CN106789959A - 一种数据安全处理器和处理方法 - Google Patents

Abstract

本发明公开了一种数据安全处理器和处理方法，该处理器包括：策略加载分析模块，用于接收安全策略信息并进行分析得到可执行代码形式的安全策略规则；存储器，用于存储所述安全策略规则；数据加载模块，用于加载需要执行安全策略处理的待处理数据；数据分析对比模块，用于根据所述待处理数据从所述存储器中获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示，将所述待处理数据和数据处理指示传输给数据执行模块；数据执行模块，用于根据所述数据处理指示对所述待处理数据进行安全处理，并输出。基于上述数据安全处理器和处理方法，可以实现对数据的流入和流出进行控制、检测，保证了数据和系统的安全。

Description

一种数据安全处理器和处理方法

技术领域

本发明实施例涉及数据安全处理技术领域，尤其涉及一种数据安全处理器和处理方法。

背景技术

随着计算机技术和现代通信技术的迅猛发展，数字化信息呈爆炸性增长，其不仅体现在数据的容量上，而且表现在数据的多样性上。在网络应用日益广泛的今天，每个人都是数据的制造者和消费者，各种系统和系统集群都需要时刻与外界进行数据交换。数据发挥的作用越来越大的同时，数据的安全问题也随之而来。

需要使用的数据从外界传输到系统中，或者系统中数据传输到外界时，如何保证数据的安全，如何保证数据不会对系统造成损害，避免包含危险因素的代码影响系统的稳定性，这都需要对数据的流入和流出进行控制、检测，然而目前还没有一个可靠且有效的、动态可配置的方案可以实现。

发明内容

本发明提供一种数据安全处理器和处理方法，以实现对数据流入流出的安全管控。

为达到此目的，本发明实施例采用以下技术方案：

一种数据安全处理器，包括：

策略加载分析模块，用于接收安全策略信息并进行分析得到可执行代码形式的安全策略规则；

存储器，用于存储所述安全策略规则；

数据加载模块，用于加载需要执行安全策略处理的待处理数据；

数据分析对比模块，用于根据所述待处理数据从所述存储器中获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示，将所述待处理数据和数据处理指示传输给数据执行模块；

数据执行模块，用于根据所述数据处理指示对所述待处理数据进行安全处理，并输出。

进一步地，所述安全处理器，还包括：

输入端口和输出端口，用于连接在数据交互设备之间，进行数据的接收和发送，所述数据加载模块、策略加载分析模块分别与所述输入端口相连，所述数据执行模块与所述输出端口相连。

进一步地，上述安全处理器中，所述策略加载分析模块包括：

策略信息加载单元，用于加载用户编写的安全策略信息；

策略信息编译单元，用于对所述安全策略信息进行编译得到可执行代码形式的安全策略规则；

策略规则分类更新单元，用于对所述安全策略规则进行分类，并对已存储的安全策略规则进行更新

进一步地，上述安全处理器中，所述数据分析对比模块包括：

策略规则获取单元，用于根据所述待处理数据的属性特征或来源获取对应的安全策略规则；

待处理数据分析单元，用于根据所述安全策略规则对文件形式或代码形式的所述待处理数据进行分析，以产生数据处理指示。

进一步地，所述安全处理器，还包括：

数据检测样本更新模块，用于在根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示之后，当检测到危险数据时，记录下所述危险数据的特征码，添加至安全策略规则中作为新的数据检测样本。

相应地，本发明实施例还提供一种数据安全处理方法，包括：

接收安全策略信息并进行分析得到可执行代码形式的安全策略规则；

存储所述安全策略规则；

加载需要执行安全策略处理的待处理数据；

根据所述待处理数据获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示；

根据所述数据处理指示对所述待处理数据进行安全处理，并输出。

进一步地，所述方法，接收安全策略信息并进行分析得到可执行代码形式的安全策略规则，包括：

加载用户编写的安全策略信息；

对所述安全策略信息进行编译得到可执行代码形式的安全策略规则；

对所述安全策略规则进行分类，并对已存储的安全策略规则进行更新。

进一步地，上述方法中，跟据所述待处理数据获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示包括：

根据所述待处理数据的属性特征或来源获取对应的安全策略规则；

根据所述安全策略规则对文件形式或代码形式的所述待处理数据进行分析，以产生数据处理指示。

进一步地，上述方法中，根据所述数据处理指示对所述待处理数据进行安全处理，并输出，包括：

根据所述数据处理指示对所述待处理数据进行修改、过滤、拦截和/或加密处理，并输出。

进一步地，所述方法，在所述根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示之后，还包括：

当检测到危险数据时，记录下所述危险数据的特征码，添加至安全策略规则中作为新的数据检测样本。

本发明实施例所提供的技术方案，在系统和系统集群与外界进行数据交换时，通过依据安全策略规则对待处理数据进行安全处理，并能自我完成检测样本的更新，可以实现对数据的流入和流出进行控制、检测，保证了数据和系统的安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例一提供的一种数据安全处理器的结构示意图；

图2为本发明实施例一提供的策略加载分析模块的结构示意图；

图3为本发明实施例一提供的数据分析对比模块的结构示意图；

图4为本发明实施例二提供的一种数据安全处理器的结构示意图；

图5为本发明实施例三提供的一种数据安全处理方法的流程示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

图1为本发明实施例一提供的一种数据安全处理器的结构示意图，该安全处理器适用于系统和系统集群与外界进行数据交换的场景，该安全处理器由数据安全处理方法来实现，该安全处理器是在硬件设备上进行软件的设置，通过硬件和软件配合，集成于安全处理器内部。参见图1，该安全处理器包括：

策略加载分析模块10，用于接收安全策略信息并进行分析得到可执行代码形式的安全策略规则；

存储器20，用于存储所述安全策略规则；

数据加载模块30，用于加载需要执行安全策略处理的待处理数据；

数据分析对比模块40，用于根据所述待处理数据从所述存储器中获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示，将所述待处理数据和数据处理指示传输给数据执行模块50；

数据执行模块50，用于根据所述数据处理指示对所述待处理数据进行安全处理，并输出。

优选的，所述安全处理器还包括：输入端口和输出端口，用于连接在数据交互设备之间，进行数据的接收和发送，所述数据加载模块、策略加载分析模块分别与所述输入端口相连，所述数据执行模块与所述输出端口相连。

需要说明的是，数据安全处理器作为数据的入口和出口，所有数据的流入和流出都要经过安全处理器，进出系统的数据不能通过其它的方式进行，所述数据安全处理器一个输入端口用于与外部用户编写的安全策略进行交互，另一个输入端口用于接收所述待处理数据，一个输出端口用于输出处理过的数据。

具体的，策略加载分析模块10提供动态接口，它可以加载、分析输入的安全策略，并对相关的程序进行分析和执行，它提供数据接口来输入相关数据。存储器20提供安全策略、数据及程序的存储功能。数据加载模块30提供数据加载的功能，对要执行安全策略的数据加载到整个安全器中。数据分析对比模块40提供对数据处理的功能，按照安全策略的规定，包括对数据的分析、对比和标识，对数据进行初步的处理。数据执行模块50提供了按照安全策略的规定，对数据进行转换、改装等功能。

需要说明的是，输入到安全器的数据主要分为两种，一是安全策略数据，包括程序、配置、文件等，经过分析的安全策略数据将会被存储到内置的存储器20中。二是待处理的数据，被加载待处理数据可以是普通传输的数据，还可以是程序、软件及其它类型的数据。数据经过数据加载模块30之后，将会被传输到数据分析对比模块40，数据分析对比模块40与存储器20进行交互，获取到安全策略数据，经过加工处理后，待处理数据被传输到数据执行模块50，由于经过数据分析对比模块40的处理，待处理数据将会在数据执行模块50中按照数据分析对比模块40的处理指示进行处理，从而达到安全策略预定的要求。

所述数据安全处理器放置在单台机器的数据总线上，或者是放置在系统集群的数据传输总线上，所有数据的流动都在该安全处理器的监控之下。没有经过任何设置的安全器不对数据做任何处理，不改变数据量大小、数据形态、传输方向等，只是一个单纯的数据通道，不对数据的传输产生任何阻滞。

为了达到预定的功能目标，根据系统的功能、数据的特点、安全需求等因素动态配置，该安全器提供接口，可以通过该接口动态地制定安全策略、检测方法、过滤标准，通过编程的方式实现这些目标。

经过设置之后的数据安全器，一方面可以动态地设置安全策略。用户根据实际情况制定安全策略，将安全策略编程后，可以设置到数据安全器中，启动数据安全器后，所有经过数据安全器的数据，都会被强制适用制定的安全策略。

