XACML Admin中的策略预处理研究

根据XACML Admin中访问策略和管理策略混合的特点，提出了一个在PDP中将策略树分割为访问策略树和管理策略树来提高在线判定性能的匹配方案．在此基础上，根据委托的逻辑含义，通过构造委托图，去除管理策略树和访问策略树中的无效节点，从而使在线判定时不考虑引起拒绝服务攻击的无效策略．同时根据目前XACML Admin中模式定义的缺陷，提出了一种改进的模式定义，此模式定义使Delegates能够与XACML核心规范中Subjects，Resources等元素的处理规则保持一致，并能够更加有效地定义管理策略．以上这些方式能够有效地改善在线判定性能和阻止针对请求判定过程的拒绝服务攻击．