亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

使用上下文映射和植入值的通過(guò)應(yīng)用層的身份傳播的制作方法

文檔序號(hào):7886283閱讀:264來(lái)源:國(guó)知局
專利名稱:使用上下文映射和植入值的通過(guò)應(yīng)用層的身份傳播的制作方法
技術(shù)領(lǐng)域
本申請(qǐng)通常涉及改善的數(shù)據(jù)處理裝置和方法,并且更加具體地涉及用于使用上下文映射和植入值的通過(guò)應(yīng)用層的身份傳播的機(jī)制。
背景技術(shù)
現(xiàn)代信息處理環(huán)境正在經(jīng)歷從傳統(tǒng)的客戶端-服務(wù)器模型到應(yīng)用-服務(wù)器模型的趨勢(shì)。盡管客戶端-服務(wù)器模型將信息資源分類為到客戶端的服務(wù),但是基于應(yīng)用的架構(gòu)也允許每個(gè)應(yīng)用在將事務(wù)或者數(shù)據(jù)流切換到連續(xù)處理級(jí)之前執(zhí)行處理的特定部分和/或?qū)iT部分。應(yīng)用-服務(wù)器模型可以表現(xiàn)出所謂的多級(jí)布置或者架構(gòu)。在多級(jí)布置中,每一級(jí)負(fù)責(zé)執(zhí)行處理的特定方面。各級(jí)通過(guò)通常根據(jù)預(yù)定的協(xié)議或者數(shù)據(jù)結(jié)構(gòu)的傳遞或者傳輸數(shù)據(jù)而進(jìn)行通信。因此業(yè)務(wù)在可以是處理流中的連續(xù)層或者節(jié)點(diǎn)的諸級(jí)之間傳遞。因而,每一個(gè)級(jí)或者“層”從前一層接收事務(wù)。每一個(gè)級(jí)/層可以執(zhí)行特定功能,諸如數(shù)據(jù)庫(kù)查詢、XML解析、隧道傳輸、協(xié)議映射、網(wǎng)絡(luò)運(yùn)輸或者GUI (圖形用戶界面)操作。在每一級(jí)處,將事務(wù)或者數(shù)據(jù)流的屬性傳遞到下一級(jí)。然而,如果在連續(xù)級(jí)中認(rèn)為某些屬性不必要,則可能抑制或者省去這些屬性。因而,在多層布置中,在改善縮放、信息范圍以及功能鞏固的同時(shí),可能不像傳統(tǒng)客戶端服務(wù)器布置中那樣容易傳播事務(wù)或者信息流的某些屬性。期望在特定層處可獲得的某些屬性的操作或者功能會(huì)遇到困難(即,不可獲得),如果這些操作或者功能依賴于該屬性的話。在基于應(yīng)用-服務(wù)器模型的系統(tǒng)的不同級(jí)/層處執(zhí)行的操作之間丟失信息的一組示例是例如審計(jì)跟蹤等等的安全功能。幾乎所有安全功能都基于證書。審計(jì)跟蹤關(guān)鍵在于用戶或者客戶端機(jī)器(例如產(chǎn)生示出由用戶或者客戶端機(jī)器執(zhí)行的所有活動(dòng)的報(bào)告)的身份,訪問(wèn)控制也關(guān)鍵在于該身份(例如不應(yīng)該 允許用戶X訪問(wèn)數(shù)據(jù)Y)等等。在一些情況下,通過(guò)提供身份層的相同層來(lái)提供安全功能。例如,在用戶直接連接到數(shù)據(jù)庫(kù)時(shí),存在用于登錄到該數(shù)據(jù)庫(kù)的用戶名稱。該相同的用戶名稱也用于定義數(shù)據(jù)庫(kù)系統(tǒng)中的特權(quán)并且相同的名稱出現(xiàn)在由審計(jì)安全機(jī)制生成的審計(jì)跟蹤中。這與數(shù)據(jù)庫(kù)本身是實(shí)施訪問(wèn)控制規(guī)則并且執(zhí)行審計(jì)的系統(tǒng)還是執(zhí)行這些功能的外部安全系統(tǒng)無(wú)關(guān)。由于用于安全功能的用戶名稱由數(shù)據(jù)庫(kù)安全級(jí)管理,因此這對(duì)于定義特權(quán)或者瀏覽審計(jì)跟蹤的安全操作員是有意義的。然而,存在在某一級(jí)處提供安全功能而由另一級(jí)提供身份的情況。一個(gè)非常普遍的情況涉及使用數(shù)據(jù)庫(kù)作為其后端的應(yīng)用服務(wù)器。在這樣的情況下,應(yīng)用是負(fù)責(zé)管理身份的層。用戶登錄到應(yīng)用并且提供例如用戶名稱和密碼。該應(yīng)用將典型地利用后端上的數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)和管理經(jīng)由該應(yīng)用使用或者訪問(wèn)的數(shù)據(jù)。應(yīng)用服務(wù)器使用到數(shù)據(jù)庫(kù)的連接。在客戶端/服務(wù)器架構(gòu)中,通常存在針對(duì)每一個(gè)用戶的到數(shù)據(jù)庫(kù)的連接并且也經(jīng)常使用用于登錄到應(yīng)用的證書以生成到數(shù)據(jù)庫(kù)的連接,即,針對(duì)應(yīng)用的每一個(gè)用戶,也存在數(shù)據(jù)庫(kù)級(jí)別上的用戶。然而,在更為普遍的基于應(yīng)用-服務(wù)器的架構(gòu)中,不是這樣。取而代之的是,應(yīng)用服務(wù)器維持到數(shù)據(jù)庫(kù)的連接池。這些連接全部在應(yīng)用服務(wù)器首次啟動(dòng)時(shí)創(chuàng)建并且它們都使用單個(gè)功能賬戶,即,該連接全部與用于應(yīng)用前端的單個(gè)功能標(biāo)識(shí)符相關(guān)聯(lián),而不在應(yīng)用前端的用戶之間進(jìn)行區(qū)分。這些連接被所有用戶會(huì)話重新使用,即,使用復(fù)用技術(shù)。也即,在用戶登錄到應(yīng)用前端時(shí),利用應(yīng)用前端創(chuàng)建會(huì)話并且應(yīng)用前端從數(shù)據(jù)庫(kù)的連接池獲得連接并將其分配給會(huì)話。在會(huì)話結(jié)束時(shí),將連接釋放回到池中并且可以由應(yīng)用前端重新使用于另一會(huì)話。這樣做以增加性能并降低開(kāi)銷。
然而,從安全角度考慮,該連接池機(jī)制產(chǎn)生嚴(yán)重的問(wèn)題。從數(shù)據(jù)庫(kù)層的觀點(diǎn)看丟失了用戶身份,即,用戶身份沒(méi)有被傳遞到數(shù)據(jù)庫(kù)后端,而僅存在于應(yīng)用層處,即存在于應(yīng)用前端處。例如,如果某人要查看由在數(shù)據(jù)庫(kù)層處運(yùn)行的審計(jì)機(jī)制產(chǎn)生的審計(jì)跟蹤,該審計(jì)機(jī)制例如是數(shù)據(jù)庫(kù)本身的審計(jì)機(jī)制或者數(shù)據(jù)庫(kù)活動(dòng)監(jiān)控(DAM)系統(tǒng)的審計(jì)機(jī)制,則所有活動(dòng)被示出為已通過(guò)登錄到數(shù)據(jù)庫(kù)的實(shí)體執(zhí)行,即,通過(guò)功能標(biāo)識(shí)符標(biāo)識(shí)的應(yīng)用的功能賬戶。然而,人類審計(jì)師或者自動(dòng)安全機(jī)制希望能夠在審計(jì)跟蹤中看到的是應(yīng)用層的哪一個(gè)終端用戶使得發(fā)出特定的數(shù)據(jù)庫(kù)查詢并且因此哪一個(gè)用戶能夠訪問(wèn)某些敏感數(shù)據(jù)。從安全的角度考慮,審計(jì)跟蹤很少提供有用的信息,這是由于不通過(guò)應(yīng)用層傳播終端用戶的“真實(shí)身份”。盡管可以使用應(yīng)用層審計(jì)跟蹤,但是特定安全機(jī)制經(jīng)常要求數(shù)據(jù)級(jí)別的審計(jì)跟蹤并且這僅能夠在數(shù)據(jù)庫(kù)層處執(zhí)行。

發(fā)明內(nèi)容
在一個(gè)示意性實(shí)施例中,提供一種用于在數(shù)據(jù)處理系統(tǒng)中從應(yīng)用層中的應(yīng)用前端系統(tǒng)向與后端系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)層檢驗(yàn)系統(tǒng)傳播源標(biāo)識(shí)信息的方法。該方法包括在數(shù)據(jù)層檢驗(yàn)系統(tǒng)處從應(yīng)用層中的與應(yīng)用前端系統(tǒng)相關(guān)聯(lián)的網(wǎng)關(guān)系統(tǒng)接收傳入用戶請(qǐng)求。該方法進(jìn)一步包括在數(shù)據(jù)層檢驗(yàn)系統(tǒng)處接收目標(biāo)為后端系統(tǒng)并且由應(yīng)用前端系統(tǒng)基于所接收的傳入用戶請(qǐng)求生成的一個(gè)或者多個(gè)傳出語(yǔ)句。而且,該方法包括由數(shù)據(jù)層檢驗(yàn)系統(tǒng)基于該一個(gè)或者多個(gè)傳出語(yǔ)句來(lái)訪問(wèn)映射數(shù)據(jù)結(jié)構(gòu),從而將該一個(gè)或者多個(gè)傳出語(yǔ)句與傳入用戶請(qǐng)求關(guān)聯(lián)。此外,該方法包括由數(shù)據(jù)層檢驗(yàn)系統(tǒng)基于該一個(gè)或者多個(gè)傳出語(yǔ)句與傳入用戶請(qǐng)求的關(guān)聯(lián)來(lái)獲取與傳入用戶請(qǐng)求相關(guān)聯(lián)的源標(biāo)識(shí)信息。此外,該方法包括由數(shù)據(jù)層檢驗(yàn)系統(tǒng)基于源標(biāo)識(shí)信息來(lái)執(zhí)行數(shù)據(jù)層檢驗(yàn)操作。在其他說(shuō)明性實(shí)施例中,提供一種包括具有計(jì)算機(jī)可讀程序的計(jì)算機(jī)可用或可讀介質(zhì)的計(jì)算機(jī)程序產(chǎn)品。當(dāng)在計(jì)算設(shè)備上執(zhí)行該計(jì)算機(jī)可讀程序時(shí),計(jì)算機(jī)可讀程序使計(jì)算設(shè)備執(zhí)行上面關(guān)于方法示意性實(shí)施例概述的各種操作或者操作組合。在再一示意性實(shí)施例中,提供一種系統(tǒng)/裝置。該系統(tǒng)/裝置可以包括一個(gè)或者多個(gè)處理器以及耦合到該一個(gè)或者多個(gè)處理器的存儲(chǔ)器。存儲(chǔ)器可以包括在通過(guò)該一個(gè)或者多個(gè)處理器執(zhí)行時(shí)使該一個(gè)或者多個(gè)處理器執(zhí)行上面關(guān)于方法示意性實(shí)施例概述的各種操作或者操作組合的指令。本發(fā)明的這些和其他特征以及優(yōu)點(diǎn)將在本發(fā)明示例實(shí)施例的下面詳細(xì)描述中進(jìn)行描述,或者鑒于下面的詳細(xì)描述,本發(fā)明的這些和其他特征和優(yōu)點(diǎn)對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)將變得明顯。


通過(guò)參照結(jié)合附圖對(duì)示意性實(shí)施例的下面詳細(xì)描述,將最好地理解本發(fā)明、優(yōu)選使用模式及其進(jìn)一步的目的和優(yōu)點(diǎn),在附圖中:圖1描繪了其中可以實(shí)現(xiàn)示意性實(shí)施例的諸方面的示例分布式數(shù)據(jù)處理系統(tǒng)的圖形表示;圖2是其中可以實(shí)現(xiàn)示意性實(shí)施例的諸方面的示例數(shù)據(jù)處理系統(tǒng)的示例方框圖;圖3是根據(jù)一個(gè)示意性實(shí)施例用于生成用于將前端傳入用戶請(qǐng)求映射到傳出后端請(qǐng)求的映射規(guī)范的系統(tǒng)的示例方框圖;圖4是根據(jù)一個(gè)示意性實(shí)施例用于使用在學(xué)習(xí)操作模式期間生成的映射信息對(duì)到后端系統(tǒng)的訪問(wèn)進(jìn)行審計(jì)的系統(tǒng)的示例方框圖;圖5是概述根據(jù)一個(gè)示意性實(shí)施例的網(wǎng)關(guān)系統(tǒng)在學(xué)習(xí)操作模式期間的示例操作的流程圖;圖6是概述根據(jù)一個(gè)示意性實(shí)施例的檢驗(yàn)系統(tǒng)在學(xué)習(xí)操作模式期間的示例操作的流程圖;圖7是概述根據(jù)一個(gè)示意性實(shí)施例的網(wǎng)關(guān)系統(tǒng)在運(yùn)行時(shí)操作模式期間的示例操作的流程圖;以及圖8是概述根據(jù)一個(gè)示意性實(shí)施例的檢驗(yàn)系統(tǒng)在運(yùn)行時(shí)操作模式期間的示例操作的流程圖。
