本的应用的生命周期,以及监控应用/服务性能来保证应用/服务满足内部公司要求。
类似此处指出的其它功能例子,应用平台34的示例性功能的该清单决不是限制性的或穷举的。许多功能可以被独立实现,每个实施例不需要一定提供所有功能,并且其它功能对本领域的技术人员还可以是或变得明显的。
应用平台34的好处可以包括:如以上指出的通过对现存应用的最小改变减少应用集成成本;保证对公司应用的访问遵守政府规章;对雇员访问web服务的中央监控和控制点;以及通过统一的报告对公司的持续改进。
通过通信网络12,网关36将企业系统22提供的内联网SOA有效地扩展为外联网,允许与消费者和合作伙伴无缝地集成,而不损害安全或保密性。网关36的功能可以包括,可能特别是,以下中的任何一项或全部:向合作伙伴外联网和分支点扩展应用、提供合作伙伴访问应用的无缝移动性、保证合作伙伴访问公司应用遵守政府规章、以及维护公司身份的保密性而不损害追踪能力。
在从与企业系统22相关联的任何合作伙伴站点提供对应用服务器32的移动访问中,网关36可以允许合作伙伴机构的安全标识以及接受不同安全域之间的身份。当保证所有数据根据公司策略保持保密时,用于用户系统的应用消息和数据转换还可以由网关36提供,所述用户系统与外部合作伙伴站点相关联。网关36可以收集所有应用访问的统一检查追踪并且提供给外部合作伙伴企业系统,例如来证明符合规章。
应用管理器42提供中央点,用于监控和控制企业系统22中的应用平台34、网关36以及任何其它平台和网关(未示出)。用于所有应用以便保证改进公司管理和/或遵守政府规章的全局一致的策略,还可以通过应用管理器42在一些实施例中被建立,并且被发布到应用平台34和网关36用于执行。中央应用管理器42还可以规定全局一致的应用改变管理。
如以上指出的,企业系统24可以实质上类似于企业系统22。
企业系统22包括应用服务器32和一个或多个用户系统38两者,应用服务器32支持应用,用户系统38可以使用那些应用。然而,应当理解,应用服务器和用户系统不需要一定是共处一地的。例如,应用系统26包括一个或多个应用服务器46,但不包括本地用户系统。尽管在应用系统26中仅示出应用平台44,应用系统的一些实现还可以包括网关。尽管如所示的应用系统26可能适用于例如远程数据中心,所述远程数据中心与如企业系统22的主要数据中心相关联,独立的或“非附属的”应用系统可能还包括例如用于处理外部用户的认证的网关,所述独立的或“非附属的”应用系统托管用于被外部用户系统使用的应用。
应用系统26中的应用平台44可以与企业系统22的应用管理器42交互,或者更一般地,与它的附属企业系统的应用管理器交互。在独立应用系统的情况中,可以提供本地应用管理器。在一些实现中,外部服务控制器29与多个不同域中的SOA基础设施组件交互。例如,可操作地耦合到通信网络12的外部服务控制器29,可以配置网关36和企业系统24中的网关,来收集和交换应用性能统计资料(statistics)。
仅有用户的部署在图1中被示为远程用户系统设施28。应用代理48允许在合作伙伴或分支点处的用户系统49例如使用由位于远处的应用服务器提供的应用。在一个实施例中,应用代理48是网关36的成比例缩小版本。类似于网关36,在与企业系统22认证用户系统49期间,应用代理48可以维护公司身份的保密性而不损害追踪能力,并且使用例如隧道技术来支持通过通信网络12的安全通信,但是不需要一定能够认证外部用户,因为远程用户系统设施28不托管可以被外部用户系统使用的应用。
在操作中,希望使用由应用服务器32提供的应用的用户系统38首先被身份系统40认证。本领域的技术人员应当熟悉许多可以被用于该目的的安全方案,诸如用户名/密码认证。在支持远程访问应用服务器32的情况下,用户认证可以由网关36处理,可能地通过与外部身份系统的交互。当用户系统在本地被连接到企业系统22并且希望访问应用服务器32时,在认证中还可以涉及网关36,所述用户系统与合作伙伴企业系统或站点相关联。
当用户已经被认证,可以在用户系统和应用服务器32之间交换消息或其它形式的信息。在单个成功认证之后,用户可以被允许访问多个应用。
如以上指出的,需要改进的技术用于保护要在安全域外传送的信息。根据本发明实施例的数据保护方案可以包括检测阶段和保护阶段。检测阶段检测例如在web服务消息中的敏感信息,所述敏感信息在传输中应当被保护。保护阶段在被检测的敏感信息以及可能的整个消息上实施动作,所述动作在一些实施例中可以是可配置的。
检测过程可以是服务特定的,能采取若干种形式,诸如保护到/来自服务的所有服务访问信息、仅保护到/来自特定用户的服务访问信息、和/或仅当特定字段在服务消息中出现时保护服务访问信息。可以在全局策略中,或者在例如对服务、服务器、或用户特定的策略中,指定是否应用保护,以及如果应用保护的话要使用的保护机制。可能的保护动作可以包括以下中的任何一个或全部:丢弃消息或仅仅被检测的敏感信息、数字签名消息或仅仅被检测的敏感信息、加密消息的全部或一部分、以及可能其它的。
