CN104836807A - 一种xacml安全策略的评估优化方法 - Google Patents

一种xacml安全策略的评估优化方法 Download PDF

Info

Publication number
CN104836807A
CN104836807A CN201510236756.0A CN201510236756A CN104836807A CN 104836807 A CN104836807 A CN 104836807A CN 201510236756 A CN201510236756 A CN 201510236756A CN 104836807 A CN104836807 A CN 104836807A
Authority
CN
China
Prior art keywords
xacml
security strategy
evaluation
rule
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510236756.0A
Other languages
English (en)
Other versions
CN104836807B (zh
Inventor
周诚
邵志鹏
马媛媛
汪晨
时坚
李伟伟
楚杰
张波
黄秀丽
戴造建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
State Grid Anhui Electric Power Co Ltd
State Grid Smart Grid Research Institute of SGCC
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
State Grid Anhui Electric Power Co Ltd
State Grid Smart Grid Research Institute of SGCC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, State Grid Anhui Electric Power Co Ltd, State Grid Smart Grid Research Institute of SGCC filed Critical State Grid Corp of China SGCC
Priority to CN201510236756.0A priority Critical patent/CN104836807B/zh
Publication of CN104836807A publication Critical patent/CN104836807A/zh
Application granted granted Critical
Publication of CN104836807B publication Critical patent/CN104836807B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种XACML安全策略的评估优化方法,包括以下步骤:消除冗余规则;建立判定结果缓存池和XACML安全策略缓存池;动态改变XACML安全策略/规则的位置。本发明针对现有XACML标准在策略规模和策略语义复杂性的上升时性能上的不足以及功能上的缺陷,提出一种基于策略冗余去除、缓存、重排序的XACML安全策略评估优化方法,该方法能够在提供策略分析、规则匹配、判定响应等相关的优化处理方法对资源进行细粒度访问控制的同时,有效提升XACML安全策略评估引擎处理策略信息检索、多策略匹配等问题时的效率,加强系统可用性,且能够适应各种策略合并算法,灵活性和可用性强。

