（计算机软件与理论专业论文）带时间属性的xml访问控制索引方案.pdf

山东大学硕士学位论文 摘要 x m l ( e x t e n s i b l em a r k u pl a n g u a g e ) ，即可扩展的标记语言，是一套定义语义 标记的规范，其目标是能够定义计算机和人都能方便识别的数据类型。随着网络 应用的快速发展，尤其是电子商务、w e b 服务等应用理念的进一步发展，使得 x m l 类型的数据成为当前主流的数据形式，对x m l 数据的管理也成为研究的 热点。为了方便地从x m l 文档中获取信息，一些x m l 查询语言应运而生。为 了提高x m l 文档的访问速度，众多的x m l 文献也将研究集中到了x m l 文档 的索引技术上。同时，随着越来越多的敏感信息也以x m l 文档的格式存储，这 些文档的访问控制也日益成为一个重要问题。 x m l 文档的访问控制策略规定了谁可以访问这些文档，以及如何访问文档。 其中如何访问x m l 文档又包括访问的方式、被访问的文档部分和访问的时间限 制等一系列局部问题。在这些问题中，时间信息显得尤为重要，存储在数据库中 x m l 文档什么时间可以被访问，什么时间不可以，这在现实世界中是经常碰到 的问题。例如，某公司的业务资料为了确保保密性，只有其公司员工在上班时间 可以访问，其余时间任何人都无权访问。 为了加快文档的存储和访问速度，可以对文档建立索引，目前现有的研究已 经提出了很多种索引技术，但是对x 地索引的研究只是集中在儿文档集合 的索引上，相应的访问控制信息没有进行索引，这就在无形之中降低了舢文 档的实际访问速度。能够解决这一问题的办法就是同时为x 皿文档和相应的访 问控制信息建立索引，缩短制定授权决策的时间，从而提高访问x 池文档的速 度。本文主要研究的便是带时间特性的x m 文档访问控制策略的索引机制。 本文所做的主要工作在于： l 、在授权单元a u t h 定义的基础上，将授权信息分成两部分来表示：一是 授权信息中的时间信息a u t h t ，是授权信息中除时间外的剩余信息 a u t h , 2 、将表示成( a u t h t a u t h ) 形式的授权信息编码成位向量，建立位图索引； 3 、构建授权信息处理算法，处理授权信息中的a u t h 。部分，得到授权决策， 决定是否访问舳文档； 山东大学硕士学位论文 在本文所研究的索引方法中，为了提高效率，需要建立两个索引，一个是为 x m l 文档建立的索引，另一个是为文档对应的授权信息建立的索引，然后通过 位操作将授权决策传递到x m l 文档的位图索引上。 关键词：x m l 索引：访问控制；时间信息：位图索引；授权策略 i i 山东大学硕士学位论文 l_ _ i i l _ i _ - - - a b s t r a c t x n 也( e x t e n s i b l em a r k u pl a n g u a g e ) i san o r m a t i v ed e f t n i t i o no fs e m a n t i c m a r k u p i t sg o a li st od e f i n ead a t at y p ew h i c hc o m p u t e r sa n dh u m e na r ea b l et o i n d e n t i f ye a s i l y w i t l l 吐l ed e v e l o p m e n to fi n t e r a c ta p p l i c a t i o n ，e s p e c i a l l yt h ef u r t h e r e v o l v e m e n to fe - c o m m e r c ea n dw e bs e r v i c e s ，d a t ao fx m l t y p e sh a sb e c o m et h e m o s tp o p u l a rd a t af o r m , a n dt h em a n a g e m e n to fx m ld a t ah a sa l s ob e c o m ea r e s e a r c hh o t s p o t t 0f a c i l i t a t et h er e t r i e v a lo fi n f o r m 【a t i o nf r o mx m ld o c u m e n t s a n u m b e ro fx m l q u e f yl a n g u a g e sh a v eb e e nd e v e l o p e d i no r d e rt oi m p r o v et h ea c c e s s p e r f o r m a n c e ，al a r g en u m b e ro fl i t e r a t u r e sa b o u tx m la l s of o c u so nt h er e s e a r c hi n t o t h ei n d e x i n gt e c h n i q u