[发明专利]对物理访问控制的静态权限的基于策略的审核

权利要求书

1.一种用于审核对至少一个资源的物理访问的系统，所述系统包括：

静态权限数据库，所述静态权限数据库含有标识至少一位凭证持有人对所述至少一个资源的访问权限的多个静态权限记录；

策略数据库，所述策略数据库含有多个策略；

处理器，所述处理器配置成执行所述多个策略中的至少一个策略以产生至少一个策略的执行结果，所述结果包括计算的静态权限；将所述计算的静态权限与所述多个静态权限记录中的至少一个适当的静态权限记录进行比较以在检测到所述至少一个策略与所述适当的静态权限记录之间存在不兼容性时出现违规；以及响应于所出现的违规执行校正动作，其中所述校正动作包括增加新的静态权限记录或者移除或更新所述多个静态权限记录中的一个；

调度器，所述调度器用于响应于偶然事件、调度或管理员的动作中的至少一项而触发所述处理器来执行至少一个策略并且将所述至少一个策略的所述执行结果与所述至少一个适当的静态权限记录进行比较；以及

异常数据库，所述异常数据库含有免除所述多个策略的多个异常静态权限记录，所述多个异常静态权限记录与期满时间相关联。

2.如权利要求1所述的系统，其中所述多个策略中的每一个是一个或多个规则的集合并且每个规则包括用户属性、资源属性和环境属性中的至少一项，还包括访问决策，所述访问决策判定满足所述用户属性的对应的用户是否能够在满足所述环境属性的环境中访问满足所述资源属性的所述至少一个资源。

3.如权利要求2所述的系统，其中所述多个策略中的每一个包括冲突解决对策以判定策略内的规则的规则优先级。

4.如权利要求1所述的系统，其还包括违规数据库，所述违规数据库含有如由所述处理器所计算，违反策略中的一个或多个的多个静态权限记录。

5.一种审核对至少一个资源的物理访问的方法，所述方法包括：

在静态资源数据库中提供多个静态权限记录，其标识至少一位凭证持有人对所述至少一个资源的访问权限；

在策略数据库中提供多个策略；

经由处理器来执行所述多个策略中的至少一个策略以产生至少一个策略的执行结果，所述结果包括计算的静态权限；

经由所述处理器来将所述计算的静态权限与所述多个静态权限记录中的至少一个适当的静态权限记录进行比较，以在检测到所述至少一个策略与所述适当的静态权限记录之间存在不兼容性时出现违规，以及响应于所出现的违规执行校正动作，其中所述校正动作包括增加新的静态权限记录或者移除或更新所述多个静态权限记录中的一个；以及

响应于偶然事件、经由调度器实现的调度或管理员采取的动作中的至少一项而触发所述处理器来执行至少一个策略并且将所述至少一个策略的所述执行结果与至少一个适当的静态权限记录进行比较；以及

在异常数据库中提供免除所述多个策略的多个异常静态权限记录，所述多个异常静态权限记录与期满时间相关联。

6.如权利要求5所述的方法，其中所述多个策略中的每一个是一个或多个规则的集合并且每个规则包括由用户属性、资源属性和环境属性组成的组中的至少一项，还包括访问决策，所述访问决策判定满足所述用户属性的对应的用户是否能够在满足所述环境属性的环境中访问满足所述资源属性的所述至少一个资源。

7.如权利要求6所述的方法，其还包括经由至少一个冲突解决对策来判定所述多个策略中的每一个的策略内的规则的规则优先级。

8.如权利要求5所述的方法，其还包括将多个违规记录在违规数据库中。

9.如权利要求5所述的方法，其还包括经由图形用户界面来指定所述多个策略中的至少一个。

10.一种体现在有形计算机可读存储介质上的计算机程序产品，所述计算机程序产品包括指令，所述指令用于使处理器执行操作，所述操作包括：

在静态资源数据库中提供多个静态权限记录，其标识至少一位凭证持有人对至少一个资源的访问权限；

在策略数据库中提供多个策略；

经由处理器来执行所述多个策略中的至少一个策略以产生至少一个策略的执行结果，所述结果包括计算的静态权限；

经由所述处理器来将所述计算的静态权限与所述多个静态权限记录中的至少一个适当的静态权限记录进行比较以在检测到所述至少一个策略与所述适当的静态权限记录之间存在不兼容性时出现违规，以及响应于所出现的违规执行校正动作，其中所述校正动作包括增加新的静态权限记录或者移除或更新所述多个静态权限记录中的一个；

响应于偶然事件或调度或管理员的动作中的至少一项而触发所述处理器来执行至少一个策略并且将所述至少一个策略的所述执行结果与适当的静态权限记录进行比较；以及

在异常数据库中提供免除所述多个策略的多个异常静态权限记录，所述多个异常静态权限记录与期满时间相关联。