[发明专利]一种基于描述逻辑的策略自动化演绎方法及系统

权利要求书

1.一种基于描述逻辑的策略自动化演绎方法，其特征在于，包括如下步骤：

S1：创建结构化格式的策略，将结构化格式的策略存储为XACML格式的策略；

S2：将XACML格式的策略翻译为形式化策略；

S3：根据需要实现的策略目标解释环境，将形式化策略转换为具体策略；

S4：对具体策略实例化，生成策略对象的实例，并分发到实际设备执行。

2.根据权利要求1所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述结构化格式的策略通过获取用户输入的以受限自然语言编写的策略再经过转换生成，或直接采用结构化格式进行编写生成。

3.根据权利要求2所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述获取用户输入的以受限自然语言编写的策略再经过转换生成包括：获取用户通过策略编辑器在导引指示下，输入的满足策略规则中需要包含的要素以及要素在策略规则中的顺序所形成的以受限自然语言编写的策略；通过浅层解析器识别出策略中元素并进行保存，以及通过多次迭代对策略中的文本进行标记。

4.根据权利要求3所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述以受限自然语言编写的策略满足如下约束：每个策略规则必须包含在一个句子中，且策略规则元素遵循固定的排列顺序。

5.根据权利要求1所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述S2包括：利用本体库将XACML格式的策略自动分解为动作及动作的执行时刻，基于动作描述语言的逻辑命令，将动作及动作的执行时刻翻译为由相关逻辑命令表达的逻辑句子。

6.根据权利要求5所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述基于动作描述语言的逻辑命令通过命令和谓词来表示授权策略中蕴含的逻辑事件，包括：req是策略系统的输入事件，对应访问请求事件，do和deny是策略系统对请求的响应事件，permitted和denied表示授权状态事件，filedesc用来断言文件提供者与数据文件的供应关系，所有命令和谓词中的时间参数均为事件的执行时刻。

7.根据权利要求5所述的基于描述逻辑的策略自动化演绎方法，其特征在于：所述S3包括：通过溯因逻辑对所述形式化策略进行推理分析，证明该策略不存在形式上的策略冲突以及是否与策略描述一致；通过指定动作和事件如何改变系统状态，以产生特定策略规则适用的环境。

8.根据权利要求7所述的基于描述逻辑的策略自动化演绎方法，其特征在于：采用诱因约束逻辑编程系统对所述形式化策略进行推理分析；采用事件演算描述系统事件和动作如何影响系统状态。

9.用于实现权利要求1所述的基于描述逻辑的策略自动化演绎方法的系统，其特征在于：包括PMT、多级PDP、PIB，所述多级PDP包括至少一个中心PDP服务器和若干个自治域PDP服务器，中心PDP服务器与所述PMT、PIB进行数据交互，所述PIB存储有与该域有关的数字策略和设备信息，所述PMT用于策略定义以创建策略；所述中心PDP服务器包括决策控制模块、策略解析器、策略翻译器、策略分析器、策略编译器、策略优化模块、域设备管理模块、通信模块；所述决策控制模块用于获取所述PMT创建的策略，访问所述PIB的数字策略和设备信息，以及控制PDP服务器的工作线程调度；所述策略解析器用于获取以受限自然语言编写的策略并进行解析得到XACML格式的策略，所述策略翻译器用于将XACML格式的策略翻译为形式化策略，所述策略分析器用于对所述形式化策略进行推理分析，证明该策略不存在形式上的策略冲突以得到具体策略，所述策略编译器用于将对具体策略实例化以生成策略对象的实例，并通过所述通信模块分发到PEP中执行，所述策略优化模块用于获取PEP执行策略过程得到的监控事件，基于监控事件对策略进行优化，所述域设备管理模块用于所述PEP的设备注册。

10.根据权利要求9所述的系统，其特征在于：所述PEP通过COPS及相关扩展协议与所述PDP服务器通信，用于获取PDP分发的策略，所述PEP包括策略执行框架和本体策略库，所述策略执行框架用于获取PDP策略并分为SPPI策略和可执行策略，其中SPPI策略存储至本体策略库并分发到支持SPPI策略的设备执行，可执行策略分发到不支持SPPI的设备执行；同时PEP监控策略执行过程中的设备状态并转换为策略事件向PDP提交，所述PDP根据策略事件对策略触发和参数进行更新。