本發明涉及一種基于應用代理控制流速的實現方法，包括以下步驟：系統初始化時，系統加載自身應用策略配置，配置開啟監聽服務，應用代理模塊接收跨邊界訪問信息；應用代理模塊獲取訪問的應用信息，判斷訪問的合法性；應用代理模塊獲取訪問的主體、客體信息，為訪問控制模塊提供判斷依據，并根據訪問控制模塊的判斷，來檢測信息請求的合法性；應用代理模塊獲取訪問的身份信息，為身份鑒別模塊提供判斷依據，并根據身份鑒別模塊的判斷，來檢測連接的合法性；應用信息的接收與發送，以及信息相應的過濾處理。本發明是一種新的控制流速的方式，無需再由額外的模塊對流速進行控制，直接采用應用代理的方式即可，且在業務部署模式上更加快捷。

技術領域

本發明涉及一種基于應用代理控制流速的實現方法。

背景技術

當前各種控制協議流速的方式中，有基于驅動的，也有基于內核以及協議棧來進行控制的，但是在應用層級別，特別是通過應用代理的方式來實現流速的控制，還沒有一個詳細的解決方案。

發明內容

為了解決上述的技術問題，本發明的目的是提供一種基于應用代理控制流速的實現方法，該方法是一種新的控制流速的方式，無需再由額外的模塊對流速進行控制，直接采用應用代理的方式即可，且在業務部署模式上更加快捷。

為了實現上述目的，本發明采用了以下的技術方案：

一種基于應用代理控制流速的實現方法，實現該方法需要應用代理模塊、以及包含在應用代理模塊內的身份鑒別模塊和訪問控制模塊，包括以下步驟：

系統初始化時，系統加載自身應用策略配置，配置開啟監聽服務，應用代理模塊接收跨邊界訪問信息；

應用代理模塊獲取訪問的應用信息，判斷訪問的合法性；

應用代理模塊獲取訪問的主體、客體信息，為訪問控制模塊提供判斷依據，并根據訪問控制模塊的判斷，來檢測信息請求的合法性；

應用代理模塊獲取訪問的身份信息，為身份鑒別模塊提供判斷依據，并根據身份鑒別模塊的判斷，來檢測連接的合法性；

應用信息的接收與發送，以及信息相應的過濾處理；

監控訪問行為，即監控所有與安全相關的訪問企圖，確保訪問企圖不被篡改，安全互聯不被繞過。

作為優選方案：所述步驟3）中訪問控制模塊，根據流控制決策模塊裁決的結果決定是否允許對客體資源的訪問進行流速控制。

作為優選方案：所述步驟3）中流控制決策模塊的控制決策策略包括自主訪問控制策略、強制訪問控制策略和等級改變策略。

作為優選方案：所述步驟3）中流控制決策模塊接收到應用代理模塊發來的主、客體信息后，首先執行自主訪問控制策略，符合自主訪問控制策略則將結果提交給應用代理模塊，允許資源的訪問，否則將資源訪問請求發送到強制流控制模塊；

強制流控制模塊接收到資源訪問請求后，調用標記子模塊，獲得主體和客體的安全標記，進行符合性驗證；在符合性驗證時執行強制流控制策略，對于符合強制流控制策略的請求直接發送到應用代理模塊允許其對資源的訪問的流速進行控制，否則將請求發送到流速等級改變模塊；

流速等級調整檢查模塊對資源訪問請求執行等級調整檢查策略，即特權策略，資源訪問請求如果符合特權策略則將請求發送到應用代理模塊允許訪問并控制流速，否則拒絕資源訪問請求。

作為優選方案：流控制模塊將資源訪問操作通過審計子模塊進行審計。

本發明通過應用代理模塊負責接收、發送和處理跨域訪問的信息，為其他服務提供各類判斷信息依據，內部各模塊之間通過內部協議傳輸子模塊相互協調相互作用，完成邊界信息的控制作用。