安全策略分析器服务和可满足性引擎制造技术

可以利用安全策略来同意或拒绝与计算资源的访问相关的许可。可以对两个或更多个安全策略进行比较，以确定所述策略是否为等效的，一个安全是否比另一个更宽松，等等。在一些情况下，可能可以识别是否存在足以确定两个安全策略缺乏等效性的安全许可。命题逻辑可以用于评估安全策略。评估安全策略。评估安全策略。

【技术实现步骤摘要】
安全策略分析器服务和可满足性引擎
[0001]本专利技术申请是国际申请日为2018年6月15日、国际申请号为“PCT/US2018/037947”、国家申请号为“201880043935.4”、专利技术名称为“安全策略分析器服务和可满足性引擎”的专利技术专利申请的分案申请。
[0002]相关申请的交叉引用
[0003]本申请要求2017年6月29日提交的标题为“SECURITY POLICY ANALYZER SERVICE AND SATISFIABILITY ENGINE”的美国专利申请No.15/637,227和2017年6月29日提交的标题为“SECURITY POLICY MONITORING SERVICE”的美国专利申请No.15/637,238的优先权，所述专利申请的公开内容以引用的方式整体并入本文中。

技术介绍

[0004]在许多环境中，计算资源和相关联的数据的安全性非常重要。作为实例，计算装置的网络可以用于向其用户提供稳健的服务集合。在网络内，第一用户可以被授予某些访问权，并且第二用户可以具有第二访问权集合，所述第二访问权集合可能不同于第一用户的访问权。可以在计算资源服务提供商的环境中使用安全策略来定义用户访问权，安全策略可以被服务提供商利用以作为确定同意还是拒绝对计算资源的用户访问的一部分。
[0005]管理和维护计算机系统和计算机网络的安全性通常是复杂的且具有挑战性。在许多情况下，系统中的用户访问权可能会随时间变化，这在一些情况下可能需要改变应用于用户的安全策略。随着计算机系统或计算机网络中支持的用户数量和类型的扩展，可能变得难以确定与用户相关联的访问权实际上是否同意对用户应该可以访问的资源的访问并拒绝对用户不应访问的资源的访问。
附图说明
[0006]将参考附图来描述各种技术，在附图中：
[0007]图1示出了其中可以实施各种实施方案的环境；
[0008]图2示出了其中计算资源服务提供商可以用来实施各种实施方案的环境；
[0009]图3示出了其中客户端发出分析两个安全策略的等效性的请求并接收等效性结果的环境；
[0010]图4示出了其中分布式计算机系统可以利用本文中描述的各种技术的环境；
[0011]图5示出了使用命题逻辑以作为确定命题逻辑公式的可满足性的一部分的图；
[0012]图6示出了使用命题逻辑以作为确定命题逻辑公式的可满足性的一部分的图；
[0013]图7示出了使用命题逻辑以作为确定命题逻辑公式的可满足性的一部分的图；
[0014]图8示出了使用命题逻辑以作为确定命题逻辑公式的可满足性的一部分的图；
[0015]图9示出了使用命题逻辑以作为确定命题逻辑公式的可满足性的一部分的图；
[0016]图10示出了使用命题逻辑以作为确定命题逻辑公式的可满足性的一部分的图；
[0017]图11示出了使用命题逻辑以作为确定命题逻辑公式的可满足性的一部分的图；
[0018]图12示出了示出用于确定两个或更多个安全策略的等效性的过程的图；
[0019]图13示出了其中结合分析应用于系统的安全策略利用事件驱动平台的环境；
[0020]图14示出了示出用于监视应用于系统的策略的过程的图；
[0021]图15示出了示出其中可以实施各种实施方案的图形用户界面的图；以及
[0022]图16示出了其中可以实施各种实施方案的环境。
具体实施方式
[0023]在计算资源服务提供商的环境中，客户端可以提出访问计算资源服务提供商的资源的请求。客户端可以具有与客户端相关联的安全策略，使得可以利用该安全策略以作为确定是否同意对一个或多个计算资源(诸如客户端可以经由应用编程接口(API)调用而请求的计算资源)的客户端访问的一部分，所述API调用可以通过网络路由到服务提供商。在一些情况下，计算资源服务提供商可以向用户提供创建、改变或删除安全策略或安全策略的一部分的能力。安全策略分析器服务可以用于对安全策略进行比较并确定第一安全策略是否比第二安全策略更宽松。
[0024]在各种实例中，客户端可以请求策略分析器服务来分析安全策略以确定策略的相对宽松性—换句话说，策略分析器可以用于确定两个安全策略是否为等效的，第一安全策略是否比第二安全策略更宽松，等等。策略分析器服务可以是计算资源服务(诸如本公开中其他地方描述的计算资源服务)的服务，并且可以经由可以通过网络路由到服务提供商的API调用来访问。客户端计算装置可以是可操作的以访问计算资源服务提供商的服务、计算资源等。在各种实例中，客户端计算装置经由网络API调用与策略分析器服务进行通信。
