[发明专利]访问控制方法、装置及系统

说明书

本申请提供了一种访问控制方法、装置及系统，所述方法包括：根据多个策略信息，确定映射关系信息，每个策略信息用于指示至少一个参数组对应的访问策略，所述映射关系信息用于指示每个参数对应的访问策略；当接收到包括多个目标参数的第一访问请求时，根据所述映射关系信息，确定目标访问策略，所述目标访问策略是与每个目标参数对应的访问策略；根据所述目标访问策略，对所述第一访问请求进行访问控制。本申请访问控制过程中不需通过远程接口多次调用属性信息，从而提高了访问控制的效率。

技术领域

本申请涉及信息安全中的访问控制领域，特别涉及一种访问控制方法、装置及系统。

背景技术

访问控制是网络管理中不可缺少的安全机制，通常用于通过预先定义的访问控制策略来控制用户对某些信息项，如服务器、目录、文件等网络资源的访问。随着大数据、云计算以及物联网等新兴技术的快速发展，企业应用大集成，应用边界逐渐消失，传统的基于角色的访问控制(Role-Based Access Control，RBAC)已经不在满足使用的需求，基于属性的访问控制(Attribute-Based Access Control，ABAC)作为新一代的访问控制技术应运而生。

ABAC技术的基本原理是：根据用户的属性，资源的属性，动态变化的环境变量以及使用这些属性的访问控制规则，决定是否同意访问控制请求。图1示出了现有的ABAC技术的基本构架，请求方向策略执行点(Policy Enforcement Point，PEP)发起访问资源请求，策略执行点基于所述访问资源请求，建立访问控制请求，并且将该访问控制请求发送给策略决策点(Policy Decision Point，PDP)，策略决策点根据所述访问控制请求从策略获取点选取对应的访问策略，并且从策略信息点获取决策过程中所需的属性信息，之后进行决策，并且将决策结果反馈给策略执行点。在该过程中，策略决策点需要多次调用远程接口从远端的策略信息点获取所需的属性信息，由此造成决策效率低下。

发明内容

本申请提供一种访问控制方法、装置及系统，访问控制过程中不需要多次调用远程接口获取相关的属性信息，能够大大提高决策的效率。

第一方面，提供了一种访问控制方法，包括：

根据多个策略信息，确定映射关系信息，每个策略信息用于指示至少一个参数组对应的访问策略，每个参数组包括至少一个参数，所述映射关系信息用于指示每个参数对应的访问策略，其中，第一参数对应的第一访问策略是所述第一参数所属于的参数组对应的访问策略；

当接收到包括多个目标参数的第一访问请求时，根据所述映射关系信息，确定目标访问策略，所述目标访问策略是与每个目标参数对应的访问策略；

根据所述目标访问策略，对所述第一访问请求进行访问控制。

这里，多个策略信息可以是策略库内全部的策略信息，对所述第一访问请求进行访问控制可以包括对该第一访问请求进行决策，例如，通过该访问请求，或者拒绝该访问请求。还可以包括有约束条件的通过该访问请求，例如允许查看某资源，但是不允许下载该资源。

本申请实施例提供的技术方案，根据提前确定好的映射关系信息以及访问请求中的目标参数，能够确定访问请求的目标访问策略，继而能够根据该目标访问策略，对该访问请求进行访问控制，访问控制过程中不需要通过远程接口多次调用位于远端数据库内的属性信息，由此能够大大提高了访问控制的效率。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：根据所述映射关系信息，确定多个访问策略集合，所述多个访问策略集合与所述多个目标参数一一对应，每个访问策略集合包括所对应的目标参数对应的访问策略；从所述多个访问策略集合的交集中，确定目标访问策略。