（计算机应用技术专业论文）基于xrbac模型和扩展xquery的xml访问控制模型的研究与实现.pdf

华东师范大学硕士学位论文基于x - r b a c 模型和扩展x q u e r y 的x m l 访问控制的研究与实现 摘要 随着i n t e m e t 的迅猛发展，越来越多的应用基于网络展开，而作为网络上数据表示和交 换的事实标准，舭也被这些应用大量使用。x m l 作为信息的载体在网络上的广泛应用带 来了x m l 的安全问题。而v 。的安全问题在某种程度上限制了x m l 的进一步应用，因 此人们日益关注并重视x 。的安全问题。 目前x h 也安全问题研究的主要领域有：x m l 加密、x m 【l 数字签名和x m l 访问控制。 其中x m l 加密技术和x m l 数字签名技术已经比较成熟，w 3 c 也有与它们相关的推荐标准。 而x m l 访问控制技术还处在研究阶段，国内外很多机构和专家都在研究x m l 访问控制的 问题，力求形成一个较为完善和统一的标准。 本文对x m l 访问控制技术作了详细的研究，主要研究如何使得多个合法用户共享x m l 文档而不会产生冲突、信息泄漏等问题。在此基础上，本文设计并实现了一个x m l 访问控 制系统_ x a c s 。x a c s 系统有机结合了本文设计的x r b a c 模型和扩展的x q u e f y 语言。 x r b a c 是r b a c 限o l e - b a s e d a c c e s sc o n 仃0 1 ，基于角色的访问控制) 的x m l 实现，用来 建立访问控制模型。l u a c 模型具有灵活性、方便性和安全性的特点，因此成为访问控制策 略的首选。但般的r b a c 模型都是建立在数据库系统基础之上，对数据库系统有一定的 依赖性，通用性不够。本系统所设计的x ，a c 通过定义一系列x m l 文档来建立访问控 制模型。由于x m l 的平台无关性，因此基于x m l 建立的x i m a c 也同样具有平台无关性。 x q u e r y 是w 3 c 推荐的札查询语言。并且极有可能成为最终标准，因此本系统采用 x q u e r y 作为x m l 的访问语言。但目前的x q u e l y 语言仅支持查询操作，为此本系统在分析 x q u e r y 现有语义和语法的基础上，增加了更新操作的语义和语法。 由于x q u e r y 语言中使用p 劬表达式在x m l 文档中进行导航式访问，因此x a c s 系统 使用p a 血表达式来定义权限。为了简化管理员对访问控制模型的管理，本文在定义权限的 p a c h 表达式中引入了参数函数。 本文介绍了扩展x q u e r y 语言的更新语义和语法的设计，x r b a c 模型的设计，对x a c s 系统的总体框架、各子系统的设计和实现方法作了详细的阐述，并给出了x a c s 系统的应 用实例。 x - r b a c 模型的提出、x q u e r y 语言的扩展和p 砒h 表达式中参数函数的引入构成了本文 的特色和创新之处。 在x a c s 系统中，授权用户通过扩展x q l y 语言对v 几文档进行查询和更新等各种 访问操作，而这些访问操作有效与否则必须通过x r b a c 模型来作出判断。因此，x a c s 系统有效地解决了多用户共享x m l 文档所带来的信息泄漏问题有利于促进x m l 的进一 步广泛应用。 关键宇：x m l ，x m l 安全，a c c e s sc o r i 仃0 1 x - r b a c ，x q u e r y 华东师范大学硕士学位论文 基于x - r b a c 模型和扩展x q u e r y 的x m l 访问控制的研究与实现 a b s t r a c t w i t lt h er 印i dd e v e l o p 恤c n to fi n t e m 吐m o r e 柚dm o r e 印p l i c a t i o n sa r ed e v e l 叩e dt a i 【i n g n e n v o r ki m oc o 地i d e r a l i o n a st h ep f o p o s e ds t a l l d a r df b rw 曲i n f 0 册a t i o l l x m li sw ；d e l y1 l s e db y t l l e s e 印p l i c 砸i o t l s t h ew i d ei l s eo f x m li nn 酣o r kb r i n 擎a b o u tt 1 1 es a f b t yi s s u e s ，w h i c hr e s 乜记i s 廿l en 爪h e r 吣eo f x m l p e 叩l eb e g i l lt 0c o n c e mt h e v i ls a f e t yi s s u e sn o 砒 t h e 删nn e l d so f c 唧n tr e s e a r c h 佃x m ls 疵t yi s s u e sa r ex m l e n c 聊两0 n ，x m ld i g i 伽 s i 印a n 鹏卸dx m l a c c e s sc o n 廿饥t e c h n o l o g i e so f 甩e n c r y p t i o na n dx m l d i g i “s i 卯a m l h a v eb e e nw e l ls n j d i e da i l dh a v eb e e nas t a n d a r dr e c o m m e n d e db yw 3 c c 砌p a r e dt 0t h e m ， t e c i l n o l o 盱o fx m la c c e s sc o n 打o li ss t i l li nt h ep r i m a r yp h 鹊eo fr e s e a r c h i n g m a n yi r 埘i t u 廿o n s a i l de x p e r t sa r e w o r i i n g o n x m l a c c e s s c o n 打0 1 i l l0 r d e r t od r a wa u n i f o 珊s t a l l d 训 t h i sp a p e rd i s c u s s e dx m la c c e s sc o n 叻i i nd e t a i l s ，m a i n l yf o c u s e do nh o wt 0i e tm u l t i p i e 1 e g a dp e o p l es h a r ex m ld o c u m e n tb 晒e do nt i i i s ，t l l i sp 印e rd e s i g n e d 粕di m p l e m e n t e d 锄x m l a c c e 鹳c o n 仃0 ls y s t e mn 啪e dx a c s x a c si sb a s e d0 nx - r b a cm o d e ia n de 疵n d e dx q q x - r b a c ，w h i c hi m p i e r r l e n t sr b a cb yx m l ，i su dt ob u i i du pa c c e s sc o r 帅in l o d e l r b a cm o d e i j sm eh l o 或p o p u 时a c c e s sc o n 廿o l 蛐科b e c a u s eo fi t sn e x b l e n e s s ，c o n v e r i i e n c e a n ds e c 谢吼h o w e v e r b a cm o d e l sa r eg e n e r a l l yb 船e d 仰d a 组b a s es y s t e m ，w 】1 i c hg r e a t l y d e p e n d so nd a l a b a 啦s y s t e ma i l d1 a c l 【sc o m m o nu s e t h ex - 砌3 a cd e s i g f l e di nt h i sp 印e lw m c hi s b a s e do ns e 打e so f ：k m ld o c u m e n t s ，i sp l a t f o 加抽d e p e n d e n tb yi l s i n gt h et e c 】n 0 1 0 盱o f x m x q u e w l i c hi sx m lq u e r yl 锄g u a g er e c o n u n e n d c db yw 3 c ，i su s e d 鹊a c c e s sl 髓g u a g ei 1 1 t 1 1 i ss ) ，s t e m h o w e v e t h ec u r r e n tx q u e r yo n l ys u p p o n sq u e r yo p e m t i o n 耵l i sp a p e ra p p e n d e d 恤 s y n t a 】【f o ru p d a 把o p e r a t i 帆b 勰e do nt h ee x i s t i n gs y n t a ) 【o f x q u e p a 毫1 1e x p r e s s i o n ，w h i c hi su di nx q u e r yl 鲫g u a g et 0 c e s sx m l d o c u m e n ti nt i l ew a yo f n a v i g 鲥0 n ，i su di nx a c ss y s t e mt 0d e f m ep r i v i l e g 鹤p a r 锄科e rf i l n c t i o ni si n v o l v e di np a t h e x p r e s s i o nf o rc o n v e n i e n tm a i n t e n 柚c eo f x - r b a cm o d e l t h i sp a p e fg a v ed e s i 驴m e n to f 踟t a