CN111628980A - 策略调整方法、装置、设备及存储介质 - Google Patents
策略调整方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111628980A CN111628980A CN202010433721.7A CN202010433721A CN111628980A CN 111628980 A CN111628980 A CN 111628980A CN 202010433721 A CN202010433721 A CN 202010433721A CN 111628980 A CN111628980 A CN 111628980A
- Authority
- CN
- China
- Prior art keywords
- strategy
- policy
- conflict
- model
- strategies
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种策略调整方法,所述方法包括以下步骤:定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。本发明还公开了一种策略调整装置、策略调整设备及计算机可读存储介质。通过不同类别终端对应的标签定义策略配置模型,实现了大规模场景下的策略优化与自动调整,提高了策略配置的有效性与策略配置的便捷性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种策略调整方法、策略调整装置、策略调整设备及计算机可读存储介质。
背景技术
目前,对于终端网络访问控制的管理主要是以允许策略为主,使得已经习惯配置拒绝策略的管理员不适应以允许策略为主的配置规则,容易出现配置出错或配置耗时较长等问题;即使,已经出现一些同时支持允许策略和拒绝策略的混合管理方案,但是在大规模终端的场景下,难以自动进行策略冲突和策略覆盖的优化,若由管理员手动进行配置,由于大规模终端的场景下所涉及的终端较多,不同终端对应的配置规则也有所不同,因而同样存在配置难,配置容易出错等问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明主要目的在于提供一种策略调整方法、策略调整装置、策略调整设备及计算机可读存储介质,旨在解决现有技术中无法在大规模场景下实现策略的自动优化导致配置难且配置容易出错的问题。
为实现上述目的,本发明提供一种策略调整方法,所述方法包括以下步骤:
定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;
若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
可选地,所述定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作的步骤包括:
基于不同类别终端对应的标签,将策略配置模型定义为:源标签,目的标签,端口/协议,业务方向,授权动作;
基于所定义的源标签,目的标签,端口/协议,业务方向和授权动作,以预设管理结构定义策略管理模型。
可选地,所述在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突的步骤包括:
在策略配置模型存在策略更新的情况下,确定所述策略更新对应的更新类型;
依据所述策略管理模型检测不同更新类型的策略更新后各策略间是否存在策略冲突。
可选地,所述依据所述策略管理模型检测不同更新类型的策略更新后各策略间是否存在策略冲突的步骤包括:
在所述更新类型为新增策略的情况下,根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突;
在所述更新类型为删除策略的情况下,根据所述策略管理模型的层级关系,检测删除策略后各策略间是否存在策略冲突。
可选地,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤之前,包括:
在所述新增策略对应的业务方向为出站方向的情况下,按照多叉树结构将策略管理模型的层级关系从上至下依次确定为:授权动作,源端口,目的端口,源标签;
相应地,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤包括:
在根据所述策略管理模型的层级关系匹配至源标签对应的层级的情况下,遍历源标签对应的层级记录的出站策略集合;
将所述出站策略集合中每一条出站策略的元组与所述新增策略的元组进行比较;
在所有元组的交集均不为空且当前策略优先级高于所述新增策略时,判定新增策略后各策略间存在策略冲突。
可选地,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤之前,包括:
在所述新增策略对应的业务方向为入站方向的情况下,按照多叉树结构将策略管理模型的层级关系从上至下依次确定为:授权动作,源端口,目的端口,目的标签;
相应地,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤包括:
在根据所述策略管理模型的层级关系匹配至目的标签对应的层级的情况下,遍历目的标签对应的层级记录的入站策略集合;
将所述入站策略集合中每一条入站策略的元组与所述新增策略的元组进行比较;
在所有元组的交集均不为空且当前策略优先级高于所述新增策略的情况下,判定新增策略后各策略间存在策略冲突。
可选地,所述在策略交互平台上的策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突的步骤之后,包括:
在不存在策略冲突时,判断策略更新后的各策略中是否存在策略与其他策略的所有元组存在包含关系;
若存在,则获取策略覆盖信息,并根据所获取的策略覆盖信息进行策略覆盖。
可选地,所述确定与所述策略冲突对应的策略调整方案的步骤包括:
获取所述策略冲突对应的策略冲突信息,并反馈至策略交互平台,以供用户基于策略交互平台所显示的策略冲突信息触发的确认操作;
将所述确认操作所确认的策略调整方案确定为与所述策略冲突对应的策略调整方案。
此外,为实现上述目的,本发明还提供一种策略调整设备,所述策略调整装置,所述策略调整装置包括:
模型定义模块:用于定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
策略冲突检测模块:用于在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;
策略调整方案确定与执行模块:若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
此外,为实现上述目的,本发明还提供一种策略调整设备,所述策略调整设备包括存储器、处理器及存储在所述处理器上并可在处理器上运行的策略调整程序,所述处理器执行所述策略调整程序时实现如上所述的策略调整方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有策略调整程序,所述策略调整程序被处理器执行时实现如上所述的策略调整方法的步骤。
本发明实施例中,通过定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作,然后在策略配置模型存在策略更新时,依据所述策略管理模型检测更新后各策略间是否存在策略冲突,若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。通过不同类别终端对应的标签定义策略管理模型实现大规模场景下的策略自动优化,避免大规模场景下需要管理员基于终端IP逐一进行配置,导致配置难且容易配置出错等问题,提高了策略调整的有效性与便捷性。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的策略调整装置结构示意图;
图2是本发明策略调整方法第一实施例的流程示意图;
图3为本发明策略调整方法第二实施例的流程示意图;
图4为本发明策略调整方法一实施例中基于多叉树结构的策略管理模型示意图;
图5为本发明策略调整方法第三实施例的流程示意图;
图6为本发明策略调整装置一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明的主要解决方案是:在定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;在策略配置模型存在策略更新时,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
目前的策略调整方案主要基于IP地址实现,导致大规模场景下难以配置且容易配置出错。因而,本发明提出一种策略调整方法、策略调整装置、及策略调整设备及计算机可读存储介质,通过定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作,然后在策略配置模型存在策略更新时,依据所述策略管理模型检测更新后各策略间是否存在策略冲突,若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。通过具有不同类别终端对应的标签定义策略配置模型,实现大规模场景下的策略配置,并在存在策略冲突时,根据所确定的策略调整方案自动完成策略的优化调整操作,避免大规模场景下需要管理员基于终端IP逐一进行配置,导致配置难且容易配置出错等问题,提高了策略调整的有效性与便捷性。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的策略调整设备结构示意图。
如图1所示,该策略调整设备可以包括:通信总线1002,处理器1001,例如CPU,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的策略调整设备结构并不构成对策略调整设备的限定,可以包括比图示更多或更少的部件,或组合某些部件,或者不同的部件布置。
在图1所示的策略调整设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的策略调整程序,并执行以下操作:
定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
在策略配置模型存在策略更新时,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;
若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
可选地,处理器1001可以调用存储器1005中存储的策略调整程序,还执行以下操作:
基于不同类别终端对应的标签,将策略配置模型定义为:源标签,目的标签,端口/协议,业务方向,授权动作;
基于所定义的源标签,目的标签,端口/协议,业务方向和授权动作,预设管理结构定义策略管理模型。
可选地,处理器1001可以调用存储器1005中存储的策略调整程序,还执行以下操作:
在策略交互平台上的策略配置模型存在策略更新的情况下,确定所述策略更新对应的更新类型;
依据所述策略管理模型检测不同更新类型的策略更新后各策略间是否存在策略冲突。
可选地,处理器1001调用存储器1005中存储的策略调整程序,并执行以下操作:
在所述更新类型为新增策略的情况下,根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突;
在所述更新类型为删除策略的情况下,根据所述策略管理模型的层级关系,检测删除策略后各策略间是否存在策略冲突。
可选地,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤之前,处理器1001可以调用存储器1005中存储的策略调整程序,还执行以下操作:
在所述新增策略对应的业务方向为出站方向的情况下,按照多叉树结构将策略管理模型的层级关系从上至下依次确定为:授权动作,源端口,目的端口,源标签;
相应地,处理器1001可以调用存储器1005中存储的策略调整程序,还执行以下操作:
在根据所述策略管理模型的层级关系匹配至源标签对应的层级的情况下,遍历源标签对应的层级记录的出站策略集合;
将所述出站策略集合中每一条出站策略的元组与所述新增策略的元组进行比较;
在所有元组的交集均不为空且当前策略优先级高于所述新增策略的情况下,判定新增策略后各策略间存在策略冲突。
可选地,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤之前,处理器1001可以调用存储器1005中存储的策略调整程序,还执行以下操作:
在所述新增策略对应的业务方向为入站方向时,按照多叉树结构将策略管理模型的层级关系从上至下依次确定为:授权动作,源端口,目的端口,目的标签;
相应地,处理器1001可以调用存储器1005中存储的策略调整程序,还执行以下操作:
在根据所述策略管理模型的层级关系匹配至目的标签对应的层级的情况下,遍历目的标签对应的层级记录的入站策略集合;
将所述入站策略集合中每一条入站策略的元组与所述新增策略的元组进行比较;
在所有元组的交集均不为空且当前策略优先级高于所述新增策略的情况下,判定新增策略后各策略间存在策略冲突。
可选地,所述在策略交互平台上的策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突的步骤之后,处理器1001可以调用存储器1005中存储的策略调整程序,还执行以下操作:
在不存在策略冲突时,判断策略更新后的各策略中是否存在策略与其他策略的所有元组存在包含关系;
若存在,则获取策略覆盖信息,并根据所获取的策略覆盖信息进行策略覆盖。
可选地,处理器1001可以调用存储器1005中存储的策略调整程序,还执行以下操作:
获取所述策略冲突对应的策略冲突信息,并反馈至策略交互平台,以供用户基于策略交互平台所显示的策略冲突信息触发确认操作;
将所述确认操作所确认的策略调整方案确定为与所述策略冲突对应的策略调整方案。
参照图2,图2为本发明策略调整方法的第一实施例流程图,本实施例中,所述策略调整方法包括以下步骤:
步骤S10:定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
本实施例中,所述策略可以包括终端与终端之间的防火墙规则,所述标签可以包括具有相同业务的一类终端(如web服务器)所组成的终端集合的抽象描述。用户具体可以在策略交互平台上定义策略配置模型,在策略管理平台上定义策略管理模型。所述策略交互平台尤指管理员用来配置网络安全策略的交互系统,所述策略管理平台是指将管理员配置的策略配置统一存储管理的平台。
通常,在进行策略配置与管理时,都是基于终端的IP地址(源地址,目标地址)实现对目的地址的访问,然而,在大规模场景下,若是基于终端的IP地址逐台的进行策略配置与管理,则管理员需要管理的策略较多(例如,若每台终端配置一千条策略,那么十万台就需要配置一亿条策略),如此,非常不利于统一管理。因而,为了方便大规模场景下的策略管理,基于不同终端对应的业务类型进行分类,将具有相同业务的终端归为同一类,并为各类终端定义不同的标签,从而根据不同类别终端对应的标签来定义策略配置模型。
具体地,管理员在登陆策略交互平台后,可以根据不同类别终端对应的标签,从不同终端对应的业务类型出发定义策略配置模型。在一实施例中,可根据不同类别终端对应的标签,在策略交互平台上将策略配置模型定义为<源标签,目的标签,端口/协议,业务方向,授权动作>。其中,源标签和目的标签标示终端或某一类终端的集合;授权动作表示网络安全策略的执行结果,具体有允许和拒绝两个结果;若以终端视角,源终端主动发起业务时的业务方向为称为入站方向,源终端被动发起业务时的业务方向为出站方向。此外,由于业务可视的策略在大规模终端的部署下,数量惊人,需要一种高效的策略管理模型实现策略管理,使得在该管理模型下能够实现策略冲突和策略覆盖的自动优化。所述策略管理模型具体可基于所定义的策略配置模型<源标签,目的标签,端口/协议,业务方向,授权动作>,在策略管理平台上以预设管理结构进行定义。由于所定义的策略管理模型需依据管理员在策略交互平台定义的策略配置模型,根据实际情况进行确定,因而,此处对所述预设管理结构不做限定,具体可以是多叉树结构等数据管理结构。
步骤S20:在所述策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;
所述策略冲突可包括两个或多个策略之间存在的冲突(两条或多条策略规则之间存在交集)导致系统无法准确定义资源访问权限的情况。当策略交互平台上定义的策略配置模型存在策略更新,如管理员需要新增策略、删除策略或修改策略时,为了避免因更新策略而引入新的策略冲突,还需依据所定义的策略管理模型对更新后的各策略进行策略冲突检测。
所述依据所定义的策略管理模型对更新后的各策略进行策略冲突检测的过程,具体可以是依据所定义的策略管理模型对应的管理结构(如多叉树)确定策略管理模型中各层级之间的层级关系,然后根据所确定的层级关系逐层的进行匹配直至匹配到最后一层。所述匹配的过程主要是将出站或入站的所有策略同时进行匹配,以判断出站或入站的各策略中的所有元组是否存在交集,如果更新策略后,出站或入站的各条策略中的所有元组存在交集且在新增策略时,新增策略的优先级并不比当前策略的优先级高,那么就说明更新策略后存在策略与其他策略存在策略冲突。若出站或入站的各条策略中所有元组交集为空,则表明更新策略后各策略间不存在策略冲突。所述元组尤指与所定义的策略配置模型所包含的每一个组成部分,如将策略配置模型定义为<源标签,目的标签,端口/协议,业务方向,授权动作>时,所述策略配置模型包含源标签,目的标签,端口/协议,业务方向和授权动作五个元组元素。当然,所述依据所定义的策略管理模型进行策略冲突检测的过程,还可以是依据所定义的策略管理模型确定冲突域与其他域间的关系(如,分离,部分分离,包含,被包含,相等),然后基于冲突域与其他域间的关系确定是否存在策略冲突。这里,对冲突检测的具体方法不做限定,可依据具体的策略配置模型,策略管理模型及应用场景进行选取。
步骤S30:若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
当存在策略更新时,若策略冲突检测的结果为不存在策略冲突,则可根据更新后的策略正常进行业务访问。然而,若策略冲突检测的结果为存在策略冲突,则在检测到策略冲突的同时分析策略冲突的原因,以及针对所述策略冲突可供参考的解决方案等信息,以确定与所述冲突对应的策略调整方案,并根据所述策略调整方案自动执行策略调整操作,而无需人为参与。所述确定与所述冲突对应的策略调整方案的步骤可以是通过对所述策略调整方案进行综合分析,从所提供的解决方案中选择出最优的解决方案,将最优的解决方案确定为与所述策略冲突对应的策略调整方案,所述最优的解决方案具体可以根据所述策略冲突对应的冲突原因或策略调整所需调整的策略数目等进行选取。
在一实施例中,由于用户更加了解策略的具体情况,为了防止系统误判,在检测到策略冲突时,还会将包含冲突策略信息(存在策略冲突的策略对应的策略信息)、相应的策略冲突原因及不同策略冲突对应的推荐解决方案等信息的策略冲突信息反馈至策略交互平台,以树、列表、柱状图及网格等方式进行展示,便于更加直观的展示策略间的关系。如此,用户(本实施例尤指管理员)在登陆策略交互平台后,可根据策略交互平台所显示的策略冲突信息确认所检测到的策略冲突信息是否存在误判,若存在误判,则可通过忽略选项忽略该策略冲突信息,或通过反馈选项反馈误判信息,以供策略调整系统作为参考,防止下次在相同情况下产生误判。若不存在误判,则说明策略冲突真实存在,此时,用户可根据策略交互平台所显示策略冲突信息触发确认操作,以将所述确认操作所确认的策略调整方案确定为与所述策略冲突对应的策略调整方案。用户所触发的确认操作具体可以是根据策略交互平台所显示的推荐解决方案选项,选择合适的解决方案选项触发确认操作,以确定为与所述策略冲突对应的策略调整方案,并根据所确定的策略调整方案动进行策略优化调整;或者是根据策略交互平台所显示的策略冲突原因,通过自定义的方式确定相应的策略调整方案并触发确认操作,然后基于用户触发的自定义的策略调整方案,系统会自动进行策略优化调整。由于所述冲突检测是实时进行的,因而在进行策略优化调整后,还要实时检测是否存在策略冲突,防止调整后依然存在策略冲突,影响终端业务的正常访问。
本实施例通过定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作,而无需逐一寻找终端IP地址,在大规模终端场景下能够提高冲突策略的检测速度,提高系统的运行速率;并且,在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突,若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作,避免管理员配置难,配置出错等问题,提高了策略优化调整的便捷性与准确性。
参照图3,图3为本发明策略调整方法的第二实施例流程图,本实施例中,所述策略调整方法包括以下步骤:
步骤S11:定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
步骤S12:在所述策略配置模型存在策略更新的情况下,确定所述策略更新对应的更新类型;
步骤S13:依据所述策略管理模型检测不同更新类型的策略更新后各策略间是否存在策略冲突;
步骤S14:若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
本实施例中,在策略交互平台上定义策略配置模型,并在策略管理平台上定义策略管理模型之后,由于业务规则的改变,可能存在需要增加策略、删除策略或修改策略的情况需要进行策略更新。因而,在策略交互平台上的所述策略配置模型存在策略更新时,首先要确定策略更新对应的更新类型到底是增加策略、删除策略或是修改策略,然后根据不同的更新类型依据所定义的策略管理模型制定不同的策略冲突检测方案。
在一实施例中,在所确定的更新类型为新增策略时,需要根据策略管理模型对应的管理结构的层级关系及新增策略所对应的业务方向(出站或入站)确定业务数据的访问流程,从而基于业务数据的访问流程逐级进行策略冲突匹配。而在所确定的更新类型为删除策略或修改策略时,可直接根据删除或修改策略后各策略间的业务方向,按照所述策略管理模型的层级关系逐级进行匹配,以检测删除策略或修改策略后各策略间是否存在策略冲突。因而,一实施例中,在依据所述策略管理模型检测更新后各策略间是否存在策略冲突之前,需要先确定策略管理模型对应的管理结构的层级关系。具体地,若基于不同类别终端对应的标签在策略交互平台上将策略配置模型定义为:<源标签,目的标签,端口/协议,方向,动作>,则在依据该策略配置模型按照多叉树结构作为策略管理模型底层的数据结构时,可将策略管理模型的层级关系从上至下依次确定为:动作,源端口,目的端口,源标签。其中,多叉树的最上层可按动作分为拒绝和允许,多叉树的第二层可按源端口和目的端口进行分类,多叉树的最下层可按照源标签和目的标签分类,若以源标签分类,源标签上记录所有从该标签出站的策略;若以目的标签分类,目的标签上记录所有到该标签入站的策略。所述标签表示终端或一类终端的集合。因而,在所述新增策略对应的业务方向为出站方向时,按照多叉树结构将策略管理模型的层级关系从上至下依次确定为:动作,源端口,目的端口,源标签;而在所述新增策略对应的业务方向为入站方向时,按照多叉树结构将策略管理模型的层级关系从上至下依次确定为:动作,源端口,目的端口,目的标签。如图4所述,以允许动作为例,多叉树结构的策略管理模型如图所示,拒绝树的结构与此类似。
在一实施例中,在新增策略对应的业务方向为出站方向时,要检测新增策略后各策略间是否存在策略冲突,可以根据所述策略管理模型的层级关系逐层匹配至源标签对应的层级时,遍历源标签对应的层级记录的出站策略集合,将所述出站策略集合中每一条出站策略的元组与所述新增策略的元组进行比较,只有在所有与新增策略比较的策略的所有元组与新增策略的所有元组的交集均不为空且当前策略优先级高于所述新增策略时,才判定新增策略后存在策略与其他策略存在策略冲突。例如,假设新增一条[出站][拒绝]策略R:<SRC,DST,PORT,DROP,OUT>,则需要到[允许]管理员可见的策略管理结构上去找策略冲突;其中,SRC标识连接的发起方,DST标识连接的服务方,PORT标识终端的服务,DROP标识防火墙策略的执行结果(丢弃连接的数据包),OUT标识连接方向(出站)。具体的策略检测过程可包括:(1)根据决策树的层级关系沿着对应的源端口、目的端口在树上进行匹配;(2)匹配到源标签这一层时,找到与SRC有关系的所有节点(策略),具体做法可以是遍历树上的所有源标签,判断是否在SRC关系表中;也可以是遍历SRC关系表,查看树上是否有对应的源标签,至于先遍历SRC关系表还是先源标签,可以根据需要遍历的遍历次数进行确定;其中,SRC关系表指的是若终端属于终端集合,则该终端与终端结合中的终端的标签互相构成关系表。(3)在找到与SRC有关系的所有节点后,遍历出站策略的集合,将每一条出站策略的所有元组都与策略R的所有元组进行比较,如果所有元组交集都不为空,且新增策略的优先级不比当前策略的优先级高时,则表示存在策略与其他策略之间存在策略冲突,将策略冲突信息反馈至策略交互平台。
而在另一实施例中,在新增策略对应的业务方向为入站方向时,可根据所述策略管理模型的层级关系逐层匹配至目的标签对应的层级,遍历目的标签对应的层级记录的入站策略集合,然后将所述入站策略集合中每一条入站策略的元组与所述新增策略的元组进行比较,在所有元组的交集均不为空且当前策略优先级高于所述新增策略时,判定存在策略与其他策略之间存在策略冲突。例如,假设新增一条[入站][拒绝]策略R:<SRC,DST,PORT,DROP,IN>,则需要到[允许]管理员可见的策略管理结构上去找策略冲突。具体的策略检测过程可包括:(1)根据决策树的层级关系沿着对应的源端口、目的端口在树上进行匹配;(2)匹配到源标签这一层时,找到与SRC有关系的所有节点;(3)遍历入站策略的集合,将每一条入站策略的所有元组都与策略R的所有元组进行比较,如果所有元组交集都不为空,且新增策略的优先级不比当前策略的优先级高时,则表示存在策略与其他策略之间策略冲突,将策略冲突信息发送给策略交互平台。
本实施例通过定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作,然后在所述策略配置模型存在策略更新的情况下,确定所述策略更新对应的更新类型,并依据所述策略管理模型检测不同更新类型的策略更新后各策略间是否存在策略冲突,若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。通过检测不同更新类型对应的策略更新是否存在策略冲突,以便针对不同更新类型制定不同的检测方案,从而提高检测的有效性,避免出现漏检,并且通过确定相应的策略调整方案自动执行策略调整操作,而无需人工进行策略配置,避免大规模场景下难以配置,配置容易出错等问题,实现了策略的自动化配置,并且提高了配置效率。
参照图5,图5为本发明策略调整方法的第三实施例流程图,本实施例中,所述策略调整方法包括以下步骤:
步骤S21:定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
步骤S22:在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;
步骤S23:若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作;
步骤S24:若不存在策略冲突,则判断策略更新后的各策略中是否存在策略与其他策略的所有元组间存在包含关系;
步骤S25:若存在,则获取策略覆盖信息,并根据所获取的策略覆盖信息进行策略覆盖。
本实施例中,在策略配置模型存在策略更新时,依据所述策略管理模型检测更新后各策略间是否存在策略冲突的步骤之后,若策略冲突检测的结果为不存在策略冲突,则为了防止更新策略后存在策略与策略之间存在可以覆盖的策略,导致策略数量过多,不利于后续的策略运维,在不存在策略冲突时,还需进一步检测是否需要进行策略覆盖。其中,策略覆盖的检测过程具体可以是:判断策略更新后的各策略中是否存在策略的所有元组与其他策略的所有元组存在包含关系(可以是包含,也可以是被包含),若存在,则需要确定存在包含关系的策略的策略信息,及存在包含关系的策略之间的覆盖关系(可能是A覆盖B,也可能是B覆盖A),然后获取至少包含所述策略信息和策略之间覆盖关系的策略覆盖信息,根据所获取的策略覆盖信息进行策略覆盖。如,若存在A和B两条策略,若策略A包含策略B的所有元组,则直接用策略A覆盖策略B;若策略A的所有元组被策略B包含,则直接用策略B覆盖策略A。具体地,例如,在需要新增一条拒绝策略时,若允许增加所述拒绝策略,则继续在[拒绝]树上进行策略覆盖判断,以找到可以覆盖已有策略或可以被已有策略覆盖的策略。判断条件是可以覆盖已有策略的策略与已有策略的所有元组之间存在包含关系或可以被已有策略覆盖的策略与已有策略的所有元组之间存在包含关系。
当然,在不存在策略冲突时,为了进一步对策略进行优化,还可以进一步检测是否存在长时间不使用的策略,若存在,将预设时间范围内没有使用过的策略进行删除,删除策略的过程,只需要在策略管理模型对应的管理结构上找到该策略存储位置对该策略进行删除即可。此外,在新增策略或修改策略后,若交互平台定义的策略中存在与新增策略或修改后的策略相同的策略时,也可以找到此类策略进行删除以进一步减少策略数量,减少运维所需管理的策略数量。
本实施例通过定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作,然后在策略配置模型存在策略更新时,依据所述策略管理模型检测更新后各策略间是否存在策略冲突,若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作;若不存在策略冲突,则判断策略更新后的各策略中是否存在策略与其他策略的所有元组存在包含关系,若存在,则获取策略覆盖信息,并根据所获取的策略覆盖信息进行策略覆盖。在不存在策略冲突时,通过策略覆盖检测实现策略覆盖以减少策略管理平台所存储的策略数据量,从而减少后续运维过程中需要管理的策略数量,优化了策略调整方案,且提高了策略管理效率。
此外,本发明实施例还提供一种策略调整装置,参照图6,图5为本策略调整装置一实施例的功能模块示意图。
本实施例中,所述策略调整装置包括:
模型定义模块10:用于定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
策略冲突检测模块20:用于在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;
策略调整方案确定与执行模块30:若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
需要说明的是,所述策略调整装置的各个实施例与上述策略调整方法的各实施例基本相同,在此不再详细赘述。
本实施例提出的策略调整装置,通过模型定义模块10定义策略配置模型,并基于不同类别终端对应的标签完成定义策略管理模型的定义操作,然后在策略配置模型存在策略更新的情况下,策略冲突检测模块20依据所述策略管理模型检测更新后各策略间是否存在策略冲突,若存在策略冲突,则策略调整方案确定与执行模块30确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。通过不同类别终端对应的标签完成定义策略管理模型的定义操作,无需逐一的寻找终端IP地址,使得在大规模终端场景下能够提高冲突策略的检测速度,提高系统的运行速率;并且,在存在策略冲突时,通过确定与所述策略冲突对应的策略调整方案自动执行策略调整操作,能够自动完成策略优化调整,避免管理员配置难,配置出错等问题,提高了策略优化调整的便捷性与准确性。
此外,本发明实施例还提供一种策略调整设备,所述策略调整设备包括存储器、处理器及存储在所述处理器上并可在处理器上运行的策略调整程序,所述处理器执行所述策略调整程序时实现如上所述策略调整方法的步骤。
此外,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有策略调整程序,所述策略调整程序被处理器执行时实现如上所述的策略调整方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,电视,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (11)
1.一种策略调整方法,其特征在于,所述策略调整方法包括以下步骤:
定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;
若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
2.如权利要求1所述的策略调整方法,其特征在于,所述定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作的步骤包括:
基于不同类别终端对应的标签,将策略配置模型定义为:源标签,目的标签,端口/协议,业务方向,授权动作;
基于所定义的源标签,目的标签,端口/协议,业务方向和授权动作,以预设管理结构定义策略管理模型。
3.如权利要求1所述的策略调整方法,其特征在于,所述在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突的步骤包括:
在策略配置模型存在策略更新的情况下,确定所述策略更新对应的更新类型;
依据所述策略管理模型检测不同更新类型的策略更新后各策略间是否存在策略冲突。
4.如权利要求3所述的策略调整方法,其特征在于,所述依据所述策略管理模型检测不同更新类型的策略更新后各策略间是否存在策略冲突的步骤包括:
在所述更新类型为新增策略的情况下,根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突;
在所述更新类型为删除策略的情况下,根据所述策略管理模型的层级关系,检测删除策略后各策略间是否存在策略冲突。
5.如权利要求4所述的策略调整方法,其特征在于,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤之前,包括:
在所述新增策略对应的业务方向为出站方向的情况下,按照多叉树结构将策略管理模型的层级关系从上至下依次确定为:授权动作,源端口,目的端口,源标签;
相应地,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤包括:
在根据所述策略管理模型的层级关系匹配至源标签对应的层级的情况下,遍历源标签对应的层级记录的出站策略集合;
将所述出站策略集合中每一条出站策略的元组与所述新增策略的元组进行比较;
在所有元组的交集均不为空且当前策略优先级高于所述新增策略的情况下,判定新增策略后各策略间存在策略冲突。
6.如权利要求4所述的策略调整方法,其特征在于,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤之前,包括:
在所述新增策略对应的业务方向为入站方向的情况下,按照多叉树结构将策略管理模型的层级关系从上至下依次确定为:授权动作,源端口,目的端口,目的标签;
相应地,所述根据所述策略管理模型的层级关系,按照新增策略对应的业务方向,检测新增策略后各策略间是否存在策略冲突的步骤包括:
在根据所述策略管理模型的层级关系匹配至目的标签对应的层级的情况下,遍历目的标签对应的层级记录的入站策略集合;
将所述入站策略集合中每一条入站策略的元组与所述新增策略的元组进行比较;
在所有元组的交集均不为空且当前策略优先级高于所述新增策略的情况下,判定新增策略后各策略间存在策略冲突。
7.如权利要求1所述的策略调整方法,其特征在于,所述在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突的步骤之后,包括:
在不存在策略冲突时,判断策略更新后的各策略中是否存在策略与其他策略的所有元组存在包含关系;
若存在,则获取策略覆盖信息,并根据所获取的策略覆盖信息进行策略覆盖。
8.如权利要求1所述的策略调整方法,其特征在于,所述确定与所述策略冲突对应的策略调整方案的步骤包括:
获取所述策略冲突对应的策略冲突信息,并反馈至策略交互平台,以供用户基于策略交互平台所显示的策略冲突信息触发确认操作;
将所述确认操作所确认的策略调整方案确定为与所述策略冲突对应的策略调整方案。
9.一种策略调整装置,其特征在于,所述策略调整装置包括:
模型定义模块:用于定义策略配置模型,并定义策略管理模型,所述策略配置模型基于不同类别终端对应的标签完成定义操作;
策略冲突检测模块:用于在策略配置模型存在策略更新的情况下,依据所述策略管理模型检测更新后各策略间是否存在策略冲突;
策略调整方案确定与执行模块:若存在策略冲突,则确定与所述策略冲突对应的策略调整方案,根据所述策略调整方案自动执行策略调整操作。
10.一种策略调整设备,其特征在于,所述策略调整设备包括存储器、处理器及存储在存储器上并可在处理器上运行的策略调整程序,所述处理器执行所述策略调整程序时实现权利要求1-8中任一项所述的策略调整方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有策略调整程序,所述策略调整程序被处理器执行时实现如权利要求1-8中任一项所述的策略调整方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010433721.7A CN111628980B (zh) | 2020-05-20 | 2020-05-20 | 策略调整方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010433721.7A CN111628980B (zh) | 2020-05-20 | 2020-05-20 | 策略调整方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111628980A true CN111628980A (zh) | 2020-09-04 |
| CN111628980B CN111628980B (zh) | 2022-08-09 |
Family
ID=72260075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010433721.7A Active CN111628980B (zh) | 2020-05-20 | 2020-05-20 | 策略调整方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111628980B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115242641A (zh) * | 2021-04-23 | 2022-10-25 | 奇安信科技集团股份有限公司 | 策略下发结果预览方法、装置以及计算机设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001090859A1 (en) * | 2000-05-19 | 2001-11-29 | Netscape Communications Corporation | Adaptive multi-tier authentication system |
| CN101452386A (zh) * | 2007-11-28 | 2009-06-10 | 国际商业机器公司 | 使用正向推理链执行基于上下文模型的策略的方法及策略引擎 |
| CN102932382A (zh) * | 2011-08-08 | 2013-02-13 | 中兴通讯股份有限公司 | 安全按需供给方法及系统、业务类型获取方法 |
| CN104125081A (zh) * | 2013-04-23 | 2014-10-29 | 中国科学院声学研究所 | 一种基于策略的多终端协同系统和方法 |
| CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
| CN106817275A (zh) * | 2016-12-16 | 2017-06-09 | 江苏省未来网络创新研究院 | 一种自动化预防和编排处理策略冲突的系统和方法 |
| KR20190009862A (ko) * | 2017-07-19 | 2019-01-30 | 라온시큐어(주) | 모바일 단말기를 통한 간편 인증 방법 및 이를 위한 인증 서비스 장치 |
-
2020
- 2020-05-20 CN CN202010433721.7A patent/CN111628980B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001090859A1 (en) * | 2000-05-19 | 2001-11-29 | Netscape Communications Corporation | Adaptive multi-tier authentication system |
| CN101452386A (zh) * | 2007-11-28 | 2009-06-10 | 国际商业机器公司 | 使用正向推理链执行基于上下文模型的策略的方法及策略引擎 |
| CN102932382A (zh) * | 2011-08-08 | 2013-02-13 | 中兴通讯股份有限公司 | 安全按需供给方法及系统、业务类型获取方法 |
| CN104125081A (zh) * | 2013-04-23 | 2014-10-29 | 中国科学院声学研究所 | 一种基于策略的多终端协同系统和方法 |
| CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
| CN106817275A (zh) * | 2016-12-16 | 2017-06-09 | 江苏省未来网络创新研究院 | 一种自动化预防和编排处理策略冲突的系统和方法 |
| KR20190009862A (ko) * | 2017-07-19 | 2019-01-30 | 라온시큐어(주) | 모바일 단말기를 통한 간편 인증 방법 및 이를 위한 인증 서비스 장치 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115242641A (zh) * | 2021-04-23 | 2022-10-25 | 奇安信科技集团股份有限公司 | 策略下发结果预览方法、装置以及计算机设备 |
| CN115242641B (zh) * | 2021-04-23 | 2023-12-19 | 奇安信科技集团股份有限公司 | 策略下发结果预览方法、装置以及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111628980B (zh) | 2022-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9749361B2 (en) | Security device controller | |
| US10333983B2 (en) | Policy definition and enforcement for a network virtualization platform | |
| US11743296B2 (en) | Secure network device management in a telecommunications network | |
| US7710900B2 (en) | Method and system for providing network management based on defining and applying network administrative intents | |
| US8261317B2 (en) | Moving security for virtual machines | |
| CN102025535B (zh) | 虚拟机管理方法、装置及网络设备 | |
| EP2334024B1 (en) | Method and device for terminal management based on right control | |
| US20220247786A1 (en) | Security policy generation and enforcement for device clusters | |
| US11546227B2 (en) | Optimized detection of network defect exposure in network environment | |
| CN112367211B (zh) | 一种设备命令行生成配置模板方法、装置及存储介质 | |
| CN115174269B (zh) | Linux主机网络通信安全防护方法和装置 | |
| CN105635235A (zh) | 访问控制方法和用于访问控制的网络节点 | |
| CN111628980B (zh) | 策略调整方法、装置、设备及存储介质 | |
| CN105656786A (zh) | 一种基于快、慢表的路由器查表方法 | |
| WO2009120377A2 (en) | Network firewalls | |
| CN112968880B (zh) | 一种基于sdn架构的权限控制方法、系统 | |
| CN115695165A (zh) | 一种防火墙自动运维方法、系统、电子设备及存储介质 | |
| US7971244B1 (en) | Method of determining network penetration | |
| CN114024759B (zh) | 安全策略管控方法、装置、计算机设备和介质 | |
| US11194764B1 (en) | Tag policies for tagging system | |
| CN115589325A (zh) | 一种安全策略管理方法、装置、设备及介质 | |
| Oosterhof | Automated ICT Infrastructure Modeling as a first step of Automated Cyber Security Analysis | |
| CN117632219A (zh) | 集群服务端口管理方法、系统及存储介质 | |
| CN116318926A (zh) | 流量安全检测和云防火墙配置方法、装置及设备 | |
| CN115567409A (zh) | 一种带宽自动升降速的方法以及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |