控制,并且还提供来自组件集合的反馈。优选地,平台中的全部或者基本上全部资源是可识别的。至少最终用户可见的资源优选地能够具有所定义策略。在示范实现中,名称空间用于识别各种类型的资源(其能够包括认证资源、封装、服务、工作、分级器、策略、主要实体、分级管线和/或内部平台资源)中。名称空间策略寻址语法优选地在定义策略的配置文件中应用。名称空间引用优选地将组件根据其功能性来编组,但是备选地能够使用任何适当编组或拓扑组织。名称空间优选地是标识符集合的容器,并且能够允许驻留在不同名称空间中的同名标识符的消除二义性。特定组件的单独实例能够通过名称空间语法来寻址,并且能够引用组件的分层编组。在一个实现中,名称空间语法使用分层名称空间,其中名称空间标识符:指示关键功能区域;共享遍历语义并且使用共同分隔符(例如斜杠‘/’ );使用能够随时间而缩放的标识符;以及使策略能够附连到名称空间中的各种节点。此外,父节点策略能够由子节点来继承,但是子节点策略没有被父节点继承。父节点还能够指定子节点是否能够扩大、忽略或修改父策略。备选地能够使用名称空间语法的任何适当实现。
[0022]包括向组件集合发布策略更新(S120)的框S120用来向所指定组件分配策略。发布策略更新优选地涉及将策略配置从认证服务器传送到与策略相干的组件。对于系统中设置的各策略,优选地向适当组件分配更新。此外,优选地通过关于策略的真实性(例如,这是否为真实策略)和策略的状态(例如,这个策略在评估策略顺应性时是否为最当前的版本)的策略分配的方式来建立保证。策略更新的发布可使用发布和预订类型方式,其中组件预订策略更新集合。例如,一个组件可预订各高级名称空间类别的策略更新以及实例标识符。策略还能够包括版本号。优选地,策略使用严格增加的版本标识符,作为防止回复到较旧版本号的校验。
[0023]发布能够密码认证为源自认证服务器,并且因而能够被认为是合法策略更新,如图7所示。认证服务器能够使用认证令牌、例如使用0auth2类型协议或其他适当认证协议来验证其对组件的策略更新的真实性。策略更新的发布还能够通过OpenSSL来平衡椭圆曲线密码(ECC)。公有密钥还能够包含在令牌中,这能够提供发送方识别码的附加保证。该方法优选地采用验证令牌在发送方与接收方之间传递上下文。这种安全组件间验证能够用于向组件分配策略中以及在两个组件之间进行操作请求中。
[0024]如图8所示,作为安全组件间验证的优选实现,组件发送方创建令牌(1\),采用发送方的私有密钥(υ-?\作为承载令牌来签署消息。发送方则生成短暂密钥对(EPm/EPR1),并且使用认证服务器公有密钥(AJ和EPR1来得出一路椭圆曲线diffie Heilman (E⑶Η)的对称密钥。发送方生成随机初始化向量(即,IV)。发送方然后加密!\ (例如使用高级加密标准-Galois/Counter Mode (AES-GCM)),将?\包装在消息中,并且在向认证服务器发送通信之前包括EPm、IV和完整性值。
[0025]在安全组件间验证的这个优选实现中,在认证服务器,接收通信并且能够验证请求。认证服务器能够使用其私有密钥(AJ和EPm来设计对称密钥(ECDH)。然后,认证服务器使用IV和完整性值对所接收消息进行解密。检索组件公有密钥SPU1,并且能够验证1\。认证服务器优选地检查策略,以确保满足最小认证要求,以向发送组件发出令牌。如果满足最小认证要求,则认证服务器向发送方发出1~2,将令牌中的收听方字段设置成基础设施集群,并且将τ2主题设置成发送方名称。S PU1包含在令牌中,并且认证服务器则使用A PR进行签署。认证服务器生成短暂密钥对(EPU2/EPR2),并且使用EPR2和SPU1来得出对称密钥(一路E⑶H)。认证服务器然后使用AES-GCM对消息响应进行加密,并且将消息传递给发送方。在这个阶段,只有SPm的持有者能够对消息解密。
[0026]继续安全组件间验证的优选实现,在组件,消息被生成(即,有效载荷),并且将T2包含在消息包络中。能够包括现时标志。组件采用SPR1来签署消息,并且将签名包含在消息包络中。因此,接收方具有关于在τ2中准确描述发送方的证据,并且不要求I/O用于令牌验证,假定接收方具有APU。所产生令牌优选地是加密消息,例如图9Α所示的消息。消息能够包括各种信息,例如类型、算法信息、令牌的发布方、收听方、令牌时间戳、令牌到期时间或条件、用户标识符、证据密钥和声明,如图9Β所示。令牌的接收方能够知道哪一个和/或什么组件发送通信、如何认证消息以及其他可选信息、例如组件代表谁起作用。实际上,两个端点能够通过NATS建立置信信道。验证令牌方式能够用于向组件传递策略(根据需要包括继承策略)中。另外,令牌能够用于验证组件之间的操作通信(例如框S140和S150)中。
