CN102006297A - 一种基于两级策略决策的访问控制方法及其系统 - Google Patents

一种基于两级策略决策的访问控制方法及其系统 Download PDF

Info

Publication number
CN102006297A
CN102006297A CN2010105625275A CN201010562527A CN102006297A CN 102006297 A CN102006297 A CN 102006297A CN 2010105625275 A CN2010105625275 A CN 2010105625275A CN 201010562527 A CN201010562527 A CN 201010562527A CN 102006297 A CN102006297 A CN 102006297A
Authority
CN
China
Prior art keywords
decision
policy
pdp
access control
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010105625275A
Other languages
English (en)
Other versions
CN102006297B (zh
Inventor
冯登国
张立武
王鹏翩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Software of CAS
Original Assignee
Institute of Software of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Software of CAS filed Critical Institute of Software of CAS
Priority to CN 201010562527 priority Critical patent/CN102006297B/zh
Publication of CN102006297A publication Critical patent/CN102006297A/zh
Application granted granted Critical
Publication of CN102006297B publication Critical patent/CN102006297B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于两级策略决策的访问控制方法及其系统,属于信息安全中的访问控制领域。本方法通过在PEP端部署本地PDP,使得访问请求首先由本地PDP依据本地策略缓存进行决策,若本地PDP无法判定其决策为确定性决策,再由中央PDP依据系统策略库最终完成决策。本系统包括一策略决策服务器、一属性发布点和若干资源服务器,每一资源服务器上部署一策略执行点PEP和一本地策略决策点PDP,策略决策服务器上部署一中央策略决策点PDP;本发明具有良好的可动态调整的弹性体系架构,充分利用PEP端的计算资源,减轻中央PDP的负担,降低网络传输的开销,以极小的策略更新代价而有效地提高了访问控制的效率。

