【技术实现步骤摘要】
安全策略分析器服务和可满足性引擎
[0001]本专利技术申请是国际申请日为2018年6月15日、国际申请号为“PCT/US2018/037947”、国家申请号为“201880043935.4”、专利技术名称为“安全策略分析器服务和可满足性引擎”的专利技术专利申请的分案申请。
[0002]相关申请的交叉引用
[0003]本申请要求2017年6月29日提交的标题为“SECURITY POLICY ANALYZER SERVICE AND SATISFIABILITY ENGINE”的美国专利申请No.15/637,227和2017年6月29日提交的标题为“SECURITY POLICY MONITORING SERVICE”的美国专利申请No.15/637,238的优先权,所述专利申请的公开内容以引用的方式整体并入本文中。
技术介绍
[0004]在许多环境中,计算资源和相关联的数据的安全性非常重要。作为实例,计算装置的网络可以用于向其用户提供稳健的服务集合。在网络内,第一用户可以被授予某些访问权,并且第二用户可以具有第二访问权集合,所述第二访问权集合可能不同于第一用户的访问权。可以在计算资源服务提供商的环境中使用安全策略来定义用户访问权,安全策略可以被服务提供商利用以作为确定同意还是拒绝对计算资源的用户访问的一部分。
[0005]管理和维护计算机系统和计算机网络的安全性通常是复杂的且具有挑战性。在许多情况下,系统中的用户访问权可能会随时间变化,这在一些情况下可能需要改变应用于用户的安全策略。随着计算机系统或计算机网 ...
【技术保护点】
【技术特征摘要】
1.一种计算机实施的方法,包括:访问来自应用编程接口调用的日志的记录,其中所述记录对应于所述应用编程接口调用中的应用编程接口调用;至少部分地基于所述记录,确定所述应用编程接口调用应用第一策略,所述第一策略可用于同意或拒绝对一个或多个计算资源的访问;至少部分地基于所述第一策略而从多个自定义逻辑中选择自定义逻辑;提供计算资源集合以执行所述自定义逻辑;通过执行至少以下步骤对所述计算资源集合执行所述自定义逻辑:至少部分地基于所述多个自定义逻辑与多个安全策略之间的映射从所述多个安全策略中选择参考策略;至少部分地基于与所述第一策略相关联的第一安全许可集合而确定第一命题逻辑表达式;至少部分地基于与所述参考策略相关联的第二安全许可集合而确定第二命题逻辑表达式;以及解析所述第一命题逻辑表达式以及所述第二命题逻辑表达式以生成约束集合,其中所述约束集合的评估指示所述第一命题逻辑表达式是否比所述第二命题逻辑表达式更宽松;取消提供所述计算资源集合作为执行所述自定义逻辑的结果;以及响应于确定所述第一命题逻辑表达式是否比所述第二命题逻辑表达式更宽松,执行修改或撤消所述第一策略的缓解例程。2.如权利要求1所述的计算机实施的方法,其中,利用可满足性模理论SMT求解器以作为确定所述第一命题逻辑表达式是否比所述第二命题逻辑表达式更宽松的一部分。3.如权利要求1所述的计算机实施的方法,其中,所述缓解例程包括拒绝对所述第一策略使得能够访问的至少一个计算资源的访问。4.如权利要求1所述的计算机实施的方法,其中确定所述第一命题逻辑表达式比所述第二命题逻辑表达式更宽松包括识别参数集合,其中:所述参数集合识别主体、动作和计算资源;将所述第一策略应用于所述参数集合致使对所述计算资源的访问被同意;以及将所述参考策略应用于所述参数集合致使对所述计算资源的访问被拒绝。5.权利要求1所述的计算机实施的方法,其中,提供所述计算资源集合以执行所述自定义逻辑包括初始化虚拟机实例;以及取消提供所述计算资源集合包括终止所述虚拟机实例。6.一种系统,包括:一个或多个处理器;以及存储器,所述存储器存储计算机可执行指令,所述计算机可执行指令如果被执行则致使所述系统:至少部分地基于多个所获得的应用编程接口调用,确定所述多个应用编程接口调用中的应用编程接口调用应用第一策略,所述第一策略可用于同意或拒绝对一个或多个计算资源的访问;以及至少部分地基于所述第一策略而从多个自定义逻辑中选择自定义逻辑;
运行所述自定义逻辑,其中,使得所述系统运行所述自定义逻辑的指令如果被执行则致使所述系统:至少部分地基于所述多个自定义逻辑与多个预定义安全策略之间的映射从所述多个预定义安全策略中选择参考策略;至少部分地基于所述第一策略到包括命题逻辑的第一表达式的第一映射以及所述参考策略到包括命题逻辑的第二表达式的第二映射而确定约束集合;评估所述约束集合以确定结果,其中所述结果是以下其中之一:所述第一策略比所述参考策略更宽松;所述参考策略比所述第一策略更宽松;所述第一策略与所述参考策略是等效的;或所述第一策略与所述参考策略不可比;以及至少部分地基于所述结果传输信息。7.如权利要求6所述的系统,其中所述第一表达式还包括一阶逻辑。8.如权利要求6所述的系统,其中利用可满足性模理论SMT求解器以作为评估所述约束集合是否为可满足的的一部分。9.如权利要求8所述的系统,其中Z3求解器是所述SMT求解器。10.如权利要求6所述的系统,其中使得所述系统运行所述自定义逻辑的指令如果被执行则还致使所述系统:拒绝对所述第一策略使得能够访问的所有计算资源的访问;以及向与应用所述第一策略的所述应用编程接口调用相关联的实体提供所述第一策略比所述参考策略更宽松的指示。11.如权利要求6所述的系统,其中使所述系统运行所述自定义逻辑的指令如果被执行则还致使所述系统提供参数集合的指示,其中:所述参数集合包括:主体;动作;计算资源;以及同意效果或拒绝效果;将所述第一策略应用于所述参数集合同意对所述计算资源的访问;并且将所述参考策略应用于所述参数集合拒绝对所述计算资源的访问。12.如权利要求11所述的系统,其中所述参数集合还包括定义对应策略是否生效的至少一个条件谓词。13.如权利要求6所述的系统,其中所述参考策略是至少部分基于服务命名空间而选择的,所述服务命名空间与编码在所述应用编程接口调用中的计算资源相关联。14.一种非暂时性计算机可读存储介质,所述非暂时性计算机可读存储介质上存储有可执行指令,所述可执行指令由于被计算机系统的一个或多个处理器执行而致使所述计算机系统至少:监视多个请求,所述多个请求中的至少一些请求应用同意或拒绝对计算资源服务提供商的计算资源的访问的安全策略;
识别所述多个请求中的应用第一策略的请求;以及至少部分地基于所述第一策略而从多个自定义逻辑中选择自定义逻辑;运行所述自定义逻辑,其中,所述自定义逻辑致使所述系统至少执行以下步骤:至少部分地基于所述多个自定义逻辑与多个策略之间的第三映射从所述多个策略中选择参考策略;至少部分地基于所述第一策略到包括命题逻辑的第一表达式的第一映射以及所述参考策略到包括命题逻辑的第二表达式的第二映射而确定约束集合;通过评估所述约束集合是否是可满足的而确定所述第一策略是否比所述参考策略更宽松,其中,所述约束集合的结果指示以下其中之一:所述第一策略比所述参考策略更宽松;所述参考策略比所述第一策略更宽松;所述第一策略与所述参考策略是等效的;所述第一策略与所述参考策略不可比;以及响应于确定所述第一策略比所述参考策略更宽松,执行缓解例程。15.如权利要求14所述的非暂时性计算机可读存储介质,其中所述参考策略是全域可写入的策略。16.如权利要求14所述的非暂时性计算机可读存储介质,其中利用可满足性模理论SMT求解器作为评估所述约束集合是否为可满足的的一部分。17.如权利要求16所述的非暂时性计算机可读存储介质,其中,所述约束集合以符合SMT
‑
LIB标准的格式编码。18.如权利要求14所述的非暂时性计算机可读存储介质,其中,所述多个自定义逻辑与多个策略之间的所述第三映射至少部分地基于第一服务命名空间以及第二服务命名空间,所述第一服务命名空间与第一自定义逻辑相关联,所述第二服务命名空间与第二自定义逻辑相关联。19.如权利要求14所述的非暂时性计算机可读存储介质,其中,所述参考策略是从预定的多个安全策略中获得。20.如权利要求14所述的非暂时性计算机可读存储介质,其中,所述可执行指令如果由所述计算机系统的所述一个或多个处理器执行还致使所述计算机系统响应于确定所述第一策略和所述参考策略是等效的而执行所述缓解例程。21.如权利要求14所述的非暂时性计算机可读存储介质,其中,所述可执行...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。