[0027]包括在组件集合的主机认证策略更新的框S130用来检验所发布策略更新是有效的并且源自认证服务器。认证策略更新优选地防止中间人攻击修改策略或者重放策略更新。另外,策略更新将包括策略版本标识符。版本标识符优选地是严格增加的(即,对每个新版本号始终增加)。能够针对前一版本标识符(若它存在的话)来校验策略版本标识符。如果令牌验证策略更新源自认证服务器并且策略版本标识符与前一版本相比是已更新版本,则接受策略更新。如果版本标识符没有增加,则拒绝策略更新,并且没有例示对策略的变更。类似地,没有认证令牌,则拒绝策略更新,并且没有例示对策略的变更。如上所述,策略更新优选地传递给适当组件。例如,策略更新能够在作为ruby on rails应用的所有组件来发布和认证。在另一个示例中,策略更新能够针对特定实例,例如ruby on rails应用的特定实例。一旦认证策略更新,例示策略信息供本地实施。能够存储策略规则,以供框S140期间的实施。
[0028]包括由主机检验送往至少第二组件的操作请求的策略顺应性的框S140用来在组件本地实施策略。组件在执行期间可不时地要求向第二组件传送操作请求。操作请求优选地是从发送方向至少一个接收组件始发的任何通信。操作请求能够是信息请求、信息响应、推送信息、数据编辑指示和/或任何适当操作传输。例如,万维网应用可需要访问数据库,并且因此将需要消耗外部数据库服务。策略能够确定哪些应用(即,组件一)能够消耗哪些服务(即,组件二)。对于访问策略,策略能够基于谁涉及到通信、传递什么以及通信如何进行。对于资源消耗策略,策略判定能够基于一个或多个组件的资源消耗。策略规则还能够与语义管线结合用于操作请求的修改或调节中。另外,在实施策略时,操作请求的记录能够发生。在优选实施例中,记录完整组件间操作请求历史,使得系统是可审计的。
[0029]另外,该方法能够包括在组件与认证服务器的周期心跳信号协调地更新策略(S142)。框S142能够用来使用来自认证服务器的周期信号来检查本地策略是否为当前的。提供心跳信号优选地包括认证服务器周期地向组件发出消息,而与策略更新无关。这能够保证在组件本地例示的策略是最新的,其中具有心跳信号的传输之间的时间周期的时间分辨率。心跳信号能够使用如传送策略更新中使用的相似的令牌认证过程。另外,心跳信号能够使用严格增加版本标识符,以防止心跳信号“脉冲”的重放。在一个变化中,版本标识符延续策略版本标识符,反过来也是一样。组件优选地将接收心跳信号传输,认证心跳信号源自认证服务器(或者任何批准组件),并且检验心跳信号是有效的(例如,标识符基于先前心跳信号是有效的)。定时校验能够到位,使得如果在预定时帧之内没有接收到心跳传输,则组件能够发起与认证服务器的通信,以检验策略的状态。在这个时间周期期间,策略可设置成组件的完全限制动作,因为策略可能过时,但是能够使用任何适当策略调节。时间周期能够设置成任何适当分辨率、例如一秒,但是时间周期可以更短或更长。心跳时间周期还能够根据基础设施的使用来设置,或者在另一个变化中,策略能够定义心跳时间周期灵敏度。
[0030]检验策略顺应性优选地包括在组件检查策略规则的当前状态。当前状态优选地从心跳信号来确定。如果策略规则过时,则策略能够通过认证服务器来检查,如图10所示。在一个变化中,策略在认证服务器来实施。在第二变化中,组件将在本地实施策略之前采用认证服务器来执行策略更新。如果心跳信号是当前的,则策略能够被看作是当前的,并且无需更新而实施。
[0031]在一个实现中,该方法包括隔离平台的组件(S144),以提供与外部组件的组件无关性。虽然组件可采用相关组件的假设来实现(例如配置数据库和包含库),但是优选地隔离组件,使得所有相关性能够被控制并且适合在信道策略注入器中执行策略。优选地,各组件或者组件的至少大部分在隔离容器中实现。隔离容器优选地是操作系统级虚拟化实现(例如Linux容器)。隔离容器备选地可以是用于隔离或包含组件的任何适当机制。任何适当组件可放置在隔离容器中,例如应用、数据库、操作系统、服务器、服务或者任何适当组件。隔离组件优选地使任何适当实现能够使用。由于组件被隔离并且其他相关组件通过透明信道(例如信道策略注入器)来访问,所以能够使用大量开发工具,同时仍然符合平台的策略。这能够向可具有不同编程语言和框架的各种偏好的开发人员、IT部门和平台管理员提供灵活性。隔离组件还能够使企业级平台适合开发工具的快速发展前景。
[0032]包括在通信信道流中应用检验策略的结果的框S150用来响应策略处理。如果不准许操作请求,则向组件返回错误,或者阻止、暂停或修改操作请求。如果准许操作请求,则向适当组件传送通信。如果没有为动作来定义策略,则能够使用缺省设定一一个优选实现缺省为拒绝通信信道流,除非策略定义通信信道流的规则。
[0033]另外,通过信道策略注入器来路由通信信道能够包括记录和发送通知通信,其用来将策略注入的透明性质用于平台的完全审计。由于平台的基本上全部组件优选地按照类似方式来构造(由于隔离容器中的组件与信道策略注入器互连),所以审计日志能够跟踪系统中的所有事务。优选地为任何两个组件之间的所有事务来存储记录。审计日志优选地将包括请求的参数、请求的时间和所涉及组件。在备选实施例中,审计记录可通过类似实现来实现,而无需注入策略。审计记录能够用于满足顺应性要求中和/或符合企业平台所需的能力。
[0034]框S140和S150优选地包括通过信道策略注入器来路由通信信道,其用来处理组件间通信。信道策略注入器优选地在发送组件的隔离容器或者在接收组件的隔离容器本地建立。信道策略注入器能够类似地