[发明专利]访问控制要素图构建方法、策略描述方法、访问控制判定方法及框架

权利要求书

1.一种访问控制要素图的访问控制策略描述方法，其步骤包括：

描述访问控制要素图中的路径；所述路径是指从一个节点到达另一个节点所先后经过的边和节点构成的序列；其中构建所述访问控制要素图的方法为：按照数据处理流程提取访问控制系统中主体对客体的操作的历史数据；根据每一操作的历史数据生成或更新主体之间、客体之间关联关系，以及主体、客体的安全状态，得到一访问控制要素图；其中，所述访问控制要素图为由节点、边构成的属性图，节点、边分别包含一对应的属性集合，节点包括主体、客体和操作；根据主体之间、客体之间的状态变迁生成边，以及根据主体与操作之间、操作与客体之间的关联关系生成边，每一边具有一起始节点、一结束节点、边的方向和标签，标签用以表明边的语义含义；

采用路径模式描述每一访问控制策略的访问控制条件，以及满足该访问控制条件时，进行的访问控制判定结果；所述路径模式中，用设定符号指定路径中的边的长度范围，用设定符号表示节点为变量；其中，所述路径模式中，用设定符号@指定路径中的边的长度范围；其中，@*表示包括0在内的任意条边，@n表示n条边，@n1～n2表示n1到n2条边，n、n1和n2为大于或等于0的整数，且n1小于n2，所述控制条件(a|k1,v1)-[状态变迁@n]-(b)表示属性k1等于v1的主体或客体a经过n次状态变迁，转变为新的主体或客体b；所述控制条件(a|k1,v1)-[状态变迁@n1～n2]-(b)表示属性k1等于v1的主体或客体a经过n1到n2次状态变迁，转变为新的主体或客体b；所述控制条件(a|k1,v1)-[状态变迁@*]-(b)表示属性k1等于v1的主体或客体a经包括0在内的任意次状态变迁，转变为新的主体或客体b；用设定符号$表示节点为变量，($a|k1,v1)表示属性k1等于v1的所有主体或客体节点。

2.如权利要求1所述的访问控制策略描述方法，其特征在于，所述路径的文字描述方法为：用小括号描述主体或客体的节点，小括号内为主体或客体的ID，即(a)表示一个ID为a主体或客体；用{}描述操作，{x}表示一个ID为x的操作；用-[]-表示边，[]里的关键字是边的标签；用key,value序列描述节点、边的属性集合，即(a|k1,v1k2,v2…ki,vi)表示一个具有属性k1等于v1、属性k2等于v2、…、属性ki等于vi的一节点，节点的ID为a。

3.一种基于权利要求1所述访问控制策略描述方法生成的访问控制策略的访问控制判定方法，其步骤包括：

1)对于收到的访问请求，该访问请求包括一三元组(subject,op,object)，即主体subject对客体object的op操作请求；在访问控制要素图中查找以该访问请求中主体的ID为起点且标签为状态变迁的边的最长路径；该主体subject经过该最长路径的状态变化成的最新主体为$subject_new；

2)根据该访问请求中客体的ID，在访问控制要素图中查找以该访问请求中客体的ID为起点且标签为状态变迁的边的最长路径，客体object经过该最长路径的状态变化成的最新客体为$object_new；

3)查找访问控制判定结果与主体$subject_new、客体$object_new以及操作op同时相关的访问控制策略；

4)逐条按照步骤3)得到的访问控制策略中访问控制条件部分的路径模式，对访问控制要素图中$subject_new与$object_new之间的路径进行匹配，如果发现任意一条符合该路径模式的路径，则允许该访问请求；如果步骤3)得到的各访问控制策略的访问控制条件的路径模式均不匹配该最新主体节点$subject_new和最新客体节点$object_new之间的路径，则拒绝该访问请求。