欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

基于多種優(yōu)化機制的xacml策略評估引擎系統(tǒng)的制作方法

文檔序號:6400148閱讀:244來源:國知局
專利名稱:基于多種優(yōu)化機制的xacml策略評估引擎系統(tǒng)的制作方法
技術領域
本發(fā)明屬于網(wǎng)絡與信息安全技術領域,涉及分布式環(huán)境中XACML策略評估技術,具體的說是一種提高分布式環(huán)境下XACML策略評估效率的系統(tǒng),可用于云計算、社交網(wǎng)絡、Web服務等分布式環(huán)境下對海量用戶的訪問請求及時進行決策。
背景技術
XACML (extensible Access Control Markup Language)是一種可擴展的訪問控制標記語言,它是在 2003 年 2 月由 OASIS (Organization for the Advancement ofStructured Information Standards)組織制定的用于決定用戶訪問請求的通用訪問控制策略描述語言。作為一種訪問控制策略描述語言,與其他訪問控制策略描述語言相比,XACML具有通用性、可擴展性、功能強大的特點,已成為許多企業(yè)應用和商業(yè)產(chǎn)品實現(xiàn)安全授權功能的實際標準。XACML策略是用XACML標準描述的訪問控制策略,該策略包含若干策略集,每個策略集由多個策略組成,每個策略由一組保證網(wǎng)絡資源不被非法使用的規(guī)則組成,當用戶申請訪問資源時,訪問控制模塊通過評估XACML策略對用戶進行授權。云計算、社交網(wǎng)絡、Web服務等應用需要指定大量的XACML策略對資源進行細粒度訪問控制。但隨著系統(tǒng)用戶和資源數(shù)量的不斷增加,如,截止2012年9月30日,新浪微博的用戶數(shù)量已達
4.24億,平均每天活躍用戶達到4230萬,XACML策略包含的規(guī)則數(shù)越來越多,結構越來越復雜,XACML策略評估效率已成為制約系統(tǒng)可用性的關鍵瓶頸,亟需一種高效的XACML策略評估引擎對海量用戶的請求及時做出正確授權?,F(xiàn)有開源的XACML策略評估引擎系統(tǒng)主要有Sun公司的XACML策略評估引擎系統(tǒng)、AXESC0N XACML策略評估引擎系統(tǒng)和Enterprise XACML策略評估引擎系統(tǒng)。其中:Sun公司的XACML策略評估引擎系統(tǒng)采用遍歷匹配方式,在當前具有大規(guī)模XACML策略的分布式環(huán)境中,該系統(tǒng)對用戶訪問請求進行授權需要遍歷匹配所有XACML策略,策略評估效率很低。AXESC0N XACML策略評估引擎系統(tǒng)提供了策略載入和策略緩存功能,但其仍然按照XACML策略文件的嵌套結構逐層匹配,沒有對匹配邏輯優(yōu)化,也沒引入高效的索引結構,策略評估效率較低。Enterprise XACML策略評估引擎系統(tǒng)提供了策略索引功能,在一定程度上縮減了策略檢索范圍,但其索引結構沒有考慮規(guī)則目標的匹配優(yōu)化問題,規(guī)則仍然是逐層匹配方式,策略評估效率較低。上述開源的XACML策略評估引擎的評估效率都比較低,不能為分布式環(huán)境下海量用戶的訪問請求及時做出正確決策。近年來,XACML策略評估效率問題也引起了學術界的廣泛關注。美國學者AlexXLiu等人把字符串XACML策略轉化為數(shù)值化的XACML策略,把字符串比較變?yōu)閿?shù)值比較,從而提高了 XACML策略評估效率,但該系統(tǒng)只支持XACML策略當中的首次適用合并算法,而不支持其它三種合并算法,此外該系統(tǒng)由于沒有考慮對XACML策略中的冗余規(guī)則進行精簡操作,其冗余規(guī)則仍然存在。中國學者王雅哲等人提出的多層次優(yōu)化技術的XACML策略評估引擎系統(tǒng),雖然提高了 XACML策略評估效率,但該系統(tǒng)由于不能保證緩存內(nèi)容一定是頻繁調(diào)用的,且其XACML策略匹配仍然是字符串比較,因而XACML策略評估效率低,不能滿足在云計算、社交網(wǎng)絡等分布式環(huán)境下需要對海量用戶同時發(fā)出的訪問請求及時做出正確決策的要求。

