xacml策略优化方法研究计算机应用技术专业论文.docxVIP

声 声 明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在本学位 论文中，除了加以标注和致谢的部分外，不包含其他人已经发表或公布过的 研究成果，也不包含我为获得任何教育机构的学位或学历而使用过的材料。 与我一同工作的同事对本学位论文做出的贡献均已在论文中作了明确的说 明。 p t1年多月移日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅或上 网公布本学位论文的部分或全部内容，可以向有关部门或机构送交并授权 其保存、借阅或上网公布本学位论文的部分或全部内容。对于保密论文，按 保密的有关规定和程序处理。 硕士学位论文 硕士学位论文 XACML策略优化方法研究 摘 要 IIllIllll[Ill[／Ill[Illllllilt／liltIllll[[I Y2823974 如何确保信息的安全性以及对关键资源的安全访问已经成为重要的研究课题，其中 访问控制是确保系统安全的一个重要手段。XACML(eXtensible Access Control Markup Language，可扩展的访问控制标记语言)已经逐渐成为访问控制的主要标准之一，这就 要求XACML具有高效的策略评估引擎。然而当规则和策略数达到一定规模时，策略评 估性能很容易成为制约系统可用性的瓶颈，所以亟需提升策略评估引擎性能以保证系统 可用性。 针对这一问题，本文从XACML策略本身潜在的不足出发从规则压缩、冗余消除、 属性数值化和动态重排序四个方面对XACML策略进行优化。规则压缩将简单规则压缩 成复杂规则，将匹配次数从乘数级降至加数级。冗余消除在不影响策略评估结果的前提 下去除策略库中的冗余规则及冗余状态，缩小策略库规模。属性数值化将文本的XACML 策略属性转化为数值的属性，使评估引擎匹配方式使用高效的数值匹配，而不是低效的 字符串匹配，同时使用Hash表结构存储数值属性与文本属性的映射关系有利于策略维 护。动态重排序有效利用策略执行统计数据，同时考虑策略和规则复杂度，动态调整策 略和规则在策略库和策略的顺序，使优先级高的策略与规则置于执行队列前端。本文提 出的策略优化方法除动态重排序外都属于判定前的策略预处理过程，与策略匹配评估的 具体流程相对独立，侵入性较弱，因此可作为共性优化技术与其他策略评估引擎融合使 用。 在仿真实验与结果分析中，本文为验证所研究和提出优化方法的有效性，列出各种 优化方法的运行时间和效率比。实验结果表明与Sun XACML相比各优化方法对性能都 有不同程度提升。最后，本文将所有优化方法融合，并与商业应用策略评估引擎XEngine 进行综合对比分析。实验结果表明将各优化方法进行融合后策略评估引擎性能进一步得 到质的提升，性能远优于Sun XACML，且优于商业应用策略评估引擎XEngine。 关键词：XACML，策略优化，规则压缩，冗余消除，属性数值化，动态重排序 硕士学位论文 硕士学位论文 XACML策略优化方法研究 Abstract How to ensure the safety of information and access to critical resources has become an important research topic，where access control is one of the important means to ensure the security of the system．XACML(eXtensible Access Control Markup Language)has become one of main access control standards，which calls for a policy evaluation engine of high performance．However,the evaluating performance Can easily become bottleneck restricting the system availability when the number of policies and rules is huge．Therefo