[发明专利]一种XACML安全策略的评估优化方法

摘要

本发明提供一种XACML安全策略的评估优化方法，包括以下步骤：消除冗余规则；建立判定结果缓存池和XACML安全策略缓存池；动态改变XACML安全策略/规则的位置。本发明针对现有XACML标准在策略规模和策略语义复杂性的上升时性能上的不足以及功能上的缺陷，提出一种基于策略冗余去除、缓存、重排序的XACML安全策略评估优化方法，该方法能够在提供策略分析、规则匹配、判定响应等相关的优化处理方法对资源进行细粒度访问控制的同时，有效提升XACML安全策略评估引擎处理策略信息检索、多策略匹配等问题时的效率，加强系统可用性，且能够适应各种策略合并算法，灵活性和可用性强。

主权项

1.一种XACML安全策略的评估优化方法，其特征在于：所述方法包括以下步骤：步骤1：消除冗余规则；步骤2：建立判定结果缓存池和XACML安全策略缓存池；步骤3：动态改变XACML安全策略/规则的位置；所述步骤1中，先判断出不同合并算法下存在的冗余规则，之后将冗余规则消除；若当规则R_i适用于请求，规则R_j必然适用于请求，称R_i覆盖R_j，记为R_i·effect表示R_i的判定结果，值为Permit或Deny；具体分为以下三种情况：(1)在许可优先合并算法下，有1)若且R_j·effect＝Permit，则R_j是冗余规则；2)若且R_j·effect＝Deny，则R_i是冗余规则；(2)在拒绝优先合并算法下，有：1)若且R_j·effect＝Deny，则R_j是冗余规则；2)若且R_j·effect＝Permit，则R_i是冗余规则；(3)在首次适用合并算法下，Ri在XACML安全策略中的位置记为seq(Ri)，有：若且R_i·effect≠R_j·effect：1)若seq(Rj)＜seq(Ri)时，Ri是冗余规则；2)若seq(Ri)＜seq(Rj)时，Ri不是冗余规则；所述步骤3中，设Pk和Rj分别表示XACML安全策略和规则，通过Pk和Rj在执行统计值方面的优先级Pk.M和Rj.M，以及Pk和Rj的复杂度Pk.N和Rj.N确定Pk和Rj的总体优先级Pk.Ψ和Rj.Ψ；在许可优先合并算法中，Pk.M和Rj.M分别表示为：Pk.Μ＝θ11*Pk.a+θ12*Pk.pRj.Μ＝θ21*Rj.a+θ22*Rj.p其中，a表示XACML安全策略/规则适用率；p表示XACML安全策略/规则许可率；θ11、θ12、θ21和θ22表示权重；在拒绝优先合并算法中，Pk.M和Rj.M分别表示为：Pk.Μ＝θ11*Pk.a+θ12*Pk.dRj.Μ＝θ21*Rj.a+θ22*Rj.d其中，d表示XACML安全策略/规则拒绝率；令n(t)表示目标元素中的布尔条件的数量，n(c)表示条件元素中的布尔条件数量，Rj的复杂度Rj.N表示为：Rj.Ν＝n(t)+n(c)Pk的复杂度Pk.N由Pk中所有规则的复杂度及规则执行率确定，Pk.N表示为：其中，f表示规则Rj的执行率；Pk和Rj的总体优先级Pk.Ψ和Rj.Ψ分别表示为：Pk.Ψ＝α1*Pk.Μ+β1*Pk.Ν‑1Rj.Ψ＝α2*Rj.Μ+β2*Rj.Ν‑1其中，α1、β1、α2、β2表示权重。