Description

一种基于两级策略决策的访问控制方法及其系统
技术领域
本发明属于信息安全中的访问控制领域,具体涉及一种基于两级策略决策的访问控制方法及其系统。
背景技术
访问控制系统作为保护资源免受非法访问的一种安全设施,其效率直接影响着整个系统的效率。当前大多数访问控制系统采用的是ISO/IEC 10181-3中的访问控制架构,即由策略执行点(Policy Enforcement Point,PEP)拦截用户发起的访问请求,然后将访问请求提交至策略决策点(Policy Decision Point,PDP)进行决策,最后由PEP执行PDP的决策。在实际的应用中,PEP与PDP通常是物理分离的,因此PEP与PDP之间的通信信道需要进行保护。在PEP端具有一定计算能力的情况下,如果将请求全部提交至PDP进行决策,不仅没有充分利用整个系统的计算资源,对计算资源造成浪费,使得PDP的负担过重,同时也增加了通信传输的开销,最终导致整个访问控制系统的效率较低。
针对这一问题,目前已有一些组织提出了通用的解决方案。IBM公司提出的基于TvioliAccess Manager的方案(TAM方案)中,一个访问控制系统中有多个PDP,这些PDP部署在不同的服务器上。但这些PDP在逻辑上是集中的,即这些PDP使用相同的策略。对任意一个请求,每一个PDP所作出的决策都是一致的,从用户的角度来看,整个访问控制系统只有一个PDP。TAM方案通过负载的均衡,有效率地利用了系统的计算资源,减轻集中式架构中单一PDP的负担,提高了整个系统的效率。但是在TAM方案中,由于每一个PDP直接将系统的策略库复制到本地使用,因此,在系统的策略库更新时,每一个PDP需要同时更新本地的策略,保持本地策略库与系统策略库的一致性,更新的代价较大。
London大学的Jason Crampton等人提出的SAAM(Secondary and ApproximateAuthorization Model)模型中,引入了权限重复使用的概念(Authorization Recycling),使得PEP端也具有了一定的决策功能。在SAAM模型中,PEP对每一次的访问控制请求和对应的由PDP所做出的决策进行缓存。当PEP拦截到新的访问请求时,首先在本地缓存依据请求的内容检索是否有匹配项,若检索到了匹配的项,则直接执行缓存中该请求所对应的决策,而不需要将请求再提交至PDP。但是在SAAM模型中,PEP端并不具有完全的决策功能,其本质目的在于当PDP出现故障无法正常工作时,短时间内提供不完全的决策能力,在尽量不影响用户使用的情况下为PDP从故障中恢复提供时间。因此SAAM在PEP中通过对缓存中的数据项设立过期时间(往往很短),而不考虑PDP端策略库更新对PEP中缓存数据的影响。由于在SAAM模型中,PEP进行决策时所依据的不是访问控制策略,因此决策逻辑与PDP不同,这就造成了对于不同的访问控制模型,SAAM必须在PEP端实现不同的决策逻辑,这对SAAM的通用性也造成了一定的影响。
发明内容
本发明的目的在于克服现有技术中存在的问题,提供了一种基于两级策略决策的访问控制方法及其系统。
本发明吸取了已有解决方案的优点,通过采用一种新的决策方法,继承并扩展了传统的访问控制架构,在保证通用性的同时,充分利用了PEP端的计算资源。访问控制系统在决策时,首先由PEP端的本地PDP根据本地缓存的策略进行决策,若能够得到确定性的决策,则直接执行决策结果,否则将访问请求提交至中央PDP决策,这样整个访问控制系统的计算能力都得到了最大程度的利用。在PEP端计算资源不足时,本地PDP可以将访问请求全部提交至中央PDP,由中央PDP进行决策,兼容了传统的访问控制结构。在中央PDP端的策略库发生变化时,本地PDP不需要将策略库重新复制到本地,而是直接从本地缓存中删除那些发生变化的策略,当再次使用到这些策略时,才会由中央PDP“推”至本地;本发明中,本地PDP与中央PDP都是依据策略进行决策,因此不需要单独实现本地PDP的决策逻辑,保证了本发明的通用性。
具体来说,本发明技术方案包括下列几个方面:
一.两级策略决策方法
1)确定性决策定义
确定性决策假设中央PDP端策略库中的所有访问控制策略为PolicyPDP,部署在PEP端的本地PDP缓存的所有访问控制策略为PolicyPEP,且
Figure BSA00000363606100021
针对某一访问控制请求Request,依据PolicyPDP做出的决策DecisionPDP与依据PolicyPEP做出的决策DecisionPEP一致,则称DecisionPEP为确定性决策。
2)通用确定性决策判定规则
规则1若PolicyPEP=PolicyPDP,则DecisionPEP为确定性决策;这条规则表达的意思是,若本地PDP缓存了中央PDP的所有策略,那么本地PDP所做出的决策与中央PDP所做的决策肯定是一致的,因此,此时本地PDP所做出的任何决策都是确定性决策;
3)permit-overrides算法下确定性决策判定规则
规则2若DecisionPEP的结果为permit,则DecisionPEP为确定性决策;即在本地PDP未缓存中央PDP的所有策略时,本地PDP根据自己的决策结果来确定该决策是否为确定性决策。在permit-overrides下,若本地PDP的决策结果是permit,那么可以断定中央PDP的决策结果也必然为permit,因此本地PDP可以直接判断出自己的决策肯定是确定性决策。
