CN109074451B - 在分布式环境中保护内部服务 - Google Patents
在分布式环境中保护内部服务 Download PDFInfo
- Publication number
- CN109074451B CN109074451B CN201780021215.3A CN201780021215A CN109074451B CN 109074451 B CN109074451 B CN 109074451B CN 201780021215 A CN201780021215 A CN 201780021215A CN 109074451 B CN109074451 B CN 109074451B
- Authority
- CN
- China
- Prior art keywords
- service
- client
- identifier
- internal
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明题为“在分布式环境中保护内部服务”。本文公开了用于在分布式环境中保护内部服务的方法、系统和过程。由客户端的客户端进程发起的服务调用被拦截。在本示例中,服务调用是对由部署在目标装置中的服务器提供的内部服务的请求。客户端部署在源装置中。服务调用包括标识符,并且标识符标识内部服务。如果为标识符指定了一条或多条规则,则通过复用与客户端进程相关联的客户端信息以及服务调用中的信息来生成服务分组。服务分组被转发到目标装置。
Description
技术领域
本公开涉及数据保护系统,并且更具体地涉及在分布式环境中保护内部服务的系统、方法和过程。
背景技术
企业使用装置为客户提供商业服务。装置可以是具有集成软件(例如固件)的硬件设备,设计成提供一个或多个商业服务。装置也可以是虚拟装置。虚拟装置是预配置的虚拟机映像,可以通过在虚拟机上安装软件装置而创建。与通用计算机不同,这些装置的设计不允许用户更改软件(包括底层操作系统)。
装置还可以配置有硬件和/或软件,使其能够充当客户端和/或服务器。这些客户端和/或服务器的最终用户无需了解运行在装置上的底层操作系统的技术细节,因为硬件和/或软件是(例如,由制造商)预先配置的并且是不可修改的。这样,装置被设计成最终用户(例如,客户)的安全黑匣子。
集群是一组计算系统,它们经由网络(例如,互联网等)彼此通信地耦接。装置可以被部署为集群中的分立且单独的计算系统。例如,托管客户端的第一装置可以从集群中的由第二装置托管的服务器请求一个或多个内部服务。
由第一装置提供的一个或多个商业服务通常取决于由第二装置(例如,数据库服务器等)提供的这些一个或多个内部服务。这些内部服务对于集群中各种装置的运行至关重要,因此必须保护其免受恶意攻击和/或安全漏洞的影响。
发明内容
本文公开了用于在分布式环境中保护内部服务的方法、系统和过程。一种这样的方法涉及拦截由客户端的客户端进程发起的服务调用。在本示例中,服务调用是对服务器提供的内部服务的请求。客户端部署在源装置中,服务器则部署在目标装置中。服务调用包括标识符,并且该标识符标识内部服务。该方法确定是否为标识符指定了多条规则中的一条或多条规则。响应于确定指定了一条或多条规则,该方法通过复用与客户端进程相关联的客户端信息和服务调用中的信息来生成服务分组,并且将服务分组转发至目标装置。
在一个实施方案中,该方法访问源装置的源内核存储器并从源内核存储器检索客户端信息。客户端信息包括与客户端进程相关联的一个或多个客户端进程属性。在另一实施方案中,该方法拦截转发的服务分组并解复用服务分组以检索客户端信息。该方法然后使用客户端信息处理至少一条规则的一个或多个属性,并且如果处理指示允许转发服务调用,则将服务调用转发至服务器。客户端进程属性包括但不限于用户上下文、用户组上下文、客户端程序名称、父进程名称和/或终端类型。
在一个实施方案中,一条或多条规则中的每条规则包括一个或多个(唯一的)属性,并且一个或多个属性中的每个属性对应于客户端进程属性。在本示例中,一条或多条规则是规则集的一部分。规则集是源服务调用过滤器模块以及目标服务调用过滤器模块的一部分。源内核包括执行复用的复用模块,并且目标内核包括执行解复用的解复用模块。
在一些实施方案中,如果没有为标识符指定规则,则该方法将服务调用转发至服务器。处理包括确定至少一条规则的每个属性是否与对应的客户端进程属性相匹配。
在某些实施方案中,该方法访问规则集以确定由标识符标识的内部服务是未受到保护还是受到保护。在本示例中,如果规则集包括用于服务调用中指定的标识符的至少一条规则,则内部服务受到保护,并且如果规则集不包括用于服务调用中指定的标识符的规则,则内部服务未受到保护。
以上内容是概述,因此必然包含对细节的简化、概括和省略;因此本领域的技术人员将会理解,该概述仅是说明性的,并不意图进行任何限制。如由权利要求单独定义的,本公开的其他方面、特征和优点将在以下阐述的非限制性详细描述中变得显而易见。
附图说明
通过参考附图,可以更好地理解本公开,并且其多个目的和特征对于本领域的技术人员而言是显而易见的。
图1是根据本公开的一个实施方案的分布式计算环境的框图。
图2A是根据本公开的一个实施方案的源装置的框图。
图2B是根据本公开的一个实施方案的目标装置的框图。
图2C是根据本公开的一个实施方案的源内核的框图。
图2D是根据本公开的一个实施方案的为由标识符标识的内部服务指定的一条或多条规则的框图。
图2E是根据本公开的一个实施方案的复用器模块的框图。
图2F是根据本公开的一个实施方案的目标内核的框图。
图2G是根据本公开的一个实施方案的解复用器模块的框图。
图3是根据本公开的一个实施方案的经由网络通信地耦接的源装置和目标装置的框图。
图4是示出根据本公开的一个实施方案的用于将服务分组转发至服务器的过程的流程图。
图5是示出根据本公开的一个实施方案的使用客户端进程属性处理规则属性的过程的流程图。
图6是根据本公开的一个实施方案的计算系统的框图,示出了如何在软件中实现复用器模块。
图7是根据本公开的一个实施方案的联网系统的框图,示出了各种设备如何经由网络进行通信。
虽然本公开容许各种修改和替代形式,但是在附图和详细描述中作为示例提供了本公开的特定实施方案。应当理解,附图和详细描述并非旨在将本公开限制于所公开的特定形式。相反,其目的在于覆盖落入由所附权利要求书限定的本公开的实质和范围内的所有修改形式、等同物和替代物。
具体实施方式
介绍
装置是具有集成软件(例如,固件)的分立式硬件设备,专门设计用于提供特定计算资源(例如,访问一个或多个商业服务)。装置也可以是虚拟装置。虚拟装置被配置为提供与专用硬件装置类似的功能,但是虚拟设备被分发(例如,分发给客户),作为虚拟机管理程序中的软件虚拟机映像,或者用于支持虚拟机管理程序的设备。另外,客户可以通过集成软件(例如,操作系统(OS)软件)和计算设备的硬件来部署装置。
装置恰好具有硬件、操作系统和应用软件(例如,提供商业服务所需的应用软件)的一种组合。因此,客户可以在没有广泛的信息技术(IT)知识的情况下部署和管理装置。然而,一旦被部署,装置就不准许(并且其设计不允许)客户更改(或修改)软件(例如,OS软件)。因此,装置被设计成为客户提供安全的黑匣子。
企业使用装置为客户提供商业服务。配置为提供这些一个或多个商业服务(例如,网上银行、电子商务等)的软件(例如,装置中的应用软件和OS软件)需要一个或多个内部服务来进行操作。例如,装置可以被配置为托管服务器,该服务器提供内部服务,诸如网上银行服务的应用软件所需的数据库和/或web服务。
内部服务为仅向软件(例如,应用软件和/或OS软件)或装置的硬件提供的计算服务(例如,由web服务器提供的web服务、由数据库服务器、消息队列服务器提供的数据库服务等)。因此,由独立装置提供的内部服务通常不暴露于用户或其他计算设备(例如,外部客户端)(并且不能够由其访问)。
然而,如前所述,装置可以被部署在分布式计算环境(也被称为装置生态系统)中。例如,两个或更多个装置可以被部署在集群、云或任何多节点计算环境中,以便每个装置执行不同的计算任务并提供各种计算服务。在这样的分布式计算环境中,装置(例如,经由网络)彼此通信以向彼此提供计算服务。
在这样的装置生态系统中部署两个或更多个装置,将暴露为装置生态系统中的其他装置(例如,同一网络、云、集群等内的其他装置)提供内部服务的装置。因此,与独立设备不同,在多节点计算环境中,提供内部服务的装置也易于受到来自外部客户端(例如,来自在与提供内部服务的装置不同的装置上执行的客户端程序)的安全攻击。
