CN103902742A - 一种基于大数据的访问控制判定引擎优化系统及方法 - Google Patents

Abstract

一种基于大数据的访问控制判定引擎优化系统，由客户端和服务器端组成，服务器端负责对客户端发出的请求进行决策评估、授权及执行；分为四个部分：①原有的访问控制判定引擎及其基础设施部分，包括访问控制判定评估引擎模块、策略执行点、属性权威模块和策略库模块；②预处理框架置，用于访问控制判定引擎部署前的处理工作，包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，用于处理服务器端运行时的实时请求，包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，包括新进实体登记模块、属性变更维护模块、策略变更维护模块和预备策略集模块。本发明具有高效性、高可用性、安全性、通用性的优点。

Description

一种基于大数据的访问控制判定引擎优化系统及方法

技术领域

本发明属于信息安全的访问控制领域，具体涉及一种基于大数据的访问控制判定引擎优化系统及方法。

背景技术

随着现代互联网环境的开放度增加、区域互联增强、事物处理趋于多样化和复杂化，人类社会已经逐步迈入了大数据时代。大数据时代的一个显著特征就是用户海量化、资源海量化、交互关系日益复杂化，安全也自然而然成为了首要的问题之一。作为一种信息安全领域的重要技术手段，访问控制技术各方面的性能，在大数据环境下也面临着越来越多的挑战——突出的表现为：①安全性和可靠性要求越来越高，更多的强调细粒度的访问控制；②传统的访问控制手段授权粒度偏粗、可扩展性差，如封闭环境下的访问控制链(ACL)和访问控制矩阵(ACM)和半开放环境下的基于身份的访问控制(IBAC)、基于任务的访问控制(TBAC)以及基于角色的访问控制(RBAC)等，面对海量用户数据和复杂授权关系，表现出较差的兼容性和可扩展性；③绝大多数判定评估引擎的效率偏低。XACML(可扩展性访问控制标记语言)，已逐渐成为多个企业应用和商业产品实现安全授权功能的实际标准，更是广泛的应用于基于属性的访问控制(ABAC)，满足了细粒度访问控制、可扩展性、安全性等要求。然而，分布式资源共享、Web服务、域间协作等新兴业务需要制定大量的XACML策略条目对资源进行细粒度访问控制，但随着策略规模和策略语义复杂性的上升，策略评估效率已成为制约系统可用性的关键瓶颈。XACML规范中虽然给出了访问控制实施框架，但并没有提供策略分析、规则匹配、判定响应等相关的优化处理方法，这在很大程度上导致了XACML策略评估引擎在处理策略信息检索、多策略匹配等问题时的实际性能指标偏低，具体表现为系统资源开销大、访问请求应答延时长、远程通信交互多，因而无法满足商业应用的高业务吞吐量。现有的相关工作主要集中在策略的建模、验证、分析和测试方面，虽然也有少数的工作来优化判定引擎的效率(如：XEngine，Enterprise XACML等)，但是这些方案或者存在诸多的局限、或者在大数据环境下优化效果不够明显，因而都不能给出一种很好的解决方法。

发明内容

本发明技术解决问题：克服现有技术的局限性和低可用性的不足，提供一种基于大数据的访问控制判定引擎优化系统及方法，具有通用性好、安全性高、效率高的优点。

本发明技术解决方案：一种基于大数据的访问控制判定引擎优化系统，如图1所示，由客户端和服务器端组成，客户端用于向服务器端发出请求；服务器端负责对客户端发出的请求进行决策评估、授权及执行；在服务器端负责对客户端发出的请求进行决策评估、授权及执行。其中基于大数据是指以海量用户、海量资源和复杂授权关系为背景所提出的针对大数据的高效访问控制判定引擎的优化系统。部署在服务器端的系统可以划分为四部分主要部分：①原有的访问控制判定引擎及其基础设施，具体包括访问控制判定评估引擎、策略执行点、属性权威和策略库，这些组件构成了经典的PCIM通用访问控制架构(引用出处Moore B，Ellesson E，Strassner J，et al.Policy core informationmodel–version1specification[R].RFC3060，February，2001.)；②预处理框架，该框架用于访问控制判定引擎部署前的处理工作，具体包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，用于处理服务器端运行时的实时请求，具体包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，用于在整套访问控制判定引擎及优化系统部署后，为了应对实体数据高度动态的改变而可能导致的错误，而提出的运行维护装置，具体包括新进实体登记模块、属性变更维护模块、策略变更维护模块，一个存储模块——预备策略集模块。注意②③④三个部分是本优化系统在传统访问控制架构基础上新增的功能模块，依据其作用的时期来划分的(分别作用在系统部署前、部署中、部署后)。其中：

属性预处理模块，首先进行属性选择，根据属性权威模块提供的属性信息以及策略库模块提供的策略内容选择参与本系统优化的属性；再进行属性压缩，根据属性权威模块提供的属性信息，为每种属性的属性值预先建立好的属性层次树以及为每种属性预先设定的期待压缩后的属性值团的数量，针对每种选择出来的属性即关键属性分别进行压缩；压缩后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；所述属性是指描述实体的某些特征，所述实体包括主体和资源，所述实体分为真实实体和虚拟实体；所述属性分为种类属性和数字属性，所述种类属性是指一些字符串类型的属性，更多的表明一些性质上特点的属性；所述数字属性是一些数值类型，包括整型和实数型，更多的表明一些数量上的特征；所述属性信息就是属性集合；所述属性值是该属性可能的取值；所述属性值团是指多个属性值压缩后所在的小型集合(管理员规定参数，想小到什么程度就能小到什么程度，最小为1)，是属性压缩技术的产物；所述属性层次树是指对于种类属性，对其下所属的属性值按照归属、包含的联系建立起来属性值之间的依赖关系，将这种依赖归结为树形结构；

第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；再根据经典的K-means算法进行适当调整，并根据两个虚拟实体之间的带权相似度对虚拟实体进行聚类，得到第一阶段簇FSC；然后，根据属性权威模块中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中，获取该簇中虚拟实体对应的真实实体的集合；最后，通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第一阶段簇FSC寻找准适用策略，从而获取附属于各个第一阶段簇的准适用策略集F-pols，所述准适用策略指通过策略模糊匹配方法得到的适用策略集合；该模块执行完毕后将产生的所有的第一阶段簇FSC结果发送给第二阶段聚类模块；所述第一阶段簇FSC结果包括虚拟实体的集合、第一阶段准适用策略集F-pols、与该簇中虚拟实体对应的真实实体的集合；

第二阶段聚类簇模块，首先，初始化真实实体属性向量，即根据属性权威模块提供的属性信息，将所有的真实实体的数字属性组织成向量的形式；然后对每个第一阶段簇FSC中的真实实体，通过Fast Kmeans算法进一步聚类得到第二阶段簇SSC，执行过程中要保留各个第二阶段簇SSC的簇心即向量；再通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第二阶段簇SSC寻找准适用策略，获取各个第二阶段簇的准适用策略集S-pols；最后将得到的所有第二阶段簇SSC结果发送给注册中心模块和映射关系模块；所述第二阶段簇SSC结果包括真实实体的集合、簇心、第二阶段准适用策略集S-pols；

注册中心模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，建立主体登记表HashSet_sub，遍历所有经过预处理后的主体即用户，将主体标识sub_ID添加到主体登记表HashSet_sub中；然后建立资源登记表HashSet_res，遍历所有经过预处理后的资源，将资源标识res_ID添加到资源登记表HashSet_res中；同时接收策略库模块发出的查稳步请求，根据主识和资源的标识查询实体登记情况，并向映射关系模块发送响应；如果有实体未登记事件，则会触发后台运维服务中的新进实体登记模块；

映射关系模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，遍历各个主体第一阶段簇FSC_sub中的各个主体第二阶段簇SSC_sub，建立主体与对应主体第一阶段簇SSC_sub的映射关系；再遍历各个资源第一阶段簇中的各个资源第二阶段簇SSC_res，建立主体与对应各个资源第二阶段簇SSC_res的映射关系；然后遍历策略库模块中所有的策略，为每一个动作ac_i建立一个动作集合

用于存放适用于动作ac_i的所有的策略标识；最后，分别为虚拟主体和虚拟资源建立两个映射关系，即虚拟主体映射关系HashMap_virsub和虚拟资源映射关系HashMap_virres，再根据注册中心发送的响应信息，查询映射关系，得到主体请求(sub,res,ac)对应的准适用策略集合的标识组合(Sid_sub,Sid_res,Sid_ac)，并将所述标识组合(Sid_sub,Sid_res,Sid_ac)发送给集合运算优化模块；

