一種安全控制系統(tǒng)與方法

文檔序號：7862327閱讀：203來源：國知局

專利名稱：一種安全控制系統(tǒng)與方法
技術領域：
本發(fā)明涉及應用集成中間件技術架構(gòu)領域，更具體的說，涉及一種安全控制系統(tǒng)與方法。
背景技術：
隨著現(xiàn)代社會企業(yè)業(yè)務范圍的不斷擴大以及不同組織、企業(yè)間的交互需求的增加，對分布式計算體系結(jié)構(gòu)提出了更高的要求，即實現(xiàn)異構(gòu)系統(tǒng)之間的交互和集成。ESB(Enterprise Service Bus,企業(yè)服務總線)提供了網(wǎng)絡中最基本的連接中樞,實現(xiàn)了異構(gòu)系統(tǒng)之間的交互和集成，同時它還可以消除不同應用之間的技術差異，讓不同的應用服務協(xié)調(diào)運作，實現(xiàn)了不同服務之間的通信與整合。ESB作為企業(yè)架構(gòu)的開放服務網(wǎng)關，需要面對眾多服務提供商與服務請求者，其服務環(huán)境更具有動態(tài)性和分布性。與傳統(tǒng)的集中式系統(tǒng)和客戶-服務器的服務環(huán)境相比，ESB帶來了傳統(tǒng)的安全模型不能處理的許多新的安全挑戰(zhàn)。目前存在的一些安全控制方法，如基于身份的訪問控制、基于角色的訪問控制等安全控制方法均采用集中式的控制方法，只能提供有限的、粗粒度的、簡單的安全控制功能，不存在一種開放的、靈活的安全控制規(guī)則，以滿足ESB服務環(huán)境下、應用集成過程中復雜多變的安全控制需求，不能適用于復雜多變的ESB服務安全控制場景。

發(fā)明內(nèi)容
針對上述問題，本發(fā)明提供一種安全控制系統(tǒng)與方法，以解決現(xiàn)有技術中的安全控制方法只能提供有限的、粗粒度的、簡單的安全控制功能，不存在一種開放的、靈活的安全控制規(guī)則，以滿足ESB服務環(huán)境下、應用集成過程中復雜多變的安全控制需求，不能適用于復雜多變的ESB服務安全控制場景的問題。技術方案如下基于本發(fā)明的一方面，提供一種安全控制系統(tǒng)，應用于企業(yè)服務總線中，包括路由器和代理服務器，還包括安全控制規(guī)則庫、規(guī)則配置管理模塊和安全控制模塊，其中，所述安全控制規(guī)則庫與所述規(guī)則配置管理模塊和所述安全控制模塊聯(lián)接，用于保存安全控制規(guī)則；所述規(guī)則配置管理模塊與所述安全控制規(guī)則庫和所述代理服務器聯(lián)接，用于對所述代理服務器配置安全控制規(guī)則，并將安全控制規(guī)則配置到所述安全控制規(guī)則庫中進行保存；所述安全控制模塊與所述路由器和所述安全控制規(guī)則庫聯(lián)接，用于依據(jù)所述安全控制規(guī)則庫中保存的安全控制規(guī)則，驗證服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致，并在服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將服務請求者發(fā)送的服務請求信息發(fā)送至所述路由器。
優(yōu)選地，所述安全控制模塊包括接收單元，用于接收服務請求者發(fā)送的服務請求信息；解析單元，用于解析所述服務請求信息；獲取單元，用于獲取服務請求信息中附帶的安全信息；驗證單元，用于依據(jù)所述安全控制規(guī)則庫中保存的安全控制規(guī)則，驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致；發(fā)送單元，用于在所述驗證單元驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將所述服務請求信息發(fā)送至路由器。優(yōu)選地，所述安全控制模塊還包括
