国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種基于私有云的數(shù)據(jù)處理方法

      文檔序號:7809262閱讀:180來源:國知局
      一種基于私有云的數(shù)據(jù)處理方法
      【專利摘要】本發(fā)明提供了一種基于私有云的數(shù)據(jù)處理方法,該方法包括:利用沙箱模型維護平臺內(nèi)部的多個應用,對應用訪問行為進行監(jiān)控和限制;將SaaS平臺信息進行隱藏,過濾訪問者的異常信息并進行決策,然后將結果返回給用戶;監(jiān)聽網(wǎng)絡數(shù)據(jù)包,防止對所述SaaS平臺的網(wǎng)絡層攻擊。本發(fā)明在私有SaaS云平臺中進行安全數(shù)據(jù)處理,通過多層安全設置增強了平臺應用、平臺本身和平臺外部的安全性。
      【專利說明】一種基于私有云的數(shù)據(jù)處理方法

      【技術領域】
      [0001] 本發(fā)明涉及安全云存儲,特別涉及一種基于私有云的數(shù)據(jù)處理方法。

      【背景技術】
      [0002] 云計算將巨大的系統(tǒng)池連接在一起以提供各種IT服務,使得超級計算能力通過 互聯(lián)網(wǎng)自由流通成為了可能,企業(yè)與個人用戶無需再投入昂貴的硬件購置成本,只需要通 過互聯(lián)網(wǎng)來購買租賃計算力,通過網(wǎng)絡把多個成本相對較低的計算實體整合成一個具有強 大計算能力的完美系統(tǒng),并借助SAAS、PAAS、IAAS、等先進的商業(yè)模式把這強大的計算能力 分布到終端用戶手中。在云平臺中,私有云是為局域客戶或者企業(yè)單獨使用而構建的,因而 提供對數(shù)據(jù)、安全性和服務質量有更高的要求。
      [0003] 對于私有云,現(xiàn)有的保護租戶數(shù)據(jù)安全的方式主要有,加密協(xié)議方法,這種方法使 用靜態(tài)表來避免IP誤導;資源隔離的方法,通過在處理過程中隔離虛擬機中處理器的高速 緩存并隔離這些虛擬高速緩存的虛擬機管理程序緩存,確保數(shù)據(jù)的安全性。然而在在多租 戶的SaaS架構中,私有云平臺主要面臨三個方面的安全威脅:平臺內(nèi)部應用共享資源引起 的安全問題、平臺自身安全問題及平臺在網(wǎng)絡層的安全問題。特別是在私有中,惡意代碼通 過上述三種渠道對云平臺同時進行攻擊,將造成安全問題,而現(xiàn)有技術的方法尚不能同時 應對。
      [0004] 因此,針對相關技術中所存在的上述問題,目前尚未提出有效的解決方案。


      【發(fā)明內(nèi)容】

      [0005] 為解決上述現(xiàn)有技術所存在的問題,本發(fā)明提出了一種基于私有云的數(shù)據(jù)處理方 法,用于在SaaS云計算平臺中實現(xiàn)數(shù)據(jù)安全,包括:
      [0006] 步驟一,利用沙箱模型維護平臺內(nèi)部的多個應用,對應用訪問行為進行監(jiān)控和限 制;
      [0007] 步驟二,將SaaS平臺信息進行隱藏,過濾訪問者的異常信息并進行決策,然后將 結果返回給用戶;
      [0008] 步驟三,監(jiān)聽網(wǎng)絡數(shù)據(jù)包,防止對所述SaaS平臺的網(wǎng)絡層攻擊。
      [0009] 優(yōu)選地,所述沙箱模型實現(xiàn)多租戶應用隔離;并利用一個Servlet承載SaaS平臺 內(nèi)部的多個應用;
