本发明专利技术提供一种XACML安全策略的评估优化方法,包括以下步骤:消除冗余规则;建立判定结果缓存池和XACML安全策略缓存池;动态改变XACML安全策略/规则的位置。本发明专利技术针对现有XACML标准在策略规模和策略语义复杂性的上升时性能上的不足以及功能上的缺陷,提出一种基于策略冗余去除、缓存、重排序的XACML安全策略评估优化方法,该方法能够在提供策略分析、规则匹配、判定响应等相关的优化处理方法对资源进行细粒度访问控制的同时,有效提升XACML安全策略评估引擎处理策略信息检索、多策略匹配等问题时的效率,加强系统可用性,且能够适应各种策略合并算法,灵活性和可用性强。
【技术实现步骤摘要】
本专利技术设及一种优化方法,具体设及一种XACML安全策略的评估优化方法。
技术介绍
访问控制标记语言XACML(extensibleaccesscontrolmarkuplanguage)已逐 渐成为多个企业应用和商业产品实现安全授权功能的实际标准。分布式资源共享、Web服 务、域间协作等新兴业务需要制定大量的XACML策略条目对资源进行细粒度访问控制,但 随着策略规模和策略语义复杂性的上升,策略评估效率已成为制约系统可用性的关键瓶 颈。XACML规范中虽然给出了访问控制实施框架,但没有提供策略分析、规则匹配、判定响 应等相关的优化处理方法,该在很大程度上导致了XACML策略评估引擎在处理策略信息检 索、多策略匹配等问题时的实际性能指标偏低,具体表现为系统资源开销大、访问请求应答 延时长、远程通信交互多,因而无法满足商业应用的高业务吞吐量。[000引在XACML中,全部评估结果有四种;允许(Permit)、拒绝值eny)、无法决定 (Indeterminate)W及不适用(NotApplic油le)。如果策略(Policy)内的多条规则(Rule) 或者策略集(PolicySet)内的多条化licy都匹配访问请求,则XACML安全策略即利用合并 算法计算最终的评估结果。常见的合并算法有W下几种: 1)许可优先(Permit-overrides)合并算法,只要有一条规则的评估为化rmit,最 终的评估结果就是化rmit。 2)拒绝优先值en厂overrides)合并算法,只要有一条规则的评估为Deny,最终的 评估结果就是Deny。 3)首次适用(First-applic油le)合并算法,遇到的第一条适用请求规则的评估 结果作为最终的评估结果。
技术实现思路
为了克服上述现有技术的不足,本专利技术提供一种XACML安全策略的评估优化方 法,采取如下技术方案:[000引本专利技术一种XACML安全策略的评估优化方法,其特征在于;所述方法包括W下步 骤: 步骤1 ;消除冗余规则; 步骤2 ;建立判定结果缓存池和XACML安全策略缓存池;[00川步骤3 ;动态改变XACML安全策略/规则的位置。 所述步骤中,先判断出不同合并算法下存在的冗余规则,之后将冗余规则消除。[001引若当规则而适用于请求,规则Rj必然适用于请求,称Ri覆盖Ri,记为; 而?effect表示而的判定结果,值为化rmit或Deny;具体分为W下S种情况; (1)在许可优先合并算法下,有1)巧且Rj.effect=化rmit,则而是冗余规则; 2)若巧 <>及_/且Rj?effect=Deny,则Ri是冗余规则; 3)当Rj?effect=化rmit时,而不是冗余规则; (2)在拒绝优先合并算法下,有: 1)若巧,.<K,且Rj?effect=Deny,则而是冗余规则; 。若巧.<W,且Rj?effect=化rmit,则而是冗余规则; 3)当Rj?effect=Deny时,而不是冗余规则;[00巧 做在首次适用合并算法下,R在XACML安全策略中的位置记为seq巧1),有; 1)若巧<巧/且而?effect=Rj?effect,则而是冗余规则; 。若巧^巧J且seq(Rj) <seq(Ri)时,而是冗余规则;如若巧<1及;且seq(Rj) <seq化)时,而不是冗余规则。 所述步骤2中,所述判定结果缓存池用于保存用户之前的访问结果,当判定结果 缓存池中没有相应的结果时触发XACML安全策略缓存; 所述XACML安全策略缓存池用于保存最近访问的XACML安全策略。[002引所述步骤3中,XACML安全策略对应的评估引擎采用重排序算法动态改变XACML安 全策略/规则的位置。 所述步骤3中,设Pk和Rj.分别表示XACML安全策略和规则,通过Pk和R班执行统 计值方面的优先级Pk.M和Rj.M,W及Pk和RJ的复杂度Pk.N和Rj.N确定Pk和RJ的总体优 先级Pk.W和Rj.W。 在许可优先合并算法中,Pk.M和Rj.M分别表示为:[003UPk.M=日。冲k.a+日口冲k.P[003引 民j.M二目21本Rj.a+目22本民j.P[003引其中,a表示XACML安全策略/规则适用率;P表示XACML安全策略/规则许可率; 白11、912、921和922表示权重; 在拒绝优先合并算法中,Pk.M和Rj..M分别表示为:[003引 Pk. M = 0 11冲k.a+ 0i2*Pk.d Rj. M = 0 2i*Rj.a+ 022*Rj.d 其中,d表示XACML安全策略/规则拒绝率。[003引令n(t)表示目标元素中的布尔条件的数量,n(c)表示条件元素中的布尔条件数 量,Rj的复杂度Rj.N表示为: Rj.N=n(t)+n(c) Pk的复杂度RN由Pk中所有规则的复杂度及规则执行率确定,Pk.N表示为:【主权项】1. 一种XACML安全策略的评估优化方法,其特征在于:所述方法包括以下步骤: 步骤1 :消除冗余规则; 步骤2 :建立判定结果缓存池和XACML安全策略缓存池; 步骤3 :动态改变XACML安全策略/规则的位置。2. 根据权利要求1所述的XACML安全策略的评估优化方法,其特征在于:所述步骤中, 先判断出不同合并算法下存在的冗余规则,之后将冗余规则消除。3. 根据权利要求2所述的XACML安全策略的评估优化方法,其特征在于:若当规则R i 适用于请求,规则Rj必然适用于请求,称R i覆盖R i,记为K : Ri · effect表示Ri的判 定结果,值为Permit或Deny ;具体分为以下三种情况: (1) 在许可优先合并算法下,有 1) & 且 Rj · effect = Permit,则 Ri是冗余规则; 2) 芯R <? '且Rj · effect = Deny,则Ri是冗余规则; 3) 当Rj · effect = Permit时,氏不是冗余规则; (2) 在拒绝优先合并算法下,有: 1) 若乂 且 Rj · effect = Deny,则 Ri是冗余规则; 2) 若& < .心且Rj · effect = Permit,则Ri是冗余规则; 3) 当Rj · effect = Deny时,氏不是冗余规则; (3) 在首次适用合并算法下,氏在XACML安全策略中的位置记为seq(R J,有: 1) 若尺/< A 且 Ri · effect = Rj · effect,则 Ri是冗余规则; 2) 若巧< /且Seq(Rj) < Seq(Ri)时,Ri是冗余规则; 3) 若A < A且Seq(Rj) < Seq(Ri)时,氏不是冗余规则。4. 根据权利要求1所述的XACML安全策略的评估优化方法,其特征在于:所述步骤2 中,所述判定结果缓存池用于保存用户之前的访问结果,当判定结果缓存池中没有相应的 结果时触发XACML安全策略缓存; 所述XACML安全策略缓存池用于保存最近访问的XACML安全策略。5. 根据权利要求1所述的XACML安全策略的评估优化方法,其特征在于:所述本文档来自技高网...
【技术保护点】
一种XACML安全策略的评估优化方法,其特征在于:所述方法包括以下步骤:步骤1:消除冗余规则;步骤2:建立判定结果缓存池和XACML安全策略缓存池;步骤3:动态改变XACML安全策略/规则的位置。
【技术特征摘要】
【专利技术属性】
技术研发人员:周诚,邵志鹏,马媛媛,汪晨,时坚,李伟伟,楚杰,张波,黄秀丽,戴造建,
申请(专利权)人:中国电力科学研究院,国网智能电网研究院,国家电网公司,国网安徽省电力公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。