Part 01
專利發明的初衷
在網際網路中,不可避免地存在一些具有風險或者異常的資料通路行為,會對企業管理系統、政府管理系統等系統的安全造成威脅。為了保障資料通路的安全,企業需要設定通路控制政策。通路控制政策通常是由一條或多條規則組成,每條規則通常含有布爾變量、邏輯運算符和括号組成的表達式,用于描述邏輯關系和條件判斷,也就是說每條規則就是一個布爾表達式。當該條規則的結果為真(即布爾表達式給出的結果為真)時,執行該規則的動作。企業通過設定一套或多套規則,并按照規則檢測使用者通路網際網路所産生的通路資料是否安全,以便更加嚴格地規範使用者的通路行為。
現有的通路控制方式需對每一個條件進行比對,才能得到最終的布爾表達式的結果。比對耗費時間的長短,決定了整個通路連接配接的速度。如果比對耗時長,就會影響整個裝置的運作性能。反之,當通路控制政策的比對速度較快時,使用者能夠更快地擷取所需的授權或拒絕資訊,進而減少了等待時間,通路無延遲,會提高使用者的體驗效果。是以,我們需要一種更快的通路控制政策比對方式。
Part 02
專利可實作功能
通路控制政策通常由表達式和邏輯運算符(AND)、或(OR)、非(NOT)組成。這些表達式和邏輯運算符用于定義通路請求、響應驗證、授權和記錄的規則或條件。
通過組合表達式和邏輯運算符,通路控制政策可以靈活的定義“誰”可以通路什麼資源、在什麼條件下進行通路、具有何種權限等。這樣可以確定通過授權的使用者或實體才能獲得合法的通路權限,同時阻止未經授權的通路和潛在的安全威脅。
表達式和邏輯運算符組合的複雜表達式,通常使用字尾表達式(也稱為逆波蘭表達式)進行依次比對,最終确定是否滿足通路控制的規則和條件。
在通路控制政策中,利用有序二叉決策圖(Ordered Binary Decision Diagram,簡稱OBDD),将布爾表達式以有序的方式表示為一個有向無環圖,其中每個節點代表一個布爾變量的取值,圖形的邊表示變量的指派情況。通過對布爾表達式進行簡化和合并,可以得到一個緊湊的OBDD,其中相同的子表達式隻需要計算一次。根據OBDD的結構直接跳過部分計算,在計算過程中提前确定結果,避免不必要的計算步驟,進而提高計算效率。
舉個例子,假設通路控制政策中有一個布爾表達式為:A AND (B OR C)。通過轉換為OBDD,可以得到一個有序的圖形表示,其中節點代表A、B、C的取值情況,圖形的邊表示條件的關系。在計算過程中,如果變量 A 的取值為假,可以直接跳過節點 [B OR C];如果變量 A 的取值為真,根據變量 B 和 C 的取值情況,進一步決定最終的結果。
Part 03
專利适用産品
本專利可以應用到增強型Web安全網關(ASWG)産品中,可以顯著提升系統的處理性能。傳統的通路控制政策需要逐個比對每個條件和邏輯運算符,以确定整個表達式的結果。這樣的計算過程可能會消耗大量的時間和計算資源。使用本專利可以更快地對通路請求進行驗證,并作出相應的決策,進而提升整個系統的性能。使用者和應用程式會減少等待時間和通路延遲,提升整體的使用者體驗。同時也減少計算資源的消耗,為其他重要任務和功能留出更多的資源。
Part 04
專利的應用效果
本發明專利可以給使用者帶來以下價值:
- 提升計算性能
通過優化計算速度,可以降低使用者通路延遲的時間,提升整個系統的運作效率。使用者能夠更快地擷取通路授權或拒絕,提升使用者體驗。每條通路控制政策比對時間平均在10微秒内(1秒=1000000 微秒)
- 簡化計算過程
通過簡化有序二叉決策圖和布爾變量的運作時間資訊,布爾表達式的計算過程得到簡化。管理者和開發人員可以更輕松地設計、管理和維護通路控制政策,減少出錯的可能性。
- 加強資訊安全保護
優化的通路控制政策計算可以更好地保護政府和企業内部的資料安全。通過快速而準确的計算結果,有助于防止未經授權的通路或惡意行為,增強系統的安全性。
作者介紹
劉中砥,畢業于中國科學技術資訊研究所,碩士學位,天空衛士核心進階工程師。主要從事增強型Web安全網關(ASWG)、增強型安全郵件網關等方向的研究和應用開發。在計算機行業擁有十幾年開發經驗、在資料安全領域有着九年的開發經曆,并長期緻力于開源社群,擁有廣泛的技術能力和實踐經驗,擁有多項國家發明專利。