一种基于两级策略决策的访问控制方法及其系统.pdf

摘要
申请专利号：	CN201010562527.5	申请日：	2010.11.23
公开号：	CN102006297A	公开日：	2011.04.06
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20101123\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	中国科学院软件研究所
发明人：	冯登国; 张立武; 王鹏翩
地址：	100190 北京市海淀区中关村南四街4号
优先权：
专利代理机构：	北京君尚知识产权代理事务所(普通合伙) 11200	代理人：	余长江
PDF下载：	PDF下载

内容摘要

本发明公开了一种基于两级策略决策的访问控制方法及其系统，属于信息安全中的访问控制领域。本方法通过在PEP端部署本地PDP，使得访问请求首先由本地PDP依据本地策略缓存进行决策，若本地PDP无法判定其决策为确定性决策，再由中央PDP依据系统策略库最终完成决策。本系统包括一策略决策服务器、一属性发布点和若干资源服务器，每一资源服务器上部署一策略执行点PEP和一本地策略决策点PDP，策略决策服务器上部署一中央策略决策点PDP；本发明具有良好的可动态调整的弹性体系架构，充分利用PEP端的计算资源，减轻中央PDP的负担，降低网络传输的开销，以极小的策略更新代价而有效地提高了访问控制的效率。

权利要求书

1.一种基于两级策略决策的访问控制方法，其步骤为：1)在每一资源服务器上部署一策略执行点PEP和一本地策略决策点PDP；在策略决策服务器上部署一中央策略决策点PDP；2)PEP将拦截的用户的访问请求，并生成访问控制请求提交至本地策略决策点PDP；3)本地策略决策点PDP根据该访问控制请求在本地缓存的访问控制策略Policy_PEP中检索适用的策略；4)本地策略决策点PDP根据适用的策略获取在决策过程中所需的属性信息，然后对该访问控制请求进行决策；若该决策为确定性决策，则本地策略决策点PDP将最终决策返回给PEP执行；否则，执行步骤5)；5)本地策略决策点PDP将所述属性信息附加到访问控制请求中，并将该访问控制请求与本地决策结果提交至所述策略决策服务器；6)所述中央策略决策点PDP在其访问控制策略库Policy_PDP中检索5)所提交的访问控制请求所适用的策略；7)所述中央策略决策点PDP根据适用的策略获取在决策过程中所需的属性信息，然后依据检索的适用策略对5)所提交的访问控制请求进行决策，并结合该访问控制请求中的本地决策结果得到最终的决策；8)若最终的决策与5)所提交的访问控制请求中的本地决策结果一致，则所述中央策略决策点PDP将最终的决策返回给该本地策略决策点PDP；否则，所述中央策略决策点PDP将最终的决策连同所依据的策略一并返回给该本地策略决策点PDP；9)PEP端的本地策略决策点PDP将最终决策返回给PEP执行；其中，所述确定性决策为：针对某一访问控制请求，依据Policy_PDP做出的决策Decision_PDP与依据Policy_PEP做出的决策Decision_PEP一致，则称Decision_PEP为确定性决策。2.如权利要求1所述的方法，其特征在于所述5)中，所述访问控制请求中还包含本地缓存的所有访问控制策略的策略标识。3.如权利要求2所述的方法，其特征在于所述中央策略决策点PDP只在该访问控制请求中所包含的策略标识所代表的策略之外的策略中检索所适用的策略。4.如权利要求1所述的方法，其特征在于本地策略决策点PDP将最终的决策返回给PEP执行后，对本地缓存的访问控制策略进行更新。5.如权利要求4所述的方法，其特征在于对本地缓存的访问控制策略进行更新的方法为：1)针对某一访问控制请求，若决策Decision_PEP为确定性决策，则执行步骤2)，否则执行步骤3)；2)如果Policy_PEP中对该请求所适用的策略集合为则将中每一条策略所对应的计数器加1、将中的每一条策略所对应的计数器减1，若中策略对应的计数器已经为0，则不执行减1操作；3)如果Policy_PDP-Policy_PEP中对该请求所适用的策略集合为且PEP端策略缓存空余空间不足以将中的策略全部缓存，则执行步骤4)；否则缓存中的每一条策略，并将其对应的计数器值置为1；4)将策略中从计数器值最小的策略开始删除，直到能够缓存中的每一条策略，然后缓存中的每一条策略并将其对应的计数器值置为1；否则，则执行步骤5)；其中为Policy_PEP中对该请求所适用的策略；5)缓存中最终影响决策结果的策略集合为若中的全部策略仍然不能被全部缓存，则在中随机删除一些策略，直至中剩余的策略能够被全部缓存，缓存中剩余的策略并将其对应的计数器值置为1。6.如权利要求1或2或3或4或5所述的方法，其特征在于所述中央策略决策点PDP的策略库更新时，发送一更新消息给本地策略决策点PDP；若策略库更新为添加策略，则不对Policy_PEP更新；若策略库更新为策略删除或者策略更改，其中删除的策略集合为或更改的策略集合为则本地策略决策点PDP将该删除或更改的策略从Policy_PEP中删除。7.如权利要求6所述的方法，其特征在于所述Policy_PEP为Policy_PDP的部分或全部。8.一种基于两级策略决策的访问控制系统，其特征在于包括一策略决策服务器、一属性发布点和若干资源服务器；所述策略决策服务器与若干所述资源服务器通过网络连接，所述属性发布点分别与所述策略决策服务器、若干所述资源服务器通过网络连接；其中每一所述资源服务器上部署一策略执行点PEP和一本地策略决策点PDP，所述策略决策服务器上部署一中央策略决策点PDP；所述中央策略决策点PDP包括：一属性检索部件ASC，ASC负责对决策过程中所需属性信息进行检索收集；一策略决策部件PDC，PDC负责依据访问控制策略对访问控制请求做出决策；一策略管理部件PMC，PMC负责维护访问控制系统策略库；一策略检索部件PSC，PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略；所述本地策略决策点PDP包括：一策略检索部件PSC，PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略；一策略决策部件PDC，PDC负责依据访问控制策略对访问控制请求做出决策一策略缓存部件PCC，PCC负责本地策略决策点PDP的策略缓存的维护；一属性检索部件ASC，ASC负责对决策过程中所需属性信息进行检索收集。9.如权利要求8所述的系统，其特征在于所述资源服务器上设有一计数器，用于记录本地策略决策点缓存的每一访问控制策略的适用次数。10.如权利要求8或9所述的系统，其特征在于所述本地策略决策点PDP缓存的访问控制策略Policy_PEP为所述中央策略决策点PDP中访问控制策略库Policy_PDP的部分或全部策略。

