（计算机软件与理论专业论文）基于xml的访问控制研究.pdf

山东大学硕士学位论文 摘要 随着x m l 成为i n t e r n e t i n t r a n e t 上数据表示和交换的标准，x m l 信 息的安全问题也成为人们关切并致力解决的问题，其中，对x m l 文档的访 问控制管理的研究是个热点问题，已有诸多文献提出了许多访问控制模型。 本文在借鉴当前国内外最新研究成果的基础上，提出了一个新的混合访问 控制方案，大大提高了访问控制的安全性和访问效率。 访问控制管理是数据库系统管理的基石之一，并且传统上在服务器端 执行，但这地方的保存数据安全性和机密性，不再受用户的信任，致使访 问控制从服务器端转向客户端。原先由于客户端设备的安全性不可信赖， 所有基于客户端的访问控制解决方案都依赖于数据加密。这些加密的数据 保存在服务器上，客户根据自己拥有的密钥访问他们被授权的部分。这些 模型的共同点是通过以静态的方式共享数据来把对客户端的信任需求降到 最低。当前的共享情况是，不管多大的共享粒度，把数据集分割成子集， 每一个子集用不同的或合成的密钥加密，这样访问控制规则被预加密。一旦 数据集被加密，规则定义的改变会影响到子集的边界，因此导致对部分子 集的重新加密和密钥可能重分发。 然而在有些情况下，会出现临时的、动态的访问控制规则，静态模型 不能解决这种动态性。随着软硬件技术的发展，安全操作环境在客户端成 为现实，出现了基于客户端的动态访问控制方案，提高了访问控制的安全 性和灵活性。利用从密文中分离出来的访问权限，能够分析输入加密文档 上动态的和个人化的访问控制规则，这些工作在客户端动态的完成。 上述两类方案有各自的优点和缺陷，静态访问模式具有效率高的优点， 但不方便处理动态访问规则，而动态访问模式能灵活处理动态访问规则但 访问效率较低。本文提出了一个结合二者优点的新的混合访问方案，集灵 活与效率于一体，以基于客户端的动态访问为技术主体，将访问控制分成 山东大学硕士学位论文 两步：i ) 对一访问控制规则，首先检查是不是属于已有的静态访问控制策 略，如果是，则采用静态模型直接到服务器上读取已做好的授权视图。2 ) 如果不属于已有的静态访问控制策略，采用动态分析方式，将x m l 文档读 入到客户端，在客户端进行动态规则的分析，找出授权( 需要) 部分。文 中给出了服务器端对访问模式的调度管理和存储在服务器端的静态授权视 图的生成，并考虑了进行动态管理。本文最后对新的混合模型的性能作了 分析，并与纯动态方案作了比较，通过实例说明和实验比较表明，其整体 性能要大大高于其他方案，证明了该方案的正确性和有效性。该方案的提 出对今后x m l 的访问控制研究具有重要意义，指出了一个新的方向。 关键词：x m l 访问控制；静态访问；动态访问；混合访问；跳跃索弓 i i 山东大学硕士学位论文 a b st r a c t x m l h a sb e e ni n c r e a s i n g l y i m p o r t a n ta st h es t a n d a r do f i n f o r m a t i o nr e p r e s e n t a t i o na n de x c h a n g ef o r m a to fi n t e r n e ta n d i n t r a n e t ， a n dt h ei s s u eo f s e c u r i t y o nx m lp r o p e r t i e s c o r r e s p o n d e n t l yg e t sm o r ea n dm o r ea t t e n t i o n a c c e s sc o n t r 0 1f o rx m ld o c u m e n t si san o n t r i v i a lt o p i c ， a sc a nb ew i t n e s s e df r o mt h en u m b e ro fa p p r o a c h e sp r e s e n t e di n t h e1 i t e r a t u r e a c c e s sc o n t r 0 1 m a n a g e m e n t i so n eo ft h e f o u n d a t i o ns t o n eo fd a t a b a s es y s t e m sa n di st r a d i t i o n a l l y p e r f o r m e db yt h es e r v e r s ，t h ep l a c ew h e r et h et r u s ti s t h i s s i t u a t i o n ，h o w e v e r ，i sr a p i d l ye v 0 1 v i n gd u et ov e r yd i f f e r e n t f a c t o t s ：t h es u s p i e i o na b o u td a t a b a s