[发明专利]安全策略分析器服务和可满足性引擎

权利要求书

1.一种计算机实施的方法，所述计算机实施的方法包括：

经由接口获取指定以下各项的信息：

对第一安全许可集合进行编码的第一安全策略；以及

对第二安全许可集合进行编码的第二安全策略；

至少部分地基于所述第一安全许可集合来确定第一命题逻辑表达式，至少部分地基于所述第二安全许可集合来确定第二命题逻辑表达式，其中，所述第一命题逻辑表达式和/或所述第二命题逻辑表达式包括如下约束：所述约束在所述命题逻辑表达式中存在源虚拟私有云时能够应用，在不存在所述源虚拟私有云时不能够应用；

识别足以确定所述第一命题逻辑表达式和所述第二命题逻辑表达式缺乏等效性的参数集合，使得将所述第一安全策略应用于所述参数集合导致同意对与所述参数集合相关联的计算资源的访问，并且将所述第二安全策略应用于所述参数集合导致拒绝对所述计算资源的访问，其中，所述第一命题逻辑表达式和所述第二命题逻辑表达式一起足以识别所述参数集合；以及

经由所述接口提供结果，所述结果指示所述第一安全策略同意访问计算资源，而所述第二安全策略拒绝访问所述计算资源。

2.如权利要求1所述的计算机实施的方法，其中确定所述第一命题逻辑表达式和所述第二命题逻辑表达式缺乏等效性包括利用可满足性模理论SMT求解器来确定是否可满足至少部分基于所述第一命题逻辑表达式和所述第二命题逻辑表达式而生成的约束。

3.如权利要求2所述的计算机实施的方法，其中至少部分基于所述第一命题逻辑表达式和所述第二命题逻辑表达式而生成的所述约束符合SMT-LIB标准。

4.如权利要求1所述的计算机实施的方法，其中所述结果包括所述参数集合。

5.一种系统，所述系统包括：

一个或多个处理器；

存储器，所述存储器存储计算机可执行指令，所述计算机可执行指令由于被执行致使所述系统：

至少部分地基于第一安全许可集合来确定第一命题逻辑表达式，至少部分地基于第二安全许可集合来确定第二命题逻辑表达式，其中，所述第一命题逻辑表达式和/或所述第二命题逻辑表达式包括如下约束：所述约束在所述命题逻辑表达式中存在源虚拟私有云时能够应用，在不存在所述源虚拟私有云时不能够应用；

识别参数集合，所述参数集合通过使用所述第一命题逻辑表达式和所述第二命题逻辑表达式足以确定所述第一命题逻辑表达式和所述第二命题逻辑表达式缺乏等效性，其中，所述第一命题逻辑表达式和所述第二命题逻辑表达式形成足以确定所述第一命题逻辑表达式和所述第二命题逻辑表达式缺乏等效性的信息，此外其中，将所述第一安全许可集合应用于所述参数集合导致同意对与所述参数集合相关联的计算资源的访问，并且将所述第二安全许可集合应用于所述参数集合导致拒绝对所述计算资源的访问；以及

提供所述第一安全许可集合和所述第二安全许可集合缺乏等效性的指示。

6.如权利要求5所述的系统，其中确定所述第一命题逻辑表达式和所述第二命题逻辑表达式缺乏等效性的所述计算机可执行指令还包括由于被执行致使所述系统利用可满足性模理论SMT求解器来确定是否可满足至少部分从所述第一命题逻辑表达式和所述第二命题逻辑表达式生成的约束的计算机可执行指令。

7.如权利要求5所述的系统，其中所述第一安全许可集合包括在第一策略中，并且所述第二安全许可集合包括在第二策略中。

8.如权利要求6所述的系统，其中至少部分从所述第一命题逻辑表达式和所述第二命题逻辑表达式生成的所述约束符合CVC格式或DIMACS格式。

9.如权利要求5所述的系统，其中识别足以确定所述第一命题逻辑表达式和所述第二命题逻辑表达式缺乏等效性的参数集合的所述计算机可执行指令还包括由于被执行致使所述系统执行以下操作的计算机可执行指令：

生成对应于所述第一安全许可集合的访问同意的第一约束集合；以及

生成对应于所述第一安全许可集合的访问拒绝的第二约束集合。