[发明专利]跨通过应用编程接口暴露的信息模型的策略定义方法

说明书

提供了一种用于定义控制对系统访问的策略的方法。所述方法包括：针对信息模型中的多个信息类中的每一个，标识至少一个相应的信息属性；为所述至少一个相应的信息属性中的至少一个，定义相应的谓词过滤函数；基于所述定义的至少一个相应的谓词过滤函数，确定与对应的信息属性相关的至少一个访问规则；基于构建的API和所述确定的至少一个访问规则中的每一个，定义与所述多个信息类中的每一个有关的策略；基于所述定义的策略，为所述信息模型构建应用编程接口(API)。可以通过基于所述定义的策略更新参数来增强所述API。

相关申请的交叉引用

本申请要求于2019年6月25日提交的、序列号为62/866,293的美国临时专利申请的权益，该申请的全文以引用的方式并入本文中。

技术领域

本技术一般涉及用于控制信息访问的方法和系统，更具体地，涉及利用适当的参数扩充应用编程接口规范的方法和系统，以支持用于对信息资源的功能访问和数据访问进行控制的策略。

背景技术

对系统的访问是由策略控制的。在许多传统的系统中，策略通常要求由规则来管理访问决策，这些规则是基于相应参与者的属性、待访问的资源、待执行的动作或功能以及诸如一天中的某个时间等环境因素定义的。

过去，策略是在传统系统的范围内实施的。然而，在实现策略的能力方面存在缺陷，该策略引用了直接适用于该策略的系统之外的系统中的属性。此外，在针对多系统解决访问问题的企业的一致性策略方面，存在另一缺陷。

因此，需要定义和表达在适用系统内以及就该适用系统外部的属性而言具有明确含义的策略。还需要支持与此类策略有关的外部评估、分析和审查。

上述缺陷已通过引入外部授权架构得到解决--例如，体现在可扩展访问控制标记语言(eXtensible Access Control Markup Language，XACML)中。这里，在访问请求被策略决策点根据授权策略进行评估并被策略实施点执行之前，会被来自多个策略信息点的属性所丰富。

传统的外部策略架构在应用于诸如REST等常用的API模式时，在一个重要方面存在缺陷。在很多情况下，API不是对单一资源的请求，而是对资源集合的请求，访问决策不是判断API请求本身是否被允许，而是判断集合中的哪些元素被允许访问。传统的外部策略架构通过义务来处理对集合的访问请求的问题--即，在一系列条件下允许访问，策略执行点必须理解和遵守这些条件。

传统方法在一个重要方面存在缺陷，这可以从比较对读取单个资源的访问请求与对集合内相同资源的访问请求中看出。在第一种情况下，对资源的访问是在策略实施点内通过评估策略确定的。在第二种情况下，对资源的访问是由策略实施点评估义务确定的。义务和策略是在做相同的选择，但在传统方法中，它们被视为两种不同的事物，无法将策略转换为义务，反之亦然。

发明内容

本公开通过一个或多个方面、实施例和/或特定特征或子组件提供了但不限于，用于定义控制对系统访问的策略的各种系统、服务器、设备、方法、介质、程序和平台。根据示例性实施例，该方法包括：针对信息模型内的多个信息类中的每一个，标识至少一个相应的信息属性；为所述至少一个相应的信息属性中的至少一个，定义相应的谓词过滤函数；基于所述定义的至少一个相应的谓词过滤函数，确定与对应的信息属性相关的至少一个访问规则；基于所述确定的至少一个访问规则中的每一个，定义与所述多个信息类中的每一个有关的策略；以及基于所述定义的策略为所述信息模型构建应用编程接口(ApplicationProgram Interface，API)。

所述API允许访问所述多个信息类中的每一个的实例集合。在这方面，该方法还可以包括：针对正确支持策略的API特定谓词，用适当的参数来增强所述API；通过所述API发出至少一个请求以访问实例集合；将谓词过滤函数引入API请求的参数中，然后再传递给系统；评估系统内部的增强API请求，从而执行符合策略的操作。