CN102223383B - 一种访问控制方法和装置 - Google Patents
一种访问控制方法和装置 Download PDFInfo
- Publication number
- CN102223383B CN102223383B CN201110205315.6A CN201110205315A CN102223383B CN 102223383 B CN102223383 B CN 102223383B CN 201110205315 A CN201110205315 A CN 201110205315A CN 102223383 B CN102223383 B CN 102223383B
- Authority
- CN
- China
- Prior art keywords
- access control
- strategy
- policy
- evaluation result
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种访问控制方法和装置,能够实现不同访问控制策略的集成,并且各个访问控制策略可以采用不同的策略描述语言开发,能够对属于不同组织的不同访问控制策略进行灵活配置,且能够广泛应用于应用系统中。该方法为:接收用户终端的访问控制请求;依次调用各个策略方案实例,在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到策略方案对应的评价结果,采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果并返给用户终端。本发明同时公开了一种访问控制装置。
Description
技术领域
本发明涉及认证及授权技术领域,尤其涉及一种访问控制方法和装置。
背景技术
访问控制是按照用户身份以及用户所属的预定义来限制用户对系统的访问或对系统某些功能的使用,通常用于系统管理员控制用户对网络资源的访问,例如控制用户对服务器、共享目录或共享文件的访问。一个访问控制系统会涉及三个不同层次的概念:访问控制策略、访问控制模型和访问控制机制,其中,访问控制策略从高层次上描述访问权限,访问控制模型用来规范化描述访问控制策略及其工作方式,而位于底层的访问控制机制负责实现并执行具体的访问控制策略。
基本的访问控制模型包括:自主访问控制(Discretionary Access Control)、强制访问控制(Mandatory Access Control)和基于角色的访问控制(Role-Based Access Control),除了这三种基本的访问控制模型,针对某些特殊的应用场合还存在其它模型,例如,还存在基于对象的访问控制模型(Object-Based Access Control Model)、基于任务的访问控制模型(Task-Based Control Model)、Clark-Wilson完整性控制模型等。与访问控制模型不同,访问控制策略及其执行机制的设计非常灵活,针对同一种访问控制模型,可能会存在多种访问控制策略和相应的执行机制,例如,针对自主访问控制模型可以采用访问控制矩阵、访问控制列表或功能列表等不同实现方式。
随着应用环境的日益复杂化,访问控制系统也变得日趋复杂,单一的访问控制策略、访问控制模型及访问控制机制已经无法满足用户的需求。例如,在多个独立组织参与的协作环境下,访问控制系统需要支持多种安全策略或授权 机制,这就需要采用多种访问控制策略或访问控制机制;又例如,访问控制系统需要针对组织内部和组织外部设定不同的安全策略或授权机制,这就需要采用不同的访问控制策略和访问控制机制。另外,在有多个大型组织相互协作的应用环境中,在进行访问控制时将所有授权决策都集中在一点是很难实现的。可见,在分布式应用环境中将不同的访问控制策略进行集成已经成为必然的发展趋势。
然而,现有技术中,在实现多种访问控制策略的集成时,尚存在以下不足:
1、在某些访问控制系统中,能够支持不同访问控制模型和针对各个访问控制模型定义的访问控制策略进行集成的前提条件是采用系统自带的策略描述语言定义访问控制策略。受此限制,访问控制系统仅能支持有限的访问控制模型,且不能集成采用其他策略描述语言开发的访问控制系统。例如,可扩展访问控制标记语言(eXtensible Access Control Markup Language,简称为XACML)描述语言可以支持自主访问控制模型和基于角色的访问控制模型,可以针对多个访问控制策略实现复杂的合并集成运算,但是仅限于集成基于XACML描述语言开发的策略。
2、某些访问控制系统提供了策略执行框架,基于该框架可以将不同的访问控制策略和相应的访问控制机制集成,但是该策略执行框架均被设计成专用系统,而不能被一般的应用系统所使用。例如,Linux操作系统中的策略执行框架Rule Set Based Access Control(RSBAC),可以支持自主访问控制、强制访问控制、基于角色的访问控制等多种访问控制模型,但是对RSBAC的使用仅限于操作系统层,并不能为一般的应用系统(如数据库系统)所使用。
发明内容
本发明提供一种访问控制方法和装置,能够实现不同访问控制策略的集成,并且各个访问控制策略可以采用不同的策略描述语言开发,能够对属于不同组织的不同访问控制策略进行灵活配置,且能够广泛应用于应用系统中。
本发明实施例提供的具体技术方案如下:
一种访问控制方法,包括:
读取并解析预设的根策略文件,根据根策略文件中对各个策略方案的描述生成相应的策略方案实例,并在生成策略方案实例时,根据所述根策略文件中对各个访问控制策略的描述,基于统一的接口标准对所述策略方案实例中包含的各个访问控制策略进行实例化;
接收用户终端的访问控制请求;
依次调用各个策略方案实例,并在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略方案实例对应的评价结果;
采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果,将所述第一评价结果返回给所述用户终端。
一种访问控制装置,包括:
第一处理单元,用于读取并解析预设的根策略文件,根据根策略文件中对各个策略方案的描述生成相应的策略方案实例,并在生成策略方案实例时,根据所述根策略文件中对各个访问控制策略的描述,基于统一的接口标准对所述策略方案实例中包含的各个访问控制策略进行实例化,并接收用户终端的访问控制请求;
第二处理单元,用于依次调用各个策略方案实例,并在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略方案实例对应的评价结果;
第三处理单元,用于采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果,将所述第一评价结果返回给所述用户终端。
附图说明
基于上述技术方案,本发明实施例中,在接收用户终端的访问控制请求后, 依次调用各个策略方案实例,在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略方案实例对应的评价结果,采用预设的合并算法对各个策略方案实例对应的评价结果进行合并得到针对访问控制请求的评价结果,并返回给用户终端,从而使得在访问控制系统中,各个访问控制策略均采用统一的接口标准,基于该统一的接口标准可以针对各个访问控制策略设置接口程序,基于该接口程序进行访问控制请求格式的转换,从而无需对访问控制系统中包含的访问控制策略采用的描述语言进行限制,即可以集成多个采用不同描述语言的访问控制策略,并且由于采用统一的接口标准能够对属于不同组织的不同访问控制策略进行灵活配置,仅需基于统一的接口标准设置接口程序即可进行访问控制策略的扩展,使得该访问控制系统能够广泛应用于应用系统中。