集合运算优化模块，根据映射关系模块传递的标识组合(Sid_sub,Sid_res,Sid_ac)进行交集运算，并将交集运算结果Set_pol提交给策略库模块；

属性权威模块，是属性数据库系统，负责存储实体属性，管理实体属性，管理实体属性包括有关属性增加、删除、变更和查询业务；接收访问控制判定评估引擎模块发出主体标识sub_ID以及资源标识res_ID请求查询，并将查询到的主体和资源的相关属性结果返回访问控制判定评估引擎模块；同时对经过属性预处理模块处理后发生变化的主体或者资源的属性，作为一个触发属性变更维护服务的事件，发送给属性变更维护模块；

策略执行点，接收客户端发出的请求，并将请求访问控制判定评估引擎模块发出评估请求；同时将访问控制判定评估引擎模块的评估结果返回给客户端；

访问控制判定评估引擎模块，根据客户端的用户请求即主体请求，向属性权威模块请求主体和资源的相关属性；同时接收属性权威模块发回的查询后的主体和资源的相关属性；访问控制引擎根据主体和资源的相关属性在进行具体授权判定的时候，向策略库模块发出请求策略集，接收到策略库模块发来的策略集后，依据该策略集进行判定，并将判定结果输出给主体即用户；

策略库模块，用于存放策略，同时有策略有效位表，它是策略库中实时维护的一个数据结构，用来标识每个策略的有效性，每一个位对应一个策略，“0”表示策略无效；接收访问控制判定评估引擎模块发来请求评估所用的策略集合，然后向注册中心模块发出查询请求；接收集合运算优化模块的交集运算结果Set_pol的标识，然后通过检验策略有效位表Valid-Bit过滤掉无效策略，同时与预备策略集模块中的策略标识进行合并，得到小规模策略集合并发送给访问控制判定评估引擎模块；当需要策略变更时，触发策略变更维护模块；

新进实体登记模块：用来处理新进的实体，即在系统部署前没有进行过预处理的实体；首先，提取该实体对应的虚拟实体，通过映射关系模块，锁定虚拟实体对应的第一阶段簇FSC，将该实体的数值属性组织成属性向量，通过计算该向量与各第二阶段簇SSC的欧几里德距离，选出距离最小的，也就是最相似的第二阶段簇SSC，将该新进实体标识ID加入到对应的映射关系中；然后调用预处理框架中的第二阶段聚类模块，将得到的新进实体对应的准适用策略集Set_new与原有的S-pols合并即可；上述处理完成后，将该实体对应的标识加入到实体登记表HashSet中，分别将主体登记表HashSet_sub和资源登记表HashSet_res中标记为已登记；

属性变更维护模块：用来处理已登记实体在系统部署后已登记实体对应的一些关键属性发生变化的情形；执行时仅需要将该实体的已登记的记录消除即从实体登记表HashSet中移除已登记实体标识，然后将该实体看作新进实体，调用新进实体登记模块即可；同时将新实体属性送至属性权威模块中存储；

策略变更维护模块：用来处理策略集模块中的策略发生变更的情形；首先，将原有策略pol_old从策略库模块中移除，将变更后的新策略pol_new加入到策略库模块和预备策略集模块中；再将策略有效位表中原有策略pol_old对应的位bit置为“0”即无效；然后，遍历各个第一阶段簇FSC及各个第二阶段簇SSC，将变更后的新策略pol_new的标识加入到变更后的新策略pol_new所适用的簇的准适用策略集中；完成上述操作后，将变更后的新策略pol_new在策略有效位表对应的位bit置为“1”即有效，并将变更后的新策略标识pol_new_ID从预备策略集模块中移除；

预备策略集模块：用于存放必须评估策略及策略标识，是针对策略变更维护使用的，用于策略的加入与移除操作；同时将策略标识发给出策略库模块。

一种基于大数据的访问控制判定引擎优化方法，实现步骤如下：

(1)系统部署前的预处理：即调用预处理装置、初始化注册中心模块和映射关系模块；

(1.1)调用属性预处理模块，首先，进行属性选择，根据属性权威提供的属性信息以及策略库模块提供的策略内容选择参与本系统优化的属性；接下来，进行属性压缩，根据属性权威提供的属性信息、管理员为每种属性的属性值预先建立好的属性层次树以及管理员为每种属性预先设定的期待压缩后的属性值团的数量，针对每种选择出来的属性分别进行压缩；该模块执行完毕后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；

(1.2)调用第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；接下来，第一阶段聚类，根据经典的K-means算法进行适当调整，然后对虚拟实体进行聚类；然后，获取附属于各簇的真实实体，根据属性权威中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中；最后获取附属于各个第一阶段簇的准适用策略集F-pols，通过对策略库中的策略进行修改，并采用策略模糊匹配来为各个FSC寻找准适用策略；该模块执行完毕后将产生的所有的第一阶段簇FSC发送给第二阶段聚类模块；

(1.3)调用第二阶段聚类簇模块，首先，初始化真实实体属性向量，根据属性权威模块提供的属性信息，将所有的真实实体的数字属性组织成向量的形式；接下来，第二阶段聚类，对每个第一阶段簇FSC中的真实实体，通过Fast Kmeans算法进一步聚类得到第二阶段簇SSC；最后，获取各个第二阶段簇的准适用策略集、S-pols，通过对策略库中的策略进行修改，并采用策略模糊匹配来为各个SSC寻找准适用策略；该模块执行完毕后将产生的所有的第二阶段簇发送给注册中心模块和映射关系模块；

(1.4)初始化注册中心模块，根据(1.2)和(1.3)的处理结果，首先，建立主体登记表，遍历所有经过预处理的主体即用户，将主识标识sub_ID添加到主体登记表HashSet_sub中；接下来，建立资源登记表，遍历所有经过预处理的资源，将res_ID添加到资源登记表HashSet_res中；

(1.5)初始化映射关系模块，根据(1.2)和(1.3)的处理结果，首先，遍历各个FSC_sub中的各个SSC_sub，建立用户与SSC_sub的映射关系；接下来，遍历各个FSC_res中的各个SSC_res，建立用户与SSC_res的映射关系；然后，遍历所有的策略，为每一个ac_i建立一个

存放适用于动作ac_i的所有的策略标识；最后，分别为虚拟主体和虚拟资源建立虚拟主体HashMap_virsub和虚拟资源HashMap_virres两个映射关系；

(2)系统部署后的实时服务及后台运维服务框架：

(2.1)客户端向服务器的策略执行点发出请求req(sub,res,ac)；其中，sub是指用户即主体的标识，res是所请求的资源的标识，ac是指该用户即主体针对资源请求的动作；

(2.2)策略执行点向访问控制判定引擎模块发出授权请求req(sub,res,ac)；

(2.3)访问控制判定引擎模块根据sub,res的标识信息向属性权威请求实体属性集；

(2.4)属性权威根据访问控制判定引擎模块发送的请求中sub,res对应的标识信息，查询实体属性集合，并将其返回给访问控制判定引擎模块；

(2.5)访问控制判定引擎模块向策略库模块请求评估策略集合req(sub,res,ac)；

(2.6)策略库模块向实时服务装置发出请求req(sub,res,ac)；

(2.7)注册中心模块首先根据主体和资料的标识查询实体登记情况，并向映射关系模块发送响应；如果有实体未登记事件，则会触发后台运维服务中的新进实体登记模块；

(2.8)映射关系模块根据注册中心发送的响应信息，查询映射关系，将(sub,res,ac)对应的准适用策略集合的标识组合(Sid_sub,Sid_res,Sid_ac)发送给集合运算优化模块；

(2.9)集合运算优化模块，根据标识组全(Sid_sub,Sid_res,Sid_ac)得到相应的准适用策略集并执行交集优化，得到交集优化结果Set_pol，发送给策略库；

(2.10)预备策略集模块将其中的策略标识发送给策略库模块；

(2.11)策略库模块对(2.9)中得到的交集优化结果Set_pol的标识通过检验策略有效位表过滤掉无效策略，同时与预备策略集模块中的策略标识进行合并发送给访问控制判定评估引擎模块；

