xml数据库的扩展rbac模型构建

xml数据库的扩展rbac模型构建

ID:33985843

大小:2.50 MB

页数:74页

时间:2019-03-03

上传者:U-22107
xml数据库的扩展rbac模型构建_第1页
xml数据库的扩展rbac模型构建_第2页
xml数据库的扩展rbac模型构建_第3页
xml数据库的扩展rbac模型构建_第4页
xml数据库的扩展rbac模型构建_第5页
资源描述:

《xml数据库的扩展rbac模型构建》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

之分类号:TP311龟‘密级:妻_,?。。’^’浸矗一,:::|)ji:97萨,。jI◆▲/▲单位代码:10422学号:200812563蒙另孥硕士学位论文论文题目:XML数据库的扩展RBAC模型构建BUILDINGOFEXTENDEDRBACMoDELFoRXMLDATABASE作者专业导师合作导师.王宁娟计算机软件与理论赵合计副教授2011年4月20日 l|0. ▲‘●‘●原创性声明和关于论文使用授权的说明原创性声明川|I||I㈣川¨Ⅲ|I|II川|||Il|lIII删Y193491本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体己经发表或撰写过的科研成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名:兰叁兰圣日期:曼么:垂丝关于学位论文使用授权的声明本人完全了解山东大学有关保留、使用学位论文的规定,同意学校保留或向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅;本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。(保密论文在解密后应遵守此规定)论文作者签名:立推导师签名:髫车 ▲}■-I-●JlAj, ^‘和▲_1棚山东大学硕士学位论文目录摘要⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯IAbstract⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯Ⅲ第1章绪论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯:⋯⋯⋯⋯⋯⋯⋯l1,1课题提出的背景及研究意义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.11.2国内外研究现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.21.2.1国外研究现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..21.2.2国内研究现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..41.3论文研究内容⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.j⋯⋯⋯⋯51.4论文结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.5第2章Ⅺ儿数据库结构特点⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..72.1舢简介⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.72.2龇与Ⅲ.Ⅶ,比较⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.j92.3舳数据库与关系数据库比较⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1l2.4舳文档定义规则⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯122.5舳存在的隐患⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯152.6舳安全问题的解决方案⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯16第3章访问控制模型概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯183.1访问控制定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯183.2访问控制技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯193.2.1自主访问控制DAC⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯193.2.2强制访问控制MAC⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..193.2.3基于角色的访问控制ImAC⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.203.3RBAC96模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯223.3.1l也ACO模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯233.3.2RBACl模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯233.3.3I国AC2模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯243.3.4ImAC3模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯25第4章基于ⅪⅢ,文档的扩展I啦AC模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯264.1基于X池文档的RBAC模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯26▲p、,卜 山东大学硕士学位论文4.2基于XⅦI文档的RBAC模型中存在的问题⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯28.4.2.1角色授权过于庞大⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯284.2.2约束策略不完善⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯294.3基于XM【文档的扩展RBAC模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯294.3.1约束条件定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯334.3.2实例⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.34第5章模型框架及设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯375.1模型框架⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯37.5.2模型系统实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯385.3模型的模式定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯395.4模型中龇数据的描述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..435.5访问模型的具体实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯465.6模型约束规则的定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯475.6.1Schema仃aon简介⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯475.6.2模型的约束表示⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯485.7系统说明⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯50第6章总结与展望⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯51参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..53致谢⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.57攻读学位期间发表的学术论文目录⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..59』/詹^‘●h一 基I.^▲.J.争▲●\幛山东大学硕士学位论文CoNTENTSAbstr{衙inChinese⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..IAbStractinEn91iSh⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯ⅢChapter1P】rolegomenon⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11.1协kBauckgr0吼dAndResearchSi盟ificance⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.11.2Rese2urchsta:tuS⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.21.2.1Forei鲫ResearchStatus⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..21.2.2DomesticReseafchStat吣⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..41.3PaperResearchContents⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..51.4PaperStrucnlre⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..5Chapter2舳DatabaSeStllJctureFeatures⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯72.1XⅣ几htroduction⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..72.2X池AndmN几Comp撕son⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯92.3X蚤Ⅲ,Data_baSeAndRelationalDatab邪eComparison⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..112.4X~几Doc啪entsDefineRules⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..122.5XM,E)【istHiddenTrouble⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯152.6XN几Securit、,Solutions⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯162.6XN皿Sec谢t、rSolutions⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..18Chapter3AccessControlModelOveⅣiew⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..183.1AccessCon仃0lDefinition⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.193.2AccessCon仃olTechnolo斟⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯193.2.1DiscretionaryAccessCon仃.ol⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯193.2.2M[锄ilato珂AccessCon们l⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯203.2.3Role-BasedAccessControl⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.223.3RBACConstrajntsdefmed96Model⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.233.3.1RBAC0Model⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.233.3.2ImAClModel⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯233.3.3RBAC2Model⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.243.3.4RBAC2Model⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯25Ch印ter4BaSedCIIlXMLDoc哪entE斌endedRBACModel⋯⋯⋯⋯⋯⋯⋯⋯一264.1BaSedOnXMLDoc啪entl国ACModel⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯264.2BasedOnXMLDoc啪entRBACModelProblems⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..284.2.1R0leAuthorizationT00L醒e⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..28 山东大学硕士学位论文4.2.2Constraintstrate斟№tPe疵ct⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..294.3BasedOnXNⅡ,Doc眦entE)(tendedRBACModel⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..294.3.1ConstraintsDefined⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯334.3.2Applic撕0nEx锄ples⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.34Ch印ter5ModelFr锄eworkAndDesi盟⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..375.1ModelFr锄ework⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.375.2ModelSvstemT0Realize⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.385.3ModelPattemDefinition⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..39.5.4X~几DataDescription111M.0del⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯435.5RealizationOfAAccessModel⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.465.6ConStraintRuleDefinitionInModel⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..475.6.1Schema仃aonProfile⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯475.6.2ModelConstraintE)cpress⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯485.7SvsteHls111structions⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯50Chapter6S唧m撕zeAndProspects⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯51Refbrences⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..53Acknowledgements⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯57PublishedPapers⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯59▲}0籼^■f●一 ■0山东大学硕士学位论文摘要随着Intemet突飞猛进地发展,基于互联网的应用越来越深入,而x池无论是作为标记语言还是被作为存储结构的数据库都随着hltemet上的各种应用增多而被越来越广泛的应用。为了解决ⅪⅢ,作为信息载体的广泛应用带来的安全问题的安全服务模型——安全访问控制模型,己成为现在人们研究的焦点。本课题将以传统的基于舭文档RBAC(基于角色的访问控制)模型作为文章研究的出发点,从而提出了基于舳文档数据库的扩展RBAC模型。该模型使用了Schema语言来定义了xⅦ,数据库文档结构,针对舢文档的特性,在分析基于)(】帆的RBAC模型存在角色授权过于庞大和约束机制不完善的问题基础上,对其进行有效的改造和扩展,提出了一种新的基于Ⅺ儿文档的扩展RBAC模型。文章分析了传统的RBAC模型存在的问题,并在此基础上针对这些问题提出了解决方案——基于XML文档的扩展RBAC模型,并对新的扩展RBAC模型进行完整的定义和详细的说明。论文中还结合了实例模型集中从基于舭文档的扩展RBAC模型的系统实现及其系统实现所需的主要技术支持进行考虑,针对基于舭文档的扩展RBAC模型的设计,结合一个简化的企业内部人员管理信息系统为访问控制模型的应用环境,进行更为直观和深入的描述并具体展示了在基于舳文档的数据库中,实现扩展的ImAC系统所使用的关键性技术。本论文首先对访问控制模型中的客体按照其属性进行抽象归类,再将权限配置给一类客体,模型中的主体对客体的访问权限,是由主体对应的角色和访问域共同来确定,这样极大地减少了角色和权限的定义数量。其次文章采用的是职责关系隔离(separationofd嘶es)规则来解决系统中角色间存在的利益冲突,以避免用户权限过大或者用户越位越权等现象出现,而影响系统的安全性能。文章还将使用sChematron(基于规则的舳模式语言)来对约束规则进行形式化描述。基于Ⅺ帆文档的扩展RBAC模型能够符合ⅪⅢ,文档细粒度的访问控制需求,该模型结构简洁灵活且比较容易实现。关键词:XML;RBAC;公共访问域;特定访问域;约束规则 ●fl— 山东大学硕士学位论文ABSTRACTWitllther印iddeVelopmentofIIltemet,moreaIldmorem-dept量lIIltemet-b嬲ed印plic撕ons,aIldXⅦ二iseither勰amarkuplanguage,oritisuSed嬲mestoredsnuctureof吐ledatabaSesonav撕et)r0f印plic撕ons嬲thehltemeth鹤beengro谢ngrnore狮dnlore、)videlyuSed.舭嬲锄inf.0nn撕onc枷erillorder屯0solvemesec谢锣problemscausedbywidelyusedsec嘶锣serVicesn10del—secureaccesscontr01model,haSbecomethefocuSofresearchisnow7nlispapertakesmetr砌tionaJrole-basedaccesscon缸.ol(RBAC)model嬲mestaningpointofnlestudy,andputsfonⅣardthee灯endedRBACmodeltllatbaSed0nmeXN几doc岫entdatabaSe.ThismodeluSesmeSchemal锄guaget0defineⅡledoc啪entstrucn_lreofmeXMI,databaSe,aCc0础ngt0廿1echaract耐sticsofⅡleⅪV几doc啪ent,onmeproblemthatmerolemodel卸morizedredundantlyaIldtllecons仃aintmechanismperfornledimperfectlyoftheRBACmodelⅡlatb嬲edonXⅦ,,weputforwardanewe斌endedRBACmodeltllatb嬲edonXM臣doc啪entswhichise如曲veaIldexpallsive.ThispaperaIlalyzese)【istingproblemsofthetr础tionallmACmodel,a11d0nmisbaSisputsfonⅣardt量leS0lutionof吐leseproblems-meextendedRBACmodelmatb雒edontheXⅣ几doc眦1ents,a11dcoInpletelydefinesa11ddetailst0thenew陬endedRBACmodel.Thepapercombinesinstallcemodela11dfocusfromnleimplementationof夥stem锄dneededtechnicalsupponsformee灿endedRBACmodelmatbaSedont量leXMLdocumentstoconsider.锄ddirectsatmedesignofthee斌endedRBACmodelthatbaSedonmeXMLdoc啪entS,combinesⅡletecllllicalsupportforⅡlemainconsiderationfort量lee)【tensionofRBAC-b嬲edXN几docum踯tmodeldesi盟,andconlbined谢thasirnplifiedintemalstaffmanagementiIlf.om撕0n锣Stem嬲me印plicationenVironmenttoaccesscontrolmodelt0desc曲eW11ichn10reintuitiVe锄din—depth,anddefiniteshowstllatachievedmekeytechnolo百esfor也ee)【tendedRBAC$stemont11ed撕baSethatbasedontheX^皿doc啪ents.Firstly,in廿lispaper,weclaSsi句meobjectoftlleaccesscontrolmodelabs订actlyaccordingto协eirattributes,men嬲signtllepemlissionst0acl嬲sofIⅡ 山东大学硕士学位论文objects.Theaccesspen=nissionofⅡlesu切ectt0theobjectinthemodelisdecidedby也ecorrespon山ngroles锄dauccessdomainofmesubject,thisw巧c锄gre甜yreducet量lenumberofⅡlerolesalldperrIlissionsdefiIlitions.Secondly,thisp印eradoptsⅡlemlesofsepar撕onofd嘶est0solvemeroles’interestconnictiIltlle妙steIIl'iIlordertoa、,0idthephenomenonmatt11e懈erShaveexcessiVepemlissionsormeuse瑙be)rondmeirauthoritiesWhicha能ctsmesecuri锣pe哟m锄ceofthesyStem.hladdition,thispaperalsouSestlleschematron(the舭schemal锄guagebaSedonrmes)todescribemecons仃aintrulesfomally.Thee魁endedRBACmodeIt11atbaSedonxⅣ几doc啪entcansads矽mefine—grainedaccesscontrolreqllirementsoftheⅪV匝document.111ismodel’sstnlctureissimpleandflexible,anditIseasytoberealized.Keywords:XML;RBAC;PAD;SAD;ConstrainedRuIesIV■§▲ 山东大学硕士学位论文第1章绪论1.1课题提出的背景及研究意义二十一世纪是一个信息时代,它伴随着互联网络、信息技术日新月异的更新换代,对整个人类的影响大到前沿科学技术小到生活方式的改变,都可以说是密不可分、息息相关。而当我们人类愈来愈依赖于互联网络、信息技术的时候,“信息安全”的问题也就至关重要,由于目前的互联网络越来越倾向于一个开放的信息平台,对于一个良好的开放的环境,“安全”既是基础又是保证,如果安全得不到保障,那么就可能出现信息的盗窃、恶意删改、伪造,以及系统遭受到攻击、毁坏、侵扰等各种不堪设想的后果。鉴于此,人们已开始将互联网与信息的安全作为当前信息科学技术研究的焦点。信息安全的定义是指在存取、处理、传输信息时,要保证信息数据的安全性、完整性和机密性。国际标准化组织(ISO)在网络安全标准(1507498.2)中定义出五个层次型的安全服务即:身份认证服务、访问控制服务、数据保密服务、数据完整性服务、不可否认服务,访问控制服务是其中一个重要的组成部分。所谓访问控制,就是通过某种途径显式的准许或限制访问能力及范围,从而限制对关键资源的访问,防止非法用户的侵入或者合法用户的不慎操作造成的破坏。数据库是目前信息处理中存储和处理数据的核心,而作为网络上信息数据描述和数据交换的重要标准,ⅪV几(eXtensibleMarkupLanguage)由于具有的平台无关性、可扩展性以及强大的通用性等这些优势,它己被越来越广泛地应用到各种领域,处于应用的高峰期,然而随之作为信息载体在‰et上的大量使用而带来的xⅦ,文档数据的管理问题、Ⅺ儿数据库的安全问题也逐渐被人们重视,亦成为研究数据库领域中一个新的重要目标。现在对)(ML安全问题的研究主要包括:)(ML加密、)(ML数字签名、XML访问控制。由于XML加密技术和煳L数字签名技术已经发展的比较完善,w3c已制定了与之相关的应用标准。而xML访问控制技术【1】还处于研究的过程中,现在许多国内外研究机构和专家都致力于研究一个较为统一和成熟的)(ML访问控制的标准。经过访问控制模型的不断更新发展,目前具有比较灵活、简便和安全的RBAC(RDle-b嬲edAccessControl,基于角色的访问控制)模型【2’3】已成为了访问控制策略的发展趋势,但该访问控制模型的缺点是它对数据库系统比较依赖,在通用性方面比较弱。而基于)(^IL数据库的R卧c模型【4l贝0是 山东大学硕士学位论文该模型的XⅦ,实现,在此基础上建立的访问控制模型,就可以解决基于角色的访问控制模型对数据库系统的依赖性这一难题,但传统的基于xML文档的RBAc模型在很多应用环境中,会出现定义的角色和权限数量过多、约束机制不完善等问题,使得角色和权限的定义、管理过于复杂。为此,本文将在基于xML文档的RBAc模型的基础上,提出一个新的基于)(ML文档的扩展RBAc模型从而进一步解决传统的基于ⅫL文档的RBAC模型现存的相关问题。1.2国内外研究现状1.2.1国外研究现状目前,国外对舢数据库的安全方面,已有了深入的研究。如:文【5】提出了一种既接受来自于父亲节点、X池DTD(Ⅺ儿Scheme)的权限传播,还接受So£c/Hard策略,同时还接受各种类型的访问控制粒度—基于舳文档细粒度的访问控制模型。文[6】在将授权和加密相互结合的基础上,提出了一个基于层次的密钥管理方式,其中密钥的生成与访问的策略相关,这样不仅可以使密钥产生的数量最少,还使分布式的协作换新得以实现。文【7】实现了基于XⅦ,数据库安全视图的一个方法,等等。对于访问控制技术的研究早在六十年代就出现了,1971年,l锄pson【8】提出了访问控制矩阵模型,并使此模型在操作系统中得以实现。1972年,G劬锄和d锄ing【9】又对访问控制矩阵模型开始了更新,在其中添加了很多的规则:由H枷son,Ruzz0和Unman三人共同改进成一种利用框架体系结构来保证其安全性。而conway,Ma)【well和Morgar三人在conelluIliverS毋的ASAP中也使用了安全矩阵作为对数据访问控制的依据,并实现访问控制的标准化,首个形成了自主访问控制(Diseretion删AccessCon仃0l,DAC)㈣策略,文献【111中描述了使用自主访问控制(DAC)策略,且定义了对Ⅺ帆文档数据的访问控制权限的一种细粒度访问控制模型,但是该模型是在DAC的策略基础上提出的,而自主访问控制策略又比较松散。自主访问控制策略的基本思想是指具有访问权限的主体可以自行决定能否将访问控制权限再赋予给其他的主体,同时也可以从其他主体那里没收他曾赋予的访问权限。总而言之,DAC策略是一种松散的策略它只是基于权限所有者的授权的访问控制策略。1976年,Deruling㈣等人提出了格模型(LatticeModel)理论,主要是通过给访问系统的每个主体和客体都配置相应的安全属性从而以此判断主体是否有权访2 山东大学硕士学位论文问客体,这就是基于格的访问控制(La:ttice—BaSedAccessCo砷的I,U≥AC),又称为强制访问控制(M锄dat0巧AccessCon仃ol,MAC),强制访问控制策略中的主体与客体的安全属性是由系统强加的,它关注的焦点是系统的保密性,因而它可以很好地保证数据信息的安全,但与此同时却要为此付出很大的代价一会对系统性能产生很大的影响,使其灵活性很差,当然它适合用于对安全性能要求非常高的系统中,例如在高层次安全级别的军事系统中的应用。1992年,美国国家标准与技术研究院MST州“onalhlstituteofStand2LrdTecIlllology)的DaVidFerraiolo和鼬ckⅪ吐m提出了基于角色的访问控制(RDleBaSedAccesscomrol,RBAc)模型131,首次提出角色的这一新概念,从而使得用户不再直接与权限相对应,而是通过角色这一媒介来相关联。1996年,美国G衲rageMason大学信息安全技术实验室LlST(Labofat0搿ForInf0吼ationSec嘶够TecllIlolo科)的RaviS觚dllu等人提出了的RBAC96模型,并得以广泛应用。ImAC96模型中定义了4个概念模型:RBACO、RBACl、ImAC2、RBAC3【14】,这就是后来不断研究RBAC模型而常被引用到的经典模型范例。1997年,Ra们S锄dhu又更进一步提出了舢mAC97(AdmiIljstr撕veRBAC97)模型【”】,即RBAC管理模型,提出了管理ImAC96模型中的各个组件的策略,实现了分布式管理。RBAC96和RBAC97模型成为后来对ImAC模型研究的经典基础模型。2000年,OsbomS,SandbuR等人提出一种临时授权模型,该模型为)①几提供了比较细致的控制体系,但并没有明确给出其技术实现方梨16】。2001年,RBAC模型的创始人物:D撕dFellraiolo、Ra访SaIldllu等人又联合制定了一个关于RBAC模型的美国国家标准草案,统一了不同模型中的专业术语,还定义了所有I强AC模型中的基本操作代码。2001年8月,ACM(Associ撕onforComp砸ngMach协e巧)完成了标准草案【171。2003年4月,NIST提交标准草案。2002年,DalllialliE等人提出了一种基于细粒度的访问控制模型,该模型是针对XML文档元素而定义其访问控制权限,只是该模型基于自主访问控制(DAC)策略【18】。2004年2月19日,在这两个标准草案的基础上,斟CITS正式批准了ANS心CITS(AmericanN撕onmstandardShlstitute,Intem撕onalCom【11itteefor 山东大学硕士学位论文InfomationTeclmolo科StaIldards)359.2004基于角色的访问控制模型信息技术标准(stalldardInf.Om诽iontechnolo四.RoleB2LsedAccessConn.olModel)【191。2004年,Jing曲uW抽g,SylViaL.等人提出一种对Ⅺ儿文档的一般性访问控制方法,它是建立在角色图模型和设计面向对象数据库方法结合的基础之上的,在这种访问控制方法中,可以用xP础表达式来结合角色,并且对权限的传递进行了处理,但这种方法的还存在来自于角色图模型某些细节方面的问题以及对权限约束的描述不完善的问题【201。1.2.2国内研究现状虽然我国对信息安全技术的研究开始比较晚,但由于近些年来的快速发展,国内相关技术人员在对l疆AC模型的扩展和应用方面也取得了一定的成果。2000年,钟华、冯玉琳等人提出了扩展的角色层次关系①)ctendedHierarchyRBAC,E}玎腽AC)模型【211,主要是扩展了角色间的各种层次关系,并给角色的权限创造出新的定义即公有权限和私有权限,另外还将角色间的继承关系分为一般继承关系和扩展继承关系两种定义,使得这种新模型能够对复杂的角色层次关系进行充分描述。2002年,聂伯敏、熊桂喜等人提出了认证访问控制C.RBAC(CenificateRBAC)模型【221,主要是为了提高分布式系统环境的安全性,而把身份识别和访问控制证书融合在一块,从而在基于角色的访问控制系统中添加了“证书”这一新概念。2003年,郭蕴华、陈定方等人于提出了一种基于角色与基于规则相结合的访问控制模型(ⅪmAC)(Rule&Role-baSedaccesscontr01)模型田】。这种模型是依据用户的组织结构来限定角色的属性和角色间的各种继承关系,为此它利用参数化的标准集来对用户组织结构中由等级关系间产生的操作权限许可进行描述,从而使面向用户群组共同协作的分组权限管理系统得以实现,基于角色与基于规则相结合的访问控制模型是以扩展的用户组织结构为架构的。2005年,谢东文、刘民等人在针对基于策略访问控制模型的企业信息系统进行了大量分析探索,最后提出了一种既具有公用性能又能满足扩展性高要求的解决办法【241。2006年,邢小永、张彬等人在一篇基于角色的访问控制扩展模型【2习中提出了对基于角色的访问控制模型进行了扩展,添加了用户组、角色组,这两种新概念并通过用户(角色)组、对象和操作的层次等新元素的使用从而有效地建立起4 山东大学硕士学位论文一种在用户和权限之间通过角色这一媒介的产生配对关系的模型,此模型最主要特点就是授权比较灵活从而使其能更好满足各种实际应用环境。2007年,夏鹏万、陈荣国等人在一篇增强的基于角色的数据库访问控制模型【26】中针对传统的基于角色的访问控制模型,改进模型中存在的组件分类不清晰、约束规则不具体等问题,从而提出了一个组件定义比较清晰细致,约束规则比较具体全面的新的基于角色访问控制模型,该模型克服了传统的基于角色的访问控制模型的缺陷而更加灵活实用,且数据库系统的安全也得到了很大的提高。1.3论文研究内容本文将以传统的基于角色的访问控制(I出AC)模型作为文章研究的出发点,从而提出了基于Ⅺ帆文档数据库的扩展RBAC模型。该模型使用了Schem语言来定义了龇数据库文档结构,针对舭文档的特性,在分析基于X池的RBAC(基于角色的访问控制模型)存在角色授权过于庞大和约束机制不完善的问题基础上,对其进行有效的改造和扩展后提出了一种新的基于X池文档的扩展RBAC模型。文章首先对访问控制模型中的客体按照其属性进行抽象归类,再将权限配置给一类客体,这样模型中的主体对客体的访问权限,是由主体对应的角色和访问域共同来确定,极大地减少了角色和权限的定义数量。其次文章采用的是勋viSandllu等人提出的职责关系隔离(s印aLr撕onof蛳es)规则来解决系统中角色间存在的利益冲突,以避免用户权限过大或者用户越位越权等现象出现,从而影响系统的安全性能。如会计和出纳,一般来说公司是不允许同一个人兼任的,所以在分配角色的时候,应禁止将这两种角色赋予同一个人,这样利用职责分离的规则来对模型中的角色进行约束从而间接对角色对应的权限也起到约束作用,从而为该访问控制模型的系统安全提供比较好的保证,文章还将使用schematron(基于规则的Ⅺv几模式语言)来对约束规则进行形式化描述。基于X池文档的扩展RBAC模型能够符合XML文档细粒度的访问控制需求,该模型结构简洁灵活且比较容易实现。1.4论文结构本文主要针对基于舳文档数据库细粒度的扩展RBAC模型进行分析研究。第1章主要介绍论文的研究背景和意义,国内外的研究现状以及论文的主要内容和论文的框架结构。5 山东大学硕士学位论文第2章对目前越来越广泛应用的X池语言及特性进行了简单介绍,将舭语言和删.语言进行比较分析,并将x池数据库与关系数据库进行比较,分析其优势及本身存在的安全隐患,再列出了现有的安全隐患的解决方案,最后说明了基于ⅪⅢ,文档数据库的访问控制研究的现状和热点。第3章总结性分析了访问控制技术发展过程中比较具有代表性的DAC、MAC和RBAC三种访问控制模型,对各种模型之间进行了对比,在分析了各个访问控制模型特点的基础上说明其优势与不足,还对目前比较新的RBAC96模型和舢疆AC97模型进行分行,重点对RBAC96模型进行分析,并在此基础上提出了新的基于Ⅻ缸文档的扩展RBAC模型并对其进行简单的介绍。第4章和第5章是本论文的主旨部分。第4章在分析传统的基于X池文档的RBAC模型不足的基础上,提出了一种新的基于舭文档的扩展RBAC模型,一方面将访问控制模型中的客体进行抽象归类,以极大地减少角色和权限的定义数量;另一方面用职责关系隔离来解决系统中角色间存在的利益冲突,从而对访问控制模型的约束条件进行有效的完善。另外文章还对基于舳文档的扩展RBAC模型框架中的各部件都进行了形式化定义。第5章在第4章给出基于舭文档的扩展RBAC模型框架的形式化定义的基础上,进一步对基于x池文档的扩展ImAC模型的框架结构、系统实现和关键性技术进行分析讨论。并以一个简化的企业人员管理信息资源的访问控制系统为应用环境,通过Ⅺ儿模式(Schem)描述语言具体定义出Ⅺ帆文档数据,结合实例展示了在基于ⅪⅢ,文档的数据库中实现基于Ⅻ缸文档的扩展RBAC模型系统的各部件定义以及访问控制模型中数据的编码,同时使用了Schema舡Dn对模型中的约束规则进行描述。第6章对提出的基于舭文档的扩展RBAC模型的不足,以及对下一步的研究工作展望进行了总结。本章小结:本章首先给出了课题提出的背景,主要介绍论文的研究背景和研究的意义,总结分析了一下目前国内外的研究的现状,在此基础上提出自己的新模型,最后简单介绍了一下论文大体结构以及每章的主要内容。6 山东大学硕士学位论文第2章XML数据库结构特点目前舳已成为Intemet时代比较热门的一种应用语言。之所以这样是因为首先xⅦ,具有灵活的可扩展性和平台无关性,另外一个重要的特点,同时也是目前的是数据库专业的一个重大进步一一XⅦ语言具有半数据结构化和自描述性的特性,这一特性的实际应用主要体现在可以地利用舭语言格式口刀来很简洁、很自由地定义各种类型的数据以及这种类型数据的集合。在XⅦ,越来越被广泛应用的情况下,它所面临的安全问题就越显棘手。而对于解决舭文档所面临的安全问题口引,如今许多国内外的专家学者都已经在这方面有了一定的研究进展,例如:Ⅺ帆签名、舭数字签名、访问控制、XAC池等。2.1XML简介XML的是从最初的SGML(111est锄dard(论neralizedMarkupL锄guage,标准通用标记语言)和60年代mM的GML(GeneraJizedMarkupL锄guage,通用标记语言)的演化而来。于1996年开始向W3C(全球信息网联盟)提案,在1998年2月才正式发布了Ⅺ儿1.O(W3C标准)。1.舭定义XML(eXtensibleM破upLaJlguage)可扩展标记语言,是W3C的推荐标准,XⅦ,作为一种标记语言,它与删.都属于一种标准的通用标记语言SGMI,(St趴d砌GeneralizedMarkupLanguage)。XML的作为标记语言,它的目的是为了在各种环境下的数据传输,它不同于其他应用语言是为了用来显示数据。舭在处理结构化文档时还具有它独特的一面,主要是由于XⅫ,标签是可以自行定义的,它具有自我描述的特性,因此它可以在现代的网络环境中自由跨越平台——平台无关性,它只是依赖于文档的内容。舭(extensibleMark叩Language)作为一种数据存储语言时,它是用一系列简单的标记来描述数据,而这些标记以灵活自由的方式来定义的,当然这种描述性的存储语言缺点就是空间占用率要比二进制数据的大很多,但它所具有的简单、灵活、易读、易掌握的特性又是不可替代的。2.Ⅺ沮,文档结构特点x池文档结构的基本要求是格式良好和有效。格式良好的ⅪⅢ,文档需要遵循一些语法规范,等等。有效的舳文档应该是一个有效的格式和内容的验7 山东大学硕士学位论文证描述文档,它是符合验证描述文档规定的结构规则。Ⅻ缸文档是树型层次结构的,文档中的各个元素或属性是这个树型结构层次中的结点,每个子结点只对应一个父亲结点,但每个父亲结点可以对应一个或多个子结点,且整个结构中只有一个根结点。舭文档应被视为分级的树结构,如图2.1所示:Mike·,/m柚ager>Tom</acountant>Jane</cashieI·>John图2.1X札文档结构</derk>Ⅺ帆语言具有一套定义良好的作用于简单文本的规则,Ⅺ帆文档中主要包含两个部分——标签、文本。标签定义的是文本键值,可表示成任何内容的数据。文本的形式和内容也是非常广泛,它可以包含:一般性文档、在网络协议基础上传输的信息文档、任何程序编辑语言中的数据、关系数据库中的二进制数据等任何其他文本数据。图2.2是表示公司工作人员情况的X池文档实例——st斌xHd。这一个ⅪV几文档包含一个这一根元素,而作为档中的元素又是这个文档树型结构中的子结点,则是这个文档的属性,sta伍xIllI这一文档里包含了这些元素和属性,它们都表达各自的信息,但是这些信息面对用户访问时又要根据实际需要来设定各自的安全等级,例如:一个公司中的saJ撕es可能不是公开透明的,不同级别人员的call可能也不是对所有人公开的,对此这些文档中的元素和属性要设定不同级 山东大学硕士学位论文别的安全属性,使其只能对特定的部分用户可见,而普通的用户是不可见的,基于这样的要求就需要针对ⅪⅢ,文档访问控制模型进行细粒度的划分,以此来控制各种用户对舭文档的访问。message</department>cIerk叫raJlk>12345678</call>3000</salal.ies></sta伦admin</department>23456789</cml>6000</salaI.ies></sta黔</dep盯tmen伊图2.2人员情况的)明。文档一staff.舶12.2XML与HTML比较1.作为标记语Ⅺ儿与咖,的主要差异耵Ⅶ,(hyperte)【tmarkupl锄guage,超文本标记语言)来源于SG池(standardgeneralizedm破upl姐guage,标准通用标记语言)是在SGML基础上发展成的一个子元素,它的特点就简单容易掌握且灵活多样,可通用,这些Hr池的优点使得网络上的信息发布、信息检索以及交换信息等应用变得更加方便,也因此使得删.曾在互联网上广为应用。后来随着互联网上的信息逐日丰富、各种资源类型也日趋复杂多样化,此时的肿Ⅶ,的使用就越来越有局限,因为咖,9 山东大学硕士学位论文只能表示资源内容,而不能表示资源内容的涵义,并且不具有好的扩展性,不支持某些特殊对象。x池和咖,一样都来源于SGⅦ,。SGⅦ庙于它过于复杂,开发成本高等不足,所以在互联网上无法普及。1998年2月W3C发布的一个标准——ⅪⅢ.,舭和S觚属于元置标语言即可以定义其他置标语言的语言,而舭主要用于描述数据的内容,它具有很强的功能、良好的可扩展性、结构简单、以及平台无关性,因此Ⅺm.是一种既便于实现,又便于普及【291的语言,Ⅺ儿是着重于数据的交换和存储。咖虽然和舳一样来源于S觚但它主要用于W曲上的信息发布。2.XⅦ与删,相比,所具有的优势po】第一舳具有平台无关特性:由于舭的实现方式是以文本的形式,所以它不会对平台产生依赖性。第二,XⅦ,具有可扩展特性:舭语言可以让用户从实际需要出发自定义标签,Hr池的标签却是固定不可随意更改的。第三,XⅦ,具有结构层次化特性:舳文档结构是通过标签的逐层嵌套而形成的一种树形层次结构,因此舭可以描述各种层次型的文档结构。.第四,Ⅺ儿具有可检索特性:Ⅺ儿文档内容可以被规范的Ⅺ沮,解析器准确而迅速地检索到。第五,X池具有可校验特性:XML文档结构的验证是通过使用应用程序来根据该文档中自带的语法规范来进行判断的。这一点是删,不具备的,因为耵Ⅶ,文档没有自带语法规范,所以应用软件也无法对删,文件进行结构验证。目前ⅫⅡ正在成为W曲上数据描述和数据交换的标准,之所以Ⅺ儿语言适合于数据描述和跨平台的数据交换,能在htemet上广泛应用,就是由于舭具有上述的优势。它可以有效地解决各种操作系统和各种应用系统之间以及各种数据源之间的数据共享与交互的问题。但尽管如此舳不是完全可以替代删.的,因为舭和H【’池各自的功能方向不一样:XⅫ,用来传输和存储数据的,其核心是数据的内容;而咖,是用来显示数据的,其核心是数据的形式。H【'池主要是显示信息,ⅪⅢ,主要是传输信息,两者各为互补。,一 山东大学硕士学位论文2.3XML数据库与关系数据库比较1.以舢文档为存储结构的数据库与关系数据库的主要区别ⅪⅢ.数据库与关系数据库是目前比较盛行的两大数据库,Ⅺ帆数据库与Access,Oracle和SQLSeⅣer等关系数据库的区别是:关系数据库在数据的存储和数据的分析方面比较强劲,比如:在数据的索引(排序、查找)等方面;而x眦数据库功能主要是表示数据,舭可以及其简单地展示数据的形式。XⅫ,数据库与关系数据库系统区别具体表现阢32】:第一,在存储数据特点方面:由于舳文档的存储结构是树形层次分明的,因而它的元素之间是可以上下级关系而逐层嵌套的,关系数据库中存储的数据则不具有层次嵌套关系。第二,在存储顺序方面:X№文档中的元素是具有从上而下的等级顺序,关系数据库中元素则是没有层次无序的。第三,在存储的数据方面:X池结构化文档中的各个结点可以包括元素和属性两种值,关系数据库中的数据只能表示为一种值。第四,在递归性方面:XⅦ。文档中的每个元素是具有可递归性的,关系数据库几乎都不具备这一特性。第五,在数据的检索方面:在对舭文档中的数据检索时可以中直接在一个X皿文档中进行,关系数据库中的数据检索则大都需要涉及到相关联的多个表才能实现。第六,在数据查询方面:xⅫ,数据库的查询是依据X池查询语言xpam或Xque哆,关系数据库的查询是依据查询语言SQL。第七,在存储形式方面:X池是把数据存储在各种具有多层次性的结构化文档中,关系数据库则是利用各种表中来存储数据。通过以上对关系数据库和XⅪ,数据库的比较,可发现舳数据库具有更强的灵活性和可扩展性,应用舭作为W曲数据交换的平台,能更好地进行信息管理和信息交换,随着htemet的不断发展,舢数据库的应用也必将越来越广泛。2.舭数据库与关系数据库相比,所具有的优势首先,XMI数据库中的文档具有可扩展性p31,用户可以自行定义文档中的标签及这些标签所对应的参数的属性和值;关系数据库没有这一功能。 山东大学硕士学位论文其次,ⅪⅢ,数据库中文档的数据具有可重用性,文档的模式还具有结构化和标准化的特性。再者,)(】帆数据库中的x池文档具有很好的平台无关性,舭文档可在任何操作平台和系统上运行,可以方便地跨越各种平台使用。最后,由于X池文档中的数据都有与其相对应的唯一标识,因此在检索时不需要对数据库的结构进行了解,只要依据数据的标识就可以很方便的进行检索。3.X池比关系数据库欠缺的地方虽然上述的x池数据库具有如此多的优点作但其实它与关系数据库相比,,Ⅺ儿也缺少关系数据库所具备的一些特性,如:高效的存储、索引和数据修改机制、严格的数据安全访问控制、完整的事务和数据一致性控制、多用户访问机制、触发器、完善的并发控制等方面,都不及关系数据库,因此,用户量大、数据集成度高以及性能要求高的数据环境中还是需要关系数据库。关系数据库是用来存储关系和操作复杂的数据,Ⅺ咀,则用来存储关系和操作简单的数据。目前发展趋势是Xm数据库是对关系数据库的一个很好的补充,大的数据库厂商都在关系数据库产品里内置了对舭的支持,这样将XⅦ,数据库与关系数据库配合使用,使两者能相辅相承,最大限度地发挥各自的作用。2.4XML文档定义规则目前,对XML文档结构进行定义的两个主要的验证描述规则是DTD和X池Schema【34,35,361。1.DTDDTD是早期ⅪⅢ,1.O语法规范的重要组成部分,它源于SGMI规范,DTD的主要作用是给舳文档结构的定义了一系列规则。由于DTD的作用使得x池文档具有了很强的扩展性、结构层次性、和可验证等特性。它最主要的缺点是它采用了非舭的语法规则这就导致以DTD定义的舳文档就不具备支持数据类型多样性、文档的可扩展性相对也较差等。2.SchemaXMLSchema也被称为Ⅺv匝Schema定义(ⅪⅢ。SChenlaDefini矗0n,简称xSD)。Schema是把原来的DTD使用Ⅺ儿语言规范来重新进行定义,它属于XⅦ,应用的一种,Schema是XML自描述这一特性的体现。目前舭Schema12 山东大学硕士学位论文己替代了DTD,成为xⅦ,文档结构新的定义规则,它的优点如下:规范性,Sche眦对舭文档中置标使用提供了比较完善的约束规则,DTD对X池文档的定义也有相应的约束规则,但由于SChema本身就是一种舭,由它为XM,文档制定的规则要比DTD制定的更贴切、更适用、也更具有规范性。易用性,舭Schema可以具体定义到每一个元素的属性类型以及对某个元素的子元素出现次数限定,而DTD不具有这么强大的定义功能,而ⅪⅢ,解析器也不具备这些细致的判断功能,因此在使用DTD来定义Ⅺ诳,文档时就会在这方面有所欠缺,这也是Schenm相对于DTD定义来说比较容易使用的一面。一致性,Schema是建立在Ⅺ沮。基础之上的,从形式上看它和一般的ⅪⅢ,文件完全相同,具有X池文档一样简洁明了的的形式结构,这一特点使得Ⅻ缸文件无论从内部模式结构还是外在的表现形式都能实视结构上的统一,这样大家在定义一个舭文档时就不需要像使用DTD来定义Ⅺ沮,文档结构那样复杂,因为D1D本身的外形结构是不同于x池结构的,并且DTD的结构明显要比X池文档结构繁琐,使用DTD来定义X池文档时就得先单独学习DTD复杂的结构然后再去学习XML文档结构这样才能使用DTD来定义,这显然不如使用Schema定义舳文档那样容易掌握和使用。使用Sche;ma来定义XML文档结构的另一方面好处:在编辑Schema时,可以使用己有的舢编辑制作工具来编辑;在解析Schema时,也同样可以使用已有的xML语法解析器来解析;还和XML文档一样被用在同样的应用系统中。这也主要归功于Schema本身就是一种舳。可扩展性,在一个程序开发过程中数据类型的作用直接关系到程序员的开发难度和工作量。关于数据类型方面DTD也定义了一些简单的数据类型,不过它只针对数据的属性类型,类型单一有限。面对目前的互联网络交易过程中大量繁杂的数据转换需求(整型、实型、布尔型、日期型等等)这是DTD力所不能及的。对于这方面Schema在DTD的基础上进行了扩展,它引入了数据类型,对于大量复杂的数据转换,Schema就能很好地满足需求。基于上述Ⅺv几Schema各种的优点,目前的Ⅺ沮,文档都是以Schema来定义的,以下面就是使用x池Sch锄a语言来定义st碰.xnll文档的staff:)【Sd模式文档实例。13 山东大学硕士学位论文以下是图2.2sta正xrnl的ⅪⅢ。Schema文档Sta正xsd。</EIementType></Elementl’ype></Schema>图2.3人员信息X地模式文件——staff.xsdx池文档结构本身就是一种树型结构。x池文档的树结构中是按文档中的各级标签从上至下顺序排列的,结构树中的各个节点是由元素、属性以及属性组构成,结构树中由上而下的节点及其子节点分别对应着舭文档中元素及其子元素或其属性。Ⅺ?ath【371的作为一种路径管理工具,主要是用来配合对Ⅺ儿文档中的节点元素或属性进行定位查询。xPam可以管理X池文档的路径,通过对XⅦ.文档路径的管理再按照统一的查询标准就可以精确查找到所要查询的文档■^ ,毒山东大学硕士学位论文及文档中每一个节点。图2.4是一个Ⅻam实例,从这一图中可以很形象地展现出xPa血在表达方式和表达能力方面的优势。XQue秽p81是、们C提出的主要针对XⅦ,文档的查询语言的标准,用户或应用程序使用XQue巧并在黜对舭文档路径的管理作用之下,可以很方便地对XⅦ,文档及其元素进行定位和访问。图2.4XPath实例le成cleIk肥x“)”2.5XML存在的隐患现在互联网络最主要的特点是实现了资源共享和操作的开放性,这一切都需要一个开放式的平台环境,这样一来,它必然会存在比如像:信息偷盗、篡改、破坏等各种各样的安全问题。对于这些存在的信息安全问题目前已出现了一些安全措施,如:安全套接字(SSL)、IP层安全标准凹Sec)、安全/多功能因特网邮件扩展(S瓜衄)等,这些措施对信息安全起到了一定的保护作用。随着信息网络技术的快速发展,互联网络间的数据交换使用也随之越来越频繁,而作为数据描述的标记语言xM,也越来越被人们广泛应用,当然这主要是由于正如本章前面所描述的xM【本身具有很强的优势,然而在越来越被广泛应用XⅦ,数据交换的同时,它的安全问题就会相应地变得很重要。现在针对Ⅻ缸安全问题的安全措施有:x~Ⅱ,加密、xⅦ,数字签名、舭密钥管理规范、访问控制等等。XⅫ,数据交换、访问需要解决的三点安全问题有如以下描述。1.针对Ⅺ儿文档的结构化和其可读性,对于来自外部的各种数据交换,必须要求数据交换双方进行身份认证,防止非法用户登录:对于来自外部的访问,则要求访问用户对应的访问权限必须受到控制即需要访问控制。 山东大学硕士学位论文2.对于舳数据需要以合作形式在网络间传输的数据,则必须有细粒度的加密、数字签名以及密钥管理设施等技术支持,以确保传输数据的机密性,以及数据在传输过程中的完整性。3.要对整个数据交换、访问的过程中各个操作进行不可否认记录,即确保^操作双方对自己接收或发送数据的记录不能消除。只有解决了这些安全要求才能确保在一个安全的网络环境下,实现ⅪⅢ,数一据交换中信息的安全性(保密性、完整性、可鉴别性、不可伪造性和抗抵赖性)。2.6XML安全问题的解决方案为了解决上述数据交换的安全问题,国际标准化组织W3C和OASIS推出一系列的)m几安全服务标准,这些标准包括:ⅪⅧL加密(xMLEnc巧phon)、XML数字签名(ⅪV匝Si盟ature)、ⅪV几密钥管理规范(Ⅺ四个元素来定义访问控制授权策略。subject为授权访问用户,resource代表被访问的资源,这在策略制定时首先考虑的一个元素,通过它才能定义授权访问用户su功en,以及与subject相应的操作auction,a嘶on表示对资源的访问操作,conmtion表示对采取特定操作的限制条件。5.访问控制随着互联网络信息技术和计算机技术的不断的进展,访问控制技术在各种信息系统中等到广泛应用。访问控制技术主要是针对授权访问的问题,它对于一个信息系统的安全来说是必要的安全措施,访问控制技术可以对各种系统的安全起到很好的保护作用。到目前为止,已经产生了不少的访问控制技术,包括自主访问控制、强制访问控制和基于角色的访问控制,无论哪一种访问控制技术其根本的作用都是一致用来阻止非法访问现象的发生,即非法用户对信息资源的访问以及合法用户对信息资源的非法使用。访问控制是先进行用户身份验证,然后再针对性地定义出各种访问控制策略,以此来对用户的各种访问操作行为进行控制和规范。本章小结:本章主要是对ⅪⅢ,数据库结构特点进行分析讨论,具体从Ⅺ帆语言简介开始,将作为标记语言的舭与删,进行比较,介绍了各自的优缺点,然后又将xm作为存储结构时的XML数据库与关系数据库进行分析,比较了各自的优缺点。本章还对XⅦ,文档结构的定义规则进行了简单说明,并分析了舳数据交换存在的隐患,以及针对这些隐患现有的解决方案进行了介绍。因为论文本身是要针对基于XML数据库的安全访问控制技术,提出一个新的访问控制模型,那么X池本身的特点、X池数据库的特点以及XⅦ,数据交换的存在隐患和现有解决方法就是本论文研究分析的基础。17 山东大学硕士学位论文第3章访问控制模型概述随着互联网络信息技术和计算机技术的不断的进展,由于网络信息化技术在各个领域的深入发展,网络信息安全的重要性也日益明显起来,国际化标准组织ISO在网络安全体系的设计标准(IS07498—2)中,提出了层次型的安全体系结构,并定义了五大安全服务功能:身份认证服务,访问控制服务,数据保密服务,数据完整性服务,不可否认服务。作为安全服务的访问控制在整个信息安全中起着举足轻重的作用。访问控制技术主要是针对授权访问的问题,它对于一个信息系统的安全来说是必要的安全措施,访问控制技术可以对各种系统的安全起到很好的保护作用。到目前为止,已经产生了不少的访问控制技术,包括自主访问控制、强制访问控制和基于角色的访问控制等,无论哪一种访问控制技术其根本的作用都是一致用来阻止非法访问现象的发生,即非法用户对信息资源的访问以及合法用户对信息资源的非法使用。3.1访问控制定义访问控制是先进行用户身份验证,然后再针对性地定义出各种访问控制策略,以此来对用户的各种访问操作行为进行控制和规范。访问控制系统主要由以下三种元素组成:1.主体(subject):是指提出访问操作请求的一方,一般包括:用户、某种应用程序等;2.客体(object):它是指被请求访问操作的信息资源;3.安全访问规则:它属于访问控制决策模块,安全访问规则是用来判定某一主体(S)对客体(o)访问权限的情况,它包括主体对客体是否具有访问权限、其访问的权限范围是什么等。它的一般原理图如图3.1所示。决策请求访问控制访问决策l—L决策模块一L』-1.,r1'rl图3.1访问控制功能原理访问控制技术根本的作用都是一致用来阻止非法访问现象的发生,即非法用户对信息资源的访问以及合法用户对信息资源的非法使用⋯1。现在已经出现的 山东大学硕士学位论文主要访问控制技术包括:自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAc)等。3.2访问控制技术3.2.1自主访问控制DAC自主访问控制(DAC,Discretiona巧AccessCon仃01)从出现到今天已有了三十多年历史【451,自主访问控制是建立在用户或用户组身份认定之上的,它是先确定用户身份以及权限的授予,再对整个访问过程进行控制的一种访问策略。这种访问控制技术是由主体对相应的客体进行管理,即一方面由主体自己决定是否将相应的客体访问权限或部分访问权限授予其他主体,另一方面主体把它自己曾授予别的主体的访问权限收回。自主访问控制方式顾名思义它是自主的,即在使用自主访问控制模式下,作为访问的主体可以它有自由地授权于其他主体共同对客体进行访问。自主访问控制技术的主要优点,它是控制非法用户对信息资源的访问或都是合法用户对信息资源的非法访问的一种安全有效的技术,由于其访问主体可以自由地对其他主体进行授权活动,使得这种访问控制技术在各种各样系统和应用方面有很好的适应能力。自主访问控制技术的主要缺点,这是一种自主性的访问控制技术,它的主要目的是对主体相应资源的安全进保护,且该技术是按照主体的意愿自由对客体访问权限进行转变的,这样使得系统对客体的访问权限控制的繁杂度增大而导致在客体的访问控制权限随意转变过程中存在安全的隐患。比如:客体1的访问权限被其对应的主体甲授予给了主体乙,使得原本主体乙没有对客体l的访问权限因为有主体甲的授权而具备了,这一自由授权的方式虽然很方便,但其过程却大大降低了系统的安全性,导致安全漏洞的产生。另一方面由于自主访问控制技术的自由授权方法,存在不同的主体具有访问同一客体的权限,而相同的主体也可以具有访问不同客体的权限,这样的授权方式在遇到一个具有非常庞大的主体和客体信息量的系统时,如果因为主体发生了变动,而需要修改相应的客体资源时,会这样使得权限管理的复杂度变得非常大,非常不利于系统权限的管理,从而带来整个系统的复杂度增大。3.2.2强制访问控制MAC强制访问控制(MAC,MandatoryAccesscontr01)脚l技术判定客体信息资19 山东大学硕士学位论文源能否被主体访问的凭据就是主体(S)的安全级别与客体(O)的安全级别的关系。它能很好地保护信息系统资源的安全性,当然相应所花费的系统资源代价也会很大,一般它用于对系统安全性有很高要求的部门,例如军事信息系统通常就会采用这种访问控制技术。强制访问控制技术最具代表性的案例就是由BellandLaPadula提出的BLP模型【47,4引,BLP模型要求:模型中的主体(s)和客体(O)都各有一个安全级别,主体(s)的安全级别表示主体(S)对敏感的客体(O)信息的可信度,客体(0)的安全级别则表示客体(0)中的信息敏感度,该模型要求必须由系统安全管理员这一主体对该安全级别进行管理,其他的主体都没有这一管理权限。BLP模型的安全级别是线性排序的,用“九”来标示主体或客体的安全级别,当主体对客体进行访问时,要依据两条规则即“向下读,向上写”的原则。若主体(S)要具有对客体(O)读的权限时,则要求九(S)≥九(o),这表示若主体(S)能够读取客体(O)信息时,则必须满足主体(S)安全级别大于等于客体(o)的安全级别。若主体(S)要具有对客体(O)写的权限时,则相应的要求九(S)≤九(O),这表示若主体(S)能够写入客体(O)信息时,则必须满足即主体(S)安全级别小于等于客体(O)的安全级别。强制访问控制技术的主要优点,它对客体信息资源的安全有很强的保证,大大提高了系统的安全性。在强制访问控制模型中决不会出现像自主访问控制模型中的安全问题,是因为它要求系统中客体信息的访问权限总是从安全级别低的主体向安全级别高的主体传递,且必须是符合安全级别要求的主体才能对相应的客体资源进行访问。强制访问控制的主要缺点,由于强制访问控制技术是以信息数据的安全保密为主要目标,而对于其他的授权管理问题没有作适当的处理,因此该访问控制技术会导致整个系统的管理不太完善,缺乏方便灵活的授权管理体制,从而使得系统没有很广的使用性。从强制访问控制技术的两条访问规则来看,“向下读”这一规则既限定了安全级别低的主体永远不能访问安全级别高的主体所访问的客体,这样使得系统授权的灵活性大大降低不太方便广泛应用;而“向上写”这一规则又可能会出现一些需要安全保密级别高的客体信息会被安全级别低的主体恶意修改的情况,这对系统客体信息的完整性和安全性都造成了很大威胁。3.2.3基于角色的访问控制RBAC通过上述介绍的两种访问控制技术明显可知,自主访问控制技术授权虽然灵, 山东大学硕士学位论文活方便,但它最大的问题是授权过去于自然而导致系统的安全问题成了该访问控制技术的薄弱环节;强制访问控制技术在保护系统的安全性方面做法非常严密、有效,但它的问题是授权过于死板、麻烦,从而导致系统的实用性和灵活性。虽然这两种访问控制技术都各有很好的优点,但它们存在共同的严重问题就是在系统权限管理方面都比较复杂,不方便操作。这些问题直到出现了RBAC(R01e-basedAccesscontr01)基于角色的访问控制技术之后才有了转机。从此RBAC访问控制技术的成为网络信息时代解决数据安全的又一新的研究焦剧491。图3.2RBAC基本思想ImAC访问控制技术基本思想(如图3.2所示)是添加了“角色”这一新的元素,它在主体(用户)和权限之间担负着媒介的作用,既先根据权限的安全级别来制造出各个相应的角色,再将这些角色对应分配给访问的主体(用户),从而使得主体(用户)获得相应的权限,依据这些权限来确定主体对客体的访问操作。现在RBAC访问技术已经出现了RBAC96模型和其管理模型街出AC97模型,在本章将会分别进行介绍。RBAC访问控制技术中包含的基本概念。。1.主体(Subject)就是指要对系统的资源进行访问操作的实体,它可以是用户还可以是某种应用程序等。2.客体(Object)是指要被主体访问操作的系统信息资源,通常是以数据文档的形式存在。3.用户(User)它属于主体的一部分,通常是指对系统进行访问操作的人,在RBAC访问控制技术中规定了唯一确定每一用户身份的D号,当用户要登录系统时这唯一的D号就是系统对用户身份识别的重要凭证。4.角色(Ible)是ImAC访问控制技术中对访问主体和对客体资源访问操作权限的媒介,每一个角色也有一个唯一标识的D号。5.访问权限(Pe加ission)是指允许访问主体对客体信息资源访问操作的限制2l 山东大学硕士学位论文条件和范围。6.用户角色分配(UsertoR0leAssi印ment)指用户与角色之间的配置关系,用户与角色之间是多对多关系。7.角色权限分配(Pemlissiont0RDleAssi舯mellt)指角色与访问权限之间的配置关系,角色与访问权限之间也是多对多关系。8.会话(Session)是指能激用户与角色之间配置关系、激活角色与访问权限之间配置关系的特定环境。RBAC访问控制技术的基本模型如图3.3所示。图3.3RBAC访问控制技术基本模型基于角色的访问控制RBAC主要特点,RBAc访问控制技术由于加入“角色"这一新元素使得主体对客体的访问权限通过角色这一媒介来得到,这样避免了主体和权限直接对应而导致系统授权管理的繁杂性,同时这一访问控制技术使得系一统具有简单清晰组织结构,且在授权管理方面也显得比较灵活方便。3.3RBAC96模型·在上个世纪九十年代美国GeorgeMason大学的R.sandhu等人在对原始的RBAC访问控制模型进行一些后提出了RBAc96模型【501。它主要包括四种不同的层次模型:I出AC0、RBACl、RBAC2、和RBAC3。RBACo作为基础模型,它定义了最原始基于角色访问控制模型中的基本概念,包括:用户、角色、访问权限、会话等。RBACl和ImAC2在是建立在ImACO的基础之上,而各自又提出自己的新创点,因此它们属于高级模型。RBACl模型的新创点是引入了“角色继承关系",ImAC2模型的新创点是引入了“约束关系”从而在用户与角色之间、权限与角色之间加以约束。RBAC3被称作巩固模型,它集合了RBACl、RBAC2两者的特点,因此ImAC3模型既有“角色继承关系"又有“约束关系”,这四种模型之间的关系如,图3.4所示。 山东大学硕士学位论文图3.4RBAC96模型I司的关系3.3.1RBACo模型RBACO模型(基础模型)主要包括的元素如下描述。1.实体集:User(用户集)、R10le(角色集)、Pemlission(权限集)、Session(会话集)。2.用户角色分配:溯∈U×R(user与role之间是多对多的关系)3.权限角色分配:以∈P×R(pe咖ission与role之间也是多对多的关系)4.,D胁(量)∈{,}(w盯(S),,)∈以)其中,脚,:sju,各个会话与用户的函数映射(每一个会话Si对应一个用户螂P,(S),在一个会话周期内保持不变)。厂D,Ps:s专2尺,将各个会话S与角色集合的映射,随时U,∈,D跆s(墨){pJ(p,,.)∈刚)以变化,且会话置的授权为U,∈,.D胁(S){pI(p,,.)∈以)。图3.5RBACO基本模型结构RBACO模型概括了user、R01e、Pe瑚ission和session这四个实体集之间的关系。在该模型中的Session的建立、修改、结束是被user控制的,User通过建立Session来激活Users和R01es,而使得User被分配到相应的Pe瑚ission。模型中的任一User可以分配到至少一个Role,任一R01e也至少可以分配到一个Pe珈ission同一Pemission可以分配给不同的R01es。3.3.2RBACl模型RBACl模型(层次模型),是建立在RBACO基础上,又增加了“角色继承 山东大学硕士学佗论文关系”(如图3.6所示),角色层次关系用RH表示,朋∈尺×R,Im是指角色上的一个偏序关系。另外,在肋,Ps:Sj2R的映射关系上RBACl和RBACO有不同的定义:,.D跆s(S)s川j(,‘厂)[“sP,.(墨),,.’∈删】),这个会话si具有访问权限:,u,.∈,D沱s(墨){pIj驴”≤,)[(p,,.”)∈剐】}RBACl模型中的角色间继承关系包括:一般继承关系、受限继承关系。一般,继承关系的主要特点是它可以允许角色间的多继承,而受限继承关系的特点是要求角色间的继承关系呈树状结构。图3.6RBACl基本模型结构RBACl模型可以用来处理比较复杂的系统结构上的权限授予问题,且这样非一常便于管理系统中的权限配置关系。这因为该模型是建立在ImACO模型基础之上,又引入了角色间的继承关系,模型中的PerlIlissions继承关系是从上至下的,,_即上层Roles的继承下层Roles对应的Pe咖issions,而模型中的Users分配关系是从下至上的,即下级Roles可以分配到上级RDles对应的Users。3.3.3RBAC2模型RBAC2模型(约束模型),是建立在RBAC0基础之上,另外又增加了“约束机制"Cons仃aints(如图3.7所示),RBAC2在RBAC模型中加入了约束关系,即在面对系统中各种角色间可能存在的各种利益冲突时,该模型提出了“职责关系隔离”(SeparationofDut)r,SoD)这一新概念给以化解。C0ns仃aints是针对用户-角色配置和角色.权限配置以及Session中的users、roles等实体集,在实际应用中的C0nstraints包含两个确定值:“接受”、“拒绝”,只有被返回“接受"这个值才,,’是有效的。 山东大学硕士学位论文图3.7RBAc2基本模型结构3.3.4RBAC3模型RBAC3模型(层次约束模型),是结合了RBACl模型和RBAc2模型两者特点之上的综合模型,它是在一个RBAcO模型基础之上既增加了“角色继承关系”又增加了“约束机制’’,RBAC3模型是RBAC96模型中的最高一个层次的模型。它的基本模型结构如图3.8所示。图3.8RBAC3基本模型结构本章小结:本章主要是按照访问控制技术的各种模型先后演变的历史进程进行一个概述性的介绍,主要针对目前已经出现的各种访问控制技术的定义以及各自的优缺点进行分析说明。本章描述重点是对RBAC96模型的分析,突出其优缺点。 山东大学硕士学位论文第4章基于xML文档的扩展RBAC模型基于前面几章讨论的内容可以看出首随着Intemet突飞猛进地发展,基于互联网的应用越来越深入,而XML无论是作为标记语言还是作为存储结构的数据库都随着htemet上的各种应用也被越来越广泛的应用,而作为解决ⅪⅢ作为信息载体广泛应用带来的安全问题——安全访问控制模型,则成为现在人们研究的热点,在第三章中已经提到在人们越来越多的研究访问控制安全模型,各种各样的安全访问控制在不断的更新换代,但目前xML访问控制技术仍处于研究的过程中,现在许多国内外研究机构和专家都致力于研究一个较为统一和成熟的煳L访问控制的标准。在经过访问控制模型不断的更新发展,目前具有比较灵活、简便和安全的RBAC模型已成为了访问控制策略的发展趋势,但该访问控制模型的缺点是它对数据库系统比较依赖,在通用性方面比较弱。而基于)(^IL数据库的RBAc模型则是该模型的舳实现,在此基础上建立的访问控制模型,就可以解决基于角色的访问控制模型对数据库系统的依赖性这一难题,但传统的基于xML文档的RBAc模型在很多系统环境中,会出现需要定义的数量过多的角色、权限,以及约束策略不完善等问题,这会增加模型系统中的角色、权限等管理的复杂度。本章就从这些存在的问题入手,在自己分析思考RBAc模型的基础上,找出问题所在再提出自己的解决方案,建立一种新的基于)(ML文档的扩展RBAc模型。并对新的模型进行详细的形式化定义和具体说明。4.1基于XML文档的RBAC模型传统的基于舭文档的RBAC模型也就是基于舭文档数据库的ImAC96模型,其模型框架如图4.1所示,这种访问模型针对的是一种经过细粒度划分的)(ML文档而制定的。其中,USers(主体集),RDles(角色集),PerIIlissions(权限集),Sessions(会话集),UA(主体配置),RH(角色分级),A=r(访问类型:读、创建、更新和删除),Ⅳ(实例映射)与ImAC96模型中的定义一致,但在这个模型中,给出了一些新的组件,SO(模式对象),IO(实例对象),基于模式的权限(SP)和角色.模式权限配置(SPA),以及基于实例的权限(口)和角色.实例权限配置(邛IA)。 ●LlJ东大学硕上学f专论文图4.1基于Ⅺ儿文档的RBAC模型基于xM,文档的ImAC模型其中的各个新组件定义:定义1S0(模式对象):包括煳LSchema文档和其中的组件,对应schema树型结构中的某个节点或节点集合。定义2IO(实例对象):包括XML实例文档和其中的组件,对应文档实例树型结构中的某个节点或节点集合。两者之间通过实例映射(instancemapping)相关联,这个映射是从sO到10的一对多关系。多个实例对象可能对应一个模式对象,但是一个实例对象却不能对应多个不同的模式对象。定义3SP(基于模式的权限):一个基于模式的权限表达了一个模式对象和此模式对象上允许的访问类型的关联:SP冬AT×SO。定义4IP(基于实例的权限):一个基于实例的权限表达了一个实例对象和此实例对象上允许的访问类型的关联:IP£AT×IO。定义5PA(权限配置完成角色集):(Roles)到权限集(Permissions)的映射。PA∈Permissions×Roles,一个多对多的权限~角色赋值关系,(permission,role)表示角色role具有权限permission。权限配置分为两类:角色.模式权限配置(sPA)和角色一实例权限配置(IPA),PA=IPAusPA。 山东大学硕士学位论文4.2基于XML文档的RBAC模型中存在的问题4.2.1角色授权过于庞大传统的基于ⅪⅢ,文档的RBAC模型具有RBAC96模型易于授权方便管理的优点,该模型可以针对经过细粒度划分的XⅦ,文档数据库进行相应的访问控制,,并且能够被很多的应用环境使用。当然它在某些特殊应用环境中也有不适合使用的地方。如图4.2所示的某企业员工工资的)(ML文档实例sal撕esinf0.xIIll,若要扫对这份文档进行访问控制,则要求每一个部门的员工工资信息只能由该部门的财务会计来管理。如果以传统的基于XⅫ,文档的RBAC模型来作为这份舭文档的访问控制模型,就需要在此系统中制定相应的角色来与每个部门的财务会计配对,将分配到各个角色对应的权限再分配给与该角色对应的用户。在图4.2sales.Xml文档段中,可以看出首先需要制定角色:roleA01和roleCOl,与这两个角色对应的权限为:PA01=(acces啊pe,/sal撕esinfo/detail【d印ar廿Ilentm高A01】)和PCOl=(acces咿pe,/sal撕esinf0/detail【department口D=COl】);随后需要将roleA01和roleC01配置给部门号为A01和C0l的财务会计。由此可知,在该实例模型中,存在多少部门则相应的需要制定多少个角色以及与角色对应的权限。若要对访问控制有更细粒度划分的要求时,如:每个财务会计只能管理自己职权内一的工资信息,则在该系统模型中要为每个部门的每一个的财务会计都要被指定一个相应的角色及其配套的权限,这样就难以避免一个用户被分配到一个角色的情印况出现,这会导致系统模型中需要制定大量的角色及权限,直接给系统的管理带来非常大的麻烦。在实际操作中,这种情况在应用环境规模不大的系统中还是能忍受的,可若要面对一个规模大的系统则无疑是雪上加霜,整个应用系统光要应付制定这些庞大数量的角色、权限等就经常非常复杂了,可想而知这样的系统应用起来效率会是怎样的低。28 山东大学硕士学位论文A01</rdepartlllentID>OOl</acountantID>3000·,/salaI.ies></detail>AOl</departmentID>002</acountantID>4000</s蚰aI.ies></detail>COl</departmentID>006</acountantID>2000</salanes></det撕l>图4.2企业员工工资ⅪⅢ。文档——sal撕esinfb.xml4.2.2约束策略不完善基于角色的访问控制RBAC(role-baSedaccesscon仃01)模型引入了“角色"这一媒介,所以信息管理人员可以根据用户需要而定义各种相应的角色,并设置配套的访问权限,而用户则依据其各自的身份和职责再被分配为不同的角色。这样,整个访问控制的过程就被分成了两部分即角色与用户相关联,访问权限再与角色相关联,从而逻辑分离了用户与其访问权限。正是由于逻辑分离了用户和其访问权限,使得该模型的权限管理变得非常灵活方便,同时角色间层次关系的描述能力增强,更利于权限最小化(1east研Vilege)原则的实现。尽管如此但在实际的大型应用环境系统中,系统的安全策略的基本要求是用户不能拥有超越他的职位所对应的访问权限,同时还要尽量减少同一个用户同时被分配为两个角色后产生欺骗行为的可能。例如一个企业中的同一个用户同时被分配为会计和出纳两个角色,就很有便于用户欺骗行为的产生。(一个企业的财务必须施行钱账分管制度:出纳只管钱物而会计只能管帐目。)职责分离(s印ar撕onofdLnies)规则就是不出现这方面错误有力的保证。本文将按照职责分离原则主要针对模型中的角色进行约束从而间接对角色对应的权限也起到约束作用,文章将用schema昀n来对约束进行形式化描述。4.3基于XML文档的扩展RBAC模型鉴于上述的实例可知,在sal撕esinfo.)【rIll文档中,可将有一定共同特点的客体 山东大学硕士学位论文进行归类划分成一类,如文档中PA01和PC01的权限,它们所对应操作的对象就是有着共同特点的一类客体,它们唯一区别是各自的属性不一样,表示为:(/Sal撕esinfo/detail)。根据这一特征,我们可将权限(pe册ission)定义在(/Salariesinf0/detail)一一客体特征的表达式上,定义为:(P=”acces晰pe,/saJ撕esinf;∥detail”),然后按照权限(penllission)赋予角色(role),角色再分配给用户(1lser),最后根据权限定义表达式中的范围来限定用户对客体访问操作的范围。依据以上想法,在实例中如果访问的主体是企业的财务会计,则可以将其权限范围指定成(/sal撕esinf0/detail【@d印anme删D】),对于ool号财务会计,则可以为其指定更为具体的访问权限范围即(/saJ撕esinfo/detail【d印ar咖entⅢ一A0l】),而002号财务会计访问权限范围也是(/smariesinf0/detail[d印训m即tⅡ卜AOl】),可见001号和002号财务会计所对应的客体访问操作范围是一样的,这样原来需要定义的两个权限就可以被定义一个权限范围所代替了,而与权限相对应的角色也自然由原来的两个会计被一个会计所取代。本章对基于ⅪⅢ,文档的RBAC模型进行扩展的部分就是对系统中的权限、角色定义由最初具体的逐个定义变成先对被访问的客体范围属性进行的抽象归类再将其抽象的属性特征用表达式来表示,而后具有同一属性特征访问客体的权限就可以共用一个表达式来描述,而与此权限相应角色的定义也只要定义一个就可以,这样主体对客体的具体操作访问就由访问权限范围和主体属性来确定。这对于系统规模非常大的应用环境来说,由于所需定义的角色和权限数量大幅度地减少,不仅节约了系统的资源、还方便了系统的管理,从而提高了整个系统的效率。元素形式化定义基于舭文档的扩展RBAC模型中的各个元素的定义如下所描述,模型框架如图4.3所示。新模型中的User(用户),Role(用户),Penllission(权限),Session(会话),AT(访问类型),RH(角色层次),Cons仃aints(约束机制),IO(实例对象),SO(模式对象),sP(基于模式的权限),口(基于实例的权限),M(实例映射),UA(主体配置),PA(权限配置),SPA(角色模式权限配置),IPA(角色实例权限配置)等元素的定义与传统的基于X池文档的RBAC模型中的定义是一致的这里不再做详细定义。 山东大学硕士学位论文图4.3基于Ⅺ皿文档的扩展RBAC模型定义6PAD(PublicAccessDomajn):公共访问域即公共访问权限范围表示为:p_domain=(矧,Pam,S/A,Type,For),“p_domain”代表公共访问域,“XN’’代表舳的模式或实例文档名称,“Pam”代表舭文档的根结点到元素结点所形成的Ⅺ,础路径,例:(/Sal碰esinf.0/detajl)。“S/A”代表当前xpatll中叶子结点的元素或者属性,“锣pe”代表对“S/A”中的叶子结点是元素还是属性的判断,它是一个二值变量,值为1表示是子元素名称,值为O则表示是属性名称。“F0r’’代表从客体属性中抽象出来的公式,如一个部门的Ⅲ号,可表示为depar吼entII),这一项是根据实际情况而制定不同的表达式。例:p_domam=(斌,/sal撕esinfo/detail,acount锄皿,1,userD),它所表示主体对客体操作访问范围为:(/sal撕esinfIo/detail【ac0吼t锄们D=:uSer玎)】)。定义7PADA(PublicAccessD0mainAssi印):公共访问域分配删∈R×以D,表示从角色到公共访问域多对多映射。彳船忉耐一,D跆s—p:(∥耐:只∞)专2^,表示从公共访问域pad到角色的映射。形式化表示为:4船柳Pd一,.D彪s—p:(p耐)={厂∈尺l(,,朋d)∈尸删}。在公共访问域PAD的定义出现之后,则需要重新对原本的角色层次关系(RH)进行定义(见定义lO、11)。3l LlJ东大学硕士学位论文定义8SAD(SpecificAccessDomain):特定访问域(确定具体的访问对象)表示为:s—如main=(XN,Path,S/八Type,、que),“s__domaill”代表特定访问域,“XN、Patll、S/A、Type"的定义与上面定义6中的一致,“vaJue"代表叶子结点元素或者属性具体的值。例:s-domajn=()m,/Sal撕esinfo/detajl,d印ar嘶entⅢ,l,A01),它所表示主体对客体的具体操作访问范围为:(/salariesinfo/detailld印a咖1en仰I_A01I)。定义9SADA(SpecificAccessDomainAssi盟):特定访问域分配删£删×&∞,表示从用户角色配置到特定访问域多对多映射。4ss柳阳一”s口朋一,D尼J—s:(s鲥:.翱D)专2明,表示从特定访问域sad到角色的映射。形式化表示为:彳ss劬耐一“sP,.s一,.D彪s—s(剃)={“a=(“,,.)∈己阴l((“,,.),sdd)∈-£侧}定义10传统角色层次关系(Im)朋∈R×尺,是角色集上的一个偏序关系,记作,当,;≥巧时,则吒的所有权限是,i的权限,吃的所有公共访问域是,i的公共访问域,吒的所有用户是吃的用户。形式化表示为:,i三吃jau_dlorized-pemissions(吃)互authorized-penIlissions(,i)八aru廿lorizedPAD(眨)∈au.吐lorizedPAD(,i)八锄舶rized二users(,i)∈authorizedj】Sers(吃)定义11特定的角色层次关系比定义10多了限制:Vr,,i,吃∈R,r三吒八r三眨j,i=吃这样,公共访问域PAD和特定访问域SAD的区别在上述的定义中显而易见的是访问用户的不同,PAD的用户是指所有用户,它是被分配给某一角色(role);而SAD的用户是指某些特定用户,它是被分配给具体的用户角色对(1lSer-role)的。针对PAD和SAD这种访问域的不同,结合图4.2sal撕esinf0.xIlll文档来举例说明其作用。例如:每个部门的财务会计按照规定只可以负责自己职权内的工资信息,定义一个权限(acces咖e,/salar斌il怕/detail),某一角色将被赋予这一权限。PAD所表示的访问权限范围是通过给某一角色分配一个访问域来实现的,它表示为:(xn,/salariesinfo/det砌,aCount锄tID,l,lIse订D);而SAD所表示的访问权限范围是通过给每一个具体的用户角色对分配一个访问域来实现的,它表示为:()【Il,/sal撕esinf0/detail,acoulltaIltD,1,001)。32 山东大学硕士学位论文4.3.1约束条件定义从上述的4.2.2中可得知在传统的基于舭文档的RBAC模型存在的安全策略问题,如:在一个企业中如果同时将ac0啪t锄t(会计)和c鹊llier(出纳)两个角色都赋予给同一个use“用户),这样就会很有方便于uSer欺骗行为的产生。(企业的财务必须施行钱账分管制度:出纳只管钱物而会计只能管帐目。)因此我们在扩展的RBAC模型中加入了conS仃aints(约束),用职责分离(SeparationofDu饥s0D)来解决访问控制模型中存在的安全隐患,,如:阻止user超出其职位的应有的pe枷ssion(权限)等。职责分离(s印ar撕0nofd谢es)就是针对此类现象发生的有效约束条件。因ImAC的实现机制各异,将访问控制模型的约束(职责分离SoD)【51】分为静态职责分离(St撕cSepar撕onofD谢es,SSD)、动态职责分离(DynaIIlicS印ar撕onofDuties,DSD)【561。如图4.4所示constraints是指向UA、PA和会话中的uSer、role等元素,coIltraints的定义有“接受”或“拒绝”两个属性值,当拥有“接受’’这个值的元素被认可为有效的。这里将根据扩展RBAc模型的安全实际需要提出cons仃ajntS,如下:1.基数约束:这主要针对角色以及权限的数量配置,即对一个role被分配的user数量限制;一个user可拥有role的数目也受到限制;而role对应的perIIlission的数目也有限制,这样还可以在访问控制模型中限制高级的penIlission配置。2.互斥角色:相互间排斥的角色。如:一个公司的会计和出纳,这两种角色之间就互相排斥,可被称为互斥角色。同一user只能分配到一组互斥roles中的一个角色,这属于静态职责分离(SSD)。3.动态互斥:一对互斥角色在运行中可以赋予给同一个user,但这两个role不能在同时被激活,这属于动态职责分离(DSD)。以下是用XⅫ,文档描述对扩展RBAC模型中职责分离约束(SOD)的描述如下:Acountant</SSDRoIe>CashieI.</SSDRole></SSDRoIeSet>(“acountant,’和”caShier’’这两个角色在静态职责分离约束下,只能存在其中之一。“ssdcardinali钾=”l””就是对角色的基数约束。)33 山东大学硕士学位论文M舳ageI·</DSDRole>Acountant</DSDRole>Cashier</DSDRole></DSDRoleSet></SoDPoIicy>(在动态职责分离条件下,”AcouIltant”和”CaShier,’这两个角色可以都存在,但不被同时激活“dsdcardinalit’r=‘2’’’表示对角色的约束。)这里的“约束”将在第5章中以实例的形式结合schematraon验证定义,来具体的描述。4.3.2实例以图4.2中的sal撕esinfo.Ⅺnl为例,假定sal撕esinfo.xsd为其对应的模式文件,要求每一个财务会计只能管理指定部门中的自己职权内的工资信息,不能跨部门管理工资信息,也不能管理同一部门中其他财务会计职权内的工资信息。采用基于X~Ⅱ,文档的扩展RBAC模型来实现,为了更清晰的显示,所有的权限管理相关信息都以数据表的形式来表示,建立以下关系数据表:用户列表1用户角色列表2角色列表3UserIDDepamnemDU∞心Ta腿001A01王一002C01李二角色公共访问域列表4I沁leⅡ)mDOlPADlUser【DR0leID0010100201RoleIDROleNan蛇Ol工资管理02帐目管理公共访问域列表5PADDXNXPamS,ABpeF0rPADlSalariesir曲.xsdSalariesinfo/detailA∞un:tantⅡ)lU∞rD角色权限列表6RoleⅢ’PD0lP0l用户角色特定访问域列表7UserIDRoleIDSADⅡ)00lOlSADl特定访问域列表8SADIDXNXPathS/ABrpe、厂alueSADlSalariesinf0.xsd/Salariesirlfo/deatilDepam豫Il皿lA0l权限列表9P玎)XNATXPatllP01Salariesinf0.xSdReadSaladesiIIf0/deatil ,山东大学硕士学位论文算法流程如图4.4所示。图4.4执行访问控制流程算法流程:第(1)步,假设001号用户向访问控制模块提出访问申请:(re她/Sal撕esinfo/detail【dep鲫胁entⅢ=AO1】);第(2)步,从表1、2中找出对应的用户所拥有的角色集,即01号角色和所对应的部门(DepamlentⅢ(A01));第(3)步,从第二步所得到的角色集中选出一个角色,再从表4和表7中找出其对应的公共访问域集(PADl)和特定访问域集(SADl);第(4)步,根据表5、8检查判定001号用户所要访问的客体属于他的访问域集所指定的范围,则转入第(5)步。若用户所要访问的客体不属于他的访问域集所指定的范围,则再判断此角色是否是该User的最后一个角色,若是则拒绝此次访问请求,若否则转入第(3)步;第(5)步,从表6中查找到01号角色所拥有的权限POl;第(6)步,对应表9查出001号用户请求的操作是否符合权限P0l所定义的操作,若是则允许此次访问请求,否则拒绝。如果OOl号用户向访问控制单元提出访问 山东大学硕士学位论文请求(Delete,/sal撕esi廊/detail【d印artmentD=Col】)时,将会被拒绝(因为根据表1得知:001号用户所在部门departmen皿=A01,再根据表2、4、7、5、8得知该用户没有访问“depanmentD=COl”信息的权限,根据表6、9得知:ool号用户不具有P03“Delete”的操作权利)。从上述实例说明可以得知,基于xⅦ,文档的扩展RBAC模型比传统的基于舭文档的RBAC模型在具体执行访问控制处理时,大大减少角色与权限的数量,从而减少系统管理员的工作量,能够更好地满足复杂企业应用环境中x池文档访问控制的要求。本章小结:本章在分析基于x池文档的访问控制模型不足的基础上,提出了一种基于舭文档的扩展访问控制模型,即先对访问控制模型中的客体按照其属性进行抽象归类,再将权限定义在一类客体上,这样模型中的主体对客体的访问权限,由其对应的角色和访问域共同来确定,极大地减少了角色和权限的数量。其次是用职责分离来约束该访问控制模型,以解决角色配置及其对应的权限配置中存在的安全隐患。 山东大学硕士学位论文第5章模型框架及设计在第4章节中,分析了传统的ImAC模型存在的问题,在此基础上针对这些问题的解决方案提出了扩展的RBAC模型,并对新的扩展ImAC模型进行完整的定义和详细的说明。在本章中将结合实例模型集中对基于x№文档的扩展RBAC模型的系统实现及其系统实现所需的主要技术支持进行考虑。5.1主要详细描述了新扩展模型的框架结构及其各部分的组件,5.2节针对新模型系统的总体流程实现进行了概括性的说明,5.3节结合具体实例采用舭Schema对模型中的各组件进行结构化的定义,5.4节在5.3节模型的舭Schema结构定义基础上给出实例中主要的舭文档。5.5节在前面几节详细定义说明的基础上结合实例,给出基于舢文档的扩展RBAC模型的主要访问过程。本章结合一个简化的企业内部人员管理信息系统作为模型的实际应用环境,主要针对基于舳文档的扩展RBAC模型的设计,并对在此模型的框架中实现系统所需的关键性技术进行更为直观和深入的描述。5.1模型框架,一、,、9№et、、~—一一l舳数据库认证模块1.JL(IO,SO)lme8ON;wOrd2UserID、L/’r1r\,№et./\?Pe疵sst。璐<策略模块)/,。(用户)13use皿仍I口J瑶制系统6ROlesPA.xlnl]\√耐。静核心uRs.xIIllKs、I)\⋯彳R01eso洲、A1RP.ⅪIll-J\/\/I1LUA.舢,4UserID7\~刚啪儿/图5.1基于Ⅺ沮。文档的扩展RBAC模型结构框架如图5.1,基于xⅦ,的扩展RBAC模型框架由以下各部分组成。1.认证模块:根据用户对系统访问控制需求,开始对用户信息识别,以此来判定该用户是否满足登录系统时所具有的条件。2.访问控制系统核心:整个访问控制系统的核心部分,主要负责处理用户对系统的访问请求(主要包括接受请求、处理请求、返回结果)。37 山东大学硕士学位论文3.策略模块:如图5.1所示,主要包括两部分,首先user-role分配文件(UA.xlTll)和role层次文件(RH.x础)组成策略模块的第一部分,第二部分包含penllission.role分配文件(PA.xrnl)、r01e.PAD的分配文件(I心)【1111)和uSerrole.SAD的分配文件(U峪.xrnl),这三个x~Ⅱ,文件实际又有实例文件和模式文件的区分因此实际上是六个Ⅺ沮,文件分别是:SPA.xrnl(权限配置模式文件)、m~.Ⅺ11l(权限配置实例文件)、SRPxIIll(角色.公共访问域配置模式文件)、耻xIIll(角色.公共访问域配置实例文件)、SURS.xrnl(用户角色.特定访问域配置模式文件)、n瓜S.xIIll(用户角色.特定访问域配置实例文件)。4.X眦文档数据库:该数据库中包含的对象就是指m文档实例对象(IO)和x池模式对象(SO)。5.2模型系统实现通过对舳文档信息被一般用户访问的过程描述,以此说明基于X池文档的扩展RBAC系统实现的整个机制,这是本节的主旨。以用户读取xⅦ,文档数据库的整个访问过程为例,用户对该模型的系统进行访问时,整个访问流程次序可参照图5.1中箭头方向(1.10标号)。当user要登录访问系统时,首先uSer向系统中的认证模块申请用户信息认证。通过确认以后,再向访问控制系统提出对Ⅺ咀,文档内容的访问请求,申请访问的内容包括:访问目标客体名称ON(ObjectNaIlle)和访问类型Ar(AccessType),ON可以包括:XI诅。实例对象、Ⅺv儿Schema模式对象,因为Schema定义的是文档模式,它与实例对象之间的关系是一对多的关系,如果改变了一个Schem文档则与其相对应的所有实例对象发生都要改变,所以这里为了简单说明模型,就以实例对象为例,也为了不影响定义好的Schema模型结构,就以“读”的访问类型为例。访问控制系统核心访问过程:一方面首先,在user-role分配文件UA.xllll和role分级文件RH.xIIll中,根据user信息获得这个user对应的role。然后,在pe咖ission.role(权限.角色)分配文件PA.xIlll(权限分配)、role.PAD(角色.公共访问域)的分配文件RPxlTll(角色.公共访问域)和use丌0le.SAD(用户角色.特定访问域)的分配文件URS.x“,根据ON和AT以及uSer对应的role来获取user此次对应的访问操作pe肌ission。另一方面访问控制系统核心根据oN从)(1帆文档库中提取相关的文档,在取得访问的目标文档和对应操作权限后,就要依据对应的权限开始对目标文档进行筛选,将IlSer权限范围之外的访问的内容从矾 ,’山东大学硕士学位论文文档中去除,然后再验证目标文档是否与对应的schema文件相配,如果是则返回目标文档给llser,如果不是,则判断为本次访问操作无效。在模型的访问过程中,本章采用xⅦ,技术来存储和传递在整个模型中的各个模块之间的相关信息,例:用户信息、访问请求、访问结果等。5.3模型的模式定义目前,XⅦ,和Ⅺ诅,Schema作业描述语言之所以得到广泛应用和快速的发展最主要因为其具有以下优点:首先,Schema是用来定义一种具有规范的逻辑结构的X池文档的一种描述语言,其主要作用就是用来确保xⅦ,文档逻辑的结构是有效的。其次,Schema本身就是一个有效的Ⅺ沮.文档。再者,Schema语言支持命名空间表现在:Schema包含多种简单的和复杂的数据类型,不仅如此它还可以自定义数据类型。另外,很重要一点是舭和X池Schema都具有平台无关性。由于存在这么多的优点,本章选择舭Schem语言来定义基于舭文档的扩展RBAC模型。基于X池文档的扩展ImAC模型的实现,首先本章采用舭Schema来定义模型框架及其各个组成部分,用舳Schema对实例模型框架结构的定义就类似于建关系数据库之前,首先要设计数据库的表结构。与)a帆Schema定义相对应的舭文档,就相当于关系数据库中具体的数据表内容,而定义的这些文档可以用来储存扩展RBAC模型系统的各种数据。这里以一家企业内部人员管理信息资源的访问控制模型为例,我们详细给出User,RIole,Pe肌ission,llser-role分配关系UA,penllission.role分配关系PA,公共访问域P加和特定访问域SAD以及role.PAD的配置关系I心和uSenDle.SAD的配置关系URS对应的XMLSchema,实际的Ⅺ沮。访问控制数据文件将被这些XMISchema文件来定义。1.在X池schema中,“User”的概念可以表示如下。<黜:elementname="user”留pe=”user姆pe’’/><】噶:complex哆pename=”usertype’,><弱:attl.ibutename=’’userID’’坶pe2’’xs:ID’’use2’’他qui比d’修<鹤:attl.ibutename=’’departmentⅢ"坶pe=’’xs:ID’’use=’’optional’’/><必:atmbutename=’’username’’留pe=’’酗:stl.ing’’u辩=’’optionm’诊</黜:compIex略pe>上述是对“use啊pe"数据类型的定义,说明一个用户由三个属性来表示,39 山东大学硕士学位论文“uSedd”、“depanmenⅡd”和“uSem锄e”。第一个是“reqmred”表示强制性的属性,必须唯一存在,而后两个是“o曲0nal”表示可选性。2.“R0le”的数据类型定义如下。“vmidrole’’数据类型是指合法角色名的集合,其定义如下。<璐:enumerationvaIue=’’cIerk’修</xs:restriction></磷:鲫mpIet)rpe>“roleliIIlit”数据类型用来指定在该系统中每个角色对应人员的最大数量定义如下。</xs:simpleType>3.“Pe册ission”数据类型定义如下。</xs:sequence></xs:compIex锣pe>● ,●山东大学硕士学位论文“XPam”表示由根节点和元素节点构成的Ⅻ抽表达式,“Ⅻ”表示Ⅺ儿模式或舳实例文件名“validacCess够pe”数据类型是合法访问类型的集合,其定义如下。·<-/】【s:restriction></xs:simDle钾De>4.“PAD”公共访问域的数据类型定义如下。</xS:complext),pe>“For"表示从主体属性表达式中抽象出来的公式,如用户的ID号,可表示为userⅢ,这可以根据实际需要选用不同的表示方式。“S/A”表示子元素或者属性名,type为二值变量,l表示“S/A”字段是子元素名,O表示是属性名。5.“SAD”特定访问域数据类型的定义如下。</xs:sequence>4l 山东大学硕士学位论文“departIllentvalue’’表示子元素或者属性(“S/A”)的值。6.主体.角色配置关系“UA.xml”相对应的Ⅺ沮,Sche仃吼。7.权限.角色配置关系即“PA.xⅡll’’对应的ⅪⅢ,Schema。</xs:sequence>8.角色.公共访问域的配置关系即“RPxIlll”对应的xMLSchema。</xs:sequence></xs:compIex够pe>9.用户角色.特定访问域的配置关系即“URS.删”对应的Ⅺ沮.Schema。‘,/xs:sequence>最后,关于此企业人员信息的Ⅺ强AC模型由User、role、pemission、user-role配置关系和penIlission.role配置关系、PAD、SAD、RP配置关系和URs配置关系组成。42● ,●山东大学硕士学位论文5.4模型中XML数据的描述既然我们已经开发了该企业人员信息资源扩展RBAC模型的ⅪⅢ。Schema,现在我们在Ⅺ儿文档中来编码这家企业人员管理信息资源的访问控制数据以该企业的部门D号为A01的基本人员信息(DepartrIlentinfo.xrIll),要求每一个财务会计只能管理指定部门中的自己职权内的工资信息,不能跨部门管理工资信息,也不能管理同一部门中其他财务会计职权内的工资信息。采用扩展的X.ImAC模型来实现,为了更清晰的显示,所有的权限管理相关信息都以数据表的形式来表示为例,User、role、pennission、llSer-role配置关系和pemlisSion.role配置关系、PAD、SAD、RP配置关系和URS配置关系的Ⅺ儿文档标签结构与舭Schem中的定义相符。Departlllentinf.o.xmlA01</departmentID>Ol</managerID>02</treasuI℃rID>03</AcountantID>04</cashierID>05</clerIdD></detail></personinfb><6nanceinf.o>AOl</departmentID>部门收入、费用、权债帐目</Ac佣nt柚t>部门现金和财物</cashier>A01</departmentID></salanesinf.0></det蚯l></financeinfb></detail></departmentinfb>43 山东大学硕士学位论文本章只对实例的部分uSer.xfnI,role.x砌,UA.xllll,penllission-人员.xml和PA一人员.x瑚,PAD.x瑚和SAD.xⅡll以及RPx珈和切恣.x血文件的内容进行描述,只为说明怎样使用XML文档方式来对访问控制数据的存储。基于XMI文档的扩展RBAC系统可以提供对龇文档细粒度的访问控制,这样会造成该模型的访问控制客体数量(包括文档数据库中所有Ⅺ儿文档及其树形结构中的每个节点)会很大,从而相应的系统中的权限数量也会剧增。为了减少定义权限的文件数量,清晰展现实例,本章将权限的定义按照访问对象的所属XⅦ,文档而分类描述。如:“user.x池”它对应的用户角色配置将用“RA.xnlL”定义,而其对应的权限将用“penllission.州”来定义,与此权限相关的权限.角色配置则用“PA.x珊”来定义等。1.User.xIlll(主体集)定义。2.Ible.xIIll(角色集)定义。read</access毋pe>Depar恤entinfo.xml</XN>//^</XPath></permission>read</access够pe>DepartIllentinfo.xml</XN>/depal.tmentinfo/detailmnanceinfo/★</)【Path></permission>read</accesstype>DepartIllentinfo.xmlt∞【N>● r山东大学硕士学位论文/depaI.tmentinf0/detaj垤n舳ceinfo/det蚯№alal.iesinf0/★</)【Path></permission>11ead</access时pe>Depal.tmentinfo.xml</XN>/departlllentinf0/det面垤n锄ceinfo/detai№甜ariesinf0/det棚『@cler恼d1锄ath>一’</permissiOn>4.PAD.xIIll(公共访问域)定义。Departmentinfo.xml</XN>/departmentinf0/det出l厢nanceinfo/detail</XPath>departmentid</FOR>5.SAD.xml(特定访问域)定义。Depal.tmentinfo.xml<屈=N>/depaI.tmentinfo/detail厢n粕ceinfo/detail【@depaI.tmentid】</)【Path>AOl</depaI.tment、,alue>6.UA.xIIll(主体.角色配置关系)定义。00l</userID></llserroIeassignment>002</userID></userroleassignment>003</userID></u靶rroleassignment>004</userⅢ></userroIeassignment>005</userID>006</userm><人lserroleassi2nmen伊7.PA.xllll(权限.角色配置关系)定义。Ol</DermissionID></PermissionRoleAssi2nment>02</permissionID></PermissionRoIeAssignment>45 山东大学硕士学位论文03</permissionID></Permissi仰RoIeAssignment>03</permissionID><,PermissionRoleAssignment>04</permissionID></PermissionRoleAssignment>8.RPx珊(角色.公共访问域的配置关系)定义。0l</roleid></mlePADassignment>02</roleid></mIePADassignment>9.切恣.xml(用户角色.特定访问域的配置关系)定义:OO1</usel.id>0l</roIeid></u∞rroIeSADassi2nment>002</userid><1.oleid>02</roleid></userroleSADassignment>5.5访问模型的具体实现用户访问该企业人员管理信息资源基于舢文档的扩展ImAC访问控制模型具体步骤如下:第(1)步,假设001号用户向访问控制单元提出访问请求(re她/depanmentinfo/detajl瓜nanceinf0/detail/departmentid【departmentII)=AOl】);第(2)步,从user.xInl和UA.xInl文档中找出对应的用户所拥有的角色集,即001号用户对应01号角色及其所对应的部门(D印anmen皿(A01));第(3)步,从上一步所得到的角色集中选出一个角色,再从RPxIIll和URS.xIIll文档中找出其对应的公共访问域集(PADl)和特定访问域集(SAD01);第(4)步,根据PAD.xIlll、SAD.xml文档判定001号用户所要访问的客体属于他的访问域集所指定的范围,则转入第(5)步。若用户所要访问的客体不属于他的访问域集所指定的范围,则再判断此角色是否是该User的最后一个角色,若是则拒绝此次访问请求,若否则转入第(3)步;第(5)步,从PA.xlIll文档中查找到001号用户对应01号角色所拥有的权限POl和P02: 山东大学硕士学位论文第(6)步,对应pemlission.xIIll查出001号用户请求的操作是否符合权限P01所定义的操作,若是则允许此次访问请求。如果001号用户向访问控制单元提出访问请求(Delete,/d印anm∞tinf.o/detail/fm锄ceir曲/detail/d印ar咖朗tid【dep搠lentII)=C01】/)时,将会被拒绝(因为根据uSer.xIIll文档得知:001号用户所在部门d印a咖en皿)_A01且根据pennission.xnll文档得知:01号用户不具有“Delete’’的操作权利)。5.6模型约束规则的定义5.6.1Schematraon简介Schema仃on是一种基于规则的ⅪⅢ,模式语言,它被用于定义和约束Ⅺ帆词汇。主要针对要进行检查的Ⅺ儿文档记录规则。基于这种特点使得Schema廿Dn既可以作为独立的模式语言,还能作为其他模式语言的补充,即可以作为x池Schema定义文档结构的验证。由于XⅫ,Schema给文档结构验证时必须要获取足够多的策略约束,才能验证成功,而这一点在实际环境中是不太可能实现的。所以本文在基于舭文档的扩展ImAC模型中采用Schema仃0n来表达安全策略约束的限制。schema昀n继承了schema的优点,也是采用了Ⅺv几语法结构。Schema.仃0n中定义了一些组件包括:sChema、p甜em、mle、笛sert、r印ort以及对应的属性来约束各组件及其属性的值,其中的Ⅻam用来定位各组件的位置。。每个schema仃onschema是由一组pa竹em构成。每个paltem由一个或多个nlle(s)规则组成,而每个mle规则都可包含aSsen和r印ort两部分。下面对schema仃on的各组件逐一进行描述。1.schemaschema组件是schema仃on语言中的元素,主要包含了一个石tle(标题)以及一个或者多个pattem。2.pattemPattem组件是一组实行约束的规则。3.mlemle组件是被用来定义aSsert和r印ort组件。4.嬲sert和r印ort“嬲sert”和“rel)ort"是schema仃0n中用来定义约束规则的组件。每个组47 山东大学硕士学位论文件都会配套一个冲am表达式的“teSt"属性。“嬲sert”组件中的“teSt”表达的语义必须是肯定的,而在“report’’组件中的“test”表达的语义是否定。完整的schematron语法实例。exampleschematI.onschema</sch:titIe>The’’person’’elementshouldcont址n"twohands’’element.</sch:asseI诊The“person’’elementshouldnotcontain’’tail'’element.</sch:rep01.|_></sch:rule></sch:pattern>●●●</§ch:schema>5.6.2模型的约束表示。在第4章提到在传统的基于x池文档的ImAC模型存在的安全问题,而在新囊提出的基于Ⅺ儿文档的扩展RBAC模型中加入cons仃aints(约束)一一职责分离(S印arationofD呶SoD)来解决访问控制模型中存在的安全隐患,在对≈schema仃aon语法进行简要说明后,结合本章企业人员管理信息资源的实例中的安全问题进行如下描述:1.基数约束在模型中的企业人员管理信息资源中定义角色的种类和数量是一个很重要的问题,角色的种类和数量如果没有限制不仅造成系统资源的浪费和模型数据文档的繁杂性还会对系统安全性造成不可忽视的影响。如一个部门的经理实际只有一个,但在模型定义中若没有对其进行角色数量约束,就会给外部人员提供非法登录和非法的权限使用提供便利的后门,要杜绝此问题,将作如下定义:在Ⅺm.文档中对mallager(经理)这个角色定义代码为: ●山东大学硕士学位论文exampleschematronschema</sch:title>=count(。,U跎I.1王oleAssignment,user【。/@roleid=’01’1)“分配为“01”(经理)这个角色的用户数量小于“01’’号角色的基数。</§ch:asser伊</sch:rule></sch:patHtem></§ch:schema>,在Role.xIlll文档中属性”Carmnal岫”的值限制了分配为某角色的最大用户数量,这样有效约束了各部门经理这个角色的最大数量。上述的实例可以避免在模型的舳文档中出现如下定义。001</userid>002</usel-id></UserRoIeAssignment>2.互斥角色常见的最是一个公司的会计和出纳,这两种角色之间就互相排斥,本文的实例模型中的企业中各部门的“会计”(r01eid=03)和“出纳”(r01eid=04)这两个角色就是一组互斥角色。对于这样的角色,规定一个user只能分配到一组互斥r01es中的一个角色,这属于静态职责分离(SSD)。具体schematron定义如下:以下是用XⅦ,文档描述对扩展RBAC模型中职责分离约束(SOD)的描述如下:exampIeschematronschema<,sch:title></sch:rule>·:/sch:pattem></sch:schema>而如果角色之间不是互斥关系例如出现担任“m锄ager”角色的用户,他还可以同时兼任“仃eaSurer"的角色,其定义如下:exampleschematronschema</sch:title>49 山东大学硕士学位论文分配为“0l”号角色的用户,还可以同时被分为“02”号角色·E:/§ch:assert></sch:rule></sch:pattem>5.7系统说明基于Ⅺ儿文档的扩展RBAC系统主要包括安全策略模块和访问控制模块。安全策略模块主要是用来管理5.4节中基于Ⅺ儿文档的扩展RBAC模型中的X池文档数据的的存取;访问控制模块主要是提供给涉及舳访问控制需求的应用系统之间交互而需要的删接口组。基于舭文档的扩展RBAC模型框架模式简洁,实际使用效率高,安全使用性能高且实现方便等优点。除此之外,该模型还为访问控制模型的进一步分析研究打下比较坚实的基础。下一步可以针对各种应用环境和各种访问需求创造出更合理、更灵活的访问控制模型。本章小结:在第4章节中,分析了传统的RBAC模型存在的问题,在此基础上针对这些问题的解决方案提出了扩展的RBAC模型,并对新的扩展RBAC模型进行完整的定义和详细的说明,进一步对基于舭文档的扩展RBAC模型的系统实现和关键性技术进行研究。首先设计了基于Ⅺ儿文档的扩展RBAC模型框架,然后结合一个简化企业人员管理信息资源的访问控制应用环境,采用舳Schema对模型中的各组件进行结构化的定义,并在模型的xⅫ.Schenm结构定义基础上给出实例中主要的ⅪⅢ,文档。在经过详细定义说明的基础上结合实例,给出基于龇文档的扩展RBAC模型的主要访问过程。本章主要采用了更为直观和深入的描述了基于Ⅺ沮,文档的扩展RBAC模型的设计,结合实例的应用环境,具体展示了在基于舳文档的框架中,实现扩展的ImAC系统所使用的关键性技术。● 山东大学硕士学位论文第6章总结与展望经过一年多的努力,在导师赵合计老师的精心指导下,通过查阅相关文献资料,首先对X池数据库结构特点进行分析讨论,并分析了XML数据交换存在的隐患,以及针对这些隐患现有的解决方案进行具体的了解。本文对安全访问控制模型技术的几种模型的的各个特点进行分析研究,最后锁定在RBAc模型作为本文研究的重点,在Ⅺ儿文档的凡媪C模型的基础上分析研究分析了该模型的缺点不足之后,提出了新基于)(ML文档的扩展RBAC模型,并对其作简单介绍。1.现己完成的主要内容(1)对XⅦ,数据库结构特点进行分析讨论,具体从Ⅺ咀,语言简介开始将作为标记语言的舭与删,进行比较,分析了各自的优缺点,然后又将舭作为存储结构时的XML数据库与关系数据库进行分析,比较了各自的优缺点。并分析了Ⅺ咀.数据交换存在的隐患,以及针对这些隐患现有的解决方案进行了介绍。(2)对访问控制模型进行一个简要概述,主要分析了目前国内外已经出现的几种访问控制模型的的各个优、缺点,重点讨论RBAC96模型的特点。(3)分析了传统的RBAC模型存在的问题,在此基础上针对这些问题提出自己的解决方案一一基于舢文档的扩展ImAC模型,首先先对访问控制模型中的客体按照其属性进行抽象归类,再将权限定义在一类客体上,这样模型中的主体对客体的访问权限,由其对应的角色和访问域共同来确定,极大地减少了角色和权限的数量。其次是用职责分离来约束该访问控制模型,以解决角色配置及其对应的权限配置中存在的安全隐患。(4)对新的扩展lmAC模型进行完整的形式化定义和详细的说明,进一步对基于x池文档的扩展RBAC模型的系统实现和关键性技术进行研究。设计了一个基于舭文档的扩展RBAC模型框架,在经过详细定义说明的基础上结合实例,采用X池Schema对模型中的各组件进行结构化的定义,并在模型的mSchema结构定义基础上给出实例中主要的XML文档,给出基于舭文档的扩展RBAC模型的主要访问过程。2.下一步研究工作由于水平和时间的限制,目前本论文还存在许多不足之处,仍然有许多有待 山东大学硕士学位论文进一步研究提高的地方,这也是下一步深入研究讨论的方向现总结如下:(1)本文是从基于角色的访问控制模型的客体属性和约束条件方面来改进传统的RBAC模型的不足和缺点,而对整个访问控制模型的授权框架没有做太多深入的研究,在提出的新模型中所定义的各部分组件虽然结构简单也比较容易实现,但还没有完全展现出基于XⅦ.文档的扩展RBAC模型优势。(2)最近几年对访问控制的研究有提出基于任务的访问控制模型,还有基于将角色和任务相结合的访问控制模型,对此可以作为下一步改进基于舳文档的访问控制模型的一个参考方向。(3)对访问控制策略需要有更深入的研究。由于网络应用环境复杂化的趋势,导致应用系统会不断增大,相应的系统实际运行时就会出现访问控制策略过大的现象,这必然会给访问控制检查的效率造成很大的影响,所以访问控制策略的结构和合并的算法也是下一步讨论研究的重要方面。(4)对于访问控制模型的约束条件本文只是从角色、权限的基数限制和互斥角色的静态约束方面考虑,至动态约束以及模型中其它组件的约束还有待于下一步结合实际需要做更进一步地细化和深入研究。本章小结:本章简单总结了自己对基于Ⅺ儿文档的安全访问控制模型的主要研究内容以及还存在的不足和缺限并对此展望了一下进一步研究的方向和内容。52 山东大学硕士学位论文参考文献【l】张敏,徐震,冯登国,数据库安全【M】,北京,科学出版社,2005.7【2】Ra:viS.SandhuE撕dJ.Coyne,HalL.Feillstem,et.a1.Role—BaSedAccessControlModels.正EEComputer,1996,V29(2):38-47【3】JoonS.Park,R.Sandhu,锄d(两l—J00n舢m,Role-B鹊edAccessCon臼『0l0nmeW曲,ACMTraIls.Inf.0mation舭dSyStemSec.,、厂01.4,No.1,Feb.2002.【4】ZHANG)(inwen,JaehongPark,RaViSandllu.Schema2b私edⅫ仉sec嘶够:RBAC印proach【C】.EstesPark,Colorad0,USA:17t11Ⅲ口WGll.3WoddngConfonDataaIldApplic撕onSecuri锣,2003.【5】DarnialliE,diⅥmerc撕SDC,ParabosclliS,S锄aratiPAfine-grajnedaccesscontr01syStemforXMLdoc啪ents.ACM.Tr锄sactionsonhlfomlation锄dSystemSecuri够(11SSEC),2005,5:169-202【6】BeritinoE,CastanoS,Fen面E.Sec嘶ngⅪ沮。doc啪∞ts谢tllAu吐lor-X.ⅢEEhltemetComputing,M坶/June2001.21·31【7】KuperGM雒sacciFGeneralizedⅪ沮,Sec埘锣Views.SACMAT2005hl:lOmACMSymposi眦0nAccessCon仃olModels锄dTechnolo百es,Stocl【llol鸭S、Ⅳed即,JIlIle,2005.77—84.【8】B.Laun叩son.Proteetion叨.ACMOperationsystemsReV,1974,8(1):18-24【9】GS.Grah锄锄dP:J.Demlin吕Proteetion—principlesandprattices【C】.hl栅SSpringJointComPuterConference,1972:417-429.【10】刘启原,刘怡.数据库与信息系统安全【明.北京:科学出版社,2000:70-loo.【11】DarnjaJliE,Ⅵmerc撕SDC,ParaboschiS,S锄ar撕PAfine-grainedaCcesscontrol夥stemforxMLdocuments.ACM11SsEC,2002,5(2):l69202.【12】D.Delllling.ALatticeModelofSecureInfom撕onFlow【J].Comm吼icaionsofmeACM,1976,19(5):236-243.【13】D.FFerraiolo,D.R.Kuhn.Role—BasedAeeessControls.ProeeedingSof15thMSTNSAN撕onalComputerSec“够Conferenee,Baltimore,Ma巧lalld,1992:554.563.【14】R.S.Sandllu,E.J.Coyne,HL.Fejnstein.R0le-BaSedAcce豁Con仃0lModels【J】.53 山东大学硕士学位论文正EEComputer,1996,29(2):38-47.[15】R.S.Sandhu,VBh甜nidip撕.TheARBAC97ModelforRole.BaSedAdministrtionofRoles【J】.ACMTrallsactionsonInfom枷on锄dSystemSec嘶够,1999,2(1):105—135.[16】OsbomS,SaIldbuRMuIlawerQ.Configuringrole-b嬲edauccessCon仃Dlt0enforcemandato拶锄ddiscretionaWaccesscontrolpolicies.ACMnSSEC,2000,3(2):85106.【17】FerraioloD,SandhuR,G乏L埘laS,eta1.Aproposedst锄dardforrolebaSedaCcesscon仃01.[J】.ACMTransactionsonInforIll撕on锄dSyst锄Securi可AuguSt,2001,4(3):224—274.[18】DaIIlianiE,VimercatiSDC,ParaboschiS,S锄ar撕PAfine-grailledaccesscontrol夥stemforxMLdocuments.ACM11SSEC,2002,5(2):169202.【19】Ra们S锄dhu,QamarMuIlawer.The妯mAC99ModelforAdmnis仃ationofR0les【A】.15mAnnualComputerSec嘶tyApplic撕onsConfer明ce[C】.砸髓Computer,l999:229—230.【20】JingzhuW抽g,SylViaL.Osbom.ARoleBaSedApproacht0AccessControlforXN几Databases.ProceedingsoftlleninmACM$mposi哪onAccesscon臼olmodelsandtechnologies(SACMAT’04),J眦e2—4,2004,Yorkto啪Heigllts,NewYrork,USA.【21】钟华,冯玉琳,姜洪安.扩充角色层次关系模型及其应用【J丁.软件学报,2000,1l(6):779-784[22】聂伯敏,熊桂喜.分布式环境下基于角色访问控制的实现[J】.计算机工程,2002,28(8):18l-183.【23】郭蕴华,陈定方,熊文龙.基于角色与基于规则相结合的访问控制模型【J】,武汉理工大学学报,2003,27(5):678.681.[24】谢东文,刘民,吴橙.企业级信息系统中基于策略的访问控制[J】.计算机集成制造系统200511(4):561.564..【25】邢小永,陈性元,张斌,等.一种基于角色的访问控制扩展模型【J】.微计算机信息,2006,22(11):73.75.【26】夏鹏万,陈荣国,孙剑.增强的基于角色的数据库访问控制模型【J】.计算机应-l ●、●一、山东大学硕士学位论文用,2007,27(3):597-600.【27】W.0rldwideW曲C0nsoni啪(W3C),E)(tensibleMark叩Lallguage(Ⅺ沮。)1.O.2000.ht中:/^^,、^n^fw3.oI‘g厂rR/REC—xtlll【28】LiL锄,HeY-ong-Zhong,FengDeng-Guo.AFme·GrainedMandato巧AccessControlModelforⅪ沮。Doc啪ents.J0啪alofSoRware,v01.15,№.1O【29】王国仁,ⅪⅢ,数据管理技术[嗍,北京,电子工业出版社,2007.4【30】W曲的新生命—-XⅦ,,h却:,加矾Ⅳsinocyber.com【31】邓华梅,李肖锋,袁海平.关于Ⅺ皿数据的存储研究【J】.科技情报开发与经济.2008,18(24):153.155.【32】彭其华.网络环境下基于XML的异构数据交换的研究【J】.西南民族大学学报:自然科学版2003,29(6):756—758.【33】翁畅平.基于Ⅺ儿的数字图书馆信息组织[J】.科技情报开发与经济,2008.18(16):12-14.[34】WbrldWdeW曲Consoni唧(W3C),XMLSchemaPanoPrimer.2001http:/,、^n^州w3.org厂豫/xmlschema—O.【35】】w6rldwideW曲C0nsorti啪(W3C),ⅪV几SchemaPartl:Stmctures.2001.hnp:伽n删w3.o唱佻/Xnllschema-1【36]Wbrld晰deW曲Consoni岫(W3C),ⅪV匝SchemaPan2:Data姊es.2001.http://趴删w3.o妒鼬锄lschema-2【37】WrorldwideW曲Consoni啪(W3C),ⅪV几PadlLaIlguagea跏1).2002.http:∥wwww3.org厂rR仲adl20【38】WbrldwideW曲Consortium(W3C),xMLQue巧Language(XQue猡).2005.http:‰,、^n)v:w3.org佻/Xque哆【39】htcp:f^^,、^,、^‘w3.o妒ncDlrption佗001/,2002—12—3l【40】http://wwww3.o叫Si印ature/,2002-12-31【41】EntmstTechnologies.XⅦ,Strate影forA讪ori捌ion,200l-4【42】VeriSi印、)l,lliteP印er.恐见1lmstSeⅣices,2001—1l【43】cs·xacnll唧ecification.http://讥VwoaSis-open.o咖。眦lli他eS/doc啪ents.php【44】BELL,D.1987.Secure∞mputers)rStems:Anetworkinte巾ret撕on.hlProceedingson3rdAmlualComputerSec嘶锣ApplicationConfeI.ence.32-39.55 山东大学硕士学位论文【45】SANDHU,RANDSAMARAn,P1994.Acesscon仃0l:Principles锄dprac石ce.ⅢEECommun.Mag.32,9,40-48.【46】Ma:tulldaNyancham巩SylViaOsbom.Modelingm锄dato哆accesscon仃Dlinrole-basedsecuri够可stems,ProceemngsofⅡleninm锄ual邛’PTCllWGl1.3、vorkingconference0nDatabaSesecuri够EK:status趾dprospectS:status锄dprospectS,p.129—144,JanuaDrl996,R咖selaerville,NewY0rk,Unjtedstates.[47】Da访dE.BeUandLeonardJ.LaPadula.SecureComputerSystems:^他mema_ticalFo血d撕ons.ESD-TR-73-278,Ⅶ1.I,AD770768,ElectronicSystenlsDiVision,~rForceSystenlSCom瑚and,HaJlscomAirForceBaSe,Bedford,MA,USA,Nov1973.【48】D撕dE.Bell觚dLeonardJ.LaPadula.sEcureComputerSystemS:AMalhem撕calModel.ESD一Ⅱ073-278,、,01.Ⅱ,AD771543,ElectronicsysteIIlsDi访sion,AirForceSystemsCommand,HanscomAirForceBaSe,Bedford,M_A,USA,Nov1973.[49】FerraioloDF,KuhnDR.Rolebasedaccesscontrol[A】.15mNa:tionalColllIputerSec血tyConference【C】.1992,554-563.【50】Sandllu,RS,Coyne,E.J,Feinstein,H.L,andY0uman,C.E.1996.R0le.BasedaCcessControlModels.Computer29,2(Feb.1996),38—47.【5l】ZHANGXinwen,JaehongPark,Ra新Sandhu.Schema2baSedXN几securi锣:RBAC印proach【C】.EstesP酞,Colorad0,USA:17吐lⅢPWGll.3W-orkingConfonDataandApplicationSecufi饥2003.56曩!?^由p埘 ,^t~山东大学硕士学位论文致谢工作几年以后能够有机会重返校园学习深造,我非常珍惜在山东大学渡过的每一天。在论文完成之际,我的心情成分激动。从论文的选题、资料的收集到论文的撰写编排整个过程中,我得到了许多的热情帮助。我要感谢所有曾教授过我课程的老师以及曾指导帮助过我的师长和同学们,他们在我的学习、生活中都给了我莫大的帮助。我首先要感谢我的导师赵合计教授,是他将我领入了W-eb信息技术的大门,并对我的研究提出了很多宝贵的意见,使我的研究工作有了目标和方向。在这近二年的时间里,他对我进行了悉心的指导和教育,使我能够不断地学习提高,而且这些课题的研究成果也成为了本论文的主要素材。同时,赵老师渊博的学识、严谨的治学态度也令我十分敬佩,是我以后学习和工作的榜样,在此我表示最诚挚的谢意。感谢我所在单位的领导以及同事们在我读硕士期间给予的支持和帮助。我还要特别感谢我的家人,是他们在精神上的关心和鼓励,在物质上的支持和帮助,使我能够顺利地完成学业。最后,谨向百忙中抽出宝贵时间评审本论文的专家、学者致以衷心的谢意。57 {L,卉-、Ipk玎 ,一‘●t~山东大学硕士学位论文攻读学位期间发表的学术论文目录【1】扩展的X.I圆AC模型构建.第十五届全国青年通信学术会议论文集.20lO.07.第一作者 、L争’}^L诈 学位论文评阅及答辩情况表专业技术是否博导总体评价姓名所在单位职务(硕导)※论印以当瓠刁复皇厶啤9仡磷4、又丑厶弭.吹乏一务秕亳疙局评漱乏耕剐私姨己阅I人专业技术是否博导姓名所在单位职务(硕导)主席;-1诧甚帮1受望易耳炻鬼六专‘盆Z如瓠了炎彦.占彳、吠咯÷1蓼和弓P免、一答I辩声匆蓼杨馄B之习、戈弓p彦7轨冱阮2二委员委做溺》漱搋曼b呀、久历H童弘荀屯会l成痧员答辩委员会对论纽答辩日期b,f|}.10文的总体评价※B答辩秘书/7备注※优秀为。A”;良好为“B”;合格为“C”;不合格为“D”。 ’。豢矽t2:哮靠‘j0√}。捌i_

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
大家都在看
近期热门
关闭