4)deny-overrides算法下确定性决策判定规则
规则3若DecisionPEP的结果为deny,则DecisionPEP为确定性决策;即在本地PDP未缓存中央PDP的所有策略时,本地PDP根据自己的决策结果来确定该决策是否为确定性决策。在deny-overrides下,若本地PDP的决策结果是deny,那么可以断定中央PDP的决策结果也必然为deny,因此本地PDP可以直接判断出自己的决策肯定是确定性决策。
5)两级策略决策
针对访问控制请求Request,先由本地PDP依据PolicysPEP做出决策DecisionPEP,依据规则1-3,若DecisionPEP为确定性决策,则PEP以DecisionPEP为最终的决策;否则由中央PDP依据PolicyPDP-PolicyPEP做出决策DecisionPDP-PEP(由于本地PDP已经使用了PolicyPEP做了决策,因此中央PDP不需要再使用这部分重复决策,而是使用PolicyPDP中除PolicyPEP之外的策略(即PolicyPDP-PolicyPEP)进行决策,若DecisionPDP-PEP的结果为not-applicable(即没有找到匹配的策略,因此无法做出决策),则PEP以DecisionPEP为最终的决策;否则PEP以DecisionPDP-PEP为最终的决策;
需要注意的是,即使PEP以DecisionPDP-PEP为最终的决策,根据定义,本地PDP做出的决策DecisionPEP仍有可能是确定性决策,只是无法在中央PDP做出决策之前判定。
二.本地策略缓存维护
1)策略缓存更新
针对某一访问控制请求,若本地PDP做出的决策DecisionPEP为最终的决策时,即依据PolicyPEP即可做出正确的决策时,PolicyPEP不需要更新;
针对某一访问控制请求,若中央PDP依照PolicyPDP-PolicyPEP所做出的决策DecisionPDP-PEP为最终的决策时,本地PDP做出的决策DecisionPEP仍然为确定性决策,则PolicyPEP不需要更新;否则,假设中央PDP在PolicyPDP-PolicyPEP)中检索到的针对该访问控制请求所适用的策略集合为
Figure BSA00000363606100041
则将
Figure BSA00000363606100042
加入至PolicyPEP中,即
Figure BSA00000363606100043
2)策略一致性
当中央PDP端策略库更新时,向本地PDP发送一条更新消息,主动告知本地PDP策略变化的信息,但并不需要将变化的策略发送给本地PDP。即本地PDP只需要知道哪些策略发生了变化,但不需要知道发生了什么变化,本地PDP解析中央PDP发送的策略更新消息后:若更新是由于添加策略而引发,则不对PolicyPEP更新;若更新的过程包含了策略删除或者策略更改的操作,则需要对PolicyPEP进行更新,假设删除的策略集合为
Figure BSA00000363606100044
更改的策略集合为
Figure BSA00000363606100045
则将这些发生变动的策略从PolicyPEP中删除,即
Figure BSA00000363606100046
3)策略缓存调度
PEP端可能由于受到存储资源或计算资源的限制,无法缓存中央PDP端的策略库中全部的访问控制策略,或在本地缓存过多的策略会加重本地的计算负担,并最终影向策略决策的速度。因此只为本地策略缓存分配有限的存储空间。此时需要对策略缓存按照一定的算法进行调度,以保证本地策略缓存更新的顺利进行。
本发明中的策略缓存调度算法为PolicysPEP中的每一个策略维护一个计数器,当需要更新而缓存空间不足时,将新的缓存策略放入当前对应的计数器值最小的策略所占用的存储空间。
策略缓存调度算法如下所述:
1.针对某一访问控制请求,若DecisionPEP为确定性决策时,则转到步骤2;否则转到步骤3;
2.假设PolicyPEP中对该请求所适用的策略集合为
Figure BSA00000363606100047
则为
Figure BSA00000363606100048
中每一条策略所对应的计数器加1,为中的每一条策略所对应的计数器减1,若策略对应的计数器已经为0,则减一操作不执行,即策略对应的计数器最小值为0,此时只是对本地策略缓存中的计数器进行更新,本地策略并没有任何更新,执行完操作后算法结束;
3.假设PolicyPDP-PolicyPEP中对该请求所适用的策略集合为
Figure BSA00000363606100051
若PEP端策略缓存空余空间不足,无法将
Figure BSA00000363606100052
中的策略全部缓存,则转到步骤4,否则转到步骤8;
4.假设PolicyPEP中对该请求所适用的策略为
Figure BSA00000363606100053
则先在策略缓存中删除
Figure BSA00000363606100054
中的每一条策略:若缓存空余空间仍然不足,则转到步骤5;否则转到步骤8;
5.若PolicyPEP为空,即策略缓存中没有任何策略,
Figure BSA00000363606100055
已经超出了PEP端策略缓存空间的容量,则转到步骤6;否则转到步骤7;
6.假设
Figure BSA00000363606100056
中最终影响决策结果的策略集合为由的全部策略仍然不能被全部缓存,则在
Figure BSA00000363606100059
中随机删除一些策略,直至
Figure BSA000003636061000510
中剩余的策略能够被全部缓存,然后令
Figure BSA000003636061000511
并转到步骤8;
7.选择对应的计数器值最小的策略并删除,若空间仍然不足,转到步骤5,否则转到步骤8;
8.缓存中的每一条策略,并将其对应的计数器值置为1,执行完操作后算法结束。
三.基于两级策略决策的访问控制系统Two-Level Decision Based Access Control System(TLDBACS)
TLDBACS系统基于两级策略决策方法继承并扩展了传统的访问控制架构,通过在PEP端部署本地PDP来提供一定程度的访问控制决策能力,减轻了中央PDP的负担,从整体上提高了访问控制系统的效率。如图1所示,TLDBACS系统由PEP、本地PDP和中央PDP构成,PEP和本地PDP部署资源服务器上,拦截用户的访问控制请求并提供初步的决策功能,中央PDP部署在策略决策服务器上,在本地PDP负载较重或不能进行确定性决策时,由中央PDP对访问控制请求进行最终决策。如图2所示,TLDBACS系统主要功能部件包括:策略检索部件(Policy Search Component,PSC);策略决策部件(Policy Decision Component,PDC);策略管理部件(Policy Management Component,PMC);策略缓存部件(Policy CacheComponent,PCC);属性检索部件(Attribute Search Component,ASC)。其中本地PDP包含PSC,PDC,PCC和ASC,中央PDP包含ASC,PDC,PMC和PSC。
PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略。访问控制系统通常包含了大量的访问控制策略,而针对某一个具体的访问控制请求,并非所有的访问控制策略都适用于该访问控制请求,因此需要由PSC根据访问控制请求的内容在策略库中检索适用的访问控制策略,并提交至PDC决策。在分布式环境下,访问控制策略可能在多个策略存储点存储,每一个策略存储点的存储方式可能又不相同,因此通过PSC能够屏蔽这些差异,以统一的方式向PDC提供访问控制策略。PSC通过与PDC并行能够有效的提高访问控制的效率。本地PDP的PSC所要检索的策略存储点即为本地策略缓存,PSC可以针对此进行优化以提高策略检索的速度。在中央PDP端,由于本地PDP已经依据本地缓存的策略做出了初步的决策,因此中央PDP进行决策时不需要再重复使用本地PDP已经使用的策略,因此中央PDP的PSC只需在除本地PDP所使用的策略之外检索适用的策略;
PDC负责依据访问控制策略对访问控制请求做出决策。当本地PDP无法判定PDC依据策略缓存所做出的决策是否为确定性决策时,需要将请求提交至中央PDP进行最终决策,为了避免中央PDP使用本地PDP缓存的策略进行重复决策,本地PDP需要将缓存的所有策略的标识放入访问控制请求中,并提交至中央PDP,PEP以中央PDP的返回结果为最终的决策结果。在中央PDP端,PDC获取本地PDP提交的请求消息后,依据系统策略库中的策略对请求进行决策,并根据本地PDP的决策结果计算出最终的决策结果,若本地PDP的决策不是确定性决策,则将最终的决策结果连同所依据的策略一并返回给本地PDP;
PMC负责维护访问控制系统策略库。PMC提供了图形化界面以供访问控制系统管理员通过向策略库中添加,修改或者删除策略。PMC同时也提供了策略一致性维护的功能,即当访问控制系统管理员修改或删除策略库中的某条策略时,PMC向所有的本地PDP发送所修改或删除的策略的标识,使本地PDP及时更新策略缓存,保证策略缓存中的策略与策略库中的策略的一致,防止由于策略不一致而导致系统产生错误的决策。
PCC是系统的核心部件,负责本地PDP的策略缓存的维护,直接关系着整个访问控制系统的效率和正确性。策略库更新后,PCC根据策略库的更新结果更新本地的策略缓存,保证本地PDP策略缓存与策略库的一致性;当本地PDP的决策不是确定性决策时,PCC根据中央PDP返回的结果更新本地策略缓存,若本地缓存空间不足时,对本地策略缓存中的策略进行调度,保证策略更新的合理性,最大程度地提高系统的效率。
ASC负责对决策过程中所需属性信息进行检索收集。访问请求中虽然包含了若干决策过程所需的属性信息,但不能保证其充分满足策略匹配的全部需要,因此需要ASC从属性发布点(属性发布点分别与策略决策服务器、每一资源服务器通过网络连接)检索策略匹配所需的属性。由于策略匹配过程涉及多种类型的属性信息,其特征、来源及发布形式可能多有不同,因此ASC能够兼容处理不同的属性格式,包括X509格式的属性证书、SAML格式的安全断言以及LDAP目录中的属性条目等。
与现有的技术方案相比,本发明的TLDBACS系统具有如下优势:
1.高效的访问控制。传统的访问控制系统中,所有的策略决策都由中央PDP完成,PEP端只负责拦截用户的访问请求,并将访问请求提交至中央PDP,这使得中央PDP的负担过重,极易成为系统的性能瓶颈。在分布式环境下,中央PDP与PEP的部署常常是物理分离的,之问通过网络来交互,在对中央PDP与PEP之间的通信信道加入安全保护机制后,中央PDP对一个请求进行决策时间可能远远小于访问请求与决策传输的时间,因此在PEP端也具有一定的计算能力时,如果将所有的请求都提交至中央PDP进行决策,不仅加重中央PDP和网络传输的负担,也对PEP端的计算资源造成了浪费。TLDBACS系统通过采用两级策略决策机制,通过在PEP端部署本地PDP,有效地利用了PEP端的计算资源,最大程度地减轻了中央PDP的负担,降低了网络传输的代价,有效的提高了访问控制的效率;
2.可动态调整的弹性体系架构。TLDBACS系统兼容传统的访问控制架构,并且可随时根据系统的负载动态调整其体系结构。当PEP端的计算能力较弱时,可以不为其本地PDP分配策略缓存空间,即本地PDP不做任何的决策,所有的访问请求都被提交至中央PDP,此时TLDBACS系统即为传统的访问控制架构,即所有的访问请求都由中央PDP决策。当PEP端的计算能力较强时,可以为其本地PDP分配较大的策略缓存空间,在系统运行一定时间后,策略缓存中可能包含了策略库中全部的策略,在访问控制系统的策略库没有更新的情况下,所有的访问控制请求都可以由部署在PEP端的本地PDP依据缓存的策略在本地完成决策,此时原本在物理上分离的中央PDP与PEP又部署到了一起。当PEP端的计算能力较强,但负载又过重时,本地PDP可以只承担少量的访问请求决策,而将大部分请求提交至中央PDP处理。TLDBACS的弹性体系架构的保证了其能够在较大的范围内适用;
3.较小的策略更新代价。TLDBACS系统充分考虑了在分布式环境下策略更新的代价。TLDBACS采用集中式的策略维护,访问控制系统管理员只需通过PMC更新策略库,并且不需要考虑本地PDP策略缓存的更新,本地PDP策略缓存更新由PMC通知PPC自动更新,即本地PDP的策略缓存更新对管理员是透明的。策略库更新时,PMC只将修改或删除的策略的标识发送给本地PDP的PPC,传输代价较小;本地PDP对策略缓存的更新只是简单的删除,若本地缓存的策略在策略库中没有更新,则本地PDP不需要执行任何操作,因此对本地PDP来说,由于策略库更新而引起的本地策略缓存更新代价也是较小的。
本发明从技术原理角度分析了访问控制系统中的两级策略决策技术。访问控制系统可以通过本发明的方法优化系统计算资源的利用率,减少系统部件之间的通信损耗,降低系统策略维护的代价,提高访问控制系统决策的速度和效率。
附图说明
图1TLDBACS系统结构示意图;
图2TLDBACS系统主要功能部件及流程图。
具体实施方式
下面通过实例对本发明做更详细的说明。
如图2所示,假设访问控制系统中的PEP和本地PDP被部署在资源服务器上(即首先要在每一资源服务器上部署一PEP和本地PDP,与PEP部署在一起的本地PDP是第一级),中央PDP被部署在策略决策服务器上(即中央PDP是第二级),资源服务器与策略决策服务器物理上是分离的,同时资源服务器具有一定的计算能力;资源服务器与策略决策服务器物理上是分离的,通过网络连接。当用户通过认证后,向资源服务器上存储的受保护的资源发起访问请求时,基于两级策略决策的访问控制系统执行流程如下:
1.PEP拦截用户的访问请求后,将访问请求提交至本地PDP进行决策;
2.本地PDP的PDC部件调用PSC部件根据该访问请求获取本地策略缓存中适用的策略。PSC部件将适用的策略以及本地策略缓存中所有的策略标识返回给本PDC部件;
3.本地PDP的PDC部件根据适用的策略调用ASC部件获取在决策过程中所需的属性信息,然后对访问请求进行决策,若能根据决策结果判定该决策为确定性决策,则执行步骤8;否则,执行步骤4;
4.本地PDP的PDC部件将策略缓存中的所有策略标识和检索到的属性信息附加到访问控制请求中,并将访问控制请求连同本地决策结果一并提交至策略决策服务器;
5.策略决策服务器中的中央PDP调用PSC部件在策略库中检索针对该访问控制请求所适用的策略:若访问控制请求中不包含策略的标识,则中央PDP的PSC部件在策略库的全部策略中检索;否则PSC部件只在除访问控制请求中所包含的策略标识所代表的那些策略之外的策略中检索;PSC部件将适用的策略返回给PDC部件;
6.中央PDP的PDC部件根据适用的策略调用ASC部件获取在决策过程中所需的属性信息,然后依据PSC返回的适用策略对该访问请求进行决策,并结合本地PDP的决策结果得到最终的决策;
7.中央PDP做出最终决策后,依据确定性决策定义,若本地PDP的决策为确定性决策,则中央PDP只将最终的决策返回给PEP端的本地PDP(PEP端的本地PDP与中央PDP的交互对于PEP来说是透明的);否则,中央PDP将最终的决策连同所依据的策略一并返回给PEP端的本地PDP;
8.PEP端的本地PDP将最终决策返回给PEP;
9.PEP依据最终的决策结果允许或拒绝用户的访问请求;
10.本地PDP调用PCC部件根据最终的决策结果对本地策略缓存进行更新,若本地策略缓存空间有限,则按照策略缓存调度算法对本地的策略缓存进行更新。访问控制流程结束。

