本发明专利技术公开了一种基于RMI标准的安全软件统一开发方法,在被管理设备、系统和面用用户需求的安全应用系统之间增加通信设施层,另再增加安全服务层应用于安全应用系统。通信设施层由设备代理对象VO、VO服务器和通信集中管理器三部分组成;通信设施层定义底层设备(被管理设备)、系统的标准的通信接口。解决了现有开发方法中,难以实现数据有效共享,通信负载大,整体安全支持力度弱,只能完成某种特定的管理功能的缺点。
【技术实现步骤摘要】
本专利技术涉及安全软件开发的方法。
技术介绍
安全软件通常可以分成两类面向特定设备的安全软件和面向特定功能的安全软件。面向特定设备的安全软件往往是针对某种特定类型的设备、系统,提供全面的安全管理功能。通常硬件厂商提供的安全软件属于这种类型,它们是针对某种类型的安全硬件产品,如防火墙、入侵检测系统、防病毒系统、网络设备等,采用设备类型特定的管理接口,进行实时的监视,获得安全产品的运行参数以实时了解设备的运行状态,并远程设置安全产品的配置参数和运行状态。面向特定设备的安全软件基本上不支持对其他类型的设备、系统也进行集中的管理。CN02822219.9在多处理器环境中单方地加载安全操作系统的装置和方法,包括当检测到当前活动的加载安全区域操作时,不理会收到的加载安全区域指令。否则,响应于收到的加载安全区域指令,存储器保护单元被引导以形成安全存储器环境。一旦被引导,则对一个或者多个受保护的存储器区域的未授权的读/写访问被禁止。最后,一个或者多个受保护的存储器区域的加密散列值作为安全软件标识值被存储到摘要信息库中。一旦被存储,则外部代理可以请求对被数字签名的软件标识值进行访问,以便建立对在安全存储器环境中的安全软件的安全检验。CN200410013285.9通过进程和系统轨迹分析阻断计算机病毒方法设计了一种新的计算机安全软件产品,它包括四个方面日志系统,负责完成记录进程的行为和结果,以及操作系统的变更;预警系统,预先设置的预警条件,监控进程特定的动作,当这些动作发生时,对该动作的执行者进行“行为验证”,并根据验证结果和预先设置进行预警、阻断、或者记入黑名单等操作;分析系统,根据日志进行综合分析,以便识别有无安全事故发生,追查特定动作的来源,为恢复操作系统提供恢复依据;还原系统,对业已造成的破坏进行智能恢复,主要是根据分析系统提供的分析结论(事故轨迹)进行有害文件的清除,系统设置的恢复,包括启动项的清理,服务项的清理,内核模块的加载。面向特定功能的安全软件是针对某个特定安全管理功能而设计开发的。例如,安全日志管理系统采集各种设备、系统生成的安全日志信息,用来监视网络和系统的运行状态,跟踪用户的行为;配置完整性管理系统及时收集各种设备、系统的配置信息,当关键配置项发生变化时能及时发送告警信息,并自动进行恢复;桌面安全管理系统保证桌面系统安装有最新的安全补丁,以消除蠕虫病毒发作带来的威胁。面向特定功能的安全软件通常采用多种常用的通信接口来和多种设备和系统进行通信,但它们基本上局限某一个特定的功能上。这两种安全软件都存在比较明显的局限性,其开发和部署存在以下问题难以实现数据有效共享每个安全软件都通过自己的通信接口访问被管理的设备、系统,并将采集到的数据根据自己的业务需求存储在系统内部的数据库中。这样很难做到多个系统之间实现数据共享,导致多个独立的信息孤岛; 通信负载大因为每个安全软件到监视设备、系统的运行参数,产生了大量、重复的通信流量,对被管理的设备和系统的通信负载增大;整体安全支持力度弱每个安全软件都只能完成部分安全功能,而这些软件系统是独立开发,缺乏统一的软件基础和功能密切协同的交互接口,难以向系统管理员提供全局的安全视图和集成的安全管理工具。而且安全软件都需要某些通用的功能,例如安全软件通常都需要定时轮询各个被管理设备的运行参数并保存到数据库中进行运行状态的分析,安全软件通常都需要能够接收被管理设备产生的日志信息保存到数据库中进行统计分析等。由每个安全软件各自独立开发这些功能模块,将导致安全软件的研发做大量的重复性工作,开发效率很低,软件质量得不到保证。总之,传统的安全软件是直接在被管理的设备、系统上开发安全应用软件,从而导致安全软件在通信接口上和特定的设备、系统绑定在一起,从功能实现上只能完成某种特定的管理功能。
技术实现思路
本专利技术目的是针对这种安全软件的研发现状,提出一种基于RMI标准的安全软件统一开发的方法,设计、实现了新SmartSecurer安全软件统一开发平台,本专利技术的技术解决方案是基于RMI标准的安全软件统一开发方法,在被管理设备、系统和面用用户需求的安全应用系统之间增加通信设施层,另再增加安全服务层应用于安全应用系统。通信设施层由设备代理对象VO、VO服务器和通信集中管理器三部分组成;通信设施层定义底层设备(被管理设备)、系统的标准的通信接口。任何支持所采用协议的系统都可以通过通信设施层,对底层的设备、系统进行访问。被管理设备、系统产生的日志事件首先发送给通信服务器,然后转发给各个事件源对应的VO对象。通信设施层对每一个被管理的设备、系统,都创建一个对应的设备代理对象,简称为VO;VO对象是一个可运行的逻辑对象,它向外提供预定义的标准的访问接口,而各个具体通信功能则采用设备特定的远程管理通信接口与设备交互来实现;VO对象是被管理设备在软件系统中的一个逻辑上的适配器,它是物理设备、系统在软件系统中的映射,将设备异构的远程通信接口转换到一组系统预定义的管理接口上;屏蔽设备异构的远程通信接口,向上层提供标准的访问接口;为了支持不同参数的查询、VO对象采用了创新的命令分发表机制;每个VO对象有一个命令分发表,对每一个要监视和控制的参数,定义了要监视和控制该参数需要执行的命令对象的名称;VO对象通过标准的通信接口接收到标准命令调用请求,根据命令请求中定义的参数查询命令分发表,获得要执行的命令对象的名称,然后VO对象动态加载该命令对象,调用命令对象的监视或控制方法;每一个命令对象面向一个具体的监视和控制功能,采用一种特定的通信协议与被管理的设备和系统通信;从而支持不同参数的查询、监视功能需要采用不同的通信协议;为了对多个VO服务器上的大量VO对象进行有效的管理,通信设施层提供了通信集中管理器。通信集中管理器通过对每个VO服务器定期进行健康检查,及时存储其运行状态;当VO服务器出现异常,重新启动后,通信集中管理器自动调用VO服务器的接口将其恢复到故障发生前的状态,向上层软件系统屏蔽了底层出现的故障; 通信集中管理器提供VO部署,设有上层软件系统调用通信集中管理器的接口,创建一个VO对象时,通信集中管理器首先根据预定义的VO部署策略,决定VO对象所属的VO服务器,然后调用VO服务器的接口在该通信服务器上创建指定类型的VO对象;通信集中管理者提供名字服务器的功能,VO对象启动后将向通信集中管理器;通信设施层的目标是屏蔽底层各个被管理设备、系统提供的异构的安全管理接口,向上层服务层和应用系统提供对底层被管理设备、系统的标准访问接口;通信设施层通过定义底层设备(被管理设备)、并设有系统的标准的通信接口;任何支持所采用协议的系统均通过通信设施层,对底层的设备、系统进行访问;被管理设备、系统产生的日志事件首先发送给通信服务器,然后转发给各个事件源对应的VO对象;上层软件模块只需要知道VO对象的名称或者被管理设备、系统的名称,就通过通信设施层向通信集中管理器查询,知道VO对象运行在哪个VO服务器上,并得到VO对象的通信句柄;通过该通信句柄,就可以调用VO对象提供的标准访问接口,从而访问底层被管理设备。上层软件模块只需要知道VO对象的名称或者被管理设备、系统的名称,就可以通过通信设施层向通信集中管理器查询,知道本文档来自技高网...
【技术保护点】
基于RMI标准的安全软件统一开发方法,其特征是在被管理设备、系统和面用用户需求的安全应用系统之间增加通信设施层,通信设施层由设备代理对象VO、VO服务器和通信集中管理器三部分组成;通信设施层对每一个被管理的设备、系统,都创建一个对应 的设备代理对象,简称为VO;VO对象是一个可运行的逻辑对象,它向外提供预定义的标准的访问接口,而各个具体通信功能则采用设备特定的远程管理通信接口与设备交互来实现;VO对象是被管理设备在软件系统中的一个逻辑上的适配器,它是物理设备、系统在软件系统中的映射,将设备异构的远程通信接口转换到一组系统预定义的管理接口上;屏蔽设备异构的远程通信接口,向上层提供标准的访问接口;VO对象采用了创新的命令分发表机制;每个VO对象有一个命令分发表,对每一个要监视和控制的参数,定义了要监视 和控制该参数需要执行的命令对象的名称;VO对象通过标准的通信接口接收到标准命令调用请求,根据命令请求中定义的参数查询命令分发表,获得要执行的命令对象的名称,然后VO对象动态加载该命令对象,调用命令对象的监视或控制方法;每一个命令对象面向一个具体的监视和控制功能,采用一种特定的通信协议与被管理的设备和系统通信;从而支持不同参数的查询、监视功能需要采用不同的通信协议;通信集中管理器通过对每个VO服务器定期进行健康检查,及时存储其运行状态;当VO服务器出现异常,重新启动后, 通信集中管理器自动调用VO服务器的接口将其恢复到故障发生前的状态,向上层软件系统屏蔽了底层出现的故障;通信集中管理器提供VO部署,上层软件系统调用通信集中管理器的接口,创建一个VO对象时,通信集中管理器首先根据预定义的VO部署策略, 决定VO对象所属的VO服务器,然后调用VO服务器的接口在该通信服务器上创建指定类型的VO对象;通信集中管理者提供名字服务器的功能,VO对象启动后将向通信集中管理器;通信设施层的目标是屏蔽底层各个被管理设备、系统提供的异构的安 全管理接口,向上层服务层和应用系统提供对底层被管理设备、系统的标准访问接口;通信设施层通过定义底层设备(被管理设备)、并设有系统的标准的通信接口;任何支持所采用协议的系统均通过通信设施层,对底层的设备、系统进行访问;被管理设备、系统产生的日志事件首先发送给通信服务器,然后转发给各个事件源对应的VO对象;上层软件模块只需要知道VO对象的名称或者被管理设备、系统的名称...
【技术特征摘要】
【专利技术属性】
技术研发人员:赵才文,杨智敏,吴冬,张全江,
申请(专利权)人:南京联创网络科技有限公司,
类型:发明
国别省市:84[中国|南京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。