一种基于描述逻辑的策略自动化演绎方法及系统技术方案

本发明专利技术公开的基于描述逻辑的策略自动化演绎方法及系统，包括：创建结构化格式的策略，将结构化格式的策略存储为XACML格式的策略；将XACML格式的策略翻译为形式化策略；根据需要实现的策略目标解释环境，将形式化策略转换为具体策略；对具体策略实例化，生成策略对象的实例，并分发到实际设备执行。本发明专利技术通过形式化的安全策略表达，利用策略中心实现安全策略的自动化演绎、决策和执行，可有效降低管理员的策略管理难度、提高安全管理效率。提高安全管理效率。提高安全管理效率。

【技术实现步骤摘要】
一种基于描述逻辑的策略自动化演绎方法及系统


[0001]本专利技术涉及安全策略管理
，具体涉及一种基于描述逻辑的策略自动化演绎方法及系统。

技术介绍

[0002]安全策略是为了保证系统的安全性，防止安全威胁对系统造成破坏而制定的行为标准和管理原则，通常由自然语言来表达，具有较高的抽象层次。通常，安全策略由条件和操作构成，当系统状态满足安全策略所定义的条件时，便执行相应的操作。基于策略的安全管理将系统的安全目标、需求等，描述为安全策略的形式，然后由策略执行单元根据这些安全策略，对信息的存取、传输及网络实体的行为实施监控和配置等。
[0003]对安全策略的管理就是对策略的整个生命周期进行管理，其中包括策略的生成、存储、决策与解释，以及策略的实施、实施状况的审计和监督等，IETF综合考虑策略在网络管理和安全管理等方面的应用需求，图1给出了一种通用的策略管理体系结构。在该策略管理体系结构中，主要有以下几个组成部分：策略管理工具(Policy Manage Tool，PMT)：为管理员提供管理操作接口，包括创建、分配和存储策略,以及状态监控等，同时提供简单的验证机制，以检测潜在的策略冲突；策略库(Policy Repository，PR)：用以存放策略的数据库系统（如LDAP服务器），并支持策略检索，一般还会存储其他的网络信息、系统参数或策略信息；策略决策点(Policy decision Point，PDP)：也称策略服务器，是整个系统的决策中心。PDP负责存取策略库中的策略，结合当前系统信息以及网络运行状况，根据策略执行点提交的策略请求，从策略库中提取相关策略，并将策略解释后返回给策略执行点。此外，PDP还能检测策略的变化和冲突，检测策略的执行结果并采取应对措施，实现策略监视器的功能。PDP的部署方式一般有集中式、弱分布式和强分布式三种结构；策略执行点(Policy Enforcement Point，PEP)：是执行和实施策略的实际设备，如网络管理中的路由器、VPN 网关、防火墙。PEP汇总、收集、缓存PDP所需的策略信息，适时向PDP发起携带策略信息的策略请求，并负责执行由PDP分配、下发的策略。同时，向PDP报告执行结果，使PDP了解策略的执行情况以及网络的状态。
[0004]从安全管理层面来说，每个策略制定者所理解的策略层次并不完全相同。系统管理员根据管理需求制定相应的安全策略，通常以自然语言的形式来定义和描述。这些面向管理者的安全策略，仅仅反应了系统所要实现和达到的安全目标，屏蔽了所有底层实现和各种技术细节，其本身并不具备可执行性，系统无法对这些抽象策略进行解析，也无法将其应用于对应的系统对象或实体中去。面向网络安全管理的安全策略通常以自然语言的形式制定和生成，具有很高的语言抽象性，自动化程度不高，无法被计算机系统识别和执行。目前，安全策略管理系统通常采用“If...Then”结构的条件式策略表达方法，属于乔姆斯基谱系的2型文法（即上下文无关语法），与自然语言存在较大的语言层面差异，导致策略表达的能力不足。在策略定义时，需要管理员负责将自然语言安全策略转化为条件式的策略表达形式，存在策略转化效率低、策略冲突难发现、设备兼容性差等问题。
[0005]在实际的策略应用中，安全管理员等专业人员将上述自然语言表达的安全策略，人工转换为安全系统（如VPN、网关、防火墙等）可以理解的规则，并对相关系统进行配置，该过程复杂耗时且容易出错。
[0006]在现阶段的企业数字化转型过程中，策略制定者大多数来自管理岗位和业务部门，通常缺乏实际的安全理论和实践经验，导致安全策略的转换和实施面临较高的人工成本。安全策略编写者通常具有不同的技术背景，有些具有法律或商业背景，而有些则具有更多的技术能力基础。

技术实现思路

[0007]专利技术目的：本专利技术目的在于针对现有技术的不足，提供一种基于描述逻辑的策略自动化演绎方法及系统，通过形式化的安全策略表达，利用策略中心实现安全策略的自动化演绎、决策和执行，可有效降低管理员的策略管理难度、提高安全管理效率。
[0008]技术方案：本专利技术所述基于描述逻辑的策略自动化演绎方法，包括如下步骤：S1：创建结构化格式的策略，将结构化格式的策略存储为XACML格式的策略；S2：将XACML格式的策略翻译为形式化策略；S3：根据需要实现的策略目标解释环境，将形式化策略转换为具体策略；S4：对具体策略实例化，生成策略对象的实例，并分发到实际设备执行。
[0009]进一步完善上述技术方案，所述结构化格式的策略通过获取用户输入的以受限自然语言编写的策略再经过转换生成，或直接采用结构化格式进行编写生成。
[0010]进一步地， 所述获取用户输入的以受限自然语言编写的策略再经过转换生成包括：获取用户通过策略编辑器在导引指示下，输入的满足策略规则中需要包含的要素以及要素在策略规则中的顺序所形成的以受限自然语言编写的策略；通过浅层解析器识别出策略中元素并进行保存，以及通过多次迭代对策略中的文本进行标记。
[0011]进一步地，所述以受限自然语言编写的策略满足：每个策略规则必须包含在一个句子中，且策略规则元素遵循固定的排列顺序。
[0012]进一步地，所述S2包括：利用本体库将XACML格式的策略自动分解为动作及动作的执行时刻，基于动作描述语言的逻辑命令，将动作及动作的执行时刻翻译为由相关逻辑命令表达的逻辑句子。
[0013]进一步地，所述基于动作描述语言的逻辑命令通过命令和谓词来表示授权策略中蕴含的逻辑事件，包括：req是策略系统的输入事件，对应访问请求事件，do和deny是策略系统对请求的响应事件，permitted和denied表示授权状态事件，filedesc用来断言文件提供者与数据文件的供应关系，所有命令和谓词中的时间参数均为事件的执行时刻。
[0014]进一步地，所述S3包括：通过溯因逻辑对所述形式化策略进行推理分析，证明该策略不存在形式上的策略冲突以及是否与策略描述一致；通过指定动作和事件如何改变系统状态，以产生特定策略规则适用的环境。
[0015]进一步地，采用诱因约束逻辑编程系统对所述形式化策略进行推理分析，采用事件演算描述系统事件和动作如何影响系统状态。本专利技术采用诱因约束逻辑和事件演算进行策略演绎，用计算机推理来保证策略自动化演绎的正确性，减轻人工参与的工作负担。
[0016]用于实现上述的基于描述逻辑的策略自动化演绎方法的系统，包括PMT、多级PDP、
PIB，所述多级PDP包括至少一个中心PDP服务器和若干个自治域PDP服务器，中心PDP服务器与所述PMT、PIB进行数据交互，所述PIB存储有与该域有关的数字策略和设备信息，所述PMT用于策略定义以创建策略；所述中心PDP服务器包括决策控制模块、策略解析器、策略翻译器、策略分析器、策略编译器、策略优化模块、域设备管理模块、通信模块；所述决策控制模块用于获取所述PMT创建的策略，访问所述PIB的数字策略和设备信息，以及控制PDP服务器的工作线程调度；所述策略解析器本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于描述逻辑的策略自动化演绎方法，其特征在于，包括如下步骤：S1：创建结构化格式的策略，将结构化格式的策略存储为XACML格式的策略；S2：将XACML格式的策略翻译为形式化策略；S3：根据需要实现的策略目标解释环境，将形式化策略转换为具体策略；S4：对具体策略实例化，生成策略对象的实例，并分发到实际设备执行。2.根据权利要求1所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述结构化格式的策略通过获取用户输入的以受限自然语言编写的策略再经过转换生成，或直接采用结构化格式进行编写生成。3.根据权利要求2所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述获取用户输入的以受限自然语言编写的策略再经过转换生成包括：获取用户通过策略编辑器在导引指示下，输入的满足策略规则中需要包含的要素以及要素在策略规则中的顺序所形成的以受限自然语言编写的策略；通过浅层解析器识别出策略中元素并进行保存，以及通过多次迭代对策略中的文本进行标记。4.根据权利要求3所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述以受限自然语言编写的策略满足如下约束：每个策略规则必须包含在一个句子中，且策略规则元素遵循固定的排列顺序。5.根据权利要求1所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述S2包括：利用本体库将XACML格式的策略自动分解为动作及动作的执行时刻，基于动作描述语言的逻辑命令，将动作及动作的执行时刻翻译为由相关逻辑命令表达的逻辑句子。6.根据权利要求5所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述基于动作描述语言的逻辑命令通过命令和谓词来表示授权策略中蕴含的逻辑事件，包括：req是策略系统的输入事件，对应访问请求事件，do和deny是策略系统对请求的响应事件，permitted和denied表示授权状态事件，filedesc用来断言文件提供者与数据文件的供应关系，所有命令和谓词中的时间参数均为事件的执行时刻。7.根据权利要求5所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述S3包括：通过溯因逻辑对所述形式化策略进行推理分析，证明该策略不...

【专利技术属性】
技术研发人员：于振伟，杨正权，秦益飞，
申请(专利权)人：江苏易安联网络技术有限公司，
类型：发明
国别省市：