發(fā)明內(nèi)容
本發(fā)明的目的在于針對當前XACML策略評估引擎系統(tǒng)的缺點,提出一種基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),以提高策略評估效率,滿足對云計算、社交網(wǎng)絡分布式環(huán)境下海量用戶同時發(fā)出的訪問請求需要及時做出正確決策的要求。本發(fā)明的技術方案是這樣實現(xiàn)的:一.技術原理XACML策略規(guī)模龐大和遍歷式匹配XACML策略的授權方式是影響XACML策略評估引擎評估效率的兩大主要因素,本發(fā)明針對這兩大主要因素,使用統(tǒng)計分析機制動態(tài)精化策略,縮減策略規(guī)模,通過數(shù)值化機制將文本的XACML策略轉化為數(shù)值的XACML策略,使評估引擎系統(tǒng)使用高效的整數(shù)比較,而不再是低效的字符串匹配,通過多種緩存機制有效降低評估引擎和其他功能部件的通信損耗,將原來的遍歷式、字符串匹配轉化為選擇性的數(shù)值比較,提高XACML策略評估引擎的效率。二.系統(tǒng)組成本發(fā)明基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng)包括:審計服務單元1,用于記錄系統(tǒng)的訪問請求、請求響應、策略集屬性的調(diào)用信息,為策略決策服務單元3中的統(tǒng)計分析模塊提供最準確的原始數(shù)據(jù);策略管理服務單元2,用于提供一個集中式的圖形化XACML策略管理平臺,完成XACML策略的基本操作、動態(tài)XACML策略精化、XACML策略的數(shù)值化;策略決策服務單元3,用于根據(jù)從屬性斷言服務單元5和策略持久化服務單元4中獲取的相關信息對用戶的訪問請求進行授權決策;策略持久化服務單元4,用于存儲策略管理服務單元2創(chuàng)建的XACML策略、支持多種XACML策略存儲方式及XACML策略庫的動態(tài)添加和注銷,并對策略決策服務單元3提供XACML策略檢索服務;屬性斷言服務單元5,用于提供屬性斷言存儲和發(fā)布服務,為策略決策服務單元3提供屬性檢索功能;上述的策略決策服務單元3,包括:上下文處理器模塊31,用于將原始用戶資源訪問請求解析為XACML請求并發(fā)送給評估引擎模塊32,并將評估引擎模塊32返回的判斷結果封裝為XACML響應格式發(fā)給用戶;評估引擎模塊32,用于從多級緩存模塊33中獲取屬性、請求及對應結果、XACML策略信息,并將獲取的相關信息與用戶訪問請求中指定的實體信息進行匹配,根據(jù)匹配結果對訪問請求執(zhí)行授權決策,并將決策結果返回給上下文處理器模塊31 ;多級緩存模塊33,用于將頻繁調(diào)用的屬性、XACML策略和請求及對應結果信息存儲在緩存中,以有效降低評估引擎模塊32和其他功能部件的通信損耗,提高決策效率;
統(tǒng)計分析模塊34,用于對審計服務的日志信息進行分析,利用統(tǒng)計分析得到的屬性、XACML策略和請求及對應結果的調(diào)用頻率,實時、動態(tài)更新緩存內(nèi)容,調(diào)整XACML策略的規(guī)則順序,保證多級緩存模塊33中存儲的內(nèi)容都是頻繁使用的,保證調(diào)用最頻繁的規(guī)則排在XACML策略的最前面,以提高XACML策略匹配速度。上述基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于策略管理服務單元2,包括:XACML策略基本操作模塊21,用于提供創(chuàng)建、修改、刪除和更新XACML策略的圖形化操作界面;動態(tài)XACML策略精化模塊22,用于實現(xiàn)XACML策略匹配的前期優(yōu)化;策略數(shù)值化模塊23,用于將文本的XACML策略轉化為數(shù)值化的XACML策略,使評估引擎使用高效的整數(shù)比較,而不再是低效的字符串匹配;策略持久化服務遠程過程調(diào)用模塊24,用于為策略管理服務單元2和策略持久化服務單元4提供交互接口。