[发明专利]一种访问控制策略的处理方法和装置

权利要求书

1.一种访问控制策略的处理方法，其特征在于，包括：

定义访问控制策略中参与运算的对象信息，其中，所述对象信息至少包括：主体信息、客体信息、动作信息及相关的属性信息；

按照预定构建规则为所述对象信息构建访问控制策略，其中，所述策略包括：策略的声明部分、策略的判定表达式、访问控制规则列表和策略的处置表达式，所述访问控制规则列表中的每个访问控制规则均包括规则的判定表达式和规则的处置表达式，判定表达式为逻辑表达式，处置表达式为代码命令；

将所述访问控制策略进行预定处理，以转换为所述访问控制策略的执行者能够识别的数据格式，并将所述数据格式的访问控制策略存储到访问控制策略列表中；

在接收到访问时，根据接收到的对象信息遍历所述访问控制策略列表，以执行处置表达式或默认处置表达式对应的操作；

其中，将所述访问控制策略进行预定处理，以转换为所述访问控制策略的执行者能够识别的数据格式，包括：将判定表达式转换为通过与运算符和非运算符组成的判定表达式，将转换后的判定表达式转换为表达式树；将处置表达式转换为操作链表；

根据接收到的对象信息遍历所述访问控制策略列表，以执行所述处置表达式或所述默认处置表达式对应的操作，包括：在接收到访问时，提取访问的对象信息，根据所述对象信息遍历策略对应的表达式树，以检测所述访问控制策略列表中是否存在与所述对象信息相匹配的访问控制策略；在存在所述匹配的访问控制策略的情况下，遍历规则对应的表达式树，以检测所述访问控制规则列表中是否存在与所述对象信息相匹配的访问控制规则；在存在所述匹配的访问控制规则的情况下，执行规则对应的操作链表中的命令；在不存在所述匹配的访问控制规则的情况下，执行策略对应的操作链表中的命令。

2.如权利要求1所述的处理方法，其特征在于，判定表达式为由字段部分、运算符部分、常量部分组成的逻辑表达式及其组合；处置表达式为由操作命令和预定符号组成的多行代码命令。

3.如权利要求1或2所述的处理方法，其特征在于，将所述访问控制策略进行预定处理之前，还包括：

检测所述访问控制策略中的各个判定表达式和各个处置表达式是否存在错误；

在存在错误的情况下，发送提示信息。

4.一种访问控制策略的处理装置，其特征在于，包括：

定义模块，用于定义访问控制策略中参与运算的对象信息，其中，所述对象信息至少包括：主体信息、客体信息、动作信息及相关的属性信息；

构建模块，用于按照预定构建规则为所述对象信息构建访问控制策略，其中，所述策略包括：策略的声明部分、策略的判定表达式、访问控制规则列表和策略的处置表达式，所述访问控制规则列表中的每个访问控制规则均包括规则的判定表达式和规则的处置表达式，判定表达式为逻辑表达式，处置表达式为代码命令；

预处理模块，用于将所述访问控制策略进行预定处理，以转换为所述访问控制策略的执行者能够识别的数据格式，并将所述数据格式的访问控制策略存储到访问控制策略列表中；

执行模块，用于在接收到访问时，根据接收到的对象信息遍历所述访问控制策略列表，以执处置表达式或默认处置表达式对应的操作；

其中，所述预处理模块，具体用于：将判定表达式转换为通过与运算符和非运算符组成的判定表达式，将转换后的判定表达式转换为表达式树；将处置表达式转换为操作链表；

所述执行模块，具体用于：在接收到访问时，提取访问的对象信息，根据所述对象信息遍历策略对应的表达式树，以检测所述访问控制策略列表中是否存在与所述对象信息相匹配的访问控制策略；在存在所述匹配的访问控制策略的情况下，遍历规则对应的表达式树，以检测所述访问控制规则列表中是否存在与所述对象信息相匹配的访问控制规则；在存在所述匹配的访问控制规则的情况下，执行规则对应的操作链表中的命令；在不存在所述匹配的访问控制规则的情况下，执行策略对应的操作链表中的命令。

5.如权利要求4所述的处理装置，其特征在于，判定表达式为由字段部分、运算符部分、常量部分组成的逻辑表达式及其组合；处置表达式为由操作命令和预定符号组成的多行代码命令。

6.如权利要求4或所述的处理装置，其特征在于，还包括：

检错模块，用于检测所述访问控制策略中的各个判定表达式和各个处置表达式是否存在错误；在存在错误的情况下，发送提示信息。