CN102868703B - 一种安全控制系统与方法 - Google Patents
一种安全控制系统与方法 Download PDFInfo
- Publication number
- CN102868703B CN102868703B CN201210376619.3A CN201210376619A CN102868703B CN 102868703 B CN102868703 B CN 102868703B CN 201210376619 A CN201210376619 A CN 201210376619A CN 102868703 B CN102868703 B CN 102868703B
- Authority
- CN
- China
- Prior art keywords
- security
- security control
- control rule
- rule
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全控制系统与方法,包括:路由器和代理服务器,还包括:用于保存安全控制规则的安全控制规则库、用于对代理服务器配置安全控制规则,且将安全控制规则配置到安全控制规则库中进行保存的规则配置管理模块以及用于验证服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器所配置的安全控制规则中预设的安全信息是否一致,并在一致的情况下,将服务请求信息发送至路由器的安全控制模块。本发明设置的规则配置管理模块通过安全控制规则库中保存的安全控制规则,灵活、开放地对代理服务器配置安全控制规则,以满足ESB服务环境下、应用集成过程中复杂多变的安全控制需求,并能够有效应用于各种各样的服务安全控制场景。
Description
技术领域
本发明涉及应用集成中间件技术架构领域,更具体的说,涉及一种安全控制系统与方法。
背景技术
随着现代社会企业业务范围的不断扩大以及不同组织、企业间的交互需求的增加,对分布式计算体系结构提出了更高的要求,即实现异构系统之间的交互和集成。ESB(Enterprise Service Bus,企业服务总线)提供了网络中最基本的连接中枢,实现了异构系统之间的交互和集成,同时它还可以消除不同应用之间的技术差异,让不同的应用服务协调运作,实现了不同服务之间的通信与整合。
ESB作为企业架构的开放服务网关,需要面对众多服务提供商与服务请求者,其服务环境更具有动态性和分布性。与传统的集中式系统和客户-服务器的服务环境相比,ESB带来了传统的安全模型不能处理的许多新的安全挑战。目前存在的一些安全控制方法,如基于身份的访问控制、基于角色的访问控制等安全控制方法均采用集中式的控制方法,只能提供有限的、粗粒度的、简单的安全控制功能,不存在一种开放的、灵活的安全控制规则,以满足ESB服务环境下、应用集成过程中复杂多变的安全控制需求,不能适用于复杂多变的ESB服务安全控制场景。
发明内容
针对上述问题,本发明提供一种安全控制系统与方法,以解决现有技术中的安全控制方法只能提供有限的、粗粒度的、简单的安全控制功能,不存在一种开放的、灵活的安全控制规则,以满足ESB服务环境下、应用集成过程中复杂多变的安全控制需求,不能适用于复杂多变的ESB服务安全控制场景的问题。技术方案如下:
基于本发明的一方面,提供一种安全控制系统,应用于企业服务总线中,包括:路由器和代理服务器,还包括:安全控制规则库、规则配置管理模块和安全控制模块,其中,
所述安全控制规则库与所述规则配置管理模块和所述安全控制模块联接,用于保存安全控制规则;
所述规则配置管理模块与所述安全控制规则库和所述代理服务器联接,用于对所述代理服务器配置安全控制规则,并将安全控制规则配置到所述安全控制规则库中进行保存;
所述安全控制模块与所述路由器和所述安全控制规则库联接,用于依据所述安全控制规则库中保存的安全控制规则,验证服务请求者发送的服务请求信息中附带的安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息是否一致,并在服务请求者发送的服务请求信息中附带的安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,将服务请求者发送的服务请求信息发送至所述路由器。
优选地,所述安全控制模块包括:
接收单元,用于接收服务请求者发送的服务请求信息;
解析单元,用于解析所述服务请求信息;
获取单元,用于获取服务请求信息中附带的安全信息;
验证单元,用于依据所述安全控制规则库中保存的安全控制规则,验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息是否一致;
发送单元,用于在所述验证单元验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,将所述服务请求信息发送至路由器。
优选地,所述安全控制模块还包括:
输出单元,用于输出所述服务请求信息的验证结果。
优选地,所述输出单元具体用于在所述验证单元验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,输出合法、true或1,以及用于在所述验证单元验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息不一致的情况下,输出不合法、false或0。
优选地,所述规则配置管理模块还用于调整所述安全控制规则库中保存的安全控制规则。
优选地,所述规则配置管理模块用于对所述代理服务器配置至少一个安全控制规则。