xo fe x t e n d e dx q 鹏m d e s i g n f n e mo fx r b a cm o d e l ， d e s i 孕瑚曲t 柚di m p i e m e n 雠i o no f x a c s ，a n da l s oe x 枷p i eo f x a c s p r o p o s a lo fx r b a cm o d e l ，e x t e n s i o no fx q u e l y1 a n g u a g e 锄d _ m v o l v e m e n to fp a 舢e t e r f 嘶“i o ni np 劬e x p r e s s i o na r et h r e e 诧a t u r e so f t h j sp a p e t i n ) ( a c ss y s t e m ，a u t h o n z e du s e r sc a n 蹈c e s sx m ld o c u m tt h r o u g he x t e n d e dx q 呲r y l a n g m g e 1 1 l ey a 壮d a t i o no ft h ea c c e s so p e r a t i o ns h o u i d b ej u d g e db yx r b a cr n o d e l x a c s s o l v e sm ep r o b i 嘲o fi n f b r i n 越i o ni e a i 【w h e nm u l t i p i ei j s e r ss h a r et h es a r n ex m l d o c u m e 眠肌d p r o m o l et h ew j d eu s eo f x m f l 一 皿y w o r d s ：x m l ，x m ls e c u 一填a c c e s sc o 咖l ，x - r b a c ，x q u e i y i i ， 学位论文独创性声明 本人所里交的学位论文是我在导师的指导下进行的研究工作及取得的研究 成果。据我所知，除文中已经注明引用的内容外，本论文不包含其他个人已经 发袭或撰写过的研究成果对本文的研究做出重要贡献的个人和集体，均已在 文中作了明确说明并表示谢意 作者签名，i 雾 学位论文使用授权声明 本人完全了解华东师范大学有关保留、使用学位论文的规定，学校有权保留 学位论文并向田家主管部门或其指定机构送交论文的电子版和纸质版。有权将 学位论文用于非赢利目的的少量复制并允许论文进入学校图书馆被查阅有权 将学位论文的内容编入有关数据库进行检索。有权将学位论文的标题和擅要汇 编出版。保密的学位论文在解密后适用本规定。 学位论文馆者签名t 了勇 摊名怡桶李 华东师范大学硕士学位论文基于x 阻a c 模型和扩展x q u e r y 的x m l 访问控制的研究与实现 1 1x m l 简介 第一章引言 w e b 的广泛应用使得人们对信息的查找、显示、处理和交换的需求日益增长。 为了解决这个问题，表示数据的标准h t m l ( h y p e r t e x tm a r k u pl a n g u a g e ) 和 ) q 匹l ( e x t e n s i a b l em 跹l 唧l 托g u a g 曲【l j 先后应运而生。h ，蹦l 和m ，都是源于 s g m l ( s t a n d a r dg e n e r a l i z e dm a r k u pl 趾g u a g e ) 。s a 订l 是一种用标记来描述文档 内容的通用语言，但它十分庞大，不易实现。1 9 8 9 年，w e b 的发明者欧洲 核子物理研究中心的研究人员提出了h l 。h t m l 易学易用，在计算机上开 发h 刚l 的浏览器也十分容易。正是由于h t m l 的简单性，使w c b 技术从计算 机界走向全社会，w e b 的发展如日中天。 然而，随着w e b 的应用越来越广泛和深入，w e b 的形式呈现出复杂化、多 样化和智能化的趋势，而h 刑l 过于简单的语法严重地阻碍了用它来表现这些 复杂多样的形式。s g m l 虽然能解决h t m l 遇到的问题，但正如前面所说的， s g m l 过于庞大且不易实现。于是开发一种基于s g m l 子集、方便使用且容易 实现的w e b 语言就显得势在必行。正是在这种形势下，w e b 标准化组织w 3 c 建议使用一种精简的s g m l 版本x m l 应运而生了。x m l 具有可扩展性、 结构性、平台独立性和自描述性等特点。这些特点使得v i l 具有的强大功能， 满足了互联网发展的新的要求，将互联网推向了一个新的发展高度。 x m l 并不仅仅包括x m l 标记语言，它同时还包括了很多规范，这些规范与 系列v 儿技术相对应，如图1 1 所示，这些技术使) ( m l 的功能更加完善。 图1 1x m l 相关技术规范 f j g u r e1 it h ep m a r ys p e c m c a t i o no f x m l 华东师范大学硕士学位论文基于x r i j a c 模型和扩展x q u e f y 的x m l 访问控制的研究与宴现 其中与本文内容相关的技术有： 文档模式技术 模式是关于标记的语法规则，它详细描述了) 洲l 文档的结构，从而确定了 文档的框架。d t d 【2 】和讧ls c h e m a 【3 是咀。文档的模式，用来对l 文档的 逻辑结构进行定义，规定) 刚l 文档中的元素、属性、元素和元素以及元素和属 性间的关系。d ) 是目前目前使用最广泛的一种x m l 模式，而x m l s c h e m a 则 已经成为w 3 c 的正式推荐标准，并有替代d t d 的趋势。 文档解析技术 文档解析是指对) 洲l 文档的内容和结构进行访问和分析。文档解析技术包 括文档对象模型d o m ( d o c u r i 砌n to b j e c tm o d e l ) q 和s a x ( s i m p l ea p if o rx m l ) 【5 】。 d o m 是一种对平台和语言中立的接口，它允许程序和脚本动态访问和修改文档 的内容结构和类型，它定义了一系列的对象和方法对d o m 树的节点进行各种随 机操作。s a x 使用事件驱动的l 解析，它以序列的形式处理文档，不需要在 内存中建立整个文档的树结构。 x p a n l x m lp a t l ll 锄g i l a g e ( x p a 血) 1 o 【6 j 是一种用于x s l t 、x p o i m e r 及x q u e r y 中对 v i l 文档各部分进行定位的语言。它给x s l t 、x p o i i l t e r 及x q u e r y 提供一种定 位语法，用来定位x m l 文档的各个部分。一个x p a m 语言的表达式可详细说明 匹配的位置和模式。将布尔运算符、字符串运算符和算术运算符应用到，a _ m 语 言的表达式中，能够建立极其复杂的查询。 x q l l e r y x q l 豇y | ”是w 3 c 推荐的x m l 查询语言，本文在1 2 节详细介绍x q u e r y 。 1 2x q u e r y 语育基硼 x m l q u e r y ( x q u e 呦是w 3 c 推荐的x m l 查询语言，适用于各种类型的“l 数据源的查询aw 3 c 为x q u e r y 制定了一系列标准，包括数据模型、形式语义、 查询代数等，使得x q 鹏r y 语言更加规范和精确。因此，x q l l e r y 语言极有希望 成为x m l 查询语言的最终标准。 1 2 1x q u e r y 语言的构成及特点 x q u e r y 是种函数型语言，其语法采用e b n f 产生式表示 8 】。一个x q u e r y 查询由查询序言和查询体两大部分组成：q u e r y ：= q u e r y p m l o gq u e r y b o d y 。 华东师范大学硕士学位论文基于x r b a c 模型和扩展x q 雌r y 的x m l 访问控制的研究与实现 查询序言( q u e r yp r o l o g ) 是一系列声明和定义，建立查询处理的环境： q u e r y p r o l o g ：= ( n 锄e s p a c e d e c li 列l s p a c e d e c ld e f a u l t n 锄e s p a c e d e c l s c h e m 蛳n ) + f u n c t i o n d e f h 4 主要包括命名空间声明、缺省命名空间声明、类型定义( s c h e m a 导入) 、 ) ( 1 m s p a c e 声明、缺省的c o l l a t i o n 和函数声明等。查询序言不是必需的，可以为 空。 查询体( q u c r yb o d y ) 由定义查询结果的表达式序列构成： q u e r ) ，b o d y ：= e x p r s e q u e n c e 。 表达式序列则由一个个的表达式组成：e x p r s e q u e n c e ：= e x p r ( ”，”e x p r ) + 从x q u e i y 语言的语法构成不难看出： ( 1 ) x q u e r y 是一种典型的函数型语言。x q u e 叮建立在被称之为查询( q u e r y ) 的表达式之上。在该语言中，除了查询序言之外的每个构造都是一个表达式。表 达式能够被任意组合并允许嵌套。只要类型相符，一个表达式的结果可以作为另 一个表达式的输入。 ( 2 ) x q l l e r y 是一种强类型语言，x q u e r y 的类型系统是基于x m ls c h e m a 的。 可以从一个或几个x m ls c h e m a 中导入类型，然后x q u e r y 能基于这些类型进行 查询运算。查询构造中的各种表达式的操作数、操作符、函数都必须符合指定的 类型。此外，x q u e r y 还支持静态类型分析。这意味着系统能够针对查询的类型 执行某些推断，这种推断是建立在查询输入的类型基础上的。静态类型分析能够 较早地检测错误，可以成为某些形式优化的基础。 1 2 2 ) 【q u e r y 表达式 x q u e r y 的基础是表达式，x q u e r y 定义的表达式由关键字、符号以及操作数 组成f 7 】 8 1 f 9 1 。x q u e r y 基本表达式包括变量、文本值、通配符、节点检测等。由于 x q l l e r y 是函数化的语言，允许多表达式的嵌套，因此，通常表达式中的操作数 也是表达式。且x q u e r y 是一种强结构化的语言，表达式中的操作数、算子、函 数必须遵循已经定义好的模式。x q u e r y 拥有多种表达式，相对x m l 查询语言 需要支持的基本操作：模式匹配、选择过滤和结果构造而言，本文主要介绍以下 两种最重要的表达式。 1 2 2 1 p a t h 表达式 p a m 表达式是在x p a t 1 语法基础上发展而来的。x q u e r y 通过p 甜l 表达式在 x m l 文档的层次嵌套结构中进行导航式访问，匹配文档的不同部分。p a t h 表达 华东师范大学硕士学位论文基于x r b a c 模型和扩展x q u e f y 的x m l 访问控制的研究与实现 式提供了许多选项用于在“l 文档内部定位。在x q u e r y 中p a i l l 表达式包括两 大类： 基本路径表达式( s p e ) 基本路径表达式只包含“”这一符号，分为绝对路径表达式和相对路径表达 式，可以用于遍历沮。的逻辑数据模型( 节点树) 。绝对路径表达式是由“”或 “，开始的表达式，表示从文档的根元素开始遍历文档。相对路径表达式不从 “”或“”开始的，而由若干被分开的“路径步表达式”组成的路径表达式。 基本路径表达式的形式定义如下： p a t l l e x p r ：；a b s o l u 把p a 血e x p r d a t i ”p a t h e x p r a b s o l u t e p a m e x p r ：= ( “j ，r e l 砒i v e p a 廿1 e x p r ? ) l ( “，”r e l a t i v e p 鲥1 e x p r ) r e l a i i v e p a i l e x p r ：= s t e p e x p r ( ( “”| “”) s l e p e x p 矿 s t e p e x p f ：= a m s s c e pf i h r e x p r 这里s t e p e x p r 是路径步表达式，它可能沿着的几种不同的轴，同时还可包括 谓词表达式。使用基本路径表达式，可以访问沮。中的各元素、属性、文本节 点，同时还可以进行相应的节点测试。节点测试可以在路径表达式的每一步，根 据测试条件决定是否选择该路径上的节点。节点测试实际上是对路径上的节点值 的匹配，而路径表达式本身是对x m l 数据模式的匹配。 正则路径表达式( r p e ) 正则路径表达式是包含? ，+ ，1 ，# ，的路径表达式。正则路径表达式的 形式定义如下：r = 船f ( f l 舵) r f 什fr ? f ( r i r 2 ) f 群f n 锄e f 其中r 表示任意到达r 的路径，r l r 2 表示从r 1 到r 2 的路径，r 乖，什和分别 表示r 的0 或多次、l 或多次以及o 或1 次重复，( 川r 2 ) 表示选择关系，撑表示任 意的路径，咖l e 表示节点标记，表示空路径。 1 2 2 2 f l w o r 表达式 一个x q u e r y 查询通常包括模式匹配，选择过滤与结果构造。在x q u e r y 中 f l w o r 表达式是典型的能够完成具有某种实际意义的查询的表达式，包含模式 匹配、过滤选择和结果构造这三种操作。f l w o r 表达式是由f o r 、l e t 、w h e r e 、 0 r d e r b y 、r e t u m 五个关键字定义的子句构成的表达式，特别适用于对数据进行 连接查询，以及查询结果重构。它的形式定义如下： f l w o r e x p r ：= ( f o r c l a l l s el 鲫c l a u s e ) + w h e r e c l a u ? o r d e r b y c l a u 跎?“r e m m ”e x p r f o r c i a i l s e ：= “f o t i a b l e “i i i ”e x p r ( “，啪l e “”e x p r ) + l e t c l a u s e ：= “1 i r i a b l e “：= ，e x p r ( “，”峭b l e “：= ”e x p r ) 奉 珊e r e c l a u s e ：= w h e r e e x p r o r d e r b y c l a u s e ：= ( “o r d e ，州b y o f d e r s p e c l i s t ) 华东师范大学硕士学位论文基于x r b a c 模型和扩展x q u c i y 的x m 臣访问控制的研究与实现 f l w o r 表达式的执行流程如图1 2 所示： 图1 2f l 帅r 表达式的执行流程 f i g u r e1 2t h ee x e c u t i v ef l o wo f f l w o r e x p r e s s i 0 璐 f o r 子旬将一个或者多个变量关联到表达式( 通常是路径表达式) 上，这些表达 式结果序列的笛卡儿积对应着这些变量绑定的元组集合。 l e t 子句将变量直接绑定到整个表达式上，如果存在f o r 子句，则l e t 子旬创 建的变量绑定就加到f o r 子旬创建的变量绑定元组中，否则l e t 子句为所有的变 量绑定创建一个元组。 w h e r e 子句用作f o r 子句和l e t 子句创建的变量绑定元组的过滤器，对上述 元组集合进行迭代计算。对于每一个元组，如果w h e r e 表达式计算结果为真，则 该元组可以用于r e t i l r n 子句计算，否则该元组就被舍弃。 0 r d e r b y 子句用于定义返回结果的排序要求。 r 曲l r n 予句包含用于构造f l w o r 表达式结果的返回说明，对w h c 豫子句筛 选过的变量绑定元组进行迭代计算。 1 3x m l 的安全问置 x m l 的诸多优点及其相关技术规范的日益完善和标准化使得其成为w e b 服 务持续增长和开发的主要支持者。但是，在实现m ，语言的全部能力之前，还 有许多与安全往相关的工作要做。这些安全性问题的存在限制着x m i 的进一步 的广泛应用，例如控制内容发送和保证信息的完整性的需求导致了很多企业不能 华东师范大学硕士学位论文基于x - r b a c 模型和扩展x q u e r y 的x m l 涛问控制的研究与实现 够在外部网络上使用它。幸运的是，x m l 的安全问题已经得到了足够的重视， 对) 洲l 安全的研究正在如火如荼地进行中，且有了不少成果。目前，在与汀l 相关的安全性领域方面研究的主要有) 洲l 加密、x m l 数字签名和x m l 访问控 制等。 1 3 1x m l 加密 x m l 加密 10 】为需要安全服务的应用程序提供了端到端的安全服务。m 。本 身就是结构化数据最流行的技术，因此基于x m l 的加密技术自然成为满足数据 交换应用程序复杂的安全性能要求的技术。 n 文档可以和任何其他文档一样作为一个整体进行加密，然后安全地发 送给一个或多个接收者。这是s s l ( s e c 血哆s o c k e tl a y e r ，安全套接字层) 或 t l s ( t r 缸s p o r tl a y e rs e c l l r i t y ，传输层安全性) 的一个普通的功能。但是，更为有趣 的是，如何来解决这种情形：加密) 口l 文档的某些部分，而让那些不包含敏感 信息的部分以明文的形式存在。x m l 加密的一个重要的特点就是它支持对x m l 文档的一些特定部分进行加密。加密的数据可以是任意的数据( 包括x m l 文档) 、 x m l 元素或者) 删l 元素内容。加密数据的结果是一个x m l 加密元素，它包含 或引用密文数据。 “l 数字签名【l l j 是另一个w 3 c 的推荐标准。v i l 数字签名支持检测数据 的完整性、消息认证和或签字者身份认证，这些服务适用于任何数据类型，不 管是位于包含签字的n 文档中还是其他地方。) ( i “l 签字适用于任何数字内 容( 或称为数据对象1 ，包括n 也。一个) q “l 签字可应用于一个或多个资源的内 容。根据被签字的数据相对于签字元紊的位置，签字可分为三类：被封装式签字 n v e l o e ds i 髓a n 鹏s ) 是指s i 印a t l 聪元素位于被签字数据块之内；而封装式签字 ( e n v e l o p i l l gs i 朗m 腿s ) 是指s i 驴a n 雌元素包含了被签字数据块；分离式签字 ( d e t a c h e ds i g n 咖r e s ) 是指s i 印船元素和签字数据是独立的。 1 3 3x m l 访问控翻 肛访问控制的目标在于为订l 文档提供一个精细的访问控制模型和访问 控制规范语言。利用这一访问控制技术、访问控制策略将控制一个x m l 文档如 何显示给授权用户，例如具有某一角色的用户可以查看该文档的某一部分，而这 华东师范大学硕士学位论文基于x r b a c 模型和扩展x q u 科y 的x h 礼访问控制的研究与实现 一部分对其他用户来说应该是隐藏的。这些策略同时也保证授权用户安全地更新 文档。 1 4 国内外研究现状 咀。加密技术和v 几数字签名技术都有w 3 c 的推荐标准，相对来说已经 比较成熟；而沮。访问控制技术则尚未有一个推荐或者事实标准。因此，国外 对x m l 访问控制的研究有很多。) n c m l 【l2 】是o a s i s 的一个规范，用于编写和 实施基于l 的访问控制策略。但是这个规范并没有说明如何去实现控制x m l 文档访问权限的模型。d i i n j a i l i 和b e m n o 等人讨论了基于d t d 的面向x m l 文 档的访问控制【1 3 】【1 4 】f 1 5 】。文献 1 6 】中提出了一种细粒度的访问控制模型，这个模型 定义了元素上的访问权限。但是，这些模型都是基于自主访问控制策略的。文献 1 7 讨论了“l 的访问控制技术，并提出了一种临时授权模型为x m l 提供了精 细的控制机制。文献【1 8 】提出了在网络环境下，采用条件访问规则及x m l 加密 技术实现对数据资源访问的一种控制方案。 国内也进行了一些有关) 0 v i l 安全和访问控制的研究。文献【1 9 介绍了m ， 及相关安全研究进展。对诸如x m l 加密、) 洲l 数字签名、) 洲l 密钥管理等 w 3 c 的推荐规范做出了一定的讨论。文献【2 0 】提出了一种多粒度访问控制系统， 它是x a c m l 规范基础上的扩展，并简略地描述了它的体系结构。文献【2 1 】提出 了一种基于授权树的v i l 存取控制标记算法，同时提出了一种灵活的、用户可 配置的授权冲突解决模式，并将这种解决模式集成到授权树算法中。中科院软件 所的李斓等人【2 2 j 提出了一种面向) 洲l 文档的细粒度强制访问控制模型，该方法 定义了包含安全标签的扩展x m l 文档模型并给出了该模型需要满足的规则。 综上所述，现有的对他访问控制的研究主要集中在基于自主型访问控制 模型( d a c ) ，且多使用x q u e r y 语言作为访问语言，而目前x q u e r y 只支持查询 操作，因此“访问”也仅仅是“查询”操作。文献 2 2 】虽然给出了支持更新的访 问控制模型，但该模型基于强制型访问控制模型( m a c ) 且需要扩展现有x m l 文 档模型而导致灵活性不够强，且该文并没有给出更新操作的具体语义和语法。基 于角色的访问控制r b a c 已经被证明优于d a c 和m a c 。因此，如何利用基于 角色的访问控靠4 模型实现对x m l 文档的细粒度访问( 包括查询和更新) ，是一个 很有意义的研究课题。 1 5 本文的研究内容 本文对x m l 访问控制问题进行了研究，提出了一种基于x 砌j a c 模型和扩 华东师范大学硕士学位论文基于x m a c 模型和扩展x q u e r y 的x m l 访问控制的研究与实现 展的x q u e r y 的v i l 访问控制策略。砌l a c ( r o l eb a s e da c c e s sc o n t r o l ，基于角 色的访问控制) 是目前使用最为广泛的访闫控制策略，而x ，r b a c 是r b a c 模型 的以l 实现和扩展。x q l l e r y 是w 3 c 推荐的x m l 查询语言，本文对其进行扩 展，使其支持更新( 删除、重命名、插入和替换) 操作。本文将x r b a c 模型和扩 展的x q 峨r y 语言有机结合，成功实现了x m l 的访问控制。 本文所做的工作如下： 1 利用咀。实现并扩展砌j a c 模型 本文利用血技术实现r b a c 策略。通过定义一批符合特定规范的 x m l 文档，生成r b a c 所需的集合( 用户集、角色集和权限集) 、映射关系( 用 户角色映射和角色权限映射) 、角色层次关系和约束等，从而建立r b a c 模 型。并在此基础上对权限加入了参数，使得访问控制更加灵活。本文把这种 r b a c 的江l 实现和扩展称为x r j j a c 。 2 扩展x q u e r y 语言 本文扩展了x m l 查询语言标准x q u e r y 。目前x q u e r y 语言仅仅支持查 询操作，但随着x m l 的大量应用，对x m l 进行更新也显得十分迫切。为 此，本文对x q u e r y 语言进行扩展，使其在保持支持查询操作的基础上，迸 一步支持删除、添加、重命名、替换等更新操作。本文主要通过将x q u e r y 中的核心表达式f l w o r 表达式扩展为f l w o r u 表达式来实现。 3 结合x r b a c 和扩展的x q u e 搿语言实现安全访问控制 本文将x r b a c 和x q u e r y 有机结合，实现x m l 的安全访问控制。 x r b a c 定义了一套访问控制策略，用户通过角色获取相应的权限。权限通 过一种p a t l l 表达式定义，该p a t i l 表达式类似于x q u e r y 中p a t h 表达式，可 以将权限定义细化到元素节点、属性节点和文本节点。授权用户通过使用扩 展的x q u e r y 语言来对x m l 文档内容进行访问，而访问能否成功则取决于 该用户是否具有该操作的权限。这就需要通过x r b a c 模型来判断：如果用 户有该操作的权限，则访问成功；如果用户没有该操作的权限，则访问失败。 x r b a c 和扩展的x q u e r y 的有机结合，使得) 口l 文档可以被多个授权用 户合理共享而不会出现非法访问的问题，实现了) ( 1 咀。文档的安全访问控制。 1 6 本文的组娥结构 第l 章介绍了儿及其查询规范x q u e r y 语言以及x m l 安全的基本概 念。对x m l 访问控制的研究现状做了简述。并对本文的研究内 容作了总体介绍。 华东师范大学硕士学位论文 基于x 舳i a c 模型和扩展x q 比r y 的x m l 访问控制的研究与实现 第2 章 第3 章 第4 章 第5 章 第6 章 第7 章 介绍了访问控制策略的基本概念。分别介绍了三种常用的访问控 制策略：自主型访问控制( d a c ) 、强制型访问控制( m a c ) 和基于 角色的访问控制( r b a c ) 。对于砒a c ，详细介绍了它的四个参考 模型。 指出了x q u e r y 语言仅支持查询操作而造成的局限性。提出了扩 展的融r y 语言的语义描述和语法设计，从丽使扩展的x q u e r y 语言在支持查询操作的基础之上能支持包括删除、重命名、插入 和替换等在内的更新操作。主要扩展核心表达式f l w o r 表达式 为f l w o r u 表达式。 指出了基于数据库系统的r b a c 模型的不足，提出了x r b a c 模 型的总体框架。利用一系列特定的) 正文档生成x r b a c 模型 所需的三个集合( 用户集、角色集和权限集) 、两个映射( 用户角色 映射和角色权限映射) 、角色层次关系以及约束。 阐述了结合x r b a c 模型和扩展的x q u e r y 语言来实现x m l 访 问控制的系统) ( a c s 的设计思路与实现过程。主要给出了各个模 块的关键算法和相关数据结构。 结合两个访问实例，介绍x a c s 系统的功能。 结束语，对本文的研究进行了总结和展望。 华东师范大学硕士学位论文基于x r b a c 模型和扩展x q u e r y 的x m l 访问控制的研究与实现 第二章访问控制策略研究 访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法，是 对信息系统资源进行保护的重要措施。本章对访问控制的基本概念及三种常见的 访问控制策略进行了阐述。这三种策略分别为：自主型访问控制d a c 、强制型 访问控制m a c 以及基于角色的访问控制r b a c 。特别地，对砌 a c 的四种参考 模型进行了详细阐述。 2 1 访问控制基本概念 访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证网络 资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识 别的基础上，根据身份对提出资源访问的请求加以控制。它是对信息系统资源进 行保护的重要措施，也是计算机系统的最重要和最基础的安全机制。访问控制的 基本概念有： 主体：主体是指主动的实体，是访问的发起者，它造成了信息的流动和系统 状态的改变。主体通常包括人、进程和设备。 客体：客体是指包含或者接受信息的被动实体，客体在信息流动中的地位是 被动的，是处于主体的作用之下。对客体的访问意味着对其中所包含信息的 访问。客体通常包括文件、设备、信号量和网络节点等。 访问：访问是使信息在主体和客体之间流动的一种交互方式。 访问控制：访问控制决定了谁能够访问系统，能访问系统的何种资源以及如 何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获 取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权、 授权核查、日志和审计等等。 访问控制规定了哪些主体能够访问相应的客体，访问权限有多大，它的一般 原理如图2 1 所示。 在主体与客体之间加入了一个访问控制实施模块，由它来负责控制主体对客 体的访问。其中，访问控制决策功能块是访问控制实施功能中最主要的部分，它 根据访问控制信息做出是否允许主体操作的决定。 访问控制涉及的领域很广，方法也很多，目前主流的访问控制策略有三种【2 3 】： 自主型访问控制( d i s c r e t i o 衄r ) ，a c c e s sc o 曲_ o l ，d a c ) 、强制型访问控制( m a n d 姗 a c c e s sc o i l 仃o l ，m a c ) 和基于角色的访问控制( r o l e - b 铺e d a c c e s sc o n t r o l ，r b a c ) 。 华东师范大学硕士学位论文基于x r 】j a c 模型和扩展x q u e l y 的x m l 访问控制的研究与实现 本章将分别对这三种访问控制策略进行介绍。 图2 1 访问控制功能原理 f i g u r e2 1t h e 州n c i p i eo f a c c e s sc o n 订o l 2 2 自主塑访问控制 自主型访问控制d a c 【2 4 胆5 】又称为任意访问控制，是多用户系统中最常用的 种访问控制技术，如u n 系统中普遍采用自主型访问控制。d a c 的基本思 想是：根据用户的身份和授权规则( 即用户或用户组对系统中的信息被允许的访 问模式，如读、写或执行等) 控制用户对信息对象的访问：用户对信息对象的每 个访问请求都需通过授权规则的审查与核对；用户生成信息对象，并被看作是信 息对象的拥有者；信息对象的拥有者对信息对象持有完全的自主权，可决定其他 用户是否具有对该信息对象的访问权限。自主型访问控制是基于用户的，因此具 有很高的灵活性，这使得这种策略适合各类操作系统和应用程序，特别是在商业 和工业领域。例如，在很多应用环境中，用户需要在没有系统管理员介入的情况 下，拥有设定其他用户访问其所控制的信息对象的能力，因此这种控制就具有很 大的灵活性。在这种环境下，用户对信息对象的访问控制是动态的，这时采用自 主型访问控制就比较合适。 d a c 的灵活性使得它被广泛应用在不同的系统中，但是d a c 也有其