輸出單元，用于輸出所述服務請求信息的驗證結(jié)果。優(yōu)選地，所述輸出單元具體用于在所述驗證單元驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，輸出合法、true或1，以及用于在所述驗證單元驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息不一致的情況下，輸出不合法、false或O。優(yōu)選地，所述規(guī)則配置管理模塊還用于調(diào)整所述安全控制規(guī)則庫中保存的安全控制規(guī)則。優(yōu)選地，所述規(guī)則配置管理模塊用于對所述代理服務器配置至少一個安全控制規(guī)則。基于本發(fā)明的另一方面，還提供一種安全控制方法，應用于上述所述的安全控制系統(tǒng)中,包括接收服務請求者發(fā)送的服務請求信息；解析所述服務請求信息，獲得所述服務請求信息中附帶的安全信息；驗證所述安全信息與對應的代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致，并在服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將服務請求者發(fā)送的服務請求信息發(fā)送至路由器。優(yōu)選地，還包括調(diào)整所述安全控制規(guī)則庫中保存的安全控制規(guī)則。優(yōu)選地，還包括輸出所述服務請求信息的驗證結(jié)果。優(yōu)選地，輸出所述服務請求信息的驗證結(jié)果包括在驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，輸出合法、true或1，在驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息不一致的情況下，輸出不合法、false或O。應用上述技術方案，本發(fā)明提供一種安全控制系統(tǒng)與方法，包括路由器和代理服務器，還包括安全控制規(guī)則庫、規(guī)則配置管理模塊和安全控制模塊。其中，安全控制規(guī)則庫用于保存安全控制規(guī)則，規(guī)則配置管理模塊用于對代理服務器配置安全控制規(guī)則，且將安全控制規(guī)則配置到安全控制規(guī)則庫中進行保存，安全控制模塊用于依據(jù)安全控制規(guī)則庫中保存的安全控制規(guī)則，驗證服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致，并在服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將服務請求者發(fā)送的服務請求信息發(fā)送至路由器。本發(fā)明在ESB服務環(huán)境中設置了安全控制規(guī)則庫，通過安全控制規(guī)則庫中保存的安全控制規(guī)則，規(guī)則配置管理模塊靈活、開放地對代理服務器配置安全控制規(guī)則，以滿足ESB服務環(huán)境下、應用集成過程中復雜多變的安全控制需求，且能夠有效用于各種各樣的服務安全控制場景。

為了更清楚地說明本發(fā)明實施例中的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖I為本發(fā)明提供的一種安全控制系統(tǒng)的一種結(jié)構(gòu)示意圖；圖2為本發(fā)明提供的一種安全控制系統(tǒng)的安全控制模塊的結(jié)構(gòu)示意圖；圖3為本發(fā)明提供的一種安全控制系統(tǒng)的安全控制模塊的另一種結(jié)構(gòu)示意圖；圖4為本發(fā)明提供的一種安全控制方法的一種流程圖；圖5為本發(fā)明提供的一種安全控制方法的另一種流程圖；圖6為本發(fā)明提供的一種安全控制方法的再一種流程圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。本發(fā)明公開了一種安全控制系統(tǒng)與方法，應用于企業(yè)服務總線中，其中包括用于保存安全控制規(guī)則的安全控制規(guī)則庫，對代理服務器配置安全控制規(guī)則，且將安全控制規(guī)則配置到安全控制規(guī)則庫中進行保存的規(guī)則配置管理模塊以及驗證服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致的安全控制模塊。服務請求者將服務請求信息發(fā)送至安全控制模塊，安全控制模塊對服務請求信息進行驗證，驗證通過后，將服務請求信息發(fā)送至服務提供商。一個實施例請參見圖1，其示出了本發(fā)明提供的一種安全控制系統(tǒng)的一種結(jié)構(gòu)示意圖，可以包括安全控制模塊100、安全控制規(guī)則庫200、規(guī)則配置管理模塊300、代理服務器400和路由器500。