基于本发明的另一方面,还提供一种安全控制方法,应用于上述所述的安全控制系统中,包括:
接收服务请求者发送的服务请求信息;
解析所述服务请求信息,获得所述服务请求信息中附带的安全信息;
验证所述安全信息与对应的代理服务器所配置的安全控制规则中预设的安全信息是否一致,并在服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,将服务请求者发送的服务请求信息发送至路由器。
优选地,还包括:
调整所述安全控制规则库中保存的安全控制规则。
优选地,还包括:
输出所述服务请求信息的验证结果。
优选地,输出所述服务请求信息的验证结果包括在验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,输出合法、true或1,在验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息不一致的情况下,输出不合法、false或0。
应用上述技术方案,本发明提供一种安全控制系统与方法,包括:路由器和代理服务器,还包括:安全控制规则库、规则配置管理模块和安全控制模块。其中,安全控制规则库用于保存安全控制规则,规则配置管理模块用于对代理服务器配置安全控制规则,且将安全控制规则配置到安全控制规则库中进行保存,安全控制模块用于依据安全控制规则库中保存的安全控制规则,验证服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器所配置的安全控制规则中预设的安全信息是否一致,并在服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,将服务请求者发送的服务请求信息发送至路由器。
本发明在ESB服务环境中设置了安全控制规则库,通过安全控制规则库中保存的安全控制规则,规则配置管理模块灵活、开放地对代理服务器配置安全控制规则,以满足ESB服务环境下、应用集成过程中复杂多变的安全控制需求,且能够有效用于各种各样的服务安全控制场景。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种安全控制系统的一种结构示意图;
图2为本发明提供的一种安全控制系统的安全控制模块的结构示意图;
图3为本发明提供的一种安全控制系统的安全控制模块的另一种结构示意图;
图4为本发明提供的一种安全控制方法的一种流程图;
图5为本发明提供的一种安全控制方法的另一种流程图;
图6为本发明提供的一种安全控制方法的再一种流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明公开了一种安全控制系统与方法,应用于企业服务总线中,其中包括用于保存安全控制规则的安全控制规则库,对代理服务器配置安全控制规则,且将安全控制规则配置到安全控制规则库中进行保存的规则配置管理模块以及验证服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器所配置的安全控制规则中预设的安全信息是否一致的安全控制模块。服务请求者将服务请求信息发送至安全控制模块,安全控制模块对服务请求信息进行验证,验证通过后,将服务请求信息发送至服务提供商。
一个实施例
请参见图1,其示出了本发明提供的一种安全控制系统的一种结构示意图,可以包括:安全控制模块100、安全控制规则库200、规则配置管理模块300、代理服务器400和路由器500。其中,
安全控制规则库200与规则配置管理模块300和安全控制模块100联接,用于保存安全控制规则。
其中,安全控制规则为基于ESB服务环境下、应用集成过程中复杂多变的安全控制需求,为保护用户与服务提供商的利益而确定的安全控制方法,其可以包括以下几种规则:
基于请求者属性的规则,其中,请求者属性可以包括:用户唯一标识、所属的用户组织机构、用户账号或许可等级。基于目标服务属性的规则,其中,目标服务属性可以包括:服务名称、服务创建时间或服务安全等级。基于环境属性的规则,其中,环境属性可以包括:时间、网络拓扑、连接状况、用户认证状况。基于用户自定义的规则,可以包括:规则的组合或规则的逻辑运算。
规则配置管理模块300与安全控制规则库200和代理服务器400联接,用于对代理服务器400配置安全控制规则,并将安全控制规则配置到安全控制规则库200中进行保存。
在本实施例中,代理服务器400为已在ESB上完成注册的服务提供商配置的代理服务器400。一个代理服务器400对应一个服务提供商,通过对代理服务器400配置安全控制规则,实现ESB对服务请求者发送的服务请求信息的验证的功能。服务请求者针对不同的服务提供商,想要与其实现连接、信息交互,需要服务请求者根据每一个服务提供商相应的代理服务器400所配置的安全控制规则来组装服务请求信息,以通过ESB验证。
在实际配置过程中,规则配置管理模块300可以对所述代理服务器配置一个安全控制规则,当然规则配置管理模块300可以将几种安全控制规则组合配置到一个代理服务器中。如为一个代理服务器同时配置基于请求者属性和基于环境属性的规则。
此外,规则配置管理模块300同时将对服务提供商相应的代理服务器400配置的安全控制规则配置到安全控制规则库200中进行保存。
在本实施例中,ESB动态操作过程中,对新注册的服务提供商,ESB会根据服务提供商的不同要求对其配置一个相应的代理服务器400,同时规则配置管理模块300会为这个相应的代理服务器400配置安全控制规则,并将安全控制规则配置到安全控制规则库200中进行保存。
