一種安全策略的衝突處理方法、架構及統一轉換器的製作方法
2023-07-01 23:28:51
專利名稱:一種安全策略的衝突處理方法、架構及統一轉換器的製作方法
技術領域:
本發明涉及通信技術領域,特別涉及一種安全策略的衝突處理方法、架構及統一轉換器。
背景技術:
基於策略的安全管理是目前大型網絡和分布式系統中廣泛使用的一種解決方案。 隨著網絡融合的發展,業務多樣性、設備複雜性,網絡異構性呈指數形式擴張,使得整個網絡的安全也越來越複雜。因此繁雜的人工配置已經不能滿足網絡發展的需求,基於策略的解決方案由於能夠提供效率優化、安全統一和操作便利的網絡安全管理手段而得到廣泛應用。然而,由於安全策略形式化表示、理論模型和應用環境的複雜性,不可避免地存在策略衝突問題。策略衝突是指兩條或多條策略在被執行時出現措施或結論互斥的情況。 IETF(Internet Engineering Task Force,) ^t RFC3198 (Request For Comments,請求評議)中敘述了策略衝突的概念兩條或多條策略的條件部分同時滿足,而動作卻不能同時執行,此時執行動作的實體不能確定應該執行哪個動作。策略衝突主要分為模態衝突(形式衝突)和應用相關衝突(語義衝突)這兩大類。 模態衝突是指策略描述上的不一致,這種不一致發生在兩個或多個帶相反符號的策略作用於相同的主體、客體和措施的時候。應用相關衝突,通常是指策略和策略的外部約束之間發生衝突,即策略的內容與外部約束中明確規定不允許出現的情況發生衝突。現有信息安全領域中已有許多理論模型。典型的安全模型有BLP (Bell-La Padula)模型,HRU (Harrison, Ruzzo, Ullman)模型,RBAC(Role-Based Access Control), TBAC (Task-Based Access Control)模型等。每種模型中的實施體現成不同的安全策略,由於不同模型在策略表示、策略規則方面存在差異,容易造成策略衝突。安全管理的重要特點是強調全局一致性,任一點的安全漏洞或不一致都可能導致安全體系的崩潰。作為安全管理的靈魂,安全策略自身的一致性尤為重要。因此安全策略衝突檢測和消解是實現統一安全管理的首要目標。針對策略衝突,研究人員提出了大量切實有效的衝突檢測與消解方法。例如基於 Ponder i吾言的衝突檢測;基於 XACML(eXtensible Access ControlMarkup Language, 可擴展訪問控制標記語言)語言的衝突檢測;基於ASL(Authorization Specification Language,授權規範語言)的語言衝突檢測和基於形式語言EC (Event Calculus,事件演算)表現策略衝突的方法。但這些處理機制都是針對某種策略規則或者策略描述語言實現衝突的檢測和消解。目前常用的安全策略衝突檢測和消解的方法主要有以下三類(1)靜態一致性檢驗和衝突消解。即在安全策略運行前,通過策略間的一致性分析,檢查出策略間的衝突,通過調整其中某(些)策略以避免衝突。該方法在策略固定的情況下經常被採用,很少應用於策略靈活支持的信息系統。(2)基於優先級的一致性檢驗和衝突消解。即為每個安全策略分配一個優先級,當發生策略衝突時,依據策略優先級來選定選擇哪個策略。這種策略衝突協調方式相對簡單,但靈活性較差。( 基於元策略的一致性檢驗和衝突消解。元策略是關於策略描述的頂層策略,設計元策略的主要目的是描述多個策略間相互關係。與基於策略優先級的衝突解決比較而言,這種衝突協調機制比較複雜,但靈活性和動態性較好。在不同網絡之間進行安全策略的協商時,不同網絡的策略規則不同,採用的策略描述語言也可能不一樣,而現有的安全策略處理機制大都針對某種策略規則或者策略描述語言實現衝突的檢測和消解,並沒有提供一個跨網絡、具有通用性和擴展性的安全策略衝突和消解方案。
發明內容
