[发明专利]一种访问控制方法和装置

说明书

技术领域

本发明涉及认证及授权技术领域，尤其涉及一种访问控制方法和装置。

背景技术

访问控制是按照用户身份以及用户所属的预定义来限制用户对系统的访问或对系统某些功能的使用，通常用于系统管理员控制用户对网络资源的访问，例如控制用户对服务器、共享目录或共享文件的访问。一个访问控制系统会涉及三个不同层次的概念：访问控制策略、访问控制模型和访问控制机制，其中，访问控制策略从高层次上描述访问权限，访问控制模型用来规范化描述访问控制策略及其工作方式，而位于底层的访问控制机制负责实现并执行具体的访问控制策略。

基本的访问控制模型包括：自主访问控制(Discretionary Access Control)、强制访问控制(Mandatory Access Control)和基于角色的访问控制(Role-Based Access Control)，除了这三种基本的访问控制模型，针对某些特殊的应用场合还存在其它模型，例如，还存在基于对象的访问控制模型(Object-Based Access Control Model)、基于任务的访问控制模型(Task-Based Control Model)、Clark-Wilson完整性控制模型等。与访问控制模型不同，访问控制策略及其执行机制的设计非常灵活，针对同一种访问控制模型，可能会存在多种访问控制策略和相应的执行机制，例如，针对自主访问控制模型可以采用访问控制矩阵、访问控制列表或功能列表等不同实现方式。

随着应用环境的日益复杂化，访问控制系统也变得日趋复杂，单一的访问控制策略、访问控制模型及访问控制机制已经无法满足用户的需求。例如，在多个独立组织参与的协作环境下，访问控制系统需要支持多种安全策略或授权机制，这就需要采用多种访问控制策略或访问控制机制；又例如，访问控制系统需要针对组织内部和组织外部设定不同的安全策略或授权机制，这就需要采用不同的访问控制策略和访问控制机制。另外，在有多个大型组织相互协作的应用环境中，在进行访问控制时将所有授权决策都集中在一点是很难实现的。可见，在分布式应用环境中将不同的访问控制策略进行集成已经成为必然的发展趋势。

然而，现有技术中，在实现多种访问控制策略的集成时，尚存在以下不足：

1、在某些访问控制系统中，能够支持不同访问控制模型和针对各个访问控制模型定义的访问控制策略进行集成的前提条件是采用系统自带的策略描述语言定义访问控制策略。受此限制，访问控制系统仅能支持有限的访问控制模型，且不能集成采用其他策略描述语言开发的访问控制系统。例如，可扩展访问控制标记语言(eXtensible Access Control Markup Language，简称为XACML)描述语言可以支持自主访问控制模型和基于角色的访问控制模型，可以针对多个访问控制策略实现复杂的合并集成运算，但是仅限于集成基于XACML描述语言开发的策略。

2、某些访问控制系统提供了策略执行框架，基于该框架可以将不同的访问控制策略和相应的访问控制机制集成，但是该策略执行框架均被设计成专用系统，而不能被一般的应用系统所使用。例如，Linux操作系统中的策略执行框架Rule Set Based Access Control(RSBAC)，可以支持自主访问控制、强制访问控制、基于角色的访问控制等多种访问控制模型，但是对RSBAC的使用仅限于操作系统层，并不能为一般的应用系统(如数据库系统)所使用。

发明内容

本发明提供一种访问控制方法和装置，能够实现不同访问控制策略的集成，并且各个访问控制策略可以采用不同的策略描述语言开发，能够对属于不同组织的不同访问控制策略进行灵活配置，且能够广泛应用于应用系统中。

本发明实施例提供的具体技术方案如下：

一种访问控制方法，包括：

接收用户终端的访问控制请求；

依次调用各个策略方案实例，并在调用每个策略方案实例的过程中，采用基于统一接口标准实现的接口调用所述策略方案实例包含的访问控制策略实例对所述访问控制请求进行评价，得到与所述策略方案实例对应的评价结果；

采用预设的第一合并算法对各个策略方案实例对应的评价结果进行合并得到第一评价结果，将所述第一评价结果返回给所述用户终端。

一种访问控制装置，包括：

第一处理单元，用于接收用户终端的访问控制请求；