      [0010] 所述沙箱模型從以下方面提供安全性支持,包括:Java語言安全性、虛擬機的委 托類加載機制、安全管理器和JavaAPI ; toon] 所述沙箱模型支持細粒度訪問控制的安全策略,采用保護域安全模型,由安全策 略來決定代碼具有的訪問許可,對被保護資源的訪問激發(fā)安全檢查,將授權的許可和其試 圖訪問所需要的權限進行比較,所述激發(fā)安全檢查的訪問包括文件系統(tǒng)訪問、JNI訪問本地 代碼、創(chuàng)建Socket連接等;將同一 JVM中運行的代碼邏輯上分開,分別運行于不同的沙箱 中。
      [0012] 優(yōu)選地,所述步驟一進一步包括:將不同的應用運行于不同的沙箱中,實現(xiàn)應用隔 離,沙箱對應用運行時進行文件訪問控制、網(wǎng)絡訪問控制、多線程控制、JNI訪問控制;
      [0013] 利用兩個分離的邏輯沙箱模型,即系統(tǒng)沙箱和應用沙箱,分別提供系統(tǒng)代碼和應 用代碼的運行環(huán)境,在邏輯上將系統(tǒng)代碼和應用代碼分開處理;
      [0014] 所述SaaS平臺通過保護域模塊、類加載模塊、安全策略模塊和訪問控制模塊來實 現(xiàn)應用安全管理,其中,保護域模塊由系統(tǒng)保護域和應用保護域組成,系統(tǒng)保護域使用Java 安全體系結構中默認域模型,即通過代碼位置及簽名指定保護域,應用保護域由每個應用 的應用上下文來指定,邏輯上與一個Web應用相對應;在類加載模塊中,實現(xiàn)Jetty代碼和 服務端代碼以及應用類兩套類加載策略,分別由系統(tǒng)類加載器和WebApp類加載器加載;在 安全策略模塊中,系統(tǒng)沙箱采用Java安全體系結構的安全策略文件來實現(xiàn)安全策略,其中 指定了 SaaS平臺中應用的默認權限,由WebApp類加載器加載應用類型時,倉ij建相應App 實例,同時初始化該App的權限集合,訪問控制模塊按照兩套邏輯分別進行權限檢查,利用 WebApp安全管理器,當代碼請求訪問被保護資源時,判斷當前請求是否來自應用,繼而觸發(fā) 相應的訪問控制邏輯,或將請求委托給父類安全管理器。
      [0015] 優(yōu)選地,所述平臺信息包括平臺類型、版本信息,并且所述步驟二將平臺信息進行 隱藏進一步包括:
      [0016] 由安全平臺來集中管理應用運行依賴的jar包、平臺本身的靜態(tài)信息和動態(tài)信 息;
      [0017] 安全平臺的Connector模塊處理用戶請求,并返回應用運行結果,在所有運行結 果返回給用戶之前進行檢測,所有可能暴露平臺特征信息的異常信息通過包裝之后由安全 平臺的過濾模塊進行決策再將相應結果返回給用戶;
      [0018] 平臺過濾模塊中包括攔截模塊和誤導模塊,其中:攔截模塊依據(jù)策略攔截入侵者 的請求;決策模塊依托策略服務器作為其策略庫給出處理方式,為決策方法提供公共的可 用接口,以插件的形式應用到該決策模塊中,誤導模塊對入侵者發(fā)送假消息來誤導入侵者, 保護平臺自身的信息不泄露;
      [0019] 當平臺過濾模塊收到用戶請求時,由決策模塊調(diào)用策略服務器來決定處理方式, 調(diào)用誤導模塊對入侵者發(fā)送假消息,最后由行為模塊來執(zhí)行攔截動作。
      [0020] 優(yōu)選地,所述攻擊包括分布式DoS攻擊,并且所述步驟三進一步包括以下步驟:
      [0021] 由負載監(jiān)控模塊、負載調(diào)整模塊和負載策略控制器模塊共同協(xié)作實現(xiàn)負載均衡, 其中負載監(jiān)控模塊監(jiān)控當前服務器客戶端的負載,然后負載調(diào)整模塊根據(jù)所定義的負載策 略,對該平臺所連接的客戶端的負載進行均衡調(diào)整,負載策略控制器模塊可以根據(jù)用戶的 需求進行策略定義和調(diào)整;
      [0022] 采用入口報文過濾,在路由器的入口對匿名攻擊方過濾掉偽造源IP地址的數(shù)據(jù) 包,通過網(wǎng)絡提供者利用路由器將來源地址不屬于客戶區(qū)域的數(shù)據(jù)包過濾;
      [0023] 在SaaS云平臺中安裝防火墻,輸入和輸出防火墻的數(shù)據(jù)包利用過濾防火墻,利用 該防火墻關閉未使用的端口號。
      [0024] 優(yōu)選地,所述攻擊包括網(wǎng)絡監(jiān)聽和端口掃描,并且所述步驟三進一步包括以下步 驟:
      [0025] 利用SATAN工具分析網(wǎng)絡,識別安全問題;在SaaS平臺上通過防火墻監(jiān)聽、限制以 及更改跨越防火墻的數(shù)據(jù)流,嘗試對外部網(wǎng)絡屏蔽有關被保護網(wǎng)絡的信息和結構;在SaaS 平臺中對傳輸?shù)男畔⑦M行加密,從而使監(jiān)聽者不能有效地獲得要監(jiān)聽的信息。
      [0026] 本發(fā)明相比現(xiàn)有技術,具有以下優(yōu)點:
      [0027] 本發(fā)明提出了一種在私有SaaS云平臺中的數(shù)據(jù)處理方法,通過多層安全設置同 時增強了平臺應用、平臺本身和平臺外部的安全性。

      【專利附圖】

      【附圖說明】
      [0028] 圖1是根據(jù)本發(fā)明實施例的基于私有云的數(shù)據(jù)處理方法的流程圖。

      【具體實施方式】
      [0029] 下文與圖示本發(fā)明原理的附圖一起提供對本發(fā)明一個或者多個實施例的詳細描 述。結合這樣的實施例描述本發(fā)明,但是本發(fā)明不限于任何實施例。本發(fā)明的范圍僅由權 利要求書限定,并且本發(fā)明涵蓋諸多替代、修改和等同物。在下文描述中闡述諸多具體細節(jié) 以便提供對本發(fā)明的透徹理解。出于示例的目的而提供這些細節(jié),并且無這些具體細節(jié)中 的一些或者所有細節(jié)也可以根據(jù)權利要求書實現(xiàn)本發(fā)明。
      [0030] 本發(fā)明的一方面提供了一種基于私有云的數(shù)據(jù)處理方法。圖1是根據(jù)本發(fā)明實施 例的基于私有云的數(shù)據(jù)處理方法流程圖。如圖1所示,實施本發(fā)明的具體步驟如下:
      [0031] 為解決私有云SaaS云平臺面臨的安全問題,本發(fā)明將SaaS平臺進行分層來提供 安全,三個層次分別為平臺內(nèi)部應用安全、平臺自身安全及平臺外部入侵防御安全。
      [0032] 1.平臺內(nèi)部的應用安全
      [0033] 在多租戶SaaS模式中,最核心的安全原則就是多租戶應用隔離。為了實現(xiàn)多租 戶應用隔離,云提供商必須提供沙箱架構,通過平臺的沙箱性實現(xiàn)集中維護客戶部署在 SaaS平臺上應用的保密性和完整性。為此,云提供商一般通過為每一個用戶應用提供一個 Servlet的方法來實現(xiàn)邏輯上的隔離。由于多租戶模式下運行多個Servlet的模式會帶來 較大的系統(tǒng)開銷,本發(fā)明提出了一種由一個Servlet承載不同應用的解決方案,在實現(xiàn)多 租戶應用隔離的同時保證系統(tǒng)性能。本發(fā)明提出的SaaS安全平臺,利用Java技術提供的 安全性,并在此基礎上結合SaaS平臺特點進行定制而實現(xiàn)的。
      [0034] 本發(fā)明將Java從多個方面提供了對安全性的支持,包括Java語言本身安全性、 虛擬機的委托類加載機制、安全管理器和JavaAPI。這些共同構成了 Java安全體系結構,即 沙箱模型,是一個支持靈活的細粒度訪問控制的安全策略,并且具有可擴充性和伸縮性的 安全體系結構。Java沙箱采用靈活的保護域安全模型,由安全策略來決定代碼具有的訪問 許可,對被保護資源的訪問會激發(fā)安全檢查,這些檢查會將授權的許可和其試圖訪問所需 要的權限進行比較。這些激發(fā)安全檢查的訪問包括文件系統(tǒng)訪問、JNI訪問本地代碼、創(chuàng)建 Socket連接等。利用Java沙箱模型提供的訪問控制功能,將同一 JVM中運行的代碼邏輯上 分開,分別運行于不同的沙箱中。在本發(fā)明中SaaS安全平臺,利用Java沙箱模型,使不同 的應用運行于不同的沙箱中,實現(xiàn)應用隔離功能。本發(fā)明中,針對SaaS平臺及Jetty和用 戶應用的特點,在Java沙箱模型的基礎上進行擴展。
      [0035] 在SaaS平臺運行環(huán)境中,安全平臺提供應用運行的受限的環(huán)境,即沙箱環(huán)境。沙 箱環(huán)境實現(xiàn)應用運行時4個方面的訪問控制:文件訪問控制、網(wǎng)絡訪問控制、多線程控制、 JNI訪問控制。在SaaS平臺運行環(huán)境中,安全平臺在Java安全體系結構基礎上進行擴展, 實現(xiàn)兩套邏輯沙箱模型,在邏輯上將系統(tǒng)代碼和應用代碼分開處理,簡化了安全策略文件 的配置,提高了系統(tǒng)性能。
      [0036] 在SaaS平臺運行環(huán)境中,兩套邏輯沙箱模型即系統(tǒng)沙箱和應用沙箱分別提供系 統(tǒng)代碼和應用代碼的運行環(huán)境,并實現(xiàn)訪問控制。SaaS平臺運行環(huán)境安全模型主要通過保 護域模塊、類加載模塊、安全策略模塊和訪問控制模塊來實現(xiàn)。
      [0037] 在SaaS系統(tǒng)中,保護域模塊由系統(tǒng)保護域和應用保護域組成。系統(tǒng)保護域使用 Java安全體系結構中默認的域模型,即通過代碼位置及簽名指定保護域。應用保護域由每 個應用的應用上下文來指定,邏輯上與一個Web應用相對應。
      [0038] 在類加載模塊中,實現(xiàn)系統(tǒng)類(Jetty代碼和服務端代碼)和應用類兩套類加載策 略,分別由系統(tǒng)類加載器和WebApp類加載器加載。
      [0039] 在安全策略模塊中,系統(tǒng)沙箱采用Java安全體系結構默認的安全策略文件來實 現(xiàn)安全策略。默認安全策略指定了 SaaS系統(tǒng)中應用的默認權限,由WebApp類加載器加載 應用類型時,倉ll建相應App實例,同時初始化該App的權限集合。
      [0040] 對于訪問控制模塊,按照兩套邏輯分別進行權限檢查。同時出于安全考慮,利用 WebApp安全管理器,當代碼請求訪問被保護資源時,WebApp安全管理器判斷當前請求是否 來自應用,繼而觸發(fā)相應的訪問控制邏輯或是將請求委托給父類安全管理器。
      [0041] 2.平臺自身安全
      [0042] 預防攻擊者針對私有云平臺進行攻擊,在SaaS云平臺中隱藏平臺信息,包括平臺 類型、版本信息等。目前獲取平臺特征信息的方式主要有以下三種:
      [0043] (1)通過平臺提供的API獲取,例如對于實現(xiàn)SerVlet2. 3以上提供以下方法支持, 通過GenericServlet類的getServletContextO方法獲取服務器類型;(2)通過工具類 提供的API獲?。唬?)惡意應用通過執(zhí)行非法操作拋出異常,通過捕捉異常信息追蹤調(diào)用堆 棧,也可分析獲取平臺類型信息。
      [0044] 針對上述3種獲取平臺特征信息的方法,本發(fā)明將從兩個方面來實現(xiàn)SaaS平臺的 信息隱藏。過程如下:
      [0045] (1)應用運行依賴的jar包、平臺本身的靜態(tài)信息和動態(tài)信息等由安全平臺來集 中管理;
      [0046] (2)安全平臺的Connector模塊負責處理用戶請求并返回應用運行結果,在所有 運行結果返回給用戶之前進行檢測,所有可能暴露平臺特征信息的異常信息通過包裝之后 由過濾模塊進行決策再將相應結果返回給用戶。