es e r v i c ep r o v i d e r s ( d s p ) r e g a r d i n gd a t ac o n f i d e n t i a l i t yp r e s e r v a t i o n ，t h ei n c r e a s i n g v u l n e r a b i l i t yo fd a t a b a s es e r v e r sf a c i n ge x t e r n a la n di n t e r n a l a t t a c k s t h ec o m m o nc o n s e q u e n c eo ft h e s eo r t h o g o n a lf a c t o r si s t om o v ea c c e s sc o n t r 0 1f r o ms e r v e r st oc l i e n t s d u et ot h ei n t r i n s i cu n t r u s t w o r t h i n e s so fc l i e n td e v i c e s 。 a 1 1e l i e n t - b a s e da c c e s s c o n t r 0 1s o l u t i o n sr e l yo nd a t a e n c r y p t i o n t h ed a t aa r ek e p te n c r y p t e da tt h es e r v e ra n dac l i e n t i sg r a n t e da c c e s st os u b p a r t so ft h e ma c c o r d i n gt ot h ed e c r y p t i o n k e yi ni t sp o s s e s s i o n t h e s em o d e l sh a v ei nc o m m o nt or a i n i m i z e t h et r u s tr e q u i r e do nt h ec l i e n ta tt h ep r i c eo fas t a t i cw a y o fs h a r i n gd a t a i n d e e d ，w h a t e v e rt h eg r a n u l a r i t yo fs h a r i n g ， t h ed a t a s e ti ss p l i ti ns u b s e t sr e f l e c t i n gac u r r e n ts h a r i n g s i t u a t i o n ， e a c he n c r y p t e dw i t had i f f e r e n tk e y ，o rc o m p o s i t i o n o fk e y s t h u saccessc o n t r 0 1r u l e si n t e r s e c t i o n sa r ep r e c o m p i l e d b yt h ee n c r y p t i o n o n c et h ed a t a s e ti se n c r y p t e d ，c h a n g e si n t h ea c c e s sc o n t r 0 1r u l e sd e f i n i t i o nm a y i m p a c tt h es u b s e t b o u n d a r i e s ，h e n c ei n c u r r i n gap a r t i a lr e e n c r y p t i o no ft h e d a t a s e ta n dap o t e n t i a lr e d i s t r i b u t i o no fk e y s i l l 山东大学硕士学位论文 u n f o r t u n a t e l y ，t h e r ea r em a n ys i t u a t i o n sw h e r ea c c e s s c e n t r e lr u l e sa r eu s e rs p e c i f i c ，d y n a m i ca n dt h ed i f f i c u i tt o p r e d i c t m o d e l sc o m p i l i n ga c c e s sc e n t r e lp 0 1 i c i e si nt h ed a t a e n c r y p t i o nc a n n o t t a c k l et h i s d y n a m i c i t y w i t ht h es e c u r e o p e r a t i n ge n v i r o n m e n t s ( s o e ) b e c o m i n gar e a l i t yo nc l i e n t d e v i c e s ，d y n a m i cc l i e n t b a s e da c c e s sc o n t r o ls c h e m ec a nb e d e v i s e d i tc a ne v a l u a t ed y n a m i ca n dp e r s o n a l i z e da c c e s sc o n t r o l r u l e so n ac i p h e r e d i n p u td o c u m e n t ， w i t ht h eb e n e f i to f d i s s o c i a t i n ga c c e s sr i g h t sf r o me n c r y p t i o n t h i sp a p e rp r o p o s e san e wh y b r i ds o l u t i o nc o m b i n i n gs t a r i c a n dd y n a m i cs o l u t i o n s w ec o m p a r e di tw i t hd y n a m i cs 0 1 u t i o n k e y w o r d ：x m li a c c e s sc o n t r o l 。s t a t i ca c c e s sc o n t r o l ， d y n a m i ca c c e s sc o n t r o l ，h y b r i da c c e s sc o n t r o l ，s k i pi n d e x 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律责任由本人承担。 论文作者签名：丛达壁日期： , z 0 0 6 j 0 i 5 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：盎翅8 生导师签名：论文作者签名：淦玉叠h 生导师签名：期：碰：丛r 山东大学硕士学位论文 第一章绪论 网络技术的飞速发展改变了人们的学习、生活和工作方式，拓宽了人 们获得知识和信息的途径，并且也改变了人们的思维方式。x m l 就是这样 一种迅速发展的技术。 1 1 1 研究背景与动机 在信息处理技术的发展历史上，x m l 2 是有关文档语法最重要的发展 之一，被称为是有史以来最健壮、最可靠、最灵活的文档语法，使真正的 跨平台、长期的数据格式成为可能。上个世纪9 0 年代以来，信息产业进入 了一个飞速发展的时期，i n t e r n e t 为用户提供了方便快捷的资源共享和信 息交互的手段和平台。x m l 作为h t m l 语言的一种补充，具有一系列先进特 性，如可扩展性、简单性、开放性、互操作性、支持多国语言等，从而较 好地解决h t m l 语言的一些缺陷，因而得到了研究人员的广泛关注，并在 w e b 页面上得到了广泛应用。 随着x m l 成为i n t e r n e t i n t r a n e t 上数据表示和交换的标准。x m l 信 息的安全问题也成为人们关切并致力解决的问题，现在已经出现了很多x m l 安全方面的标准和措施，例如，x m l 加密、x m l 签名、x m l 密钥管理和x m l 访问控制等 3 。其中，对x m l 文档的访问控制管理的研究是个热点问蹶， 为了保证x m l 文档中的信息不受到非授权的访问，必须控制用户对x m l 文 档的访问。已有诸多文献提出了许多访问控制模型。 访问控制管理是数据库系统管理的基石之一，并且传统上在服务器端 执行，但这地方的数据安全性和保存数据的机密性，不再受用户的信任， 致使访问控制从服务器端向客户端转移。 由于原先的客户端设备的安全性不值的信任，所有基于客户端的访问 控制解决方案都依赖于数据加密。这些加密的数据保存在服务器上，客户 山东大学硕士学位论文 根据自己拥有的密钥访问他们被授权的部分。根据不同的应用环境人们设 计出了这个基本模型的不同变种 9 - 1 5 ，2 1 - 2 4 ，这些模型的共同点是通过 以静态的方式共享数据来把对客户端的信任需求降到最低。当前的共享情 况是，不管多大的共享粒度，把数据集分割成子集，每一个子集用不同的 或合成的密钥加密。这样访问控制规则被预加密。一旦数据集被加密，规 则定义的改变会影响到子集的边界，因此导致对部分子集的重新加密和密 钥可能重分发。 然而，有些情况访问控制规则是用户具体的、动态的并且难以预料的。 例如，医疗信息的交换传统上规定严格的共享策略来保护病人隐私，但是 这些规定在些特殊情况下有例外( 如紧急情况) ，也可能是由于时间变化 ( 如依赖于病人的治疗方案) 并且服从于临时的授权，会产生一些动态的 访问控制规则。这样在加密数据中编译访问控制策略的静态模型不能解决 这种动态性( 例外情况) 。