發(fā)明領(lǐng)域

本文公開的主題涉及對(duì)物理訪問(wèn)控制的靜態(tài)權(quán)限進(jìn)行基于策略的審核，并且涉及一種用于對(duì)物理訪問(wèn)控制的靜態(tài)權(quán)限進(jìn)行基于策略的審核的系統(tǒng)和方法。

相關(guān)技術(shù)說(shuō)明

通常，物理訪問(wèn)控制系統(tǒng)，例如建筑物訪問(wèn)控制系統(tǒng)確保只有授權(quán)用戶(憑證持有人、持卡人)在合適的環(huán)境下才能訪問(wèn)受保護(hù)區(qū)域。例如，物理訪問(wèn)控制系統(tǒng)可以將提供的憑證與存儲(chǔ)的靜態(tài)權(quán)限進(jìn)行比較，以允許或拒絕在給定時(shí)間訪問(wèn)區(qū)域。另外，這種靜態(tài)權(quán)限可以涉及單個(gè)資源(單個(gè)讀取器)或資源分組(某一區(qū)域內(nèi)的一批讀取器)。靜態(tài)權(quán)限還可以涉及訪問(wèn)被允許或拒絕時(shí)的環(huán)境條件(諸如，一周內(nèi)的時(shí)間)。

物理訪問(wèn)控制系統(tǒng)需要管理任務(wù)添加、移除和更新靜態(tài)權(quán)限，以確保物理訪問(wèn)控制系統(tǒng)的適當(dāng)?shù)撵o態(tài)權(quán)限和有效使用。管理任務(wù)通常會(huì)利用手動(dòng)操作，這相當(dāng)費(fèi)時(shí)并且會(huì)引入錯(cuò)誤權(quán)限記錄的風(fēng)險(xiǎn)?；谝?guī)則的策略可以有效地管理會(huì)影響權(quán)限記錄的正確性的動(dòng)態(tài)改變，諸如用戶屬性、組織結(jié)構(gòu)、資源屬性(諸如敏感度等級(jí))等的改變?，F(xiàn)有的使用這類基于規(guī)則的策略的訪問(wèn)控制系統(tǒng)正使用所述策略來(lái)動(dòng)態(tài)處理個(gè)別訪問(wèn)請(qǐng)求，這要求系統(tǒng)能夠?qū)崟r(shí)地運(yùn)行規(guī)則引擎來(lái)處理訪問(wèn)請(qǐng)求。具有動(dòng)態(tài)處理能力的這類系統(tǒng)往往與使用要求可獲得靜態(tài)權(quán)限來(lái)判定訪問(wèn)的軟件和硬件架構(gòu)的現(xiàn)有物理訪問(wèn)控制系統(tǒng)是不兼容的。更換現(xiàn)有的物理訪問(wèn)控制系統(tǒng)的架構(gòu)來(lái)實(shí)現(xiàn)對(duì)基于規(guī)則的策略的動(dòng)態(tài)使用將是昂貴而又不切實(shí)際的。需要能夠?qū)⒒谝?guī)則的策略與現(xiàn)有的訪問(wèn)控制系統(tǒng)一起使用來(lái)使靜態(tài)權(quán)限的管理自動(dòng)化的系統(tǒng)和方法。

技術(shù)實(shí)現(xiàn)要素：

根據(jù)本發(fā)明的一個(gè)實(shí)施方案，用于審核對(duì)至少一個(gè)資源的物理訪問(wèn)的系統(tǒng)包括：靜態(tài)權(quán)限數(shù)據(jù)庫(kù)，所述靜態(tài)權(quán)限數(shù)據(jù)庫(kù)含有標(biāo)識(shí)至少一位憑證持有人對(duì)至少一個(gè)資源的訪問(wèn)權(quán)限的多個(gè)靜態(tài)權(quán)限記錄；策略數(shù)據(jù)庫(kù)，所述策略數(shù)據(jù)庫(kù)含有多個(gè)策略；處理器，所述處理器用于執(zhí)行多個(gè)策略中的至少一個(gè)策略以產(chǎn)生至少一個(gè)策略的執(zhí)行結(jié)果，從而將至少一個(gè)策略的執(zhí)行結(jié)果與多個(gè)靜態(tài)權(quán)限記錄中的至少一個(gè)適當(dāng)?shù)撵o態(tài)權(quán)限記錄進(jìn)行比較；以及調(diào)度器，所述調(diào)度器用于響應(yīng)于偶然事件、調(diào)度或管理員的動(dòng)作中的至少一項(xiàng)而觸發(fā)處理器來(lái)執(zhí)行至少一個(gè)策略并且將所述至少一個(gè)策略的執(zhí)行結(jié)果與至少一個(gè)適當(dāng)?shù)撵o態(tài)權(quán)限記錄進(jìn)行比較。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括多個(gè)策略中的每一個(gè)是一個(gè)或多個(gè)規(guī)則的集合并且每個(gè)規(guī)則包括用戶屬性、資源屬性和環(huán)境屬性中的至少一項(xiàng)，還包括訪問(wèn)決策，所述訪問(wèn)決策判定滿足用戶屬性的對(duì)應(yīng)的用戶是否能夠在滿足環(huán)境屬性的環(huán)境中訪問(wèn)滿足資源屬性的至少一個(gè)資源。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括多個(gè)策略中的每一個(gè)包括沖突解決對(duì)策以判定策略內(nèi)的規(guī)則的規(guī)則優(yōu)先級(jí)。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括違規(guī)數(shù)據(jù)庫(kù)，所述違規(guī)數(shù)據(jù)庫(kù)含有如由處理器所計(jì)算違反策略中的一個(gè)或多個(gè)的多個(gè)靜態(tài)權(quán)限記錄。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括異常數(shù)據(jù)庫(kù)，所述異常數(shù)據(jù)庫(kù)含有免除多個(gè)策略的多個(gè)異常靜態(tài)權(quán)限記錄。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括處理器被配置來(lái)添加新的靜態(tài)權(quán)限記錄或者移除多個(gè)靜態(tài)權(quán)限記錄中的一個(gè)。

根據(jù)本發(fā)明的一個(gè)實(shí)施方案，審核對(duì)至少一個(gè)資源的物理訪問(wèn)的方法包括：在靜態(tài)資源數(shù)據(jù)庫(kù)中提供多個(gè)靜態(tài)權(quán)限記錄，其標(biāo)識(shí)至少一位憑證持有人對(duì)至少一個(gè)資源的訪問(wèn)權(quán)限；在策略數(shù)據(jù)庫(kù)中提供多個(gè)策略；經(jīng)由處理器來(lái)執(zhí)行多個(gè)策略中的至少一個(gè)策略以產(chǎn)生至少一個(gè)策略的執(zhí)行結(jié)果；經(jīng)由處理器來(lái)將至少一個(gè)策略的執(zhí)行結(jié)果與多個(gè)靜態(tài)權(quán)限記錄中的至少一個(gè)適當(dāng)?shù)撵o態(tài)權(quán)限記錄進(jìn)行比較；以及響應(yīng)于偶然事件、經(jīng)由調(diào)度器實(shí)現(xiàn)的調(diào)度或管理員采取的動(dòng)作中的至少一項(xiàng)而觸發(fā)處理器來(lái)執(zhí)行至少一個(gè)策略并且將所述至少一個(gè)策略的執(zhí)行結(jié)果與至少一個(gè)適當(dāng)?shù)撵o態(tài)權(quán)限記錄進(jìn)行比較。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括多個(gè)策略中的每一個(gè)是一個(gè)或多個(gè)規(guī)則的集合并且每個(gè)規(guī)則包括由用戶屬性、資源屬性和環(huán)境屬性組成的組中的至少一項(xiàng)，還包括訪問(wèn)決策，所述訪問(wèn)決策判定滿足用戶屬性的對(duì)應(yīng)的用戶是否能夠在滿足環(huán)境屬性的環(huán)境中訪問(wèn)滿足資源屬性的至少一個(gè)資源。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括經(jīng)由至少一個(gè)沖突解決對(duì)策來(lái)判定多個(gè)策略中的每一個(gè)的策略內(nèi)的規(guī)則的規(guī)則優(yōu)先級(jí)。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括將多個(gè)違規(guī)記錄在違規(guī)數(shù)據(jù)庫(kù)中。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括在異常數(shù)據(jù)庫(kù)中提供免除多個(gè)策略的多個(gè)異常靜態(tài)權(quán)限記錄。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括經(jīng)由處理器來(lái)添加新的靜態(tài)權(quán)限記錄或者移除多個(gè)靜態(tài)權(quán)限記錄中的一個(gè)。

除了上文所述的一個(gè)或多個(gè)特征之外，或者作為替代方案，另外的實(shí)施方案可以包括經(jīng)由圖形用戶界面來(lái)指定多個(gè)策略中的至少一個(gè)。