其中，安全控制規(guī)則庫200與規(guī)則配置管理模塊300和安全控制模塊100聯(lián)接，用于保存安全控制規(guī)則。其中，安全控制規(guī)則為基于ESB服務環(huán)境下、應用集成過程中復雜多變的安全控制需求，為保護用戶與服務提供商的利益而確定的安全控制方法，其可以包括以下幾種規(guī)則基于請求者屬性的規(guī)則，其中，請求者屬性可以包括用戶唯一標識、所屬的用戶組織機構(gòu)、用戶賬號或許可等級。基于目標服務屬性的規(guī)則，其中，目標服務屬性可以包括服務名稱、服務創(chuàng)建時間或服務安全等級。基于環(huán)境屬性的規(guī)則，其中，環(huán)境屬性可以包括時間、網(wǎng)絡拓撲、連接狀況、用戶認證狀況。基于用戶自定義的規(guī)則，可以包括規(guī)則的組合或規(guī)則的邏輯運算。規(guī)則配置管理模塊300與安全控制規(guī)則庫200和代理服務器400聯(lián)接，用于對代理服務器400配置安全控制規(guī)則，并將安全控制規(guī)則配置到安全控制規(guī)則庫200中進行保存。在本實施例中，代理服務器400為已在ESB上完成注冊的服務提供商配置的代理服務器400。一個代理服務器400對應一個服務提供商，通過對代理服務器400配置安全控制規(guī)則，實現(xiàn)ESB對服務請求者發(fā)送的服務請求信息的驗證的功能。服務請求者針對不同的服務提供商，想要與其實現(xiàn)連接、信息交互，需要服務請求者根據(jù)每一個服務提供商相應的代理服務器400所配置的安全控制規(guī)則來組裝服務請求信息，以通過ESB驗證。在實際配置過程中，規(guī)則配置管理模塊300可以對所述代理服務器配置一個安全控制規(guī)則，當然規(guī)則配置管理模塊300可以將幾種安全控制規(guī)則組合配置到一個代理服務器中。如為一個代理服務器同時配置基于請求者屬性和基于環(huán)境屬性的規(guī)則。此外，規(guī)則配置管理模塊300同時將對服務提供商相應的代理服務器400配置的安全控制規(guī)則配置到安全控制規(guī)則庫200中進行保存。在本實施例中，ESB動態(tài)操作過程中，對新注冊的服務提供商，ESB會根據(jù)服務提供商的不同要求對其配置一個相應的代理服務器400，同時規(guī)則配置管理模塊300會為這個相應的代理服務器400配置安全控制規(guī)則，并將安全控制規(guī)則配置到安全控制規(guī)則庫200中進彳丁保存。當然，規(guī)則配置管理模塊300還可以調(diào)整安全控制規(guī)則庫200中保存的安全控制規(guī)則，即在代理服務器400提供的請求發(fā)送變化的情況下，可以調(diào)整代理服務器400所配置的安全控制規(guī)則。安全控制模塊100與路由器500和安全控制規(guī)則庫200聯(lián)接，用于依據(jù)安全控制規(guī)則庫200中保存的安全控制規(guī)則，驗證服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息是否一致，并在服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將服務請求者發(fā)送的服務請求信息發(fā)送至路由器500。其中一致是指解析得到的安全信息與預設的安全信息相同，在解析得到的安全信息與預設的安全信息相同的情況下，表明服務請求為安全請求，則將服務請求發(fā)送至路由器500，由路由器500將服務請求信息路由至服務提供商，從而實現(xiàn)服務請求者與服務提供商的信息交互。在解析得到的安全信息與預設的安全信息不同的情況下，表明服務請求為不安全請求，則不再發(fā)送服務請求至路由器500。下面以幾種安全控制規(guī)則為例，對本發(fā)明提供的安全控制系統(tǒng)進行說明。在本實施例中，代理服務器400所配置的安全控制規(guī)則為基于請求者屬性的規(guī)則時，例如，某一服務提供商對應的代理服務器400所配置的安全控制規(guī)則為輸入用戶賬號和密碼，即需要服務請求者發(fā)送的服務請求信息中的安全信息為用戶賬號和密碼，將用戶賬號和密碼發(fā)送至安全控制模塊100，安全控制模塊100依據(jù)安全控制規(guī)則庫200中保存的該服務提供商對應的代理服務器400所配置的安全控制規(guī)則，驗證用戶賬號和密碼與該服務提供商對應的代理服務器400所配置的安全控制規(guī)則中預設的用戶賬號和密碼是否一致，若一致，將服務請求信息發(fā)送至路由器500，由路由器500將服務請求信息路由至服務提供商，從而實現(xiàn)服務請求者與服務提供商的信息交互。