[发明专利]基于标签的访问控制规则的自动生成

权利要求书

1.一种用于确定授权管理域内的多个被管理的服务器之间的通信的访问控制规则的方法，所述方法包括：

获得描述所述多个被管理的服务器之间的过往通信的通信信息；

通过基于获得的所述通信信息对所述多个被管理的服务器进行分组，来标识包含来自所述多个被管理的服务器中的被管理的服务器的子集的服务器组；

向所述组中的被管理的服务器的所述子集分配分组级标签集，所述分组级标签集包含描述所述组中的所述服务器的一个或多个分组标签；

向所述组内的单个被管理的服务器分配角色标签，其中与被管理的服务器相关联的角色标签基于关于所述被管理的服务器的信息而被确定；

基于所述通信信息、所述分组级标签集和所述角色标签，生成授权所述多个被管理的服务器之间的通信的访问控制规则；以及

将所述访问控制规则存储为管理域范围管理策略的一部分。

2.根据权利要求1所述的方法，

其中获得所述通信信息包括：标识由第一被管理的服务器提供并且由第二被管理的服务器使用的服务，以及

其中生成所述访问控制规则包括：生成指定所述服务的访问控制规则，所述访问控制规则包括指定所述第一被管理的服务器的进行提供部分和指定所述第二被管理的服务器的进行使用部分。

3.根据权利要求1所述的方法，其中所述生成包括：

标识第一被管理的服务器与第三被管理的服务器之间的过往未授权的通信，所述管理域范围管理策略缺乏描述所述未授权的通信的访问控制规则；

基于描述所述未授权的通信的信息、与所述第一被管理的服务器相关联的一个或多个标签和与所述第三被管理的服务器相关联的一个或多个标签，确定所述未授权的通信应当可允许；以及

生成授权先前未授权的通信的访问控制规则。

4.根据权利要求1所述的方法，其中所述生成包括：

标识与第一被管理的服务器类似的第三被管理的服务器，所述第一被管理的服务器和第三被管理的服务器与匹配的角色标签和匹配的分组级标签集相关联；

标识与第二被管理的服务器类似的第四被管理的服务器，所述第二被管理的服务器和第四被管理的服务器与匹配的角色标签和匹配的分组级标签集相关联；以及

生成授权所述第三被管理的服务器与所述第四被管理的服务器之间的通信的访问控制规则。

5.根据权利要求1所述的方法，其中所述生成包括：

标识与第一被管理的服务器类似的第三被管理的服务器，所述第一被管理的服务器和第三被管理的服务器与匹配的角色标签和匹配的分组级标签集相关联；

标识与第二被管理的服务器类似的第四被管理的服务器，所述第二被管理的服务器和第四被管理的服务器与匹配的角色标签和匹配的分组级标签集相关联；以及

将访问控制规则扩大以授权所述第三被管理的服务器与所述第四被管理的服务器之间的通信。

6.根据权利要求1所述的方法，其中所述生成包括：

生成授权第一被管理的服务器与所述管理域外部的设备之间的通信的访问控制规则；

标识与所述第一被管理的服务器类似的第三被管理的服务器，所述第一被管理的服务器和第三被管理的服务器与匹配的角色标签和匹配的分组级标签集相关联；以及

生成授权所述第三被管理的服务器与所述管理域外部的所述设备之间的通信的新的访问控制规则。

7.根据权利要求1所述的方法，其中所述生成包括：

生成授权第一被管理的服务器与所述管理域外部的设备之间的通信的第二访问控制规则；

标识与所述第一被管理的服务器类似的第三被管理的服务器，所述第一被管理的服务器和第三被管理的服务器与匹配的角色标签和匹配的分组级标签集相关联；以及

将所述第二访问控制规则扩大以授权所述第三被管理的服务器与所述管理域外部的所述设备之间的通信。