[0025]代表客户端的客户端计算装置可以利用策略分析器服务来确定两个或更多个安全策略的等效性。客户端可以使用客户端计算装置向策略分析器服务提出包括两个或更多个安全策略的API请求。一般来说，安全策略可以是指定一个或多个安全许可的信息。安全许可可以是安全策略的元素，所述元素限定与系统的资源和/或主体相关联的访问权。例如，许可可以用于同意或拒绝对计算资源服务提供商的计算资源的访问。在一些情况下，许可可以指定主体、计算资源、动作、条件和效果。在一些实施方案中，许可还可以指定这些元素中的多个一个或多个，诸如用户集合或一类用户、资源的集合、几种不同的动作和/或多个条件。
[0026]安全策略可以包括一个或多个许可语句以及额外信息，诸如版本信息和策略范围的信息。安全策略可以包括条件集合，所述条件可以用于在各种环境中(诸如在不同用户，对计算资源执行不同动作，以及不同的访问条件的环境中)确定同意访问还是拒绝访问计算资源。授权模块或授权服务(诸如在本公开中其他地方描述的授权模块或授权服务)可以用于至少部分地基于结合请求评估安全策略来评估是同意还是拒绝访问资源的请求。在一些情况下，策略范围的信息包括在策略开头处的策略标头中，或甚至可以与策略文档分开地(并与策略文档相关联地)存储。策略可以包括多个策略语句，诸如在其他地方结合图2描述的策略语句。
[0027]如贯穿本公开所描述的，策略分析器服务可以是计算资源服务提供商的服务，并且可以支持客户端可以用来向策略分析器服务提交评估安全策略的请求的一个或多个API，诸如用于确定第一安全策略是否比第二安全策略更宽松，以及两个或更多个安全策略是否等效的API。在这种情况下，宽松性用于描述对资源的访问。例如，如果第一策略可以用
于访问第一计算资源(例如，资源“A”)和第二资源(例如，资源“B”)并且第二策略仅同意访问计算资源“B”，则可以将第一策略描述为比第二策略更宽松，这是因为存在第一策略同意访问而第二策略不同意访问的计算资源，并且不存在第二策略同意访问而第一策略不同意访问的资源。如果两个策略都可以用来访问相同的资源，并拒绝(隐含地或明确地)访问相同的资源，则两个策略可以是等效的。一般来说，如果两个策略不是等效的，则可以说它们缺乏等效性。在一些情况下，如果第一策略同意对第一计算资源“A”和第二计算资源“B”的访问，并且第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种计算机实施的方法，包括：访问来自应用编程接口调用的日志的记录，其中所述记录对应于所述应用编程接口调用中的应用编程接口调用；至少部分地基于所述记录，确定所述应用编程接口调用应用第一策略，所述第一策略可用于同意或拒绝对一个或多个计算资源的访问；至少部分地基于所述第一策略而从多个自定义逻辑中选择自定义逻辑；提供计算资源集合以执行所述自定义逻辑；通过执行至少以下步骤对所述计算资源集合执行所述自定义逻辑：至少部分地基于所述多个自定义逻辑与多个安全策略之间的映射从所述多个安全策略中选择参考策略；至少部分地基于与所述第一策略相关联的第一安全许可集合而确定第一命题逻辑表达式；至少部分地基于与所述参考策略相关联的第二安全许可集合而确定第二命题逻辑表达式；以及解析所述第一命题逻辑表达式以及所述第二命题逻辑表达式以生成约束集合，其中所述约束集合的评估指示所述第一命题逻辑表达式是否比所述第二命题逻辑表达式更宽松；取消提供所述计算资源集合作为执行所述自定义逻辑的结果；以及响应于确定所述第一命题逻辑表达式是否比所述第二命题逻辑表达式更宽松，执行修改或撤消所述第一策略的缓解例程。2.如权利要求1所述的计算机实施的方法，其中，利用可满足性模理论SMT求解器以作为确定所述第一命题逻辑表达式是否比所述第二命题逻辑表达式更宽松的一部分。3.如权利要求1所述的计算机实施的方法，其中，所述缓解例程包括拒绝对所述第一策略使得能够访问的至少一个计算资源的访问。4.如权利要求1所述的计算机实施的方法，其中确定所述第一命题逻辑表达式比所述第二命题逻辑表达式更宽松包括识别参数集合，其中：所述参数集合识别主体、动作和计算资源；将所述第一策略应用于所述参数集合致使对所述计算资源的访问被同意；以及将所述参考策略应用于所述参数集合致使对所述计算资源的访问被拒绝。5.权利要求1所述的计算机实施的方法，其中，提供所述计算资源集合以执行所述自定义逻辑包括初始化虚拟机实例；以及取消提供所述计算资源集合包括终止所述虚拟机实例。6.一种系统，包括：一个或多个处理器；以及存储器，所述存储器存储计算机可执行指令，所述计算机可执行指令如果被执行则致使所述系统：至少部分地基于多个所获得的应用编程接口调用，确定所述多个应用编程接口调用中的应用编程接口调用应用第一策略，所述第一策略可用于同意或拒绝对一个或多个计算资源的访问；以及至少部分地基于所述第一策略而从多个自定义逻辑中选择自定义逻辑；