      [0047] 當外部入侵者通過多種方式盜取平臺信息時,平臺過濾模塊中的攔截模塊和誤導 模塊都將做出防御行為。攔截模塊指依據(jù)策略攔截入侵者的請求;行為模塊包括允許、不允 許、過濾部分請求、誤導用戶等行為;決策模塊具有智能方法,它依托于策略服務器作為其 策略庫,以此給出合適的處理方式。對于決策模塊時,本發(fā)明的解決方案為各種決策方法提 供公共的可用接口,神經(jīng)網(wǎng)絡、決策樹等決策方法均可以插件的形式應用到該模塊中。誤導 模塊指對入侵者發(fā)送假消息來誤導入侵者,從而保護平臺自身的信息不泄露。當平臺過濾 模塊收到用戶請求時,由決策模塊調(diào)用策略服務器來決定處理方式,若需要誤導用戶來保 證平臺安全則調(diào)用誤導模塊。最后由行為模塊來執(zhí)行動作。
      [0048] 3.平臺外部的入侵防御安全
      [0049] 私有SaaS平臺運行環(huán)境中實現(xiàn)安全平臺,需要考慮平臺在網(wǎng)絡層的安全問題,包 括避免平臺受到分布式DoS攻擊、防止外部對平臺的嗅探等。本發(fā)明針對以上情況給出了 SaaS平臺的安全解決方案。
      [0050] 分布式DoS是處于不同位置的多個攻擊者同時向一個或多個目標發(fā)起協(xié)同的拒 絕服務攻擊,或者一個或多個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受 害者同時實施攻擊。對于分布式DoS攻擊的防御,本發(fā)明提出的多層次解決方案米取了 3 種措施來防御分布式DoS攻擊:
      [0051] (1)網(wǎng)絡節(jié)流和服務器均衡方法
      [0052] 私有云平臺采用負載均衡的方法。該方法由負載監(jiān)控、負載調(diào)整和負載策略控制 器3個子模塊共同協(xié)作完成。負載監(jiān)控模塊監(jiān)控當前服務器客戶端的負載,然后負載調(diào)整 模塊根據(jù)所定義的負載策略,對該平臺所連接的客戶端的負載進行均衡調(diào)整,負載策略控 制器模塊可以根據(jù)用戶的需求進行策略定義和調(diào)整。
      [0053] (2)報文過濾方法
      [0054] 報文過濾采用入口報文過濾和路由報文過濾兩種方法。入口報文過濾是一種對付 匿名攻擊的方,過濾掉偽造源IP地址的數(shù)據(jù)包。本發(fā)明將這種機制配置在路由器的入口, 通過網(wǎng)絡提供者利用路由器將來源地址不屬于該客戶區(qū)域的數(shù)據(jù)包過濾掉。
      [0055] (3)為云平臺安裝防火墻
      [0056] 本發(fā)明采用的另一方法是在SaaS云平臺中加裝防火墻系統(tǒng),使得無論是進入還 是送出防火墻的數(shù)據(jù)都經(jīng)過嚴格過濾。同時,在防火墻中關掉未使用的端口號,從而防止平 臺從外部被入侵。
      [0057] 對于網(wǎng)絡監(jiān)聽和端口掃描,網(wǎng)絡監(jiān)聽是指將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)捕獲并進行分析的 行為。端口掃描是一種非常重要的預攻擊探測手段。通過端口掃描可以知道目標主機上開 放了哪些端口、運行了哪些服務,這些都是入侵系統(tǒng)的可能途徑。
      [0058] 在本發(fā)明的解決方案中,由反監(jiān)聽掃描模塊來預防網(wǎng)絡監(jiān)聽和端口掃描。它采取 了 3種方法來預防網(wǎng)絡監(jiān)聽與端口掃描:
      [0059] (1)利用SATAN等工具分析網(wǎng)絡,從而識別出一些與網(wǎng)絡相關的安全問題;(2)在 SaaS平臺上通過防火墻監(jiān)聽、限制以及更改跨越防火墻的數(shù)據(jù)流,嘗試對外部網(wǎng)絡屏蔽有 關被保護網(wǎng)絡的信息、結構,實現(xiàn)網(wǎng)絡的安全保護;(3)在SaaS平臺中對傳輸?shù)男畔⑦M行加 密。使用手段使監(jiān)聽者不能有效地獲得要監(jiān)聽的信息,使得即使監(jiān)聽者可以得到所有的網(wǎng) 絡通信包,仍然不能獲得有用的信息。
      [0060] 綜上所述,本發(fā)明提出了一種在私有SaaS云平臺中的數(shù)據(jù)處理方法,通過多層安 全設置增強了平臺應用、平臺本身和平臺外部的安全性。
      [0061] 顯然,本領域的技術人員應該理解,上述的本發(fā)明的各模塊或各步驟可以用通用 的計算系統(tǒng)來實現(xiàn),它們可以集中在單個的計算系統(tǒng)上,或者分布在多個計算系統(tǒng)所組成 的網(wǎng)絡上,可選地,它們可以用計算系統(tǒng)可執(zhí)行的程序代碼來實現(xiàn),從而,可以將它們存儲 在存儲系統(tǒng)中由計算系統(tǒng)來執(zhí)行。這樣,本發(fā)明不限制于任何特定的硬件和軟件結合。
      [0062] 應當理解的是,本發(fā)明的上述【具體實施方式】僅僅用于示例性說明或解釋本發(fā)明的 原理,而不構成對本發(fā)明的限制。因此,在不偏離本發(fā)明的精神和范圍的情況下所做的任何 修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)。此外,本發(fā)明所附權利要求旨 在涵蓋落入所附權利要求范圍和邊界、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修 改例。
      【權利要求】
      1. 一種基于私有云的數(shù)據(jù)處理方法,用于在SaaS云計算平臺中實現(xiàn)數(shù)據(jù)安全,其特征 在于,包括: 步驟一,利用沙箱模型維護平臺內(nèi)部的多個應用,對應用訪問行為進行監(jiān)控和限制; 步驟二,將SaaS平臺信息進行隱藏,過濾訪問者的異常信息并進行決策,然后將結果 返回給用戶; 步驟三,監(jiān)聽網(wǎng)絡數(shù)據(jù)包,防止對所述SaaS平臺的網(wǎng)絡層攻擊。
      2. 根據(jù)權利要求1所述的方法,其特征在于,所述沙箱模型實現(xiàn)多租戶應用隔離;并利 用一個Servlet承載SaaS平臺內(nèi)部的多個應用; 所述沙箱模型從以下方面提供安全性支持,包括:Java語言安全性、虛擬機的委托類 加載機制、安全管理器和JavaAPI ; 所述沙箱模型支持細粒度訪問控制的安全策略,采用保護域安全模型,由安全策略來 決定代碼具有的訪問許可,對被保護資源的訪問激發(fā)安全檢查,將授權的許可和其試圖訪 問所需要的權限進行比較,所述激發(fā)安全檢查的訪問包括文件系統(tǒng)訪問、JNI訪問本地代 碼、創(chuàng)建Socket連接等;將同一 JVM中運行的代碼邏輯上分開,分別運行于不同的沙箱中。
      3. 根據(jù)權利要求2所述的方法,其特征在于,所述步驟一進一步包括:將不同的應用運 行于不同的沙箱中,實現(xiàn)應用隔離,沙箱對應用運行時進行文件訪問控制、網(wǎng)絡訪問控制、 多線程控制、JNI訪問控制; 利用兩個分離的邏輯沙箱模型,即系統(tǒng)沙箱和應用沙箱,分別提供系統(tǒng)代碼和應用代 碼的運行環(huán)境,在邏輯上將系統(tǒng)代碼和應用代碼分開處理; 所述SaaS平臺通過保護域模塊、類加載模塊、安全策略模塊和訪問控制模塊來實現(xiàn)應 用安全管理,其中,保護域模塊由系統(tǒng)保護域和應用保護域組成,系統(tǒng)保護域使用Java安 全體系結構中默認域模型,即通過代碼位置及簽名指定保護域,應用保護域由每個應用的 應用上下文來指定,邏輯上與一個Web應用相對應;在類加載模塊中,實現(xiàn)Jetty代碼和服 務端代碼以及應用類兩套類加載策略,分別由系統(tǒng)類加載器和WebApp類加載器加載;在安 全策略模塊中,系統(tǒng)沙箱采用Java安全體系結構的安全策略文件來實現(xiàn)安全策略,其中指 定了 SaaS平臺中應用的默認權限,由WebApp類加載器加載應用類型時,創(chuàng)建相應App實 例,同時初始化該App的權限集合,訪問控制模塊按照兩套邏輯分別進行權限檢查,利用 WebApp安全管理器,當代碼請求訪問被保護資源時,判斷當前請求是否來自應用,繼而觸發(fā) 相應的訪問控制邏輯,或將請求委托給父類安全管理器。
      4. 根據(jù)權利要求3所述的方法,其特征在于,所述平臺信息包括平臺類型、版本信息, 并且所述步驟二將平臺信息進行隱藏進一步包括: 由安全平臺來集中管理應用運行依賴的jar包、平臺本身的靜態(tài)信息和動態(tài)信息; 安全平臺的Connector模塊處理用戶請求,并返回應用運行結果,在所有運行結果返 回給用戶之前進行檢測,所有可能暴露平臺特征信息的異常信息通過包裝之后由安全平臺 的過濾模塊進行決策再將相應結果返回給用戶; 平臺過濾模塊中包括攔截模塊和誤導模塊,其中:攔截模塊依據(jù)策略攔截入侵者的請 求;決策模塊依托策略服務器作為其策略庫給出處理方式,為決策方法提供公共的可用接 口,以插件的形式應用到該決策模塊中,誤導模塊對入侵者發(fā)送假消息來誤導入侵者,保護 平臺自身的信息不泄露; 當平臺過濾模塊收到用戶請求時,由決策模塊調(diào)用策略服務器來決定處理方式,調(diào)用 誤導模塊對入侵者發(fā)送假消息,最后由行為模塊來執(zhí)行攔截動作。
      5. 根據(jù)權利要求4所述的方法,其特征在于,所述攻擊包括分布式DoS攻擊,并且所述 步驟三進一步包括以下步驟: 由負載監(jiān)控模塊、負載調(diào)整模塊和負載策略控制器模塊共同協(xié)作實現(xiàn)負載均衡,其中 負載監(jiān)控模塊監(jiān)控當前服務器客戶端的負載,然后負載調(diào)整模塊根據(jù)所定義的負載策略, 對該平臺所連接的客戶端的負載進行均衡調(diào)整,負載策略控制器模塊可以根據(jù)用戶的需求 進行策略定義和調(diào)整; 采用入口報文過濾,在路由器的入口對匿名攻擊方過濾掉偽造源IP地址的數(shù)據(jù)包,通 過網(wǎng)絡提供者利用路由器將來源地址不屬于客戶區(qū)域的數(shù)據(jù)包過濾; 在SaaS云平臺中安裝防火墻,輸入和輸出防火墻的數(shù)據(jù)包利用過濾防火墻,利用該防 火墻關閉未使用的端口號。
      6. 根據(jù)權利要求5所述的方法,其特征在于,所述攻擊包括網(wǎng)絡監(jiān)聽和端口掃描,并且 所述步驟三進一步包括以下步驟: 利用SATAN工具分析網(wǎng)絡,識別安全問題;在SaaS平臺上通過防火墻監(jiān)聽、限制以及更 改跨越防火墻的數(shù)據(jù)流,嘗試對外部網(wǎng)絡屏蔽有關被保護網(wǎng)絡的信息和結構;在SaaS平臺 中對傳輸?shù)男畔⑦M行加密,從而使監(jiān)聽者不能有效地獲得要監(jiān)聽的信息。
      【文檔編號】H04L29/06GK104104679SQ201410344641
      【公開日】2014年10月15日 申請日期:2014年7月18日 優(yōu)先權日:2014年7月18日
      【發(fā)明者】蒲思羽 申請人:四川中亞聯(lián)邦科技有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1