具體實(shí)施例方式示意性實(shí)施例提供了用于使用情景映射和植入值通過(guò)應(yīng)用層的身份傳播的機(jī)制。示意性實(shí)施例的機(jī)制通過(guò)提供用于身份傳播的非入侵匹配機(jī)制解決了上述問(wèn)題,即,不要求對(duì)應(yīng)用前端代碼做出改變的匹配機(jī)制。而且,由于示意性實(shí)施例的匹配機(jī)制使用可容易識(shí)別的插入或者植入唯一值而不是會(huì)從多個(gè)數(shù)據(jù)庫(kù)查詢中出現(xiàn)的值,因此這種匹配機(jī)制是精確的。示意性實(shí)施例在如下基本假設(shè)上工作,即其有可能操控到應(yīng)用層的傳入的基于用戶的請(qǐng)求、向這些請(qǐng)求中植入可唯一識(shí)別的值以及監(jiān)控對(duì)傳出的數(shù)據(jù)庫(kù)請(qǐng)求的影響,傳出的數(shù)據(jù)庫(kù)請(qǐng)求例如是由應(yīng)用層生成并且發(fā)送到數(shù)據(jù)庫(kù)層的SQL語(yǔ)句。在學(xué)習(xí)操作模式中,示意性實(shí)施例的機(jī)制利用到應(yīng)用級(jí)/層的傳入的用戶請(qǐng)求中的唯一值與傳出的數(shù)據(jù)庫(kù)請(qǐng)求中的相同唯一值的匹配,作為學(xué)習(xí)傳入的用戶請(qǐng)求和所產(chǎn)生的傳出的數(shù)據(jù)庫(kù)請(qǐng)求的某些類型或者模式之間關(guān)系的一種方式。一旦完成了該學(xué)習(xí),學(xué)習(xí)的結(jié)果被用于在運(yùn)行時(shí)期間執(zhí)行映射以生成數(shù)據(jù)庫(kù)層審計(jì)跟蹤,即,由在數(shù)據(jù)庫(kù)層而非應(yīng)用層處操作的審計(jì)機(jī)制生成的審計(jì)跟蹤,其具有用戶身份信息。即,在運(yùn)行時(shí)操作期間,不使用唯一值植入機(jī)制而是使用傳入的用戶請(qǐng)求到一個(gè)或者多個(gè)傳出的數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句的學(xué)習(xí)的映射以將傳入的用戶請(qǐng)求與隨后的一個(gè)或者多個(gè)傳出的數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句關(guān)聯(lián),并且生成具有針對(duì)發(fā)出原始傳入用戶請(qǐng)求的用戶的用戶標(biāo)識(shí)符的相對(duì)應(yīng)的審計(jì)跟蹤。該審計(jì)跟蹤繼而可以由審計(jì)員使用以識(shí)別哪一個(gè)用戶能夠訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)上的敏感數(shù)據(jù)。所屬技術(shù)領(lǐng)域的技術(shù)人員知道,本發(fā)明可以實(shí)現(xiàn)為系統(tǒng)、方法或計(jì)算機(jī)程序產(chǎn)品。因此,本發(fā)明的各個(gè)方面可以具體實(shí)現(xiàn)為以下形式,即:完全的硬件實(shí)施方式、完全的軟件實(shí)施方式(包括固件、駐留軟件、微代碼等等)或硬件和軟件方面結(jié)合的實(shí)施方式,這里可以統(tǒng)稱為“電路”、“模塊”或“系統(tǒng)”。此外,本發(fā)明的各個(gè)方面還可以實(shí)現(xiàn)為在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品的形式,該計(jì)算機(jī)可讀介質(zhì)中包含計(jì)算機(jī)可用的程序代碼??梢圆捎靡粋€(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的任意組合。計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算機(jī)可讀信號(hào)介質(zhì)或者計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)例如可以是一但不限于——電、磁、光、電磁、紅外線、或半導(dǎo)體的系統(tǒng)、裝置或器件,或者任意以上的組合。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的更具體的例子(非窮舉的列表)包括:具有一個(gè)或多個(gè)導(dǎo)線的電連接、便攜式計(jì)算機(jī)盤、硬盤、隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、可擦式可編程只讀存儲(chǔ)器(EPR0M或閃存)、光纖、便攜式緊湊盤只讀存儲(chǔ)器(CD-ROM)、光存儲(chǔ)器件、磁存儲(chǔ)器件、或者上述的任意合適的組合。在本文件中,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是任何包含或存儲(chǔ)程序的有形介質(zhì),該程序可以被指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結(jié)合使用。計(jì)算機(jī)可讀的信號(hào)介質(zhì)可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號(hào),其中承載了計(jì)算機(jī)可讀的程序代碼。這種傳播的數(shù)據(jù)信號(hào)可以采用多種形式,包括——但不限于——電磁信號(hào)、光信號(hào)或上述的任意合適的組合。計(jì)算機(jī)可讀的信號(hào)介質(zhì)還可以是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)以外的任何計(jì)算機(jī)可讀介質(zhì),該計(jì)算機(jī)可讀介質(zhì)可以發(fā)送、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結(jié)合使用的程序。計(jì)算機(jī)可讀介質(zhì)上包含的程序代碼可以用任何適當(dāng)?shù)慕橘|(zhì)傳輸,包括一但不限于一無(wú)線、有線、光纜、RF等等,或者上述的任意合適的組合。可以以一種或多種程序設(shè)計(jì)語(yǔ)言的任意組合來(lái)編寫用于執(zhí)行本發(fā)明操作的計(jì)算機(jī)程序代碼,所述程序設(shè)計(jì)語(yǔ)言包括面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言-諸如Java 、Smalltalk 、C++等,還包括常規(guī)的過(guò)程式程序設(shè)計(jì)語(yǔ)言-諸如“C”語(yǔ)言或類似的程序設(shè)計(jì)語(yǔ)言。程序代碼可以完全地在用戶計(jì)算機(jī)上執(zhí)行、部分地在用戶計(jì)算機(jī)上執(zhí)行、作為一個(gè)獨(dú)立的軟件包執(zhí)行、部分在用戶計(jì)算機(jī)上部分在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行、或者完全在遠(yuǎn)程計(jì)算機(jī)或服務(wù)器上執(zhí)行。在涉及遠(yuǎn)程計(jì)算機(jī)的情形中,遠(yuǎn)程計(jì)算機(jī)可以通過(guò)任意種類的網(wǎng)絡(luò)一包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)-連接到用戶計(jì)算機(jī),或者,可以連接到外部計(jì)算機(jī)(例如利用因特網(wǎng)服務(wù)提供商來(lái)通過(guò)因特網(wǎng)連接)。下面將參照根據(jù)本發(fā)明實(shí)施例的方法、裝置(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或框圖描述本發(fā)明。應(yīng)當(dāng)理解,流程圖和/或框圖的每個(gè)方框以及流程圖和/或框圖中各方框的組合,都可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)。這些計(jì)算機(jī)程序指令可以提供給通用計(jì)算機(jī)、專用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器,從而生產(chǎn)出一種機(jī)器,使得這些計(jì)算機(jī)程序指令在通過(guò)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時(shí),產(chǎn)生了實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的裝置。也可以把這些計(jì)算機(jī)程序指令存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中,這些指令使得計(jì)算機(jī)、其它可編程數(shù)據(jù)處理裝置、或其他設(shè)備以特定方式工作,從而,存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中的指令就產(chǎn)生出包括實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的指令的制造品(article of manufacture)。也可以把計(jì)算機(jī)程序指令加載到計(jì)算機(jī)、其它可編程數(shù)據(jù)處理裝置、或其它設(shè)備上,使得在計(jì)算機(jī)、其它可編程數(shù)據(jù)處理裝置或其它設(shè)備上執(zhí)行一系列操作步驟,以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的過(guò)程,從而使得在計(jì)算機(jī)或其它可編程裝置上執(zhí)行的指令提供實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或 多個(gè)方框中規(guī)定的功能/動(dòng)作的過(guò)程。
