CN102006297A - 一种基于两级策略决策的访问控制方法及其*** - Google Patents
一种基于两级策略决策的访问控制方法及其*** Download PDFInfo
- Publication number
- CN102006297A CN102006297A CN2010105625275A CN201010562527A CN102006297A CN 102006297 A CN102006297 A CN 102006297A CN 2010105625275 A CN2010105625275 A CN 2010105625275A CN 201010562527 A CN201010562527 A CN 201010562527A CN 102006297 A CN102006297 A CN 102006297A
- Authority
- CN
- China
- Prior art keywords
- decision
- policy
- pdp
- access control
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000015654 memory Effects 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 12
- 238000012217 deletion Methods 0.000 claims description 10
- 230000037430 deletion Effects 0.000 claims description 10
- 230000008859 change Effects 0.000 claims description 8
- 238000012423 maintenance Methods 0.000 claims description 5
- 238000011217 control strategy Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 5
- 239000000306 component Substances 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 238000003860 storage Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 239000004567 concrete Substances 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于两级策略决策的访问控制方法及其***,属于信息安全中的访问控制领域。本方法通过在PEP端部署本地PDP,使得访问请求首先由本地PDP依据本地策略缓存进行决策,若本地PDP无法判定其决策为确定性决策,再由中央PDP依据***策略库最终完成决策。本***包括一策略决策服务器、一属性发布点和若干资源服务器,每一资源服务器上部署一策略执行点PEP和一本地策略决策点PDP,策略决策服务器上部署一中央策略决策点PDP;本发明具有良好的可动态调整的弹性体系架构,充分利用PEP端的计算资源,减轻中央PDP的负担,降低网络传输的开销,以极小的策略更新代价而有效地提高了访问控制的效率。
Description
技术领域
本发明属于信息安全中的访问控制领域,具体涉及一种基于两级策略决策的访问控制方法及其***。
背景技术
访问控制***作为保护资源免受非法访问的一种安全设施,其效率直接影响着整个***的效率。当前大多数访问控制***采用的是ISO/IEC 10181-3中的访问控制架构,即由策略执行点(Policy Enforcement Point,PEP)拦截用户发起的访问请求,然后将访问请求提交至策略决策点(Policy Decision Point,PDP)进行决策,最后由PEP执行PDP的决策。在实际的应用中,PEP与PDP通常是物理分离的,因此PEP与PDP之间的通信信道需要进行保护。在PEP端具有一定计算能力的情况下,如果将请求全部提交至PDP进行决策,不仅没有充分利用整个***的计算资源,对计算资源造成浪费,使得PDP的负担过重,同时也增加了通信传输的开销,最终导致整个访问控制***的效率较低。
针对这一问题,目前已有一些组织提出了通用的解决方案。IBM公司提出的基于TvioliAccess Manager的方案(TAM方案)中,一个访问控制***中有多个PDP,这些PDP部署在不同的服务器上。但这些PDP在逻辑上是集中的,即这些PDP使用相同的策略。对任意一个请求,每一个PDP所作出的决策都是一致的,从用户的角度来看,整个访问控制***只有一个PDP。TAM方案通过负载的均衡,有效率地利用了***的计算资源,减轻集中式架构中单一PDP的负担,提高了整个***的效率。但是在TAM方案中,由于每一个PDP直接将***的策略库复制到本地使用,因此,在***的策略库更新时,每一个PDP需要同时更新本地的策略,保持本地策略库与***策略库的一致性,更新的代价较大。
London大学的Jason Crampton等人提出的SAAM(Secondary and ApproximateAuthorization Model)模型中,引入了权限重复使用的概念(Authorization Recycling),使得PEP端也具有了一定的决策功能。在SAAM模型中,PEP对每一次的访问控制请求和对应的由PDP所做出的决策进行缓存。当PEP拦截到新的访问请求时,首先在本地缓存依据请求的内容检索是否有匹配项,若检索到了匹配的项,则直接执行缓存中该请求所对应的决策,而不需要将请求再提交至PDP。但是在SAAM模型中,PEP端并不具有完全的决策功能,其本质目的在于当PDP出现故障无法正常工作时,短时间内提供不完全的决策能力,在尽量不影响用户使用的情况下为PDP从故障中恢复提供时间。因此SAAM在PEP中通过对缓存中的数据项设立过期时间(往往很短),而不考虑PDP端策略库更新对PEP中缓存数据的影响。由于在SAAM模型中,PEP进行决策时所依据的不是访问控制策略,因此决策逻辑与PDP不同,这就造成了对于不同的访问控制模型,SAAM必须在PEP端实现不同的决策逻辑,这对SAAM的通用性也造成了一定的影响。
发明内容
本发明的目的在于克服现有技术中存在的问题,提供了一种基于两级策略决策的访问控制方法及其***。
本发明吸取了已有解决方案的优点,通过采用一种新的决策方法,继承并扩展了传统的访问控制架构,在保证通用性的同时,充分利用了PEP端的计算资源。访问控制***在决策时,首先由PEP端的本地PDP根据本地缓存的策略进行决策,若能够得到确定性的决策,则直接执行决策结果,否则将访问请求提交至中央PDP决策,这样整个访问控制***的计算能力都得到了最大程度的利用。在PEP端计算资源不足时,本地PDP可以将访问请求全部提交至中央PDP,由中央PDP进行决策,兼容了传统的访问控制结构。在中央PDP端的策略库发生变化时,本地PDP不需要将策略库重新复制到本地,而是直接从本地缓存中删除那些发生变化的策略,当再次使用到这些策略时,才会由中央PDP“推”至本地;本发明中,本地PDP与中央PDP都是依据策略进行决策,因此不需要单独实现本地PDP的决策逻辑,保证了本发明的通用性。
具体来说,本发明技术方案包括下列几个方面:
一.两级策略决策方法
1)确定性决策定义
确定性决策假设中央PDP端策略库中的所有访问控制策略为PolicyPDP,部署在PEP端的本地PDP缓存的所有访问控制策略为PolicyPEP,且针对某一访问控制请求Request,依据PolicyPDP做出的决策DecisionPDP与依据PolicyPEP做出的决策DecisionPEP一致,则称DecisionPEP为确定性决策。
2)通用确定性决策判定规则
规则1若PolicyPEP=PolicyPDP,则DecisionPEP为确定性决策;这条规则表达的意思是,若本地PDP缓存了中央PDP的所有策略,那么本地PDP所做出的决策与中央PDP所做的决策肯定是一致的,因此,此时本地PDP所做出的任何决策都是确定性决策;
3)permit-overrides算法下确定性决策判定规则
规则2若DecisionPEP的结果为permit,则DecisionPEP为确定性决策;即在本地PDP未缓存中央PDP的所有策略时,本地PDP根据自己的决策结果来确定该决策是否为确定性决策。在permit-overrides下,若本地PDP的决策结果是permit,那么可以断定中央PDP的决策结果也必然为permit,因此本地PDP可以直接判断出自己的决策肯定是确定性决策。
4)deny-overrides算法下确定性决策判定规则
规则3若DecisionPEP的结果为deny,则DecisionPEP为确定性决策;即在本地PDP未缓存中央PDP的所有策略时,本地PDP根据自己的决策结果来确定该决策是否为确定性决策。在deny-overrides下,若本地PDP的决策结果是deny,那么可以断定中央PDP的决策结果也必然为deny,因此本地PDP可以直接判断出自己的决策肯定是确定性决策。
5)两级策略决策
针对访问控制请求Request,先由本地PDP依据PolicysPEP做出决策DecisionPEP,依据规则1-3,若DecisionPEP为确定性决策,则PEP以DecisionPEP为最终的决策;否则由中央PDP依据PolicyPDP-PolicyPEP做出决策DecisionPDP-PEP(由于本地PDP已经使用了PolicyPEP做了决策,因此中央PDP不需要再使用这部分重复决策,而是使用PolicyPDP中除PolicyPEP之外的策略(即PolicyPDP-PolicyPEP)进行决策,若DecisionPDP-PEP的结果为not-applicable(即没有找到匹配的策略,因此无法做出决策),则PEP以DecisionPEP为最终的决策;否则PEP以DecisionPDP-PEP为最终的决策;
需要注意的是,即使PEP以DecisionPDP-PEP为最终的决策,根据定义,本地PDP做出的决策DecisionPEP仍有可能是确定性决策,只是无法在中央PDP做出决策之前判定。
二.本地策略缓存维护
1)策略缓存更新
针对某一访问控制请求,若本地PDP做出的决策DecisionPEP为最终的决策时,即依据PolicyPEP即可做出正确的决策时,PolicyPEP不需要更新;
针对某一访问控制请求,若中央PDP依照PolicyPDP-PolicyPEP所做出的决策DecisionPDP-PEP为最终的决策时,本地PDP做出的决策DecisionPEP仍然为确定性决策,则PolicyPEP不需要更新;否则,假设中央PDP在PolicyPDP-PolicyPEP)中检索到的针对该访问控制请求所适用的策略集合为则将加入至PolicyPEP中,即
2)策略一致性
当中央PDP端策略库更新时,向本地PDP发送一条更新消息,主动告知本地PDP策略变化的信息,但并不需要将变化的策略发送给本地PDP。即本地PDP只需要知道哪些策略发生了变化,但不需要知道发生了什么变化,本地PDP解析中央PDP发送的策略更新消息后:若更新是由于添加策略而引发,则不对PolicyPEP更新;若更新的过程包含了策略删除或者策略更改的操作,则需要对PolicyPEP进行更新,假设删除的策略集合为更改的策略集合为则将这些发生变动的策略从PolicyPEP中删除,即
3)策略缓存调度
PEP端可能由于受到存储资源或计算资源的限制,无法缓存中央PDP端的策略库中全部的访问控制策略,或在本地缓存过多的策略会加重本地的计算负担,并最终影向策略决策的速度。因此只为本地策略缓存分配有限的存储空间。此时需要对策略缓存按照一定的算法进行调度,以保证本地策略缓存更新的顺利进行。
本发明中的策略缓存调度算法为PolicysPEP中的每一个策略维护一个计数器,当需要更新而缓存空间不足时,将新的缓存策略放入当前对应的计数器值最小的策略所占用的存储空间。
策略缓存调度算法如下所述:
1.针对某一访问控制请求,若DecisionPEP为确定性决策时,则转到步骤2;否则转到步骤3;
2.假设PolicyPEP中对该请求所适用的策略集合为则为中每一条策略所对应的计数器加1,为中的每一条策略所对应的计数器减1,若策略对应的计数器已经为0,则减一操作不执行,即策略对应的计数器最小值为0,此时只是对本地策略缓存中的计数器进行更新,本地策略并没有任何更新,执行完操作后算法结束;
7.选择对应的计数器值最小的策略并删除,若空间仍然不足,转到步骤5,否则转到步骤8;
8.缓存中的每一条策略,并将其对应的计数器值置为1,执行完操作后算法结束。
三.基于两级策略决策的访问控制***Two-Level Decision Based Access Control System(TLDBACS)
TLDBACS***基于两级策略决策方法继承并扩展了传统的访问控制架构,通过在PEP端部署本地PDP来提供一定程度的访问控制决策能力,减轻了中央PDP的负担,从整体上提高了访问控制***的效率。如图1所示,TLDBACS***由PEP、本地PDP和中央PDP构成,PEP和本地PDP部署资源服务器上,拦截用户的访问控制请求并提供初步的决策功能,中央PDP部署在策略决策服务器上,在本地PDP负载较重或不能进行确定性决策时,由中央PDP对访问控制请求进行最终决策。如图2所示,TLDBACS***主要功能部件包括:策略检索部件(Policy Search Component,PSC);策略决策部件(Policy Decision Component,PDC);策略管理部件(Policy Management Component,PMC);策略缓存部件(Policy CacheComponent,PCC);属性检索部件(Attribute Search Component,ASC)。其中本地PDP包含PSC,PDC,PCC和ASC,中央PDP包含ASC,PDC,PMC和PSC。
PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略。访问控制***通常包含了大量的访问控制策略,而针对某一个具体的访问控制请求,并非所有的访问控制策略都适用于该访问控制请求,因此需要由PSC根据访问控制请求的内容在策略库中检索适用的访问控制策略,并提交至PDC决策。在分布式环境下,访问控制策略可能在多个策略存储点存储,每一个策略存储点的存储方式可能又不相同,因此通过PSC能够屏蔽这些差异,以统一的方式向PDC提供访问控制策略。PSC通过与PDC并行能够有效的提高访问控制的效率。本地PDP的PSC所要检索的策略存储点即为本地策略缓存,PSC可以针对此进行优化以提高策略检索的速度。在中央PDP端,由于本地PDP已经依据本地缓存的策略做出了初步的决策,因此中央PDP进行决策时不需要再重复使用本地PDP已经使用的策略,因此中央PDP的PSC只需在除本地PDP所使用的策略之外检索适用的策略;