本發明要解決的技術問題是提供一種安全策略的衝突處理方法、架構及統一轉換器,解決不同網絡中的安全策略衝突問題,滿足統一安全策略部署的需求。為了解決上述問題,本發明提供了一種安全策略的衝突處理方法,所述方法包括策略層將不同網絡的安全策略下發到中間層;所述中間層將所述不同網絡的安全策略進行統一轉換並下發到處理層;所述處理層對轉換後的所述不同網絡的安全策略進行衝突處理。進一步地,所述處理層對所述不同網絡的安全策略進行衝突處理包括以下之一或任意組合解析分解、衝突檢測、消解。進一步地,所述轉換是指,提取所述不同網絡的安全策略包含的條件和執行信息並採用統一的語言進行表示。進一步地,所述採用統一的語言進行表示指採用可擴展標記語言(XML)表示。進一步地,若所述處理層的安全設備支持所述XML語言表示的安全策略,則直接對所述XML語言表示的安全策略進行解析分解、衝突檢測和消解;若所述處理層的安全設備不支持所述XML語言表示的安全策略,則將所述XML語言表示的安全策略轉換為所述處理層的安全設備支持的語言形式表示的安全策略後,再進行解析分解、衝突檢測和消解。本發明還提供了一種安全策略衝突的處理架構,所述架構包括策略層、中間層和處理層,所述策略層,用於承載不同網絡的安全策略,並下發到所述中間層;所述中間層,用於將所述不同網絡的安全策略進行統一轉換並下發到所述處理層;所述處理層,用於對轉換後的所述不同網絡的安全策略進行衝突處理。進一步地,所述處理層對所述不同網絡的安全策略進行衝突處理包括以下之一或任意組合解析分解、衝突檢測、消解。進一步地,所述不同網絡的安全策略是採用不同的形式化規範語言表示的策略。進一步地,所述中間層採用如下方式對所述不同網絡的安全策略進行轉換提取所述安全策略包含的條件和執行信息並採用統一的語言進行表示。進一步地,所述處理層還用於,將所述採用統一的語言表示的安全策略轉換為本
5地安全設備支持的語言形式;以及對內部策略進行衝突處理或者對中間層轉換後下發的其它網絡的安全策略進行衝突處理。進一步地,所述統一的語言表示是指採用XML語言表示。進一步地,若所述處理層支持所述XML語言表示的安全策略,則所述處理層直接對所述XML語言表示的安全策略進行解析分解、衝突檢測和消解;若所述處理層不支持所述XML語言表示的安全策略,則所述中間層或者所述處理層將所述XML語言表示的安全策略轉換為所述處理層支持的語言形式表示的安全策略後, 由所述處理層進行解析分解、衝突檢測和消解。進一步地,所述處理層還包括安全策略解析/分解模塊、安全策略衝突檢測模塊、安全策略庫、衝突資料庫和安全策略衝突消解模塊,其中所述安全策略解析/分解模塊,用於對統一的語言表示的安全策略進行解析分解,或者,將採用統一的語言表示的安全策略轉換為本地安全設備支持的語言形式後進行解析分解;所述安全策略衝突檢測模塊,用於根據所述解析分解後的安全策略結合所述安全策略庫中存儲的安全策略進行安全策略衝突檢測,如果檢測到衝突,則查詢所述衝突資料庫確定衝突類型,並觸發所述安全策略衝突消解模塊;所述安全策略庫,用於存儲安全策略;所述衝突資料庫,用於存儲衝突數據表;所述安全策略衝突消解模塊,用於根據衝突類型,利用本地衝突消解策略對衝突進行消解,並將消解成功的策略加入所述安全策略庫。本發明還提供了一種統一轉換器,所述統一轉換器用於,將不同網絡的安全策略轉換成統一的語言表示的安全策略,並提供給處理層進行安全策略的衝突處理。進一步地,所述統一轉換器採用如下方式對所述不同網絡的安全策略進行轉換 提取所述不同網絡的安全策略包含的條件和執行信息並採用統一的語言進行表示。進一步地,所述統一的語言表示是指採用XML語言表示。本發明具有如下特點採用三層的衝突處理架構,其中策略層主要包括不同網絡之間進行協商的策略, 通過相對獨立的中間統一轉換層,屏蔽策略層策略的異構性,為下層提供統一表示的安全策略,且該架構每層的功能清晰,增加了系統可擴展性;採用統一轉換器對不同網絡的安全策略進行統一轉換,提取出每一安全策略包含的條件和執行信息並採用統一的語言進行表示後,再下發給處理層進行衝突處理,處理層看到的是同一種形式化規範表示的安全策略,從而可以屏蔽不同網絡的安全策略對策略衝突檢測和消解的影響。
圖1本發明實施例的安全策略衝突處理架構的分層示意圖;圖2本發明實施例的安全策略衝突處理架構的組成示意圖;圖3本發明實施例的安全策略衝突處理架構的組件交互示意圖4本發明實施例的安全策略衝突處理方法的流程示意圖。
具體實施例方式本發明的目的在於,提供一個通用、可擴展的安全策略衝突檢測和消解的架構及處理方法,滿足統一安全策略部署的需求。為實現上述目的,本發明實施例提供了一種安全策略衝突處理架構,如圖1所示, 該架構可分為如下三層策略層,中間層和處理層,其中,各層主要完成的功能描述如下策略層,該策略層是安全策略的集合,用於承載來自不同網絡的安全策略,這些安全策略可以是通過不同的形式化規範語言或GUI方式定義。其中,安全策略是與系統安全相關的行為規則描述,其可以在一定的抽象層次上指導系統的行為管理並使其保持一致性。中間層,負責對不同形式的安全策略進行歸一化處理,將策略層中不同的策略表示轉換成統一形式化規範語言表示的策略。無論安全策略是由形式化規範語言還是GUI等方式定義,雖然具體的敘述形式不一樣,但其實質都是包括條件(event)和執行(action)兩方面的內容規則組成,因此,在進行統一轉換時,只需提取出每一安全策略包含的條件和執行信息,再用統一的語言進行表示艮口可。這樣,經過中間層處理後,處理層看到的是同一種形式化規範表示的安全策略,從而可以屏蔽策略層不同的策略對策略衝突檢測和消解的影響。處理層對轉換後的策略進行分解、簡化後,基於分解、簡化後的規則表實現安全策略衝突的檢測、消解。基於該架構可以將多種安全策略通過中間層統一在一個安全管理框架下,並在統一的策略表示基礎上實現衝突檢測和消解等功能,實現跨域、通用、可擴展的安全策略衝突檢測和消解。圖2示出了本發明實施例的基於上述安全策略衝突處理架構的組件示意圖,如圖 2所示,其主要包括如下組件/功能模塊安全策略模塊位於策略層,主要用於承載不同網絡中的安全策略,如網絡A中的安全策略模塊承載有網絡A與其他一個或多個網絡間的策略策略(A,B),策略(A,N),策略(A,B,N)......等等。統一轉換器位於中間層,通過在中間層部署統一轉換器,實現對策略層不同策略的轉換,將異構的安全策略用統一形式化規範來表示,簡化下層(即處理層)衝突檢測和處理的複雜度。優選地,可以採用可擴展標記語言(extensible Markup Language,XML)對不同網絡中的安全策略表述形式化語言進行轉換。XML語言是一種自定義標籤語言,其語法嚴格, 可讀性強,靈活性好,而且可擴展。採用XML作為一種統一轉換器的安全策略表述語言,統一安全策略信息的描述方式,簡化安全策略的衝突檢測和消解過程,並且其嚴格的語法也有助於避免策略衝突。XML統一表示可以提供屏蔽上層安全策略的差異,簡化融合網絡環境中的安全策略衝突檢測和消解的有效手段。統一轉換成XML語言表示的形式,策略衝突檢測和消解模塊只要能夠處理這種統一表示的策略即可,而不需要下層能夠處理上層各種不同的安全策略。這樣有新的安全機制或形式化語言相關的策略加入時,中間層可以對下層屏蔽這種影響。當然,除了 XML語言,也可以採用其他語言,如安全斷言標記語言Security Assertion Markup Language, Ml^^ SAML),·。安全策略解析/分解模塊利用策略分解算法將複雜的安全策略分解為若干規則,然後對每條規則進行化簡,處理後的策略存儲在一個規則表中,用於衝突檢測。本實施例中,安全策略解析/分解模塊位於處理層,與現有的處理層安全策略解析/分解模塊相比,在其原有功能的基礎上,只需該模塊能夠支持統一語言表示的策略的分解解析即可。但在本發明其他實施例中,例如,當本地安全策略衝突檢測模塊不能直接對中間層統一語言表示的策略進行分解檢測時,安全策略解析/分解模塊可以位於處理層,也可以位於中間層,用於將統一語言表示的策略解析為內部所支持的語言後,分解、化簡成策略規則並存儲在規則表中。安全策略衝突檢測模塊主要執行安全策略衝突檢測,可以直接對統一語言表示的策略,或者對經過安全策略解析/分解模塊解析後的策略進行衝突檢測,如果檢測到衝突,則將策略傳遞到安全策略衝突消解模塊進行處理。安全策略庫安全策略庫主要用於存儲安全策略。安全策略庫可以是目錄伺服器或關係資料庫伺服器。衝突資料庫衝突資料庫主要用於存儲衝突數據表,衝突數據表中列出了策略間在不同情況下發生的衝突類型。通過衝突數據表可以很方便的查詢到衝突類型,進行衝突消解。安全策略衝突消解模塊對檢測到衝突的策略進行衝突消解處理。常用的衝突消解方法有重寫衝突策略,刪除衝突策略以及為發生衝突的策略建立優先級。基於優先級的方式進行衝突消解處理方法比較適合分布式環境,包括本地優先,屬主級別優先和新加載策略優先等,在不確定的情況下將衝突提交給管理員,由管理員決定如何設定優先級。上述的安全策略衝突檢測模塊、安全策略庫、衝突資料庫和安全策略衝突消解模塊均位於處理層。該處理層不僅對網絡中的內部策略進行衝突處理,還對中間層轉換後的其它網絡的安全策略進行衝突處理。圖3示出了基於上述實施例的安全策略衝突處理架構的組件間的交互示意圖。其中,策略層中的安全策略封裝在策略分發協議中進行網絡之間的傳輸,例如C0PS(COmmOn open policy service,普通開放策略服務)協議等。策略在到達異地的網絡的時候,由網絡邊界網關或邊界路由器解析發現是策略消息,則轉發到中間層的策略統一轉換器組件, 並在中間層進行統一轉換後,由處理層進行衝突檢測和消解。結合圖3,本實施例的安全策略衝突處理架構各模塊間的交互過程如下不同網絡交互通信時,需要協商安全策略,來自不同網絡的安全策略在傳送到對方網絡前首先到達統一轉換器;統一轉換器對這些跨網絡、異構的安全策略進行轉換,轉換為同一種形式化語言表示的策略;安全策略解析/分解模塊對同一種形式化語言表示的策略並進行分解,將策略分解為條件和行為對應的一條條規則,組成規則表;統一轉換並分解後的規則表傳送給本地的安全策略衝突檢測模塊,安全策略衝突檢測模塊結合本地安全策略庫中的策略進行衝突檢測,即,將本地策略庫中的策略分解成規則後同規則表中的規則對比進行衝突檢測,如果檢測到衝突,可以查詢衝突檢測庫確定衝突類型,並觸發安全策略衝突消解模塊;安全策略衝突消解模塊根據衝突類型和本地的衝突消解策略,對衝突進行消解, 並將消解成功的策略加入本地安全策略庫。圖4示出了本發明實施例的安全策略衝突處理方法的流程示意圖,如圖4所示,該流程具體描述如下步驟101 安全策略輸入,可能是不同形式的安全策略,例如使用不同形式化語言描述的策略,或者是不同層次、不同安全規則域的安全策略。步驟102 對安全策略進行轉換,轉換成統一指定的形式化語言表示的安全策略。步驟103 利用策略分解算法將複雜的安全策略分解為若干規則,然後對每條規則進行化簡,處理後的策略存儲在一個規則數據表中;步驟104 執行衝突檢測,檢查分解後的策略規則的條件和動作的有效性,並確保策略之間不發生衝突。如果檢測到衝突,則需要查找衝突資料庫,確定衝突類型;步驟105 判斷策略衝突檢測模塊的是否檢測到衝突。如果檢測到衝突,則執行步驟106,如果沒有檢測到衝突,則執行步驟107 ;步驟106 執行安全策略消解算法,對產生衝突的策略進行衝突消解處理,並且將衝突消解處理後的策略傳遞到步驟104,繼續對衝突消解後的策略進行策略衝突檢測;步驟107 如果沒有檢測到衝突,則本次衝突檢測和消解處理結束。此外,基於上述實施例的技術方案,本發明實施例還提供了一種統一轉換器,該統一轉換器用於將不同網絡的安全策略轉換成統一的語言表示的安全策略,並提供給處理層進行安全策略的衝突處理。其中,所述統一轉換器採用如下方式對所述不同網絡的安全策略進行轉換提取所述不同網絡的安全策略包含的條件和執行信息並採用統一的語言進行表示。其中,所述統一的語言表示是指採用XML語言表示。以上所述,僅為本發明的部分實施例,並非用於限定本發明的保護範圍,凡在本發明的精神和原則之內所作的任何修改、等同替換和改進等,均應包含在本發明的保護範圍之內。
權利要求
1.一種安全策略的衝突處理方法,其特徵在於,所述方法包括 策略層將不同網絡的安全策略下發到中間層;所述中間層將所述不同網絡的安全策略進行統一轉換並下發到處理層; 所述處理層對轉換後的所述不同網絡的安全策略進行衝突處理。
2.如權利要求1所述的處理方法,其特徵在於,所述處理層對所述不同網絡的安全策略進行衝突處理包括以下之一或任意組合解析分解、衝突檢測、消解。
3.如權利要求1或2所述的處理方法,其特徵在於,所述轉換是指,提取所述不同網絡的安全策略包含的條件和執行信息並採用統一的語言進行表示。
4.如權利要求3所述的處理方法,其特徵在於,所述採用統一的語言進行表示指採用可擴展標記語言(XML)表示。
5.如權利要求4所述的處理方法,其特徵在於,若所述處理層的安全設備支持所述XML語言表示的安全策略,則直接對所述XML語言表示的安全策略進行解析分解、衝突檢測和消解;若所述處理層的安全設備不支持所述XML語言表示的安全策略,則將所述XML語言表示的安全策略轉換為所述處理層的安全設備支持的語言形式表示的安全策略後,再進行解析分解、衝突檢測和消解。
6.一種安全策略衝突的處理架構,其特徵在於,所述架構包括策略層、中間層和處理層,所述策略層,用於承載不同網絡的安全策略,並下發到所述中間層;所述中間層,用於將所述不同網絡的安全策略進行統一轉換並下發到所述處理層;所述處理層,用於對轉換後的所述不同網絡的安全策略進行衝突處理。
7.如權利要求6所述的處理架構,其特徵在於,所述處理層對所述不同網絡的安全策略進行衝突處理包括以下之一或任意組合解析分解、衝突檢測、消解。
8.如權利要求6所述的處理架構,其特徵在於,所述不同網絡的安全策略是採用不同的形式化規範語言表示的策略。
9.如權利要求6所述的處理架構,其特徵在於,所述中間層採用如下方式對所述不同網絡的安全策略進行轉換提取所述安全策略包含的條件和執行信息並採用統一的語言進行表示。
10.如權利要求9所述的處理架構,其特徵在於,所述處理層還用於,將所述採用統一的語言表示的安全策略轉換為本地安全設備支持的語言形式;以及對內部策略進行衝突處理或者對中間層轉換後下發的其它網絡的安全策略進行衝突處理。
11.如權利要求9或10所述的處理架構,其特徵在於, 所述統一的語言表示是指採用XML語言表示。
12.如權利要求11所述的處理架構,其特徵在於,若所述處理層支持所述XML語言表示的安全策略,則所述處理層直接對所述XML語言表示的安全策略進行解析分解、衝突檢測和消解;若所述處理層不支持所述XML語言表示的安全策略,則所述中間層或者所述處理層將所述XML語言表示的安全策略轉換為所述處理層支持的語言形式表示的安全策略後,由所述處理層進行解析分解、衝突檢測和消解。
13.如權利要求6所述的處理架構,其特徵在於,所述處理層還包括安全策略解析/ 分解模塊、安全策略衝突檢測模塊、安全策略庫、衝突資料庫和安全策略衝突消解模塊,其中所述安全策略解析/分解模塊,用於對統一的語言表示的安全策略進行解析分解,或者,將採用統一的語言表示的安全策略轉換為本地安全設備支持的語言形式後進行解析分解;所述安全策略衝突檢測模塊,用於根據所述解析分解後的安全策略結合所述安全策略庫中存儲的安全策略進行安全策略衝突檢測,如果檢測到衝突,則查詢所述衝突資料庫確定衝突類型,並觸發所述安全策略衝突消解模塊;所述安全策略庫,用於存儲安全策略;所述衝突資料庫,用於存儲衝突數據表;所述安全策略衝突消解模塊,用於根據衝突類型,利用本地衝突消解策略對衝突進行消解,並將消解成功的策略加入所述安全策略庫。
14.一種統一轉換器,其特徵在於,所述統一轉換器用於,將不同網絡的安全策略轉換成統一的語言表示的安全策略,並提供給處理層進行安全策略的衝突處理。
15.如權利要求14所述的統一轉換器,其特徵在於, 所述統一轉換器採用如下方式對所述不同網絡的安全策略進行轉換提取所述不同網絡的安全策略包含的條件和執行信息並採用統一的語言進行表示。
16.如權利要求14或15所述的統一轉換器,其特徵在於,所述統一的語言表示是指採用XML語言表示。
全文摘要
本發明公開了一種安全策略的衝突處理方法、架構及統一轉換器,其中所述方法包括策略層將不同網絡的安全策略下發到中間層;中間層將不同網絡的安全策略進行統一轉換並下發到處理層;處理層對轉換後的不同網絡的安全策略進行衝突處理。本發明實現了不同網絡的安全策略的衝突處理,滿足統一安全策略部署的需求。
文檔編號H04L29/06GK102215212SQ20101014268
公開日2011年10月12日 申請日期2010年4月2日 優先權日2010年4月2日
發明者李媛, 陳書義, 顏正清, 高峰 申請人:中興通訊股份有限公司