[发明专利]一种访问控制策略优化方法

摘要

本发明公开了一种访问控制策略优化方法，属于网络安全领域。主要包括：定义规则冲突、冗余，在规则发现前，对XACML规则的冲突进行新的定义；规则的多属性拆分，将规则的粒度降到最低的级别；基于XACML三元组哈希的规则冲突和冗余集合发现，将主体，资源和行为三个规则元素字符串进行拼接组成新的三元组规则信息字符串，然后对此规则信息字符串进行哈希值计算，如果不同的字符串哈希值冲突，那么这就是一个冲突或冗余集合；基于规则最大匹配次数的规则冲突、冗余选择性删除，通过计算冲突、冗余消除后对规则引擎性能代价的计算，来进行规则的选择性删除；将原拆分后的规则进行反向压缩。

主权项

一种访问控制策略优化方法，其特征在于，包含以下步骤：步骤一 定义冲突、冗余：拒绝覆盖算法重排序；定义RS：{R1,R2,...,Rn}，一个包含n条规则的策略集，且合并算法为拒绝覆盖，将所有的效用为Deny的规则置于所有的Permit规则前面，变为RS’：{[RD,RD,...RD],[RP,RP,...,RP]}，其中RD表示RS中所有效用为Deny的规则，RP表示RS中所有效用为Permit的规则；允许覆盖算法重排序；我们定义RS：{R1,R2,...,Rn}，一个包含n条规则的策略集，且合并算法为允许覆盖，将所有的效用为Permit的规则置于所有的Deny规则前面，变为RS’：{[RD,RD,...RD],[RP,RP,...,RP]}，其中RD表示RS中所有效用为Deny的规则，RP表示RS中所有效用为Permit的规则；策略内单属性规则冗余；定义R1，R2∈RS，若R1.subject＝R2.subject∧R1.source＝R2.source∧R1.action＝R2.action且R1位于R2的前面，则定义R2为冗余规则，R1为被冗余规则；策略间单属性规则冲突；定义R1∈RS1，R2∈RS2，若R1.subject＝R2.subject∧R1.source＝R2.source∧R1.action＝R2.action，R1.effect≠R2.effect，则需要查找这两个规则最近的公共组合算法；若组合算法为拒绝覆盖，则定义效用为允许的规则为冲突规则；若组合算法为允许覆盖，则效用为拒绝的规则为冲突规则；策略间单属性规则冗余；定义R1∈RS1，R2∈RS2，若R1.subject＝R2.subject∧R1.source＝R2.source∧R1.action＝R2.action，R1.effect＝R2.effect，则不考虑他们的公共组合算法，定义在策略内排序第一的规则为被冗余规则，其他规则为冗余规则；若R1.subject＝R2.subject∧R1.source＝R2.source∧R1.action＝R2.action，R1.effect R2.effect且组合算法为唯一适用算法，则定义在策略内排序第一的规则为被冗余规则，其他规则为冗余规则；步骤二 对规则进行多属性拆分：A、选定主体和资源中的第一个属性，然后列举行为中的所有属性，完成第一次拆分；B、将资源的属性向后遍历一个，然后在列举行为中的所有属性继续拆分；C、当资源中的属性全部都遍历完了之后，我们将主体中的属性向后遍历一个，然后重复A和B的遍历过程进行拆分；D、继续执行C中的遍历，直到主体中的属性都被遍历拆分完毕；对于一条规则r，它的主体包含有NS个属性，资源包含NR个属性，行为包含有NA个属性，则它可以拆分为NS*NR*NA条单属性规则；步骤三 定义规则哈希结构，采用链地址法对哈希冲突进行解决，HASH_TABLE表示为哈希表的散列值分布数组，CON_SETi表示为哈希函数的冲突处理，每一个CON_SET下面挂着相同的三元组组成的冲突和冗余集合；将主体、资源和行为三个规则元素字符串进行拼接组成新的三元组规则信息字符串，InfoString＝(Subjecti+Resourcei+Actioni)，然后对此规则信息字符串进行哈希值计算；采用经典的字符串哈希算法SDBMHash来对字符串进行哈希，将规则的三元素新组成的信息串采用SDBMHash(InfoString)函数进行哈希值计算，放入相应的CON_SET中去，当CON_SET中的元素大于一个，那么我们就定义这是一个冲突，冗余集合；步骤四 计算主体元素中的属性个数，属性个数就是第一层的最大匹配次数n1；然后计算资源元素中的属性个数，属性个数就是第二层的最大匹配次数n2；接下来计算行为元素中的属性个数，属性个数就是第三层的最大匹配次数n3；最后将这三层的最大匹配次数进行加和操作就是该条规则的最大匹配次数：Nsum＝n1+n2+n3  (1)对于消除冗余后的匹配最大匹配次数增加的规则，不进行冗余优化，但是对于策略集之间的Only‑one‑Applicable组合算法须进行消除；步骤五 压缩：A、我们对于每NA条子规则进行一次合并；如果在这NA条规则中有被删除的属性则不合并删除的属性，如果该NA＝1则无需合并；如果在每次的NA条规则中，资源、属性和行为只有一个元素不同，那么我们就将其进行压缩操作；如果本层无压缩操作，则压缩结束；B、对于A中合并后的规则，我们再对每NR条规则进行一次合并；如果这NR条规则中有被删除的属性则不合并删除的属性，如果该NR＝1则无需合并；如果每次的NA条规则中，资源、属性和行为只有一个元素不同，那么我们就将其进行压缩操作；如果本层无压缩行为，则压缩结束；C、对于B中合并后的规则，再对每NS条规则进行一次合并；如果在这NR条规则中有被删除的属性则不合并删除的属性，如果该NS＝1，则无需合并；如果本次NA条规则中，资源、属性和行为只有一个元素不同，则将其进行压缩操作；至此规则压缩完成。