[发明专利]对物理访问控制的静态权限的基于策略的审核

说明书

本发明提供一种用于审核对至少一个资源的物理访问的系统，所述系统包括：静态权限数据库，所述静态权限数据库含有标识至少一位凭证持有人对所述至少一个资源的访问权限的多个静态权限记录；策略数据库，所述策略数据库含有多个策略；处理器，所述处理器用于执行所述多个策略中的至少一个策略以产生至少一个策略的执行结果，从而将至少一个策略的所述执行结果与所述多个静态权限记录中的至少一个适当的静态权限记录进行比较；以及调度器，所述调度器用于响应于偶然事件、调度或管理员的动作中的至少一项而触发所述处理器来执行至少一个策略并且将所述至少一个策略的所述执行结果与所述至少一个适当的静态权限记录进行比较。

发明领域

本文公开的主题涉及对物理访问控制的静态权限进行基于策略的审核，并且涉及一种用于对物理访问控制的静态权限进行基于策略的审核的系统和方法。

相关技术说明

通常，物理访问控制系统，例如建筑物访问控制系统确保只有授权用户(凭证持有人、持卡人)在合适的环境下才能访问受保护区域。例如，物理访问控制系统可以将提供的凭证与存储的静态权限进行比较，以允许或拒绝在给定时间访问区域。另外，这种静态权限可以涉及单个资源(单个读取器)或资源分组(某一区域内的一批读取器)。静态权限还可以涉及访问被允许或拒绝时的环境条件(诸如，一周内的时间)。

物理访问控制系统需要管理任务添加、移除和更新静态权限，以确保物理访问控制系统的适当的静态权限和有效使用。管理任务通常会利用手动操作，这相当费时并且会引入错误权限记录的风险。基于规则的策略可以有效地管理会影响权限记录的正确性的动态改变，诸如用户属性、组织结构、资源属性(诸如敏感度等级)等的改变。现有的使用这类基于规则的策略的访问控制系统正使用所述策略来动态处理个别访问请求，这要求系统能够实时地运行规则引擎来处理访问请求。具有动态处理能力的这类系统往往与使用要求可获得静态权限来判定访问的软件和硬件架构的现有物理访问控制系统是不兼容的。更换现有的物理访问控制系统的架构来实现对基于规则的策略的动态使用将是昂贵而又不切实际的。需要能够将基于规则的策略与现有的访问控制系统一起使用来使静态权限的管理自动化的系统和方法。

发明内容

根据本发明的一个实施方案，用于审核对至少一个资源的物理访问的系统包括：静态权限数据库，所述静态权限数据库含有标识至少一位凭证持有人对至少一个资源的访问权限的多个静态权限记录；策略数据库，所述策略数据库含有多个策略；处理器，所述处理器用于执行多个策略中的至少一个策略以产生至少一个策略的执行结果，从而将至少一个策略的执行结果与多个静态权限记录中的至少一个适当的静态权限记录进行比较；以及调度器，所述调度器用于响应于偶然事件、调度或管理员的动作中的至少一项而触发处理器来执行至少一个策略并且将所述至少一个策略的执行结果与至少一个适当的静态权限记录进行比较。

除了上文所述的一个或多个特征之外，或者作为替代方案，另外的实施方案可以包括多个策略中的每一个是一个或多个规则的集合并且每个规则包括用户属性、资源属性和环境属性中的至少一项，还包括访问决策，所述访问决策判定满足用户属性的对应的用户是否能够在满足环境属性的环境中访问满足资源属性的至少一个资源。

除了上文所述的一个或多个特征之外，或者作为替代方案，另外的实施方案可以包括多个策略中的每一个包括冲突解决对策以判定策略内的规则的规则优先级。

除了上文所述的一个或多个特征之外，或者作为替代方案，另外的实施方案可以包括违规数据库，所述违规数据库含有如由处理器所计算违反策略中的一个或多个的多个静态权限记录。

除了上文所述的一个或多个特征之外，或者作为替代方案，另外的实施方案可以包括异常数据库，所述异常数据库含有免除多个策略的多个异常静态权限记录。

除了上文所述的一个或多个特征之外，或者作为替代方案，另外的实施方案可以包括处理器被配置来添加新的静态权限记录或者移除多个静态权限记录中的一个。