图1为本实施例中访问控制系统架构示意图;
图2为本实施例中访问控制系统体系结构示意图;
图3为本实施例中根策略文件包含的内容示意图;
图4为本实施例中策略方案的结构示意图;
图5为本实施例中根策略系统中主要类的关系示意图;
图6为本实施例中访问控制装置的结构示意图;
图7为本实施例中访问控制的方法流程图;
图8为本实施例中根策略系统初始化流程图;
图9为本实施例中基于策略方案进行评价的流程图;
图10为本实施例中基于策略项进行评价的流程图;
图11为本实施例中基于策略组进行评价的流程图;
图12为本实施例中基于连接策略项进行评价的流程图;
具体实施方式
图13为本实施例中远程调用时根策略系统之间的协作示意图。
为了实现不同访问控制策略的集成,而无需限制各访问控制策略采用的策略描述语言,能够对属于不同组织的不同访问控制策略进行灵活配置,并广泛应用于应用系统中,本发明实施例提供了一种访问控制方法,该方法为:接收用户终端的访问控制请求,依次调用各个策略方案实例,并在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到策略方案对应的评价结果,采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果,将该第一评价结果返回给用户终端。
下面结合附图对本发明优选的实施方式进行详细说明。
如附图1所示,本发明实施例中,访问控制系统包括用户终端101和多个根策略服务器102,访问资源服务器103,其中,
用户终端101,用于向根策略服务器102发送访问控制请求,并接收根策略服务器返回的第一评价结果,根据该第一评价结果从访问资源服务器103获取访问资源;
根策略服务器102,用于接收用户终端101的访问控制请求,依次调用各个策略方案实例,并在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略方案实例对应的评价结果,采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果,将该第一评价结果返回给用户终端101;
访问资源服务器103,用于向用户终端101提供相应的访问资源。
其中,根策略服务器102在调用各个策略方案实例,基于某一访问控制策略实例对用户终端101的访问控制请求进行评价时,若该访问控制策略实例为 远程调用策略实例,则需要调用其它的根策略服务器102进行评价后将评价结果返回,即根策略服务器102之间可以协作,实现访问控制策略在分布式应用环境下的集成。
本实施例中,根策略服务器102对应的根策略系统主要由描述在分布式环境下如何管理、执行和合并异构访问控制策略的根策略文件,以及根据该根策略文件的描述具体实施访问控制策略的获取、执行与合并的软件两部分组成。由根策略系统参与构成的根策略访问控制系统的体系结构如附图2所示,主要包括用户201、策略执行点202、根策略系统203、资源204,其中,用户201发起访问请求,以请求访问受保护的资源;策略执行点202截取用户201的访问请求,并将该访问请求转换为根策略系统的访问控制请求,然后调用根策略系统203以对该访问控制请求作出评价;根策略系统203对访问控制请求进行评价,并将该评价结果返回给策略执行点202;策略执行点202根据根策略系统203提供的评价结果决定是否执行用户的访问,即决定是否获取用户201请求访问的资源。
本实施例中,根策略系统203针对访问控制请求的评价结果可以设置为拒绝用户请求、同意用户请求、用户的请求不适用于某访问控制策略或策略方案、运行错误造成评价结果无法确定等。此处对评价结果仅为举例说明,并不用于限制本发明,实际应用中,也可以根据需要重新进行设置。
其中,根策略系统主要包括根策略文件、策略评价器、策略合并算法库以及根策略评价器。根策略文件用于描述如何存储和执行访问控制策略,以及如何合并各个访问控制策略的评价结果;策略评价器,即访问控制策略的接口程序,用于具体执行对某一访问控制策略的调用;策略合并算法库,定义了用于对各个访问控制策略的评价结果进行合并的各种合并算法,实际应用中,可以根据实际需要进行设定;根策略评价器,用于依据根策略文件选择合适的访问控制策略以对用户的访问控制请求进行评价,并从策略合并算法库中选择合适的合并算法,将各个访问控制策略的评价结果进行合并,以及将合并后的最终 评价结果返回给访问控制请求者。
实际应用中,根策略服务器102对应的根策略系统中保存有根策略文件,如附图3所示,在根策略文件中主要包括:策略描述、用户域、资源域、应用限制、子策略方案以及策略方案的描述。本实施例中,根策略文件例如可以采用基于XML的描述语言表示。
其中,策略描述部分主要描述根策略文件中包含的各个访问控制策略,以及各访问控制策略的获取方式和执行方式,具体包括:策略标识、有效期、属性证书通用资源标识符(Uniform Resource Identifier,URI)、属性证书撤销列表URI、公钥证书URI、公钥证书撤销列表URI、统一接口标准、远程调用地址等信息。策略标识为访问控制策略在访问控制系统中的唯一标识。有效期表示访问控制策略的有效期限。属性证书URI用于存储访问控制策略属性证书的存储位置,本发明实施例中,允许访问控制策略位于访问控制系统根策略服务器中的不同的文件或目录服务器中,在访问控制系统初始化时,通过网络调用分散在各个服务器中的访问控制策略,本实施例中,采用X.509属性证书确保访问控制策略调用的安全性,X.509属性证书是其发布机构采用私钥进行签名的,因此,只需获得属性证书发布机构公钥证书即可验证属性证书是否为该机构所签发,从而确定属性证书的合法性。属性证书撤销列表URI表示已被撤销的X.509属性证书的存储位置。公钥证书URI表示用以验证属性证书的公钥证书的存储位置。公钥证书撤销列表URI表示已被撤销的X.509公钥证书的存储位置。
本实施例中,根策略文件中还可以定义空策略,空策略即只定义策略的策略标识,主要用于帮助完成逻辑运算,以实现访问控制策略合并时的某种合并关系,空策略的评价结果为同意。
其中,用户域用于描述访问控制请求用户的合法性,实际应用中,可以定义多个用户域,本实施例中,用户域可以采用轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)子树来表示,采用标签<Include>和<Exclude> 分别表示包括的域和排除的域,例如,<Include>ou=marketing,l=cn,dc=abc.com</Include>,表示abc公司、中国区、市场部的工作人员为合法用户。
其中,资源域用于描述访问控制请求的资源的合法性,实际应用中,可以定义多个资源域,本实施例中,资源域可以采用轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)子树来表示,采用标签<Include>和<Exclude>分别表示包括的域和排除的域,还可以使用<ObjectClasse>标签进一步说明资源的类型,例如,<Include>ou=services,l=cn,dc=abc.com</Include>,与<ObjectClasse>CustomerInformation<ObjectClasse>配合使用表示abc公司、中国区、服务部的客户信息为合法资源。
其中,应用限制用于描述对环境属性(如时间、地点等)的运算,实际应用中,每个应用限制可能需要对多个环境属性进行运算后得到,例如对多个环境属性进行与、或、非等运算后得到,应用限制的输出为真(true)或假(false),本实施例中,带有应用限制的访问控制策略或策略方案,只有在应用限制为真的情况下才能被执行。
