访问控制方法、装置及系统

摘要

本发明公开了一种访问控制系统，属于网络通信领域。该系统包括：策略实施点向策略决策点发送决策请求，所述决策请求中的被请求资源信息采用子树过滤表达式描述。策略决策点将上述采用子树过滤表达式描述的被请求资源信息与访问控制策略中采用可扩展标记语言路径XPATH表达式描述的资源信息进行匹配，根据匹配的结果作出决策允许上述被请求资源信息被访问或者拒绝上述被请求资源信息被访问，并将决策返回给策略实施点。策略实施点根据策略决策点返回的决策，允许上述被请求资源信息被访问或者拒绝上述被请求资源信息被访问。本发明解决了现有技术中无法实现对采用子树过滤表达式描述被请求资源的访问请求进行访问控制问题，本发明还公开了访问控制方法和装置。

主权项

一种访问控制方法，其特征在于，所述方法包括：策略决策点接收采用子树过滤表达式描述的被请求资源信息；策略决策点将上述采用子树过滤表达式描述的被请求资源信息与访问控制策略中采用可扩展标记语言路径XPATH表达式描述的资源信息进行匹配，根据匹配的结果作出决策允许上述被请求资源信息被访问或者拒绝上述被请求资源信息被访问；所述策略决策点接收采用子树过滤表达式描述的被请求资源信息，具体为：策略决策点接收策略实施点发送的决策请求，决策请求中携带采用子树过滤表达式描述的被请求资源信息；所述策略决策点将上述采用子树过滤表达式描述的被请求资源信息与访问控制策略中采用可扩展标记语言路径XPATH表达式描述的资源信息进行匹配，根据匹配的结果作出决策允许上述被请求资源信息被访问或者拒绝上述被请求资源信息被访问，具体为：根据访问控制策略中采用XPATH表达式描述的资源信息，得到第一结果集；根据采用子树过滤表达式描述的被请求资源信息，得到第二结果集；比较所述第一结果集和第二结果集，如果完全相同或者所述第二结果集为所述第一结果集的子集，则认为匹配，作出允许所述被请求资源信息被访问的决策，否则，认为不匹配，作出拒绝上述被请求资源信息被访问的决策;或者所述策略决策点接收采用子树过滤表达式描述的被请求资源信息，具体为：所述策略决策点用于接收策略实施点发送的决策请求，决策请求中携带上述被请求资源信息的属性值和采用子树过滤表达式描述的被请求资源信息；所述策略决策点将上述采用子树过滤表达式描述的被请求资源信息与访问控制策略中采用可扩展标记语言路径XPATH表达式描述的资源信息进行匹配，根据匹配的结果作出决策允许上述被请求资源信息被访问或者拒绝上述被请求资源信息被访问，具体为：根据访问控制策略中采用XPATH表达式描述的资源信息，到上述被请求资源信息的属性值中查询，得到第一结果集；根据采用子树过滤表达式描述的被请求资源信息，到上述被请求资源信息的属性值中查询，得到第二结果集；比较所述第一结果集和第二结果集，如果完全相同或者所述第二结果集为所述第一结果集的子集，则认为匹配，作出允许所述被请求资源信息被访问的决策，否则，认为不匹配，作出拒绝上述被请求资源信息被访问的决策。