例如,有权访问一个装置(同一网络中的任何装置/机器)的用户可以使用本地客户端程序(甚至开发自定义客户端程序)从该客户端程序向提供内部服务的另一装置发起连接请求(或服务调用):(1)发起暴力攻击(例如,以获取内部服务能够访问的敏感信息);(2)利用内部服务的安全漏洞(例如,通过使用反向shell命令获取root权限);(3)发起拒绝服务(DoS)攻击;以及/或者(4)发起一种或多种其他恶意攻击。
防火墙可用于保护分布式计算环境(也被称为装置生态系统)中的装置免受(例如,来自在网络、云、集群等的外部操作的计算系统和/或设备的)外部威胁和攻击。然而,防火墙无法阻止第一装置(或同一网络中的任何其他系统)访问和攻击在第二装置上运行的内部服务,其中第一装置和第二装置都是同一装置生态系统的一部分(例如,同一网络、云、集群等的一部分)。另外,由于客户和/或用户无法修改在装置上执行的软件,因此修改内部服务来保护装置生态系统中的外部客户端的内部服务是不可行的。
因此,如果请求内部服务的客户端和提供内部服务的服务器被部署在给定装置生态系统中的两个单独的装置上,则将加剧上述安全问题。在这种情况下,内部服务暴露于上面正在执行内部服务的装置外部的外部客户端(例如,经由网络暴露于其他节点)。虽然防火墙能够限定网络的边界(例如,限制网络中某些节点之间的网络通信),但防火墙无法阻止作为网络的一部分的一个节点(例如,经由客户端程序)访问和攻击在也是同一网络(或云、集群等)的一部分的另一个节点上运行的内部服务。
本文公开了通过仅准许来自某些客户端(例如,装置或装置生态系统运行所需的客户端程序和/或客户端进程,诸如web服务、内部脚本、维护和支持用户等)的内部服务的连接/服务请求(例如,连接调用、服务调用等)而不修改内部服务本身来保护分布式环境和/或装置生态系统中的内部服务的方法、系统和过程。
需注意,本专利申请涉及与本专利申请同日提交并且具有相同发明人和受让人的名称为“Securing Internal Services In An Appliance”的申请的主题,该专利申请的全文以引用方式并入本文,并用于所有目的。
装置生态系统的示例
图1是根据一个实施方案的装置生态系统的框图。该装置生态系统包括经由网络190通信地耦接到彼此的源装置105和目标装置150。源装置105和目标装置150可为多种不同计算设备中的任一种,所述多种不同计算设备包括服务器、个人计算设备、膝上型计算机、蜂窝电话等。
源装置105和目标装置150还可以在一个或多个虚拟机上执行或部署任何数量的各种不同的软件程序(例如,客户端程序、服务器程序等)。网络190可为任何类型的网络和/或互连(例如,互联网、广域网(WAN)等)。
源装置105包括源处理器110和源存储器115。源存储器115实现源操作系统(OS)(未示出)。源OS执行客户端120并且包括源内核135。客户端120是部署在源装置105上的软件程序。客户端120发起客户端进程125。客户端进程125请求使用服务调用130访问内部服务。源内核135包括源内核存储器140和源服务调用过滤器模块145。
目标装置150包括目标处理器155和目标存储器160。目标存储器160实现目标OS(未示出)。目标OS执行服务器180并且包括目标内核165。服务器180是被部署在目标装置150上的软件程序。服务器180向一个或多个装置(例如,向源装置105或网络190上的另一装置)提供内部服务185(1)-(N)。目标内核165包括客户端日志170和目标服务调用过滤器模块175。
图2A是根据一个实施方案的源装置的框图。源装置105执行客户端进程125。在一个实施方案中,服务调用130包括标识符220(1)。标识符220(1)标识内部服务。在本示例中,服务调用130是从客户端120到服务器180的连接请求,从服务器180请求一个或多个内部服务。源内核135是在源装置105上执行的源OS的一部分。源内核135管理来自软件的输入/输出(I/O)请求(例如,来自客户端120和/或服务器180的数据请求、数据回复等),并且将I/O请求转换为数据处理指令(例如,用于源装置105的中央处理单元(CPU)或其他计算部件)。源内核135包括源内核存储器140和源服务调用过滤器模块145。源内核存储器135存储客户端进程属性215(1)-(N)。源服务调用过滤器模块145包括规则集225。规则集225包括一条或多条规则以及对应于这些规则的标识符。
客户端进程属性215(1)-(N)是与客户端进程125相关联的属性(或详细信息)。在一个实施方案中,客户端进程属性215(1)-(N)包括但不限于:(1)客户端程序名称(例如,执行客户端进程125的客户端程序名称);(2)父进程名称(例如,执行客户端进程125的父进程);(3)与客户端进程125相关联的用户或用户组上下文;(4)客户端进程的终端类型(例如,执行客户端程序的终端类型);以及(5)各种其他客户端进程属性中的一个或多个。
源服务调用过滤器模块145也是源内核135的一部分,并且是内核部件。源服务调用过滤器模块145包括规则集225。规则集225包括一条或多条规则(例如,规则230(1))。由部署在目标装置150上的一个或多个服务器提供的每个内部服务对应于单个(且唯一的)标识符(例如,内部服务185(1)对应于标识符220(1))(并且由其标识)。每个标识符还标识在客户端120被提供对对应于该标识符的内部服务的访问之前客户端进程必须满足的一条或多条规则。
图2B是根据一个实施方案的目标装置的框图。目标装置150包括目标内核165并且部署服务器180(1)-(N)。服务器180(1)-(N)可各自向装置生态系统中的其他装置(例如,源装置105)提供一个或多个内部服务。目标内核165包括客户端日志170。客户端日志170存储客户端信息235。客户端信息235包括与客户端进程125相关联的一个或多个客户端进程属性(例如,客户端进程属性215(1)和215(2))。目标内核165还包括目标服务调用过滤器模块175。与源服务调用过滤器模块145类似,目标服务调用过滤器模块175还存储规则集225(或规则集225的副本)。
标识符220(1)对应于内部服务185(1)。因此,对内部服务185(1)的访问要求客户端进程满足或匹配规则230(1)或230(2)中指定的所有属性。在本示例中,标识符220(1)是端口标识符和/或端口号(例如,每个内部服务都具有唯一的端口号)。端口是OS中通信的端点。
在目标装置150中,端口标识符标识特定的内部服务。一旦被识别,端口标识符(例如,互联网套接字端口号)可用于(例如,在客户端120和服务器180之间)建立主机到主机连接性。在其他示例中,标识符220(1)可以是(例如,除了端口号和/或端口标识符之外)唯一地标识内部服务的任何类型的标识符。
在装置生态系统中拦截和处理服务调用的示例
在装置生态系统中,由客户端进程125发起服务调用130需要互联网协议(IP)地址,以及内部服务绑定到的端口号。例如,内部服务185(1)绑定到标识符220(1)。从客户端120到服务器180的客户端进程要求创建套接字调用。然后服务调用130可用于发起客户端进程。在本示例中,服务调用130经由源内核135和目标内核165到达在目标装置150上执行的内部服务(或提供此类内部服务的服务器)。内部服务接受服务调用130,并且如果内部服务所要求的某些条件得到满足,则准许访问内部服务提供的资源。
内部服务可能无法验证与客户端进程相关联的客户端进程属性(例如,谁发起了服务调用、服务调用来自哪里,等等)。因此,装置生态系统中的任何客户端进程都可能发起服务调用。因此,在一个实施方案中,服务调用130指定标识符220(1)(例如,与目标装置150提供的特定内部服务相对应、将其识别以及/或者与其相关的端口号,以及正在提供特定内部服务的服务器的IP地址)。
图2C是根据一个实施方案的源内核的框图。规则集225被加载到源内核135中,并且当源装置105启动时能够从源内核135访问。源内核135包括复用器模块240。源服务调用过滤器模块145为复用器模块240。复用器模块240可以与源服务调用过滤器模块145分开(并且另外地)实现。