运行所述自定义逻辑，其中，使得所述系统运行所述自定义逻辑的指令如果被执行则致使所述系统：至少部分地基于所述多个自定义逻辑与多个预定义安全策略之间的映射从所述多个预定义安全策略中选择参考策略；至少部分地基于所述第一策略到包括命题逻辑的第一表达式的第一映射以及所述参考策略到包括命题逻辑的第二表达式的第二映射而确定约束集合；评估所述约束集合以确定结果，其中所述结果是以下其中之一：所述第一策略比所述参考策略更宽松；所述参考策略比所述第一策略更宽松；所述第一策略与所述参考策略是等效的；或所述第一策略与所述参考策略不可比；以及至少部分地基于所述结果传输信息。7.如权利要求6所述的系统，其中所述第一表达式还包括一阶逻辑。8.如权利要求6所述的系统，其中利用可满足性模理论SMT求解器以作为评估所述约束集合是否为可满足的的一部分。9.如权利要求8所述的系统，其中Z3求解器是所述SMT求解器。10.如权利要求6所述的系统，其中使得所述系统运行所述自定义逻辑的指令如果被执行则还致使所述系统：拒绝对所述第一策略使得能够访问的所有计算资源的访问；以及向与应用所述第一策略的所述应用编程接口调用相关联的实体提供所述第一策略比所述参考策略更宽松的指示。11.如权利要求6所述的系统，其中使所述系统运行所述自定义逻辑的指令如果被执行则还致使所述系统提供参数集合的指示，其中：所述参数集合包括：主体；动作；计算资源；以及同意效果或拒绝效果；将所述第一策略应用于所述参数集合同意对所述计算资源的访问；并且将所述参考策略应用于所述参数集合拒绝对所述计算资源的访问。12.如权利要求11所述的系统，其中所述参数集合还包括定义对应策略是否生效的至少一个条件谓词。13.如权利要求6所述的系统，其中所述参考策略是至少部分基于服务命名空间而选择的，所述服务命名空间与编码在所述应用编程接口调用中的计算资源相关联。14.一种非暂时性计算机可读存储介质，所述非暂时性计算机可读存储介质上存储有可执行指令，所述可执行指令由于被计算机系统的一个或多个处理器执行而致使所述计算机系统至少：监视多个请求，所述多个请求中的至少一些请求应用同意或拒绝对计算资源服务提供商的计算资源的访问的安全策略；
识别所述多个请求中的应用第一策略的请求；以及至少部分地基于所述第一策略而从多个自定义逻辑中选择自定义逻辑；运行所述自定义逻辑，其中，所述自定义逻辑致使所述系统至少执行以下步骤：至少部分地基于所述多个自定义逻辑与多个策略之间的第三映射从所述多个策略中选择参考策略；至少部分地基于所述第一策略到包括命题逻辑的第一表达式的第一映射以及所述参考策略到包括命题逻辑的第二表达式的第二映射而确定约束集合；通过评估所述约束集合是否是可满足的而确定所述第一策略是否比所述参考策略更宽松，其中，所述约束集合的结果指示以下其中之一：所述第一策略比所述参考策略更宽松；所述参考策略比所述第一策略更宽松；所述第一策略与所述参考策略是等效的；所述第一策略与所述参考策略不可比；以及响应于确定所述第一策略比所述参考策略更宽松，执行缓解例程。15.如权利要求14所述的非暂时性计算机可读存储介质，其中所述参考策略是全域可写入的策略。16.如权利要求14所述的非暂时性计算机可读存储介质，其中利用可满足性模理论SMT求解器作为评估所述约束集合是否为可满足的的一部分。17.如权利要求16所述的非暂时性计算机可读存储介质，其中，所述约束集合以符合SMT
‑
LIB标准的格式编码。18.如权利要求14所述的非暂时性计算机可读存储介质，其中，所述多个自定义逻辑与多个策略之间的所述第三映射至少部分地基于第一服务命名空间以及第二服务命名空间，所述第一服务命名空间与第一自定义逻辑相关联，所述第二服务命名空间与第二自定义逻辑相关联。19.如权利要求14所述的非暂时性计算机可读存储介质，其中，所述参考策略是从预定的多个安全策略中获得。20.如权利要求14所述的非暂时性计算机可读存储介质，其中，所述可执行指令如果由所述计算机系统的所述一个或多个处理器执行还致使所述计算机系统响应于确定所述第一策略和所述参考策略是等效的而执行所述缓解例程。21.如权利要求14所述的非暂时性计算机可读存储介质，其中，所述可执行...

【专利技术属性】
技术研发人员：J，
申请(专利权)人：亚马逊技术有限公司，
类型：发明
国别省市：