PDC负责依据访问控制策略对访问控制请求做出决策。当本地PDP无法判定PDC依据策略缓存所做出的决策是否为确定性决策时,需要将请求提交至中央PDP进行最终决策,为了避免中央PDP使用本地PDP缓存的策略进行重复决策,本地PDP需要将缓存的所有策略的标识放入访问控制请求中,并提交至中央PDP,PEP以中央PDP的返回结果为最终的决策结果。在中央PDP端,PDC获取本地PDP提交的请求消息后,依据***策略库中的策略对请求进行决策,并根据本地PDP的决策结果计算出最终的决策结果,若本地PDP的决策不是确定性决策,则将最终的决策结果连同所依据的策略一并返回给本地PDP;
PMC负责维护访问控制***策略库。PMC提供了图形化界面以供访问控制***管理员通过向策略库中添加,修改或者删除策略。PMC同时也提供了策略一致性维护的功能,即当访问控制***管理员修改或删除策略库中的某条策略时,PMC向所有的本地PDP发送所修改或删除的策略的标识,使本地PDP及时更新策略缓存,保证策略缓存中的策略与策略库中的策略的一致,防止由于策略不一致而导致***产生错误的决策。
PCC是***的核心部件,负责本地PDP的策略缓存的维护,直接关系着整个访问控制***的效率和正确性。策略库更新后,PCC根据策略库的更新结果更新本地的策略缓存,保证本地PDP策略缓存与策略库的一致性;当本地PDP的决策不是确定性决策时,PCC根据中央PDP返回的结果更新本地策略缓存,若本地缓存空间不足时,对本地策略缓存中的策略进行调度,保证策略更新的合理性,最大程度地提高***的效率。
ASC负责对决策过程中所需属性信息进行检索收集。访问请求中虽然包含了若干决策过程所需的属性信息,但不能保证其充分满足策略匹配的全部需要,因此需要ASC从属性发布点(属性发布点分别与策略决策服务器、每一资源服务器通过网络连接)检索策略匹配所需的属性。由于策略匹配过程涉及多种类型的属性信息,其特征、来源及发布形式可能多有不同,因此ASC能够兼容处理不同的属性格式,包括X509格式的属性证书、SAML格式的安全断言以及LDAP目录中的属性条目等。
与现有的技术方案相比,本发明的TLDBACS***具有如下优势:
1.高效的访问控制。传统的访问控制***中,所有的策略决策都由中央PDP完成,PEP端只负责拦截用户的访问请求,并将访问请求提交至中央PDP,这使得中央PDP的负担过重,极易成为***的性能瓶颈。在分布式环境下,中央PDP与PEP的部署常常是物理分离的,之问通过网络来交互,在对中央PDP与PEP之间的通信信道加入安全保护机制后,中央PDP对一个请求进行决策时间可能远远小于访问请求与决策传输的时间,因此在PEP端也具有一定的计算能力时,如果将所有的请求都提交至中央PDP进行决策,不仅加重中央PDP和网络传输的负担,也对PEP端的计算资源造成了浪费。TLDBACS***通过采用两级策略决策机制,通过在PEP端部署本地PDP,有效地利用了PEP端的计算资源,最大程度地减轻了中央PDP的负担,降低了网络传输的代价,有效的提高了访问控制的效率;
2.可动态调整的弹性体系架构。TLDBACS***兼容传统的访问控制架构,并且可随时根据***的负载动态调整其体系结构。当PEP端的计算能力较弱时,可以不为其本地PDP分配策略缓存空间,即本地PDP不做任何的决策,所有的访问请求都被提交至中央PDP,此时TLDBACS***即为传统的访问控制架构,即所有的访问请求都由中央PDP决策。当PEP端的计算能力较强时,可以为其本地PDP分配较大的策略缓存空间,在***运行一定时间后,策略缓存中可能包含了策略库中全部的策略,在访问控制***的策略库没有更新的情况下,所有的访问控制请求都可以由部署在PEP端的本地PDP依据缓存的策略在本地完成决策,此时原本在物理上分离的中央PDP与PEP又部署到了一起。当PEP端的计算能力较强,但负载又过重时,本地PDP可以只承担少量的访问请求决策,而将大部分请求提交至中央PDP处理。TLDBACS的弹性体系架构的保证了其能够在较大的范围内适用;
3.较小的策略更新代价。TLDBACS***充分考虑了在分布式环境下策略更新的代价。TLDBACS采用集中式的策略维护,访问控制***管理员只需通过PMC更新策略库,并且不需要考虑本地PDP策略缓存的更新,本地PDP策略缓存更新由PMC通知PPC自动更新,即本地PDP的策略缓存更新对管理员是透明的。策略库更新时,PMC只将修改或删除的策略的标识发送给本地PDP的PPC,传输代价较小;本地PDP对策略缓存的更新只是简单的删除,若本地缓存的策略在策略库中没有更新,则本地PDP不需要执行任何操作,因此对本地PDP来说,由于策略库更新而引起的本地策略缓存更新代价也是较小的。
本发明从技术原理角度分析了访问控制***中的两级策略决策技术。访问控制***可以通过本发明的方法优化***计算资源的利用率,减少***部件之间的通信损耗,降低***策略维护的代价,提高访问控制***决策的速度和效率。
附图说明
图1TLDBACS***结构示意图;
图2TLDBACS***主要功能部件及流程图。
具体实施方式
下面通过实例对本发明做更详细的说明。
如图2所示,假设访问控制***中的PEP和本地PDP被部署在资源服务器上(即首先要在每一资源服务器上部署一PEP和本地PDP,与PEP部署在一起的本地PDP是第一级),中央PDP被部署在策略决策服务器上(即中央PDP是第二级),资源服务器与策略决策服务器物理上是分离的,同时资源服务器具有一定的计算能力;资源服务器与策略决策服务器物理上是分离的,通过网络连接。当用户通过认证后,向资源服务器上存储的受保护的资源发起访问请求时,基于两级策略决策的访问控制***执行流程如下:
1.PEP拦截用户的访问请求后,将访问请求提交至本地PDP进行决策;
2.本地PDP的PDC部件调用PSC部件根据该访问请求获取本地策略缓存中适用的策略。PSC部件将适用的策略以及本地策略缓存中所有的策略标识返回给本PDC部件;
3.本地PDP的PDC部件根据适用的策略调用ASC部件获取在决策过程中所需的属性信息,然后对访问请求进行决策,若能根据决策结果判定该决策为确定性决策,则执行步骤8;否则,执行步骤4;
4.本地PDP的PDC部件将策略缓存中的所有策略标识和检索到的属性信息附加到访问控制请求中,并将访问控制请求连同本地决策结果一并提交至策略决策服务器;
5.策略决策服务器中的中央PDP调用PSC部件在策略库中检索针对该访问控制请求所适用的策略:若访问控制请求中不包含策略的标识,则中央PDP的PSC部件在策略库的全部策略中检索;否则PSC部件只在除访问控制请求中所包含的策略标识所代表的那些策略之外的策略中检索;PSC部件将适用的策略返回给PDC部件;
6.中央PDP的PDC部件根据适用的策略调用ASC部件获取在决策过程中所需的属性信息,然后依据PSC返回的适用策略对该访问请求进行决策,并结合本地PDP的决策结果得到最终的决策;
7.中央PDP做出最终决策后,依据确定性决策定义,若本地PDP的决策为确定性决策,则中央PDP只将最终的决策返回给PEP端的本地PDP(PEP端的本地PDP与中央PDP的交互对于PEP来说是透明的);否则,中央PDP将最终的决策连同所依据的策略一并返回给PEP端的本地PDP;
8.PEP端的本地PDP将最终决策返回给PEP;
9.PEP依据最终的决策结果允许或拒绝用户的访问请求;
10.本地PDP调用PCC部件根据最终的决策结果对本地策略缓存进行更新,若本地策略缓存空间有限,则按照策略缓存调度算法对本地的策略缓存进行更新。访问控制流程结束。
Claims (10)
1.一种基于两级策略决策的访问控制方法,其步骤为:
1)在每一资源服务器上部署一策略执行点PEP和一本地策略决策点PDP;在策略决策服务器上部署一中央策略决策点PDP;
2)PEP将拦截的用户的访问请求,并生成访问控制请求提交至本地策略决策点PDP;
3)本地策略决策点PDP根据该访问控制请求在本地缓存的访问控制策略PolicyPEP中检索适用的策略;
4)本地策略决策点PDP根据适用的策略获取在决策过程中所需的属性信息,然后对该访问控制请求进行决策;若该决策为确定性决策,则本地策略决策点PDP将最终决策返回给PEP执行;否则,执行步骤5);
5)本地策略决策点PDP将所述属性信息附加到访问控制请求中,并将该访问控制请求与本地决策结果提交至所述策略决策服务器;
6)所述中央策略决策点PDP在其访问控制策略库PolicyPDP中检索5)所提交的访问控制请求所适用的策略;
7)所述中央策略决策点PDP根据适用的策略获取在决策过程中所需的属性信息,然后依据检索的适用策略对5)所提交的访问控制请求进行决策,并结合该访问控制请求中的本地决策结果得到最终的决策;
8)若最终的决策与5)所提交的访问控制请求中的本地决策结果一致,则所述中央策略决策点PDP将最终的决策返回给该本地策略决策点PDP;否则,所述中央策略决策点PDP将最终的决策连同所依据的策略一并返回给该本地策略决策点PDP;
9)PEP端的本地策略决策点PDP将最终决策返回给PEP执行;
其中,所述确定性决策为:针对某一访问控制请求,依据PolicyPDP做出的决策DecisionPDP与依据PolicyPEP做出的决策DecisionPEP一致,则称DecisionPEP为确定性决策。
2.如权利要求1所述的方法,其特征在于所述5)中,所述访问控制请求中还包含本地缓存的所有访问控制策略的策略标识。
3.如权利要求2所述的方法,其特征在于所述中央策略决策点PDP只在该访问控制请求中所包含的策略标识所代表的策略之外的策略中检索所适用的策略。
4.如权利要求1所述的方法,其特征在于本地策略决策点PDP将最终的决策返回给PEP执行后,对本地缓存的访问控制策略进行更新。
5.如权利要求4所述的方法,其特征在于对本地缓存的访问控制策略进行更新的方法为:
1)针对某一访问控制请求,若决策DecisionPEP为确定性决策,则执行步骤2),否则执行步骤3);
7.如权利要求6所述的方法,其特征在于所述PolicyPEP为PolicyPDP的部分或全部。
8.一种基于两级策略决策的访问控制***,其特征在于包括一策略决策服务器、一属性发布点和若干资源服务器;所述策略决策服务器与若干所述资源服务器通过网络连接,所述属性发布点分别与所述策略决策服务器、若干所述资源服务器通过网络连接;其中每一所述资源服务器上部署一策略执行点PEP和一本地策略决策点PDP,所述策略决策服务器上部署一中央策略决策点PDP;
所述中央策略决策点PDP包括:
一属性检索部件ASC,ASC负责对决策过程中所需属性信息进行检索收集;
一策略决策部件PDC,PDC负责依据访问控制策略对访问控制请求做出决策;
一策略管理部件PMC,PMC负责维护访问控制***策略库;
一策略检索部件PSC,PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略;
所述本地策略决策点PDP包括:
一策略检索部件PSC,PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略;
一策略决策部件PDC,PDC负责依据访问控制策略对访问控制请求做出决策
一策略缓存部件PCC,PCC负责本地策略决策点PDP的策略缓存的维护;
一属性检索部件ASC,ASC负责对决策过程中所需属性信息进行检索收集。
9.如权利要求8所述的***,其特征在于所述资源服务器上设有一计数器,用于记录本地策略决策点缓存的每一访问控制策略的适用次数。
10.如权利要求8或9所述的***,其特征在于所述本地策略决策点PDP缓存的访问控制策略PolicyPEP为所述中央策略决策点PDP中访问控制策略库PolicyPDP的部分或全部策略。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010562527 CN102006297B (zh) | 2010-11-23 | 2010-11-23 | 一种基于两级策略决策的访问控制方法及其*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010562527 CN102006297B (zh) | 2010-11-23 | 2010-11-23 | 一种基于两级策略决策的访问控制方法及其*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102006297A true CN102006297A (zh) | 2011-04-06 |
CN102006297B CN102006297B (zh) | 2013-04-10 |
Family
ID=43813368
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010562527 Expired - Fee Related CN102006297B (zh) | 2010-11-23 | 2010-11-23 | 一种基于两级策略决策的访问控制方法及其*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102006297B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105320608A (zh) * | 2014-08-01 | 2016-02-10 | Arm有限公司 | 用于控制存储器设备处理访问请求的存储器控制器和方法 |
CN105610809A (zh) * | 2015-12-23 | 2016-05-25 | 北京奇虎科技有限公司 | 网络准入控制的方法、装置及*** |
CN106034112A (zh) * | 2015-03-12 | 2016-10-19 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
CN106534174A (zh) * | 2016-12-07 | 2017-03-22 | 北京奇虎科技有限公司 | 一种敏感数据的云防护方法、装置及*** |
CN107306398A (zh) * | 2016-04-18 | 2017-10-31 | 电信科学技术研究院 | 分布式授权管理方法及装置 |
CN109995738A (zh) * | 2018-01-02 | 2019-07-09 | ***通信有限公司研究院 | 一种访问控制方法、网关及云端服务器 |
CN114124429A (zh) * | 2021-08-23 | 2022-03-01 | 阿里巴巴新加坡控股有限公司 | 数据处理方法和装置、电子设备及计算机可读存储介质 |
US20230344837A1 (en) * | 2022-04-25 | 2023-10-26 | Intuit Inc. | Client cache complete control protocol for cloud security |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070006282A1 (en) * | 2005-06-30 | 2007-01-04 | David Durham | Techniques for authenticated posture reporting and associated enforcement of network access |
CN101398771A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种基于构件的分布式***访问控制方法及访问控制*** |
CN101655892A (zh) * | 2009-09-22 | 2010-02-24 | 成都市华为赛门铁克科技有限公司 | 一种移动终端和访问控制方法 |
WO2010079144A2 (en) * | 2009-01-09 | 2010-07-15 | Nec Europe Ltd. | A method for access control within a network and a network |
CN101783799A (zh) * | 2010-01-13 | 2010-07-21 | 苏州国华科技有限公司 | 一种强制访问控制方法及其*** |
CN101795281A (zh) * | 2010-03-11 | 2010-08-04 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及*** |
-
2010
- 2010-11-23 CN CN 201010562527 patent/CN102006297B/zh not_active Expired - Fee Related
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070006282A1 (en) * | 2005-06-30 | 2007-01-04 | David Durham | Techniques for authenticated posture reporting and associated enforcement of network access |
CN101398771A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种基于构件的分布式***访问控制方法及访问控制*** |
WO2010079144A2 (en) * | 2009-01-09 | 2010-07-15 | Nec Europe Ltd. | A method for access control within a network and a network |
CN101655892A (zh) * | 2009-09-22 | 2010-02-24 | 成都市华为赛门铁克科技有限公司 | 一种移动终端和访问控制方法 |
CN101783799A (zh) * | 2010-01-13 | 2010-07-21 | 苏州国华科技有限公司 | 一种强制访问控制方法及其*** |
CN101795281A (zh) * | 2010-03-11 | 2010-08-04 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及*** |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105320608A (zh) * | 2014-08-01 | 2016-02-10 | Arm有限公司 | 用于控制存储器设备处理访问请求的存储器控制器和方法 |
CN105320608B (zh) * | 2014-08-01 | 2021-01-29 | Arm 有限公司 | 用于控制存储器设备处理访问请求的存储器控制器和方法 |
US11243898B2 (en) | 2014-08-01 | 2022-02-08 | Arm Limited | Memory controller and method for controlling a memory device to process access requests issued by at least one master device |
CN106034112A (zh) * | 2015-03-12 | 2016-10-19 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
CN106034112B (zh) * | 2015-03-12 | 2019-05-10 | 电信科学技术研究院 | 访问控制、策略获取、属性获取方法及相关装置 |
CN105610809A (zh) * | 2015-12-23 | 2016-05-25 | 北京奇虎科技有限公司 | 网络准入控制的方法、装置及*** |
CN107306398A (zh) * | 2016-04-18 | 2017-10-31 | 电信科学技术研究院 | 分布式授权管理方法及装置 |
CN106534174A (zh) * | 2016-12-07 | 2017-03-22 | 北京奇虎科技有限公司 | 一种敏感数据的云防护方法、装置及*** |
CN109995738A (zh) * | 2018-01-02 | 2019-07-09 | ***通信有限公司研究院 | 一种访问控制方法、网关及云端服务器 |
CN114124429A (zh) * | 2021-08-23 | 2022-03-01 | 阿里巴巴新加坡控股有限公司 | 数据处理方法和装置、电子设备及计算机可读存储介质 |
CN114124429B (zh) * | 2021-08-23 | 2024-05-24 | 阿里巴巴创新公司 | 数据处理方法和装置、电子设备及计算机可读存储介质 |
US20230344837A1 (en) * | 2022-04-25 | 2023-10-26 | Intuit Inc. | Client cache complete control protocol for cloud security |
Also Published As
Publication number | Publication date |
---|---|
CN102006297B (zh) | 2013-04-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102006297B (zh) | 一种基于两级策略决策的访问控制方法及其*** | |
US20190097807A1 (en) | Network access control based on distributed ledger | |
US9830333B1 (en) | Deterministic data replication with conflict resolution | |
CN104391930A (zh) | 分布式文件存储装置和方法 | |
CN102236764B (zh) | 用于Android***的抵御桌面信息攻击的方法和监控*** | |
CN103399781B (zh) | 云服务器及其虚拟机管理方法 | |
CN110661842B (zh) | 一种资源的调度管理方法、电子设备和存储介质 | |
CN101183379A (zh) | 用于检索数据的方法和*** | |
CN103618652A (zh) | 一种业务数据的审计和深度分析***及其方法 | |
CN104050276A (zh) | 一种分布式数据库的缓存处理方法及*** | |
CN103368867A (zh) | 高速缓存经网络与辅助站点通信的对象的方法和*** | |
CN102868744A (zh) | 一种实现SaaS与IaaS自动化集成管理的方法 | |
CN105245523A (zh) | 应用于桌面虚拟化场景的存储服务平台及其实现方法 | |
CN106716968A (zh) | 账户管理方法、装置及账户管理*** | |
CN108092936A (zh) | 一种基于插件架构的主机监控*** | |
US8306995B2 (en) | Inter-organizational and intra-organizational repository for operating system images | |
CN103473636A (zh) | 一种收集、分析和分发网络商业信息的***数据组件 | |
CN103036855A (zh) | 一种权限管理的实现设备和方法 | |
US9378064B2 (en) | Orchestration management of information technology | |
EP1817674B1 (en) | Cache for an enterprise software system | |
CN106257424A (zh) | 一种基于kvm云平台的分布式数据库***实现自动伸缩负载均衡的方法 | |
CN110705712A (zh) | 面向第三方社会服务的人工智能基础资源与技术开放平台 | |
US20040260699A1 (en) | Access management and execution | |
CN109947736A (zh) | 实时计算的方法和*** | |
CN109656939B (zh) | 一种缓存更新方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130410 |
|
CF01 | Termination of patent right due to non-payment of annual fee |