[发明专利]一种安全策略的冲突处理方法、架构及统一转换器

权利要求书

1.一种安全策略的冲突处理方法，其特征在于，所述方法包括：

策略层将不同网络的安全策略下发到中间层；

所述中间层将所述不同网络的安全策略进行统一转换并下发到处理层；

所述处理层对转换后的所述不同网络的安全策略进行冲突处理。

2.如权利要求1所述的处理方法，其特征在于，所述处理层对所述不同网络的安全策略进行冲突处理包括以下之一或任意组合：解析分解、冲突检测、消解。

3.如权利要求1或2所述的处理方法，其特征在于，

所述转换是指，提取所述不同网络的安全策略包含的条件和执行信息并采用统一的语言进行表示。

4.如权利要求3所述的处理方法，其特征在于，

所述采用统一的语言进行表示指采用可扩展标记语言(XML)表示。

5.如权利要求4所述的处理方法，其特征在于，

若所述处理层的安全设备支持所述XML语言表示的安全策略，则直接对所述XML语言表示的安全策略进行解析分解、冲突检测和消解；

若所述处理层的安全设备不支持所述XML语言表示的安全策略，则将所述XML语言表示的安全策略转换为所述处理层的安全设备支持的语言形式表示的安全策略后，再进行解析分解、冲突检测和消解。

6.一种安全策略冲突的处理架构，其特征在于，所述架构包括：策略层、中间层和处理层，

所述策略层，用于承载不同网络的安全策略，并下发到所述中间层；

所述中间层，用于将所述不同网络的安全策略进行统一转换并下发到所述处理层；

所述处理层，用于对转换后的所述不同网络的安全策略进行冲突处理。

7.如权利要求6所述的处理架构，其特征在于，所述处理层对所述不同网络的安全策略进行冲突处理包括以下之一或任意组合：解析分解、冲突检测、消解。

8.如权利要求6所述的处理架构，其特征在于，所述不同网络的安全策略是采用不同的形式化规范语言表示的策略。

9.如权利要求6所述的处理架构，其特征在于，

所述中间层采用如下方式对所述不同网络的安全策略进行转换：提取所述安全策略包含的条件和执行信息并采用统一的语言进行表示。

10.如权利要求9所述的处理架构，其特征在于，

所述处理层还用于，将所述采用统一的语言表示的安全策略转换为本地安全设备支持的语言形式；以及对内部策略进行冲突处理或者对中间层转换后下发的其它网络的安全策略进行冲突处理。

11.如权利要求9或10所述的处理架构，其特征在于，

所述统一的语言表示是指采用XML语言表示。

12.如权利要求11所述的处理架构，其特征在于，

若所述处理层支持所述XML语言表示的安全策略，则所述处理层直接对所述XML语言表示的安全策略进行解析分解、冲突检测和消解；

若所述处理层不支持所述XML语言表示的安全策略，则所述中间层或者所述处理层将所述XML语言表示的安全策略转换为所述处理层支持的语言形式表示的安全策略后，由所述处理层进行解析分解、冲突检测和消解。

13.如权利要求6所述的处理架构，其特征在于，所述处理层还包括：安全策略解析/分解模块、安全策略冲突检测模块、安全策略库、冲突数据库和安全策略冲突消解模块，其中：

所述安全策略解析/分解模块，用于对统一的语言表示的安全策略进行解析分解，或者，将采用统一的语言表示的安全策略转换为本地安全设备支持的语言形式后进行解析分解；

所述安全策略冲突检测模块，用于根据所述解析分解后的安全策略结合所述安全策略库中存储的安全策略进行安全策略冲突检测，如果检测到冲突，则查询所述冲突数据库确定冲突类型，并触发所述安全策略冲突消解模块；

所述安全策略库，用于存储安全策略；

所述冲突数据库，用于存储冲突数据表；

所述安全策略冲突消解模块，用于根据冲突类型，利用本地冲突消解策略对冲突进行消解，并将消解成功的策略加入所述安全策略库。

14.一种统一转换器，其特征在于，

所述统一转换器用于，将不同网络的安全策略转换成统一的语言表示的安全策略，并提供给处理层进行安全策略的冲突处理。