[发明专利]可自定义的多态访问控制模型及其工作方法

权利要求书

1.可自定义的多态访问控制模型，其特征在于：包括简单属性管理模块、复杂属性管理模块、类别模块、策略模块、权限缩减模块；其中，

简单属性管理模块，用于从元数据库读取主体和客体的属性，并将属性信息传递到类别模块和权限缩减模块供其使用；

复杂属性管理模块，用于从元数据库读取属性树信息，并且对其进行树化，存储在内存中，处理后的属性树信息将用于类别模块和权限缩减模块评估时使用；

类别模块，用于从元数据库读取相应的分类规则，根据从简单属性管理模块和复杂属性管理模块获取到的属性信息，判断相应的分类规则是否满足，从而给主体和客体分配相应的类别；

策略模块，用于从元数据库读取相关的策略条目，根据之前类别模块给主体和客体分配的类别，判断是否满足策略要求，从而评估是否放行请求；

权限缩减模块，用于从元数据库读取相应的权限缩减规则，根据权限缩减规则对请求进行评估，不满足规则的请求将会被拒绝。

2.根据权利要求1所述可自定义的多态访问控制模型，其特征在于：所述简单属性管理模块读取的属性定义如下：Attr：{name,value,tree,type}，其中name代表属性的名称，属性的名称唯一，value代表属性值，tree代表该属性处于哪种属性树中，type表示属性值是集合类型还是原子类型；在读取请求涉及的主体和客体的属性之后，简单属性管理模块还会对主体和客体进行包装，将读取到的属性和相应的主体/客体绑定起来。

3.根据权利要求1所述可自定义的多态访问控制模型，其特征在于：所述属性树在元数据库采用二元组集合的形式进行存储，属性树以一系列二元组parent,children来表示，其中parent代表父节点，children代表子节点；在复杂属性管理模块会维护一张映射图，其中key是属性树的名称，value是根据二元组集合树化后键所对应的属性树。

4.根据权利要求1所述可自定义的多态访问控制模型，其特征在于：所述类别模块读取的分类规则定义如下：

Category_rule:{category,type,optimistic_matcher,negative_matcher}；

其中category是匹配该规则后会被分配的类别，方法规定针对某一类别最多只能存在一条针对该类别的分类规则，type标记了该类别是针对主体，客体还是通用的；其中optimistic_matcher代表正向匹配单元集合，当其中每个匹配单元结果都为true时，整个集合的结果才为true，negative_matcher代表负向匹配单元集合，当其中任意一个匹配单元结果为true时，整个集合的结果就为true；集合中的每个匹配单元会对主体/客体的属性进行评估，返回一个布尔值，对于optimistic_matcher和negative_matcher中匹配单元返回的多个布尔值，按照归类算法进行整合，最终返回一个布尔值，布尔值为true代表主体/客体可以获取该规则针对的类别category。

5.根据权利要求4所述可自定义的多态访问控制模型，其特征在于：所述匹配单元定义如下：

Matcher:{attribute,operate,refrence,express}；

其中attribute是该匹配单元评估的属性，operate是匹配单元使用的运算符，包括算术运算符，逻辑运算符和集合运算符、针对树状结构的运算符；refrence表示该属性的参考值，只有当待评估属性和参考值通过运算符成立的时候，matcher匹配结果才会返回true，最后的express代表该匹配单元的评估表达式，评估表达式是待评估属性attribute，运算符operate，参考值refrence的结合，express给出了attribute,operate,refrence三者完整的组合形式；mathcer匹配结果有三种，true代表匹配成功，false代表匹配失败，lack代表matcher评估的属性在实际运行中缺少值，无法进行匹配。