XML是一种由W3C推出的标记语言,因为它的跨平台,跨网络的特性及其易扩展的语法和语义,使其成为了网络上数据交换的事实标准。随着以XML格式存储数据的日益增多,其安全性已经成为了一个广泛关注的话题。访问控制是保证数据安全的重要手段之一。与传统的文件系统不同,不仅要在文件级别对XML数据实施访问控制,更要在元素和属性级别对XML数据实施细粒度的控制。本文以实现便捷、灵活、实用的访问控制模型为目标,对面向XML数据源的访问控制进行了研究,主要工作如下:1.首先介绍了XML的一些相关技术,如XPath、DOM、XSL等。然后分别对三种最常用的访问控制策略:自主访问控制、强制访问控制和基于角色的访问控制进行了研究,比较了各自的优劣,并详细介绍了基于角色访问控制参考模型中的RBAC96模型。2.以公安局信息系统为环境,结合XML数据的特点对基于角色的访问控制中最为典型的RBAC96模型进行了扩展。提出了对文档进行分类的思想,并依据两种不同的标准对角色进行了细分,提出了职位角色、临时角色、抽象角色和全局角色的概念,给出了各概念的准确定义,最终构建了一个新的访问控制模型——双角色的基于角色的访问控制(DR-RBAC,Double Roles-Role based Access Control)模型。3.给出了所提出的DR-RBAC模型中各实体集的XML格式表示,并对模型中的权限传递、访问类型、访问控制策略、角色偏序关系和约束等进行了研究。根据不同的数据对访问控制要求的差异,我们对权限的定义进行了区分,对职位权限进行了规范、系统的定义,而对临时权限则定义了四个简化授权的授权模板以适应其便捷、灵活的授权要求。并且通过在抽象角色-全局角色映射集中引入时间元素,有效地细化了抽象角色所拥有的权限,与抽象角色在现实中所拥有权限的时间性和任务性的特点形成了完美的对应。4.以所提出的基于XML的DR-RBAC模型为基础构建了一个实用的面向XML数据源的访问控制系统(XOACS, XML Oriented Access Control System)。给出了系统的基本框架,对各子系统的功能和关键算法进行了描述,并给出了XOACS系统的一个完整的访问控制流程。