e sf o rx m ld o c u m e n t s a tt h es a l l l et i m e ，a sm o r ea n dm o r e s e n s i t i v ei n f o r m a t i o ng e t ss t o r e di nt h ef o r mo fx m l ，p r o p e ra c c e s sc o n t r o lt ot h e x m ld o c u m e n t sb e c o m e s i n c r e a s i n g l yi m p o r t a n t a c c e s sc o n t r o lp o l i c i e so ft h ex m ld o c u m e n t ss p e c i f yw h oc a na c c e s st h e s e d o c u m e n t sa n dh o wt oa c c e s st h ed o c u m e n t s h o wt oa c c e s sx m ld o c u m e n t sa l s o i n c l u d e sas e r i e so fl o c a lp r o b l e m s ，s u c ha st h ew a yo fa c c e s s ，t h ea c c e s s e dd o c u m e n t s ， a n dt h et i m ec o n s t r a i n t s i nt h e s ep r o b l e m s ，t h et i m ei n f o r m a t i o ni s p a r t i c u l a r l y i m p o r t a n t w h e nt h ex m ld o c u m e n t ss t o r e di nt h ed a t a b a s ec a nb ea c c e s s e d w h i c h i l lt l l er e a lw o r l da r eo f t e ne n c o u n t e r e d f o re x a m p l e ，t op r o t e c ta c o m p a n y sb u s i n e s s i n f o r m a t i o n ，o n l yt h e i re m p l o y e e sc a na c c e s st h ei n f o r m a t i o nd u r i n gw o r k i n gh o u r s ， a n dn o o n eh a st h er i g h to fa c c e s st h er e s to ft h et i m e s o p h i s t i c a t e di n d e x i n gs c h e m e sh a v eb e e np r o p o s e dt os p e e d 印d o c u m e n t s t o r a g ea n dr e t r i e v a l a tp r e s e n t , a l t h o u g ht h ee x i s t i n gs t u d i e sh a v er a i s e dav e r yw i d e r a n g eo fi n d e x i n gt e c h n i q u e s ，t h es t u d yo fx m li n d e xi so n l yf o c u s e do nt h ei n d e x f o r t h ex m ld o c u m e n tc o l l e c t i o n s ，w h i l ec o r r e s p o n d i n ga c c e s sc o n t r o li n f o r m a t i o ni s n o ti n d e x e d i tr e s u l t si nr e d u c i n gt h ea c c e s sp e r f o r m a n c eo ft h ex m ld o c u m e n t s t o s o l v et h ep r o b l e m , w ec a nc o n s t r u t et w oi n d e i e sr e s p e c t i v e l yf o rt h ex m ld o c u m e n t s a n dt h ec o r r e s p o n d i n ga c c e s sc o n t r o li n f o r m a t i o n t h e r e f o r e ，t h et i m et om a k e a u t h o r i z a t i o nd e c i s i o ni s s h o r t e n e d , a n dt h ep e r f o r m a n c eo fa