[发明专利]一种访问控制方法和装置

权利要求书

1.一种访问控制方法，其特征在于，包括：

接收用户终端的访问控制请求；

依次调用各个策略方案实例，并在调用每个策略方案实例的过程中，采用基于统一接口标准实现的接口调用所述策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价，得到与所述策略方案实例对应的评价结果；

采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果，将所述第一评价结果返回给所述用户终端。

2.如权利要求1所述的方法，其特征在于，在接收用户终端的访问控制请求之前，还包括：根策略服务器启动时，进行根策略系统初始化；所述根策略服务器启动时，进行根策略系统初始化具体包括：

读取并解析预设的根策略文件，根据根策略文件中对各个策略方案的描述生成相应的策略方案实例，并在生成策略方案实例时，根据所述根策略文件中对各个访问控制策略的描述，基于统一的接口标准对所述策略方案实例中包含的各个访问控制策略进行实例化。

3.如权利要求1所述的方法，其特征在于，在调用每个策略方案实例的过程中，采用基于统一接口标准实现的接口调用所述策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价，得到与所述策略方案实例对应的评价结果，包括：

基于所述策略方案实例确定所述访问控制请求的用户为合法用户域，以及基于所述策略方案实例确定所述访问控制请求的资源为合法资源域时，进一步确定所述策略方案实例对应的环境变量允许对所述访问控制请求进行评价时，按照预定的顺序调用所述策略方案实例对应的各个策略项实例，在调用每个策略项实例的过程中，采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价，得到与所述策略项实例对应的评价结果，并采用预设的第二合并算法对各个策略项实例对应的评价结果进行合并后，获得与所述策略方案实例对应的第二评价结果；

或者，

基于所述策略方案实例确定所述访问控制请求的用户为合法用户域，以及基于所述策略方案实例确定所述访问控制请求的资源为合法资源域时，进一步确定所述策略方案实例对应的环境变量允许对所述访问控制请求进行评价时，根据所述访问控制请求启动预设的起始策略项实例，所述起始策略项实例与所述策略方案包含的至少一个策略项实例串接，在依次调用串接的每个策略项实例包含的各个访问控制策略实例进行评价的过程中，判断当前的策略项实例是否指向另一策略项实例，若是，则调用所述另一策略项实例包含的各个访问控制策略实例进行评价，并将所述另一策略项实例对应的评价结果作为当前的策略项实例的评价结果，否则，采用当前的策略项实例包含的各个访问控制策略实例进行评价，得到当前的策略项实例对应的评价结果；当前的策略项实例对应的评价结果为所述起始策略项的评价结果，所述起始策略项实例的评价结果为所述策略方案实例对应的第二评价结果。

4.如权利要求3所述的方法，其特征在于，在调用每个策略项实例的过程中，采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价，得到与所述策略项实例对应的评价结果，包括：

基于所述策略项实例确定所述访问控制请求的环境变量合法时，若进一步确定所述策略项实例包含具体的访问控制策略实例时，则采用基于统一接口标准实现的接口调用所述策略项实例包含的访问控制策略实例对所述访问控制请求进行评价，得到与所述访问控制策略对应的评价结果，否则，在确定所述策略项实例包含子策略方案实例时，调用所述策略项实例包含的子策略方案实例的过程中，采用基于统一接口标准实现的接口调用所述子策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价，得到与所述子策略方案实例对应的评价结果；

若进一步确定所述策略项实例与包含多个策略组实例的策略组群实例相关联时，依次调用各个策略组实例，并在调用每个策略组实例的过程中，采用基于统一接口标准实现的接口调用所述策略组实例包含的访问控制策略实例对所述访问控制请求进行评价，得到与所述策略组实例对应的评价结果，采用预设的第三合并算法对所述策略组群实例中各个策略组实例的评价结果进行合并，得到与所述策略组群实例对应的第三评价结果；

采用预设的第四合并算法将所述策略项实例包含的各个访问控制策略实例的评价结果或所述子策略方案实例的评价结果，与所述策略组群实例对应的第三评价结果进行合并，得到与所述策略项实例对应的第四评价结果。