经过设置之后的数据安全器，另一方面还可以对传输的数据进行检测，被检测的数据不仅包括一般性的数据，还可以包括代码级别的数据，只需要在相关的策略中进行指定，并给定检测标准。安全器提供存储空间，用来存储安全策略，并将提供的检测样本的数据存储下来，以存储下来的数据作为匹配依据，所有经过安全器的数据将会与这些数据进行匹配，匹配上的数据，按照安全策略，可能会被修改、过滤、拦截和加密等。

进一步地，该数据安全器不仅可以对数据进行安全操作，还可以识别代码类型的数据，通过在安全策略中的设置，对传入的代码级数据的字节码进行识别，避免危险代码对系统的影响，可以将这些数据进行过滤，甚至完全拦截。

优选的，上述安全处理器中，所述策略加载分析模块10包括：

策略信息加载单元11，用于加载用户编写的安全策略信息；

策略信息编译单元12，用于对所述安全策略信息进行编译得到可执行代码形式的安全策略规则；

策略规则分类更新单元13，用于对所述安全策略规则进行分类，并对已存储的安全策略规则进行更新

请参考图2，为本发明实施例一提供的策略加载分析模块10的结构示意图；该模块的主要功能包括加载用户编写的安全策略，安全策略可以是编写的代码、配置文件等。安全处理器加载安全策略后，对代码或者文件进行编译和分析，并形成可以存储的代码，并对安全策略进行分类，包括文件形式的数据处理策略和代码形式的数据处理策略。其中文件形式数据处理策略指定了对数据的处理方法，例如加密、替换、检查，甚至截断和销毁等。代码形式的数据处理策略指定了对经过安全器传输的代码的处理方法，例如对代码安全检查，危险代码的识别、代码更新的方案等。策略加载分析模块10会将分析出来的策略进行分类，并与之前的策略进行对比和更新。

优选的，上述安全处理器中，所述数据分析对比模块40包括：

策略规则获取单元41，用于根据所述待处理数据的属性特征或来源获取对应的安全策略规则；

待处理数据分析单元42，用于根据所述安全策略规则对文件形式或代码形式的所述待处理数据进行分析，以产生数据处理指示。

请参考图3，为本发明实施例一提供的数据分析对比模块40的结构示意图；该模块的主要功能是获取安全策略规则和获取待处理数据，然后进行初步的分析处理得到处理指示，该处理指示用于指示数据执行模块50对待处理数据进行处理。根据待处理数据形式的不同对应有匹配的安全策略规则。

具体的，数据执行模块50主要包含了数据加载、数据处理和数据整理的功能时按照数据安全策略规则对数据进行处理，由于处理后的数据容易出现排版不齐或分段不明等情况，所以处理后数据需要进行整理，最后输出的数据符合安全策略的要求。

本发明实施例通过数据安全处理器中硬件与软件的配合，在系统和系统集群与外界进行数据交换时，依据安全策略规则对待处理数据进行安全处理，可以实现对数据的流入和流出进行控制、检测，保证了数据和系统的安全。

实施例二

图4为本发明实施例二提供的一种数据安全处理器的结构示意图，参见图4，该安全处理器包括：

在实施例一的基础上，所述数据安全处理器还包括：

数据检测样本更新模块60，用于在根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示之后，当检测到危险数据时，记录下所述危险数据的特征码，添加至安全策略规则中作为新的数据检测样本。