其中,策略方案用于定义各个访问控制策略之间的集成关系,如附图4所示,本实施例中,可定义多个策略方案,对于一个访问控制请求可能会有多个策略方案适用,适用的策略方案可以预先设定顺序执行及合并。每个策略方案中可以由用户域、资源域、应用限制中的一个或多个条件进行限定,用户域和资源域决定策略方案是否适应于某访问控制请求,应用限制根据当前的环境变量(如时间、地点等)决定该策略方案是否可用。策略方案中包括策略项,策略项对应具体的访问控制策略或子策略方案,一个策略方案可以对应多个策略项,本实施例中,可以针对每个策略方案设定一个起始策略项,将起始策略项与本策略方案中的至少一个策略项相串接,以从起始策略项开始顺次执行相串接的各策略项,将该起始策略项作为整个策略方案评价的入口。在策略项中可以通过应用限制决定该策略项当前是否可用。策略项中可以通过包含多个策略组的策略组群进一步集成多个访问控制策略,本实施例中,策略组群与相应的 策略项的评价结果之间为“与”的逻辑关系,策略组群中包含的多个策略组的评价结果按照预设的合并算法进行合并,该合并结果即为相应的策略组群的评价结果。每个策略组可以对应多个连接策略项,各连接策略项的评价结果按照预设的合并算法进行合并,该合并结果即为相应的策略组的评价结果。连接策略项中可定义具体的访问控制策略、子策略方案或指向另一策略项,本实施例中,若连接策略项为访问控制策略或子策略方案,则它们的评价结果即为该连接策略项的评价结果;若连接策略项指定了下一个策略项,则直接转到该策略项继续进行评价,并将其评价结果作为该连接策略项的评价结果。
其中,子策略方案与策略方案的结构类似,主要区别是子策略方案中无需规定其适用的范围,即无需规定资源域、用户域、应用限制等。
本实施例中,定义了统一接口标准,以解决各个访问控制策略的输入/输出的格式各不相同的问题,即在将访问控制策略加入本发明的访问控制系统中时,需要开发统一的接口程序(策略评价器),该接口程序需要完成功能主要包括:1、提供统一的调用接口;2、接收访问控制系统发送的访问控制请求后,将该访问控制请求的格式转换为访问控制策略专用的访问控制请求格式;3、调用访问控制策略的实际评价系统,将该访问控制请求传递给该实际评价系统;4、接收访问控制策略的实际评价系统生成的评价结果,并转换为访问控制系统使用的格式后发送给访问控制系统。实际应用中,在接口程序中可以预设相应的构造函数,其参数为相应访问控制策略的文件名,以进行初始化;在接口程序中可以预设相应的评价函数,其参数为访问控制请求,该函数首先将接收的访问控制系统的访问控制请求转换为相应的访问控制策略专用的格式,再调用该访问控制策略的评价系统,根据采用的访问控制策略的不同调用的实现方式也不相同,最后将访问控制策略评价系统生成的评价结果转换为访问控制系统中的格式。
本实施例中,访问控制系统可以基于面向对象的方法实现,访问控制系统中一个根策略服务器(根策略系统)中主要类之间的关系如附图5所示,其中 根策略服务器中对应的根策略评价器(类名)主要提供界面,以基于该界面完成对根策略服务器中根策略系统的初始化和请求访问控制决策,该类主要提供两个公用的成员函数,一个用于初始化,另一个用于请求访问控制决策,该初始化过程主要为生成存储根策略实例,以及生成该根策略系统中各个访问控制策略的接口类的实例(即策略评价器实例)。请求访问控制决策函数的输入为访问控制请求,输出为对访问控制请求的应答(即评价结果)。根策略类中主要用于静态保存各个类,以在运行过程中提供相应的信息。访问控制策略的接口类(即策略评价器)负责相应访问控制策略的评价。策略方案实例管理多个策略项实例,其中有一个策略项实例被标注为起始策略项。策略项实例可以是一个具体的访问控制策略实例,也可以是一个子策略方案实例。策略组群实例用于管理多个策略组实例,完成复杂的合并关系。策略组实例用以管理多个连接策略项实例,并对各个连接策略项实例返回的结果进行合并。连接策略项实例用以完成对连接策略项的评价,一个连接策略项实例可以是一个具体的访问控制策略实例,也可以是一个子策略方案实例,还可以指向另一个策略项实例。
如附图6所示,本发明实施例中,位于根策略服务器102上的访问控制装置主要包括以下处理单元:
第一处理单元601,用于接收用户终端的访问控制请求;
第二处理单元602,用于依次调用各个策略方案实例,并在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略方案实例对应的评价结果;
第三处理单元603,用于采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果,将该第一评价结果返回给用户终端。
基于上述系统架构,如附图7所示,本发明实施例中,进行访问控制的详细方法流程如下:
步骤701:接收用户终端的访问控制请求。
较佳地,在接收用户终端的访问控制请求之前,根策略服务器启动时,进行根策略系统初始化,具体为:读取并解析预设的根策略文件,根据根策略文件中对各个策略方案的描述生成相应的策略方案实例,并在生成策略方案实例时,根据根策略文件中对各个访问控制策略的描述,基于统一的接口标准对所述策略方案实例中包含的各个访问控制策略进行实例化。
例如,如附图8所示,在进行根策略系统初始化时,首先判断是否成功读取访问控制策略描述,若失败,则初始化结束,若成功,则进一步判断读取的是否为空策略;若是空策略,则利用访问控制策略的策略标识生成一个空策略实例,并将该空策略实例存入访问控制策略实例容器后,读取下一个访问控制策略描述,若不是空策略,则进一步判断读取的是否为远程调用策略;若是远程调用策略,则利用访问控制策略的策略标识和远程调用地址生成一个远程调用策略实例,并将该远程调用策略实例存入访问控制策略实例容器后,读取下一个访问控制策略描述,若不是远程调用策略,则根据访问控制策略描述读入访问控制策略属性证书和公钥证书,并检查属性证书和公钥证书的有效期和撤销列表,判断属性证书和公钥证书是否有效;若无效,则进行出错处理,读取下一个访问控制策略描述,若有效,则利用公钥证书中的公钥验证属性证书;若属性证书通过验证,则利用访问控制策略的策略标识、属性证书中的访问控制策略和该访问控制策略的策略评价器生成一个访问控制策略实例,并将该访问控制策略实例存入访问控制策略实例容器,若属性证书未通过验证,则进行出错处理,读取下一个访问控制策略描述。
本实施例中,在对各个访问控制策略进行实例化时,若根据根策略文件对访问控制策略的描述确定访问控制策略为空策略,基于相应的策略标识和统一的接口标准生成空策略实例;若根据根策略文件对访问控制策略的描述确定访问控制策略为远程调用策略,基于相应的策略标识、远程调用的根策略标识、远程调用地址以及统一的接口标准生成远程调用策略实例;若根据根策略文件 对访问控制策略的描述确定访问控制策略不是空策略且不是远程调用策略,根据根策略文件对访问控制策略的描述获取相应的属性证书和公钥证书,并在确定属性证书和公钥证书均有效时,采用公钥证书对属性证书进行验证,在验证通过后,基于相应的策略标识、与属性证书相应的访问控制策略以及统一的接口标准生成相应的访问控制策略实例。
本实施例中,对各个策略方案进行实例化时,也包括对各个策略方案包含的策略项类、策略组群类、策略组类、连接策略项类进行实例化。
步骤702:依次调用各个策略方案实例,并在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略方案实例对应的评价结果。