上述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于策略持久化服務單元4,包括:策略持久化存儲模塊41,用于存儲系統(tǒng)中的XACML策略文件,支持多種XACML策略存儲方式及XACML策略庫的動態(tài)添加和注銷;策略檢索模塊42,用于響應來自策略決策服務單元3的XACML策略檢索請求,并將查找到的XACML策略的內(nèi)容返回給策略決策服務單元3。上述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于屬性斷言服務單元5,包括:屬性存儲模塊51,用于存儲用戶屬性和資源屬性,支持多種屬性存儲方式及屬性庫的動態(tài)添加和注銷;屬性檢索模塊52,用于響應來自策略決策服務單元3的屬性檢索請求,并將查找到的屬性以SAML斷言格式返回給策略決策服務單元3。上述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于動態(tài)XACML策略精化模塊22,包括:冗余規(guī)則分析模塊221,用于利用狀態(tài)覆蓋法,檢測XACML策略中不產(chǎn)生實際判定影響的冗余規(guī)則,并將冗余規(guī)則刪除來縮減XACML策略的規(guī)模;規(guī)則重排序模塊222,用于從統(tǒng)計分析模塊34獲取XACML策略規(guī)則的調(diào)用頻率,并根據(jù)調(diào)用頻率由高到低調(diào)整規(guī)則順序。上述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于多級緩存模塊33,包括:屬性緩存模塊331,用于保存頻繁檢索的屬性信息,以減少導致系統(tǒng)響應延遲的頻繁屬性檢索操作,提高評估引擎的效率;請求及對應結果緩存模塊332,用于保存頻繁的訪問請求及對應響應結果,當再次訪問時,不必觸發(fā)屬性檢索、策略檢索及策略匹配等導致系統(tǒng)響應延遲的復雜流程,提高評估引擎的效率;策略緩存模塊333,用于保存頻繁檢索的XACML策略文件,以減少導致系統(tǒng)響應延遲的頻繁XACML策略檢索操作,提高評估引擎的效率。本發(fā)明具有如下優(yōu)點:I)本發(fā)明用在云計算、社交網(wǎng)絡、Web服務等分布式環(huán)境下為海量用戶的訪問請求及時進行授權決策,其策略決策服務單元采用了統(tǒng)計分析機制可實時、動態(tài)更新緩存內(nèi)容,調(diào)整XACML策略規(guī)則順序,保證多級緩存模塊中存儲的內(nèi)容都是頻繁調(diào)用的,保證調(diào)用最頻繁的規(guī)則排在XACML策略的最前面,減少了 XACML策略匹配運算量,提高了 XACML策略評估引擎的效率;2 )本發(fā)明的策略管理服務單元由于使用狀態(tài)覆蓋法去除了冗余規(guī)則,利用統(tǒng)計分析機制按規(guī)則使用頻率由高到低的順序重排序規(guī)則,從而縮減了 XACML策略的規(guī)模,減少了 XACML策略匹配運算量,提高了 XACML策略評估引擎的效率;3)本發(fā)明的策略管理服務單元由于采用數(shù)值化技術將文本的XACML策略轉化為數(shù)值的XACML策略,使評估引擎使用高效的整數(shù)比較,而不再是低效的字符串匹配,提高了XACML策略匹配速度,提高了 XACML策略評估引擎的效率;4)本發(fā)明的策略決策服務單元由于采用多種緩存機制有效降低評估引擎和其他功能部件的通信損耗,減少了 XACML策略匹配運算量,提高了 XACML策略匹配速度,提高了XACML策略評估引擎的效率;本發(fā)明可方便地同分布式環(huán)境中訪問控制的其他功能部件協(xié)同工作,具有易于集成,評估效率高,匹配運算量小,通用性強,功能實用等優(yōu)點,在分布式環(huán)境下能為海量用戶同時發(fā)出的訪問請求及時做出正確決策。


圖1是本發(fā)明的總體系統(tǒng)框圖;圖2是本發(fā)明中的審計服務單元結構圖;圖3是本發(fā)明中的策略管理服務單元結構圖;圖4是本發(fā)明的策略決策服務單元結構圖;圖5是本發(fā)明的策略持久化服務單元結構圖;圖6是本發(fā)明的屬性斷言服務單元結構圖;圖7是基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng)的完整評估決策時序圖。
具體實施例方式以下參照附圖對本發(fā)明做進一步詳細說明參照圖1,本發(fā)明主要包含五個功能部件單元:審計服務單元1、策略管理服務單元2、策略決策服務單元3、策略持久化服務單元4和屬性斷言服務單元5。其中,審計服務單元I記錄系統(tǒng)的訪問請求、請求響應、策略集屬性調(diào)用等信息;策略管理服務單元2,提供一個集中式的圖形化策略管理平臺,完成策略的基本操作、動態(tài)XACML策略精化、XACML策略的數(shù)值化;策略決策服務單元3,根據(jù)從屬性斷言服務單元5和策略持久化服務單元4中獲取的相關信息對用戶的訪問請求進行授權決策;策略持久化服務單元4,存儲策略管理服務單元2創(chuàng)建的XACML策略、支持多種XACML策略存儲方式及XACML策略庫的動態(tài)添加和注銷,并對策略決策服務單元3提供XACML策略檢索服務;屬性斷言服務單元5,提供屬性斷言存儲和發(fā)布服務,為策略決策服務單元3提供屬性檢索功能。各功能部件的結構及工作原理如下:(一)審計服務單元I參照圖2,審計服務單元I主要由審計日志模塊構成,用于記錄策略管理服務單元
2、策略決策服務單元3、策略持久化服務單元4、屬性斷言服務單元5的交互信息,為策略決策服務單元3的統(tǒng)計分析模塊34提供最準確的原始數(shù)據(jù)。 (二)策略管理服務單元2參照圖3,策略管理服務單元2包括:策略基本操作模塊21、動態(tài)策略精化模塊22、策略數(shù)值化模塊23和策略持久化服務遠程過程調(diào)用模塊24。該單元的策略基本操作模塊21,主要為系統(tǒng)管理員提供創(chuàng)建、修改、刪除和更新策略的圖形化操作界面。動態(tài)策略精化模塊22,用來實現(xiàn)策略匹配的前期優(yōu)化,其包括冗余規(guī)則分析模塊221和規(guī)則重排序模塊222 ;該冗余規(guī)則分析模塊221,采用狀態(tài)覆蓋法檢測不產(chǎn)生實際判定影響的冗余規(guī)則并將其刪除來縮減策略規(guī)模;該規(guī)則重排序模塊222,從統(tǒng)計信息中獲取規(guī)則調(diào)用頻率并根據(jù)調(diào)用頻率由高到低的順序重新調(diào)整去除冗余后的規(guī)則順序。策略數(shù)值化模塊23,將文 本的XACML策略轉化為數(shù)值化策略,使評估引擎使用高效的整數(shù)比較,而不再是低效的字符串匹配。策略持久化服務遠程過程調(diào)用模塊24,為策略管理服務單元2和策略持久化服務單元4提供交互接口 ;策略管理服務單元2通過該接口既能將管理員創(chuàng)建、修改的策略存儲到策略持久化服務單元4,又能對策略持久化服務單元4中存儲的策略進行修改、刪除和動態(tài)精化等操作。(三)策略決策服務單元3參照圖4,策略決策服務3包括:上下文處理器模塊31、評估引擎模塊32、多級緩存模塊33和統(tǒng)計分析模塊34。多級緩存模塊33包括屬性緩存模塊331、請求及對應結果緩存模塊332和策略緩存模塊333。屬性緩存機制采用兩層映射模式,第一層映射由主體標識和屬性標識列表構成,每個屬性標識對應一個屬性值列表構成第二層映射;請求及對應結果緩存機制按照請求標識《會話標識、會話標識^>決策結果兩層映射模式構建;策略緩存機制采用兩級索引機制,將資源標識作為第一級索引的主鍵,每個主鍵指向一系列用來保護該資源的策略列表,第二級索引針對策略內(nèi)多個規(guī)則的目標元素,依次從目標元素中提取資源屬性和動作屬性,并計算二者的笛卡爾乘積作為二級索引的主鍵,主體屬性列表作為鍵值。該單元的上下文處理器模塊31,將原始用戶資源訪問請求解析為XACML請求并發(fā)送給評估引擎模塊32,然后將評估引擎模塊32返回的判斷結果封裝為XACML響應發(fā)給用戶。評估引擎模塊32,先從多級緩存模塊33中獲取屬性、請求及對應結果、策略信息,然后將獲取的這些信息與訪問請求中指定的實體信息進行匹配,最后根據(jù)匹配結果對訪問請求執(zhí)行授權決策,若匹配成功則允許訪問,否則拒絕訪問。多級緩存模塊33,根據(jù)統(tǒng)計分析模塊34提供的屬性、策略和請求及對應結果調(diào)用頻率,將頻繁調(diào)用的屬性、策略和請求及對應結果信息存儲在緩存中,以有效降低評估引擎和其他功能部件的通信損耗,提高決策效率。統(tǒng)計分析模塊34,用于對審計服務單元I的日志信息進行分析,利用統(tǒng)計分析得到的屬性、XACML策略和請求及對應結果的調(diào)用頻率,實時、動態(tài)更新緩存內(nèi)容,調(diào)整XACML策略的規(guī)則順序,保證多級緩存模塊33中存儲的內(nèi)容都是頻繁使用的,保證調(diào)用最頻繁的規(guī)則排在XACML策略的最前面,以提高XACML策略匹配速度。(四)策略持久化服務單元4參照圖5,策略持久化服務4包括:策略持久化存儲模塊41和策略檢索模塊42。該單元的策略持久化存儲模塊41,用于存儲策略管理服務單元2創(chuàng)建的XACML策略文件,支持多種XACML策略存儲方式及XACML策略庫的動態(tài)添加和注銷。策略檢索模塊42,用于響應來自策略管理服務單元2和策略決策服務單元3的XACML策略檢索請求,并將查找到的XACML策略的內(nèi)容返回給策略管理服務單元2和策略決策服務單元3。(五)屬性斷言服務單元5參照圖6,屬性斷言服務5包括:屬性存儲模塊51和屬性檢索模塊52。該單元的屬性存儲模塊51,用于存儲用戶屬性和資源屬性,支持多種屬性存儲方式及屬性庫的動態(tài)添加和注銷。屬性檢索模塊52,響應來自策略決策服務單元3的屬性檢索請求,并將查找到的屬性以SAML斷言格式返回給策略決策服務單元3。參照圖7,本發(fā)明基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng)的完整評估決策流程如下:(I)用戶發(fā)出訪問請求,請求中包含用戶身份標識、資源標識和執(zhí)行的操作信息,策略決策服務單元3中的上下文處理器模塊31將用戶的原始請求轉換為XACML格式的訪問請求并發(fā)給評估引擎模塊32進行決策。(2)評估引擎模塊32對XACML格式的訪問請求進行處理,根據(jù)請求和此次會話標識ID在請求及對應結果緩存模塊332中檢索是否有關于該請求對應的判定結果,若請求及對應結果緩存模塊332中存在判定結果,則評估引擎模塊32直接將其封裝為XACML格式的響應返回給上下文處理器模塊31 ;若沒有檢索到判定結果,則評估引擎模塊32首先判斷屬性緩存模塊331中是否有該用戶的相關屬性;若有該用戶的相關屬性,則直接返回給評估引擎模塊32 ;若沒有檢索到該用戶的相關屬性,則從屬性斷言服務單元5檢索用戶的屬性;若檢索到用戶的屬性,則把檢索到的用戶屬性返回給評估引擎模塊32;若沒有檢索到該用戶的相關屬性,則提示非法訪問。(3)得到用戶的屬性信息后,評估引擎模塊32先根據(jù)訪問請求中的資源標識作為策略緩存機制的一級索引主鍵在策略緩存模塊333中檢索用來保護該資源的策略列表,然后將訪問請求中資源屬性和動作屬性的笛卡爾乘積作為策略緩存機制的二級索引的主鍵在這些策略列表中檢索對應的用戶屬性集。(4)從保護該資源的XACML策略文件中得到用戶屬性集后,評估引擎模塊32將這些屬性集與從屬性緩存331或屬性斷言服務單元5中得到的該用戶的屬性集進行匹配,若兩個屬性集相同,則匹配成功,允許用戶訪問;若兩個屬性集不相同,則匹配不成功,拒絕用戶訪問。評估引擎模塊32根據(jù)匹配結果得到對應的授權決策結果,并將授權決策結果轉換為XACML格式的響應返回給上下文處理器模塊31,上下文處理器模塊31將請求響應返回給用戶。為了提高XACML策略評估引擎系統(tǒng)的評估效率,本發(fā)明提供了統(tǒng)計分析模塊34,系統(tǒng)管理員利用統(tǒng)計分析得到的屬性、XACML策略和請求及對應結果的調(diào)用頻率,實時、動態(tài)更新緩存內(nèi)容,調(diào)整XACML策略的規(guī)則順序,保證多級緩存模塊33中存儲的內(nèi)容都是頻繁使用的,保證調(diào)用最頻繁的規(guī)則排在XACML策略的最前面,以減少XACML策略的匹配運算量,提高XACML策略匹配速度,達到提高XACML策略評估引擎系統(tǒng)評估效率的目的。術語解釋:XACML為可擴展的訪問控制標記語言,英文全稱是extensible Access ControlMarkup Language,它是用于決定請求/響應的通用訪問控制策略語言,SAML 為安全斷言標記語言,英文全稱是 Security Assertion Markup Language,它是用于在不同的安全域之間交換認證和授權數(shù)據(jù)的標準語言,SunXACML PDP 為開源商業(yè) XACML 引擎,AXESCON XACML 為開源商業(yè) XACML 引擎,Enterprise XACML 為開源商業(yè) XACML 引擎,會話標識為訪問請求期內(nèi)用戶激活的訪問會話的標識。
權利要求
1.一種基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),包括: 審計服務單元(1),用于記錄系統(tǒng)的訪問請求、請求響應、策略集屬性的調(diào)用信息,為策略決策服務單元(3)中的統(tǒng)計分析模塊(34)提供最準確的原始數(shù)據(jù); 策略管理服務單元(2),用于提供一個集中式的圖形化XACML策略管理平臺,完成XACML策略的基本操作、動態(tài)XACML策略精化、XACML策略的數(shù)值化; 策略決策服務單元(3),用于根據(jù)從屬性斷言服務單元(5)和策略持久化服務單元(4)中獲取的相關信息對用戶的訪問請求進行授權決策; 策略持久化服務單元(4),用于存儲策略管理服務單元(2)創(chuàng)建的XACML策略、支持多種XACML策略存儲方式及XACML策略庫的動態(tài)添加和注銷,并對策略決策服務單元(3)提供XACML策略檢索服務; 屬性斷言服務單元(5),用于提供屬性斷言存儲和發(fā)布服務,為策略決策服務單元(3)提供屬性檢索功能; 所述的策略決策服務單元(3),包括: 上下文處理器模塊(31),用于將原始用戶資源訪問請求解析為XACML請求并發(fā)送給評估引擎模塊(32),并將評估引擎模塊(32)返回的判斷結果封裝為XACML響應格式發(fā)給用戶; 評估引擎模塊(32),用于從多級緩存模塊(33)中獲取屬性、請求及對應結果、XACML策略信息,并將獲取的相關信息 與用戶訪問請求中指定的實體信息進行匹配,根據(jù)匹配結果對訪問請求執(zhí)行授權決策,并將決策結果返回給上下文處理器模塊(31); 多級緩存模塊(33),用于將頻繁調(diào)用的屬性、XACML策略和請求及對應結果信息存儲在緩存中,以有效降低評估引擎模塊(32)和其他功能部件的通信損耗,提高決策效率;統(tǒng)計分析模塊(34),用于對審計服務單元I的日志信息進行分析,利用統(tǒng)計分析得到的屬性、XACML策略和請求及對應結果的調(diào)用頻率,實時、動態(tài)更新緩存內(nèi)容,調(diào)整XACML策略的規(guī)則順序,保證多級緩存模塊(33)中存儲的內(nèi)容都是頻率使用的,保證調(diào)用最頻繁的規(guī)則排在XACML策略的最前面,以提高XACML策略匹配速度。
2.根據(jù)權利要求1所述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于策略管理服務單元(2),包括: XACML策略基本操作模塊(21),用于提供創(chuàng)建、修改、刪除和更新XACML策略的圖形化操作界面; 動態(tài)XACML策略精化模塊(22),用于實現(xiàn)XACML策略匹配的前期優(yōu)化; 策略數(shù)值化模塊(23),用于將文本的XACML策略轉化為數(shù)值化的XACML策略,使評估引擎使用高效的整數(shù)比較,而不再是低效的字符串匹配; 策略持久化服務遠程過程調(diào)用模塊(24),用于為策略管理服務單元(2)和策略持久化服務單元(4)提供交互接口。
3.根據(jù)權利要求1所述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于策略持久化服務單元(4),包括: 策略持久化存儲模塊(41 ),用于存儲系統(tǒng)中的XACML策略文件,支持多種XACML策略存儲方式及XACML策略庫的動態(tài)添加和注銷; 策略檢索模塊(42),用于響應來自策略決策服務單元(3)的XACML策略檢索請求,并將查找到的XACML策略的內(nèi)容返回給策略決策服務單元(3)。
4.根據(jù)權利要求1所述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于屬性斷言服務單元(5),包括: 屬性存儲模塊(51),用于存儲用戶屬性和資源屬性,支持多種屬性存儲方式及屬性庫的動態(tài)添加和注銷; 屬性檢索模塊(52),用于響應來自策略決策服務單元(3)的屬性檢索請求,并將查找到的屬性以SAML斷言格式返回給策略決策服務單元(3)。
5.根據(jù)權利要求2所述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于動態(tài)XACML策略精化模塊(22),包括: 冗余規(guī)則分析模塊(221),用于利用狀態(tài)覆蓋法,檢測XACML策略中不產(chǎn)生實際判定影響的冗余規(guī)則,并將冗余規(guī)則刪除來縮減XACML策略的規(guī)模; 規(guī)則重排序模塊(222),用于從統(tǒng)計分析模塊(34)獲取XACML策略規(guī)則的調(diào)用頻率,并根據(jù)調(diào)用頻率由高到低調(diào)整規(guī)則順序。
6.根據(jù)權利要求1所述的基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),其特征在于多級緩存模塊(33),包括: 屬性緩存模塊(331),用于保存頻繁檢索的屬性信息,以減少導致系統(tǒng)響應延遲的頻繁屬性檢索操作,提高評估引擎的效率; 請求及對應結果緩存模塊(332),用于保存頻繁的訪問請求及對應響應結果,當再次訪問時,不必觸發(fā)屬性檢索、策略 檢索及策略匹配等導致系統(tǒng)響應延遲的復雜流程,提高評估引擎的效率; 策略緩存模塊(333),用于保存頻繁檢索的XACML策略文件,以減少導致系統(tǒng)響應延遲的頻繁XACML策略檢索操作,提高評估引擎的效率。
全文摘要
本發(fā)明提出了一種基于多種優(yōu)化機制的XACML策略評估引擎系統(tǒng),解決現(xiàn)有XACML策略評估引擎系統(tǒng)不能為海量用戶同時發(fā)出的訪問請求及時做出正確決策的問題。該系統(tǒng)包括審計服務(1)、策略管理服務(2)、策略決策服務(3)、策略持久化服務(4)和屬性斷言服務(5);審計服務(1)記錄系統(tǒng)的交互信息;策略管理服務(2)提供集中式的圖形化策略管理平臺;策略決策服務(3)對用戶請求進行決策;策略持久化服務(4)提供策略存儲和策略檢索功能;屬性斷言服務(5)提供屬性存儲和屬性檢索功能。本發(fā)明具有評估效率高,匹配運算量小,匹配速率快和易于集成的優(yōu)點,可用于分布式環(huán)境下為海量用戶的訪問請求及時做出正確決策。
文檔編號G06Q10/04GK103198361SQ20131007501
公開日2013年7月10日 申請日期2013年3月9日 優(yōu)先權日2013年3月9日
發(fā)明者牛德華, 馬建峰, 馬卓, 王蕾, 李辰楠 申請人:西安電子科技大學
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
浑源县| 会宁县| 疏勒县| 祁连县| 洞口县| 大埔县| 奉化市| 东海县| 沙湾县| 繁昌县| 江安县| 体育| 石门县| 新源县| 蒲江县| 屯留县| 雷州市| 永嘉县| 德保县| 肃宁县| 巨鹿县| 沅陵县| 栾城县| 博客| 宝山区| 泰和县| 皮山县| 普定县| 班玛县| 汝城县| 瓦房店市| 保亭| 会理县| 广安市| 林周县| 宽甸| 济阳县| 甘肃省| 榕江县| 资源县| 大宁县|