背景技術

可以通過確定既定的資源訪問請求是否可以得到準許的策略控制對資源的訪問。在發出資源訪問請求時，參照所述策略對所述請求進行評估。如果基于所述評估確定可允許所述請求，那么準許所請求的訪問；否則拒絕。

隨著計算系統和環境變得更加復雜，掌控對資源的訪問的策略也變得越來越復雜。策略可以確定誰或者什么能夠訪問數量非常多的資源，并且可能取決于復雜的交織纏繞的各種因素。因而，往往難以預測既定策略的效果，而且策略中的差錯（意外地準許對錯誤負責人的訪問，或者拒絕對正當負責人的訪問的前景）的代價非常高。即使對現有的策略的微小變化可能產生在做出策略變化時難以預測的深遠影響。

發明內容

可以在部署策略之前對策略進行測試，從而確定所述策略是否將產生其預期效果。在一個例子中，策略掌控對資源的訪問，并且管理員想要改變所述策略。管理員可以創建新的策略，并且可以使所述新的策略連同現有策略一起受到評估作為測試。在發出資源訪問請求時，既根據現有策略又根據正受到測試的新策略對所述請求進行評估。可以根據現有策略而不是測試策略做出有關是否準許對資源的訪問的實際判斷。然而，可以記錄根據所述測試策略的評估的結果，從而如果所述測試策略實際生效了則確定將準許還是拒絕所述訪問請求。換言之，在試用期內可以針對現實世界的訪問請求對新策略的效果進行測試，在試用期內并未將所述新的策略實際用來控制對資源的訪問。如果收集到足夠的有關測試策略的行為的數據，并且如果數據指示所述策略將如預期地表現，那么可以采用新的策略替代現有策略。在采用新的策略替代現有策略時，可以根據新的策略做出未來的訪問判斷。

在既根據現有策略又根據測試策略對訪問請求進行評估時，可以通過各種方式記錄所得到的評估。在一個例子中，可以記錄每一請求。在另一個例子中，記錄使測試策略產生了不同于現有策略的結果的每一請求。對這種記錄方案的一種變型是記錄一定百分比的評估，或者記錄所述評估直到收集到某一具體數量的數據為止。可以將所述日志報告給管理員，該管理員可以采用所述日志判斷是否采用所述測試策略替代現有策略。或者，如果測試策略和現有策略之間的行為差異超過了某一極限（或者保持在該極限內），那么可以自動對所述測試策略做出變化。

提供這一發明內容從而以簡化的形式介紹原理的選擇，在下文的具體實施方式中將對其做進一步描述。這一發明內容并非旨在標明所要求保護的主題的關鍵特征或基本特征，也并非旨在用于限定所要求保護的主題的范圍。

附圖說明

圖1是可以對策略進行測試的示范性過程的流程圖。

圖2是示范性記錄過程的流程圖。

圖3是授權策略用于掌控對資源的訪問的示范性方案的方框圖。

圖4是可以結合文中描述的主題的實現所使用的示范性部件的方框圖。

具體實施方式

可以根據策略控制對資源的訪問。在發出對訪問資源的請求時，可以做出有關什么策略（一種或多種）適用于所述資源的確定。一旦識別出了可適用的一種或多種策略，就可以針對這些策略對所述請求進行評估。如果所述策略（或者所述策略的邏輯乘或邏輯加組合）允許對所述資源進行訪問，那么可以準許所述訪問請求。否則，可以拒絕所述請求。

早期的訪問控制系統相對簡單，例如，每一文件或其它資源通常標有可以訪問該資源的負責人或群體的名稱。在這樣的系統中，對策略效果的理解相對簡單。例如，如果策略規定“Joe能夠讀/寫這一資源，并且會計組能夠閱讀這一資源”，那么可以相對直接地理解將準許哪些訪問請求以及將拒絕哪些訪問請求。然而，隨著計算環境以及負責人之間的關系變得越來越復雜，掌控資源的訪問策略也變得越來越復雜。在很多情況下，掌控對資源的訪問的策略（或策略的組合）相當地復雜，從而難以預測所述策略在各種各樣的情況下將如何表現。此外，對策略的看似小的變化可能對準許哪些訪問請求以及拒絕哪些訪問請求具有深遠的、無法預知的影響。因而，做出未加測試的策略變化可能存在風險，因為變化的影響難以預測。