CN114640590A - 意图网络中策略集冲突检测方法及相关设备 - Google Patents
意图网络中策略集冲突检测方法及相关设备 Download PDFInfo
- Publication number
- CN114640590A CN114640590A CN202210094437.0A CN202210094437A CN114640590A CN 114640590 A CN114640590 A CN 114640590A CN 202210094437 A CN202210094437 A CN 202210094437A CN 114640590 A CN114640590 A CN 114640590A
- Authority
- CN
- China
- Prior art keywords
- policy
- conflict
- relationship
- strategy
- strategies
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种意图网络中策略集冲突检测方法及相关设备。所述方法包括:获取根据用户意图转译的第一策略集和所述意图网络中运行的第二策略集并对其进行解析,将IP地址、端口号、有效时间字段等匹配域转换成范围值,形成中间形式规则,然后为待检测的两个策略集中每两对策略构建三个逻辑表达式,通过SMT求解器对其进行求解,最终得出是否发生冲突的结论。通过以上方法,可以实现对意图间冲突的检测,同时在匹配域的相交关系检测中,更方便的加入有效时间字段并有效降低解析难度。
Description
技术领域
本申请涉及软件定义网络技术领域,尤其涉及一种意图网络中策略集冲突检测方法及相关设备。
背景技术
在意图网络的策略验证中,主要考虑资源可用性、策略的冲突以及策略的正确性三个方面,策略中包含源IP地址、目的IP地址、源端口号、目的端口号、交换机、超时时间等匹配域,根据这些匹配域的相交关系以及策略执行的动作会形成几种策略冲突关系:冗余、覆盖、泛化、相关、重叠,策略验证就是要在策略下发到实际网络之前,检查其与当前网络中已存在的策略间是否存在上述冲突。相关的冲突检测方法主要针对单条策略与网络环境之间的冲突,且检测通过后直接下发,对其后续的状态无法进行管理。
发明内容
有鉴于此,本申请的目的在于提出一种意图网络中策略集冲突检测方法及相关设备。
基于上述目的,本申请提供了一种意图网络中策略集冲突检测方法,包括:
获取根据用户意图转译的第一策略集和所述意图网络中运行的第二策略集;
对所述第一策略集和所述第二策略集中的每一个策略,提取该策略的属性的特征值;将所述特征值转换为能够输入可满足性模理论求解器的格式,得到该策略对应的中间形式规则;
将所述第一策略集中的每一个策略与所述第二策略集中的每一个策略进行一对一匹配,得到若干匹配组;
对每一个所述匹配组,通过可满足性模理论求解器对该匹配组中两个策略的中间形式规则进行计算,得到该匹配组中两个策略的关系;根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系;
响应于任一所述匹配组中的两个策略具有冲突关系,确定所述第一策略集和所述第二策略集具有冲突关系。
进一步的,所述特征值包括:意图ID、网络运营服务、源IP地址、目的IP地址、源端口号、目的端口号、有效时间、优先级和动作。
进一步的,将所述特征值转换为能够输入可满足性模理论求解器的格式,得到分别对应于每一个策略的中间形式规则,包括:
将所述有效时间转换为协调世界时时间范围值;
将所述源IP地址、目的IP地址、源端口号、目的端口号的判定域转换为范围值;
将所述协调世界时时间范围值、所述范围值、所述意图ID、所述网络运营服务、所述优先级和所述动作,组合为中间形式规则。
进一步的,所述通过可满足性模理论求解器计算所述匹配组中两个策略的中间形式规则,得到所述匹配组中两个策略的关系,包括:
比较所述匹配组中两个策略的优先级,将所述匹配组中所述优先级高的策略作为第一策略,其对应的中间形式规则为pi,将所述匹配组中所述优先级低的策略作为第二策略,其对应的中间形式规则为pj;
构建逻辑表达式:T1=M(pi)∧M(pj),T2=¬M(pi)∧M(pj),T3=M(pi)∧¬M(pj);其中,M(pi)和M(pj)分别表示第一策略的中间形式规则pi和第二策略的中间形式规则pj匹配的数据包的集合,∧为取交集,¬为取反集;T1、T2和T3为逻辑计算的值;
通过可满足性模理论求解器计算所述T1、所述T2和所述T3,根据所述T1、所述T2和所述T3得到所述匹配组中两个策略的关系。
进一步的,所述根据所述T1、所述T2和所述T3得到所述匹配组中两个策略的关系,包括:
响应于所述T1为空集,确定所述第一策略与所述第二策略为非包含关系;
响应于所述T1不为空集,所述T2为空集且所述T3为空集,确定所述第一策略与所述第二策略为相等关系;
响应于所述T1不为空集,所述T2为空集且所述T3不为空集,确定所述第一策略与所述第二策略为包含关系;
响应于所述T1不为空集,所述T2不为空集且所述T3不为空集,确定所述第一策略与所述第二策略为相交关系;
响应于所述T1不为空集,所述T2不为空集且所述T3为空集,确定所述第一策略与所述第二策略为被包含关系。
进一步的,所述根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系,包括:
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为阴影冲突;
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作相同,确定所述第一策略与所述第二策略之间为冗余冲突;
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为泛化冲突;
响应于所述第一策略与所述第二策略为相交关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为相关冲突。
进一步的,所述方法还包括:
根据所述冲突关系的类型,对所述第一策略集进行处理以使所述第一策略集和所述第二策略集不再具有冲突关系;其中,所述对所述第一策略集进行处理包括:
响应于所述冲突关系为冗余冲突或泛化冲突,将所述第一策略集中具有冲突关系的策略删除;
响应于所述冲突关系为相关冲突,将所述第一策略集中具有冲突关系的策略与所述第二策略集中具有冲突关系的策略相交的部分反馈给用户;
响应于所述冲突关系为阴影冲突,将所述第一策略集对应的意图反馈给用户。
基于同一构思,本申请还提供了一种意图网络中策略集冲突检测装置,包括:
获取模块,被配置为获取根据用户意图转译的第一策略集和所述意图网络中运行的第二策略集;
转换模块,被配置为对所述第一策略集和所述第二策略集中的每一个策略,提取该策略的属性的特征值;将所述特征值转换为能够输入可满足性模理论求解器的格式,得到该策略对应的的中间形式规则;
匹配模块,被配置为将所述第一策略集中的每一个策略与所述第二策略集中的每一个策略进行一对一匹配,得到若干匹配组;
计算模块,被配置为对每一个所述匹配组,通过可满足性模理论求解器对该匹配组中两个策略的中间形式规则进行计算,得到该匹配组中两个策略的关系;根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系;
判断模块,被配置为响应于任一所述匹配组中的两个策略具有冲突关系,确定所述第一策略集和所述第二策略集具有冲突关系。
基于同一构思,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任一项所述的方法。
基于同一构思,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机实现如上任一项所述的方法。
从上面所述可以看出,本申请提供的意图网络中策略集冲突检测方法,在获取到待检测的两个策略集后,对其进行解析转换成中间形式规则,然后通过SMT求解器为待检测的两个策略集中每两对策略进行求解,最终得出是否具有冲突关系的结论。通过所述方法,可以实现对意图网络中策略集冲突的检测。
附图说明
为了更清楚地说明本申请或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的意图网络中策略集冲突检测方法流程图;
图2为本申请实施例的中间形式规则转换方法流程图;
图3为本申请实施例的两个策略关系判断流程图;
图4为本申请实施例的意图网络中策略集冲突检测装置结构示意图;
图5为本申请实施例的电子设备结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本申请进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,相关的冲突检测方案还难以满足意图网络中策略集冲突检测的需要。意图网络是一种全新的组网模型,该模型中定义了意图,意图网络通过分析用户意图将意图转译为相应的网络策略,最终实现网络感知和控制策略的自动化部署。意图是意图网络的核心,用户只需要描述想要的结果,而不用描述如何实现,意图网络就可以自动地实现用户意图,能够持续监控网络状态信息,判断用户意图是否实现。意图网络中涵盖几个关键步骤,首先是意图转译阶段,该阶段需要获取到用户所提出的网络需求即意图,将接收到的意图转译成网络策略;然后是策略验证阶段,该阶段需要根据当前的网络状态验证策略的可执行性;最后是下发阶段,把通过验证的策略下发到实际网络中;此外,系统还要实时监控网络状态,确保用户意图正确实现,并将结果反馈给用户。
在第二阶段策略验证中,需要考虑策略的冲突。申请人在实现本申请的过程中发现,相关的冲突检测方法主要针对单条策略与网络环境之间的冲突,且检测通过后直接下发,对其后续的状态无法进行管理。这种方法不适用于意图网络,因为一个意图可能会被转译为多条策略即一个策略集,在意图网络环境中,我们必须对策略集整体进行检测,全部通过后在下发的同时对其进行存储管理,若有一条策略出现冲突则判断策略集整体发生冲突,拒绝下发。此外,现有冲突检测方法针对的匹配域不包括超时字段,但是在意图网络环境中,超时字段关系着意图是否还在网络中生效,检测时跳过超时字段可能会导致正确的意图无法下发。
有鉴于此,本申请的一个或多个实施例提供了一种意图网络中策略集冲突检测方案,在获取到待检测的两个策略集后,对其进行解析转换成中间形式规则,然后通过SMT求解器为待检测的两个策略集中每两对策略进行求解,最终得出是否具有冲突关系的结论。在每一个策略集下发之前,将其与正在生效的策略集中策略进行检测,通过集合论的相关知识判断是否发生冲突。实现对意图网络中策略集冲突的检测。
参考图1,本申请的实施例的意图网络中策略集冲突检测方法,包括以下步骤:
步骤S101、获取根据用户意图转译的第一策略集和所述意图网络中运行的第二策略集;
在本实施例中,需要对还未下发到网络环境中的第一策略集和已经在网络环境中运行的第二策略集进行冲突检测,只有两个策略集不存在冲突,才能将还未下发到网络环境中的第一策略集下发到网络环境中,将第一策略集和第二策略集合并作为新的第二策略集并运行。在一些实施例中,第二策略集储存在数据库中,当需要获取时可以直接将进行调用。
步骤S102、对所述第一策略集和所述第二策略集中的每一个策略,提取该策略的属性的特征值;将所述特征值转换为能够输入可满足性模理论求解器的格式,得到该策略对应的中间形式规则;
策略集的策略中包含源IP地址、目的IP地址、源端口号、目的端口号、交换机、超时时间等匹配域的属性,根据这些匹配域的相交关系以及策略执行的动作会形成几种策略冲突关系:冗余、覆盖、泛化、相关、重叠,策略冲突检测就是要在策略下发到实际网络之前,需要检查其与当前网络中已存在的策略间是否存在上述冲突。
SMT是Satisfiability Modulo Theories的缩写,可译为可满足性模理论,它的判定算法称为SMT求解器。可满足性模理论(SMT)用于确定组合背景理论下的一阶逻辑公式的可满足性。SMT的背景理论使得它可以简洁明了地描述现实世界中各种复杂的问题,它具有高效的可满足性决策算法。SMT在RTL验证、线性逻辑约束和公式优化问题求解等领域中具有突出的优势。
在本步骤中,策略的属性中并非所有的属性都是与冲突相关的,因此只需要考虑与冲突相关的属性即可。因此,在一些实施例中,提取该策略的属性的特征值包括:意图ID、网络运营服务、源IP地址、目的IP地址、源端口号、目的端口号、有效时间、优先级和动作。
在一些实施例中,对于第二策略集中的策略对应的中间形式规则,可以是预先转换后储存在数据库中的,在需要时直接进行调用,节省即时转换的时间。
步骤S103、将所述第一策略集中的每一个策略与所述第二策略集中的每一个策略进行一对一匹配,得到若干匹配组;
本步骤中,需要将第一策略集中的每一个策略分别与第二策略集中的每一个策略进行匹配,作为一个示例,第一策略集中的策略为A、B、C、D,第二策略集中的策略为a、b、c、d,则匹配后的匹配组分别为Aa、Ab、Ac、Ad、Ba、Bb、Bc、Bd、Ca、Cb、Cc、Cd、Da、Db、Dc和Dd。
步骤S104、对每一个所述匹配组,通过可满足性模理论求解器对该匹配组中两个策略的中间形式规则进行计算,得到该匹配组中两个策略的关系;根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系;
在本步骤中,首先需要比较所述匹配组中两个策略的优先级,将所述匹配组中所述优先级高的策略作为第一策略,其对应的中间形式规则为pi,将所述匹配组中所述优先级低的策略作为第二策略,其对应的中间形式规则为pj;
构建逻辑表达式:T1=M(pi)∧M(pj),T2=¬M(pi)∧M(pj),T3=M(pi)∧¬M(pj);其中,M(pi)和M(pj)分别表示第一策略的中间形式规则pi和第二策略的中间形式规则pj匹配(策略的匹配域字段和数据包的包头匹配成功)的数据包的集合,∧为取交集,¬为取反集;T1、T2和T3为逻辑计算的值;
通过可满足性模理论求解器计算所述T1、所述T2和所述T3,根据所述T1、所述T2和所述T3得到所述匹配组中两个策略的关系。
步骤S105、响应于任一所述匹配组中的两个策略具有冲突关系,确定所述第一策略集和所述第二策略集具有冲突关系。
在本步骤中,只要有一个匹配组中的两个策略具有冲突关系,则可以判定第一策略集和第二策略集具有冲突关系。
从上面所述可以看出,本申请实施例在获取到策略集后,对其进行解析,结合SMT求解器,在每一个策略集下发之前,将其与正在生效的策略集一一进行检测,通过集合论的相关知识判断是否发生冲突。实现对意图间冲突的检测。
在另外一些实施例中,参考图2,对于前述实施例中所述的将所述特征值转换为能够输入可满足性模理论求解器的格式,得到分别对应于每一个策略的中间形式规则,包括:
步骤S201、将所述有效时间转换为协调世界时(UTC)时间范围值;
作为一个示例,转换过程中首先将有效时间字段转换成格式为YYYY/MM/DD,HH:MM的范围值;之后将格式为YYYY/MM/DD,HH:MM的范围值进一步转换为UTC时间范围值
步骤S202、将所述源IP地址、目的IP地址、源端口号、目的端口号的判定域转换为范围值;
步骤S203、将所述协调世界时时间范围值、所述范围值、所述意图ID、所述网络运营服务、所述优先级和所述动作,组合为中间形式规则。
在本实施例中,作为一个示例,提取的9个特征值,如下所示,包括:
IntentID:该策略所属的意图的ID,
Operation Service(OS):网络运营服务,
s_IP:源IP地址,
d_IP:目的IP地址,
s_port:源端口号,
d_port:目的端口号,
Priority:优先级,
Time:有效时间,
Action:动作。
中间形式规则Policy=(IntentID,OS,s_IP,d_IP,s_port,d_port,priority,time,action)。
现有方法在检测匹配域时没有考虑有效时间字段,会导致的结果有:
a)在意图网络,会导致用户不知道自己下发的网络意图是否仍在生效,甚至会出现策略集与已失效策略集发生冲突而无法正常下发到网络中的情况。
b)延迟意图会出现冲突检测误报,例如,用户下发意图“明天上午十点钟打开节点A到节点B的web流量”,而当前网络中存在意图“今天节点A与节点B关闭web流量”,若不考虑有效时间字段,会出现误报的情况。
从上面所述可以看出,本申请实施例在获取到策略集后,对其进行解析,将IP地址、端口号、有效时间字段等匹配域转换成范围值,形成中间形式规则,然后为待检测的两个策略集中每两对策略构建三个逻辑表达式,通过SMT求解器对其进行求解,最终得出是否发生冲突的结论。通过以上方法,可以实现对意图间冲突的检测,同时在匹配域的相交关系检测中,更方便的加入有效时间字段并有效降低解析难度。
在另外一些实施例中,参考图3,对于前述实施例中所述的根据所述T1、所述T2和所述T3得到所述匹配组中两个策略的关系,包括:
响应于所述T1为空集,确定所述第一策略与所述第二策略为非包含关系;
响应于所述T1不为空集,所述T2为空集且所述T3为空集,确定所述第一策略与所述第二策略为相等关系;
响应于所述T1不为空集,所述T2为空集且所述T3不为空集,确定所述第一策略与所述第二策略为包含关系;
响应于所述T1不为空集,所述T2不为空集且所述T3不为空集,确定所述第一策略与所述第二策略为相交关系Overlap;
响应于所述T1不为空集,所述T2不为空集且所述T3为空集,确定所述第一策略与所述第二策略为被包含关系。
在本实施例中,根据集合论知识,结合求解器得出的三个值判断两条策略的关系。
在另外一些实施例中,对于前述实施例中所述的根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系,包括:
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为阴影冲突;
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作相同,确定所述第一策略与所述第二策略之间为冗余冲突;
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为泛化冲突;
响应于所述第一策略与所述第二策略为相交关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为相关冲突。
在本实施例中,结合动作字段和包含关系判断两条策略的冲突情况,具体判断方法如下所示:
当关系为Include或者Equal,即规则fi与规则fj的关系为包含或相等,且两条规则的动作不同时,就会产生阴影冲突。
当关系为Include或者Equal,即规则fi与规则fj的关系为包含或相等,且两条规则的动作相同时,就会发生冗余冲突。
当关系为Inside,即规则fi与规则fj的关系为被包含,且两条规则具有不同的动作时,泛化冲突就会发生。
当关系为Overlap时,即fi与fj有部分重叠,且两条规则具有不同的动作,会发生相关冲突。
在另外一些实施例中,对于前述实施例中所述的意图网络中策略集冲突检测方法还包括:
根据所述冲突关系的类型,对所述第一策略集进行处理以使所述第一策略集和所述第二策略集不再具有冲突关系;其中,所述对所述第一策略集进行处理包括:
响应于所述冲突关系为冗余冲突或泛化冲突,将所述第一策略集中具有冲突关系的策略删除;
响应于所述冲突关系为相关冲突,将所述第一策略集中具有冲突关系的策略与所述第二策略集中具有冲突关系的策略相交的部分反馈给用户;
响应于所述冲突关系为阴影冲突,将所述第一策略集对应的意图反馈给用户。
在本实施例中,经过前面的流程,不仅得出两条策略间是否存在冲突,而且能够了解冲突的种类,根据冲突种类,本实施例中的方法,可以处理冲突或为用户提供反馈。每种冲突的对意图网络的影响和处理方法如下:
冗余冲突:不影响网络功能,把被包含的策略删除,两个意图共享匹配范围大的策略;
泛化冲突:不影响网络功能,将覆盖范围删除即可;
相关冲突:把两条策略相交部分筛出,反馈给用户;
阴影冲突:发生阴影冲突的两条策略所在的意图,只能有一个意图生效,将发生冲突的意图反馈给用户。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本申请的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种意图网络中策略集冲突检测装置。
参考图4,所述意图网络中策略集冲突检测装置,包括:
获取模块401,被配置为获取根据用户意图转译的第一策略集和所述意图网络中运行的第二策略集;
转换模块402,被配置为对所述第一策略集和所述第二策略集中的每一个策略,提取该策略的属性的特征值;将所述特征值转换为能够输入可满足性模理论求解器的格式,得到该策略对应的的中间形式规则;
匹配模块403,被配置为将所述第一策略集中的每一个策略与所述第二策略集中的每一个策略进行一对一匹配,得到若干匹配组;
计算模块404,被配置为对每一个所述匹配组,通过可满足性模理论求解器对该匹配组中两个策略的中间形式规则进行计算,得到该匹配组中两个策略的关系;根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系;
判断模块405,被配置为响应于任一所述匹配组中的两个策略具有冲突关系,确定所述第一策略集和所述第二策略集具有冲突关系。
在另外一些实施例中,所述特征值包括:意图ID、网络运营服务、源IP地址、目的IP地址、源端口号、目的端口号、有效时间、优先级和动作。转换模块402,还被配置为:
将所述有效时间转换为协调世界时时间范围值;
将所述源IP地址、目的IP地址、源端口号、目的端口号的判定域转换为范围值;
将所述协调世界时时间范围值、所述范围值、所述意图ID、所述网络运营服务、所述优先级和所述动作,组合为中间形式规则。
在另外一些实施例中,计算模块404,还被配置为比较所述匹配组中两个策略的优先级,将所述匹配组中所述优先级高的策略作为第一策略,其对应的中间形式规则为pi,将所述匹配组中所述优先级低的策略作为第二策略,其对应的中间形式规则为pj;
构建逻辑表达式:T1=M(pi)∧M(pj),T2=¬M(pi)∧M(pj),T3=M(pi)∧¬M(pj);其中,M(pi)和M(pj)分别表示第一策略的中间形式规则pi和第二策略的中间形式规则pj匹配的数据包的集合,∧为取交集,¬为取反集;T1、T2和T3为逻辑计算的值;
通过可满足性模理论求解器计算所述T1、所述T2和所述T3,根据所述T1、所述T2和所述T3得到所述匹配组中两个策略的关系。
在另外一些实施例中,计算模块404,还被配置为:
响应于所述T1为空集,确定所述第一策略与所述第二策略为非包含关系;
响应于所述T1不为空集,所述T2为空集且所述T3为空集,确定所述第一策略与所述第二策略为相等关系;
响应于所述T1不为空集,所述T2为空集且所述T3不为空集,确定所述第一策略与所述第二策略为包含关系;
响应于所述T1不为空集,所述T2不为空集且所述T3不为空集,确定所述第一策略与所述第二策略为相交关系;
响应于所述T1不为空集,所述T2不为空集且所述T3为空集,确定所述第一策略与所述第二策略为被包含关系。
在另外一些实施例中,计算模块404,还被配置为:
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为阴影冲突;
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作相同,确定所述第一策略与所述第二策略之间为冗余冲突;
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为泛化冲突;
响应于所述第一策略与所述第二策略为相交关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为相关冲突。
在另外一些实施例中,所述意图网络中策略集冲突检测装置装置还包括处理模块,所述处理模块被配置为:根据所述冲突关系的类型,对所述第一策略集进行处理以使所述第一策略集和所述第二策略集不再具有冲突关系;其中,所述对所述第一策略集进行处理包括:
响应于所述冲突关系为冗余冲突或泛化冲突,将所述第一策略集中具有冲突关系的策略删除;
响应于所述冲突关系为相关冲突,将所述第一策略集中具有冲突关系的策略与所述第二策略集中具有冲突关系的策略相交的部分反馈给用户;
响应于所述冲突关系为阴影冲突,将所述第一策略集对应的意图反馈给用户。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的意图网络中策略集冲突检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的意图网络中策略集冲突检测方法。
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的意图网络中策略集冲突检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的意图网络中策略集冲突检测方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的意图网络中策略集冲突检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种意图网络中策略集冲突检测方法,其特征在于,包括:
获取根据用户意图转译的第一策略集和所述意图网络中运行的第二策略集;
对所述第一策略集和所述第二策略集中的每一个策略,提取该策略的属性的特征值;将所述特征值转换为能够输入可满足性模理论求解器的格式,得到该策略对应的中间形式规则;
将所述第一策略集中的每一个策略与所述第二策略集中的每一个策略进行一对一匹配,得到若干匹配组;
对每一个所述匹配组,通过可满足性模理论求解器对该匹配组中两个策略的中间形式规则进行计算,得到该匹配组中两个策略的关系;根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系;
响应于任一所述匹配组中的两个策略具有冲突关系,确定所述第一策略集和所述第二策略集具有冲突关系。
2.根据权利要求1所述的方法,其特征在于,所述特征值包括:意图ID、网络运营服务、源IP地址、目的IP地址、源端口号、目的端口号、有效时间、优先级和动作。
3.根据权利要求2所述的方法,其特征在于,将所述特征值转换为能够输入可满足性模理论求解器的格式,得到分别对应于每一个策略的中间形式规则,包括:
将所述有效时间转换为协调世界时时间范围值;
将所述源IP地址、目的IP地址、源端口号、目的端口号的判定域转换为范围值;
将所述协调世界时时间范围值、所述范围值、所述意图ID、所述网络运营服务、所述优先级和所述动作,组合为中间形式规则。
4.根据权利要求2所述的方法,其特征在于,所述通过可满足性模理论求解器计算所述匹配组中两个策略的中间形式规则,得到所述匹配组中两个策略的关系,包括:
比较所述匹配组中两个策略的优先级,将所述匹配组中所述优先级高的策略作为第一策略,其对应的中间形式规则为pi,将所述匹配组中所述优先级低的策略作为第二策略,其对应的中间形式规则为pj;
构建逻辑表达式:T1=M(pi)∧M(pj),
其中,M(pi)和M(pj)分别表示第一策略的中间形式规则pi和第二策略的中间形式规则pj匹配的数据包的集合,∧为取交集,
为取反集;T1、T2和T3为逻辑计算的值;
通过可满足性模理论求解器计算所述T1、所述T2和所述T3,根据所述T1、所述T2和所述T3得到所述匹配组中两个策略的关系。
5.根据权利要求4所述的方法,其特征在于,所述根据所述T1、所述T2和所述T3得到所述匹配组中两个策略的关系,包括:
响应于所述T1为空集,确定所述第一策略与所述第二策略为非包含关系;
响应于所述T1不为空集,所述T2为空集且所述T3为空集,确定所述第一策略与所述第二策略为相等关系;
响应于所述T1不为空集,所述T2为空集且所述T3不为空集,确定所述第一策略与所述第二策略为包含关系;
响应于所述T1不为空集,所述T2不为空集且所述T3不为空集,确定所述第一策略与所述第二策略为相交关系;
响应于所述T1不为空集,所述T2不为空集且所述T3为空集,确定所述第一策略与所述第二策略为被包含关系。
6.根据权利要求5所述的方法,其特征在于,所述根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系,包括:
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为阴影冲突;
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作相同,确定所述第一策略与所述第二策略之间为冗余冲突;
响应于所述第一策略与所述第二策略为包含关系或相等关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为泛化冲突;
响应于所述第一策略与所述第二策略为相交关系,且所述第一策略与所述第二策略的动作不同,确定所述第一策略与所述第二策略之间为相关冲突。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
根据所述冲突关系的类型,对所述第一策略集进行处理以使所述第一策略集和所述第二策略集不再具有冲突关系;其中,所述对所述第一策略集进行处理包括:
响应于所述冲突关系为冗余冲突或泛化冲突,将所述第一策略集中具有冲突关系的策略删除;
响应于所述冲突关系为相关冲突,将所述第一策略集中具有冲突关系的策略与所述第二策略集中具有冲突关系的策略相交的部分反馈给用户;
响应于所述冲突关系为阴影冲突,将所述第一策略集对应的意图反馈给用户。
8.一种意图网络中策略集冲突检测装置,其特征在于,包括:
获取模块,被配置为获取根据用户意图转译的第一策略集和所述意图网络中运行的第二策略集;
转换模块,被配置为对所述第一策略集和所述第二策略集中的每一个策略,提取该策略的属性的特征值;将所述特征值转换为能够输入可满足性模理论求解器的格式,得到该策略对应的的中间形式规则;
匹配模块,被配置为将所述第一策略集中的每一个策略与所述第二策略集中的每一个策略进行一对一匹配,得到若干匹配组;
计算模块,被配置为对每一个所述匹配组,通过可满足性模理论求解器对该匹配组中两个策略的中间形式规则进行计算,得到该匹配组中两个策略的关系;根据所述两个策略的特征值和所述关系确定所述两个策略是否具有冲突关系;
判断模块,被配置为响应于任一所述匹配组中的两个策略具有冲突关系,确定所述第一策略集和所述第二策略集具有冲突关系。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任意一项所述的方法。
10.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,其特征在于,所述计算机指令用于使计算机执行根据权利要求1至7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210094437.0A CN114640590B (zh) | 2022-01-26 | 2022-01-26 | 意图网络中策略集冲突检测方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210094437.0A CN114640590B (zh) | 2022-01-26 | 2022-01-26 | 意图网络中策略集冲突检测方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114640590A true CN114640590A (zh) | 2022-06-17 |
| CN114640590B CN114640590B (zh) | 2023-02-10 |
Family
ID=81946385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210094437.0A Active CN114640590B (zh) | 2022-01-26 | 2022-01-26 | 意图网络中策略集冲突检测方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114640590B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024001998A1 (zh) * | 2022-06-29 | 2024-01-04 | 华为技术有限公司 | 一种安全策略的处理方法及相关装置 |
| WO2024036954A1 (zh) * | 2022-08-18 | 2024-02-22 | 中兴通讯股份有限公司 | 意图处理方法、电子设备和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
| WO2016130108A1 (en) * | 2015-02-10 | 2016-08-18 | Hewlett Packard Enterprise Development Lp | Network policy conflict detection and resolution |
| CN108476179A (zh) * | 2015-12-17 | 2018-08-31 | 慧与发展有限责任合伙企业 | 简化的正交网络策略集选择 |
| CN110278111A (zh) * | 2019-05-29 | 2019-09-24 | 西安电子科技大学 | 一种意图驱动网络通用架构及其意图驱动网络转译方法 |
| CN112565193A (zh) * | 2020-11-06 | 2021-03-26 | 西安电子科技大学 | 一种网络安全策略冲突分解方法、系统、存储介质、设备 |
| US20210135995A1 (en) * | 2019-11-05 | 2021-05-06 | Cisco Technology, Inc. | Network policy architecture |
| CN113849594A (zh) * | 2020-06-28 | 2021-12-28 | 中国电信股份有限公司 | 意图驱动网络中的用户意图实现方法、装置和存储介质 |
-
2022
- 2022-01-26 CN CN202210094437.0A patent/CN114640590B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104202303A (zh) * | 2014-08-11 | 2014-12-10 | 华中科技大学 | 一种sdn应用的策略冲突检测方法及系统 |
| WO2016130108A1 (en) * | 2015-02-10 | 2016-08-18 | Hewlett Packard Enterprise Development Lp | Network policy conflict detection and resolution |
| CN108476179A (zh) * | 2015-12-17 | 2018-08-31 | 慧与发展有限责任合伙企业 | 简化的正交网络策略集选择 |
| CN110278111A (zh) * | 2019-05-29 | 2019-09-24 | 西安电子科技大学 | 一种意图驱动网络通用架构及其意图驱动网络转译方法 |
| US20210135995A1 (en) * | 2019-11-05 | 2021-05-06 | Cisco Technology, Inc. | Network policy architecture |
| CN113849594A (zh) * | 2020-06-28 | 2021-12-28 | 中国电信股份有限公司 | 意图驱动网络中的用户意图实现方法、装置和存储介质 |
| CN112565193A (zh) * | 2020-11-06 | 2021-03-26 | 西安电子科技大学 | 一种网络安全策略冲突分解方法、系统、存储介质、设备 |
Non-Patent Citations (1)
| Title |
|---|
| 任占阳等: "一种新的策略冲突解决方法的研究", 《信息通信》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024001998A1 (zh) * | 2022-06-29 | 2024-01-04 | 华为技术有限公司 | 一种安全策略的处理方法及相关装置 |
| WO2024036954A1 (zh) * | 2022-08-18 | 2024-02-22 | 中兴通讯股份有限公司 | 意图处理方法、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114640590B (zh) | 2023-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114640590B (zh) | 意图网络中策略集冲突检测方法及相关设备 | |
| EP3361417A1 (en) | Smart card read/write methods and devices | |
| WO2022199282A1 (zh) | 线程快照解析方法、装置、设备和存储介质 | |
| EP4318283A1 (en) | Detection of malicious behavior of applet | |
| CN115827436A (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN111459802B (zh) | 一种基于GUI的Android应用程序WebView页面的测试方法、装置及设备 | |
| CN115618363B (zh) | 漏洞路径的挖掘方法及相关设备 | |
| WO2023197851A9 (zh) | 异常组件的识别方法、装置、设备、存储介质及程序产品 | |
| CN112333294A (zh) | 日志归并方法、装置、介质和设备 | |
| CN110380902B (zh) | 拓扑关系生成方法、装置、电子设备及存储介质 | |
| CN116225690A (zh) | 基于docker的内存多维数据库计算负载均衡方法及系统 | |
| CN116009898A (zh) | K8s部署任务的状态确定方法、装置、设备及介质 | |
| CN112379967B (zh) | 模拟器检测方法、装置、设备及介质 | |
| CN113703996A (zh) | 基于用户和yang模型分组的访问控制方法、设备及介质 | |
| CN115237889A (zh) | 数据库切换方法及装置、存储介质、计算机设备 | |
| CN114579136A (zh) | 代码处理方法、装置、计算机设备和存储介质 | |
| CN107992749A (zh) | 一种检测补丁包冲突的方法及装置 | |
| CN112733145B (zh) | Android应用检测分析方法、电子设备及存储介质 | |
| CN117389643A (zh) | 配置文件的检测方法、装置、电子设备及存储介质 | |
| CN112559394B (zh) | 系统库访问方法、装置以及电子设备 | |
| CN115168235A (zh) | 链路指标采集方法及相关设备 | |
| CN115470737B (zh) | 生成数据流图的方法、电子设备及存储介质 | |
| CN112653595B (zh) | 芯片网络功能测试方法、装置、存储介质及设备 | |
| CN111680112B (zh) | 一种数据分析方法及装置 | |
| CN110096555B (zh) | 一种分布式系统的表匹配处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |