[发明专利]一种访问控制策略优化方法

说明书

本发明公开了一种访问控制策略优化方法，属于网络安全领域。主要包括：定义规则冲突、冗余，在规则发现前，对XACML规则的冲突进行新的定义；规则的多属性拆分，将规则的粒度降到最低的级别；基于XACML三元组哈希的规则冲突和冗余集合发现，将主体，资源和行为三个规则元素字符串进行拼接组成新的三元组规则信息字符串，然后对此规则信息字符串进行哈希值计算，如果不同的字符串哈希值冲突，那么这就是一个冲突或冗余集合；基于规则最大匹配次数的规则冲突、冗余选择性删除，通过计算冲突、冗余消除后对规则引擎性能代价的计算，来进行规则的选择性删除；将原拆分后的规则进行反向压缩。

技术领域

本发明涉及一种访问控制策略优化方法，属于网络安全领域。

背景技术

2016年文献《基于冗余消除和属性数值化的XACML策略优化方法》中戚湧，陈俊等人受到文献《An Algorithm for Compression of XACML Access Control Policy Setsby Recursive Subsumption》规则压缩的启发首次提出了细颗粒度的规则冗余分析方法，但是此方法没有考虑到规则的拆分合并前后最大匹配次数的变化，如果匹配次数变大这将直接影响到规则引擎的性能。本文在规则冲突、冗余消除阶段对这一问题进行深入分析，提出了选择优化的方案。

其次，文献《基于冗余消除和属性数值化的XACML策略优化方法》在规则发现阶段的定义仍较多的采用了文献《一种XACML规则冲突及冗余分析方法》的定义，未能从规则拆分后规则特性的变化来考虑规则的冲突、冗余问题。而且现有文献中对于规则根据组合算法的调整是单独的为了提升性能而提出的，如在文献《基于多层次优化技术的XACML策略评估引擎》提出了基于组合算法重排序的规则精化方法，但是这篇论文的规则冲突是基于规则级别的冲突，所有未能进一步根据重排序的结果去发现规则的冲突。而规则的冲突和冗余一般是基于组合算法和规则的包含性以及交叉性来定义。本文在规则冲突、冗余阶段将规则组合算法考虑在内，进行了规则的重排序，这样一方面提出了一种更为贴切的对于单属性规则的冲突、冗余定义，另一方面也提高了后续规则引擎的性能。文献《一种XACML规则冲突及冗余分析方法》明确的提出了一种规则冲突和冗余集合的发现算法，但是由于多属性规则的复杂性，这种算法在时间复杂度上的代价相对较高，本文根据单属性规则的特性采用字符串哈希算法来对规则的冲突、冗余集合进行发现，有效的缩减了发现算法的时间复杂度。

发明内容

本发明的目的是这样实现的：

一种访问控制策略优化方法，其特征在于，包含以下步骤：

步骤一 定义冲突、冗余：

拒绝覆盖算法重排序；定义R_s：{R₁,R₂,...,R_n}，一个包含n条规则的策略集，且合并算法为拒绝覆盖，将所有的效用为Deny的规则置于所有的Permit规则前面，变为R_S’：{[R^D,R^D,...,R^D],[R^P,R^P,...R^P]}，其中R^D表示RS中所有效用为Deny的规则，R^P表示R_S中所有效用为Permit的规则；