代理服務器400所配置的安全控制規(guī)則為基于目標服務屬性的規(guī)則時，例如，某一服務提供商對應的代理服務器400所配置的安全控制規(guī)則為輸入服務名稱以及服務創(chuàng)建時間。具體地，服務請求者發(fā)送的服務請求信息中的安全信息包括某某公司交易記錄，2012年I月份，安全控制模塊100依據(jù)安全控制規(guī)則庫200中保存的該服務提供商對應的代理服務器400所配置的安全控制規(guī)則，查詢是否存在安全信息為2012年I月份某某公司交易記錄，若存在，即表示安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致，將服務請求信息發(fā)送至路由器500，由路由器500將服務請求信息路由至服務提供商，從而實現(xiàn)服務請求者與服務提供商的信息交互。代理服務器400所配置的安全控制規(guī)則為基于環(huán)境屬性的規(guī)則時，例如，某一服務提供商對應的代理服務器400所配置的安全控制規(guī)則為在一個指定的時間范圍內(nèi)接收服務請求信息。具體地，指定的時間范圍包括下午2點至5點之間。服務請求者發(fā)送服務請求信息至安全控制模塊100，安全控制模塊100依據(jù)安全控制規(guī)則庫200中保存的該服務提供商對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息判斷當前服務請求者發(fā)送服務請求信息的時間點是否在指定的時間范圍，若在，即表示安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致，將服務請求信息發(fā)送至路由器500，由路由器500將服務請求信息路由至服務提供商，從而實現(xiàn)服務請求者與服務提供商的信息交互。代理服務器400所配置的安全控制規(guī)則為用戶自定義的規(guī)則時，例如，某一服務提供商對應的代理服務器400所配置的安全控制規(guī)則為規(guī)則的“并”運算，需要服務請求者發(fā)送的服務請求信息中的安全信息同時滿足訪問時間在下午2點至5點之間的安全控制規(guī)則，以及通過VIP認證的服務請求者的安全控制規(guī)則。安全控制模塊100依據(jù)安全控制規(guī)則庫200中保存的該服務提供商對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息判斷當前服務請求者發(fā)送服務請求信息的時間點是否在下午2點至5點之間的時間范圍內(nèi)，且服務請求者是否為VIP認證的服務請求者，若都滿足條件，即表示安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致，將服務請求信息發(fā)送至路由器500，由路由器500將服務請求信息路由至服務提供商，從而實現(xiàn)服務請求者與服務提供商的信息交互。在本實施例中，安全控制模塊100接收服務請求者發(fā)送的服務請求信息后，依據(jù)安全控制規(guī)則庫200中保存的安全控制規(guī)則，驗證服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息是否一致，并在服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將服務請求者發(fā)送的服務請求信息發(fā)送至路由器500。在本實施例中，安全控制規(guī)則庫200除用于保存所有不同服務提供商相應的代理服務器400所配置的安全控制規(guī)則外，還可以用于保存預先設定的一些其它的安全控制規(guī)貝U，以及還可以用于保存在ESB動態(tài)操作過程中，為新注冊的服務提供商相應的代理服務器400所配置的安全控制規(guī)則。實現(xiàn)了在各種各樣的服務安全控制場景中，靈活、動態(tài)的配置不同的安全控制規(guī)則，以適應不同的安全控制場景中的安全控制需求。其中，請參閱圖2，其示出了本發(fā)明提供的一種安全控制系統(tǒng)的安全控制模塊的結(jié)構(gòu)示意圖，可以包括接收單元101、解析單元102、獲取單元103、驗證單元104和發(fā)送單元105。其中，