附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個(gè)實(shí)施例的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的體系架構(gòu)、功能和操作。在這點(diǎn)上,流程圖或框圖中的每個(gè)方框可以代表一個(gè)模塊、程序段或代碼的一部分,所述模塊、程序段或代碼的一部分包含一個(gè)或多個(gè)用于實(shí)現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應(yīng)當(dāng)注意,在有些作為替換的實(shí)現(xiàn)中,方框中所標(biāo)注的功能也可以以不同于附圖中所標(biāo)注的順序發(fā)生。例如,兩個(gè)連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行,它們有時(shí)也可以按相反的順序執(zhí)行,這依所涉及的功能而定。也要注意的是,框圖和/或流程圖中的每個(gè)方框、以及框圖和/或流程圖中的方框的組合,可以用執(zhí)行規(guī)定的功能或動(dòng)作的專用的基于硬件的系統(tǒng)來(lái)實(shí)現(xiàn),或者可以用專用硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)。將意識(shí)到的是,可以在包括分布式數(shù)據(jù)處理環(huán)境、單數(shù)據(jù)處理設(shè)備等等的許多不同類型的數(shù)據(jù)處理環(huán)境中利用示意性實(shí)施例。為了提供用于描述示意性實(shí)施例的特定元件和功能性的上下文,以下提供圖1和圖2作為其中可以實(shí)現(xiàn)示意性實(shí)施例的各個(gè)方面的示例環(huán)境。應(yīng)該意識(shí)到,圖1-2僅是示例并且并不意在斷言或者暗含關(guān)于其中可以實(shí)現(xiàn)本發(fā)明各個(gè)方面或者實(shí)施例的環(huán)境的任何限制??梢栽诓黄x本發(fā)明的精神和范圍的情況下對(duì)所描繪的環(huán)境做出許多修改。現(xiàn)在參照附圖,圖1描繪了其中可以實(shí)現(xiàn)示意性實(shí)施例的各個(gè)方面的示例分布式數(shù)據(jù)處理系統(tǒng)的圖形表示。分布式數(shù)據(jù)處理系統(tǒng)100可以包括其中可以實(shí)現(xiàn)示意性實(shí)施例的各個(gè)方面的計(jì)算機(jī)網(wǎng)絡(luò)。分布式數(shù)據(jù)處理系統(tǒng)100包含至少一個(gè)網(wǎng)絡(luò)102,其是用于在分布式數(shù)據(jù)處理系統(tǒng)100內(nèi)連接到一起的各種設(shè)備和計(jì)算機(jī)之間提供通信鏈路的介質(zhì)。網(wǎng)絡(luò)102可以包括諸如有線、無(wú)線通信鏈路或者光纜的連接。在所描繪的示例中,服務(wù)器104和服務(wù)器106連同存儲(chǔ)單元108連接到網(wǎng)絡(luò)102。此外,客戶端110、112和114也連接到網(wǎng)絡(luò)102。這些客戶端110、112和114可以例如是個(gè)人計(jì)算機(jī)、網(wǎng)絡(luò)計(jì)算機(jī)等等。在所描繪的示例中,服務(wù)器104向客戶端110、112和114提供諸如引導(dǎo)文件、操作系統(tǒng)鏡像和應(yīng)用之類的數(shù)據(jù)。在所描繪的示例中,客戶端110、112和114是到服務(wù)器104的客戶端。 分布式數(shù)據(jù)處理系統(tǒng)100可以包括未示出的附加服務(wù)器、客戶端和其他設(shè)備。在所描繪的示例中,分布式數(shù)據(jù)處理系統(tǒng)100是具有網(wǎng)絡(luò)102的互聯(lián)網(wǎng),其中網(wǎng)絡(luò)102具有代表使用傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)協(xié)議族以相互通信的網(wǎng)絡(luò)和網(wǎng)關(guān)的萬(wàn)維集合?;ヂ?lián)網(wǎng)的核心是位于由路由數(shù)據(jù)和消息的成千上萬(wàn)個(gè)商業(yè)、政府、教育和其他計(jì)算機(jī)系統(tǒng)構(gòu)成的主要節(jié)點(diǎn)或主機(jī)之間的高速數(shù)據(jù)通信鏈路的骨干。當(dāng)然,分布式數(shù)據(jù)處理系統(tǒng)100也可以實(shí)現(xiàn)為包括多個(gè)不同類型的網(wǎng)絡(luò),例如內(nèi)聯(lián)網(wǎng)、局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)等等。如上面闡述的,圖1意在作為示例,而不是作為本發(fā)明不同實(shí)施例的架構(gòu)限制,并且因此,圖1所示的特定元件不應(yīng)該被認(rèn)為是關(guān)于其中可以實(shí)現(xiàn)本發(fā)明示意性實(shí)施例的環(huán)境的限制。現(xiàn)在參照?qǐng)D2,示出了其中可以實(shí)現(xiàn)示意性實(shí)施例的各個(gè)方面的示例數(shù)據(jù)處理系統(tǒng)的方框圖。數(shù)據(jù)處理系統(tǒng)200是諸如圖1中的客戶端110的計(jì)算機(jī)的示例,其中可以放置實(shí)現(xiàn)用于本發(fā)明示意性實(shí)施例的處理的計(jì)算機(jī)可用代碼或者指令。在所描繪的示例中,數(shù)據(jù)處理系統(tǒng)200采用包括北橋和存儲(chǔ)控制中心(NB/MCH) 202以及南橋和輸入/輸出(I/O)控制中心(SB/ICH)204的中心架構(gòu)。處理單元206、主存儲(chǔ)器208以及圖形處理器210連接到NB/MCH 202。圖形處理器210可以通過(guò)加速圖形端口(AGP)連接到 NB/MCH 202。在所描繪的示例中,局域網(wǎng)(LAN)適配器212連接到SB/ICH 204。音頻適配器、鍵盤和鼠標(biāo)適配器220、調(diào)制解調(diào)器222、只讀存儲(chǔ)器(ROM) 224、硬驅(qū)(HDD) 226、⑶-ROM驅(qū)動(dòng)230、通用串行總線(USB)端口和其他通信端口 232、以及PCI/PCIe設(shè)備234通過(guò)總線238和總線240連接到SB/ICH 204。PCI/PCIe設(shè)備可以例如包括以太網(wǎng)適配器、插入卡、以及用于筆記本計(jì)算機(jī)的PC卡。PCI使用卡總線控制器,而PCIe不使用。ROM 224可以例如是閃速基本輸入/輸出系統(tǒng)(BIOS)。HDD 226 和 CD-ROM 驅(qū)動(dòng) 230 通過(guò)總線 240 連接到 SB/ICH 204。HDD 226 和 CD-ROM驅(qū)動(dòng)230可以使用例如集成驅(qū)動(dòng)電子設(shè)備(IDE)或者串行先進(jìn)技術(shù)附接(SATA)接口。超級(jí)1/0 (SIO)設(shè)備236可以連接到SB/1CH 204。操作系統(tǒng)在處理單元206上運(yùn)行。操作系統(tǒng)協(xié)調(diào)圖2中的數(shù)據(jù)處理系統(tǒng)200內(nèi)的各種部件并且對(duì)各種部件提供控制。作為客戶端,操作系統(tǒng)可以是諸如Microsft Windows 7 (Microsoft 和 Windows 是 Microsoft 公司在美國(guó)、其他國(guó)家或者二者中的注冊(cè)商標(biāo))。諸如Java 編程系統(tǒng)的面向?qū)ο蟮木幊滔到y(tǒng)可以結(jié)合操作系統(tǒng)運(yùn)行并且從Java 程序或者在數(shù)據(jù)處理系統(tǒng)200上執(zhí)行的應(yīng)用提供到操作系統(tǒng)的調(diào)用(Java是Sun Microsystems公司在美國(guó)、其他國(guó)家或者二者中的注冊(cè)商標(biāo))。作為服務(wù)器,數(shù)據(jù)處理系統(tǒng)200可以例如是eServer System p ’計(jì)算機(jī)
系統(tǒng),運(yùn)行先進(jìn)的交互執(zhí)行(AIX )操作系統(tǒng)或者UMIIX 操作系統(tǒng)(eServer、SystemP和AIX是國(guó)際商業(yè)機(jī)器公司在美國(guó)、其他國(guó)家或者二者中的注冊(cè)商標(biāo),而LINUX是LinusTorvalds在美國(guó)、其他國(guó)家或者二者中的注冊(cè)商標(biāo))。數(shù)據(jù)處理系統(tǒng)200可以是在處理單元206中包括多個(gè)處理器的對(duì)稱多處理器(SMP)系統(tǒng)??蛇x地,可以采用單處理器系統(tǒng)。用于操作系統(tǒng)、面向?qū)ο蟮木巂程系統(tǒng)、以及應(yīng)用或者程序的指令位于存儲(chǔ)設(shè)備上,諸如HDD 226,并且可以被加載到主存儲(chǔ)器208中以供處理單元206執(zhí)行。用于本發(fā)明示意性實(shí)施例的處理可以通過(guò)處理206使用計(jì)算機(jī)可用程序代碼來(lái)執(zhí)行,該計(jì)算機(jī)可用程序代碼可以位于例如主存儲(chǔ)器208、ROM 224之類的存儲(chǔ)器中,或者位于例如一個(gè)或者多個(gè)外圍設(shè)備226和230中。諸如如圖2中示出的總線238或者總線240的總線系統(tǒng)可以由一條或者多條總線構(gòu)成。當(dāng)然,可以使用提供在附接到通信結(jié)構(gòu)或者架構(gòu)的不同部件或者設(shè)備之間的數(shù)據(jù)傳輸?shù)娜魏晤愋偷耐ㄐ沤Y(jié)構(gòu)或者架構(gòu)來(lái)實(shí)現(xiàn)總線系統(tǒng)。諸如圖2的調(diào)制解調(diào)器222或者網(wǎng)絡(luò)適配器212的通信單元可以包括用于發(fā)射和接收數(shù)據(jù)的一個(gè)或者多個(gè)設(shè)備。存儲(chǔ)器可以例如是主存儲(chǔ)器208、ROM 224或者諸如在圖2中的NB/MCH 202中出現(xiàn)的高速緩存。本領(lǐng)域的普通技術(shù)人員將意識(shí)到,圖1-2中的硬件可以取決于實(shí)現(xiàn)而變化。除了在圖1-2中描繪的硬件或者代替該硬件,可以使用諸如閃存、等效的非易失性存儲(chǔ)器或者光驅(qū)等等的其他內(nèi)部硬件或者外圍設(shè)備。而且,在不偏離本發(fā)明精神和范圍的情況下,除了先前提及的SMP系統(tǒng),示意性實(shí)施例的處理可以應(yīng)用于多處理器數(shù)據(jù)處理系統(tǒng)。而且,數(shù)據(jù)處理系統(tǒng)200可以采取包括客戶端計(jì)算設(shè)備、服務(wù)器計(jì)算設(shè)備、平板電腦、膝上型計(jì)算機(jī)、電話或者其他通信設(shè)備、個(gè)人數(shù)字助理(PDA)等等的多個(gè)不同數(shù)據(jù)處理系統(tǒng)中的任意一種的形式。在一些示意性示例中,數(shù)據(jù)處理系統(tǒng)200可以是配置有閃存以提供非易失性存儲(chǔ)器以用于存儲(chǔ)例如操作系統(tǒng)文件和/或用戶生成的數(shù)據(jù)的便攜式計(jì)算設(shè)備?;旧希瑪?shù)據(jù)處理系統(tǒng)200可以是任何已知或者隨后開(kāi)發(fā)的數(shù)據(jù)處理系統(tǒng)而沒(méi)有架構(gòu)限制。再次參照?qǐng)D1,諸如客戶端110的客戶端機(jī)器的用戶可以通過(guò)訪問(wèn)應(yīng)用-服務(wù)器系統(tǒng)的應(yīng)用前端而登錄到該應(yīng)用前端,該應(yīng)用前端可以寄宿在例如服務(wù)器104或者106的服務(wù)器上。用戶可以使用在客戶端機(jī)器110上提供的網(wǎng)絡(luò)瀏覽器、小程序等等訪問(wèn)該應(yīng)用前端并且通過(guò)提供例如用戶名稱和密碼之類的用戶標(biāo)識(shí)符和相對(duì)應(yīng)的安全信息而登陸到應(yīng)用前端。應(yīng)用前端然后可以執(zhí)行操作以生成要與用戶與應(yīng)用前端的交互相關(guān)聯(lián)的會(huì)話,例如生成要與用戶的客戶端機(jī)器110和服務(wù)器104上的應(yīng)用前端之間的連接相關(guān)聯(lián)的會(huì)話令牌。