例如,依次调用各个策略方案实例的具体过程为:首先确定为对访问控制请求进行评价时,将策略方案指针指向第一个策略方案,成功调用该策略方案后,评价该策略方案,并利用策略合并算法计算评价结果,然后根据采用的第一合并算法和当前策略方案的评价结果判断是否需要继续评价下一策略方案,若需要(即根据第一合并算法和当前策略方案的评价结果不能确定对各个策略方案评价结果进行合并后得到的第一评价结果时),则成功调用下一个策略方案,评价该策略方案,并利用策略合并算法计算评价结果,直至判定不需要继续评价下一个策略方案时(即根据第一合并算法和当前策略方案的评价结果能够确定对各个策略方案评价结果进行合并后得到的第一评价结果时,或者是已经调用所有策略方案时),将得到的评价结果返回。又例如,在采用的第一合并算法为对各个策略方案的评价结果进行或运算时,若当前策略方案的评价结果为允许(即为1),则无需再评价下一策略方案,若当前策略方案的评价结果为拒绝(即为0),则还需要再评价下一策略方案。又例如,在采用的第一合并算法对各个策略方案的评价结果进行与运算时,若当前策略方案的评价结果为允许(即为1),则还需要再评价下一策略方案,若当前策略方案的评价结果为拒绝(即为0),则无需要再评价下一策略方案。
其中,在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略方案实例对应的评价结果,具体为:
基于策略方案实例确定访问控制请求的用户为合法用户域,以及基于策略方案实例确定访问控制请求的资源为合法资源域时,进一步确定策略方案实例对应的环境变量允许对访问控制请求进行评价时,按照预定的顺序调用策略方案实例对应的各个策略项实例,在调用每个策略项实例的过程中,采用基于统一接口标准实现的接口调用策略项实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略项实例对应的评价结果,并采用预设的第二合并算法对各个策略项实例对应的评价结果进行合并后,获得与策略方案实例对应的第二评价结果;
或者,基于策略方案实例确定访问控制请求的用户为合法用户域,以及基于策略方案实例确定访问控制请求的资源为合法资源域时,进一步确定策略方案实例对应的环境变量允许对访问控制请求进行评价时,根据访问控制请求启动预设的起始策略项实例,该起始策略项实例与策略方案包含的至少一个策略项实例串接,在依次调用串接的每个策略项实例包含的各个访问控制策略实例进行评价的过程中,判断当前的策略项实例是否指向另一策略项实例,若是,则调用另一策略项实例包含的各个访问控制策略实例进行评价,并将另一策略项实例对应的评价结果作为当前的策略项实例的评价结果,否则,采用当前的策略项实例包含的各个访问控制策略实例进行评价,得到当前的策略项实例对应的评价结果;将当前的策略项实例对应的评价结果作为起始策略项的评价结果,并将起始策略项实例的评价结果作为策略方案实例对应的第二评价结果。
例如,如附图9所示,在评价一个策略方案时,首先确定未采用该策略方案进行评价时,判断该策略方案是否适用于请求用户,若是,则进一步判断该策略方案是否适用于请求的资源,若是则再判断环境变量是否允许评价该策略方案,若是,则将访问控制请求发送给起始策略项,在依次调用与起始策略项 相串接的各策略项进行评价后,将得到的与起始策略项对应的评价结果作为策略方案的评价结果,并返回评价结果;若该策略方案不适用于请求用户,或者,若该策略方案不适用于请求的资源,或者,若环境变量不允许评价该策略方案,则返回用户请求不适用于该策略方案的评价结果。
采用预设的第一合并算法对各个策略方案对应的第二评价结果进行合并后,即可获得最终的第一评价结果。
本实施例中,可以在策略项实例包含的连接策略项实例中判断是否指向同一策略方案实例的下一策略项实例。
其中,在调用每个策略项实例的过程中,采用基于统一接口标准实现的接口调用策略项实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略项实例对应的评价结果,具体为:基于策略项实例确定访问控制请求的环境变量合法时,若进一步确定策略项实例包含的为具体的访问控制策略实例时,则采用基于统一接口标准实现的接口调用策略项实例包含的访问控制策略实例对访问控制请求进行评价,得到与访问控制策略对应的评价结果,否则,在确定策略项实例包含的为子策略方案实例时,调用策略项实例包含的子策略方案实例的过程中,采用基于统一接口标准实现的接口调用该子策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到与子策略方案实例对应的评价结果;若进一步确定策略项实例与包含多个策略组实例的策略组群实例相关联时,依次调用各个策略组实例,并在调用每个策略组实例的过程中,采用基于统一接口标准实现的接口调用策略组实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略组实例对应的评价结果,采用预设的第三合并算法对策略组群实例中各个策略组实例的评价结果进行合并,得到与策略组群实例对应的第三评价结果;采用预设的第四合并算法将策略项实例包含的各个访问控制策略实例的评价结果或子策略方案实例的评价结果,与策略组群实例对应的第三评价结果进行合并,得到与策略项实例对应的第四评价结果。
本实施例中,将策略项实例对应的访问控制策略实例的评价结果或者将策略项实例对应的子策略方案实例的评价结果,与策略组群实例对应的第三评价结果进行逻辑与运算,得到与策略项实例对应的第四评价结果。
例如,如附图10所示,评价某一策略项时,在确定未对该策略项进行过评价后,首先判断环境变量是否允许评价该策略项,若不允许,则该策略项的评价结束,返回评价结果,若允许,则进一步判断该策略项是否指向一个具体的访问控制策略,若是,则调用该具体的访问控制策略评价器进行评价,若不是,则评价策略项指向的子策略方案,然后进一步判断该策略项是否与策略组群相关联,若相关联,采用策略组群进行评价,并与策略项的评价结果做“与”合并,将合并的结果作为该策略项的最终评价结果,并返回评价结果,若不相关联,则直接返回评价结果。
例如,在评价一策略组群时,确定未对该策略组群进行过评价后,将策略组指针指向第一个策略组,在成功调用该策略组后,评价该策略组,利用策略合并算法计算评价结果,然后根据采用的第三合并算法以及当前策略组的评价结果判断是否需要继续评价下一个策略组,若是(即根据第三合并算法和当前策略组的评价结果不能确定对各个策略组评价结果进行合并后得到的第三评价结果时),则调用下一个策略组,评价该下一个策略组,利用策略合并算法计算评价结果,直至判断不需要继续评价下一个策略组时(即根据第三合并算法和当前策略组的评价结果能够确定对各个策略组评价结果进行合并后得到的第三评价结果时,或者是已经调用策略组群中的所有策略组时),返回得到的评价结果。
其中,在调用策略组实例的过程中,采用基于统一接口标准实现的接口调用策略组实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略组实例对应的评价结果,具体为:依次调用策略组实例对应的各个连接策略项实例,在调用每个连接策略项实例的过程中,采用基于统一接口标准实现的接口调用连接策略项实例包含的访问控制策略实例对访问控制请求进行评价,得 到与连接策略项实例对应的评价结果,并采用预设的第五合并算法对各个连接策略项实例的评价结果进行合并,得到与策略组实例对应的第五评价结果。
例如,如附图11所示,评价策略组时,在确定未对该该策略组进行过评价后,将连接策略项指针指向第一个连接策略项,判断是否成功读取该连接策略项,若失败,则该连接策略项的评价结束,直接返回评价结果,若成功,则评价该连接策略项,利用策略合并算法计算评价结果,然后根据采用的第五合并算法以及当前连接策略项的评价结果进一步判断是否需要继续评价下一连接策略项,若需要(即根据第五合并算法和当前连接策略项的评价结果不能确定对策略组中的各个连接策略项评价结果进行合并后得到的第五评价结果时),则评价该下一个连接策略项,利用策略合并算法计算合并结果,直至判断不需要继续评价下一个连接策略项时(即根据第五合并算法和当前连接策略项的评价结果能够确定对策略组中的各个连接策略项评价结果进行合并后得到的第五评价结果时,或者是已经调用策略组中的所有连接策略项时),返回得到的评价结果。
