技術領域

本公開一般涉及分布式計算環境中的訪問控制機制，具體涉及評估用于授權和權限(entilement)處理的基于上下文的策略的在計算上高效的技術。

背景技術

可擴展訪問控制標記語言或XACML是結構化信息標準促進組織(OASIS)管理的用于管理訪問控制策略的工業標準。該工業標準可從OASIS網站上獲得。XACML提供了用于指定訪問控制策略的基于XML的基于上下文的安全語言。當用于訪問控制時，諸如XACML的現有開放標準格式關注于返回單個訪問決定，諸如“允許”或“拒絕”。相比之下，“權限”包括返回一組允許訪問的項(item)的概念。典型地，權限是一組控制規范(通過策略呈現)，其管理身份對信息、應用和系統的訪問，其中用戶是一種這樣的身份。對權限的支持是促進更高效的訪問控制模型的共同要求。

在其中訪問控制請求由包括關于請求本身的屬性的上下文與相關環境組成的、諸如XACML的上下文安全策略中，通常通過從策略中選擇這些屬性的子組用于“索引”和支持來提供權限。然而，此方法受以下限制：僅選擇被索引的屬性可以被返回作為一組權限。例如，如果資源id(資源的唯一標識符)被選擇用于索引，則對允許主體(subject)訪問資源的權限的請求將不返回有意義的結果。

期望允許在不需要顯式地索引某些屬性的情況下使用諸如XACML的上下文安全策略語言來評估權限。還期望提供用于執行這種評估的在計算上高效的技術。

發明內容

一種用于使用從根節點延伸的一個或多個葉的加權索引樹來評估具有一組屬性的基于上下文的(例如XACML)策略的機器實現的方法。樹的每個葉表示一個策略規則。下至葉的深度優先的路徑表示該組屬性中必須存在于對適用的規則的請求中的一個或多個屬性。針對該加權索引樹評估輸入以產生響應。一種類型的輸入是授權請求，在該情況下，響應是授權決定(例如，允許或拒絕)。另一類型的輸入是對一組權限的查詢，在該情況下，響應是一組權限。

在另一實施例中，一種用于評估安全策略的裝置包括處理器和保存計算機指令的計算機存儲器，當該計算機指令被該處理器執行時，執行用于評估基于上下文的策略的方法，該策略具有一組屬性。該方法通過識別(從策略中)一組屬性值的相對頻率開始。該組屬性值接著被排序，并且對該組經排序的屬性值中的每個分配標識符。優選地，該標識符是數值標識符(諸如唯一的整數)。使用所分配的標識符，接著產生搜索樹。該搜索樹的每個葉定義一個規則，并且下至葉的深度優先的路徑表示該組屬性中必須存在于對可使用的規則的請求中的一個或多個屬性。然后針對該搜索樹評估請求(諸如授權決定請求、權限查詢等)。搜索樹的結構使得策略評估在計算上高效。另外，當請求是權限查詢時，該方法使得能夠在不需要顯式地索引某些屬性的情況下使用基于上下文的安全策略評估權限。

根據另一方面，提供了一種用于產生在評估基于上下文的安全策略中使用的加權索引樹的計算機程序產品。該計算機程序產品保存計算機程序指令，當該計算機程序指令被數據處理系統執行時，執行樹產生方法。該方法包括以下步驟：對策略進行正規化；在該策略中識別一組屬性值的出現頻率，對該組屬性值排序，對所排序的屬性值中的每個分配唯一的標識符；使用該唯一標識符產生正規化的規則組，該正規化的規則組中的每個規則具有與其關聯的鍵；以及使用該鍵構建加權索引樹。

上文已經勾勒了本發明的某些更相關的特征。這些特征應被認為僅是說明性的。通過以不同的方式或通過修改本發明來應用所公開的本發明，可以獲得許多其它有益的效果，如下文將描述的。

附圖說明

為了對本發明及其優點有更完整的理解，現在參照與附圖一起進行的以下描述，其中：

圖1描繪了可以實施說明性實施例的示例方面的分布式數據處理環境的示例框圖；

圖2是可以實施說明性實施例的示例方面的數據處理系統的示例框圖；

圖3是用于促進這里所描述的技術的策略評估管理器的高層組件的框圖；

圖4是示出加權索引樹的產生以及該樹如何用于評估基于上下文的安全策略的處理流程圖；

圖5是表示策略表的表；

圖6是示出如何計算圖5的策略表中所示的策略屬性的出現頻率的表；

圖7是示出如何對出現頻率排序、以及如何對已從圖5的策略表中獲得的經排序的策略屬性分配數值標識符的表；

圖8是示出圖7中所分配的數值標識符如何被用于產生一組鍵(key)的表；

圖9是對應于圖8的表中所定義的該組規則以及所關聯的鍵的加權索引樹；

圖10是包括具有通配符屬性的規則的另一策略表；

圖11是針對圖10的表的出現頻率的表；