在数据源处具有保护层的架构制造技术

公开了一种用于执行至少一个服务的方法和系统。该方法和系统包括在包装处接收用于数据源的通信。包装包括调度器和至少一个服务。调度器接收通信并且是数据不可知的。该方法和系统还包括将通信从调度器提供到数据源以及到至少一个服务。至少一个服务检查通信并且可以执行附加功能。以执行附加功能。以执行附加功能。

【技术实现步骤摘要】
【国外来华专利技术】在数据源处具有保护层的架构
[0001]其它申请的交叉引用本申请要求2018年9月18日提交的标题为“ARCHITECTURE HAVING A PROTECTIVE LAYER AT THE DATA SOURCE, BEHAVIORAL BASELINING FROM DATA SOURCE PERSPECTIVE AND TOKENIZATION SUCH THAT ONLY AUTHORIZED APPLICATIONS CAN USE TOKENS”的美国临时专利申请No. 62/733,013的优先权；2018年11月9日提交的标题为“ARCHITECTURE HAVING A DATA SOURCE WRAPPER AND APP AGENT”的美国临时专利申请No. 62/758,223的优先权；以及2019年4月30日提交的标题为“ARCHITECTURE HAVING A PROTECTIVE LAYER AT THE DATA SOURCE AND THAT PROVIDES QUERY ANALYSIS, FEDERATED IDENTITY MANAGEMENT AND MULTIFACTOR AUTHENTICATION”的美国临时专利申请No. 62/840,847的优先权，所有所述申请出于所有目的通过引用并入本文中。

技术介绍

[0002]传统的安全性模型通过在组织周围提供安全周界来保护数据和电子资产。安全周界不仅包括数据源、服务器和其它类似资产，而且还包括由资产的用户采用的客户端。然而，应用仍然是易受攻击的，不道德的个体仍然可以获得敏感数据的副本，并且安全周界的管理可能是复杂且昂贵的。此外，诸如传统的数据库和包括分布式消息队列的现代数据存储库之类的数据源可能未被配置成用于其它类型的安全性，诸如数据的令牌化和联合身份管理。因此，期望一种用于为数据源提供安全性的改进机制。
附图说明
[0003]在以下具体实施方式和附图中公开了本专利技术的各种实施例。
[0004]图1是包括在数据源处的保护层的系统的示例性实施例。
[0005]图2是包括在数据源处的保护层的系统的另一示例性实施例。
[0006]图3是包括在数据源处的保护层的系统的另一示例性实施例。
[0007]图4是描绘用于认证数据源的客户端的方法的示例性实施例的流程图。
[0008]图5是描绘用于执行用于数据源的客户端的服务的方法的示例性实施例的流程图。
[0009]图6是描绘用于执行用于数据源的客户端的多因素认证的方法的示例性实施例的流程图。
[0010]图7是描绘用于执行用于数据源的客户端的联合身份管理的方法的示例性实施例的流程图。
[0011]图8是描绘用于使用联合身份管理认证数据源的客户端的方法的另一示例性实施例的流程图。
[0012]图9是描绘用于分析和记录与数据源的查询相关的信息的方法的示例性实施例的流程图。
[0013]图10是描绘抽象语法树的示例性实施例的图。
[0014]图11A和11B是描绘用于利用敏感数据的令牌化和/或加密的方法的示例性实施例的流程图。
[0015]图12A和12B是描绘用于提供客户端信息和用于执行客户端的行为基线化的方法的示例性实施例的流程图。
具体实施方式
[0016]本专利技术可以以多种方式来实施，包括作为过程；装置；系统；物质的组合；实施在计算机可读存储介质上的计算机程序产品；和/或处理器，诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中，这些实施方式或本专利技术可以采用的任何其它形式可以被称为技术。通常，所公开的过程的步骤的顺序可以在本专利技术的范围内更改。除非另有说明，否则被描述为被配置成执行任务的诸如处理器或存储器之类的组件可以被实施为被临时配置成在给定时间执行该任务的通用组件或被制造成执行该任务的特定组件。如本文中所使用的，术语“处理器”指代被配置成处理数据（诸如计算机程序指令）的一个或多个设备、电路和/或处理核。
[0017]下面连同示出本专利技术的原理的附图一起提供本专利技术的一个或多个实施例的详细描述。结合此类实施例描述了本专利技术，但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求限定，并且本专利技术包含许多替代方案、修改和等同物。在下面的描述中阐述了许多具体细节以便提供对本专利技术的透彻理解。这些细节是出于示例的目的而提供的，并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实践本专利技术。出于清楚性的目的，未详细描述与本专利技术相关的
中已知的技术材料，以免不必要地使本专利技术模糊不清。
[0018]本文中描述的系统和方法提供保护层或包装，其驻留在数据源处并且用作围绕数据源的安全周界。客户端（例如，应用和/或终端用户）与包装通信并由包装验证以访问数据源。受损的应用（包括先前验证的应用）可以被拒绝对数据源进行访问。这种方法与将周界放置在包括数据源和应用的整个组织周围的安全性措施形成对比。该方法和系统还可以跟踪应用对数据源的访问以确定应用的上下文/行为基线。例如，会话的类型、浏览器、API、IP地址、查询属性等可以用于确定用于数据源的访问的行为基线。将后续访问与基线进行比较以确定当前查询是否与基线匹配。如果不是，则可以采用附加的验证/防御机制。应用身份或应用指纹识别可以并入到该行为基线化中。在一些方面，还可以采用数据掩蔽。在数据掩蔽中，敏感数据由具有类似形式但不具有固有含义的令牌或格式保留加密来替换。例如，信用卡或社会安全号码可以由具有相同数字位数的不同号码来替换。令牌还可以具有到期时间、请求者标识和用于跟踪令牌的使用的其它数据。使用令牌，除非/直到需要敏感数据（例如处理交易所需的信用卡号）。如果需要敏感数据，则将令牌呈现给数据仓库并对其进行验证以获得敏感数据。
[0019]在一些实施例中，包装用作围绕数据源的安全周界。包装包括调度器和与调度器通信的多个服务。调度器可以是拦截对数据源的访问的层4组件。传入的访问和传出的数据两者都可以被调度器拦截。调度器是数据不可知的，因此可以跨各种数据源部署。调度器可以保存分组（步进模式），或者立即向/从数据源转发分组（流模式），但是不检查分组。调度器还向服务提供分组。服务对由调度器拦截的分组执行较深度的检查。服务可以提供一个
或多个功能，其包括但不限于：对数据源的用户/请求者的认证、查询分析、多因素认证、数据的令牌化、重写、高速缓存和行为基线化（使用收集器）、联合身份管理和其它功能性。在一些实施例中，服务可以包括层7（应用层）组件。例如，为了认证，服务可以检查该数据源的用户的凭证（例如用户id和密码和/或证书），并且仅在用户的凭证被验证的情况下允许对数据源进行访问。这些服务中的一个或多个可以一起使用。这种方式与将周界放置在包括数据源和应用的整个组织周围或者试图使用层7组件来管理数据源/组织的安全性措施形成对比。
[0020]除了在数据源处的包装之外，还可以在使用数据储存库/数据源的一些/所有客本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种方法，包括：在包装处接收用于数据源的通信，所述包装包括调度器和至少一个服务，所述调度器接收所述通信并且是数据不可知的；将所述通信从所述调度器提供到所述数据源以及到所述至少一个服务，所述至少一个服务检查所述通信。2.根据权利要求1所述的方法，其中所述调度器是开放系统互连（OSI）层4调度器，并且其中所述至少一个服务包括至少一个OSI层7服务。3.根据权利要求1所述的方法，还包括：基于所述通信由所述至少一个服务执行至少一个功能。4.根据权利要求3所述的方法，其中所述至少一个功能包括认证服务、多因素认证、数据的令牌化、数据加密、查询分析、行为基线化和联合身份管理中的至少一个。5.根据权利要求1所述的方法，其中所述通信在客户端处生成，并且其中所述至少一个服务包括认证服务，所述方法还包括：使用所述认证服务来确定所述客户端是否被授权访问所述数据源；以及如果所述客户端未被授权访问所述数据源，则阻止对所述数据源的访问。6.根据权利要求5所述的方法，其中所述提供所述通信还包括：仅在所述认证服务确定所述客户端被授权访问所述数据源时，才向所述数据源提供所述通信。7.根据权利要求5所述的方法，其中所述提供所述通信还包括：将所述通信从所述调度器提供到所述数据源；以及如果所述认证服务确定所述客户端未被授权访问所述数据源，则所述通信在被所述数据源处理之前召回。8.根据权利要求1所述的方法，其中所述通信在客户端处生成并包括第一通信，其中所述至少一个服务包括认证服务并且其中所述调度器处于用于来自所述客户端的所述第一通信的步进模式中，所述将所述通信提供到所述数据源以及到所述至少一个服务还包括：所述将所述第一通信提供到所述认证服务，而不将所述第一通信转发到所述数据源；由所述认证服务使用所述第一通信来确定所述客户端是否被授权访问所述数据源；如果所述客户端未被授权访问所述数据源，则通过终止到所述客户端的连接来阻止对所述数据源的访问；如果所述客户端被授权访问所述数据源，则将所述第一通信从所述调度器转发到所述数据源；如果所述客户端被授权访问所述数据源，则将所述调度器置于流模式中；在所述调度器处从所述客户端接收至少一个附加通信；以及如果所述客户端被授权访问所述数据源，则从所述调度器将所述至少一个附加通信自动地转发到所述数据源。9.根据权利要求1所述的方法，其中所述接收所述通信还包括接收来自客户端的所述通信和与所述通信相关联的上下文，使用收集器在所述客户端处拦截所述通信，由所述收集器确定所述客户端的所述上下文；并且由所述收集器将所述上下文附加到所述通信；其中，所述提供包括将所述上下文从所述调度器提供到所述服务，所述方法还包括
由所述服务将所述上下文与所述客户端的行为基线进行比较，所述行为基线包含先前从所述客户端接收的多个上下文；以及仅在所述上下文与...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：赛络公司，
类型：发明
国别省市：