其中,在调用每个连接策略项实例的过程中,采用基于统一接口标准实现的接口调用连接策略项实例包含的访问控制策略实例对访问控制请求进行评价,得到与连接策略项实例对应的评价结果,具体为:若连接策略项实例包含的为具体的访问控制策略实例,采用基于统一接口标准实现的接口调用连接策略项实例包含的访问控制策略实例对访问控制请求进行评价,得到与连接策略项实例对应的评价结果;若连接策略项实例对应的为子策略方案实例时,则调用连接策略项实例对应的子策略方案实例的过程中,采用基于统一接口标准实现的接口调用该子策略方案实例包含的访问控制策略实例对访问控制请求进行评价,并将子策略方案实例对应的评价结果作为连接策略项实例对应的评价结果;若连接策略项实例指向同一策略方案中的另一策略项实例,则调用另一策略项实例的过程中,采用基于统一接口标准实现的接口调用另一策略项实例包含的访问控制策略对所述访问控制请求进行评价,并将另一策略项实例对应 的评价结果作为连接策略项实例对应的评价结果。
较佳地,若连接策略项实例包含的为具体的访问控制策略实例,进一步判断该连接策略项实例是否指向另一策略项实例,若是,调用该另一策略项实例,并在调用该另一策略项实例的过程中,采用基于统一接口标准实现的接口调用该另一策略项实例包含的访问控制策略实例对访问控制请求进行评价,并将该另一策略项实例对应的评价结果作为连接策略项实例对应的评价结果。
例如,如附图12所示,在评价连接策略项时,确定未对该连接策略项进行过评价后,判断该连接策略项是否指向具体的访问控制策略,若不是,评价该连接策略项指向的子策略方案,并返回评价结果,若是,则进一步判断该访问控制策略指向的标识是否与某个策略项的标识相同,若相同,则评价指向的策略项,并返回评价结果,若不相同,则调用具体的访问控制策略的评价器进行评价后,返回评价结果。
本实施例中,采用基于统一接口标准实现的接口调用访问控制策略实例对访问控制请求进行评价时,若访问控制策略实例为包含远程调用根策略标识以及远程调用地址的远程调用策略实例,则基于该远程调用策略实例生成携带访问控制请求以及远程调用根策略标识的简单对象访问协议消息,并按照远程调用地址将简单对象访问协议消息发送给远端的服务器,以用于远端的服务器解析出访问控制请求和远程调用的根策略标识后,远端的服务器基于该远程调用的根策略对访问控制请求进行评价,得到远程调用的根策略对应的第六评价结果,远端的服务器生成携带第六评价结果的简单对象访问协议消息后返回;接收远端的服务器发送的携带第六评价结果的简单对象访问协议消息,解析获得第六评价结果,并将该第六评价结果作为远程调用策略实例的评价结果。
本实施例中,通过远程调用策略实例实现访问控制策略的分布式执行,以下举例进行详细说明。
例如,如附图13所示,在根策略文件中定义远程调用策略,该远程调用策略中设有远程调用的根策略对象标识(Object Identifier,OID)和远程调用 Web地址,实际应用中还设置有策略协调者模块,该策略协调者用于处理根策略之间的通信,进行远程调用的具体过程如下:本地的根策略评价器1中的远程调用策略实例将访问控制请求、远程调用的根策略标识和远程调用Web地址传送给本地的策略协调者1;策略协调者1将访问控制请求和远程调用的根策略标识封装在简单对象访问协议(SOAP)消息中,并将其发送到远程调用Web地址,即策略协调者2所在的地址;策略协调者2接收SOAP消息,并分离出访问控制请求和远程调用的根策略OID,然后按照远程调用的根策略OID将访问控制请求传递给所请求的根策略评价器(例如根策略评价器3);根策略评价器对访问控制请求进行评价,并将评价结果返给策略协调者2;策略协调者2将评价结果封装在一个SOAP消息中,然后将该消息发送给请求方的策略协调者1;请求方的策略协调者1接收SOAP消息,并分离出访问控制请求对应的评价结果,然后将该评价结果返回给根策略评价器1中的远程调用策略实例;远程调用策略实例1将收到的评价结果作为自身对访问控制请求的评价结果。
步骤703:采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果,将第一评价结果返回给用户终端。
较佳地,第一评价结果可以包括以下情况:拒绝用户请求、同意用户请求、用户的请求不适用于某访问控制策略或策略方案、运行错误造成评价结果无法确定。
基于上述技术方案,本发明实施例中,在接收用户终端的访问控制请求后,依次调用各个策略方案实例,在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用策略方案实例包含的访问控制策略实例对访问控制请求进行评价,得到与策略方案实例对应的评价结果,采用预设的合并算法对各个策略方案实例对应的评价结果进行合并,得到与用户终端的访问控制请求相应的最终评价结果并反馈给用户终端,从而使得在访问控制系统中,各个访问控制策略均采用统一的接口标准,基于该统一的接口标准可以针对各个访问控制策略设置接口程序,基于该接口程序进行访问控制请求格式的转换,从 而无需对访问控制系统中包含的访问控制策略采用的描述语言进行限制,即可以集成多个采用不同描述语言的访问控制策略,并且由于采用统一的接口标准能够对属于不同组织的不同访问控制策略进行灵活配置,仅需基于统一的接口标准设置接口程序即可进行访问控制策略的扩展,使得该访问控制系统能够广泛应用于应用系统中。
同时,本实施例中,访问控制系统采用统一的接口标准,并且只需要各个根策略系统均采用给定的接口标准,通过远程调用策略即可实现不同根策略系统之间的协作,即实现不同组织之间的协作,并且各个根策略系统之间没有主次之分,因此,可以在各个资源分布点设置根策略系统,由各个根策略系统构成访问控制系统,即可实现各个资源分布点的协作,大大简化了访问控制系统的复杂程度。本发明实施例提供的技术方案可以用于分布式环境下集成异种访问控制策略,能够使得安全管理人员灵活方便地配置属于不同组织的异种访问控制策略,允许访问控制策略分散存储、分散执行和集中连接,且具有实施及扩展容易的特点,从而可以有效解决现代信息系统在有多个组织参与的协作系统中的访问控制问题。
基于上述实施例,访问控制策略的制定者可以灵活决定采用的访问控制模型及其执行机制,且可以随时修改访问控制策略,并存入采用私钥签名的属性证书中,将该属性证书存储在本地的安全服务器中,策略的执行者动态读入该属性证书,并采用策略制定者的公钥证书验证该属性证书,从而保证所使用的访问控制策略的正确性。通过根策略系统的远程执行功能(远程调用策略实例实现)可以将完全不同的访问控制系统集成起来(如,可以通过网络将运行在Windows下的访问控制系统和另一个运行在Linux下的访问控制系统集成在一起)。
在协作环境下,用户属于多个不同的组织,所保护的资源也位于多个参与组织本地,此情况下集中的访问控制系统并不太适合,本实施例提供的根策略系统,就其本身而言是虽然是一个集中的访问控制系统,但是多个根策略系统 之间可以构成协作关系,并且该协作关系是没有主次之分的,因此实际应用中,可以在每个资源点设立一个根策略系统,使得多个根策略系统相互协作进行访问控制决策,大大简化了访问控制系统的复杂程度。并且,该协作方式可以充分保证每个参与组织对其资源及其用户的充分控制,确保其安全系统的私密性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种访问控制方法,其特征在于,包括:
