專利名稱:協(xié)作式目標(biāo)策略細化方法
技術(shù)領(lǐng)域:
本發(fā)明屬于系統(tǒng)管理技術(shù)領(lǐng)域,具體涉及一種系統(tǒng)管理策略設(shè)計方法,用于將設(shè)定的管理目標(biāo)細化成可執(zhí)行的動作策略。
背景技術(shù):
隨著計算機技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)技術(shù)的不斷普及,目前企業(yè)和政府采用的計算機系統(tǒng)越來越龐大和復(fù)雜。這導(dǎo)致對系統(tǒng)的配置、優(yōu)化、保護變得十分困難,傳統(tǒng)的采用維護人員進行精細的維護和管理變得成本高昂而且容易出錯。業(yè)界針對這個問題的思路是在系統(tǒng)中引入自主計算能力,讓系統(tǒng)根據(jù)設(shè)定的目標(biāo) (Goal)或者效能(Utilities)指標(biāo)進行自我管理,從而將管理員從低層次具體操作中解放出來,專注于系統(tǒng)整體的管理目標(biāo)和實現(xiàn)效用上。K印hart于2004年提出了由三種不同類型的策略(動作策略、目標(biāo)策略和效用函數(shù)策略)組成的統(tǒng)一框架——為解決自主計算的人機接口問題以及實現(xiàn)自主計算系統(tǒng)的“可指導(dǎo)性”奠定了重要的理論基礎(chǔ)。IETF分布式管理工作組提出了基于策略的網(wǎng)絡(luò)管理框架。這個框架由四部分組成策略管理工具、策略庫、策略決策點和策略執(zhí)行點。策略管理工具負責(zé)策略的制定;策略庫存儲策略;策略決策點負責(zé)在系統(tǒng)上下文滿足條件的情況下,決定需要做什么或者不需要做什么;策略執(zhí)行點執(zhí)行策略決策點給出的決策。有些國外標(biāo)準(zhǔn)組織也定義了一些標(biāo)準(zhǔn),用于定義動作策略語言,如W3C開發(fā)了 WS-Policy用以描述Wfeb krvices的服務(wù)策略框架。OASIS定義了 WSDM用以描述基于W^eb Service上的分布式系統(tǒng)管理架構(gòu),也定義了 XACML用以描述安全控制策略。XACML已經(jīng)成為安全管理里面表達訪問控制策略的事實上的工業(yè)標(biāo)準(zhǔn)。針對目標(biāo)策略細化到動作策略,傳統(tǒng)的做法是基于模式的細化。首先由策略管理人員針對可能的目標(biāo)和可能的細化環(huán)境,設(shè)計不同的模式。當(dāng)策略設(shè)計人員設(shè)定目標(biāo)策略以后,根據(jù)設(shè)定的參數(shù)進行推理和細化。細化的步驟包括從目標(biāo)策略細化到子目標(biāo)策略,最終細化到動作策略。然而當(dāng)前基于模式的目標(biāo)策略細化存在一些問題首先,設(shè)計細化模式本身就是一件非常復(fù)雜且容易出錯的事情;其次,缺乏必要的工具支持。本發(fā)明提供的方法則提供一種簡單的方法細化目標(biāo)策略。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種根據(jù)指定目標(biāo)設(shè)定動作策略的方法。本發(fā)明提供的根據(jù)指定目標(biāo)設(shè)定動作策略的方法,是借助于其他用戶對相似目標(biāo)和管理對象設(shè)定的動作策略,協(xié)助方法使用者的策略設(shè)計任務(wù)。本發(fā)明方法具體步驟包括
(1)首先,由其他用戶將自己的策略集存儲在一個中央在線策略庫中,也可以分布式存放于各個用戶的系統(tǒng)中。中央在線策略庫將為各種細化請求提供對外的API接口,提供細化服務(wù);
(2)然后,由方法使用者選擇目標(biāo)策略,并設(shè)定細化參數(shù),本方法根據(jù)輸入的目標(biāo)策略和細化參數(shù)(典型的細化參數(shù)為策略最低接受度),搜索所有適用策略集,生成符合目標(biāo)策略和細化參數(shù)的動作策略集;
(3)最后,由方法使用者微調(diào)生成的動作策略集,通過人工增加和刪除少量策略,實現(xiàn)對指定目標(biāo)的策略細化,以降低策略細化的難度,最終降低系統(tǒng)管理員對被管理對象的管理難度。本方法設(shè)置中央策略庫,用于存儲來自用戶提交的策略集。其他用戶的策略集在提交給中央策略庫時,需要通過身份認(rèn)證,并記錄日志,并使用應(yīng)用或系統(tǒng)名稱和目標(biāo)作為唯一標(biāo)識,也即一個應(yīng)用名稱或系統(tǒng)名稱加上一個目標(biāo)只能有一組策略,以此來防止用戶重復(fù)提交他們設(shè)定的動作策略。用戶需要指定策略集適用的應(yīng)用或者系統(tǒng)、策略集適用的目標(biāo)及策略集本身。中央策略庫通過身份認(rèn)證和日志服務(wù),認(rèn)證和鑒別用戶,并防止用戶的惡意操作。本方法也可以將其他用戶的策略集采用分布式存儲方式,策略將分布式存放于用戶的計算機中,每次細化需要調(diào)用每個有效用戶的策略集以支持細化。這里需要對存儲在用戶計算機中的策略進行安全認(rèn)證和完整性保障。其他用戶分布式存放策略時,考慮到存儲能力受限,可以使用FP-Tree進行壓縮存儲。方法使用者在進行策略細化時,首先需要指定目標(biāo)并設(shè)定細化參數(shù),這里的參數(shù)主要是策略最小接受度,也即所選策略在相同目標(biāo)的應(yīng)用和系統(tǒng)中出現(xiàn)的頻率應(yīng)高于該閾值。方法使用者在檢索策略庫后,就可以得到一個初步的動作策略集合,這樣就可以進行策略微調(diào)最終完成策略細化。本方法中,目標(biāo)策略是一種高層策略,內(nèi)容包括對應(yīng)用程序功能的指定,對系統(tǒng)功能的指定,對系統(tǒng)性能的指定,對服務(wù)質(zhì)量的指定。本方法中,策略的管理對象包括設(shè)備、設(shè)備中的模塊、設(shè)備中的功能、服務(wù)的接口。本方法中,設(shè)定的參數(shù)包括策略的最小接受度,既該項動作策略在同一目標(biāo)的應(yīng)用或者系統(tǒng)、不同用戶的策略集中出現(xiàn)的頻率應(yīng)達到的最小閾值。本方法中,動作策略可以為基于角色的訪問控制策略,可以為其它的ECA策略,也可以為基于權(quán)限的策略。本方法可以應(yīng)用在移動應(yīng)用平臺,如Android平臺中應(yīng)用的安全策略設(shè)定;也可以應(yīng)用到網(wǎng)絡(luò)管理中,為同類型的設(shè)備設(shè)定管理策略。本方法可以應(yīng)用在Android平臺中為應(yīng)用設(shè)定安全策略。在Android平臺中,應(yīng)用的安全策略由開發(fā)人員設(shè)計,并在安裝時由用戶確認(rèn)。但是,開發(fā)人員都希望應(yīng)用程序擁有更多的權(quán)限以運行應(yīng)用,而用戶則希望應(yīng)用程序擁有盡可能少的權(quán)限以保護用戶隱私和信息安全。而這兩類人員均不是策略設(shè)計的專業(yè)人士,存在失誤和錯誤是非常正常的。本方法這可以為這兩類人提供有效支持開發(fā)人員可以為應(yīng)用設(shè)置類型,比如游戲,然后獲得游戲中普遍可以使用的權(quán)限作為其初步策略集合,然后微調(diào)策略集合就可以獲得既可以被大部分用戶接受,又適合應(yīng)用的策略集。而應(yīng)用程序用戶也可以用相同的方法生成策略集, 以檢測應(yīng)用程序聲明的安全策略是否合理。
圖1為協(xié)作式目標(biāo)策略細化過程。
具體實施例方式下面結(jié)合附圖詳細描述本發(fā)明。如圖1,其他用戶將策略集存放在策略庫(a)中。( 1)方法使用者設(shè)定目標(biāo)策略(Tl),并設(shè)定細化參數(shù)(最小接受度99%)。(2)本方法搜索策略庫,找到5個符合條件的策略集,從中發(fā)現(xiàn)策略A、B、C的接受度為100%,符合細化參數(shù)要求,而策略D的接受度為80%,策略E、F,、G的接受度為20%,不符合細化參數(shù)要求,因此生成細化動作策略集(b) {A,B, C}。(3)最后,方法使用者根據(jù)系統(tǒng)設(shè)計需要加入策略H,生成最終動作策略集(c) {A, B, C, H} ο
