CN102238037A - 协作式目标策略细化方法 - Google Patents
协作式目标策略细化方法 Download PDFInfo
- Publication number
- CN102238037A CN102238037A CN2011102029532A CN201110202953A CN102238037A CN 102238037 A CN102238037 A CN 102238037A CN 2011102029532 A CN2011102029532 A CN 2011102029532A CN 201110202953 A CN201110202953 A CN 201110202953A CN 102238037 A CN102238037 A CN 102238037A
- Authority
- CN
- China
- Prior art keywords
- strategy
- target
- refinement
- policy
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明属于系统管理技术领域,具体为一种根据指定目标设定动作策略的方法。与现有的利用模式和推理实现策略细化的方法不同,在本发明中,方法使用者只需要借鉴他人的动作策略即可实现对自身目标策略的细化。具体的方法为:①其他用户针对相似的目标设置了不同的动作策略集,存放于策略库中;②方法使用者选择一个目标,并设置细化参数,即可得到相应的动作策略;③方法使用者对得到的动作策略进行微调,从而实现对目标的策略细化。
Description
技术领域
本发明属于系统管理技术领域,具体涉及一种系统管理策略设计方法,用于将设定的管理目标细化成可执行的动作策略。
背景技术
随着计算机技术的快速发展和互联网技术的不断普及,目前企业和政府采用的计算机系统越来越庞大和复杂。这导致对系统的配置、优化、保护变得十分困难,传统的采用维护人员进行精细的维护和管理变得成本高昂而且容易出错。
业界针对这个问题的思路是在系统中引入自主计算能力,让系统根据设定的目标(Goal)或者效能(Utilities)指标进行自我管理,从而将管理员从低层次具体操作中解放出来,专注于系统整体的管理目标和实现效用上。Kephart于2004年提出了由三种不同类型的策略(动作策略、目标策略和效用函数策略)组成的统一框架——为解决自主计算的人机接口问题以及实现自主计算系统的“可指导性”奠定了重要的理论基础。
IETF分布式管理工作组提出了基于策略的网络管理框架。这个框架由四部分组成:策略管理工具、策略库、策略决策点和策略执行点。策略管理工具负责策略的制定;策略库存储策略;策略决策点负责在系统上下文满足条件的情况下,决定需要做什么或者不需要做什么;策略执行点执行策略决策点给出的决策。
有些国外标准组织也定义了一些标准,用于定义动作策略语言,如W3C开发了WS-Policy用以描述Web Services的服务策略框架。OASIS定义了WSDM用以描述基于Web Service上的分布式系统管理架构,也定义了XACML用以描述安全控制策略。XACML已经成为安全管理里面表达访问控制策略的事实上的工业标准。
针对目标策略细化到动作策略,传统的做法是基于模式的细化。首先由策略管理人员针对可能的目标和可能的细化环境,设计不同的模式。当策略设计人员设定目标策略以后,根据设定的参数进行推理和细化。细化的步骤包括从目标策略细化到子目标策略,最终细化到动作策略。
然而当前基于模式的目标策略细化存在一些问题:首先,设计细化模式本身就是一件非常复杂且容易出错的事情;其次,缺乏必要的工具支持。本发明提供的方法则提供一种简单的方法细化目标策略。
发明内容
本发明的目的在于提供一种根据指定目标设定动作策略的方法。
本发明提供的根据指定目标设定动作策略的方法,是借助于其他用户对相似目标和管理对象设定的动作策略,协助方法使用者的策略设计任务。
本发明方法具体步骤包括:
(1)首先,由其他用户将自己的策略集存储在一个中央在线策略库中,也可以分布式存放于各个用户的系统中。中央在线策略库将为各种细化请求提供对外的API接口,提供细化服务;
(2)然后,由方法使用者选择目标策略,并设定细化参数,本方法根据输入的目标策略和细化参数(典型的细化参数为策略最低接受度),搜索所有适用策略集,生成符合目标策略和细化参数的动作策略集;
(3)最后,由方法使用者微调生成的动作策略集,通过人工增加和删除少量策略,实现对指定目标的策略细化,以降低策略细化的难度,最终降低系统管理员对被管理对象的管理难度。
本方法设置中央策略库,用于存储来自用户提交的策略集。其他用户的策略集在提交给中央策略库时,需要通过身份认证,并记录日志,并使用应用或系统名称和目标作为唯一标识,也即一个应用名称或系统名称加上一个目标只能有一组策略,以此来防止用户重复提交他们设定的动作策略。用户需要指定策略集适用的应用或者系统、策略集适用的目标及策略集本身。中央策略库通过身份认证和日志服务,认证和鉴别用户,并防止用户的恶意操作。
本方法也可以将其他用户的策略集采用分布式存储方式,策略将分布式存放于用户的计算机中,每次细化需要调用每个有效用户的策略集以支持细化。这里需要对存储在用户计算机中的策略进行安全认证和完整性保障。其他用户分布式存放策略时,考虑到存储能力受限,可以使用FP-Tree进行压缩存储。
方法使用者在进行策略细化时,首先需要指定目标并设定细化参数,这里的参数主要是策略最小接受度,也即所选策略在相同目标的应用和系统中出现的频率应高于该阈值。
方法使用者在检索策略库后,就可以得到一个初步的动作策略集合,这样就可以进行策略微调最终完成策略细化。
本方法中,目标策略是一种高层策略,内容包括对应用程序功能的指定,对系统功能的指定,对系统性能的指定,对服务质量的指定。
本方法中,策略的管理对象包括设备、设备中的模块、设备中的功能、服务的接口。
本方法中,设定的参数包括策略的最小接受度,既该项动作策略在同一目标的应用或者系统、不同用户的策略集中出现的频率应达到的最小阈值。
本方法中,动作策略可以为基于角色的访问控制策略,可以为其它的ECA策略,也可以为基于权限的策略。
本方法可以应用在移动应用平台,如Android平台中应用的安全策略设定;也可以应用到网络管理中,为同类型的设备设定管理策略。
本方法可以应用在Android平台中为应用设定安全策略。在Android平台中,应用的安全策略由开发人员设计,并在安装时由用户确认。但是,开发人员都希望应用程序拥有更多的权限以运行应用,而用户则希望应用程序拥有尽可能少的权限以保护用户隐私和信息安全。而这两类人员均不是策略设计的专业人士,存在失误和错误是非常正常的。本方法这可以为这两类人提供有效支持:开发人员可以为应用设置类型,比如游戏,然后获得游戏中普遍可以使用的权限作为其初步策略集合,然后微调策略集合就可以获得既可以被大部分用户接受,又适合应用的策略集。而应用程序用户也可以用相同的方法生成策略集,以检测应用程序声明的安全策略是否合理。
附图说明
图1为协作式目标策略细化过程。
具体实施方式
下面结合附图详细描述本发明。
如图1, 其他用户将策略集存放在策略库(a)中。
(1)方法使用者设定目标策略 (T1),并设定细化参数(最小接受度99%)。
(2)本方法搜索策略库,找到5个符合条件的策略集,从中发现策略A、B、C的接受度为100%,符合细化参数要求,而策略D的接受度为80%,策略E、F,、G的接受度为20%,不符合细化参数要求,因此生成细化动作策略集(b){A, B, C}。
(3)最后,方法使用者根据系统设计需要加入策略H,生成最终动作策略集(c) {A, B, C, H}。
Claims (8)
1.一种根据指定目标设定动作策略的方法,其特征在于具体步骤包括:
(1)首先,由其他用户将自己的策略集存储在一个中央在线策略库中,或者分布式存放于各个用户的系统中;中央在线策略库将为各种细化请求提供对外的API接口,提供细化服务;
(2)然后,由方法使用者选择目标策略,并设定细化参数;根据目标策略和细化参数,搜索所有适用策略集,生成符合目标策略和细化参数的动作策略集;
(3)最后,由方法使用者微调生成的动作策略集,通过人工增加和删除少量策略,实现对指定目标的策略细化,以降低策略细化的难度,最终降低系统管理员对被管理对象的管理难度。
2.根据权利要求1所述的方法,其特征在于本方法设置有中央策略库,用于存储来自其他用户提交的策略集,其他用户的策略集在提交给中央策略库时,需要通过身份认证,并记录日志,并使用应用或系统名称和目标作为唯一标识,以此来防止用户重复提交他们设定的动作策略。
3.根据权利要求1或2所述的方法,其特征在于设定细化参数中,所述参数是指策略最小接受度,其中,接受度指策略在相同目标的应用和系统中出现的频率,该参数也即所选策略的接受度应达到的最小阈值。
4.根据权利要求1或2所述的方法,其特征在于所述目标策略是一种高层策略,内容包括对应用程序功能的指定,对系统功能的指定,对系统性能的指定,对服务质量的指定。
5.根据权利要求1或2所述的方法,其特征在于所述策略管理的对象包括设备、设备中的模块、设备中的功能、服务的接口。
6.根据权利要求1或2所述的方法,其特征在于所述动作策略为基于角色的访问控制策略,或者为其它的ECA策略,或者为基于权限的策略。
7.如权利要求1或2所述的方法在移动应用平台中的应用,包括Android平台中应用的安全策略设定。
8.如权利要求1或2所述的方法在网络管理中的应用,包括为同类型的设备设定管理策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110202953.2A CN102238037B (zh) | 2011-07-20 | 2011-07-20 | 协作式目标策略细化方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110202953.2A CN102238037B (zh) | 2011-07-20 | 2011-07-20 | 协作式目标策略细化方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102238037A true CN102238037A (zh) | 2011-11-09 |
| CN102238037B CN102238037B (zh) | 2014-01-08 |
Family
ID=44888283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110202953.2A Active CN102238037B (zh) | 2011-07-20 | 2011-07-20 | 协作式目标策略细化方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102238037B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572804A (zh) * | 2011-12-27 | 2012-07-11 | 奇智软件(北京)有限公司 | 数据调用方法和装置 |
| CN102880924A (zh) * | 2012-06-18 | 2013-01-16 | 华为技术有限公司 | 一种策略生成方法和装置 |
| CN103906034A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 移动应用提供方法、服务器 |
| CN103987035A (zh) * | 2014-05-10 | 2014-08-13 | 复旦大学 | 一种隐私保护增强的社交化策略管理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060534A (zh) * | 2007-06-13 | 2007-10-24 | 中兴通讯股份有限公司 | 一种p2p网络应用的系统及网络侧系统 |
| CN101950340A (zh) * | 2010-09-17 | 2011-01-19 | 北京航空航天大学 | 一种面向计算机网络防御策略转换的语义相似度检测系统 |
| CN102014010A (zh) * | 2010-12-31 | 2011-04-13 | 北京网康科技有限公司 | 一种网络行为管理系统及方法 |
-
2011
- 2011-07-20 CN CN201110202953.2A patent/CN102238037B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101060534A (zh) * | 2007-06-13 | 2007-10-24 | 中兴通讯股份有限公司 | 一种p2p网络应用的系统及网络侧系统 |
| CN101950340A (zh) * | 2010-09-17 | 2011-01-19 | 北京航空航天大学 | 一种面向计算机网络防御策略转换的语义相似度检测系统 |
| CN102014010A (zh) * | 2010-12-31 | 2011-04-13 | 北京网康科技有限公司 | 一种网络行为管理系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 李晓峰,冯登国,徐震: "基于扩展XACML的策略管理", 《通信学报》, vol. 28, no. 1, 31 January 2007 (2007-01-31), pages 103 - 110 * |
| 韩伟力,高珺,陈辰: "面向客户端上下文隐私保护的可信分散式访问控制", 《计算机辅助设计与图形学学报》, vol. 21, no. 11, 30 November 2009 (2009-11-30), pages 1667 - 1675 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572804A (zh) * | 2011-12-27 | 2012-07-11 | 奇智软件(北京)有限公司 | 数据调用方法和装置 |
| CN102572804B (zh) * | 2011-12-27 | 2014-11-26 | 奇智软件(北京)有限公司 | 数据调用方法和装置 |
| CN102880924A (zh) * | 2012-06-18 | 2013-01-16 | 华为技术有限公司 | 一种策略生成方法和装置 |
| CN103906034A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 移动应用提供方法、服务器 |
| CN103987035A (zh) * | 2014-05-10 | 2014-08-13 | 复旦大学 | 一种隐私保护增强的社交化策略管理方法 |
| CN103987035B (zh) * | 2014-05-10 | 2017-07-07 | 复旦大学 | 一种隐私保护增强的社交化策略管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102238037B (zh) | 2014-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ning et al. | Blockchain-enabled intelligent transportation systems: a distributed crowdsensing framework | |
| CN102045353B (zh) | 一种公有云服务的分布式网络安全控制方法 | |
| WO2016161066A1 (en) | Escalation of feedback instances | |
| CN105915535B (zh) | 一种基于用户身份的虚拟化资源访问控制方法 | |
| CN103593602A (zh) | 一种用户权限管理方法和系统 | |
| CN105184144A (zh) | 一种多系统权限管理方法 | |
| US11126460B2 (en) | Limiting folder and link sharing | |
| CN102238037B (zh) | 协作式目标策略细化方法 | |
| CN108334595A (zh) | 数据共享方法及装置 | |
| CN105005874A (zh) | 网格员考核方法和系统 | |
| Luo et al. | A trust degree based access control in grid environments | |
| CN101594386B (zh) | 基于分布式策略验证的可信虚拟组织构建方法及装置 | |
| CN105701708A (zh) | 风险管理方法及系统 | |
| CN106599718A (zh) | 信息访问权限的控制方法及装置 | |
| CN111510428B (zh) | 安全资源运维平台系统及管控方法 | |
| Zeydan et al. | Blockchain-Based Service Orchestration for 5G Vertical Industries in Multicloud Environment | |
| CN205510104U (zh) | 电子政务系统安全网络架构 | |
| CN110839000B (zh) | 一种网络信息系统的安全等级确定方法和装置 | |
| CN105636031A (zh) | 分组通信管理方法、装置和系统 | |
| CN115664800A (zh) | 一种基于云计算的大数据安全防护系统 | |
| Ait Aali et al. | Trust management in collaborative systems for critical infrastructure protection | |
| CN105808989B (zh) | 一种权限稽核方法及装置 | |
| Gkioulos et al. | Enhancing usage control for performance: An architecture for systems of systems | |
| CN103391218B (zh) | 一种应用于电力系统的基于数据分层分级的管理系统 | |
| Challagidad et al. | Determination of trustworthiness of cloud service provider and cloud customer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |