[发明专利]基于匹配树的可扩展访问控制标记语言策略搜索方法

权利要求书

1.一种基于匹配树的可扩展访问控制标记语言策略搜索方法，其特征在于，包括如下：

(1)获取初始匹配树结构：

1a)从可扩展访问控制标记语言的原始策略集中提取出各结点中的属性标签、子结点集合和每条规则路径I的路径信息E；其中的规则路径I，是由从策略根结点到任意结点所经过的结点所构成的路径，其表示如下：

f:x₁,x₂,...,x_j,...,x_n→I

其中，x_j为规则路径I中第j层结点，I上所有结点需满足关系：x₁Rx₂,x₂Rx₃,...,x_jRx_j+1,...,x_n-1Rx_n，R是父子结点间的二元关系，即结点x_j是结点x_j+1的父结点，每条策略中的规则都关联一条规则路径；

其中的路径信息E，表示如下：

E＝(p_n,p_c)

其中，p_n是由规则路径I上所有结点的唯一ID顺序排列构成的一个有序序列；p_c是由规则路径I上所有结点中合并算法构成的一个有序序列；

1b)仿照原始策略集的结构生成初始匹配树结构，并将属性标签和子结点集合存放到对应的匹配树非叶结点中，将路径信息E存放到对应的匹配树叶结点中；

1c)遍历匹配树所有结点，将结点中存在析取关系的属性标签拆为同一父结点下的并列结点，且将该结点下子树转移到所有并列结点下；将结点中存在合取关系的属性标签拆为父子结点，将该结点下子树转移到拆分后的最下层结点下；

(2)精简匹配树：

2a)消除匹配树上同一路径下的重复属性，并向叶结点添加对应的路径标识s；

2b)创建一个用于存放路径标识和路径信息的映射表M；

2c)遍历匹配树中的叶结点，当M中存在当前叶结点的路径标识时，将该结点中的路径信息保存在M中路径标识对应的路径信息集合中，并删除匹配树上该结点的所在分支；当M中不存在当前叶结点的路径标识时，将该结点中的路径标识和路径信息存放在M中，并删除匹配树上该结点中的路径信息，得到精简后的匹配树；

(3)在精简后的匹配树上搜索满足请求的适用规则路径，并根据适用规则路径的叶结点中的路径标识在映射表M中获取对应的路径信息，根据该路径信息从原始策略集中获取需要参与评估的适用策略集；所述适用规则路径是指匹配树规则路径上所有结点的匹配属性都是请求中属性集合的子集。

2.根据权利要求1所述的方法，其特征在于，1b)中的初始匹配树结构，是由初始匹配树结点N构成，表示如下：

N＝(S,E)

其中，S是一个初始匹配树结点N上匹配属性ID的集合，当N为叶结点时，S为空；E是路径信息，代表从初始匹配树根结点到达初始匹配树结点N的路径信息，当N为非叶结点时，E为空。

3.根据权利要求1所述的方法，其特征在于，2a)中的路径标识s,是指利用MD5算法将规则路径I上所有结点的匹配属性构成的有序序列转换为具有唯一性的标识。

4.根据权利要求1所述的方法，其特征在于，2b)创建的存放路径标识和路径信息的映射表M，是由路径标识s和路径信息E两种数据结构构成，其中s和E之间存在多对多关系。

5.根据权利要求1所述的方法，其特征在于，2c)中得到的精简后匹配树，是由精简后匹配树结点N'构成，表示如下：

N'＝(S',s)

其中，S'是一个精简后匹配树结点N'上匹配属性ID的集合，当N'为叶结点时，S'为空；s是路径标识，代表从精简后匹配树根结点到达精简后匹配树结点N'的路径标识，当N'为非叶结点时，s为空。