接收單元101，用于接收服務請求者發(fā)送的服務請求信息。在本實施例中，不同的服務提供商對應的代理服務器400所配置的安全控制規(guī)則不同，服務請求者想從不同的服務提供商中獲取信息，則需要根據(jù)不同的服務提供商對應的代理服務器400所配置的不同安全控制規(guī)則來組裝服務請求信息。解析單元102，用于解析服務請求信息。在本實施例中，服務請求者發(fā)送的服務請求信息為根據(jù)不同的服務提供商對應的代理服務器400所配置的不同安全控制規(guī)則組裝的服務請求信息。其中，服務請求信息中包括請求內(nèi)容和安全信息。解析單元102對服務請求信息進行解析，將服務請求信息中的安全信息解析出來。獲取單元103，用于獲取服務請求信息中附帶的安全信息。在解析單元102將服務請求信息中的安全信息解析出來后，由獲取單元103獲取得到服務請求信息中附帶的安全信息。其中安全信息在代理服務器400配置的安全控制規(guī)則不同時，安全信息也不同。比如代理服務器400配置的安全控制規(guī)則為用戶唯一標識，即用戶賬號和密碼，服務請求信息中的安全信息即為正確的用戶賬號和密碼；代理服務器400配置的安全控制規(guī)則為服務名稱和服務時間，即某某公司交易記錄，2012年I月份，月艮務請求信息中的安全信息為正確的服務名稱和服務時間；代理服務器400配置的安全控制規(guī)則為規(guī)則的“并”運算，即在下午2點至5點之間通過VIP認證的服務請求者，服務請求信息中的安全信息即為通過VIP認證的服務請求者，同時安全信息的接收是在規(guī)定的下午2點至5點的時間內(nèi)接收的。驗證單元104，用于依據(jù)安全控制規(guī)則庫200中保存的安全控制規(guī)則，驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息是否一致。發(fā)送單元105，用于在驗證單元104驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將服務請求信息發(fā)送至路由器500。應用上述技術方案，本發(fā)明在ESB服務環(huán)境中設置了安全控制規(guī)則庫200，通過安全控制規(guī)則庫200中保存的安全控制規(guī)則，規(guī)則配置管理模塊300靈活、開放地對代理服務器400配置安全控制規(guī)則，以滿足ESB服務環(huán)境下、應用集成過程中復雜多變的安全控制需求，且能夠有效用于各種各樣的服務安全控制場景。另一個實施例請參閱圖3，其示出了本發(fā)明提供的一種安全控制系統(tǒng)的安全控制模塊的另一種結(jié)構(gòu)示意圖，在圖2的基礎上還包括輸出單元106。其中，
輸出單元106，用于輸出服務請求信息的驗證結(jié)果。在本實施例中，輸出單元105在驗證單元104驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致的情況下，輸出合法、true或1，在驗證單元104驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息不一致的情況下，輸出不合法、false或O。應用上述技術方案，服務請求者可以依據(jù)輸出單元106輸出的判斷結(jié)果，讀出服務請求信息是否發(fā)送成功，清楚快捷地獲知服務請求信息的動態(tài)操作情況。需要指出的是本實施例在安全控制模塊100上設置了輸出單元106，當然，輸出單元106也可以單獨作為一個實體與安全控制模塊100相連。另外，需要說明的是，當本發(fā)明所述的輸出單元106采用軟件實現(xiàn)時，可以作為安全控系統(tǒng)新增的一個功能，也可以單獨編寫相應的程序，本發(fā)明不限定所述方法或裝置的實現(xiàn)方式。同時，本申請公開了一種安全控制方法，應用于上述安全控制系統(tǒng)中，請參閱圖4，其示出了本申請?zhí)峁┑囊环N安全控制方法的一種流程圖，包括步驟101 :接收服務請求者發(fā)送的服務請求信息。在本實施例中，不同的服務提供商相應的代理服務器400所配置的安全控制規(guī)則不同，服務請求者要從不同的服務提供商中獲取信息，則需要根據(jù)不同的服務提供商相應的代理服務器400所配置的不同安全控制規(guī)則來組裝服務請求。步驟102 :解析服務請求信息。其中，服務請求信息包括請求內(nèi)容和安全信息。步驟103 :獲取服務請求信息中附帶的安全信息。需要說明的是，服務請求信息中附帶的安全信息即為服務請求者在發(fā)送服務請求信息前，根據(jù)服務提供商對應的代理服務器400所配置的安全控制規(guī)則組裝的安全信息。在上述實施例中已經(jīng)對安全控制規(guī)則做了詳細介紹，這里不再贅述。步驟104 :驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息是否一致，若一致，執(zhí)行步驟105，若不一致，執(zhí)行步驟106。在本實施例中，代理服務器400所配置的安全控制規(guī)則可以包括基于請求者屬性的規(guī)則，其中，請求者屬性可以包括用戶唯一標識、所屬的用戶組織機構(gòu)、用戶賬號或許可等級。基于目標服務屬性的規(guī)則，其中，目標服務屬性可以包括服務名稱、服務創(chuàng)建時間或服務安全等級。基于環(huán)境屬性的規(guī)則，其中，環(huán)境屬性可以包括時間、網(wǎng)絡拓撲、連接狀況、用戶認證狀況。以及用戶自定義的規(guī)則，可以包括規(guī)則的組合或規(guī)則的邏輯運算。針對代理服務器400所配置的不同屬性或自定義的安全控制規(guī)則，服務請求者若想實現(xiàn)與不同的服務提供商進行信息交互，則需要服務請求者根據(jù)每個服務提供商對應的代理服務器400所配置的安全控制規(guī)則來組裝服務請求信息。即服務請求信息中附帶的安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致，才能實現(xiàn)服務請求者與服務提供商的連接。在本實施例中，對于不同服務提供商對應的代理服務器400所配置的不同安全控制規(guī)則的驗證方法，同上述實施例中的相同，這里不再贅述。步驟105 :將服務請求者發(fā)送的服務請求信息發(fā)送至路由器。
在本實施例中，驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致的情況下，安全控制模塊100將服務請求信息發(fā)送至路由器500，再由路由器500將服務請求信息路由至服務提供商，從而實現(xiàn)服務請求者與服務提供商的信息交互。步驟106 :拒絕服務請求信息發(fā)送至路由器。在本實施例中，驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息不一致的情況下，安全控制模塊100拒絕服務請求信息發(fā)送至路由器500。在本實施例中，ESB接收服務請求者發(fā)送的服務請求信息后，由安全控制模塊100基于安全控制規(guī)則庫200中保存的安全控制規(guī)則，驗證服務請求信息中附帶的安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息是否一致，并在一致的情況下，發(fā)送服務請求信息至路由器500，再由路由器500將服務請求信息路由至服務提供商。本發(fā)明在安全控制方法中定義了一種開放的、靈活的安全控制規(guī)則，以滿足ESB服務環(huán)境下、應用集成過程中復雜多變的安全控制需求，且能夠有效用于各種各樣的服務安全控制場景。再一個實施例面對應用集成過程中復雜多變的安全控制挑戰(zhàn)，安全控制規(guī)則庫200中保存的安全控制規(guī)則需要根據(jù)ESB的安全控制需求實時更新，對安全控制規(guī)則庫200中保存的安全控制規(guī)則進行調(diào)整、修改、添加和刪除等處理。請參閱圖5，其示出了本發(fā)明提供的一種安全控制方法的另一種流程圖，在圖4的基礎上還包括步驟107 :調(diào)整安全控制規(guī)則庫200中保存的安全控制規(guī)則。在本實施例中，根據(jù)各服務提供商的業(yè)務需求變化，實時調(diào)整服務提供商對應的代理服務器400所配置的安全控制規(guī)則，并保存在安全控制規(guī)則庫200中，同時更新安全控制規(guī)則庫200中保存的安全控制規(guī)則，將單一的、簡單化的安全控制規(guī)則刪除，添加優(yōu)化的、靈活的安全控制規(guī)則，使得ESB服務環(huán)境下的安全控制功能實時更新，以更快地適應的業(yè)務需求變化。需要指出的是在本實施例中，步驟107調(diào)整安全控制規(guī)則庫200中保存的安全控制規(guī)則設置在步驟101接收服務請求者發(fā)送的服務請求信息之前，當然，步驟107調(diào)整安全控制規(guī)則庫200中保存的安全控制規(guī)則還可以與步驟101接收服務請求者發(fā)送的服務請求信息同時進行。對于前述的各方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領域技術人員應該知悉，本發(fā)明并不受所描述的動作順序的限制，因為依據(jù)本發(fā)明，某些步驟可以采用其他順序或者同時進行。其次，本領域技術人員也應該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作和模塊并不一定是本發(fā)明所必須的。再一個實施例請參閱圖6，其示出了本發(fā)明提供的一種安全控制方法的再一種流程圖，在圖5的基礎上還包括步驟108 :輸出服務請求信息的驗證結(jié)果。
在本實施例中，安全控制模塊100驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息一致的情況下，輸出合法、true或I,在安全控制模塊100驗證安全信息與對應的代理服務器400所配置的安全控制規(guī)則中預設的安全信息不一致的情況下，輸出不合法、false或O。應用上述技術方案，服務請求者可以依據(jù)輸出的驗證結(jié)果，讀出服務請求信息是否發(fā)送成功，清楚快捷地獲知服務請求信息的動態(tài)操作情況。需要說明的是，本說明書中各個實施例采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置而言，由于其與實施例公開的方法相對應，所以描述的比較簡單，相關之處參見方法部分說明即可。專業(yè)人員還可以進一步意識到，結(jié)合本文中所公開的實施例描述的各示例的單元及步驟，能夠以電子硬件、計算機軟件或者二者的結(jié)合來實現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術方案的特定應用和設計約束條件。專業(yè)技術人員可以對每個特定的應用來使用不同方法來實現(xiàn)所描述的功能，但是這種實現(xiàn)不應認為超出本發(fā)明的范圍。最后，還需要說明的是，在本文中，諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或
者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個......”限定的要素，
并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。為了描述的方便，描述以上裝置時以功能分為各種單元分別描述。當然，在本實施申請時可以把各單元的功能在同一個或多個軟件和/或硬件中實現(xiàn)。以上對本發(fā)明所提供的一種安全控制系統(tǒng)與方法進行了詳細介紹，本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領域的一般技術人員，依據(jù)本發(fā)明的思想，在具體實施方式
及應用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應理解為對本發(fā)明申請的限制。
權利要求
1.一種安全控制系統(tǒng)，應用于企業(yè)服務總線中，包括路由器和代理服務器，其特征在于，還包括安全控制規(guī)則庫、規(guī)則配置管理模塊和安全控制模塊，其中，所述安全控制規(guī)則庫與所述規(guī)則配置管理模塊和所述安全控制模塊聯(lián)接，用于保存安全控制規(guī)則；所述規(guī)則配置管理模塊與所述安全控制規(guī)則庫和所述代理服務器聯(lián)接，用于對所述代理服務器配置安全控制規(guī)則，并將安全控制規(guī)則配置到所述安全控制規(guī)則庫中進行保存；所述安全控制模塊與所述路由器和所述安全控制規(guī)則庫聯(lián)接，用于依據(jù)所述安全控制規(guī)則庫中保存的安全控制規(guī)則，驗證服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致，并在服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將服務請求者發(fā)送的服務請求信息發(fā)送至所述路由器。