在一个实施方案中,复用器模块240拦截由客户端进程125发起的服务调用130。在本示例中,服务调用130是对特定内部服务的请求。内部服务由在目标装置150中实现的服务器180提供。源内核135上的复用器模块240访问规则230(1)并确定客户端进程是否满足至少一条指定规则的每个(唯一的)属性。
图2D是根据一个实施方案的由标识符标识的为内部服务指定和/或定义的一条或多条规则的框图。规则230(1)指定了由发起服务130的客户端进程必须满足、实现和/或匹配的一个或多个属性(例如,属性255(1)和255(2))。由标识符220(1)标识的(或与其对应的)内部服务要求客户端进程满足规则230(1)的属性。如果客户端进程125的客户端进程属性满足、实现和/或匹配属性255(1)和255(2),则复用器模块240通过复用(插入)(例如,从内核存储器140检索的)客户端进程的客户端进程属性以及服务调用130中的信息(例如,端口标识符和可选地IP地址)来创建服务分组(例如,服务分组245)。复用器模块然后将服务分组245转发至目标装置150。
图2E是根据一个实施方案的复用器模块的框图。如前所述,如果在服务调用中指定的标识符标识在规则集225中指定和/或定义了一条或多条规则的内部服务,则复用器模块240复用由服务调用130发起的客户端进程的客户端进程属性(例如,客户端进程属性215(1)和215(2))以及服务调用130中的信息。复用客户端进程属性和服务调用涉及将客户端信息(例如,从源内核存储器检索的客户端进程属性)和服务调用中的信息组合成单个分组(例如,服务分组245)。在本示例中,服务分组245是通过网络190传输的网络分组。
图2F是根据一个实施方案的目标内核的框图。在某些实施方案中,作为服务分组245的一部分转发至目标装置150的服务调用130,在服务分组到达之前由目标内核165上实现的解复用器模块250拦截并且被内部服务接受。解复用器模块250将服务分组245解复用为服务调用信息(例如,包括端口号的标识符220(1)、IP地址,以及客户端在服务调用中提供的任何其他信息)和客户端信息(例如,与客户端进程相关联并由复用器模块240检索的客户端进程属性)。解复用器模块250然后访问规则集225中的规则230(1),并且确定作为服务分组245的一部分的对应客户端进程属性是否满足、实现和/或匹配规则230(1)的每个属性。
图2G是根据一个实施方案的解复用器模块的框图。解复用器模块250确定服务分组中的客户端进程属性是否与客户端120(例如,与服务器180在同一装置生态系统中的客户端)发起的客户端进程相关联。如果解复用器模块250在规则230(1)的属性和(作为服务分组中客户端信息的一部分收到的)对应客户端进程属性之间找到匹配,则解复用器模块250确定服务调用130由装置生态系统中的合法客户端进程发起。
解复用器模块250然后从服务分组中移除(提取)客户端信息,并且仅利用服务调用130中指定的信息将服务分组转发至目标装置。解复用器模块250将客户端信息保存在客户端日志170上(例如,用于审核目的)。然而,如果服务调用130请求在规则集中指定和/或定义了一条或多条规则的内部服务,并且没有客户端信息(例如,一个或多个客户端进程属性,该一个或多个客户端进程属性与为服务调用中的标识符所标识的内部服务指定和/或定义的一条或多条规则的每个属性相匹配)是(从复用器模块接收的)服务分组的一部分,则解复用器模块250拒绝服务调用130并向客户端120发送错误通知。
图3是根据一个实施方案的源装置和目标装置的框图。在一个实施方案中,并且如图3所示,客户端进程(例如,客户端进程125)在内部服务的IP地址处(例如,在标识符220(1)中指定的服务器180(1)的IP地址)调用connect()(例如,使用连接调用315)。客户端120经由源内核向内部服务发送服务调用130。复用器模块在服务调用被转发至目标装置之前读取服务调用。
在一些实施方案中,复用器模块(或源服务调用过滤器模块)从服务调用中指定的标识符检索内部服务的端口号(和服务器/IP地址)。复用器模块然后访问规则集以确定规则集是否为端口号指定和/或定义了一条或多条规则(例如,指示对应于端口号的内部服务是受到保护的内部服务)。如果没有为端口号指定和/或定义规则,复用器模块将服务调用转发至目标装置(例如,原样)。
但是,如果规则集确实为标识符中标识的端口号指定了至少一条规则,则复用器模块访问(例如,源装置的)源内核存储器,并且从源内核存储器(例如,用户上下文、客户端程序名称、父进程等)检索一个或多个客户端进程属性(例如,客户端(进程)详细信息/信息)。复用器模块(或源服务调用过滤器模块)复用与客户端进程相关联并且从源内核存储器中检索的一个或多个客户端进程属性以及在服务调用(例如,标识符)中指定的信息,并且生成服务分组。复用器模块然后通过网络将复用服务分组转发至目标装置。
一旦被转发,解复用器模块(或目标服务调用过滤器模块)在服务分组到达内部服务(或服务器)之前接收服务分组。解复用器确定服务调用是否是对规则集中指定和/或定义了至少一条规则的内部服务的请求。如果没有为服务调用所标识的内部服务指定规则,则解复用器模块只是让服务调用继续到内部服务(或服务器)(例如,因为内部服务是未受到保护的内部服务)。
然而,如果在规则集中为服务调用中标识的内部服务指定了至少一条规则,则解复用器模块确定服务分组是否包括客户端信息(例如,适用于发起服务调用的客户端进程的一个或多个客户端进程属性)。如果服务分组中没有客户端信息,则解复用器模块拒绝服务调用并向客户端发送拒绝通知。
然而,如果服务分组包括客户端信息(例如,一个或多个客户端进程属性),则解复用器模块将服务分组解复用以获得客户端进程属性。然后,解复用器模块将至少一条规则的每个属性与对应的客户端进程属性进行比较。
如果为内部服务指定和/或定义的至少一条规则的每个属性与对应的客户端进程属性相匹配,则解复用器模块从服务分组中移除客户端信息(例如,客户端进程详细信息和/或客户端进程属性),然后将服务调用(作为服务分组的一部分)转发至服务器。如果未找到匹配,则解复用器模块拒绝服务调用。
在分布式环境中保护内部服务的示例性过程
图4是示出根据一个实施方案的用于将服务分组转发至服务器的过程的流程图。该过程在410处开始,拦截来自客户端的服务调用。在420处,该过程确定在服务调用中指定的标识符是否与受到保护的内部服务相关联(例如,是否为对应于标识符的内部服务在规则集中指定和/或定义了至少一条规则)。如果内部服务未受到保护(例如,未指定规则),则该过程在430处结束,将服务调用转发至服务器。然而,如果内部服务受到保护,则在440处,该过程可访问源内核存储器,并且在450处检索客户端进程属性。
在460处,该过程将客户端进程属性(例如,客户端信息)和服务调用(例如,端口标识符和系统地址和/或IP地址)中的信息复用,并且在470处生成服务分组。在本示例中,服务分组是对由服务调用发送并且包括标识符(例如,服务调用信息)的网络分组的更新。网络分组通过包括与客户端进程相关联的客户端信息(例如,用户上下文、客户端程序名称、父进程名称、终端类型等)来更新,以生成服务分组。该过程在480处结束,将服务分组转发至目标装置。
图5是示出根据一个实施方案的使用客户端进程属性处理规则属性的过程的流程图。该过程首先510拦截从源装置(转发)(到目标装置)的服务分组。在520处,该过程确定服务调用是否用于某内部服务,针对该内部服务在规则集中定义和/或指定了至少一条规则。如果未指定规则,则过程通过将服务调用(或服务分组)转发到服务器结束于580。
然而,如果为该内部服务指定了至少一条规则,则该过程在530处确定该服务分组是否包括客户端信息(例如,一个或多个客户端进程属性)。如果服务分组不包括客户端进程属性,则该过程通过拒绝服务调用结束于540。但是,如果服务分组包括客户端进程属性,则该过程在550处将服务分组解复用。
在560处,该过程确定为该内部服务指定和/或定义的至少一条规则的每个属性是否匹配对应的(包括在服务分组并作为其一部分的客户端进程属性中的)客户端进程属性。如果每条规则的每个属性都不与相应的客户端进程属性匹配,则该过程通过拒绝服务调用结束于540。然而,如果至少一条规则的每个属性与对应的客户端进程属性匹配,则该过程在570处从(接收的)服务分组移除客户端信息(例如,客户端进程属性),并且通过将服务调用转发到服务器结束于580。
其他实施方案
需注意,客户端信息(例如,客户机信息235)由目标服务调用过滤器模块(或解复用器模块)通过拦截由源服务调用过滤器模块(或复用器模块)转发的复用分组(例如,服务分组)来接收。复用分组(例如,服务分组)包含客户端信息。目标内核中不存在客户端信息。复用器模块拦截connect()系统调用(例如,连接调用315),解复用器模块拦截accept()系统调用(例如,接受调用350)。
同一网络中的另一个(非装置)系统上的客户端也可以尝试发起对装置上的内部服务的服务调用。在这种情况下,解复用器模块将不会接收客户端属性,因为源系统上没有复用器。因此,解复用器模块将拒绝针对受到保护的内部服务的服务调用。
示例性计算环境
图6为计算系统的框图,其示出了在一个实施方案中可如何在软件中实现源服务调用过滤器模块(复用器模块)和/或目标服务调用过滤器模块(解复用器模块)。计算系统600表示能够执行计算机可读指令的任何单处理器或多处理器计算设备/系统,并且可包括但不限于包括工作站、个人计算机、膝上型计算机、客户端侧终端、服务器、分布式计算系统、手持设备、网络装置、存储控制器等的设备。计算系统600可包括处理器110/155和存储器115/160。通过执行实现源装置105和/或目标装置150的软件,计算系统600成为被配置为保护分布式(多装置)环境中的内部服务的计算设备。
处理器110/155通常表示能够处理数据或解译和执行指令的任何类型或形式的处理单元。处理器110/155可接收来自软件应用程序或模块的指令。这些指令可使处理器110/155执行本文描述和/或示出的实施方案中的一个或多个实施方案的功能。例如,处理器110/155可执行本文所述和/或所示的操作、方法或过程中的全部或一些和/或可以是用于执行本文所述和/或所示的操作、方法或过程中的全部或一些的装置。
存储器115/160通常表示能够存储数据和/或其它计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。示例包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器等。计算系统600可包括易失性存储器单元和非易失性存储设备两者。可将实现复用器模块和/或解复用器模块的程序指令分别加载到存储器115/160中。
在某些实施方案中,除处理器110/155和存储器115/160之外,计算系统600还可包括一个或多个部件或元件。例如,如图6所示,计算系统600可包括存储器控制器620、输入/输出(I/O)控制器635和通信接口650,它们中的每一者都可经由通信基础设施605互连。通信基础设施605通常表示能够促进计算设备的一个或多个组件之间的通信的任何类型或形式的基础设施。通信基础设施605的示例包括但不限于通信总线(例如,工业标准架构(ISA)、外围组件互连(PCI)、PCI Express(PCIe)或类似的总线)和网络。
存储器控制器620通常表示能够处理存储器或数据或者控制计算系统600的一个或多个组件之间的通信的任何类型或形式的设备。例如,在某些实施方案中,存储器控制器620可经由通信基础设施605控制处理器110/155、存储器115/160和I/O控制器635之间的通信。在某些实施方案中,存储器控制器620可单独或结合其它元件来执行本文描述和/或示出的操作或特征中的一个或多个和/或可以是用于单独或与其它元件组合来执行本文描述和/或示出的操作或特征中的一个或多个的装置。
I/O控制器635通常表示能够协调和/或控制计算设备的输入功能和输出功能的任何类型或形式的模块。例如,I/O控制器635可以控制或促进计算系统600的一个或多个元件之间的数据传送,所述元件诸如处理器110/155、存储器115/160、通信接口650、显示适配器615、输入接口625和存储接口640。
通信接口650在广义上表示能够促进计算系统600与一个或多个附加设备之间的通信的任何类型或形式的通信设备或适配器。例如,在某些实施方案中,通信接口650可以促进主装置和辅助装置与包括附加计算系统的私有或公共网络之间的通信。通信接口650的示例包括但不限于有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器以及任何其它合适的接口。在至少一个实施方案中,通信接口650可以经由到网络(诸如互联网)的直接链路来提供到远程服务器的直接连接。通信接口650还可以通过例如局域网(诸如以太网网络)、个人区域网、电话或电缆网络、蜂窝电话连接、卫星数据连接或任何其它合适的连接来间接提供此类连接。
在一些实施方案中,通信接口650还可表示主机适配器,该主机适配器被配置为经由外部总线或通信信道来促进计算系统600与一个或多个附加网络或存储设备之间的通信。主机适配器的示例包括但不限于:小型计算机系统接口(SCSI)主机适配器、通用串行总线(USB)主机适配器、电气与电子工程师协会(IEEE)1394主机适配器、串行高级技术附件(SATA)、串行SCSI(SAS)和外部SATA(eSATA)主机适配器、高级技术附件(ATA)和并行ATA(PATA)主机适配器、光纤信道接口适配器、以太网适配器等。通信接口650也可允许计算系统600参与分布式或远程计算。通信接口650可接收来自远程设备的指令或将指令发送到远程设备以供执行。
计算系统600还可包括至少一个显示设备610,该显示设备经由显示适配器615耦接到通信基础结构605。显示设备610通常表示能够可视地显示由显示适配器615转发的信息的任何类型或形式的设备。类似地,显示适配器615通常表示被配置为转发来自通信基础设施605(或来自帧缓冲器,如本领域所已知)的图形、文本和其他数据以在显示设备610上显示的任何类型或形式的设备。
计算系统600还可包括经由输入接口625联接到通信基础结构605的至少一个输入设备630。输入设备630通常表示能够向计算系统600提供由计算机或人生成的输入的任何类型或形式的输入设备。输入设备630的示例包括但不限于键盘、指向设备、语音识别设备或任何其他输入设备。
计算系统600还可包括经由存储接口640耦接到通信基础结构605的存储设备645。存储设备645通常表示能够存储数据和/或其它计算机可读指令的任何类型或形式的存储设备或介质。例如,存储设备645可包括磁盘驱动器(例如,所谓的硬盘驱动器)、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等。存储接口640通常表示用于在存储设备645与计算系统600的其它部件之间传送和/或传输数据的任何类型或形式的接口或设备。在某些实施方案中,存储设备645可被配置为对被配置为存储计算机软件、数据或其它计算机可读信息的可移除存储单元执行读取和/或写入。可移除存储单元的示例包括但不限于软盘、磁带、光盘、闪存存储器设备等。存储设备645还可包括用于允许将计算机软件、数据或其它计算机可读指令加载到计算系统600中的其它类似结构或设备(例如,以读取和写入软件、数据或其它计算机可读信息)。存储设备645还可以是计算系统600的一部分,或者可以是通过其它接口系统访问的独立设备。
可以将许多其它设备或子系统连接到计算系统600。相反地,图6所示的组件和设备不必都存在以实践本文所述和/或示出的实施方案。上文提及的设备和子系统也可以按照与图6所示不同的方式互连。计算系统600也可采用任何数量的软件配置、固件配置和/或硬件配置。例如,本文公开的实施方案中的一个或多个实施方案可被编码为计算机可读存储介质上的计算机程序(也被称为计算机软件、软件应用程序、计算机可读指令或计算机控制逻辑)。计算机可读存储介质的示例包括磁存储介质(例如,硬盘驱动器和软盘)、光学存储介质(例如,CD-ROM或DVD-ROM)、电子存储介质(例如,固态驱动器和闪存介质)等。此类计算机程序也可被传输至计算系统600,以经由网络诸如互联网存储在存储器中或存储在载体介质上。
可以将包含计算机程序的计算机可读介质加载到计算系统600中。然后,可将存储在计算机可读介质上的计算机程序的全部或一部分存储在存储器115/160和/或存储设备645中。当由处理器110/155执行时,加载到计算系统600中的计算机程序可使处理器110/155执行本文描述和/或示出的实施方案中的一个或多个实施方案的功能和/或可使该处理器为用于执行本文描述和/或示出的实施方案中的一个或多个实施方案的功能的装置。可在固件和/或硬件中实现本文描述和/或示出的实施方案中的一个或多个实施方案。例如,计算系统600可被配置为适于实现本文公开的实施方案中的一个或多个实施方案的专用集成电路(ASIC)。
