ABAC安全策略的优化研究

发布时间：2020-10-15 02:37

　　 随着计算机与通信网络的飞速发展,多元化的互联网应用给人们的生活带来极大的便利。与此同时,信息的传播也更加广泛迅捷,越来越多的隐私信息被暴露在互联网中,这使得信息安全受到了极大的考验。访问控制正是保证信息安全的重要手段之一,而ABAC作为访问控制中的一种适用于分布式环境的模型,近年来成为了研究重点。其中,XACML拥有丰富且灵活的策略表达能力,成为了描述ABAC策略的语言标准。本文从上述背景出发,对基于属性的访问控制模型进行了工程实践与理论研究。ABAC模型通过对实体属性的统一建模实现了访问控制授权的灵活性与可扩展性,但随着用户和资源的增长导致其策略库膨胀。进一步,访问请求在策略库中对适用策略的匹配效率降低,策略评估的性能受到了严重的影响,亟需得到优化以保障ABAC的可用性。针对上述问题,本文从ABAC模型出发,以XACML标准为基础,分别从策略匹配过程与策略结构进行了优化研究工作。针对策略匹配过程优化,本文提出了一种匹配树的评估方法;进一步,在匹配树的基础上,本文提出了基于细粒度决策图的高效评估方法,实现了策略评估过程优化。此外,本文对提出的优化方法进行了性能验证实验。本文的核心工作有以下几点:首先,通过分析ABAC评估过程与XACML策略结构特性,本文总结出了影响策略性能的几个因素,并分别对不同因素进行了分析探讨,指出性能优化的可行方向。同时,针对已有的策略优化方法,本文进行了归纳分类,并指出了各自存在的优缺点。其次,本文提出了匹配树结构以及相应的评估方法,实现了策略匹配的优化,并首次支持了运行时策略的动态变更。一方面,匹配树映射了策略库并对自身索引信息进行了极大程度的精简,从而加快适用策略信息的获取速度,能在保持语义不变的前提下提升匹配效率;另一方面,针对在运行时策略更改的性能问题,提出了基于匹配树的策略管理解决方案,首次支持了策略变更的动态性,使ABAC能够在运行时更改策略,而无需停用策略库。接着,基于匹配树特性,本文提出了细粒度决策图结构以及相应的评估方法,实现了策略结构的优化。匹配树以策略中包含属性序列细分了策略,本文以此为基础将决策图细分。在匹配树的基础上,细粒度决策图既弥补了决策图结构难以维护更改的缺陷,同时兼顾了决策图评估效率高的特点。此外,根据细粒度决策图在评估过程会发生冲突的情形,进一步提出了即时合并策略,并证明了细粒度决策图与原策略语义的一致性。最后,在仿真实验与结果分析中,本文对两种优化研究进行实现并进行性能测试,并针对运行时策略的更改以及决策图的策略变更设计了仿真实验。实验结果表明,匹配树匹配方法以及细粒度决策图方法与传统评估方法相比,在性能方面分别有着不同程度的提升。在运行时的策略更改方面,匹配树方法远远优于传统方法。在决策图的策略变更方面,细粒度决策图的策略维护难度也得到了极大程度的降低。本文提出的匹配树结构具有广泛的适用性,不仅能有效提升策略匹配的性能,还支持了运行时策略库中的策略更改,极大的提升了评估引擎的实用性。同时,细粒度决策图解决了决策图难以维护的缺点,兼顾了决策图的高效评估性能,为ABAC模型实际应用提供了思路。
【学位单位】：西安电子科技大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TP309
【部分图文】：

Policies Attr ( s ) Attr ( r ) Attr ( a ) { , Attr (e )}(2-1)图2.1 基于属性的访问控制模型ABAC 是一种逻辑性的访问控制模型，通过在策略中对属性的一系列配置，实现对主体、客体的安全授权。ABAC 的主要特点如下。（1） 动态性。在动态性方面，ABAC 通过改变访问请求中的属性值能够轻易改变访问决策，而无需更改定义基础规则集的主体/客体的关系；（2） 细粒度。ABAC 通过以大量的离散请求属性写入访问控制策略的方式，以
【相似文献】

相关期刊论文 前10条

1 李莉;刘翠杰;王政;任逸飞;;动态故障树的边值多值决策图分析[J];计算机系统应用;2018年12期

2 谷文祥;王乐;殷明浩;;可能性决策图[J];东北师大学报(自然科学版);2012年02期

3 乔莹;许美玲;钟发荣;莫毓昌;;基于多值决策图的多状态线性consecutive-k-out-of-n系统的性能分析[J];南通大学学报(自然科学版);2016年04期

4 孟礼;;多阶段任务系统可靠性分析的二元决策图模型[J];国防科技大学学报;2017年02期

5 涂序跃;;基于二元决策图的系统可靠性模块分析方法[J];华东交通大学学报;2010年05期

6 陶勇剑;董德存;任鹏;;故障树分析的二元决策图方法[J];铁路计算机应用;2009年09期

7 邱建林;二叉决策图在逻辑综合中的应用[J];微机发展;2002年01期

8 胡文军;;故障树向二元决策图的转换算法[J];原子能科学技术;2010年03期

9 尹子民;佟会文;;增长率—企业竞争能力战略决策图的研究与应用[J];科技管理研究;2008年08期

10 李道丰;张增芳;;基于有序二叉决策图的路径规划可行性研究[J];计算机工程与设计;2008年22期

相关博士学位论文 前4条

1 加鹤萍;考虑运行备用的多状态电力系统可靠性分析研究[D];浙江大学;2019年

2 赖永;带蕴含文字的有序二元决策图[D];吉林大学;2013年

3 李淑敏;决策图扩展方法及其在重要度计算中的应用[D];西北工业大学;2014年

4 王昌照;含分布式电源配电网故障恢复与可靠性评估研究[D];华南理工大学;2015年

相关硕士学位论文 前10条

1 钟子超;ABAC安全策略的优化研究[D];西安电子科技大学;2019年

2 吴葱葱;基于防火墙决策图的ACL优化方法研究[D];湖南大学;2014年

3 王乐;基于可能性决策图的可能性规划[D];东北师范大学;2011年

4 王斌;基于多值决策图的物联网可信性评估与优化[D];浙江师范大学;2017年

5 常祥祥;基于二叉决策图的别名分析研究[D];西安电子科技大学;2010年

6 吴丹丹;基于决策图的高速公路网连通可靠性研究[D];浙江师范大学;2016年

7 段珊;二元决策图的排序优化及故障树转化方法的研究[D];中南大学;2008年

8 贺雄强;考虑多种失效模式的多状态系统可靠性研究[D];电子科技大学;2011年

9 章金伟;基于公共事件的二元决策图底事件排序方法研究[D];上海交通大学;2009年

10 乔迪;光网络可靠性评估模型和算法研究[D];北京邮电大学;2014年

本文编号：2841563