李新星 劉朝暉 葉勇

南華大學(xué)計算機科學(xué)與技術(shù)學(xué)院 湖南 421001

0 引言

策略是關(guān)于系統(tǒng)行為管理的規(guī)則的集合。通常經(jīng)過編譯的策略作為一條記錄存儲于策略庫中，當策略執(zhí)行點 PDP (Policy Decision Point)接到策略執(zhí)行點PEP(Policy Enforcement Point)的策略請求時，PDP便可以從策略庫中加載啟用一條新的策略。策略系統(tǒng)管理員可以通過策略管理工具增加、刪除、編輯策略庫中的策略。當策略管理員對策略庫進行增加、刪除、編輯操作的時候，就有可能引發(fā)策略的沖突。比如一條策略規(guī)定公司中層管理人員不能訪問資料R，而另一條策略規(guī)定工程師可以訪問資料R，當某一職員既是工程師又是中層管理人員時，策略的沖突便產(chǎn)生了。沖突的策略可以在策略庫中并存，但要盡量避免策略的沖突在運行時產(chǎn)生，如果在運行時發(fā)生策略的沖突，則需要快速的檢測出沖突的策略并進行消解。策略的沖突檢測和消解是策略研究的重要內(nèi)容之一。

1 策略沖突檢測的相關(guān)研究

E. Lupu等人在文獻[1]中將策略的沖突分為模態(tài)沖突(modality conflict)和應(yīng)用沖突(application conflict)兩類。Lupu等人分析指出，策略模態(tài)沖突的產(chǎn)生是由于策略的＜主體，客體，動作＞有重疊或者部分重疊而引起的，故而對模態(tài)沖突的檢測可以轉(zhuǎn)換為對＜主體，客體，動作＞三元組重疊關(guān)系的判斷。應(yīng)用沖突是指不能從策略描述中直接判斷、與應(yīng)用環(huán)境密切相關(guān)的策略沖突類型。其中模態(tài)沖突包括A+/A-(授權(quán)策略沖突)、O+/O-(義務(wù)策略沖突)、O+/A-(義務(wù)策略與授權(quán)策略相沖突)三種情況。應(yīng)用沖突包括資源沖突、多管理者沖突，自管理沖突三種情況。

文獻[1]提出的不同策略 ＜主體，客體，動作＞三元組發(fā)生重疊或部分重疊會導(dǎo)致模態(tài)沖突的結(jié)論已被廣泛接受，但文獻[1]沒有給出具體的算法來對＜主體，客體，動作＞重疊關(guān)系進行判斷。在＜主體，客體，動作＞三元組重疊關(guān)系判斷方法的研究方面，國內(nèi)外有一些相關(guān)的研究成果。在文獻[2]中提出了對策略的屬性值進行規(guī)范化處理，一條策略各屬性值映射到n維的實數(shù)空間，再設(shè)計算法對這個n維空間進行集合去處，從而判斷出＜主體，客體，動作＞間的重疊關(guān)系。文獻[3]～[6]采用將域、策略對象、動作等分別轉(zhuǎn)化為有向圖，通過對圖進行操作來判斷沖突。文獻[7]提出了另一種新穎的沖突檢測方案，由于潛在的沖突雖然存在變化，但都是可預(yù)測的，因此提出建立一個潛在策略沖突數(shù)據(jù)庫，它用于存儲所有可能在運行時發(fā)生沖突的策略，同時還包括運行時發(fā)生沖突的具體條件。通過搭建潛在策略沖突庫，大大降低了基于策略的管理系統(tǒng)運行時由于沖突檢測而引起的性能大幅波動。

目前，國內(nèi)外的研究成果都是相對獨立和分散的，主要集中在對策略沖突的靜態(tài)檢測，對策略沖突的動態(tài)檢測目前還沒有公開的成熟方案，策略運行時沖突的動態(tài)檢測主要還是在策略加載啟用時才開始判斷是否產(chǎn)生運行沖突，這樣會造成策略管理系統(tǒng)性能的較大抖動。

