語(yǔ)義交換的制造方法
【專利摘要】本發(fā)明提供一種語(yǔ)義交換機(jī),語(yǔ)義交換機(jī)采用基于REST的無(wú)狀態(tài)傳輸?shù)姆植际接?jì)算架構(gòu)���,其工作在應(yīng)用層協(xié)議之上的語(yǔ)義層�����,包括:接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊����、應(yīng)用層協(xié)議解析模塊��、接收端語(yǔ)義預(yù)處理模塊�����、語(yǔ)義處理引擎����、發(fā)送端語(yǔ)義預(yù)處理模塊、應(yīng)用層協(xié)議封裝模塊��、發(fā)送端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊�、運(yùn)行時(shí)數(shù)據(jù)庫(kù)和日志審計(jì)模塊。語(yǔ)義處理引擎包括語(yǔ)義解析子模塊��、語(yǔ)義防火墻子模塊����、語(yǔ)義處理子模塊、語(yǔ)義處理程序�����、負(fù)載均衡子模塊和配置子模塊,配置子模塊中定義本體描述與關(guān)系描述�;運(yùn)行時(shí)數(shù)據(jù)庫(kù)采用非關(guān)系數(shù)據(jù)庫(kù)集群,語(yǔ)義處理程序?yàn)榭蛻粢罁?jù)客戶業(yè)務(wù)邏輯編寫的程序��。優(yōu)點(diǎn)為消除傳統(tǒng)信息系統(tǒng)的煙道模型�����,實(shí)現(xiàn)多平臺(tái)異構(gòu)系統(tǒng)的數(shù)據(jù)共享��。
【專利說(shuō)明】語(yǔ)義交換機(jī)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于數(shù)據(jù)處理【技術(shù)領(lǐng)域】����,具體涉及一種語(yǔ)義交換機(jī)。
【背景技術(shù)】
[0002]當(dāng)前企業(yè)信息系統(tǒng)的標(biāo)準(zhǔn)架構(gòu)就是采用以關(guān)系型數(shù)據(jù)庫(kù)為核心�����,通過(guò)中間件與Web服務(wù)器構(gòu)建的三級(jí)架構(gòu)����。關(guān)系型數(shù)據(jù)庫(kù)成為企業(yè)計(jì)算與數(shù)據(jù)管理的核心部件。但是�����,采用關(guān)系型數(shù)據(jù)庫(kù)為企業(yè)信息系統(tǒng)帶來(lái)許多弊端:(I)關(guān)系型數(shù)據(jù)庫(kù)成為企業(yè)業(yè)務(wù)計(jì)算的瓶頸:由于關(guān)系型數(shù)據(jù)庫(kù)的處理能力聚集在核心服務(wù)器與小型機(jī)上,雖然可以采用提升服務(wù)器的處理能力或者集群的方式��,但是在處理大數(shù)據(jù)(PByte)的時(shí)候會(huì)造成性能瓶頸�����。(2)關(guān)系型數(shù)據(jù)庫(kù)為緊耦合信息系統(tǒng):由于關(guān)系型數(shù)據(jù)庫(kù)的設(shè)計(jì)需要在IT系統(tǒng)開(kāi)發(fā)前就互相關(guān)聯(lián)的數(shù)據(jù)結(jié)構(gòu)進(jìn)行嚴(yán)格的定義�,并在此基礎(chǔ)上開(kāi)發(fā)企業(yè)信息系統(tǒng)的各種部件與模塊���。這種緊耦合系統(tǒng)不便于系統(tǒng)升級(jí)改進(jìn)�,每一次的企業(yè)業(yè)務(wù)變化均需要重新開(kāi)始設(shè)計(jì)��,導(dǎo)致維護(hù)與升級(jí)成本太高�。
[0003]另外,現(xiàn)代企業(yè)信息系統(tǒng)還具有以下問(wèn)題:(I)現(xiàn)代企業(yè)信息系統(tǒng)均為煙道系統(tǒng)����,通常:生產(chǎn)系統(tǒng)、辦公系統(tǒng)�、財(cái)務(wù)系統(tǒng)、人力資源系統(tǒng)等系統(tǒng)均是獨(dú)立開(kāi)發(fā)的煙道系統(tǒng)��,互相既不能共享數(shù)據(jù)又不能共享方法。(2)現(xiàn)代企業(yè)信息系統(tǒng)的安全性受到挑戰(zhàn):由于企業(yè)核心資產(chǎn)都集中在核心數(shù)據(jù)庫(kù)中���,企業(yè)的數(shù)據(jù)庫(kù)已經(jīng)成為企業(yè)信息系統(tǒng)的心臟����,一旦被滲透將造成災(zāi)難性影響����。而企業(yè)數(shù)據(jù)庫(kù)開(kāi)發(fā)人員并不具備足夠的安全知識(shí)以開(kāi)發(fā)基于安全代碼實(shí)現(xiàn)的信息系統(tǒng),從而造成企業(yè)信息系統(tǒng)的安全漏洞層出不窮���。(3)開(kāi)發(fā)成本高:傳統(tǒng)的企業(yè)信息系統(tǒng)的開(kāi)發(fā)過(guò)程非常復(fù)雜�,需要通過(guò)需求分析�����、系統(tǒng)分析�����、概要設(shè)計(jì)����、詳細(xì)設(shè)計(jì)�����、代碼編程����、質(zhì)量驗(yàn)證等幾個(gè)階段�。而且在開(kāi)發(fā)完成后�����,一旦客戶需求改變則需要重新開(kāi)始上述的整個(gè)開(kāi)發(fā)流程����。同時(shí)由于現(xiàn)在的應(yīng)用系統(tǒng)大量采用關(guān)系型數(shù)據(jù)庫(kù),因此針對(duì)新的需求將無(wú)可避免的改造現(xiàn)有的關(guān)系型數(shù)據(jù)庫(kù)的結(jié)構(gòu)���,而針對(duì)緊耦合關(guān)系型數(shù)據(jù)庫(kù)的任何修改都會(huì)加大數(shù)據(jù)庫(kù)系統(tǒng)的風(fēng)險(xiǎn)�����。(4)維護(hù)成本高:現(xiàn)有信息系統(tǒng)的開(kāi)發(fā)模型形成的煙道系統(tǒng)造成了各個(gè)應(yīng)用系統(tǒng)相互獨(dú)立����,其維護(hù)成本非常高。(5)網(wǎng)絡(luò)����、應(yīng)用、內(nèi)容�����、安全���、存儲(chǔ)技術(shù)之間的鴻溝:傳統(tǒng)的信息系統(tǒng)將網(wǎng)絡(luò)部署���、應(yīng)用開(kāi)發(fā)、內(nèi)容生產(chǎn)���、信息安全���、數(shù)據(jù)存儲(chǔ)隔離開(kāi)來(lái),形成了信息系統(tǒng)五個(gè)核心要素之間的鴻溝�����。這些鴻溝給信息系統(tǒng)開(kāi)發(fā)和維護(hù)造成非常高的成本。
【發(fā)明內(nèi)容】
[0004]針對(duì)現(xiàn)有技術(shù)存在的缺陷��,本發(fā)明提供一種語(yǔ)義交換機(jī)���,將其應(yīng)用于企業(yè)信息系統(tǒng)時(shí)�,可有效解決上述技術(shù)問(wèn)題�。
[0005]本發(fā)明采用的技術(shù)方案如下:
[0006]本發(fā)明提供一種語(yǔ)義交換機(jī),所述語(yǔ)義交換機(jī)采用基于REST的無(wú)狀態(tài)傳輸?shù)姆植际接?jì)算架構(gòu)�,其工作在應(yīng)用層協(xié)議之上的語(yǔ)義層,包括:接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊�、應(yīng)用層協(xié)議解析模塊、接收端語(yǔ)義預(yù)處理模塊����、語(yǔ)義處理引擎����、發(fā)送端語(yǔ)義預(yù)處理模塊、應(yīng)用層協(xié)議封裝模塊����、發(fā)送端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊、運(yùn)行時(shí)數(shù)據(jù)庫(kù)和日志審計(jì)模塊����;
[0007]其中��,所述接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊用于接收來(lái)自應(yīng)用層請(qǐng)求端的基于各類應(yīng)用層協(xié)議以及各類型數(shù)據(jù)交換格式的請(qǐng)求消息���,并對(duì)所述請(qǐng)求消息進(jìn)行安全預(yù)處理,得到處理后的請(qǐng)求消息�,然后將所述處理后的請(qǐng)求消息發(fā)送到所述應(yīng)用層協(xié)議解析模塊;
[0008]所述應(yīng)用層協(xié)議解析模塊為針對(duì)請(qǐng)求端的協(xié)議代理���,用于對(duì)接收到的基于各類應(yīng)用層協(xié)議的所述請(qǐng)求消息進(jìn)行協(xié)議解析�����,將請(qǐng)求端的基于各類應(yīng)用層協(xié)議的應(yīng)用層會(huì)話轉(zhuǎn)換為能夠被所述接收端語(yǔ)義預(yù)處理模塊識(shí)別的請(qǐng)求消息�,并將轉(zhuǎn)換后的請(qǐng)求消息發(fā)送到輸入隊(duì)列����;
[0009]所述接收端語(yǔ)義預(yù)處理模塊用于讀取所述輸入隊(duì)列中的請(qǐng)求消息,并對(duì)所述請(qǐng)求消息進(jìn)行語(yǔ)義預(yù)處理��,將請(qǐng)求消息統(tǒng)一轉(zhuǎn)換為內(nèi)部使用的JSON格式語(yǔ)義消息�,然后將所述JSON格式語(yǔ)義消息發(fā)送到JSON內(nèi)部消息隊(duì)列;
[0010]所述語(yǔ)義處理引擎包括語(yǔ)義解析子模塊��、語(yǔ)義防火墻子模塊、語(yǔ)義處理子模塊���、語(yǔ)義處理程序�����、負(fù)載均衡子模塊和配置子模塊���;其中,所述語(yǔ)義解析子模塊��、所述語(yǔ)義防火墻子模塊�、所述語(yǔ)義處理子模塊和所述負(fù)載均衡子模塊順次連接,所述語(yǔ)義處理程序的輸出端與所述語(yǔ)義處理子模塊的輸入端連接����,并且�����,所述語(yǔ)義處理子模塊的輸出端還與所述運(yùn)行時(shí)數(shù)據(jù)庫(kù)連接�;所述配置子模塊分別與所述語(yǔ)義解析子模塊、所述語(yǔ)義防火墻子模塊����、所述語(yǔ)義處理子模塊和所述負(fù)載均衡子模塊連接����;
[0011]所述配置子模塊中定義本體描述與關(guān)系描述����;
[0012]所述本體描述用于定義本語(yǔ)義交換機(jī)的各類屬性,包括:本體運(yùn)行時(shí)數(shù)據(jù)庫(kù)格式����、本體認(rèn)可的應(yīng)用層協(xié)議與數(shù)據(jù)交換格式、本體所屬的服務(wù)池的統(tǒng)一資源名URN�、本體所屬的服務(wù)池所包含的各組員的IP、本體的語(yǔ)義防火墻規(guī)則���;其中��,服務(wù)池為由相同功能的語(yǔ)義交換機(jī)組成的用于完成同一個(gè)語(yǔ)義操作的語(yǔ)義交換機(jī)集群��;
[0013]所述關(guān)系描述用于定義本語(yǔ)義交換機(jī)與其他關(guān)系節(jié)點(diǎn)之間的關(guān)系模型和數(shù)據(jù)傳輸接口 ���;其中,所述關(guān)系節(jié)點(diǎn)包括單個(gè)關(guān)系語(yǔ)義交換機(jī)�����、關(guān)系服務(wù)池或者應(yīng)用服務(wù)器;所述關(guān)系描述具體定義以下信息:關(guān)系節(jié)點(diǎn)的應(yīng)用層協(xié)議和關(guān)系節(jié)點(diǎn)的數(shù)據(jù)交換格式�;其中,當(dāng)關(guān)系節(jié)點(diǎn)為關(guān)系服務(wù)池時(shí)�����,還定義分別針對(duì)每個(gè)關(guān)系服務(wù)池的負(fù)載均衡模式���、健康檢查方式以及所述關(guān)系服務(wù)池中各成員節(jié)點(diǎn)IP ��;
[0014]所述運(yùn)行時(shí)數(shù)據(jù)庫(kù)采用非關(guān)系數(shù)據(jù)庫(kù)集群�����,用于將語(yǔ)義處理引擎所產(chǎn)生的信息條目以JSON格式保存數(shù)據(jù)記錄���,并且,每一條數(shù)據(jù)記錄具有唯一的記錄ID ;該記錄ID作為URI的標(biāo)記可以被訪問(wèn)��;
[0015]所述語(yǔ)義解析子模塊用于對(duì)JSON內(nèi)部消息隊(duì)列中待處理的某條消息進(jìn)行解析���,獲取以下信息:該條消息的源IP����、運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID�、針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUDdg息內(nèi)容和記錄ID ;其中,所述針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD包括創(chuàng)建新記錄���、查詢記錄�����、更新記錄和刪除記錄����;然后將獲取到的上述消息組合為一條內(nèi)部語(yǔ)義消息�,并將該內(nèi)部語(yǔ)義消息發(fā)送到內(nèi)部語(yǔ)義消息隊(duì)列;
[0016]所述語(yǔ)義防火墻子模塊用于對(duì)所述內(nèi)部語(yǔ)義消息隊(duì)列中各條語(yǔ)義消息進(jìn)行語(yǔ)義規(guī)則過(guò)濾���,依據(jù)配置子模塊中設(shè)定的語(yǔ)義防火墻規(guī)則判斷該條語(yǔ)義消息是否可以執(zhí)行��,如果不能被執(zhí)行��,則阻斷語(yǔ)義消息的下一步工作并通知應(yīng)用層代理取消本次會(huì)話���;如果可以被執(zhí)行�����,則將該條語(yǔ)義消息發(fā)送給所述語(yǔ)義處理子模塊���;
[0017]所述語(yǔ)義處理程序?yàn)榭蛻粢罁?jù)客戶業(yè)務(wù)邏輯所編寫的程序,通過(guò)編寫不同的程序����,可使本語(yǔ)義交換機(jī)具有不同的業(yè)務(wù)處理功能;并且�����,所述語(yǔ)義處理程序定義以下內(nèi)容:根據(jù)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD�����,分別定義與各操作動(dòng)作CRUD對(duì)應(yīng)的詳細(xì)操作程序���;
[0018]所述語(yǔ)義處理子模塊解釋并執(zhí)行所述語(yǔ)義處理程序�����,對(duì)可執(zhí)行的來(lái)自所述語(yǔ)義防火墻子模塊的語(yǔ)義消息進(jìn)行語(yǔ)義計(jì)算��、加工和處理�,生成處理后的針對(duì)關(guān)系節(jié)點(diǎn)的新CRUD語(yǔ)義消息�����;然后��,一方面��,對(duì)所述運(yùn)行時(shí)數(shù)據(jù)庫(kù)執(zhí)行操作動(dòng)作CRUD ;另一方面�,讀取所述配置子模塊,判斷所定義的關(guān)系節(jié)點(diǎn)的類別��,如果為單個(gè)關(guān)系語(yǔ)義交換機(jī)���;則直接將該單個(gè)關(guān)系語(yǔ)義交換機(jī)確定為目的節(jié)點(diǎn)���;如果為應(yīng)用服務(wù)器,則直接將該應(yīng)用服務(wù)器確定為目的節(jié)點(diǎn)����;如果為關(guān)系服務(wù)池,則將所述新CRUD語(yǔ)義消息發(fā)送到所述負(fù)載均衡子模塊��;
[0019]所述負(fù)載均衡子模塊從所述配置子模塊中獲取該關(guān)系服務(wù)池的負(fù)載均衡模式及其所包含的各成員節(jié)點(diǎn)IP,通過(guò)所述負(fù)載均衡模式�����,確定所述關(guān)系服務(wù)池中最佳成員節(jié)點(diǎn)作為目的節(jié)點(diǎn)���;
[0020]所述發(fā)送端語(yǔ)義預(yù)處理模塊用于:讀取所述配置子模塊��,獲得所確定的目的節(jié)點(diǎn)的數(shù)據(jù)格式����,將JSON格式的新CRUD語(yǔ)義消息轉(zhuǎn)換成目標(biāo)格式��,再經(jīng)語(yǔ)義安全處理后發(fā)送到輸出端消息隊(duì)列����;
[0021]所述應(yīng)用層協(xié)議封裝模塊為針對(duì)目的節(jié)點(diǎn)的協(xié)議代理,具體用于:讀取所述配置子模塊�,獲得所確定的目的節(jié)點(diǎn)的應(yīng)用層協(xié)議,按順序?qū)⑤敵龆讼㈥?duì)列中的各條消息進(jìn)行應(yīng)用層協(xié)議封裝����,將其封裝為能夠被目的節(jié)點(diǎn)所能識(shí)別的數(shù)據(jù);
[0022]所述發(fā)送端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊用于對(duì)封裝后的數(shù)據(jù)進(jìn)行安全處理,然后將處理后的數(shù)據(jù)發(fā)送到目的節(jié)點(diǎn)���;
[0023]所述日志審計(jì)模塊包括系統(tǒng)管理日志和操作日志���;所述系統(tǒng)管理日志用于保存本語(yǔ)義交換機(jī)的狀態(tài)改變情況�;所述操作日志用于保存信息流經(jīng)過(guò)任何模塊所做的中間操作;所述日志審計(jì)模塊采用非關(guān)系數(shù)據(jù)庫(kù)引擎以JSON格式存儲(chǔ)����,如果本語(yǔ)義交換機(jī)屬于一個(gè)服務(wù)池,則將本語(yǔ)義交換機(jī)的日志審計(jì)模塊所存儲(chǔ)的內(nèi)容在所述服務(wù)池中進(jìn)行分片存儲(chǔ)����。
[0024]優(yōu)選的,所述接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊所接收到的所述請(qǐng)求消息的應(yīng)用層協(xié)議為HTTP協(xié)議����、MQ協(xié)議、JMS協(xié)議�、FTP協(xié)議或SMTP協(xié)議,并且�,所述請(qǐng)求消息的數(shù)據(jù)交換格式為XML格式、JSON格式���、SOAP格式或REST格式���。
[0025]優(yōu)選的����,所述接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊包括網(wǎng)絡(luò)防火墻子模塊��、SSL認(rèn)證與解密子模塊和WAF/應(yīng)用防火墻子模塊���;
[0026]所述網(wǎng)絡(luò)防火墻子模塊用于接收來(lái)自請(qǐng)求端的請(qǐng)求消息����,并對(duì)所述請(qǐng)求消息進(jìn)行安全過(guò)濾���,然后將過(guò)濾后的請(qǐng)求消息發(fā)送到所述SSL認(rèn)證與解密子模塊��;
[0027]所述SSL認(rèn)證與解密子模塊用于對(duì)過(guò)濾后的請(qǐng)求消息進(jìn)行證書確認(rèn)及解密處理�,然后將認(rèn)證合格及解密后的請(qǐng)求消息發(fā)送到所述WAF/應(yīng)用防火墻子模塊�;
[0028]所述WAF/應(yīng)用防火墻子模塊用于對(duì)接收到的請(qǐng)求消息進(jìn)行規(guī)則過(guò)濾與協(xié)議清洗,屏蔽應(yīng)用層的攻擊���;然后將處理后的請(qǐng)求消息發(fā)送到所述應(yīng)用層協(xié)議解析模塊��。
[0029]優(yōu)選的���,所述應(yīng)用層協(xié)議解析模塊配置有HTTP代理子模塊����、MQ代理子模塊�����、JMS代理子模塊�、FTP代理子模塊和SMTP代理子模塊����;[0030]所述HTTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于HTTP協(xié)議的請(qǐng)求端之間的會(huì)話;
[0031]所述MQ代理子模塊用于建立本語(yǔ)義交換機(jī)與基于MQ協(xié)議的請(qǐng)求端之間的會(huì)話��;
[0032]所述JMS代理子模塊用于建立本語(yǔ)義交換機(jī)與基于JMS協(xié)議的請(qǐng)求端之間的會(huì)話�����;
[0033]所述FTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于FTP協(xié)議的請(qǐng)求端之間的會(huì)話�����;
[0034]所述SMTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于SMTP協(xié)議的請(qǐng)求端之間的會(huì)話。
[0035]優(yōu)選的����,所述接收端語(yǔ)義預(yù)處理模塊包括語(yǔ)義認(rèn)證子模塊、語(yǔ)義解密子模塊和接收端消息格式轉(zhuǎn)換子模塊�����;
[0036]所述語(yǔ)義認(rèn)證子模塊通過(guò)查詢證書數(shù)據(jù)庫(kù)�����,對(duì)輸入隊(duì)列中的請(qǐng)求消息進(jìn)行語(yǔ)義認(rèn)證�����,將認(rèn)證合格的消息發(fā)送到所述語(yǔ)義解密子模塊�����;
[0037]所述語(yǔ)義解密子模塊用于對(duì)認(rèn)證后的消息進(jìn)行解密�,得到明文語(yǔ)義消息,并將所述明文語(yǔ)義消息發(fā)送到所述接收端消息格式轉(zhuǎn)換子模塊�;
[0038]所述接收端消息格式轉(zhuǎn)換子模塊用于將各種數(shù)據(jù)交換格式的所述明文語(yǔ)義消息統(tǒng)一轉(zhuǎn)換為內(nèi)部使用的JSON格式語(yǔ)義消息,然后將所述JSON格式語(yǔ)義消息發(fā)送到JSON內(nèi)部消息隊(duì)列����;其中�,所述明文語(yǔ)義消息的數(shù)據(jù)交換格式包括XML格式��、JSON格式����、SOAP格式或REST格式。
[0039]優(yōu)選的���,所述語(yǔ)義解析子模塊具體用于:
[0040]從會(huì)話層的會(huì)話鏈接表中獲取當(dāng)前會(huì)話的源IP ��;
[0041]從應(yīng)用層協(xié)議的包頭信息中獲取針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD ��;
[0042]從URL中獲取運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID、記錄ID和針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD ;其中����,運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID、記錄ID和針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作屬于URL的一部分�,位于URL的固定字段;
[0043]從JSON內(nèi)部消息隊(duì)列中獲取請(qǐng)求方發(fā)送的消息內(nèi)容���。
[0044]優(yōu)選的��,所述語(yǔ)義防火墻子模塊具體用于:
[0045]所述語(yǔ)義防火墻子模塊配置有客戶身份與行為權(quán)限映射表��,該映射表由多條語(yǔ)義規(guī)則表項(xiàng)組成�����,各條語(yǔ)義規(guī)則表項(xiàng)進(jìn)行編號(hào)��;每一條語(yǔ)義規(guī)則包括合法的源IP���、運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID���、針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作、消息內(nèi)容�����、記錄ID��、以及請(qǐng)求方合法身份�����;判斷當(dāng)前接收到的語(yǔ)義消息是否符合對(duì)應(yīng)的語(yǔ)義規(guī)則����,得出該條語(yǔ)義消息是否能夠被執(zhí)行的結(jié)論��。
[0046]優(yōu)選的����,所述負(fù)載均衡子模塊確定所述關(guān)系服務(wù)池中最佳成員節(jié)點(diǎn)作為目的節(jié)點(diǎn)���,具體為:
[0047]所述負(fù)載均衡子模塊查詢所述配置子模塊�����,獲得針對(duì)該關(guān)系服務(wù)池的負(fù)載均衡模式����、健康檢查方式以及各成員節(jié)點(diǎn)IP �;
[0048]然后,所述負(fù)載均衡子模塊按一定的頻度向各成員節(jié)點(diǎn)IP發(fā)送探測(cè)請(qǐng)求�����,若接收到某一成員節(jié)點(diǎn)的回應(yīng)�,則證明該節(jié)點(diǎn)為健康成員節(jié)點(diǎn)���;
[0049]所述負(fù)載均衡模式包括四種:[0050]5)R0UND_R0BIN:輪詢方法:將請(qǐng)求均衡的按照順序發(fā)送到關(guān)系服務(wù)池中的各成員節(jié)點(diǎn)中�;
[0051]6)HASH方法:通過(guò)對(duì)上一個(gè)請(qǐng)求節(jié)點(diǎn)的IP地址進(jìn)行HASH計(jì)算,均勻散列到關(guān)系服務(wù)池中的各個(gè)成員節(jié)點(diǎn)上�����;
[0052]7)LEAST_C0NECT10N,最少連接數(shù)法:將請(qǐng)求發(fā)送給關(guān)系服務(wù)池中當(dāng)前鏈接數(shù)最小的節(jié)點(diǎn)作為目的節(jié)點(diǎn)��;
[0053]8)FAST_RESP0NSE����,最快響應(yīng)速度法:通過(guò)健康檢查得到關(guān)系服務(wù)池中的各成員節(jié)點(diǎn)的響應(yīng)時(shí)間,取最小響應(yīng)時(shí)間對(duì)應(yīng)的節(jié)點(diǎn)作為目的節(jié)點(diǎn)����。
[0054]優(yōu)選的,所述發(fā)送端語(yǔ)義預(yù)處理模塊包括:發(fā)送端消息格式轉(zhuǎn)換子模塊����、語(yǔ)義加密子模塊和語(yǔ)義簽名子模塊;
[0055]其中���,所述發(fā)送端消息格式轉(zhuǎn)換子模塊用于將JSON格式的語(yǔ)義消息轉(zhuǎn)換成目標(biāo)格式�,然后將轉(zhuǎn)換后的語(yǔ)義消息發(fā)送到所述語(yǔ)義加密子模塊;
[0056]所述語(yǔ)義加密子模塊用于對(duì)接收到的語(yǔ)義消息進(jìn)行語(yǔ)義加密處理�����,然后將加密后的語(yǔ)義消息發(fā)送到所述語(yǔ)義簽名子模塊��;
[0057]所述語(yǔ)義簽名子模塊用于對(duì)接收到的語(yǔ)義消息進(jìn)行語(yǔ)義簽名����,然后將簽名后的語(yǔ)義消息發(fā)送到所述應(yīng)用層協(xié)議封裝模塊。
[0058]優(yōu)選的���,所述應(yīng)用層協(xié)議封裝模塊配置有HTTP封裝子模塊�����、MQ封裝子模塊�����、JMS封裝子模塊���、FTP封裝子模塊和SMTP封裝子模塊;分別用于將接收到的各條消息封裝為對(duì)應(yīng)應(yīng)用層協(xié)議的消息�����。
[0059]優(yōu)選的����,所述發(fā)送端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊包括SSL簽名與加密子模塊和網(wǎng)絡(luò)轉(zhuǎn)發(fā)子模塊;
[0060]所述SSL簽名與加密子模塊用于對(duì)經(jīng)所述應(yīng)用層協(xié)議封裝模塊所封裝后的數(shù)據(jù)進(jìn)行證書簽名及加解處理�,然后將處理后的數(shù)據(jù)發(fā)送給所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)子模塊;
[0061]所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)子模塊用于將經(jīng)所述SSL簽名與加密子模塊處理后的數(shù)據(jù)發(fā)送到目的節(jié)點(diǎn)����。
[0062]本發(fā)明提供的語(yǔ)義交換機(jī),具有以下優(yōu)點(diǎn):
[0063](I)消除傳統(tǒng)信息系統(tǒng)的煙道模型��,實(shí)現(xiàn)多平臺(tái)異構(gòu)系統(tǒng)的數(shù)據(jù)共享���。
[0064](2)自動(dòng)化實(shí)現(xiàn)代碼級(jí)安全��,有效防范信息泄露��。
[0065](3)消除企業(yè)信息系統(tǒng)的性能瓶頸��,實(shí)現(xiàn)無(wú)限制擴(kuò)充的信息處理能力����。
[0066](4)消除網(wǎng)絡(luò)、應(yīng)用系統(tǒng)�����、存儲(chǔ)技術(shù)���、信息安全之間的鴻溝����,實(shí)現(xiàn)企業(yè)信息系統(tǒng)的有機(jī)融合�。
[0067](5)采用松耦合系統(tǒng)部署,實(shí)現(xiàn)人機(jī)交互�、機(jī)機(jī)交互的統(tǒng)一信息交互標(biāo)準(zhǔn),確保信息系統(tǒng)的部署和維護(hù)以及開(kāi)發(fā)最大限度避免重復(fù)開(kāi)發(fā)浪費(fèi)計(jì)算資源����。
[0068](6)統(tǒng)一的分布式標(biāo)準(zhǔn)語(yǔ)言戰(zhàn)略性的降低企業(yè)信息系統(tǒng)開(kāi)發(fā)成本,即在系統(tǒng)開(kāi)發(fā)的:系統(tǒng)分析��、模塊設(shè)詳細(xì)設(shè)計(jì)����、代碼開(kāi)發(fā)、QA等任何環(huán)節(jié)均可以根據(jù)客戶要求和業(yè)務(wù)變化隨時(shí)調(diào)整和修改系統(tǒng)����。而局部的修改不會(huì)對(duì)整個(gè)信息系統(tǒng)造成戰(zhàn)略影響����。
[0069](7)實(shí)現(xiàn)信息系統(tǒng)的冗余設(shè)計(jì)����,提高信息系統(tǒng)的可用性�����。
[0070](8)在信息系統(tǒng)開(kāi)展OLAP的同時(shí)不影響OLTP的性能�。【專利附圖】
【附圖說(shuō)明】
[0071]圖1為本發(fā)明提供的語(yǔ)義交換機(jī)的整體架構(gòu)圖��;
[0072]圖2為本發(fā)明提供的語(yǔ)義交換機(jī)與網(wǎng)絡(luò)7層協(xié)議的參考對(duì)照?qǐng)D�����;
[0073]圖3為應(yīng)用層協(xié)議解析模塊的工作原理圖���;
[0074]圖4為接收端語(yǔ)義預(yù)處理模塊的工作原理圖�����;
[0075]圖5為接收端消息格式轉(zhuǎn)換子模塊的工作原理圖���;
[0076]圖6為語(yǔ)義處理引擎的整體工作流程圖���;
[0077]圖7為語(yǔ)義解析子模塊的工作原理圖;
[0078]圖8為語(yǔ)義處理子模塊的工作原理圖��;
[0079]圖9為終端I發(fā)送CREATE消息的場(chǎng)景I示意圖�����;
[0080]圖10為終端I發(fā)送UPDATE消息的場(chǎng)景2示意圖��;
[0081]圖11為終端I發(fā)送DELETE消息的場(chǎng)景3示意圖�����;
[0082]圖12為終端I發(fā)送RETRIEVE消息的場(chǎng)景4示意圖��;
[0083]圖13為發(fā)送端語(yǔ)義預(yù)處理模塊的整體工作原理圖�;
[0084]圖14為發(fā)送端消息格式轉(zhuǎn)換子模塊的工作原理圖;
[0085]圖15為應(yīng)用層協(xié)議封裝模塊的工作原理圖��;
[0086]圖16為服務(wù)池中兩臺(tái)語(yǔ)義交換機(jī)存儲(chǔ)過(guò)程示意圖���;
[0087]圖17為語(yǔ)義交換機(jī)的硬件架構(gòu)設(shè)計(jì)圖���;
[0088]圖18為單一角色的語(yǔ)義交換機(jī)集群部署圖���;
[0089]圖19為多角色語(yǔ)義交換機(jī)集群部署圖;
[0090]圖20為語(yǔ)義交換機(jī)的反饋與進(jìn)化計(jì)算模型��。
【具體實(shí)施方式】
[0091]以下結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明:
[0092]本發(fā)明提供一種語(yǔ)義交換機(jī)����,語(yǔ)義交換機(jī)采用基于REST的無(wú)狀態(tài)傳輸?shù)姆植际接?jì)算架構(gòu)�����,其工作在應(yīng)用層協(xié)議之上的語(yǔ)義層���,本發(fā)明提供的語(yǔ)義交換機(jī)不同于傳統(tǒng)的網(wǎng)絡(luò)交換機(jī)與最近流行的應(yīng)用交換機(jī)����,其工作在應(yīng)用層協(xié)議之上針對(duì)語(yǔ)義消息進(jìn)行計(jì)算�����、轉(zhuǎn)換、轉(zhuǎn)發(fā)�、分發(fā)、軟路由等工作�����?����?梢哉f(shuō)���,本發(fā)明提供的語(yǔ)義交換機(jī)是第八層交換機(jī)�,其在網(wǎng)絡(luò)7層協(xié)議的定位可以參考圖2���。
[0093]如圖1所示���,本發(fā)明提供的語(yǔ)義交換機(jī)包括:接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊、應(yīng)用層協(xié)議解析模塊���、接收端語(yǔ)義預(yù)處理模塊��、語(yǔ)義處理引擎�����、發(fā)送端語(yǔ)義預(yù)處理模塊����、應(yīng)用層協(xié)議封裝模塊、發(fā)送端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊��、運(yùn)行時(shí)數(shù)據(jù)庫(kù)和日志審計(jì)模塊��。以下對(duì)各模塊詳細(xì)介紹:
[0094](一 )接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊
[0095]接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊用于接收來(lái)自應(yīng)用層請(qǐng)求端的基于各類應(yīng)用層協(xié)議以及各類型數(shù)據(jù)交換格式的請(qǐng)求消息����,并對(duì)請(qǐng)求消息進(jìn)行安全預(yù)處理��,得到處理后的請(qǐng)求消息���,然后將處理后的請(qǐng)求消息發(fā)送到應(yīng)用層協(xié)議解析模塊�����。其中����,本發(fā)明中,接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊所接收到的請(qǐng)求消息的應(yīng)用層協(xié)議包括但不限于=HTTP協(xié)議�����、MQ協(xié)議���、JMS協(xié)議�����、FTP協(xié)議或SMTP協(xié)議���,并且,請(qǐng)求消息的數(shù)據(jù)交換格式包括但不限于:XML格式��、JSON格式��、SOAP格式或REST格式�����。
[0096]接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊包括網(wǎng)絡(luò)防火墻子模塊��、SSL認(rèn)證與解密子模塊和WAF/應(yīng)用防火墻子模塊;
[0097](I)網(wǎng)絡(luò)防火墻子模塊
[0098]網(wǎng)絡(luò)防火墻子模塊用于接收來(lái)自請(qǐng)求端的請(qǐng)求消息��,并對(duì)請(qǐng)求消息進(jìn)行安全過(guò)濾�����,然后將過(guò)濾后的請(qǐng)求消息發(fā)送到SSL認(rèn)證與解密子模塊���;
[0099](2) SSL認(rèn)證與解密子模塊
[0100]SSL認(rèn)證與解密子模塊用于對(duì)過(guò)濾后的請(qǐng)求消息進(jìn)行證書確認(rèn)及解密處理�,然后將認(rèn)證合格及解密后的請(qǐng)求消息發(fā)送到WAF/應(yīng)用防火墻子模塊���;
[0101]⑶WAF/應(yīng)用防火墻子模塊
[0102]WAF/應(yīng)用防火墻子模塊用于對(duì)接收到的請(qǐng)求消息進(jìn)行規(guī)則過(guò)濾與協(xié)議清洗�,屏蔽應(yīng)用層的攻擊�����;然后將處理后的請(qǐng)求消息發(fā)送到應(yīng)用層協(xié)議解析模塊�����。
[0103]其中����,WAF/應(yīng)用防火墻子模塊提供專門針對(duì)Web服務(wù)攻擊的防護(hù)功能,主要防護(hù)以下10種Web攻擊:
[0104]Al -注入
[0105]A2 一跨站腳本(XSS)
[0106]A3 一失效的身份認(rèn)證和會(huì)話管理
[0107]A4—不安全的直接對(duì)象引用
[0108]A5 一跨站請(qǐng)求偽造(CSRF)
[0109]A6 一安全配置錯(cuò)誤
[0110]A7—不安全的加密存儲(chǔ)
[0111]A8 -沒(méi)有限制URL訪問(wèn)
[0112]A9—傳輸層保護(hù)不足
[0113]AlO —未驗(yàn)證的重定向和轉(zhuǎn)發(fā)��。
[0114](二)應(yīng)用層協(xié)議解析模塊
[0115]應(yīng)用層協(xié)議解析模塊為針對(duì)請(qǐng)求端的協(xié)議代理�,用于對(duì)接收到的基于各類應(yīng)用層協(xié)議的請(qǐng)求消息進(jìn)行協(xié)議解析,將請(qǐng)求端的基于各類應(yīng)用層協(xié)議的應(yīng)用層會(huì)話轉(zhuǎn)換為能夠被接收端語(yǔ)義預(yù)處理模塊識(shí)別的請(qǐng)求消息�,并將轉(zhuǎn)換后的請(qǐng)求消息發(fā)送到輸入隊(duì)列。
[0116]具體的���,應(yīng)用層協(xié)議解析模塊配置各種應(yīng)用層協(xié)議的代理子模塊�����,包括但不限于:HTTP代理子模塊����、MQ代理子模塊�����、JMS代理子模塊���、FTP代理子模塊和SMTP代理子模塊�����;如圖3所示��,為應(yīng)用層協(xié)議解析模塊的工作原理圖�;
[0117]HTTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于HTTP協(xié)議的請(qǐng)求端之間的會(huì)話;
[0118]MQ代理子模塊用于建立本語(yǔ)義交換機(jī)與基于MQ協(xié)議的請(qǐng)求端之間的會(huì)話����;
[0119]JMS代理子模塊用于建立本語(yǔ)義交換機(jī)與基于JMS協(xié)議的請(qǐng)求端之間的會(huì)話;
[0120]FTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于FTP協(xié)議的請(qǐng)求端之間的會(huì)話���;
[0121]SMTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于SMTP協(xié)議的請(qǐng)求端之間的會(huì)話��。
[0122](三)接收端語(yǔ)義預(yù)處理模塊
[0123]接收端語(yǔ)義預(yù)處理模塊用于讀取輸入隊(duì)列中的請(qǐng)求消息���,并對(duì)請(qǐng)求消息進(jìn)行語(yǔ)義預(yù)處理,將請(qǐng)求消息統(tǒng)一轉(zhuǎn)換為內(nèi)部使用的JSON格式語(yǔ)義消息�,然后將JSON格式語(yǔ)義消息發(fā)送到JSON格式內(nèi)部消息隊(duì)列。
[0124]接收端語(yǔ)義預(yù)處理模塊包括語(yǔ)義認(rèn)證子模塊��、語(yǔ)義解密子模塊和接收端消息格式轉(zhuǎn)換子模塊���,其工作原理如圖4所示:
[0125](I)語(yǔ)義認(rèn)證子模塊
[0126]語(yǔ)義認(rèn)證子模塊通過(guò)查詢證書數(shù)據(jù)庫(kù),對(duì)輸入隊(duì)列中的請(qǐng)求消息進(jìn)行語(yǔ)義認(rèn)證��,將認(rèn)證合格的消息發(fā)送到語(yǔ)義解密子模塊;
[0127](2)語(yǔ)義解密子模塊
[0128]語(yǔ)義解密子模塊用于對(duì)認(rèn)證后的消息進(jìn)行解密�,得到明文語(yǔ)義消息,并將明文語(yǔ)義消息發(fā)送到接收端消息格式轉(zhuǎn)換子模塊�;
[0129](3)接收端消息格式轉(zhuǎn)換子模塊
[0130]接收端消息格式轉(zhuǎn)換子模塊用于將各種數(shù)據(jù)交換格式的明文語(yǔ)義消息統(tǒng)一轉(zhuǎn)換為內(nèi)部使用的JSON格式語(yǔ)義消息,然后將JSON格式語(yǔ)義消息發(fā)送到JSON內(nèi)部消息隊(duì)列�����;其中����,明文語(yǔ)義消息的數(shù)據(jù)交換格式包括XML格式、JSON格式�����、SOAP格式或REST格式�����。如圖5所示���,為接收端消息格式轉(zhuǎn)換子模塊的工作原理圖�����。
[0131](四)語(yǔ)義處理引擎
[0132]語(yǔ)義處理引擎包括語(yǔ)義解析子模塊��、語(yǔ)義防火墻子模塊��、語(yǔ)義處理子模塊��、語(yǔ)義處理程序�、負(fù)載均衡子模塊和配置子模塊;其中���,語(yǔ)義解析子模塊��、語(yǔ)義防火墻子模塊�、語(yǔ)義處理子模塊和負(fù)載均衡子模塊順次連接����,語(yǔ)義處理程序的輸出端與語(yǔ)義處理子模塊的輸入端連接,并且��,語(yǔ)義處理子模塊的輸出端還與運(yùn)行時(shí)數(shù)據(jù)庫(kù)連接�;配置子模塊分別與語(yǔ)義解析子模塊、語(yǔ)義防火墻子模塊����、語(yǔ)義處理子模塊和負(fù)載均衡子模塊連接。如圖6所示����,為語(yǔ)義處理引擎的整體工作流程圖。
[0133](I)配置子模塊
[0134]配置子模塊中定義本體描述與關(guān)系描述�;
[0135]本體描述可采用特定的DSL (領(lǐng)域描述語(yǔ)言)實(shí)現(xiàn),用于定義本語(yǔ)義交換機(jī)的各類屬性�,包括:本體運(yùn)行時(shí)數(shù)據(jù)庫(kù)格式、本體認(rèn)可的應(yīng)用層協(xié)議與數(shù)據(jù)交換格式���、本體所屬的服務(wù)池的統(tǒng)一資源名URN���、本體所屬的服務(wù)池所包含的各組員的IP、本體的語(yǔ)義防火墻規(guī)則�;其中,服務(wù)池為由相同功能的語(yǔ)義交換機(jī)組成的用于完成同一個(gè)語(yǔ)義操作的語(yǔ)義交換機(jī)集群����;
[0136]關(guān)系描述用于定義本語(yǔ)義交換機(jī)與其他關(guān)系節(jié)點(diǎn)之間的關(guān)系模型和數(shù)據(jù)傳輸接口 ;其中����,關(guān)系節(jié)點(diǎn)包括單個(gè)關(guān)系語(yǔ)義交換機(jī)、關(guān)系服務(wù)池或者應(yīng)用服務(wù)器����;關(guān)系描述具體定義以下信息:關(guān)系節(jié)點(diǎn)的應(yīng)用層協(xié)議和關(guān)系節(jié)點(diǎn)的數(shù)據(jù)交換格式�����;其中�����,當(dāng)關(guān)系節(jié)點(diǎn)為關(guān)系服務(wù)池時(shí)���,還定義分別針對(duì)每個(gè)關(guān)系服務(wù)池的負(fù)載均衡模式、健康檢查方式以及關(guān)系服務(wù)池中各成員節(jié)點(diǎn)IP �����;
[0137](2)運(yùn)行時(shí)數(shù)據(jù)庫(kù)
[0138]運(yùn)行時(shí)數(shù)據(jù)庫(kù)采用非關(guān)系數(shù)據(jù)庫(kù)集群的〈鍵:值〉對(duì)模式存取�����,用于將語(yǔ)義處理引擎所產(chǎn)生的信息條目以JSON格式保存數(shù)據(jù)記錄��,并且�����,每一條記錄均由眾多的〈鍵:值>對(duì)組合而成,同時(shí)每一條數(shù)據(jù)記錄均有唯一的記錄ID���,而記錄ID將作為URI的標(biāo)記可以被訪問(wèn)。
[0139]例如:在非關(guān)系數(shù)據(jù)庫(kù)中存儲(chǔ)的某條數(shù)據(jù)記錄的記錄ID為52a481656c6f6311a6000000�,則:
[0140]http: //./52a4 81656c6f6 311a6000000/ 即 為顯示 ID 為52a481656c6f6311a6000000的訂單詳情的請(qǐng)求消息;
[0141]http: //./52a481656c6f6 311a6000000/edit/ 為編輯 ID 為52a481656c6f6311a6000000 的訂單的請(qǐng)求消息�;
[0142]http://./52a481656c6f6311a6000000/delete/ 為刪除 ID 為52a481656c6f6311a6000000 的訂單的請(qǐng)求消息;
[0143]http://./52a481656c6f6311a6000000/save/ 為新建并存儲(chǔ) ID 為52a481656c6f6311a6000000 的訂單的請(qǐng)求消息���。
[0144]通過(guò)上述方式�,將URI與非關(guān)系數(shù)據(jù)庫(kù)的記錄有機(jī)的聯(lián)系在一起���,有效避免了混舌L����。同時(shí)���,通過(guò)在URI的最后加上請(qǐng)求端的各類針對(duì)這項(xiàng)記錄的操作指令���,獲得不同的操作方法。
[0145](3)語(yǔ)義解析子模塊
[0146]語(yǔ)義解析子模塊用于對(duì)JSON內(nèi)部消息隊(duì)列中待處理的某條消息進(jìn)行解析��,獲取以下信息:該條消息的源IP、運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID����、針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD、消息內(nèi)容和記錄ID ;其中�,針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD包括創(chuàng)建新記錄、查詢記錄��、更新記錄和刪除記錄����;然后將獲取到的上述消息組合為一條內(nèi)部語(yǔ)義消息,并將該內(nèi)部語(yǔ)義消息發(fā)送到內(nèi)部語(yǔ)義消息隊(duì)列�。
[0147]具體的,如圖7所示�����,為語(yǔ)義解析子模塊的工作原理圖���,語(yǔ)義解析子模塊從會(huì)話層的會(huì)話鏈接表中獲取當(dāng)前會(huì)話的源IP ;從應(yīng)用層協(xié)議的包頭信息中獲取針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD ;從URL中獲取運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID����、記錄ID和針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD ;其中,運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID�、記錄ID和針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作屬于URL的一部分,位于URL的固定字段�;從JSON格式內(nèi)部消息隊(duì)列中獲取請(qǐng)求方發(fā)送的消息內(nèi)容;在附圖中�,還從證書數(shù)據(jù)庫(kù)中獲取解析證書與用戶身份。
[0148](4)語(yǔ)義防火墻子模塊
[0149]語(yǔ)義防火墻子模塊用于對(duì)內(nèi)部語(yǔ)義消息隊(duì)列中各條語(yǔ)義消息進(jìn)行語(yǔ)義規(guī)則過(guò)濾�,依據(jù)配置子模塊中設(shè)定的語(yǔ)義防火墻規(guī)則判斷該條語(yǔ)義消息是否可以執(zhí)行,如果不能被執(zhí)行��,則阻斷語(yǔ)義消息的下一步工作并通知應(yīng)用層代理取消本次會(huì)話���;如果可以被執(zhí)行,則將該條語(yǔ)義消息發(fā)送給語(yǔ)義處理子模塊���。
[0150]具體的����,語(yǔ)義防火墻子模塊配置有客戶身份與行為權(quán)限映射表��,用于描述本體語(yǔ)義交換機(jī)可以接受的各類行為��,通過(guò)對(duì)任何訪問(wèn)者設(shè)定針對(duì)本體操作的CRUD授權(quán)實(shí)現(xiàn)語(yǔ)義條目級(jí)別的訪問(wèn)控制能力�����。如表I所示,為客戶身份與行為權(quán)限映射表的一種具體實(shí)例�,該映射表由多條語(yǔ)義規(guī)則表項(xiàng)組成,各條語(yǔ)義規(guī)則表項(xiàng)進(jìn)行編號(hào)���;每一條語(yǔ)義規(guī)則包括合法的源IP����、運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID���、針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作����、消息內(nèi)容��、記錄ID以及請(qǐng)求方合法身份����;判斷當(dāng)前接收到的語(yǔ)義消息是否符合對(duì)應(yīng)的語(yǔ)義規(guī)則,得出該條語(yǔ)義消息是否能夠被執(zhí)行的結(jié)論�����。通過(guò)語(yǔ)義防火墻子模塊,可防范非法請(qǐng)求進(jìn)行竊取信息條目����、刪除敏感數(shù)據(jù)的目的。
[0151]表I客戶身份與行為權(quán)限映射表
[0152]
【權(quán)利要求】
1.一種語(yǔ)義交換機(jī)��,其特征在于��,所述語(yǔ)義交換機(jī)采用基于REST的無(wú)狀態(tài)傳輸?shù)姆植际接?jì)算架構(gòu)�,其工作在應(yīng)用層協(xié)議之上的語(yǔ)義層,包括:接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊���、應(yīng)用層協(xié)議解析模塊�、接收端語(yǔ)義預(yù)處理模塊�����、語(yǔ)義處理引擎�、發(fā)送端語(yǔ)義預(yù)處理模塊�、應(yīng)用層協(xié)議封裝模塊、發(fā)送端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊����、運(yùn)行時(shí)數(shù)據(jù)庫(kù)和日志審計(jì)模塊�;其中�,所述接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊用于接收來(lái)自應(yīng)用層請(qǐng)求端的基于各類應(yīng)用層協(xié)議以及各類型數(shù)據(jù)交換格式的請(qǐng)求消息,并對(duì)所述請(qǐng)求消息進(jìn)行安全預(yù)處理��,得到處理后的請(qǐng)求消息��,然后將所述處理后的請(qǐng)求消息發(fā)送到所述應(yīng)用層協(xié)議解析模塊���; 所述應(yīng)用層協(xié)議解析模塊為針對(duì)請(qǐng)求端的協(xié)議代理��,用于對(duì)接收到的基于各類應(yīng)用層協(xié)議的所述請(qǐng)求消息進(jìn)行協(xié)議解析����,將請(qǐng)求端的基于各類應(yīng)用層協(xié)議的應(yīng)用層會(huì)話轉(zhuǎn)換為能夠被所述接收端語(yǔ)義預(yù)處理模塊識(shí)別的請(qǐng)求消息�����,并將轉(zhuǎn)換后的請(qǐng)求消息發(fā)送到輸入隊(duì)列����; 所述接收端語(yǔ)義預(yù)處理模塊用于讀取所述輸入隊(duì)列中的請(qǐng)求消息,并對(duì)所述請(qǐng)求消息進(jìn)行語(yǔ)義預(yù)處理��,將請(qǐng)求消息統(tǒng)一轉(zhuǎn)換為內(nèi)部使用的JSON格式語(yǔ)義消息���,然后將所述JSON格式語(yǔ)義消息發(fā)送到JSON內(nèi)部消息隊(duì)列��; 所述語(yǔ)義處理引擎包括語(yǔ)義解析子模塊���、語(yǔ)義防火墻子模塊�����、語(yǔ)義處理子模塊�、語(yǔ)義處理程序�、負(fù)載均衡子模塊和配置子模塊;其中�,所述語(yǔ)義解析子模塊、所述語(yǔ)義防火墻子模塊�、所述語(yǔ)義處理子模塊和所述負(fù)載均衡子模塊順次連接,所述語(yǔ)義處理程序的輸出端與所述語(yǔ)義處理子模塊的輸入端連接���,并且,所述語(yǔ)義處理子模塊的輸出端還與所述運(yùn)行時(shí)數(shù)據(jù)庫(kù)連接����;所述配置子模塊分別與所述語(yǔ)義解析子模塊、所述語(yǔ)義防火墻子模塊��、所述語(yǔ)義處理子模塊和所述負(fù)載均衡子模塊連接; 所述配置子模 塊中定義本體描述與關(guān)系描述��; 所述本體描述用于定義本語(yǔ)義交換機(jī)的各類屬性�����,包括:本體運(yùn)行時(shí)數(shù)據(jù)庫(kù)格式���、本體認(rèn)可的應(yīng)用層協(xié)議與數(shù)據(jù)交換格式���、本體所屬的服務(wù)池的統(tǒng)一資源名URN、本體所屬的服務(wù)池所包含的各組員的IP�、本體的語(yǔ)義防火墻規(guī)則;其中�����,服務(wù)池為由相同功能的語(yǔ)義交換機(jī)組成的用于完成同一個(gè)語(yǔ)義操作的語(yǔ)義交換機(jī)集群����; 所述關(guān)系描述用于定義本語(yǔ)義交換機(jī)與其他關(guān)系節(jié)點(diǎn)之間的關(guān)系模型和數(shù)據(jù)傳輸接口 ;其中���,所述關(guān)系節(jié)點(diǎn)包括單個(gè)關(guān)系語(yǔ)義交換機(jī)����、關(guān)系服務(wù)池或者應(yīng)用服務(wù)器;所述關(guān)系描述具體定義以下信息:關(guān)系節(jié)點(diǎn)的應(yīng)用層協(xié)議和關(guān)系節(jié)點(diǎn)的數(shù)據(jù)交換格式��;其中����,當(dāng)關(guān)系節(jié)點(diǎn)為關(guān)系服務(wù)池時(shí),還定義分別針對(duì)每個(gè)關(guān)系服務(wù)池的負(fù)載均衡模式��、健康檢查方式以及所述關(guān)系服務(wù)池中各成員節(jié)點(diǎn)IP ��; 所述運(yùn)行時(shí)數(shù)據(jù)庫(kù)采用非關(guān)系數(shù)據(jù)庫(kù)集群�����,用于將語(yǔ)義處理引擎所產(chǎn)生的信息條目以JSON格式保存數(shù)據(jù)記錄�,并且,每一條數(shù)據(jù)記錄具有唯一的記錄ID ;該記錄ID作為URI的標(biāo)記可以被訪問(wèn)��; 所述語(yǔ)義解析子模塊用于對(duì)JSON內(nèi)部消息隊(duì)列中待處理的某條消息進(jìn)行解析����,獲取以下信息:該條消息的源IP�、運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID�����、針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD����、消息內(nèi)容和記錄ID ;其中�,所述針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD包括創(chuàng)建新記錄、查詢記錄�、更新記錄和刪除記錄;然后將獲取到的上述消息組合為一條內(nèi)部語(yǔ)義消息���,并將該內(nèi)部語(yǔ)義消息發(fā)送到內(nèi)部語(yǔ)義消息隊(duì)列�; 所述語(yǔ)義防火墻子模塊用于對(duì)所述內(nèi)部語(yǔ)義消息隊(duì)列中各條語(yǔ)義消息進(jìn)行語(yǔ)義規(guī)則過(guò)濾�����,依據(jù)配置子模塊中設(shè)定的語(yǔ)義防火墻規(guī)則判斷該條語(yǔ)義消息是否可以執(zhí)行����,如果不能被執(zhí)行,則阻斷語(yǔ)義消息的下一步工作并通知應(yīng)用層代理取消本次會(huì)話����;如果可以被執(zhí)行�����,則將該條語(yǔ)義消息發(fā)送給所述語(yǔ)義處理子模塊�����; 所述語(yǔ)義處理程序?yàn)榭蛻粢罁?jù)客戶業(yè)務(wù)邏輯所編寫的程序����,通過(guò)編寫不同的程序��,可使本語(yǔ)義交換機(jī)具有不同的業(yè)務(wù)處理功能�����;并且�,所述語(yǔ)義處理程序定義以下內(nèi)容:根據(jù)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD,分別定義與各操作動(dòng)作CRUD對(duì)應(yīng)的詳細(xì)操作程序��; 所述語(yǔ)義處理子模塊解釋并執(zhí)行所述語(yǔ)義處理程序�����,對(duì)可執(zhí)行的來(lái)自所述語(yǔ)義防火墻子模塊的語(yǔ)義消息進(jìn)行語(yǔ)義計(jì)算、加工和處理���,生成處理后的針對(duì)關(guān)系節(jié)點(diǎn)的新CRUD語(yǔ)義消息;然后��,一方面�,對(duì)所述運(yùn)行時(shí)數(shù)據(jù)庫(kù)執(zhí)行操作動(dòng)作CRUD ;另一方面,讀取所述配置子模塊��,判斷所定義的關(guān)系節(jié)點(diǎn)的類別�,如果為單個(gè)關(guān)系語(yǔ)義交換機(jī);則直接將該單個(gè)關(guān)系語(yǔ)義交換機(jī)確定為目的節(jié)點(diǎn)�;如果為應(yīng)用服務(wù)器,則直接將該應(yīng)用服務(wù)器確定為目的節(jié)點(diǎn)�;如果為關(guān)系服務(wù)池,則將所述新CRUD語(yǔ)義消息發(fā)送到所述負(fù)載均衡子模塊����; 所述負(fù)載均衡子模塊從所述配置子模塊中獲取該關(guān)系服務(wù)池的負(fù)載均衡模式及其所包含的各成員節(jié)點(diǎn)IP,通過(guò)所述負(fù)載均衡模式��,確定所述關(guān)系服務(wù)池中最佳成員節(jié)點(diǎn)作為目的節(jié)點(diǎn)���; 所述發(fā)送端語(yǔ)義預(yù)處理模塊用于:讀取所述配置子模塊�����,獲得所確定的目的節(jié)點(diǎn)的數(shù)據(jù)格式����,將JSON格式的新CRUD語(yǔ)義消息轉(zhuǎn)換成目標(biāo)格式,再經(jīng)語(yǔ)義安全處理后發(fā)送到輸出端消息隊(duì)列���; 所述應(yīng)用層協(xié)議封裝模塊為針對(duì)目的節(jié)點(diǎn)的協(xié)議代理�,具體用于:讀取所述配置子模塊��,獲得所確定的目的節(jié)點(diǎn)的應(yīng)用層協(xié)議���,按順序?qū)⑤敵龆讼㈥?duì)列中的各條消息進(jìn)行應(yīng)用層協(xié)議封裝�,將其封裝為能夠被目的節(jié)點(diǎn)所能識(shí)別的數(shù)據(jù)��; 所述發(fā)送端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊用于對(duì)封裝后的數(shù)據(jù)進(jìn)行安全處理�����,然后將處理后的數(shù)據(jù)發(fā)送到目的節(jié)點(diǎn)��; 所述日志審計(jì)模塊包括系統(tǒng)管理日志和操作日志���;所述系統(tǒng)管理日志用于保存本語(yǔ)義交換機(jī)的狀態(tài)改變情況��;所述操作日志用于保存信息流經(jīng)過(guò)任何模塊所做的中間操作���;所述日志審計(jì)模塊采用非關(guān)系數(shù)據(jù)庫(kù)引擎以JSON格式存儲(chǔ)���,如果本語(yǔ)義交換機(jī)屬于一個(gè)服務(wù)池��,則將本語(yǔ)義交換機(jī)的日志審計(jì)模塊所存儲(chǔ)的內(nèi)容在所述服務(wù)池中進(jìn)行分片存儲(chǔ)�����。
2.根據(jù)權(quán)利要求1所述的語(yǔ)義交換機(jī)����,其特征在于,所述接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊所接收到的所述請(qǐng)求消息的應(yīng)用層協(xié)議為HTTP協(xié)議����、MQ協(xié)議、JMS協(xié)議�����、FTP協(xié)議或SMTP協(xié)議,并且��,所述請(qǐng)求消息的數(shù)據(jù)交換格式為XML格式���、JSON格式����、SOAP格式或REST格式�����。
3.根據(jù)權(quán)利要求2所述的語(yǔ)義交換機(jī)�����,其特征在于�����,所述接收端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊包括網(wǎng)絡(luò)防火墻子模塊�、SSL認(rèn)證與解密子模塊和WAF/應(yīng)用防火墻子模塊; 所述網(wǎng)絡(luò)防火墻子模塊用于接收來(lái)自請(qǐng)求端的請(qǐng)求消息�,并對(duì)所述請(qǐng)求消息進(jìn)行安全過(guò)濾,然后將過(guò)濾后的請(qǐng)求消息發(fā)送到所述SSL認(rèn)證與解密子模塊��; 所述SSL認(rèn)證與解密子模塊用于對(duì)過(guò)濾后的請(qǐng)求消息進(jìn)行證書確認(rèn)及解密處理,然后將認(rèn)證合格及解密后的請(qǐng)求消息發(fā)送到所述WAF/應(yīng)用防火墻子模塊�����; 所述WAF/應(yīng)用防火墻子模塊用于對(duì)接收到的請(qǐng)求消息進(jìn)行規(guī)則過(guò)濾與協(xié)議清洗����,屏蔽應(yīng)用層的攻擊;然后將處理后的請(qǐng)求消息發(fā)送到所述應(yīng)用層協(xié)議解析模塊��。
4.根據(jù)權(quán)利要求2所述的語(yǔ)義交換機(jī)����,其特征在于�����,所述應(yīng)用層協(xié)議解析模塊配置有HTTP代理子模塊���、MQ代理子模塊���、JMS代理子模塊、FTP代理子模塊和SMTP代理子模塊�; 所述HTTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于HTTP協(xié)議的請(qǐng)求端之間的會(huì)話����; 所述MQ代理子模塊用于建立本語(yǔ)義交換機(jī)與基于MQ協(xié)議的請(qǐng)求端之間的會(huì)話��; 所述JMS代理子模塊用于建立本語(yǔ)義交換機(jī)與基于JMS協(xié)議的請(qǐng)求端之間的會(huì)話����; 所述FTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于FTP協(xié)議的請(qǐng)求端之間的會(huì)話; 所述SMTP代理子模塊用于建立本語(yǔ)義交換機(jī)與基于SMTP協(xié)議的請(qǐng)求端之間的會(huì)話�����。
5.根據(jù)權(quán)利要求2所述的語(yǔ)義交換機(jī)����,其特征在于,所述接收端語(yǔ)義預(yù)處理模塊包括語(yǔ)義認(rèn)證子模塊��、語(yǔ)義解密子模塊和接收端消息格式轉(zhuǎn)換子模塊�����; 所述語(yǔ)義認(rèn)證子模塊通過(guò)查詢證書數(shù)據(jù)庫(kù)���,對(duì)輸入隊(duì)列中的請(qǐng)求消息進(jìn)行語(yǔ)義認(rèn)證��,將認(rèn)證合格的消息發(fā)送到所述語(yǔ)義解密子模塊����; 所述語(yǔ)義解密子模塊用于對(duì)認(rèn)證后的消息進(jìn)行解密,得到明文語(yǔ)義消息�����,并將所述明文語(yǔ)義消息發(fā)送到所述接收端消息格式轉(zhuǎn)換子模塊����; 所述接收端消息格式轉(zhuǎn)換子模塊用于將各種數(shù)據(jù)交換格式的所述明文語(yǔ)義消息統(tǒng)一轉(zhuǎn)換為內(nèi)部使用的JSON格式語(yǔ)義消息,然后將所述JSON格式語(yǔ)義消息發(fā)送到JSON內(nèi)部消息隊(duì)列��;其中�,所述明文語(yǔ)義消息的數(shù)據(jù)交換格式包括XML格式�����、JSON格式�����、SOAP格式或REST格式�����。
6.根據(jù)權(quán)利要求2所述的語(yǔ)義交換機(jī),其特征在于���,所述語(yǔ)義解析子模塊具體用于: 從會(huì)話層的會(huì)話鏈接表中獲取當(dāng)前會(huì)話的源IP ����; 從應(yīng)用層協(xié)議的包頭信息中獲取針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD ��; 從URL中獲取運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID�����、記錄ID和針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作CRUD ;其中�����,運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID�、記錄ID和針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作屬于URL的一部分,位于URL的固定字段�; 從JSON內(nèi)部消息隊(duì)列中獲取請(qǐng)求方發(fā)送的消息內(nèi)容。
7.根據(jù)權(quán)利要求2所述的語(yǔ)義交換機(jī)��,其特征在于,所述語(yǔ)義防火墻子模塊具體用于: 所述語(yǔ)義防火墻子模塊配置有客戶身份與行為權(quán)限映射表����,該映射表由多條語(yǔ)義規(guī)則表項(xiàng)組成,各條語(yǔ)義規(guī)則表項(xiàng)進(jìn)行編號(hào)�����;每一條語(yǔ)義規(guī)則包括合法的源IP��、運(yùn)行時(shí)數(shù)據(jù)庫(kù)ID�����、針對(duì)運(yùn)行時(shí)數(shù)據(jù)庫(kù)的操作動(dòng)作����、消息內(nèi)容、記錄ID�����、以及請(qǐng)求方合法身份���;判斷當(dāng)前接收到的語(yǔ)義消息是否符合對(duì)應(yīng)的語(yǔ)義規(guī)則,得出該條語(yǔ)義消息是否能夠被執(zhí)行的結(jié)論。
8.根據(jù)權(quán)利要求2所述的語(yǔ)義交換機(jī)�����,其特征在于��,所述負(fù)載均衡子模塊確定所述關(guān)系服務(wù)池中最佳成員節(jié)點(diǎn)作為目的節(jié)點(diǎn)�,具體為: 所述負(fù)載均衡子模塊查詢所述配置子模塊,獲得針對(duì)該關(guān)系服務(wù)池的負(fù)載均衡模式�、健康檢查方式以及各成員節(jié)點(diǎn)IP ; 然后,所述負(fù)載均衡子模塊按一定的頻度向各成員節(jié)點(diǎn)IP發(fā)送探測(cè)請(qǐng)求�����,若接收到某一成員節(jié)點(diǎn)的回應(yīng)�����,則證明該節(jié)點(diǎn)為健康成員節(jié)點(diǎn)���; 所述負(fù)載均衡模式包括四種: 1)R0UND_R0BIN:輪詢方法:將請(qǐng)求均衡的按照順序發(fā)送到關(guān)系服務(wù)池中的各成員節(jié)占中.2)HASH方法:通過(guò)對(duì)上一個(gè)請(qǐng)求節(jié)點(diǎn)的IP地址進(jìn)行HASH計(jì)算����,均勻散列到關(guān)系服務(wù)池中的各個(gè)成員節(jié)點(diǎn)上�����; 3)LEAST_CONECTION,最少連接數(shù)法:將請(qǐng)求發(fā)送給關(guān)系服務(wù)池中當(dāng)前鏈接數(shù)最小的節(jié)點(diǎn)作為目的節(jié)點(diǎn); 4)FAST_RESP0NSE,最快響應(yīng)速度法:通過(guò)健康檢查得到關(guān)系服務(wù)池中的各成員節(jié)點(diǎn)的響應(yīng)時(shí)間����,取最小響應(yīng)時(shí)間對(duì)應(yīng)的節(jié)點(diǎn)作為目的節(jié)點(diǎn)。
9.根據(jù)權(quán)利要求2所述的語(yǔ)義交換機(jī)�,其特征在于,所述發(fā)送端語(yǔ)義預(yù)處理模塊包括:發(fā)送端消息格式轉(zhuǎn)換子模塊���、語(yǔ)義加密子模塊和語(yǔ)義簽名子模塊�; 其中����,所述發(fā)送端消息格式轉(zhuǎn)換子模塊用于將JSON格式的語(yǔ)義消息轉(zhuǎn)換成目標(biāo)格式,然后將轉(zhuǎn)換后的語(yǔ)義消息發(fā)送到所述語(yǔ)義加密子模塊��; 所述語(yǔ)義加密子模塊用于對(duì)接收到的語(yǔ)義消息進(jìn)行語(yǔ)義加密處理��,然后將加密后的語(yǔ)義消息發(fā)送到所述語(yǔ)義簽名子模塊���; 所述語(yǔ)義簽名子模塊用于對(duì)接收到的語(yǔ)義消息進(jìn)行語(yǔ)義簽名�,然后將簽名后的語(yǔ)義消息發(fā)送到所述應(yīng)用層協(xié)議封裝模塊�。
10.根據(jù)權(quán)利要求2所述的語(yǔ)義交換機(jī),其特征在于�����,所述應(yīng)用層協(xié)議封裝模塊配置有HTTP封裝子模塊�、MQ封裝子模塊、JMS封裝子模塊�、FTP封裝子模塊和SMTP封裝子模塊;分別用于將接收到的各條消息封裝為對(duì)應(yīng)應(yīng)用層協(xié)議的消��; 所述發(fā)送端網(wǎng)絡(luò)/傳輸層數(shù)據(jù)處理模塊包括SSL簽名與加密子模塊和網(wǎng)絡(luò)轉(zhuǎn)發(fā)子模塊�; 所述SSL簽名與加密子模塊用于對(duì)經(jīng)所述應(yīng)用層協(xié)議封裝模塊所封裝后的數(shù)據(jù)進(jìn)行證書簽名及加解處理,然后將處理后的數(shù)據(jù)發(fā)送給所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)子模塊�����; 所述網(wǎng)絡(luò)轉(zhuǎn)發(fā)子模塊用于將經(jīng)所述SSL簽名與加密子模塊處理后的數(shù)據(jù)發(fā)送到目的節(jié)點(diǎn)�����。
【文檔編號(hào)】H04L12/931GK103957173SQ201410206984
【公開(kāi)日】2014年7月30日 申請(qǐng)日期:2014年5月16日 優(yōu)先權(quán)日:2014年5月16日
【發(fā)明者】吳若松 申請(qǐng)人:北京信諾瑞得軟件系統(tǒng)有限公司