一种基于应用代理控制流速的实现方法与流程

本发明涉及一种基于应用代理控制流速的实现方法。

背景技术：

当前各种控制协议流速的方式中，有基于驱动的，也有基于内核以及协议栈来进行控制的，但是在应用层级别，特别是通过应用代理的方式来实现流速的控制，还没有一个详细的解决方案。

技术实现要素：

为了解决上述的技术问题，本发明的目的是提供一种基于应用代理控制流速的实现方法，该方法是一种新的控制流速的方式，无需再由额外的模块对流速进行控制，直接采用应用代理的方式即可，且在业务部署模式上更加快捷。

为了实现上述目的，本发明采用了以下的技术方案：

一种基于应用代理控制流速的实现方法，实现该方法需要应用代理模块、以及包含在应用代理模块内的身份鉴别模块和访问控制模块，包括以下步骤：

系统初始化时，系统加载自身应用策略配置，配置开启监听服务，应用代理模块接收跨边界访问信息；

应用代理模块获取访问的应用信息，判断访问的合法性；

应用代理模块获取访问的主体、客体信息，为访问控制模块提供判断依据，并根据访问控制模块的判断，来检测信息请求的合法性；

应用代理模块获取访问的身份信息，为身份鉴别模块提供判断依据，并根据身份鉴别模块的判断，来检测连接的合法性；

应用信息的接收与发送，以及信息相应的过滤处理；

监控访问行为，即监控所有与安全相关的访问企图，确保访问企图不被篡改，安全互联不被绕过。

作为优选方案：所述步骤3）中访问控制模块，根据流控制决策模块裁决的结果决定是否允许对客体资源的访问进行流速控制。

作为优选方案：所述步骤3）中流控制决策模块的控制决策策略包括自主访问控制策略、强制访问控制策略和等级改变策略。

作为优选方案：所述步骤3）中流控制决策模块接收到应用代理模块发来的主、客体信息后，首先执行自主访问控制策略，符合自主访问控制策略则将结果提交给应用代理模块，允许资源的访问，否则将资源访问请求发送到强制流控制模块；

强制流控制模块接收到资源访问请求后，调用标记子模块，获得主体和客体的安全标记，进行符合性验证；在符合性验证时执行强制流控制策略，对于符合强制流控制策略的请求直接发送到应用代理模块允许其对资源的访问的流速进行控制，否则将请求发送到流速等级改变模块；

流速等级调整检查模块对资源访问请求执行等级调整检查策略，即特权策略，资源访问请求如果符合特权策略则将请求发送到应用代理模块允许访问并控制流速，否则拒绝资源访问请求。

作为优选方案：流控制模块将资源访问操作通过审计子模块进行审计。

本发明通过应用代理模块负责接收、发送和处理跨域访问的信息，为其他服务提供各类判断信息依据，内部各模块之间通过内部协议传输子模块相互协调相互作用，完成边界信息的控制作用。

本发明是一种新的控制流速的方式，无需再由额外的模块对流速进行控制，直接采用应用代理的方式即可，且在业务部署模式上更加快捷。

附图说明

图1为本发明的流程示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

如图1所示的一种基于应用代理控制流速的实现方法，实现该方法需要应用代理模块、以及包含在应用代理模块内的身份鉴别模块和访问控制模块，包括以下步骤：

系统初始化时，系统加载自身应用策略配置，配置开启监听服务，应用代理模块接收跨边界访问信息；

应用代理模块获取访问的应用信息，判断访问的合法性；

应用代理模块获取访问的主体、客体信息，为访问控制模块提供判断依据，并根据访问控制模块的判断，来检测信息请求的合法性；

应用代理模块获取访问的身份信息，为身份鉴别模块提供判断依据，并根据身份鉴别模块的判断，来检测连接的合法性；

应用信息的接收与发送，以及信息相应的过滤处理；

监控访问行为，即监控所有与安全相关的访问企图，确保访问企图不被篡改，安全互联不被绕过。

所述步骤3）中访问控制模块，根据流控制决策模块裁决的结果决定是否允许对客体资源的访问进行流速控制。所述步骤3）中流控制决策模块的控制决策策略包括自主访问控制策略、强制访问控制策略和等级改变策略。

所述步骤3）中流控制决策模块接收到应用代理模块发来的主、客体信息后，首先执行自主访问控制策略，符合自主访问控制策略则将结果提交给应用代理模块，允许资源的访问，否则将资源访问请求发送到强制流控制模块；

强制流控制模块接收到资源访问请求后，调用标记子模块，获得主体和客体的安全标记，进行符合性验证；在符合性验证时执行强制流控制策略，对于符合强制流控制策略的请求直接发送到应用代理模块允许其对资源的访问的流速进行控制，否则将请求发送到流速等级改变模块；

流速等级调整检查模块对资源访问请求执行等级调整检查策略，即特权策略，资源访问请求如果符合特权策略则将请求发送到应用代理模块允许访问并控制流速，否则拒绝资源访问请求。

流控制模块将资源访问操作通过审计子模块进行审计。

本发明的应用代理模块能够根据系统初始策略配置，产生一系列的应用鉴听，为信息的接收发送提供传输方式，具体完成功能如下：接收发送流经边界的数据信息、控制过滤应用服务数据、获取访问控制所需的主、客体信息获取访问的身份信息、控制连接及数据传输。

本发明应用代理模块捕获主体对客体资源的访问信息，并将主体、客体资源的访问信息进行决策判断，并将判断的结果提供给应用代理模块，以此进行信息包的处理。

应当指出，以上实施例仅是本发明的代表性例子。本发明还可以有许多变形。凡是依据本发明的实质对以上实施例所作的任何简单修改、等同变化与修饰，均应认为属于本发明的保护范围。

技术特征：

技术总结
本发明涉及一种基于应用代理控制流速的实现方法，包括以下步骤：系统初始化时，系统加载自身应用策略配置，配置开启监听服务，应用代理模块接收跨边界访问信息；应用代理模块获取访问的应用信息，判断访问的合法性；应用代理模块获取访问的主体、客体信息，为访问控制模块提供判断依据，并根据访问控制模块的判断，来检测信息请求的合法性；应用代理模块获取访问的身份信息，为身份鉴别模块提供判断依据，并根据身份鉴别模块的判断，来检测连接的合法性；应用信息的接收与发送，以及信息相应的过滤处理。本发明是一种新的控制流速的方式，无需再由额外的模块对流速进行控制，直接采用应用代理的方式即可，且在业务部署模式上更加快捷。

技术研发人员：李威;李健俊;章志华
受保护的技术使用者：浙江中烟工业有限责任公司
技术研发日：2019.04.12
技术公布日：2019.07.05