当然,规则配置管理模块300还可以调整安全控制规则库200中保存的安全控制规则,即在代理服务器400提供的请求发送变化的情况下,可以调整代理服务器400所配置的安全控制规则。
安全控制模块100与路由器500和安全控制规则库200联接,用于依据安全控制规则库200中保存的安全控制规则,验证服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息是否一致,并在服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致的情况下,将服务请求者发送的服务请求信息发送至路由器500。
其中一致是指解析得到的安全信息与预设的安全信息相同,在解析得到的安全信息与预设的安全信息相同的情况下,表明服务请求为安全请求,则将服务请求发送至路由器500,由路由器500将服务请求信息路由至服务提供商,从而实现服务请求者与服务提供商的信息交互。在解析得到的安全信息与预设的安全信息不同的情况下,表明服务请求为不安全请求,则不再发送服务请求至路由器500。
下面以几种安全控制规则为例,对本发明提供的安全控制系统进行说明。
在本实施例中,代理服务器400所配置的安全控制规则为基于请求者属性的规则时,例如,某一服务提供商对应的代理服务器400所配置的安全控制规则为:输入用户账号和密码,即需要服务请求者发送的服务请求信息中的安全信息为用户账号和密码,将用户账号和密码发送至安全控制模块100,安全控制模块100依据安全控制规则库200中保存的该服务提供商对应的代理服务器400所配置的安全控制规则,验证用户账号和密码与该服务提供商对应的代理服务器400所配置的安全控制规则中预设的用户账号和密码是否一致,若一致,将服务请求信息发送至路由器500,由路由器500将服务请求信息路由至服务提供商,从而实现服务请求者与服务提供商的信息交互。
代理服务器400所配置的安全控制规则为基于目标服务属性的规则时,例如,某一服务提供商对应的代理服务器400所配置的安全控制规则为:输入服务名称以及服务创建时间。具体地,服务请求者发送的服务请求信息中的安全信息包括:某某公司交易记录,2012年1月份,安全控制模块100依据安全控制规则库200中保存的该服务提供商对应的代理服务器400所配置的安全控制规则,查询是否存在安全信息为2012年1月份某某公司交易记录,若存在,即表示安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致,将服务请求信息发送至路由器500,由路由器500将服务请求信息路由至服务提供商,从而实现服务请求者与服务提供商的信息交互。
代理服务器400所配置的安全控制规则为基于环境属性的规则时,例如,某一服务提供商对应的代理服务器400所配置的安全控制规则为:在一个指定的时间范围内接收服务请求信息。具体地,指定的时间范围包括:下午2点至5点之间。服务请求者发送服务请求信息至安全控制模块100,安全控制模块100依据安全控制规则库200中保存的该服务提供商对应的代理服务器400所配置的安全控制规则中预设的安全信息判断当前服务请求者发送服务请求信息的时间点是否在指定的时间范围,若在,即表示安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致,将服务请求信息发送至路由器500,由路由器500将服务请求信息路由至服务提供商,从而实现服务请求者与服务提供商的信息交互。
代理服务器400所配置的安全控制规则为用户自定义的规则时,例如,某一服务提供商对应的代理服务器400所配置的安全控制规则为:规则的“并”运算,需要服务请求者发送的服务请求信息中的安全信息同时满足访问时间在下午2点至5点之间的安全控制规则,以及通过VIP认证的服务请求者的安全控制规则。安全控制模块100依据安全控制规则库200中保存的该服务提供商对应的代理服务器400所配置的安全控制规则中预设的安全信息判断当前服务请求者发送服务请求信息的时间点是否在下午2点至5点之间的时间范围内,且服务请求者是否为VIP认证的服务请求者,若都满足条件,即表示安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致,将服务请求信息发送至路由器500,由路由器500将服务请求信息路由至服务提供商,从而实现服务请求者与服务提供商的信息交互。
在本实施例中,安全控制模块100接收服务请求者发送的服务请求信息后,依据安全控制规则库200中保存的安全控制规则,验证服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息是否一致,并在服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致的情况下,将服务请求者发送的服务请求信息发送至路由器500。
在本实施例中,安全控制规则库200除用于保存所有不同服务提供商相应的代理服务器400所配置的安全控制规则外,还可以用于保存预先设定的一些其它的安全控制规则,以及还可以用于保存在ESB动态操作过程中,为新注册的服务提供商相应的代理服务器400所配置的安全控制规则。实现了在各种各样的服务安全控制场景中,灵活、动态的配置不同的安全控制规则,以适应不同的安全控制场景中的安全控制需求。
其中,请参阅图2,其示出了本发明提供的一种安全控制系统的安全控制模块的结构示意图,可以包括:接收单元101、解析单元102、获取单元103、验证单元104和发送单元105。其中,
接收单元101,用于接收服务请求者发送的服务请求信息。