读取并解析预设的根策略文件,根据根策略文件中对各个策略方案的描述生成相应的策略方案实例,并在生成策略方案实例时,根据所述根策略文件中对各个访问控制策略的描述,基于统一的接口标准对所述策略方案实例中包含的各个访问控制策略进行实例化;
接收用户终端的访问控制请求;
依次调用各个策略方案实例,并在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略方案实例对应的评价结果;
采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果,将所述第一评价结果返回给所述用户终端。
2.如权利要求1所述的方法,其特征在于,在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略方案实例对应的评价结果,包括:
基于所述策略方案实例确定所述访问控制请求的用户为合法用户域,以及基于所述策略方案实例确定所述访问控制请求的资源为合法资源域时,进一步确定所述策略方案实例对应的环境变量允许对所述访问控制请求进行评价时,按照预定的顺序调用所述策略方案实例对应的各个策略项实例,在调用每个策略项实例的过程中,采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略项实例对应的评价结果,并采用预设的第二合并算法对各个策略项实例对应的评价结果进行合并后,获得与所述策略方案实例对应的第二评价结果;
或者,
基于所述策略方案实例确定所述访问控制请求的用户为合法用户域,以及基于所述策略方案实例确定所述访问控制请求的资源为合法资源域时,进一步确定所述策略方案实例对应的环境变量允许对所述访问控制请求进行评价时,根据所述访问控制请求启动预设的起始策略项实例,所述起始策略项实例与所述策略方案包含的至少一个策略项实例串接,在依次调用串接的每个策略项实例包含的各个访问控制策略实例进行评价的过程中,判断当前的策略项实例是否指向另一策略项实例,若是,则调用所述另一策略项实例包含的各个访问控制策略实例进行评价,并将所述另一策略项实例对应的评价结果作为当前的策略项实例的评价结果,否则,采用当前的策略项实例包含的各个访问控制策略实例进行评价,得到当前的策略项实例对应的评价结果;当前的策略项实例对应的评价结果为所述起始策略项的评价结果,所述起始策略项实例的评价结果为所述策略方案实例对应的第二评价结果。
3.如权利要求2所述的方法,其特征在于,在调用每个策略项实例的过程中,采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略项实例对应的评价结果,包括:
基于所述策略项实例确定所述访问控制请求的环境变量合法时,若进一步确定所述策略项实例包含具体的访问控制策略实例时,则采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述访问控制策略对应的评价结果,否则,在确定所述策略项实例包含子策略方案实例时,调用所述策略项实例包含的子策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述子策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述子策略方案实例对应的评价结果;
若进一步确定所述策略项实例与包含多个策略组实例的策略组群实例相关联时,依次调用各个策略组实例,并在调用每个策略组实例的过程中,采用基于统一接口标准实现的接口调用所述策略组实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略组实例对应的评价结果,采用预设的第三合并算法对所述策略组群实例中各个策略组实例的评价结果进行合并,得到与所述策略组群实例对应的第三评价结果;
采用预设的第四合并算法将所述策略项实例包含的各个访问控制策略实例的评价结果或所述子策略方案实例的评价结果,与所述策略组群实例对应的第三评价结果进行合并,得到与所述策略项实例对应的第四评价结果。
4.如权利要求3所述的方法,其特征在于,在调用每个策略组实例的过程中,采用基于统一接口标准实现的接口调用所述策略组实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略组实例对应的评价结果,包括:
依次调用所述策略组实例对应的各个连接策略项实例,在调用每个连接策略项实例的过程中,采用基于统一接口标准实现的接口调用所述连接策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述连接策略项实例对应的评价结果,并采用预设的第五合并算法对各个连接策略项实例的评价结果进行合并,得到与所述策略组实例对应的第五评价结果。
5.如权利要求4所述的方法,其特征在于,在调用每个连接策略项实例的过程中,采用基于统一接口标准实现的接口调用所述连接策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述连接策略项实例对应的评价结果,包括:
若所述连接策略项实例包含具体的访问控制策略实例,采用基于统一接口标准实现的接口调用所述连接策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述连接策略项实例对应的评价结果;
若所述连接策略项实例对应子策略方案实例时,则调用所述连接策略项实例对应的子策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述子策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,并将所述子策略方案实例对应的评价结果作为所述连接策略项实例对应的评价结果;
若所述连接策略项实例指向同一策略方案中的另一策略项实例,则调用所述另一策略项实例的过程中,采用基于统一接口标准实现的接口调用所述另一策略项实例包含的访问控制策略对所述访问控制请求进行评价,并将所述另一策略项实例对应的评价结果作为所述连接策略项实例对应的评价结果。
6.如权利要求5所述的方法,其特征在于,还包括:若所述连接策略项实例包含具体的访问控制策略实例,进一步判断所述连接策略项实例是否指向另一策略项实例,若是,调用所述另一策略项实例,并在调用所述另一策略项实例的过程中,采用基于统一接口标准实现的接口调用所述另一策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,所述另一策略项实例对应的评价结果为所述连接策略项实例对应的评价结果。
7.如权利要求1-6任一项所述的方法,其特征在于,采用基于统一接口标准实现的接口调用访问控制策略实例对所述访问控制请求进行评价,包括:
若所述访问控制策略实例为包含远程调用根策略标识以及远程调用地址的远程调用策略实例,则基于该远程调用策略实例生成携带所述访问控制请求以及远程调用根策略标识的简单对象访问协议消息,并按照远程调用地址将所述简单对象访问协议消息发送给远端的服务器,以用于远端的服务器解析出所述访问控制请求和远程调用的根策略标识后,远端的服务器基于该远程调用的根策略对所述访问控制请求进行评价,得到所述远程调用的根策略对应的第六评价结果,远端的服务器生成携带所述第六评价结果的简单对象访问协议消息后返回;
接收远端的服务器发送的携带所述第六评价结果的简单对象访问协议消息,解析获得所述第六评价结果,并将所述第六评价结果作为所述远程调用策略实例的评价结果。
8.一种访问控制装置,其特征在于,包括:
