專利名稱:安全域信息保護裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明 一般地涉及通信���,特別地涉及提供安全域的信息保護。
技術(shù)背景在一些垂直的市場部門��,企業(yè)間的應(yīng)用集成在很長時間以來已經(jīng)成為 公司的重要任務(wù)。公司出于許多目的需要交換數(shù)字信息�,而且這些數(shù)據(jù)經(jīng) 常要在交換所涉及的兩方之間保密。對于有規(guī)律地交換非常敏感的數(shù)據(jù)的 行業(yè)�,已經(jīng)建立了一些政府規(guī)章以保證采取合適的措施來保護這些數(shù)據(jù)。
例如��,在美國���,健康保險攜帶和責任法案(HIPAA)為衛(wèi)生保健提供者制 定了個人醫(yī)療數(shù)據(jù)的存儲和交換保密規(guī)定�����,而且,Gramm-Leach-Bliley法 案在金融服務(wù)業(yè)用作類似的目的�。
敏感應(yīng)用數(shù)據(jù)的保護例如根據(jù)公司網(wǎng)絡(luò)性質(zhì)的不同可以采取多種形 式,但是最迫切的數(shù)據(jù)保密要求可能是規(guī)章制定的����、經(jīng)營對客戶的個人數(shù) 據(jù)負有責任的生意的那些行業(yè)。以上提到的HIPAA和 Gramm-Leach-Bliley法案就是這類保密規(guī)章的例子�����。
面向服務(wù)的體系結(jié)構(gòu)(SOA)促進了數(shù)據(jù)的交換�,但是使得數(shù)據(jù)保密 要求的執(zhí)行非常困難或者甚至是不可能的����。公司SOA^5出設(shè)施中的應(yīng)用服 務(wù)器不可能意識到它的任何服務(wù)的最終客戶是否為公司之外的��,特別是在 應(yīng)用服務(wù)器經(jīng)由例如入口向用戶顯露服務(wù)的場合��。
總之���,信息通過通信網(wǎng)絡(luò)進行分發(fā)的服務(wù)可以被稱為網(wǎng)絡(luò)服務(wù)��。"web 服務(wù)�,����,是網(wǎng)絡(luò)服務(wù)的例子,表示通過公共互聯(lián)網(wǎng)和許多專用網(wǎng)絡(luò)在不同應(yīng)用 之間用于交換信息的下一代技術(shù)��。Web服務(wù)提供了構(gòu)建基于web的分布式 應(yīng)用的框架�,并且能提供有效的和實際的自動才幾對機通信。
從技術(shù)觀點來看���,web服務(wù)是能使用標準互聯(lián)網(wǎng)協(xié)議通過標準接口的 網(wǎng)絡(luò)可訪問功能�,所述標準互聯(lián)網(wǎng)協(xié)議例如超文本傳輸協(xié)議(HTTP)�、 可擴展標記語言(XML)��、簡單對象訪問協(xié)議(SOAP)���,等。
Web服務(wù)技術(shù)的實際力量在于它的簡單性�。核心技術(shù)僅處理公共語言 和通信問題,并不處理應(yīng)用集成的繁重任務(wù)���。Web服務(wù)可以看成是用于互 連多個異構(gòu)不可信系統(tǒng)的復雜機對機遠程程序呼叫(RPV)技術(shù)��。通過對 數(shù)據(jù)轉(zhuǎn)換/透明度使用XML技術(shù)以及對消息傳輸使用例如HTTP和簡單郵 件傳輸協(xié)議(SMTP) ���, Web服務(wù)有效地利用了許多新技術(shù)�。
Web服務(wù)開發(fā)和標準化背后一個主要的驅(qū)動因素是,web服務(wù)通過提
7供不同應(yīng)用之間的松散耦合促進無縫機對機應(yīng)用級通信的能力��。應(yīng)用的這 種杠噴耦合允許不同服務(wù)器上的應(yīng)用戶操作而不需要它們之間固定的�、不
靈活的接口 。使用完全不同的技術(shù)的應(yīng)用能使用標準web服務(wù)協(xié)議進行互 操作���。
盡管web服務(wù)仍然是新興技術(shù)����,應(yīng)用之間數(shù)據(jù)交換的壓力非常大,相 應(yīng)地����,沒有合適的授權(quán)或保護而發(fā)布敏感數(shù)據(jù)的風險也非常大。
在簡化信息交換時����,網(wǎng)絡(luò)服務(wù)環(huán)境會使得保護敏感數(shù)據(jù)的問題變復雜。 一些數(shù)據(jù)保護解決方案保證數(shù)據(jù)的安全存儲和傳輸期間的端到端加密��。這 種解決方案并非總是可行�,因為可能要求在中間點進行數(shù)據(jù)處理。對于web 服務(wù)來說�����,web服務(wù)消息在傳送中要求轉(zhuǎn)化正屬于這種情況�。SOA中組合 的web服務(wù)可以組合來自許多個體服務(wù)的數(shù)據(jù)以和諧地構(gòu)成例如商業(yè)過程 的一部分。這種手段對于商業(yè)應(yīng)用來說是有力的工具���,但是它并不支持端 到端力口密���。
還有現(xiàn)有的解決方案對離開指定安全域的所有消息和數(shù)據(jù)進行加密。 遺憾的是,該解決方案在許多情況下不能很好地依比例縮放��。加密是計算 上昂貴的功能�����,并且如果業(yè)務(wù)量中只有一小部分實際上是敏感的話��,對所 有數(shù)據(jù)進行加密是非常浪費的��。更糟糕的是���,該解決方案要求接收方實施 相同的算法以^^解密數(shù)據(jù)���,而這并不總是可行或者節(jié)約的。
依賴"加密接口��,�,和"未加密接口"的組合并不能保證符合政府保密規(guī)章 -例如,敏感數(shù)據(jù)可以隨時在未加密鏈路上發(fā)送��。
盡管電子郵件網(wǎng)關(guān)能夠?qū)﹄x開公司郵件服務(wù)器的出局郵件進行掃描和 選擇性加密���,在不同的技術(shù)以及比電子郵件情況下更少約束的文件格式的 基礎(chǔ)上,為web服務(wù)消息和其它服務(wù)相關(guān)信息提供數(shù)據(jù)數(shù)據(jù)保護根本上依 然是個難題。
另一種解決方案涉及可編程用于加密的專用XML防火墻類型i殳備��。 因而這種加密不是基于每個應(yīng)用服務(wù)器的�����。這代表訪問控制列表(ACL) 方法
發(fā)明內(nèi)容
根據(jù)本發(fā)明的實施例�����,用于web服務(wù)的數(shù)據(jù)保密策略可以在數(shù)據(jù)離開 安全域的點上執(zhí)行���。敏感數(shù)據(jù)的實時鑒別和僅僅敏感數(shù)據(jù)的選擇性保護可 以作為可擴縮的解決方案提供�。
本發(fā)明的實施例也可以用于提供完整的規(guī)范性框架�、垂直市場的規(guī)章 專用模塊和/或基于模型搜索的語意人工智能(AI),其中所述規(guī)范性框架 具有能意識到服務(wù)類型和能意識到用戶群的處理。
根據(jù)本發(fā)明的一個方面��,提供了機器實現(xiàn)的方法����,該方法包括確定服 務(wù)訪問信息是否包括敏感信息,所述服務(wù)訪問信息與安全域之外的外部用 戶對在所述安全域中提供的服務(wù)的訪問相關(guān)聯(lián)�;以及在所述服務(wù)訪問信息 包括敏感信息的情況下,實施保護動作以保護所述敏感信息����。�����。
保護動作可以包括以下一個或多個丟棄所有服務(wù)訪問信息�、僅從服 務(wù)訪問信息中移除敏感信息��、對所有服務(wù)訪問信息加密�、僅對服務(wù)訪問信 息中的敏感信息加密、對所有服務(wù)訪問信息數(shù)字簽名��,以及僅對服務(wù)訪問 信息中的敏感信息數(shù)字簽名�。
執(zhí)行的操作可以包括在服務(wù)訪問信息的一部分上執(zhí)行保護動作。
確定可以涉及對服務(wù)訪問信息進行解析��。
在一些實施例中���,確定和執(zhí)行涉及執(zhí)行規(guī)范說明語言(RSL)程序����, 該程序定義與信息保護規(guī)范相關(guān)的敏感信息檢測標準和保護動作�。RSL程 序可以包括指定各敏感信息檢測標準和對應(yīng)的保護動作的表項,在這種情 況下�,執(zhí)行可以包括順序地處理每個表項的服務(wù)訪問信息。RSL程序可以 包括可擴展類型表語言轉(zhuǎn)換(XSLT)操作����,并且使用可擴展標記語言 (XML)擴展以支持加密作為保護動作。
該方法還可以包括識別與服務(wù)訪問信息相關(guān)的保護策略��。確定可以涉 及確定服務(wù)訪問信息是否包括在保護策略中指定的敏感信息����。
識別操作可以涉及基于以下的一個或多個服務(wù)訪問信息的目的地、 服務(wù)訪問信息的源����、外部用戶、以及與該外部用戶相關(guān)的外部域�����。
在一些實施例中���,該方法在源域內(nèi)的通信網(wǎng)絡(luò)的web服務(wù)節(jié)點上實施����。該方法可以體現(xiàn)在例如存儲在機器可讀介質(zhì)上的指令中���。 還提供了一種裝置���,包括服務(wù)訪問信息處理器�����,可用于確定安全域外 的外部用戶對安全域內(nèi)提供服務(wù)的訪問相關(guān)的服務(wù)訪問信息是否包括敏感 信息�����,以及保護模塊���,該模塊可操作地耦合到所述服務(wù)訪問信息處理器, 并且在所述服務(wù)訪問信息包括敏感信息的情況下��,用于實施保護動作來保 護所述敏感信息�。
保護動作可以包括以下一個或多個丟棄所有服務(wù)訪問信息、僅從服 務(wù)訪問信息中移除敏感信息���、對所有服務(wù)訪問信息加密�、僅對服務(wù)訪問信 息中的敏感信息加密�����、對所有服務(wù)訪問信息數(shù)字簽名,以及僅對服務(wù)訪問 信息中的敏感信息數(shù)字簽名�����。