根據(jù)本發(fā)明的一個(gè)實(shí)施方案，體現(xiàn)在有形計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上的計(jì)算機(jī)程序產(chǎn)品包括：在靜態(tài)資源數(shù)據(jù)庫(kù)中提供多個(gè)靜態(tài)權(quán)限記錄，其標(biāo)識(shí)至少一位憑證持有人對(duì)至少一個(gè)資源的訪問(wèn)權(quán)限；在策略數(shù)據(jù)庫(kù)中提供多個(gè)策略；經(jīng)由處理器來(lái)執(zhí)行多個(gè)策略中的至少一個(gè)策略以產(chǎn)生至少一個(gè)策略的執(zhí)行結(jié)果；經(jīng)由處理器來(lái)將至少一個(gè)策略的執(zhí)行結(jié)果與多個(gè)靜態(tài)權(quán)限記錄中的至少一個(gè)適當(dāng)?shù)撵o態(tài)權(quán)限記錄進(jìn)行比較；以及響應(yīng)于偶然事件或調(diào)度或管理員的動(dòng)作中的至少一項(xiàng)而觸發(fā)處理器來(lái)執(zhí)行至少一個(gè)策略并且將所述至少一個(gè)策略的執(zhí)行結(jié)果與適當(dāng)?shù)撵o態(tài)權(quán)限記錄進(jìn)行比較。

上述實(shí)施方案的技術(shù)功能包括執(zhí)行至少一個(gè)策略；將策略結(jié)果與適當(dāng)?shù)撵o態(tài)權(quán)限記錄進(jìn)行比較；以及調(diào)度對(duì)至少一個(gè)策略的執(zhí)行和對(duì)策略結(jié)果與至少一個(gè)靜態(tài)權(quán)限記錄的比較。

本發(fā)明的其他方面、特征和技術(shù)將從以下結(jié)合附圖進(jìn)行的描述中變得更為顯而易見。

若干附圖的簡(jiǎn)述

在說(shuō)明書結(jié)尾處的權(quán)利要求書中具體指出并明確主張了被視為是本發(fā)明的主題。本發(fā)明的前述和其他特征及優(yōu)點(diǎn)根據(jù)以下結(jié)合附圖進(jìn)行的具體實(shí)施方式將變得顯而易見，其中相同元件在若干附圖中的編號(hào)相同：

圖1是根據(jù)本發(fā)明的實(shí)施方案的物理訪問(wèn)控制系統(tǒng)的示意圖；

圖2示出根據(jù)本發(fā)明的實(shí)施方案的用于與物理訪問(wèn)控制系統(tǒng)一起使用的示例性管理系統(tǒng)的示意圖；并且

圖3是根據(jù)本發(fā)明的實(shí)施方案的對(duì)物理訪問(wèn)控制系統(tǒng)內(nèi)的靜態(tài)權(quán)限進(jìn)行基于策略的管理的方法的流程圖。

具體實(shí)施方式

現(xiàn)參照附圖，圖1示出用于與根據(jù)本發(fā)明的實(shí)施方案的基于策略的管理系統(tǒng)和方法一起使用的示例性物理訪問(wèn)控制系統(tǒng)100的一般示意圖。在實(shí)施方案中，物理訪問(wèn)控制系統(tǒng)100是用來(lái)控制對(duì)資源的訪問(wèn)的物理訪問(wèn)控制系統(tǒng)。物理訪問(wèn)控制系統(tǒng)100包括資源102、訪問(wèn)控制處理器104和存儲(chǔ)庫(kù)106。

物理訪問(wèn)控制系統(tǒng)100的資源102可以包括受讀取器、鎖、門、或其他物理屏障保護(hù)的區(qū)域或資源。在示例性實(shí)施方案中，憑證101，諸如由管理員提供的標(biāo)識(shí)卡用來(lái)與資源102交互。在某些實(shí)施方案中，資源可以是物理的或邏輯的。在某些實(shí)施方案中，多個(gè)資源102被一起分組在某一區(qū)域中的資源集合中。

存儲(chǔ)庫(kù)106含有靜態(tài)權(quán)限記錄，所述靜態(tài)權(quán)限記錄提供有關(guān)特定用戶和特定資源的訪問(wèn)信息。在示例性實(shí)施方案中，靜態(tài)權(quán)限記錄包括有關(guān)環(huán)境訪問(wèn)，諸如當(dāng)天時(shí)間的信息。在某些實(shí)施方案中，靜態(tài)權(quán)限記錄提供對(duì)具有對(duì)應(yīng)的憑證的某一用戶在當(dāng)天某一時(shí)間要訪問(wèn)某一資源或資源組的允許或拒絕判定。如前所述，添加、移除、更新和一般地管理這些靜態(tài)權(quán)限可能是耗時(shí)的并且會(huì)引入誤差。存儲(chǔ)庫(kù)106可以含有多個(gè)數(shù)據(jù)庫(kù)或存儲(chǔ)庫(kù)。

訪問(wèn)控制處理器104可以是響應(yīng)于存儲(chǔ)在存儲(chǔ)介質(zhì)上的程序指令而執(zhí)行操作的通用處理器。訪問(wèn)控制處理器104從資源102接收輸入，并且處理所接收的輸入并基于存儲(chǔ)在存儲(chǔ)庫(kù)106中的記錄而產(chǎn)生允許或拒絕判定。在示例性實(shí)施方案中，訪問(wèn)控制處理器104基于靜態(tài)權(quán)限記錄而提供實(shí)時(shí)或近實(shí)時(shí)判定以允許或拒絕用戶訪問(wèn)。訪問(wèn)控制處理器104通過(guò)檢查系統(tǒng)中是否存儲(chǔ)了將允許憑證在當(dāng)天給定時(shí)間給門解鎖的靜態(tài)權(quán)限來(lái)對(duì)進(jìn)入請(qǐng)求作出響應(yīng)，只有在存儲(chǔ)了這種權(quán)限的情況下才會(huì)準(zhǔn)予訪問(wèn)所述資源。按照慣例，訪問(wèn)控制處理器104是簡(jiǎn)單的處理器，所述簡(jiǎn)單的處理器用來(lái)將由資源102提供的憑證與由存儲(chǔ)庫(kù)106接收的靜態(tài)記錄進(jìn)行比較。有利的是，這類處理器可以包括預(yù)先安裝的遺留系統(tǒng)，從而實(shí)現(xiàn)成本有效的且可靠的操作。與這種系統(tǒng)交互的基于規(guī)則的策略管理系統(tǒng)實(shí)現(xiàn)了對(duì)靜態(tài)權(quán)限的流線化、自動(dòng)化和更穩(wěn)靠的管理，而不會(huì)引入更換利用基本靜態(tài)權(quán)限處理器的遺留訪問(wèn)系統(tǒng)的成本。

雖然公開的實(shí)施方案中示出和描述了特定的物理訪問(wèn)控制系統(tǒng)，但是將了解到，其他配置和/或機(jī)器包括可以在商業(yè)建筑物、車輛和也可能受益于所公開的實(shí)施方案的其他應(yīng)用中操作的其他訪問(wèn)控制系統(tǒng)。

如圖2所示，基于規(guī)則的管理系統(tǒng)200與存儲(chǔ)庫(kù)206交互?；谝?guī)則的管理系統(tǒng)200包括處理器201，所述處理器201可以是計(jì)算機(jī)或服務(wù)器的一部分。處理器201可以是響應(yīng)于存儲(chǔ)在存儲(chǔ)介質(zhì)上的程序指令而執(zhí)行操作的通用處理器。在示例性實(shí)施方案中，存儲(chǔ)庫(kù)206是物理訪問(wèn)控制系統(tǒng)的存儲(chǔ)庫(kù)，所述物理訪問(wèn)控制系統(tǒng)利用靜態(tài)權(quán)限來(lái)相對(duì)于資源或資源組執(zhí)行允許或拒絕判定。管理系統(tǒng)200包括存儲(chǔ)庫(kù)206、調(diào)度器216、管理應(yīng)用程序220、規(guī)則引擎224。管理系統(tǒng)200的部件可以是物理連接或操作性地連接的。

在示例性實(shí)施方案中，存儲(chǔ)庫(kù)206含有訪問(wèn)控制數(shù)據(jù)庫(kù)208、策略數(shù)據(jù)庫(kù)210、異常數(shù)據(jù)庫(kù)212以及違規(guī)數(shù)據(jù)庫(kù)214。在某些實(shí)施方案中，存儲(chǔ)庫(kù)206含有訪問(wèn)控制數(shù)據(jù)庫(kù)208和組的組合，所述組包括但不限于：策略數(shù)據(jù)庫(kù)210、異常數(shù)據(jù)庫(kù)212和違規(guī)數(shù)據(jù)庫(kù)214。

在示例性實(shí)施方案中，訪問(wèn)控制數(shù)據(jù)庫(kù)208包括存儲(chǔ)庫(kù)106的訪問(wèn)控制數(shù)據(jù)庫(kù)中涵蓋的信息。在某些實(shí)施方案中，訪問(wèn)控制數(shù)據(jù)庫(kù)208含有由訪問(wèn)控制系統(tǒng)捕獲的標(biāo)準(zhǔn)數(shù)據(jù)，諸如與用戶、資源、權(quán)限、活動(dòng)日志等有關(guān)的信息。

在示例性實(shí)施方案中，策略數(shù)據(jù)庫(kù)210含有基于規(guī)則的策略來(lái)管理物理訪問(wèn)控制系統(tǒng)的靜態(tài)權(quán)限，諸如物理訪問(wèn)控制存儲(chǔ)庫(kù)106。這類策略將適當(dāng)?shù)脑L問(wèn)權(quán)限描述為邏輯規(guī)則基于用戶、資源和環(huán)境的屬性的結(jié)果，其中資源指代區(qū)域、門、鎖等，并且環(huán)境指代時(shí)間、威脅等級(jí)等。例如，策略可能含有規(guī)則1和2，其中規(guī)則1規(guī)定不是美國(guó)人的用戶應(yīng)不能在任何給定時(shí)間訪問(wèn)標(biāo)示為正實(shí)施出口控制的區(qū)域，而規(guī)則2規(guī)定為工程部門成員的用戶應(yīng)能在工作日的上午7點(diǎn)到下午8點(diǎn)訪問(wèn)標(biāo)示為研究實(shí)驗(yàn)室的區(qū)域。在示例性實(shí)施方案中，多個(gè)策略存儲(chǔ)在存儲(chǔ)庫(kù)中。在某些實(shí)施方案中，策略包括對(duì)沖突解決對(duì)策的指定，所述沖突解決對(duì)策用于在一些規(guī)則提供了有關(guān)允許或拒絕訪問(wèn)的沖突決策的情況下對(duì)特定用戶和權(quán)限判定策略決策。在以上實(shí)例中，規(guī)則1和規(guī)則2將提供與不是美國(guó)人而為工程部門成員的用戶是否能夠訪問(wèn)正實(shí)施出口控制的研究實(shí)驗(yàn)室有關(guān)的沖突決策。如果以上策略包括將涉及出口控制的規(guī)則的優(yōu)先級(jí)設(shè)定成高于一般規(guī)則的沖突解決對(duì)策，那么規(guī)則1的決策效果將駁回規(guī)則2的效果并且最終策略決策將是拒絕訪問(wèn)。

這類基于規(guī)則的策略實(shí)現(xiàn)了對(duì)靜態(tài)權(quán)限的自動(dòng)化審核。通過(guò)應(yīng)用一般動(dòng)態(tài)規(guī)則，而不是手動(dòng)檢查個(gè)別靜態(tài)權(quán)限，可以有效地審核靜態(tài)權(quán)限。例如，通過(guò)應(yīng)用來(lái)自靜態(tài)權(quán)限記錄(其中每個(gè)記錄指示哪些用戶能訪問(wèn)哪些區(qū)域)的數(shù)據(jù)庫(kù)上的先前的實(shí)例的基于規(guī)則的策略，我們可以自動(dòng)地檢測(cè)數(shù)據(jù)庫(kù)中的任何非美國(guó)人是否能訪問(wèn)受出口控制的實(shí)驗(yàn)室或者工程部門的任何美國(guó)人成員是否錯(cuò)過(guò)訪問(wèn)研究實(shí)驗(yàn)室。一旦被檢測(cè)到，相對(duì)于所述策略的那些偏差就會(huì)被自動(dòng)修復(fù)。

在示例性實(shí)施方案中，這些策略通過(guò)以下方式來(lái)評(píng)估或執(zhí)行：由規(guī)則引擎224計(jì)算與所述策略兼容的靜態(tài)權(quán)限和/或?qū)⑺霾呗耘c靜態(tài)權(quán)限記錄進(jìn)行比較和/或在檢測(cè)到策略與數(shù)據(jù)庫(kù)中的相關(guān)靜態(tài)權(quán)限記錄之間存在不兼容性時(shí)出現(xiàn)違規(guī)。

管理應(yīng)用程序220允許執(zhí)行和審核策略數(shù)據(jù)庫(kù)210的基于規(guī)則的策略。管理應(yīng)用程序220出于不同的應(yīng)用特定目的而在組織內(nèi)管理與訪問(wèn)控制數(shù)據(jù)庫(kù)208中的用戶和權(quán)限有關(guān)的信息。管理應(yīng)用程序220允許經(jīng)由與管理員交互，或自動(dòng)使用一組預(yù)先定義的校正動(dòng)作來(lái)解決違規(guī)。在某些實(shí)施方案中，這些校正動(dòng)作包括添加、移除或更新靜態(tài)權(quán)限、持卡人屬性、資源屬性等。在其他實(shí)施方案中，將添加或移除靜態(tài)權(quán)限來(lái)修復(fù)違規(guī)。

在示例性實(shí)施方案中，管理應(yīng)用程序220允許管理員自動(dòng)識(shí)別違反了選定策略的訪問(wèn)權(quán)限并將所述訪問(wèn)權(quán)限登記在違規(guī)存儲(chǔ)庫(kù)214中，并且然后分析和解決策略違規(guī)。在某些實(shí)施方案中，管理應(yīng)用程序220進(jìn)一步在異常存儲(chǔ)庫(kù)212中聲明策略違規(guī)的異常(其還可以包括期滿日)，所述異常之后不再被視為是違規(guī)直到所述異常期滿或被明確注銷。在某些實(shí)施方案中，管理應(yīng)用程序220結(jié)合調(diào)度器216一起連續(xù)地或間歇地監(jiān)測(cè)策略違規(guī)。監(jiān)測(cè)可以是基于預(yù)定調(diào)度(每小時(shí)、每天、每周、...)或基于特定事件觸發(fā)(在持卡人簡(jiǎn)檔更新，規(guī)則更新，資源更新等之后)。在其他實(shí)施方案中，可以由管理應(yīng)用程序220單獨(dú)、調(diào)度器216或通過(guò)任何其他合適的手段或組合來(lái)調(diào)度監(jiān)測(cè)。

在示例性實(shí)施方案中，調(diào)度器216在所需時(shí)間或事件下觸發(fā)管理應(yīng)用程序220?；趯?shí)時(shí)策略的系統(tǒng)需要大量復(fù)雜的處理系統(tǒng)來(lái)提供實(shí)時(shí)判定以允許或拒絕對(duì)資源的訪問(wèn)。有利的是，調(diào)度器216可以觸發(fā)基于規(guī)則的管理系統(tǒng)200來(lái)根據(jù)資源不是那么密集的設(shè)定的調(diào)度來(lái)應(yīng)用基于規(guī)則的策略。應(yīng)用基于規(guī)則的策略還可能會(huì)導(dǎo)致對(duì)運(yùn)行管理應(yīng)用程序的系統(tǒng)管理員的明確動(dòng)作作出響應(yīng)。另外，使用調(diào)度器216允許使用現(xiàn)有的遺留物理訪問(wèn)系統(tǒng)，所述遺留物理訪問(wèn)系統(tǒng)在不要求主要部件改變的情況下利用靜態(tài)權(quán)限來(lái)允許使用基于規(guī)則的策略來(lái)對(duì)訪問(wèn)進(jìn)行實(shí)時(shí)判定。在示例性實(shí)施方案中，管理應(yīng)用程序220在實(shí)時(shí)資源請(qǐng)求下并不評(píng)估和執(zhí)行策略。

在某些實(shí)施方案中，調(diào)度器216可以響應(yīng)于某些事件而觸發(fā)管理應(yīng)用程序220。這類事件可以包括組織變化、用戶的添加、用戶組的添加、用戶組的移除、用戶屬性的改變、資源屬性(諸如敏感度等級(jí))的改變、資源的添加或移除、資源集合的改變等。類似地，通過(guò)在某些時(shí)間觸發(fā)管理應(yīng)用程序220，處理基于規(guī)則的策略所需的資源會(huì)被有效地利用。在某些實(shí)施方案中，調(diào)度器216的功能是由管理員或某些管理員動(dòng)作觸發(fā)的，無(wú)論是手動(dòng)觸發(fā)的還是響應(yīng)于其他管理員輸入而觸發(fā)的。在其他實(shí)施方案中，在出現(xiàn)偶然事件時(shí)，諸如在向資源102(例如，讀卡器)呈現(xiàn)憑證101(例如，鑰匙卡)時(shí)會(huì)發(fā)生管理應(yīng)用程序220的觸發(fā)。

在某些實(shí)施方案中，規(guī)則引擎224用用戶信息和由管理應(yīng)用程序220提供的條件信息來(lái)評(píng)估和執(zhí)行策略。在某些實(shí)施方案中，規(guī)則引擎224的功能被結(jié)合在管理應(yīng)用程序220中，而在其他實(shí)施方案中，規(guī)則引擎224是單獨(dú)的部件，同時(shí)在其他實(shí)施方案中，規(guī)則引擎224以任何合適的方式配置。

在示例性實(shí)施方案中，違規(guī)數(shù)據(jù)庫(kù)214含有對(duì)靜態(tài)權(quán)限不同于預(yù)期結(jié)果的違規(guī)的記錄。在將策略應(yīng)用于特定用戶或用戶組之后，將結(jié)果與相應(yīng)的靜態(tài)權(quán)限中的每一個(gè)進(jìn)行比較以記錄偏差或違規(guī)。在示例性實(shí)施方案中，這類違規(guī)會(huì)在偏差包括高于預(yù)期的權(quán)限或低于預(yù)期的權(quán)限時(shí)出現(xiàn)。在示例性實(shí)施方案中，所得的違規(guī)會(huì)導(dǎo)致靜態(tài)權(quán)限被改變，規(guī)則被改變或異常被授予靜態(tài)權(quán)限。在示例性實(shí)施方案中，違規(guī)存儲(chǔ)庫(kù)或數(shù)據(jù)庫(kù)214含有違規(guī)的列表，包括過(guò)去發(fā)生的或當(dāng)前有效的違規(guī)。對(duì)于每個(gè)違規(guī)，違規(guī)存儲(chǔ)庫(kù)214存儲(chǔ)對(duì)其所違反的特定版本的策略的引用以及其被檢測(cè)到的日期/時(shí)間。

在示例性實(shí)施方案中，異常數(shù)據(jù)庫(kù)212含有對(duì)異常的記錄，所述異常被指定為可免除對(duì)滿足策略的要求，從而允許經(jīng)評(píng)估的異常繼續(xù)違反規(guī)則或策略。在某些實(shí)施方案中，異常還可以與期滿時(shí)間相關(guān)聯(lián)，在此時(shí)間之后，與策略不相符的權(quán)限將被視為違規(guī)。

圖3示出用于使用基于規(guī)則的策略來(lái)管理物理訪問(wèn)控制系統(tǒng)的方法300。在操作302中，例如經(jīng)由圖形用戶界面、直接文本輸入或通過(guò)一些其他手段來(lái)創(chuàng)建多個(gè)潛在策略中的至少一個(gè)策略。在示例性實(shí)施方案中，所述策略以任何合適的方式創(chuàng)建。

在操作304中，經(jīng)由調(diào)度器216的接口來(lái)創(chuàng)建審核調(diào)度。調(diào)度器216可以包括調(diào)度器接口，所述調(diào)度器接口允許用戶定義事件和/或發(fā)起對(duì)靜態(tài)權(quán)限的管理的時(shí)間段。調(diào)度或觸發(fā)事件可以是任何合適的配置，包括但不限于先前描述的方法。如上所述，調(diào)度器216可以被配置來(lái)在資源102處呈現(xiàn)憑證101時(shí)啟動(dòng)管理應(yīng)用程序220。

在操作311中，在靜態(tài)資源數(shù)據(jù)庫(kù)中提供多個(gè)靜態(tài)權(quán)限記錄。在某些實(shí)施方案中，靜態(tài)權(quán)限記錄是來(lái)自現(xiàn)有的管理方案的預(yù)先存在的靜態(tài)權(quán)限記錄或作為當(dāng)前管理方法的結(jié)果而存在，或者其組合。在示例性實(shí)施方案中，訪問(wèn)控制數(shù)據(jù)庫(kù)含有由訪問(wèn)控制系統(tǒng)捕獲的標(biāo)準(zhǔn)數(shù)據(jù)，諸如與用戶、資源、權(quán)限、活動(dòng)日志等有關(guān)的信息。

在操作312中，將多個(gè)違規(guī)記錄在違規(guī)數(shù)據(jù)庫(kù)中。在示例性實(shí)施方案中，違規(guī)數(shù)據(jù)庫(kù)含有違規(guī)的列表，包括過(guò)去發(fā)生的或當(dāng)前有效的違規(guī)。在某些實(shí)施方案中，對(duì)于每個(gè)違規(guī)，違規(guī)存儲(chǔ)庫(kù)存儲(chǔ)對(duì)其所違反的特定版本的策略的引用以及其被檢測(cè)到的日期/時(shí)間。

在操作313中，在策略數(shù)據(jù)庫(kù)中提供多個(gè)策略。在示例性實(shí)施方案中，策略可以是先前記錄的，或者可以使用本文的方法來(lái)記錄。所述策略可以經(jīng)由上述操作302來(lái)記錄。在示例性實(shí)施方案中，策略存儲(chǔ)庫(kù)包括將適當(dāng)?shù)脑L問(wèn)權(quán)限描述為邏輯規(guī)則基于用戶、資源和環(huán)境的屬性的結(jié)果的策略。

在操作314中，響應(yīng)于至少一個(gè)調(diào)度或異常事件或明確的管理動(dòng)作而觸發(fā)處理器201來(lái)執(zhí)行操作?？梢耘卸ㄕ{(diào)度會(huì)利用如前所述的可用資源。在某些實(shí)施方案中，可以使用異常事件來(lái)觸發(fā)審核，諸如組織的改變或新用戶。

在操作316中，記錄多個(gè)異常靜態(tài)權(quán)限。在審查到違規(guī)之后，將記錄與定義的策略不相符的異常靜態(tài)權(quán)限記錄。在某些實(shí)施方案中，利用如前所述的異常數(shù)據(jù)庫(kù)。在其他實(shí)施方案中，利用任何合適的方法。

在操作320中，執(zhí)行所定義的多個(gè)策略中的至少一個(gè)策略。在示例性實(shí)施方案中，如前所述般評(píng)估策略。

在操作330中，判定和建立策略內(nèi)的每個(gè)規(guī)則的優(yōu)先級(jí)。在示例性實(shí)施方案中，優(yōu)先級(jí)判定兩個(gè)策略是否存在沖突以及哪個(gè)策略指出了靜態(tài)權(quán)限記錄。

在操作340中，針對(duì)用戶簡(jiǎn)檔執(zhí)行策略，并且使用規(guī)則引擎224來(lái)將所述策略與其靜態(tài)權(quán)限進(jìn)行比較以驗(yàn)證靜態(tài)訪問(wèn)權(quán)限。這可能會(huì)導(dǎo)致檢測(cè)到錯(cuò)失的權(quán)限或策略違規(guī)。在兩個(gè)規(guī)則導(dǎo)致不同結(jié)果(例如，準(zhǔn)予或拒絕訪問(wèn))的情況下，可以使用規(guī)則優(yōu)先級(jí)(如330中所設(shè)定)來(lái)解決沖突。在其他實(shí)施方案中，利用用于將結(jié)果與先前建立的權(quán)限進(jìn)行比較的任何合適的方法。

如上所述，示例性實(shí)施方案可以是呈處理器實(shí)施過(guò)程和用于實(shí)踐這些過(guò)程的裝置，諸如處理器201的形式。示例性實(shí)施方案還可以是呈含有體現(xiàn)在有形介質(zhì)中的指令的計(jì)算機(jī)程序代碼的形式，所述有形介質(zhì)諸如軟盤、cdrom、硬盤驅(qū)動(dòng)器或任何其他計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其中當(dāng)計(jì)算機(jī)程序代碼被加載到計(jì)算機(jī)中并由其執(zhí)行時(shí)，所述計(jì)算機(jī)成為用于實(shí)踐示例性實(shí)施方案的裝置。示例性實(shí)施方案還可以是呈計(jì)算機(jī)程序代碼的形式，例如，不管所述計(jì)算機(jī)程序代碼存儲(chǔ)在存儲(chǔ)介質(zhì)中、加載到計(jì)算機(jī)中/或由其執(zhí)行，或者通過(guò)某種傳輸介質(zhì)傳輸、加載到計(jì)算機(jī)中和/或由其執(zhí)行，或者通過(guò)某種傳輸介質(zhì)諸如電線或電纜、通過(guò)光纖或經(jīng)由電磁輻射來(lái)傳輸，其中當(dāng)計(jì)算機(jī)程序代碼被加載到計(jì)算機(jī)中并且由其執(zhí)行時(shí)，所述計(jì)算機(jī)成為用于實(shí)踐示例性實(shí)施方案的裝置。當(dāng)在通用微處理器上實(shí)施時(shí)，計(jì)算機(jī)程序代碼段配置所述微處理器以產(chǎn)生特定的邏輯電路。

本文使用的術(shù)語(yǔ)僅僅是為了描述具體實(shí)施方案，而不是旨在限制本發(fā)明。雖然已經(jīng)出于說(shuō)明和描述的目的呈現(xiàn)了本發(fā)明的描述，但是所述描述并不旨在是詳盡的或以所公開的形式來(lái)限制本發(fā)明。在不脫離本發(fā)明的范圍和精神的情況下，本領(lǐng)域普通技術(shù)人員將清楚地了解本文沒(méi)有描述的許多修改、變化、變更、代替或等效布置。另外，盡管已描述了本發(fā)明的各種實(shí)施方案，但應(yīng)理解，本發(fā)明的各方面可以包括所述實(shí)施方案中的僅一些。因此，不應(yīng)認(rèn)為本發(fā)明受前文描述限制，而是僅受所附權(quán)利要求書的范圍限制。