CN101616038B - Soa安全保障系统及方法 - Google Patents
Soa安全保障系统及方法 Download PDFInfo
- Publication number
- CN101616038B CN101616038B CN200910107186XA CN200910107186A CN101616038B CN 101616038 B CN101616038 B CN 101616038B CN 200910107186X A CN200910107186X A CN 200910107186XA CN 200910107186 A CN200910107186 A CN 200910107186A CN 101616038 B CN101616038 B CN 101616038B
- Authority
- CN
- China
- Prior art keywords
- workflow
- module
- soa
- management
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000001514 detection method Methods 0.000 claims abstract description 78
- 230000004044 response Effects 0.000 claims abstract description 46
- 230000002452 interceptive effect Effects 0.000 claims abstract description 7
- 238000007726 management method Methods 0.000 claims description 141
- 230000002547 anomalous effect Effects 0.000 claims description 40
- HDDSHPAODJUKPD-UHFFFAOYSA-N fenbendazole Chemical compound C1=C2NC(NC(=O)OC)=NC2=CC=C1SC1=CC=CC=C1 HDDSHPAODJUKPD-UHFFFAOYSA-N 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 12
- 238000012550 audit Methods 0.000 claims description 7
- 230000001755 vocal effect Effects 0.000 claims description 7
- 238000007689 inspection Methods 0.000 claims description 5
- 230000007246 mechanism Effects 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 abstract description 3
- 230000003993 interaction Effects 0.000 description 17
- 239000010410 layer Substances 0.000 description 15
- 230000014509 gene expression Effects 0.000 description 8
- 239000000344 soap Substances 0.000 description 8
- 230000008859 change Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000007613 environmental effect Effects 0.000 description 6
- 238000012360 testing method Methods 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000000712 assembly Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 238000007596 consolidation process Methods 0.000 description 2
- 239000012792 core layer Substances 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种SOA安全保障方法,包括以下步骤:(a)桥接企业服务总线,并依据从可信工作流监管服务模块获取的SOA工作流模板与检测规则对所述企业服务总线上的交互信息进行识别与检测;(b)旁路企业门户服务,并依据从可信工作流监管服务模块获取的WEB工作流模板与检测规则对所述企业门户服务上的Web请求与Web响应进行识别与检测;(c)监控用户操作终端,并依据从可信工作流监管服务模块获取的业务工作流模板与检测规则对所述操作终端上正发生的业务操作请求与响应进行识别与检测。本发明还提供一种对应的系统。本发明通过用户终端、网络门户和企业服务总线三级安全保障,实现了对用户层、汇聚层与核心应用层的消息流管控。
Description
技术领域
本发明涉及计算机安全领域,尤其涉及一种针对SOA工作流的安全保障系统及方法。
背景技术
面向服务的体系架构(Service Oriented Architecture,即“SOA”)作为近年来信息技术界的焦点,从2005年至今,已经逐渐成为影响中国IT系统构建的主导思想。SOA系统可使不同技术、不同平台开发出来的系统组件能够快速地、自由地组合起来,以满足用户的需要,而这些组件彼此之间又是独立的,每个组件能在不依赖于其他组件的条件下完成一定的功能。正因如此,SOA系统具有跨平台、松耦合、模块化和以业务工作流为核心的特点,对IT系统开发商、用户(特别是对IT依赖较高的行业用户)都具有极强的吸引力。近几年发展迅速的Web服务技术为SOA系统的构建奠定了良好的技术基础,它所具有的平台无关、标准中立等特点,使其成为现今构建SOA系统的首选技术。由此也极大促进了SOA系统的商用化。
SOA系统架构与其它IT系统架构一样,都存在安全性问题。安全性是SOA系统的重要方面,是大多数用户优先考虑的问题。使用Web服务技术构建SOA系统,需要保护Web服务,确保只被那些准许的逻辑访问。为了保持Web服务的开放性并支持多种类型的客户端,就必须解决Web服务的安全性问题。我国2008年通过的《SOA标准体系白皮书V1.0》中,在其标准体系图的“架构”层,标明了“安全性标准”,并提出了“Web服务安全性规范为Web服务框架提供安全通信的方法”,具体涉及XML内容加密与签字、SOAP消息头域扩展安全属性、Web服务安全系列和Web互操作安全。上述SOA安全标准与规范,从技术层面上,覆盖了SOA体系架构下的传输层、消息层、描述层、管理层、服务组合层、表示层的安全需求,从产品工业流程上,覆盖了研制、实施、运维管理等领域。
然而,上述SOA安全标准与规范均是由其SOA服务提供商遵循相应的安全标准而实现的,除了对业务系统的性能有影响外,还存在如下缺陷:
1、仅关注业务系统的研制过程,对运营支持不够。在IT系统改造为SOA架构后,为企业/组织的内外攻击者提供了更多便利。对于合乎现有标准与规范的业务用户误用、冒用和越权使用更是无能为力。
2、对业务工作流安全支持不够。
3、未能与现有安全设备互通,未提供用户安全准入支持,也无法及时终止局部流程正常而实际却违规的行为。
发明内容
本发明要解决的技术问题在于,针对上述SOA安全标准与规范在实际运营中对业务工作流安全保障不力的缺陷,提出一种针对SOA工作流的安全保障系统及方法。
本发明解决上述技术问题的技术方案是,构造一种SOA安全保障方法,包括以下步骤:
(a)桥接企业服务总线,并依据从可信工作流监管服务模块获取的SOA工作流模板与检测规则对所述企业服务总线上的交互信息进行识别与检测;
(b)旁路企业门户服务,并依据从可信工作流监管服务模块获取的WEB工作流模板与检测规则对所述企业门户服务上的Web请求与Web响应进行识别与检测;
(c)监控用户终端,并依据从可信工作流监管服务模块获取的业务工作流模板与检测规则对所述用户终端上正发生的业务操作请求与响应进行识别与检测。
在本发明所述的SOA安全保障方法中,所述SOA工作流模板包括名称、序号、HTTP头域属性;所述SOA工作流检测规则包括操作序号、请求HTTP头域、响应HTTP头域属性。
在本发明所述的SOA安全保障方法中,SOA工作流识别操作用于流程鉴别,其依据HTTP请求的头域属性,查询预设的工作流模板库,计算当前工作流;SOA工作流检测操作用于在流程鉴别后,依据预设的工作流检测规则,对该工作流中的请求与响应进行验证。
在本发明所述的SOA安全保障方法中,还包括在检测到违规访问时,通过所述可信工作流监管服务模块与安全装置联动,自动阻隔违规访问。
在本发明所述的SOA安全保障方法中,所述步骤(a)、(b)、(c)中各包括:在与所述可信工作流监管服务模块通信前,与可信工作流监管服务模块通信进行身份验证。
本发明还提供一种SOA安全保障系统,包括用户终端工作流管控模块、网络门户工作流管控模块、企业服务总线管控模块以及可信工作流监管服务模块,其中:
所述用户终端工作流管控模块,用于依据从可信工作流监管服务模块获取的业务工作流模板与检测规则控制终端上正在发生的用户操作工作流行为;该用户终端工作流管控模块包括工作流识别模块、工作流检测模块和工作流管控模块,其中所述工作流识别模块,用于捕获并解析用户操作请求与响应,并依据从可信工作流监管服务模块获取的业务工作流模板,完成工作流识别,并将识别后的工作流信息提交给工作流检测模块;所述工作流检测模块,用于依据从可信工作流监管服务模块获取的业务工作流模检测规则,实现对终端用户工作流请求与应答检测,并通过工作流管控模块并上报异常事件;
所述网络门户工作流管控模块,用于依据从可信工作流监管服务模块获取的WEB工作流模板与检测规则控制Web门户服务上正在发生的用户使用工作流行为;该网络门户工作流管控模块包括Web工作流识别模块、Web工作流检测模块和Web工作流管控模块,其中:所述Web工作流识别模块,用于依据从可信工作流监管服务模块获取的WEB工作流模板,完成工作流识别,并将识别结果提交给所述Web工作流检测模块;所述Web工作流检测模块,用于依据从可信工作流监管服务模块获取的WEB工作流检测规则,完成对Web网络门户请求与响应检测,构建异常事件,并通过所述Web工作流管控模块上报该异常事件;
所述企业服务总线管控模块,用于依据从可信工作流监管服务模块获取的SOA工作流模板与检测规则控制企业服务总线上正在发生的用户使用工作流行为;该企业服务总线管控模块包括SOA工作流识别模块、SOA工作流检测模块以及SOA工作流管控模块,其中:所述SOA工作流识别模块,用于依据从可信工作流监管服务模块获取的SOA工作流模板,识别SOA工作流,并将结果提交给SOA工作流检测模块;所述SOA工作流检测模块,用于依据从可信工作流监管服务模块获取的SOA工作流检测规则,对SOA请求与响应头域信息进行检测,产生异常事件,并通过所述SOA工作流管控模块上报该异常事件。
在本发明所述的SOA安全保障系统中,所述用户终端工作流管控模块还包括工作流环境检查模块,该工作流环境检查模块用于接收工作流管控模块下发的终端环境白名单数据,并依据白名单对终端环境进行检查,在检查不成功时产生告警信息提交给工作流管控模块。
在本发明所述的SOA安全保障系统中,所述网络门户工作流管控模块还包括Web访问日志解析模块,该Web访问日志解析模块用于解析Web服务器的访问日志,并将结果提交给Web工作流识别模块和Web工作流检测模块。
在本发明所述的SOA安全保障系统中,所述企业服务总线管控模块包括报文状态检测模块,该报文状态检测模块,用于基于TCP/IP协议机制,对第二层、第三层报文进行过滤,对HTTP协议进行解码,并将解码结果提交给SOA工作流识别模块。
在本发明所述的SOA安全保障系统中,所述可信工作流监管服务模块包括节点身份管理模块、配置管理模块、异常事件管理模块以及审计报表模块,其中:
所述节点身份管理模块管理,用于实现所述用户终端工作流管控模块、所述网络门户工作流管控模块和所述企业服务总线管控模块的身份验证;
所述配置管理模块,用于配置所述用户终端工作流管控模块、所述网络门户工作流管控模块和所述企业服务总线管控模块的所需要的工作流模板和检测规则;
所述异常事件管理模块,用于基于预设的策略对上报的工作流异常进行自动响应。
本发明通过用户终端、网络门户和企业服务总线三级安全保障,能很好地适应企业工作流不断调整的运营环境,在用户终端、Web门户以及内部服务总线上灵活设置强度不等的验证机制,实现了对用户层、汇聚层与核心应用层的消息流管控。同时,本发明不会对业务内容进行任何探测,业务内容安全性仍由融入了SOA现有安全保障中各项技术的业务系统提供,确保业务内容未暴露给第三方系统,真正实现了业务工作流安全。本发明提供了面向用户会话级细粒度的工作流管控,对现有的业务系统性能影响较小,但提高了工作流安全控制的灵敏度与自由度。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明SOA安全保障方法实施例的流程示意图;
图2是图1中桥接企业服务总线步骤的具体流程图;
图3是图1中旁路网络门户服务步骤的具体流程图;
图4是图1中监控操作终端步骤的具体流程图;
图5是对异常事件处理的流程图;
图6为本发明SOA安全保障方法实施例的结构框图。
具体实施方式
下面结合附图对本发明具体实施方式进行详细说明。
本发明提供了一种面向SOA工作流的第三方安全保障系统与方法,其核心思想是:构建一套分别针对用户终端工作流管控、Web门户工作流管控和企业服务总线工作流管控的系统,并维护一套工作流模板和工作流检测标准。上述工作流模板与工作流检测标准基于同一工作流在用户终端、Web门户和企业服务总线上的不同表示,并通过可信工作流监管中心配置到终端管控、Web门户管控和企业服务总线管控模块上。安全保障系统启动后,用户终端只有经过本地环境检查合格后,方能访问业务服务网络;针对检测到的异常事件,依据工作流管理员设定的响应策略进行处理,并能与安全设备,如防火墙、宽带接入设备(BAS)交互,自动阻隔非法工作流访问。以下就本发明方法与系统进行详细说明。
如图1所示,是本发明面向SOA工作流的第三方安全保障实施例的流程示意图。包括如下步骤:
步骤S1:桥接企业服务总线,捕获出入企业服务总线的报文,并进行深层检测并阻隔协议级异常包。上述深层检测包括TCP/IP协议族的状态检测以及对应用层HTTP协议进行检测。该步骤还对承载SOAP的HTTP包头进行验证,识别并检测SOA工作流。
步骤S2:旁路网络(Web)门户(Web门户是用户通过用户终端使用SOA服务的门户)服务,通过分析Web门户的访问日志,获取各用户终端的访问次序与交互信息,完成对用户终端的Web业务流程管控。
步骤S3:监控用户终端,依据预设的环境检查基准对用户终端环境进行检查,若检查符合规范,则可信工作流监管中心为该用户终端授予业务网络访问许可。用户终端启用业务工作流后,捕获操作请求和响应,然后依据预设的用户终端工作流模板与检测规则,监控用户终端的活动工作流。
如图2所示,是图1中桥接企业服务总线步骤(步骤S1)的具体流程图。该步骤具体包括:
步骤S11:企业服务总线工作流管控模块与可信工作流监管服务模块间进行身份验证,若身份验证通过,则执行步骤S12,否则该流程自行终止。在该步骤中,身份验证可采用现有的认证方式,例如密钥等。
步骤S12:通过可信工作流监管服务模块对企业服务总线工作流管控模块配置SOA工作流模板与检测规则。在该步骤中,企业服务总线工作流管控模块从可信工作流监管服务模块自动下载预设的SOA工作流模板与检测规则,并可进行实时配置。上述的SOA工作流模板由业务工作流在企业服务总线上承载SOAP的HTTP请求组成,具体可包括工作流名称、序号、HTTP请求头域信息等;而SOA工作流检测规则由业务工作流在企业服务总线上的HTTP承载的SOAP请求与响应组成,具体包括工作流名称、序号、方向、HTTP头域信息等。
在具体实现时,同一SOA工作流模板可以拆分成多个子模板,所有子模板共用一个父编号;模板内的HTTP请求头域条目可以是详细列表格式,也可以是正则表达式格式,其序号与工作流内部信息交换次序严格一致。同一SOA工作流检测规则条目可以是HTTP头域的详细列表格式,也可以是正则表达式格式;规则中的每个项对应工作流中的一个交互步骤,规则序号与工作流内部请求与响应交互次序严格一致;规则可以是多个子规则通过“和”,“或”与“括号”关系相连而成,子规则共用同一个父编号。
步骤S13:对出入的报文进行检测,包括TCP/IP的包状态检测、HTTP协议包检测,并过滤出HTTP头域信息。在该步骤中,不检测报文所携带的SOAP内容(即SOAP Envelope)。SOAP内容的检测与验证由现有SOA服务实现,以便提高检测性能,并可防止业务信息暴露给非必需第三方系统。
步骤S14:解析HTTP协议头域,解析出HTTP类型、目标URI、方法、响应码、时间、协议版本等信息;针对HTTP的请求报文,还需要从HTTP报文中解析出SOAP方法(即SOAPAction)。
步骤S15:识别工作流;针对每个HTTP请求报文和当前会话信息,在已配置的SOA工作流模板中进行检索,识别当前对话的工作流。
上述会话是TCP请求所确定的,包括源IP、源端口、目标IP、目标端口等信息;上述对话包括源IP、源端口、目标IP、目标端口、已启用的工作流、当前工作流、最近请求、最近响应、时间戳等信息。每一对话可包括多个会话;创建新对话前,需要查询可信工作流监管服务模块是否已存在针对同一源IP的用户终端的操作对话或Web门户对话标志,若不存在则确定当前对话为异常对话并告警。
识别出工作流后,依据当前的负载状况以及当前有效的分发策略,计算该HTTP请求是否需要重定向,如果需要,则执行步骤S16,否则直接执行步骤S17。
步骤S16:重定向HTTP请求。
步骤S17:依据HTTP头域、会话信息和已识别出的SOA工作流,并通过预先配置的工作流检测规则,对当前对话的HTTP头域信息进行检测。如果检测正常,则更新当前对话的内容,并转S14,处理下一个HTTP报文;否则转步骤S18。
具体地,所述更新当前对话的内容,包括更新当前对话的如下信息:当前活动工作流标识、最近请求、时间戳等信息;
所述SOA工作流检测包括交互顺序关系检测、服务请求内容检测和服务响应内容检测。其中交互顺序关系检测是指依据设定的工作流检测规则中的规则序号,比较同一工作流内当前请求与上一次请求的次序号,如果违背操作链关系,则为非法操作;服务请求内容检测是指验证源端、目的端、操作请求是否与设定的规则相符合;服务响应内容检测是指验证响应是否与请求相匹配、响应时间是否超时、响应错误码等。
步骤S18:检测到异常后,利用当前HTTP头域信息、会话信息,构建异常事件,并上报可信工作流监管服务模块。
如图3所示,是图1中旁路网络门户服务步骤(步骤S2)的具体流程图。该步骤具体包括:
步骤S21:网络门户工作流管控模块与可信工作流监管服务模块进行身份互验证,并在身份验证通过时执行步骤S22,否则流程自行终止。
