Part 01

专利发明的初衷

在互联网中，不可避免地存在一些具有风险或者异常的数据访问行为，会对企业管理系统、政府管理系统等系统的安全造成威胁。为了保障数据访问的安全，企业需要设置访问控制策略。访问控制策略通常是由一条或多条规则组成，每条规则通常含有布尔变量、逻辑运算符和括号组成的表达式，用于描述逻辑关系和条件判断，也就是说每条规则就是一个布尔表达式。当该条规则的结果为真（即布尔表达式给出的结果为真）时，执行该规则的动作。企业通过设置一套或多套规则，并按照规则检测用户访问互联网所产生的访问数据是否安全，以便更加严格地规范用户的访问行为。

现有的访问控制方式需对每一个条件进行匹配，才能得到最终的布尔表达式的结果。匹配耗费时间的长短，决定了整个访问连接的速度。如果匹配耗时长，就会影响整个设备的运行性能。反之，当访问控制策略的匹配速度较快时，用户能够更快地获取所需的授权或拒绝信息，从而减少了等待时间，访问无延迟，会提高用户的体验效果。因此，我们需要一种更快的访问控制策略匹配方式。

Part 02

专利可实现功能

访问控制策略通常由表达式和逻辑运算符（AND）、或（OR）、非（NOT）组成。这些表达式和逻辑运算符用于定义访问请求、响应验证、授权和记录的规则或条件。

通过组合表达式和逻辑运算符，访问控制策略可以灵活的定义“谁”可以访问什么资源、在什么条件下进行访问、具有何种权限等。这样可以确保通过授权的用户或实体才能获得合法的访问权限，同时阻止未经授权的访问和潜在的安全威胁。

表达式和逻辑运算符组合的复杂表达式，通常使用后缀表达式（也称为逆波兰表达式）进行依次匹配，最终确定是否满足访问控制的规则和条件。

在访问控制策略中，利用有序二叉决策图（Ordered Binary Decision Diagram，简称OBDD），将布尔表达式以有序的方式表示为一个有向无环图，其中每个节点代表一个布尔变量的取值，图形的边表示变量的赋值情况。通过对布尔表达式进行简化和合并，可以得到一个紧凑的OBDD，其中相同的子表达式只需要计算一次。根据OBDD的结构直接跳过部分计算，在计算过程中提前确定结果，避免不必要的计算步骤，从而提高计算效率。

举个例子，假设访问控制策略中有一个布尔表达式为：A AND (B OR C)。通过转换为OBDD，可以得到一个有序的图形表示，其中节点代表A、B、C的取值情况，图形的边表示条件的关系。在计算过程中，如果变量 A 的取值为假，可以直接跳过节点 [B OR C]；如果变量 A 的取值为真，根据变量 B 和 C 的取值情况，进一步决定最终的结果。

Part 03

专利适用产品

本专利可以应用到增强型Web安全网关（ASWG）产品中，可以显著提升系统的处理性能。传统的访问控制策略需要逐个匹配每个条件和逻辑运算符，以确定整个表达式的结果。这样的计算过程可能会消耗大量的时间和计算资源。使用本专利可以更快地对访问请求进行验证，并作出相应的决策，从而提升整个系统的性能。用户和应用程序会减少等待时间和访问延迟，提升整体的用户体验。同时也减少计算资源的消耗，为其他重要任务和功能留出更多的资源。

Part 04

专利的应用效果

本发明专利可以给用户带来以下价值：

提升计算性能

通过优化计算速度，可以降低用户访问延迟的时间，提升整个系统的运行效率。用户能够更快地获取访问授权或拒绝，提升用户体验。每条访问控制策略匹配时间平均在10微秒内（1秒=1000000 微秒）

简化计算过程

通过简化有序二叉决策图和布尔变量的运行时间信息，布尔表达式的计算过程得到简化。管理员和开发人员可以更轻松地设计、管理和维护访问控制策略，减少出错的可能性。

加强信息安全保护

优化的访问控制策略计算可以更好地保护政府和企业内部的数据安全。通过快速而准确的计算结果，有助于防止未经授权的访问或恶意行为，增强系统的安全性。

作者介绍

刘中砥，毕业于中国科学技术信息研究所，硕士学位，天空卫士核心高级工程师。主要从事增强型Web安全网关（ASWG）、增强型安全邮件网关等方向的研究和应用开发。在计算机行业拥有十几年开发经验、在数据安全领域有着九年的开发经历，并长期致力于开源社区，拥有广泛的技术能力和实践经验，拥有多项国家发明专利。