此处公开的技术例如可以在公司网络中的网关36处被实现。在该情况中,网关36被配置为处理诸如web服务消息的服务相关信息,所述服务相关信息可以进入和离开它们的安全域。当例如经由web服务策略规定该特征时,诸如36的网关变成网络驻留数据保护确保点和/或加密点。这在网关中可以是非常重要的特征,因为它直接解决了在多个市场部门中网络和应用管理员的直接需求。在所述网关提供对本地服务的外部访问的场合,例如通过注册中心,所述网关也高度了解所述服务,并且因此考虑到被应用的保护,可以更加有选择性。
本发明的基于网关和/或应用平台的实施例可以特别适用于SOA设置。在其它实施例中,可以将保护机制与应用服务器或其它网络组件集成。
图2是根据本发明实施例的装置的框图。装置50包括用户系统接口52、外部接口54、服务访问信息处理器56、以及保护模块60,所述服务访问信息处理器56可操作地耦合到所述用户系统接口、耦合到保护策略数据库58、以及耦合到一个或多个应用服务器接口66,所述保护模块60可操作地耦合到所述服务访问信息处理器和所述外部接口。
如以上参考图1所指出的,附图的内容仅出于说明的目的。例如,实现装置50的设备可以包括没有被明确示出的附加组件。根据这样的点或者设备/系统的不同,这些组件可以采取各种形式,在所述点处或在所述设备/系统中实现装置50。一般地,装置的其它实施例可以包括具有类似的或不同的互连的、比明确示出的更多的、更少的、或不同的组件。
连接的类型至少在某种程度上可以是取决于实现的,图2的组件通过所述连接可操作地被耦合。电子设备经常使用各种类型的物理连接器和有线连接。例如,在协同操作软件功能的情况中,操作上的耦合可以通过变量、寄存器、或存储器的通常被访问的区域,并且因而包括逻辑耦合。
硬件、软件、固件或其组合可以被用来实现装置50的组件。诸如微处理器、微控制器、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)以及其它类型的“智能”集成电路的处理单元可以适用于该目的。
装置50可以通过接口52、54、66与本地通信网络和合作伙伴网络的其它组件交互。这些接口可以是相同类型或不同类型的,或者在使用相同通信介质用于与所有其它组件进行信息传送的情况下,甚至是同一接口。然而,在许多实现中,有可能用户系统接口52将至少不同于应用服务器接口66,并且有可能可以为不同的应用服务器提供不同类型的多个应用服务器接口。外部接口54可以是另一不同接口。
用户系统接口52使得装置50能够与用户系统交换诸如web服务消息的应用访问信息。每个应用服务器接口66类似地允许装置50与各自的一个或多个应用服务器集交换应用访问信息。例如,当在网关处实现装置50时,所述网关用于保护与来自外部用户系统的应用的使用相关联的传送,由于网关可以处理用于企业系统的所有应用访问信息,所以用于装置50的该类型的体系结构可能是适当的。然而,应当理解的是,其它实现也是可能的。
通过外部接口54,装置50可以与远程用户系统交换信息。例如,在图1的系统中,企业系统22、24之间的交换可以涉及通过通信网络12和企业系统处的适当网络接口传送信息。可以在网关36处和在企业系统24处的对应网关处提供与通信网络12兼容的网络接口。根据本发明的一个实施例,当信息穿越企业系统的安全域的边界处时,企业系统中的网关负责提供用于信息的保护。
接口52、54、66的结构和操作至少某种程度上将依赖于在信息传送中使用的通信介质和协议。本领域的技术人员应当熟悉许多类型的接口,通过所述接口应用访问信息可以被装置50接收和/或传输。这些接口还可以取决于装置50在企业系统或其它安全域中被实现的位置而变化。
可以在一个或多个存储设备中提供保护策略数据库58。固态存储设备在电子装备中是普通的,可以使用该类型的一个或多个存储设备来实现保护策略数据库58。然而,其它类型的存储设备,包括用于与可移动的或者甚至可拆卸的存储介质使用的存储设备,还可以或者替代地被用来存储保护策略数据库58。
保护策略可以被指定为用于服务的策略的一部分或者单独被指定,所述服务的策略还可以包括服务访问限制、信息转换/格式化要求、和/或对使用所述服务的监控要求。企业系统管理员可以建立用户特定的策略、应用/服务特定的策略、以及本地企业范围的策略的任何一个或全部,来控制是否以及如何保护信息用于外部传送。
如以上指出的,可以使用硬件、软件和/或固件来实现装置50的组件。因此,此处主要在功能方面描述了这些组件。基于功能描述,本领域的技术人员将能够根据本发明的实施例以各种方式的任何一种实现服务监控技术。
在操作中,服务访问信息处理器56和保护模块60保护诸如公司的应用数据的敏感信息。该保护可以基于有规章意识(regulation-aware)的策略以及灵活的服务访问信息处理。本发明实施例的改进的选择性和灵活性结合web服务和其它信息交换方案可以是特别有用的,这对基于公司和/或政府规章确保被传输的数据的安全既是独特的挑战也是机会。
实施安全域的信息保护的最有效点,可能是在这种域的边界,在所述边界处敏感信息可以传递到和/或从公共的或者另外非安全的外部系统。企业系统网关36(图1)是一个这种边界系统的例子,使用例如XML处理设备可以实现所述边界系统,来确保保护公司或其它数据。
使用网关进行数据保护的一个关键特征是执行保护离开和/或进入安全域的所有数据的能力。为了获得该类型的功能,可以以这样的方式配置诸如企业网络的通信网络,以便所有的XML和服务相关流量被该网关处理。在图1的系统10中,网关36处理用于企业系统22的包括入站和出站的所有外部通信。例如,由诸如在企业系统22中的用户系统38的客户端生成的所有外部的服务相关的请求、来自诸如在企业系统24中的应用服务器或者在应用系统26中的应用服务器46的外部服务器的响应、来自诸如在企业系统24中或者在远程用户系统设施28中用于访问应用服务器32的用户系统的外部客户端的请求、以及应用服务器32对外部发起的请求的响应,都由网关36处理。
然而,应当理解的是,不需要一定仅在网关中实现装置50。例如,在应用系统26中,可以在应用平台44处实现装置50,以保护通过通信网络12在应用服务器46和远程客户端之间被外部传送的信息。类似地,应用代理48可以实现装置50来保护被传送到它的用户系统49或从它的用户系统49传送的敏感信息。可以在应用服务器和/或用户系统处类似地实现保护机制。
服务访问信息处理器56接收并处理服务访问信息,示例性地如服务消息,来确定那些消息是否包括应当被保护的敏感信息。服务消息表示可能包括敏感信息的服务相关信息的类型的例子。然而,本发明决不限于服务相关信息的任何特定格式。
例如,此处公开的技术可以被应用于已经被格式化例如作为web服务消息用于在应用服务器和用户系统之间传送的服务访问信息,或者应用于要被包括在这种格式化的消息或块中的服务访问信息。假定在卫生保健提供者的网络中存在的服务要仅仅在安全域内发布病人的医疗信息,以及要对发往安全域外的外部用户系统的服务消息实施丢弃保护动作。在保护机制在服务消息上操作的场合,包含病人的医疗信息的服务消息被丢弃。另一可能选项是确定病人的医疗信息要被包括在发往外部的服务消息中,并且完全防止或阻止访问该信息,示例性地如在服务访问请求到达服务前删掉它。
因此,此处对服务访问信息和服务消息的引用应当被相应地解释。描述的如关于服务消息被实施的功能还可以或者替代地在其它类型的服务访问信息上被实施。
在一个实施例中,使用若干高级组件来实现服务访问信息处理器56的功能,所述高级组件包括规范说明语言(RSL)、RSL编译器和RSL执行路径或环境。以下进一步详细描述这些组件。
RSL是高等级构造,被用来以灵活方式指定用于敏感信息保护策略的公司或政府规章。RSL可以被用来详述服务访问信息处理器56如何实施敏感信息的检测,以及保护模块60如何实施保护机制。
服务访问信息处理器56作出的敏感信息检测决定,可以例如基于以下中的任何一个或全部:关于服务的细节、关于服务的外部用户的细节、和/或在服务访问信息上的特定查询的分辨率(resolution),其中,接收的服务访问信息与所述服务相关联。指定检测标准的一个可能方法是,作为被用来解析XML文档和SOAP消息的XPath/XQuery(X路径/X查询)声明的序列。
RSL还可以包含强大的“库”或者模块,所述“库”或者模块供给用于符合特定规章的完整标准。例如,HIPAA库可以被用来保证所有的服务消息遵循对交换健康信息的HIPAA保密性限制,而不要求管理员直接配置它们。这些库表示被鉴定的、规章或要求特定的模块的例子,所述模块初始可以被部署或动态下载到网关或者实现装置50的其它设备。例如,模块可以被下载到具有要求该模块的保护策略的网关。可以单独处理对规章特定的模块的使能或选择,以便当前部署的模块集的特定模块可以被选择用于需要的使用。
服务访问信息处理器56,或者其检测阶段,还可以或者相反地包括AI单元,所述AI单元在结构未知的文档中示例性地如通过模式匹配促进对敏感信息的基于内容的检测。例如,AI单元可以被用来检测对公司金融数据的未授权的或者疏忽的颁布。
保证服务消息符合保密性规章,可能需要例如在XML处理设备内高速处理消息。为了获得高处理速度,RSL源代码可以被编译成简洁的和最优化的格式,此处被称为RSL程序,它描述必须被采取来保护传输的步骤。该程序可以特定于服务,或者对例如基于web服务标准和一般政府规章的许多服务可以是可应用的。
可以以基于表的格式或者以可扩展样式表语言转换(XSLT)格式来表示RSL程序。在表格式中,检测标准可以被映射到当检测到满足标准的信息时要实施的保护动作,并且也映射到动作目标,示例性地如消息或者消息的指定部分,在所述消息或者消息的指定部分上要实施保护动作。该映射可以是明确指定的,或者是在表格式中隐含的,例如在所述表格式中,检测标准以及它的关联保护动作和动作目标被存储在相同的表列或行。
保护动作描述在服务访问信息上应当被实施的操作。例如,“丢弃-未发现(Discard-Not Found)”保护动作,可以被用来指定:如果不满足检测标准,则整个消息要被丢弃。该类型的保护动作阻止外部传送未包括特定数据的消息。“丢弃-消息(Discard-Message)”保护动作还可以导致消息丢弃,尽管在该情况中,如果消息包含在检测标准中指定的敏感信息时,它被丢弃。该类型的动作对于防止特定信息被发布到外部是有用的。
保护动作可以,但是不需要一定,被应用于整个消息或者接收的服务访问信息的其它块。动作目标允许保护动作被应用于消息或服务访问信息的特定部分。例如,对于“丢弃-目标(Discard-Target)”动作,如果满足检测标准,指定的动作目标被丢弃。
在满足或不满足检测标准时,加密是可能的保护动作或者动作目标的另一例子,所述保护动作可以在服务访问信息上被实施。数字签名不保护敏感信息的机密性,但是可以用于例如认可或者保护信息完整性的目的。
其它保护动作也是可能的。
如以上指出的,表格式是表示RSL程序的一个选项。表示RSL程序的可选方法是使用XSLT。XSLT是在XML规范中定义的并且描述能将XML文档变换成其它形式的程序的语言。尽管XSLT变换操作由不支持加密的标准定义,将所述标准扩展为包括支持加密作为保护动作是有可能的。RSL编译器可能可以将RSL源代码变换成使用自定义扩展用于加密的XSLT。XSLT然后可以在RSL执行环境中的XML文档上被执行,产生被加密、签名、移除等的正确字段。例如,在服务访问信息处理器56和保护模块60中提供的RSL执行环境,将接收XML消息作为输入,向该消息应用RSL程序,并且返回修改的XML作为输出。然而,如果RSL动作是丢弃该消息,修改的XML没有必要被返回。
RSL程序表示将检测和保护功能集成到单个功能单元-RSL执行环境-中的实现的例子,并且说明本发明决不限于在图2中示出的功能划分。此处对单独的服务访问信息处理器和保护模块的引用应当相应地被解释,以覆盖这样的实施例,在所述实施例中检测和保护在一个或多于一个的功能单元中被实现。
假定RSL执行环境在企业系统网关中的装置50内运行。响应于从外部客户端接收的请求,在企业系统中的应用服务器向该网关发送消息,并且该消息通过应用服务器接口66到达服务访问信息处理器56。应当注意的是,外部请求消息本来可以如此处描述的由装置50充分处理,尽管在许多实现中信息保护的主要焦点可能是保护被存储在企业系统处并且正被转发到那个系统外的信息,即,在该例子中是应用服务器响应消息。
通过实施如将消息解析成适当格式来加速数据检测和/或保护,服务访问信息处理器56可以处理接收的消息。在服务访问信息处理器56的硬件辅助的实施例中,XML文档的解析由XML解析芯片处理。
基于服务消息要发往的地址和/或一个或多个诸如用户或合作伙伴公司特定的数据的其它标准,应用于消息的保护策略被服务访问信息处理器56在保护策略数据库58中识别并且从中检索。如以上指出的,保护策略可以与其它服务相关策略一起或者单独地在服务策略中被指定。
如果保护策略指定RSL程序,则RSL程序执行开始。RSL程序可以被存储在保护策略数据库58中或者被存储在单独的存储设备或区域中。存储在数据库58中的保护策略,可以包括适当的RSL程序,或者诸如RSL程序的名或存储地址的标识符。尽管有可能多个RSL程序或者策略对可以对单个消息是可应用的,单个策略可以支配(govern)用于与相同服务相关的所有消息的数据保护。
RSL程序以被修改的消息、和/或代码或其它指示是否应当丢弃该消息的指示的形式返回输出。如果不丢弃该消息,则由RSL程序返回的被修改的消息对应于被应用了适当保护动作的最初接收的消息。在装置50中,保护模块60实施保护动作。被修改的消息被提供到外部接口54用于传送,除非保护动作是丢弃整个消息。
如果该消息要被丢弃,则SOAP故障或者其它错误指示可以被保护模块60传输到发起客户端。
入站消息不需要一定被服务访问信息处理器56和保护模块60以该方式处理。然而,仍旧可以在入站消息处理中涉及保护模块60,其中,入站消息或其任何部分已被外部网关或者保护装置加密和/或数字签名。保护模块60在该情况中可以在该信息被传递到用户系统接口52或者应用服务器接口66之前,解密被加密的消息和/或在数字签名消息上检查数字签名。
以上主要参考图1的通信系统10和图2的装置50描述了本发明的实施例。图3是根据本发明另一实施例的方法的流程图。方法70示出在对服务访问信息选择性地应用保护动作中涉及的操作。
在72,服务访问信息被接收,所述服务访问信息诸如对外部发起的访问请求的响应消息。然后在74作出关于是否应当对接收的消息应用保护策略的确定。如果是的话,则在78处应用策略,例如通过实施一个或多个保护动作。否则,服务访问信息在76被朝向它的目的地传送。
方法70说明本发明的一个实施例。其它实施例可以涉及实施更少的、附加的、或者不同的操作,和/或以不同于示出的顺序实施操作。例如,在78处应用策略后,可以在76处向目的地传送服务访问信息或者其被修改的版本。还可以以各种方式的任何一种来实施示出的操作以及其它。从之前的例如图1和图2的描述,这些变化的一些将是明显的,并且进一步的变化对本领域的技术人员可以是或变得明显的。
图4是示出在执行基于表格式的RSL程序中涉及的操作的流程图。在一些实施例中可以在78(图3)实施这些操作。
在82,接收的服务访问信息和基于表的RSL程序被输入到执行单元。表位置计数器初始被设置为0来索引第一表项。表项被传递到检测机制。在84处示出的检测机制,可以对接收的XML消息运行XPath/XQuery,例如来确定被请求的包含敏感信息的XML标记是否在该消息中出现。在86处表示的查询的真/假结果确定是否应当在90处实施在表项中指定的保护动作。例如,如果搜索<ProductInfo>(产品信息)标记返回真,采取对应的保护动作。
如果不满足当前表项中的检测标准或条件,则该项目被忽视,如在88所示出的。“丢弃-未发现”保护动作是该流程的一个例外,因为响应于假结果,接收的服务访问信息将被丢弃。
在搜索返回真的场合,在90,在动作目标上,或者在一些情况下在接收的服务访问信息的整个块上,实施指定的保护动作。以上已描述了可能的保护动作的例子。在一些实施例中,评估动作目标XPath/XQuery并且在动作目标上实施保护动作。
如果有更多的检测标准,如在92处确定的在该例子中的表项,则表位置计数器被增加到下一个表项并且执行在84继续。否则,执行在94结束,而修改的服务访问信息或者丢弃接收的服务访问信息的命令被返回。
在92的流程也可以有例外,其中,处理表项的结果是,接收的服务访问信息要被丢弃。在该情况中,不进一步处理接收的服务访问信息可能是必要的,而RSL程序的执行可以被中止。
图5是根据本发明另一实施例的数据结构的框图。数据结构100包括检测标准102、保护动作104和动作目标106,并且可能例如被存储在策略存储器内或者作为表项被存储在基于表的RSL程序中。
检测标准102识别敏感信息,对所述敏感信息将实施保护动作104。搜索项、XML标记、以及要被检测的实际敏感信息,可以在102被包括在数据结构100中。在104可以使用动作名、与软件代码相关联的存储位置等来识别保护动作,在所述软件代码中所述动作被实现。以上已描述了检测标准和保护动作的例子。
根据要处理的消息或信息的类型的不同,可以以若干种方式的任何一种指定动作目标106。例如,对web服务消息,动作目标106可以指定一个或多个消息段,当满足或在一些情况中不满足在102识别的检测标准时,对所述消息段将应用保护动作104。
数据结构100的变化可以包括比示出的更少的、附加的、或不同的字段、和/或字段配置,具有类似的或不同的顺序。数据结构可能不包括在图5中示出的全部字段。例如,如果要在整个消息上实施保护动作,动作目标106可以被忽略。根据另一可能的变化,数据结构可以可能地指定多个检测标准、多个保护动作、和/或多个动作目标。进一步的变化对本领域的技术人员可以是或变得明显的。
本发明的实施例提供能力来在信息离开安全域的点处执行信息保密性策略,有效地从应用设计中去耦信息保护要求。
通过确定在web服务消息中包含的信息是否应当被保护,此处公开的技术可以被用来保证并且证明例如使用web服务的信息访问满足所有可应用的管理和/或公司信息安全要求。如果没有信息被确定为是敏感的,则该消息被没有附加保护处理地发送到它的目的地。仅包含被认为是敏感的信息的消息进入保护阶段,在所述保护阶段可配置的动作被应用到该消息的全部或部分,所述可配置的动作诸如过滤(丢弃)、数字签名、和/或加密。
在网关或其它接入点处,有可能实现用于检测web服务消息中的敏感信息的唯一方法并且保证遵守政府规章,其中,通过所述网关或其它接入点外部用户可以访问安全域。网关提供用于数据保护的完整的管理和公司管理解决方案的能力,允许它在多个垂直市场中解决网络和应用管理员的直接需求。提前规定的供给以及可能的被鉴定的包(packages)用于诸如HIPAA的一般规章,可以在规章涉及的垂直市场中增加信息保护特征的价值。
如之前描述的,端到端加密不是用于web服务的强壮的解决方案。加密接口也不以可扩缩的方式解决遵守规章的根本问题。
如此处提议的,敏感信息的实时识别和仅仅敏感信息的选择性保护是可扩缩的解决方案,但是当前没有可用的产品,来允许网络和应用管理员选择该选项用于web服务消息和其它形式的服务访问信息。随着web服务和面向服务体系结构的使用的增长,具有对该问题的可扩缩的和灵活的解决方案将日益重要。
因而可以根据此处公开的技术设计web服务网关,以允许企业提供公司管理,证明遵守规章,在他们的商务过程中提供持续的改进,以及与合作伙伴组织的商务过程集成。在web服务网关处的信息保护允许该网关是基于网络的消除不符合规章的风险的执行点。
更一般地,本发明的实施例可以被用于提供全部服务SOA基础设施的完整的功能性,如以下:
公司管理:提供监控、控制和报告以保证遵守规章,并且支持持续的公司改进;
被管理的合作伙伴外联网:与合作伙伴和分支点对web服务的受保护的无缝发布和消费;
web服务性能:根据公司要求或服务等级协定(SLA),保证web服务的可用性和性能;
公司灵活性及应用敏感度:基于SOAP报头的内容、XML标记或其它消息内容,提供应用级路由和消息转换;
应用安全:通过保证消息被良好地组成、检测基于XML的攻击以及执行应用数据加密策略,来提供应用级安全;
生命周期管理:以回退提供web服务的受控的发布;
系统特征:提供可靠性、可伸缩性以及与开放标准的兼容。
此处和/或在以上参考的相关专利申请的一个或多个中已公开了这些功能和其它功能。
已描述的内容仅说明本发明实施例的原理的应用。在不背离本发明范围的情况下,本领域的技术人员可以实现其它配置和方法。
例如,如以上指出的,本发明决不限于在图中示出的和以上明确描述的特定的功能划分、方法步骤、或数据结构内容。
另外,尽管主要在方法和系统的上下文中予以了描述,也设想了本发明实施例的其它实现,例如如在一个或多个机器可读介质上存储的数据结构和/或指令。
Claims (26)
1.一种机器实现的方法,包括:
确定服务访问信息是否包括敏感信息,所述服务访问信息与安全域之外的外部用户对在所述安全域中提供的服务的访问相关联;以及
在所述服务访问信息包括敏感信息的情况下,实施保护动作以保护所述敏感信息。
2.根据权利要求1所述的方法,其中,所述保护动作包括以下中的一个或多个:丢弃所述服务访问信息的全部、仅从所述服务访问信息中移除所述敏感信息、加密所述服务访问信息的全部、仅加密所述服务访问信息中的所述敏感信息、对所述服务访问信息的全部数字签名,以及仅对所述服务访问信息中的所述敏感信息数字签名。
3.根据权利要求1所述的方法,其中,实施包括在所述服务访问信息的一部分上实施所述保护动作。
4.根据权利要求1所述的方法,其中,确定包括解析所述服务访问信息。
5.根据权利要求1至4的任一项所述的方法,其中,确定和实施包括执行规范说明语言(RSL)程序,该程序定义与信息保护规章相关联的敏感信息检测标准和保护动作。
6.根据权利要求5所述的方法,其中,所述RSL程序包括指定各敏感信息检测标准和对应的保护动作的表项,以及其中,执行包括顺序地处理用于每个表项的所述服务访问信息。
7.根据权利要求5所述的方法,其中,所述RSL程序包括可扩展样式表语言转换(XSLT)操作。
8.根据权利要求7所述的方法,其中,所述XSLT操作使用可扩展标记语言(XML)扩展来支持加密作为所述保护动作。
9.根据权利要求1至4的任一项所述的方法,进一步包括:
识别与所述服务访问信息相关联的保护策略,
其中,确定包括确定所述服务访问信息是否包括在所述保护策略中指定的敏感信息。
10.根据权利要求9所述的方法,其中,识别包括基于以下中的一个或多个来识别保护策略:所述服务访问信息的目的地、所述服务访问信息的源、所述外部用户、以及与所述外部用户相关联的外部域。
11.根据权利要求1至4的任一项所述的方法,在所述安全域内的通信网络的web服务节点处被实现。
12.一种存储指令的机器可读介质,当被执行时所述指令实施根据权利要求1至4的任一项所述的方法。
13.一种装置,包括:
服务访问信息处理器,用于确定服务访问信息是否包括敏感信息,所述服务访问信息与安全域外的外部用户对在所述安全域中提供的服务的访问相关联;以及
保护模块,可操作地耦合到所述服务访问信息处理器,并且在所述服务访问信息包括敏感信息的情况下,用于实施保护动作来保护所述敏感信息。
14.根据权利要求13所述的装置,其中,所述保护动作包括以下中的一个或多个:丢弃所述服务访问信息的全部、仅从所述服务访问信息中移除所述敏感信息、加密所述服务访问信息的全部、仅加密所述服务访问信息中的所述敏感信息、对所述服务访问信息的全部数字签名,以及仅对所述服务访问信息中的所述敏感信息数字签名。
15.根据权利要求13所述的装置,其中,所述服务访问信息处理器包括用于解析所述服务访问信息的解析器。
16.根据权利要求13至15的任一项所述的装置,其中,所述服务访问信息处理器和所述保护模块的至少一个实现用于执行RSL程序的规范说明语言(RSL)执行环境,所述RSL程序定义与信息保护规章相关联的检测标准和保护动作。
17.根据权利要求16所述的装置,其中,所述RSL程序包括指定各敏感信息检测标准和对应的保护动作的表项,并且其中,执行包括顺序地处理用于每个表项的所述服务访问信息。
18.根据权利要求16所述的装置,其中,所述RSL程序包括可扩展样式表语言转换(XSLT)操作。
19.根据权利要求18所述的装置,其中,所述XSLT操作使用可扩展标记语言(XML)扩展来支持加密作为所述保护动作。
20.根据权利要求13至15的任一项所述的装置,进一步包括:
存储器,可操作地耦合到所述服务访问信息处理器,用于存储保护策略,
其中,所述服务访问信息处理器进一步用于在所述存储器中识别与所述服务访问信息相关联的保护策略,并且通过确定所述服务访问信息是否包括在所述保护策略中指定的敏感信息,确定所述服务访问信息是否包括敏感信息。
21.根据权利要求20所述的装置,其中,所述服务访问信息处理器用于基于以下中的一个或多个识别保护策略:所述服务访问信息的目的地、所述服务访问信息的源、所述外部用户、以及与所述外部用户相关联的外部域。
22.一种web服务节点,包括:
根据权利要求13至15的任一项所述的装置。
23.根据权利要求22所述的web服务节点,在所述安全域中被实现。
24.根据权利要求22所述的web服务节点,在与所述外部用户相关联的外部域中被实现。
25.一种存储数据结构的机器可读介质,所述数据结构包括:
识别敏感信息的检测标准;以及
保护动作字段,在识别的敏感信息在服务访问信息中被检测到的情况下,所述保护动作字段识别要被实施以保护在所述检测标准中指定的所述敏感信息的保护动作,所述服务访问信息与安全域外的外部用户对在所述安全域中提供的服务的访问相关联。
26.根据权利要求25所述的介质,其中,所述数据结构进一步包括:
识别所述服务访问信息的一部分的动作目标字段,在所述服务访问信息上所述保护动作要被实施。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US81513406P | 2006-06-20 | 2006-06-20 | |
| US60/815,134 | 2006-06-20 | ||
| US11/467,387 | 2006-08-25 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101473625A true CN101473625A (zh) | 2009-07-01 |
Family
ID=40829600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800229610A Pending CN101473625A (zh) | 2006-06-20 | 2007-06-19 | 安全域信息保护装置和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101473625A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067918A (zh) * | 2012-12-25 | 2013-04-24 | 华为技术有限公司 | 一种通信网络中隐私数据匿名化方法、装置及系统 |
| CN103546450A (zh) * | 2012-07-10 | 2014-01-29 | 国际商业机器公司 | 安全信息处理系统及其方法 |
| CN107995616A (zh) * | 2016-10-27 | 2018-05-04 | 中国电信股份有限公司 | 用户行为数据的处理方法以及装置 |
| CN114175577A (zh) * | 2019-05-30 | 2022-03-11 | 微软技术许可有限责任公司 | 敏感信息的信息屏障 |
-
2007
- 2007-06-19 CN CNA2007800229610A patent/CN101473625A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103546450A (zh) * | 2012-07-10 | 2014-01-29 | 国际商业机器公司 | 安全信息处理系统及其方法 |
| CN103067918A (zh) * | 2012-12-25 | 2013-04-24 | 华为技术有限公司 | 一种通信网络中隐私数据匿名化方法、装置及系统 |
| CN103067918B (zh) * | 2012-12-25 | 2017-04-12 | 华为技术有限公司 | 一种通信网络中隐私数据匿名化方法、装置及系统 |
| CN107995616A (zh) * | 2016-10-27 | 2018-05-04 | 中国电信股份有限公司 | 用户行为数据的处理方法以及装置 |
| CN107995616B (zh) * | 2016-10-27 | 2021-05-18 | 中国电信股份有限公司 | 用户行为数据的处理方法以及装置 |
| CN114175577A (zh) * | 2019-05-30 | 2022-03-11 | 微软技术许可有限责任公司 | 敏感信息的信息屏障 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2036306B1 (en) | Secure domain information protection apparatus and methods | |
| CN101331496B (zh) | 用于在数据处理系统中将安全信息与信息对象关联起来的系统和方法 | |
| CN101331495B (zh) | 用于实行信息流策略的引用监控机系统和方法 | |
| CN101331494B (zh) | 用于对信息流进行授权的系统和方法 | |
| JP7152765B2 (ja) | 通信システム、それに用いる通信装置、管理装置及び情報端末 | |
| Trèek | An integral framework for information systems security management | |
| CN101473594B (zh) | 网络服务性能监控装置和方法 | |
| US20100019026A1 (en) | Product authentication system | |
| CN101816006A (zh) | 用于web服务的安全性策略验证 | |
| CN104718526A (zh) | 安全移动框架 | |
| CN105659520A (zh) | 用于保护私有数据的安全代理 | |
| CN101610264A (zh) | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 | |
| US20110248852A1 (en) | Method and system for supplying target information | |
| Pramanik et al. | An overview of IoT privacy and security in smart cities | |
| EP2469797A1 (en) | System and method for secure complex event processing in heterogeneous environments | |
| CN102104589A (zh) | 专有网系列 | |
| CN109446259A (zh) | 数据处理方法及装置、处理机及存储介质 | |
| Wang et al. | Research on medical waste supervision model and implementation method based on blockchain | |
| CN101473625A (zh) | 安全域信息保护装置和方法 | |
| Kuzminykh et al. | Analysis of assets for threat risk model in avatar-oriented IoT architecture | |
| KR102535322B1 (ko) | 개인정보 보호 서비스 제공 시스템 및 그 방법 | |
| Pennekamp et al. | Securing sensing in supply chains: Opportunities, building blocks, and designs | |
| JP5795449B2 (ja) | コンピュータ・システムのイベント・プロトコル・データの保護された預託のための方法、コンピュータ・プログラム・プロダクトおよびコンピュータ・システム | |
| Boussard et al. | A process for generating concrete architectures | |
| US20070100827A1 (en) | Real-time data exchange system and method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090701 |