随着客户端设备软硬件安全因素的出现，安全操 作环境( s e c u r eo p e r a t i n ge n v i r o n m e n t s ，s o e 保证了有限资源上高度的 防篡改，这些资源比如是少量稳定的存储器和工作内存，用来保护像密钥 和敏感数据结构这样的秘密) 在客户端变成了实现 1 7 ，出现了基于客户 端的动态访问控制方案 1 8 。 考虑到现实生活中，一个事物是相对稳定又在发展变化着，但在一定 时期内，相对稳定的属性是主要的( 否则它就不是原先那个事物了) ，动态 变化的属性( 临时的，例外的) 总是占少数的。如上面的例子中，按正常 规定的静态共享策略进行的访问量占到总访问量的8 5 ，而例外的访问只 占1 5 。再如，当今i n t e r n e t 网上的内容五花八门，有些内容是不宜于未 成年儿童访问的，家长或老师为保护儿童，对他们可访问的内容要做出一 些限制，由于不同的家长或老师对要限制的内容的敏感性不同，他们给出 的限制规则是不可能一样的，但形成共识的限制是主要的( 如只宜成人访 问的网站) ，这类限制可占限制总量的8 0 ( 静态部分) ，而每个家长或老 师根据自己的敏感性不同给出的不在共识之内的限制数( 如某些游戏网站 或娱乐网站) 占总限制数的2 0 ( 动态部分) 。 山东大学硕士学位论文 静态访问方案和动态访问方案有各自的优点和缺陷，静态访问方案的 效率高但不方便处理动态访问规则，而动态访问方案能处理动态访问规则 但访问效率较低，受内存管理模型的启发，采用以空间换时间的策略 2 0 ， 本文中，针对客观现实中事物规范化的静态属性占大多数，而临时的动态 属性占少数这一实际，我们设计了一个基于客户端的混合访问控制方案： 把静态模式的访问效率和动态模式的动态处理二者结合起来，将访问控制 分成两步：1 ) 对一访问控制规则，首先检查是不是属于已有的静态访问控 制策略，如果是，则采用静态模型直接读取服务器端已做好的授权视图， 大多数的访问是这种情况。2 ) 如果不属于已有的静态访问控制策略，再采 用动态分析方式，将x m l 结构文档读入到客户端，在客户端进行动态规则 的分析，找出授权( 需要) 部分。由于静态访问的频率和效率要远远高于 动态访问，所以我们的混合模型的效率要比纯动态模型的效率高出很多。 1 2 本文的贡献 本文中，我们设计了一个基于客户端的对x m l 文档的混合访问控制方 案：把静态模式的访问效率和动态模式的动态处理二者结合起来，利用了 各自的优点，将访问控制分成两步，将规范化的访问做成静态访问，对临 时的动态访问进行动态分析。由于静态访问的频率和效率要远远高于动态 访问，从而大大提高了方案的整体性能。本文的主要贡献有以下几点： 1 、提出了结合静态模型和动态模型的新的混合方案，兼有二者优点， 即能处理动态访问规则又能提高访问效率。 2 、设计了服务器端对访问模式的调度管理。 3 、设计了存储在服务器端的静态授权视图的生成，并考虑了进行动态 管理。 4 、对新的混合模型的性能作了分析，通过实例说明和实验比较，证 明了该方案的正确性和有效性。其整体性能要大大高于其他方案。 山东大学硕士学位论文 1 3 本文的组织 本文的以下部分是这样组织的：第二章介绍了x m l 及与本文相关的知 识、概念及模型。第三章给出了我们提出来的混合访问控制模型，包括动 机例子、目标结构，服务器端的调度管理，并介绍了客户端的动态分析部 分。第四章给出了混合访问控制模型的实现。先介绍了一种可加快分析的 对x m l 文档的编码方案一一跳跃索引，并给出了一个采用跳跃索引的混合 访问控制分析的例子。第五章对我们的模型进行了性能评估并与纯动态模 型进行了比较。第六章结束语对本文进行了总结。 4 山东大学硕士学位论文 第二章x m l 及其相关知识 2 1x m l 及其主要特性 x m l 2 ( e x t e n s i b l em a r k u pl a n g u a g e ，可扩展标记语言) 的缩写，是 一种能更好地描述结构化数据的语言，作为8 g m l ( s t a n d a r dg e n e r a l i z e d m a r k u pl a n g u a g e ，通用标记语言) 的一个子集，从1 9 9 8 年2 月w 3 c ( w o r l d w i d ew e bc o n s o r t i u m ) 正式推出x m l1 0 ，由于其具有一系列先进特性， 如可扩展性、简单性、开放性、互操作性、支持多国语言等，得到了研究 人员的广泛关注，并在w e b 页面上得到了广泛应用。2 0 0 6 年8 月w 3 c 又推 出了x m l l 0 ( 第四版) ，下面我们将对x m l 的主要特性进行介绍： 1 9 可扩展性 x m l 是一种文本文档的元标记语言，它允许使用者创建和使用他们自 己的标记而不是h t m l 的有限词汇表。这一点至关重要，企业可以用x m l 为 电子商务和供应链集成等应用定义自己的标记语言，甚至特定行业一起来 定义该领域的特殊标记语言，作为该领域信息共享与数据交换的基础。 灵活性 h t m l 很难迸一步发展，就是因为它是格式、超文本和图形用户界面语 义的混合，要同时发展这些混合在一起的功能是很困难的。而x m l 提供了 一种结构化的数据表示方式，使得用户界面分离于结构化数据。所以，w e b 用户所追求的许多先进功能在x m l 环境下更容易实现。 自描述性 x m l 文档通常包含一个文档类型声明，因而x m l 文档是自描述的。不 仅人能读懂x m l 文档，计算机也能处理。x m l 表示数据的方式真正做到了 独立于应用系统，并且数据能够重用。x m l 文档被看作是文档的数据库化 和数据的文档化。 山东大学硕士学位论文 除了上述先进特性以外，x m l 还具有简明性。它只有s g m l 约2 0 的复 杂性，但却具有s g m l 功能的约8 0 。x m l 比完整的s g m l 简单得多，易学、 易用并且易实现。另外，x m l 也吸收了人们多年来在w e b 上使用h t m l 的经 验。x m l 支持世界上几乎所有的主要语言，并且不同语言的文本可以在同 文档中混合使用，应用x m l 的软件能处理这些语言的任何组合。所有这 一切将使x m l 成为数据表示的一个开放标准，这种数据表示独立于机器平 台、供应商以及编程语言。它为网络发展注入了新的活力，并为信息技术 带来新的机遇。 2 2x m l 上的相关概念 x m l 文档：x m l 文档就是一个元素，它可以嵌套x m l 元素。其组成部 分为标记、元素和属性。具有”可自描述”、”无限嵌套”、”树形结构”等特 点，因此在某种意义上，一个x m l 文档就是一个数据库或其中的一张表。 一个形式良好的x m l 文档应该遵守的几条规则： 1 ) 文档的开始必须是x m l 声明： 2 ) 含有数据的元素必须有起始标记和结束标记： 3 ) 不含数据并且仅使用一个标记的元素必须以 结束： 4 ) 文档只能包含一个能够包含全部其他元素的元素： 5 ) 元素只能嵌套不能重叠： 6 ) 属性值必须加引号； 7 ) 字符 的元组方式，定义访问控 制模式。访问主体为用户标识和组标识。访问对象的粒度为整个文档或文 档内的元素。 对x m l 文档的访问控制，主要是进行基于内容和标识的访问控制。它 的技术特点是在服务器一端进行，以( 用户名，权限 元组的形式实现对数 据细粒度的控制，通常包含帐户管理模块、访问策略控制模块、访问执行 实体模块。因此，该技术可以实现对共享文档数据实施不同等级的、细粒 度的灵活控制。 可采用的技术有两种：一种方法是定义x m l 访问控制语言x a c l ，利用 该语言描述控制规则，x m l 文档包含规则和内容两部分，通过规则实现对 文档内容的访问控制：另一种方法是根据x m l 语义规则定义访问控制的授权 模型，为文档中的重要元素设置安全标记。结合用户的标识和组标识以及 访问权限，安全标记可以表示不同的保护权限。根据安全标记，合法请求 会得到一个相应权限的文档视图，从而实现对x m l 文档的访问控制。x m l 访问控制技术是网络环境下的数据共享和互操作的一种有效的安全手段。 山东大学硕士学位论文 第三章基于客户端的访问控制模型 在本章中我们首先介绍了国内外对x m l 访问控制的研究情况，然后提出了 我们的混合访问控制模型。由动机例子给出了模型的目标结构及模型的准 备工作。 3 1 国内外相关工作 近几年来，国内外对x m l 文档访问控制的研究是个热点问题。已有诸多文 献提出了许多访问控制模型。 x a c m l 是o a s i s 的一个规范，用于编写和实施基于x m l 的访问控制策略。但 是这个规范没有说明如何去实现控匍j x m l 文档访问权限的模型。 d i m i a n i 和b e r t i n o 等人讨论了基于d t d 的面向x m l 文档的访问控制 2 1 ，2 2 ，2 3 文献 2 4 中提出了一种细粒度的访问控制模型，这个模型定义了元素上的 访问权限但是，这些模型都是基于自主访问控制策略的。 基于角色的访问控制( r b a c ) 是一种灵活而方便的访问控制模型，文献 9 给出了用于实现r b a c 模型的d t d 文件。 对于x m l 文档仓库的基于r b a c 的访问控制方法在文献 1 0 中给出。 文献 1 1 提出了一种使用x m l 在分布式环境中管理安全策略的方法，但也 只是讨论了如何用j a v a 和x m l 技术来实现r b a c 文献 1 2 讨论了x m l 的访问控制技术，并提出了一种临时授权模型为x m l 提供了精细的控制机制。 文献 1 3 提出了一种多粒度访问控制系统，它是x a c m l 规范基础上的扩展， 并简略地描述了它的体系结构。 文献 1 4 提出了基于模式技术的面向x m l 文档的r b a c 实现方法。 文献 1 5 给出了一个面向x m l 文档的细粒度强制访问控制模型，它基于 山东大学硕士学位论文 x m l 模式技术。 由于原先的客户端设备的安全性不值的信任，上述所有这些访问控制 解决方案都依赖于数据加密。这些加密的数据保存在服务器上，客户根据 自己拥有的密钥访问他们被授权的部分。它们的共同点是通过以静态的方 式共享数据来把对客户端的信任需求降到最低。当前的共享情况是，不管 多大的共享粒度，把数据集分割成子集，每一个子集用不同的或合成的密 钥加密。这样访问控制规则被预加密。一旦数据集被加密，规则定义的改 变会影响到子集的边界，因此导致对部分子集的重新加密和密钥可能重分 发。 然而，有些情况访问控制规则是用户具体的、动态的并且难以预料的。 如在第一章中所举的例子，会产生一些动态的访问控制规则。这样在加密 数据中编译访问控制策略的静态模型不能解决这种动态性( 例外情况) 。随 着安全操作环境s o e 在客户端变成了实现，出现了基于客户端的动态访问 控制方案。 静态访问控制方案的效率高但不方便处理动态访问规则，而动态访问 控制方案能处理动态访问规则但访问效率较低，受内存管理模型的启发， 采用以空间换时间的策略，本文中，我们设计了一个基于客户端的混合访 问控制方案：把静态模式的访问效率和动态模式的动态处理二者结合起 来，将访问控制分成两步。由于静态访问的效率要远远高于动态访问，所 以我们的混合模型的效率要比纯动态模型的效率高出很多。 山东大学硕士学位论文 3 2 混合访问控制模型 3 2 1 动机例子 图3 1x m l 文档实例 我们用一个表示医学文卷的x m l 文档来说明混合访问控制模型的语义 并作为动机例子。图3 1 画出了文档例子，连同三种用户的静态访问控制 策略( 用 ( p a t h 表达式表示) ，秘书、医生、医学研究员( 见图3 2 ) 。 秘书：只能访问病人的管理文卷部分。 医生：可以访问病人的管理文卷和他的病人的所有医疗行为和分析， 不是他做的医疗行动的细节除外。 研究员：只准访问鉴署测试协议且协议类型为g 3 的病人的年龄和实验 结果，且胆固醇含量不超过2 5 0 m g d 1 。对这些静态控制策略的访问是经常 的，为了提高效率，采用以空间换时间的策略，我们把这些静态访问控制 策略的授权视图事先做好，经加密后放在服务器上，随用随取。 1 7 山东大学硕士学位论文 医生的静态访问控制策略 d i ：+ ，f 0 1 d e r a d m i n d 2 ：+ ，m e d a c ts r p h y s = u s e r d 3 ：一，a c t r p h y s ! = u s e r d e t a i l s d 4 ：+ ，f o l d e r m e d a c t s r p h y s = u s e r a n a l y s i s 研究员的静态访问控制策略 r l ：+ ，f o l d e r p r o t o c 0 1 t y p e = g 3 a g e r 2 ：+ ，f o l d e r p r o t o c 0 1 t y p e = g 3 l a b r e s u l t s g 3 r 3 ：一，g 3 c h o l e s t e r o l 2 5 0 f g l g l o ) 1 0 组中每组都有一对规则r 2 和r 3 秘书的静态访问控制策略 s 1 ：+ ，a d m i n 研究员的动态访问控制 r 4 ：+ ，f o l d e r c h o l e s t e r o l 3 0 0 图3 2 访问控制策略 医学应用可作为有时需要动态规则的例子。例如：1 ) 一个研究员可以 例外的并有时间限制的准予访问所有医疗文卷的片段，查阅胆固醇超过 3 0 0 m g d l 的比例。2 ) 一个病人鉴署了测试一个新治疗方案效果的协议， 由于她的健康状况退化或其他个人原因，可能随时撤回协议。在加密数据 中编译访问控制策略的静态模型不能解决这种动态性。然而数据加密和对 客户端的访问控制的原因是多方面的：在医疗研究小组间交换数据是按受 保护的点对点方式，从而保护数据免受来自内外部的攻击，由于高级别的 数据机密性和信息系统的分散性，这一点在医疗领域特别重要( 如小诊所 和一般从业者经常的把他们管理的信息系统转包出去) 。对这种动态性的 ( 例外的、l 临时的) 访问控制规则需要拿到客户端进行分析。 山东大学硕士学位论文 3 2 2 目标结构 图3 3 混合模型目标结构 图3 3 给出了动机例子的目标结构的抽象表示。d s p 提供服务器存储 客户加密的x m l 文档以及加密的静态访问控制策略的视图，数据加密是为 了保证数据在服务器端的安全性和私密性。用户在客户端提出访问请求， 经过转换提交到服务器端 1 6 ，由服务器判断访问控制规则是否属于静态 访问控制策略，如果是，直接返回已做好的授权视图，在客户端完成解密 和后续查询。如果不是( 是动态访问控制规则) ，则返回x m l 文档，在客户 端完成解密、完整性检查、访问控制规则分析及查询。访问控制策略和解 密需要的密钥能永久的被s o e 经由安全渠道从不同的源头更新或下载而获 得( 受信任的第三方、安全服务器，父母或老师等) 。 在本文中假定s o e 满足如下条件：( 1 ) 、代码在s o e 上能不被中断的 执行。( 2 ) 、s o e 至少有少量的安全稳定的存储器来保存秘密。( 3 ) 、s o e 至 少有少量的安全工作内存( 在处理时保护敏感数据结构) 。在我们的目标结 构中，s o e 负责：1 ) 解密输入文档；2 ) 检查文档的完整性；3 ) 分析相应 于给定( o b j e c t 、s u b j e c t ) 对的访问控制策略。 山东大学硕士学位论文 3 2 3 服务器端的调度管理 图3 4 服务器端的调度管理 在混合模型中，服务器端的调度管理主要完成对静态部分的管理。图 3 4 给出了混合模型服务器端的体系结构。 结构主要包括两功能模块( a e f ，a d f ) 、一个策略库( 静态访问控制 策略库) 、两个资源库( 加密的静态视图库，加密的x m l 文档库) 和一个 日志文档( 在4 3 部分讨论) 。两个功能模块：访问控制执行函数( a c c e s s c o n t r o le x e c u t ef u n c t i o n ，a e f ) 和访问控制决定函数( a c c e s sc o n t r o l d e c i d ef u n c t i o n ， a d f ) 。a e f 负责监视和截取来自客户端的访问请求， 然后请求a d f 判断并决定访问规则是否属于静态访问控制策略库中访问控 制规则，如果是，那么由a e f 直接返回静态视图库中相应的加密的授权视 图，否则，a e f 返回访问的目标资源：加密的x m l 文档，交由客户端做动 态分析。 3 3 客户端的动态分析 客户端的访问控制规则的动态分析是该混合模型的技术主体部分，后 山东大学硕士学位论文 面将主要介绍：在客户端利用根据从密文中分离出来访问权限或临时授权 ( 可以肯定后者权限大于前者) 分析输入加密x m l 文档上动态的和个人化 访问控制规则，采用x p a t h 表达式描述每一访问控制规则的范围。 下面使用一个高效率的流访问控制规则分析器。这里考虑流需求有两 重意义：第一，分析器必须适合有存储约束的s o e ，从而排除细节，不能 建立一个文档的d o m 表示法。第二，上面提到的目标应用更适用于流文档， 关键是在流文档上分析效率最高。 该分析器保证从不泄露受限信息( p r o h i b i t e di n f o r m a t i o n ) 。在客户 端设备上实现访问控制，除了经授权的数据，必须使得无明文数据对这个 客户端设备的非授权部分是可访问的。 保护输入文档不被任何形式的篡改。在s o e 是安全的假设下，唯一能 误导访问控制规则分析器的途径是篡改，如通过替换或修改加密块 ( e n c r y p t e db l o c k s ) 。 为了实现上述目标，采用如下解决方案： l 、精确的流控制规则分析器。 采用了x m l 的访问控制规则的流分析器，支持x p a t h 语言的一个丰富 子集。乍看，可能认为对基于x p a t h 的访问控制规则的分析，同流文档的 x p a t h 查询集是等价问题。然而，访问控制规则是不独立的，在给定的文 档部分上它们可能会产生冲突或变的冗余。提出的分析器能精确的检测到 这种情况并停止对无关规则的分析。 2 、跳跃索引 我们采用了一个流的和简洁的索引结构允许快速定位到输入文档的授 权部分，而跳过其他部分，再用文档的可能查询表达式来计算结果。考虑 到目标结构上的两个限制因素：s o e 中解密的代价，s o e 之间、客户端和服 务器端之间的通信代价，索引的简洁性是很重要的。这第二点是第一点的 补充并完善了目标性能。 两者结合起来，形成了我们基于客户端的x m l 访问控制解决方案的中 心。然而需要另外的机制来保证在处理过程中受限信息从不被泄露，并保 2 1 山东大学硕士学位论文 护输入文档不被任何形式的篡改。为了简洁起见，这些机制在下面提到但 本文不做进一步探论，可参考 1 8 。 3 、未知谓词管理 未知谓词( 例如谓词p 传递条件给子树s ，但当解析文档时p 在s 之 后才遇到) 在流方式中很难管理。我们采用了一个策略检测文档中的未知 部分，解析时跳过他们，在最后结果的适当地方把相关的未知部分再重新 装配起来。未知谓词管理保证了受限信息在客户端上从不被泄露。 4 、随机完整性检查 通过使用跳跃索引和未知谓词管理，不管是向前或向后产生的随机访 问，结合哈希和加密技术使文档的完整性在流方式中可证实。 3 3 1 访问控制模型的语义 已经有几种授权模型来管理对x m l 文档的访问。这些模型大多遵循已 经建立好的d i s c r e t i o n a r y a c c e s sc o n t r o l ( d a c ) m o d e l 2 3 ，2 4 ，并参 考了r b a c 和m a c 模型 9 ，2 9 。下面我们介绍了一个受b e r t i n o s 模型 2 3 和s a m a r a t i s 模型 2 4 启发而建立的简化的x m l 访问控制模型。这些模 型的精妙之处由于简化而忽略了。 在这个简化模型中，访问控制规则简称访问规则( 或规则) ，用三元组 表示。 s i g n ：符号，表示读操作允许( + ) 或禁止( 一) 。 s u b j e c t ：访问主体。 o b j e c t ：访问对象，对应于x m l 文档中的元素或子树，用x p a t h 表达 式标识。 本文中，我们考虑了x p a t h 的一个丰富子集，用x p ( ，$ ，) 表 示。这个子集在实践中广泛应用，包含结点测试，孩子轴( ) ，后裔轴( ) ， 通配符( ) 和谓词( ) 。这个子集在实践中广泛应用，包含结点测试， 孩子轴( ) ，后离轴( ) ，通配符( ) 和谓词或分支( ) ，模型中属 山东大学硕士学位论文 性类似于元素来处理，本文不再进一步讨论。 规则的层叠派生是模型固有的，意味着可以从一个对象规则派生到x m l 的所有后裔层级中。由于同一用户的规则多样性和派生机制，需要一个冲 突解决法则。冲突解决使用两种策略：否定优先( d e n i a l t a k e s p r e c e d e n c e ) 和最具体对象优先( m o s t s p e c i f i c o b j e c t t a k e s p r e c e d e n c e ，直接适用于对象的规则优先，而不是通过派生继承而来的) 。 最后，如果一个s u b j e c t 准予访问一个对象，那么从文档的根到这个对象 的路径也是准许访问的。( 否定元素的名字在路径中被替换成空值) 这种结 构性规则保持文档结构与原来的一致。 给定文档上与给定主题相关的规则集称为访问控制策略。这种策略定 义了文档的授权视图，依赖于具体应用，这个视图是可查询的。我们考虑 像规则一样也是用同样x p a t b 片段表达的查询，命名为x p f ，木， 。 尽管否定元素不出现在查询结果中，谓词不能表示在否定元素上，然而， 访问规则谓词可以应用到原始文档的任意部分。从语义上讲，查询结果是 从查询文档的授权视图中计算得到的。 3 3 2 流访问控制 最近已经有几种针对x m l 的访问控制模型，几乎没有论文描述对模型 的加强改进，据我们所知，没人考虑过流模式的访问控制。乍看，流访问 控制类似于熟知的流文档上的x p a t h 处理问题。关于后者，针对x m l 过滤 要做大量的工作 3 0 ，3 1 ，3 2 ，这些研究考虑了巨量的x p a t h 表达式( 典 型的有数万条) 。我们这儿首要的目标是选择匹配给定文档的查询子集( 不 关注查询结果) ，并把焦点放在索引上a n d o r 结合大量的查询。由于描述 流文档上复杂x p a t h 表达式的精确分析给出了传递部分文档匹配单个 x p a t h 的解决方案，所以首要工作之一就是做x p a t h 表达式的精确分析。 当用x p a t h 表示访问规则时，我们的问题实质明显的区别于流文档上的 x p a t h 处理问题。由于规则派生法则及相关的冲突解决策略使访问规则变 山东大学硕士学位论文 得不独立。规则间的冲突引入了两个新的重要课题： 一一规则分析：对输入文档的每一个结点，分析器必须能决定它使用的规 则集合，并对每一规则决定它是直接使用还是通过继承使用。规则的嵌套 范围决定了那个结点的授权结果。由于未知谓词让一些规则难以分析，使 这个问题变得复杂。 一规则优化：规则嵌套范围及相关的冲突解决策略约束了一些规则的作 用，规则分析器必须利用这个约束来挂起对这些规则的分析。如果对一个 子树可以做出整体决定，甚至就可以跳过对所有相关规则的分析。 3 3 2 1 用于分析的数据结构 当考虑流文档，我们假定分析器是反馈的，通过一个基于事件的解析 器( 比如s a x ) ，对输入文档的每一o p e n i n g ，t e x t 和c l o s i n gt a g 分别 产生o p e n ，v a l u e ，和c l o s e 事件。 我们用非确定有穷自动机( n f a ) 表示第一条访问规则。图3 b 画出了 表示在一个抽象x m l 文档上的两条相当简单的访问规则对应的访问规则自 动机a r a ( a c c e s sr u l e sa u t o m a t a ) 这个抽象的例子替换了第二部分中 介绍的动机例子，以便能够在简单文档上研究几种情形( 包括最狡猾的情 况) 。在a r a 表示法中，o 圆圈表示一个状态，双圆圈表示终结态，二 者都用唯一的s t a t e l d 标识。有向边表示转换，通过匹配边标签的o p e n 事 件触发( 元素名或$ ) 。这样，有向边表示孩子( ) x p a t h 轴或依靠标签的 通配符。为了表示后裔轴( ) ，添加一个自转换，用 匹配任意o p e n 事件。 一个a r a 包含一个导航路径和可选的一个或几个谓词路径( 图4 2 中灰色 表示) 。为了管理表示给定访问控制策略的a r a 集，我们介绍下面的数据结 构： 令牌和令牌栈：依靠a r a 上的路径，我们区分导航令牌n t 和谓词令牌 p t ，为了表示a r a 上给定令牌的往返，创建一个令牌代理( t o k e np r o x y ) ， 每次转换触发它并标记为目的s t a t e i d 。本文中对令牌和令牌代理两术语 山东大学硕士学位论文 不加区分。所有a r a 的导航进程，通过称为令牌栈t s ( t o k e ns t a