CN112131434B - 基于匹配树的可扩展访问控制标记语言策略搜索方法 - Google Patents

Abstract

本发明公开了一种基于匹配树结构的可扩展访问控制标记语言策略搜索方法，主要解决现有技术中策略搜索效率低及匹配树和组合树中结点信息重复的问题。其实现方案是：根据原始策略的结构和信息生成初始匹配树，并消除初始匹配树中同一路径下的重复属性；根据初始匹配树的路径生成路径标识，用其替代初始匹配树叶结点中的路径信息得到精简后匹配树，并将路径信息与对应的路径标识存放在映射表中；根据用户发送的访问请求在匹配树上搜索适用规则路径的路径标识，利用映射表在策略库中找到请求的适用策略。本发明通过优化匹配树结构，降低了策略迁移成本，提高了策略搜索效率，可用于使用大规模策略的访问控制过程中。

Description

基于匹配树的可扩展访问控制标记语言策略搜索方法

技术领域

本发明属于信息安全技术领域，更进一步涉及一种的可扩展访问控制标记语言XACML的策略搜索方法，可用于使用大规模策略的访问控制过程中，并提高搜索效率。

背景技术

在云计算、物联网环境下，系统处于一个开放的环境，安全受到更多威胁。访问控制通过权限授予来保证系统的安全性，是当前保障计算系统安全的公认方法之一。现存的访问控制大多是通过预先设定好的策略对用户的请求进行评估，并最终决定是否将请求申请的特定资源授权给用户。

XACML 3.0作为结构化信息标准促进组织OASIS批准的通用策略语言标准，具有严谨的语法以及灵活且细粒度的表达方式，已成为访问控制系统中描述安全策略的主要语言。随着网络化发展和系统规模的不断扩大，安全策略的规模及其复杂程度也显著增加。这些因素为策略评估引擎的设计带来了巨大挑战，需要进一步优化现有的XACML策略评估方法，以降低请求的响应时间。

Santiago等人在Proceedings of the 17th ACM symposium on Access ControlModels and Technologies会议上提出利用匹配树和合并树两种结构提升策略评估效率的方法，其通过对匹配树进行预先搜索以获取所有匹配结果，再利用合并树将所有结果合并得到最终评估结果。然而，由于匹配树和合并树结构类似，且存在着空间冗余以及结点信息重复的问题，导致在策略搜索阶段浪费部分计算资源，影响策略评估引擎的评估效率。

发明内容

本发明的目的在于针对上述现有技术的不足，提供一种基于匹配树的可扩展访问控制标记语言策略搜索方法，以避免空间冗余以及结点信息的重复，提升策略评估过程中的策略搜索效率。

本发明的技术思路是：将传统XACML策略评估过程中策略全遍历搜索的方式通过利用辅助结构优化搜索效率，提取原始策略结点中的属性以及合并算法信息，构造一种与原始策略存在映射关系的匹配树结构，减少评估过程中与请求无关的策略数量，提高策略搜索速度，改善策略评估过程的整体效率。其实现步骤包括如下：

(1)获取初始匹配树结构：

1a)从可扩展访问控制标记语言的原始策略集中提取出各结点中的属性标签、子结点集合和每条规则路径I的路径信息E；

1b)仿照原始策略集的结构生成初始匹配树结构，并将属性标签和子结点集合存放到对应的匹配树非叶结点中，将路径信息E存放到对应的匹配树叶结点中；

1c)遍历匹配树所有结点，将结点中存在析取关系的属性标签拆为同一父结点下的并列结点，且将该结点下子树迁移到所有并列结点下；将结点中存在合取关系的属性标签拆为父子结点，将该结点下子树迁移到拆分后的最下层结点下；

(2)精简匹配树：

2a)消除匹配树上同一路径下的重复属性，并向叶结点添加对应的路径标识s；

2b)创建一个用于存放路径标识和路径信息的映射表M；

2c)遍历匹配树中的叶结点，当M中存在当前叶结点的路径标识时，将该结点中的路径信息保存在M中路径标识对应的路径信息集合中，并删除匹配树上该结点的所在分支；当M中不存在当前叶结点的路径标识时，将该结点中的路径标识和路径信息存放在M中，并删除匹配树上该结点中的路径信息，得到精简后的匹配树；

(3)在精简后的匹配树上搜索满足请求的适用规则路径，并根据适用规则路径的叶结点中的路径标识在映射表M中获取对应的路径信息，根据该路径信息从原始策略集中获取需要参与评估的适用策略集。

本发明与现有技术相比具有以下优点：

第一，由于本发明使用与原始策略语义相同的匹配树结构作为索引进行策略搜索，避免了现有技术在策略搜索时进行全遍历搜索造成的资源浪费及策略评估过程整体效率低的问题，使得本发明在保证参与评估过程的策略准确性的基础上，减少了参与评估过程的策略数量，提高了评估过程的整体效率。

第二，由于本发明直接在可扩展访问控制标记语言策略的基础上进行信息提取生成的匹配树结构，克服了现有技术在不同系统中添加新策略时存在的策略格式必须相同、策略迁移和维护成本高的问题，使得本发明提高了以XACML策略为基础的系统中策略管理的实用性，降低了现有策略向不同系统中进行迁移的成本。

附图说明

图1为本发明的实现总流程图；

图2为本发明中生成初始匹配树的子流程图；

图3为现有可扩展访问控制标记语言原始策略的实例示意图；

图4为本发明实例中获得的初始匹配树结构示意图；

图5为本发明中精简匹配树的子流程图；

图6为本发明实例中精简后匹配树的结构示意图；

图7为本发明实例中用于存放路径标识和路径信息的映射表的映射关系图。

具体实施方式

下面结合附图对本发明实施例做进一步的描述，本领域技术人员可由本说明书所揭示的内容轻易地了解本发明的其它优点与功效。本发明亦可通过其它不同的具体实例加以施行或应用，本说明书中各种细节亦可基于不同观点与应用，在不背离本发明的精神下进行各种修饰与变更。

参照图1，本发明基于匹配树的可扩展访问控制标记语言策略搜索方法，实现步骤如下：

步骤一：获取可扩展访问控制标记语言原始策略。

本发明所用策略按现有可扩展访问控制标记语言XACML的语言标准编写，即本发明所要搜索的访问策略。本发明的可扩展访问控制标记语言原始策略具体实例如图3所示，其包括，带PolicyID属性和CombAlgID属性的<Policy>、带RuleID属性和Effect属性的<Rule>、带MatchID属性的<Match>、Target、AttributeID、AttributeValue；

步骤二：生成初始匹配树。

参照图2，本步骤的具体实现如下：

2.1)提取原始策略结点中PolicyID/RuleID属性、CombAlgID/Effect属性和Target元素中的信息；

在本发明具体实例中，可扩展访问控制标记语言原始策略中所需提取的有效信息是<Policy>元素中的PolicyID、CombAlgID和<Target>元素，以及<Rule>元素中的RuleID、Effect和<Target>元素；

2.2)仿照原始策略结构，生成匹配树结构，将属性标签和子结点集合存放到对应的匹配树非叶结点中，即将<Target>元素存放在对应的匹配树结点中，本实例中可扩展访问控制标记语言原始策略具体实例如图3所示，可扩展访问控制标记语言原始策略符合树状结构，初始化一个与可扩展访问控制标记语言原始策略结构相同的结点信息为空的树结构，将每层<Policy>或<Rule>元素中的<Target>元素保存在对应的结点中；

2.3)向匹配树叶结点添加子结点，并将PolicyID/RuleID和CombAlgID/Effect转换为规则路径I的路径信息E保存子结点中，获得初始匹配树结构；

所述的规则路径I，表示如下：

f:x₁,x₂,...,x_j,...,x_n→I

其中，x_j为规则路径I中第j层结点，I上所有结点需满足关系：x₁Rx₂,x₂Rx₃,...,x_jRx_j+1,...,x_n-1Rx_n，R是父子结点间的二元关系，即结点x_j是结点x_j+1的父结点，每条策略中的规则都关联一条规则路径；

所述的路径信息E，表示如下：

E＝(p_n,p_c)

其中，p_n是规则路径I上所有结点的唯一ID顺序排列构成的一个有序序列，能够在单位时间里找到对应的规则路径；p_c是规则路径I上所有结点中合并算法构成的一个有序序列；

所述的初始匹配树结构由初始匹配树结点N构成，表示如下：

N＝(S,E)

其中，S是一个初始匹配树结点N上匹配属性ID的集合，当N为叶结点时，S为空；E是路径信息，代表从初始匹配树根结点到达初始匹配树结点N的路径信息，当N为非叶结点时，E为空；

2.4)遍历初始匹配树，查找初始匹配树的AnyOf是否存在多个AllOf：

参照本实例RuleID为001的<Rule>元素，在该元素的<Target>中，第一个AnyOf中存在两个AllOf，即该<Target>元素中的AnyOf存在多个AllOf，执行2.5)；否则，执行2.6)；

2.5)将AnyOf中的信息拆分为同一父结点的子结点，并具有与该结点原子树相同的子树：

参照本实例RuleID为001的<Rule>元素，在该元素的<Target>元素中，AnyOf中的信息被拆分为两条子树；

拆分后的匹配树如图4所示，即第四层左侧访客结点和中间访客结点具有同一个父结点，第四层左侧的访客结点和第五层中间邮件代理状态结点具有相同的子树；

2.6)遍历初始匹配树，查找初始匹配树的AllOf是否存在多个Match:

参照本实例RuleID为001的<Rule>元素，在该元素的<Target>元素下，第二个AllOf中存在两个Match，即该<Target>元素中的AllOf存在多个Match，执行2.7)；否则，执行2.8)；

2.7)将AllOf中信息拆分为父子结点，并将该结点原有子树迁移到拆分后的最下层结点下：

参照本实例RuleID为001的<Rule>元素，在该元素的<Target>元素中，第二个<AllOf>中的信息被拆分为父子结点，将该结点下的子树迁移到拆分后的最下层结点下，拆分后的匹配树如图4所示，即将叶子结点迁移到拆分后的第五层邮件代理状态结点下；

2.8)保存初始匹配树结构。

本实例中保存的初始匹配树结构如图4所示，其共有三条路径：

第一条路径为：邮件系统→当前时间→当前时间→访客→{p_n：1-01-001，p_c：DO-DO-P}；

第二条路径为：邮件系统→当前时间→当前时间→访客→邮件代理状态→{p_n：1-01-001，p_c：DO-DO-P}；

第三条路径为：邮件系统→当前时间→当前时间→假期状态→{p_n：1-01-002，p_c：DO-DO-D}。

步骤三：精简匹配树。

参照图5，本步骤的具体实现如下：

3.1)从初始匹配树根结点深度优先遍历；

3.2)查找同一路径下或同一层上是否存在相同属性ID的结点；

参照图4，初始匹配树的第二层和第三层结点中的属性ID同为当前时间，第四层中存在两个结点中属性ID同为访客，即路径下存在属性ID相同的结点，执行3.3)；否则，执行3.4)；

3.3)消除距离叶结点近的结点，并将其子树迁移到其父结点下：

参照图4，初始匹配树结构图中存在两对重复属性ID的结点，其中会出现如下两种情况：

不同层结点存在相同属性ID：本实例初始匹配树中第二层和第三层结点属性ID同为当前时间，因此，将第三层属性ID为当前时间的结点消除，并将其三条子树迁移到第二层属性ID为当前时间的结点下；

同层结点存在相同属性ID：本实例初始匹配树中第四层中存在两个结点属性ID同为访客，因此，将距离叶结点近的属性ID为访客的左侧结点消除，并将其子树迁移到属性ID同为访客的右侧结点下；

3.4)为匹配树每条路径生成路径标识s并保存在叶结点；

所述的路径标识s是指利用MD5算法将规则路径I上所有结点的匹配属性构成的有序序列转换为具有唯一性的标识；

3.5)创建一个用于存放路径标识和路径信息的映射表M；

所述用于存放路径标识和路径信息的映射表M的映射关系图如图7所示，映射表M由路径标识s和路径信息E两种数据结构构成，其中s和E之间存在多对多关系，利用路径信息可以从策略库中提取对应的策略；

3.6)遍历匹配树的叶结点；

3.7)判断叶结点的s是否存在于实例中用于存放路径标识和路径信息的映射表M中，若存在，执行3.8)；否则，执行3.9)；

3.8)将叶结点的路径信息保存在映射表M对应的路径标识中，并删除该结点在匹配树上的分支：

初始匹配树经过精简操作后，同一规则路径叶结点中的路径信息可能存在多个，因此，路径标识对应的路径信息也可能存在多个，将路径标识重复的叶结点中的路径信息存放在映射表中，并删除该结点在匹配树上的分支，从而进一步精简匹配树；

3.9)将叶结点的路径标识和路径信息保存在映射表M中，并删除当前结点中的路径信息，从而减少匹配树结点中的数据量，当匹配树叶结点遍历完成后，获得精简后匹配树结构和映射表M；

本实例的精简后匹配树如图6所示，其共有三条路径：

第一条路径为：邮件系统→当前时间→访客→{s：892e63f476245308}；

第二条路径为：邮件系统→当前时间→访客→邮件代理状态→{s：c27d74e6cba69ba4}

第三条路径为：邮件系统→当前时间→假期状态→{s：a1b00e7876ec6999}；

图6所示精简后匹配树结构由精简后匹配树结点N'构成，表示如下：

N'＝(S',s)

其中，S'是一个精简后匹配树结点N'上匹配属性ID的集合，当N'为叶结点时，S'为空；s是路径标识，代表从精简后匹配树根结点到达精简后匹配树结点N'的路径标识，当N'为非叶结点时，s为空。

本实例用于存放路径标识和路径信息的映射表M的映射关系图如图7所示，其共有三对映射关系：

第一对映射关系为：路径标识{s：892e63f476245308}对应路径信息{p_n：1-01-001，p_c：DO-DO-P}；

第二对映射关系为：路径标识{s：c27d74e6cba69ba4}对应路径信息{p_n：1-01-001，p_c：DO-DO-P}；

第三对映射关系为：路径标识{s：a1b00e7876ec6999}对应路径信息{p_n：1-01-002，p_c：DO-DO-D}。

步骤四：用户发送访问请求。

4.1)用户初始化一个访问请求，并将自身所能提供的信息以属性ID和属性值的形式添加到访问请求中；

4.2)用户查询所要访问的资源信息，将资源相关的属性ID和属性值添加到访问请求中；

4.3)用户将对目标资源的操作以属性ID和属性值的形式添加到访问请求中，得到完整的访问请求；

4.4)用户将完整的访问请求发送给系统。

步骤五：利用匹配树搜索访问请求的适用策略。

5.1)根据用户发送的访问请求，在匹配树中搜索适用规则路径的路径标识：

根据用户发送访问请求中的属性ID集合，判断规则路径中结点的属性ID是否都在访问请求的属性ID集合中：若存在，说明该路径为访问请求的适用规则路径，即该路径对应的策略可以对访问请求进行评估；否则，说明该路径不是访问请求的适用规则路径，即该路径对应的策略无法对访问请求进行评估；

所述的适用规则路径是指匹配树规则路径上所有结点的匹配属性都是请求中属性集合的子集；

5.2)根据获得的路径标识，在映射表中查找到对应的路径信息；

5.3)根据获得的路径信息，在原始策略库中找到对应的完整策略，即用户访问请求的适用策略。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何本领域技术人员均可在不违背本发明的精神及范畴下，对上述实施例进行修饰与改变。但这些修稿菌属本发明保护范围之列。

Claims (5)

1.一种基于匹配树的可扩展访问控制标记语言策略搜索方法，其特征在于，包括如下：

(1)获取初始匹配树结构：

1a)从可扩展访问控制标记语言的原始策略集中提取出各结点中的属性标签、子结点集合和每条规则路径I的路径信息E；其中的规则路径I，是由从策略根结点到任意结点所经过的结点所构成的路径，其表示如下：

f:x₁,x₂,...,x_j,...,x_n→I

其中，x_j为规则路径I中第j层结点，I上所有结点需满足关系：x₁Rx₂,x₂Rx₃,...,x_jRx_j+1,...,x_n-1Rx_n，R是父子结点间的二元关系，即结点x_j是结点x_j+1的父结点，每条策略中的规则都关联一条规则路径；

其中的路径信息E，表示如下：

E＝(p_n,p_c)

其中，p_n是由规则路径I上所有结点的唯一ID顺序排列构成的一个有序序列；p_c是由规则路径I上所有结点中合并算法构成的一个有序序列；

1b)仿照原始策略集的结构生成初始匹配树结构，并将属性标签和子结点集合存放到对应的匹配树非叶结点中，将路径信息E存放到对应的匹配树叶结点中；

1c)遍历匹配树所有结点，将结点中存在析取关系的属性标签拆为同一父结点下的并列结点，且将该结点下子树转移到所有并列结点下；将结点中存在合取关系的属性标签拆为父子结点，将该结点下子树转移到拆分后的最下层结点下；

(2)精简匹配树：

2a)消除匹配树上同一路径下的重复属性，并向叶结点添加对应的路径标识s；

2b)创建一个用于存放路径标识和路径信息的映射表M；

2c)遍历匹配树中的叶结点，当M中存在当前叶结点的路径标识时，将该结点中的路径信息保存在M中路径标识对应的路径信息集合中，并删除匹配树上该结点的所在分支；当M中不存在当前叶结点的路径标识时，将该结点中的路径标识和路径信息存放在M中，并删除匹配树上该结点中的路径信息，得到精简后的匹配树；

(3)在精简后的匹配树上搜索满足请求的适用规则路径，并根据适用规则路径的叶结点中的路径标识在映射表M中获取对应的路径信息，根据该路径信息从原始策略集中获取需要参与评估的适用策略集；所述适用规则路径是指匹配树规则路径上所有结点的匹配属性都是请求中属性集合的子集。

2.根据权利要求1所述的方法，其特征在于，1b)中的初始匹配树结构，是由初始匹配树结点N构成，表示如下：

N＝(S,E)

其中，S是一个初始匹配树结点N上匹配属性ID的集合，当N为叶结点时，S为空；E是路径信息，代表从初始匹配树根结点到达初始匹配树结点N的路径信息，当N为非叶结点时，E为空。

3.根据权利要求1所述的方法，其特征在于，2a)中的路径标识s,是指利用MD5算法将规则路径I上所有结点的匹配属性构成的有序序列转换为具有唯一性的标识。

4.根据权利要求1所述的方法，其特征在于，2b)创建的存放路径标识和路径信息的映射表M，是由路径标识s和路径信息E两种数据结构构成，其中s和E之间存在多对多关系。

5.根据权利要求1所述的方法，其特征在于，2c)中得到的精简后匹配树，是由精简后匹配树结点N'构成，表示如下：

N'＝(S',s)

其中，S'是一个精简后匹配树结点N'上匹配属性ID的集合，当N'为叶结点时，S'为空；s是路径标识，代表从精简后匹配树根结点到达精简后匹配树结点N'的路径标识，当N'为非叶结点时，s为空。

Images