因此，本文提出一種新型的策略沖突檢測模型，可以較大幅度地減輕策略系統(tǒng)運行時由于沖突檢測而帶來的性能波動問題。

2 一種新的策略沖突檢測模型

在策略管理系統(tǒng)運行過程中，當某一些特定情況發(fā)生就需要進行策略沖突的檢測。這些特定情況有如下五種：(1)向策略庫中新增一條策略；(2)嘗試執(zhí)行一個策略動作；(3)給實體或用戶分配一個新的角色；(4)實體或用戶發(fā)生變化；(5)策略系統(tǒng)所定義的外部事件的發(fā)生。

本文在現(xiàn)有研究成果的基礎(chǔ)上，結(jié)合Ponder策略部署框架，設(shè)計了一種新的策略沖突檢測模型，如圖1所示：

圖1 策略沖突檢測模型圖

策略沖突檢測情況分析：

（1）向策略庫中新增加一條策略。新增的策略可能會與策略庫中的一條或多條策略相沖突。由于策略庫中的策略可能是成千上萬條，如何降低運算的時間復(fù)雜度，降低策略響應(yīng)造成的性能抖動，增強策略響應(yīng)的實時性便顯得尤為重要。本文提出首先對所有的策略先進行規(guī)范化的處理后再進行＜主體，客體，動作＞重疊關(guān)系的判斷。一種情況是新增的策略沒有與策略庫中的現(xiàn)行策略相沖突，則直接將新增的策略寫入策略庫中；另一種情況是新增的策略與策略庫中的某一條或幾條策略相沖突，這種沖突我們分為兩種情況來分析：事實沖突和潛在沖突。事實沖突意味著沖突一定會發(fā)生；潛在沖突則意味著沖突在策略系統(tǒng)運行時可能發(fā)生，也可能不發(fā)生。對檢測到的事實沖突，必須轉(zhuǎn)到?jīng)_突消解進程，對潛在沖突，則只需要將沖突的策略對存儲到潛在策略沖突庫中即可。

（2）PEP嘗試執(zhí)行一個策略動作。當策略系統(tǒng)嘗試去執(zhí)行一個策略動作時，PDP只需要到策略沖突庫中把與此動作相關(guān)的策略檢索出來比較即可做出決策。

（3）發(fā)生策略系統(tǒng)所定義的事件。事件的發(fā)生可能同時激活一對或多對沖突的策略，判斷事件是否引起沖突，只要從潛在策略沖突庫中檢索出相關(guān)的策略并加以比較即可。如下面二條策略：

PolicyA規(guī)定當分發(fā)藥品的事件發(fā)生時，護士必須對藥品數(shù)據(jù)庫進行更新。PolicyB規(guī)定當凌晨一點要對庫存的藥品進行清點，并生成目錄清單。在對庫存的藥品進行清點期間不允許對數(shù)據(jù)庫進行更新操作的。當護士發(fā)放藥品和凌晨一點這二個事件同時發(fā)生時，PolicyA與PolicyB的沖突就產(chǎn)生了。這二條可能在系統(tǒng)運行時發(fā)生沖突的策略，需要將策略的名稱、發(fā)生沖突的條件存入潛在策略沖突庫中。這樣在護士分發(fā)藥品或凌晨一點事件發(fā)生時，只要簡單的到潛在策略沖突庫中按事件檢索出相關(guān)的策略即可快速地判斷出是否產(chǎn)生沖突。

（4）給策略系統(tǒng)的實體或用戶分配一個新的角色。原來的用戶可能已包含一個或多個角色，新分配的角色與原有的角色可能會發(fā)生應(yīng)用沖突，也可能發(fā)生新角色的策略與原有其它角色的策略相沖突的情況。在系統(tǒng)行動時出現(xiàn)這一類的情況，只需要對潛在策略沖突庫檢索出相關(guān)策略并加于判斷即可。

（5）策略實體發(fā)生變化。策略實體或用戶的屬性、關(guān)系發(fā)生變化需要對潛在策略沖突庫中的沖突策略對進行策略屬性規(guī)范化處理后重新評估是否沖突。

（6）策略的規(guī)范化處理。在當新增一條策略或者策略管理系統(tǒng)中策略實體發(fā)生變化時，都要求對策略沖突與否對相關(guān)的策略進行全面的比較，計算量較大，如果不進行優(yōu)化處理，將對系統(tǒng)的性能造成較大抖動。在本文的模型中，采用對策略和屬性值進行規(guī)范化處理的方法，來提高發(fā)生以上二種情況時策略沖突的快速評估。規(guī)范化步驟如圖2所示。

圖2 策略屬性數(shù)據(jù)規(guī)范化

規(guī)范化原則：將離散或連續(xù)的屬性數(shù)據(jù)統(tǒng)一映射到實數(shù)集合。對連續(xù)的屬性值映射到連續(xù)的實數(shù)區(qū)間；對離散的數(shù)據(jù)，先統(tǒng)計屬性數(shù)據(jù)的個數(shù)，然后映射到連續(xù)的實數(shù)。對規(guī)劃化處理后的＜主體，客體＞屬性進行集合運算，比較完后，再重新映射至原來的策略屬性值。規(guī)范化屬性值運算公式如下：

通過以上公式進行交集運算，達到對＜主體，客體＞重疊關(guān)系快速判斷的目的。對要進行比較的一對策略，先對action進行判斷，如果是二個沖突的動作，則再對策略的主體和客體屬性值進行規(guī)范化處理后再作交集運算。當交集運算的結(jié)果為非空時，再對客體進行集運算，如果結(jié)果也是非空，則這是一對沖突的策略。如果主體或客體的交集結(jié)果是空集，則，不存在沖突。沖突的策略更新至潛在策略沖突庫，同時將此新增策略更新至策略庫中，無沖突的新增策略則直接添加到策略庫中。

在Ponder框架下，Ponder策略描述語言提供對角色的定義，并且在分布式的策略管理中具有相當?shù)钠毡樾裕?，結(jié)合角色的定義，我們將策略沖突進一步分為角色內(nèi)部策略的沖突(internal conflict)，角色間的策略沖突(external conflict)，應(yīng)用沖突(application conflict)和其它沖突。沖突檢測的主要步驟描述如下：

本文提出的基于潛在策略沖突庫和規(guī)范化技術(shù)的沖突檢測模型，大幅減少了策略系統(tǒng)運行時的性能抖動。在策略加載前，先分析在不同具體情況下，該策略可能會與策略庫中其它一條或多條策略發(fā)生沖突進行預(yù)測，并將預(yù)測的結(jié)果存入潛在策略沖突庫。策略沖突檢測系統(tǒng)運行時，大部分工作只需要簡單的執(zhí)行檢索匹配操作即可判斷是否存在沖突；在運行過程中，實體如果發(fā)生因而可以有效提高策略加載運行時對沖突的檢測效率。

3 結(jié)束語

策略的沖突可分為靜態(tài)和動態(tài)兩種類型的沖突。在目前大部分研究都集中于對靜態(tài)策略沖突檢測的背景下，本文提出了一種對動態(tài)的策略沖突進行檢測的方案模型，該模型可有效地對策略的沖突進行檢測，并避免性能的大幅抖動，并且具有良好的擴展性。在接下來的工作中，我們將主要致力于基于此沖突檢測模型基礎(chǔ)，對策略的沖突消解方案進行設(shè)計和優(yōu)化。

[1]E.LUPU,M.SLOMAN.Conflicts in Policy-based Distributed Systems Management[J].IEEE Trans on Software Engineering. 1999.

[2]吳蓓,陳性元,張永福.可擴展的網(wǎng)絡(luò)安全設(shè)備內(nèi)策略沖突檢測算法[J].計算機應(yīng)用研究.2010.

[3]王永亮,陳性元,吳蓓.一種新的策略沖突檢測與消解方法[A].2007通信理論與技術(shù)新發(fā)展——第十二屆全國青年通信學(xué)術(shù)會議論文集(下冊)[C].2007.

[4]蔣康麗,熊齊邦.策略網(wǎng)管中規(guī)則沖突檢測算法的研究[J].計算機應(yīng)用.2004.

[5]王琳, 滕玲瑩.基于多域環(huán)境的安全策略沖突檢測模型研究[J],西南民族大學(xué)學(xué)報·自然科學(xué)版.2008.

[6]何再朗,田敬東,張毓森.策略沖突分析、檢測及解決方案[J].蘭州理工大學(xué)學(xué)報.2005.

[7]N.Dunlop,J.Indulska,K.Raymond.Dynamic Conflict Detection in Policy-Based Management Systems, In Proceedings of the 6th international Enterprise Distributed Object Computing Conference. IEEE Computer Society,Washington,DC,eptember 2002.