Description

一种XACML安全策略的评估优化方法
技术领域
本发明涉及一种优化方法,具体涉及一种XACML安全策略的评估优化方法。
背景技术
访问控制标记语言XACML(extensible access control markup language)已逐渐成为多个企业应用和商业产品实现安全授权功能的实际标准。分布式资源共享、Web服务、域间协作等新兴业务需要制定大量的XACML策略条目对资源进行细粒度访问控制,但随着策略规模和策略语义复杂性的上升,策略评估效率已成为制约系统可用性的关键瓶颈。XACML规范中虽然给出了访问控制实施框架,但没有提供策略分析、规则匹配、判定响应等相关的优化处理方法,这在很大程度上导致了XACML策略评估引擎在处理策略信息检索、多策略匹配等问题时的实际性能指标偏低,具体表现为系统资源开销大、访问请求应答延时长、远程通信交互多,因而无法满足商业应用的高业务吞吐量。
在XACML中,全部评估结果有四种:允许(Permit)、拒绝(Deny)、无法决定(Indeterminate)以及不适用(Not Applicable)。如果策略(Policy)内的多条规则(Rule)或者策略集(PolicySet)内的多条Policy都匹配访问请求,则XACML安全策略即利用合并算法计算最终的评估结果。常见的合并算法有以下几种:
1)许可优先(Permit-overrides)合并算法,只要有一条规则的评估为Permit,最终的评估结果就是Permit。
2)拒绝优先(Deny-overrides)合并算法,只要有一条规则的评估为Deny,最终的评估结果就是Deny。
3)首次适用(First-applicable)合并算法,遇到的第一条适用请求规则的评估结果作为最终的评估结果。
发明内容
为了克服上述现有技术的不足,本发明提供一种XACML安全策略的评估优化方法,采取如下技术方案:
本发明一种XACML安全策略的评估优化方法,其特征在于:所述方法包括以下步骤:
步骤1:消除冗余规则;
步骤2:建立判定结果缓存池和XACML安全策略缓存池;
步骤3:动态改变XACML安全策略/规则的位置。
所述步骤中,先判断出不同合并算法下存在的冗余规则,之后将冗余规则消除。
若当规则Ri适用于请求,规则Rj必然适用于请求,称Ri覆盖Ri,记为;Ri·effect表示Ri的判定结果,值为Permit或Deny;具体分为以下三种情况:
(1)在许可优先合并算法下,有
1)且Rj·effect=Permit,则Ri是冗余规则;
2)若且Rj·effect=Deny,则Ri是冗余规则;
3)当Rj·effect=Permit时,Ri不是冗余规则;
(2)在拒绝优先合并算法下,有:
1)若且Rj·effect=Deny,则Ri是冗余规则;
2)若且Rj·effect=Permit,则Ri是冗余规则;
3)当Rj·effect=Deny时,Ri不是冗余规则;
(3)在首次适用合并算法下,Ri在XACML安全策略中的位置记为seq(Ri),有:
1)若且Ri·effect=Rj·effect,则Ri是冗余规则;
2)若且seq(Rj)<seq(Ri)时,Ri是冗余规则;
3)若且seq(Rj)<seq(Ri)时,Ri不是冗余规则。
所述步骤2中,所述判定结果缓存池用于保存用户之前的访问结果,当判定结果缓存池中没有相应的结果时触发XACML安全策略缓存;
所述XACML安全策略缓存池用于保存最近访问的XACML安全策略。
所述步骤3中,XACML安全策略对应的评估引擎采用重排序算法动态改变XACML安全策略/规则的位置。
所述步骤3中,设Pk和Rj分别表示XACML安全策略和规则,通过Pk和Rj在执行统计值方面的优先级Pk.M和Rj.M,以及Pk和Rj的复杂度Pk.N和Rj.N确定Pk和Rj的总体优先级 Pk.Ψ和Rj.Ψ。
在许可优先合并算法中,Pk.M和Rj.M分别表示为:
Pk.Μ=θ11*Pk.a+θ12*Pk.p
Rj.Μ=θ21*Rj.a+θ22*Rj.p
其中,a表示XACML安全策略/规则适用率;p表示XACML安全策略/规则许可率;θ11、θ12、θ21和θ22表示权重;
在拒绝优先合并算法中,Pk.M和Rj.M分别表示为:
Pk.Μ=θ11*Pk.a+θ12*Pk.d
Rj.Μ=θ21*Rj.a+θ22*Rj.d
其中,d表示XACML安全策略/规则拒绝率。
令n(t)表示目标元素中的布尔条件的数量,n(c)表示条件元素中的布尔条件数量,Rj的复杂度Rj.N表示为:
Rj.Ν=n(t)+n(c)
Pk的复杂度Rj.N由Pk中所有规则的复杂度及规则执行率确定,Pk.N表示为:
P k . N = Σ R j ∈ P k R j . N * R j . f
其中,f表示规则Rj的执行率。
Pk和Rj的总体优先级Pk.Ψ和Rj.Ψ分别表示为:
Pk.Ψ=α1*Pk.Μ+β1*Pk-1
Rj.Ψ=α2*Rj.Μ+β2*Rj-1
其中,α1、β1、α2、β2表示权重。
与现有技术相比,本发明的有益效果在于:
本发明针对现有XACML标准在策略规模和策略语义复杂性的上升时性能上的不足以及功能上的缺陷,提出一种基于策略冗余去除、缓存、重排序的XACML安全策略评估优化方法,该方法能够在提供策略分析、规则匹配、判定响应等相关的优化处理方法对资源进行细 粒度访问控制的同时,有效提升XACML安全策略评估引擎处理策略信息检索、多策略匹配等问题时的效率,加强系统可用性,且能够适应各种策略合并算法,灵活性和可用性强。
具体实施方式
下面对本发明作进一步详细说明。
本发明一种XACML安全策略的评估优化方法,其特征在于:所述方法包括以下步骤:
步骤1:消除冗余规则;
步骤2:建立判定结果缓存池和XACML安全策略缓存池;
步骤3:动态改变XACML安全策略/规则的位置。
所述步骤中,先判断出不同合并算法下存在的冗余规则,之后将冗余规则消除。
若当规则Ri适用于请求,规则Rj必然适用于请求,称Ri覆盖Ri,记为;Ri·effect表示Ri的判定结果,值为Permit或Deny;具体分为以下三种情况:
(1)在许可优先合并算法下,有
1)且Rj·effect=Permit,则Ri是冗余规则;
2)若且Rj·effect=Deny,则Ri是冗余规则;
3)当Rj·effect=Permit时,Ri不是冗余规则;
(2)在拒绝优先合并算法下,有:
1)若且Rj·effect=Deny,则Ri是冗余规则;
2)若且Rj·effect=Permit,则Ri是冗余规则;
3)当Rj·effect=Deny时,Ri不是冗余规则;
(3)在首次适用合并算法下,Ri在XACML安全策略中的位置记为seq(Ri),有:
1)若且Ri·effect=Rj·effect,则Ri是冗余规则;
2)若且seq(Rj)<seq(Ri)时,Ri是冗余规则;
3)若且seq(Rj)<seq(Ri)时,Ri不是冗余规则。
所述步骤2中,所述判定结果缓存池用于保存用户之前的访问结果,当判定结果缓存池中没有相应的结果时触发XACML安全策略缓存;
所述XACML安全策略缓存池用于保存最近访问的XACML安全策略。
所述步骤3中,XACML安全策略对应的评估引擎采用重排序算法动态改变XACML安全策略/规则的位置。
所述步骤3中,设Pk和Rj分别表示XACML安全策略和规则,通过Pk和Rj在执行统计值方面的优先级Pk.M和Rj.M,以及Pk和Rj的复杂度Pk.N和Rj.N确定Pk和Rj的总体优先级Pk.Ψ和Rj.Ψ。
在许可优先合并算法中,Pk.M和Rj.M分别表示为:
Pk.Μ=θ11*Pk.a+θ12*Pk.p
Rj.Μ=θ21*Rj.a+θ22*Rj.p
其中,a表示XACML安全策略/规则适用率;p表示XACML安全策略/规则许可率;θ11、θ12、θ21和θ22表示权重;
在拒绝优先合并算法中,Pk.M和Rj.M分别表示为:
Pk.Μ=θ11*Pk.a+θ12*Pk.d
Rj.Μ=θ21*Rj.a+θ22*Rj.d
其中,d表示XACML安全策略/规则拒绝率。
令n(t)表示目标元素中的布尔条件的数量,n(c)表示条件元素中的布尔条件数量,Rj的复杂度Rj.N表示为:
Rj.Ν=n(t)+n(c)
Pk的复杂度Rj.N由Pk中所有规则的复杂度及规则执行率确定,Pk.N表示为:
P k . N = Σ R j ∈ P k R j . N * R j . f
其中,f表示规则Rj的执行率。
Pk和Rj的总体优先级Pk.Ψ和Rj.Ψ分别表示为:
Pk.Ψ=α1*Pk.Μ+β1*Pk-1
Rj.Ψ=α2*Rj.Μ+β2*Rj-1
其中,α1、β1、α2、β2表示权重。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员参照上述实施例依然可以对本发明的具体实施方式进行修改或者等同替换,这些未脱离本发明精神和范围的任何修改或者等同替换,均在申请待批的本发明的权利要求保护范围之内。

Claims (9)

1.一种XACML安全策略的评估优化方法,其特征在于:所述方法包括以下步骤:
步骤1:消除冗余规则;
步骤2:建立判定结果缓存池和XACML安全策略缓存池;
步骤3:动态改变XACML安全策略/规则的位置。
2.根据权利要求1所述的XACML安全策略的评估优化方法,其特征在于:所述步骤中,先判断出不同合并算法下存在的冗余规则,之后将冗余规则消除。
3.根据权利要求2所述的XACML安全策略的评估优化方法,其特征在于:若当规则Ri适用于请求,规则Rj必然适用于请求,称Ri覆盖Ri,记为Ri·effect表示Ri的判定结果,值为Permit或Deny;具体分为以下三种情况:
(1)在许可优先合并算法下,有
1)且Rj·effect=Permit,则Ri是冗余规则;
2)若且Rj·effect=Deny,则Ri是冗余规则;
3)当Rj·effect=Permit时,Ri不是冗余规则;
(2)在拒绝优先合并算法下,有:
1)若且Rj·effect=Deny,则Ri是冗余规则;
2)若且Rj·effect=Permit,则Ri是冗余规则;
3)当Rj·effect=Deny时,Ri不是冗余规则;
(3)在首次适用合并算法下,Ri在XACML安全策略中的位置记为seq(Ri),有:
1)若且Ri·effect=Rj·effect,则Ri是冗余规则;
2)若且seq(Rj)<seq(Ri)时,Ri是冗余规则;
3)若且seq(Rj)<seq(Ri)时,Ri不是冗余规则。
4.根据权利要求1所述的XACML安全策略的评估优化方法,其特征在于:所述步骤2中,所述判定结果缓存池用于保存用户之前的访问结果,当判定结果缓存池中没有相应的结果时触发XACML安全策略缓存;
所述XACML安全策略缓存池用于保存最近访问的XACML安全策略。
5.根据权利要求1所述的XACML安全策略的评估优化方法,其特征在于:所述步骤3中,XACML安全策略对应的评估引擎采用重排序算法动态改变XACML安全策略/规则的位置。
6.根据权利要求5所述的XACML安全策略的评估优化方法,其特征在于:所述步骤3中,设Pk和Rj分别表示XACML安全策略和规则,通过Pk和Rj在执行统计值方面的优先级Pk.M和Rj.M,以及Pk和Rj的复杂度Pk.N和Rj.N确定Pk和Rj的总体优先级Pk.Ψ和Rj.Ψ。
7.根据权利要求6所述的XACML安全策略的评估优化方法,其特征在于:在许可优先合并算法中,Pk.M和Rj.M分别表示为:
Pk.Μ=θ11*Pk.a+θ12*Pk.p
Rj.Μ=θ21*Rj.a+θ22*Rj.p
其中,a表示XACML安全策略/规则适用率;p表示XACML安全策略/规则许可率;θ11、θ12、θ21和θ22表示权重;
在拒绝优先合并算法中,Pk.M和Rj.M分别表示为:
Pk.Μ=θ11*Pk.a+θ12*Pk.d
Rj.Μ=θ21*Rj.a+θ22*Rj.d
其中,d表示XACML安全策略/规则拒绝率。
8.根据权利要求7所述的XACML安全策略的评估优化方法,其特征在于:令n(t)表示目标元素中的布尔条件的数量,n(c)表示条件元素中的布尔条件数量,Rj的复杂度Rj.N表示为:
Rj.Ν=n(t)+n(c)
Pk的复杂度Rj.N由Pk中所有规则的复杂度及规则执行率确定,Pk.N表示为:
P k . N = Σ R j ∈ P k R j . N * R j . f
其中,f表示规则Rj的执行率。
9.根据权利要求8所述的XACML安全策略的评估优化方法,其特征在于:Pk和Rj的总体优先级Pk.Ψ和Rj.Ψ分别表示为:
Pk.Ψ=α1*Pk.Μ+β1*Pk-1
Rj.Ψ=α2*Rj.Μ+β2*Rj-1
其中,α1、β1、α2、β2表示权重。
CN201510236756.0A 2015-05-11 2015-05-11 一种xacml安全策略的评估优化方法 Active CN104836807B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510236756.0A CN104836807B (zh) 2015-05-11 2015-05-11 一种xacml安全策略的评估优化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510236756.0A CN104836807B (zh) 2015-05-11 2015-05-11 一种xacml安全策略的评估优化方法

Publications (2)

Publication Number Publication Date
CN104836807A true CN104836807A (zh) 2015-08-12
CN104836807B CN104836807B (zh) 2018-12-18

Family

ID=53814443

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510236756.0A Active CN104836807B (zh) 2015-05-11 2015-05-11 一种xacml安全策略的评估优化方法

Country Status (1)

Country Link
CN (1) CN104836807B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108494750A (zh) * 2018-03-09 2018-09-04 中山大学 一种扩展xacml访问控制的排序策略授权方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1394036A (zh) * 2001-06-21 2003-01-29 华为技术有限公司 基于策略的网络管理系统
CN1556613A (zh) * 2003-12-30 2004-12-22 上海交通大学 可信任主动式策略联动方法
US20060200664A1 (en) * 2005-03-07 2006-09-07 Dave Whitehead System and method for securing information accessible using a plurality of software applications
CN101339591A (zh) * 2008-08-29 2009-01-07 中国科学院软件研究所 一种xacml策略规则检测方法
CN101876994A (zh) * 2009-12-22 2010-11-03 中国科学院软件研究所 一种多层次优化的策略评估引擎的建立方法及其实施方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1394036A (zh) * 2001-06-21 2003-01-29 华为技术有限公司 基于策略的网络管理系统
CN1556613A (zh) * 2003-12-30 2004-12-22 上海交通大学 可信任主动式策略联动方法
US20060200664A1 (en) * 2005-03-07 2006-09-07 Dave Whitehead System and method for securing information accessible using a plurality of software applications
CN101339591A (zh) * 2008-08-29 2009-01-07 中国科学院软件研究所 一种xacml策略规则检测方法
CN101876994A (zh) * 2009-12-22 2010-11-03 中国科学院软件研究所 一种多层次优化的策略评估引擎的建立方法及其实施方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108494750A (zh) * 2018-03-09 2018-09-04 中山大学 一种扩展xacml访问控制的排序策略授权方法及系统
CN108494750B (zh) * 2018-03-09 2021-04-06 中山大学 一种扩展xacml访问控制的排序策略授权方法及系统

Also Published As

Publication number Publication date
CN104836807B (zh) 2018-12-18

Similar Documents

Publication Publication Date Title
RU2373571C2 (ru) Системы и способы осуществляемого посредством доступа на уровне мелких структурных единиц управления данными, хранящимися в реляционных базах данных
EP3561636B1 (en) Record level data security
US20140075108A1 (en) Efficient tcam resource sharing
EP1564620A1 (en) Systems and methods that optimize row level database security
US9680830B2 (en) Evaluating security of data access statements
US20140250103A1 (en) Obtaining partial results from a database query
CN110348238B (zh) 一种面向应用的隐私保护分级方法及装置
CA2776127A1 (en) Data security for a database in a multi-nodal environment
US20170193389A1 (en) Systems and methods for efficiently classifying data objects
US20200250315A1 (en) Anonymizing data sets in risk management applications
He et al. Priority queue with customer upgrades
CN110781244B (zh) 用于对数据库的并发操作进行控制的方法及装置
CN104881467B (zh) 基于频繁项集的数据关联性分析和预读取方法
CN105653725A (zh) 基于条件随机场的mysql数据库强制访问控制自适应优化方法
CN102347958A (zh) 一种基于用户信任的动态分级访问控制方法
US10038724B2 (en) Electronic access controls
CN104850631B (zh) 一种适用于实时数据库的安全并发控制方法
CN104836807B (zh) 一种xacml安全策略的评估优化方法
CN202093513U (zh) 大批量数据处理系统
CN114969656A (zh) 一种差分隐私下加权滑动窗口的流式直方图发布方法及系统
Kwon et al. Progressive spatial join for polygon data stream
US8276200B2 (en) Systems and methods for securely processing sensitive streams in a mixed infrastructure
US11681680B2 (en) Method, device and computer program product for managing index tables
US11403421B2 (en) Security system for benchmark access
CN114282591B (zh) 一种动态安全级别实时划分方法、终端设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Applicant after: China Electric Power Research Institute

Applicant after: GLOBAL ENERGY INTERCONNECTION RESEARCH INSTITUTE

Applicant after: State Grid Corporation of China

Applicant after: State Grid Anhui Electric Power Company

Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Applicant before: China Electric Power Research Institute

Applicant before: State Grid Smart Grid Institute

Applicant before: State Grid Corporation of China

Applicant before: State Grid Anhui Electric Power Company

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant