權(quán)限約束支持的訪問控制在XML資料庫(kù)中的應(yīng)用研究.pdf

1、訪問控制是指通過某種途徑，允許或限制訪問能力及其范圍的一種方式。信息系統(tǒng)通過實(shí)施訪問控制，可以限制對(duì)關(guān)鍵資源的訪問，防止非法用戶的侵入或者因合法用戶的不慎操作所造成的破壞。這里所說的關(guān)鍵資源可以是網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)功能、數(shù)據(jù)庫(kù)記錄等等，本文的研究主要針對(duì)XML資料庫(kù)。 XML資料庫(kù)中存儲(chǔ)有數(shù)量龐大的文件，并且考慮到XML文件具有良好的結(jié)構(gòu)，因此管理員往往要求對(duì)每份文檔內(nèi)的不同部分都可以進(jìn)行有效的存取控制。對(duì)此，本文首先分析了直接

2、應(yīng)用基于角色的訪問控制模型或者XML文檔訪問控制模型所存在的問題，在此基礎(chǔ)上提出了XML資料庫(kù)訪問控制原型系統(tǒng)的架構(gòu)。它包括兩個(gè)主要部件：文件級(jí)訪問控制部件FACC(File-levelAccessControlComponent)以及元素級(jí)訪問控制部件EACC(Element-levelAccessControlComponent)，其中前者參考了基于角色的訪問控制模型，而后者借鑒了XML文檔訪問控制模型。在這個(gè)過程中，本文根據(jù)實(shí)際應(yīng)

3、用場(chǎng)合的特點(diǎn)，對(duì)兩模型做了一些必要的修正和擴(kuò)展，尤其針對(duì)以下幾個(gè)關(guān)鍵問題進(jìn)行了深入研究：(1)在授權(quán)策略描述方面，分析了安全cookie集、屬性證書機(jī)制等存在的問題，提出了基于XML的策略表示方法，并給出了文件級(jí)策略文檔和元素級(jí)策略文檔的定義。這樣的策略文件由于具備XML語(yǔ)言的特點(diǎn)，使得在不同企業(yè)或者大型企業(yè)的不同部門之間能夠較方便地共享授權(quán)信息。 (2)在文件級(jí)策略檢查方面，借鑒了GRBAC模型中的處理方法，提出了基本型策略規(guī)

4、則、擴(kuò)展型策略規(guī)則和變異型策略規(guī)則的概念，并針對(duì)原有算法在任何情況下都需要計(jì)算角色參與集的缺陷做了相應(yīng)改進(jìn)，有效地提高了策略評(píng)估的效率。 (3)在權(quán)限約束方面，指出了當(dāng)前處理方法在系統(tǒng)維護(hù)方面的嚴(yán)重不足，在此基礎(chǔ)上引入了上下文參數(shù)的概念，提出了完備型約束表達(dá)處理方案，并從約束信息的描述以及約束處理類的設(shè)計(jì)這兩個(gè)方面對(duì)方案進(jìn)行了闡述，最后分析了本方案在應(yīng)對(duì)約束條件變更時(shí)的靈活性。 另外，本文還詳細(xì)說明了文件級(jí)訪問控制部件和