示例性联网环境
图7是根据一个实施方案的联网系统的框图,示出了各种计算设备如何经由网络进行通信。在某些实施方案中,附网存储(NAS)设备可被配置为使用各种协议诸如网络文件系统(NFS)、服务器消息块(SMB)或通用互联网文件系统(CIFS)来与源装置105和/或目标装置150进行通信。
网络190通常表示能够促进多个计算设备之间的通信的任何类型或形式的计算机网络或体系结构。网络190可促进源装置105与目标装置150之间的通信。在某些实施方案中,通信接口诸如图6中的通信接口650可用于提供源装置105和/或目标装置150与网络190之间的连通性。应当注意,本文描述和/或示出的实施方案并非限于互联网或任何特定的基于网络的环境。例如,网络190可以是存储区域网络(SAN)。在至少一个实施方案中,本文所公开的一个或多个实施方案中的全部或一部分可被编码为计算机程序并且加载到源装置105和/或目标装置150或它们的任何组合上并加以执行。另外,本文所公开的一个或多个实施方案中的全部或一部分还可被编码为计算机程序、存储在源装置105和/或目标装置150中并且分布在网络190上。
在一些示例中,图1、图2A、图2B、图2C、图2D、图2E、图2F、图2G和图3中计算设备的全部或一部分可表示云计算或基于网络的环境的一部分。云计算环境可经由互联网提供各种服务和应用程序。这些基于云的服务(例如,软件即服务、平台即服务、基础设施即服务等)可通过网页浏览器或其它远程接口访问。本文所述的各种功能可通过远程桌面环境或任何其它基于云的计算环境提供。
此外,本文所述的部件中的一个或多个部件可将数据、物理设备和/或物理设备的表示从一种形式转换为另一种形式。例如,源装置105和/或目标装置150可改变计算设备、集群和/或服务器的行为,以便使计算设备、集群和/或服务器保护分布式(例如,多装置)环境中的内部服务。
尽管已结合若干实施方案描述了本公开,但是本公开并非旨在限于本文阐述的具体形式。相反地,本公开旨在覆盖可被合理地包括在由所附权利要求书限定的本公开的范围内的此类替代物、修改形式和等同物。
Claims (14)
1.一种用于保护内部服务的方法,包括:
拦截由客户端的客户端进程发起的服务调用,其中
所述客户端部署在源装置中,
所述服务调用是对调配由部署在目标装置中的服务器进行的所述内部服务的请求,
所述服务调用包括标识符,并且
所述标识符标识所述内部服务;
确定是否为所述标识符指定了多条规则中的一条或多条规则;
响应于确定为所述标识符指定了所述一条或多条规则,
从源内核存储器检索客户端信息,其中所述客户端信息包括与所述客户端进程相关联的多个客户端进程属性中的一个或多个客户端进程属性,
通过复用所述客户端信息和所述服务调用中指定的信息来生成服务分组,以及
将所述服务分组转发到所述目标装置;
拦截转发到所述目标装置的所述服务分组;
解复用所述服务分组以检索所述客户端信息;
使用所述客户端信息处理至少一条规则的一个或多个属性;以及
如果所述处理指示允许转发所述服务调用,则将所述服务调用转发到所述服务器。
2.根据权利要求1所述的方法,还包括:
访问所述源装置的源内核存储器。
3.根据权利要求2所述的方法,其中
所述多个客户端进程属性包括用户上下文、用户组上下文、客户端程序名称、父进程名称或终端类型。
4.根据权利要求3所述的方法,其中
所述一条或多条规则中的每条规则包括一个或多个属性,并且
所述一个或多个属性中的每个属性对应于所述多个客户端进程属性中的一个客户端进程属性。
5.根据权利要求3所述的方法,还包括:
如果没有为所述标识符指定任何规则,则将所述服务调用转发到所述服务器。
6.根据权利要求3所述的方法,其中
所述处理包括:
确定至少一条规则的每个属性是否匹配对应的客户端进程属性。
7.根据权利要求6所述的方法,其中
所述一条或多条规则是规则集的一部分,
所述规则集是以下两者的一部分:
源服务调用过滤器模块,和
目标服务调用过滤器模块,
所述源内核存储器被包括在源内核中,
所述源内核还包括执行所述复用的复用模块,并且
目标内核包括执行所述解复用的解复用模块。
8.根据权利要求7所述的方法,还包括:
访问所述规则集以确定由所述标识符标识的所述内部服务是未受到保护还是受到保护。
9.根据权利要求8所述的方法,其中
如果所述规则集包括用于所述服务调用中指定的所述标识符的所述多条规则中的至少一条规则,则所述内部服务受到保护,并且
如果所述规则集不包括用于所述服务调用中指定的所述标识符的所述多条规则中的至少一条规则,则所述内部服务未受到保护。
10.一种用于保护内部服务的非暂态计算机可读存储介质,包括程序指令,所述程序指令可由一个或多个处理器执行以实行根据权利要求1-9中任一个所述的方法。
11.一种用于保护内部服务的系统,包括:
一个或多个处理器;和
存储器,所述存储器耦接到所述一个或多个处理器,其中所述存储器存储程序指令,所述程序指令能够由所述一个或多个处理器执行以
拦截由客户端的客户端进程发起的服务调用,其中
所述客户端部署在源装置中,
所述服务调用是对调配由部署在目标装置中的服务器进行的所述内部服务的请求,
所述服务调用包括标识符,并且
所述标识符标识所述内部服务,
确定是否为所述标识符指定了多条规则中的一条或多条规则,
响应于确定为所述标识符指定了所述一条或多条规则,
从源内核存储器检索客户端信息,其中所述客户端信息包括与所述客户端进程相关联的多个客户端进程属性中的一个或多个客户端进程属性,
通过复用所述客户端信息和所述服务调用中指定的信息来生成服务分组,以及
将所述服务分组转发到所述目标装置;
拦截转发到所述目标装置的所述服务分组;
解复用所述服务分组以检索所述客户端信息;
使用所述客户端信息处理至少一条规则的一个或多个属性;以及
如果所述处理指示允许所述服务调用的转发,则将所述服务调用转发到所述服务器。
12.根据权利要求11所述的系统,其中所述程序指令还能够由所述一个或多个处理器执行以:
访问所述源装置的源内核存储器,其中
所述多个客户端进程属性包括用户上下文、用户组上下文、客户端程序名称、父进程名称或终端类型。
13.根据权利要求12所述的系统,其中
所述一条或多条规则中的每条规则包括一个或多个属性,并且
所述一个或多个属性中的每个属性对应于所述多个客户端进程属性中的一个客户端进程属性。
14.根据权利要求13所述的系统,其中
所述程序指令还能够由所述一个或多个处理器执行以:
确定至少一条规则的每个属性是否匹配对应的客户端进程属性。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/010,487 US9912783B2 (en) | 2016-01-29 | 2016-01-29 | Securing internal services in a distributed environment |
| US15/010487 | 2016-01-29 | ||
| PCT/US2017/015233 WO2017132442A1 (en) | 2016-01-29 | 2017-01-27 | Securing internal services in a distributed environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109074451A CN109074451A (zh) | 2018-12-21 |
| CN109074451B true CN109074451B (zh) | 2022-12-09 |
Family
ID=58267158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780021215.3A Active CN109074451B (zh) | 2016-01-29 | 2017-01-27 | 在分布式环境中保护内部服务 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US9912783B2 (zh) |
| EP (1) | EP3408781B1 (zh) |
| CN (1) | CN109074451B (zh) |
| WO (1) | WO2017132442A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9912783B2 (en) * | 2016-01-29 | 2018-03-06 | Veritas Technologies Llc | Securing internal services in a distributed environment |
| CN112333257B (zh) * | 2020-10-28 | 2023-12-05 | 厦门美亚亿安信息科技有限公司 | 一种用于远程文件的透明访问方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101395602A (zh) * | 2005-12-29 | 2009-03-25 | 亚马逊科技公司 | 用于分布式文件存储和索引服务的方法和装置 |
| CN101969399A (zh) * | 2010-09-30 | 2011-02-09 | 北京神州泰岳软件股份有限公司 | 客户端调用服务的路由方法及系统 |
| EP2911084A2 (en) * | 2014-02-21 | 2015-08-26 | Samsung Electronics Co., Ltd | Service authorization methods and apparatuses |
Family Cites Families (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6519636B2 (en) * | 1998-10-28 | 2003-02-11 | International Business Machines Corporation | Efficient classification, manipulation, and control of network transmissions by associating network flows with rule based functions |
| EP1186144B1 (en) * | 1999-06-08 | 2013-10-23 | The Trustees of Columbia University in the City of New York | Network telephony appliance and system for inter/intranet telephony |
| US7305465B2 (en) * | 2000-11-15 | 2007-12-04 | Robert Wing | Collecting appliance problem information over network and providing remote technical support to deliver appliance fix information to an end user |
| US7116977B1 (en) * | 2000-12-19 | 2006-10-03 | Bellsouth Intellectual Property Corporation | System and method for using location information to execute an action |
| EP1326393B1 (en) * | 2001-12-18 | 2004-08-11 | Stonesoft Corporation | Validation of the configuration of a Firewall |
| US6687486B2 (en) * | 2002-01-31 | 2004-02-03 | General Instrument Corporation | Method and apparatus to configure, provision and control a set-top terminal |
| US7370075B2 (en) * | 2002-04-25 | 2008-05-06 | Digital Evolution | Method and apparatus for managing web services within a computer network system |
| DE60332735D1 (de) * | 2002-07-11 | 2010-07-08 | Thomson Licensing | Überprüfung des herunterladens von einem regelsatz für eine übergangseinrichtung sowie feuerschutzwand auf anwendungsebene |
| US20040019661A1 (en) * | 2002-07-26 | 2004-01-29 | Eleftheriou Andreas E. | Method and apparatus for retrying and redirecting network requests |
| KR100514144B1 (ko) * | 2002-10-29 | 2005-09-08 | 엘지전자 주식회사 | 이동통신 시스템에서의 음성 및 패킷 데이터 동시 서비스방법 |
| US7171452B1 (en) * | 2002-10-31 | 2007-01-30 | Network Appliance, Inc. | System and method for monitoring cluster partner boot status over a cluster interconnect |
| US20040086094A1 (en) * | 2002-11-06 | 2004-05-06 | Bosik Barry S. | Method of providing personal event notification during call setup |
| US7069307B1 (en) * | 2002-12-20 | 2006-06-27 | Network Appliance, Inc. | System and method for inband management of a virtual disk |
| US8136155B2 (en) | 2003-04-01 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology for interprocess communication control |
| KR20050022556A (ko) * | 2003-08-20 | 2005-03-08 | 삼성전자주식회사 | 고신뢰 복호화 장치 및 방법 |
| JP3842768B2 (ja) * | 2003-08-26 | 2006-11-08 | 株式会社東芝 | サービス検索装置およびサービス検索方法 |
| US7203696B2 (en) * | 2003-08-29 | 2007-04-10 | Microsoft Corporation | Dynamic registry partitioning |
| US7529836B1 (en) * | 2004-01-08 | 2009-05-05 | Network Appliance, Inc. | Technique for throttling data access requests |
| US20050182966A1 (en) | 2004-02-17 | 2005-08-18 | Duc Pham | Secure interprocess communications binding system and methods |
| US10417298B2 (en) * | 2004-12-02 | 2019-09-17 | Insignio Technologies, Inc. | Personalized content processing and delivery system and media |
| US20060031913A1 (en) * | 2004-07-30 | 2006-02-09 | Pulitzer J H | Activating a display on an AW telecommunication device by scanning a machine-readable code |
| US8180855B2 (en) * | 2005-01-27 | 2012-05-15 | Netapp, Inc. | Coordinated shared storage architecture |
| US8073899B2 (en) * | 2005-04-29 | 2011-12-06 | Netapp, Inc. | System and method for proxying data access commands in a storage system cluster |
| US7587724B2 (en) | 2005-07-13 | 2009-09-08 | Symantec Corporation | Kernel validation layer |
| US7831034B2 (en) * | 2006-07-20 | 2010-11-09 | Microsoft Corporation | Management of telephone call routing using a directory services schema |
| US8332866B2 (en) | 2006-11-29 | 2012-12-11 | Qualcomm Incorporated | Methods, systems, and apparatus for object invocation across protection domain boundaries |
| US20080147880A1 (en) * | 2006-12-14 | 2008-06-19 | Morris Robert P | Methods And Systems For Routing A Message Over A Network |
| US20160277261A9 (en) * | 2006-12-29 | 2016-09-22 | Prodea Systems, Inc. | Multi-services application gateway and system employing the same |
| WO2008085206A2 (en) * | 2006-12-29 | 2008-07-17 | Prodea Systems, Inc. | Subscription management of applications and services provided through user premises gateway devices |
| US9569587B2 (en) * | 2006-12-29 | 2017-02-14 | Kip Prod Pi Lp | Multi-services application gateway and system employing the same |
| JP4907603B2 (ja) | 2007-06-27 | 2012-04-04 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | アクセス制御システムおよびアクセス制御方法 |
| US8364819B2 (en) * | 2010-05-28 | 2013-01-29 | Red Hat, Inc. | Systems and methods for cross-vendor mapping service in cloud networks |
| US8793274B2 (en) * | 2011-08-08 | 2014-07-29 | Lei Yu | System and method for auto content recognition |
| US9928107B1 (en) * | 2012-03-30 | 2018-03-27 | Amazon Technologies, Inc. | Fast IP migration in a hybrid network environment |
| US10169571B1 (en) | 2012-07-18 | 2019-01-01 | Sequitur Labs, Inc. | System and method for secure, policy-based access control for mobile computing devices |
| US9043814B1 (en) * | 2013-06-20 | 2015-05-26 | Emc Corporation | Dispatcher framework to provide inter-application communication |
| US9258742B1 (en) * | 2013-09-30 | 2016-02-09 | Juniper Networks, Inc. | Policy-directed value-added services chaining |
| US9118654B2 (en) * | 2013-10-11 | 2015-08-25 | Edifire LLC | Methods and systems for compliance monitoring in secure media-based conferencing |
| US8970659B1 (en) * | 2013-10-11 | 2015-03-03 | Edifire LLC | Methods and systems for secure media-based conferencing |
| US9118809B2 (en) * | 2013-10-11 | 2015-08-25 | Edifire LLC | Methods and systems for multi-factor authentication in secure media-based conferencing |
| US9426176B2 (en) * | 2014-03-21 | 2016-08-23 | Cisco Technology, Inc. | Method, system, and logic for in-band exchange of meta-information |
| US9912546B2 (en) * | 2014-03-28 | 2018-03-06 | Sciencelogic, Inc. | Component detection and management using relationships |
| US9516167B2 (en) * | 2014-07-24 | 2016-12-06 | Genesys Telecommunications Laboratories, Inc. | Media channel management apparatus for network communications sessions |
| US10339303B2 (en) | 2015-01-22 | 2019-07-02 | Mcafee, Llc | Detection of malicious invocation of application program interface calls |
| US10708987B2 (en) * | 2015-04-10 | 2020-07-07 | At&T Intellectual Property I, L.P. | Cooking apparatus for targeted thermal management |
| US9912783B2 (en) * | 2016-01-29 | 2018-03-06 | Veritas Technologies Llc | Securing internal services in a distributed environment |
| US20170223056A1 (en) | 2016-01-29 | 2017-08-03 | Symantec Corporation | Securing internal services in an appliance |
-
2016
- 2016-01-29 US US15/010,487 patent/US9912783B2/en active Active
-
2017
- 2017-01-27 EP EP17710627.5A patent/EP3408781B1/en active Active
- 2017-01-27 CN CN201780021215.3A patent/CN109074451B/zh active Active
- 2017-01-27 WO PCT/US2017/015233 patent/WO2017132442A1/en active Application Filing
-
2018
- 2018-03-05 US US15/911,519 patent/US10425504B1/en active Active
-
2019
- 2019-09-20 US US16/577,346 patent/US10958767B1/en active Active
-
2021
- 2021-03-22 US US17/208,254 patent/US20210274021A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101395602A (zh) * | 2005-12-29 | 2009-03-25 | 亚马逊科技公司 | 用于分布式文件存储和索引服务的方法和装置 |
| CN101969399A (zh) * | 2010-09-30 | 2011-02-09 | 北京神州泰岳软件股份有限公司 | 客户端调用服务的路由方法及系统 |
| EP2911084A2 (en) * | 2014-02-21 | 2015-08-26 | Samsung Electronics Co., Ltd | Service authorization methods and apparatuses |
Non-Patent Citations (2)
| Title |
|---|
| Virtual services - A new abstraction for server consolidation;Reumann, J 等;《 2000 USENIX Annual Technical Conference 》;20000623;第117-130页 * |
| 网格服务应用模型的关键技术研究;于明远;《中国博士学位论文全文数据库》;20091130(第11期);I139-2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170223142A1 (en) | 2017-08-03 |
| EP3408781A1 (en) | 2018-12-05 |
| CN109074451A (zh) | 2018-12-21 |
| US9912783B2 (en) | 2018-03-06 |
| US10425504B1 (en) | 2019-09-24 |
| WO2017132442A1 (en) | 2017-08-03 |
| EP3408781B1 (en) | 2021-12-29 |
| US20210274021A1 (en) | 2021-09-02 |
| US10958767B1 (en) | 2021-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11210139B2 (en) | Remote management of distributed datacenters | |
| CN110168504B (zh) | 虚拟环境中服务的分发和管理 | |
| US10009381B2 (en) | System and method for threat-driven security policy controls | |
| US11122129B2 (en) | Virtual network function migration | |
| US11218445B2 (en) | System and method for implementing a web application firewall as a customized service | |
| US9294442B1 (en) | System and method for threat-driven security policy controls | |
| AU2015374078B2 (en) | Systems and methods for automatically applying firewall policies within data center applications | |
| US10320940B1 (en) | Managing generic data | |
| CN110035079B (zh) | 一种蜜罐生成方法、装置及设备 | |
| US10360402B2 (en) | Intercepting sensitive data using hashed candidates | |
| US20160283259A1 (en) | Management of agentless virtual machines via security virtual appliance | |
| CN111742533B (zh) | 具有访问检查点的网关 | |
| US20130111542A1 (en) | Security policy tokenization | |
| US10277625B1 (en) | Systems and methods for securing computing systems on private networks | |
| US20210274021A1 (en) | Securing internal services in a distributed environment | |
| US11599675B2 (en) | Detecting data leakage to websites accessed using a remote browsing infrastructure | |
| US10262131B2 (en) | Systems and methods for obtaining information about security threats on endpoint devices | |
| US20210377312A1 (en) | System for tuning a device having security software for security and performance | |
| CN111083166A (zh) | 云数据库设置白名单的方法、装置及计算机存储介质 | |
| US11005867B1 (en) | Systems and methods for tuning application network behavior | |
| US10437994B1 (en) | Systems and methods for determining the reputations of unknown files | |
| CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
| US10447720B1 (en) | Systems and methods for performing application container introspection | |
| US20170223056A1 (en) | Securing internal services in an appliance | |
| US20240061960A1 (en) | Remote management over security layer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |