一种基于两级策略决策的访问控制方法及其系统技术方案

本发明专利技术公开了一种基于两级策略决策的访问控制方法及其系统，属于信息安全中的访问控制领域。本方法通过在ＰＥＰ端部署本地ＰＤＰ，使得访问请求首先由本地ＰＤＰ依据本地策略缓存进行决策，若本地ＰＤＰ无法判定其决策为确定性决策，再由中央ＰＤＰ依据系统策略库最终完成决策。本系统包括一策略决策服务器、一属性发布点和若干资源服务器，每一资源服务器上部署一策略执行点ＰＥＰ和一本地策略决策点ＰＤＰ，策略决策服务器上部署一中央策略决策点ＰＤＰ；本发明专利技术具有良好的可动态调整的弹性体系架构，充分利用ＰＥＰ端的计算资源，减轻中央ＰＤＰ的负担，降低网络传输的开销，以极小的策略更新代价而有效地提高了访问控制的效率。

【技术实现步骤摘要】

【技术保护点】
一种基于两级策略决策的访问控制方法，其步骤为：　　１）在每一资源服务器上部署一策略执行点ＰＥＰ和一本地策略决策点ＰＤＰ；在策略决策服务器上部署一中央策略决策点ＰＤＰ；　　２）ＰＥＰ将拦截的用户的访问请求，并生成访问控制请求提交至本地策略决策点ＰＤＰ；　　３）本地策略决策点ＰＤＰ根据该访问控制请求在本地缓存的访问控制策略Ｐｏｌｉｃｙ↓［ＰＥＰ］中检索适用的策略；　　４）本地策略决策点ＰＤＰ根据适用的策略获取在决策过程中所需的属性信息，然后对该访问控制请求进行决策；若该决策为确定性决策，则本地策略决策点ＰＤＰ将最终决策返回给ＰＥＰ执行；否则，执行步骤５）；　　５）本地策略决策点ＰＤＰ将所述属性信息附加到访问控制请求中，并将该访问控制请求与本地决策结果提交至所述策略决策服务器；　　６）所述中央策略决策点ＰＤＰ在其访问控制策略库Ｐｏｌｉｃｙ↓［ＰＤＰ］中检索５）所提交的访问控制请求所适用的策略；　　７）所述中央策略决策点ＰＤＰ根据适用的策略获取在决策过程中所需的属性信息，然后依据检索的适用策略对５）所提交的访问控制请求进行决策，并结合该访问控制请求中的本地决策结果得到最终的决策；　　８）若最终的决策与５）所提交的访问控制请求中的本地决策结果一致，则所述中央策略决策点ＰＤＰ将最终的决策返回给该本地策略决策点ＰＤＰ；否则，所述中央策略决策点ＰＤＰ将最终的决策连同所依据的策略一并返回给该本地策略决策点ＰＤＰ；　　９）ＰＥＰ端的本地策略决策点ＰＤＰ将最终决策返回给ＰＥＰ执行；　　其中，所述确定性决策为：针对某一访问控制请求，依据Ｐｏｌｉｃｙ↓［ＰＤＰ］做出的决策Ｄｅｃｉｓｉｏｎ↓［ＰＤＰ］与依据Ｐｏｌｉｃｙ↓［ＰＥＰ］做出的决策Ｄｅｃｉｓｉｏｎ↓［ＰＥＰ］一致，则称Ｄｅｃｉｓｉｏｎ↓［ＰＥＰ］为确定性决策。...

【技术特征摘要】

【专利技术属性】
技术研发人员：冯登国，张立武，王鹏翩，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：11[中国|北京]