[发明专利]基于匹配树的可扩展访问控制标记语言策略搜索方法

说明书

本发明公开了一种基于匹配树结构的可扩展访问控制标记语言策略搜索方法，主要解决现有技术中策略搜索效率低及匹配树和组合树中结点信息重复的问题。其实现方案是：根据原始策略的结构和信息生成初始匹配树，并消除初始匹配树中同一路径下的重复属性；根据初始匹配树的路径生成路径标识，用其替代初始匹配树叶结点中的路径信息得到精简后匹配树，并将路径信息与对应的路径标识存放在映射表中；根据用户发送的访问请求在匹配树上搜索适用规则路径的路径标识，利用映射表在策略库中找到请求的适用策略。本发明通过优化匹配树结构，降低了策略迁移成本，提高了策略搜索效率，可用于使用大规模策略的访问控制过程中。

技术领域

本发明属于信息安全技术领域，更进一步涉及一种的可扩展访问控制标记语言XACML的策略搜索方法，可用于使用大规模策略的访问控制过程中，并提高搜索效率。

背景技术

在云计算、物联网环境下，系统处于一个开放的环境，安全受到更多威胁。访问控制通过权限授予来保证系统的安全性，是当前保障计算系统安全的公认方法之一。现存的访问控制大多是通过预先设定好的策略对用户的请求进行评估，并最终决定是否将请求申请的特定资源授权给用户。

XACML 3.0作为结构化信息标准促进组织OASIS批准的通用策略语言标准，具有严谨的语法以及灵活且细粒度的表达方式，已成为访问控制系统中描述安全策略的主要语言。随着网络化发展和系统规模的不断扩大，安全策略的规模及其复杂程度也显著增加。这些因素为策略评估引擎的设计带来了巨大挑战，需要进一步优化现有的XACML策略评估方法，以降低请求的响应时间。

Santiago等人在Proceedings of the 17th ACM symposium on Access ControlModels and Technologies会议上提出利用匹配树和合并树两种结构提升策略评估效率的方法，其通过对匹配树进行预先搜索以获取所有匹配结果，再利用合并树将所有结果合并得到最终评估结果。然而，由于匹配树和合并树结构类似，且存在着空间冗余以及结点信息重复的问题，导致在策略搜索阶段浪费部分计算资源，影响策略评估引擎的评估效率。

发明内容

本发明的目的在于针对上述现有技术的不足，提供一种基于匹配树的可扩展访问控制标记语言策略搜索方法，以避免空间冗余以及结点信息的重复，提升策略评估过程中的策略搜索效率。

本发明的技术思路是：将传统XACML策略评估过程中策略全遍历搜索的方式通过利用辅助结构优化搜索效率，提取原始策略结点中的属性以及合并算法信息，构造一种与原始策略存在映射关系的匹配树结构，减少评估过程中与请求无关的策略数量，提高策略搜索速度，改善策略评估过程的整体效率。其实现步骤包括如下：

(1)获取初始匹配树结构：

1a)从可扩展访问控制标记语言的原始策略集中提取出各结点中的属性标签、子结点集合和每条规则路径I的路径信息E；

1b)仿照原始策略集的结构生成初始匹配树结构，并将属性标签和子结点集合存放到对应的匹配树非叶结点中，将路径信息E存放到对应的匹配树叶结点中；

1c)遍历匹配树所有结点，将结点中存在析取关系的属性标签拆为同一父结点下的并列结点，且将该结点下子树迁移到所有并列结点下；将结点中存在合取关系的属性标签拆为父子结点，将该结点下子树迁移到拆分后的最下层结点下；

(2)精简匹配树：

2a)消除匹配树上同一路径下的重复属性，并向叶结点添加对应的路径标识s；

2b)创建一个用于存放路径标识和路径信息的映射表M；