[发明专利]一种访问控制的决策方法和设备

权利要求书

1.一种访问控制的决策方法，其特征在于，该方法包括：

策略决策点PDP接收策略执行点PEP发送的第一请求，根据所述第一请求携带的与用户设备的资源访问相关的信息生成第二请求，所述第二请求用于请求策略访问点PAP为所述用户设备所访问的资源确定出资源访问控制方案，并将所述第二请求发送给所述PAP；

所述PDP接收所述PAP返回的资源访问控制方案，根据所述资源访问控制方案中携带的不同类型的策略，分别对所述第一请求进行评估；

所述PDP根据所述资源访问控制方案中携带的逻辑运算关系，对得到的评估结果进行运算，生成访问控制结果并发送给所述PEP。

2.如权利要求1所述的方法，其特征在于，所述第一请求包含以下信息中的至少一种：

所述用户设备的标识、所述用户设备所访问的资源的标识、所述用户设备对所述资源执行的操作、以及与本次资源访问相关的上下文。

3.如权利要求1所述的方法，其特征在于，所述第二请求包含以下信息中的至少一种：

所述用户设备的标识、所述用户设备所访问的资源的标识、以及与本次资源访问相关的上下文。

4.如权利要求1所述的方法，其特征在于，所述资源访问控制方案中包含以下信息中的至少一种：

所述PAP为所述用户设备所访问的资源确定出的各策略；

所述PAP为所述用户设备所访问的资源确定出的各策略的地址信息；

所述PAP为所述用户设备所访问的资源确定出的各策略的标识信息；

所述PAP为所述用户设备所访问的资源确定出的各策略的类型信息；

以及，所述PAP为所述用户设备所访问的资源确定出的各策略之间的逻辑运算关系；

其中，所述PAP为所述用户设备所访问的资源确定出的各策略包括：与所述用户设备所访问的资源相关的全局访问控制策略、与所述用户设备相关的全局访问控制策略、与所述用户设备所访问的资源相关的资源访问控制策略、所述第二请求中与本次资源访问相关的上下文中所携带的与本次资源访问相关的访问控制策略中的至少一种策略；其中，每个所述全局访问控制策略适用于至少一个资源的访问控制或适用于至少一种类型的用户设备对资源的访问控制，每个所述资源访问控制策略与资源一一对应，且仅适用于与该资源访问控制策略绑定的资源的访问控制。

5.如权利要求1～4任一项所述的方法，其特征在于，所述PDP根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估，包括：

所述PDP根据所述资源访问控制方案中携带的各策略的类型信息，确定所述各策略对应的评估方案；

所述PDP基于所述各策略，采用所述各策略对应的评估方案，分别对所述第一请求进行评估，得到评估结果。

6.如权利要求5所述的方法，其特征在于，所述PDP根据所述资源访问控制方案中携带的各策略，分别对所述第一请求进行评估，包括：

所述PDP从策略信息点PIP中，获取与所述资源访问控制方案中携带的各策略相关的属性信息；

所述PDP根据所述资源访问控制方案中携带的各策略以及所述各策略对应的属性信息，分别对所述第一请求进行评估。

7.如权利要求1所述的方法，其特征在于，在所述PDP接收到所述PEP发送的第一请求之前，该方法还包括：

所述PEP获取所述用户设备向自身所访问的资源所在的服务器发送的资源访问请求；以及，

所述PEP根据所述资源访问请求中携带的信息，生成所述第一请求，并将所述第一请求发送给所述PDP。

8.一种访问控制的决策方法，其特征在于，该方法包括：

策略访问点PAP接收策略决策点PDP发送的第二请求，所述第二请求用于请求所述PAP为用户设备所访问的资源确定出资源访问控制方案；

所述PAP根据所述第二请求，为所述用户设备所访问的资源确定出相应的资源访问控制方案，并将所述资源访问控制方案返回给所述PDP；其中，所述资源访问控制方案包括不同类型的策略，以及指示不同策略之间的逻辑运算关系。