虚拟域内访问控制系统的保护系统

摘要

本发明公开了一种虚拟域内访问控制系统的保护系统，包括策略执行模块、策略决策缓存模块、策略服务器模块和内存保护模块，策略执行模块用于拦截低级语义，将拦截的低级语义转换为高级语义，将高级语义传送到策略决策缓存模块，并从策略决策缓存模块获取策略决策结果，策略决策缓存模块用于从策略执行模块接收高级语义，将高级语义传送到策略服务器模块，策略决策缓存模块从策略服务器模块获取策略决策结果，将策略决策结果传送到策略执行模块，并对策略决策结果进行缓存，策略服务器模块用于根据高级语义查找其安全策略库，以生成策略决策结果。本发明能够保护虚拟域内访问控制系统，使其免于遭遇攻击，提高虚拟域内访问控制系统的安全性。

主权项

一种虚拟域内访问控制系统的保护系统，包括策略执行模块(1)、策略决策缓存模块(2)、策略服务器模块(3)和内存保护模块(5)，其特征在于，所述策略执行模块(1)用于拦截低级语义，将拦截的低级语义转换为高级语义，将所述高级语义传送到所述策略决策缓存模块(2)，并从所述策略决策缓存模块(2)获取策略决策结果；所述策略决策缓存模块(2)用于从所述策略执行模块(1)接收所述高级语义，将所述高级语义传送到所述策略服务器模块(3)，策略决策缓存模块(2)从所述策略服务器模块(3)获取所述策略决策结果，将所述策略决策结果传送到所述策略执行模块(1)，并对所述策略决策结果进行缓存；所述策略服务器模块(3)用于根据所述高级语义查找其安全策略库，以生成所述策略决策结果，并将所述策略决策结果传送到所述策略决策缓存模块(2)；所述内存保护模块(5)用于保护所述策略执行模块(1)和所述策略决策缓存模块(2)免受攻击；所述策略决策缓存模块(2)包括查询子模块(21)、消息准备子模块(22)、消息子模块(23)、策略读取子模块(24)、更新子模块(25)和缓冲子模块(26)；查询子模块(21)用于根据查询所述缓冲子模块(26)中是否存在所述高级语义，如果存在，则直接将所述策略决策结果返回给所述策略执行模块(1)，否则调用所述消息准备子模块(22)和所述消息子模块(23)从所述策略服务器模块(3)的安全策略库获取安全策略；所述消息准备子模块(22)用于在不存在所述高级语义时将所述高级语义写入共享内存区域中，并调用所述消息子模块(23)通知所述策略服务器模块(3)来读取所述共享内存区域中的高级语义；所述消息子模块(23)用于通知所述策略服务器模块(3)读取所述共享内存区域中的高级语义；策略读取子模块(24)用于读取所述安全策略库中的安全策略，并将所述安全策略传递给所述更新子模块(25)；所述更新子模块(25)用于删除所述缓冲子模块(26)中最近最少使用的一条记录，将新的记录插入到所述缓冲子模块(26)中，以备下次查询，并将所述策略决策结果返回给所述查询子模块(21)；所述缓冲子模块(26)用于保存最近最多使用的策略决策结果；所述策略服务器模块(3)包括通知子模块(31)、读共享内存子模块(32)、策略决策子模块(33)、写共享内存子模块(34)和策略库(35)；所述通知子模块(31)用于接收所述消息子模块(23)的通知消息，并调用所述读共享内存子模块(32)读取所述通知消息，并在所述写共享内存子模块(34)向所述共享内存区域写入所述策略决策结果后，通知所述策略决策缓存模块(2)取走所述策略决策结果；所述读共享内存子模块(32)用于读取所述共享内存区域中的高级语义，并将所述高级语义传送到所述策略决策子模块(33)；所述策略决策子模块(33)根据所述高级语义查询所述安全策略库以获取相关的安全策略，根据所述安全策略得到所述策略决策结果，并将所述策略决策结果传送到所述写共享内存子模块(34)；写共享内存子模块(34)用于将所述策略决策结果写入所述共享内存区域中；安全策略库(35)用于存放所述安全策略。