響應(yīng)于用戶請(qǐng)求,例如針對(duì)存儲(chǔ)在與應(yīng)用前端相關(guān)聯(lián)的后端數(shù)據(jù)庫(kù)上的數(shù)據(jù)的訪問(wèn)的超文本傳輸協(xié)議(HTTP)請(qǐng)求,其中后端數(shù)據(jù)庫(kù)例如網(wǎng)絡(luò)附接的存儲(chǔ)器108或者與應(yīng)用前端服務(wù)器104相關(guān)聯(lián)的其他數(shù)據(jù)庫(kù),應(yīng)用前端從數(shù)據(jù)庫(kù)的連接池,例如出于該示例目的的圖1中的數(shù)據(jù)庫(kù)108,獲得連接并且使用所獲得的連接向數(shù)據(jù)庫(kù)108發(fā)送所產(chǎn)生的數(shù)據(jù)庫(kù)查詢請(qǐng)求/語(yǔ)句并且從數(shù)據(jù)庫(kù)108接收回響應(yīng)。如上面討論的,這些連接僅與應(yīng)用前端的功能標(biāo)識(shí)符相關(guān)聯(lián)并且由應(yīng)用前端使用的例如用戶名稱之類的用戶身份信息不被一起傳遞到數(shù)據(jù)庫(kù)108。示意性實(shí)施例提供一種關(guān)聯(lián)機(jī)制,其允許在數(shù)據(jù)層處,例如在數(shù)據(jù)庫(kù)后端處,執(zhí)行審計(jì),同時(shí)仍然能夠使·通過(guò)審計(jì)機(jī)制獲得的審計(jì)信息與在應(yīng)用層處維持并且通常在訪問(wèn)數(shù)據(jù)層時(shí)丟失的用戶身份信息進(jìn)行關(guān)聯(lián)。示意性實(shí)施例的機(jī)制包括用于攔截傳入用戶請(qǐng)求、向攔截的傳入用戶請(qǐng)求中插入唯一值、以及在發(fā)送到數(shù)據(jù)層——例如數(shù)據(jù)庫(kù)后端系統(tǒng)——的傳出請(qǐng)求/語(yǔ)句中跟蹤這些唯一值的機(jī)制。對(duì)傳入請(qǐng)求到傳出請(qǐng)求/語(yǔ)句的跟蹤和關(guān)聯(lián)允許生成映射,該映射繼而能夠由在運(yùn)行時(shí)用于在數(shù)據(jù)層處收集審計(jì)信息的附加機(jī)制所使用。即,該映射可以用于將發(fā)送到數(shù)據(jù)庫(kù)后端系統(tǒng)的請(qǐng)求與由應(yīng)用層接收的請(qǐng)求關(guān)聯(lián),繼而與用戶證書關(guān)聯(lián)。按照這種方式,可以將與存儲(chǔ)在數(shù)據(jù)庫(kù)后端系統(tǒng)中的信息的訪問(wèn)相對(duì)應(yīng)的應(yīng)用層用戶證書信息通知給在數(shù)據(jù)層處運(yùn)行的審計(jì)機(jī)制。示意性實(shí)施例的機(jī)制具有兩種操作模式(或者階段)。在第一操作模式(或者階段)中,即學(xué)習(xí)操作模式中,示意性實(shí)施例的機(jī)制運(yùn)行以學(xué)習(xí)傳入用戶請(qǐng)求以及發(fā)送到數(shù)據(jù)庫(kù)后端系統(tǒng)的相對(duì)應(yīng)的傳出請(qǐng)求/語(yǔ)句的模式。這些模式的映射用于生成可以在第二操作模式中,即運(yùn)行時(shí)操作模式中,使用的規(guī)范或者規(guī)范集。在運(yùn)行時(shí)操作模式期間,一個(gè)或者多個(gè)規(guī)范用于識(shí)別發(fā)送到數(shù)據(jù)庫(kù)后端系統(tǒng)的傳出請(qǐng)求并且將這些傳出請(qǐng)求與通過(guò)應(yīng)用層前端系統(tǒng)接收的傳入用戶請(qǐng)求關(guān)聯(lián)。傳入用戶請(qǐng)求包括繼而可以用于將傳入用戶請(qǐng)求與特定的用戶標(biāo)識(shí)符關(guān)聯(lián)的會(huì)話標(biāo)識(shí)符。用戶標(biāo)識(shí)符因而可以與發(fā)送到數(shù)據(jù)庫(kù)后端系統(tǒng)的傳出請(qǐng)求關(guān)聯(lián)以用于審計(jì)或者其他跟蹤目的。圖3是根據(jù)一個(gè)示意性實(shí)施例用于生成將前端傳入用戶請(qǐng)求映射到傳出后端請(qǐng)求的映射規(guī)范的系統(tǒng)的示例方框圖??梢詫D3中示出的操作元件以及之后的其他方框圖實(shí)現(xiàn)為軟件、硬件、或者軟件和硬件的任意組合。在一個(gè)示意性實(shí)施例中,將圖3中的操作元件實(shí)現(xiàn)為在一個(gè)或者多個(gè)計(jì)算設(shè)備上執(zhí)行的軟件指令??梢詫D3中示出的數(shù)據(jù)結(jié)構(gòu)等等存儲(chǔ)在位于這些一個(gè)或者多個(gè)計(jì)算設(shè)備內(nèi)或者與這些一個(gè)或者多個(gè)計(jì)算設(shè)備相關(guān)聯(lián)的數(shù)據(jù)存儲(chǔ)設(shè)備中。網(wǎng)絡(luò)的描繪意在代表可以具有相同或者不同類型的數(shù)據(jù)通信網(wǎng)絡(luò)并且可以包括多于一個(gè)數(shù)據(jù)通信網(wǎng)絡(luò)。該數(shù)據(jù)通信網(wǎng)絡(luò)可以是局域網(wǎng)、廣域網(wǎng)、互聯(lián)網(wǎng)或者任何其他已知或者隨后開(kāi)發(fā)的數(shù)據(jù)通信網(wǎng)絡(luò)類型。下面的描述將假設(shè)示意性實(shí)施例的機(jī)制應(yīng)用于對(duì)后端數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn)。然而,應(yīng)該意識(shí)到的是,示意性實(shí)施例的機(jī)制并不局限于此。而是,示意性實(shí)施例可以與其中處理到前端應(yīng)用的請(qǐng)求以生成被發(fā)送到后端系統(tǒng)的請(qǐng)求/語(yǔ)句的任何系統(tǒng)一起使用,并且因而,傳入請(qǐng)求到傳出請(qǐng)求/語(yǔ)句的映射是期望的。此外,應(yīng)該意識(shí)到的是,盡管下面的描述將假設(shè)由前端應(yīng)用基于傳入用戶請(qǐng)求(可以是HTTP請(qǐng)求等等)生成結(jié)構(gòu)化查詢語(yǔ)言(SQL)語(yǔ)句,示意性實(shí)施例并不局限于此。相反,其中處理傳入請(qǐng)求以生成一組傳出請(qǐng)求的任何系統(tǒng)都可以實(shí)現(xiàn)示意性實(shí)施例的機(jī)制,而與所使用的語(yǔ)言或者協(xié)議無(wú)關(guān)。如圖3所示,示意性實(shí)施例的機(jī)制進(jìn)一步包括用于攔截從客戶端計(jì)算設(shè)備305到應(yīng)用前端320的傳入用戶請(qǐng)求315的網(wǎng)關(guān)系統(tǒng)310,以及用于檢驗(yàn)從應(yīng)用前端320向數(shù)據(jù)庫(kù)后端340發(fā)送的傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句325的檢驗(yàn)機(jī)制。網(wǎng)關(guān)系統(tǒng)310在學(xué)習(xí)操作模式期間攔截傳入用戶請(qǐng)求315并且使用解析器312來(lái)解析傳入用戶請(qǐng)求315的協(xié)議。然后處理該解析的傳入用戶請(qǐng)求315以識(shí)別應(yīng)用值存在于何處,例如賬戶號(hào)碼、名稱等等。例如,網(wǎng)關(guān)系統(tǒng)310可以具有標(biāo)識(shí)例如可變名稱、數(shù)據(jù)格式位置等等的感興趣的應(yīng)用值的應(yīng)用值規(guī)則數(shù)據(jù)結(jié)構(gòu)314等等,并且網(wǎng)關(guān)系統(tǒng)310可以向解析的傳入用戶請(qǐng)求315應(yīng)用這些規(guī)則314以識(shí)別來(lái)自客戶端計(jì)算設(shè)備305的傳入用戶請(qǐng)求中的應(yīng)用值。

網(wǎng)關(guān)機(jī)制310的唯一值插入邏輯316通過(guò)向傳入用戶請(qǐng)求插入或者“植入”唯一可識(shí)別的值(例如隨機(jī)生成的大字符串、SHA-1值等等)以更換賬戶號(hào)碼、名稱等等來(lái)修改這些值。在學(xué)習(xí)操作模式期間,請(qǐng)求的內(nèi)容并不重要,重要的只是將傳入用戶請(qǐng)求與由應(yīng)用前端320生成的傳出請(qǐng)求/語(yǔ)句匹配的能力。因而,可以使用解析器312和應(yīng)用值規(guī)則數(shù)據(jù)結(jié)構(gòu)314來(lái)識(shí)別通常將通過(guò)應(yīng)用前端320傳遞到數(shù)據(jù)庫(kù)后端系統(tǒng)340的值,并且這些值可以利用唯一可識(shí)別的值所替換。生成這些唯一可識(shí)別的值以使得在預(yù)定的時(shí)間段內(nèi)(可以選擇以使得該時(shí)間段相比于與應(yīng)用前端320建立的典型會(huì)話的時(shí)間量相對(duì)較大)將不重復(fù)該唯一可識(shí)別的值。每一個(gè)傳入用戶請(qǐng)求將具有其自己的一個(gè)或者多個(gè)唯一可識(shí)別的值以使得其能夠與由應(yīng)用前端320在該預(yù)定時(shí)間段內(nèi)處理的其他請(qǐng)求唯一地區(qū)分開(kāi)。將應(yīng)用值修改為唯一可識(shí)別的值是示意性實(shí)施例的機(jī)制的學(xué)習(xí)操作模式的關(guān)鍵方面。應(yīng)該意識(shí)到的是,存在執(zhí)行傳入用戶請(qǐng)求和傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句之間的匹配的多種系統(tǒng),例如可從Oracle公司獲得的Oracle Secerno或者可從Imperva獲得的SecureSphere。這些系統(tǒng)從傳入用戶請(qǐng)求中提取時(shí)間戳和值并且將它們與傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句中的類似值相匹配。如果在傳入用戶請(qǐng)求和傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句上都發(fā)現(xiàn)了值,則可以得到匹配并且系統(tǒng)能夠推斷該特定的傳入用戶請(qǐng)求導(dǎo)致生成一個(gè)或者多個(gè)數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句。Oracle Secerno和Imperva SecureSphere系統(tǒng)等等非常不精確,因?yàn)樵趥魅胗脩粽?qǐng)求中接收的值由于應(yīng)用層處理而經(jīng)常與傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句中的值不匹配。而且,由于這些值不是唯一的并且不止一個(gè)傳入用戶請(qǐng)求可能會(huì)具有可以被包括在傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句中的相同值,因此時(shí)序會(huì)是個(gè)問(wèn)題。即,傳入用戶請(qǐng)求中的值經(jīng)常不被包括在一個(gè)或者多個(gè)傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句中或者按照一些方式被改變以使得它們不能夠被正確地匹配。