專利名稱:可擴(kuò)展的安全信息處理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種安全信息處理方法及系統(tǒng),特別是涉及一種能夠快速方便地對(duì)現(xiàn)有安全信息處理系統(tǒng)所處理的內(nèi)容按照規(guī)則進(jìn)行擴(kuò)展的安全信息處理方法及系統(tǒng),屬于計(jì)算機(jī)信息安全領(lǐng)域。
背景技術(shù):
隨著人們對(duì)網(wǎng)絡(luò)安全的逐漸重視,在網(wǎng)絡(luò)中部署了大量諸如防火墻、入侵監(jiān)測(cè)系統(tǒng)在內(nèi)的安全設(shè)備和具備安全防護(hù)功能的應(yīng)用(關(guān)鍵應(yīng)用)。所有這些安全設(shè)備、關(guān)鍵應(yīng)用以及支撐這些關(guān)鍵應(yīng)用的主機(jī)系統(tǒng)都會(huì)產(chǎn)生大量的安全信息(事件),只有提供對(duì)這些安全信息進(jìn)行處理、進(jìn)而發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全風(fēng)險(xiǎn)的功能,才能使網(wǎng)絡(luò)真正安全可控。
一個(gè)良好的安全信息處理系統(tǒng)應(yīng)該能夠如實(shí)、準(zhǔn)確地反映網(wǎng)絡(luò)當(dāng)前的安全狀況,同時(shí),還必須為用戶提供豐富的處理手段供用戶檢查當(dāng)前的安全狀況。例如當(dāng)今業(yè)界領(lǐng)先的處理軟件WebTrends可以為用戶呈現(xiàn)各種Web訪問(wèn)的安全報(bào)表。但是,WebTrends不能讓用戶進(jìn)行任意信息處理,而且它處理的對(duì)象局限于防火墻和VPN這兩種安全設(shè)備,對(duì)于其他安全設(shè)備的處理效果不佳。還有的處理系統(tǒng)僅僅提供信息處理而沒(méi)有豐富的報(bào)表處理。一個(gè)完整意義上的信息處理系統(tǒng)應(yīng)該不僅能夠進(jìn)行信息處理,還能夠進(jìn)行報(bào)表處理。同時(shí),安全處理系統(tǒng)應(yīng)該能夠支持對(duì)各種安全設(shè)備和關(guān)鍵應(yīng)用的安全信息的處理,并且能夠方便地進(jìn)行擴(kuò)展以適應(yīng)新的安全設(shè)備和關(guān)鍵應(yīng)用的安全信息處理需求。而這樣的一個(gè)系統(tǒng)需要一個(gè)信息處理系統(tǒng)的支撐。
另一方面,目前對(duì)安全信息進(jìn)行處理時(shí)面臨的一個(gè)比較大的難題是安全信息內(nèi)容復(fù)雜,不同種類間的差異太大。由于每種安全設(shè)備所關(guān)注的領(lǐng)域不同、網(wǎng)絡(luò)中部署的具備安全防護(hù)功能的應(yīng)用類型的不同和數(shù)量的差異,產(chǎn)生了各種格式的事件,并且,即使是同種安全設(shè)備,其產(chǎn)生的事件在格式和數(shù)量上也存在很大差異。因此,一個(gè)既有的信息處理系統(tǒng)很難在網(wǎng)絡(luò)加入新的設(shè)備和應(yīng)用后能夠方便對(duì)其進(jìn)行支持。正是由于上述原因,使得如何對(duì)復(fù)雜的信息進(jìn)行處理成為現(xiàn)在研究的一個(gè)熱點(diǎn)。這也是為什么WebTrends軟件將處理對(duì)象僅僅定位在防火墻安全信息處理上的原因。如果單純使用事件格式標(biāo)準(zhǔn)化等手段,雖然能夠降低信息處理的復(fù)雜度,但是卻抹殺了有些事件之間本質(zhì)的區(qū)別。因此一個(gè)好的處理系統(tǒng)應(yīng)該在維持事件某些特性的前提下抽取它們的共性,將各種事件格式統(tǒng)一為若干類而不是一類,進(jìn)而基于這些新構(gòu)造的事件類型進(jìn)行安全信息處理。這樣,在需要擴(kuò)展支持新的安全設(shè)備和關(guān)鍵應(yīng)用的時(shí)候就可以方便地將新的信息格式映射為那些事件格式的一種,而不必為了增加新的事件格式而重新修改整個(gè)處理系統(tǒng)。為此,需要一個(gè)信息處理系統(tǒng)來(lái)支撐。
另外,一個(gè)好的信息處理系統(tǒng)還應(yīng)該提供定時(shí)產(chǎn)生處理結(jié)果和處理報(bào)表的功能,以及支持可重用的用戶自定義處理和報(bào)表的功能。
目前,雖然已經(jīng)提出了一些信息處理系統(tǒng)和信息處理系統(tǒng),但是應(yīng)用在安全信息的處理中都不甚理想。
美國(guó)專利《Architecture for processing search queries,retrievingdocuments identified thereby,and method for using same》(專利號(hào)5,873,076)公開(kāi)了一個(gè)處理系統(tǒng),但是這個(gè)架構(gòu)的目的是讓用戶使用自然語(yǔ)言進(jìn)行處理,內(nèi)部轉(zhuǎn)換過(guò)程比較復(fù)雜,最終效果很難保證。
中國(guó)專利申請(qǐng)《執(zhí)行數(shù)據(jù)庫(kù)處理的模塊化方法和系統(tǒng)》(申請(qǐng)?zhí)?0812612.7)公開(kāi)了一種處理系統(tǒng),包括數(shù)據(jù)驅(qū)動(dòng)器程序庫(kù)和智能數(shù)據(jù)集。數(shù)據(jù)驅(qū)動(dòng)程序庫(kù)可以執(zhí)行預(yù)定義的數(shù)據(jù)庫(kù)操作,智能數(shù)據(jù)集則可以自動(dòng)識(shí)別數(shù)據(jù)驅(qū)動(dòng)器程序庫(kù),并產(chǎn)生一個(gè)執(zhí)行序列。但該發(fā)明關(guān)注的是一個(gè)通用的信息處理系統(tǒng),而沒(méi)有針對(duì)某個(gè)特定問(wèn)題域進(jìn)行優(yōu)化。雖然該發(fā)明從消除或減少系統(tǒng)和方法相關(guān)性的角度出發(fā),提出了模塊化處理系統(tǒng),在處理功能擴(kuò)充時(shí)具有較好的擴(kuò)展性,但是沒(méi)有考慮在功能需求不變,被處理數(shù)據(jù)類型擴(kuò)充時(shí)的系統(tǒng)可擴(kuò)展性。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種可擴(kuò)展的安全信息處理方法,能夠較為簡(jiǎn)便地對(duì)新的安全設(shè)備產(chǎn)生的安全信息處理提供支持,且能滿足用戶多方面的需求,快速方便地對(duì)網(wǎng)絡(luò)中新產(chǎn)生的安全信息提供支持,從而始終準(zhǔn)確地反映網(wǎng)絡(luò)工作狀況,使應(yīng)用該方法的系統(tǒng)成為一個(gè)通用的安全信息處理平臺(tái)。
本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的一種可擴(kuò)展的安全信息處理方法,對(duì)于安全設(shè)備或應(yīng)用改變后產(chǎn)生的安全信息進(jìn)行處理時(shí),至少包括以下步驟步驟1編輯從用戶處理請(qǐng)求到信息處理語(yǔ)句的轉(zhuǎn)換規(guī)則并保存;步驟2根據(jù)所述的轉(zhuǎn)換規(guī)則對(duì)相應(yīng)的用戶處理請(qǐng)求進(jìn)行處理。
步驟2具體包括步驟21、獲取用戶處理請(qǐng)求;步驟22、讀取存儲(chǔ)的轉(zhuǎn)換規(guī)則,并依據(jù)轉(zhuǎn)換規(guī)則將獲取的用戶處理請(qǐng)求轉(zhuǎn)換為信息處理語(yǔ)句;步驟23、根據(jù)信息處理語(yǔ)句對(duì)存儲(chǔ)的安全設(shè)備或應(yīng)用的安全信息數(shù)據(jù)進(jìn)行處理,并將處理結(jié)果輸出。
步驟21具體包括步驟211、定制處理?xiàng)l件;步驟2111、校驗(yàn)處理?xiàng)l件;步驟212、將處理?xiàng)l件裝配為用戶處理請(qǐng)求。
步驟22具體包括步驟221、將用戶處理請(qǐng)求轉(zhuǎn)換為規(guī)定的數(shù)據(jù)結(jié)構(gòu);步驟222、將規(guī)定的數(shù)據(jù)結(jié)構(gòu)轉(zhuǎn)換為信息處理語(yǔ)句。
步驟23具體包括步驟231、根據(jù)信息處理語(yǔ)句對(duì)安全信息數(shù)據(jù)進(jìn)行處理;步驟232、對(duì)處理結(jié)果進(jìn)行判斷,是否需要再次處理,如是則根據(jù)處理結(jié)果生成信息處理語(yǔ)句,轉(zhuǎn)到步驟231,如否則輸出處理結(jié)果。
在應(yīng)用方法的過(guò)程中進(jìn)行通信時(shí),用于通信的單/雙向信道中至少有一個(gè)信道為加密信道;加密信道采用身份認(rèn)證和/或密鑰協(xié)商的方法保證通信安全。
用戶處理請(qǐng)求采用XML語(yǔ)言的文件或文本文件的形式;規(guī)則數(shù)據(jù)以數(shù)據(jù)庫(kù)表或文件形式存儲(chǔ)。
一種可擴(kuò)展的安全信息處理系統(tǒng),該系統(tǒng)至少由用戶界面層、處理請(qǐng)求轉(zhuǎn)換層和數(shù)據(jù)層組成,其中用戶界面層,用于將定制的用戶處理請(qǐng)求發(fā)給處理請(qǐng)求轉(zhuǎn)換層;處理請(qǐng)求轉(zhuǎn)換層,根據(jù)存儲(chǔ)的規(guī)則數(shù)據(jù)將接到的用戶處理請(qǐng)求轉(zhuǎn)換為信息處理語(yǔ)句發(fā)送到數(shù)據(jù)層,接收數(shù)據(jù)層發(fā)來(lái)的處理結(jié)果并輸出;數(shù)據(jù)層,根據(jù)信息處理語(yǔ)句對(duì)存儲(chǔ)的安全設(shè)備或應(yīng)用的安全信息數(shù)據(jù)進(jìn)行處理,并將處理結(jié)果輸出。
處理請(qǐng)求轉(zhuǎn)換層至少由規(guī)則編輯模塊、用戶處理請(qǐng)求轉(zhuǎn)換模塊和信息轉(zhuǎn)換模塊組成,其中規(guī)則編輯模塊,用于在安全設(shè)備或應(yīng)用發(fā)生改變后對(duì)從用戶處理請(qǐng)求到信息處理語(yǔ)句的轉(zhuǎn)換規(guī)則進(jìn)行編輯,并將轉(zhuǎn)換規(guī)則以規(guī)則數(shù)據(jù)的形式保存;用戶處理請(qǐng)求轉(zhuǎn)換模塊,用于將處理請(qǐng)求條件轉(zhuǎn)換為處理請(qǐng)求轉(zhuǎn)換層規(guī)定的數(shù)據(jù)結(jié)構(gòu),并將轉(zhuǎn)換后的數(shù)據(jù)結(jié)構(gòu)發(fā)送給信息轉(zhuǎn)換模塊;信息轉(zhuǎn)換模塊,用于進(jìn)行信息轉(zhuǎn)換,將轉(zhuǎn)換后生成的信息處理語(yǔ)句發(fā)送給數(shù)據(jù)層。
處理請(qǐng)求轉(zhuǎn)換層還設(shè)有結(jié)果轉(zhuǎn)發(fā)模塊,用于接收數(shù)據(jù)層發(fā)來(lái)的處理結(jié)果,判斷是否需要再次處理,如需再次處理,則將該結(jié)果發(fā)送到信息轉(zhuǎn)換模塊,如無(wú)需再次處理,則將該結(jié)果作為最終處理結(jié)果發(fā)送到用戶界面層。
用戶界面層至少由處理?xiàng)l件定制模塊和裝配模塊組成,其中處理?xiàng)l件定制模塊,用于定制處理?xiàng)l件;請(qǐng)求裝配模塊,用于將定制的處理?xiàng)l件裝配為用戶處理請(qǐng)求,并將用戶處理請(qǐng)求發(fā)給處理請(qǐng)求轉(zhuǎn)換層;用戶界面層還設(shè)有校驗(yàn)?zāi)K,用于校驗(yàn)處理?xiàng)l件定制模塊定制的處理?xiàng)l件;設(shè)有結(jié)果顯示模塊,用于接收處理請(qǐng)求轉(zhuǎn)換層發(fā)來(lái)的處理結(jié)果并顯示。
數(shù)據(jù)層設(shè)有數(shù)據(jù)處理模塊,用于接收處理請(qǐng)求轉(zhuǎn)換層發(fā)來(lái)的信息處理語(yǔ)句,根據(jù)信息處理語(yǔ)句對(duì)安全信息數(shù)據(jù)進(jìn)行處理,并將處理結(jié)果輸出。
通過(guò)上述技術(shù)方案可知,本發(fā)明有如下優(yōu)點(diǎn)1、在信息安全領(lǐng)域的數(shù)據(jù)處理中易于對(duì)新的安全設(shè)備和應(yīng)用產(chǎn)生的安全信息進(jìn)行擴(kuò)展支持。本發(fā)明采用用戶界面層、處理請(qǐng)求轉(zhuǎn)換層和數(shù)據(jù)層的三層結(jié)構(gòu),在處理請(qǐng)求轉(zhuǎn)換層中設(shè)有專門針對(duì)信息安全領(lǐng)域設(shè)計(jì)的規(guī)則編輯模塊和規(guī)則數(shù)據(jù),處理請(qǐng)求轉(zhuǎn)換層在轉(zhuǎn)換規(guī)則的驅(qū)動(dòng)下將處理請(qǐng)求正文映射成信息處理語(yǔ)句并發(fā)送給數(shù)據(jù)層,數(shù)據(jù)層將信息處理語(yǔ)句轉(zhuǎn)換為自身的數(shù)據(jù)處理語(yǔ)句,進(jìn)行數(shù)據(jù)處理;通過(guò)對(duì)用戶特定領(lǐng)域的信息抽取而得到的規(guī)則集合將變化相對(duì)比較頻繁的用戶業(yè)務(wù)領(lǐng)域數(shù)據(jù)和相對(duì)穩(wěn)定的處理系統(tǒng)數(shù)據(jù)分離開(kāi)來(lái),借助規(guī)則集合中對(duì)兩個(gè)領(lǐng)域數(shù)據(jù)的映射關(guān)系定義,更好地體現(xiàn)安全領(lǐng)域中信息的共性,通過(guò)編輯規(guī)則數(shù)據(jù),實(shí)現(xiàn)了處理系統(tǒng)對(duì)于新的安全設(shè)備或應(yīng)用的快速有效擴(kuò)展。
2、用戶界面層生成的用戶處理請(qǐng)求條件可采用XML格式,通過(guò)使用XML,可以容易地組織用戶處理請(qǐng)求,并能夠方便地?cái)U(kuò)展,同時(shí)提供給用戶盡可能自然化的表述。
3、不同層之間的通信采用加密信道,加密信道采用身份驗(yàn)證、密鑰協(xié)商等方式保證通信安全。
圖1為本發(fā)明方法進(jìn)行信息處理的流程圖;圖2為本發(fā)明實(shí)施例的系統(tǒng)組成原理圖;圖3為本發(fā)明系統(tǒng)進(jìn)行信息處理的流程圖。
具體實(shí)施例方式
以下,結(jié)合具體實(shí)施例并參照附圖,對(duì)本發(fā)明做進(jìn)一步的詳細(xì)說(shuō)明。
如圖1所示,為本發(fā)明方法對(duì)于安全設(shè)備或應(yīng)用改變后產(chǎn)生的安全信息進(jìn)行處理時(shí)的總體處理流程,包括如下步驟一、編輯從用戶處理請(qǐng)求到信息處理語(yǔ)句的轉(zhuǎn)換規(guī)則并保存;二、定制處理?xiàng)l件;三、校驗(yàn)處理?xiàng)l件;四、將處理?xiàng)l件裝配為用戶處理請(qǐng)求;五、將用戶處理請(qǐng)求轉(zhuǎn)換為規(guī)定的數(shù)據(jù)結(jié)構(gòu);六、將規(guī)定的數(shù)據(jù)結(jié)構(gòu)轉(zhuǎn)換為信息處理語(yǔ)句;七、根據(jù)信息處理語(yǔ)句對(duì)安全信息數(shù)據(jù)進(jìn)行處理;八、對(duì)處理結(jié)果進(jìn)行判斷,是否需要再次處理,如是則根據(jù)處理結(jié)果生成信息處理語(yǔ)句,轉(zhuǎn)到步驟七,如否則輸出處理結(jié)果。
用戶處理請(qǐng)求正文采用XML語(yǔ)言表述。XML是萬(wàn)維網(wǎng)聯(lián)盟(World Wide WebConsortium,簡(jiǎn)稱W3C)提出的一個(gè)用戶信息交換的開(kāi)放標(biāo)準(zhǔn),通過(guò)使用XML,可以容易地組織用戶處理請(qǐng)求,并能夠方便地?cái)U(kuò)展,同時(shí)提供給用戶盡可能自然化的表述。
用戶處理請(qǐng)求所使用的語(yǔ)言是一種和安全信息領(lǐng)域相關(guān)的中間語(yǔ)言,它加入了安全信息的處理規(guī)則,如果脫離了安全信息領(lǐng)域,該用戶處理請(qǐng)求語(yǔ)言就沒(méi)有意義;它不是一種跨領(lǐng)域通用的中間語(yǔ)言,正是這種特性,使得該語(yǔ)言可以針對(duì)信息安全領(lǐng)域處理進(jìn)行特別優(yōu)化,從而達(dá)到方便擴(kuò)展的目的。
安全信息數(shù)據(jù)的格式不同、含義各異,有的相互之間還存在內(nèi)在聯(lián)系;數(shù)據(jù)組織的物理結(jié)構(gòu)可以是簡(jiǎn)單的文件,較佳地,數(shù)據(jù)存儲(chǔ)采用關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng),而此時(shí)數(shù)據(jù)處理語(yǔ)言就是結(jié)構(gòu)化查詢語(yǔ)言(SQL)。
如圖2所示的安全信息處理系統(tǒng)由三個(gè)部分,或者說(shuō)由三層組成;它們分別為用戶界面層、處理請(qǐng)求轉(zhuǎn)換層和數(shù)據(jù)層。
用戶界面層為用戶處理意圖的表達(dá)提供可視化的輸入接口,對(duì)用戶指定的處理?xiàng)l件進(jìn)行顯示界面上的布局、導(dǎo)航以及邏輯關(guān)系的校驗(yàn),使得用戶能夠直觀、方便地定制、提交處理請(qǐng)求。處理請(qǐng)求發(fā)送到處理請(qǐng)求轉(zhuǎn)換層,處理完畢后形成的處理結(jié)果可以以平面或多維的數(shù)據(jù)組織形式映射到用戶界面層,呈現(xiàn)給用戶。
處理請(qǐng)求轉(zhuǎn)換層部件最核心的工作就是實(shí)現(xiàn)用戶處理請(qǐng)求語(yǔ)言到信息處理語(yǔ)言的映射。在預(yù)定義轉(zhuǎn)換規(guī)則的驅(qū)動(dòng)下,處理請(qǐng)求轉(zhuǎn)換層通過(guò)規(guī)則映射將用戶處理請(qǐng)求語(yǔ)言翻譯成信息處理語(yǔ)言發(fā)送給數(shù)據(jù)層。處理請(qǐng)求轉(zhuǎn)換層是整個(gè)信息處理系統(tǒng)的控制中樞,完成了從用戶特定域到系統(tǒng)通用域的轉(zhuǎn)換。處理請(qǐng)求轉(zhuǎn)換層所進(jìn)行的語(yǔ)言轉(zhuǎn)換工作在應(yīng)用層之上,和數(shù)據(jù)層所在具體數(shù)據(jù)庫(kù)驅(qū)動(dòng)器的語(yǔ)言轉(zhuǎn)換無(wú)關(guān)。
數(shù)據(jù)層存儲(chǔ)有網(wǎng)絡(luò)安全信息。該層實(shí)現(xiàn)了數(shù)據(jù)組織的邏輯和物理結(jié)構(gòu),并提供了處理這些數(shù)據(jù)的邏輯方法——數(shù)據(jù)處理語(yǔ)言。通過(guò)數(shù)據(jù)處理語(yǔ)言,將符合用戶處理?xiàng)l件的信息提取出來(lái),直接或間接地返回到用戶界面層。
數(shù)據(jù)層接收來(lái)自處理請(qǐng)求轉(zhuǎn)換層的信息處理請(qǐng)求的語(yǔ)句,所述語(yǔ)句所用語(yǔ)言是一個(gè)和具體數(shù)據(jù)組織無(wú)關(guān)的語(yǔ)言,例如它不關(guān)心數(shù)據(jù)是存放在MS SQLSERVER中還是ORACLE中,或者是文本文件中,而和具體數(shù)據(jù)組織相關(guān)。數(shù)據(jù)層需要進(jìn)行這種從抽象到具體的轉(zhuǎn)換。
用戶提交的處理請(qǐng)求可能轉(zhuǎn)化成不止一次的處理請(qǐng)求轉(zhuǎn)換層和數(shù)據(jù)層之間的交互。這就是說(shuō),數(shù)據(jù)層根據(jù)信息處理語(yǔ)句返回的結(jié)果可能導(dǎo)致處理請(qǐng)求轉(zhuǎn)換層發(fā)送新的信息處理語(yǔ)句,這取決于用戶處理請(qǐng)求的內(nèi)容和轉(zhuǎn)換規(guī)則的制訂。
由于該系統(tǒng)涉及網(wǎng)絡(luò)安全領(lǐng)域,需要確保結(jié)構(gòu)自身的安全性,因此用戶界面層在允許用戶定制處理?xiàng)l件之前需要對(duì)用戶進(jìn)行身份驗(yàn)證。同時(shí),用戶界面層和處理請(qǐng)求轉(zhuǎn)換層的通信以及處理請(qǐng)求轉(zhuǎn)換層和數(shù)據(jù)層的通信都采用身份認(rèn)證、密鑰協(xié)商的加密方式進(jìn)行。
作為對(duì)系統(tǒng)功能的擴(kuò)展,信息處理請(qǐng)求轉(zhuǎn)換層可以將用戶處理請(qǐng)求保存為一個(gè)用戶處理方案。以后,用戶就可以反復(fù)調(diào)用以前的處理方案進(jìn)行信息處理,從而大大提高工作效率。
由上述方案可以看出,本實(shí)施例是一個(gè)由用戶界面層、處理請(qǐng)求轉(zhuǎn)換層和數(shù)據(jù)層組成的系統(tǒng),用戶界面層生成XML格式的處理請(qǐng)求正文,提交到處理請(qǐng)求轉(zhuǎn)換層,處理請(qǐng)求轉(zhuǎn)換層在轉(zhuǎn)換規(guī)則的驅(qū)動(dòng)下將處理請(qǐng)求正文映射成信息處理語(yǔ)言并發(fā)送給數(shù)據(jù)層,數(shù)據(jù)層將信息處理語(yǔ)言轉(zhuǎn)換為自身的數(shù)據(jù)處理語(yǔ)言,進(jìn)行數(shù)據(jù)處理,將處理結(jié)果直接返回用戶界面層或者通過(guò)處理請(qǐng)求轉(zhuǎn)換層間接轉(zhuǎn)發(fā)給用戶界面層。
通過(guò)對(duì)用戶特定領(lǐng)域的信息抽取而得到的規(guī)則集合將變化相對(duì)比較頻繁的用戶業(yè)務(wù)領(lǐng)域數(shù)據(jù)和相對(duì)穩(wěn)定的處理系統(tǒng)數(shù)據(jù)分離開(kāi)來(lái),借助規(guī)則集合中對(duì)兩個(gè)領(lǐng)域數(shù)據(jù)的映射關(guān)系定義,實(shí)現(xiàn)了處理系統(tǒng)的快速有效擴(kuò)展。
如圖2所示,在用戶界面層布局模塊和導(dǎo)航模塊的指引下,用戶指定處理?xiàng)l件,經(jīng)過(guò)校驗(yàn)?zāi)K校驗(yàn)后由請(qǐng)求裝配模塊生成XML格式編碼的用戶處理請(qǐng)求正文;請(qǐng)求正文通過(guò)加密信道1發(fā)送至處理請(qǐng)求轉(zhuǎn)換層的用戶處理請(qǐng)求轉(zhuǎn)換模塊。
處理請(qǐng)求轉(zhuǎn)換層由用戶處理請(qǐng)求轉(zhuǎn)換模塊、信息轉(zhuǎn)換模塊、結(jié)果轉(zhuǎn)發(fā)模塊、規(guī)則編輯模塊和規(guī)則數(shù)據(jù)組成。用戶處理請(qǐng)求轉(zhuǎn)換模塊負(fù)責(zé)將接收到的用戶處理請(qǐng)求語(yǔ)言裝配成信息轉(zhuǎn)換模塊可以識(shí)別的數(shù)據(jù)結(jié)構(gòu)。信息轉(zhuǎn)換模塊是一個(gè)信息轉(zhuǎn)化系統(tǒng),它在規(guī)則數(shù)據(jù)所定義的轉(zhuǎn)換機(jī)制的作用下,將用戶處理請(qǐng)求轉(zhuǎn)換模塊表示的處理請(qǐng)求轉(zhuǎn)換為數(shù)據(jù)層信息處理語(yǔ)言所描述的信息處理語(yǔ)句。規(guī)則數(shù)據(jù)定義了一套從用戶特定域到系統(tǒng)通用域的轉(zhuǎn)換機(jī)制,是信息處理系統(tǒng)運(yùn)轉(zhuǎn)的驅(qū)動(dòng)源。規(guī)則數(shù)據(jù)用于對(duì)信息轉(zhuǎn)換模塊進(jìn)行轉(zhuǎn)換規(guī)約,驅(qū)動(dòng)處理請(qǐng)求轉(zhuǎn)換層的運(yùn)行。用戶可以通過(guò)規(guī)則編輯模塊對(duì)規(guī)則數(shù)據(jù)進(jìn)行編輯。一旦網(wǎng)絡(luò)環(huán)境發(fā)生變化,產(chǎn)生了新類型的安全信息需要處理,只需通過(guò)規(guī)則編輯模塊增加、修訂和刪除從用戶特定域到系統(tǒng)通用域的轉(zhuǎn)換規(guī)則就能夠?qū)崿F(xiàn)處理信息的快速擴(kuò)展。結(jié)果轉(zhuǎn)發(fā)模塊用于決定是否要進(jìn)行再處理。
處理請(qǐng)求轉(zhuǎn)換層的工作流程為用戶處理請(qǐng)求轉(zhuǎn)換模塊將接收到的用戶處理請(qǐng)求語(yǔ)言裝配成信息轉(zhuǎn)換模塊可以識(shí)別的數(shù)據(jù)結(jié)構(gòu),信息轉(zhuǎn)換模塊以此作為輸入2,在規(guī)則數(shù)據(jù)的作用下9,將用戶處理請(qǐng)求正文轉(zhuǎn)換為數(shù)據(jù)層信息處理語(yǔ)言所描述的信息處理語(yǔ)句,通過(guò)加密信道4發(fā)送至數(shù)據(jù)層。
數(shù)據(jù)層將其保存的數(shù)據(jù)分為兩類(1)安全信息/事件數(shù)據(jù),它是網(wǎng)絡(luò)中安全設(shè)備和應(yīng)用產(chǎn)生的各種安全信息,是建立在該系統(tǒng)上的安全信息處理系統(tǒng)所要處理的信息源。(2)信息格式,它是安全信息/事件數(shù)據(jù)的元數(shù)據(jù),記錄了這些信息的格式和每個(gè)格式字段的具體含義。
數(shù)據(jù)層的核心工作部件是數(shù)據(jù)處理模塊。它負(fù)責(zé)將處理系統(tǒng)提交的信息處理語(yǔ)句轉(zhuǎn)換為與數(shù)據(jù)存儲(chǔ)相關(guān)的數(shù)據(jù)處理語(yǔ)句,例如MS SQL SERVER處理語(yǔ)句,并根據(jù)信息處理語(yǔ)句的約定返回處理結(jié)果給處理請(qǐng)求轉(zhuǎn)換層。
數(shù)據(jù)層根據(jù)信息處理語(yǔ)句提取相關(guān)數(shù)據(jù)后即可返回結(jié)果,數(shù)據(jù)層通過(guò)信道5將結(jié)果返回給處理請(qǐng)求轉(zhuǎn)換層的結(jié)果轉(zhuǎn)發(fā)模塊,結(jié)果轉(zhuǎn)發(fā)模塊對(duì)于處理結(jié)果進(jìn)行判斷,如果無(wú)需再次處理,則將該結(jié)果作為最終結(jié)果進(jìn)行各式轉(zhuǎn)換后通過(guò)信道6返回給用戶界面層的處理結(jié)果模塊;如果需要再次處理,則將該結(jié)果作為信息轉(zhuǎn)換模塊的輸入(信道8),在規(guī)則數(shù)據(jù)的作用下(信道9),生成新的信息處理語(yǔ)句,通過(guò)信道4發(fā)送至數(shù)據(jù)層進(jìn)行新的數(shù)據(jù)處理操作;可見(jiàn),這是一個(gè)信息流循環(huán)過(guò)程,是否循環(huán)取決于規(guī)則數(shù)據(jù)所描述的具體規(guī)則。
如圖3所示,系統(tǒng)的總體處理流程包括如下步驟一、用戶利用用戶界面層的布局模塊和導(dǎo)航模塊定制處理?xiàng)l件;二、校驗(yàn)?zāi)K校驗(yàn)處理?xiàng)l件;三、請(qǐng)求裝配模塊裝配處理?xiàng)l件,并將裝配的用戶處理請(qǐng)求發(fā)給用戶處理請(qǐng)求轉(zhuǎn)換模塊;四、用戶處理請(qǐng)求轉(zhuǎn)換模塊轉(zhuǎn)換用戶處理請(qǐng)求,發(fā)送給信息轉(zhuǎn)換模塊;五、信息轉(zhuǎn)換模塊進(jìn)行信息轉(zhuǎn)換,將轉(zhuǎn)換后生成的信息處理語(yǔ)句發(fā)送給數(shù)據(jù)處理模塊;六、數(shù)據(jù)處理模塊根據(jù)信息處理語(yǔ)句對(duì)安全信息數(shù)據(jù)進(jìn)行處理;七、處理結(jié)果發(fā)送到結(jié)果轉(zhuǎn)發(fā)模塊;八、結(jié)果轉(zhuǎn)發(fā)模塊判斷是否需要再次處理,如是則轉(zhuǎn)到步驟五,如否則將結(jié)果發(fā)送到結(jié)果顯示模塊;九、結(jié)果顯示模塊顯示最終處理結(jié)果。
綜上所述,本實(shí)施例提供的規(guī)則驅(qū)動(dòng)的和可快速擴(kuò)展的處理系統(tǒng),實(shí)現(xiàn)了快速方便地對(duì)網(wǎng)絡(luò)中新產(chǎn)生的安全信息提供支持的目標(biāo),從而能夠準(zhǔn)確、迅速地反映網(wǎng)絡(luò)實(shí)際安全狀況。
最后所應(yīng)說(shuō)明的是,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本發(fā)明技術(shù)方案的精神和范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.一種可擴(kuò)展的安全信息處理方法,其特征在于對(duì)于安全設(shè)備或應(yīng)用改變后產(chǎn)生的安全信息進(jìn)行處理時(shí),至少包括以下步驟步驟1編輯從用戶處理請(qǐng)求到信息處理語(yǔ)句的轉(zhuǎn)換規(guī)則并保存;步驟2根據(jù)所述的轉(zhuǎn)換規(guī)則對(duì)相應(yīng)的用戶處理請(qǐng)求進(jìn)行處理。
2.根據(jù)權(quán)利要求1所述的可擴(kuò)展的安全信息處理方法,其特征在于所述的步驟2具體包括步驟21、獲取用戶處理請(qǐng)求;步驟22、讀取存儲(chǔ)的轉(zhuǎn)換規(guī)則,并依據(jù)轉(zhuǎn)換規(guī)則將獲取的用戶處理請(qǐng)求轉(zhuǎn)換為信息處理語(yǔ)句;步驟23、根據(jù)信息處理語(yǔ)句對(duì)存儲(chǔ)的安全設(shè)備或應(yīng)用的安全信息數(shù)據(jù)進(jìn)行處理,并將處理結(jié)果輸出。
3.根據(jù)權(quán)利要求2所述的可擴(kuò)展的安全信息處理方法,其特征在于所述步驟21具體包括步驟211、定制處理?xiàng)l件;步驟212、將處理?xiàng)l件裝配為用戶處理請(qǐng)求。
4.根據(jù)權(quán)利要求3所述的可擴(kuò)展的安全信息處理方法,其特征在于在所述步驟211和步驟212之間還進(jìn)一步包括步驟2111、校驗(yàn)處理?xiàng)l件。
5.根據(jù)權(quán)利要求2所述的可擴(kuò)展的安全信息處理方法,其特征在于所述步驟22具體包括步驟221、將用戶處理請(qǐng)求轉(zhuǎn)換為規(guī)定的數(shù)據(jù)結(jié)構(gòu);步驟222、將規(guī)定的數(shù)據(jù)結(jié)構(gòu)轉(zhuǎn)換為信息處理語(yǔ)句。
6.根據(jù)權(quán)利要求2所述的可擴(kuò)展的安全信息處理方法,其特征在于所述步驟23具體包括步驟231、根據(jù)信息處理語(yǔ)句對(duì)安全信息數(shù)據(jù)進(jìn)行處理;步驟232、對(duì)處理結(jié)果進(jìn)行判斷,是否需要再次處理,如是,則根據(jù)處理結(jié)果生成信息處理語(yǔ)句,轉(zhuǎn)到步驟231,如否,則輸出處理結(jié)果。
7.根據(jù)權(quán)利要求1-6中任一種所述的可擴(kuò)展的安全信息處理方法,其特征在于用戶處理請(qǐng)求采用XML語(yǔ)言的文件或文本文件的形式。
8.根據(jù)權(quán)利要求1-6中任一種所述的可擴(kuò)展的安全信息處理方法,其特征在于所述規(guī)則數(shù)據(jù)以數(shù)據(jù)庫(kù)表或文件形式存儲(chǔ)。
9.一種可擴(kuò)展的安全信息處理系統(tǒng),其特征在于該系統(tǒng)至少由用戶界面層、處理請(qǐng)求轉(zhuǎn)換層和數(shù)據(jù)層組成,其中用戶界面層,用于將定制的用戶處理請(qǐng)求發(fā)給處理請(qǐng)求轉(zhuǎn)換層;處理請(qǐng)求轉(zhuǎn)換層,根據(jù)存儲(chǔ)的規(guī)則數(shù)據(jù)將接到的用戶處理請(qǐng)求轉(zhuǎn)換為信息處理語(yǔ)句發(fā)送到數(shù)據(jù)層,接收數(shù)據(jù)層發(fā)來(lái)的處理結(jié)果并輸出;數(shù)據(jù)層,根據(jù)信息處理語(yǔ)句對(duì)存儲(chǔ)的安全設(shè)備或應(yīng)用的安全信息數(shù)據(jù)進(jìn)行處理,并將處理結(jié)果輸出。
