(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111606160.7 (22)申请日 2021.12.25 (71)申请人 百安居信息技 术 （上海） 有限公司 地址 200120 上海市浦东 新区银霄路393号 百安居浦东商务大楼 (72)发明人 龚满城　 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/60(2013.01) G06F 21/62(2013.01) (54)发明名称 一种基于策略管理的权限访问控制方法及 系统 (57)摘要 本发明提供一种基于策略管理的权限访问 控制方法及系统。 所述方法包括构建接入控制器 截获用户终端向访问对象发送的访问请求； 通过 所述用户采用的访问认证协议验证所述用户身 份信息； 根据所述用户身份信息获取权限策略规 则并组合生成访问决策信息， 其中， 所述访问决 策信息包括授权决定； 若所述授权决定为通过， 则所述访问请求发送到访问对象， 否则， 返回访 问失败信息。 本发明解决了串联IAM技术频繁地 添加或删除对象导致的无法访问的问题， 防止未 经授权用户进行访问， 在实现更加智能更安全地 保护企业的数字资产的同时降低损失效率和用 户体验。 权利要求书2页 说明书6页 附图2页 CN 114422197 A 2022.04.29 CN 114422197 A 1.一种基于策略管理的权限访问控制方法， 其特 征在于， 包括： 构建接入 控制器截获用户终端向访问对象发送的访问请求； 通过所述用户采用的访问认证协议验证所述用户身份信息； 根据所述用户身份信息获取权限策略规则并组合生成访 问决策信息， 其中， 所述访 问 决策信息包括授权决定； 若所述授权决定为 通过， 则所述访问请求发送到访问对象， 否则， 返回访问失败信息 。 2.根据权利要求1所述的方法， 其特 征在于， 在验证所述用户身份信息时还 包括： 通过计算score分数进行信任指数评估， 对所述score分数预设阈值， 其中， 所述score 分数根据所述用户终端登陆环境， 认证频率， 活动度实时计算所 得： 将所述score存 储于权限上下文， 其中， 所述权限上 下文还存储有环境数据； 比对所述用户score分数与score分数阈值， 若所述用户score分数不小于所述阈值， 则 返回授权通过决定信息， 否则， 请求获取 所述权限策略规则。 3.根据权利要求1或2所述的方法， 其特 征在于， 还 包括： 获取所述用户身份信息、 访问对象、 环境信 息、 访问类型， 其中， 用户身份信息包括用户 手机号、 ID， 访问对象包括应用系统地址， 环 境信息包括IP地址、 用户终端设备信息、 访问时 间， 访问类型包括授权通过、 没有访问权限； 根据所述用户身份信 息、 访问对象、 环境信 息在权限策略数据库进行访问策略查询； 根 据访问策略查询结果 生成适用的访问决策信息 。 4.根据权利要求3所述的方法， 其特 征在于， 还 包括： 将所述用户身份信 息、 访问对象、 环境信 息与所述权限策略数据库中的主体描述符、 对 象描述符、 环境描述符、 访问类型一 一匹配； 根据匹配结果确定N个权限策略规则， 其中， N 为自然数； 将所述权限策略规则进行组合成所述访问策略。 5.根据权利要求 4所述的方法， 其特 征在于， 还 包括： 判断所述权限策略规则在组合时是否存在规则冲突， 若存在冲突， 则构建动态策略冲 突化解器解决所述权限策略规则冲突。 6.根据权利要求5所述的方法， 其特征在于， 所述动态策略冲突化解器解决所述权限策 略规则冲突 步骤包括： 获取所述权限策略规则配置时间； 比对所述权限策略规则配置时间信 息， 将配置时间早的权限策略规则 定义为权限策略 规则。 7.根据权利要求 4所述的方法， 其特 征在于， 还 包括预先构建静态策略冲突检测器： 创建所述权限策略规则时判断是否存在冲突， 若存在冲突， 则提示所述权限策略规则 创建失败， 否则， 提 示所述策略规则创建成功。 8.一种基于策略管理的权限访问控制系统， 其特 征在于， 所述系统包括： 策略执行模块， 用于构建接入控制器截获用户终端向访问对象发送的访问请求并根据 所述访问决策信息做出对应处 理； 认证模块， 用于 评估所述用户信任指数并验证所述用户身份信息； 策略存储数据库模块， 用于存 储并提供权限信息和所述权限策略规则；权　利　要　求　书 1/2 页 2 CN 114422197 A 2策略决策模块， 用于将获取的权限策略规则进行组合并生成访问决策信息 。 9.一种计算机可读存储介质， 其中存储有计算机程序， 其特征在于， 所述计算机程序被 处理器加载执行时， 实现如权利要求1至7中任一所述的基于策略管理的权限访问控制方 法。 10.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器及通信接口； 其中， 所述存储器用于存 储计算机程序； 所述处理器用于加载执行所述计算机程序， 以使所述电子设备执行如权利要求1至7中 任一所述的基于策略管理的权限访问控制方法； 所述通信接口用于实现访问装置与其 他设备之间的通信。权　利　要　求　书 2/2 页 3 CN 114422197 A 3