1.一種協(xié)同環(huán)境中訪問控制策略沖突檢測系統(tǒng)，其特征在于包括：訪問控制策略預處理模塊、多域策略集成模塊和策略沖突檢測模塊；

訪問控制策略預處理模塊：將采用XACML描述的兩個域的策略文件，即XACML描述的A域策略文件和XACML描述的B域策略文件中的訪問控制策略進行語法語義解析，在對訪問控制策略進行解析的同時為每條訪問控制策略加入序號，作為所述訪問控制策略唯一的標識，解析后形成訪問控制策略有序集，將所述訪問控制策略有序集送至多域策略集成模塊；所述域為協(xié)同環(huán)境的基本組成單元，即協(xié)同環(huán)境中自主進行訪問控制策略制定及管理的組織；所述訪問控制策略是約束主體對資源操作權限的規(guī)則集；所述主體分為用戶和角色；所述資源包含ftp服務器、web服務器、郵件服務器和文件服務器；所述操作權限包含讀、寫、執(zhí)行及其組合；所述訪問控制策略有序集包含角色繼承策略、直接授權策略和用戶指派策略；所述角色繼承策略是指規(guī)定某角色繼承另一角色的操作權限的訪問控制策略，形式化為五元組(策略名，‘＜’，角色1，角色2，序號)，即角色1繼承了角色2的權限，‘＜’符號代表角色間的繼承關系；所述角色繼承策略又分為本域角色繼承策略和跨越角色映射策略，本域角色繼承策略中的角色1和角色2都屬于本域，跨越角色映射策略中的角色1屬于另一個域(即外域)，角色2屬于本域；所述直接授權策略是指約束角色對資源操作權限的訪問控制策略，形式化為六元組(策略名，約束，角色，資源，操作權限，序號)，約束分為允許、拒絕，角色包含管理員角色及系統(tǒng)定義的其他角色，資源包含ftp服務器、web服務器、郵件服務器和文件服務器，所述操作權限分為讀、寫、執(zhí)行及其組合；所述直接授權策略又分為本域直接授權策略和跨域直接授權策略，本域直接授權策略中的角色和資源都屬于本域，跨域直接授權策略中的角色屬于本域，而資源屬于外域；所述用戶指派策略是指將用戶指派給角色，并擁有角色所有權限的訪問控制策略，形式化為五元組(策略名，指派，用戶，角色，序號)；所述策略名是指策略制定者制定策略時為策略起的名稱，為字符串的形式；所述角色是指可以直接擁有權限的基本單位，分為管理員角色或管理員定義的其他角色；所述用戶是指資源的使用者；所述指派是指角色和用戶之間的指派關系，即將角色所具有的權限分配給用戶，使用戶擁有角色所擁有的權限；所述序號是指策略的唯一編號；

多域策略集成模塊：根據訪問控制策略有序集中的訪問控制策略元素屬性對訪問控制策略預處理模塊得到的訪問控制策略有序集進行篩選，得到與域間互操作有關的訪問控制策略，并結合初始策略本體生成兩個域的局部本體，將所述局部本體通過語義映射，生成訪問控制策略元素實例之間的語義映射對，根據語義映射對將局部本體轉換為全局本體，得到全局訪問控制策略，并將全局訪問控制策略送至策略沖突檢測模塊；所述訪問控制策略元素屬性是指訪問控制策略元素是屬于本域L(Local)還是屬于另外一個域F(Foreign)；所述L是說明此訪問控制策略元素是屬于本域的；所述F說明此訪問控制策略元素是屬于另一個域的，本域只是對它進行了引用；所述初始策略本體是協(xié)同環(huán)境中兩個域已知的共同本體；所述共同本體即對兩個域共享的訪問控制策略模型的明確的形式化規(guī)范說明，只包含訪問控制策略元素的概念間關系；所述訪問控制策略元素包含用戶、角色、資源、讀、寫、執(zhí)行、允許、拒絕、繼承關系、指派關系；所述訪問控制策略元素指所述訪問控制策略元素的抽象描述，將訪問控制策略元素的概念實例化便形成了訪問控制策略元素的實例，即對訪問控制策略元素的具體描述；所述局部本體指每個域所使用的訪問控制策略元素實例不同，各個域各自使用的訪問控制策略元素實例結合上面所述的共同本體，組成了各個域自己的本體，即局部本體，每個域有自己的局部本體；所述全局本體是將各個域使用的訪問控制策略元素實例統(tǒng)一起來，再結合所述共同本體，組成了各個域共有的全局本體；所述全局訪問控制策略是指不存在語義異構問題的域間角色繼承策略；

策略沖突檢測模塊：將訪問控制策略預處理得到的訪問控制策略有序集進行篩選，并結合多域策略集成模塊得到的全局訪問控制策略，進行隱含策略分析，得到協(xié)同環(huán)境中隱含的訪問控制策略，將訪問控制策略有序集、全局訪問控制策略和隱含的訪問控制策略轉換為策略圖的形式，同時將沖突規(guī)則轉換為沖突圖的形式，根據策略圖中由節(jié)點連接的邊與邊之間的關系，得到策略圖中由角色節(jié)點出發(fā)到資源節(jié)點的每條路徑，并將所述每條路徑與沖突圖中的路徑進行匹配，若匹配成功，則存在沖突，并得到沖突的類型和原因，通過反向策略查詢，即根據導致沖突的訪問控制策略的唯一標識——序號，查找其對應的在輸入策略文件中的策略名，此策略名即沖突所在的源策略位置，并生成沖突分析報告顯示給用戶；若匹配不成功，則不存在沖突，并顯示對話框提示用戶；

所述策略圖全稱為訪問控制策略圖，即將訪問控制策略中的用戶、角色和資源作為圖的節(jié)點，將直接授權策略作為角色和資源之間的邊，將角色繼承策略作為角色和角色之間的邊，將用戶指派策略作為用戶和角色之間的邊，由此形成的圖稱之為策略圖；所述沖突規(guī)則為IF-Then的形式，IF語句為沖突規(guī)則的前件，描述了策略沖突發(fā)生所具備的條件，Then語句為沖突規(guī)則的后件，描述了沖突的類型；所述沖突圖是將發(fā)生沖突的訪問控制策略中的用戶、角色和資源作為圖的節(jié)點，將發(fā)生沖突的直接授權策略作為角色和資源之間的邊，將發(fā)生沖突的角色繼承策略作為角色和角色之間的邊，將發(fā)生沖突的用戶指派策略作為用戶和角色之間的邊，由此形成的圖稱之為沖突圖。