[发明专利]一种基于描述逻辑的策略自动化演绎方法及系统

说明书

本发明公开的基于描述逻辑的策略自动化演绎方法及系统，包括：创建结构化格式的策略，将结构化格式的策略存储为XACML格式的策略；将XACML格式的策略翻译为形式化策略；根据需要实现的策略目标解释环境，将形式化策略转换为具体策略；对具体策略实例化，生成策略对象的实例，并分发到实际设备执行。本发明通过形式化的安全策略表达，利用策略中心实现安全策略的自动化演绎、决策和执行，可有效降低管理员的策略管理难度、提高安全管理效率。

技术领域

本发明涉及安全策略管理技术领域，具体涉及一种基于描述逻辑的策略自动化演绎方法及系统。

背景技术

安全策略是为了保证系统的安全性，防止安全威胁对系统造成破坏而制定的行为标准和管理原则，通常由自然语言来表达，具有较高的抽象层次。通常，安全策略由条件和操作构成，当系统状态满足安全策略所定义的条件时，便执行相应的操作。基于策略的安全管理将系统的安全目标、需求等，描述为安全策略的形式，然后由策略执行单元根据这些安全策略，对信息的存取、传输及网络实体的行为实施监控和配置等。

对安全策略的管理就是对策略的整个生命周期进行管理，其中包括策略的生成、存储、决策与解释，以及策略的实施、实施状况的审计和监督等，IETF综合考虑策略在网络管理和安全管理等方面的应用需求，图1给出了一种通用的策略管理体系结构。在该策略管理体系结构中，主要有以下几个组成部分：策略管理工具(Policy Manage Tool，PMT)：为管理员提供管理操作接口，包括创建、分配和存储策略,以及状态监控等，同时提供简单的验证机制，以检测潜在的策略冲突；策略库(Policy Repository，PR)：用以存放策略的数据库系统（如LDAP服务器），并支持策略检索，一般还会存储其他的网络信息、系统参数或策略信息；策略决策点(Policy decision Point，PDP)：也称策略服务器，是整个系统的决策中心。PDP负责存取策略库中的策略，结合当前系统信息以及网络运行状况，根据策略执行点提交的策略请求，从策略库中提取相关策略，并将策略解释后返回给策略执行点。此外，PDP还能检测策略的变化和冲突，检测策略的执行结果并采取应对措施，实现策略监视器的功能。PDP的部署方式一般有集中式、弱分布式和强分布式三种结构；策略执行点(PolicyEnforcement Point，PEP)：是执行和实施策略的实际设备，如网络管理中的路由器、VPN 网关、防火墙。PEP汇总、收集、缓存PDP所需的策略信息，适时向PDP发起携带策略信息的策略请求，并负责执行由PDP分配、下发的策略。同时，向PDP报告执行结果，使PDP了解策略的执行情况以及网络的状态。

从安全管理层面来说，每个策略制定者所理解的策略层次并不完全相同。系统管理员根据管理需求制定相应的安全策略，通常以自然语言的形式来定义和描述。这些面向管理者的安全策略，仅仅反应了系统所要实现和达到的安全目标，屏蔽了所有底层实现和各种技术细节，其本身并不具备可执行性，系统无法对这些抽象策略进行解析，也无法将其应用于对应的系统对象或实体中去。面向网络安全管理的安全策略通常以自然语言的形式制定和生成，具有很高的语言抽象性，自动化程度不高，无法被计算机系统识别和执行。目前，安全策略管理系统通常采用“If...Then”结构的条件式策略表达方法，属于乔姆斯基谱系的2型文法（即上下文无关语法），与自然语言存在较大的语言层面差异，导致策略表达的能力不足。在策略定义时，需要管理员负责将自然语言安全策略转化为条件式的策略表达形式，存在策略转化效率低、策略冲突难发现、设备兼容性差等问题。

在实际的策略应用中，安全管理员等专业人员将上述自然语言表达的安全策略，人工转换为安全系统（如VPN、网关、防火墙等）可以理解的规则，并对相关系统进行配置，该过程复杂耗时且容易出错。

在现阶段的企业数字化转型过程中，策略制定者大多数来自管理岗位和业务部门，通常缺乏实际的安全理论和实践经验，导致安全策略的转换和实施面临较高的人工成本。安全策略编写者通常具有不同的技术背景，有些具有法律或商业背景，而有些则具有更多的技术能力基础。

发明内容