在面向服务体系架构的环境中,访问控制是网络安全和信息安全研究领域中非常重要的研究对象;而在研究授权访问控制时,人们越来越多地采用策略描述网络和信息系统的安全需求。授权中心中的策略决策点评估访问请求时,其评估性能受到多方面因素的影响:一方面,由于策略中可能存在冲突和冗余,导致授权中心的策略决策点加载策略后可能做出不恰当的授权决策,影响网络和信息系统的运行效率。另一方面,传统的集中式授权模型只含有唯一策略决策点,当策略决策点加载的策略中包含的规则数逐渐增多时,其评估性能将大幅度下降。因此,提高策略决策点的评估性能具有重要的研究意义。本文分析了策略冲突和冗余的分类,构造了策略冲突和冗余的检测与消除引擎,完成了对策略中存在的“形式冲突”、“形式冗余”和“与组合算法相关的冗余”的检测与消除工作;提出了分布式策略评估引擎,采用“策略分解”的方法,对策略进行分解以减少单个策略包含的规则数,并能够均衡部署到每个策略决策点的子策略的开销。上述工作均实现了策略决策点高效评估访问请求的目标。论文的主要研究工作及创新点包括:(1)针对策略冲突影响策略决策点评估性能问题构造“资源索引树”检测与消除策略冲突本文提出了“形式冲突”的检测与消除引擎,该引擎既能够检测与消除策略中存在的“形式冲突”,也具有策略决策点的功能,通过加载消除“形式冲突”后的策略,可以实现对访问请求的评估。在“形式冲突”的检测与消除引擎中通过建立“资源索引树”,将XACML标签语言描述的策略中的规则转化为“资源索引树”中的结点信息。结合“资源索引树”,根据策略中规则的资源从属关系、条件重叠关系和效用异同等因素,在同层资源结点之间检测与消除“同资源冲突”,并在不同层次的资源结点之间检测与消除“从属资源冲突”。实验对比了“形式冲突”的检测与消除引擎和Sun PDP的评估性能。实验结果表明策略冲突的消除能够显著提高策略决策点的评估性能。(2)针对策略冗余影响策略决策点评估性能问题构造“资源砖墙”检测与消除策略冗余本文提出了策略冗余的检测与消除引擎,该引擎不但可以检测与消除策略中存在的“形式冗余”和“与组合算法相关的冗余”,而且具有策略决策点的功能,通过加载消除“形式冗余”和“与组合算法相关的冗余”后的策略,可以实现对访问请求的评估。策略冗余的检测与消除引擎根据策略的目标属性中的资源属性构造“资源砖墙”。本文充分考虑了因资源属性、条件属性和效用等因素造成的策略冗余问题,结合“资源砖墙”和策略/规则组合算法,提出了“形式冗余”和“与组合算法相关的冗余”的检测与消除方法。实验对比了策略冗余检测与消除引擎和Sun PDP的评估性能。实验结果表明消除策略中存在的冗余能够大幅度提高策略决策点的评估性能。(3)针对传统集中式授权模型中策略决策点评估性能低的问题采用“策略分解”方法构造分布式策略评估引擎本文提出了一个分布式策略评估引擎,其具有分解策略和分配请求的功能。采用了增加策略决策点的方法,改善了传统的集中式授权模型中只含有唯一策略决策点的不足,并将策略分解成多个子策略,使得每个子策略包含较少的规则数,并均衡部署到每个策略决策点的子策略的开销。在分析策略分解标准的基础上,讨论了策略分解的离散优化模型及其特定性质,并构造了一个具有良好时间复杂度的贪心算法用于求解该离散优化模型。实验将实际应用中的测试策略按照贪心算法分解成多个子策略,策略分解方法使得部署到每个策略决策点的子策略的开销相等或近似相等。实验对比了分布式策略评估引擎和Sun PDP的评估性能。实验结果表明:1)策略分解的方法有效提高了策略决策点的评估性能;2)策略决策点的评估时间随着策略决策点数目的增多而降低。论文为面向服务的体系架构环境下策略决策点的高效评估提出了策略冲突的检测与消除、策略冗余的检测与消除和策略分解三种方法。综合实验针对三种不同的典型测试策略,在采用策略分解方法的分布式策略评估引擎的多个策略决策点中加载消除了冲突和冗余的策略,对比了其和Sun PDP的评估性能。综合实验结果表明,加载消除了冲突和冗余的策略的分布式策略评估引擎比加载未消除冲突和冗余的策略的分布式策略评估引擎的评估性能平均提高的百分率约为50%,而比Sun PDP的评估性能平均提高的百分率约为70%。