基于描述逻辑的策略系统建模方法研究

采用基于策略的方法对安全管理,服务质量等进行监管,已经得到广泛应用.描述逻辑是一种基于对象的知识表示形式.本文提供了一种基于描述逻辑的策略系统建模方式,将策略定义为两种类型,即授权策略和义务策略.根据其性质特点建立主体、客体、角色、动作、事件、约束条件等概念,结合概念之间的关系,最终得到基于描述逻辑的策略系统模型.借助描述逻辑的推理技术,可以对策略系统模型进行分析.并举例说明了这种基于描述逻辑的策略规格方法.     

基于描述逻辑的RB-RBAC授权规则冲突检测方法

RB-RBAC（Rule-Based RBAC）模型克服了RBAC模型的一些局限,提供了基于用户属性自动指派角色的机制。为了检测RB-RBAC模型的策略冲突,提出了一种基于描述逻辑的RB-RBAC模型的形式化方法,在此基础上提出了一种检测有关规则间冲突的方法、一种发现无关规则间冲突的方法和在授权规则集合中检测不同类型冲突的方法,可以根据具体情况选择不同的方法以提高效率。并给出了一种简单的冲突消解方法。     

基于描述逻辑的CWM元数据冲突的检测和消解

元数据内容的冲突能够对数据仓库系统的稳定性和可靠性造成极大影响。在基于公共仓库元模型(CWM)建立元数据的过程中,参与建立元数据的团体的不同经验以及描述数据的不同视角不可避免地会带来元数据的这些冲突。然而,CWM的图形化特点导致了它缺乏精确的语义,所以如何自动检测和消解这些冲突,至今没有得到很好的解决。首先提出了一种支持概念之上的同一性约束的描述逻辑,用来对CWM元模型和元数据进行描述,然后阐述了利用该描述逻辑形式化CWM元模型和元数据的方法,接着研究了利用描述逻辑的查询推理能力检测元数据冲突的方法,最后研究了通过在知识库中定义冲突消解规则,消解元数据冲突的方法。利用推理引擎RACER所进行的实验结果表明提出的方法是可行的。     

基于开放逻辑R反驳计算的访问控制策略精化

策略精化是解决分布式应用访问控制策略配置复杂性的重要方法,现有精化技术给出了策略分层描述和逐层精化的方法,但处理策略之间关联问题的能力不足.基于精化树描述策略和策略关联,基于叶结点策略冲突判断,采用开放逻辑R反驳计算分析精化树策略关联属性,能够消解策略冲突同时保证策略互斥、组合、访问路径协同、精化映射等关联正确,并能够按序消解不同类型策略冲突、自由取舍相冲突的策略.实验与分析计算性能表明,该方法符合SaaS平台客户应用系统策略精化需求.     

网络安全综合监控平台中安全策略的研究

通过分析网络安全综合监控平台中安全策略的特点和要求,给出了安全策略的一般性定义和描述,研究了策略的完整性、正确性、一致性要求,以及策略冲突的处理原则.在基于规则的专家系统推理引擎基础上,为网络安全综合监控平台建立一种基于规则引擎的安全策略处理机制,描述了规则引擎的推理和使用步骤.该机制能够分离安全策略的管理决策逻辑和技术决策逻辑,具有较强的策略冲突解决能力.应用证明了该系统具有较强的鲁棒性和适应性.     

云计算环境下隐私需求的描述与检测方法

云计算已经成为一种计算范型为用户提供服务,但其开放性、虚拟化和服务外包化的特点使得用户的隐私信息难以控制和保护。以描述逻辑为基础,提出了一种云计算环境下面向语义的隐私需求描述与检测方法。首先,对用户隐私需求与服务提供者的隐私策略进行描述;其次,对两者之间是否存在冲突进行检测,发现满足用户隐私需求的服务;最后,利用Protégé本体建模工具对用户的隐私需求和服务提供者的隐私策略进行建模,并利用Pellet推理机进行了实验,分别对本体模型中的概念进行一致性检测和对概念与逻辑公理之间的可满足性进行检验,从而证明了此检测方法的正确性与可行性。     

利用基数约束规则编程消解ECA策略冲突*

为实现ECA策略冲突的自动、灵活消解,提出一种利用基数约束规则编程的新方法。基数约束规则编程是一种基于稳态模型语义的非单调逻辑编程技术,具有解决组合及其优化问题的良好性质。先后完成了ECA策略的逻辑编程表示、用于检测和防止冲突的行动约束定义、具有组合特征的冲突性质分析和用于冲突消解的基数约束规则程序建立。该方法不仅具有逻辑严谨、自动化程度高和结构层次分明等优点,更重要的是,还扩展了被消解冲突的域。     

基于逻辑和辩论的安全策略一致性研究

冲突检测和冲突消解是策略一致性研究的两个主要方向。现有的冲突检测算法时间复杂度高,且缺乏灵活性和扩展性。改变策略条件和基于优先级的冲突消解方法容易引起新的不一致性问题,而且优先权的赋予带有主观因素,难以实现。在此基础上,使用逻辑对策略和策略冲突进行形式化描述和分析,并提出了一种基于逻辑合一思想的多项式时间内的策略一致性检测算法;把策略冲突分为包容冲突、相交冲突和互补冲突,给出了一种包容冲突和相交冲突的自动解决方法,证明了该方法的可行性和完备性;利用辩论机制和理论对策略互补冲突进行了语义分析,为基于优先级的解决方案提供了理论基础;提出了一种策略互补冲突下的一致性策略子集的计算算法,并进行了复杂度分析。     

网络安全策略冲突分类及自动检测与恢复

在分析网络安全策略冲突研究现状的基础上,针对策略冲突分类不完善及现在安全策略冲突检测方法的不足,指出由于网络策略之间的规则依赖语义和规则相互作用,一个成功的网络安全系统配置需要全面分析所有网络安全设备的策略配置以避免策略冲突和矛盾.本文首先描述了过滤规则之间所有可能的关系,然后对基于过滤的网络安全策略中的冲突进行全面分类,接着通过实验指出即使是专家系统管理员,产生这种冲突的可能性也很高,并提出了内部和外部访问列表策略冲突的自动检测与恢复模型来识别和矫正这些冲突,最后讨论了今后研究的方向.     

一种面向云服务组合的策略冲突检测机制

针对云服务组合的策略冲突问题,研究了云服务中属性间关系及组件服务间组合关系的特点,提出了基本类型冲突、层次关系冲突、互斥关系冲突、组合关系约束冲突四种冲突类型;设计了能够直观表达策略中多种关系的策略生成图模型,该模型具有结构灵活、易于更新和动态扩展的优点;将冲突检测问题转化为图的连通性问题,提出了一种基于策略生成图模型的冲突检测机制,实现了对云环境下大规模策略集中冲突策略的高效检测。最后,开展仿真实验,验证、评估了检测机制的有效性和检测效率。     

一种安全策略的冲突检测与消解方法

安全策略是系统安全管理的基础。分布式环境的复杂性使策略配置中不可避免地存在冲突。如何有效地分析检测策略冲突并解决冲突是应用安全策略的关键。提出了一个极具一般性的安全策略形式化描述方法,并定义了安全策略描述要素间的逻辑关系;给出了安全策略间的冲突分类描述;针对不同的冲突类型给出了相应的冲突检测算法及消解方法。     

基于策略的通用性能控制方法

性能控制功能能够将网络性能的变化过程与网络配置的变化过程相关联。该文提出了一种基于策略的通用性能控制方法,根据DEN-ng模型框架定义了性能控制策略模型,给出了面向网元的性能控制策略冲突检测和解决方法。经实验验证,采用该性能控制方法可以在性能事件的触发下结合性能控制策略动态调整网络配置,以改善网络性能。     

基于本体的多域访问控制策略集成研究

本体是共享概念模型的形式化规范说明,是一种能在语义和知识层次上描述信息系统概念模型的建模工具,为解决多域环境中的安全互操作提供了一种新的方法.使用本体及其描述语言,对基于角色的访问控制策略进行了描述,形成一个概念和属性的公理集合（TBox）,并采用ALCN（含有个数限制和补算子的描述逻辑语言）对TBox进行形式化的描述.利用域间角色映射方法来解决多域访问控制策略的集成.使用基于规则的推理技术,定义多域访问控制中的一系列推理规则,实现访问控制领域的推理.基于前述方法实现了OntoAC系统,实验结果表明该方法是有效的.     

面向应用的IPSec系统策略管理机制

针对现有IPSec系统策略机制的不足,本文提出了一种面向应用的IPSec系统策略管理机制,通过监视应用程序的socket活动,实时地设置好相应的IPSec策略,对IP流实施细粒度的、不同等级的保护;同时,提供高级语言形式的策略设置语句,以满足用户添加和修改细粒度IPSec策略的需要;提供解决策略冲突的算法,将相互冲突的需求转化为无冲突的策略。该机制可以提高现有IPSec系统的性能,使其更好地满足网络实际环境的需要。     

关于网络安全管理中的策略冲突检测与解决

本文通过对策略冲突进行系统研究,找到其中的主要因素,按照“策略冲突发生时策略的状态”和“策略冲突发生时策略作用对象之间的关系”给出了策略冲突的两种分类,通过这两种分类解决了“何时检测冲突”和“如何检测冲突”的问题.而后进一步阐述了如何应用冲突数据库来判别策略冲突类型的方法.     

ABAC策略语义表示和决策方法

为解决开放式系统环境中基于属性的访问控制（Attribute—Based Access Control,ABAC）策略语义层次上的表示和决策问题,提出了ABAC策略的本体表示方法。该方法基于ABAC策略模型到描述逻辑定义的映射,使用语义Web规则语言（swRL）处理系统内部关系定义。在此基础上,提出了基于封闭世界和实例实现推理的策略决策框架。最后从可靠性和完备性两方面说明了决策方法的正确性,验证实验表明了方法在实际应用中的适用性。     

分布式环境下的访问控制

为适应分布式环境下的安全需求,提出了一种描述访问控制策略和判定访问请求的方法。采用类似于无函数的扩展逻辑程序的表示方法对安全访问策略进行描述,限定权限传播的深度,利用不同的优先次序定义了多种消解冲突的规则,并给出了类似扩展逻辑程序的回答集语义解释。结合确定性推理和可能性推理,描述了如何判定访问请求的算法。解决了3个问题：分布式授权、私有权限和冲突消解方法。     

IPsec策略的冲突检测与协调

IPsec为信息在没有安全保护的网络中传递提供安全机制.但由于各种安全设备的安全策略描述不同,IPsec并没有被广泛采用.在分析各种异构网络和不同类型的通讯实体对通信安全要求的基础上,给出其IPsec安全策略的统一描述格式,以能够使各种安全设备、网络协调工作.在此条件下,给出设备、网络间策略冲突的简洁,高效的检测算法.最后,提出了一种策略协调算法,此算法能够提高网络的通信效率,并能够消除某些策略的冲突.