1.一種基于大數據的訪問控制判定引擎優化系統，其特征在于：由客戶端和服務器端組成，客戶端用于向服務器端發出請求；服務器端負責對客戶端發出的請求進行決策評估、授權及執行；部署在服務器端運行的系統分為四個部分：①原有的訪問控制判定引擎及其基礎設施部分，具體包括訪問控制判定評估引擎模塊、策略執行點、屬性權威模塊和策略庫模塊；②預處理框架，包括屬性預處理模塊、第一階段聚類模塊、第二階段聚類模塊；③實時服務框架，包括注冊中心模塊、映射關系模塊、集合運算優化模塊；④后臺運維框架，包括新進實體登記模塊、屬性變更維護模塊、策略變更維護模塊和預備策略集模塊；

屬性預處理模塊，首先進行屬性選擇，根據屬性權威模塊提供的屬性信息以及策略庫模塊提供的策略內容選擇參與優化的關鍵屬性；再進行屬性壓縮，根據屬性權威模塊提供的屬性信息，為每種屬性的屬性值預先建立好的屬性層次樹以及為每種屬性預先設定的期待壓縮后的屬性值團的數量，針對每種選擇出來的屬性即關鍵屬性分別進行壓縮；壓縮后將選擇出的屬性、及每種屬性對應的壓縮后的屬性值團集合、每種屬性對應的屬性值團間的相似度關系發送給第一階段聚類模塊；所述屬性是指描述實體的某些特征，所述實體包括主體和資源，所述實體分為真實實體和虛擬實體；所述屬性分為種類屬性和數字屬性，所述種類屬性是指一些字符串類型的屬性，更多的表明一些性質上特點的屬性；所述數字屬性是一些數值類型，包括整型和實數型，更多的表明一些數量上的特征；所述屬性信息就是屬性集合；所述屬性值是該屬性可能的取值；所述屬性值團是指多個屬性值壓縮后所在的小型集合，是屬性壓縮技術的產物；所述屬性層次樹是指對于種類屬性，對其下所屬的屬性值按照歸屬、包含的聯系建立起來屬性值之間的依賴關系，將這種依賴歸結為樹形結構；

第一階段聚類模塊，首先，初始化虛擬實體之間的相似關系，根據屬性預處理模塊的結果，計算任意兩個虛擬實體之間的帶權相似度；再根據經典的K-means算法進行適當調整，并根據兩個虛擬實體之間的帶權相似度對虛擬實體進行聚類，得到第一階段簇FSC；然后，根據屬性權威模塊中的實體屬性信息，對于各個簇，遍歷所有的真實實體，將符合各簇的真實實體的標識加入到各簇中，獲取該簇中虛擬實體對應的真實實體的集合；最后，通過對策略庫模塊中的策略進行修改，并采用策略模糊匹配來為各個第一階段簇FSC尋找準適用策略，從而獲取附屬于各個第一階段簇的準適用策略集F-pols，所述準適用策略指通過策略模糊匹配方法得到的適用策略集合；該模塊執行完畢后將產生的所有的第一階段簇FSC結果發送給第二階段聚類模塊；所述第一階段簇FSC結果包括虛擬實體的集合、第一階段準適用策略集F-pols、與該簇中虛擬實體對應的真實實體的集合；

第二階段聚類簇模塊，首先，初始化真實實體屬性向量，即根據屬性權威模塊提供的屬性信息，將所有的真實實體的數字屬性組織成向量的形式；然后對每個第一階段簇FSC中的真實實體，通過Fast?Kmeans算法進一步聚類得到第二階段簇SSC，執行過程中要保留各個第二階段簇SSC的簇心即向量；再通過對策略庫模塊中的策略進行修改，并采用策略模糊匹配來為各個第二階段簇SSC尋找準適用策略，獲取各個第二階段簇的準適用策略集S-pols；最后將得到的所有第二階段簇SSC結果發送給注冊中心模塊和映射關系模塊；所述第二階段簇SSC結果包括真實實體的集合、簇心、第二階段準適用策略集S-pols；

注冊中心模塊，根據第一階段聚類簇模塊和第二階段聚類簇模塊得到的結果，首先，建立主體登記表HashSet_sub，遍歷所有經過預處理后的主體即用戶，將主體標識sub_ID添加到主體登記表HashSet_sub中；然后建立資源登記表HashSet_res，遍歷所有經過預處理后的資源，將資源標識res_ID添加到資源登記表HashSet_res中；同時接收策略庫模塊發出的查穩步請求，根據主識和資源的標識查詢實體登記情況，并向映射關系模塊發送響應；如果有實體未登記事件，則會觸發后臺運維服務中的新進實體登記模塊；

映射關系模塊，根據第一階段聚類簇模塊和第二階段聚類簇模塊得到的結果，首先，遍歷各個主體第一階段簇FSC_sub中的各個主體第二階段簇SSC_sub，建立主體與對應主體第一階段簇SSC_sub的映射關系；再遍歷各個資源第一階段簇中的各個資源第二階段簇SSC_res，建立主體與對應各個資源第二階段簇SSC_res的映射關系；然后遍歷策略庫模塊中所有的策略，為每一個動作ac_i建立一個動作集合用于存放適用于動作acx的所有的策略標識；最后，分別為虛擬主體和虛擬資源建立兩個映射關系，即虛擬主體映射關系HashMap_virsub和虛擬資源映射關系HashMap_virres，再根據注冊中心發送的響應信息，查詢映射關系，得到主體請求(sub,res,ac)對應的準適用策略集合的標識組合(Sid_sub,Sid_res,Sid_ac)，并將所述標識組合(Sid_sub,Sid_res,Sid_ac)發送給集合運算優化模塊；

集合運算優化模塊，根據映射關系模塊傳遞的標識組合(Sid_sub,Sid_res,Sid_ac)進行交集運算，并將交集運算結果Set_pol提交給策略庫模塊；

屬性權威模塊，是屬性數據庫系統，負責存儲實體屬性，管理實體屬性，管理實體屬性包括有關屬性增加、刪除、變更和查詢業務；接收訪問控制判定評估引擎模塊發出主體標識sub_ID以及資源標識res_ID請求查詢，并將查詢到的主體和資源的相關屬性結果返回訪問控制判定評估引擎模塊；同時對經過屬性預處理模塊處理后發生變化的主體或者資源的屬性，作為一個觸發屬性變更維護服務的事件，發送給屬性變更維護模塊；

策略執行點，接收客戶端發出的請求，并將請求訪問控制判定評估引擎模塊發出評估請求；同時將訪問控制判定評估引擎模塊的評估結果返回給客戶端；

訪問控制判定評估引擎模塊，根據客戶端的用戶請求即主體請求，向屬性權威模塊請求主體和資源的相關屬性；同時接收屬性權威模塊發回的查詢后的主體和資源的相關屬性；訪問控制引擎根據主體和資源的相關屬性在進行具體授權判定的時候，向策略庫模塊發出請求策略集，接收到策略庫模塊發來的策略集后，依據該策略集進行判定，并將判定結果輸出給主體即用戶；

策略庫模塊，用于存放策略，同時有策略有效位表，它是策略庫中實時維護的一個數據結構，用來標識每個策略的有效性，每一個位對應一個策略，“0”表示策略無效；接收訪問控制判定評估引擎模塊發來請求評估所用的策略集合，然后向注冊中心模塊發出查詢請求；接收集合運算優化模塊的交集運算結果Set_pol的標識，然后通過檢驗策略有效位表Valid-Bit過濾掉無效策略，同時與預備策略集模塊中的策略標識進行合并，得到小規模策略集合并發送給訪問控制判定評估引擎模塊；當需要策略變更時，觸發策略變更維護模塊；

新進實體登記模塊：用來處理新進的實體，即在系統部署前沒有進行過預處理的實體；首先，提取該實體對應的虛擬實體，通過映射關系模塊，鎖定虛擬實體對應的第一階段簇FSC，將該實體的數值屬性組織成屬性向量，通過計算該向量與各第二階段簇SSC的歐幾里德距離，選出距離最小的，也就是最相似的第二階段簇SSC，將該新進實體標識ID加入到對應的映射關系中；然后調用預處理框架中的第二階段聚類模塊，將得到的新進實體對應的準適用策略集Set_new與原有的S-pols合并即可；上述處理完成后，將該實體對應的標識加入到實體登記表HashSet中，分別將主體登記表HashSet_sub和資源登記表HashSet_res中標記為已登記；

屬性變更維護模塊：用來處理已登記實體在系統部署后已登記實體對應的一些關鍵屬性發生變化的情形；執行時僅需要將該實體的已登記的記錄消除即從實體登記表HashSet中移除已登記實體標識，然后將該實體看作新進實體，調用新進實體登記模塊即可；同時將新實體屬性送至屬性權威模塊中存儲；

策略變更維護模塊：用來處理策略集模塊中的策略發生變更的情形；首先，將原有策略pol_old從策略庫模塊中移除，將變更后的新策略pol_new加入到策略庫模塊和預備策略集模塊中；再將策略有效位表中原有策略pol_old對應的位bit置為“0”即無效；然后，遍歷各個第一階段簇FSC及各個第二階段簇SSC，將變更后的新策略pol_new的標識加入到變更后的新策略pol_new所適用的簇的準適用策略集中；完成上述操作后，將變更后的新策略pol_new在策略有效位表對應的位bit置為“1”即有效，并將變更后的新策略標識pol_new_ID從預備策略集模塊中移除；

預備策略集模塊：用于存放必須評估策略及策略標識，是針對策略變更維護使用的，用于策略的加入與移除操作；同時將策略標識發給出策略庫模塊。

2.一種基于大數據的訪問控制判定引擎優化方法，其特征在于實現步驟如下：

(1)系統部署前的預處理：即調用預處理裝置、初始化注冊中心模塊和映射關系模塊；

(1.1)調用屬性預處理模塊，首先，進行屬性選擇，根據屬性權威提供的屬性信息以及策略庫模塊提供的策略內容選擇參與本系統優化的屬性；接下來，進行屬性壓縮，根據屬性權威提供的屬性信息、管理員為每種屬性的屬性值預先建立好的屬性層次樹以及管理員為每種屬性預先設定的期待壓縮后的屬性值團的數量，針對每種選擇出來的屬性分別進行壓縮；該模塊執行完畢后將選擇出的屬性、及每種屬性對應的壓縮后的屬性值團集合、每種屬性對應的屬性值團間的相似度關系發送給第一階段聚類模塊；

(1.2)調用第一階段聚類模塊，首先，初始化虛擬實體之間的相似關系，根據屬性預處理模塊的結果，計算任意兩個虛擬實體之間的帶權相似度；接下來，第一階段聚類，根據經典的K-means算法進行適當調整，然后對虛擬實體進行聚類；然后，獲取附屬于各簇的真實實體，根據屬性權威中的實體屬性信息，對于各個簇，遍歷所有的真實實體，將符合各簇的真實實體的標識加入到各簇中；最后獲取附屬于各個第一階段簇的準適用策略集F-pols，通過對策略庫中的策略進行修改，并采用策略模糊匹配來為各個FSC尋找準適用策略；該模塊執行完畢后將產生的所有的第一階段簇FSC發送給第二階段聚類模塊；

(1.3)調用第二階段聚類簇模塊，首先，初始化真實實體屬性向量，根據屬性權威模塊提供的屬性信息，將所有的真實實體的數字屬性組織成向量的形式；接下來，第二階段聚類，對每個第一階段簇FSC中的真實實體，通過Fast?Kmeans算法進一步聚類得到第二階段簇SSC；最后，獲取各個第二階段簇的準適用策略集S-pols，通過對策略庫中的策略進行修改，并采用策略模糊匹配來為各個SSC尋找準適用策略；該模塊執行完畢后將產生的所有的第二階段簇發送給注冊中心模塊和映射關系模塊；

(1.4)初始化注冊中心模塊，根據(1.2)和(1.3)的處理結果，首先，建立主體登記表，遍歷所有經過預處理的主體即用戶，將主識標識sub_ID添加到主體登記表HashSet_sub中；接下來，建立資源登記表，遍歷所有經過預處理的資源，將res_ID添加到資源登記表HashSet_res中；

(1.5)初始化映射關系模塊，根據(1.2)和(1.3)的處理結果，首先，遍歷各個FSC_sub中的各個SSC_sub，建立用戶與SSC_sub的映射關系；接下來，遍歷各個FSC_res中的各個SSC_res，建立用戶與SSC_res的映射關系；然后，遍歷所有的策略，為每一個動作ac_i建立一個存放適用于動作ac_i的所有的策略標識；最后，分別為虛擬主體和虛擬資源建立虛擬主體HashMap_virsub和虛擬資源HashMap_virres兩個映射關系；

(2)系統部署后的實時服務及后臺運維服務框架：

(2.1)客戶端向服務器的策略執行點發出請求req(sub,res,ac)；其中，sub是指用戶即主體的標識，res是所請求的資源的標識，ac是指該用戶即主體針對資源請求的動作；

(2.2)策略執行點向訪問控制判定引擎模塊發出授權請求req(sub,res,ac)；

(2.3)訪問控制判定引擎模塊根據sub,res的標識信息向屬性權威請求實體屬性集；

(2.4)屬性權威根據訪問控制判定引擎模塊發送的請求中sub,res對應的標識信息，查詢實體屬性集合，并將其返回給訪問控制判定引擎模塊；

(2.5)訪問控制判定引擎模塊向策略庫模塊請求評估策略集合req(sub,res,ac)；

(2.6)策略庫模塊向實時服務裝置發出請求req(sub,res,ac)；

(2.7)注冊中心模塊首先根據主體和資料的標識查詢實體登記情況，并向映射關系模塊發送響應；如果有實體未登記事件，則會觸發后臺運維服務中的新進實體登記模塊；

(2.8)映射關系模塊根據注冊中心發送的響應信息，查詢映射關系，將(sub,res,ac)對應的準適用策略集合的標識組合(Sid_sub,Sid_res,Sid_ac)發送給集合運算優化模塊；

(2.9)集合運算優化模塊，根據標識組全(Sid_sub,Sid_res,Sid_ac)得到相應的準適用策略集并執行交集優化，得到交集優化結果Set_pol，發送給策略庫；

(2.10)預備策略集模塊將其中的策略標識發送給策略庫模塊；

(2.11)策略庫模塊對(2.9)中得到的交集優化結果Set_pol的標識通過檢驗策略有效位表過濾掉無效策略，同時與預備策略集模塊中的策略標識進行合并發送給訪問控制判定評估引擎模塊；

(2.12)訪問控制判定評估引擎模塊根據策略庫模塊提交的小規模策略集合快速做出評估，并將判定結果返回給策略執行點；

(2.13)策略執行點執行判定結果，并返回給客戶端用戶執行情況。