本發明提供一種PAP的配置及運行方法，該方法在第一服務端口內配置PAP模塊，為所述PAP模塊配置第一數據庫，配置PAP模塊獲得來自統一身份系統的客體信息數據、提供相應的權限數據和策略數據的定義并存儲于第一數據庫中；配置所述PAP模塊將第一數據庫中的權限數據和策略數據同步給PDP模塊，以使得PDP模塊對應的第二數據庫得以根據第一數據庫的數據進行同步，以及PDP模塊得以根據PEP模塊發來的決策請求和第二數據庫中的數據給出評估結果并反饋給PEP模塊，以使得PEP模塊根據該評估結果決定是否提供對相應客體的訪問。

技術領域

本發明涉及訪問控制方法，特別是一種提高訪問和數據安全性的方法。

背景技術

RBAC(Role Base Access Control)基于角色的訪問控制，是被訪問資源的粗粒度權限控制模式，擁有同一個角色所獲得的權限是相同的。現有靜態的RBAC模式已無法滿足企業的業務需求，同一個角色下無法區分查看的數據，更無法基于訪問者的特征信息進行評估權限與安全，不管在數據和訪問上都存在安全的問題。

ABAC(Attribute Base Access Control)基于屬性的訪問控制，也稱細粒度訪問控制，ABAC是ZTNA(Zero Trust Netware Access)零信任網絡訪問的一部分，是一種針對業務安全提供基于動態策略的控制模式。ABAC越來越受到企業的關注，也得到了市場的認可。

ABAC是由PDP、PEP、PAP、PIP幾個關鍵服務模塊組成，其中：

PDP(Policy Decision Point)策略決策點，其工作原理是決策引擎通過權限數據和策略數據的整合與解析，結合訪問信息進行動態評估，最終返回給PEP請求的評估結果。PDP有自己的數據格式，為通過數據圖形化方式定義并生成的PDP專用的數據格式文本，文本以JSON的方式存在，兼容XACML。

策略決策需要借助外部的數據，數據策略支持多種可配置模式的請求和解析，通過接口配置完成外部數據的獲取，進行適合多種業務模式的處理與轉換，結合處理PDP決策的結果，實現策略訪問控制。

PAP(Policy Administrator Point)決策管理點，是用于給PDP提供權限數據和策略數據的定義，也是動態權限管理中心。

PEP(Policy Enforcement Point)策略執行點，是用于解析請求，根據上下文獲取信息，并生成PDP策略決策的請求格式報文。這里生成的策略數據文本也是一種腳本語言，提供對資源權限數據的引用與處理，預設了對請求數據的邏輯判斷和策略評估，根據PDP返回的決策結果驗證請求的合法性。提取PDP需要的屬性元素并生成報文，可攜帶附加信息，為業務的擴展提供支持，提供報文動態屬性加密選項，保障通訊中的報文安全。

PIP(Policy Information Point)策略信息點，是提供PDP除權限數據以外的信息，譬如用戶信息，一般這類非權限數據信息不會在PAP里定義，而需動態進行裝載。

上述機制中，如何確保PDP能夠高效且安全的處理來自PEP的多種請求是實現整個細粒度控制的關鍵環節，目前尚未有具體的落地方案。

發明內容

本發明目的在于提供一種訪問控制配置方法，用于解決現有的PDP尚無法高效且安全處理PEP請求的技術問題。

為達成上述目的，本發明提出如下技術方案：

PAP的配置方法，

在第一服務端口內配置PAP模塊，為所述PAP模塊配置第一數據庫，配置PAP模塊獲得來自統一身份系統的客體信息數據、提供相應的權限數據和策略數據的定義并存儲于第一數據庫中；

配置所述PAP模塊將第一數據庫中的權限數據和策略數據同步給PDP模塊，以使得