本發(fā)明實施例涉及數(shù)據(jù)安全處理技術(shù)領(lǐng)域，尤其涉及一種數(shù)據(jù)安全處理器和處理方法。

背景技術(shù)：

隨著計算機技術(shù)和現(xiàn)代通信技術(shù)的迅猛發(fā)展，數(shù)字化信息呈爆炸性增長，其不僅體現(xiàn)在數(shù)據(jù)的容量上，而且表現(xiàn)在數(shù)據(jù)的多樣性上。在網(wǎng)絡(luò)應(yīng)用日益廣泛的今天，每個人都是數(shù)據(jù)的制造者和消費者，各種系統(tǒng)和系統(tǒng)集群都需要時刻與外界進行數(shù)據(jù)交換。數(shù)據(jù)發(fā)揮的作用越來越大的同時，數(shù)據(jù)的安全問題也隨之而來。

需要使用的數(shù)據(jù)從外界傳輸?shù)较到y(tǒng)中，或者系統(tǒng)中數(shù)據(jù)傳輸?shù)酵饨鐣r，如何保證數(shù)據(jù)的安全，如何保證數(shù)據(jù)不會對系統(tǒng)造成損害，避免包含危險因素的代碼影響系統(tǒng)的穩(wěn)定性，這都需要對數(shù)據(jù)的流入和流出進行控制、檢測，然而目前還沒有一個可靠且有效的、動態(tài)可配置的方案可以實現(xiàn)。

技術(shù)實現(xiàn)要素：

本發(fā)明提供一種數(shù)據(jù)安全處理器和處理方法，以實現(xiàn)對數(shù)據(jù)流入流出的安全管控。

為達到此目的，本發(fā)明實施例采用以下技術(shù)方案：

一種數(shù)據(jù)安全處理器，包括：

策略加載分析模塊，用于接收安全策略信息并進行分析得到可執(zhí)行代碼形式的安全策略規(guī)則；

存儲器，用于存儲所述安全策略規(guī)則；

數(shù)據(jù)加載模塊，用于加載需要執(zhí)行安全策略處理的待處理數(shù)據(jù)；

數(shù)據(jù)分析對比模塊，用于根據(jù)所述待處理數(shù)據(jù)從所述存儲器中獲取對應(yīng)的安全策略規(guī)則，并根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示，將所述待處理數(shù)據(jù)和數(shù)據(jù)處理指示傳輸給數(shù)據(jù)執(zhí)行模塊；

數(shù)據(jù)執(zhí)行模塊，用于根據(jù)所述數(shù)據(jù)處理指示對所述待處理數(shù)據(jù)進行安全處理，并輸出。

進一步地，所述安全處理器，還包括：

輸入端口和輸出端口，用于連接在數(shù)據(jù)交互設(shè)備之間，進行數(shù)據(jù)的接收和發(fā)送，所述數(shù)據(jù)加載模塊、策略加載分析模塊分別與所述輸入端口相連，所述數(shù)據(jù)執(zhí)行模塊與所述輸出端口相連。

進一步地，上述安全處理器中，所述策略加載分析模塊包括：

策略信息加載單元，用于加載用戶編寫的安全策略信息；

策略信息編譯單元，用于對所述安全策略信息進行編譯得到可執(zhí)行代碼形式的安全策略規(guī)則；

策略規(guī)則分類更新單元，用于對所述安全策略規(guī)則進行分類，并對已存儲的安全策略規(guī)則進行更新

進一步地，上述安全處理器中，所述數(shù)據(jù)分析對比模塊包括：

策略規(guī)則獲取單元，用于根據(jù)所述待處理數(shù)據(jù)的屬性特征或來源獲取對應(yīng)的安全策略規(guī)則；

待處理數(shù)據(jù)分析單元，用于根據(jù)所述安全策略規(guī)則對文件形式或代碼形式的所述待處理數(shù)據(jù)進行分析，以產(chǎn)生數(shù)據(jù)處理指示。

進一步地，所述安全處理器，還包括：

數(shù)據(jù)檢測樣本更新模塊，用于在根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示之后，當(dāng)檢測到危險數(shù)據(jù)時，記錄下所述危險數(shù)據(jù)的特征碼，添加至安全策略規(guī)則中作為新的數(shù)據(jù)檢測樣本。

相應(yīng)地，本發(fā)明實施例還提供一種數(shù)據(jù)安全處理方法，包括：

接收安全策略信息并進行分析得到可執(zhí)行代碼形式的安全策略規(guī)則；

存儲所述安全策略規(guī)則；

加載需要執(zhí)行安全策略處理的待處理數(shù)據(jù)；

根據(jù)所述待處理數(shù)據(jù)獲取對應(yīng)的安全策略規(guī)則，并根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示；