2.根據(jù)權利要求I所述的安全控制系統(tǒng)，其特征在于，所述安全控制模塊包括接收單元，用于接收服務請求者發(fā)送的服務請求信息；解析單元，用于解析所述服務請求信息；獲取單元，用于獲取服務請求信息中附帶的安全信息；驗證單元，用于依據(jù)所述安全控制規(guī)則庫中保存的安全控制規(guī)則，驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致；發(fā)送單元，用于在所述驗證單元驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將所述服務請求信息發(fā)送至路由器。
3.根據(jù)權利要求2所述的安全控制系統(tǒng)，其特征在于，所述安全控制模塊還包括輸出單元，用于輸出所述服務請求信息的驗證結(jié)果。
4.根據(jù)權利要求3所述的安全控制系統(tǒng)，其特征在于，所述輸出單元具體用于在所述驗證單元驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，輸出合法、true或1，以及用于在所述驗證單元驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息不一致的情況下，輸出不合法、false或O。
5.根據(jù)權利要求I至4任意一項所述的安全控制系統(tǒng)，其特征在于，所述規(guī)則配置管理模塊還用于調(diào)整所述安全控制規(guī)則庫中保存的安全控制規(guī)則。
6.根據(jù)權利要求I至4任意一項所述的安全控制系統(tǒng)，其特征在于，所述規(guī)則配置管理模塊用于對所述代理服務器配置至少一個安全控制規(guī)則。
7.一種安全控制方法，應用于如權利要求I至6任一項所述的安全控制系統(tǒng)中，其特征在于，包括接收服務請求者發(fā)送的服務請求信息；解析所述服務請求信息，獲得所述服務請求信息中附帶的安全信息；驗證所述安全信息與對應的代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致，并在服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，將服務請求者發(fā)送的服務請求信息發(fā)送至路由器。
8.根據(jù)權利要求7所述的安全控制方法，其特征在于，還包括調(diào)整所述安全控制規(guī)則庫中保存的安全控制規(guī)則。
9.根據(jù)權利要求7所述的安全控制方法，其特征在于，還包括輸出所述服務請求信息的驗證結(jié)果。
10.根據(jù)權利要求9所述的安全控制方法，其特征在于，輸出所述服務請求信息的驗證結(jié)果包括在驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息一致的情況下，輸出合法、true或I，在驗證所述安全信息與對應的所述代理服務器所配置的安全控制規(guī)則中預設的安全信息不一致的情況下，輸出不合法、false或O。
全文摘要
本發(fā)明公開了一種安全控制系統(tǒng)與方法，包括路由器和代理服務器，還包括用于保存安全控制規(guī)則的安全控制規(guī)則庫、用于對代理服務器配置安全控制規(guī)則，且將安全控制規(guī)則配置到安全控制規(guī)則庫中進行保存的規(guī)則配置管理模塊以及用于驗證服務請求者發(fā)送的服務請求信息中附帶的安全信息與對應的代理服務器所配置的安全控制規(guī)則中預設的安全信息是否一致，并在一致的情況下，將服務請求信息發(fā)送至路由器的安全控制模塊。本發(fā)明設置的規(guī)則配置管理模塊通過安全控制規(guī)則庫中保存的安全控制規(guī)則，靈活、開放地對代理服務器配置安全控制規(guī)則，以滿足ESB服務環(huán)境下、應用集成過程中復雜多變的安全控制需求，并能夠有效應用于各種各樣的服務安全控制場景。
文檔編號H04L29/06GK102868703SQ201210376619
公開日2013年1月9日申請日期2012年9月29日優(yōu)先權日2012年9月29日
發(fā)明者聶秀志, 張輝, 喬璐, 劉民, 溫尚卓申請人:山東中創(chuàng)軟件工程股份有限公司, 山東中創(chuàng)軟件商用中間件股份有限公司

完整全部詳細技術資料下載