c c e s s i n gx n 几 d o c u m e n t si si m p r o v e d i nt h i sp a p e r , t h es t u d yi st op r o p o s ea ni n d e x i n gm e c h a n i s m f o rt e m p o r a la c c e s sc o n t r o lt ox n 也d o c u m e n t s t h em a i nw o r k sa n da c h i e v e m e n t so ft h i sp a p e ra r e ： 1 b a s e do nt h ed e f i n i t o no fa u t h o r i z a t i o nt e r ma u t h ，a u t h o r i z a t i o n p o l i c yi s i i i 山东大学硕士学位论文 d e f t n e dt oc o n s i s to ft w op a r t s ：o n ei st h et i m ei n f o r m a t i o no fa u t h o r i z a t i o n p l o l i c y ，c a l l e da u t h t , t h eo t h e ri st h er e s ti n f o r m a t i o no fa u t h o r i z a t i o np l o l i c y ， c a l l e da u t h 2 t h ea u t h o r i z a t i o np o l i c ye x p r e s s e da st h ef o r m ( a u t h t ，a u t h ) i se n c o d e di n t o b i t - v e c t o r s ，a n dab i t m a pi n d e xi sc o n s t r u c t e d 3 i tg i v e st h ea l g o r i t h mo fa u t h o r i z a t i o np r o c e s s i n gt o p r o c e s sa u t h to f a u t h o r i z a t i o np o l i c y t h e r e f o r ea u t h o r i z a t i o nd e c i s i o ni sm a d e ，w h i c h s p e c i f i e s w h e t h e rt h ea c c e s st ox m 儿d o c u m e n t si sp e r m i t t e d i no r d e rt o i m p r o v ee f f i c i e n c y ，t h ei n d e x i n gs c h e m ap r o p o s e di n t h i sp a p e r c r e a t e st w oi n d e x e s ：ab i t m a pi n d e xf o r 锄x m ld o c u m e n tc o l l e c t i o na n da b i t m a p i n d e xf o ra u t h o r i z a t i o np o l i c i e s t h er e s u l to fa u t h o r i z a t i o nd e t e r m i n a t i o ni sp i p e l i n e d t ot h eb i t m a pi n d e xo ft h ex m ld o c u m e n tc o l l e c t i o nv i ab i t - w i s eo p e r a t i o n st h a tc a l l b r i d g et h e s et w oi n d e x e s k e y w o r d s ：x m lin d e x ：a c c e s so o n l ：r oi ；1 ：h etim ein f o r m a l ：io n ；bit m a pin d o x ： a u l ：h o r i z a l ：i o np c ii c y 原创性声明和关于学位论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律责任由本人承担。 论文作者签名： 奎丝 日期：监金。幺生 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：奎丝导师签名 山东大学硕士学位论文 第一章绪论 x m l 用于网络上信息的交换与存储，它不仅描述了信息的特征，而且描述 了信息的内容。当这些信息在网络上传输或在计算机上存储时，如果包含了比较 敏感的数据，那么我们就需要利用一些手段保护这些数据的安全性。 1 1 研究背景与意义 在信息处理技术的发展历史上，x m l 是有关文档语法最重要的发展之一， 被称为是有史以来最健壮、最可靠、最灵活的文档语法，使真正的跨平台、长期 的数据格式成为可能。上个世纪9 0 年代以来，信息产业进入了一个飞速发展的 时期，i n t e r n e t 为用户提供了方便快捷的资源共享和信息交互的手段和平台。x m l 作为h t m l 语言的一种补充，具有一系列先进特性，如可扩展性、简单性、开 放性、互操作性、支持多国语言等，从而较好地解决i t t m l 语言的一些缺陷， 因而得到了研究人员的广泛关注，并在w e b 页面上得到了广泛应用 随着x m l 成为i n t e m e t i n t r a n e t 上数据表示和交换的标准，x m l 信息的安 全问题也成为人们关切并致力解决的问题，现在已经出现了很多x m l 安全方面 的标准和措施，例如，x m l 加密、x m l 签名、x m l 密钥管理和x m l 访问控 制等。其中，对x m l 文档的访问控制管理的研究是个热点问题，为了保证x m l 文档中的信息不受到非授权的访问，必须控制用户对x m l 文档的访问。目前已 有诸多文献提出了许多访问控制模型来解决这一问题。在某些情况下，会出现临 时的、动态的访问控制规则，例如，医疗信息的交换传统上规定严格的共享策略 来保护病人隐私，但是这些规定在一些特殊情况下有例外( 如紧急情况) ，也可能 是由于时间变化( 如依赖于病人的治疗方案) 并且服从于临时的授权，会产生一些 动态的访问控制规则。随着软硬件技术的发展，安全操作环境在客户端成为现实， 出现了基于客户端的动态访问控制方案，提高了访问控制的安全性和灵活性。 在保证信息获取的安全性的同时，我们还要考虑信息获取的效率问题，在合 法的访问数据的前提下，提高数据访问的速度。在对x m l 数据管理的长期研究 中我们知道，可以通过建立索引来提高数据访问速度。如果不对x m l 文档构建 山东大学硕士学位论文 索引结构，那么针对x m l 数据的任何查询都很可能导致对整个文档树的遍历， 随着x m l 数据集的增大，这种开销是不可忍受的，因此为x m l 文档集合建立 适当的索引是必须的。如何捕获x m l 数据中的结构特征，并高效地支持路径( 结 构) 查询的处理，是索引技术的核心。不管x m l 索引是何种形式，其实际设计与 实现都必须考虑x m l 查询的基本特征结构关系的保存以及基于结构信息快 速计算节点间结构关系这两个因素。目前对x m l 文档的索引技术的研究已经取 得了一定的成果。 如我们所知的，在x m l 数据管理研究的过程中，安全和效率是两个同样重 要的问题。目前在这两个方面，都已经有了各自的研究成果，但索引技术的研究 大多只是针对x m l 文档集合的索引，很少涉及到x m l 文档访问控制的索引技 术，这使得很多现实中存在的问题无法很好的解决，带来很多的不便。在访问控 制的研究方面，大部分的研究集中在访问控制模型的研究上，而没有考虑访问控 制一些细节的方面，如时间因素，在某些企业的访问控制策略中，时间是一个关 键性因素，用户的授权被限制在预先定义的时间范围内。因此，如何更好的表示 访问控制策略，尤其是其中的时间信息，并为这些带访问控制限制的x m l 文档 建立适当的索引技术，是目前需要我们更多的关注的方面，也是现实世界中亟待 解决的问题。 1 2 研究现状 1 2 1x h l 索引技术的相关研究 对x m l 数据建立有效的索引，是左右x m l 数据处理性能的重要因素。x m l 索引的设计与实现必须考虑两个因素：结构关系的保存和基于结构信息快速计算 节点间结构关系。目前x m l 索引技术主要分为两大类：节点记录类索引和结构 摘要类索引。将x m l 索引技术分为两大类是针对x m l 查询处理基本方式中的 两个缺陷来分的【l l 。结构摘要类索引和节点记录类索引分别针对其中的一个缺陷 来设计。x p a t h 这种基本的线性表达式查询语句的处理方式存在如下两个缺陷： ( 1 ) 只能采取周游的方式在x m l 文档中寻找满足查询语句结构关系的数据单元， 即为了获取满足查询路径的结果，必须周游所有可能的数据单元的标签路径，效 2 山东大学硕士学位论文 率不高：( 2 ) 对x m l 中标签路径相同的节点，仍然需要重新遍历它们的路径，这 个问题直接来自于( 1 ) 。 节点记录类索引的基本思想是，避免通过路径找节点的限制，而是在某种辅 助信息的帮助下，直接针对节点集合的划分得到最后结果。其在本质上是将x m l 数据分解为数据单元的记录集合，同时在记录中保存该单元在x m l 数据中的位 置信息。主要有两种获取位置信息的方法，种是节点序号方法( n o d en u m b e r i n g m e t h o d ，有时也称为节点标签方法，n o d el a b e l i n gm e t h o d ) ，另一种是节点路径 方法( n o d ep a t hm e t h o d ) 。对它们的研究占了x m l 数据处理研究文献中相当大 的部分。根据路径信息表现形式的不同，节点记录类索引又分为3 类：基于节点 序号的索引、基于节点路径信息的索引和二者相结合的混合索引。 对于基于节点序号的索引，其位置信息是节点在某种遍历序列中的序号。基 于x m l 文档设计某种遍历策略，得到由元素组成的序列，节点的标签在序列中 就具有唯一的次序，将序列与某指标集建立一一映射的关系，对应序列中某个标 签就有唯一的序号；对任意两个具有节点序号信息的节点，可以构建某种运算， 该运算的结果可以表征节点间的结构关系，即 ( 独立单元属性，位置信息) ) _ 结 构关系 映射。根据标签序列生成方式的不同，目前研究文献中序号类索引可分 为两种：基于标签有向树的遍历( 如先序遍历和后序遍历) 和基于字符流模型的顺 序处理。根据映射指标集的不同，可分为赋以自然数、赋以局部编码和赋以素数 的形式。文献【2 】 3 】将节点在前序遍历和后序遍历序列中的序号对组成的区间 ( p r e , p o s 0 作为该节点的位置信息。文献【4 】采用素数形式表示位置信息，根据整数 间非整除关系的判定规则，在x m l 树遍历过程中，序列中每个标签节点序号对 应的数字为其父节点分得的数与未用过的素数的乘积，在同一路径上的节点序号 才可能具有整除的关系。这样，当给定两个具有上述位置信息的节点记录时，根 据它们的位置信息是否能够整除即可判定两个节点是否为祖先子孙结构关系。 在节点位置信息生成过程中，如果仅考虑该节点在兄弟节点中的次序，并显式地 保留父节点的序号信息，则称其为局部编码方式。文献 5 】给出了d e w e y 编码； 文献 6 】的o r d p a t h 编码采用的也是类似的方法，并给出了压缩o r d p a t h 的 方法。文献 7 】给出了称为结构持久编码的方法( p e r s i s t e n ts t r u c t u r a ll a b e l i n g 山东大学硕士学位论文 s c h e m e ) ，该方法与前述的d e w e y 和o r d p a t h 相似之处在于都采用继承父节点 编码的策略，只是采用的数为二进制形式，而不是自然数。 基于节点路径信息的索引是基于路径信息来获取节点的结构关系，这类索引 的核心技术是字符串的模式匹配。文献【8 】直接保存了节点标签路径的字符串， 并利用了s q ll i k e 的模式匹配实现对路径查询的处理。文献 9 贝j j s s j 用了可将 x m l 文档的节点路径标签字符串和查询路径字符串都分解为后缀片断的特性： 将文档的后缀片断用树结构组织，之后将查询路径对应的片断在文档树上匹配从 而得到最后的结果。文献d o 的思路与之类似，只是将后缀换成了p r i i f e r 编码。 同时保留节点的序号信息以及节点的路径作为索引记录的位置信息，就构成 了混合索引。这类索引记录的模式多为多个模式的组合，基本的模式为( 数据单 元的标识，路径d ，序号位置信息) 和( 路径d ，标签路径) 的组合。文献【11 1 2 】 都采用了标签路径与序号对结合的方式。而文献 1 3 】采取了将后缀树与序号对结 合的方式。混合索引吸收了节点记录索引和路径索引的优点：既具有路径模式匹 配是不必分解为最小片断的要求，同时还能够保证得到的结果符合保序的要求。 结构摘要类索引，以x m l 树结构中节点的路径信息为基础，采取某种约简 方式，使得约简后的树结构只维护不同的路径信息，而不会存在具有相同路径的 两个节点。在这类索引中，为了达到简化x m l 树的目的，最初多采用自动机理 论中的n f a 到d f a 转化的思路【1 4 】。文献【1 5 】中引入了双拟和双似的概念，由于双 似概念能够准确的表述结构摘要问题，所以，后续的结构摘要类索引多基于这个 概念。考虑到舢查询语句中出现的更多的是结构片段查询，而不是从根节点 开始的整个简单路径，文献 1 4 1 放松了双似的限制，引入k 阶双似的概念，捕捉 x m l 数据中路径的局部特征以满足结构片段查询的特点。为了增加对结构摘要 树便利的灵活性，文献 1 6 1 进一步提出了f & b 索引，并声称f & b 索引是同类索引 中回答t w i g 查询存储空间最小的数据结构，它可以满足全部分支路径查询的要 求。文献【1 7 】提出了基于磁盘存储的并引入序号对的f & b 索引，实现了将结构摘 要树保存于磁盘，而且，为了提高数据访问的效率，还深入探讨了在保存中引入 聚集机制的方法，以及将编码机制( 文中采用的是b - e l ) 结合进f & b 索引的方案。 4 山东大学硕士学位论文 1 2 2x m l 访问控制的相关研究 随着x m l 成为i n t e m e t i n t r a n e t 上数据表示和交换的标准，x m l 信息的安 全问题也成为人们关切并致力解决的问题，其中，对x m l 文档的访问控制管理 的研究是个热点问题。 访问控制是指通过某种途径，允许或限制访问能力及其范围的一种方式。信 息系统通过实施访问控制，可以限制对关键资源的访问，防止非法用户的侵入或 者因合法用户的不慎操作所造成的破坏。由于x m l 的半结构化特性和x m l 查 询语言( 如x p a t h ) 的复杂性，相对于传统的访问控制，x m l 访问控制所要解决的 问题更加复杂，主要表现在：如何支持复杂的访问控制规则( 简称为规则) 和用户 访问条件( 简称为访问条件) ，同时保证效率；如何确保安全策略正确执行；如何 将传统访问控制模型应用到x m l 。 目前已有诸多文献提出了许多访问控制模型，访问控制技术主要有三种 d a c ，m a c 和r b a c 。 自主访问控制技术d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 。d a c 允许用户自主 控制其他用户对其拥有的对象的访问权限，系统的访问控制工作分散给所有的用 户，让这些用户共同完成。但是，d a c 本身存在无法避免的缺陷，例如，它不 能防止特洛伊木马的威胁。 强制访问控制技术m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 。m a c 让系统根据安全 信息来管理用户访问对象的权限，用户无法自由地把其拥有对象的访问权限授予 其他用户。m a c 的目的在于保证信息的流动始终处于系统的控制之下。许多高 安全等级的系统，如安全操作系统、安全数据库等，都使用m a c 来控制用户的 操作权限。 基于角色的访问控制r b a c ( r o l e b a s e d a c c e s sc o n t r 0 1 ) ，也称为非自主控制 ( n o n d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 。r b a c 模型主要有三个概念：用户、角色和权 限，由系统管理员根据用户在组织中的职能，分配一个或多个角色，每个角色拥 有相应的权限。用户常是分等级的，同一用户组的用户具有相同的职能。每个用 户拥有唯一的d 和密码( p a s s w o r d ) 作为身份认证的手段。r a b c 模型是一个相对 灵活易管理的控制方案，但安全性相对较弱。 山东大学硕士学位论文 x a c l 是一种较为成熟的访问控制语言，为x m l 提供了一种成熟的访问控 制机制。x a c l 利用x m l 文档及主体的层次结构特点，定义了授权传递策略和 冲突解决策略。x a c l 采用临时授权模型，它主要由访问评估模块和请求执行模 块组成。相关策略的实现可分四个步骤：提交请求、访问评估、在请求执行模块 中处理请求和返回视图【1 9 】。x a c m l 是o a s i s 的一个规范，用于编写和实施基 于x m l 的访问控制策略。但是这个规范没有说明如何去实现控制x m l 文档访 问权限的模型。同样是由o a s i s 管理的s a m l ( s e c u r i t ya s s e r t i o nm a r k u p l a n g u a g e ) 是和x a c m l 相对应的，处理验证交换以及授权请求和回应的语言。 s a m l 请求通过 r n p 上的s o a p 被送到具有处理这个请求的适当方法的系统 上。 虽然s a m l 和x a c m l 可以用来实现面向x m l 的访问控制，但是它们只是 实施访问控制策略的一种手段。在使用s a m l 和x a c m l 之前，我们必须为它 们提供好策略库。策略库接受x a c m l 提供的信息来判断是否符合访问控制的策 略，并产生一个s a m l 的授权判定。因此，x m l 访问控制最核心的部分仍然在 访问控制策略库。 文献 2 0 ，2 1 ，2 2 是较早讨论x m l 文档的访问控制模型的文章。它们首先定义 了模型的主体和客体。主体被组织成层次结构，每个主体是一个三元组： a s = ，u g 是用户或组的标识，d 是地址标识，s n 是域名标识。因 为三元组的每个元素都是层次结构，所以主体也可以组织成层次结构。u i r 可以 表示文档的地址，因此可以用来作为客体的标识。因为用路径可以表示x m l 文 档内部的结构，所以u r i 和路径的组合 可以用来标识面向x m l 文档 的访问控制的所有客体。在此基础之上，授权就可以表示为五元组： ，s u b j e c t 和o b j e c t 分别是主体和客体，a c t i o n 是主 体对客体的操作，s i g n 表示授权的性质：允许( p o s i t i v e ) ，禁止( n e g a t i v e ) 。t y p e 则 表示授权的类型，它可以取四个值：l ( l o c a l ) ，r ( r e c u r s i v e ) ，l w ( l o c a lw e a k ) ， r w ( r e c u r s i v ew e a k ) 。 文献 2 3 ，2 4 】中的a u t h o r - x 是一个提供x m l 数据保护的基于j a v a 的系统， 它拥有一系列工具来支持x m l 文档的访问控制和安全管理。文献【2 5 】则给出了 实施面向x m l 文档的自主访问控制策略的方法并提出了相关的模型。这篇文章 6 山东大学硕士学位论文 基于d t d 技术。在讨论访问控制策略之前，作者首先讨论了面向x m l 文档的 访问控制需求。根据授权的两个层次，面向x m l 文档的访问控制策略也就分为 两种：基于d t d 的策略和基于文档的策略。在讨论了面向x m l 文档的访问控 制策略之后，又描述了一个实现该策略的访问控制模型。 文献【2 6 对 2 1 1 q h 的模型做了进一步的完善和扩展，给出了访问控制模型更 详细的规范，而且对模型的两个阶段：标记过程和转换过程作了详细的描述，包 括其中的些函数的细节。除了支持读取操作，文章还提出了支持写操作的模型， 包括插入、删除和更新一个节点( 包括元素和属性) 。如果x m l 文档遵循某个 d t d ，那么经过写操作后的文档同样必须遵循这个d t d ，否则写操作将不能执 行。安全处理器被细化为三个阶段：p a r s i n g 阶段把用户请求的x m l 文档以及它 的d t d 都解析成符合d o m ( d o c u m e n to b j e c tm a n a g e m e n t ，文档对象管理) 规范 的面向对象的文档图；c o m p u t e rv i e w 阶段计算用户可见的对象图；u n p a r s i n g 阶段则把第二阶段的结果还原成一个有效的x m l 文档。 以上文献都是对面向x m l 文档的自主访问控制策略的讨论，基本上是基于 d t d 技术。而r b a c 是目前访问控制的研究热点，所以有很多研究者也关注了 与x m l 相关的r b a c 。 文献【2 7 】试图用x m l 技术来实现面向商业银行数据的r b a c 。文章设计了 一个d t d ，用来表示r b a c 模型以及保存r b a c 安全数据的x m l 文档的模式。 虽然该文所讨论的不是面向x m l 文档的r b a c ，但是用x m l 技术实现r b a c 的方法表明了同样可以用x m l 技术来实现面向x m l 文档的访问控制模型。 文献【2 8 】提出了面向x m l 文档的r b a c 模型，该模型仍然基于d t d 技术， 并用自己的语言描述了角色和权限。文章认为在表达那些供分布式用户访问的 x m l 文档的访问控制策略时，用角色而不是组来表示一个主体集合具有比较明 显的优势，文章还给出了r b a c 模型中某些部分的语法表示，包括授权、传递 规则、角色以及约束等。 文献【2 9 】提出了在w e b 上的r b a c 的两种模型：用户驱动和服务器驱动。 这两种模型很容易扩展为x m l 系统中实现r b a c 的结构。 7 山东大学硕士学位论文 文献 3 0 1 第一次给出了基于模式技术的面向x m l 文档的访问控制模型。在 r b a c 9 6 的基础之上，文章提出了一个扩展的r b a c 模型，用于管理x m l 文档 和模式文档上的权限。 文献 3 1 1 提出了一种使用x m l 在分布式环境中管理安全策略的方法，但也 只是讨论了如何用j a v a 和x m l 技术来实现r b a c 。文献 3 2 1 讨论了x m l 的访 问控制技术，并提出了种临时授权模型为x m l 提供了精细的控制机制。文献 【3 3 提出了一种多粒度访问控制系统，它是x a c m l 规范基础上的扩展，并简略 地描述了它的体系结构。文献 3 4 1 提出了基于模式技术的面向x m l 文档的r b a c 实现方法。文献 3 5 1 给出了一个面向x m l 文档的细粒度强制访问控制模型，它 基于x m l 模式技术。 1 3 本文主要工作 本文针对带时间特性的x m l 文档访问控制的索引技术进行研究，提出了新 的索引方案。本文在授权单元定义的基础上，将x m l 文档的带时间特性的访问 控制策略分成两部分，部分是访问控制中的时间信息，另一部分是除时间外的 剩余信息。然后将这两部分的授权信息分别表示成一组位向量，两个位向量合并 在一起形成最终的授权策略信息。 创建索引时，将x m l 文档和与之对应的授权策略信息分开索引，为x m l 文档集合建立一个位图索引，同时也为授权策略建立一个位图索引，然后通过位 操作将授权决策传递到x m l 文档的位图索引上。 同时，本文还给出了使用该索引技术的查询处理比较算法。当用户访问数据 库中的x m l 文档时，算法先将当前时间也表示为一组位向量，拿来与授权策略 中的时间信息进行比较，符合授权要求则允许用户对请求的x m l 文档进行访问， 否则拒绝访问。 本文设计的索引技术是基于一种旨在提高效率的位图索引技术，因此在效率 方面有保证，并且在提高了访问效率的同时，也解决了带时间属性的访问控制问 题。 本文的创新之处体现在如下三个方面： 1 将x m l 文档的访问控制策略连同其包含的时间信息表示成简单易懂的 山东大学硕士学位论文 位向量，可使用简单的位操作产生授权决策。 2 不是简单的只为x m i , 文档及其访问控制信息建立一个共同的索引，而 是分别为舳文档和访问控制信息建立不同的索引，简化了索引的结 构，提高了效率。 3 构造了使用新的索引技术时的查询算法，进行查询处理时，可快速的做 出判断。 1 4 本文的组织结构 本文是按照下面的结构组织的： 第二章具体介绍了舭文档的访问控制模型，为后续的带时间属性的访问 控制策略的表示奠定了理论基础。 第三章详细介绍了x m l 文档访问控制的位图索引技术，主要包括舭文 档的位图索引技术，授权策略的表示方法，授权策略的位图索引技术以及授权策 略的传递等内容，其中各部分都是分不带时间属性的与带时间属性的两部分分别 进行讨论的，是本论文的核心内容。 第四章在上一章构建的位图索引索引技术的基础上，详细描述了授权处理过 程和查询处理过程，以及授权策略冗余和冲突的判定及解决方法。 第五部分对全文进行了总结，分析了本文研究成果的理论意义和应用前景， 并指出了今后需要进一步研究的工作。 9 山东大学硕士学位论文 第二章访问控制策略概述 访问控制是通过某种途径显式地准许或限制访问能力及范围的一种方法，是 对信息系统资源进行保护的重要措施。本章对访问控制的基本概念及三种常见的 访问控制策略进行了阐述。这三种策略分别为：自主型访问控锖i j d a c 、强制型访 问控制m c 以及基于角色的访问控制i m a c 。特别地，对r b a c 的四种参考模型 进行了详细阐述。 2 1 访问控制基本概念 访问控制是网络安全防范和保护的主要核心策略，它的主要任务是保证网络 资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识 别的基础上，根据身份对提出资源访问的请求加以控制。它是对信息系统资源进 行保护的重要措施，也是计算机系统的最重要和最基础的安全机制。访问控制的 基本概念有： 主体：主体是指主动的实体，是访问的发起者，它造成了信息的流动和系 统状态的改变。主体通常包括人、进程和设备。 客体：客体是指包含或者接受信息的被动实体，客体在信息流动中的地位 是被动的，是处于主体的作用之下。对客体的访问意味着对其中所包含信 息的访问。客体通常包括文件、设备、信号量和网络节点等。 访问：访问是使信息在主体和客体之间流动的一种交互方式。 访问控制：访问控制决定了谁能够访问系统，能访问系统的何种资源以及 如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意 地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源 授权、授权核查、日志和审计等等。 访问控制规定了哪些主体能够访问相应的客体，访问权限有多大，它的般 原理如图2 1 所示。 在主体与客体之间加入了一个访问控制实施模块，由它来负责控制主体对客 体的访问。其中，访问控制决策功能块是访问控制实施功能中最主要的部分，它 根据访问控制信息做出是否允许主体操作的决定。 l o 山东大学硕士学位论文 图2 1 访问控制功能原理 访问控制涉及的领域很广，方法也很多，目前主流的访问控制策略有三种： 自主型访问控锖l j ( d i s c r e t i o n a r ya c c e s sc o n t r o l ，d a c ) 、强制型访问控铝1 ( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) 和基于角色的访问控镑l j ( r o l e - b a s e da c c e s sc o n t r o l ，r b a c ) 。 本章将分别对这三种访问控制策略进行介绍。 2 2 自主型访问控制 自主型访问控制d a c 又称为任意访问控制，是多用户系统中最常用的一种访 问控制技术，如u n i x 系统中普遍采用自主型访问控制。 d a c 的基本思想是：根据用户的身份和授权规则( 即用户或用户组对系统中 的信息被允许的访问模式，如读、写或执行等) 控制用户对信息对象的访问；用 户对信息对象的每个访问请求都需通过授权规则的审查与核对；用户生成信息对 象，并被看作是信息对象的拥有者；信息对象的拥有者对信息对象持有完全的自 主权，可决定其他用户是否具有对该信息对象的访问权限。 自主型访问控制是基于用户的，因此具有很高的灵活性，这使得这种策略适 合各类操作系统和应用程序，特别是在商业和工业领域。例如，在很多应用环境 中，用户需要在没有系统管理员介入的情况下，拥有设定其他用户访问其所控制 的信息对象的能力，因此这种控制就具有很大的灵活性。在这种环境下，用户对 信息对象的访问控制是动态的，这时采用自主型访问控制就比较合适。 山东大学硕士学位论文 d a c 的灵活性使得它被广泛应用在不同的系统中，但是d a c 也有其固有的 缺点：一、对系统中信息的流动不提供真正的保障。在d a c 中，授权中的访问权 限的限制在流动中很容易丧失。例如，一个用户拥有读取某个文件数据的权限， 则他能在不和文件的拥有者协商的情况下，将读取数据的这个权限代理给其他无 此权限的用户，造成这种情况就是因为d a c 缺乏对拥有信息对象访问权限的用户 的对该信息对象授权管理上的限制。二、当信息从一个对象拷贝到另一个对象时， 可能通过访问拷贝对象而获取信息，即使原件的拥有者没有提供用户对原件的访 问权限。而且，拷贝还可能通过特洛伊木马( t r o j a nh o r s e ) 软件传播，对信息的访 问可能完全不是与原件拥有者合作的用户。 2 3 强制型访问控制 强制型访问控制m _ a c 最早运用于m u l t l e s 系统中，在1 9 8 3 年美国国防部的 t e s e c 中被用