根據(jù)所述數(shù)據(jù)處理指示對所述待處理數(shù)據(jù)進行安全處理，并輸出。

進一步地，所述方法，接收安全策略信息并進行分析得到可執(zhí)行代碼形式的安全策略規(guī)則，包括：

加載用戶編寫的安全策略信息；

對所述安全策略信息進行編譯得到可執(zhí)行代碼形式的安全策略規(guī)則；

對所述安全策略規(guī)則進行分類，并對已存儲的安全策略規(guī)則進行更新。

進一步地，上述方法中，跟據(jù)所述待處理數(shù)據(jù)獲取對應(yīng)的安全策略規(guī)則，并根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示包括：

根據(jù)所述待處理數(shù)據(jù)的屬性特征或來源獲取對應(yīng)的安全策略規(guī)則；

根據(jù)所述安全策略規(guī)則對文件形式或代碼形式的所述待處理數(shù)據(jù)進行分析，以產(chǎn)生數(shù)據(jù)處理指示。

進一步地，上述方法中，根據(jù)所述數(shù)據(jù)處理指示對所述待處理數(shù)據(jù)進行安全處理，并輸出，包括：

根據(jù)所述數(shù)據(jù)處理指示對所述待處理數(shù)據(jù)進行修改、過濾、攔截和/或加密處理，并輸出。

進一步地，所述方法，在所述根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示之后，還包括：

當(dāng)檢測到危險數(shù)據(jù)時，記錄下所述危險數(shù)據(jù)的特征碼，添加至安全策略規(guī)則中作為新的數(shù)據(jù)檢測樣本。

本發(fā)明實施例所提供的技術(shù)方案，在系統(tǒng)和系統(tǒng)集群與外界進行數(shù)據(jù)交換時，通過依據(jù)安全策略規(guī)則對待處理數(shù)據(jù)進行安全處理，并能自我完成檢測樣本的更新，可以實現(xiàn)對數(shù)據(jù)的流入和流出進行控制、檢測，保證了數(shù)據(jù)和系統(tǒng)的安全。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為本發(fā)明實施例一提供的一種數(shù)據(jù)安全處理器的結(jié)構(gòu)示意圖；

圖2為本發(fā)明實施例一提供的策略加載分析模塊的結(jié)構(gòu)示意圖；

圖3為本發(fā)明實施例一提供的數(shù)據(jù)分析對比模塊的結(jié)構(gòu)示意圖；

圖4為本發(fā)明實施例二提供的一種數(shù)據(jù)安全處理器的結(jié)構(gòu)示意圖；

圖5為本發(fā)明實施例三提供的一種數(shù)據(jù)安全處理方法的流程示意圖。

具體實施方式

下面結(jié)合附圖和實施例對本發(fā)明作進一步的詳細說明?？梢岳斫獾氖?，此處所描述的具體實施例僅僅用于解釋本發(fā)明，而非對本發(fā)明的限定。另外還需要說明的是，為了便于描述，附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部結(jié)構(gòu)。

實施例一

圖1為本發(fā)明實施例一提供的一種數(shù)據(jù)安全處理器的結(jié)構(gòu)示意圖，該安全處理器適用于系統(tǒng)和系統(tǒng)集群與外界進行數(shù)據(jù)交換的場景，該安全處理器由數(shù)據(jù)安全處理方法來實現(xiàn)，該安全處理器是在硬件設(shè)備上進行軟件的設(shè)置，通過硬件和軟件配合，集成于安全處理器內(nèi)部。參見圖1，該安全處理器包括：

策略加載分析模塊10，用于接收安全策略信息并進行分析得到可執(zhí)行代碼形式的安全策略規(guī)則；

存儲器20，用于存儲所述安全策略規(guī)則；

數(shù)據(jù)加載模塊30，用于加載需要執(zhí)行安全策略處理的待處理數(shù)據(jù)；

數(shù)據(jù)分析對比模塊40，用于根據(jù)所述待處理數(shù)據(jù)從所述存儲器中獲取對應(yīng)的安全策略規(guī)則，并根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示，將所述待處理數(shù)據(jù)和數(shù)據(jù)處理指示傳輸給數(shù)據(jù)執(zhí)行模塊50；

數(shù)據(jù)執(zhí)行模塊50，用于根據(jù)所述數(shù)據(jù)處理指示對所述待處理數(shù)據(jù)進行安全處理，并輸出。

優(yōu)選的，所述安全處理器還包括：輸入端口和輸出端口，用于連接在數(shù)據(jù)交互設(shè)備之間，進行數(shù)據(jù)的接收和發(fā)送，所述數(shù)據(jù)加載模塊、策略加載分析模塊分別與所述輸入端口相連，所述數(shù)據(jù)執(zhí)行模塊與所述輸出端口相連。

需要說明的是，數(shù)據(jù)安全處理器作為數(shù)據(jù)的入口和出口，所有數(shù)據(jù)的流入和流出都要經(jīng)過安全處理器，進出系統(tǒng)的數(shù)據(jù)不能通過其它的方式進行，所述數(shù)據(jù)安全處理器一個輸入端口用于與外部用戶編寫的安全策略進行交互，另一個輸入端口用于接收所述待處理數(shù)據(jù)，一個輸出端口用于輸出處理過的數(shù)據(jù)。

具體的，策略加載分析模塊10提供動態(tài)接口，它可以加載、分析輸入的安全策略，并對相關(guān)的程序進行分析和執(zhí)行，它提供數(shù)據(jù)接口來輸入相關(guān)數(shù)據(jù)。存儲器20提供安全策略、數(shù)據(jù)及程序的存儲功能。數(shù)據(jù)加載模塊30提供數(shù)據(jù)加載的功能，對要執(zhí)行安全策略的數(shù)據(jù)加載到整個安全器中。數(shù)據(jù)分析對比模塊40提供對數(shù)據(jù)處理的功能，按照安全策略的規(guī)定，包括對數(shù)據(jù)的分析、對比和標(biāo)識，對數(shù)據(jù)進行初步的處理。數(shù)據(jù)執(zhí)行模塊50提供了按照安全策略的規(guī)定，對數(shù)據(jù)進行轉(zhuǎn)換、改裝等功能。

需要說明的是，輸入到安全器的數(shù)據(jù)主要分為兩種，一是安全策略數(shù)據(jù)，包括程序、配置、文件等，經(jīng)過分析的安全策略數(shù)據(jù)將會被存儲到內(nèi)置的存儲器20中。二是待處理的數(shù)據(jù)，被加載待處理數(shù)據(jù)可以是普通傳輸?shù)臄?shù)據(jù)，還可以是程序、軟件及其它類型的數(shù)據(jù)。數(shù)據(jù)經(jīng)過數(shù)據(jù)加載模塊30之后，將會被傳輸?shù)綌?shù)據(jù)分析對比模塊40，數(shù)據(jù)分析對比模塊40與存儲器20進行交互，獲取到安全策略數(shù)據(jù)，經(jīng)過加工處理后，待處理數(shù)據(jù)被傳輸?shù)綌?shù)據(jù)執(zhí)行模塊50，由于經(jīng)過數(shù)據(jù)分析對比模塊40的處理，待處理數(shù)據(jù)將會在數(shù)據(jù)執(zhí)行模塊50中按照數(shù)據(jù)分析對比模塊40的處理指示進行處理，從而達到安全策略預(yù)定的要求。

所述數(shù)據(jù)安全處理器放置在單臺機器的數(shù)據(jù)總線上，或者是放置在系統(tǒng)集群的數(shù)據(jù)傳輸總線上，所有數(shù)據(jù)的流動都在該安全處理器的監(jiān)控之下。沒有經(jīng)過任何設(shè)置的安全器不對數(shù)據(jù)做任何處理，不改變數(shù)據(jù)量大小、數(shù)據(jù)形態(tài)、傳輸方向等，只是一個單純的數(shù)據(jù)通道，不對數(shù)據(jù)的傳輸產(chǎn)生任何阻滯。

為了達到預(yù)定的功能目標(biāo)，根據(jù)系統(tǒng)的功能、數(shù)據(jù)的特點、安全需求等因素動態(tài)配置，該安全器提供接口，可以通過該接口動態(tài)地制定安全策略、檢測方法、過濾標(biāo)準(zhǔn)，通過編程的方式實現(xiàn)這些目標(biāo)。

經(jīng)過設(shè)置之后的數(shù)據(jù)安全器，一方面可以動態(tài)地設(shè)置安全策略。用戶根據(jù)實際情況制定安全策略，將安全策略編程后，可以設(shè)置到數(shù)據(jù)安全器中，啟動數(shù)據(jù)安全器后，所有經(jīng)過數(shù)據(jù)安全器的數(shù)據(jù)，都會被強制適用制定的安全策略。

經(jīng)過設(shè)置之后的數(shù)據(jù)安全器，另一方面還可以對傳輸?shù)臄?shù)據(jù)進行檢測，被檢測的數(shù)據(jù)不僅包括一般性的數(shù)據(jù)，還可以包括代碼級別的數(shù)據(jù)，只需要在相關(guān)的策略中進行指定，并給定檢測標(biāo)準(zhǔn)。安全器提供存儲空間，用來存儲安全策略，并將提供的檢測樣本的數(shù)據(jù)存儲下來，以存儲下來的數(shù)據(jù)作為匹配依據(jù)，所有經(jīng)過安全器的數(shù)據(jù)將會與這些數(shù)據(jù)進行匹配，匹配上的數(shù)據(jù)，按照安全策略，可能會被修改、過濾、攔截和加密等。

進一步地，該數(shù)據(jù)安全器不僅可以對數(shù)據(jù)進行安全操作，還可以識別代碼類型的數(shù)據(jù)，通過在安全策略中的設(shè)置，對傳入的代碼級數(shù)據(jù)的字節(jié)碼進行識別，避免危險代碼對系統(tǒng)的影響，可以將這些數(shù)據(jù)進行過濾，甚至完全攔截。

優(yōu)選的，上述安全處理器中，所述策略加載分析模塊10包括：

策略信息加載單元11，用于加載用戶編寫的安全策略信息；

策略信息編譯單元12，用于對所述安全策略信息進行編譯得到可執(zhí)行代碼形式的安全策略規(guī)則；

策略規(guī)則分類更新單元13，用于對所述安全策略規(guī)則進行分類，并對已存儲的安全策略規(guī)則進行更新

請參考圖2，為本發(fā)明實施例一提供的策略加載分析模塊10的結(jié)構(gòu)示意圖；該模塊的主要功能包括加載用戶編寫的安全策略，安全策略可以是編寫的代碼、配置文件等。安全處理器加載安全策略后，對代碼或者文件進行編譯和分析，并形成可以存儲的代碼，并對安全策略進行分類，包括文件形式的數(shù)據(jù)處理策略和代碼形式的數(shù)據(jù)處理策略。其中文件形式數(shù)據(jù)處理策略指定了對數(shù)據(jù)的處理方法，例如加密、替換、檢查，甚至截斷和銷毀等。代碼形式的數(shù)據(jù)處理策略指定了對經(jīng)過安全器傳輸?shù)拇a的處理方法，例如對代碼安全檢查，危險代碼的識別、代碼更新的方案等。策略加載分析模塊10會將分析出來的策略進行分類，并與之前的策略進行對比和更新。

優(yōu)選的，上述安全處理器中，所述數(shù)據(jù)分析對比模塊40包括：

策略規(guī)則獲取單元41，用于根據(jù)所述待處理數(shù)據(jù)的屬性特征或來源獲取對應(yīng)的安全策略規(guī)則；

待處理數(shù)據(jù)分析單元42，用于根據(jù)所述安全策略規(guī)則對文件形式或代碼形式的所述待處理數(shù)據(jù)進行分析，以產(chǎn)生數(shù)據(jù)處理指示。

請參考圖3，為本發(fā)明實施例一提供的數(shù)據(jù)分析對比模塊40的結(jié)構(gòu)示意圖；該模塊的主要功能是獲取安全策略規(guī)則和獲取待處理數(shù)據(jù)，然后進行初步的分析處理得到處理指示，該處理指示用于指示數(shù)據(jù)執(zhí)行模塊50對待處理數(shù)據(jù)進行處理。根據(jù)待處理數(shù)據(jù)形式的不同對應(yīng)有匹配的安全策略規(guī)則。

具體的，數(shù)據(jù)執(zhí)行模塊50主要包含了數(shù)據(jù)加載、數(shù)據(jù)處理和數(shù)據(jù)整理的功能時按照數(shù)據(jù)安全策略規(guī)則對數(shù)據(jù)進行處理，由于處理后的數(shù)據(jù)容易出現(xiàn)排版不齊或分段不明等情況，所以處理后數(shù)據(jù)需要進行整理，最后輸出的數(shù)據(jù)符合安全策略的要求。

本發(fā)明實施例通過數(shù)據(jù)安全處理器中硬件與軟件的配合，在系統(tǒng)和系統(tǒng)集群與外界進行數(shù)據(jù)交換時，依據(jù)安全策略規(guī)則對待處理數(shù)據(jù)進行安全處理，可以實現(xiàn)對數(shù)據(jù)的流入和流出進行控制、檢測，保證了數(shù)據(jù)和系統(tǒng)的安全。

實施例二

圖4為本發(fā)明實施例二提供的一種數(shù)據(jù)安全處理器的結(jié)構(gòu)示意圖，參見圖4，該安全處理器包括：

在實施例一的基礎(chǔ)上，所述數(shù)據(jù)安全處理器還包括：

數(shù)據(jù)檢測樣本更新模塊60，用于在根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示之后，當(dāng)檢測到危險數(shù)據(jù)時，記錄下所述危險數(shù)據(jù)的特征碼，添加至安全策略規(guī)則中作為新的數(shù)據(jù)檢測樣本。

具體的，數(shù)據(jù)檢測樣本更新模塊60記錄下的危險數(shù)據(jù)的特征碼會整合到該次檢測所匹配的數(shù)據(jù)檢測樣本上，然后上傳更新到存儲器20中為下次檢測調(diào)用。

本發(fā)明實施例通過記錄下危險數(shù)據(jù)的特征碼并添加至安全策略規(guī)則中，可以自我完成檢測樣本的更新并存儲到存儲器中。

實施例三

圖5為本發(fā)明實施例三提供的一種數(shù)據(jù)安全處理方法的流程示意圖，參見圖5，所述方法包括：

S110、接收安全策略信息并進行分析得到可執(zhí)行代碼形式的安全策略規(guī)則。

S120、存儲所述安全策略規(guī)則。

S130、加載需要執(zhí)行安全策略處理的待處理數(shù)據(jù)。

S140、根據(jù)所述待處理數(shù)據(jù)獲取對應(yīng)的安全策略規(guī)則，并根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示。

S150、根據(jù)所述數(shù)據(jù)處理指示對所述待處理數(shù)據(jù)進行安全處理，并輸出。

優(yōu)選的，上述方法中，接收安全策略信息并進行分析得到可執(zhí)行代碼形式的安全策略規(guī)則，包括：

加載用戶編寫的安全策略信息；

對所述安全策略信息進行編譯得到可執(zhí)行代碼形式的安全策略規(guī)則；

對所述安全策略規(guī)則進行分類，并對已存儲的安全策略規(guī)則進行更新。

優(yōu)選的，上述方法中，根據(jù)所述待處理數(shù)據(jù)獲取對應(yīng)的安全策略規(guī)則，并根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示包括：

根據(jù)所述待處理數(shù)據(jù)的屬性特征或來源獲取對應(yīng)的安全策略規(guī)則；

根據(jù)所述安全策略規(guī)則對文件形式或代碼形式的所述待處理數(shù)據(jù)進行分析，以產(chǎn)生數(shù)據(jù)處理指示。

優(yōu)選的，中述方法中，根據(jù)所述數(shù)據(jù)處理指示對所述待處理數(shù)據(jù)進行安全處理，并輸出，包括：

根據(jù)所述數(shù)據(jù)處理指示對所述待處理數(shù)據(jù)進行修改、過濾、攔截和/或加密處理，并輸出。

優(yōu)選的，所述方法，所述根據(jù)所述安全策略規(guī)則對所述待處理數(shù)據(jù)進行處理，以產(chǎn)生數(shù)據(jù)處理指示之后，還包括：

當(dāng)檢測到危險數(shù)據(jù)時，記錄下所述危險數(shù)據(jù)的特征碼，添加至安全策略規(guī)則中作為新的數(shù)據(jù)檢測樣本。

本發(fā)明實施例所提供的技術(shù)方案，在系統(tǒng)和系統(tǒng)集群與外界進行數(shù)據(jù)交換時，通過依據(jù)安全策略規(guī)則對待處理數(shù)據(jù)進行安全處理，并能自我完成檢測樣本的更新，可以實現(xiàn)對數(shù)據(jù)的流入和流出進行控制、檢測，保證了數(shù)據(jù)和系統(tǒng)的安全。

上述方法可適用于本發(fā)明任意實施例所提供的數(shù)據(jù)安全處理器，具備安全處理器相應(yīng)的執(zhí)行方法和有益效果。

注意，上述僅為本發(fā)明的較佳實施例及所運用技術(shù)原理。本領(lǐng)域技術(shù)人員會理解，本發(fā)明不限于這里所述的特定實施例，對本領(lǐng)域技術(shù)人員來說能夠進行各種明顯的變化、重新調(diào)整和替代而不會脫離本發(fā)明的保護范圍。因此，雖然通過以上實施例對本發(fā)明進行了較為詳細的說明，但是本發(fā)明不僅僅限于以上實施例，在不脫離本發(fā)明構(gòu)思的情況下，還可以包括更多其他等效實施例，而本發(fā)明的范圍由所附的權(quán)利要求范圍決定。