说明书

一种基于两级策略决策的访问控制方法及其系统

技术领域

本发明属于信息安全中的访问控制领域，具体涉及一种基于两级策略决策的访问控制方法及其系统。

背景技术

访问控制系统作为保护资源免受非法访问的一种安全设施，其效率直接影响着整个系统的效率。当前大多数访问控制系统采用的是ISO/IEC 10181-3中的访问控制架构，即由策略执行点(Policy Enforcement Point，PEP)拦截用户发起的访问请求，然后将访问请求提交至策略决策点(Policy Decision Point，PDP)进行决策，最后由PEP执行PDP的决策。在实际的应用中，PEP与PDP通常是物理分离的，因此PEP与PDP之间的通信信道需要进行保护。在PEP端具有一定计算能力的情况下，如果将请求全部提交至PDP进行决策，不仅没有充分利用整个系统的计算资源，对计算资源造成浪费，使得PDP的负担过重，同时也增加了通信传输的开销，最终导致整个访问控制系统的效率较低。

针对这一问题，目前已有一些组织提出了通用的解决方案。IBM公司提出的基于TvioliAccess Manager的方案(TAM方案)中，一个访问控制系统中有多个PDP，这些PDP部署在不同的服务器上。但这些PDP在逻辑上是集中的，即这些PDP使用相同的策略。对任意一个请求，每一个PDP所作出的决策都是一致的，从用户的角度来看，整个访问控制系统只有一个PDP。TAM方案通过负载的均衡，有效率地利用了系统的计算资源，减轻集中式架构中单一PDP的负担，提高了整个系统的效率。但是在TAM方案中，由于每一个PDP直接将系统的策略库复制到本地使用，因此，在系统的策略库更新时，每一个PDP需要同时更新本地的策略，保持本地策略库与系统策略库的一致性，更新的代价较大。

London大学的Jason Crampton等人提出的SAAM(Secondary and ApproximateAuthorization Model)模型中，引入了权限重复使用的概念(Authorization Recycling)，使得PEP端也具有了一定的决策功能。在SAAM模型中，PEP对每一次的访问控制请求和对应的由PDP所做出的决策进行缓存。当PEP拦截到新的访问请求时，首先在本地缓存依据请求的内容检索是否有匹配项，若检索到了匹配的项，则直接执行缓存中该请求所对应的决策，而不需要将请求再提交至PDP。但是在SAAM模型中，PEP端并不具有完全的决策功能，其本质目的在于当PDP出现故障无法正常工作时，短时间内提供不完全的决策能力，在尽量不影响用户使用的情况下为PDP从故障中恢复提供时间。因此SAAM在PEP中通过对缓存中的数据项设立过期时间(往往很短)，而不考虑PDP端策略库更新对PEP中缓存数据的影响。由于在SAAM模型中，PEP进行决策时所依据的不是访问控制策略，因此决策逻辑与PDP不同，这就造成了对于不同的访问控制模型，SAAM必须在PEP端实现不同的决策逻辑，这对SAAM的通用性也造成了一定的影响。

发明内容

本发明的目的在于克服现有技术中存在的问题，提供了一种基于两级策略决策的访问控制方法及其系统。

本发明吸取了已有解决方案的优点，通过采用一种新的决策方法，继承并扩展了传统的访问控制架构，在保证通用性的同时，充分利用了PEP端的计算资源。访问控制系统在决策时，首先由PEP端的本地PDP根据本地缓存的策略进行决策，若能够得到确定性的决策，则直接执行决策结果，否则将访问请求提交至中央PDP决策，这样整个访问控制系统的计算能力都得到了最大程度的利用。在PEP端计算资源不足时，本地PDP可以将访问请求全部提交至中央PDP，由中央PDP进行决策，兼容了传统的访问控制结构。在中央PDP端的策略库发生变化时，本地PDP不需要将策略库重新复制到本地，而是直接从本地缓存中删除那些发生变化的策略，当再次使用到这些策略时，才会由中央PDP“推”至本地；本发明中，本地PDP与中央PDP都是依据策略进行决策，因此不需要单独实现本地PDP的决策逻辑，保证了本发明的通用性。

具体来说，本发明技术方案包括下列几个方面：

一.两级策略决策方法

1)确定性决策定义

确定性决策假设中央PDP端策略库中的所有访问控制策略为Policy_PDP，部署在PEP端的本地PDP缓存的所有访问控制策略为Policy_PEP，且针对某一访问控制请求Request，依据Policy_PDP做出的决策Decision_PDP与依据Policy_PEP做出的决策Decision_PEP一致，则称Decision_PEP为确定性决策。

2)通用确定性决策判定规则

规则1若Policy_PEP＝Policy_PDP，则Decision_PEP为确定性决策；这条规则表达的意思是，若本地PDP缓存了中央PDP的所有策略，那么本地PDP所做出的决策与中央PDP所做的决策肯定是一致的，因此，此时本地PDP所做出的任何决策都是确定性决策；

3)permit-overrides算法下确定性决策判定规则

规则2若Decision_PEP的结果为permit，则Decision_PEP为确定性决策；即在本地PDP未缓存中央PDP的所有策略时，本地PDP根据自己的决策结果来确定该决策是否为确定性决策。在permit-overrides下，若本地PDP的决策结果是permit，那么可以断定中央PDP的决策结果也必然为permit，因此本地PDP可以直接判断出自己的决策肯定是确定性决策。

4)deny-overrides算法下确定性决策判定规则

规则3若Decision_PEP的结果为deny，则Decision_PEP为确定性决策；即在本地PDP未缓存中央PDP的所有策略时，本地PDP根据自己的决策结果来确定该决策是否为确定性决策。在deny-overrides下，若本地PDP的决策结果是deny，那么可以断定中央PDP的决策结果也必然为deny，因此本地PDP可以直接判断出自己的决策肯定是确定性决策。

5)两级策略决策

针对访问控制请求Request，先由本地PDP依据Policys_PEP做出决策Decision_PEP，依据规则1-3，若Decision_PEP为确定性决策，则PEP以Decision_PEP为最终的决策；否则由中央PDP依据Policy_PDP-Policy_PEP做出决策Decision_PDP-PEP(由于本地PDP已经使用了Policy_PEP做了决策，因此中央PDP不需要再使用这部分重复决策，而是使用Policy_PDP中除Policy_PEP之外的策略(即Policy_PDP-Policy_PEP)进行决策，若Decision_PDP-PEP的结果为not-applicable(即没有找到匹配的策略，因此无法做出决策)，则PEP以Decision_PEP为最终的决策；否则PEP以Decision_PDP-PEP为最终的决策；

需要注意的是，即使PEP以Decision_PDP-PEP为最终的决策，根据定义，本地PDP做出的决策Decision_PEP仍有可能是确定性决策，只是无法在中央PDP做出决策之前判定。

二.本地策略缓存维护

1)策略缓存更新

针对某一访问控制请求，若本地PDP做出的决策Decision_PEP为最终的决策时，即依据Policy_PEP即可做出正确的决策时，Policy_PEP不需要更新；

针对某一访问控制请求，若中央PDP依照Policy_PDP-Policy_PEP所做出的决策Decision_PDP-PEP为最终的决策时，本地PDP做出的决策Decision_PEP仍然为确定性决策，则Policy_PEP不需要更新；否则，假设中央PDP在Policy_PDP-Policy_PEP)中检索到的针对该访问控制请求所适用的策略集合为则将加入至Policy_PEP中，即

2)策略一致性

当中央PDP端策略库更新时，向本地PDP发送一条更新消息，主动告知本地PDP策略变化的信息，但并不需要将变化的策略发送给本地PDP。即本地PDP只需要知道哪些策略发生了变化，但不需要知道发生了什么变化，本地PDP解析中央PDP发送的策略更新消息后：若更新是由于添加策略而引发，则不对Policy_PEP更新；若更新的过程包含了策略删除或者策略更改的操作，则需要对Policy_PEP进行更新，假设删除的策略集合为更改的策略集合为则将这些发生变动的策略从Policy_PEP中删除，即

3)策略缓存调度

PEP端可能由于受到存储资源或计算资源的限制，无法缓存中央PDP端的策略库中全部的访问控制策略，或在本地缓存过多的策略会加重本地的计算负担，并最终影向策略决策的速度。因此只为本地策略缓存分配有限的存储空间。此时需要对策略缓存按照一定的算法进行调度，以保证本地策略缓存更新的顺利进行。

本发明中的策略缓存调度算法为Policys_PEP中的每一个策略维护一个计数器，当需要更新而缓存空间不足时，将新的缓存策略放入当前对应的计数器值最小的策略所占用的存储空间。

策略缓存调度算法如下所述：

1.针对某一访问控制请求，若Decision_PEP为确定性决策时，则转到步骤2；否则转到步骤3；

2.假设Policy_PEP中对该请求所适用的策略集合为则为中每一条策略所对应的计数器加1，为中的每一条策略所对应的计数器减1，若策略对应的计数器已经为0，则减一操作不执行，即策略对应的计数器最小值为0，此时只是对本地策略缓存中的计数器进行更新，本地策略并没有任何更新，执行完操作后算法结束；

3.假设Policy_PDP-Policy_PEP中对该请求所适用的策略集合为若PEP端策略缓存空余空间不足，无法将中的策略全部缓存，则转到步骤4，否则转到步骤8；

4.假设Policy_PEP中对该请求所适用的策略为则先在策略缓存中删除中的每一条策略：若缓存空余空间仍然不足，则转到步骤5；否则转到步骤8；

5.若Policy_PEP为空，即策略缓存中没有任何策略，已经超出了PEP端策略缓存空间的容量，则转到步骤6；否则转到步骤7；

6.假设中最终影响决策结果的策略集合为若由的全部策略仍然不能被全部缓存，则在中随机删除一些策略，直至中剩余的策略能够被全部缓存，然后令并转到步骤8；

7.选择对应的计数器值最小的策略并删除，若空间仍然不足，转到步骤5，否则转到步骤8；

8.缓存中的每一条策略，并将其对应的计数器值置为1，执行完操作后算法结束。

三.基于两级策略决策的访问控制系统Two-Level Decision Based Access Control System(TLDBACS)

TLDBACS系统基于两级策略决策方法继承并扩展了传统的访问控制架构，通过在PEP端部署本地PDP来提供一定程度的访问控制决策能力，减轻了中央PDP的负担，从整体上提高了访问控制系统的效率。如图1所示，TLDBACS系统由PEP、本地PDP和中央PDP构成，PEP和本地PDP部署资源服务器上，拦截用户的访问控制请求并提供初步的决策功能，中央PDP部署在策略决策服务器上，在本地PDP负载较重或不能进行确定性决策时，由中央PDP对访问控制请求进行最终决策。如图2所示，TLDBACS系统主要功能部件包括：策略检索部件(Policy Search Component，PSC)；策略决策部件(Policy Decision Component，PDC)；策略管理部件(Policy Management Component，PMC)；策略缓存部件(Policy CacheComponent，PCC)；属性检索部件(Attribute Search Component，ASC)。其中本地PDP包含PSC，PDC，PCC和ASC，中央PDP包含ASC，PDC，PMC和PSC。

PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略。访问控制系统通常包含了大量的访问控制策略，而针对某一个具体的访问控制请求，并非所有的访问控制策略都适用于该访问控制请求，因此需要由PSC根据访问控制请求的内容在策略库中检索适用的访问控制策略，并提交至PDC决策。在分布式环境下，访问控制策略可能在多个策略存储点存储，每一个策略存储点的存储方式可能又不相同，因此通过PSC能够屏蔽这些差异，以统一的方式向PDC提供访问控制策略。PSC通过与PDC并行能够有效的提高访问控制的效率。本地PDP的PSC所要检索的策略存储点即为本地策略缓存，PSC可以针对此进行优化以提高策略检索的速度。在中央PDP端，由于本地PDP已经依据本地缓存的策略做出了初步的决策，因此中央PDP进行决策时不需要再重复使用本地PDP已经使用的策略，因此中央PDP的PSC只需在除本地PDP所使用的策略之外检索适用的策略；

PDC负责依据访问控制策略对访问控制请求做出决策。当本地PDP无法判定PDC依据策略缓存所做出的决策是否为确定性决策时，需要将请求提交至中央PDP进行最终决策，为了避免中央PDP使用本地PDP缓存的策略进行重复决策，本地PDP需要将缓存的所有策略的标识放入访问控制请求中，并提交至中央PDP，PEP以中央PDP的返回结果为最终的决策结果。在中央PDP端，PDC获取本地PDP提交的请求消息后，依据系统策略库中的策略对请求进行决策，并根据本地PDP的决策结果计算出最终的决策结果，若本地PDP的决策不是确定性决策，则将最终的决策结果连同所依据的策略一并返回给本地PDP；

PMC负责维护访问控制系统策略库。PMC提供了图形化界面以供访问控制系统管理员通过向策略库中添加，修改或者删除策略。PMC同时也提供了策略一致性维护的功能，即当访问控制系统管理员修改或删除策略库中的某条策略时，PMC向所有的本地PDP发送所修改或删除的策略的标识，使本地PDP及时更新策略缓存，保证策略缓存中的策略与策略库中的策略的一致，防止由于策略不一致而导致系统产生错误的决策。

PCC是系统的核心部件，负责本地PDP的策略缓存的维护，直接关系着整个访问控制系统的效率和正确性。策略库更新后，PCC根据策略库的更新结果更新本地的策略缓存，保证本地PDP策略缓存与策略库的一致性；当本地PDP的决策不是确定性决策时，PCC根据中央PDP返回的结果更新本地策略缓存，若本地缓存空间不足时，对本地策略缓存中的策略进行调度，保证策略更新的合理性，最大程度地提高系统的效率。

ASC负责对决策过程中所需属性信息进行检索收集。访问请求中虽然包含了若干决策过程所需的属性信息，但不能保证其充分满足策略匹配的全部需要，因此需要ASC从属性发布点(属性发布点分别与策略决策服务器、每一资源服务器通过网络连接)检索策略匹配所需的属性。由于策略匹配过程涉及多种类型的属性信息，其特征、来源及发布形式可能多有不同，因此ASC能够兼容处理不同的属性格式，包括X509格式的属性证书、SAML格式的安全断言以及LDAP目录中的属性条目等。

与现有的技术方案相比，本发明的TLDBACS系统具有如下优势：

1.高效的访问控制。传统的访问控制系统中，所有的策略决策都由中央PDP完成，PEP端只负责拦截用户的访问请求，并将访问请求提交至中央PDP，这使得中央PDP的负担过重，极易成为系统的性能瓶颈。在分布式环境下，中央PDP与PEP的部署常常是物理分离的，之问通过网络来交互，在对中央PDP与PEP之间的通信信道加入安全保护机制后，中央PDP对一个请求进行决策时间可能远远小于访问请求与决策传输的时间，因此在PEP端也具有一定的计算能力时，如果将所有的请求都提交至中央PDP进行决策，不仅加重中央PDP和网络传输的负担，也对PEP端的计算资源造成了浪费。TLDBACS系统通过采用两级策略决策机制，通过在PEP端部署本地PDP，有效地利用了PEP端的计算资源，最大程度地减轻了中央PDP的负担，降低了网络传输的代价，有效的提高了访问控制的效率；

2.可动态调整的弹性体系架构。TLDBACS系统兼容传统的访问控制架构，并且可随时根据系统的负载动态调整其体系结构。当PEP端的计算能力较弱时，可以不为其本地PDP分配策略缓存空间，即本地PDP不做任何的决策，所有的访问请求都被提交至中央PDP，此时TLDBACS系统即为传统的访问控制架构，即所有的访问请求都由中央PDP决策。当PEP端的计算能力较强时，可以为其本地PDP分配较大的策略缓存空间，在系统运行一定时间后，策略缓存中可能包含了策略库中全部的策略，在访问控制系统的策略库没有更新的情况下，所有的访问控制请求都可以由部署在PEP端的本地PDP依据缓存的策略在本地完成决策，此时原本在物理上分离的中央PDP与PEP又部署到了一起。当PEP端的计算能力较强，但负载又过重时，本地PDP可以只承担少量的访问请求决策，而将大部分请求提交至中央PDP处理。TLDBACS的弹性体系架构的保证了其能够在较大的范围内适用；

3.较小的策略更新代价。TLDBACS系统充分考虑了在分布式环境下策略更新的代价。TLDBACS采用集中式的策略维护，访问控制系统管理员只需通过PMC更新策略库，并且不需要考虑本地PDP策略缓存的更新，本地PDP策略缓存更新由PMC通知PPC自动更新，即本地PDP的策略缓存更新对管理员是透明的。策略库更新时，PMC只将修改或删除的策略的标识发送给本地PDP的PPC，传输代价较小；本地PDP对策略缓存的更新只是简单的删除，若本地缓存的策略在策略库中没有更新，则本地PDP不需要执行任何操作，因此对本地PDP来说，由于策略库更新而引起的本地策略缓存更新代价也是较小的。

本发明从技术原理角度分析了访问控制系统中的两级策略决策技术。访问控制系统可以通过本发明的方法优化系统计算资源的利用率，减少系统部件之间的通信损耗，降低系统策略维护的代价，提高访问控制系统决策的速度和效率。

附图说明

图1TLDBACS系统结构示意图；

图2TLDBACS系统主要功能部件及流程图。

具体实施方式

下面通过实例对本发明做更详细的说明。

如图2所示，假设访问控制系统中的PEP和本地PDP被部署在资源服务器上(即首先要在每一资源服务器上部署一PEP和本地PDP，与PEP部署在一起的本地PDP是第一级)，中央PDP被部署在策略决策服务器上(即中央PDP是第二级)，资源服务器与策略决策服务器物理上是分离的，同时资源服务器具有一定的计算能力；资源服务器与策略决策服务器物理上是分离的，通过网络连接。当用户通过认证后，向资源服务器上存储的受保护的资源发起访问请求时，基于两级策略决策的访问控制系统执行流程如下：

1.PEP拦截用户的访问请求后，将访问请求提交至本地PDP进行决策；

2.本地PDP的PDC部件调用PSC部件根据该访问请求获取本地策略缓存中适用的策略。PSC部件将适用的策略以及本地策略缓存中所有的策略标识返回给本PDC部件；

3.本地PDP的PDC部件根据适用的策略调用ASC部件获取在决策过程中所需的属性信息，然后对访问请求进行决策，若能根据决策结果判定该决策为确定性决策，则执行步骤8；否则，执行步骤4；

4.本地PDP的PDC部件将策略缓存中的所有策略标识和检索到的属性信息附加到访问控制请求中，并将访问控制请求连同本地决策结果一并提交至策略决策服务器；

5.策略决策服务器中的中央PDP调用PSC部件在策略库中检索针对该访问控制请求所适用的策略：若访问控制请求中不包含策略的标识，则中央PDP的PSC部件在策略库的全部策略中检索；否则PSC部件只在除访问控制请求中所包含的策略标识所代表的那些策略之外的策略中检索；PSC部件将适用的策略返回给PDC部件；

6.中央PDP的PDC部件根据适用的策略调用ASC部件获取在决策过程中所需的属性信息，然后依据PSC返回的适用策略对该访问请求进行决策，并结合本地PDP的决策结果得到最终的决策；

7.中央PDP做出最终决策后，依据确定性决策定义，若本地PDP的决策为确定性决策，则中央PDP只将最终的决策返回给PEP端的本地PDP(PEP端的本地PDP与中央PDP的交互对于PEP来说是透明的)；否则，中央PDP将最终的决策连同所依据的策略一并返回给PEP端的本地PDP；

8.PEP端的本地PDP将最终决策返回给PEP；

9.PEP依据最终的决策结果允许或拒绝用户的访问请求；

10.本地PDP调用PCC部件根据最终的决策结果对本地策略缓存进行更新，若本地策略缓存空间有限，则按照策略缓存调度算法对本地的策略缓存进行更新。访问控制流程结束。

资源描述

《一种基于两级策略决策的访问控制方法及其系统.pdf》由会员分享，可在线阅读，更多相关《一种基于两级策略决策的访问控制方法及其系统.pdf（12页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN102006297A43申请公布日20110406CN102006297ACN102006297A21申请号201010562527522申请日20101123H04L29/0620060171申请人中国科学院软件研究所地址100190北京市海淀区中关村南四街4号72发明人冯登国张立武王鹏翩74专利代理机构北京君尚知识产权代理事务所普通合伙11200代理人余长江54发明名称一种基于两级策略决策的访问控制方法及其系统57摘要本发明公开了一种基于两级策略决策的访问控制方法及其系统，属于信息安全中的访问控制领域。本方法通过在PEP端部署本地PDP，使得访问请求首先由本地PDP依据本。

2、地策略缓存进行决策，若本地PDP无法判定其决策为确定性决策，再由中央PDP依据系统策略库最终完成决策。本系统包括一策略决策服务器、一属性发布点和若干资源服务器，每一资源服务器上部署一策略执行点PEP和一本地策略决策点PDP，策略决策服务器上部署一中央策略决策点PDP；本发明具有良好的可动态调整的弹性体系架构，充分利用PEP端的计算资源，减轻中央PDP的负担，降低网络传输的开销，以极小的策略更新代价而有效地提高了访问控制的效率。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书7页附图2页CN102006310A1/2页21一种基于两级策略决策的访问控制方法，其步。

3、骤为1在每一资源服务器上部署一策略执行点PEP和一本地策略决策点PDP；在策略决策服务器上部署一中央策略决策点PDP；2PEP将拦截的用户的访问请求，并生成访问控制请求提交至本地策略决策点PDP；3本地策略决策点PDP根据该访问控制请求在本地缓存的访问控制策略POLICYPEP中检索适用的策略；4本地策略决策点PDP根据适用的策略获取在决策过程中所需的属性信息，然后对该访问控制请求进行决策；若该决策为确定性决策，则本地策略决策点PDP将最终决策返回给PEP执行；否则，执行步骤5；5本地策略决策点PDP将所述属性信息附加到访问控制请求中，并将该访问控制请求与本地决策结果提交至所述策略决策服务器；。

4、6所述中央策略决策点PDP在其访问控制策略库POLICYPDP中检索5所提交的访问控制请求所适用的策略；7所述中央策略决策点PDP根据适用的策略获取在决策过程中所需的属性信息，然后依据检索的适用策略对5所提交的访问控制请求进行决策，并结合该访问控制请求中的本地决策结果得到最终的决策；8若最终的决策与5所提交的访问控制请求中的本地决策结果一致，则所述中央策略决策点PDP将最终的决策返回给该本地策略决策点PDP；否则，所述中央策略决策点PDP将最终的决策连同所依据的策略一并返回给该本地策略决策点PDP；9PEP端的本地策略决策点PDP将最终决策返回给PEP执行；其中，所述确定性决策为针对某一访问控。

5、制请求，依据POLICYPDP做出的决策DECISIONPDP与依据POLICYPEP做出的决策DECISIONPEP一致，则称DECISIONPEP为确定性决策。2如权利要求1所述的方法，其特征在于所述5中，所述访问控制请求中还包含本地缓存的所有访问控制策略的策略标识。3如权利要求2所述的方法，其特征在于所述中央策略决策点PDP只在该访问控制请求中所包含的策略标识所代表的策略之外的策略中检索所适用的策略。4如权利要求1所述的方法，其特征在于本地策略决策点PDP将最终的决策返回给PEP执行后，对本地缓存的访问控制策略进行更新。5如权利要求4所述的方法，其特征在于对本地缓存的访问控制策略进行更新。

6、的方法为1针对某一访问控制请求，若决策DECISIONPEP为确定性决策，则执行步骤2，否则执行步骤3；2如果POLICYPEP中对该请求所适用的策略集合为则将中每一条策略所对应的计数器加1、将中的每一条策略所对应的计数器减1，若中策略对应的计数器已经为0，则不执行减1操作；3如果POLICYPDPPOLICYPEP中对该请求所适用的策略集合为且PEP端策略缓存空余空间不足以将中的策略全部缓存，则执行步骤4；否则缓存中的每一条策略，并将其对应的计数器值置为1；权利要求书CN102006297ACN102006310A2/2页34将策略中从计数器值最小的策略开始删除，直到能够缓存中的每一条策略，。

7、然后缓存中的每一条策略并将其对应的计数器值置为1；否则，则执行步骤5；其中为POLICYPEP中对该请求所适用的策略；5缓存中最终影响决策结果的策略集合为若中的全部策略仍然不能被全部缓存，则在中随机删除一些策略，直至中剩余的策略能够被全部缓存，缓存中剩余的策略并将其对应的计数器值置为1。6如权利要求1或2或3或4或5所述的方法，其特征在于所述中央策略决策点PDP的策略库更新时，发送一更新消息给本地策略决策点PDP；若策略库更新为添加策略，则不对POLICYPEP更新；若策略库更新为策略删除或者策略更改，其中删除的策略集合为或更改的策略集合为则本地策略决策点PDP将该删除或更改的策略从POLIC。

8、YPEP中删除。7如权利要求6所述的方法，其特征在于所述POLICYPEP为POLICYPDP的部分或全部。8一种基于两级策略决策的访问控制系统，其特征在于包括一策略决策服务器、一属性发布点和若干资源服务器；所述策略决策服务器与若干所述资源服务器通过网络连接，所述属性发布点分别与所述策略决策服务器、若干所述资源服务器通过网络连接；其中每一所述资源服务器上部署一策略执行点PEP和一本地策略决策点PDP，所述策略决策服务器上部署一中央策略决策点PDP；所述中央策略决策点PDP包括一属性检索部件ASC，ASC负责对决策过程中所需属性信息进行检索收集；一策略决策部件PDC，PDC负责依据访问控制策略对。

9、访问控制请求做出决策；一策略管理部件PMC，PMC负责维护访问控制系统策略库；一策略检索部件PSC，PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略；所述本地策略决策点PDP包括一策略检索部件PSC，PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略；一策略决策部件PDC，PDC负责依据访问控制策略对访问控制请求做出决策一策略缓存部件PCC，PCC负责本地策略决策点PDP的策略缓存的维护；一属性检索部件ASC，ASC负责对决策过程中所需属性信息进行检索收集。9如权利要求8所述的系统，其特征在于所述资源服务器上设有一计数器，用于记录本地策略决策点缓存的每一访问控制策略的。

10、适用次数。10如权利要求8或9所述的系统，其特征在于所述本地策略决策点PDP缓存的访问控制策略POLICYPEP为所述中央策略决策点PDP中访问控制策略库POLICYPDP的部分或全部策略。权利要求书CN102006297ACN102006310A1/7页4一种基于两级策略决策的访问控制方法及其系统技术领域0001本发明属于信息安全中的访问控制领域，具体涉及一种基于两级策略决策的访问控制方法及其系统。背景技术0002访问控制系统作为保护资源免受非法访问的一种安全设施，其效率直接影响着整个系统的效率。当前大多数访问控制系统采用的是ISO/IEC101813中的访问控制架构，即由策略执行点POLI。

11、CYENFORCEMENTPOINT，PEP拦截用户发起的访问请求，然后将访问请求提交至策略决策点POLICYDECISIONPOINT，PDP进行决策，最后由PEP执行PDP的决策。在实际的应用中，PEP与PDP通常是物理分离的，因此PEP与PDP之间的通信信道需要进行保护。在PEP端具有一定计算能力的情况下，如果将请求全部提交至PDP进行决策，不仅没有充分利用整个系统的计算资源，对计算资源造成浪费，使得PDP的负担过重，同时也增加了通信传输的开销，最终导致整个访问控制系统的效率较低。0003针对这一问题，目前已有一些组织提出了通用的解决方案。IBM公司提出的基于TVIOLIACCESSMA。

12、NAGER的方案TAM方案中，一个访问控制系统中有多个PDP，这些PDP部署在不同的服务器上。但这些PDP在逻辑上是集中的，即这些PDP使用相同的策略。对任意一个请求，每一个PDP所作出的决策都是一致的，从用户的角度来看，整个访问控制系统只有一个PDP。TAM方案通过负载的均衡，有效率地利用了系统的计算资源，减轻集中式架构中单一PDP的负担，提高了整个系统的效率。但是在TAM方案中，由于每一个PDP直接将系统的策略库复制到本地使用，因此，在系统的策略库更新时，每一个PDP需要同时更新本地的策略，保持本地策略库与系统策略库的一致性，更新的代价较大。0004LONDON大学的JASONCRAMPT。

13、ON等人提出的SAAMSECONDARYANDAPPROXIMATEAUTHORIZATIONMODEL模型中，引入了权限重复使用的概念AUTHORIZATIONRECYCLING，使得PEP端也具有了一定的决策功能。在SAAM模型中，PEP对每一次的访问控制请求和对应的由PDP所做出的决策进行缓存。当PEP拦截到新的访问请求时，首先在本地缓存依据请求的内容检索是否有匹配项，若检索到了匹配的项，则直接执行缓存中该请求所对应的决策，而不需要将请求再提交至PDP。但是在SAAM模型中，PEP端并不具有完全的决策功能，其本质目的在于当PDP出现故障无法正常工作时，短时间内提供不完全的决策能力，在尽量。

14、不影响用户使用的情况下为PDP从故障中恢复提供时间。因此SAAM在PEP中通过对缓存中的数据项设立过期时间往往很短，而不考虑PDP端策略库更新对PEP中缓存数据的影响。由于在SAAM模型中，PEP进行决策时所依据的不是访问控制策略，因此决策逻辑与PDP不同，这就造成了对于不同的访问控制模型，SAAM必须在PEP端实现不同的决策逻辑，这对SAAM的通用性也造成了一定的影响。发明内容0005本发明的目的在于克服现有技术中存在的问题，提供了一种基于两级策略决策的说明书CN102006297ACN102006310A2/7页5访问控制方法及其系统。0006本发明吸取了已有解决方案的优点，通过采用一种新。

15、的决策方法，继承并扩展了传统的访问控制架构，在保证通用性的同时，充分利用了PEP端的计算资源。访问控制系统在决策时，首先由PEP端的本地PDP根据本地缓存的策略进行决策，若能够得到确定性的决策，则直接执行决策结果，否则将访问请求提交至中央PDP决策，这样整个访问控制系统的计算能力都得到了最大程度的利用。在PEP端计算资源不足时，本地PDP可以将访问请求全部提交至中央PDP，由中央PDP进行决策，兼容了传统的访问控制结构。在中央PDP端的策略库发生变化时，本地PDP不需要将策略库重新复制到本地，而是直接从本地缓存中删除那些发生变化的策略，当再次使用到这些策略时，才会由中央PDP“推”至本地；本发。

16、明中，本地PDP与中央PDP都是依据策略进行决策，因此不需要单独实现本地PDP的决策逻辑，保证了本发明的通用性。0007具体来说，本发明技术方案包括下列几个方面0008一两级策略决策方法00091确定性决策定义0010确定性决策假设中央PDP端策略库中的所有访问控制策略为POLICYPDP，部署在PEP端的本地PDP缓存的所有访问控制策略为POLICYPEP，且针对某一访问控制请求REQUEST，依据POLICYPDP做出的决策DECISIONPDP与依据POLICYPEP做出的决策DECISIONPEP一致，则称DECISIONPEP为确定性决策。00112通用确定性决策判定规则0012规则。

17、1若POLICYPEPPOLICYPDP，则DECISIONPEP为确定性决策；这条规则表达的意思是，若本地PDP缓存了中央PDP的所有策略，那么本地PDP所做出的决策与中央PDP所做的决策肯定是一致的，因此，此时本地PDP所做出的任何决策都是确定性决策；00133PERMITOVERRIDES算法下确定性决策判定规则0014规则2若DECISIONPEP的结果为PERMIT，则DECISIONPEP为确定性决策；即在本地PDP未缓存中央PDP的所有策略时，本地PDP根据自己的决策结果来确定该决策是否为确定性决策。在PERMITOVERRIDES下，若本地PDP的决策结果是PERMIT，那么可。

18、以断定中央PDP的决策结果也必然为PERMIT，因此本地PDP可以直接判断出自己的决策肯定是确定性决策。00154DENYOVERRIDES算法下确定性决策判定规则0016规则3若DECISIONPEP的结果为DENY，则DECISIONPEP为确定性决策；即在本地PDP未缓存中央PDP的所有策略时，本地PDP根据自己的决策结果来确定该决策是否为确定性决策。在DENYOVERRIDES下，若本地PDP的决策结果是DENY，那么可以断定中央PDP的决策结果也必然为DENY，因此本地PDP可以直接判断出自己的决策肯定是确定性决策。00175两级策略决策0018针对访问控制请求REQUEST，先由本。

19、地PDP依据POLICYSPEP做出决策DECISIONPEP，依据规则13，若DECISIONPEP为确定性决策，则PEP以DECISIONPEP为最终的决策；否则由中央PDP依据POLICYPDPPOLICYPEP做出决策DECISIONPDPPEP由于本地PDP已经使用了POLICYPEP做了决策，因此中央PDP不需要再使用这部分重复决策，而是使用POLICYPDP中除POLICYPEP之外的策略即POLICYPDPPOLICYPEP进行决策，若DECISIONPDPPEP的结果为说明书CN102006297ACN102006310A3/7页6NOTAPPLICABLE即没有找到匹配的策。

20、略，因此无法做出决策，则PEP以DECISIONPEP为最终的决策；否则PEP以DECISIONPDPPEP为最终的决策；0019需要注意的是，即使PEP以DECISIONPDPPEP为最终的决策，根据定义，本地PDP做出的决策DECISIONPEP仍有可能是确定性决策，只是无法在中央PDP做出决策之前判定。0020二本地策略缓存维护00211策略缓存更新0022针对某一访问控制请求，若本地PDP做出的决策DECISIONPEP为最终的决策时，即依据POLICYPEP即可做出正确的决策时，POLICYPEP不需要更新；0023针对某一访问控制请求，若中央PDP依照POLICYPDPPOLICY。

21、PEP所做出的决策DECISIONPDPPEP为最终的决策时，本地PDP做出的决策DECISIONPEP仍然为确定性决策，则POLICYPEP不需要更新；否则，假设中央PDP在POLICYPDPPOLICYPEP中检索到的针对该访问控制请求所适用的策略集合为则将加入至POLICYPEP中，即00242策略一致性0025当中央PDP端策略库更新时，向本地PDP发送一条更新消息，主动告知本地PDP策略变化的信息，但并不需要将变化的策略发送给本地PDP。即本地PDP只需要知道哪些策略发生了变化，但不需要知道发生了什么变化，本地PDP解析中央PDP发送的策略更新消息后若更新是由于添加策略而引发，则不对。

22、POLICYPEP更新；若更新的过程包含了策略删除或者策略更改的操作，则需要对POLICYPEP进行更新，假设删除的策略集合为更改的策略集合为则将这些发生变动的策略从POLICYPEP中删除，即00263策略缓存调度0027PEP端可能由于受到存储资源或计算资源的限制，无法缓存中央PDP端的策略库中全部的访问控制策略，或在本地缓存过多的策略会加重本地的计算负担，并最终影向策略决策的速度。因此只为本地策略缓存分配有限的存储空间。此时需要对策略缓存按照一定的算法进行调度，以保证本地策略缓存更新的顺利进行。0028本发明中的策略缓存调度算法为POLICYSPEP中的每一个策略维护一个计数器，当需要更。

23、新而缓存空间不足时，将新的缓存策略放入当前对应的计数器值最小的策略所占用的存储空间。0029策略缓存调度算法如下所述00301针对某一访问控制请求，若DECISIONPEP为确定性决策时，则转到步骤2；否则转到步骤3；00312假设POLICYPEP中对该请求所适用的策略集合为则为中每一条策略所对应的计数器加1，为中的每一条策略所对应的计数器减1，若策略对应的计数器已经为0，则减一操作不执行，即策略对应的计数器最小值为0，此时只是对本地策略缓存中的计数器进行更新，本地策略并没有任何更新，执行完操作后算法结束；00323假设POLICYPDPPOLICYPEP中对该请求所适用的策略集合为若PEP。

24、说明书CN102006297ACN102006310A4/7页7端策略缓存空余空间不足，无法将中的策略全部缓存，则转到步骤4，否则转到步骤8；00334假设POLICYPEP中对该请求所适用的策略为则先在策略缓存中删除中的每一条策略若缓存空余空间仍然不足，则转到步骤5；否则转到步骤8；00345若POLICYPEP为空，即策略缓存中没有任何策略，已经超出了PEP端策略缓存空间的容量，则转到步骤6；否则转到步骤7；00356假设中最终影响决策结果的策略集合为若由的全部策略仍然不能被全部缓存，则在中随机删除一些策略，直至中剩余的策略能够被全部缓存，然后令并转到步骤8；00367选择对应的计数器值最。

25、小的策略并删除，若空间仍然不足，转到步骤5，否则转到步骤8；00378缓存中的每一条策略，并将其对应的计数器值置为1，执行完操作后算法结束。0038三基于两级策略决策的访问控制系统TWOLEVELDECISIONBASEDACCESSCONTROLSYSTEMTLDBACS0039TLDBACS系统基于两级策略决策方法继承并扩展了传统的访问控制架构，通过在PEP端部署本地PDP来提供一定程度的访问控制决策能力，减轻了中央PDP的负担，从整体上提高了访问控制系统的效率。如图1所示，TLDBACS系统由PEP、本地PDP和中央PDP构成，PEP和本地PDP部署资源服务器上，拦截用户的访问控制请求并。

26、提供初步的决策功能，中央PDP部署在策略决策服务器上，在本地PDP负载较重或不能进行确定性决策时，由中央PDP对访问控制请求进行最终决策。如图2所示，TLDBACS系统主要功能部件包括策略检索部件POLICYSEARCHCOMPONENT，PSC；策略决策部件POLICYDECISIONCOMPONENT，PDC；策略管理部件POLICYMANAGEMENTCOMPONENT，PMC；策略缓存部件POLICYCACHECOMPONENT，PCC；属性检索部件ATTRIBUTESEARCHCOMPONENT，ASC。其中本地PDP包含PSC，PDC，PCC和ASC，中央PDP包含ASC，PDC，。

27、PMC和PSC。0040PSC负责向PDC提供对某一个访问控制请求所适用的访问控制策略。访问控制系统通常包含了大量的访问控制策略，而针对某一个具体的访问控制请求，并非所有的访问控制策略都适用于该访问控制请求，因此需要由PSC根据访问控制请求的内容在策略库中检索适用的访问控制策略，并提交至PDC决策。在分布式环境下，访问控制策略可能在多个策略存储点存储，每一个策略存储点的存储方式可能又不相同，因此通过PSC能够屏蔽这些差异，以统一的方式向PDC提供访问控制策略。PSC通过与PDC并行能够有效的提高访问控制的效率。本地PDP的PSC所要检索的策略存储点即为本地策略缓存，PSC可以针对此进行优化以提。

28、高策略检索的速度。在中央PDP端，由于本地PDP已经依据本地缓存的策略做出了初步的决策，因此中央PDP进行决策时不需要再重复使用本地PDP已经使用的策略，因此中央PDP的PSC只需在除本地PDP所使用的策略之外检索适用的策略；0041PDC负责依据访问控制策略对访问控制请求做出决策。当本地PDP无法判定PDC说明书CN102006297ACN102006310A5/7页8依据策略缓存所做出的决策是否为确定性决策时，需要将请求提交至中央PDP进行最终决策，为了避免中央PDP使用本地PDP缓存的策略进行重复决策，本地PDP需要将缓存的所有策略的标识放入访问控制请求中，并提交至中央PDP，PEP以中。

29、央PDP的返回结果为最终的决策结果。在中央PDP端，PDC获取本地PDP提交的请求消息后，依据系统策略库中的策略对请求进行决策，并根据本地PDP的决策结果计算出最终的决策结果，若本地PDP的决策不是确定性决策，则将最终的决策结果连同所依据的策略一并返回给本地PDP；0042PMC负责维护访问控制系统策略库。PMC提供了图形化界面以供访问控制系统管理员通过向策略库中添加，修改或者删除策略。PMC同时也提供了策略一致性维护的功能，即当访问控制系统管理员修改或删除策略库中的某条策略时，PMC向所有的本地PDP发送所修改或删除的策略的标识，使本地PDP及时更新策略缓存，保证策略缓存中的策略与策略库中的。

30、策略的一致，防止由于策略不一致而导致系统产生错误的决策。0043PCC是系统的核心部件，负责本地PDP的策略缓存的维护，直接关系着整个访问控制系统的效率和正确性。策略库更新后，PCC根据策略库的更新结果更新本地的策略缓存，保证本地PDP策略缓存与策略库的一致性；当本地PDP的决策不是确定性决策时，PCC根据中央PDP返回的结果更新本地策略缓存，若本地缓存空间不足时，对本地策略缓存中的策略进行调度，保证策略更新的合理性，最大程度地提高系统的效率。0044ASC负责对决策过程中所需属性信息进行检索收集。访问请求中虽然包含了若干决策过程所需的属性信息，但不能保证其充分满足策略匹配的全部需要，因此需要。

31、ASC从属性发布点属性发布点分别与策略决策服务器、每一资源服务器通过网络连接检索策略匹配所需的属性。由于策略匹配过程涉及多种类型的属性信息，其特征、来源及发布形式可能多有不同，因此ASC能够兼容处理不同的属性格式，包括X509格式的属性证书、SAML格式的安全断言以及LDAP目录中的属性条目等。0045与现有的技术方案相比，本发明的TLDBACS系统具有如下优势00461高效的访问控制。传统的访问控制系统中，所有的策略决策都由中央PDP完成，PEP端只负责拦截用户的访问请求，并将访问请求提交至中央PDP，这使得中央PDP的负担过重，极易成为系统的性能瓶颈。在分布式环境下，中央PDP与PEP的部。

32、署常常是物理分离的，之问通过网络来交互，在对中央PDP与PEP之间的通信信道加入安全保护机制后，中央PDP对一个请求进行决策时间可能远远小于访问请求与决策传输的时间，因此在PEP端也具有一定的计算能力时，如果将所有的请求都提交至中央PDP进行决策，不仅加重中央PDP和网络传输的负担，也对PEP端的计算资源造成了浪费。TLDBACS系统通过采用两级策略决策机制，通过在PEP端部署本地PDP，有效地利用了PEP端的计算资源，最大程度地减轻了中央PDP的负担，降低了网络传输的代价，有效的提高了访问控制的效率；00472可动态调整的弹性体系架构。TLDBACS系统兼容传统的访问控制架构，并且可随时根据。

33、系统的负载动态调整其体系结构。当PEP端的计算能力较弱时，可以不为其本地PDP分配策略缓存空间，即本地PDP不做任何的决策，所有的访问请求都被提交至中央PDP，此时TLDBACS系统即为传统的访问控制架构，即所有的访问请求都由中央PDP决策。当PEP端的计算能力较强时，可以为其本地PDP分配较大的策略缓存空间，在系统运行一定时间后，策略缓存中可能包含了策略库中全部的策略，在访问控制系统的策略库没有更新的情况下，所有的访问控制请求都可以由部署在PEP端的本地PDP依据缓存的策略在本地完成说明书CN102006297ACN102006310A6/7页9决策，此时原本在物理上分离的中央PDP与PEP。

34、又部署到了一起。当PEP端的计算能力较强，但负载又过重时，本地PDP可以只承担少量的访问请求决策，而将大部分请求提交至中央PDP处理。TLDBACS的弹性体系架构的保证了其能够在较大的范围内适用；00483较小的策略更新代价。TLDBACS系统充分考虑了在分布式环境下策略更新的代价。TLDBACS采用集中式的策略维护，访问控制系统管理员只需通过PMC更新策略库，并且不需要考虑本地PDP策略缓存的更新，本地PDP策略缓存更新由PMC通知PPC自动更新，即本地PDP的策略缓存更新对管理员是透明的。策略库更新时，PMC只将修改或删除的策略的标识发送给本地PDP的PPC，传输代价较小；本地PDP对策略。

35、缓存的更新只是简单的删除，若本地缓存的策略在策略库中没有更新，则本地PDP不需要执行任何操作，因此对本地PDP来说，由于策略库更新而引起的本地策略缓存更新代价也是较小的。0049本发明从技术原理角度分析了访问控制系统中的两级策略决策技术。访问控制系统可以通过本发明的方法优化系统计算资源的利用率，减少系统部件之间的通信损耗，降低系统策略维护的代价，提高访问控制系统决策的速度和效率。附图说明0050图1TLDBACS系统结构示意图；0051图2TLDBACS系统主要功能部件及流程图。具体实施方式0052下面通过实例对本发明做更详细的说明。0053如图2所示，假设访问控制系统中的PEP和本地PDP被。

36、部署在资源服务器上即首先要在每一资源服务器上部署一PEP和本地PDP，与PEP部署在一起的本地PDP是第一级，中央PDP被部署在策略决策服务器上即中央PDP是第二级，资源服务器与策略决策服务器物理上是分离的，同时资源服务器具有一定的计算能力；资源服务器与策略决策服务器物理上是分离的，通过网络连接。当用户通过认证后，向资源服务器上存储的受保护的资源发起访问请求时，基于两级策略决策的访问控制系统执行流程如下00541PEP拦截用户的访问请求后，将访问请求提交至本地PDP进行决策；00552本地PDP的PDC部件调用PSC部件根据该访问请求获取本地策略缓存中适用的策略。PSC部件将适用的策略以及本地。

37、策略缓存中所有的策略标识返回给本PDC部件；00563本地PDP的PDC部件根据适用的策略调用ASC部件获取在决策过程中所需的属性信息，然后对访问请求进行决策，若能根据决策结果判定该决策为确定性决策，则执行步骤8；否则，执行步骤4；00574本地PDP的PDC部件将策略缓存中的所有策略标识和检索到的属性信息附加到访问控制请求中，并将访问控制请求连同本地决策结果一并提交至策略决策服务器；00585策略决策服务器中的中央PDP调用PSC部件在策略库中检索针对该访问控制请求所适用的策略若访问控制请求中不包含策略的标识，则中央PDP的PSC部件在策略库的全部策略中检索；否则PSC部件只在除访问控制请求。

38、中所包含的策略标识所代表的那些策略之外的策略中检索；PSC部件将适用的策略返回给PDC部件；00596中央PDP的PDC部件根据适用的策略调用ASC部件获取在决策过程中所需的属说明书CN102006297ACN102006310A7/7页10性信息，然后依据PSC返回的适用策略对该访问请求进行决策，并结合本地PDP的决策结果得到最终的决策；00607中央PDP做出最终决策后，依据确定性决策定义，若本地PDP的决策为确定性决策，则中央PDP只将最终的决策返回给PEP端的本地PDPPEP端的本地PDP与中央PDP的交互对于PEP来说是透明的；否则，中央PDP将最终的决策连同所依据的策略一并返回给PEP端的本地PDP；00618PEP端的本地PDP将最终决策返回给PEP；00629PEP依据最终的决策结果允许或拒绝用户的访问请求；006310本地PDP调用PCC部件根据最终的决策结果对本地策略缓存进行更新，若本地策略缓存空间有限，则按照策略缓存调度算法对本地的策略缓存进行更新。访问控制流程结束。说明书CN102006297ACN102006310A1/2页11图1说明书附图CN102006297ACN102006310A2/2页12图2说明书附图CN102006297A。

展开阅读全文