[发明专利]一种强制访问规则的配置方法、系统、终端及存储介质

权利要求书

1.一种强制访问规则的配置方法，其特征在于，包括：

将产品级的安全需求分解为访问规则，并将所有访问规则保存至访问规则列表；

从所述访问规则列表依次提取访问规则，并判断提取的访问规则与策略库已有规则是否匹配：

若是，则在所述访问规则列表的相应表项做肯定标记；

若否，则在所述访问规则列表的相应表项做否定标记，并根据带有否定标记的访问规则更新策略库。

2.根据权利要求1所述的方法，其特征在于，所述将产品级的安全需求分解为访问规则并将所有访问规则保存至访问规则列表，包括：

将产品级的安全需求分解为允许访问规则和拒绝访问规则；

将所有允许访问规则保存至允许型列表；

将所有拒绝访问规则保存至拒绝型列表。

3.根据权利要求2所述的方法，其特征在于，所述判断提取的访问规则与策略库已有规则是否匹配，包括：

若已有规则中存在与所述允许访问规则一致的匹配已有规则，则在所述允许型列表的相应表项中标记符合需求；

若已有规则中不存在所述拒绝访问规则的匹配已有规则，则在所述拒绝型列表的相应表项中标记符合需求；

若已有规则中存在所述拒绝访问规则的匹配已有规则，则在所述拒绝型列表的相应表项中标记不符合需求，并记录所述拒绝访问规则的布尔值或源码信息。

4.根据权利要求3所述的方法，其特征在于，所述根据带有否定标记的访问规则更新策略库，包括：

利用所述布尔值修改所述匹配已有规则的启用状态；

根据所述源码信息将所述拒绝访问规则的文件路径和行数转换为策略源码中的接口名字；

根据所述接口名字修改策略源码，删除带有否定标记的拒绝访问规则并添加带有否定标记的允许访问规则。

5.一种强制访问规则的配置系统，其特征在于，包括：

需求分解单元，配置用于将产品级的安全需求分解为访问规则，并将所有访问规则保存至访问规则列表；

规则匹配单元，配置用于从所述访问规则列表依次提取访问规则，并判断提取的访问规则与策略库已有规则是否匹配；

肯定标记单元，配置用于若提取的访问规则与策略库已有规则匹配，则在所述访问规则列表的相应表项做肯定标记；

否定标记单元，配置用于若提取的访问规则与策略库已有规则不匹配，则在所述访问规则列表的相应表项做否定标记，并根据带有否定标记的访问规则更新策略库。

6.根据权利要求5所述的系统，其特征在于，所述需求分解单元包括：

需求分解模块，配置用于将产品级的安全需求分解为允许访问规则和拒绝访问规则；

允许存储模块，配置用于将所有允许访问规则保存至允许型列表；

拒绝存储模块，配置用于将所有拒绝访问规则保存至拒绝型列表。

7.根据权利要求6所述的系统，其特征在于，所述规则匹配单元还包括：

允许规则标定模块，配置用于若已有规则中存在与所述允许访问规则一致的匹配已有规则，则在所述允许型列表的相应表项中标记符合需求；

拒绝规则标定模块，配置用于若已有规则中不存在所述拒绝访问规则一致的匹配已有规则，则在所述拒绝型列表的相应表项中标记符合需求；

相悖规则标定模块，配置用于若已有规则中存在与所述拒绝访问规则一致的匹配已有规则，则在所述拒绝型列表的相应表项中标记不符合需求，并记录所述拒绝访问规则的布尔值或源码信息。

8.根据权利要求7所述的系统，其特征在于，所述系统还包括规则更新单元，所述规则更新单元包括：

状态修改模块，配置用于利用所述布尔值修改所述匹配已有规则的启用状态；

源码处理模块，配置用于根据所述源码信息将所述拒绝访问规则的文件路径和行数转换为策略源码中的接口名字；

规则更新模块，配置用于根据所述接口名字修改策略源码，删除带有否定标记的拒绝访问规则并添加带有否定标记的允许访问规则。