[发明专利]访问控制策略生成方法、访问控制决策方法及其设备

说明书

本申请提供一种访问控制策略生成方法、访问控制决策方法及设备。其中，访问控制策略生成方法包括：获取利用可扩展的访问控制标识语言定义的第一访问控制策略；第一访问控制策略包括的第一内容和第二内容；第一内容与基础策略相关，第二内容与基础策略无关；从第一内容中提取基础策略的基础策略标签；根据基础策略标签，生成第二访问控制策略。访问控制决策方法包括：获取访问请求和属性信息；根据访问请求调用对应的访问控制策略；访问策略根据上述任意一项所述的访问控制策略生成方法得到；根据属性信息和访问控制策略进行访问控制决策，得到访问控制决策结果；根据访问控制决策结果返回访问请求对应的上传数据。

技术领域

本申请涉及访问控制技术领域，尤其涉及一种访问控制策略生成方法、访问控制决策方法及设备。

背景技术

区块链技术由于其不可篡改性、透明性、可溯源的优点，以及智能合约可信计算的优点，成为用户进行数据共享的主要选择。随着跨组织、跨部门、跨业务的数据共享需求的增加，区块链的跨链访问技术应运而生。

为解决跨链访问过程中不同区块链所采用的的访问控制策略不同的问题，相关技术中在各个用户建立的区块链之外使用中继链或协同链构建访问控制链，用以存放各个区块链的访问控制策略。具体的，相关技术中通常利用可扩展的访问控制标识语言(eXtensible Access Control Markup Language，XACML)定义访问控制策略。但是XACML存在语言冗杂，占用存储空间大的问题。

发明内容

有鉴于此，本申请的目的在于提出一种访问控制策略生成方法、访问控制决策方法及设备。

基于上述目的，本申请提供了一种访问控制策略生成方法，包括：

获取利用可扩展的访问控制标识语言定义的第一访问控制策略；所述第一访问控制策略包括的第一内容和第二内容；所述第一内容与基础策略相关，所述第二内容与基础策略无关；

从所述第一内容中提取所述基础策略的基础策略标签；

根据所述基础策略标签，生成第二访问控制策略。

可选地，所述基础策略标签包括第一目标标签、规则标签；所述规则标签包括第二目标标签；

所述第二访问控制策略包括策略数据字段；

所述根据所述基础策略标签，生成第二访问控制策略，包括：

根据所述第一目标标签和所述第二目标标签，得到第一子数据字段；

根据所述规则标签，得到第二子数据字段；

根据所述第一子数据字段和所述第二子数据字段，得到第二访问控制策略的策略数据字段。

可选地，所述根据所述第一目标标签和所述第二目标标签，得到第一子数据字段，包括：

根据所述第一目标标签和所述第二目标标签二者的属性值，得到所述第一子数据字段的头部；

提取所述第一目标标签和所述第二目标标签二者的谓语子标签；

根据所述谓词子标签的属性名称，得到所述第一子数据字段的数据字段；

根据所述第一子数据字段的头部和数据字段，组成所述第一子数据字段。

可选地，所述根据所述谓词子标签，得到所述第一子数据字段的数据字段，包括：

响应于确定所述谓语子标签的属性名称符合预设条件，将所述谓语子标签的属性名称转换为字符串及预设符号的组合；

将所述字符串及预设符号的组合作为所述第一子数据字段的数据字段。

可选地，所述根据所述规则标签，得到第二子数据字段，包括：