Claims (10)

1.一种基于两级策略决策的访问控制方法,其步骤为:
1)在每一资源服务器上部署一策略执行点PEP和一本地策略决策点PDP;在策略决策服务器上部署一中央策略决策点PDP;
2)PEP将拦截的用户的访问请求,并生成访问控制请求提交至本地策略决策点PDP;
3)本地策略决策点PDP根据该访问控制请求在本地缓存的访问控制策略PolicyPEP中检索适用的策略;
4)本地策略决策点PDP根据适用的策略获取在决策过程中所需的属性信息,然后对该访问控制请求进行决策;若该决策为确定性决策,则本地策略决策点PDP将最终决策返回给PEP执行;否则,执行步骤5);
5)本地策略决策点PDP将所述属性信息附加到访问控制请求中,并将该访问控制请求与本地决策结果提交至所述策略决策服务器;
6)所述中央策略决策点PDP在其访问控制策略库PolicyPDP中检索5)所提交的访问控制请求所适用的策略;
7)所述中央策略决策点PDP根据适用的策略获取在决策过程中所需的属性信息,然后依据检索的适用策略对5)所提交的访问控制请求进行决策,并结合该访问控制请求中的本地决策结果得到最终的决策;
8)若最终的决策与5)所提交的访问控制请求中的本地决策结果一致,则所述中央策略决策点PDP将最终的决策返回给该本地策略决策点PDP;否则,所述中央策略决策点PDP将最终的决策连同所依据的策略一并返回给该本地策略决策点PDP;
9)PEP端的本地策略决策点PDP将最终决策返回给PEP执行;
其中,所述确定性决策为:针对某一访问控制请求,依据PolicyPDP做出的决策DecisionPDP与依据PolicyPEP做出的决策DecisionPEP一致,则称DecisionPEP为确定性决策。
2.如权利要求1所述的方法,其特征在于所述5)中,所述访问控制请求中还包含本地缓存的所有访问控制策略的策略标识。
3.如权利要求2所述的方法,其特征在于所述中央策略决策点PDP只在该访问控制请求中所包含的策略标识所代表的策略之外的策略中检索所适用的策略。
4.如权利要求1所述的方法,其特征在于本地策略决策点PDP将最终的决策返回给PEP执行后,对本地缓存的访问控制策略进行更新。
5.如权利要求4所述的方法,其特征在于对本地缓存的访问控制策略进行更新的方法为:
1)针对某一访问控制请求,若决策DecisionPEP为确定性决策,则执行步骤2),否则执行步骤3);
2)如果PolicyPEP中对该请求所适用的策略集合为
Figure FSA00000363606000021
则将中每一条策略所对应的计数器加1、将
Figure FSA00000363606000023
中的每一条策略所对应的计数器减1,若
Figure FSA00000363606000024
中策略对应的计数器已经为0,则不执行减1操作;
3)如果PolicyPDP-PolicyPEP中对该请求所适用的策略集合为
Figure FSA00000363606000025
且PEP端策略缓存空余空间不足以将
Figure FSA00000363606000026
中的策略全部缓存,则执行步骤4);否则缓存中的每一条策略,并将其对应的计数器值置为1;
4)将策略中从计数器值最小的策略开始删除,直到能够缓存
Figure FSA00000363606000029
中的每一条策略,然后缓存
Figure FSA000003636060000210
中的每一条策略并将其对应的计数器值置为1;否则,则执行步骤5);其中
Figure FSA000003636060000211
为PolicyPEP中对该请求所适用的策略;
5)缓存
Figure FSA000003636060000212
中最终影响决策结果的策略集合为
Figure FSA000003636060000213
Figure FSA000003636060000214
中的全部策略仍然不能被全部缓存,则在
Figure FSA000003636060000215
中随机删除一些策略,直至
Figure FSA000003636060000216
中剩余的策略能够被全部缓存,缓存
Figure FSA000003636060000217
中剩余的策略并将其对应的计数器值置为1。
6.如权利要求1或2或3或4或5所述的方法,其特征在于所述中央策略决策点PDP的策略库更新时,发送一更新消息给本地策略决策点PDP;若策略库更新为添加策略,则不对PolicyPEP更新;若策略库更新为策略删除或者策略更改,其中删除的策略集合为
Figure FSA000003636060000218
或更改的策略集合为
Figure FSA000003636060000219
则本地策略决策点PDP将该删除或更改的策略从PolicyPEP中删除。
7.如权利要求6所述的方法,其特征在于所述PolicyPEP为PolicyPDP的部分或全部。
8.一种基于两级策略决策的访问控制系统,其特征在于包括一策略决策服务器、一属性发布点和若干资源服务器;所述策略决策服务器与若干所述资源服务器通过网络连接,所述属性发布点分别与所述策略决策服务器、若干所述资源服务器通过网络连接;其中每一所述资源服务器上部署一策略执行点PEP和一本地策略决策点PDP,所述策略决策服务器上部署一中央策略决策点PDP;
所述中央策略决策点PDP包括:
一属性检索部件ASC,ASC负责对决策过程中所需属性信息进行检索收集;
一策略决策部件PDC,PDC负责依据访问控制策略对访问控制请求做出决策;
一策略管理部件PMC,PMC负责维护访问控制系统策略库;
一策略检索部件PSC,PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略;
所述本地策略决策点PDP包括:
一策略检索部件PSC,PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略;
一策略决策部件PDC,PDC负责依据访问控制策略对访问控制请求做出决策
一策略缓存部件PCC,PCC负责本地策略决策点PDP的策略缓存的维护;
一属性检索部件ASC,ASC负责对决策过程中所需属性信息进行检索收集。
9.如权利要求8所述的系统,其特征在于所述资源服务器上设有一计数器,用于记录本地策略决策点缓存的每一访问控制策略的适用次数。
10.如权利要求8或9所述的系统,其特征在于所述本地策略决策点PDP缓存的访问控制策略PolicyPEP为所述中央策略决策点PDP中访问控制策略库PolicyPDP的部分或全部策略。
CN 201010562527 2010-11-23 2010-11-23 一种基于两级策略决策的访问控制方法及其系统 Active CN102006297B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010562527 CN102006297B (zh) 2010-11-23 2010-11-23 一种基于两级策略决策的访问控制方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010562527 CN102006297B (zh) 2010-11-23 2010-11-23 一种基于两级策略决策的访问控制方法及其系统

