[发明专利]一种访问控制策略的处理方法和装置

说明书

本发明公开了一种访问控制策略的处理方法和装置，方法包括：定义访问控制策略中参与运算的对象信息；按照预定构建规则为对象信息构建访问控制策略，其中，策略包括：策略的声明部分、策略的判定表达式、访问控制规则列表和策略的处置表达式，访问控制规则列表中的每个访问控制规则均包括规则的判定表达式和规则的处置表达式，判定表达式为逻辑表达式，处置表达式为代码命令；将访问控制策略进行预定处理，以转换为访问控制策略的执行者能够识别的数据格式，并将数据格式的访问控制策略存储到访问控制策略列表中；在接收到访问时，根据接收到的对象信息遍历访问控制策略列表，以执行处置表达式或默认处置表达式对应的操作。

技术领域

本发明涉及数据处理领域，特别涉及一种访问控制策略的处理方法和装置。

背景技术

访问控制是信息安全领域中常用的技术，也是计算机及网络安全的理论基础，其主要目的是根据规则确定主体对客体的访问权限。

访问控制主要包含以下三个要素：主体、客体和控制策略。其中，主体：访问动作的发起方，例如用户、进程、服务等。主体一般是经过身份认证的对象。客体：被访问的对象，例如文件、数据对象、进程、设备、操作系统对象等。控制策略：主体对客体访问时应用的规则集合，描述了授权的机制。

另外，在计算机信息安全系统中访问控制策略的执行者一般为较低层的系统核心组件，以及各种第三方提供的过滤器。

现有对访问控制策略规则的描述通常采用以下三种方式：

(1)访问控制矩阵(Access Control Matrix，ACM)：是最初实现访问控制机制的概念模型，以二维矩阵规定主体和客体间的访问权限，其中一维度描述主体，另一维度描述客体，矩阵格表示主体对客体的访问授权(允许或拒绝)。在实际应用中，由于其存储空间消耗较大并且维护困难而较少使用。

(2)访问控制列表(Access Control List，ACL)：以客体为中心建立一个访问控制规则的列表，在每一条规则中给出不同主体对此客体的访问授权。此方法简单实用，权限回收容易(ACL随着客体一并删除)，适用于主体数量有限、客体数量庞大的场景，被广泛的应用在计算机操作系统中，例如Windows系统中就是应用ACL限制用户对文件的访问权限。

(3)访问能力列表(Access Control Capabilities List，ACCL)：以主体为中心建立其有权访问的客体列表。这种方式的优点是用户间传递权限简单(通过传递ACCL即可)，其缺点是在客体变化时(例如新增、删除客体时需要修改所有主体的ACCL)，因此仅适用于主体数量庞大、客体数量有限的系统。

然而，上述访问控制策略都只适用于常规的操作系统中，在计算机信息安全相关的系统中(例如主机防护系统、网络防护系统)，网络环境复杂，并非单用户与客体之间的访问，上述访问控制策略无法满足复杂的访问控制需求。

发明内容

有鉴于此，本发明实施例提出了一种访问控制策略的处理方法和装置，用以解决现有技术的如下问题：在计算机信息安全相关的系统中，网络环境复杂，现有访问控制策略无法满足复杂的访问控制需求。

一方面，本发明实施例提出了一种访问控制策略的处理方法，包括：定义访问控制策略中参与运算的对象信息，其中，所述对象信息至少包括：主体信息、客体信息、动作信息及其相关的属性信息；按照预定构建规则为所述对象信息构建访问控制策略，其中，所述策略包括：策略的声明部分、策略的判定表达式、访问控制规则列表和策略的处置表达式，所述访问控制规则列表中的每个访问控制规则均包括规则的判定表达式和规则的处置表达式，判定表达式为逻辑表达式，处置表达式为代码命令；将所述访问控制策略进行预定处理，以转换为所述访问控制策略的执行者能够识别的数据格式，并将所述数据格式的访问控制策略存储到访问控制策略列表中；在接收到访问时，根据接收到的对象信息遍历所述访问控制策略列表，以执行处置表达式或默认处置表达式对应的操作。