[发明专利]一种基于脚本的属性基访问策略表示与执行方法及系统

权利要求书

1.一种基于脚本的属性基访问策略表示与执行方法，其步骤包括：

1)采用基于操作码的脚本语言描述属性基访问控制模型中的策略判决逻辑，并使用标记语言封装策略层次结构，生成基于栈结构脚本的访问策略；

2)对于访问请求，脚本解释器依据该属性基访问控制模型确定该访问请求对应的基于栈结构脚本的访问策略并执行，得到该访问请求的判决结果。

2.如权利要求1所述的方法，其特征在于，所述脚本语言包括一实体属性获取操作码；所述实体属性获取操作码包括主体属性获取操作码、客体属性获取操作码、行为属性获取操作码和环境属性获取操作码，用于获取访问控制实体的对应属性值，并将其注入到脚本中。

3.如权利要求2所述的方法，其特征在于，所述脚本解释器执行所述实体属性获取操作码的方法为：所述脚本解释器弹出数据栈结构中的栈顶元素作为属性名并依据该属性名请求策略信息点以获取实体对应的属性值；如果属性值不为空，则将属性值压入栈中，否则抛出异常。

4.如权利要求1所述的方法，其特征在于，所述基于栈结构脚本的访问策略包括属性脚本、表达式脚本、规则脚本、目标和策略；所述策略判决逻辑由谓词逻辑、布尔逻辑和策略规则组合逻辑构成；所述策略层次结构指由策略、规则、条件、谓词构成的层次包含关系。

5.如权利要求4所述的方法，其特征在于，所述表达式脚本包括一个存放脚本的表达式的字段和存放该表达式唯一标识的字段；所述表达式脚本为一型表达式脚本、二型表达式脚本或三型表达式脚本；其中，一型表达式脚本和二型表达式脚本统称为条件脚本；三型表达式脚本为若干条件脚本之间的布尔逻辑关系的表达式脚本；所述一型表达式脚本仅含有一个属性脚本，为用于比较实体属性值和静态属性值关系的二元谓词表达式脚本；所述二型表达式脚本含有两个属性脚本，为用于比较两个实体属性关系的二元谓词表达式脚本。

6.如权利要求4或5所述的方法，其特征在于，所述属性脚本是属性获取函数的脚本表示,包括主体、客体、行为或环境属性获取。

7.如权利要求5所述的方法，其特征在于，所述规则脚本包括一个规则标识字段、一个规则效果字段和一个存放脚本的表达式字段；其中规则脚本中的表达式为三型表达式脚本。

8.如权利要求4所述的方法，其特征在于，所述目标包括一组实体的属性字段和对应的属性值字段；所述策略包括一个策略标识字段、一个目标字段、一个条件数组、一个规则数组和规则组合算法；所述策略规则组合逻辑是使用规则组合算法将多个规则的执行结果组合成一个结果的逻辑。

9.如权利要求5所述的方法，其特征在于，步骤2)中，脚本解释器执行访问请求对应的基于脚本的访问策略的方法为：

21)脚本解释器首先加载基于脚本的访问策略并依据该访问策略中定义的规则组合算法依次执行该访问策略中存在的规则，每个规则按照步骤22)的规则脚本执行过程执行，之后对所有规则的判定结果进行组合并输出组合结果作为该访问策略的判决结果；

22)规则脚本执行过程：脚本解释器先执行步骤23)的条件脚本执行过程，执行规则脚本中引用的条件脚本，再将条件脚本执行结果代入规则脚本中并执行规则脚本，最后依据规则脚本执行结果和规则脚本中定义的规则效果输出规则的判定结果；

23)条件脚本执行过程：脚本解释器顺序执行条件脚本，如果脚本为数据，则将该数据压入数据栈结构中，否则执行脚本操作码对应的操作。

10.一种基于脚本的属性基访问策略表示与执行系统，其特征在于，包括属性基访问策略表示模块和脚本解释器；其中，

所述属性基访问策略表示模块，用于采用基于操作码的脚本语言描述属性基访问控制模型中的策略判决逻辑，并使用标记语言封装策略层次结构，生成该属性基访问控制模型的基于栈结构脚本的访问策略；

脚本解释器，用于执行访问请求对应的基于脚本的访问策略，得到该访问请求的判决结果。