[发明专利]一种网间互联安全控制策略规则映射方法

权利要求书

1.一种网间互联安全控制策略规则映射方法，其特征在于，具体步骤如下：

步骤一、构建映射处理体系架构，从上到下依次分布表现层、映射匹配层和规则生成层；

表现层包括策略编辑模块和状态反馈两个模块；

策略编辑模块是指：首先，自定义一套符合巴科斯范式的安全控制策略语法，业务员编辑符合该语法的安全控制策略；

所述的自定义的符合巴科斯范式的安全控制策略语法描述如下所示：

StrategyDef::＝ConditionDoAction

Condition::＝[from{Obj}][to{Obj}][protocolNum]

Obj::＝[SUBNETNAME][portNum|[Num:Num]]

Num::＝Digit|NumDigit

Digit::＝0|1|2|3|4|5|6|7|8|9

DoAction::＝TypeAction

Type::＝one-way|two-way

Action::＝accept|drop

StrategyDef表示定义一条安全控制策略，包括Condition和DoAction；Condition表示安全控制策略的条件部分，包括源头，目的地和协议号；

Obj表示一个带有端口约束条件的子网；

DoAction表示安全控制策略的动作执行部分，由Type和Action两部分组成；

Type表示Condition的方向，有one-way和two-way两个选项；one-way表示由源头向目的地单向执行Action，two-way表示两个子网双向均执行Action；Action为安全控制策略的动作，accept表示接受，即满足定义的条件时执行放行动作，drop表示丢弃，即满足定义条件时执行拒绝、丢弃动作；

状态反馈对无法完成映射的安全控制策略进行错误提示；

映射匹配层对表现层的安全控制策略进行语义分析及映射，并将安全控制策略转化为XML形式的安全规则；具体包括：词法分析模块，语法分析模块，对象映射数据库，语义分析模块及安全规则范式匹配模块；

词法分析模块对安全控制策略以字符流的形式进行扫描，根据构词规则识别单词和符号，生成单词序列；

语法分析模块是指：首先，根据自定义的安全控制策略语法生成自定义的抽象语法树AST的结构；然后，语法分析模块识别由词法分析模块给出的单词符号序列是否符合自定义的安全控制策略语法，若是则将自定义的AST结构生成一个具体的AST，否则执行异常上报；

对象映射数据库中存储子网名称与子网网段的映射关系，完成子网名称向网段的映射后，进行语义分析；

语义分析模块是对结构正确的具体AST进行上下文有关性质与约束的审查，从而生成带有语义的AST；

安全规则范式匹配模块将带有语义的AST转化为XML形式的安全规则；

规则生成层包含一个安全规则生成器，将XML形式的安全规则转化为一条或多条可执行的规则代码或命令；

步骤二、在映射匹配层的对象映射数据库中完成子网名称到子网网段的映射；

步骤三、业务工作人员在表现层的策略编辑模块的界面进行策略编辑，编辑好后生成待部署的安全控制策略；

步骤四、词法分析模块以字符流的形式读取待部署的安全控制策略，将字符序列转换为单词序列，发送到语法分析模块；

步骤五、语法分析模块识别单词序列中的关键词，依据自定义的安全控制策略语法将符合该语法的关键词生成对应的短语；同时依据自定义的AST结构对短语执行读取操作，将读取到的内容填入自定义的AST结构中对应的节点，从而生成对应的具体AST；

步骤六、语义分析模块根据对象映射数据库中建立的映射将子网名称映射成网段值，替换具体AST中子网名称节点的内容，然后审查各节点内容是否符合规范性，如果是，则生成最终的带有语义的AST，执行步骤七，否则，向状态反馈模块发送异常信息，执行步骤八；

步骤七、安全规则范式匹配模块通过读取最终带有语义的AST节点的内容，将最终带有语义的AST转化为XML形式的安全规则，若匹配成功则执行步骤九，若失败则发送反馈消息给状态反馈模块，执行步骤八；

步骤八、状态反馈模块对收到的反馈消息进行处理，提示业务工作人员，返回步骤三对待部署的安全控制策略重新编辑；

步骤九、规则生成层的安全规则生成器根据具体应用场景需要提供的规则服务，将XML形式的安全规则转化为一条或多条可执行的规则代码或命令，若成功则完成待部署的安全控制策略到规则的映射，否则发送反馈消息给反馈模块，执行步骤八。