而且,關(guān)于時(shí)序存在假設(shè),例如,第一到達(dá)的傳入用戶請(qǐng)求將匹配到具有匹配值的第一傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句。然而,如果不止一個(gè)傳入用戶請(qǐng)求正在被應(yīng)用層處理,這是常見(jiàn)情況,則有可能傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句在時(shí)序方面會(huì)混合在一起并且可能會(huì)具有共同值,這導(dǎo)致實(shí)際與第一傳入用戶請(qǐng)求相關(guān)聯(lián)的傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句被錯(cuò)誤地匹配到第二傳入用戶請(qǐng)求的誤匹配。因而,利用示意性實(shí)施例的機(jī)制,生成唯一可識(shí)別的值并且在通過(guò)由應(yīng)用前端系統(tǒng)320執(zhí)行的應(yīng)用層處理傳遞之前將它們插入或者“植入”到傳入用戶請(qǐng)求315中。這些唯一可識(shí)別的值以及包括會(huì)話標(biāo)識(shí)符的相對(duì)應(yīng)的傳入用戶請(qǐng)求的記錄通過(guò)網(wǎng)關(guān)系統(tǒng)310向檢驗(yàn)系統(tǒng)330傳送 。按照這種方式,如果應(yīng)用層處理輸出相對(duì)應(yīng)的傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句325,則將在這些傳出數(shù)據(jù)庫(kù)請(qǐng)求/語(yǔ)句325中包括唯一可識(shí)別的值,以使得即使應(yīng)用層正在處理來(lái)自相同或者不同客戶端計(jì)算設(shè)備305的多個(gè)傳入用戶請(qǐng)求,這些唯一可識(shí)別的值也可被唯一地匹配。換句話說(shuō),通過(guò)示意性實(shí)施例的機(jī)制消除了與已知Oracle Secerno,Imperva SecureSphere和類似的已知匹配機(jī)制的假設(shè)相關(guān)聯(lián)的問(wèn)題。例如,如果存在都訪問(wèn)相同項(xiàng)目號(hào)碼的多個(gè)請(qǐng)求,則使用示意性實(shí)施例的機(jī)制,在每個(gè)請(qǐng)求中項(xiàng)目號(hào)碼被唯一可識(shí)別的值所替換,以使得每一個(gè)請(qǐng)求可單獨(dú)被識(shí)別并且能夠與其發(fā)送到數(shù)據(jù)庫(kù)后端系統(tǒng)340的特定的傳出請(qǐng)求/語(yǔ)句相關(guān)聯(lián)。網(wǎng)關(guān)系統(tǒng)310向檢驗(yàn)系統(tǒng)發(fā)送傳入用戶請(qǐng)求315連同與該傳入用戶請(qǐng)求315相對(duì)應(yīng)的唯一值。向檢驗(yàn)系統(tǒng)330提供傳入用戶請(qǐng)求315以在生成從該傳入用戶請(qǐng)求315到所產(chǎn)生的傳出請(qǐng)求/語(yǔ)句325的映射中使用。檢驗(yàn)系統(tǒng)330在映射規(guī)范數(shù)據(jù)結(jié)構(gòu)336中存儲(chǔ)傳入用戶請(qǐng)求,或者至少該用戶請(qǐng)求的標(biāo)識(shí)符,以及根據(jù)該用戶請(qǐng)求獲得的其相關(guān)聯(lián)的唯
一值等等。檢驗(yàn)系統(tǒng)330檢驗(yàn)由應(yīng)用前端320基于該應(yīng)用前端320接收的傳入用戶請(qǐng)求315生成的傳出請(qǐng)求/語(yǔ)句325,例如SQL語(yǔ)句。通過(guò)解析器332解析這些傳出請(qǐng)求/語(yǔ)句325,并且映射邏輯334分析已解析的傳出請(qǐng)求/語(yǔ)句325以專門查找被插入在傳入用戶請(qǐng)求315中的唯一值,這些傳入用戶請(qǐng)求315在通過(guò)應(yīng)用層應(yīng)用前端320處理請(qǐng)求之前被網(wǎng)關(guān)機(jī)制310所攔截。S卩,映射邏輯334從已解析的傳出請(qǐng)求/語(yǔ)句325中提取值并且將其與通過(guò)網(wǎng)關(guān)系統(tǒng)310傳送到檢驗(yàn)系統(tǒng)330并且被存儲(chǔ)在映射規(guī)范數(shù)據(jù)結(jié)構(gòu)336中的唯一值的列表進(jìn)行比較。如果在映射規(guī)范數(shù)據(jù)結(jié)構(gòu)336中存在匹配的唯一值,則映射邏輯334向用于特定的傳入用戶請(qǐng)求315的映射規(guī)范數(shù)據(jù)結(jié)構(gòu)336中的傳出請(qǐng)求/語(yǔ)句的列表添加該傳出請(qǐng)求/語(yǔ)句325,或者至少該傳出請(qǐng)求/語(yǔ)句325的標(biāo)識(shí)符。此列表可以利用具有通過(guò)檢驗(yàn)系統(tǒng)330檢測(cè)到的匹配的唯一值的每一個(gè)隨后的傳出請(qǐng)求/語(yǔ)句來(lái)構(gòu)建。結(jié)果是傳入用戶請(qǐng)求315到具有相同唯一值的一個(gè)或者多個(gè)傳出請(qǐng)求/語(yǔ)句325的映射。被發(fā)送到后端數(shù)據(jù)庫(kù)系統(tǒng)340的傳出請(qǐng)求/語(yǔ)句325中的這些唯一值的檢測(cè)與傳入用戶請(qǐng)求315中的唯一值關(guān)聯(lián)。該關(guān)聯(lián)導(dǎo)致生成傳入用戶請(qǐng)求315和所產(chǎn)生的傳出請(qǐng)求/語(yǔ)句325之間的映射。即,該映射基于所插入或者“植入”的唯一值來(lái)識(shí)別傳入用戶請(qǐng)求315的輸入模式以及輸出請(qǐng)求/語(yǔ)句325的相對(duì)應(yīng)模式。最終結(jié)果是關(guān)于傳入的用戶請(qǐng)求315的序列如何與傳出請(qǐng)求/語(yǔ)句325相關(guān)聯(lián)的規(guī)范或者規(guī)范集。例如,可以將傳入用戶請(qǐng)求序列A、B、C映射到或者引起生成傳出請(qǐng)求/語(yǔ)句的序列X1、X2、X3、X4、X5、X6和X7,并且因而,能夠建立并且存儲(chǔ)從A、B、C到X1、X2、X3、X4、X5、X6和X7的映射以供后續(xù)在分析到數(shù)據(jù)庫(kù)后端的訪問(wèn)中使用。使用分階段或者測(cè)試環(huán)境,可以針對(duì)應(yīng)用前端320的大多數(shù)或者甚至全部代碼路徑執(zhí)行網(wǎng)關(guān)310和檢驗(yàn)機(jī)制330的映射過(guò)程。例如,存在用于測(cè)試應(yīng)用代碼的各種代碼路徑以用于驗(yàn)證、跟蹤等等目的的已知機(jī)制。這些機(jī)制可以利用示意性實(shí)施例的機(jī)制來(lái)加強(qiáng)或者以其他方式加以利用以生成傳入用戶請(qǐng)求315到目標(biāo)為數(shù)據(jù)庫(kù)后端系統(tǒng)340的傳出請(qǐng)求/語(yǔ)句325的映射。應(yīng)該注意的是,可以在同一數(shù)據(jù)處理系統(tǒng)或者多個(gè)不同的數(shù)據(jù)處理系統(tǒng)上實(shí)現(xiàn)圖3以及之后的圖中示出的各種系統(tǒng)和設(shè)備。例如,客戶端計(jì)算設(shè)備305可以是與網(wǎng)關(guān)系統(tǒng)310分離的計(jì)算設(shè)備,網(wǎng)關(guān)系統(tǒng)310可以位于與應(yīng)用前端系統(tǒng)320、檢驗(yàn)系統(tǒng)330和數(shù)據(jù)庫(kù)后端系統(tǒng)340不同的系統(tǒng)上。可選地,可以在相同的數(shù)據(jù)處理系統(tǒng)上實(shí)現(xiàn)網(wǎng)關(guān)系統(tǒng)310和應(yīng)用前端系統(tǒng)320,可以將檢驗(yàn)系統(tǒng)330和數(shù)據(jù)庫(kù)后端系統(tǒng)340 —起提供在分離的數(shù)據(jù)處理系統(tǒng)上,并且客戶端計(jì)算設(shè)備305可以是另一數(shù)據(jù)處理系統(tǒng)。在不偏離示意性實(shí)施例的精神和范圍的情況下,可以在相同或者不同的數(shù)據(jù)處理系統(tǒng)上提供圖3中所示元件的任意組

口 ο上面映射處理的輸出是定義應(yīng)用前端如何作為一種“黑匣子”工作的規(guī)范或者規(guī)范集。即,該規(guī)范(集)指定,在給定的一組輸入下,“黑匣子”生成特定輸出集。繼而可以在運(yùn)行時(shí)使用該規(guī)范或者規(guī)范集以用于審計(jì)對(duì)后端數(shù)據(jù)庫(kù)系統(tǒng)340的訪問(wèn)。換句話說(shuō),可以將在學(xué)習(xí)操作模式期間生成的規(guī)范或者規(guī)范集輸入到審計(jì)機(jī)制以供在對(duì)到后端數(shù)據(jù)庫(kù)系統(tǒng)340的訪問(wèn)執(zhí)行審計(jì)操作時(shí) 使用。審計(jì)機(jī)制可以在數(shù)據(jù)庫(kù)層而非應(yīng)用層操作。審計(jì)機(jī)制可以使用規(guī)范(集)中的映射并且可以進(jìn)一步從前端應(yīng)用320獲得信息從而識(shí)別正在訪問(wèn)后端數(shù)據(jù)庫(kù)系統(tǒng)340中的敏感信息的特定用戶或者客戶端設(shè)備。圖4是根據(jù)一個(gè)示意性實(shí)施例用于使用在學(xué)習(xí)操作模式期間生成的映射信息來(lái)審計(jì)對(duì)后端系統(tǒng)的訪問(wèn)的系統(tǒng)的示例方框圖。可以配置網(wǎng)關(guān)系統(tǒng)310和檢驗(yàn)系統(tǒng)330以在運(yùn)行時(shí)操作模式中運(yùn)行,從而在圖4中示出了新配置的網(wǎng)關(guān)系統(tǒng)410和檢驗(yàn)系統(tǒng)430,其與圖3中的元件310和330相對(duì)應(yīng)但是被重新配置用于運(yùn)行時(shí)操作。如圖4所示,檢驗(yàn)系統(tǒng)430包括附加的運(yùn)行時(shí)部件,包括審計(jì)邏輯432和訪問(wèn)控制邏輯434。這些元件可以利用可以與圖3中的映射規(guī)范數(shù)據(jù)結(jié)構(gòu)336相對(duì)應(yīng)的映射規(guī)范數(shù)據(jù)結(jié)構(gòu)436。在運(yùn)行時(shí)期間,網(wǎng)關(guān)系統(tǒng)410按照在學(xué)習(xí)操作模式期間的類似方式向檢驗(yàn)系統(tǒng)430中繼傳入的用戶請(qǐng)求。此外,前端應(yīng)用420在用戶證書數(shù)據(jù)結(jié)構(gòu)422中存儲(chǔ)終端用戶證書以及相對(duì)應(yīng)的會(huì)話標(biāo)識(shí)符,并且因而知曉與傳入用戶請(qǐng)求415相關(guān)聯(lián)的用戶證書。SP,由于已經(jīng)按照已知方式建立了與應(yīng)用前端420的連接,因此會(huì)話標(biāo)識(shí)符被包括在傳入用戶請(qǐng)求415中,該會(huì)話標(biāo)識(shí)符可以被用作用于識(shí)別存儲(chǔ)在此用戶證書數(shù)據(jù)結(jié)構(gòu)422中的相對(duì)應(yīng)的用戶證書的基礎(chǔ)。應(yīng)該意識(shí)到的是,在學(xué)習(xí)操作模式和運(yùn)行時(shí)操作模式二者中,不改變應(yīng)用前端420的實(shí)際功能性并且不需要修改應(yīng)用前端420的代碼以實(shí)現(xiàn)本發(fā)明的功能性。因而,會(huì)話id/用戶id數(shù)據(jù)結(jié)構(gòu)422中的會(huì)話標(biāo)識(shí)符和用戶標(biāo)識(shí)符的維護(hù)不構(gòu)成應(yīng)用前端420的操作相比于已知的應(yīng)用前端系統(tǒng)的操作的變化。然而,示意性實(shí)施例在運(yùn)行時(shí)期間按照新的不同方式利用該信息。在運(yùn)行時(shí)操作模式期間通過(guò)網(wǎng)關(guān)系統(tǒng)410中繼到檢驗(yàn)系統(tǒng)430的傳入用戶請(qǐng)求415在結(jié)構(gòu)上與在學(xué)習(xí)操作模式期間中繼的傳入用戶請(qǐng)求315相同。這些請(qǐng)求315和415之間的區(qū)別在于請(qǐng)求315和415內(nèi)的值。在學(xué)習(xí)操作模式期間中繼的請(qǐng)求315出于映射目的將其應(yīng)用值替換為唯一值。在運(yùn)行時(shí)操作模式期間中繼的請(qǐng)求415不被修改,并且因而具有原始應(yīng)用值。檢驗(yàn)系統(tǒng)430不僅接收由網(wǎng)關(guān)系統(tǒng)410中繼的原始傳入用戶請(qǐng)求415,而且還接收由應(yīng)用前端420對(duì)傳入用戶請(qǐng)求415的處理而生成的所產(chǎn)生的傳出請(qǐng)求/語(yǔ)句425。通過(guò)審計(jì)邏輯432或者訪問(wèn)控制邏輯434,可以將在檢驗(yàn)系統(tǒng)430中接收的傳出請(qǐng)求/語(yǔ)句425的模式匹配到映射規(guī)范數(shù)據(jù)結(jié)構(gòu)436中的條目以識(shí)別傳入用戶請(qǐng)求415的類型,或者在一些示意性實(shí)施例中,識(shí)別一個(gè)或者多個(gè)傳入用戶請(qǐng)求415的模式,匹配傳出請(qǐng)求/語(yǔ)句425的模式。繼而可以將這種類型的傳入用戶請(qǐng)求或者一個(gè)或者多個(gè)傳入用戶請(qǐng)求的模式匹配到被中繼到檢驗(yàn)系統(tǒng)430的實(shí)際傳入用戶請(qǐng)求415??梢允褂脮?huì)話標(biāo)識(shí)符/用戶標(biāo)識(shí)符數(shù)據(jù)結(jié)構(gòu)422將所識(shí)別的實(shí)際傳入用戶請(qǐng)求415中的會(huì)話標(biāo)識(shí)符與用戶標(biāo)識(shí)符進(jìn)行關(guān)聯(lián),其中該會(huì)話標(biāo)識(shí)符/用戶標(biāo)識(shí)符數(shù)據(jù)結(jié)構(gòu)422可以由檢驗(yàn)系統(tǒng)430訪問(wèn)或者通過(guò)應(yīng)用前端420被提供給檢驗(yàn)系統(tǒng)430。然后可以由審計(jì)邏輯432或者訪問(wèn)控制邏輯434使用用戶標(biāo)識(shí)符以在數(shù)據(jù)層中執(zhí)行合適的操作。例如,審計(jì)邏輯432可以在審計(jì)記錄數(shù)據(jù)結(jié)構(gòu)(未示出)中生成審計(jì)記錄,這些審計(jì)記錄識(shí)別哪些用戶訪問(wèn)了數(shù)據(jù)庫(kù)后端系統(tǒng)440的哪些部分以及從數(shù)據(jù)層角度考慮與這些訪問(wèn)相對(duì)應(yīng)的請(qǐng)求/語(yǔ)句。訪問(wèn)控制邏輯434可以基于所識(shí)別的用戶來(lái)控制對(duì)數(shù)據(jù)庫(kù)后端系統(tǒng)440的訪問(wèn)。在一個(gè)示例中,如果數(shù)據(jù)庫(kù)后端系統(tǒng)440檢測(cè)到數(shù)據(jù)泄露情況,則訪問(wèn)控制邏輯434可以使用映射規(guī)范數(shù)據(jù)結(jié)構(gòu)436信息和上面描述的關(guān)聯(lián)機(jī)制以指示應(yīng)用前端420基于會(huì)話標(biāo)識(shí)符來(lái)終止用戶會(huì)話。例如,假設(shè)在檢驗(yàn)數(shù)據(jù)庫(kù)訪問(wèn)層的同時(shí),檢驗(yàn)系統(tǒng)430的機(jī)制注意到SQL注入攻擊,該SQL注入攻擊引起從數(shù)據(jù)庫(kù)后端系統(tǒng)440提取大量記錄集以作為該SQL注入攻擊創(chuàng)建的查詢的結(jié)果集。在這種情況下,數(shù)據(jù)庫(kù)后端系統(tǒng)440可能不想終止與應(yīng)用前端系統(tǒng)420的數(shù)據(jù)庫(kù)連接,由于其由應(yīng)用前端服務(wù)器使用。然而,利用示意性實(shí)施例的機(jī)制,檢驗(yàn)系統(tǒng)430使用上述機(jī)制知曉哪一個(gè)用戶請(qǐng)求生成了導(dǎo)致SQL注入攻擊的查詢。因而,檢驗(yàn)系統(tǒng)430的訪問(wèn)控制邏輯434可以操作以通過(guò)指示網(wǎng)關(guān)系統(tǒng)410拆毀客戶端計(jì)算設(shè)備405與應(yīng)用前端系統(tǒng)420之間的連接而防止向攻擊者返回大量記錄作為該SQL注入攻擊襲擊的一部分。重要的是要注意到,在這種情況下,攻擊發(fā)生的識(shí)別位于一個(gè)層上(在SQL注入攻擊中或者大數(shù)據(jù)提取中,該層將被視為數(shù)據(jù)層),但是需要發(fā)生終止的層位于不同的層(在這種情況下為應(yīng)用層)。已知機(jī)制試圖在相同的層中識(shí)別攻擊并且終止這些攻擊,這導(dǎo)致錯(cuò)誤并且通常是有故障的。在一個(gè)層中識(shí)別攻擊但是具有到另一層的確定而精確的映射以使得能夠很好地影響攻擊的終止的能力是通過(guò)示意性實(shí)施例的機(jī)制提供的明顯優(yōu)點(diǎn)。因而,示意性實(shí)施例提供了用于從應(yīng)用層中的應(yīng)用前端系統(tǒng)向在數(shù)據(jù)層中操作的數(shù)據(jù)層機(jī)制,例如審計(jì) 和/或訪問(wèn)控制機(jī)制,傳播用戶身份信息的機(jī)制。按照這種方式,數(shù)據(jù)層機(jī)制可以將對(duì)后端系統(tǒng)的訪問(wèn)與特定的用戶身份而不是應(yīng)用前端系統(tǒng)的功能標(biāo)識(shí)符進(jìn)行關(guān)聯(lián)。結(jié)果,能夠在數(shù)據(jù)層處執(zhí)行精確的審計(jì)并且能夠基于用于連接的用戶身份信息而不是應(yīng)用前端系統(tǒng)的功能標(biāo)識(shí)符來(lái)執(zhí)行訪問(wèn)控制功能。圖5是根據(jù)一個(gè)示意性實(shí)施例概述網(wǎng)關(guān)系統(tǒng)在學(xué)習(xí)操作模式期間的示例操作的流程圖。如圖5所示,網(wǎng)關(guān)系統(tǒng)從客戶端計(jì)算設(shè)備接收傳入用戶請(qǐng)求(步驟510)。網(wǎng)關(guān)系統(tǒng)然后解析該請(qǐng)求并且識(shí)別該請(qǐng)求中可能被通過(guò)應(yīng)用前端系統(tǒng)在傳出請(qǐng)求/語(yǔ)句中傳遞到后端系統(tǒng)的任何應(yīng)用值(步驟520)。然后利用唯一可識(shí)別的值更換所識(shí)別的應(yīng)用值(步驟530)。將所產(chǎn)生的修改的請(qǐng)求轉(zhuǎn)發(fā)到應(yīng)用前端和檢驗(yàn)系統(tǒng)(步驟540)。然后結(jié)束網(wǎng)關(guān)系統(tǒng)關(guān)于該接收的傳入用戶請(qǐng)求的操作。應(yīng)用意識(shí)到的是,在學(xué)習(xí)操作模式期間可以針對(duì)每一個(gè)隨后接收的傳入用戶請(qǐng)求重復(fù)該過(guò)程。盡管圖5中未示出,但是應(yīng)用前端接收該修改的請(qǐng)求并且按照常規(guī)方式處理該請(qǐng)求以生成目標(biāo)為例如后端數(shù)據(jù)庫(kù)系統(tǒng)等等的后端系統(tǒng)的一個(gè)或者多個(gè)傳出請(qǐng)求/語(yǔ)句。圖6是概述根據(jù)一個(gè)示意性實(shí)施例的檢驗(yàn)系統(tǒng)在學(xué)習(xí)操作模式期間的示例操作的流程圖。如圖6所示,操作開(kāi)始于檢驗(yàn)系統(tǒng)接收由前端應(yīng)用系統(tǒng)生成的一個(gè)或者多個(gè)傳出請(qǐng)求/語(yǔ)句(步驟610)以及由網(wǎng)關(guān)系統(tǒng)轉(zhuǎn)發(fā)的修改的傳入用戶請(qǐng)求(步驟620)。針對(duì)唯一值解析該一個(gè)或者多個(gè)傳出請(qǐng)求/語(yǔ)句(步驟630)并且將任何發(fā)現(xiàn)的唯一值與存儲(chǔ)在映射數(shù)據(jù)結(jié)構(gòu)中的值進(jìn)行比較(步驟640)。如果基于唯一值發(fā)現(xiàn)在映射數(shù)據(jù)結(jié)構(gòu)640中存在匹配條目(步驟650),則將這一個(gè)或者多個(gè)傳出請(qǐng)求/語(yǔ)句添加到用于特定的相對(duì)應(yīng)的傳入用戶請(qǐng)求的匹配條目(步驟660)。如果不存在匹配,則操作終止。應(yīng)該意識(shí)到的是,針對(duì)由檢驗(yàn)系統(tǒng)接收的每一個(gè)新的傳出請(qǐng)求/語(yǔ)句或者一組請(qǐng)求/語(yǔ)句可以重復(fù)該過(guò)程。上面的過(guò)程生成將傳入用 戶請(qǐng)求模式映射到傳出請(qǐng)求/語(yǔ)句模式的映射數(shù)據(jù)結(jié)構(gòu),這繼而可以在運(yùn)行時(shí)期間使用以向后端審計(jì)、訪問(wèn)控制和其他后端處理傳播用戶身份信息??梢詫⒕W(wǎng)關(guān)系統(tǒng)和檢驗(yàn)系統(tǒng)重新配置到運(yùn)行時(shí)操作模式以執(zhí)行這樣的模式匹配。圖7是概述根據(jù)一個(gè)示意性實(shí)施例的網(wǎng)關(guān)系統(tǒng)在運(yùn)行時(shí)操作模式期間的示例操作的流程圖。如圖7所示,網(wǎng)關(guān)系統(tǒng)接收傳入用戶請(qǐng)求(步驟710)并且繼而向應(yīng)用前端系統(tǒng)和檢驗(yàn)系統(tǒng)簡(jiǎn)單地轉(zhuǎn)發(fā)該傳入用戶請(qǐng)求(步驟720)。因而,在運(yùn)行時(shí)操作模式中,網(wǎng)關(guān)系統(tǒng)主要作為流轉(zhuǎn)實(shí)體操作,除了網(wǎng)關(guān)系統(tǒng)向檢驗(yàn)系統(tǒng)以及應(yīng)用前端系統(tǒng)轉(zhuǎn)發(fā)傳入用戶請(qǐng)求。圖8是概述根據(jù)一個(gè)示意性實(shí)施例的檢驗(yàn)系統(tǒng)在運(yùn)行時(shí)操作期間的示例操作的流程圖。如圖8所示,檢驗(yàn)系統(tǒng)從應(yīng)用前端系統(tǒng)接收一個(gè)或者多個(gè)傳出請(qǐng)求/語(yǔ)句(步驟810)并且從網(wǎng)關(guān)系統(tǒng)接收原始傳入用戶請(qǐng)求(步驟820)。檢驗(yàn)系統(tǒng)將這一個(gè)或者多個(gè)傳出請(qǐng)求/語(yǔ)句的模式與映射數(shù)據(jù)結(jié)構(gòu)中的條目進(jìn)行比較以識(shí)別匹配(步驟830)。該匹配可以不必是精確的匹配但是可以是在給定容限內(nèi)的匹配。即,條目中的模式可以與所接收的傳出請(qǐng)求的模式相差預(yù)定的可接受量,即,容限,并且仍然被認(rèn)為是匹配。如果不存在匹配的條目,則操作終止。然而,應(yīng)該意識(shí)到,針對(duì)每一個(gè)隨后接收的傳出請(qǐng)求/語(yǔ)句或者一組傳出請(qǐng)求/語(yǔ)句可以重復(fù)該過(guò)程。如果存在發(fā)現(xiàn)的匹配條目(步驟840),則識(shí)別與所匹配的條目具有一個(gè)或者多個(gè)傳入用戶請(qǐng)求的相同類型或者模式的傳入的用戶請(qǐng)求(步驟850)。基于所匹配的傳入用戶請(qǐng)求的會(huì)話標(biāo)識(shí)符來(lái)執(zhí)行查找操作,以識(shí)別與所匹配的傳入用戶請(qǐng)求相對(duì)應(yīng)的用戶標(biāo)識(shí)符(步驟860)。然后基于所傳播的用戶身份信息執(zhí)行數(shù)據(jù)層操作(步驟870)。例如,該數(shù)據(jù)層操作可以包括使用利用示意性實(shí)施例的機(jī)制傳播的用戶身份信息來(lái)生成審計(jì)記錄的審計(jì)機(jī)制。作為另一示例,訪問(wèn)控制機(jī)制可以基于該用戶身份信息控制對(duì)后端系統(tǒng)中的數(shù)據(jù)的訪問(wèn)或者可以基于該用戶身份信息指示應(yīng)用前端修改連接。在不偏離適應(yīng)性實(shí)施例的精神和范圍的情況下可以執(zhí)行其他類型的數(shù)據(jù)層操作。因而,示意性實(shí)施例的機(jī)制允許用戶身份信息從應(yīng)用層傳播到數(shù)據(jù)層,以使得能夠在該用戶身份信息的上下文內(nèi)執(zhí)行對(duì)數(shù)據(jù)層操作的分析。如先前提及的,利用已知機(jī)制,該用戶身份信息在數(shù)據(jù)層丟失并且不可精確獲得。示意性實(shí)施例的機(jī)制利用基于唯一值的學(xué)習(xí)過(guò)程以生成模式匹配規(guī)范,該模式匹配規(guī)范能夠在不修改應(yīng)用前端和后端系統(tǒng)的操作或者代碼的情況下將傳出請(qǐng)求/語(yǔ)句的模式與傳入用戶請(qǐng)求進(jìn)行精確關(guān)聯(lián)。應(yīng)該意識(shí)到,盡管在傳播用戶身份信息方面描述了示意性實(shí)施例,但是示意性實(shí)施例并不局限于此。而是可以使用示意性實(shí)施例的機(jī)制傳播在一個(gè)處理層上可獲得并且可能對(duì)另一個(gè)處理層感興趣的任何信息。例如,關(guān)于安全,可以使用示意性實(shí)施例的機(jī)制傳播的其他類型的信息包括客戶端IP地址、主機(jī)名稱、登錄在客戶端處的操作系統(tǒng)用戶名稱,或者能夠輔助識(shí)別誰(shuí)并且從哪里進(jìn)行請(qǐng)求的任何其他信息。如上所述,應(yīng)該意識(shí)到,示意性實(shí)施例可以采取全部硬件實(shí)施例、全部軟件實(shí)施例或者包含硬件和軟件元件二者的實(shí)施例的形式。在一個(gè)示例實(shí)施例中,示意性實(shí)施例實(shí)現(xiàn)為軟件或程序代碼,軟件或程序代碼包括但不局限于固件、駐留軟件、微代碼等等。適合于存儲(chǔ)和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)將包括直接或者通過(guò)系統(tǒng)總線間接耦合到存儲(chǔ)器元件的至少一個(gè)處理器。存儲(chǔ)器元件可以包括在程序代碼的實(shí)際執(zhí)行期間采用的本地存儲(chǔ)器、大容量存儲(chǔ)器和提供至少一些程序代碼的臨時(shí)存儲(chǔ)以降低在執(zhí)行期間必須從大容量存儲(chǔ)器中獲取代碼的次數(shù)的高速緩沖存儲(chǔ)器。輸入/輸出或者I/O設(shè)備(包括但不局限于鍵盤、顯示器、指點(diǎn)設(shè)備等等)可以直接或者通過(guò)介于之間的I/o控制器耦接到系統(tǒng)。網(wǎng)絡(luò)適配器也可以耦接到系統(tǒng)以使得數(shù)據(jù)處理系統(tǒng)能夠變?yōu)橥ㄟ^(guò)介 于之間的私人或者公共網(wǎng)絡(luò)耦接到其他數(shù)據(jù)處理系統(tǒng)或者遠(yuǎn)程打印機(jī)或者存儲(chǔ)設(shè)備。調(diào)制解調(diào)器、線纜調(diào)制解調(diào)器和以太網(wǎng)卡只是當(dāng)前可獲得的網(wǎng)絡(luò)適配器類型中的一些。出于示意和描述目的呈現(xiàn)了本發(fā)明的描述,其并非意在具有排它性或者將本發(fā)明局限于所公開(kāi)的形式。許多變型和變化對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)將變得明顯。選擇和描述這些實(shí)施例以最佳解釋本發(fā)明的原理、實(shí)際應(yīng)用,并且使本領(lǐng)域的其他技術(shù)人員理解具有適合于期望的特定用途的各種變型的本發(fā)明各種實(shí)施例。
權(quán)利要求
1.一種用于在數(shù)據(jù)處理系統(tǒng)中從應(yīng)用層中的應(yīng)用前端系統(tǒng)向與后端系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)層檢驗(yàn)系統(tǒng)傳播源標(biāo)識(shí)信息的方法,包括: 在所述數(shù)據(jù)層檢驗(yàn)系統(tǒng)處從所述應(yīng)用層中的與所述應(yīng)用前端系統(tǒng)相關(guān)聯(lián)的網(wǎng)關(guān)系統(tǒng)接收傳入用戶請(qǐng)求; 在所述數(shù)據(jù)層檢驗(yàn)系統(tǒng)處接收目標(biāo)為所述后端系統(tǒng)并且由所述應(yīng)用前端系統(tǒng)基于所接收的傳入用戶請(qǐng)求而生成的一個(gè)或者多個(gè)傳出語(yǔ)句; 由所述數(shù)據(jù)層檢驗(yàn)系統(tǒng)基于所述一個(gè)或者多個(gè)傳出語(yǔ)句來(lái)訪問(wèn)映射數(shù)據(jù)結(jié)構(gòu),從而將所述一個(gè)或者多個(gè)傳出語(yǔ)句與所述傳入用戶請(qǐng)求進(jìn)行關(guān)聯(lián); 由所述數(shù)據(jù)層檢驗(yàn)系統(tǒng)基于所述一個(gè)或者多個(gè)傳出語(yǔ)句與所述傳入用戶請(qǐng)求的所述關(guān)聯(lián)來(lái)獲取與所述傳入用戶請(qǐng)求相關(guān)聯(lián)的源標(biāo)識(shí)信息;以及 由所述數(shù)據(jù)層檢驗(yàn)系 統(tǒng)基于所述源標(biāo)識(shí)信息來(lái)執(zhí)行數(shù)據(jù)層檢驗(yàn)操作。
2.如權(quán)利要求1的方法,其中所述映射數(shù)據(jù)結(jié)構(gòu)將一個(gè)或者多個(gè)傳出語(yǔ)句的模式映射到一個(gè)或者多個(gè)傳入用戶請(qǐng)求的類型或者模式。
3.如權(quán)利要求2的方法,其中訪問(wèn)所述映射數(shù)據(jù)結(jié)構(gòu)包括執(zhí)行在所述映射數(shù)據(jù)結(jié)構(gòu)中查找具有與所接收的一個(gè)或者多個(gè)傳出語(yǔ)句的模式匹配的傳出語(yǔ)句的模式的條目。
4.如權(quán)利要求3的方法,其中訪問(wèn)所述映射數(shù)據(jù)結(jié)構(gòu)進(jìn)一步包括: 獲取在所述條目中指定的一個(gè)或者多個(gè)傳入用戶請(qǐng)求的類型或者模式;以及 識(shí)別具有與在所述條目中指定的類型或者模式相同的類型或者模式的所接收的一個(gè)或者多個(gè)傳入用戶請(qǐng)求。
5.如權(quán)利要求4的方法,其中獲取源標(biāo)識(shí)信息包括基于與具有與在所述條目中指定的類型或者模式相同的類型或者模式的所接收的一個(gè)或者多個(gè)傳入用戶請(qǐng)求相關(guān)聯(lián)的連接信息來(lái)獲取所述源標(biāo)識(shí)信息。
6.如權(quán)利要求1的方法,進(jìn)一步包括: 創(chuàng)建所述映射數(shù)據(jù)結(jié)構(gòu),其中通過(guò)如下來(lái)創(chuàng)建所述映射數(shù)據(jù)結(jié)構(gòu): 處理多個(gè)測(cè)試傳入用戶請(qǐng)求;以及 針對(duì)所述多個(gè)測(cè)試傳入用戶請(qǐng)求的每一個(gè)測(cè)試傳入用戶請(qǐng)求,在所述映射數(shù)據(jù)結(jié)構(gòu)的條目中記錄由所述前端應(yīng)用系統(tǒng)生成的、目標(biāo)為所述后端系統(tǒng)的傳出語(yǔ)句的模式。
7.如權(quán)利要求6的方法,其中處理所述多個(gè)測(cè)試傳入用戶請(qǐng)求包括,針對(duì)每一個(gè)測(cè)試傳入用戶請(qǐng)求: 解析所述測(cè)試傳入用戶請(qǐng)求以在所述測(cè)試傳入用戶請(qǐng)求中識(shí)別至少一個(gè)應(yīng)用值;利用唯一可識(shí)別的值更換所述測(cè)試傳入用戶請(qǐng)求中的所述至少一個(gè)應(yīng)用值以生成修改的測(cè)試傳入用戶請(qǐng)求; 通過(guò)所述應(yīng)用前端系統(tǒng)處理所述修改的測(cè)試傳入用戶請(qǐng)求;以及 針對(duì)所述唯一可識(shí)別的值監(jiān)視由所述應(yīng)用前端系統(tǒng)生成的傳出語(yǔ)句。
8.如權(quán)利要求7的方法,其中將具有所述唯一可識(shí)別的值的傳出語(yǔ)句添加到所述映射數(shù)據(jù)結(jié)構(gòu)中與所述測(cè)試傳入用戶請(qǐng)求相對(duì)應(yīng)的條目,并且其中存儲(chǔ)在對(duì)應(yīng)于所述測(cè)試傳入用戶請(qǐng)求的所述條目中的一系列傳出語(yǔ)句構(gòu)成傳出語(yǔ)句的模式。
9.如權(quán)利要求1的方法,其中所述數(shù)據(jù)層檢驗(yàn)操作是生成對(duì)所述后端系統(tǒng)的訪問(wèn)的審計(jì)日志的數(shù)據(jù)層審計(jì)操作,并且其中所述審計(jì)日志包括所述源標(biāo)識(shí)信息。
10.如權(quán)利要求1的方法,其中: 所述后端系統(tǒng)是數(shù)據(jù)庫(kù)系統(tǒng), 所述傳入用戶請(qǐng)求是目標(biāo)為所述應(yīng)用前端系統(tǒng)的超文本傳輸協(xié)議(HTTP)請(qǐng)求,并且所述傳出語(yǔ)句是由所述應(yīng)用前端系統(tǒng)基于所述HTTP請(qǐng)求生成的結(jié)構(gòu)化查詢語(yǔ)言(SQL)語(yǔ)句。
11.一種計(jì)算機(jī)程序產(chǎn)品,包括存儲(chǔ)有計(jì)算機(jī)可讀程序的計(jì)算機(jī)可讀存儲(chǔ)設(shè)備,其中當(dāng)在計(jì)算設(shè)備上執(zhí)行所述計(jì)算機(jī)可讀程序時(shí),所述計(jì)算機(jī)可讀程序使所述計(jì)算設(shè)備: 從與應(yīng)用前端系統(tǒng)相關(guān)聯(lián)的網(wǎng)關(guān)系統(tǒng)接收傳入用戶請(qǐng)求; 接收目標(biāo)為后端系統(tǒng)并且由所述應(yīng)用前端系統(tǒng)基于所接收的傳入用戶請(qǐng)求生成的一個(gè)或者多個(gè)傳出語(yǔ)句; 基于所述一個(gè)或者多個(gè)傳出語(yǔ)句訪問(wèn)映射數(shù)據(jù)結(jié)構(gòu),從而將所述一個(gè)或者多個(gè)傳出語(yǔ)句與所述傳入用戶請(qǐng)求進(jìn)行關(guān)聯(lián); 基于所述一個(gè)或者多個(gè)傳出語(yǔ)句與所述傳入用戶請(qǐng)求的所述關(guān)聯(lián)來(lái)獲取與所述傳入用戶請(qǐng)求相關(guān)聯(lián)的源標(biāo)識(shí)信息;以及 基于所述源標(biāo)識(shí)信息執(zhí)行數(shù)據(jù)層檢驗(yàn)操作。
12.如權(quán)利要求11的計(jì)算機(jī)程序產(chǎn)品,其中所述映射數(shù)據(jù)結(jié)構(gòu)將一個(gè)或者多個(gè)傳出語(yǔ)句的模式映射到一個(gè)或者多個(gè)傳入用戶請(qǐng)求的類型或者模式。
13.如權(quán)利要求12的計(jì)算機(jī)程序產(chǎn)品,其中所述計(jì)算機(jī)可讀程序使所述計(jì)算設(shè)備通過(guò)如下來(lái)訪問(wèn)所述映射數(shù)據(jù)結(jié)構(gòu):執(zhí)行在所述映射數(shù)據(jù)結(jié)構(gòu)中查找具有與所接收的一個(gè)或者多個(gè)傳出語(yǔ)句的模式匹配的傳 出語(yǔ)句的模式的條目。
14.如權(quán)利要求13的計(jì)算機(jī)程序產(chǎn)品,其中所述計(jì)算機(jī)可讀程序進(jìn)一步使所述計(jì)算設(shè)備通過(guò)如下來(lái)訪問(wèn)所述映射數(shù)據(jù)結(jié)構(gòu): 獲取與所述條目相對(duì)應(yīng)的一個(gè)或者多個(gè)傳入用戶請(qǐng)求的類型或者模式;以及識(shí)別具有與在所述條目中指定的所述類型或者模式相同的類型或者模式的所接收的一個(gè)或者多個(gè)傳入用戶請(qǐng)求。
15.如權(quán)利要求14的計(jì)算機(jī)程序產(chǎn)品,其中所述計(jì)算機(jī)可讀程序使所述計(jì)算設(shè)備通過(guò)如下來(lái)獲取所述源標(biāo)識(shí)信息:基于與具有與在所述條目中指定的所述類型或者模式相同的類型或者模式的所接收的一個(gè)或者多個(gè)傳入用戶請(qǐng)求相關(guān)聯(lián)的連接信息來(lái)獲取所述源標(biāo)識(shí)息。
16.如權(quán)利要求11的計(jì)算機(jī)程序產(chǎn)品,其中所述計(jì)算機(jī)可讀程序進(jìn)一步使所述計(jì)算設(shè)備: 創(chuàng)建所述映射數(shù)據(jù)結(jié)構(gòu),其中通過(guò)如下來(lái)創(chuàng)建所述數(shù)據(jù)結(jié)構(gòu): 處理多個(gè)測(cè)試傳入用戶請(qǐng)求;以及 針對(duì)所述多個(gè)測(cè)試傳入用戶請(qǐng)求中的每一個(gè)測(cè)試傳入用戶請(qǐng)求,在所述映射數(shù)據(jù)結(jié)構(gòu)的條目中記錄由所述前端應(yīng)用系統(tǒng)生成的目標(biāo)為所述后端系統(tǒng)的傳出語(yǔ)句的模式。
17.如權(quán)利要求16的計(jì)算機(jī)程序產(chǎn)品,其中所述計(jì)算機(jī)可讀程序使所述計(jì)算設(shè)備通過(guò)如下處理所述多個(gè)測(cè)試傳入用戶請(qǐng)求,其中針對(duì)每一個(gè)測(cè)試傳入用戶請(qǐng)求: 解析所述測(cè)試傳入用戶請(qǐng)求以在所述測(cè)試傳入用戶請(qǐng)求中識(shí)別至少一個(gè)應(yīng)用值; 利用唯一可識(shí)別的值更換所述測(cè)試傳入用戶請(qǐng)求中的所述至少一個(gè)應(yīng)用值以生成修改的測(cè)試傳入用戶請(qǐng)求; 通過(guò)所述應(yīng)用前端系統(tǒng)處理所述修改的測(cè)試傳入用戶請(qǐng)求;以及 針對(duì)所述唯一可識(shí)別的值監(jiān)視由所述應(yīng)用前端系統(tǒng)生成的傳出語(yǔ)句。
18.根據(jù)權(quán)利要求17的計(jì)算機(jī)程序產(chǎn)品,其中將具有所述唯一可識(shí)別的值的傳出語(yǔ)句添加到所述映射數(shù)據(jù)結(jié)構(gòu)中與所述測(cè)試傳入用戶請(qǐng)求相對(duì)應(yīng)的條目,并且其中存儲(chǔ)在對(duì)應(yīng)于所述測(cè)試傳入用戶請(qǐng)求的所述條目中的一系列傳出語(yǔ)句構(gòu)成傳出語(yǔ)句的模式。
19.根據(jù)權(quán)利要求11的計(jì)算機(jī)程序產(chǎn)品,其中所述數(shù)據(jù)層檢驗(yàn)操作是生成對(duì)所述后端系統(tǒng)的訪問(wèn)的審計(jì)日志的數(shù)據(jù)層審計(jì)操作,并且其中所述審計(jì)日志包括所述源標(biāo)識(shí)信息。
20.如權(quán)利要求11的計(jì)算機(jī)程序產(chǎn)品,其中: 所述后端系統(tǒng)是數(shù)據(jù)庫(kù)系統(tǒng), 所述傳入用戶請(qǐng)求是目標(biāo)為所述應(yīng)用前端系統(tǒng)的超文本傳輸協(xié)議(HTTP)請(qǐng)求,并且所述傳出語(yǔ)句是由所述應(yīng)用前端系統(tǒng)基于所述HTTP請(qǐng)求生成的結(jié)構(gòu)化查詢語(yǔ)言(SQL)語(yǔ)句。
21.一種裝置,包括: 處理器;以及 耦接到所述處理器的存儲(chǔ)器, 其中所述存儲(chǔ)器包括在通過(guò)所述處理器執(zhí)行時(shí)使所述處理器進(jìn)行如下的指令: 從與應(yīng)用前端系統(tǒng)相關(guān)聯(lián)的網(wǎng)關(guān)系統(tǒng)接收傳入用戶請(qǐng)求; 接收目標(biāo)為后端系統(tǒng)并且由所述應(yīng)用前端系統(tǒng)基于所接收的傳入用戶請(qǐng)求生成的一個(gè)或者多個(gè)傳出語(yǔ)句; 基于所述一個(gè)或者多個(gè)傳出語(yǔ)句來(lái)訪問(wèn)映射數(shù)據(jù)結(jié)構(gòu),從而將所述一個(gè)或者多個(gè)傳出語(yǔ)句與所述傳入用戶請(qǐng)求進(jìn)行關(guān)聯(lián); 基于所述一個(gè)或者多個(gè)傳出語(yǔ)句與所述傳入用戶請(qǐng)求的所述關(guān)聯(lián)來(lái)獲取與所述傳入用戶請(qǐng)求相關(guān)聯(lián)的源標(biāo)識(shí)信息;以及 基于所述源標(biāo)識(shí)信息來(lái)執(zhí)行數(shù)據(jù)層檢驗(yàn)操作。
22.如權(quán)利要求21的裝置,其中所述映射數(shù)據(jù)結(jié)構(gòu)將一個(gè)或者多個(gè)傳出語(yǔ)句的模式映射到一個(gè)或者多個(gè)傳入用戶請(qǐng)求的類型或者模式,并且其中所述指令使所述處理器通過(guò)如下來(lái)訪問(wèn)所述映射數(shù)據(jù)結(jié)構(gòu):執(zhí)行在所述映射數(shù)據(jù)結(jié)構(gòu)中查找具有與所接收的一個(gè)或者多個(gè)傳出語(yǔ)句的模式匹配的傳出語(yǔ)句的模式的條目。
23.如權(quán)利要求22的裝置,其中所述指令進(jìn)一步使所述處理器通過(guò)如下來(lái)訪問(wèn)所述映射數(shù)據(jù)結(jié)構(gòu): 獲取與所述條目相對(duì)應(yīng)的所述一個(gè)或者多個(gè)傳入用戶請(qǐng)求的類型或者模式;以及識(shí)別具有與在所述條目中指定的類型或者模式相同的類型或者模式的一個(gè)或者多個(gè)所接收的傳入用戶請(qǐng)求,并且其中所述指令使所述處理器通過(guò)如下來(lái)獲取源標(biāo)識(shí)信息:基于具有與在所述條目中指定的類型或者模式相同的類型或者模式的一個(gè)或者多個(gè)所接收的傳入用戶請(qǐng)求相關(guān)聯(lián)的連接信息來(lái)獲取所述源標(biāo)識(shí)信息。
24.如權(quán)利要求21的裝置,其中所述指令進(jìn)一步使所述處理器: 創(chuàng)建所述映射數(shù)據(jù)結(jié)構(gòu),其中通過(guò)如下來(lái)創(chuàng)建所述映射數(shù)據(jù)結(jié)構(gòu): 處理多個(gè)測(cè)試傳入用戶請(qǐng)求;以及針對(duì)所述多個(gè)測(cè)試傳入用戶請(qǐng)求中的每一個(gè)測(cè)試傳入用戶請(qǐng)求,在所述映射數(shù)據(jù)結(jié)構(gòu)的條目中記錄目標(biāo)為所述后端系統(tǒng)的由所述前端應(yīng)用系統(tǒng)生成的傳出語(yǔ)句的模式。
25.如權(quán)利要求24的裝置,其中所述指令使所述處理器通過(guò)如下來(lái)處理所述多個(gè)測(cè)試傳入用戶請(qǐng)求,其中針對(duì)每一個(gè)測(cè)試傳入用戶請(qǐng)求: 解析所述測(cè)試傳入用戶請(qǐng)求以在所述測(cè)試傳入用戶請(qǐng)求中識(shí)別至少一個(gè)應(yīng)用值; 利用唯一可識(shí)別的值更換所述測(cè)試傳入用戶請(qǐng)求中的所述至少一個(gè)應(yīng)用值,以生成修改的測(cè)試傳入用戶請(qǐng)求; 通過(guò) 所述應(yīng)用前端系統(tǒng)處理所述修改的測(cè)試傳入用戶請(qǐng)求;以及針對(duì)所述唯一可識(shí)別的值監(jiān)視由所述應(yīng)用前端系統(tǒng)生成的傳出語(yǔ)句,其中將具有所述唯一可識(shí)別的值的傳出語(yǔ)句添加到所述映射數(shù)據(jù)結(jié)構(gòu)中與所述測(cè)試傳入用戶請(qǐng)求相對(duì)應(yīng)的條目,并且其中存儲(chǔ)對(duì)應(yīng)于所述測(cè)試傳入用戶請(qǐng)求的所述條目中的一系列傳出語(yǔ)句構(gòu)成傳出語(yǔ)句的模式。
全文摘要
提供用于從應(yīng)用層中的應(yīng)用前端系統(tǒng)向與后端系統(tǒng)相關(guān)聯(lián)的數(shù)據(jù)層檢驗(yàn)系統(tǒng)傳播源標(biāo)識(shí)信息的機(jī)制。在數(shù)據(jù)層檢驗(yàn)系統(tǒng)處從與應(yīng)用前端系統(tǒng)相關(guān)聯(lián)的網(wǎng)關(guān)系統(tǒng)接收傳入用戶請(qǐng)求。在數(shù)據(jù)層檢驗(yàn)系統(tǒng)處接收目標(biāo)為后端系統(tǒng)的一個(gè)或者多個(gè)傳出語(yǔ)句。數(shù)據(jù)層檢驗(yàn)系統(tǒng)基于該一個(gè)或者多個(gè)傳出語(yǔ)句來(lái)訪問(wèn)映射數(shù)據(jù)結(jié)構(gòu),從而將該一個(gè)或者多個(gè)傳出語(yǔ)句與傳入用戶請(qǐng)求進(jìn)行關(guān)聯(lián)。數(shù)據(jù)層檢驗(yàn)系統(tǒng)基于該一個(gè)或者多個(gè)傳出語(yǔ)句與傳入用戶請(qǐng)求的關(guān)聯(lián)來(lái)獲取與傳入用戶請(qǐng)求相關(guān)聯(lián)的源標(biāo)識(shí)信息。數(shù)據(jù)層檢驗(yàn)系統(tǒng)基于源標(biāo)識(shí)信息來(lái)執(zhí)行數(shù)據(jù)層檢驗(yàn)操作。
文檔編號(hào)H04L29/08GK103238308SQ201180057965
公開(kāi)日2013年8月7日 申請(qǐng)日期2011年10月27日 優(yōu)先權(quán)日2010年12月8日
發(fā)明者R·本-納坦, L·羅德尼安斯基 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1