第一处理单元,用于读取并解析预设的根策略文件,根据根策略文件中对各个策略方案的描述生成相应的策略方案实例,并在生成策略方案实例时,根据所述根策略文件中对各个访问控制策略的描述,基于统一的接口标准对所述策略方案实例中包含的各个访问控制策略进行实例化,并接收用户终端的访问控制请求;
第二处理单元,用于依次调用各个策略方案实例,并在调用每个策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略方案实例对应的评价结果;
第三处理单元,用于采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果,将所述第一评价结果返回给所述用户终端。
9.如权利要求8所述装置,其特征在于,所述第二处理单元具体用于:
基于所述策略方案实例确定所述访问控制请求的用户为合法用户域,以及基于所述策略方案实例确定所述访问控制请求的资源为合法资源域时,进一步确定所述策略方案实例对应的环境变量允许对所述访问控制请求进行评价时,按照预定的顺序调用所述策略方案实例对应的各个策略项实例,在调用每个策略项实例的过程中,采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略项实例对应的评价结果,并采用预设的第二合并算法对各个策略项实例对应的评价结果进行合并后,获得与所述策略方案实例对应的第二评价结果;
或者,
基于所述策略方案实例确定所述访问控制请求的用户为合法用户域,以及基于所述策略方案实例确定所述访问控制请求的资源为合法资源域时,进一步确定所述策略方案实例对应的环境变量允许对所述访问控制请求进行评价时,根据所述访问控制请求启动预设的起始策略项实例,所述起始策略项实例与所述策略方案包含的至少一个策略项实例串接,在依次调用串接的每个策略项实例包含的各个访问控制策略实例进行评价的过程中,判断当前的策略项实例是否指向另一策略项实例,若是,则调用所述另一策略项实例包含的各个访问控制策略实例进行评价,并将所述另一策略项实例对应的评价结果作为当前的策略项实例的评价结果,否则,采用当前的策略项实例包含的各个访问控制策略实例进行评价,得到当前的策略项实例对应的评价结果;当前的策略项实例对应的评价结果为所述起始策略项的评价结果,所述起始策略项实例的评价结果为所述策略方案实例对应的第二评价结果。
10.如权利要求9所述的装置,其特征在于,所述第二处理单元在调用每个策略项实例的过程中,采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略项实例对应的评价结果时,具体用于:
第二处理单元基于所述策略项实例确定所述访问控制请求的环境变量合法时,若进一步确定所述策略项实例包含具体的访问控制策略实例时,则采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述访问控制策略对应的评价结果,否则,在确定所述策略项实例包含子策略方案实例时,调用所述策略项实例包含的子策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述子策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述子策略方案实例对应的评价结果;
若进一步确定所述策略项实例与包含多个策略组实例的策略组群实例相关联时,依次调用各个策略组实例,并在调用每个策略组实例的过程中,采用基于统一接口标准实现的接口调用所述策略组实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略组实例对应的评价结果,采用预设的第三合并算法对所述策略组群实例中各个策略组实例的评价结果进行合并,得到与所述策略组群实例对应的第三评价结果;
采用预设的第四合并算法将所述策略项实例包含的各个访问控制策略实例的评价结果或所述子策略方案实例的评价结果,与所述策略组群实例对应的第三评价结果进行合并,得到与所述策略项实例对应的第四评价结果。
11.如权利要求10所述的装置,其特征在于,所述第二处理单元在调用每个策略组实例的过程中,采用基于统一接口标准实现的接口调用所述策略组实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述策略组实例对应的评价结果时,具体用于:
第二处理单元依次调用所述策略组实例对应的各个连接策略项实例,在调用每个连接策略项实例的过程中,采用基于统一接口标准实现的接口调用所述连接策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述连接策略项实例对应的评价结果,并采用预设的第五合并算法对各个连接策略项实例的评价结果进行合并,得到与所述策略组实例对应的第五评价结果。
12.如权利要求11所述的装置,其特征在于,所述第二处理单元在调用每个连接策略项实例的过程中,采用基于统一接口标准实现的接口调用所述连接策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述连接策略项实例对应的评价结果时,具体用于:
第二处理单元在确定所述连接策略项实例包含具体的访问控制策略实例时,采用基于统一接口标准实现的接口调用所述连接策略项实例包含的访问控制策略实例对所述访问控制请求进行评价,得到与所述连接策略项实例对应的评价结果;
第二处理单元在确定所述连接策略项实例对应子策略方案实例时,则调用所述连接策略项实例对应的子策略方案实例的过程中,采用基于统一接口标准实现的接口调用所述子策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价,并将所述子策略方案实例对应的评价结果作为所述连接策略项实例对应的评价结果;
第二处理单元在确定所述连接策略项实例指向同一策略方案中的另一策略项实例时,则调用所述另一策略项实例的过程中,采用基于统一接口标准实现的接口调用所述另一策略项实例包含的访问控制策略对所述访问控制请求进行评价,并将所述另一策略项实例对应的评价结果作为所述连接策略项实例对应的评价结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110205315.6A CN102223383B (zh) | 2011-07-21 | 2011-07-21 | 一种访问控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110205315.6A CN102223383B (zh) | 2011-07-21 | 2011-07-21 | 一种访问控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102223383A CN102223383A (zh) | 2011-10-19 |
| CN102223383B true CN102223383B (zh) | 2014-03-26 |
Family
ID=44779811
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110205315.6A Active CN102223383B (zh) | 2011-07-21 | 2011-07-21 | 一种访问控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102223383B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851852B (zh) * | 2019-05-07 | 2023-03-07 | 中山大学 | 基于移动社交网络的数据访问控制策略生成方法 |
| CN110245978B (zh) * | 2019-05-23 | 2023-09-05 | 创新先进技术有限公司 | 策略组中的策略评估、策略选择方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101071435A (zh) * | 2007-06-08 | 2007-11-14 | 中兴通讯股份有限公司 | 一种基于嵌入式数据库的分布式访问方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100555940C (zh) * | 2007-08-17 | 2009-10-28 | 华中科技大学 | 一种基于风险的分布式访问控制方法 |
| JP4649523B2 (ja) * | 2009-06-03 | 2011-03-09 | 株式会社東芝 | アクセス制御システム |
-
2011
- 2011-07-21 CN CN201110205315.6A patent/CN102223383B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101071435A (zh) * | 2007-06-08 | 2007-11-14 | 中兴通讯股份有限公司 | 一种基于嵌入式数据库的分布式访问方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102223383A (zh) | 2011-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Maesa et al. | Blockchain based access control services | |
| Cirio et al. | A role and attribute based access control system using semantic web technologies | |
| US20090205018A1 (en) | Method and system for the specification and enforcement of arbitrary attribute-based access control policies | |
| Lupu | A role based framework for distributed systems management | |
| Pan et al. | Semantic access control for information interoperation | |
| Hafner et al. | Sectet: an extensible framework for the realization of secure inter‐organizational workflows | |
| US8719894B2 (en) | Federated role provisioning | |
| CN113297550A (zh) | 权限控制的方法、装置、设备、存储介质及程序产品 | |
| Karam et al. | Security support for intention driven elastic cloud computing | |
| Nogoorani et al. | TIRIAC: A trust-driven risk-aware access control framework for Grid environments | |
| Pérez et al. | Semantic-based authorization architecture for grid | |
| CN106997440A (zh) | 一种角色访问控制方法 | |
| de Oliveira et al. | AC-ABAC: Attribute-based access control for electronic medical records during acute care | |
| Habib et al. | Permission based implementation of dynamic separation of duty (DSD) in role based access control (RBAC) | |
| CN102223383B (zh) | 一种访问控制方法和装置 | |
| Willner et al. | FIDDLE: Federated infrastructure discovery and description language | |
| Sette et al. | Authorization policy federation in heterogeneous multicloud environments | |
| Toumi et al. | Role based interoperability security policies in collaborative systems | |
| Coma et al. | Context ontology for secure interoperability | |
| Kuchar et al. | INTERSECT Architecture Specification: System-of-Systems Architecture (Version 0.9) | |
| Ayed et al. | Deploying security policy in intra and inter workflow management systems | |
| Heaney et al. | Information assurance for enterprise engineering | |
| Dai et al. | OSAMI Commons—An open dynamic services platform for ambient intelligence | |
| Shakarami | Operation and administration of access control in IoT environments | |
| Wan et al. | A context-aware trust model for service-oriented multi-agent systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100015 Beijing city Chaoyang District Dongzhimen West eight Street No. 2 room Wanhong Yan Dong Business Garden Patentee after: Beijing Watchdata Limited by Share Ltd Address before: 100015 Beijing city Chaoyang District Dongzhimen West eight Street No. 2 room Wanhong Yan Dong Business Garden Patentee before: Beijing Woqi Data System Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |