[发明专利]基于多种优化机制的XACML策略评估引擎系统

摘要

本发明提出了一种基于多种优化机制的XACML策略评估引擎系统，解决现有XACML策略评估引擎系统不能为海量用户同时发出的访问请求及时做出正确决策的问题。该系统包括审计服务（1）、策略管理服务（2）、策略决策服务（3）、策略持久化服务（4）和属性断言服务（5）；审计服务（1）记录系统的交互信息；策略管理服务（2）提供集中式的图形化策略管理平台；策略决策服务（3）对用户请求进行决策；策略持久化服务（4）提供策略存储和策略检索功能；属性断言服务（5）提供属性存储和属性检索功能。本发明具有评估效率高，匹配运算量小，匹配速率快和易于集成的优点，可用于分布式环境下为海量用户的访问请求及时做出正确决策。

主权项

一种基于多种优化机制的XACML策略评估引擎系统，包括：审计服务单元（1），用于记录系统的访问请求、请求响应、策略集属性的调用信息，为策略决策服务单元（3）中的统计分析模块（34）提供最准确的原始数据；策略管理服务单元（2），用于提供一个集中式的图形化XACML策略管理平台，完成XACML策略的基本操作、动态XACML策略精化、XACML策略的数值化；策略决策服务单元（3），用于根据从属性断言服务单元（5）和策略持久化服务单元（4）中获取的相关信息对用户的访问请求进行授权决策；策略持久化服务单元（4），用于存储策略管理服务单元（2）创建的XACML策略、支持多种XACML策略存储方式及XACML策略库的动态添加和注销，并对策略决策服务单元（3）提供XACML策略检索服务；属性断言服务单元（5），用于提供属性断言存储和发布服务，为策略决策服务单元（3）提供属性检索功能；所述的策略决策服务单元（3），包括：上下文处理器模块（31），用于将原始用户资源访问请求解析为XACML请求并发送给评估引擎模块（32），并将评估引擎模块（32）返回的判断结果封装为XACML响应格式发给用户；评估引擎模块（32），用于从多级缓存模块（33）中获取属性、请求及对应结果、XACML策略信息，并将获取的相关信息与用户访问请求中指定的实体信息进行匹配，根据匹配结果对访问请求执行授权决策，并将决策结果返回给上下文处理器模块（31）；多级缓存模块（33），用于将频繁调用的属性、XACML策略和请求及对应结果信息存储在缓存中，以有效降低评估引擎模块（32）和其他功能部件的通信损耗，提高决策效率；统计分析模块（34），用于对审计服务单元1的日志信息进行分析，利用统计分析得到的属性、XACML策略和请求及对应结果的调用频率，实时、动态更新缓存内容，调整XACML策略的规则顺序，保证多级缓存模块（33）中存储的内容都是频率使用的，保证调用最频繁的规则排在XACML策略的最前面，以提高XACML策略匹 配速度。