(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115834186A(43)申请公布日2023.03.21(21)申请号202211452516.0(22)申请日2022.11.21(71)申请人四川启睿克科技有限公司地址610000四川省成都市中国（四川）自由贸易试验区成都高新区天府四街199号1栋33层(72)发明人唐博陈伏娟(74)专利代理机构成都虹桥专利事务所(普通合伙)51124专利代理师吴中伟(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书5页附图2页(54)发明名称基于远程访问的授权模型建立方法及授权控制方法(57)摘要本发明涉及远程访问的权限控制领域，具体涉及一种基于远程访问的授权模型建立方法及授权控制方法，提高了对授权粒度控制的精细化程度，以及授权控制的灵活性。本发明授权模型包括目录引用策略索引集与策略子集，所述目录引用策略索引集为目录引用策略索引的集合，所述策略子集为子策略的集合，所述目录引用策略索引与策略子集一一对应；授权模型建立方法包括：设置初始化策略，并激活目录引用策略集作为当前域的执行策略；按照第一规则构建目录引用策略索引集，按照第二规则构建策略子集。本发明适用于远程访问的权限控制。CN115834186ACN115834186A权利要求书1/2页1.基于远程访问的授权模型建立方法，其特征在于，授权模型包括目录引用策略索引集与策略子集，所述目录引用策略索引集为目录引用策略索引的集合，所述策略子集为子策略的集合，所述目录引用策略索引与策略子集一一对应；所述授权模型建立方法包括：设置初始化策略，并激活目录引用策略集作为当前域的执行策略；按照第一规则构建目录引用策略索引集，所述第一规则包括：按照策略生成时间倒序排列目录引用策略索引；执行策略匹配的逻辑顺序与目录引用策略索引物理顺序保持一致；目录引用策略索引target缺省，默认通匹配，即所有类型的请求皆可请求授权；若通过目录引用策略索引匹配到当前策略子集，则直接返回匹配结果，结束本次策略评估；若通过目录引用策略索引未匹配到当前策略子集，则直接匹配下一条策略索引，直至匹配到策略子集返回匹配结果，结束本次策略评估；若目录引用策略索引中对应的所有策略子集均未匹配成功，则直接拒绝，结束本次策略评估；按照第二规则构建策略子集，所述第二规则包括：建立与策略子集一一对应的策略标识，将目前的hash取值扩充为随机序列；策略子集采用的策略组合算法为拒绝除非允许算法，以此保障策略子集给出明确的授权结果：拒绝或允许；根据授权粒度选择性建立策略子集target及索引，若为大颗粒粗粒度的授权，则无需设置target；若为小颗粒细粒度授权，则根据实际应用场景准确记录当前策略索引对象；策略子集target未匹配成功，则不评估当前子策略，回退到目录引用策略索引，对下一个策略子集的子策略进行评估；策略子集target匹配成功，评估当前子策略，返回确切结果：允许或拒绝，结束本次评估；策略子集中的规则组合选取拒绝除非允许算法，规范规则执行逻辑，保障每条规则独立执行，且返回明确的授权结果：授权或允许。2.根据权利要求1所述的基于远程访问的授权模型建立方法，其特征在于，设置初始化策略后还包括将初始化策略作为目录引用策略索引集评估的叶子结点，即当所有目录引用策略索引不匹配时，叶子结点作为目录引用策略索引集匹配流程结束的出口结点。3.根据权利要求1所述的基于远程访问的授权模型建立方法，其特征在于，所述第二规则还包括：通过策略子集无差别性隔离每条子策略，以保障策略执行互不干扰。4.根据权利要求1所述的基于远程访问的授权模型建立方法，其特征在于，所述第二规则还包括：通过策略子集控制授权模型管控的粒度。5.授权控制方法，应用于如权利要求1‑4任意一项所述授权模型建立方法建立的授权模型，其特征在于，包括：基于xacml标准将具体需求应用场景下的访问行为面向属性进行标准化封装；向授权模型发起授权请求，若授权请求符合授权模型中的授权策略，则获取授权；否则拒绝授权请求，所述授权策略包括策略新增、策略修改、策略删除以及策略查询。2CN115834186A权利要求书2/2页6.根据权利要求5所述的授权控制方法，其特征在于，策略新增包括同时更新目录引用策略索引和策略子集，具体包括：将新增策略按照xacml标准转化为对应xml文件，新增策略构建方式与策略子集构建方式一致，设置新增策略的policeId为随机序列；向策略域推送新策略，并将新策略的policeId封装到PolicySetIdReference中，增加并更新策略索引信息。7.根据权利要求6所述的授权控制方法，其特征在于，策略删除包括同时更新目录引用策略索引和策略子集，删除顺序为先删除索引信息，后删除对应的子策略，具体包