步骤S22:通过可信工作流监管服务模块配置网络门户工作流管控模块的Web工作流模板与规则信息。在该步骤中,网络门户工作流管控模块从可信工作流监管服务模块下载预设的Web工作流模板与检测规则信息,并随时配置新的模板和/或规则数据。
上述Web工作流模板由业务工作流在Web门户上的表现形式数据组成,通常是Web服务请求信息序列组成;上述Web工作流检测规则,是由具体业务工作流在Web门户上的Web请求与Web响应消息序列组成。
同样地,同一Web工作流模板可以拆分成多个子模板,所有子模板共用一个父编号;模板内的Web请求项条目可以是详细列表格式,也可以是正则表达式格式,其序号与工作流内部信息交互次序严格一致。同一Web工作流检测规则条目可以是Web请求与响应的详细列表格式,也可以是正则表达式格式;每个检测项对应工作流中的一个交互步骤,规则序号与工作流内部交互次序严格一致;规则可以是多个子规则通过“和”,“或”与“括号”关系相连而成,子规则共用同一个父编号。
步骤S23:网络门户工作流管控模块采集Web门户的运行日志,并将日志信息规整化后,解析出客户端、操作方式、目标网页、请求参数、时间、协议、字节数、操作结果等。
步骤S24:网络门户工作流管控模块依据Web请求(其对应操作方式为Get或Post)、客户端信息,检索已配置的Web工作流模板,识别当前客户对话的Web工作流。
上述客户对话包括用户终端、已启动的Web工作流、当前Web工作流、最近一次Web请求、最近一次Web响应、最近活动时间等信息。在创建新的客户对话前,需要查询可信工作流监管服务模块是否已存在同一用户终端的用户终端对话标志,如果对话标志不存在,但该用户终端信息标识其源自受控网络时,则立即告警。
步骤S25:依据操作方式、目标网页和已识别出的Web工作流,检索已预配置的Web工作流检测规则,对Web请求与响应进行检测。如果检测到异常,执行步骤S26;如果检测中未发现异常,则转S23,继续处理下一条日志信息。
具体地,所述Web工作流检测主要包括请求目标及参数内容检测和请求次序检测。请求目标与参数内容检测遵从预设的检测规则,解析出目标网页、参数名称、参数个数和参数内容,并与规则比较,验证是否合规;请求次序检测在解析出目标网页、参数名称、参数内容后,计算出操作的序号,并与当前客户对话的上一次操作序号比较,验证是否符合操作链规则。
步骤S26:检测到异常后,依据当前的用户终端、操作方式、目标网页、请求参数以及对话信息,构建异常事件,并上报可信工作流监管服务模块。
如图4所示,是图1中监控用户操作终端步骤(步骤S3)的具体流程图。该步骤具体包括:
步骤S31:用户终端启动后,用户终端工作流管控模块自动定时进行环境检查,如果环境检查未通过,则自动通告可信工作流监管服务中心,撤销此用户终端的业务网络访问。
上述环境检查基于用户终端软件白名单进行,包括操作系统及其补丁列表、应用软件系统及其补丁列表、桌面安全防护系统及其补丁列表、环境配置参数以及活动服务。不同的白名单模板针对不同岗位、不同办公区域以及不同职位的工作人员。只有白名单检测通过,且未发现非白名单内的应用系统、活动服务和环境配置参数时,终端检测才算合规。
环境检查主要采用API调用方式而非SHELL调用方式,除了对系统关键模块(如核心dll、核心so)进行完整性检查,还需要检查接口地址,预防内存钩子和在线钩子。
步骤S32:用户终端工作流管控模块与可信工作流监管服务模块身份互验证,并在身份验证通过后,可信工作流监管服务模块为该用户终端授予业务网络访问许可。
可信工作流监管服务模块在收到身份验证请求后,可以先要求用户终端工作流管控模块再次进行本地环境检查,并上报检查结果,然后再处理用户终端工作流管控模块的身份验证请求。
步骤S33:用户终端工作流管控模块自动向可信工作流监管服务模块下载与终端身份相匹配的用户终端工作流模板和检测规则,并可随时配置新的工作流模板和/或检测规则信息。
上述用户终端工作流模板是业务工作流在用户终端上的用户操作请求的数据表达;用户终端工作流检测规则是业务工作流在用户终端上用户操作请求与响应的数据表达。
同一用户终端工作流模板可以拆分成多个子模板,所有子模板共用一个父编号;模板内的用户操作请求条目可以是详细列表格式,也可以是正则表达式格式,其序号与工作流内部信息次序严格一致。同一用户终端工作流的检测规则条目可以是操作的详细列表格式,也可以是正则表达式格式;每个检测项对应工作流中的一个交互步骤,规则序号与工作流内部交互次序严格一致;规则可以是多个子规则通过“和”,“或”与“括号”关系相连而成,子规则共用同一个父编号。
步骤S34:用户终端工作流管控模块捕获用户在Web浏览器或业务专用客户端上操作请求与响应:若为请求则解析目标IP、目标端口、目标对象名称、请求参数并执行步骤S35,若为响应则解析出响应对象名称并直接执行步骤S36。
步骤S35:用户终端工作流管控模块针对用户操作请求,依据解析出的目标IP、目标端口、目标对象名称、请求参数,检索已配置的终端工作流模板,识别业务流程,并构建或更新客户操作对话,其中客户操作对话包括:客户身份、目标IP、目标端口、已启动的工作流、最近一次请求信息、最近一次返回信息、当前活动工作流等。
步骤S36:用户终端工作流管控模块对用户的操作请求与操作响应进行分别进行不同检测;发现异常时,执行S37;否则,工作流检测正常,转S34,继续处理下一条捕获的请求或响应。
对用户操作请求信息,依据已预设的工作流检测规则,验证用户是否允许访问,访问的顺序是否正确以及携带的请求参数是否正确。所述访问允许验证,依据已识别的工作流、检索针对该工作流所有预设的允许访问目标;所述访问顺序验证,依据目标对象名称、请求参数,检索出当前操作的序号,并与当前工作流的上一次操作序号比较,如果违反操作链,则为异常;所述请求参数验证,包括参数名称与参数内容验证,依据目标对象名称、请求参数序列,检索出当前操作的规则,并将参数及其内容与规则匹配,如果不符合,则为异常。
对用户操作响应信息,仅检测响应对象名称和操作结果。依据操作请求检测时缓存的规则,对响应对象名称、操作结果进行检测。如果不匹配,则为异常。
步骤S37:用户终端工作流管控模块检测到异常信息后,依据当前用户终端信息、用户操作目标对象、请求参数信息,构造异常事件,并上报可信工作流监管服务模块。
进一步地,在产生了异常事件后,对异常事件的处理流程,如图5所示,包括:
S41:异常事件由用户终端工作流管控模块、网络门户工作流管控模块和企业服务总线工作流管控模块创建,并以统一格式上报到可信工作流监管服务模块。
异常事件遵循IDMEF格式,包括:创建模块编号、创建模块实例、事件类型编号、发生时间、上报时间,业务客户端IP、业务客户端端口、业务服务端IP、业务服务端端口、操作名称、操作说明信息、业务流名称、事件附加信息。
步骤S42:可信工作流监管服务模块将异常事件转换为标准告警信息,直接在告警终端上展示。
步骤S43:可信工作流监管服务模块依据异常事件类型编号,检索自动响应策略集,并在检索到自动响应策略后执行步骤S44,请求安全联动指示;否则,转S41,处理下一条异常事件。
步骤S44:可信工作流监管服务模块利用异常事件中的客户端IP、客户端端口替换联动请求中的外围阻隔指令中的IP与端口;同时,如果存在核心层阻隔指令,则将客户端IP、客户端端口、服务IP、服务端口替换阻隔指令的IP与端口集合。
步骤S45:联动指令构造完毕后,针对外围阻隔指令,检索出客户端的BAS设备(或防火墙),并将此指令下发到相应设备;针对核心层阻隔指令,检索出服务端的防火墙(或桥接企业服务总线模块),并将指令下发到该设备(或模块)。
如果下发指令失败或获知指令执行失败,则转S42,直接告警,提示阻隔失败;否则,转S41,处理下一条异常事件。
如图6所示,是本发明SOA安全保障系统实施例的结构示意图。该系统包括用户终端工作流管控模块61、网络门户工作流管控模块62、企业服务总线工作流管控模块63和可信工作流监管服务模块64。
可信工作流监管服务模块64为服务端模块,用户终端工作流管控模块61、网络门户工作流管控模块62和企业服务总线工作流管控模块63为客户端模块。
系统运行时,客户端首先向服务端申请身份验证;身份验证通过后,向服务端申请配置数据;成功申请到配置数据后,启动监控流程,对工作流进行监控,如果发现异常,则将异常数据规整化后上报到服务端模块;服务端模块收集到异常事件或告警事件后,立即示警,并依据预设的响应策略构建阻隔指令,通过安全联动,请求安全设备(如防火墙,BAS设备)阻隔。
本实施例中,可信工作流监管服务模块64是本系统的管理核心,其单独部署在企业/组织受保护的主机上,包括有配置管理模块641、节点身份管理模块642、可信工作流管控模块643、安全通信模块644、异常事件管理模块645、安全联动模块646和审计报表模块647。其中配置管理模块641、异常事件管理模块645和审计报表模块647均提供操作终端,供用户操作与浏览。
配置管理模块641用于配置整个系统,包括运行参数配置、身份信息配置、安全联动设备配置(BAS、防火墙等)、异常事件响应策略配置、用户终端软件白名单模板配置、三类工作流模板与工作流检测规则配置以及包过滤规则配置。配置用户终端工作流管控模块61、网络门户工作流管控模块62、企业服务总线工作流管控模块63时,均是通过可信工作流管控模块643完成的。
节点身份管理模块642用于系统内部模块间身份认证,包括合法节点身份信息、处理其它模块的身份验证请求。在用户终端工作流管控模块61节点身份验证通过后,将验证成功消息提交给安全联动模块646,请求授予业务网络访问许可;在收到用户终端工作流管控模块61环境检测异常或离线后,请求安全联动模块646撤销该终端的业务网络访问许可。
可信工作流管控模块643是可信工作流监管服务模块64与用户终端工作流管控模块61、网络门户工作流管控模块62、企业服务总线工作流管控模块63的通信中枢。该可信工作流管控模块643下发配置信息到其它模块、接收其它模块的验证请求并提交到节点身份管理模块642、将验证响应提交到相应模块、接收其它模块的异常事件并将其提交到异常事件管理模块645。
安全通信模块644用于保存所有活动的用户终端工作流管控模块61、网络门户工作流管控模块62、企业服务总线工作流管控模块63以及防火墙、BAS设备的简单资产信息以及拓扑管辖关系;处理网络门户工作流管控模块62和企业服务总线工作流管控模块63查询客户端对话信息请求;处理安全联动模块646的查询执行设备请求。可选地:安全通信模块644可用于对入口消息进行解密与身份验证;对出口消息提供加密与签字支持。
异常事件管理模块645用于处理异常事件。具体地,该异常事件管理模块645将异常事件规格化为告警信息后,提交告警终端;检索异常事件响应策略库,并依据异常事件、响应规则,构造外围阻隔指令,和/或核心阻隔指令,并提交安全联动模块646。
安全联动模块646用于系统与网络安全设备联动。具体地,该安全联动模块646接收节点身份管控模块642的请求,构造用户终端授予或撤销网络访问规则;接收异常事件管理模块645提交的联动指令;向安全通信模块644请求到指令执行设备后,将指令下发到目标设备。
审计报表模块647用于审计异常事件、安全联动以及系统运行状况,提供审计报表。此模块为选配模块。
用户终端工作流管控模块61部署在各类操作终端上,用于管控用户在终端上的业务工作流操作,并自行终止违规工作流。用户终端工作流管控模块61包括工作流管控模块611、工作流识别模块612、工作流环境检查模块613和工作流检测模块614。
工作流管控模块611用于与可信工作流监管服务模块64的可信工作流管控模块643交互,是用户终端工作流管控模块61的消息网关。该工作流管控模块611主动向可信工作流监管服务模块64发起身份认证请求,并将源自可信工作流监管服务模块64的配置信息提交到工作流识别模块612、工作流检测模块614和工作流环境检查模块613上;接收可信工作流监管服务模块64的请求,通知工作流环境检查模块613启动环境检查,并在成功获取工作流环境检查模块613的检查结果后,提交给可信工作流监管服务模块64;接收工作流检测模块614产生的异常事件,并将其提交到可信工作流监管服务模块64。
工作流识别模块612用于接收工作流管控模块611下发的工作流模板信息;捕获用户操作请求与响应;依据本地缓存的工作流模板数据,和已有的工作流对话信息,识别用户正在操作的工作流,并将识别结果提交到工作流检测模块614。
工作流检测模块614用于接收工作流管控模块611下发的工作流检测信息,依据本地缓存的工作流检测规则数据,对话信息和工作流识别模块612的识别结果,对用户正在操作的业务项进行检测。一旦发现异常,则构造异常事件,并提交给工作流管控模块611。
工作流环境检查模块613用于接收工作流管控模块611下发的终端环境白名单数据,并依据白名单对终端环境进行检查。一旦检查不成功,将产生告警信息,并提交给工作流管控模块611。
网络门户工作流控制模块62,部署在Web门户局域网内,也可以直接部署在Web门户服务器上,包括Web工作流管控模块621、Web服务日志解析模块622、Web工作流识别模块623和Web工作流检测模块624。
Web工作流管控模块21是网络门户工作流控制模块M2的外联消息网关。接收可信工作流监管服务模块M0提交的配置信息,并将配置信息提交到Web服务日志解析模块622、Web工作流识别模块623和Web工作流检测模块624上;接收Web工作流检测模块624的异常事件,并提交给可信工作流监管服务模块64的可信工作流管控模块643;完成与可信工作流监管服务模块64的身份互认证。
Web服务日志解析模块622用于依据缓存的解析规则,将Web服务的访问日志分解为统一格式,并将结果提交给Web工作流识别模块623。
Web工作识别模块623用于依据缓存的Web工作流模板数据,和已预存的客户端对话信息,识别出Web工作流,并将识别结果提交到Web工作流检测模块624。
Web工作流检测模块624用于依据本地缓存的Web工作流检测规则数据,已预存的客户端对话信息和Web工作流识别结果,对Web访问内容进行检测。如有异常,则产生异常事件,并提交到Web工作流管控模块621。
本实施例中,企业服务总线工作流管控模块63部署在SOA服务机房,桥接企业服务总线数据流,由SOA工作流管控模块631、报文状态检测模块632、SOA工作流识别模块633和SOA工作流检测模块634组成。其中:
SOA工作流管控模块631用于企业服务总线工作流管控模块63和可信工作流监管服务模块64的消息交互中心。接收可信工作流监管服务模块64的配置信息,并将其分别下发到报文状态检测模块632、SOA工作流识别模块633和SOA工作流检测模块634;接收SOA工作流检测模块634的异常事件,并提交给可信工作流管理服务模块64;完成与可信工作流管理服务模块64的身份互认证。
报文状态检测模块632用于依据TCP/IP协议机制和缓存的包过滤规则数据、对层2、层3信息包进行检测,对HTTP包进行头域解码,并将解码结果提交给SOA工作流识别模块633。
SOA工作流识别模块633用于依据缓存的工作流模板信息、HTTP包头域信息、TCP包头域信息和本地缓存的对话信息,识别当前工作流,并将结果提交给SOA工作流检测模块634。
SOA工作流检测模块634用于依据缓存的工作流检测规则信息、已识别的工作流信息、HTTP包头域信息、客户的对话信息,对请求与响应进行检测。发现异常后,构造异常事件,并提交给SOA工作流管控模块631。
上述客户端模块中的工作流识别功能模块与工作流检测功能模块都可以通过服务端模块暂时关闭或开启;客户端模块所需要的模板数据与规则数据均来自服务端模块,客户端本地不保存此类数据。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种SOA安全保障方法,其特征在于,包括以下步骤:
(a)桥接企业服务总线,并依据从可信工作流监管服务模块获取的SOA工作流模板与检测规则对所述企业服务总线上的交互信息进行识别与检测;
(b)旁路企业门户服务,并依据从可信工作流监管服务模块获取的WEB工作流模板与检测规则对所述企业门户服务上的Web请求与Web响应进行识别与检测;
(c)监控用户终端,并依据从可信工作流监管服务模块获取的业务工作流模板与检测规则对所述用户终端上正发生的业务操作请求与响应进行识别与检测。
2.根据权利要求1所述的SOA安全保障方法,其特征在于,所述SOA工作流模板包括名称、序号、HTTP头域属性;所述SOA工作流检测规则包括操作序号、请求HTTP头域、响应HTTP头域属性。
3.根据权利要求1或2所述的SOA安全保障方法,其特征在于,SOA工作流识别操作用于流程鉴别,其依据HTTP请求的头域属性,查询预设的工作流模板库,计算当前工作流;SOA工作流检测操作用于在流程鉴别后,依据预设的工作流检测规则,对该工作流中的请求与响应进行验证。
4.根据权利要求1所述的SOA安全保障方法,其特征在于,还包括在检测到违规访问时,通过所述可信工作流监管服务模块与安全装置联动,自动阻隔违规访问。
5.根据权利要求1所述的SOA安全保障方法,其特征在于,所述步骤(a)、(b)、(c)中各包括:在与所述可信工作流监管服务模块通信前,与可信工作流监管服务模块通信进行身份验证。
6.一种SOA安全保障系统,其特征在于,包括用户终端工作流管控模块、网络门户工作流管控模块、企业服务总线管控模块以及可信工作流监管服务模块,其中:
所述用户终端工作流管控模块,用于依据从可信工作流监管服务模块获取的业务工作流模板与检测规则控制终端上正在发生的用户操作工作流行为;该用户终端工作流管控模块包括工作流识别模块、工作流检测模块和工作流管控模块,其中所述工作流识别模块,用于捕获并解析用户操作请求与响应,并依据从可信工作流监管服务模块获取的业务工作流模板,完成工作流识别,并将识别后的工作流信息提交给工作流检测模块;所述工作流检测模块,用于依据从可信工作流监管服务模块获取的业务工作流模检测规则,实现对终端用户工作流请求与应答检测,并通过工作流管控模块并上报异常事件;
所述网络门户工作流管控模块,用于依据从可信工作流监管服务模块获取的WEB工作流模板与检测规则控制Web门户服务上正在发生的用户使用工作流行为;该网络门户工作流管控模块包括Web工作流识别模块、Web工作流检测模块和Web工作流管控模块,其中:所述Web工作流识别模块,用于依据从可信工作流监管服务模块获取的WEB工作流模板,完成工作流识别,并将识别结果提交给所述Web工作流检测模块;所述Web工作流检测模块,用于依据从可信工作流监管服务模块获取的WEB工作流检测规则,完成对Web网络门户请求与响应检测,构建异常事件,并通过所述Web工作流管控模块上报该异常事件;
所述企业服务总线管控模块,用于依据从可信工作流监管服务模块获取的SOA工作流模板与检测规则控制企业服务总线上正在发生的用户使用工作流行为;该企业服务总线管控模块包括SOA工作流识别模块、SOA工作流检测模块以及SOA工作流管控模块,其中:所述SOA工作流识别模块,用于依据从可信工作流监管服务模块获取的SOA工作流模板,识别SOA工作流,并将结果提交给SOA工作流检测模块;所述SOA工作流检测模块,用于依据从可信工作流监管服务模块获取的SOA工作流检测规则,对SOA请求与响应头域信息进行检测,产生异常事件,并通过所述SOA工作流管控模块上报该异常事件。
7.根据权利要求6所述的SOA安全保障系统,其特征在于,所述用户终端工作流管控模块还包括工作流环境检查模块,该工作流环境检查模块用于接收工作流管控模块下发的终端环境白名单数据,并依据白名单对终端环境进行检查,在检查不成功时产生告警信息提交给工作流管控模块。
8.根据权利要求6所述的SOA安全保障系统,其特征在于,所述网络门户工作流管控模块还包括Web访问日志解析模块,该Web访问日志解析模块用于解析Web服务器的访问日志,并将结果提交给Web工作流识别模块和Web工作流检测模块。
9.根据权利要求6所述的SOA安全保障系统,其特征在于,所述企业服务总线管控模块还包括报文状态检测模块,该报文状态检测模块,用于基于TCP/IP协议机制,对第二层、第三层报文进行过滤,对HTTP协议进行解码,并将解码结果提交给SOA工作流识别模块。
10.根据权利要求6所述的SOA安全保障系统,其特征在于,所述可信工作流监管服务模块包括节点身份管理模块、配置管理模块、异常事件管理模块以及审计报表模块,其中:
所述节点身份管理模块管理,用于实现所述用户终端工作流管控模块、所述网络门户工作流管控模块和所述企业服务总线管控模块的身份验证;
所述配置管理模块,用于配置所述用户终端工作流管控模块、所述网络门户工作流管控模块和所述企业服务总线管控模块的所需要的工作流模板和检测规则;
所述异常事件管理模块,用于基于预设的策略对上报的工作流异常进行自动响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910107186XA CN101616038B (zh) | 2009-04-30 | 2009-04-30 | Soa安全保障系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910107186XA CN101616038B (zh) | 2009-04-30 | 2009-04-30 | Soa安全保障系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101616038A CN101616038A (zh) | 2009-12-30 |
| CN101616038B true CN101616038B (zh) | 2011-11-23 |
Family
ID=41495464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910107186XA Active CN101616038B (zh) | 2009-04-30 | 2009-04-30 | Soa安全保障系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101616038B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102034152B (zh) * | 2010-12-13 | 2016-06-15 | 东莞市高鑫机电科技服务有限公司 | 基于soa架构的异构软件系统数据的集成整合方法与系统 |
| CN105095052B (zh) * | 2014-05-22 | 2018-08-31 | 阿里巴巴集团控股有限公司 | Soa环境下的故障检测方法及装置 |
| CN105049503A (zh) * | 2015-07-07 | 2015-11-11 | 深信服网络科技(深圳)有限公司 | 调度服务器的方法及负载均衡设备 |
| CN109409824A (zh) * | 2018-09-27 | 2019-03-01 | 张家口浩扬科技有限公司 | 一种基于改变请求的工作流处理方法及其处理系统 |
| CN114707146B (zh) * | 2022-06-02 | 2022-10-28 | 深圳市永达电子信息股份有限公司 | 工作流识别方法、系统、计算机设备和可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1941771A (zh) * | 2005-09-27 | 2007-04-04 | 国际商业机器公司 | 用于面向服务的体系结构应用的Web服务信息管理方法和系统 |
-
2009
- 2009-04-30 CN CN200910107186XA patent/CN101616038B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1941771A (zh) * | 2005-09-27 | 2007-04-04 | 国际商业机器公司 | 用于面向服务的体系结构应用的Web服务信息管理方法和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 周建涛等.网格环境中基于SOA的工作流系统架构研究.《计算机科学》.2007,第34卷226-229. * |
| 张横云等.SOA体系的安全研究与设计.《四川理工学院学报(自然科学版)》.2009,第22卷(第1期),44-47. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101616038A (zh) | 2009-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| CN101854340A (zh) | 基于访问控制信息进行的基于行为的通信剖析 | |
| CN101355415B (zh) | 实现网络终端安全接入公共网络的方法和系统 | |
| US20060149848A1 (en) | System, apparatuses, and method for linking and advising of network events related to resource access | |
| CN104767748B (zh) | Opc服务器安全防护系统 | |
| CN101616038B (zh) | Soa安全保障系统及方法 | |
| EP2036305A2 (en) | Communication network application activity monitoring and control | |
| CN110493195A (zh) | 一种网络准入控制方法及系统 | |