服務(wù)訪問信息處理器可以包括用于解析服務(wù)訪問信息的解析器���。
在一些實施例中,服務(wù)訪問信息處理器和保護模塊的至少一個實施用 于執(zhí)行RSL程序的RSL環(huán)境��,該程序定義與信息保護規(guī)范相關(guān)的敏感信 息檢測標準和保護動作���。RSL程序可以包括指定各敏感信息檢測標準和對 應(yīng)的保護動作的表項���,在這種情況下,執(zhí)行可以包括順序地處理每個表項 的服務(wù)訪問信息��。RSL程序可以包括XSLT操作�����,在一些實施例中使用 XML擴展以支持加密作為保護動作��。
該裝置還可以包括可操作地耦合到服務(wù)訪問信息處理器的存儲器�,用 于存儲保護策略�����。服務(wù)訪問信息處理器可以進一步用于在存儲器中識別與 服務(wù)訪問信息相關(guān)的保護策略�����,并且通過確定服務(wù)訪問信息是否包括保護 策略中指定的敏感信息來確定服務(wù)訪問信息是否包括敏感信息����。
服務(wù)訪問信息處理器可以用于基于以下的 一個或多個識別保護策略 服務(wù)訪問信息的目的地���、服務(wù)訪問信息的源��、外部用戶����、以及與該外部用 戶相關(guān)的外部域���。
該裝置可以例如在web服務(wù)節(jié)點上實施�����,該節(jié)點位于源域內(nèi)的或者處 于與外部用戶相關(guān)的外部域中����。
本發(fā)明的另一方面提供了存儲數(shù)據(jù)結(jié)構(gòu)的機器可讀介質(zhì)。數(shù)據(jù)結(jié)構(gòu)包 括識別敏感數(shù)據(jù)的檢測標準����,以及用于識別保護動作的保護動作字段,所
10述保護動作將被執(zhí)行來保護在檢測標準中識別的敏感信息����,其中����,識別的 敏感信息在與訪問相關(guān)的服務(wù)訪問信息中由安全域外的外部用戶對該安全 域中提供的服務(wù)檢測。
該數(shù)據(jù)結(jié)構(gòu)還可以包括用于識別服務(wù)訪問信息一部分的服務(wù)動作目標 字段��,保護動作將在所述服務(wù)訪問信息上執(zhí)行�����。
在閱讀以下說明后�,本發(fā)明的實施例的其他方面和特征對于本領(lǐng)域技 術(shù)人員將變得明顯。
下面將參照附圖更詳細地描述本發(fā)明的實施例的例子��。 圖l是通信系統(tǒng)的框圖�����。
圖2是根據(jù)本發(fā)明的實施例的裝置的框圖。 圖3是根據(jù)本發(fā)明的另一個實施例的方法的流程圖�。 圖4是根據(jù)本發(fā)明的又一實施例的方法的流程圖。 圖5根據(jù)本發(fā)明的另一個實施例的數(shù)據(jù)結(jié)構(gòu)的框圖�����。
具體實施例方式
圖1是本發(fā)明的實施例得以實施的通信系統(tǒng)的框圖���。通信系統(tǒng)10包 括通信網(wǎng)絡(luò)12�,企業(yè)系統(tǒng)22����、 24,應(yīng)用系統(tǒng)26��,以及遠程用戶系統(tǒng)i殳施 28經(jīng)由各自的通信鏈路耦合到通信網(wǎng)絡(luò)12�。
企業(yè)系統(tǒng)22包括一個或多個應(yīng)用服務(wù)器32,應(yīng)用平臺34可操作地耦 合到這個(這些)應(yīng)用服務(wù)器,網(wǎng)關(guān)36可操作地耦合到該應(yīng)用平臺和通信 網(wǎng)絡(luò)12�����, 一個或多個用戶系統(tǒng)38可操作地耦合到應(yīng)用平臺和網(wǎng)關(guān),身份 系統(tǒng)40可操作地耦合到應(yīng)用平臺���、用戶系統(tǒng)以及網(wǎng)關(guān)��,應(yīng)用管理器42可 操作地耦合到應(yīng)用平臺和網(wǎng)關(guān)��。也可以使用其他部件或系統(tǒng)�����,諸如位于網(wǎng) 關(guān)36任一側(cè)以提供非軍事區(qū)(DeMilitarized Zone)的防火墻����。企業(yè)系統(tǒng) 24可以具有相似的結(jié)構(gòu)�。
在應(yīng)用系統(tǒng)26中�����,應(yīng)用平臺44可操作地耦合到通信網(wǎng)絡(luò)12和一個或多個應(yīng)用服務(wù)器46���。遠程用戶系統(tǒng)設(shè)施28包括可操作地耦合到一個或 多個用戶系統(tǒng)49的應(yīng)用代理48�����。
盡管可以在通信系統(tǒng)中提供許多企業(yè)系統(tǒng)�、應(yīng)用系統(tǒng)、遠程用戶系統(tǒng) 設(shè)施以及可能的其它類型的系統(tǒng)���,圖1中僅示出特定類型系統(tǒng)的說明性例 子�����,以避免圖面過于復雜����。出于類似原因���,通信網(wǎng)絡(luò)12的諸如邊界或接入 設(shè)備以及核心交換/路由部件的內(nèi)部細節(jié)�����,以及企業(yè)系統(tǒng)24�,也被從圖1 中省略����。通信網(wǎng)絡(luò)12的類型、結(jié)構(gòu)和操作可以在本發(fā)明實施例的部署之間 變化��。本發(fā)明的其它實施例還可以包括企業(yè)系統(tǒng)、應(yīng)用系統(tǒng)和/或遠程用戶 系統(tǒng)設(shè)施�����,所述企業(yè)系統(tǒng)���、應(yīng)用系統(tǒng)和/或遠程用戶系統(tǒng)設(shè)施包括比示出的 更少的����、更多的��、或不同的組件����,這些組件具有類似的或不同的相互連接 關(guān)系。
因此����,應(yīng)當理解��,圖1的通信系統(tǒng)10以及其它圖的內(nèi)容僅旨在用于 說明性目的�,并且本發(fā)明決不限于在圖中明確示出的和此處描述的特定示 例實施例。
本發(fā)明涉及的領(lǐng)域的技術(shù)人員應(yīng)當熟悉許多不同類型的通信網(wǎng)絡(luò)�����,包 括諸如應(yīng)用級網(wǎng)絡(luò)的覆蓋網(wǎng)絡(luò)和更傳統(tǒng)的J^出設(shè)施。本發(fā)明不限于任何特 定類型的通信網(wǎng)絡(luò)�。在一個實施例中�����,通信網(wǎng)絡(luò)12是互聯(lián)網(wǎng)或者某個其它 公共網(wǎng)絡(luò)�����。
接入技術(shù)的許多例子��,通過所述接入技術(shù)系統(tǒng)22���、 24�����、 26、 28訪問 通信網(wǎng)絡(luò)12,對本領(lǐng)域的技術(shù)人員也是熟悉的,并且相應(yīng)地沒有在圖l中 單獨示出�����。
首先考慮企業(yè)系統(tǒng)22,應(yīng)用服務(wù)器32支持可以提供用于至少被本地 用戶系統(tǒng)38使用的功能的應(yīng)用,所述功能示例性地如服務(wù)��。在部署多個應(yīng) 用服務(wù)器32的情況中�����,每個服務(wù)器支持各自的功能或服務(wù)集�����,所述各自的 功能或服務(wù)集可以或可以不覆蓋由其它服務(wù)器支持的服務(wù)�����。
在一些實施例中�,在企業(yè)系統(tǒng)22、 24的所有者或經(jīng)營者具有協(xié)議的情 況下�����,所述協(xié)議用于被他們的用戶��、和/或在遠程用戶系統(tǒng)設(shè)施28處的用 戶系統(tǒng)49進行系統(tǒng)間訪問��,也使得這些功能可用于被諸如企業(yè)系統(tǒng)24中
12的用戶系統(tǒng)的外部用戶系統(tǒng)使用。
此處對應(yīng)用的使用的參考旨在傳達任何這種功能的理念��。
一般地����,應(yīng)
用服務(wù)器32執(zhí)行軟件應(yīng)用以提供這些功能。在本文中�,諸如web服務(wù)的 服務(wù),是呈現(xiàn)給用戶系統(tǒng)的應(yīng)用功能的例子����。對應(yīng)用、功能和服務(wù)的任何 參考應(yīng)當被相應(yīng)地解釋���。
應(yīng)用服務(wù)器32可以包括如一個或多個處理器����、 一個或多個存儲^殳備的 組件���,以及用于與用戶系統(tǒng)交換應(yīng)用事務(wù)處理信息的接口�����,所述應(yīng)用事務(wù) 處理信息諸如服務(wù)請求消息和對應(yīng)的響應(yīng)����。應(yīng)用服務(wù)器32中的存儲設(shè)備可 以被用來存儲用于被應(yīng)用服務(wù)器處理器使用的操作系統(tǒng)軟件��、應(yīng)用軟件等���。 諸如22的企業(yè)系統(tǒng)經(jīng)常被實現(xiàn)為網(wǎng)絡(luò)�,在這種情況下���,網(wǎng)M口使得應(yīng)用 服務(wù)器32能夠與用戶系統(tǒng)38以及可能的企業(yè)系統(tǒng)的其它組件進行通信��。 在另 一可能的實現(xiàn)中����,應(yīng)用服務(wù)器32包括用于與不同的企業(yè)系統(tǒng)組件通信 的單獨接口�。
用戶系統(tǒng)38可以類似地包括一個或多個處理器、 一個或多個存儲設(shè) 備�����、以及用于與應(yīng)用服務(wù)器32和可能的企業(yè)系統(tǒng)22的其它組件通信的某 類接口����。操作系統(tǒng)軟件����、用于與應(yīng)用服務(wù)器32交互的客戶端軟件�、和/或 其它類型的信息可以被存儲在用戶系統(tǒng)存儲設(shè)備中。
本領(lǐng)域的技術(shù)人員應(yīng)當熟悉許多不同類型的系統(tǒng)�,所述不同類型的系 統(tǒng)提供和/或使用網(wǎng)絡(luò)應(yīng)用。與這些應(yīng)用實際如何被支持相比�����,本發(fā)明的實 施例主要涉及保護與網(wǎng)絡(luò)應(yīng)用的使用相關(guān)聯(lián)的敏感信息���,并且相應(yīng)地此處 僅簡要描述應(yīng)用服務(wù)器32�、用戶系統(tǒng)38和它們的操作��,達到說明本發(fā)明 各方面的必要程度�。
身份系統(tǒng)40表示一般在諸如公司網(wǎng)絡(luò)的企業(yè)系統(tǒng)中被提供的另一組 件,并且對于本領(lǐng)域的技術(shù)人員應(yīng)當是熟悉的�。在許多情況下,訪問由應(yīng) 用服務(wù)器32支持的服務(wù)或其它功能必須被限制到特定用戶集��。身份系統(tǒng) 40����,其例如可以通過與輕量級目錄訪問協(xié)議(LDAP)目錄或其它類型的 用戶數(shù)據(jù)庫進行交互來認證用戶和/或用戶系統(tǒng)���,供應(yīng)可以被用于授權(quán)或拒 絕對網(wǎng)絡(luò)服務(wù)的訪問的數(shù)字身份。
13在結(jié)構(gòu)方面�����,應(yīng)用平臺34包括與應(yīng)用服務(wù)器32的用戶系統(tǒng)接口兼容 的應(yīng)用服務(wù)器接口 (示例性地如應(yīng)用程序接口 (API))����、 一個或多個與 用戶系統(tǒng)38的應(yīng)用服務(wù)器接口兼容的接口 ���,以及用于處理通過這些接口接 收和/或傳輸?shù)南⒒蚱渌畔⒌慕M件��。如以下進一步詳細描述的�,外部用 戶系統(tǒng)可以能夠通過網(wǎng)關(guān)36訪問應(yīng)用服務(wù)器32���,在該情況中��,應(yīng)用平臺 34的用戶系統(tǒng)接口還可以使得應(yīng)用平臺能夠與網(wǎng)關(guān)36進行通信����。不過, 在一些實施例中����,可以為該目的提供單獨的網(wǎng)關(guān)接口。
網(wǎng)關(guān)36也將包括一個或多個與企業(yè)系統(tǒng)22的其它組件的接口兼容的 內(nèi)部接口�、 一個或多個用于使得通信信號能夠通過通信網(wǎng)絡(luò)12被傳輸和/ 或接收的外部接口 、以及用于處理通過這些接口接收和/或傳輸?shù)男盘柕拿?介組件���。
應(yīng)用管理器42表示控制或監(jiān)控單元�,當信息在應(yīng)用服務(wù)器32和本地 用戶系統(tǒng)38或外部用戶系統(tǒng)之間被傳送時����,所述控制或監(jiān)控單元本身可能 不實施實時處理信息。應(yīng)用管理器42可以通過兼容接口與應(yīng)用平臺34和 網(wǎng)關(guān)36進行通信�����,示例性地如通過向平臺和/或網(wǎng)關(guān)下載策略用于執(zhí)行��, 來實施如配置應(yīng)用平臺和/或網(wǎng)關(guān)這樣的功能���。
可以以硬件���、軟件�、固件或其某種組合來實現(xiàn)應(yīng)用平臺34�、網(wǎng)關(guān)36 和應(yīng)用管理器42的內(nèi)部組件。如以下參考圖2描述的裝置提供子系統(tǒng)的說 明性例子����,所述子系統(tǒng)可以被提供在應(yīng)用平臺34或網(wǎng)關(guān)36中。
在所謂的用于企業(yè)網(wǎng)絡(luò)的面向服務(wù)體系結(jié)構(gòu)(SOA)的傳統(tǒng)部署中�, SOA組件被單獨部署并且被集成在每個應(yīng)用服務(wù)器上。發(fā)布用于在網(wǎng)絡(luò)上 使用的服務(wù)�,例如在企業(yè)系統(tǒng)22內(nèi)����,將要求服務(wù)注冊裝置,用于服務(wù)供給 的發(fā)現(xiàn)和管理��。盡管web服務(wù)標準解決限制服務(wù)訪問到被授權(quán)的用戶的需 求��,將需要web服務(wù)策略服務(wù)器來存儲和提供該信息����。由于軟件供應(yīng)商可 能要求對應(yīng)用和服務(wù)器進行實質(zhì)性的改變以便適應(yīng)企業(yè)系統(tǒng),執(zhí)行這些策 略可能還是個挑戰(zhàn)�。
所有這些對企業(yè)來說可能表示一個重大項目,并且有可能具有相當長 的實現(xiàn)周期����。另外�����,實現(xiàn)這種項目要求的技術(shù)是高度專業(yè)的���,這可能使得SOA實現(xiàn)在經(jīng)濟上不是切實可行的。
當例如在企業(yè)系統(tǒng)22�、 24之間向合作伙伴擴展web服務(wù)或其它類型 的應(yīng)用時,對于部署在應(yīng)用服務(wù)器上的SOA基礎(chǔ)設(shè)施甚至存在更多的挑 戰(zhàn)���。例如�,部署在合作伙伴場所處的應(yīng)用可能使用不能自由共享用戶身份 信息的多樣安全機制��,這要求轉(zhuǎn)換用于用戶的安全令牌����。將安全令牌轉(zhuǎn)換 的負擔或其它安全功能置于每個應(yīng)用服務(wù)器上傾向于昂貴并且效率低下。
由于應(yīng)用服務(wù)器本身可能不知道用戶系統(tǒng)或更一般地它的服務(wù)的消費 者是否在它的企業(yè)系統(tǒng)的外部�,數(shù)據(jù)保密性要求也是非常難于或甚至是不 可能在每個應(yīng)用服務(wù)器處執(zhí)行的。
XML-特有的拒絕服務(wù)(XDoS)攻擊�,以及可能的其它威脅,可能在 基于應(yīng)用服務(wù)器的SOA實現(xiàn)中是特別成問題的�。例如�����,web服務(wù)向XDoS 攻擊開放�,這在應(yīng)用服務(wù)器上不能被有效地處理�。
將基于服務(wù)器的SOA移植到web服務(wù)模型以經(jīng)由松耦合應(yīng)用實現(xiàn)應(yīng) 用互操作性,使得需要附加的消息發(fā)送-示例性地如以SOAP報頭和XML 消息的形式-以及用于管理這些消息的附加處理要求成為必要�����。該附加的 開銷消耗網(wǎng)絡(luò)帶寬并且可以對應(yīng)用服務(wù)器硬件產(chǎn)生重大的新要求��。
用于部署SOA基礎(chǔ)設(shè)施的可選模型是將SOA組件集成到企業(yè)網(wǎng)絡(luò)單 元中����,如圖1中所示����。應(yīng)用平臺34、網(wǎng)關(guān)36和應(yīng)用管理器42表示企業(yè)系 統(tǒng)22中的SOA組件����。
將SOA基礎(chǔ)設(shè)施與應(yīng)用服務(wù)器32分開部署可以提供若干好處:SOA 基礎(chǔ)設(shè)施因而是應(yīng)用不可知的,應(yīng)用要求最小的修改��,SOA基礎(chǔ)設(shè)施是端 到端集成的解決方案,應(yīng)用服務(wù)器處理開銷被最小化����,以及網(wǎng)絡(luò)帶寬可以 被優(yōu)化。
隨著基于企業(yè)系統(tǒng)/網(wǎng)絡(luò)的SOA部署����,應(yīng)用進行互操作所要求的任何 消息轉(zhuǎn)換可以根據(jù)在企業(yè)系統(tǒng)內(nèi)設(shè)置的策略而不是通過應(yīng)用本身被實施。 這允許獨立于應(yīng)用來定義轉(zhuǎn)換�,消除了對應(yīng)用供應(yīng)商實現(xiàn)的依賴。
被要求來調(diào)適消息格式和內(nèi)容的商務(wù)邏輯因而由企業(yè)而不是應(yīng)用來提 供�,這使應(yīng)用修改最小化。例如��,可以在企業(yè)網(wǎng)絡(luò)內(nèi)調(diào)適web服務(wù)消息��,來實現(xiàn)應(yīng)用互操作性����。當可能由于吞并、收購或需要與新的合作伙伴聯(lián)合��, 新的互操作要求出現(xiàn)時���,不要求進行應(yīng)用修改����。相反,新的用于消息轉(zhuǎn)換 的策略可以被定義為規(guī)定新的互操作性��。
被部署為集成的企業(yè)網(wǎng)絡(luò)解決方案的SOA基礎(chǔ)設(shè)施可以提供單個監(jiān) 控����、控制和統(tǒng)一報告點,示例性地如應(yīng)用管理器42��。例如�����,這對于使能適 當?shù)墓竟芾?��、持續(xù)的公司改進、以及證明符合有關(guān)數(shù)據(jù)保密性和網(wǎng)絡(luò)安 全的規(guī)章的能力���,會是很重要的�。
出于兩個原因���,可以顯著減少對應(yīng)用互操作性的應(yīng)用服務(wù)器處理要求 應(yīng)用服務(wù)器卸載和減少的被要求的轉(zhuǎn)換的數(shù)量����。轉(zhuǎn)換可以例如在應(yīng)用平臺 34處被一次進行,然后被轉(zhuǎn)發(fā)到多個目的地上���,而不是每個應(yīng)用執(zhí)行它自 己的轉(zhuǎn)換���。
可以通過基于檢查消息SOAP報頭、XML標記或其它消息內(nèi)容將分 組路由至應(yīng)用服務(wù)器32��,來減少被附加的消息流量消耗的網(wǎng)絡(luò)帶寬�。例如, 路由可以對應(yīng)用上下文敏感���,而不是基于靜態(tài)IP地址����。