(2.12)访问控制判定评估引擎模块根据策略库模块提交的小规模策略集合快速做出评估，并将判定结果返回给策略执行点；

(2.13)策略执行点执行判定结果，并返回给客户端用户执行情况。

本发明与现有技术相比的优点在于：

(1)通用性和安全性

本发明是基于传统的经典PCIM架构进行的拓展，适用于符合该经典架构的所有的访问控制判定评估引擎，即通用性；而传统的经典访问控制引擎本身就满足安全性，即安全性。

(2)高效性

本发明中通过预处理框架的工作基于聚类的思想建立起了“两层”簇的结构，并为各级簇分配了小规模的准适用策略集合，除此之外，在实时服务框架中，建立了可以对准适用策略集高效查找的映射关系，并通过集合运算优化进一步缩小最终参与评估的策略规模，进而能够快速的返回给策略库模块小规模的策略标识去参与判定评估，大大减小了访问控制判定评估引擎的工作量，因此是高效的。

(3)高可用性

本发明的后台运维框架针对实体属性及策略可能改变的问题，建立了多个维护模块，实时跟踪维护预处理结果——映射关系——的正确性，同时，通过注册中心模块可以应对大数据环境下，预处理工作量过大的问题，通过自适应、自学习来维持本系统的可靠性、高可用性。

附图说明

图1为本发明的总体结构图；

图2为本发明中属性层次树；

图3为本发明中第一阶段聚类布局图；

图4为本发明中第二阶段聚类布局图；

图5为经典PCIM访问控制系统；

图6XACML匹配逻辑实例；

图7为本发明中集合运算优化示意图；

图8为本发明中预处理框架实现流程图；

图9为本发明中实时服务框架实现流程图；

图10为本发明中后台维运框架实现流程图。

具体实施方式

如图1所示，本发明由服务器端和客户端组成，其中服务器端包括四个部分：①原有的访问控制判定引擎及其基础设施，包括：访问控制判定评估引擎模块、策略执行点、策略库模块、属性权威模块；②预处理框架：属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架：注册中心、映射关系模块、集合运算优化模块；④后台运维框架：新进实体登记模块、属性变更维护模块、策略变更维护模块。

其中：①原有的访问控制系统及其基础设施，这里采用Sun’s XACML系统作为基础的访问控制引擎；②③④部分的使用Java JDK1.6.0_10-rc2开发完成。

为了更好的理解本发明的技术方案，先对下述的几个概念和方法进行说明：

属性：描述了实体的某些特征，如：对于用户这个实体，它的属性可能包含：年龄，性别，角色等。在发明本技术方案中，将实体属性分为两类分别处理：一类是“种类属性”，一类是“数字属性”。前者多数是一些字符串类型的属性，更多的表明一些性质上特点，如：性别、角色、文件类型等，后者多数是一些数值类型(整型、实数型等)，更多的表明一些数量上的特征，如：年龄、工龄、分数等。在本发明中，注意区分属性和属性值，属性是类别名称，如：职称；属性值是该属性可能的取值，如：助教、教授等。

属性权威模块：是服务器端的组件，也是访问控制系统的基础设施之一，负责存储、管理实体属性(增、删、改、查)，通常为数据库系统。

用户请求：格式为req(sub,res,ac)，其中，sub是指用户即主体的标识，res是所请求的资源的标识，ac是指该用户即主体针对资源请求的动作。本发明中用到了属性权威，通过标识来检索属性集合，在其他方案中未提到属性权威的，sub、res也可能泛指属性集合。

策略库模块：其中存放的是管理员预先分配的访问控制策略(XACML Policy)，策略即为授权的依据，在判定评估时该模块会将策略提交至访问控制判定评估引擎。

适用策略集：注意对于一个请求req(sub,res,ac)，不是所有的策略都适用，适用的策略集合成为适用策略集。这里的“适用”是指，req(sub,res,ac)中sub、res对应的属性均满足策略中的逻辑谓词，例如：sub对应的属性为年龄17岁，而策略pol₁中对年龄的要求是大于18岁，那么策略pol₁即不适用于该sub发出的req。

准适用策略集：指通过“策略模糊匹配”方法得到的适用策略集合，在本发明当中，无论是第一阶段簇的准适用策略集(F-pols)，还是第一阶段簇的准适用策略集(S-pols)，其中存储的都是策略标识，并非策略本身。

访问控制判定评估引擎模块：访问控制系统的基础设施之一，根据用户即主体请求，根据策略库中管理员预先分配的访问控制策略(XACML Policy)，来对用户的请求进行判定。

策略执行点：访问控制系统的基础设施之一，负责向访问控制判定评估引擎发出用户的授权请求，以及执行判定结果对应的动作、向用户反馈执行结果等。

属性层次树：对于“种类属性”，对其下所属的属性值按照归属、包含等联系建立起来属性值之间的依赖关系，该依赖可以归结为树形结构。如图2所示，是“部门”这个属性所对应的属性值之间的属性层次树。

属性值相似度：对于属性层次树中，任意两个结点之间，本发明定义一种相似关系，成为属性相似度，具体计算方法为 $S(v_i,v_j)=1-\frac{\mathrm{DisPath}(v_i,v_j)}{2H}......\left(1\right),$ 其中，v_i,v_j表示树中任意两个结点；H代表整个“属性层次结构树”的高度，在图2中，H＝3；DisPath(v_i,v_j)代表v_i,v_j两个结点之间的路径距离，例如，在图2中，DisPath(Student,Professor)＝4。(该计算方法引自Lin Dan et al."A Similarity Measure for Comparing XACML Policies"[J].Knowledge and Data Engineering，IEEE Transactions on，2013，25(9):1946-1959.)

属性值团及其相似度：属性值团，是指多个属性值压缩后所在的小型集合，是属性压缩技术的产物。这里的属性压缩，实质上是依据属性相似度进行的一种聚类，将相似的属性聚集到同一个属性值团中。属性值团有关的相似度计算方式如下：

$S_{v2c}(v_x,C)=\left\{\begin{array}{cc}\frac{\underset{v\∈C}{\mathrm{\Σ}}S(v_x,v)}{\left|C\right|}& v_x\∉C\\ 1& v_x\∈C\end{array}\right.......\left(2\right)$

$S_c(C_i,C_j)=S_c(C_j,C_i)=\frac{\underset{{v\∈C}_i}{\mathrm{\Σ}}{S}_{v2c}(v,C_j)}{\left|C_i\right|}=\frac{\underset{{v\∈C}_i}{\mathrm{\Σ}}\underset{v_1\∈C_j}{\mathrm{\Σ}}S(v,v_1)}{\left|C_j\right|\left|C_j\right|}......\left(3\right)$

$S_c(C_i\∪C_j,C_k)=\frac{S_c(C_i,C_k)\left|C_i\right|+S_c(C_j,C_k)\left|C_j\right|}{|C_i\∪C_j|}......\left(4\right)$

其中，(2)式计算属性值到属性值团的相似度；(3)式计算属性值团之间的相似度；(4)式计算的是两个属性值团合并后与其他属性值团的相似度(考虑属性值团的并集操作)。

虚拟实体：本概念是相对与真实实体来讲的，真实实体指具体的主体(本发明中是用户)或者资源，虚拟实体是对真实概念的一种抽象。下面给出正式的定义：假设经过属性选择之后，有n种“种类属性”被选中，分别是C₁,C₂,...,C_n；经过属性压缩之后，每种属性所包含的属性值(团)分别为

那么， $\∀(v_1,v_2,...,v_n)\∈C_1\×C_2\×...\×C_n,$ "×"指笛卡尔乘积，就称(v₁,v₂,...,v_n)为一个“虚拟实体”。∪是并集符号，在(2-4)公式中，C指的是属性值团，在虚拟实体的定义中，C指的是种类属性，其中的C中的v_x指的是种类属性C下属的属性值团(也可能是属性值，如果没有压缩的话)。

第一阶段簇(FSC)：第一阶段聚类的结果，具体包括虚拟实体的集合、第一阶段准适用策略集(F-pols)、与该簇中虚拟实体对应的真实实体的集合，如图3所示。

第二阶段簇(SSC)：第二阶段聚类的结果，具体包括真实实体的集合、簇心、第二阶段准适用策略集(S-pols)，如图4所示。

策略有效位表(Valid-Bit)：该表是策略库中实时维护的一个数据结构，用来标识每个策略的有效性，每一个位对应一个策略，“0”表示策略无效(如：策略做了变更)，“1”表示策略有效。(注意：这里有效与否是针对一个策略在实时服务装置中映射关系模块里的有效性。策略库模块在向访问控制判定评估引擎模块提交最终参与评估的策略标识集合时，会滤去图1中数据流程提交的失效策略标识)。

策略模糊匹配：是一种匹配方式，通过修改策略(两种修改方式：第一阶段聚类模块(4.1)和第二阶段聚类模块(3.a))获得原策略的“弱匹配条件”策略(移除了实体对应元素以外的匹配条件，同时对属性选择淘汰的属性匹配条件进行“恒真谓词”的替换)，可以保证实体对于修改后新策略的匹配适用集合(准适用策略集)，一定是真正能匹配集合的一个超集，但是该超集是规模是远远小于策略库中的策略全集规模的。例如：策略集合全集Set_U＝{p₁,p₂,...,p_n}，对于一个请求req(sub,res,ac)，sub对应的准适用策略集

res对应的准适用策略集

ac对应的准适用策略集

真正最终适用的集合为

那么它们之间存在这样的关系: ${\mathrm{Set}}_{\mathrm{final}}\⊆{\mathrm{Set}}_{\mathrm{sub}}\⩓{\mathrm{Set}}_{\mathrm{final}}\⊆{\mathrm{Set}}_{\mathrm{res}}\⩓{\mathrm{Set}}_{\mathrm{final}}\⊆{\mathrm{Set}}_{\mathrm{ac}},{\mathrm{Set}}_{\mathrm{final}}\⊆({\mathrm{Set}}_{\mathrm{sub}}\∩{\mathrm{Set}}_{\mathrm{res}}\∩{\mathrm{Set}}_{\mathrm{ac}}),$ |Set_final|＜|Set_sub∩Set_res∩Set_ac|＜|Set_U|。

Fast Kmeans算法：为解决传统KMeans算法对高维度、大数据集合聚类效率低、聚类效果差的问题，所提出的一种Kmeans算法的变种。基于“随机梯度下降法”(stochasticgradient descent--SGD)，引入“小批量”(mini-batch)的概念，来降低传统SGD的随机噪声，同时无需引入额外的计算代价。除此之外，还通过“各簇心学习率”(per-center learningrate)来加速聚类的收敛(引自Sculley，D."Web-scale k-means clustering."Proceedings ofthe19th international conference on World wide web.ACM，2010)。

另外，本发明中*_ID均指事物的标识，*是通配符。

下面分别对4个主要部分及其内含的功能模块进行具体说明：

一、原有的访问控制系统及其基础设施部分

如图5所示，该部分是传统的经典PCIM访问控制系统，包括访问控制判定评估引擎模块、策略执行点、属性权威模块和策略库模块；

其主要数据流过程如下：

1、客户端向服务器端发出授权请求req(sub,res,ac)；

2、策略执行点向访问控制判定引擎发出评估请求req(sub,res,ac)；

3、访问控制判定引擎通过sub,res向属性权威模块请求实体属性；

4、属性权威模块将查询的实体属性返回给访问控制判定引擎模块；

5、访问控制判定评估引擎模块向策略库模块请求评估所用的策略集合；

6、策略库模块将策略集合返回给访问控制判定评估引擎模块；

7、访问控制判定引擎模块根据实体属性和策略集进行授权评估，并将评估结果返回给策略执行点；

8、策略执行点根据评估结果执行相关动作，并将执行结果返回给客户端。

上述其中5，6两步中，传统的方案中(如:Sun XACML)通常是将所有的策略发送给判定评估引擎，因此访问控制引擎进行评估时需要对所有策略进行一一匹配，以寻找适用策略集进行最终评估，效率比较缓慢。

二、预处理框架部分

如图1所示，是本发明中新增的部分，预处理工作发生在访问控制判定评估引擎正式部署之前，具体包括三个模块：属性预处理模块、第一阶段聚类模块、第二阶段聚类模块。具体实现如图8所示。

1.属性预处理模块：该模块中通过属性选择技术和属性压缩技术来分别处理属性。属性选择技术，根据管理员的经验或者通过挖掘策略库中的策略集的相关信息来选定参与预处理的属性，在本发明中，默认选择挖掘策略集中的属性频率信息来进行属性选择，即对所有的策略统计属性出现的频率，其频率大于阈值的属性即被选定。属性压缩技术，是针对选定的属性，对其属性值进行压缩，得到相应的属性值团。具体实现时，管理员为每种属性的属性值预先建立好“属性层次树”，通过该结构可以计算出任意两个结点间的“属性相似度”，然后根据相似度进行压缩。属性压缩时，考虑如下两点原则：1.压缩过程不应当打破属性值之间的从属关系(如图2中的Student与Graduate)；2.通常意义下来讲，认为具有更大“深度”(即结点到根节点的最短路径)的结点具有更强的压缩需求，即结点越深，表明该结点所在的子树分类越具体、越复杂，就越是需要压缩。基于这两点原则，对属性值相似度进行扩展，来实现对属性压缩时的优先顺序的控制：

$S^{*}(C_i,C_j)=S_c(C_i,C_j)+\left\{\begin{array}{cc}\max \{C_i.\mathrm{height},C_j.\mathrm{height}\}& \mathrm{ifDisPath}(C_i,C_j)=1\\ 0& \mathrm{other}\end{array}\right.......\left(5\right)$

.height是指结点(属性值团)的“深度”(即结点到根节点的最短路径)。

通过(5)式，对于压缩时考虑的度量指数S^*可以保证两点：第一，只有属性团(attr-clique)与其直接对应的父节点之间才能获得额外的收益加成，以此来维持属性值之间的从属关系(符合原则1)；第二，可以保证每次都选择最大深度的结点优先压缩(符合原则2)。(5)式中的S_c(C_i,C_j)表示的是属性值团之间的相似度，C_i表示的是属性值团。(注意，①整个属性预处理模块都是针对“种类属性”来讲的；②这里之所以进行属性选择和属性压缩的预处理，是因为本发明适用的前提是大数据，属性种类以及属性值的个数都可能是很庞大的，必须要进行预处理保证后续实施的高效性)。

如图8所示，属性预处理模块具体实现过程：

(1).属性选择，根据属性权威提供的属性信息以及策略库提供的策略内容选择参与本系统优化的“关键”属性，具体需要如下几步操作：

(1.1)遍历所有的策略，统计每种属性被策略限定的次数；

(1.2)遍历(1.1)中统计的属性次数信息，如果一个属性attr_i的统计次数大于阈值

，即

那么就将该属性加入候选集合，S_AttrCand.∪attr_i，否则跳过该属性；

(1.3)经过(1.1)和(1.2)两步执行后，候选集合S_AttrCand.中的属性即为所选。

(2).属性压缩，根据属性权威提供的属性信息，管理员为每种属性的属性值预先建立好“属性层次树”Attr_Tree[i]，同时管理员为每种属性设定期待压缩后的属性值团的数量n[i]，接下来遍历(1)中所得到的S_AttrCand.，对其中的每一个属性分别进行压缩：

(2.1)初始化属性值团，为属性层次树Attr_Tree[i]中每个结点node(属性值)创建属性值团C_j←{node_j}，即每个属性值单独成团；

(2.2)初始化相似度量关系，根据(5)式，为Attr_Tree[i]中的属性值团集合Set_clique＝{C₁,C₂,...}，计算两两间的相似度度量S^*(C_i,C_j)；

(2.3)根据(2.2)中的相似度量，取最大值max{S^*(C_i,C_j)}并找到对应的(C_i,C_j)，合并这两个团，得到一个新的属性值团C'←C_i∪C_j，将C_i,C_j从Set_clique中删除，并将C'加入Set_clique，同时根据(2)(3)(4)式子刷新C'与剩余所有属性值团的相似度量关系S^*(C',·)；

(2.4)将(2.3)循环执行，直到Set_clique中剩余的属性值团个数为n[i]，过程停止。

2.第一阶段聚类模块

该模块通过对虚拟实体进行聚类得到相应的“第一阶段簇”；接下来遍历真实实体，将符合该簇中任意一个虚拟实体的真实实体进行合并，得到真实实体集合；接下来遍历所有策略，将能够与该簇中任意一个虚拟实体进行“策略模糊匹配”的策略进行合并，得到“第一阶段准适用策略集(F-pols)”。

如图8所示，第一阶段聚类模块具体实现如下：

(1)初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，任意两个虚拟实体之间的相似度：对于任意两个“虚拟实体”，

vs₁＝(v₁,v₂,...,v_n)和vs₂＝(u₁,u₂,...,u_n)，

通过S_vir(vs₁,vs₂)＝S_vir(v₁,u₁)w₁+...+S_vir(v_n,u_n)w_n......(6)，

来计算他们之间的相似度，其中S_vir表示虚拟实体间的相似度，数组{w_i}是各“种类属性”的权值，代表各个种类属性的重要性，满足

(2)第一阶段聚类，根据经典的K-means算法进行适当调整，然后对虚拟实体进行聚类，具体需要以下步骤完成：

(2.1)随机选取k个虚拟实体，来作为k个簇的簇心；

(2.2)遍历所有的虚拟实体vs_i，根据初始化的虚拟实体间的带权相似度，k个簇心的相似度{S_vir(vs_i,Center₁),S_vir(vs_i,Center₂),...,S_vir(vs_i,Center_k)}，选取相似度最大max{S_vir(vs_i,Center_j)}的簇Cluster_j，将vs_i加入其中；

(2.3)更新簇心，依次遍历k个簇，对每个簇Cluster_j，选取其中平均相似度最大的元素作为新的簇心，即max{avg_x},其中,

(2.4)迭代执行(2.2)(2.3)两步，直到各个簇心收敛(即簇心不再更新)。

(3)获取附属于各簇的真实实体，根据属性权威中的实体属性信息，对于各个簇，遍历所有的真实实体rs_i，如果

使得rs_i符合虚拟实体vs_x，那么就将rs_i加入到Cluster_j附属的真实实体集合中，注意，该真实实体集合中存放的是实体的标识，并非实体对象；

(注：这里的rs_i(v₁,v₂,...,v_n)符合vs_x(U₁,U₂,...,U_n)，是指对于属性选择出来的种类属性，rs_i的各对应值均满足v_▽∈U_▽，其中，v_▽是真实的属性值，U_▽是压缩后的属性值团)

(4)获取附属于各个第一阶段簇的准适用策略集(F-pols)，具体需要完成以下步骤：

(4.1)根据策略库中的策略集合Set_pol，对策略中的<Target>元素和<Condition>元素进行修改得到Set'_pol，具体修改为:

a.根据属性选择出来的种类属性集合

对于所有策略，对于其中的<Target>元素，凡是满足

这样的匹配逻辑全部保留，对于的匹配逻辑以及数字属性对应的所有匹配逻辑，均使用“恒真谓词”代替。其中，

是指<Target>中包含匹配逻辑match_x，C(match_x)是指match_x逻辑中用到的种类属性。“恒真谓词”的代替，等价地，对于“合取序列”中的匹配逻辑可以将其删除；对于“析取序列”中的匹配逻辑可以将整个实体标签置为<AnySubject>、<AnyResource>等。例如：图6中的(a)所示，是一个完整的<Target>；如果

那么删除“合取序列”中的Domain的匹配逻辑，如图6中的(b)的慰；如果

由于City匹配逻辑在“析取序列”中，所以将整个实体标签替换为<AnySubject>，如图6中的(c)所示。

b.对于<Condition>元素，做与a.中同样的处理。

(4.2)对于各个簇，遍历修改后的策略Set'_pol，对于pol_i∈Set'_pol，如果簇Cluster_j中存在一个虚拟实体vs，满足vs对pol_i的“策略模糊匹配”，那么就将pol_i加入到簇Cluster_j的准适用策略集中。

第一阶段聚类结束后得到的第一阶段簇的情况，如图3所示。

3.第二阶段聚类模块：

该模块通过对上一步中得到的所有的第一阶段簇中的真实实体进一步聚类，得到“第二阶段簇”；接下来遍历第二阶段簇所属的第一阶段簇的准适用策略集(F-pols)，将能够与该簇中任意一个真实实体进行“策略模糊匹配”的策略进行合并，得到“第二阶段准适用策略集”(S-pols)。

如图8所示，第二阶段聚类模块具体实现如下：

(1).初始化真实实体属性向量，根据属性权威提供的属性信息，将所有的真实实体的“数字属性”组织成向量的形式；

(2).对每个“第一阶段簇”(FSC)中的真实实体，通过Fast Kmeans算法进一步聚类得到“第二阶段簇”(SSC)，注意，执行过程中要保存各SSC的簇心(向量)；

(3).获取各个第二阶段簇的准适用策略集(S-pols)，具体需要以下几步完成：

a.修改策略集合，恢复第一阶段聚类模块的(4.1)中Set'_pol的“数字属性”匹配逻辑，其余保持不变，得到新的修改策略集Set''_pol；

b.对各个SSC，根据F-pols中记录的策略标识遍历Set''_pol，即只遍历pol_i∈Set''_pol∧pol_i·ID∈F-pols，如果簇SSC_j中存在一个真实实体rs，满足rs对pol_i的“策略模糊匹配”，那么就将pol_i加入到簇SSC_j的准适用策略集(S-pols)中。

第二阶段聚类结束后得到的第二阶段簇的情况，如图4所示。

三、实时服务框架

如图1所示，该部分本发明中新增的部件，提供的服务发生在访问控制判定评估引擎正式部署并开始提供服务时，具体包括三个模块：注册中心模块、映射关系模块、集合运算优化模块。

1.注册中心模块

该模块用来查询参与到访问控制判定评估当中的实体是否经过预处理装置的处理。例如：对于req(sub,res,ac)，策略库向实时服务装置发出获取准适用策略集的请求时，首先会在注册中心查询sub和res是否登记，登记过表示已经过预处理阶段的工作，可以通过映射关系模块，快速找到实体所在的SSC，接下来即可得到小规模的准适用策略集(S-pols)。该模块的实现可以有很多种方式，本发明选择将已登记的实体ID加入HashSet中，询问时通过能否从HashSet中查找到来快速确认是否为登记实体。具体实现如图9所示。

如图9所示，注册中心模块具体实现如下：

(1)遍历所有经过预处理的主体(用户)，将sub_ID添加到HashSet_sub中；

(2)遍历所有经过预处理的资源，将res_ID添加到HashSet_res中；

(3)响应来自策略库的查询请求req(sub,res,ac)：

a.如果sub_ID∈HashSet_sub，令resp_sub＝1，否则令resp_sub＝0并触发新进实体登记模块；

b.如果res_ID∈HashSet_res，令resp_res＝1，否则resp_res＝0并触发新进实体登记模块；

c.将Response(sub,res,ac||resp_sub,resp_res)发送给映射关系模块(||表示串联)。

2.映射关系模块

该模块建立了，实体与第二阶段簇的对应关系，通过该关系，可以快速锁定预处理过的实体所在的簇，进而快速得到小规模的准适用策略集(S-pols)。该模块的建立，是基于预处理装置中的第二阶段聚类模块来完成的。具体的，遍历各个第一阶段簇中所包含的所有第二阶段簇(SSC)中的真实实体集合(标识)，基于＜Entity_ID,SSC_ID＞的键值对来建立HashMap；除此之外，本发明还为动作建立了较为简单的动作适用策略集合，即不考虑主体和资源的限定，仅考虑动作适用的策略集合，为每一个ac_i建立一个

存放适用于动作ac_i的所有的策略标识。另外，为了提高新进实体未登记情况下的判定评估效率，本发明建立了虚拟实体与各个第一阶段簇之间的映射关系，基于＜VirSub,FSC_ID＞的键值对来建立该HashMap。

如图9所示，映射关系模块具体实现如下：

(1)建立映射关系，具体需要进行如下几步：

a.对主体(用户)，遍历各个FSC_sub中的各个SSC_sub，将其中的主体与簇的对应关系键值对＜sub_ID,SSC_sub_ID＞加入HashMap_sub中；

b.对资源，遍历各个FSC_res中的各个SSC_res，将其中的资源与簇的对应关系键值对＜res_ID,SSC_res_ID＞加入HashMap_res中；

c.对动作，遍历所有的策略，为每一个ac_i建立一个

存放适用于动作ac_i的所有的策略标识，即

(□表示适用)，将pol_j_ID加入；

d.对虚拟主体，遍历各个FSC_sub，将其中的虚拟主体与簇的对应关系键值对

＜VirSub,FSC_sub_ID＞加入HashMap_virsub中；

e.对虚拟资源，遍历各个FSC_res，将其中的虚拟资源与簇的对应关系键值对＜VirRes,FSC_res_ID＞加入HashMap_virres中；

(2)响应来自注册中心模块的应答Response(sub,res,ac||resp_sub,resp_res):

a.如果resp_sub＝1，则根据(1)中建立的HashMap_sub，查找到sub所在的第二阶段簇的标识SSC_sub_ID，并得到该SSC对应的准适用策略集S-pols_sub，令Pols_sub←S-pols_sub；

b.如果resp_sub＝0，首先提取sub对应的虚拟主体vs_i，接下来根据(1)中建立的HashMap_virsub，查找vs_i对应的FSC_sub_ID，并得到该FSC对应的准适用策略集F-pols_sub，令pols_sub←F-pols_sub；

c.与a、b同理，处理资源字段，得到Pols_res；

d,根据(1)中为每个动作建立适用策略集合，查找ac对应的Set_ac，令Pols_ac←Set_ac；

上述b.中提取实体对应的虚拟实体的方法如下：

ⅰ.对于实体sub中的“选定”属性集(v₁,v₂,...,v_n)，依次遍历种类属性(C₁,C₂,...,C_n)中各个属性值团，若v_i∈C_i·Clique_j，则令U_i←C_i·Clique_j；

ⅱ.对于①中得到的所有U_i进行组合，(U₁,U₂,...U_n)即为提取的虚拟实体。)

(3)将准适用策略集合的标识组合(Sid_sub,Sid_res,Sid_ac)发送给集合运算优化模块。

3.集合运算优化模块

该模块将映射关系模块以不同种类元素(sub,res,ac)查询后的准适用策略集进行交集运算，以进一步压缩参与判定评估的策略规模，进而提高效率。作用原理：当一个请求req(sub,res,ac)发出时，不难发现那些能参与到最终决策评估中的策略，必须要同时满足其属于主体策略集S-pols_sub、资源策略集S-pols_res和动作策略集pols_ac。鉴于此，可以在最终评估之前对三者进行交集运算S-pols_sub∩S-pols_res∩pols_ac，如图7，这样可以更进一步缩小评估策略规模，提高效率。

如图9所示，集合运算优化模块具体实现如下：

(1)根据映射关系模块传递的(Sid_sub,Sid_res,Sid_ac)进行交集运算优化：

a.首先，根据(Sid_sub,Sid_res,Sid_ac)找到对应的策略标识集合Pols_sub,Pols_res,Pols_ac，分别对Pols_sub,Pols_res,Pols_ac三个集合中的策略标识按照从小到大进行排序，时间复杂度O(nlogn)即可实现，其中n泛指三个集合的数据规模；

b.交集运算，Set_pol←Pols_sub∩Pols_res∩Pols_ac，具体通过二分法实现，时间复杂度为O(nlogn)，其中n泛指三个集合的数据规模；

(2)将Set_pol提交给策略库模块。

四、后台运维框架

该部分是本发明中新增的部件，提供的服务发生在访问控制判定评估引擎模块正式部署后，在大数据环境下，针对应用背景系统中，实体的属性高度动态改变、以及策略运行中的变更等情形，为了保证访问控制判定评估引擎做出正确决策，而制定的一套后台运维框架，基本思想是通过后台针对个别实体的改变执行预处理框架中的部分实施步骤，实时更新映射关系，进而保证正确性和高可用性。具体包括三个模块：新进实体登记模块、属性变更维护模块和策略变更维护模块。实现如图10所示。

应用背景系统是指访问控制系统所依托的外部应用系统，访问控制系统仅仅是该外部系统的控制部件，负责授权)。

1.新进实体登记模块

该模块用来处理新进的实体，即在系统部署前没有进行过预处理的实体(如：新注册的用户、新上传的资源等)。首先，提取该实体对应的虚拟实体，通过实时服务装置中的映射关系，快速锁定其对应的第一阶段簇(FSC)，将该实体的数字属性组织成属性向量，通过计算该向量与各第二阶段簇(SSC)的欧几里德距离，选出距离最小的，也就是最相似的SSC，将该新进实体的标识ID，加入到对应的映射关系中；接下来调用预处理装置中的第二阶段聚类模块(无需聚类，仅进行准适用策略集的查找)，将得到的新进实体对应的准适用策略集Set_new与原有的S-pols合并即可；上述处理完成后，将该实体对应的标识加入到实体HashSet中标记为已登记。

如图10所示，新进实体登记模块具体实现过程：

(1)提取新进实体E_new对应的虚拟实体，调用映射关系模块

查找该实体所对应的第一阶段簇FSC_i；

(2)查找E_new所属的簇，将该实体的数字属性组织成属性向量，通过计算该向量与FSC_i中所有的第二阶段簇SSC_▽的欧几里德距离，选出距离最小SSC_j；

(3)获得与该新进实体对应的准适用策略集，调用第二阶段聚类模块中的第(3)步，只遍历Set''_pol，

即对于所有的满足上式的pol_x，均将pol_x加入到Set_new中(注：□表示“策略模糊匹配”)；

(4)更新准适用策略集，将该新进实体E_new对应的准适用策略集Set_new与SSC_j原来的准适用策略集合并，即SSC_j·S-pols←SSC_j·S-pols∪Set_new；

(5)登记新进实体，将该实体的标识E_new_ID与SSC_j_ID组成的键值对加入到实体对应的HashSet中(HashSet_sub或HashSet_res)。

2.属性变更维护模块

该模块用来处理已登记实体在系统部署后其对应的一些关键属性发生变化的情形。执行时仅需要将该实体的已登记的记录消除(即从HashSet中移除其实体标识)，然后将该实体看作新进实体，调用新进实体登记模块即可。

如图10所示，属性变更维护模块实现过程如下：

(1)撤销属性变更实体E_change的登记记录，即删除实体对应的HashSet中(HashSet_sub或HashSet_res)的键值对＜E_change_ID,SSC_ID＞；

(2)调用新进实体登记模块，将E_change视作新进实体处理。

3.策略变更维护模块

该模块用来处理策略集的策略发生变更的情形。首先，将原有策略pol_old从策略库中移除，将变更后的新策略pol_new加入到策略库和预备策略集中；接下来，将“策略有效位表”中pol_old对应的位(bit)置为“0”(无效)；(*)然后，遍历各个第一阶段簇(FSC)以及各个第二阶段簇(SSC)，将pol_new的标识加入到其所适用的簇的准适用策略集中；完成上述操作后，将pol_new在“策略有效位表”对应的位(bit)置为“1”(有效)，并将pol_new_ID从预备策略集中移除。(注：在上述(*)步骤的匹配期间，pol_new在预备策略集中始终作为“必须评估”策略)

如图10所示，策略变更维护模块具体实现如下：

(1)移除原有策略，将原有策略pol_old从策略库中移除；

(2)引进变更后策略，将变更后的新策略pol_new加入到策略库和预备策略集中；

(3)修改策略有效位表，将表中pol_old对应的位(bit)置为“0”(无效)；

(4)检验变更后策略与各簇的适用性，具体如下几步：

a.将pol_new按照第一阶段聚类模块(4.1)和第二阶段聚类模块(3.a)分别修改，为pol'_new和pol''_new；

b.遍历各第一阶段簇FSC_▽，如果st._pol'_new□ve，那么将pol_new_ID加入FSC_▽i·F-pols，转c)；(注：ve是虚拟实体，FSC_▽指所有第一阶段簇，FSC_▽i指其中某个第一阶段簇)；

c.遍历FSC_▽i的所有第二阶段簇SSC_▽，如果

st.pol''_new□re，那么将pol_new_ID加入SSC_▽j·S-pols，转b)；(注：re是真实实体，SSC_▽指所有第二阶段簇，SSC_▽j指某个第二阶段簇)；

d.b和c构成的循环结束后停止；

(5)修改策略有效位表，将pol_new在“策略有效位表”对应的位(bit)置为“1”(有效)，并将pol_new_ID从预备策略集中移除。

本发明整个实现方法过程如下：

(1)系统部署前的预处理：(调用预处理装置、初始化注册中心模块和映射关系模块)

(1.1)调用属性预处理模块，首先，进行属性选择，根据属性权威提供的属性信息以及策略库提供的策略内容选择参与本系统优化的“关键”属性；接下来，进行属性压缩，根据属性权威提供的属性信息、管理员为每种属性的属性值预先建立好的“属性层次树”以及管理员为每种属性预先设定的期待压缩后的属性值团的数量，针对每种“选择”出来的属性分别进行压缩；该模块执行完毕后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；

(1.2)调用第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；接下来，第一阶段聚类，根据经典的K-means算法进行适当调整，然后对虚拟实体进行聚类；然后，获取附属于各簇的真实实体，根据属性权威中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中；最后，获取附属于各个第一阶段簇的准适用策略集(F-pols)，通过对策略库中的策略进行修改，并采用策略模糊匹配来为各个FSC寻找准适用策略；该模块执行完毕后将产生的所有的第一阶段簇(FSC)发送给第二阶段聚类模块；

(1.3)调用第二阶段聚类簇模块，首先，初始化真实实体属性向量，根据属性权威模块提供的属性信息，将所有的真实实体的“数字属性”组织成向量的形式；接下来，第二阶段聚类，对每个“第一阶段簇”(FSC)中的真实实体，通过Fast Kmeans算法进一步聚类得到“第二阶段簇”(SSC)；最后，获取各个第二阶段簇的准适用策略集(S-pols)，通过对策略库中的策略进行修改，并采用策略模糊匹配来为各个SSC寻找准适用策略；该模块执行完毕后将产生的所有的第二阶段簇发送给注册中心模块和映射关系模块；

(1.4)初始化注册中心模块，根据(1.2)和(1.3)的处理结果，首先，建立主体登记表，遍历所有经过预处理的主体(用户)，将sub_ID添加到HashSet_sub中；接下来，建立资源登记表，遍历所有经过预处理的资源，将res_ID添加到HashSet_res中；

(1.5)初始化映射关系模块，根据(1.2)和(1.3)的处理结果，首先，遍历各个FSC_sub中的各个SSC_sub，建立用户与SSC_sub的映射关系；接下来，遍历各个FSC_res中的各个SSC_res，建立用户与SSC_res的映射关系；然后，遍历所有的策略，为每一个ac_i建立一个

存放适用于动作ac_i的所有的策略标识；最后，分别为虚拟主体和虚拟资源建立HashMap_virsub和HashMap_virres两个映射关系；

(1)系统部署后的实时服务及后台运维服务框架：

(2.1)客户端向服务器策略执行点发出请求req(sub,res,ac)；

(2.2)策略执行点向访问控制判定引擎模块发出授权请求req(sub,res,ac)；

(2.3)访问控制判定引擎模块根据sub,res的标识信息向属性权威请求实体属性集；

(2.4)属性权威根据访问控制判定引擎模块发送的请求中sub,res对应的标识信息，查询实体属性集合，并将其返回给访问控制判定引擎模；

(2.5)访问控制判定引擎向策略库请求评估策略集合req(sub,res,ac)；

(2.6)策略库模块向实时服务装置发出请求req(sub,res,ac)；

(2.7)注册中心模块首先根据sub,res的标识查询实体登记情况，并向映射关系模块发送响应Response(sub,res,ac||resp_sub,resp_res)(注意：如果有实体未登记事件，则会触发后台运维服务中的新进实体登记模块)；

(2.8)映射关系模块根据注册中心发送的响应信息，查询映射关系，将(sub,res,ac)对应的准适用策略集合的标识组合(Sid_sub,Sid_res,Sid_ac)发送给集合运算优化模块；

(2.9)集合运算优化模块，根据(Sid_sub,Sid_res,Sid_ac)得到相应的准适用策略集并执行交集优化，Set_pol←Pols_sub∩Pols_res∩Pols_ac发送给策略库；

(2.10)预备策略集模块将其中的策略标识发送给策略库模块；

(2.11)策略库模块对(2.9)中接到的Set_pol的标识通过检验“策略有效位表”过滤掉无效策略，同时与(2.10)中的策略标识进行合并发送给访问控制判定评估引擎；

(2.12)访问控制判定评估引擎模块根据策略库模块提交的小规模策略集合快速做出评估，并将判定结果返回给策略执行点；

(2.13)策略执行点执行判定结果，并返回给用户执行情况。

本发明未详细描述的部分属于本领域公知技术。

Claims (2)

1.一种基于大数据的访问控制判定引擎优化系统，其特征在于：由客户端和服务器端组成，客户端用于向服务器端发出请求；服务器端负责对客户端发出的请求进行决策评估、授权及执行；部署在服务器端运行的系统分为四个部分：①原有的访问控制判定引擎及其基础设施部分，具体包括访问控制判定评估引擎模块、策略执行点、属性权威模块和策略库模块；②预处理框架，包括属性预处理模块、第一阶段聚类模块、第二阶段聚类模块；③实时服务框架，包括注册中心模块、映射关系模块、集合运算优化模块；④后台运维框架，包括新进实体登记模块、属性变更维护模块、策略变更维护模块和预备策略集模块；

属性预处理模块，首先进行属性选择，根据属性权威模块提供的属性信息以及策略库模块提供的策略内容选择参与优化的关键属性；再进行属性压缩，根据属性权威模块提供的属性信息，为每种属性的属性值预先建立好的属性层次树以及为每种属性预先设定的期待压缩后的属性值团的数量，针对每种选择出来的属性即关键属性分别进行压缩；压缩后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；所述属性是指描述实体的某些特征，所述实体包括主体和资源，所述实体分为真实实体和虚拟实体；所述属性分为种类属性和数字属性，所述种类属性是指一些字符串类型的属性，更多的表明一些性质上特点的属性；所述数字属性是一些数值类型，包括整型和实数型，更多的表明一些数量上的特征；所述属性信息就是属性集合；所述属性值是该属性可能的取值；所述属性值团是指多个属性值压缩后所在的小型集合，是属性压缩技术的产物；所述属性层次树是指对于种类属性，对其下所属的属性值按照归属、包含的联系建立起来属性值之间的依赖关系，将这种依赖归结为树形结构；

第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；再根据经典的K-means算法进行适当调整，并根据两个虚拟实体之间的带权相似度对虚拟实体进行聚类，得到第一阶段簇FSC；然后，根据属性权威模块中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中，获取该簇中虚拟实体对应的真实实体的集合；最后，通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第一阶段簇FSC寻找准适用策略，从而获取附属于各个第一阶段簇的准适用策略集F-pols，所述准适用策略指通过策略模糊匹配方法得到的适用策略集合；该模块执行完毕后将产生的所有的第一阶段簇FSC结果发送给第二阶段聚类模块；所述第一阶段簇FSC结果包括虚拟实体的集合、第一阶段准适用策略集F-pols、与该簇中虚拟实体对应的真实实体的集合；

第二阶段聚类簇模块，首先，初始化真实实体属性向量，即根据属性权威模块提供的属性信息，将所有的真实实体的数字属性组织成向量的形式；然后对每个第一阶段簇FSC中的真实实体，通过Fast Kmeans算法进一步聚类得到第二阶段簇SSC，执行过程中要保留各个第二阶段簇SSC的簇心即向量；再通过对策略库模块中的策略进行修改，并采用策略模糊匹配来为各个第二阶段簇SSC寻找准适用策略，获取各个第二阶段簇的准适用策略集S-pols；最后将得到的所有第二阶段簇SSC结果发送给注册中心模块和映射关系模块；所述第二阶段簇SSC结果包括真实实体的集合、簇心、第二阶段准适用策略集S-pols；

注册中心模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，建立主体登记表HashSet_sub，遍历所有经过预处理后的主体即用户，将主体标识sub_ID添加到主体登记表HashSet_sub中；然后建立资源登记表HashSet_res，遍历所有经过预处理后的资源，将资源标识res_ID添加到资源登记表HashSet_res中；同时接收策略库模块发出的查稳步请求，根据主识和资源的标识查询实体登记情况，并向映射关系模块发送响应；如果有实体未登记事件，则会触发后台运维服务中的新进实体登记模块；

映射关系模块，根据第一阶段聚类簇模块和第二阶段聚类簇模块得到的结果，首先，遍历各个主体第一阶段簇FSC_sub中的各个主体第二阶段簇SSC_sub，建立主体与对应主体第一阶段簇SSC_sub的映射关系；再遍历各个资源第一阶段簇中的各个资源第二阶段簇SSC_res，建立主体与对应各个资源第二阶段簇SSC_res的映射关系；然后遍历策略库模块中所有的策略，为每一个动作ac_i建立一个动作集合

用于存放适用于动作acx的所有的策略标识；最后，分别为虚拟主体和虚拟资源建立两个映射关系，即虚拟主体映射关系HashMap_virsub和虚拟资源映射关系HashMap_virres，再根据注册中心发送的响应信息，查询映射关系，得到主体请求(sub,res,ac)对应的准适用策略集合的标识组合(Sid_sub,Sid_res,Sid_ac)，并将所述标识组合(Sid_sub,Sid_res,Sid_ac)发送给集合运算优化模块；

集合运算优化模块，根据映射关系模块传递的标识组合(Sid_sub,Sid_res,Sid_ac)进行交集运算，并将交集运算结果Set_pol提交给策略库模块；

属性权威模块，是属性数据库系统，负责存储实体属性，管理实体属性，管理实体属性包括有关属性增加、删除、变更和查询业务；接收访问控制判定评估引擎模块发出主体标识sub_ID以及资源标识res_ID请求查询，并将查询到的主体和资源的相关属性结果返回访问控制判定评估引擎模块；同时对经过属性预处理模块处理后发生变化的主体或者资源的属性，作为一个触发属性变更维护服务的事件，发送给属性变更维护模块；

策略执行点，接收客户端发出的请求，并将请求访问控制判定评估引擎模块发出评估请求；同时将访问控制判定评估引擎模块的评估结果返回给客户端；

访问控制判定评估引擎模块，根据客户端的用户请求即主体请求，向属性权威模块请求主体和资源的相关属性；同时接收属性权威模块发回的查询后的主体和资源的相关属性；访问控制引擎根据主体和资源的相关属性在进行具体授权判定的时候，向策略库模块发出请求策略集，接收到策略库模块发来的策略集后，依据该策略集进行判定，并将判定结果输出给主体即用户；

策略库模块，用于存放策略，同时有策略有效位表，它是策略库中实时维护的一个数据结构，用来标识每个策略的有效性，每一个位对应一个策略，“0”表示策略无效；接收访问控制判定评估引擎模块发来请求评估所用的策略集合，然后向注册中心模块发出查询请求；接收集合运算优化模块的交集运算结果Set_pol的标识，然后通过检验策略有效位表Valid-Bit过滤掉无效策略，同时与预备策略集模块中的策略标识进行合并，得到小规模策略集合并发送给访问控制判定评估引擎模块；当需要策略变更时，触发策略变更维护模块；

新进实体登记模块：用来处理新进的实体，即在系统部署前没有进行过预处理的实体；首先，提取该实体对应的虚拟实体，通过映射关系模块，锁定虚拟实体对应的第一阶段簇FSC，将该实体的数值属性组织成属性向量，通过计算该向量与各第二阶段簇SSC的欧几里德距离，选出距离最小的，也就是最相似的第二阶段簇SSC，将该新进实体标识ID加入到对应的映射关系中；然后调用预处理框架中的第二阶段聚类模块，将得到的新进实体对应的准适用策略集Set_new与原有的S-pols合并即可；上述处理完成后，将该实体对应的标识加入到实体登记表HashSet中，分别将主体登记表HashSet_sub和资源登记表HashSet_res中标记为已登记；

属性变更维护模块：用来处理已登记实体在系统部署后已登记实体对应的一些关键属性发生变化的情形；执行时仅需要将该实体的已登记的记录消除即从实体登记表HashSet中移除已登记实体标识，然后将该实体看作新进实体，调用新进实体登记模块即可；同时将新实体属性送至属性权威模块中存储；

策略变更维护模块：用来处理策略集模块中的策略发生变更的情形；首先，将原有策略pol_old从策略库模块中移除，将变更后的新策略pol_new加入到策略库模块和预备策略集模块中；再将策略有效位表中原有策略pol_old对应的位bit置为“0”即无效；然后，遍历各个第一阶段簇FSC及各个第二阶段簇SSC，将变更后的新策略pol_new的标识加入到变更后的新策略pol_new所适用的簇的准适用策略集中；完成上述操作后，将变更后的新策略pol_new在策略有效位表对应的位bit置为“1”即有效，并将变更后的新策略标识pol_new_ID从预备策略集模块中移除；

预备策略集模块：用于存放必须评估策略及策略标识，是针对策略变更维护使用的，用于策略的加入与移除操作；同时将策略标识发给出策略库模块。

2.一种基于大数据的访问控制判定引擎优化方法，其特征在于实现步骤如下：

(1)系统部署前的预处理：即调用预处理装置、初始化注册中心模块和映射关系模块；

(1.1)调用属性预处理模块，首先，进行属性选择，根据属性权威提供的属性信息以及策略库模块提供的策略内容选择参与本系统优化的属性；接下来，进行属性压缩，根据属性权威提供的属性信息、管理员为每种属性的属性值预先建立好的属性层次树以及管理员为每种属性预先设定的期待压缩后的属性值团的数量，针对每种选择出来的属性分别进行压缩；该模块执行完毕后将选择出的属性、及每种属性对应的压缩后的属性值团集合、每种属性对应的属性值团间的相似度关系发送给第一阶段聚类模块；

(1.2)调用第一阶段聚类模块，首先，初始化虚拟实体之间的相似关系，根据属性预处理模块的结果，计算任意两个虚拟实体之间的带权相似度；接下来，第一阶段聚类，根据经典的K-means算法进行适当调整，然后对虚拟实体进行聚类；然后，获取附属于各簇的真实实体，根据属性权威中的实体属性信息，对于各个簇，遍历所有的真实实体，将符合各簇的真实实体的标识加入到各簇中；最后获取附属于各个第一阶段簇的准适用策略集F-pols，通过对策略库中的策略进行修改，并采用策略模糊匹配来为各个FSC寻找准适用策略；该模块执行完毕后将产生的所有的第一阶段簇FSC发送给第二阶段聚类模块；

(1.3)调用第二阶段聚类簇模块，首先，初始化真实实体属性向量，根据属性权威模块提供的属性信息，将所有的真实实体的数字属性组织成向量的形式；接下来，第二阶段聚类，对每个第一阶段簇FSC中的真实实体，通过Fast Kmeans算法进一步聚类得到第二阶段簇SSC；最后，获取各个第二阶段簇的准适用策略集S-pols，通过对策略库中的策略进行修改，并采用策略模糊匹配来为各个SSC寻找准适用策略；该模块执行完毕后将产生的所有的第二阶段簇发送给注册中心模块和映射关系模块；

(1.4)初始化注册中心模块，根据(1.2)和(1.3)的处理结果，首先，建立主体登记表，遍历所有经过预处理的主体即用户，将主识标识sub_ID添加到主体登记表HashSet_sub中；接下来，建立资源登记表，遍历所有经过预处理的资源，将res_ID添加到资源登记表HashSet_res中；

(1.5)初始化映射关系模块，根据(1.2)和(1.3)的处理结果，首先，遍历各个FSC_sub中的各个SSC_sub，建立用户与SSC_sub的映射关系；接下来，遍历各个FSC_res中的各个SSC_res，建立用户与SSC_res的映射关系；然后，遍历所有的策略，为每一个动作ac_i建立一个

存放适用于动作ac_i的所有的策略标识；最后，分别为虚拟主体和虚拟资源建立虚拟主体HashMap_virsub和虚拟资源HashMap_virres两个映射关系；

(2)系统部署后的实时服务及后台运维服务框架：

(2.1)客户端向服务器的策略执行点发出请求req(sub,res,ac)；其中，sub是指用户即主体的标识，res是所请求的资源的标识，ac是指该用户即主体针对资源请求的动作；

(2.2)策略执行点向访问控制判定引擎模块发出授权请求req(sub,res,ac)；

(2.3)访问控制判定引擎模块根据sub,res的标识信息向属性权威请求实体属性集；

(2.4)属性权威根据访问控制判定引擎模块发送的请求中sub,res对应的标识信息，查询实体属性集合，并将其返回给访问控制判定引擎模块；

(2.5)访问控制判定引擎模块向策略库模块请求评估策略集合req(sub,res,ac)；

(2.6)策略库模块向实时服务装置发出请求req(sub,res,ac)；

(2.7)注册中心模块首先根据主体和资料的标识查询实体登记情况，并向映射关系模块发送响应；如果有实体未登记事件，则会触发后台运维服务中的新进实体登记模块；

(2.8)映射关系模块根据注册中心发送的响应信息，查询映射关系，将(sub,res,ac)对应的准适用策略集合的标识组合(Sid_sub,Sid_res,Sid_ac)发送给集合运算优化模块；

(2.9)集合运算优化模块，根据标识组全(Sid_sub,Sid_res,Sid_ac)得到相应的准适用策略集并执行交集优化，得到交集优化结果Set_pol，发送给策略库；

(2.10)预备策略集模块将其中的策略标识发送给策略库模块；

(2.11)策略库模块对(2.9)中得到的交集优化结果Set_pol的标识通过检验策略有效位表过滤掉无效策略，同时与预备策略集模块中的策略标识进行合并发送给访问控制判定评估引擎模块；

(2.12)访问控制判定评估引擎模块根据策略库模块提交的小规模策略集合快速做出评估，并将判定结果返回给策略执行点；

(2.13)策略执行点执行判定结果，并返回给客户端用户执行情况。

Images