[发明专利]PAP的配置及运行方法、装置、电子设备和存储介质

说明书

本发明提供一种PAP的配置及运行方法，该方法在第一服务端口内配置PAP模块，为所述PAP模块配置第一数据库，配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中；配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块，以使得PDP模块对应的第二数据库得以根据第一数据库的数据进行同步，以及PDP模块得以根据PEP模块发来的决策请求和第二数据库中的数据给出评估结果并反馈给PEP模块，以使得PEP模块根据该评估结果决定是否提供对相应客体的访问。

技术领域

本发明涉及访问控制方法，特别是一种提高访问和数据安全性的方法。

背景技术

RBAC(Role Base Access Control)基于角色的访问控制，是被访问资源的粗粒度权限控制模式，拥有同一个角色所获得的权限是相同的。现有静态的RBAC模式已无法满足企业的业务需求，同一个角色下无法区分查看的数据，更无法基于访问者的特征信息进行评估权限与安全，不管在数据和访问上都存在安全的问题。

ABAC(Attribute Base Access Control)基于属性的访问控制，也称细粒度访问控制，ABAC是ZTNA(Zero Trust Netware Access)零信任网络访问的一部分，是一种针对业务安全提供基于动态策略的控制模式。ABAC越来越受到企业的关注，也得到了市场的认可。

ABAC是由PDP、PEP、PAP、PIP几个关键服务模块组成，其中：

PDP(Policy Decision Point)策略决策点，其工作原理是决策引擎通过权限数据和策略数据的整合与解析，结合访问信息进行动态评估，最终返回给PEP请求的评估结果。PDP有自己的数据格式，为通过数据图形化方式定义并生成的PDP专用的数据格式文本，文本以JSON的方式存在，兼容XACML。

策略决策需要借助外部的数据，数据策略支持多种可配置模式的请求和解析，通过接口配置完成外部数据的获取，进行适合多种业务模式的处理与转换，结合处理PDP决策的结果，实现策略访问控制。

PAP(Policy Administrator Point)决策管理点，是用于给PDP提供权限数据和策略数据的定义，也是动态权限管理中心。

PEP(Policy Enforcement Point)策略执行点，是用于解析请求，根据上下文获取信息，并生成PDP策略决策的请求格式报文。这里生成的策略数据文本也是一种脚本语言，提供对资源权限数据的引用与处理，预设了对请求数据的逻辑判断和策略评估，根据PDP返回的决策结果验证请求的合法性。提取PDP需要的属性元素并生成报文，可携带附加信息，为业务的扩展提供支持，提供报文动态属性加密选项，保障通讯中的报文安全。

PIP(Policy Information Point)策略信息点，是提供PDP除权限数据以外的信息，譬如用户信息，一般这类非权限数据信息不会在PAP里定义，而需动态进行装载。

上述机制中，如何确保PDP能够高效且安全的处理来自PEP的多种请求是实现整个细粒度控制的关键环节，目前尚未有具体的落地方案。

发明内容

本发明目的在于提供一种访问控制配置方法，用于解决现有的PDP尚无法高效且安全处理PEP请求的技术问题。

为达成上述目的，本发明提出如下技术方案：

PAP的配置方法，

在第一服务端口内配置PAP模块，为所述PAP模块配置第一数据库，配置PAP模块获得来自统一身份系统的客体信息数据、提供相应的权限数据和策略数据的定义并存储于第一数据库中；

配置所述PAP模块将第一数据库中的权限数据和策略数据同步给PDP模块，以使得