如果應(yīng)用服務(wù)器功能要被擴展到合作伙伴企業(yè)系統(tǒng)��,被部署為企業(yè)網(wǎng) 絡(luò)基礎(chǔ)設(shè)施的SOA基礎(chǔ)設(shè)施可以提供許多進一步的優(yōu)點���。安全令牌的轉(zhuǎn)換 可以在合作伙伴的網(wǎng)絡(luò)之間的分界點處���,示例性地如在用于外部訪問應(yīng)用 服務(wù)器32的網(wǎng)關(guān)36處���,被一次進行,這提供用于安全策略的單個執(zhí)行點��。 數(shù)據(jù)保密性也可以在數(shù)據(jù)離開安全域的點處被執(zhí)行�����,例如再次在網(wǎng)關(guān)36 處���。這驅(qū)動效率并且減少成本�����。另外�����,目標在于公司web服務(wù)的拒絕服務(wù) 攻擊可以在網(wǎng)關(guān)36處被防御�,網(wǎng)關(guān)36是企業(yè)網(wǎng)絡(luò)邊界�����,可能是處理該問 題的最安全的地方�����。
應(yīng)用平臺34提供用于集成傳統(tǒng)上已作為獨立應(yīng)用運行的應(yīng)用的SOA 基礎(chǔ)設(shè)施�����,并且可以使能這樣的能力控制和監(jiān)控由合法用戶發(fā)起的所有 活動以由此允許生成統(tǒng)一的檢查跟蹤�,轉(zhuǎn)換消息和文檔格式,管理包括web 服務(wù)的分階私艮示(rollout)和例如發(fā)生意外行為回退到之前版本的應(yīng)用 的生命周期�,以及監(jiān)控應(yīng)用/服務(wù)性能來保證應(yīng)用/服務(wù)滿足內(nèi)部公司要求。
類似此處指出的其它功能例子��,應(yīng)用平臺34的示例性功能的該清單決不是限制性的或窮舉的�。許多功能可以被獨立實現(xiàn),每個實施例不需要一 定提供所有功能��,并且其它功能對本領(lǐng)域的技術(shù)人員還可以是或變得明顯 的�����。
應(yīng)用平臺34的好處可以包括如以上指出的通過對現(xiàn)存應(yīng)用的最小改 變減少應(yīng)用集成成本�����;保證對公司應(yīng)用的訪問遵守政府規(guī)章;對雇員訪問 web服務(wù)的中央監(jiān)控和控制點�����;以及通過統(tǒng)一的報告對公司的持續(xù)改進���。
通過通信網(wǎng)絡(luò)12����,網(wǎng)關(guān)36將企業(yè)系統(tǒng)22提供的內(nèi)聯(lián)網(wǎng)SOA有效地 擴展為外聯(lián)網(wǎng)����,允許與消費者和合作伙伴無縫地集成,而不損害安全或保 密性�����。網(wǎng)關(guān)36的功能可以包括��,可能特別是���,以下中的任何一項或全部 向合作伙伴外聯(lián)網(wǎng)和分支點擴展應(yīng)用����、提供合作伙伴訪問應(yīng)用的無縫移動 性、保證合作伙伴訪問公司應(yīng)用遵守政府規(guī)章�、以及維護公司身份的保密 性而不損害追蹤能力���。
在從與企業(yè)系統(tǒng)22相關(guān)聯(lián)的任何合作伙伴站點提供對應(yīng)用服務(wù)器32 的移動訪問中���,網(wǎng)關(guān)36可以允許合作伙伴機構(gòu)的安全標識以及接受不同安 全域之間的身份。當保證所有數(shù)據(jù)根據(jù)公司策略保持保密時�,用于用戶系 統(tǒng)的應(yīng)用消息和數(shù)據(jù)轉(zhuǎn)換還可以由網(wǎng)關(guān)36提供,所述用戶系統(tǒng)與外部合作 伙伴站點相關(guān)聯(lián)����。網(wǎng)關(guān)36可以收集所有應(yīng)用訪問的統(tǒng)一檢查追蹤并且提供 給外部合作伙伴企業(yè)系統(tǒng),例如來證明符合規(guī)章����。
應(yīng)用管理器42提供中央點,用于監(jiān)控和控制企業(yè)系統(tǒng)22中的應(yīng)用平 臺34�����、網(wǎng)關(guān)36以及任何其它平臺和網(wǎng)關(guān)(未示出)�。用于所有應(yīng)用以便 保證改進公司管理和/或遵守政府規(guī)章的全局一致的策略,還可以通過應(yīng)用 管理器42在一些實施例中被建立���,并且被發(fā)布到應(yīng)用平臺34和網(wǎng)關(guān)36 用于執(zhí)行��。中夬應(yīng)用管理器42還可以規(guī)定全局一致的應(yīng)用改變管理���。
如以上指出的�,企業(yè)系統(tǒng)24可以實質(zhì)上類似于企業(yè)系統(tǒng)22 ��。
企業(yè)系統(tǒng)22包括應(yīng)用服務(wù)器32和一個或多個用戶系統(tǒng)38兩者����,應(yīng)用 服務(wù)器32支持應(yīng)用,用戶系統(tǒng)38可以使用那些應(yīng)用���。然而����,應(yīng)當理解�����, 應(yīng)用服務(wù)器和用戶系統(tǒng)不需要一定是共處一地的�。例如,應(yīng)用系統(tǒng)26包括 一個或多個應(yīng)用服務(wù)器46�����,但不包括本地用戶系統(tǒng)。盡管在應(yīng)用系統(tǒng)26
17中僅示出應(yīng)用平臺44,應(yīng)用系統(tǒng)的一些實現(xiàn)還可以包括網(wǎng)關(guān)���。盡管如所示 的應(yīng)用系統(tǒng)26可能適用于例如遠程數(shù)據(jù)中心,所述遠程數(shù)據(jù)中心與如企業(yè) 系統(tǒng)22的主要數(shù)據(jù)中心相關(guān)聯(lián)����,獨立的或"非附屬的"應(yīng)用系統(tǒng)可能還包括 例如用于處理外部用戶的認證的網(wǎng)關(guān),所述獨立的或"非附屬的"應(yīng)用系統(tǒng) 托管用于被外部用戶系統(tǒng)使用的應(yīng)用�����。
應(yīng)用系統(tǒng)26中的應(yīng)用平臺44可以與企業(yè)系統(tǒng)22的應(yīng)用管理器42交 互�����,或者更一般地���,與它的附屬企業(yè)系統(tǒng)的應(yīng)用管理器交互�����。在獨立應(yīng)用 系統(tǒng)的情況中��,可以提供本地應(yīng)用管理器��。在一些實現(xiàn)中�����,外部服務(wù)控制 器29與多個不同域中的SOA基礎(chǔ)設(shè)施組件交互��。例如�,可操作地耦合到 通信網(wǎng)絡(luò)12的外部服務(wù)控制器29,可以配置網(wǎng)關(guān)36和企業(yè)系統(tǒng)24中的 網(wǎng)關(guān),來收集和交換應(yīng)用性能統(tǒng)計資料(statistics)�。
僅有用戶的部署在圖1中被示為遠程用戶系統(tǒng)設(shè)施28。應(yīng)用代理48 允許在合作伙伴或分支點處的用戶系統(tǒng)49例如使用由位于遠處的應(yīng)用服 務(wù)器提供的應(yīng)用�。在一個實施例中,應(yīng)用代理48是網(wǎng)關(guān)36的成比例縮小 版本�。類似于網(wǎng)關(guān)36,在與企業(yè)系統(tǒng)22認證用戶系統(tǒng)49期間�����,應(yīng)用代理 48可以維護公司身份的保密性而不損害追蹤能力����,并且使用例如隧道技術(shù) 來支持通過通信網(wǎng)絡(luò)12的安全通信,但是不需要一定能夠認證外部用戶, 因為遠程用戶系統(tǒng)設(shè)施28不托管可以被外部用戶系統(tǒng)使用的應(yīng)用�。
在操作中,希望使用由應(yīng)用服務(wù)器32提供的應(yīng)用的用戶系統(tǒng)38首先 被身份系統(tǒng)40認證���。本領(lǐng)域的技術(shù)人員應(yīng)當熟悉許多可以被用于該目的的 安全方案�����,諸如用戶名/密碼認證��。在支持遠程訪問應(yīng)用服務(wù)器32的情況 下����,用戶認證可以由網(wǎng)關(guān)36處理����,可能地通過與外部身份系統(tǒng)的交互���。當 用戶系統(tǒng)在本地^^連接到企業(yè)系統(tǒng)22并且希望訪問應(yīng)用服務(wù)器32時��,在 認證中還可以涉及網(wǎng)關(guān)36��,所述用戶系統(tǒng)與合作伙伴企業(yè)系統(tǒng)或站點相關(guān) 聯(lián)��。
當用戶已經(jīng)被認證��,可以在用戶系統(tǒng)和應(yīng)用服務(wù)器32之間交換消息或 其它形式的信息���。在單個成功認證之后��,用戶可以凈皮允許訪問多個應(yīng)用�。 如以上指出的��,需要改進的技術(shù)用于保護要在安全域外傳送的信息����。
18根據(jù)本發(fā)明實施例的數(shù)據(jù)保護方案可以包括檢測階段和保護階段。檢測階
段檢測例如在web服務(wù)消息中的敏感信息�,所述敏感信息在傳輸中應(yīng)當被 保護。保護階段在被檢測的敏感信息以及可能的整個消息上實施動作����,所 述動作在一些實施例中可以是可配置的。
檢測過程可以"良務(wù)特定的���,能采取若干種形式���,諸如保護到/來自服 務(wù)的所有服務(wù)訪問信息、僅保護到/來自特定用戶的服務(wù)訪問信息、和/或僅 當特定字段在服務(wù)消息中出現(xiàn)時保護服務(wù)訪問信息�����??梢栽谌植呗灾校?或者在例如對服務(wù)��、服務(wù)器�、或用戶特定的策略中,指定是否應(yīng)用保護���, 以及如果應(yīng)用保護的話要使用的保護才幾制�����。可能的保護動作可以包括以下 中的任何一個或全部丟棄消息或僅僅被檢測的敏感信息����、數(shù)字簽名消息 或僅僅被檢測的敏感信息、加密消息的全部或一部分�、以及可能其它的。
此處公開的技術(shù)例如可以在公司網(wǎng)絡(luò)中的網(wǎng)關(guān)36處被實現(xiàn)��。在該情況 中,網(wǎng)關(guān)36被配置為處理諸如web服務(wù)消息的服務(wù)相關(guān)信息���,所述服務(wù) 相關(guān)信息可以進入和離開它們的安全域����。當例如經(jīng)由web服務(wù)策略規(guī)定該 特征時�,諸如36的網(wǎng)關(guān)變成網(wǎng)絡(luò)駐留數(shù)據(jù)保護確保點和/或加密點。這在 網(wǎng)關(guān)中可以是非常重要的特征�����,因為它直接解決了在多個市場部門中網(wǎng)絡(luò) 和應(yīng)用管理員的直接需求�。在所述網(wǎng)關(guān)提供對本地服務(wù)的外部訪問的場合, 例如通過注冊中心����,所述網(wǎng)關(guān)也高度了解所述服務(wù),并且因此考慮到被應(yīng) 用的保護���,可以更加有選擇性�。
本發(fā)明的基于網(wǎng)關(guān)和/或應(yīng)用平臺的實施例可以特別適用于SO A設(shè)置��。 在其它實施例中����,可以將保護機制與應(yīng)用服務(wù)器或其它網(wǎng)絡(luò)組件集成��。
圖2是根據(jù)本發(fā)明實施例的裝置的框圖��。裝置50包括用戶系統(tǒng)接口 52�、外部接口 54���、服務(wù)訪問信息處理器56���、以及保護模塊60,所述服務(wù) 訪問信息處理器56可操作地耦合到所述用戶系統(tǒng)接口 ��、耦合到保護策略數(shù) 據(jù)庫58���、以及耦合到一個或多個應(yīng)用服務(wù)器接口 66�,所述保護模塊60可 操作地耦合到所述服務(wù)訪問信息處理器和所述外部接口 ��。
如以上參考圖l所指出的���,附圖的內(nèi)容僅出于說明的目的。例如��,實 現(xiàn)裝置50的設(shè)備可以包括沒有被明確示出的附加組件。根據(jù)這樣的點或者設(shè)備/系統(tǒng)的不同���,這些組件可以采取各種形式���,在所述點處或在所述設(shè)備
/系統(tǒng)中實現(xiàn)裝置50。 一般地��,裝置的其它實施例可以包括具有類似的或不 同的互連的��、比明確示出的更多的�、更少的、或不同的組件����。
連接的類型至少在某種程度上可以是取決于實現(xiàn)的,圖2的組件通過 所述連接可操作地被耦合�。電子設(shè)備經(jīng)常使用各種類型的物理連接器和有 線連接。例如��,在協(xié)同操作軟件功能的情況中�,操作上的耦合可以通過變 量、寄存器���、或存儲器的通常被訪問的區(qū)域�,并且因而包括邏輯耦合。
硬件����、軟件、固件或其組合可以被用來實現(xiàn)裝置50的組件��。諸如微處 理器�、孩i控制器、可編程邏輯器件(PLD )�����、現(xiàn)場可編程門陣列(FPGA)�����、 專用集成電路(ASIC)以及其它類型的"智能"集成電路的處理單元可以適 用于該目的��。
裝置50可以通過接口 52��、 54����、 66與本地通信網(wǎng)絡(luò)和合作伙伴網(wǎng)絡(luò)的 其它組件交互。這些接口可以是相同類型或不同類型的����,或者在使用相同 通信介質(zhì)用于與所有其它組件進行信息傳送的情況下,甚至是同 一接口 ���。 然而����,在許多實現(xiàn)中��,有可能用戶系統(tǒng)接口 52將至少不同于應(yīng)用服務(wù)器接 口 66�����,并且有可能可以為不同的應(yīng)用服務(wù)器提供不同類型的多個應(yīng)用服務(wù) 器接口�����。外部接口 54可以是另一不同接口����。
用戶系統(tǒng)接口 52使得裝置50能夠與用戶系統(tǒng)交換諸如web服務(wù)消息 的應(yīng)用訪問信息。每個應(yīng)用服務(wù)器接口 66類似地允許裝置50與各自的一 個或多個應(yīng)用服務(wù)器集交換應(yīng)用訪問信息���。例如���,當在網(wǎng)關(guān)處實現(xiàn)裝置50
由于網(wǎng)關(guān)可以處理用于企業(yè)系統(tǒng)的所有應(yīng)用訪問信息��,所以用于裝置50 的該類型的體系結(jié)構(gòu)可能是適當?shù)?。然而�����,?yīng)當理解的是���,其它實現(xiàn)也是 可能的�。
通過外部接口 54,裝置50可以與遠程用戶系統(tǒng)交換信息��。例如����,在 圖1的系統(tǒng)中,企業(yè)系統(tǒng)22��、 24之間的交換可以涉及通過通信網(wǎng)絡(luò)12和 企業(yè)系統(tǒng)處的適當網(wǎng),口傳送信息���?���?梢栽诰W(wǎng)關(guān)36處和在企業(yè)系統(tǒng)24 處的對應(yīng)網(wǎng)關(guān)處提供與通信網(wǎng)絡(luò)12兼容的網(wǎng)絡(luò)接口。才艮據(jù)本發(fā)明的一個實
20施例����,當信息穿越企業(yè)系統(tǒng)的安全域的邊界處時�,企業(yè)系統(tǒng)中的網(wǎng)關(guān)負責 提供用于信息的保護。
接口 52��、 54�、 66的結(jié)構(gòu)和操作至少某種程度上將依賴于在信息傳送中 使用的通信介質(zhì)和協(xié)議。本領(lǐng)域的技術(shù)人員應(yīng)當熟悉許多類型的接口��,通 過所述接口應(yīng)用訪問信息可以被裝置50接收和/或傳輸��。這些接口還可以 取決于裝置50在企業(yè)系統(tǒng)或其它安全域中被實現(xiàn)的位置而變化����。
可以在一個或多個存儲設(shè)備中提供保護策略數(shù)據(jù)庫58。固態(tài)存儲設(shè)備 在電子裝備中是普通的����,可以使用該類型的一個或多個存儲設(shè)備來實現(xiàn)保 護策略數(shù)據(jù)庫58。然而�,其它類型的存儲設(shè)備,包括用于與可移動的或者 甚至可拆卸的存儲介質(zhì)使用的存儲設(shè)備,還可以或者替代地4皮用來存儲保 護策略數(shù)據(jù)庫58���。
保護策略可以#皮指定為用于服務(wù)的策略的一部分或者單獨被指定�,所 述服務(wù)的策略還可以包括服務(wù)訪問限制�、信息轉(zhuǎn)換/格式化要求、和/或?qū)κ?用所述服務(wù)的監(jiān)控要求�。企業(yè)系統(tǒng)管理員可以建立用戶特定的策略、應(yīng)用/ 服務(wù)特定的策略���、以及本地企業(yè)范圍的策略的任何一個或全部��,來控制是 否以及如何保護信息用于外部傳送�����。
如以上指出的����,可以使用硬件����、軟件和/或固件來實現(xiàn)裝置50的組件。 因此����,此處主要在功能方面描述了這些組件�����?�;诠δ苊枋?����,本領(lǐng)域的技 術(shù)人員將能夠根據(jù)本發(fā)明的實施例以各種方式的任何一種實現(xiàn)服務(wù)監(jiān)控技 術(shù)。
在操作中����,服務(wù)訪問信息處理器56和保護模塊60保護諸如公司的應(yīng) 用數(shù)據(jù)的敏感信息。該保護可以基于有規(guī)章意識(regulation-aware)的策 略以及靈活的服務(wù)訪問信息處理��。本發(fā)明實施例的改進的選擇性和靈活性 結(jié)合web服務(wù)和其它信息交換方案可以是特別有用的��,這對基于公司和/ 或政府規(guī)章確保被傳輸?shù)臄?shù)據(jù)的安全既是獨特的挑戰(zhàn)也是機會��。
實施安全域的信息保護的最有效點���,可能是在這種域的邊界����,在所述 邊界處敏感信息可以傳遞到和/或從公共的或者另外非安全的外部系統(tǒng)。企 業(yè)系統(tǒng)網(wǎng)關(guān)36 (圖1)是一個這種邊界系統(tǒng)的例子��,使用例如XML處理設(shè)備可以實現(xiàn)所述邊界系統(tǒng)���,來確保保護公司或其它數(shù)據(jù)�。
使用網(wǎng)關(guān)進行數(shù)據(jù)保護的一個關(guān)鍵特征是執(zhí)行保護離開和/或進入安 全域的所有數(shù)據(jù)的能力�����。為了獲得該類型的功能��,可以以這樣的方式配置
諸如企業(yè)網(wǎng)絡(luò)的通信網(wǎng)絡(luò)�����,以便所有的XML和服務(wù)相關(guān)流量4皮該網(wǎng)關(guān)處 理���。在圖1的系統(tǒng)IO中���,網(wǎng)關(guān)36處理用于企業(yè)系統(tǒng)22的包括入站和出站 的所有外部通信。例如���,由諸如在企業(yè)系統(tǒng)22中的用戶系統(tǒng)38的客戶端 生成的所有外部的服務(wù)相關(guān)的請求���、來自諸如在企業(yè)系統(tǒng)24中的應(yīng)用服務(wù) 器或者在應(yīng)用系統(tǒng)26中的應(yīng)用服務(wù)器46的外部服務(wù)器的響應(yīng)����、來自諸如 在企業(yè)系統(tǒng)24中或者在遠程用戶系統(tǒng)i殳施28中用于訪問應(yīng)用服務(wù)器32 的用戶系統(tǒng)的外部客戶端的請求�����、以及應(yīng)用服務(wù)器32對外部發(fā)起的請求的 響應(yīng)����,都由網(wǎng)關(guān)36處理���。
然而����,應(yīng)當理解的是���,不需要一定僅在網(wǎng)關(guān)中實現(xiàn)裝置50�。例如��,在 應(yīng)用系統(tǒng)26中,可以在應(yīng)用平臺44處實現(xiàn)裝置50��,以保護通過通信網(wǎng)絡(luò) 12在應(yīng)用服務(wù)器46和遠程客戶端之間被外部傳送的信息����。類似地,應(yīng)用 4戈理48可以實現(xiàn)裝置50來保護#>傳送到它的用戶系統(tǒng)49或從它的用戶系 統(tǒng)49傳送的敏感信息�。可以在應(yīng)用服務(wù)器和/或用戶系統(tǒng)處類似地實現(xiàn)保 護機制���。
