[发明专利]一种访问控制策略合成方法及系统

权利要求书

1.一种访问控制策略合成方法，其特征在于，包括如下步骤：

(1)获得由所有待合成访问控制策略的全部规则构成的规则集合；

(2)对所述规则集合中每一条规则的属性进行编码，使得属性相同的规则具有相同的属性编码，且属性不同的规则具有不同的属性编码；

所述步骤(2)包括如下步骤：

(21)从所述规则集合中提取出条件属性和动作属性，以及每一个条件属性的所有属性键和每一个动作属性的所有属性键；

(22)对于任意一个条件属性，根据其属性键的个数对该条件属性的属性键进行二进制编码，从而得到该条件属性每一个属性键的属性键码；对于任意一个动作属性，根据其属性键的个数对该动作属性的属性键进行二进制编码，从而得到该动作属性每一个属性键的属性键码；

(23)将所有条件属性和所有动作属性按第一顺序排列，用于表示规则的属性；对于所述规则集合中的任意一条规则，将其属性所对应的属性键码进行移位与求和，使得该规则所对应的属性键码按照所述第一顺序排列，从而得到该规则的二进制编码形式的属性编码；

其中，所述条件属性用于表示用户属性，且所有条件属性用于标识用户身份；所述动作属性用于表示对共享数据可执行的操作；所述属性键为条件属性或动作属性的一个取值；

(3)根据属性编码将所述规则集合划分为多个规则子集，使得属性编码相同的规则位于同一个规则子集中；

(4)对于任意一个规则子集，若每一个待合成访问控制策略均有规则属于该规则子集，则按照规则冲突算法处理该规则子集中属于同一访问控制策略的规则之间的冲突；否则，剔除该规则子集；

(5)根据策略冲突算法，合并剩余的规则子集，从而得到合成规则集合；将所述合成规则集合作为数据存储系统新的访问控制策略进行存储，由此实现访问控制策略的合成。

2.如权利要求1所述的访问控制策略合成方法，其特征在于，所述步骤(3)中，根据属性编码将所述规则集合划分为多个规则子集的方法包括如下步骤：

获得所述规则集合中不同属性编码的总数m，并创建m个规则子集，分别于m个不同的属性编码一一对应；

按照属性编码从大到小或从小到大的顺序对所述规则集合中的规则进行排序；

遍历所述规则集合，将每一条规则依次加入到与其属性编码对应的规则子集中。

3.如权利要求2所述的访问控制策略合成方法，其特征在于，按照属性编码从大到小或从小到大的顺序对所述规则集合中的规则进行排序时，若其中一个待合成访问控制策略的规则在所述规则集合中按照属性编码有序，并且所述规则集合中该待合成访问控制策略的规则数目M与待排序的规则数目N满足：0＜M≤lg(N)，则排序顺序与该待合成访问控制策略的规则顺序相同且排序算法为插入排序；若其中一个待合成访问控制策略的规则在所述规则集合中按照属性编码有序，并且所述规则集合中该待合成访问控制策略的规则数目M与待排序的规则数目N满足：lg(N)＜M，则排序顺序与该待合成访问控制策略的规则顺序相同且排序算法为归并排序；若按照属性编码，所有待合成访问控制策略的规则在所述规则集合中均无序，则排序算法为归并排序或计数排序。

4.如权利要求1所述的访问控制策略合成方法，其特征在于，所述步骤(4)中，对于任意一个规则子集，判定每一个待合成访问控制策略均有规则属于该规则子集的方法包括：

根据待合成访问控制策略的个数，对待合成访问控制策略的编号进行二进制编码，从而得到每一个待合成访问控制策略的策略编码，并将规则所属的待合成访问控制策略的策略编码作为该规则的策略编码；

按照策略编码从小到大或从大到小的顺序对该规则子集中的规则进行排序；若该规则子集中规则的策略编码连续，且其中最大的策略编码和最小的策略编码分别与所有待合成访问控制策略中最大的策略编码和最小的策略编码分别相等，则判定每一个待合成访问控制策略均有规则属于该规则子集。