[发明专利]用于包括PEP和PDP的网络内的接入控制的方法

权利要求书

1.一种用于网络内的接入控制的方法，特别地用于对象对网络资源的接入的控制，其中，PEP(策略执行点)向PDP(策略决定点)发送要评估的接入请求，以及，PDP能够向PEP发送能够包含至少一个职责的应答，其特征在于，使用元语言来规定职责。

2.根据权利要求1所述的方法，其中，所述元语言是通用语言。

3.根据权利要求1或2所述的方法，其中，规定所述职责的参数。

4.根据权利要求3所述的方法，其中，规定所述参数的特定数据类型。

5.根据权利要求1至4之一所述的方法，其中，根据职责规范或根据基于所述元语言的定义，提供对职责之间可能的冲突的检测和/或规定。

6.根据权利要求5所述的方法，其中，以通用方式或者根据将至少一个匹配值指派给每个职责的至少一个参数，提供对职责之间可能的冲突的检测和/或规定。

7.根据权利要求1至6之一所述的方法，其中，根据规范和/或基于所述元语言的定义，提供与PEP和PDP对职责的各自支持有关的协商。

8.根据权利要求7所述的方法，其中，在对职责的各自支持出现失配的情况下，应用至少一个解决方法。

9.根据权利要求7或8所述的方法，其中，在部署PEP和PDP期间协商职责规范。

10.根据权利要求7至9之一所述的方法，其中，在运行时重复协商。

11.根据权利要求7至10之一所述的方法，其中，跳过协商，并对职责规范进行直接/手动交换。

12.根据权利要求7至11之一所述的方法，其中，协商包括3种消息：请求、应答和解决消息。

13.根据权利要求7至12之一所述的方法，其中，协商由PDP或PEP来发起。

14.根据权利要求1至13之一所述的方法，其中，所述元语言或职责规范被实现为XACML标准的扩展或XACML标准中的结合。

15.根据权利要求1至14之一所述的方法，其中，职责包含唯一标识符。

16.根据权利要求15所述的方法，其中，所述唯一标识符是URI以及参数集合，所述参数的数据类型能够通过URI来指定。

17.根据权利要求1至16之一所述的方法，其中，将职责模式和策略模式保持分离。

18.根据权利要求1至16之一所述的方法，其中，对职责模式和策略模式进行组合。

19.根据权利要求1至18之一所述的方法，其中，策略模式与已有的或先前的定义或模式无关。

20.根据权利要求1至19之一所述的方法，其中，优选地，所有职责基于公共的、达成一致的或经过协商的职责规范。

21.根据权利要求20所述的方法，其中，职责规范与策略模式无关。

22.根据权利要求20或21所述的方法，其中，PEP和/或PDP检验来自PDP的响应仅包含职责规范中使用的职责。

23.根据权利要求1至22之一所述的方法，其中，优选地，所规定的职责的关系模型由PEP和/或PDP产生。

24.根据权利要求1至23之一所述的方法，其中，PEP和PDP彼此独立。

25.根据权利要求1至24之一所述的方法，其中，PEP和PDP是在分布式环境中提供的。

26.根据权利要求1至25之一所述的方法，其中，职责规范和/或定义和/或协商是动态的。

27.一种网络，优选地，用于执行根据权利要求1至26中任一项所述的方法，其中，提供了接入控制，特别是对象对网络资源的接入的控制，其中，PEP(策略执行点)向PDP(策略决定点)发送要评估的接入请求，以及，PDP能够向PEP发送能够包含至少一个职责应答，其特征在于，定义元语言来规定职责。