服務(wù)訪問信息處理器56接收并處理服務(wù)訪問信息�,示例性地如服務(wù)消 息�����,來確定那些消息是否包括應(yīng)當被保護的敏感信息��。服務(wù)消息表示可能 包括敏感信息的服務(wù)相關(guān)信息的類型的例子���。然而����,本發(fā)明決不限于服務(wù) 相關(guān)信息的任何特定格式��。
例如,此處公開的技術(shù)可以被應(yīng)用于已經(jīng)被格式化例如作為web服務(wù) 消息用于在應(yīng)用服務(wù)器和用戶系統(tǒng)之間傳送的服務(wù)訪問信息��,或者應(yīng)用于 要被包括在這種格式化的消息或塊中的服務(wù)訪問信息��。假定在衛(wèi)生保健提 供者的網(wǎng)絡(luò)中存在的服務(wù)要僅僅在安全域內(nèi)發(fā)布病人的醫(yī)療信息�����,以及要 對發(fā)往安全域外的外部用戶系統(tǒng)的服務(wù)消息實施丟棄保護動作����。在保護機 制在服務(wù)消息上操作的場合,包含病人的醫(yī)療信息的服務(wù)消息被丟棄�����。另 一可能選項是確定病人的醫(yī)療信息要被包括在發(fā)往外部的服務(wù)消息中�����,并且完全防止或阻止訪問該信息����,示例性地如在服務(wù)訪問請求到達服務(wù)前刪 掉它��。
因此,此處對服務(wù)訪問信息和服務(wù)消息的引用應(yīng)當被相應(yīng)地解釋����。描 述的如關(guān)于服務(wù)消息被實施的功能還可以或者替代地在其它類型的服務(wù)訪 問信息上被實施。
在一個實施例中�����,使用若干高級組件來實現(xiàn)服務(wù)訪問信息處理器56 的功能����,所述高級組件包括規(guī)范說明語言(RSL) 、 RSL編譯器和RSL 執(zhí)行路徑或環(huán)境����。以下進一步詳細描述這些組件。
RSL是高等級構(gòu)造����,被用來以靈活方式指定用于敏感信息保護策略的 />司或1^規(guī)章。RSL可以被用來詳述服務(wù)訪問信息處理器56如何實施 敏感信息的檢測��,以及保護模塊60如何實施保護機制�����。
服務(wù)訪問信息處理器56作出的敏感信息檢測決定,可以例如基于以下 中的任何一個或全部關(guān)于服務(wù)的細節(jié)�、關(guān)于服務(wù)的外部用戶的細節(jié)、和/ 或在服務(wù)訪問信息上的特定查詢的分辨率(resolution)��,其中�,接收的服 務(wù)訪問信息與所述服務(wù)相關(guān)聯(lián)。指定檢測標準的一個可能方法是��,作為被 用來解析XML文檔和SOAP消息的XPath/XQuery ( X路徑/X查詢)聲 明的序列����。
RSL還可以包含強大的"庫,����,或者模塊,所述"庫��,��,或者模塊供給用于符 合特定規(guī)章的完整標準��。例如��,HIPAA庫可以被用來保證所有的服務(wù)消息 遵循對交換健康信息的HIPAA保密性限制����,而不要求管理員直接配置它 們。這些庫表示被鑒定的�、破章或要求特定的模塊的例子,所述模塊初始 可以被部署或動態(tài)下栽到網(wǎng)關(guān)或者實現(xiàn)裝置50的其它設(shè)備�����。例如�����,模塊可 以被下載到具有要求該模塊的保護策略的網(wǎng)關(guān)�����?��?梢詥为毺幚韺σ?guī)章特定 的模塊的使能或選擇����,以便當前部署的模塊集的特定模塊可以被選擇用于 需要的使用�����。
服務(wù)訪問信息處理器56,或者其檢測階段,還可以或者相反地包括 AI單元�,所述AI單元在結(jié)構(gòu)未知的文檔中示例性地如通過模式匹配促進 對敏感信息的基于內(nèi)容的檢測。例如��,AI單元可以被用來檢測對公司金融數(shù)據(jù)的未授權(quán)的或者疏忽的頒布��。
保證服務(wù)消息符合保密性規(guī)章���,可能需要例如在XML處理設(shè)備內(nèi)高 速處理消息�����。為了獲得高處理速度��,RSL源代碼可以被編譯成簡潔的和最 優(yōu)化的格式�,此處被稱為RSL程序���,它描述必須被采取來保護傳輸?shù)牟襟E���。 該程序可以特定于服務(wù),或者對例如基于web服務(wù)標準和一般政府規(guī)章的
許多服務(wù)可以是可應(yīng)用的��。
可以以基于表的格式或者以可擴展樣式表語言轉(zhuǎn)換(XSLT)格式來 表示RSL程序。在表格式中�����,檢測標準可以被映射到當檢測到滿足標準的 信息時要實施的保護動作����,并且也映射到動作目標���,示例性地如消息或者 消息的指定部分���,在所述消息或者消息的指定部分上要實施保護動作。該 映射可以是明確指定的����,或者是在表格式中隱含的,例如在所M格式中����,
保護動作描述在服務(wù)訪問信息上應(yīng)當被實施的操作。例如�����,"丟棄-未 發(fā)現(xiàn)(Discard-Not Found),�,保護動作,可以被用來指定如果不滿足檢 測標準�����,則整個消息要被丟棄���。該類型的保護動作阻止外部傳送未包括特 定數(shù)據(jù)的消息�。"丟棄-消息(Discard-Message)"保護動作還可以導致消 息丟棄����,盡管在該情況中,如果消息包含在檢測標準中指定的敏感信息時��, 它被丟棄����。該類型的動作對于防止特定信息纟皮發(fā)布到外部是有用的。
保護動作可以���,但是不需要一定�,被應(yīng)用于整個消息或者接收的服務(wù) 訪問信息的其它塊��。動作目標允許保護動作被應(yīng)用于消息或服務(wù)訪問信息 的特定部分。例如���,對于"丟棄-目標(Discard-Target)"動作���,如果滿足 檢測標準����,指定的動作目標被丟棄。
在滿足或不滿足檢測標準時����,加密是可能的保護動作或者動作目標的 另一例子,所述保護動作可以在服務(wù)訪問信息上被實施���。數(shù)字簽名不保護 敏感信息的機密性����,但是可以用于例如認可或者保護信息完整性的目的��。
其它保護動作也是可能的�����。
如以上指出的,表格式是表示RSL程序的一個選項��。表示RSL程序 的可選方法是使用XSLT���。 XSLT是在XML規(guī)范中定義的并且描述能將XML文檔變換成其它形式的程序的語言�����。盡管XSLT變換操作由不支持 加密的標準定義�,將所述標準擴展為包括支持加密作為保護動作是有可能 的���。RSL編譯器可能可以將RSL源代碼變換成使用自定義擴展用于加密 的XSLT�。 XSLT然后可以在RSL執(zhí)行環(huán)境中的XML文檔上被執(zhí)行��,產(chǎn) 生被加密���、簽名�、移除等的正確字段��。例如�����,在服務(wù)訪問信息處理器56 和保護模塊60中提供的RSL執(zhí)行環(huán)境,將接收XML消息作為輸入���,向 該消息應(yīng)用RSL程序�����,并且返回修改的XML作為輸出����。然而���,如果RSL 動作是丟棄該消息,修改的XML沒有必要被返回��。
RSL程序表示將檢測和保護功能集成到單個功能單元-RSL執(zhí)行環(huán) 境-中的實現(xiàn)的例子��,并且說明本發(fā)明決不限于在圖2中示出的功能劃分���。 此處對單獨的服務(wù)訪問信息處理器和保護模塊的引用應(yīng)當相應(yīng)地被解釋���, 以覆蓋這樣的實施例,在所述實施例中檢測和保護在一個或多于一個的功 能單元中被實現(xiàn)���。
假定RSL執(zhí)行環(huán)境在企業(yè)系統(tǒng)網(wǎng)關(guān)中的裝置50內(nèi)運行���。響應(yīng)于從外 部客戶端接收的請求���,在企業(yè)系統(tǒng)中的應(yīng)用服務(wù)器向該網(wǎng)關(guān)發(fā)送消息,并 且該消息通過應(yīng)用服務(wù)器接口 66到達服務(wù)訪問信息處理器56����。應(yīng)當注意 的是,外部請求消息本來可以如此處描述的由裝置50充分處理�����,盡管在許 多實現(xiàn)中信息保護的主要焦點可能是保護被存儲在企業(yè)系統(tǒng)處并且正被轉(zhuǎn) 發(fā)到那個系統(tǒng)外的信息�����,即����,在該例子中是應(yīng)用服務(wù)器響應(yīng)消息。
通過實施如將消息解析成適當格式來加速數(shù)據(jù)檢測和/或保護��,服務(wù)訪 問信息處理器56可以處理接收的消息��。在服務(wù)訪問信息處理器56的硬件 輔助的實施例中,XML文檔的解析由XML解析芯片處理�。
基于服務(wù)消息要發(fā)往的地址和/或一個或多個諸如用戶或合作伙伴公 司特定的數(shù)據(jù)的其它標準,應(yīng)用于消息的保護策略凈i^良務(wù)訪問信息處理器 56在保護策略數(shù)據(jù)庫58中識別并且從中檢索�����。如以上指出的�����,保護策略 可以與其它月艮務(wù)相關(guān)策略一起或者單獨地在服務(wù)策略中被指定����。
如果保護策略指定RSL程序��,則RSL程序執(zhí)行開始�。RSL程序可以 被存儲在保護策略數(shù)據(jù)庫58中或者被存儲在單獨的存儲設(shè)備或區(qū)域中。存儲在數(shù)據(jù)庫58中的保護策略�,可以包括適當?shù)腞SL程序,或者諸如RSL 程序的名或存儲地址的標識符�。盡管有可能多個RSL程序或者策略對可以 對單個消息是可應(yīng)用的,單個策略可以支配(govern)用于與相同服務(wù)相 關(guān)的所有消息的數(shù)據(jù)保護�����。
RSL程序以被修改的消息、和/或代碼或其它指示是否應(yīng)當丟棄該消息 的指示的形式返回輸出�����。如果不丟棄該消息����,則由RSL程序返回的被修改 的消息對應(yīng)于被應(yīng)用了適當保護動作的最初接收的消息。在裝置50中����,保 護模塊60實施保護動作。被修改的消息被提供到外部接口 54用于傳送���, 除非保護動作是丟棄整個消息����。
如果該消息要被丟棄����,則SOAP故障或者其它錯誤指示可以被保護模 塊60傳輸?shù)桨l(fā)起客戶端。
入站消息不需要一定^J良務(wù)訪問信息處理器56和保護模塊60以該方 式處理���。然而��,仍舊可以在入站消息處理中涉及保護模塊60��,其中����,入站 消息或其任何部分已被外部網(wǎng)關(guān)或者保護裝置加密和/或數(shù)字簽名。保護模 塊60在該情況中可以在該信息被傳遞到用戶系統(tǒng)接口 52或者應(yīng)用服務(wù)器 接口 66之前�,解密被加密的消息和/或在數(shù)字簽名消息上檢查數(shù)字簽名。
以上主要參考圖1的通信系統(tǒng)10和圖2的裝置50描述了本發(fā)明的實 施例�。圖3是根據(jù)本發(fā)明另一實施例的方法的流程圖。方法70示出在對服 務(wù)訪問信息選擇性地應(yīng)用保護動作中涉及的操作�。
在72,服務(wù)訪問信息被接收����,所述服務(wù)訪問信息諸如對外部發(fā)起的訪 問請求的響應(yīng)消息。然后在74作出關(guān)于是否應(yīng)當對接收的消息應(yīng)用保護策 略的確定�����。如果是的話�,則在78處應(yīng)用策略�,例如通過實施一個或多個保 護動作。否則,服務(wù)訪問信息在76被朝向它的目的地傳送����。
方法70說明本發(fā)明的一個實施例。其它實施例可以涉及實施更少的�、 附加的、或者不同的操作�����,和/或以不同于示出的順序?qū)嵤┎僮?���。例如,?78處應(yīng)用策略后����,可以在76處向目的地傳送服務(wù)訪問信息或者其被修改 的版本。還可以以各種方式的任何一種來實施示出的操作以及其它�����。從之 前的例如圖1和圖2的描述�����,這些變化的一些將是明顯的,并且進一步的
26變化對本領(lǐng)域的技術(shù)人員可以是或變得明顯的�����。
圖4是示出在執(zhí)行基于表格式的RSL程序中涉及的操作的流程圖���。在 一些實施例中可以在78 (圖3)實施這些操作��。
在82�����,接收的服務(wù)訪問信息和基于表的RSL程序凈皮輸入到執(zhí)行單元�。 表位置計數(shù)器初始被設(shè)置為0來索引第一表項�。表項被傳遞到檢測機制。 在84處示出的檢測機制�,可以對接收的XML消息運行XPath/XQuery, 例如來確定^皮請求的包含敏感信息的XML標記是否在該消息中出現(xiàn)�����。在 86處表示的查詢的真/假結(jié)果確定是否應(yīng)當在卯處實施在表項中指定的保 護動作��。例如��,如果搜索〈Productlnfo〉(產(chǎn)品信息)標記返回真����,采取對 應(yīng)的保護動作。
如果不滿足當前表項中的檢測標準或條件�,則該項目被忽視,如在88 所示出的�。"丟棄-未發(fā)現(xiàn)"保護動作是該流程的一個例外,因為響應(yīng)于假結(jié) 果��,接收的服務(wù)訪問信息將被丟棄����。
在搜索返回真的場合,在90���,在動作目標上����,或者在一些情況下在接 收的服務(wù)訪問信息的整個塊上��,實施指定的保護動作�����。以上已描述了可能 的保護動作的例子。在一些實施例中�,評估動作目標XPath/XQuery并且 在動作目標上實施保護動作。
如果有更多的檢測標準��,如在92處確定的在該例子中的表項�,則表位 置計數(shù)器被增加到下一個表項并且執(zhí)行在84繼續(xù)。否則��,執(zhí)行在94結(jié)束���, 而修改的服務(wù)訪問信息或者丟棄接收的服務(wù)訪問信息的命令被返回���。
在92的流程也可以有例外,其中���,處理表項的結(jié)果是�,接收的服務(wù)訪 問信息要被丟棄��。在該情況中����,不進一步處理接收的服務(wù)訪問信息可能是 必要的,而RSL程序的執(zhí)行可以被中止�����。
圖5是根據(jù)本發(fā)明另一實施例的數(shù)據(jù)結(jié)構(gòu)的框圖����。數(shù)據(jù)結(jié)構(gòu)100包括 檢測標準102、保護動作104和動作目標106�����,并且可能例如被存儲在策略 存儲器內(nèi)或者作為表項被存儲在基于表的RSL程序中���。
檢測標準102識別敏感信息�,對所述敏感信息將實施保護動作104�。 搜索項、XML標記�、以及要被檢測的實際敏感信息,可以在102被包括在數(shù)據(jù)結(jié)構(gòu)100中�。在104可以使用動作名、與軟件代碼相關(guān)聯(lián)的存儲位置 等來識別保護動作���,在所述軟件代碼中所述動作被實現(xiàn)����。以上已描述了檢 測標準和保護動作的例子。
根據(jù)要處理的消息或信息的類型的不同�,可以以若干種方式的任何一 種指定動作目標106。例如����,對web服務(wù)消息,動作目標106可以指定一 個或多個消息段��,當滿足或在一些情況中不滿足在102識別的檢測標準時��, 對所述消息段將應(yīng)用保護動作104���。
數(shù)據(jù)結(jié)構(gòu)100的變化可以包括比示出的更少的�����、附加的�、或不同的字 段����、和/或字段配置,具有類似的或不同的順序����。數(shù)據(jù)結(jié)構(gòu)可能不包括在圖 5中示出的全部字段����。例如����,如果要在整個消息上實施保護動作�����,動作目 標106可以被忽略���。根據(jù)另一可能的變化�����,數(shù)據(jù)結(jié)構(gòu)可以可能地指定多個 檢測標準����、多個保護動作����、和/或多個動作目標。進一步的變化對本領(lǐng)域的 技術(shù)人員可以是或變得明顯的����。
本發(fā)明的實施例提供能力來在信息離開安全域的點處執(zhí)行信息保密性 策略��,有效地從應(yīng)用設(shè)計中去耦信息保護要求��。
通過確定在web服務(wù)消息中包含的信息是否應(yīng)當被保護�����,此處公開的 技術(shù)可以被用來保證并且證明例如使用web服務(wù)的信息訪問滿足所有可應(yīng) 用的管理和/或公司信息安全要求���。如果沒有信息被確定為是敏感的,則該 消息被沒有附加保護處理地發(fā)送到它的目的地�。僅包含被認為是敏感的信 息的消息i^V保護階段,在所述保護階段可配置的動作被應(yīng)用到該消息的 全部或部分�����,所述可配置的動作諸如過濾(丟棄)���、數(shù)字簽名�����、和/或加密��。
在網(wǎng)關(guān)或其它接入點處����,有可能實現(xiàn)用于檢測web服務(wù)消息中的敏感 信息的唯一方法并且保證遵守政府規(guī)章,其中�����,通過所述網(wǎng)關(guān)或其它接入 點外部用戶可以訪問安全域�。網(wǎng)關(guān)提供用于數(shù)據(jù)保護的完整的管理和公司 管理解決方案的能力�����,允許它在多個垂直市場中解決網(wǎng)絡(luò)和應(yīng)用管理員的 直接需求�。提前規(guī)定的供給以及可能的被鑒定的包(packages)用于諸如 HIPAA的一般規(guī)章,可以在規(guī)章涉及的垂直市場中增加信息保護特征的價 值���。
28如之前描述的����,端到端加密不是用于web服務(wù)的強壯的解決方案����。加 密接口也不以可擴縮的方式解決遵守規(guī)章的根本問題��。
如此處提議的�����,敏感信息的實時識別和僅僅敏感信息的選擇性保護是 可擴縮的解決方案�����,但是當前沒有可用的產(chǎn)品����,來允許網(wǎng)絡(luò)和應(yīng)用管理員 選擇該選項用于web服務(wù)消息和其它形式的服務(wù)訪問信息���。隨著web服務(wù) 和面向服務(wù)體系結(jié)構(gòu)的使用的增長�����,具有對該問題的可擴縮的和靈活的解 決方案將日益重要�����。
因而可以才艮據(jù)此處公開的技術(shù)設(shè)計web服務(wù)網(wǎng)關(guān)���,以允許企業(yè)提供公 司管理��,證明遵守規(guī)章�,在他們的商務(wù)過程中提供持續(xù)的改進���,以及與合 作伙伴組織的商務(wù)過程集成��。在web服務(wù)網(wǎng)關(guān)處的信息保護允許該網(wǎng)關(guān)是 基于網(wǎng)絡(luò)的消除不符^L章的風險的執(zhí)行點�。
更一般地��,本發(fā)明的實施例可以被用于提供全部服務(wù)SOA基礎(chǔ)設(shè)施的 完整的功能性�����,如以下
公司管理提供監(jiān)控�、控制和報告以保證遵守規(guī)章�,并且支持持續(xù)的 公司改進;
被管理的合作伙伴外聯(lián)網(wǎng)與合作伙伴和分支點對web服務(wù)的受保護 的無縫發(fā)布和消費�;
web服務(wù)性能根據(jù)公司要求或服務(wù)等級協(xié)定(SLA),保證web服 務(wù)的可用性和性能;
公司靈活性及應(yīng)用敏感度基于SOAP報頭的內(nèi)容�����、XML標記或其 它消息內(nèi)容,提供應(yīng)用級路由和消息轉(zhuǎn)換�;
應(yīng)用安全通過保證消息被良好地組成、檢測基于XML的攻擊以及 執(zhí)行應(yīng)用數(shù)據(jù)加密策略����,來提供應(yīng)用級安全;
生命周期管理以回退提供web服務(wù)的受控的發(fā)布���;
系統(tǒng)特征提供可靠性����、可伸縮性以及與開放標準的兼容�����。
此處和/或在以上參考的相關(guān)專利申請的一個或多個中已公開了這些 功能和其它功能�����。
已描述的內(nèi)容僅說明本發(fā)明實施例的原理的應(yīng)用�����。在不背離本發(fā)明范圍的情況下����,本領(lǐng)域的技術(shù)人員可以實現(xiàn)其它配置和方法����。
例如�,如以上指出的,本發(fā)明決不限于在圖中示出的和以上明確描述
的特定的功能劃分��、方法步驟���、或數(shù)據(jù)結(jié)構(gòu)內(nèi)容��。
另外��,盡管主要在方法和系統(tǒng)的上下文中予以了描述�����,也設(shè)想了本發(fā)
明實施例的其它實現(xiàn)�����,例如如在一個或多個機器可讀介質(zhì)上存儲的數(shù)據(jù)結(jié)
構(gòu)和/或指令。
30
權(quán)利要求
1. 一種機器實現(xiàn)的方法�����,包括確定服務(wù)訪問信息是否包括敏感信息,所述服務(wù)訪問信息與安全域之外的外部用戶對在所述安全域中提供的服務(wù)的訪問相關(guān)聯(lián)���;以及在所述服務(wù)訪問信息包括敏感信息的情況下����,實施保護動作以保護所述敏感信息���。
2. 根據(jù)權(quán)利要求l所述的方法��,其中�����,所述保護動作包括以下中的一 個或多個丟棄所述服務(wù)訪問信息的全部����、僅從所述服務(wù)訪問信息中移除 所述敏感信息���、加密所述服務(wù)訪問信息的全部��、僅加密所述服務(wù)訪問信息 中的所述敏感信息����、對所述服務(wù)訪問信息的全部數(shù)字簽名,以及僅對所述 服務(wù)訪問信息中的所述敏感信息數(shù)字簽名�����。
3. 根據(jù)權(quán)利要求l所述的方法��,其中�,實施包括在所述服務(wù)訪問信息 的一部分上實施所述保護動作。
4. 根據(jù)權(quán)利要求l所述的方法��,其中��,確定包括解析所述服務(wù)訪問信臺
5. 根據(jù)權(quán)利要求1至4的任一項所述的方法����,其中,確定和實施包括 執(zhí)行規(guī)范說明語言(RSL)程序���,該程序定義與信息保護規(guī)章相關(guān)聯(lián)的敏 感信息檢測標準和保護動作����。
6. 根據(jù)權(quán)利要求5所述的方法���,其中���,所述RSL程序包括指定^t 感信息檢測標準和對應(yīng)的保護動作的表項,以及其中����,執(zhí)行包括順序地處 理用于每個表項的所述月艮務(wù)訪問信息。
7. 根據(jù)權(quán)利要求5所述的方法�,其中,所述RSL程序包括可擴展樣 式表語言轉(zhuǎn)換(XSLT)操作���。
8. 根據(jù)權(quán)利要求7所述的方法���,其中,所述XSLT操作使用可擴展 標記語言(XML)擴展來支持加密作為所述保護動作�。
9. 根據(jù)權(quán)利要求1至4的任一項所述的方法,進一步包括 識別與所述服務(wù)訪問信息相關(guān)聯(lián)的保護策略��,其中���,確定包括確定所述服務(wù)訪問信息是否包括在所述保護策略中指 定的敏感信息��。
10. 根據(jù)權(quán)利要求9所述的方法�����,其中����,識別包括基于以下中的一個 或多個來識別保護策略所述服務(wù)訪問信息的目的地、所述服務(wù)訪問信息 的源�、所述外部用戶、以及與所述外部用戶相關(guān)聯(lián)的外部域�。
11. 根據(jù)權(quán)利要求1至4的任一項所述的方法,在所述安全域內(nèi)的通 信網(wǎng)絡(luò)的web服務(wù)節(jié)點處被實現(xiàn)�。
12. —種存儲指令的機器可讀介質(zhì),當被執(zhí)行時所述指令實施根據(jù)權(quán) 利要求1至4的任一項所述的方法���。
13. —種裝置��,包括服務(wù)訪問信息處理器����,用于確定服務(wù)訪問信息是否包括敏感信息�,所 述服務(wù)訪問信息與安全域外的外部用戶對在所述安全域中提供的服務(wù)的訪 問相關(guān)聯(lián);以及保護模塊����,可操作地耦合到所述服務(wù)訪問信息處理器�,并且在所述服 務(wù)訪問信息包括敏感信息的情況下�,用于實施保護動作來保護所述敏感信 息����。
14. 根據(jù)權(quán)利要求13所述的裝置,其中����,所述保護動作包括以下中的 一個或多個丟棄所述服務(wù)訪問信息的全部、僅從所述服務(wù)訪問信息中移 除所述敏感信息��、加密所述服務(wù)訪問信息的全部���、僅加密所述服務(wù)訪問信 息中的所述敏感信息�、對所述服務(wù)訪問信息的全部數(shù)字簽名��,以及僅對所 述服務(wù)訪問信息中的所述敏感信息數(shù)字簽名����。
15. 根據(jù)權(quán)利要求13所述的裝置,其中�,所述服務(wù)訪問信息處理器包 括用于解析所述服務(wù)訪問信息的解析器。
16. 根據(jù)權(quán)利要求13至15的任一項所述的裝置,其中�����,所述服務(wù)訪 問信息處理器和所述保護模塊的至少一個實現(xiàn)用于執(zhí)行RSL程序的規(guī)范 說明語言(RSL)執(zhí)行環(huán)境���,所述RSL程序定義與信息保護規(guī)章相關(guān)聯(lián)的 檢測標準和保護動作�。
17. 根據(jù)權(quán)利要求16所述的裝置�����,其中����,所述RSL程序包括指定各敏感信息檢測標準和對應(yīng)的保護動作的表項,并且其中�����,執(zhí)行包括順序地 處理用于每個表項的所述服務(wù)訪問信息���。
18. 根據(jù)權(quán)利要求16所述的裝置�,其中����,所述RSL程序包括可擴展 樣式表語言轉(zhuǎn)換(XSLT)操作����。
19. 根據(jù)權(quán)利要求18所述的裝置��,其中����,所述XSLT操作使用可擴 展標記語言(XML)擴展來支持加密作為所述保護動作���。
20. 根據(jù)權(quán)利要求13至15的任一項所述的裝置��,進一步包括 存儲器��,可操作地耦合到所述服務(wù)訪問信息處理器����,用于存儲保護策略�����,其中��,所述服務(wù)訪問信息處理器進一步用于在所述存儲器中識別與所 述服務(wù)訪問信息相關(guān)聯(lián)的保護策略,并且通過確定所述服務(wù)訪問信息是否 包括在所述保護策略中指定的敏感信息��,確定所述服務(wù)訪問信息是否包括 敏感信息���。
21. 根據(jù)權(quán)利要求20所述的裝置��,其中�����,所述服務(wù)訪問信息處理器用 于基于以下中的一個或多個識別保護策略所述服務(wù)訪問信息的目的地�、 所述服務(wù)訪問信息的源�����、所述外部用戶�����、以及與所述外部用戶相關(guān)聯(lián)的外 部域��。
22. —種web服務(wù)節(jié)點����,包括 根據(jù)權(quán)利要求13至15的任一項所述的裝置��。
23. 根據(jù)權(quán)利要求22所述的web服務(wù)節(jié)點��,在所述安全域中被實現(xiàn)��。
24. 根據(jù)權(quán)利要求22所述的web服務(wù)節(jié)點�,在與所述外部用戶相關(guān) 聯(lián)的外部域中被實現(xiàn)�。
25. —種存儲數(shù)據(jù)結(jié)構(gòu)的機器可讀介質(zhì),所述數(shù)據(jù)結(jié)構(gòu)包括 識別敏感信息的檢測標準��;以及保護動作字段��,在識別的敏感信息在服務(wù)訪問信息中被檢測到的情況 下�����,所述保護動作字段識別要被實施以保護在所述檢測標準中指定的所述 敏感信息的保護動作�,所述服務(wù)訪問信息與安全域外的外部用戶對在所述 安全域中提供的服務(wù)的訪問相關(guān)聯(lián)���。
26.根據(jù)權(quán)利要求25所述的介質(zhì)���,其中,所述數(shù)據(jù)結(jié)構(gòu)進一步包括 識別所述服務(wù)訪問信息的一部分的動作目標字段��,在所述服務(wù)訪問信 息上所述保護動作要被實施。
全文摘要
本發(fā)明公開了安全域信息保護裝置和方法���。處理服務(wù)訪問信息以確定它是否包括敏感信息��,所述服務(wù)訪問信息與安全域外的外部用戶對在所述安全域中提供的服務(wù)的訪問相關(guān)聯(lián)�����。如果所述服務(wù)訪問信息包括所述敏感信息的話���,保護動作例如在所述服務(wù)訪問信息上、在整個服務(wù)消息上或其一個或多個部分上被實施�����,以保護所述敏感信息����。還提出了規(guī)范語言和執(zhí)行環(huán)境以提供高速處理?����?梢栽诖鎯υ跈C器可讀介質(zhì)上的數(shù)據(jù)結(jié)構(gòu)中指定敏感信息檢測標準�����、保護動作、以及可能的目標���,要在所述目標上實施所述保護動作�����。
文檔編號H04L29/06GK101473625SQ200780022961
公開日2009年7月1日 申請日期2007年6月19日 優(yōu)先權(quán)日2006年6月20日
發(fā)明者B·J·懷特黑德, G·帕潘德里歐, L·斯特魯布 申請人:阿爾卡特朗訊公司