Publications (2)

Publication Number Publication Date
CN102006297A true CN102006297A (zh) 2011-04-06
CN102006297B CN102006297B (zh) 2013-04-10

Family

ID=43813368

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010562527 Active CN102006297B (zh) 2010-11-23 2010-11-23 一种基于两级策略决策的访问控制方法及其系统

Country Status (1)

Country Link
CN (1) CN102006297B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105320608A (zh) * 2014-08-01 2016-02-10 Arm有限公司 用于控制存储器设备处理访问请求的存储器控制器和方法
CN105610809A (zh) * 2015-12-23 2016-05-25 北京奇虎科技有限公司 网络准入控制的方法、装置及系统
CN106034112A (zh) * 2015-03-12 2016-10-19 电信科学技术研究院 访问控制、策略获取、属性获取方法及相关装置
CN106534174A (zh) * 2016-12-07 2017-03-22 北京奇虎科技有限公司 一种敏感数据的云防护方法、装置及系统
CN107306398A (zh) * 2016-04-18 2017-10-31 电信科学技术研究院 分布式授权管理方法及装置
CN109995738A (zh) * 2018-01-02 2019-07-09 中国移动通信有限公司研究院 一种访问控制方法、网关及云端服务器
CN114124429A (zh) * 2021-08-23 2022-03-01 阿里巴巴新加坡控股有限公司 数据处理方法和装置、电子设备及计算机可读存储介质
US20230344837A1 (en) * 2022-04-25 2023-10-26 Intuit Inc. Client cache complete control protocol for cloud security

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070006282A1 (en) * 2005-06-30 2007-01-04 David Durham Techniques for authenticated posture reporting and associated enforcement of network access
CN101398771A (zh) * 2008-11-18 2009-04-01 中国科学院软件研究所 一种基于构件的分布式系统访问控制方法及访问控制系统
CN101655892A (zh) * 2009-09-22 2010-02-24 成都市华为赛门铁克科技有限公司 一种移动终端和访问控制方法
WO2010079144A2 (en) * 2009-01-09 2010-07-15 Nec Europe Ltd. A method for access control within a network and a network
CN101783799A (zh) * 2010-01-13 2010-07-21 苏州国华科技有限公司 一种强制访问控制方法及其系统
CN101795281A (zh) * 2010-03-11 2010-08-04 西安西电捷通无线网络通信股份有限公司 一种适合可信连接架构的平台鉴别实现方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070006282A1 (en) * 2005-06-30 2007-01-04 David Durham Techniques for authenticated posture reporting and associated enforcement of network access
CN101398771A (zh) * 2008-11-18 2009-04-01 中国科学院软件研究所 一种基于构件的分布式系统访问控制方法及访问控制系统
WO2010079144A2 (en) * 2009-01-09 2010-07-15 Nec Europe Ltd. A method for access control within a network and a network
CN101655892A (zh) * 2009-09-22 2010-02-24 成都市华为赛门铁克科技有限公司 一种移动终端和访问控制方法
CN101783799A (zh) * 2010-01-13 2010-07-21 苏州国华科技有限公司 一种强制访问控制方法及其系统
CN101795281A (zh) * 2010-03-11 2010-08-04 西安西电捷通无线网络通信股份有限公司 一种适合可信连接架构的平台鉴别实现方法及系统

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105320608A (zh) * 2014-08-01 2016-02-10 Arm有限公司 用于控制存储器设备处理访问请求的存储器控制器和方法
CN105320608B (zh) * 2014-08-01 2021-01-29 Arm 有限公司 用于控制存储器设备处理访问请求的存储器控制器和方法
US11243898B2 (en) 2014-08-01 2022-02-08 Arm Limited Memory controller and method for controlling a memory device to process access requests issued by at least one master device
CN106034112A (zh) * 2015-03-12 2016-10-19 电信科学技术研究院 访问控制、策略获取、属性获取方法及相关装置
CN106034112B (zh) * 2015-03-12 2019-05-10 电信科学技术研究院 访问控制、策略获取、属性获取方法及相关装置
CN105610809A (zh) * 2015-12-23 2016-05-25 北京奇虎科技有限公司 网络准入控制的方法、装置及系统
CN107306398A (zh) * 2016-04-18 2017-10-31 电信科学技术研究院 分布式授权管理方法及装置
CN106534174A (zh) * 2016-12-07 2017-03-22 北京奇虎科技有限公司 一种敏感数据的云防护方法、装置及系统
CN109995738A (zh) * 2018-01-02 2019-07-09 中国移动通信有限公司研究院 一种访问控制方法、网关及云端服务器
CN114124429A (zh) * 2021-08-23 2022-03-01 阿里巴巴新加坡控股有限公司 数据处理方法和装置、电子设备及计算机可读存储介质
CN114124429B (zh) * 2021-08-23 2024-05-24 阿里巴巴创新公司 数据处理方法和装置、电子设备及计算机可读存储介质
US20230344837A1 (en) * 2022-04-25 2023-10-26 Intuit Inc. Client cache complete control protocol for cloud security

Also Published As

Publication number Publication date
CN102006297B (zh) 2013-04-10

Similar Documents

Publication Publication Date Title
CN102006297B (zh) 一种基于两级策略决策的访问控制方法及其系统
CN108696496B (zh) 多协议访问控制方法及存储系统
CN105247529B (zh) 在目录服务之间同步凭证散列
CN102236764B (zh) 用于Android系统的抵御桌面信息攻击的方法和监控系统
CN110661842B (zh) 一种资源的调度管理方法、电子设备和存储介质
US9830333B1 (en) Deterministic data replication with conflict resolution
CN103399781B (zh) 云服务器及其虚拟机管理方法
CN101183379A (zh) 用于检索数据的方法和系统
CN103618652A (zh) 一种业务数据的审计和深度分析系统及其方法
CN104050276A (zh) 一种分布式数据库的缓存处理方法及系统
CN102868744A (zh) 一种实现SaaS与IaaS自动化集成管理的方法
CN108092936A (zh) 一种基于插件架构的主机监控系统
US8306995B2 (en) Inter-organizational and intra-organizational repository for operating system images
CN106575245A (zh) 随通信故障的分布式工作负载重新分配
CN103036855A (zh) 一种权限管理的实现设备和方法
US9378064B2 (en) Orchestration management of information technology
CN108664520A (zh) 维护数据一致性的方法、装置、电子设备和可读存储介质
CN113297031A (zh) 容器集群中的容器组防护方法及装置
AU2005310983B2 (en) Cache for an enterprise software system
CN106257424A (zh) 一种基于kvm云平台的分布式数据库系统实现自动伸缩负载均衡的方法
CN110705712A (zh) 面向第三方社会服务的人工智能基础资源与技术开放平台
US20040260699A1 (en) Access management and execution
CN107203890A (zh) 凭证数据发放方法、装置及系统
US9009731B2 (en) Conversion of lightweight object to a heavyweight object
CN102521547A (zh) 虚拟域内访问控制系统的保护系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant