一種新的動態策略沖突檢測模型

李新星 劉朝暉 葉勇

南華大學計算機科學與技術學院 湖南 421001

0 引言

策略是關于系統行為管理的規則的集合。通常經過編譯的策略作為一條記錄存儲于策略庫中，當策略執行點 PDP (Policy Decision Point)接到策略執行點PEP(Policy Enforcement Point)的策略請求時，PDP便可以從策略庫中加載啟用一條新的策略。策略系統管理員可以通過策略管理工具增加、刪除、編輯策略庫中的策略。當策略管理員對策略庫進行增加、刪除、編輯操作的時候，就有可能引發策略的沖突。比如一條策略規定公司中層管理人員不能訪問資料R，而另一條策略規定工程師可以訪問資料R，當某一職員既是工程師又是中層管理人員時，策略的沖突便產生了。沖突的策略可以在策略庫中并存，但要盡量避免策略的沖突在運行時產生，如果在運行時發生策略的沖突，則需要快速的檢測出沖突的策略并進行消解。策略的沖突檢測和消解是策略研究的重要內容之一。

1 策略沖突檢測的相關研究

E. Lupu等人在文獻[1]中將策略的沖突分為模態沖突(modality conflict)和應用沖突(application conflict)兩類。Lupu等人分析指出，策略模態沖突的產生是由于策略的＜主體，客體，動作＞有重疊或者部分重疊而引起的，故而對模態沖突的檢測可以轉換為對＜主體，客體，動作＞三元組重疊關系的判斷。應用沖突是指不能從策略描述中直接判斷、與應用環境密切相關的策略沖突類型。其中模態沖突包括A+/A-(授權策略沖突)、O+/O-(義務策略沖突)、O+/A-(義務策略與授權策略相沖突)三種情況。應用沖突包括資源沖突、多管理者沖突，自管理沖突三種情況。

文獻[1]提出的不同策略 ＜主體，客體，動作＞三元組發生重疊或部分重疊會導致模態沖突的結論已被廣泛接受，但文獻[1]沒有給出具體的算法來對＜主體，客體，動作＞重疊關系進行判斷。在＜主體，客體，動作＞三元組重疊關系判斷方法的研究方面，國內外有一些相關的研究成果。在文獻[2]中提出了對策略的屬性值進行規范化處理，一條策略各屬性值映射到n維的實數空間，再設計算法對這個n維空間進行集合去處，從而判斷出＜主體，客體，動作＞間的重疊關系。文獻[3]～[6]采用將域、策略對象、動作等分別轉化為有向圖，通過對圖進行操作來判斷沖突。文獻[7]提出了另一種新穎的沖突檢測方案，由于潛在的沖突雖然存在變化，但都是可預測的，因此提出建立一個潛在策略沖突數據庫，它用于存儲所有可能在運行時發生沖突的策略，同時還包括運行時發生沖突的具體條件。通過搭建潛在策略沖突庫，大大降低了基于策略的管理系統運行時由于沖突檢測而引起的性能大幅波動。

目前，國內外的研究成果都是相對獨立和分散的，主要集中在對策略沖突的靜態檢測，對策略沖突的動態檢測目前還沒有公開的成熟方案，策略運行時沖突的動態檢測主要還是在策略加載啟用時才開始判斷是否產生運行沖突，這樣會造成策略管理系統性能的較大抖動。

因此，本文提出一種新型的策略沖突檢測模型，可以較大幅度地減輕策略系統運行時由于沖突檢測而帶來的性能波動問題。

2 一種新的策略沖突檢測模型

在策略管理系統運行過程中，當某一些特定情況發生就需要進行策略沖突的檢測。這些特定情況有如下五種：(1)向策略庫中新增一條策略；(2)嘗試執行一個策略動作；(3)給實體或用戶分配一個新的角色；(4)實體或用戶發生變化；(5)策略系統所定義的外部事件的發生。

本文在現有研究成果的基礎上，結合Ponder策略部署框架，設計了一種新的策略沖突檢測模型，如圖1所示：

圖1 策略沖突檢測模型圖

策略沖突檢測情況分析：

（1）向策略庫中新增加一條策略。新增的策略可能會與策略庫中的一條或多條策略相沖突。由于策略庫中的策略可能是成千上萬條，如何降低運算的時間復雜度，降低策略響應造成的性能抖動，增強策略響應的實時性便顯得尤為重要。本文提出首先對所有的策略先進行規范化的處理后再進行＜主體，客體，動作＞重疊關系的判斷。一種情況是新增的策略沒有與策略庫中的現行策略相沖突，則直接將新增的策略寫入策略庫中；另一種情況是新增的策略與策略庫中的某一條或幾條策略相沖突，這種沖突我們分為兩種情況來分析：事實沖突和潛在沖突。事實沖突意味著沖突一定會發生；潛在沖突則意味著沖突在策略系統運行時可能發生，也可能不發生。對檢測到的事實沖突，必須轉到沖突消解進程，對潛在沖突，則只需要將沖突的策略對存儲到潛在策略沖突庫中即可。

（2）PEP嘗試執行一個策略動作。當策略系統嘗試去執行一個策略動作時，PDP只需要到策略沖突庫中把與此動作相關的策略檢索出來比較即可做出決策。

（3）發生策略系統所定義的事件。事件的發生可能同時激活一對或多對沖突的策略，判斷事件是否引起沖突，只要從潛在策略沖突庫中檢索出相關的策略并加以比較即可。如下面二條策略：

PolicyA規定當分發藥品的事件發生時，護士必須對藥品數據庫進行更新。PolicyB規定當凌晨一點要對庫存的藥品進行清點，并生成目錄清單。在對庫存的藥品進行清點期間不允許對數據庫進行更新操作的。當護士發放藥品和凌晨一點這二個事件同時發生時，PolicyA與PolicyB的沖突就產生了。這二條可能在系統運行時發生沖突的策略，需要將策略的名稱、發生沖突的條件存入潛在策略沖突庫中。這樣在護士分發藥品或凌晨一點事件發生時，只要簡單的到潛在策略沖突庫中按事件檢索出相關的策略即可快速地判斷出是否產生沖突。

（4）給策略系統的實體或用戶分配一個新的角色。原來的用戶可能已包含一個或多個角色，新分配的角色與原有的角色可能會發生應用沖突，也可能發生新角色的策略與原有其它角色的策略相沖突的情況。在系統行動時出現這一類的情況，只需要對潛在策略沖突庫檢索出相關策略并加于判斷即可。

（5）策略實體發生變化。策略實體或用戶的屬性、關系發生變化需要對潛在策略沖突庫中的沖突策略對進行策略屬性規范化處理后重新評估是否沖突。

（6）策略的規范化處理。在當新增一條策略或者策略管理系統中策略實體發生變化時，都要求對策略沖突與否對相關的策略進行全面的比較，計算量較大，如果不進行優化處理，將對系統的性能造成較大抖動。在本文的模型中，采用對策略和屬性值進行規范化處理的方法，來提高發生以上二種情況時策略沖突的快速評估。規范化步驟如圖2所示。

圖2 策略屬性數據規范化

規范化原則：將離散或連續的屬性數據統一映射到實數集合。對連續的屬性值映射到連續的實數區間；對離散的數據，先統計屬性數據的個數，然后映射到連續的實數。對規劃化處理后的＜主體，客體＞屬性進行集合運算，比較完后，再重新映射至原來的策略屬性值。規范化屬性值運算公式如下：

通過以上公式進行交集運算，達到對＜主體，客體＞重疊關系快速判斷的目的。對要進行比較的一對策略，先對action進行判斷，如果是二個沖突的動作，則再對策略的主體和客體屬性值進行規范化處理后再作交集運算。當交集運算的結果為非空時，再對客體進行集運算，如果結果也是非空，則這是一對沖突的策略。如果主體或客體的交集結果是空集，則，不存在沖突。沖突的策略更新至潛在策略沖突庫，同時將此新增策略更新至策略庫中，無沖突的新增策略則直接添加到策略庫中。

在Ponder框架下，Ponder策略描述語言提供對角色的定義，并且在分布式的策略管理中具有相當的普遍性，所以，結合角色的定義，我們將策略沖突進一步分為角色內部策略的沖突(internal conflict)，角色間的策略沖突(external conflict)，應用沖突(application conflict)和其它沖突。沖突檢測的主要步驟描述如下：

本文提出的基于潛在策略沖突庫和規范化技術的沖突檢測模型，大幅減少了策略系統運行時的性能抖動。在策略加載前，先分析在不同具體情況下，該策略可能會與策略庫中其它一條或多條策略發生沖突進行預測，并將預測的結果存入潛在策略沖突庫。策略沖突檢測系統運行時，大部分工作只需要簡單的執行檢索匹配操作即可判斷是否存在沖突；在運行過程中，實體如果發生因而可以有效提高策略加載運行時對沖突的檢測效率。

3 結束語

策略的沖突可分為靜態和動態兩種類型的沖突。在目前大部分研究都集中于對靜態策略沖突檢測的背景下，本文提出了一種對動態的策略沖突進行檢測的方案模型，該模型可有效地對策略的沖突進行檢測，并避免性能的大幅抖動，并且具有良好的擴展性。在接下來的工作中，我們將主要致力于基于此沖突檢測模型基礎，對策略的沖突消解方案進行設計和優化。

[1]E.LUPU,M.SLOMAN.Conflicts in Policy-based Distributed Systems Management[J].IEEE Trans on Software Engineering. 1999.

[2]吳蓓,陳性元,張永福.可擴展的網絡安全設備內策略沖突檢測算法[J].計算機應用研究.2010.

[3]王永亮,陳性元,吳蓓.一種新的策略沖突檢測與消解方法[A].2007通信理論與技術新發展——第十二屆全國青年通信學術會議論文集(下冊)[C].2007.

[4]蔣康麗,熊齊邦.策略網管中規則沖突檢測算法的研究[J].計算機應用.2004.

[5]王琳, 滕玲瑩.基于多域環境的安全策略沖突檢測模型研究[J],西南民族大學學報·自然科學版.2008.

[6]何再朗,田敬東,張毓森.策略沖突分析、檢測及解決方案[J].蘭州理工大學學報.2005.

[7]N.Dunlop,J.Indulska,K.Raymond.Dynamic Conflict Detection in Policy-Based Management Systems, In Proceedings of the 6th international Enterprise Distributed Object Computing Conference. IEEE Computer Society,Washington,DC,eptember 2002.