技術領域

本發明涉及通信技術領域，特別涉及一種安全策略的沖突處理方法、架構及統一轉換器。

背景技術

基于策略的安全管理是目前大型網絡和分布式系統中廣泛使用的一種解決方案。隨著網絡融合的發展，業務多樣性、設備復雜性，網絡異構性呈指數形式擴張，使得整個網絡的安全也越來越復雜。因此繁雜的人工配置已經不能滿足網絡發展的需求，基于策略的解決方案由于能夠提供效率優化、安全統一和操作便利的網絡安全管理手段而得到廣泛應用。

然而，由于安全策略形式化表示、理論模型和應用環境的復雜性，不可避免地存在策略沖突問題。策略沖突是指兩條或多條策略在被執行時出現措施或結論互斥的情況。IETF(Internet?Engineering?Task?Force，互聯網工程任務組)在RFC3198(Request?For?Comments，請求評議)中敘述了策略沖突的概念：兩條或多條策略的條件部分同時滿足，而動作卻不能同時執行，此時執行動作的實體不能確定應該執行哪個動作。

策略沖突主要分為模態沖突(形式沖突)和應用相關沖突(語義沖突)這兩大類。模態沖突是指策略描述上的不一致，這種不一致發生在兩個或多個帶相反符號的策略作用于相同的主體、客體和措施的時候。應用相關沖突，通常是指策略和策略的外部約束之間發生沖突，即策略的內容與外部約束中明確規定不允許出現的情況發生沖突。現有信息安全領域中已有許多理論模型。典型的安全模型有BLP(Bell-La?Padula)模型，HRU(Harrison，Ruzzo，Ullman)模型，RBAC(Role-Based?Access?Control)，TBAC(Task-Based?Access?Control)模型等。每種模型中的實施體現成不同的安全策略，由于不同模型在策略表示、策略規則方面存在差異，容易造成策略沖突。

安全管理的重要特點是強調全局一致性，任一點的安全漏洞或不一致都可能導致安全體系的崩潰。作為安全管理的靈魂，安全策略自身的一致性尤為重要。因此安全策略沖突檢測和消解是實現統一安全管理的首要目標。

針對策略沖突，研究人員提出了大量切實有效的沖突檢測與消解方法。例如基于Ponder語言的沖突檢測；基于XACML(eXtensible?Access?ControlMarkup?Language，可擴展訪問控制標記語言)語言的沖突檢測；基于ASL(Authorization?Specification?Language，授權規范語言)的語言沖突檢測和基于形式語言EC(Event?Calculus，事件演算)表現策略沖突的方法。

但這些處理機制都是針對某種策略規則或者策略描述語言實現沖突的檢測和消解。目前常用的安全策略沖突檢測和消解的方法主要有以下三類：(1)靜態一致性檢驗和沖突消解。即在安全策略運行前，通過策略間的一致性分析，檢查出策略間的沖突，通過調整其中某(些)策略以避免沖突。該方法在策略固定的情況下經常被采用，很少應用于策略靈活支持的信息系統。(2)基于優先級的一致性檢驗和沖突消解。即為每個安全策略分配一個優先級，當發生策略沖突時，依據策略優先級來選定選擇哪個策略。這種策略沖突協調方式相對簡單，但靈活性較差。(3)基于元策略的一致性檢驗和沖突消解。元策略是關于策略描述的頂層策略，設計元策略的主要目的是描述多個策略間相互關系。與基于策略優先級的沖突解決比較而言，這種沖突協調機制比較復雜，但靈活性和動態性較好。

在不同網絡之間進行安全策略的協商時，不同網絡的策略規則不同，采用的策略描述語言也可能不一樣，而現有的安全策略處理機制大都針對某種策略規則或者策略描述語言實現沖突的檢測和消解，并沒有提供一個跨網絡、具有通用性和擴展性的安全策略沖突和消解方案。

發明內容

本發明要解決的技術問題是提供一種安全策略的沖突處理方法、架構及統一轉換器，解決不同網絡中的安全策略沖突問題，滿足統一安全策略部署的需求。

為了解決上述問題，本發明提供了一種安全策略的沖突處理方法，所述方法包括：

策略層將不同網絡的安全策略下發到中間層；

所述中間層將所述不同網絡的安全策略進行統一轉換并下發到處理層；

所述處理層對轉換后的所述不同網絡的安全策略進行沖突處理。

進一步地，所述處理層對所述不同網絡的安全策略進行沖突處理包括以下之一或任意組合：解析分解、沖突檢測、消解。

進一步地，所述轉換是指，提取所述不同網絡的安全策略包含的條件和執行信息并采用統一的語言進行表示。