在本实施例中,不同的服务提供商对应的代理服务器400所配置的安全控制规则不同,服务请求者想从不同的服务提供商中获取信息,则需要根据不同的服务提供商对应的代理服务器400所配置的不同安全控制规则来组装服务请求信息。
解析单元102,用于解析服务请求信息。
在本实施例中,服务请求者发送的服务请求信息为根据不同的服务提供商对应的代理服务器400所配置的不同安全控制规则组装的服务请求信息。其中,服务请求信息中包括请求内容和安全信息。解析单元102对服务请求信息进行解析,将服务请求信息中的安全信息解析出来。
获取单元103,用于获取服务请求信息中附带的安全信息。
在解析单元102将服务请求信息中的安全信息解析出来后,由获取单元103获取得到服务请求信息中附带的安全信息。其中安全信息在代理服务器400配置的安全控制规则不同时,安全信息也不同。比如代理服务器400配置的安全控制规则为用户唯一标识,即用户账号和密码,服务请求信息中的安全信息即为正确的用户账号和密码;代理服务器400配置的安全控制规则为服务名称和服务时间,即某某公司交易记录,2012年1月份,服务请求信息中的安全信息为正确的服务名称和服务时间;代理服务器400配置的安全控制规则为规则的“并”运算,即在下午2点至5点之间通过VIP认证的服务请求者,服务请求信息中的安全信息即为通过VIP认证的服务请求者,同时安全信息的接收是在规定的下午2点至5点的时间内接收的。
验证单元104,用于依据安全控制规则库200中保存的安全控制规则,验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息是否一致。
发送单元105,用于在验证单元104验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致的情况下,将服务请求信息发送至路由器500。
应用上述技术方案,本发明在ESB服务环境中设置了安全控制规则库200,通过安全控制规则库200中保存的安全控制规则,规则配置管理模块300灵活、开放地对代理服务器400配置安全控制规则,以满足ESB服务环境下、应用集成过程中复杂多变的安全控制需求,且能够有效用于各种各样的服务安全控制场景。
另一个实施例
请参阅图3,其示出了本发明提供的一种安全控制系统的安全控制模块的另一种结构示意图,在图2的基础上还包括:输出单元106。其中,
输出单元106,用于输出服务请求信息的验证结果。
在本实施例中,输出单元105在验证单元104验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致的情况下,输出合法、true或1,在验证单元104验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息不一致的情况下,输出不合法、false或0。
应用上述技术方案,服务请求者可以依据输出单元106输出的判断结果,读出服务请求信息是否发送成功,清楚快捷地获知服务请求信息的动态操作情况。
需要指出的是:本实施例在安全控制模块100上设置了输出单元106,当然,输出单元106也可以单独作为一个实体与安全控制模块100相连。另外,需要说明的是,当本发明所述的输出单元106采用软件实现时,可以作为安全控系统新增的一个功能,也可以单独编写相应的程序,本发明不限定所述方法或装置的实现方式。
同时,本申请公开了一种安全控制方法,应用于上述安全控制系统中,请参阅图4,其示出了本申请提供的一种安全控制方法的一种流程图,包括:
步骤101:接收服务请求者发送的服务请求信息。
在本实施例中,不同的服务提供商相应的代理服务器400所配置的安全控制规则不同,服务请求者要从不同的服务提供商中获取信息,则需要根据不同的服务提供商相应的代理服务器400所配置的不同安全控制规则来组装服务请求。
步骤102:解析服务请求信息。
其中,服务请求信息包括请求内容和安全信息。
步骤103:获取服务请求信息中附带的安全信息。
需要说明的是,服务请求信息中附带的安全信息即为服务请求者在发送服务请求信息前,根据服务提供商对应的代理服务器400所配置的安全控制规则组装的安全信息。在上述实施例中已经对安全控制规则做了详细介绍,这里不再赘述。
步骤104:验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息是否一致,若一致,执行步骤105,若不一致,执行步骤106。
在本实施例中,代理服务器400所配置的安全控制规则可以包括:
基于请求者属性的规则,其中,请求者属性可以包括:用户唯一标识、所属的用户组织机构、用户账号或许可等级。基于目标服务属性的规则,其中,目标服务属性可以包括:服务名称、服务创建时间或服务安全等级。基于环境属性的规则,其中,环境属性可以包括:时间、网络拓扑、连接状况、用户认证状况。以及用户自定义的规则,可以包括:规则的组合或规则的逻辑运算。
针对代理服务器400所配置的不同属性或自定义的安全控制规则,服务请求者若想实现与不同的服务提供商进行信息交互,则需要服务请求者根据每个服务提供商对应的代理服务器400所配置的安全控制规则来组装服务请求信息。即服务请求信息中附带的安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致,才能实现服务请求者与服务提供商的连接。
在本实施例中,对于不同服务提供商对应的代理服务器400所配置的不同安全控制规则的验证方法,同上述实施例中的相同,这里不再赘述。
步骤105:将服务请求者发送的服务请求信息发送至路由器。
在本实施例中,验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致的情况下,安全控制模块100将服务请求信息发送至路由器500,再由路由器500将服务请求信息路由至服务提供商,从而实现服务请求者与服务提供商的信息交互。
步骤106:拒绝服务请求信息发送至路由器。
在本实施例中,验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息不一致的情况下,安全控制模块100拒绝服务请求信息发送至路由器500。
在本实施例中,ESB接收服务请求者发送的服务请求信息后,由安全控制模块100基于安全控制规则库200中保存的安全控制规则,验证服务请求信息中附带的安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息是否一致,并在一致的情况下,发送服务请求信息至路由器500,再由路由器500将服务请求信息路由至服务提供商。
本发明在安全控制方法中定义了一种开放的、灵活的安全控制规则,以满足ESB服务环境下、应用集成过程中复杂多变的安全控制需求,且能够有效用于各种各样的服务安全控制场景。
再一个实施例
面对应用集成过程中复杂多变的安全控制挑战,安全控制规则库200中保存的安全控制规则需要根据ESB的安全控制需求实时更新,对安全控制规则库200中保存的安全控制规则进行调整、修改、添加和删除等处理。
请参阅图5,其示出了本发明提供的一种安全控制方法的另一种流程图,在图4的基础上还包括:
步骤107:调整安全控制规则库200中保存的安全控制规则。
在本实施例中,根据各服务提供商的业务需求变化,实时调整服务提供商对应的代理服务器400所配置的安全控制规则,并保存在安全控制规则库200中,同时更新安全控制规则库200中保存的安全控制规则,将单一的、简单化的安全控制规则删除,添加优化的、灵活的安全控制规则,使得ESB服务环境下的安全控制功能实时更新,以更快地适应的业务需求变化。
需要指出的是:在本实施例中,步骤107调整安全控制规则库200中保存的安全控制规则设置在步骤101接收服务请求者发送的服务请求信息之前,当然,步骤107调整安全控制规则库200中保存的安全控制规则还可以与步骤101接收服务请求者发送的服务请求信息同时进行。
对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
再一个实施例
请参阅图6,其示出了本发明提供的一种安全控制方法的再一种流程图,在图5的基础上还包括:
步骤108:输出服务请求信息的验证结果。
在本实施例中,安全控制模块100验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息一致的情况下,输出合法、true或1,在安全控制模块100验证安全信息与对应的代理服务器400所配置的安全控制规则中预设的安全信息不一致的情况下,输出不合法、false或0。
应用上述技术方案,服务请求者可以依据输出的验证结果,读出服务请求信息是否发送成功,清楚快捷地获知服务请求信息的动态操作情况。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在本实施申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
以上对本发明所提供的一种安全控制系统与方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明申请的限制。
Claims (10)
1.一种安全控制系统,应用于企业服务总线中,包括:路由器和代理服务器,其特征在于,还包括:安全控制规则库、规则配置管理模块和安全控制模块,其中,
所述安全控制规则库与所述规则配置管理模块和所述安全控制模块联接,用于保存安全控制规则;
所述规则配置管理模块与所述安全控制规则库和所述代理服务器联接,用于对所述代理服务器配置安全控制规则,并将安全控制规则配置到所述安全控制规则库中进行保存;
所述安全控制模块与所述路由器和所述安全控制规则库联接,用于依据所述安全控制规则库中保存的安全控制规则,验证服务请求者发送的服务请求信息中附带的安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息是否一致,并在服务请求者发送的服务请求信息中附带的安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,将服务请求者发送的服务请求信息发送至所述路由器;
所述安全控制规则为基于ESB服务环境下、应用集成过程中复杂多变的安全控制需求,为保护用户与服务提供商的利益而确定的安全控制方法,其中所述安全控制规则包括:基于请求者属性的规则、基于目标服务属性的规则、基于环境属性的规则、基于用户自定义的规则、或者上述安全控制规则的组合、或者上述安全控制规则的逻辑运算;
其中,所述安全控制规则库除用于保存所有不同服务提供商相应的代理服务器所配置的安全控制规则外,还用于保存预先设定的一些其它的安全控制规则,以及还用于保存在ESB动态操作过程中,为新注册的服务提供商相应的代理服务器所配置的安全控制规则。
2.根据权利要求1所述的安全控制系统,其特征在于,所述安全控制模块包括:
接收单元,用于接收服务请求者发送的服务请求信息;
解析单元,用于解析所述服务请求信息;
获取单元,用于获取服务请求信息中附带的安全信息;
验证单元,用于依据所述安全控制规则库中保存的安全控制规则,验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息是否一致;
发送单元,用于在所述验证单元验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,将所述服务请求信息发送至路由器。
3.根据权利要求2所述的安全控制系统,其特征在于,所述安全控制模块还包括:
输出单元,用于输出所述服务请求信息的验证结果。
4.根据权利要求3所述的安全控制系统,其特征在于,所述输出单元具体用于在所述验证单元验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,输出合法、true或1,以及用于在所述验证单元验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息不一致的情况下,输出不合法、false或0。
5.根据权利要求1至4任意一项所述的安全控制系统,其特征在于,所述规则配置管理模块还用于调整所述安全控制规则库中保存的安全控制规则。
6.根据权利要求1至4任意一项所述的安全控制系统,其特征在于,所述规则配置管理模块用于对所述代理服务器配置至少一个安全控制规则。
7.一种安全控制方法,应用于如权利要求1至6任一项所述的安全控制系统中,其特征在于,包括:
接收服务请求者发送的服务请求信息;
解析所述服务请求信息,获得所述服务请求信息中附带的安全信息;
验证所述安全信息与对应的代理服务器所配置的安全控制规则中预设的安全信息是否一致,并在服务请求者发送的服务请求信息中附带的安全信息与对应的代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,将服务请求者发送的服务请求信息发送至路由器;
其中,所述安全控制规则为基于ESB服务环境下、应用集成过程中复杂多变的安全控制需求,为保护用户与服务提供商的利益而确定的安全控制方法,其中所述安全控制规则包括:基于请求者属性的规则、基于目标服务属性的规则、基于环境属性的规则、基于用户自定义的规则、或者上述安全控制规则的组合、或者上述安全控制规则的逻辑运算;
其中,安全控制规则库除用于保存所有不同服务提供商相应的代理服务器所配置的安全控制规则外,还用于保存预先设定的一些其它的安全控制规则,以及还用于保存在ESB动态操作过程中,为新注册的服务提供商相应的代理服务器所配置的安全控制规则。
8.根据权利要求7所述的安全控制方法,其特征在于,还包括:
调整所述安全控制规则库中保存的安全控制规则。
9.根据权利要求7所述的安全控制方法,其特征在于,还包括:
输出所述服务请求信息的验证结果。
10.根据权利要求9所述的安全控制方法,其特征在于,输出所述服务请求信息的验证结果包括在验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息一致的情况下,输出合法、true或1,在验证所述安全信息与对应的所述代理服务器所配置的安全控制规则中预设的安全信息不一致的情况下,输出不合法、false或0。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210376619.3A CN102868703B (zh) | 2012-09-29 | 2012-09-29 | 一种安全控制系统与方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210376619.3A CN102868703B (zh) | 2012-09-29 | 2012-09-29 | 一种安全控制系统与方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102868703A CN102868703A (zh) | 2013-01-09 |
CN102868703B true CN102868703B (zh) | 2015-08-12 |
Family
ID=47447294
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210376619.3A Active CN102868703B (zh) | 2012-09-29 | 2012-09-29 | 一种安全控制系统与方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102868703B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107436728B (zh) * | 2016-05-26 | 2020-10-02 | 阿里巴巴集团控股有限公司 | 规则分析结果存储方法、规则回溯方法及装置 |
CN107332784B (zh) * | 2017-06-19 | 2020-12-18 | 上海高顿教育科技有限公司 | 一种用于服务器接口的安全防护系统 |
CN115743001B (zh) * | 2022-11-29 | 2024-05-28 | 重庆长安汽车股份有限公司 | 车辆控制方法、装置、电子设备、存储介质及程序产品 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101277304A (zh) * | 2008-03-21 | 2008-10-01 | 北京航空航天大学 | 基于规则的Web服务运行环境管理系统及管理方法 |
CN101883123A (zh) * | 2009-05-04 | 2010-11-10 | 华为技术有限公司 | 对电信设备安全状态验证的方法、设备和系统 |
CN102340398A (zh) * | 2010-07-27 | 2012-02-01 | 中国移动通信有限公司 | 安全策略设置、确定方法、应用程序执行操作方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102082771B (zh) * | 2009-11-30 | 2014-04-02 | 中国移动通信集团福建有限公司 | 一种基于esb技术的服务管理中间件 |
-
2012
- 2012-09-29 CN CN201210376619.3A patent/CN102868703B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101277304A (zh) * | 2008-03-21 | 2008-10-01 | 北京航空航天大学 | 基于规则的Web服务运行环境管理系统及管理方法 |
CN101883123A (zh) * | 2009-05-04 | 2010-11-10 | 华为技术有限公司 | 对电信设备安全状态验证的方法、设备和系统 |
CN102340398A (zh) * | 2010-07-27 | 2012-02-01 | 中国移动通信有限公司 | 安全策略设置、确定方法、应用程序执行操作方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102868703A (zh) | 2013-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9860234B2 (en) | Bundled authorization requests | |
US11153103B2 (en) | Systems, methods, and devices for multi-stage provisioning and multi-tenant operation for a security credential management system | |
US10084823B2 (en) | Configurable adaptive access manager callouts | |
CN107122674B (zh) | 一种应用于运维审计系统的oracle数据库的访问方法 | |
CN108023883B (zh) | 一种设备授权管理方法及装置 | |
WO2015042349A1 (en) | Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service | |
CN111177695A (zh) | 一种基于区块链的智能家居设备访问控制方法 | |
CN102868703B (zh) | 一种安全控制系统与方法 | |
CN101548263A (zh) | 模拟用户和/或拥有者的不透明管理数据选项的方法和系统 | |
US20170270131A1 (en) | Synchronization and management of heterogeneous host directories in a security environment | |
CN107888615B (zh) | 一种节点注册的安全认证方法 | |
CN108243164B (zh) | 一种电子政务云计算跨域访问控制方法和系统 | |
CN112600744A (zh) | 权限控制方法和装置、存储介质及电子装置 | |
US20080313700A1 (en) | Method to allow role based selective document access between domains | |
CN103905390A (zh) | 权限获取方法、装置、电子设备及系统 | |
CN107276965B (zh) | 服务发现组件的权限控制方法及装置 | |
Dogan et al. | Distributed ledger-based authentication and authorization for Industrie 4.0 components | |
Laccetti et al. | A PMI-aware extension for the SSH service |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20211206 Address after: 250014 No. 41-1 Qianfo Shandong Road, Lixia District, Jinan City, Shandong Province Patentee after: SHANDONG CIVIC SE COMMERCIAL MIDDLEWARE Co.,Ltd. Address before: 250014 No. 41-1 Qianfo Shandong Road, Lixia District, Jinan City, Shandong Province Patentee before: SHANDONG CVIC SOFTWARE ENGINEERING Co.,Ltd. Patentee before: Shandong Zhongchuang software commercial middleware Co., Ltd |