權(quán)利要求
1.一種根據(jù)指定目標(biāo)設(shè)定動作策略的方法,其特征在于具體步驟包括(1)首先,由其他用戶將自己的策略集存儲在一個中央在線策略庫中,或者分布式存放于各個用戶的系統(tǒng)中;中央在線策略庫將為各種細化請求提供對外的API接口,提供細化服務(wù);(2)然后,由方法使用者選擇目標(biāo)策略,并設(shè)定細化參數(shù);根據(jù)目標(biāo)策略和細化參數(shù),搜索所有適用策略集,生成符合目標(biāo)策略和細化參數(shù)的動作策略集;(3)最后,由方法使用者微調(diào)生成的動作策略集,通過人工增加和刪除少量策略,實現(xiàn)對指定目標(biāo)的策略細化,以降低策略細化的難度,最終降低系統(tǒng)管理員對被管理對象的管理難度。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于本方法設(shè)置有中央策略庫,用于存儲來自其他用戶提交的策略集,其他用戶的策略集在提交給中央策略庫時,需要通過身份認(rèn)證,并記錄日志,并使用應(yīng)用或系統(tǒng)名稱和目標(biāo)作為唯一標(biāo)識,以此來防止用戶重復(fù)提交他們設(shè)定的動作策略。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于設(shè)定細化參數(shù)中,所述參數(shù)是指策略最小接受度,其中,接受度指策略在相同目標(biāo)的應(yīng)用和系統(tǒng)中出現(xiàn)的頻率,該參數(shù)也即所選策略的接受度應(yīng)達到的最小閾值。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于所述目標(biāo)策略是一種高層策略,內(nèi)容包括對應(yīng)用程序功能的指定,對系統(tǒng)功能的指定,對系統(tǒng)性能的指定,對服務(wù)質(zhì)量的指定。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于所述策略管理的對象包括設(shè)備、設(shè)備中的模塊、設(shè)備中的功能、服務(wù)的接口。
6.根據(jù)權(quán)利要求1或2所述的方法,其特征在于所述動作策略為基于角色的訪問控制策略,或者為其它的ECA策略,或者為基于權(quán)限的策略。
7.如權(quán)利要求1或2所述的方法在移動應(yīng)用平臺中的應(yīng)用,包括Android平臺中應(yīng)用的安全策略設(shè)定。
8.如權(quán)利要求1或2所述的方法在網(wǎng)絡(luò)管理中的應(yīng)用,包括為同類型的設(shè)備設(shè)定管理策略。
全文摘要
本發(fā)明屬于系統(tǒng)管理技術(shù)領(lǐng)域,具體為一種根據(jù)指定目標(biāo)設(shè)定動作策略的方法。與現(xiàn)有的利用模式和推理實現(xiàn)策略細化的方法不同,在本發(fā)明中,方法使用者只需要借鑒他人的動作策略即可實現(xiàn)對自身目標(biāo)策略的細化。具體的方法為①其他用戶針對相似的目標(biāo)設(shè)置了不同的動作策略集,存放于策略庫中;②方法使用者選擇一個目標(biāo),并設(shè)置細化參數(shù),即可得到相應(yīng)的動作策略;③方法使用者對得到的動作策略進行微調(diào),從而實現(xiàn)對目標(biāo)的策略細化。
文檔編號H04L12/24GK102238037SQ20111020295
公開日2011年11月9日 申請日期2011年7月20日 優(yōu)先權(quán)日2011年7月20日
發(fā)明者方喆然, 雷暢, 韓偉力 申請人:復(fù)旦大學(xué)