具体的，数据检测样本更新模块60记录下的危险数据的特征码会整合到该次检测所匹配的数据检测样本上，然后上传更新到存储器20中为下次检测调用。

本发明实施例通过记录下危险数据的特征码并添加至安全策略规则中，可以自我完成检测样本的更新并存储到存储器中。

实施例三

图5为本发明实施例三提供的一种数据安全处理方法的流程示意图，参见图5，所述方法包括：

S110、接收安全策略信息并进行分析得到可执行代码形式的安全策略规则。

S120、存储所述安全策略规则。

S130、加载需要执行安全策略处理的待处理数据。

S140、根据所述待处理数据获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示。

S150、根据所述数据处理指示对所述待处理数据进行安全处理，并输出。

优选的，上述方法中，接收安全策略信息并进行分析得到可执行代码形式的安全策略规则，包括：

加载用户编写的安全策略信息；

对所述安全策略信息进行编译得到可执行代码形式的安全策略规则；

对所述安全策略规则进行分类，并对已存储的安全策略规则进行更新。

优选的，上述方法中，根据所述待处理数据获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示包括：

根据所述待处理数据的属性特征或来源获取对应的安全策略规则；

根据所述安全策略规则对文件形式或代码形式的所述待处理数据进行分析，以产生数据处理指示。

优选的，中述方法中，根据所述数据处理指示对所述待处理数据进行安全处理，并输出，包括：

根据所述数据处理指示对所述待处理数据进行修改、过滤、拦截和/或加密处理，并输出。

优选的，所述方法，所述根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示之后，还包括：

当检测到危险数据时，记录下所述危险数据的特征码，添加至安全策略规则中作为新的数据检测样本。

本发明实施例所提供的技术方案，在系统和系统集群与外界进行数据交换时，通过依据安全策略规则对待处理数据进行安全处理，并能自我完成检测样本的更新，可以实现对数据的流入和流出进行控制、检测，保证了数据和系统的安全。

上述方法可适用于本发明任意实施例所提供的数据安全处理器，具备安全处理器相应的执行方法和有益效果。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。

Claims (10)

1.一种数据安全处理器，其特征在于，包括：

策略加载分析模块，用于接收安全策略信息并进行分析得到可执行代码形式的安全策略规则；

存储器，用于存储所述安全策略规则；

数据加载模块，用于加载需要执行安全策略处理的待处理数据；

数据分析对比模块，用于根据所述待处理数据从所述存储器中获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示，将所述待处理数据和数据处理指示传输给数据执行模块；

数据执行模块，用于根据所述数据处理指示对所述待处理数据进行安全处理，并输出。

2.根据权利要求1所述的处理器，其特征在于，还包括：

输入端口和输出端口，用于连接在数据交互设备之间，进行数据的接收和发送，所述数据加载模块、策略加载分析模块分别与所述输入端口相连，所述数据执行模块与所述输出端口相连。

3.根据权利要求1所述的处理器，其特征在于，所述策略加载分析模块包括：

策略信息加载单元，用于加载用户编写的安全策略信息；

策略信息编译单元，用于对所述安全策略信息进行编译得到可执行代码形式的安全策略规则；

策略规则分类更新单元，用于对所述安全策略规则进行分类，并对已存储的安全策略规则进行更新。

4.根据权利要求1所述的处理器，其特征在于，所述数据分析对比模块包括：

策略规则获取单元，用于根据所述待处理数据的属性特征或来源获取对应的安全策略规则；

待处理数据分析单元，用于根据所述安全策略规则对文件形式或代码形式的所述待处理数据进行分析，以产生数据处理指示。

5.根据权利要求1所述的处理器，其特征在于，还包括：

数据检测样本更新模块，用于在根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示之后，当检测到危险数据时，记录下所述危险数据的特征码，添加至安全策略规则中作为新的数据检测样本。

6.一种数据安全处理方法，其特征在于，包括：

接收安全策略信息并进行分析得到可执行代码形式的安全策略规则；

存储所述安全策略规则；

加载需要执行安全策略处理的待处理数据；

根据所述待处理数据获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示；

根据所述数据处理指示对所述待处理数据进行安全处理，并输出。

7.根据权利要求6所述的方法，其特征在于，接收安全策略信息并进行分析得到可执行代码形式的安全策略规则，包括：

加载用户编写的安全策略信息；

对所述安全策略信息进行编译得到可执行代码形式的安全策略规则；

对所述安全策略规则进行分类，并对已存储的安全策略规则进行更新。

8.根据权利要求6所述的方法，其特征在于，根据所述待处理数据获取对应的安全策略规则，并根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示包括：

根据所述待处理数据的属性特征或来源获取对应的安全策略规则；

根据所述安全策略规则对文件形式或代码形式的所述待处理数据进行分析，以产生数据处理指示。

9.根据权利要求6所述的方法，其特征在于，根据所述数据处理指示对所述待处理数据进行安全处理，并输出，包括：

根据所述数据处理指示对所述待处理数据进行修改、过滤、拦截和/或加密处理，并输出。

10.根据权利要求6所述的方法，其特征在于，所述根据所述安全策略规则对所述待处理数据进行处理，以产生数据处理指示之后，还包括：

当检测到危险数据时，记录下所述危险数据的特征码，添加至安全策略规则中作为新的数据检测样本。