（计算机应用技术专业论文）基于递归安全视图的xml查询重写.pdf

ab st r a c t _ _ . ab s 扮a c t x mlis r a p l dl ye m e r g l ng as th en e ws 住 田 d a r dfor d ata r e p r e s e n t at i on and e x c h an g e o n th e l n t e rn etthe p r e v a 1 ent 哪 o f x m l hi ghli gh t s the n e e d for a g e n e ri c ， fl exibl eaccess c o n t r o 1me c h an1 s r qforxml d 0 c 侧 me n l s . t b eme c h anl s 幻 。s h o u 】 d s u p p 0 rt e ffi ci e niand 卿ure q u e ry留 ce ss ， 诫t h o u t reve aling s ensi ti vel 川 ro rmatio n to u n a u t h o ri z e duse r s. t 五 e 如st ing s ecun ty 一 v i e wsb as e d ac ce s s c 0 n tr o 1 t e c hoo l o gyfor x m l p r o v i ded a n e wa c c e s s co n t r o l p o l i cyfo r x m ld o c u n 1 e n t s . t hi s pol i c y i s b a s e d on a nove l n o t i on o f se c urity 一 vi e ws. itp rovi des e ac h use r o upa s e c 而t y v i e w.s e c 而ty 一 v i ew i s a re strict e d vi ew o f th e origi nal doc u m e n t ， i t i s a u t o m atic a l 】 y d e 约 v e d b as e d o n a gi v en s e c u ri t y s p e i fi c a t i o n for u s er s ， 明d i t e xpo s e s al l and o ul y ne c e s s 叮 s c h e m a and doc uine ntco ntenitoa u t h o ri z e d u sers . theyc anouly p r o poseq ue ries 奴 se c 函ty 一 vi ew. t h e s e c u ri ty-v i ew m e c h 画s mg u ar an 抚 e s t h a t q u erie s o 川 y r e t u r n d a ta th atus ers are all owe dto即 ce ss ， and t h u s p r o l e ct s se nsiti ve d a t a from暇 es s 勿 助a u t h o ri zeduse r s . f l rs t l y，面s p a pe r re s e 留 c b e s the que ryr e 叨 行 t i n g ap p r o a c hofsec 俪钾 一 vi e ws b ase d acc es s co 幻 t r o l m o del for x m l . a l 1 h o u gh itc an dealw i thm an yc o n li n on q u e n esonsecurity 一 ie w s ， 山 “ e are m an y l l m itations ， fo r ex翻p l e s ， it c a n n o t r e 认 云 t e the res u l t wh enthe se c u n ty一 vi ew isre cur si ve s e c o n d l y ，ino r d e r toc o pewithrec u 盯 5 ， ves e c 俪ty 一 i e ws， th i s p a p e r p r 0 p o sean e 双 e n d ed al g o ti t h mfor de ri v 吨 se c 州t y 户 v i ew and a e x t e n d ed al g 0 ri t hin for q u e ry 代 w 对 t l ng. inthe e x l e n d edal gori th mfo r d e 对 v i ngs e c 面ty 一e w，the al go ri t 知 mad d the in fo rmation a boutth e re c uisi on toth e p ath m ap whi ch 诚nbe p r o vi de dtothe ti ngal g o 对 玄 h m . 户 刀 d ， the e x t e n ded ai gori t h m fo r q u e ryting c anfi ndo utthe s u b q u e ri esw h 1 chwou ldbee ffec t e d b y the recursi 叽 即 d t h e n de al诚thit s pec i ai lr. 了 七 e e n d 】 ess r e c u r s i on wiu beavof d 场 面s w ay口 at l as i this p a per an a l y z e s an ex 田 m p l e reeursi 移 secu ri ty 一 i ew. ，n l e re s u l t s com p u t e d by the exte n d edal gori t 知 ms h o wt h a t th e al g o ri t 加 旧can e ffectivelyr e 脚 石 t e s ab s t r a c t t h e q u e ry o n r e c u r s i v e s e c u r i ty - v i e w . k e y wo r d s : x m l , d t d , a c c e s s c o n t r o l , s e c u r ity - v i e w , q u e ry r e w r it i n g 南开大学学位论文版权使用授权书 本人完全了 解南开大学关于收集、 保存、 使用学位论文的规定， 同意如下各项内 容:按照学校要求提交学位论文的印 刷本和电子版 本; 学校有权保存学位论文的印刷本和电 子版， 并采用影印、 缩印、 扫描、数字化或其它手段保存论文;学校有权提供目 录检索以及提 供本学位论文全文或者部分的阅览服务;学校有权按有关规定向国 家有关部门或者机构送交论文的复印件和电子版;在不以赢利为目 的的前提下，学校可以适当复制论文 的部分或全部内容用于学术活 动。 学 位 论 文 作 者 签 名 : 尽 二 07 年 月知 日 经指导教师同意， 本学位论文属于保密， 在年解密后适用 本授权书。 指导教师签名:学位论文作者签名: 解密时间: 年月日 各密级的最长保密年限及书写格式规定如下: 内部5 年 ( 最长5年，可少于 5 年) 秘密1 0 年 ( 最长 1 0 年，可少于 1 0年) 机密2 0 年 ( 最长2 0 年，可少于 2 0年) 南开大学学位论文原创性声明 本人郑重声明:所呈交的学位论文，是本人在导师指导下， 进 行研究工作所取得的成果。除文中己 经注明引用的内容外，本学位 论文的研究成果不包含任何他人创作的、己 公开发表或者没有公开 发表的作品的内 容。对本论文所涉及的 研究工作做出贡献的其他个 人和集体， 均已 在文中以明 确方式标明。本学位论文原创性声明的 法律责任由本人承担 。 学位论文作者签名: 2 。 “ ) 年 江未 ， 岁 月 3 。日 第一章 绪论 第一章 绪论 第一节 研究背景 1 . 1 . 1 )ml起源 随 着网 络和信息技术的 发展， 基于w e b 的服 务和应 用使信息的 访问和获取 更 加容易， 同时也 增加了 不同平台运 行的 应用程序之间 共享信息的 需求。 现在， 大多公司和组织机构都使用we b作为信息传输的途径。 x m l ( e x t e n s iv e m a r k u p l a n g u a g e ， 可 扩 展 标 记 语 言) o l是 由w 3 c (w o r ld w i d e w e b c o n s o rt i u m ， 万维网 联盟) 于 1 9 9 8 年提出的一种数据 表示和 交换标准。 同 h t m l 一 样， x m l 是s g m l ( s ta n d a r d g e n e r a li z e d m a r k u p l a n g u a g e ， 标 准 通 用标记语言 ) 的 一个简化的子集。 作为第一代网 络标记语言， h t m l 以 其简 单易用的特点得到了 广泛的应 用， 极大地促进了i n t e rn e t 的发展。 然而， 随着w e b 上的数 据和 信息变得越来 越庞大和复杂，h t m l已 经无法很好的 适应大规模商业应用的需 要。 s g m l 虽 然能 解决 h t ml遇到的问题，但 它过于庞大且不易实现。 于是 开发一种基于 s g m l的 子集， 使用方便且容易实 现的w e b 语言就显得势在 必行。 正 是在这种 形势 下 w e b 标准化组织w3 c 建 议使用一种精简的s g m l 版本 ) c m l . x m l 在形 式上与h t m l 很相 似， 但它的 结构更加严谨， 具有极大的 灵活性 和可扩展 性，能 够适应 i n t e rn e t 中 各种复杂 的应用; 而相对于庞大的s g m l 来说，它 又 比 较简单和易 于实 现。 因此， x ml 正在 逐渐成为因 特网 上数据表 示和交 换的 标 准而被广泛使用。 x m l主 要具有以 下特点 : ( 1 ) x m l 是半结构化的。 这使得它能够将异构数据库中的 数据结 合在一起， 利用标记表达数据的逻辑结构和 具体含义， 且将数据按照用 户需要的 某一规范 发送给用户，实现异构数据库之间的数据传递; ( 2 ) x m l 具有自 描述性。这 个特性使计算机可以 在没有人为 千涉的 情况下， 理解数据的含义; 第一章 绪论 ( 3 ) x m l是可扩展的。 可以 根据具 体要求随 意创建 和删除 标记，并 且可以 将同样的数据以不同的浏览形式提供给不同的we b 用户。 这 些特点 使 x m l语言 广泛应 用于数 据存储，异构系统之间的 互连，信息 检索等领域。 1 . 1 .2 x m l安全及访问控制技术研究现状 越 来越多 的公司通过网 络利用x m l来进行商业数据的 传输、 交换和处理， 而有些 商业信息是需要保密的， 这使 得 x m l相关的 安全问 题也 越来越 重要. 特别是 x ml本身非常适合 应用于网 络上， 其优势来自 于它的语 义和结构的灵 活性和可扩展性，但是正是这些优点引入了一些突出的安全问题。 尽 管x m l 还正处在开发阶 段， 其标准也正在由w 3 c 组织不断 地修改制定， 但是目 前己 经出 现一些针对x m l 的 安全问 题的技术和标准。 例如， x m l 加密 技术 i3 , x m l 签 名 4 1 , x m l 安 全 声 明 标 记 语 言 e , x m l 访问 控 制 技 术 等 等. 这些技 术还在进一步地发展 和完善，以 便能 够更好的应用于实际的x m l数据 管理和 控制中 。 访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的 一种方法。 它是针对越权使用系 统资源的防御措施，通过限制对 关键资 源的访 问，防 止非法用户的 侵入或因为 合法用户的不慎操作而造成的破 坏， 从 而保证 系统资 源受控地、 合法地使用。 访问 控制的目 的在于限制系统内 用户的 行为和 操作， 包括用户能做什么和系统 程序根据用户的行为应该做什么 两个方面。 访 问 控制的 核心是授权策略。 授 权策略是用于确定一个主体是否能 对客体 拥有访 问能力的一套规则。在统一的授权策略下，得到授权的用户就是合法用户，否 则就是非法用户。 在现有的有关 x m l数 据的 访问 控制 模型的 研究中， 一些模型 有各自 不同 的局限 性。 例如: 有的模型把整 个文档结构都暴露给用户， 这样 就使得用户能 够使用多个查询来推断出不可访问的信息;有的可能因为出现敏感信息拒绝正 确的查询和访问;有的需要视图物化使得其实现变得非常复杂等等. 近来， 出现了 一种基于安全视图的x m l 访问 控制技术6 ) 。 它引入安 全视图 的 概念作为保护 x m l内 容 和提供访问控 制的一 种机制， 通过这种 机制所得到 的安 全视图， 用户不能间 接的 通过多 个查询来推断不可访问 数据， 从而保证了 第一章 绪论 访问的 安全性。 基于 安 全 视图 的 访问 控 制 通 过 在 x m l文档 及其d t d ( d o c u m e n t t y p e d e f in i t i o n ， 文档类型定义) 基础上加入针 对不同 用户的 访问 规 范来实施访问 控 制策略， 然后根据访问 规范获取各 用户的 安全视图， 并运用查 询重写算法来把 用户基于安全视图的查询转化为基于原始文档的查询。 在基于 安全视图的 访问 控制提出 之后， 出现一些围 绕该问 题的 研究，对 模 型和 其中一 些细节问 题作出 探讨 和完善. 文献1 7 】 提出了对安全视图 进行物 化的 一种算法， 它依 据安全 视图 所定义模 式，为用户生从原始文档 抽取出 可访问的 部分数据。因 此， 用户 查询可以直接 执行，不需要通过查询重写. 视图物化可以 避免进行查 询重写， 但它最大的缺 点是:当系统中存在很多用 户组时，为每 个用户组创建 和保存这 样一 个物化的 视图，将导致巨 大的开销。另 外， 该文献中 还提出了更完 备和规范的安全规范 表示方法. 另外也有一些其它关于安 全规范 制定的 理论和应用的 研究。 如文 献【 8 1 提出 了 增强的 安全规范标 记。 而文献【9 1 介绍了一个交互式的访问控制方法 i p a c ( in te r a c t iv e a p p r o a c h t o a c c e s s c o n tr o l f o r s e m i- s tr u c t u r e d d a t a ) ， 它 定 义了 一 种安全规范标记语言， 并在此基 础上实现了 一个 较为完整的访问 控制策略制定 模块，并给出了实现方法。它能够为数据管理人员提供交互式的图形界面，帮 助其制定和优化安全的访问控制策略。 在查询重写方面， 文献 1 1 0 1 提出了 一种动态访问 控制机制， 使用 s s x ( s e c u r ity s p e c ic a t io n l a n g u a g e f o r x m l ) 语 言 制定 访 问 规 范 ， 不 仅 包括 对 节 点的 控制还 包括对原始模 式的 结构关系的 控制。安全视图 获取算法 把原始模式 和安全访问规范作为输入， 输出安全视图。 但是，它不能处理含有递归的模式， 而且只能是模式文档存在的情况下才能应用此模型。 综上可以看出，大多数对 基于安全视图 访问 控制的 研究 都偏重于解决某一 个问题， 特别是其中一些研究以 牺牲时间和空间 效率为 代价， 采用用了视图物 化的方法，避免了 查询重写。 对于查询重写问 题，特别是 含有递归 的模式的安 全视图的查询重写成为一个有待解决的问题.在此背景下，本文针对含有递归 的模式的访问控制进行研究。 第一章 绪论 第二节 本文的主要工作 查询重写是实现基于安全视图的访问控制中很重要的一个重要环节。在基 于安全视图的 x m l文档访问 控制中， 安全视图 获取算 法把原始模式和安全访 问规范作为输入，输出安全视图。查询重写算法将用户基于安全视图的查询重 写为基于原始文档的查询。 在有些情况 下， x m l 文档中 的 元素类型 可以出 现递归的嵌 套， 因此 在将描 述x m l 文档结 构的d t d文档表示为 一个图时 ，图中可能出 现环路。 当一个x m l 文档的d t d的定 义中 存在递归时， 如果 递归节点那部分是某 类用户群组所不能访问的， 则它不 会导致安全视图中 存在递归。而另一 种情况 则是递归部分是用户 被授权 可以 访问的， 这类用 户得到的 安全视图中也会存在 回路。而现有的查 询重写算法无 法处理含有递归模式的安 全视图 。 根据上面所阐述的 研究 背景和 研究现 状，本 文的 研究内 容是基于安 全视图 的查询重写算法，在 遇到递归 节点时 增加 对这部 分的处 理， 要使算法能够处理 递归安全视图，实 现对含有递归的 模式的x m l数据实 现访问 控制。 这一问 题 对基于安全视图的 x ml文档访问 控制中的 一些具体方法 提出了 新的 挑战。 例 如，如何通过给定的安全策略建立一个充分的、完整的安全视图。进一步，在 安全视图中存在递归并影响到用户查询的时候，如何进行查询重写。 本文在原 有的基 于安全视图的x ml文档访问控制模型 基础上， 给出 一种 改进的方法， 解决递归的安 全视图 的查询重写问 题。改 进的 重点涉及安全视图 的生成和查询重写算 法。在 安全视图生成算法中， 在原 来路径映射的 基础上添 加对递归路径部分的 记录，以 便为查询重写提供必要的 信息. 在查询重写时， 判断出受到递归环路 影响的 子查询，并对其进行 特殊的处 理， 避免算法在环路 里陷入无法停止的 循环。 最终得到 基于原 始文档的查询重写 表达式。 第三节 本文的组织结构 本文将在现有 研究 成果 基础之 上， 对基于 安全视图 的 x m l访问 控制中的 安全视图生成和查询重写算法进行改进，使之能够更好地用于各种查询重写， 特别是含有递归的安 全视图的 查询重写中。各章 节内 容安排如下: 第二章介绍相关的基础知识和技术。包括 x m l技术基础知识、x ml安全 第一章 绪论 相关问 题， 介绍文档类型定 义d t d和x p a t h o 第三章详细介绍了 基于 安全视图的x m l访问 控制。 包括 其总体结构， 基 本原 理，以 及安全规范、安 全视图、 查询重写和查 询优化等细 节问 题的说明。 第四 章首先分析基于安 全视图 的 x m l访问控制中 现有查 询重写方法存在 的问 题， 然后针对存在递归的安全视图提出基于原 有算法的改 进方法， 并结 合 实例阐明算法的执行过程。 第五章，给出本文的结论和不足之处。 第二 章x m l 相关基础问题概 述 第二章x ml相关基础问题概述 第一节 x m l 技术 2 . 1 . 1 x ml语言和x ml文档 如1 . 1 . 1 节所 述， x m l是 一种数据表示和交换 标准。 x m l 文档是依据x m l 语言标准存储数据信息的文档。 x m l 文 档是 基于文本格式的， x ml 文档的最 基本构成 包括x m l 声明， 处 理指令和 x m l元 素三部分. 另外 还可以 有注解， 元素中 还可以 包含属性或者 子元素等。 各部分 功能 如下: ( 1 ) x m l声明。 一般出 现在文 档开 头部分， 确认书 写文档的 语言， 并且提 供版本号。 ( 2 ) 处理指令。 是根据信息 提供给软件应用程序使用的 标记。由 字符 组界定。 ( 3 ) x m l 元素。是 文档的 主要逻辑部件，由 开 始标签和结束 标签界定。 ( 4 ) 属性。 是元素的性 质， 描述了 元素的 开始标 签内 的信息。 ( 5 ) x m l 注释。以 ! 一 开始，以 一结束， 注释可以出 现在文档的任何位置。 另外，一个x ml文档必须满足两点:良构和有效。遵循x ml语法的文档 叫做良 构的 文档， 可以 表达 一定的 语义信息。 而一份附带 有外部或内 部d t d或 者x m l s c h e m a 的良 构x m l 文 档， 并且文 档本身 符合d t d或者x m l s c h e m a 所声明的文 件格式， 才能称 为有效的x ml 文档。 关于d t d和x ml s c h e m a 的 内容，在后面的章节中叙述。 2 . 1 . 2 x m l相关技术和标准 从技术角 度讲， 狭义的x m l 仅仅指一 种语言和采用 该语言所描述的x m l 文档，广义的x ml包括 x ml语言、x ml文档以及与一系列 x ml技术相对 应的规范和工具。 一些主要技术如图2 . 1 所示， 这些技术使x ml的功能更加完 第二章x ml 相关 基础问 题概述 善。除 此之外还有其 他种类的标准和工具可供 考虑或正被开 发中. 图 2 . 1 x ml相关技术规范 ( 1 ) 文档模式 模式是关于标 记的语法规则， 它详细描述了x m l 文档的结 构， 从而确定了 文档的框架。 d t d m 和x m l s c h e m a 1 4 1 是x m l 文档的模式， 用来对x m l 文档 的 逻辑结构进行定 义， 规定 x m l文档中的元 素、 属性、元素 和元素以 及元素 和属性间的关系。 文档类型定义d t d是目 前使用最 广泛的 一种x m l 模式， 大部分 x ml工 具都 支持 d t d ， 并 且人们在实践中也己积累了 许多的应用与 经验。 它的 功能 包 括: 定义内 容模式，限 制范围、 属性的 数据类型。 但d t d也有着一些缺陷。 x m l s c h e m a 是 较晚出现的一种x ml 模式，它 本身 符合x m l 语言 规范， 弥补了 d t d 的不足，更适于表达 x ml文档的内容与结构。己经成为 w3 c 的正 式推荐标准， 并 有替代d t d的趋势， 但目 前很多 相关问 题仍基本处于 研究 阶段。 ( 2 ) 样式 c s s ( c a s c a d in g s t y le s h e e ts ， 层 叠 样 式 表) iii和x s l ( x m l s ty l e l a n g u a g e . 可扩展类型语言 ) p 2 是 两种s t y l e s h e e t ( 样式表) 语言， 用来定义) c a l 显示格式。 c s s 只是对h t m l 标签的显示 模式 进行了指 定， 决定了页面的 视觉外观， 但是 不会改变源文档的结构。 x s l是用来处理文档的标记语言，也称为基于模板的 语言，应用于整个x ml文档。 ( 3 )查 询 第二章x ml相关基础问题概述 x m l q u e r y ( x q u e r y ) i 是w3 c 推荐的x m l 查询语言， 适用于各种类型的 x m l 数 据源的 查询。 w3 c为x q u e ry制定了 一系列 标准， 包括 数据模型、 形 式 语 义 、 查 询 代数 等 ， 使 得x q u e ry 语言 更 加 规范 和 精 确 。 x q u e ry对x m l 的 作 用 类 似s q l 对 数 据 库的 作 用 。 x q u e ry解 决的 实际 问 题例如: 从名为c d - c a t a l o g x m l 的x m l 文档中的c d集里 选取所有价格低于1 0 美元的c d记录。 x q u e ry被构建 在x p a t h 表达 式之上， 它 们共享相同的 数据 模 型，并支持相同的函数和运算符。 x q u e ry被 所 有 主 要 的 数 据 库引 擎 支 持。 因 此 ， x q u e ry语 言 极 有 希 望成 为 x m l查 询语言的最终 标准。 ( 4 ) 链接 )link】 解 释了怎 样加入链 接至一个 x m l文档， 它比h t m l单向的 超链 接更加强大。 x p o i n t e r ia似于u r i. ， 用来描述资源位置， 可以 灵活的 指向 另一个文档的 特定部分。 ( 4 ) 文档解析 文 档解析 是指对x m l 文档的内 容和结构 进行访问 和分 析。 文档解析技术包 括文档对象模型d o m ( d o c u m e n t o b j e c t mo d e l ) 和s a x ( s i m p l e a p i f o r x m l ) o d o m解析把x m l 文档转化为一个包含其内 容的树， 它定 义了 一系列的 对 象和方法对 d o m树的 节点进行各种随机操作， 允许程 序和脚本动态访问 和修 改文档的内 容结构和类型。然而由 于使用 d o m 解析需要处理整个 x m l文 档， 所以 对性能和内 存的要求比较高，尤其是 遇到很大的 x m l文件的时候。 d o m 解析器常用 于 x ml文档需要频繁的改 变的 服务中。 s a x使 用事件驱 动的x m l解析，它以 序列的形式处理 文档， 不需要在内 存中 建立整 个文档的 树结 构。 用 s a x解析的 编码工作 会比 较困 难， 而且很难 同时访问同一个文档中的多处不同数据。 ( 5 ) x p a t h x p a t h 是w k 关于查 询部分x m l文档的 通用标准。 本章第四 节将对其进 行详细介绍。 第二 章x tv f l 相关 基础问 题概述 第 二节 x m l 安全和访问控制 2 . 2 . 1 x mi “ 安全问 题 x m l的 诸多优点及其相关 技术规范的日 益完善和标准 化使得其成为 w e b 服务持续增 长和开发的主 要支持者。 但是， 在实现x m l 语言的 全部能力 之前， 还有许多与安 全性相关的 工作要做。 这些安全 性问 题的 存在限制 着 x ml的 进 一步的广泛应 用. x m l 安 全的 研究正在仍进行中， 且有了 一些成果。目 前， 在 与 x ml相关的 安 全性领域方面研究的主要 有 x ml加密、 x ml数字签名 和 x ml 访问控制 等( 16 1 ( 1 ) ) 3 4 l 加密 x m l 加密 3 1 为需 要安全服务的 应用程 序提供了 端到端的 安全服务。 x m l 文 档可以 和任何其他 文档一样作为一 个整体 进行加密，这 是 s s l ( s e c u r i ty s o c k e t l a y e r ， 安 全 套 接 字 层 ) 或t l s ( t r a n s p o rt l a y e r s e c u r ity ， 传 输 层 安 全性 ) 的 一 个 普 通的 功能。 此外， w3 c 和 i e t f 还制定了一 项标准来 对一个x ml 文档中 的数 据和部分内 容进行 加密。 加密 x m l文档的 某些部分，而让那 些不 包含敏感信 息的部分以明文的形式存在。对于同一个文档中的不同部分用不同的密钥进行 加密，就可以把同一个 x ml文件发给不同的接受者，而接受者只能看见和他 相关的部分. ( 2 ) x ml 签名 x m l 签 名 (x m l - s ig ) p 1是另 一 个w 3 c 的 推 荐 标 准 . x m l 数 字 签 名 支 持 检 测数 据的完整 性、 消息认证和 / 或签字者身份认 证， 这 些服务适用于任何数据 类 型， 不管是 位于包含 签字的x ml 文档中还是 其他地方。 一 个x m l 签字可应 用 于一个或多个资源的内容。x ml签名和 x m l加密结合在一起，可以确保数据 发送和接收的一致性。 ( 3 ) x m l 访问 控制 x m l 访问 控制的目 标在于为x m l文档 提供一个访问控 制模型 和访问 控制 规范语言。利用这一访问控制技术，访问控制策略将控制一个 x ml文档如何 显示给授权用户，例如具 有某一角色的 用户可以 查看该文档的某一 部分， 而这 一部分对 其他用户来说应 该是隐 藏的。 这些策 略同 时也应保证 授权 用户 安全地 更新文档。 第二章x ml相关基础问题概述 2 . 2 .2 x ml访问控制 访问控制是网 络安全防范和保护的核心策略， 它的主 要任务是保证网络资 源不被非法使用和访问. 访问 控制规定了 主 体对客体访问 的限制， 并在身份识 别的基础上，根据身 份对提出 资源访问的 请 求加以 控制。 它是对 信息系统资源 进行保护的重要措施， 也是计算机系统的 最重要和最基 础的 安全 机制。 一般的，实施访问控制的信息系统中将包括以下三个主要对象: ( i ) 主体( s u b j e c t ) :试图去访问 敏感信息的 主动者， 例如用户 或软代理。 ( 2 ) 客体( o b j e c t ) : 被访问 的对 象信息， 例如以w e b 服务形式 存在的we b 关 键资源和应用中涉及 到的x m l 文档资源。 ( 3 ) 访问 控制策略 ( p o l i c y ) : 一套规则，以 确定主体是否对 客体拥有某些操作 权限。 资源的访问控制包含以下几方面内容。 ( 1 ) 保密性控制( d a t a c o n f i d e n t i a l i t y ) 保证 数据资源不被非 法读出 。 ( 2 ) 完 整 性 控 制 (d a ta in t e g r ity ) 保 证 数 据 资 源 不 被 非 法 改 写 。 ( 3 ) 有效性控制( d a t a a v a i l a b i l i t y ) 保证 数据资 源不被非 法用户破坏， 保证任何 情况下系统处于工作状态。 ( 4 ) 可维护性。 必须 有相应的集中 管理机 制及安全管理工具， 可以 进行简单、 方便、 有效的管理操 作。 以何种方式来保护网络资源，并有效地实现安全政策，始终是访问控制研 究的主 题。 具体到w e b 应用中， 其主题就是研究 如何以 更有效的 方式保护w e b 应用资源( 典 型地， 如w e b 服务和应用中 所涉及的数据文档 ) 和实施 针对w e b 应 用的安全访问策略。 访问控制涉及的领 域很广， 方法也很多， 目 前主流的访问 控制策略 有三种m 自 主型访问控制(d is c r e tio n a ry a c c e s s c o n tr o l, d a c ) 、强制型访问控制 ( m a n d a t o ry a c c e s s c o n t r o l , m a c ) 和基于角色的访问控制( r o l e - b a s e d a c c e s s c o n tro l, r b a c ) 71 o 自 主型访问 控制 d a c p s , 1 9 的基本思想是: 用户生成信息对 象， 并被看作是 信息对象的 拥有者:信息对象的 拥有者对 信息对象持有完全的自 主权， 可决定 其他用户是否具有对该信息对象的 访问权限; 用户对信息对象的 每个访问 请求 都需通过授权规则的审查与核对。自主型访问控制是基于用户的，因此具有很 第二章x m l相关 基础问 题概 述 高的 灵活 性。 在很多应用环境中， 用户需 要在没 有系统管理员介入的情况下， 拥有 设定其 他用户访问 其所控制的 信息对象的能力， 这时采用自 主型访问 控制 就比较合适. 强 制型访问 控制ma c s l 是 一种不允许主体 干涉的访问控 制类型， 主要用于 描述计算机系统环境下的多级安全策略。它是基于安全标识和信息分级等信息 敏感性的 访问 控制， 通过比 较资 源的敏感性与 主体的 级别来确定是 否允许访问. 系统将所有 主体和客体分成不同 的 安全等级， 给予客体的 安全等级能反映出 客 体本身的敏 感程度; 主体的 安全等 级， 标志着用户 不会将信息透露给 未经授权的 用户。在强 制型 访问 控制中， 主体 和客体的 安全标识是由系统 安全管理员配置 的。除了系统安 全管理员 外， 用户 无权改动。因 此，强 制型访问 控制模式的 安 全性管理是 集中 管理的。 基于角色的访问 控制 r b a c z o 1 的 基本思 想是:根据 应用系统中 所设计的 安 全策略来划分出不同的角 色， 并为每个角色分 配不同 的操作许可，同时为 各个 用户指派相应的角 色，也即 用户可以 通过角色间 接地获取对信息资 源的 访问 权 限。 系统管理员负 责授予 用户各种角色的成员资 格， 或撤销某用户具 有的 某种 角色。同 一个用户可以是多 种角 色的成员， 即同 一个用户可以 扮演多 种角色。 同样，一个角色可以拥有多个用户成员。角色可以看作是一组操作的集合。不 同的 角色具有不同的操作集， 这些操作集由 系统管 理员 分配给角色。依据角色 的不同，每个主体只能执行 自己的访问功能。 第三节 d t d与x p a t h 简介 2 . 3 . 1 文档类型定义d t d x m l是s g m l 的一个简化的 子集， x m l的d t d继 承自s g m l中 规定的 文档 类型定 义d t d . d t d是指 和x ml 文档 联系起来的、 专门定义 符合本d t d 的x m l 文档应有的数据结构的 文档。 它为 一个x m l 文档或者文档集 合创建一 套规则，规 定了x m l文档的 构建方式。 x m l 文档 里一定要有什么， 一定 没有 什么，或是什么可出现可不出现，甚至什么元素该出现多少次，这一切都可以 在 d t d里体现出来。因此，可以把一个 d t d看成是 x ml文档的结构模板， 保证x m l 文 档格式 正确。 可以比 较 x m l文 档和d t d文件 来看文档是否符合 第二章x m i . 相关基 础问 题概述 规范，元素和标签使用是否正确。 d i d可以 分为两 种， 内 部d i d和外部d i d 。 后者更具有一般性和通用性， 而且维护起来更加容易。 d i d用 来定义x m l 文档的 结构。 具体 来说， x m l以 及h t m l 文档均由 以 下简 单的 构建模 块构成: 元素、 属 性、 实 体、 p c d a t a , c d a t a 。 其中的p c d a t a 和c d a t a分别 表示 可解析的 字符串 和不 可解析的 字符串。 d t d的作用就是定 义上述这些x m l 文档组成模块，因 此一个d t d 文档包含: 元素的定义规则， 元素间 关系的定 义规则， 元素可使用的属 性， 可使 用的实体或符号。其 基本 语 法如下: ( 1 ) 元素定义 ( 2 ) 带有一个 或多个子元素的 元素的定 义 ! e l e m e n t元素名称 ( 子 元素 名称 卜 ( 3 ) 只有p c d a t a的元素定 义 ( 4 ) 属性定义 ( 5 ) 内 部实体定 义 ( 6 ) 外部实体定 义 可以 用( e , r g , r ) 表示一个d t d 。 其中e 是 元素类型的有限 集合; r 是e 中一 种特殊的元素 类型， 称为根元素; r g 是元素 类型的定义， 对任何 e中 的 a , r g ( a ) 表 达式为: r g ( a ) : := s tr i e lb , ， 二 ，b n j b ,+ 二 + b n b , ( 3 - 1 ) 其中， s t r 表示p c d a t a , e 表 示空集， b i 是e 中的一种类型， 称r g ( a ) 为a 的产生式( p r o d u c t i o n ) . 一个 x ml 文档树 t ， 如果满足四个条件， 则它符合一个 d t d d 。 这四个条 件为: ( 1 ) 有唯一的 根节点， 在t中 用r 标记; 第二章x ml 相关 基础问题概迷 (2 )t中 每 个 节 点 要 么 标 记 为 一 个e中 类 型a ( 称为 元 素 节 点 ) ， 要 么 标 记 为 s t r ( 称为文本节点 ) ; (3 ) 每 个元 素 有 一 个 孩 子 序 列 ， 孩 子 序 列 是 有 序 的 元 素 或 文 本 节 点 ， 用r g (a ) 定义的正 则表达式表示; (4 ) 每 个 文 本 节 点 为 字 符串 值 (p c d a t a ) ， 是 树的 叶 子 节点 . 如果t 符合d ， 则 称t为d的一 个实 例。 d t d d可以 用一 个图 表示， 称为 d t d图。 d中每 个元素类型a在图中为 一个 节点， 称为a节点，每 条边描 述 父子关系。 具体地，对每个产生 式a - - a ， 有一 条边从节点a到a 中b节点。 如 果 ， a 是b , . 的 形 式， 那 么 边 用一 个 “ * ” 标 记， 表 示 一 个a 元 素 中 可以 直 接 嵌套零个或多 个b 元素。 如果a 是b + 十 b 。 的 形式， 边用虚线表示。 一个d t d图 可以 是一个有向无环图 ( d a g ) ， 也可以 是有环图 。当d t d中 含有递归模式时，即 a直接或间接依据 自己定义，则 d t d图为有环图。 2 . 3 . 2 x p a t h 简介 x p a t h 2 1 1 是w3 c 关于查 询部分x m l 文档的 通用标准， x p a t h 1 . 0 己 经在1 9 9 9 年 1 1 月1 6日 发布。 在wk 的) ml 查询标 准系列中， 还有x p o i n t e r 等。 x q u e ry 和 x p o i n t e r 都是 基于x p a t h 表达式构建的， 它们有着相同的 数据 模式并支持相 同的函 数和操作。 x p a t h 提供了一套定 位x m l 文档和其他文 档的 通用 机制。 这 套机 制在x m l 文件中的 作用就像是u r l 在i n t e r n e t 上的 作用一 样。 为了 更方 便更 灵活地定位x m l 文档， x p a t h 也提供了1 0 0 多种内 置函数。 包括字符值， 数字 值，日 期和时间方法，节点 操作， 排序 操作，布尔值等。 x p a t h 把整个x m l 文档 看成一个节点树， 节点可能有多 种类型， 如元素节 点、 属性节点和文本节点等。 一般地， x m l 文档里的 节点 可以 分成以 下七类: 根节点( r o o t n o d e ) 、 元素节点( e l e m e n t n o d e ) 、文本节点 ( t e x t n o d e ) 、 属性节点 卿t r i b u t e n o d e ) 、 命名空间节点 ( n a m e s p a c e n o d e ) 、 处理节点 ( p r o c e s s i n g i n s t r u c t i o n n o d e ) 、 注释节点( c o m m e n t n o d e ) 。 对 每种节点， x p a t h 都定义了 如何把该 类型节 点转换成字符串。 x p a t h是为了定位 x ml文档或是其他文档而设计的。因此，可以说x p a t h 中 最核心的内 容就是如何表示某一资源的 位置。 x p a t h 路 径表达式用于 从x m l 文档中选取节点，这些语句类似于传统操作系统的语句。 第二 章x m l相关 基础问 题概述 一个规范 的x p a t h 查询表 达式可以表示如 下: p : = e i