10.根據(jù)權(quán)利要求9所述的可擴(kuò)展的安全信息處理系統(tǒng),其特征在于所述處理請(qǐng)求轉(zhuǎn)換層至少由規(guī)則編輯模塊、用戶處理請(qǐng)求轉(zhuǎn)換模塊和信息轉(zhuǎn)換模塊組成,其中規(guī)則編輯模塊,用于在安全設(shè)備或應(yīng)用發(fā)生改變后對(duì)從用戶處理請(qǐng)求到信息處理語(yǔ)句的轉(zhuǎn)換規(guī)則進(jìn)行編輯,并將轉(zhuǎn)換規(guī)則以規(guī)則數(shù)據(jù)的形式保存;用戶處理請(qǐng)求轉(zhuǎn)換模塊,用于將處理請(qǐng)求條件轉(zhuǎn)換為處理請(qǐng)求轉(zhuǎn)換層規(guī)定的數(shù)據(jù)結(jié)構(gòu),并將轉(zhuǎn)換后的數(shù)據(jù)結(jié)構(gòu)發(fā)送給信息轉(zhuǎn)換模塊;信息轉(zhuǎn)換模塊,用于進(jìn)行信息轉(zhuǎn)換,將轉(zhuǎn)換后生成的信息處理語(yǔ)句發(fā)送給數(shù)據(jù)層。
11.根據(jù)權(quán)利要求10所述的可擴(kuò)展的安全信息處理系統(tǒng),其特征在于所述處理請(qǐng)求轉(zhuǎn)換層還設(shè)有結(jié)果轉(zhuǎn)發(fā)模塊,用于接收數(shù)據(jù)層發(fā)來(lái)的處理結(jié)果,判斷是否需要再次處理,如需再次處理,則將該結(jié)果發(fā)送到信息轉(zhuǎn)換模塊,如無(wú)需再次處理,則將該結(jié)果作為最終處理結(jié)果發(fā)送到用戶界面層。
12.根據(jù)權(quán)利要求9所述的可擴(kuò)展的安全信息處理系統(tǒng),其特征在于所述用戶界面層至少由處理?xiàng)l件定制模塊和裝配模塊組成,其中處理?xiàng)l件定制模塊,用于定制處理?xiàng)l件;請(qǐng)求裝配模塊,用于將定制的處理?xiàng)l件裝配為用戶處理請(qǐng)求,并將用戶處理請(qǐng)求發(fā)給處理請(qǐng)求轉(zhuǎn)換層;
13.根據(jù)權(quán)利要求12所述的可擴(kuò)展的安全信息處理系統(tǒng),其特征在于所述用戶界面層還設(shè)有校驗(yàn)?zāi)K,用于校驗(yàn)處理?xiàng)l件定制模塊定制的處理?xiàng)l件。
14.根據(jù)權(quán)利要求12或13所述的可擴(kuò)展的安全信息處理系統(tǒng),其特征在于所述用戶界面層還設(shè)有結(jié)果顯示模塊,用于接收處理請(qǐng)求轉(zhuǎn)換層發(fā)來(lái)的處理結(jié)果并顯示。
15.根據(jù)權(quán)利要求9所述的可擴(kuò)展的安全信息處理系統(tǒng),其特征在于數(shù)據(jù)層設(shè)有數(shù)據(jù)處理模塊,用于接收處理請(qǐng)求轉(zhuǎn)換層發(fā)來(lái)的信息處理語(yǔ)句,根據(jù)信息處理語(yǔ)句對(duì)安全信息數(shù)據(jù)進(jìn)行處理,并將處理結(jié)果輸出。
16.根據(jù)權(quán)利要求9-15中任一種所述的可擴(kuò)展的安全信息處理方法,其特征在于該系統(tǒng)不同模塊進(jìn)行通信時(shí),用于通信的單/雙向信道中至少有一個(gè)信道為加密信道;加密信道采用身份認(rèn)證和/或密鑰協(xié)商的方法保證通信安全。
全文摘要
本發(fā)明公開(kāi)了一種可擴(kuò)展的安全信息處理方法及系統(tǒng),該系統(tǒng)采用用戶界面層、處理請(qǐng)求轉(zhuǎn)換層和數(shù)據(jù)層的三層結(jié)構(gòu);在處理請(qǐng)求轉(zhuǎn)換層中設(shè)有規(guī)則編輯模塊和規(guī)則數(shù)據(jù),該層在轉(zhuǎn)換規(guī)則的驅(qū)動(dòng)下將處理請(qǐng)求正文映射成信息處理語(yǔ)句并發(fā)送給數(shù)據(jù)層,借助轉(zhuǎn)換規(guī)則集合中對(duì)兩個(gè)領(lǐng)域數(shù)據(jù)的映射關(guān)系定義,更好地體現(xiàn)安全領(lǐng)域中信息的共性,通過(guò)編輯規(guī)則數(shù)據(jù),實(shí)現(xiàn)了處理系統(tǒng)對(duì)于新的安全設(shè)備或應(yīng)用的快速有效擴(kuò)展。用戶界面層生成的用戶處理請(qǐng)求條件采用XML格式,很容易地組織用戶處理請(qǐng)求,并能夠方便地?cái)U(kuò)展,同時(shí)提供給用戶盡可能自然化的表述。不同層之間的通信采用加密信道,加密信道采用身份驗(yàn)證、密鑰協(xié)商等方式保證通信安全。
文檔編號(hào)G06F17/21GK1549162SQ03123789
公開(kāi)日2004年11月24日 申請(qǐng)日期2003年5月21日 優(yōu)先權(quán)日2003年5月21日
發(fā)明者葉蓬, 張媛, 顧正華, 葉 蓬 申請(qǐng)人:聯(lián)想(北京)有限公司