| CN109543411A (zh) | 应用程序监控方法、装置、电子设备及可读存储介质 | |
| JP4713186B2 (ja) | ネットワーク監視方法及びネットワーク監視システム | |
| KR20020000225A (ko) | 컴퓨터 시스템의 통합적인 원격 보안 관리를 수행하는시스템 및 방법 | |
| KR101233934B1 (ko) | 지능형 통합 보안 관리 시스템 및 방법 | |
| KR100758796B1 (ko) | 기업용 실시간 서비스 관리 시스템 및 그 방법 | |
| Lima et al. | BP-IDS: Using business process specification to leverage intrusion detection in critical infrastructures | |
| TWI660605B (zh) | 網路安全管理系統 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| KR100906389B1 (ko) | 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법 | |
| KR20140055103A (ko) | 탐지 서버 및 그의 이상 징후 탐지 방법 | |
| CN115801292A (zh) | 访问请求的鉴权方法和装置、存储介质及电子设备 | |
| CN109547397B (zh) | 网络安全管理系统 | |
| Zang et al. | A survey of alert fusion techniques for security incident | |
| JP2005318037A (ja) | 不正使用監視システム、不正使用監視警報装置、不正使用監視方法 | |
| JP2018174444A (ja) | インシデント通知装置およびインシデント通知プログラム | |
| JP2019083478A (ja) | 通信システム、制御装置、ゲートウェイ、通信制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: SHENZHEN YONGDA ELECTRONIC INFORMATION CO., LTD. Free format text: FORMER NAME: SHENZHEN RONGDA ELECTRONICS CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 518057 Shenzhen Aerospace Science and Technology Innovation Research Institute, South ten road, science and technology zone, Shenzhen, Guangdong D301-D309 Patentee after: Shenzhen Yongda electronic Touchplus information Corp Address before: 518057 Shenzhen Aerospace Science and Technology Innovation Research Institute, South ten road, science and technology zone, Shenzhen, Guangdong D301-D309 Patentee before: Shenzhen Rongda Electronics Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: SOA security guarantee system and method Effective date of registration: 20190807 Granted publication date: 20111123 Pledgee: Bank of Beijing Limited by Share Ltd Shenzhen branch Pledgor: Shenzhen Yongda electronic Touchplus information Corp Registration number: Y2019440020003 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20201203 Granted publication date: 20111123 Pledgee: Bank of Beijing Limited by Share Ltd. Shenzhen branch Pledgor: SHENZHEN Y&D ELECTRONICS INFORMATION Co.,Ltd. Registration number: Y2019440020003 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: SOA security system and method Effective date of registration: 20201216 Granted publication date: 20111123 Pledgee: Bank of Beijing Limited by Share Ltd. Shenzhen branch Pledgor: SHENZHEN Y&D ELECTRONICS INFORMATION Co.,Ltd. Registration number: Y2020980009416 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20220408 Granted publication date: 20111123 Pledgee: Bank of Beijing Limited by Share Ltd. Shenzhen branch Pledgor: SHENZHEN Y&D ELECTRONICS INFORMATION Co.,Ltd. Registration number: Y2020980009416 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |