本文關鍵詞：SOA環(huán)境下策略決策點高效評估方法的研究，由筆耕文化傳播整理發(fā)布。

【摘要】：在面向服務體系架構的環(huán)境中,訪問控制是網(wǎng)絡安全和信息安全研究領域中非常重要的研究對象;而在研究授權訪問控制時,人們越來越多地采用策略描述網(wǎng)絡和信息系統(tǒng)的安全需求。授權中心中的策略決策點評估訪問請求時,其評估性能受到多方面因素的影響:一方面,由于策略中可能存在沖突和冗余,導致授權中心的策略決策點加載策略后可能做出不恰當?shù)氖跈鄾Q策,影響網(wǎng)絡和信息系統(tǒng)的運行效率。另一方面,傳統(tǒng)的集中式授權模型只含有唯一策略決策點,當策略決策點加載的策略中包含的規(guī)則數(shù)逐漸增多時,其評估性能將大幅度下降。因此,提高策略決策點的評估性能具有重要的研究意義。本文分析了策略沖突和冗余的分類,構造了策略沖突和冗余的檢測與消除引擎,完成了對策略中存在的“形式?jīng)_突”、“形式冗余”和“與組合算法相關的冗余”的檢測與消除工作;提出了分布式策略評估引擎,采用“策略分解”的方法,對策略進行分解以減少單個策略包含的規(guī)則數(shù),并能夠均衡部署到每個策略決策點的子策略的開銷。上述工作均實現(xiàn)了策略決策點高效評估訪問請求的目標。論文的主要研究工作及創(chuàng)新點包括:(1)針對策略沖突影響策略決策點評估性能問題構造“資源索引樹”檢測與消除策略沖突本文提出了“形式?jīng)_突”的檢測與消除引擎,該引擎既能夠檢測與消除策略中存在的“形式?jīng)_突”,也具有策略決策點的功能,通過加載消除“形式?jīng)_突”后的策略,可以實現(xiàn)對訪問請求的評估。在“形式?jīng)_突”的檢測與消除引擎中通過建立“資源索引樹”,將XACML標簽語言描述的策略中的規(guī)則轉化為“資源索引樹”中的結點信息。結合“資源索引樹”,根據(jù)策略中規(guī)則的資源從屬關系、條件重疊關系和效用異同等因素,在同層資源結點之間檢測與消除“同資源沖突”,并在不同層次的資源結點之間檢測與消除“從屬資源沖突”。實驗對比了“形式?jīng)_突”的檢測與消除引擎和Sun PDP的評估性能。實驗結果表明策略沖突的消除能夠顯著提高策略決策點的評估性能。(2)針對策略冗余影響策略決策點評估性能問題構造“資源磚墻”檢測與消除策略冗余本文提出了策略冗余的檢測與消除引擎,該引擎不但可以檢測與消除策略中存在的“形式冗余”和“與組合算法相關的冗余”,而且具有策略決策點的功能,通過加載消除“形式冗余”和“與組合算法相關的冗余”后的策略,可以實現(xiàn)對訪問請求的評估。策略冗余的檢測與消除引擎根據(jù)策略的目標屬性中的資源屬性構造“資源磚墻”。本文充分考慮了因資源屬性、條件屬性和效用等因素造成的策略冗余問題,結合“資源磚墻”和策略/規(guī)則組合算法,提出了“形式冗余”和“與組合算法相關的冗余”的檢測與消除方法。實驗對比了策略冗余檢測與消除引擎和Sun PDP的評估性能。實驗結果表明消除策略中存在的冗余能夠大幅度提高策略決策點的評估性能。(3)針對傳統(tǒng)集中式授權模型中策略決策點評估性能低的問題采用“策略分解”方法構造分布式策略評估引擎本文提出了一個分布式策略評估引擎,其具有分解策略和分配請求的功能。采用了增加策略決策點的方法,改善了傳統(tǒng)的集中式授權模型中只含有唯一策略決策點的不足,并將策略分解成多個子策略,使得每個子策略包含較少的規(guī)則數(shù),并均衡部署到每個策略決策點的子策略的開銷。在分析策略分解標準的基礎上,討論了策略分解的離散優(yōu)化模型及其特定性質,并構造了一個具有良好時間復雜度的貪心算法用于求解該離散優(yōu)化模型。實驗將實際應用中的測試策略按照貪心算法分解成多個子策略,策略分解方法使得部署到每個策略決策點的子策略的開銷相等或近似相等。實驗對比了分布式策略評估引擎和Sun PDP的評估性能。實驗結果表明:1)策略分解的方法有效提高了策略決策點的評估性能;2)策略決策點的評估時間隨著策略決策點數(shù)目的增多而降低。論文為面向服務的體系架構環(huán)境下策略決策點的高效評估提出了策略沖突的檢測與消除、策略冗余的檢測與消除和策略分解三種方法。綜合實驗針對三種不同的典型測試策略,在采用策略分解方法的分布式策略評估引擎的多個策略決策點中加載消除了沖突和冗余的策略,對比了其和Sun PDP的評估性能。綜合實驗結果表明,加載消除了沖突和冗余的策略的分布式策略評估引擎比加載未消除沖突和冗余的策略的分布式策略評估引擎的評估性能平均提高的百分率約為50%,而比Sun PDP的評估性能平均提高的百分率約為70%。
【關鍵詞】：策略沖突 策略冗余 策略分解 策略決策點 評估性能
【學位授予單位】：西安電子科技大學
【學位級別】：博士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要5-7
• ABSTRACT7-14
• 符號對照表14-15
• 縮略語對照表15-21
• 第一章 緒論21-33
• 1.1 研究背景和意義21-23
• 1.2 研究現(xiàn)狀23-28
• 1.2.1 策略沖突的檢測與消除24-26
• 1.2.2 策略冗余的檢測與消除26-27
• 1.2.3 策略分解27-28
• 1.3 主要研究工作28-30
• 1.4 論文組織結構30-33
• 第二章 相關技術基礎33-51
• 2.1 SOA及其相關技術33-37
• 2.1.1 SOA的概念33
• 2.1.2 SOA的基本組成元素33-34
• 2.1.3 SOA組件的協(xié)作34-35
• 2.1.4 UDDI35
• 2.1.5 WSDL35-36
• 2.1.6 SOAP36
• 2.1.7 SOA的優(yōu)勢36-37
• 2.2 訪問控制模型37-41
• 2.2.1 自主訪問控制模型38
• 2.2.2 強制訪問控制模型38
• 2.2.3 基于角色的訪問控制模型38-39
• 2.2.4 基于屬性的訪問控制模型39
• 2.2.5 基于任務的訪問控制模型39-40
• 2.2.6 基于對象的訪問控制模型40
• 2.2.7 基于服務的訪問控制模型40
• 2.2.8 使用控制模型40
• 2.2.9 訪問控制模型的比較40-41
• 2.3 XACML語言41-49
• 2.3.1 XACML簡介41-42
• 2.3.2 XACML的組成結構42-45
• 2.3.3 策略/規(guī)則組合算法45-46
• 2.3.4 XACML訪問控制模型46-48
• 2.3.5 相關定義48-49
• 2.4 本章小結49-51
• 第三章 策略沖突的檢測與消除51-81
• 3.1 策略沖突的分類51-52
• 3.2“形式?jīng)_突”的檢測與消除引擎52-53
• 3.3 資源索引樹53-56
• 3.4“形式?jīng)_突”的檢測與消除56-72
• 3.4.1“同資源沖突”的檢測與消除57-60
• 3.4.2“從屬資源沖突”的檢測與消除60-68
• 3.4.3 綜合實例68-72
• 3.5“形式?jīng)_突”的檢測與消除算法72-78
• 3.5.1“資源索引樹”初始化算法73
• 3.5.2“同資源沖突”的檢測算法73-74
• 3.5.3“從屬資源沖突”的檢測算法74
• 3.5.4“形式?jīng)_突”的消除算法74-76
• 3.5.5 添加規(guī)則到“資源索引樹”算法76-77
• 3.5.6 回溯檢測與消除沖突算法77
• 3.5.7 策略間沖突的檢測與消除算法77-78
• 3.6 相關工作比較78-79
• 3.7 本章小結79-81
• 第四章 策略冗余的檢測與消除81-127
• 4.1 策略冗余的分類81-82
• 4.2 策略冗余的檢測與消除引擎82-83
• 4.3 資源磚墻83-85
• 4.4“形式冗余”的檢測與消除85-102
• 4.4.1“同資源冗余”的檢測與消除86-90
• 4.4.2“從屬資源冗余”的檢測與消除90-99
• 4.4.3 綜合實例99-102
• 4.5“與組合算法相關的冗余”的檢測與消除102-118
• 4.5.1 與Deny-Overrides組合算法相關的冗余103-106
• 4.5.2 與Permit-Overrides組合算法相關的冗余106-109
• 4.5.3 與First-Applicable組合算法相關的冗余109-112
• 4.5.4 綜合實例112-118
• 4.6 策略冗余的檢測與消除算法118-125
• 4.6.1“資源磚墻”初始化算法119
• 4.6.2“同資源冗余”的檢測算法119-120
• 4.6.3“從屬資源冗余”的檢測算法120
• 4.6.4“形式冗余”的消除算法120-121
• 4.6.5“與組合算法相關的冗余”的檢測與消除算法121-122
• 4.6.6 添加規(guī)則到“資源磚墻”算法122-123
• 4.6.7 回溯檢測與消除冗余算法123-124
• 4.6.8 策略間冗余的檢測與消除算法124-125
• 4.7 相關工作比較125
• 4.8 本章小結125-127
• 第五章 基于策略分解的策略決策點高效評估方法127-137
• 5.1 分布式策略評估引擎127-128
• 5.2 策略分解128-130
• 5.2.1 分解標準128
• 5.2.2 優(yōu)化模型128-129
• 5.2.3 特定性質129-130
• 5.3 策略分解問題的相關算法130-136
• 5.4 相關工作比較136
• 5.5 本章小結136-137
• 第六章 實驗結果與分析137-161
• 6.1 實驗環(huán)境137-138
• 6.2 實驗所用策略138
• 6.3 策略沖突的檢測與消除實驗138-142
• 6.3.1 消除“形式?jīng)_突”前后XDPCE的評估性能對比138-139
• 6.3.2 消除“形式?jīng)_突”后XDPCE和Sun PDP的評估性能對比139-142
• 6.4 策略冗余的檢測與消除實驗142-150
• 6.4.1 消除“形式冗余”前后XDPRE的評估性能對比142-143
• 6.4.2 消除“形式冗余”后XDPRE和Sun PDP的評估性能對比143-146
• 6.4.3 消除“與組合算法相關的冗余”前后XDPRE的評估性能對比146-147
• 6.4.4 消除“與組合算法相關的冗余”后XDPRE和Sun PDP的評估性能對比147-148
• 6.4.5 消除所有冗余前后XDPRE的評估性能對比148-149
• 6.4.6 消除所有冗余后XDPRE和Sun PDP的評估性能對比149-150
• 6.5 策略分解實驗150-156
• 6.5.1 最佳線程數(shù)的確定150-152
• 6.5.2 XDPEE和Sun PDP的評估性能對比152-155
• 6.5.3 含有不同策略決策點數(shù)目的XDPEE的評估性能對比155-156
• 6.6 綜合實驗156-159
• 6.7 本章小結159-161
• 第七章 總結與展望161-165
• 7.1 總結161-163
• 7.2 展望163-165
• 參考文獻165-179
• 致謝179-181
• 作者簡介181-182

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前3條

1 建新;;全球RFID技術的最新進展——幾位大公司RFID策略決策人訪談[J];金卡工程;2006年07期

2 周加根;葉春曉;羅娟;;ABAC策略語義表示和決策方法[J];計算機工程與應用;2013年23期

3 ;[J];;年期

中國博士學位論文全文數(shù)據(jù)庫 前1條

1 鄧凡;SOA環(huán)境下策略決策點高效評估方法的研究[D];西安電子科技大學;2015年

  本文關鍵詞：SOA環(huán)境下策略決策點高效評估方法的研究，由筆耕文化傳播整理發(fā)布。

，

本文編號：262874