李斓[1]2004年在《面向XML文档的访问控制研究》文中进行了进一步梳理XML是目前信息交换和存取的新兴技术,而XML文档中的敏感信息需要各种机制来保证其安全性,访问控制是其中之一。本文在国家863项目的支持下,以实现灵活、安全而且高效的模型为目标,对面向XML文档的访问控制进行了全面的研究。本文主要的研究成果有以下几点: 1)用形式化的方法描述了XML文档模型,并提供了一系列规则来保证模型描述的XML文档的良构性。XML模式文档与普通文档适用同样的模型,本文也对它们之间的对应关系进行了描述。 2)提出了一种灵活实用的方法对XML文档实施自主访问控制策略,该方法基于功能强大的XML模式而不是传统的DTD技术。通过在授权中扩展了关于授权的可覆盖性、管理能力以及授权者的字段,方便了XML文档的权限管理和用户请求的判断。描述了权限的管理能力,授权在分配过程中管理能力逐步递减,使得对象权限在一定程度上是可控的。证明了访问请求的可判定性,并在此基础上给出了请求判定的算法。 3)首次讨论了在XML文档中实施强制访问控制策略的方法。在XML文档模型中增加了描述对象安全属性的组件——安全标签,讨论了安全标签应该满足的规则。定义了强制访问控制策略下XML文档的有效性,提高了处理有效文档的系统的可用性。详细地描述了如何实现强制访问控制策略下针对XML文档的操作,并讨论了可能引起的多实例情况和解决办法,然后给出了一些关键模块的实现机制。 4)基于前面描述的方法,讨论了如何把自主与强制访问控制策略综合应用于面向XML文档的系统,并提出了基于RБAC的实现综合策略的访问控制模型。引入了多级角色和内部角色的概念,管理员和用户在权限管理时不需要考虑强制访问控制的限制,系统会自动地进行再分配。详细描述了模型中的管理操作,讨论这些操作的执行条件及引起的模型状态变化。本文提出的模型有较好的灵活性,可通过配置实现不同级别的安全需求,而且适用于不同规模的系统,不会随着对象数目或安全标签层次的扩展使得权限管理的复杂度急剧增加。
暴莹[2]2008年在《面向XML数据源的多粒度访问控制模型研究》文中指出XML作为一种信息交换和存储的数据格式标准,已经得到了非常广泛的应用。为了保护XML文档中敏感信息的安全性,一些有关XML安全的机制相继出现,访问控制是其中的焦点之一。针对XML的特性,访问控制可以从粗粒度和细粒度两个方面来进行研究。本文在介绍了XML的相关技术后,把基于角色的访问控制模型引入到XML的访问控制研究中来,给出了一个新的多粒度的XML访问控制模型,并将此模型应用于实践。论文首先介绍了课题的研究背景和意义,XML安全技术的研究现状,对几种重要的XML安全技术:XML加密,XML签名,XML密钥分发等规范进行了简要的介绍,并进一步指出XML访问控制研究的重要意义。分析了目前国内外对XML访问控制研究所取得的成果和未来研究的方向,最后指出本文的研究侧重点。接下来,介绍了XML的相关技术,XML的模式定义文档:DTD和XML Schema,并对其优劣进行比较。XPath技术,用于定位具体的XML资源。介绍叁种基本的访问控制模型:自主访问控制、强制访问控制和基于角色的访问控制,其中重点介绍了基于角色的访问控制模型RBAC96的基本原理,并对叁种模型进行比较,指出基于角色的访问控制模型的优势。本文的重点是在RBAC模型的基础上进行扩展,结合XML的特性,给出了一个新的XML访问控制模型PH-RBAC。首次提出了“权限层次”的概念,以此作为多粒度访问控制的理论依据。对授权形式进行了扩展,增加了产生时间和强制授权标识两项内容,有效地解决了“授权冲突”的问题。考虑到具体应用环境,PH-RBAC模型中还引入了时间约束与空间约束。应用前面的理论研究成果,设计和实现了一个专网设备信息的访问控制系统,给出了系统的模块划分,各模块的实现机制,访问控制决策的核心算法,重要模块的伪代码实现,以及系统的核心文件User-Role.xm,Role-Hierarchy.xml,Role-Permission.xm,Permission.xml等文件的具体形式。第五章对本文的研究成果进行了总结,并展望了未来研究方向。
吴俊恒[3]2009年在《面向XML文档的访问控制研究》文中进行了进一步梳理XML作为网络中新兴的数据交换标准和重要的数据存储方式受到了广泛的关注,而XML文档中的敏感信息需要各种机制来保证其安全性,访问控制是其中之一。在一些访问控制策略中,时间是一个关键性因素。一方面,用户的授权被限制在限定的时间范围内;另一方面,在过去时间内对某些资源访问的次数和时间作为义务约束影响现在对用户的授权。对大量的XML文档以及这些XML文档中的元素进行分别授权很复杂。本文在研究XML技术的基础上,对面向XML文档访问控制的这些问题进行了研究。在对XML技术和基于角色的访问控制技术进行充分分析的基础之上,结合使用控制技术的一些特点,本文提出了一种面向XML文档的访问控制模型。该模型从属性证书、时间条件约束、时间义务约束、权限传递约束和优先级约束等方面对基于角色的访问控制模型进行了扩展,以实现对XML文档的多粒度访问控制。该模型采用一种统一的符合XML规范的策略描述语言描述访问控制策略信息。在RCON-XML模型的基础上,本文设计了一个基于该模型的XML文档访问控制系统。最后本文分析了RCON-XML模型在电子商务场景下的应用。
王平静[4]2009年在《面向XML文档的访问控制研究》文中研究指明针对XML文档的访问控制保证XML文档中的敏感信息不会受到非授权的访问。用户对文档的访问包括读操作和更新操作,现有的XML文档访问控制研究多数都以读操作为例或对更新操作的访问控制没有进行详细的讨论。本文基于现有的面向XML文档的访问控制研究,重点讨论如何对XML文档的更新操作实施正确、有效的访问控制,提出基于操作类型的XML文档访问控制技术。主要工作有:1)明确更新操作与读操作经历的访问控制过程的异同,指出对更新操作实施的访问控制需要改进的地方。2)为了提高针对更新操作执行的DTD验证的效率,并对更新操作的语义进行区分,定义了操作类型。3)使用操作类型对访问授权的表示进行扩展,基于扩展的访问授权给出改进的标记算法,该算法可以避免访问控制中标记过程的重复执行。4)将访问请求判断过程划分为两步,在第一步中对用户的访问请求进行初步筛选,这将节省之后的标记以及验证文档有效性所耗费的内存等系统资源。5)使用给出的基于操作类型的XML文档访问控制技术,设计并实现一个访问控制系统原型。在设计的系统结构图的基础上,分别对系统的各个模块进行详细设计,给出模块的功能、实现机制,并使用UML对系统中的对象进行建模。6)将XML应用于面向XML文档的访问控制,设计了访问授权、用户——组、访问请求、访问决策等系统信息的XML表示格式。论文给出的基于操作类型的XML文档访问控制技术不仅支持对读操作的访问控制,也能正确有效地处理用户的更新请求。实例表明,基于操作类型的访问控制技术可以有效减少用户请求经历的访问控制步骤。进一步的性能分析证明,该访问控制方法在处理包含更新操作的用户请求时,性能优于现有的访问控制技术。
李斓, 何永忠, 冯登国[5]2004年在《面向XML文档的细粒度强制访问控制模型》文中进行了进一步梳理XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制.
彭超逸[6]2006年在《一个面向XML文档的扩展RBAC模型及其应用研究》文中提出可扩展标记语言(Extensible Markup Language)在基于Web的分布式应用系统中日益获得青睐,同时也对访问控制提出了新的挑战。在大型的企业级应用中,访问企业XML关键资源的用户数成千上万,而他们的身份以及资历往往是未知的,这就造成了访问管理上的困难。另一方面,在某些企业的访问控制策略中,时间是一个关键性因素,用户的授权被限制在预先定义的时间范围内。此外,应该对概念上相关的XML文档提供更高层次的访问控制。在对XML规范的基本内容和基于角色的访问控制(Role Based Access Control)技术充分分析的基础之上,提出了一种面向XML文档的扩展RBAC模型。该模型从用户证书、时间约束、XML文档分类等方面对传统的RBAC模型进行了扩展,以实现基于内容的时间上下文敏感的多粒度访问控制。该模型采用一种统一的符合XML规范的策略描述语言描述访问控制策略信息。用户证书记录了用户的行为特性,包含一系列的用户属性。通过对用户证书中的属性取值进行评估,把符合条件的用户分配给特定角色,从而达到了根据用户的特征及资历实施访问授权的目的。在用户分配和权限分配中引入时间约束,表示和实现了更为丰富的访问控制语义。根据内容的相关性将XML文档进行分类,可以有效的支持概念层次上的访问控制。设计了一个基于该扩展模型的XML访问控制系统。该系统具备访问控制策略管理和访问控制策略实施的功能,为企业Web应用中的XML关键资源提供了安全有效的访问控制。
陈炎军[7]2014年在《面向XML数据的动态推理控制》文中研究说明作为网络上传输和交换数据的主要手段之一,XML的数据安全需要有多种机制来保证,推理控制就是其中的一种。按照实现的机制和运行阶段的不同,XML推理控制可分为静态推理控制和动态推理控制,本文研究的XML动态推理控制在用户查询XML文档时,结合用户已经获得的XML信息,实时检测是否会构成敏感数据的推理泄露,达到动态推理控制的目的,既可以保证敏感数据的安全,又能够充分提高XML数据的可用性。与关系数据库使用SQL等数据库查询语言不同,面向XML数据的查询使用XPath表达式,这种查询语句本身就包含了很多XML信息。本文从XML文档片段和XPath表达式的语义出发,研究了不同XML文档片段所描述的信息的包含关系。如果用户用XPath表达式查询XML文档得到了返回结果,那就表明XML文档包含了该表达式的路径,用户由此可以得到路径中包含的节点和节点之间的相互关系等XML信息,根据XML的语义,不同查询得到的XML结果所表达的信息具有包含关系。本文基于XML信息的包含关系和XML关键字提出了一种合并XML信息集的方法。通过XPath查询获得的XML信息可以用模式树来描述,为了将用户获得的所有XML信息保存到历史文件中,需要将每一次查询所得的信息合并到历史文件的XML信息集中,借助模式树中XML信息包含关系和XML关键字可以消除冗余信息,整合同一元素的不同部分,简化合并后XML信息集的结构。本文针对单个用户的敏感信息泄露问题,提出了XML动态推理控制的解决方案。对单个用户访问XML文档设计了带变量的推理规则,通过提取用户查询获得的字符串实例化推理规则,并用这些推理规则实例和推理闭包扩展构建XML信息集闭包,利用XML信息集闭包包含了用户所有信息的特点,通过检测闭包是否包含敏感信息实现对用户访问的推理控制。
程岁岁[8]2010年在《面向XML文档的细粒度访问控制研究及应用》文中提出随着如今计算机和互联网技术的发展,XML技术的应用已经越来越广泛,XML已经成为信息交换和存储的主要技术之一。由于XML技术的大量应用,XML的安全性问题也越来越受关注,如何灵活的对XML文档中的元素进行访问和控制,以保证XML信息的安全,已经成为国内外许多学者重点研究课题。本文依托电子档案管理系统,以提高电子档案管理系统访问控制的安全性为背景,重点研究了BLP强制访问控制模型和XML文档的细粒度访问,并将研究成果应用到电子档案管理系统中。本文针对电子档案管理系统的特点,主要的研究成果如下:1)原始的BLP模型的简单安全性和星号特性保证了数据不可上读和不可下写,但在档案管理系统中,通过档案借阅,往往可以进行上读,而且由于档案信息的特殊性,同级之间也不能随意修改。因此,本文针对档案管理系统的特点,对BLP模型进行叁点改进,可授权的上读、限制同级之间的修改操作以及增加带时间域的BLP模型,以适应档案管理系统的应用。2)在档案管理系统中,大部分档案信息都是涉密的,对于系统中的一个档案文件进行访问控制无法达到档案信息保护的安全标准,这就要求系统需要实现细粒度的访问控制。在此基础上,本文研究了XML文档的细粒度访问控制,提出了基于改进后BLP模型的XML文档的细粒度访问控制策略,实现档案管理系统中档案信息安全保护元素化的安全需求。3)最后,本文基于上述改进的BLP模型和XML文档的细粒度访问控制策略,给出了电子档案管理系统的设计方案,包括系统结构、功能架构、权限管理设计、用户和部门的编码等设计规则以及访问控制列表的设计,并实现了档案利用模块中的档案检索、档案借阅以及档案查看叁个重要的档案信息访问控制流程操作,通过一个简单的XML文档的例子,给出了XML文档和元素的操作方法。对BLP模型和XML文档的细粒度访问控制策略的研究和改进,并将研究成果应用到档案管理系统中。通过对电子档案管理系统的验证和实际测试,改进后的设计方案大大提高了系统的安全性,并提高了档案信息资源文件的安全保护,进一步防止了档案信息文件被恶意篡改、非法访问以及档案外泄。
王峰[9]2010年在《基于NETCONF的访问控制机制研究》文中进行了进一步梳理随着网络规模的增大、复杂性的增加和异构性的增强,传统的网络管理协议SNMP已经不能适应当前复杂网络管理的发展,特别是不能满足配置管理的需求。为了弥补这些方面的缺陷,基于XML(可扩展标记语言)的网络管理应运而生,在这一背景下,IETF组织制定了下一代配置管理协议NETCONF,它采用XML表示网络管理操作。访问控制是NETCONF网络管理中一种必不可少的安全机制,因为NETCONF网络管理中不是任何人都能访问被管设备并读取或修改被管设备数据的,而是指定的人员可以访问被管设备的指定的数据。本文充分利用华为与本项目组在前期项目合作过程中开发完成的NETCONF原型系统平台作为试验研究的基础平台,通过文献研究和理论分析,对现有访问控制机制进行理论研究,选择一种RBAC机制对其进行验证试验,然后从访问控制机制的应用部署的简单性、管理方便性、大数据量模型环境下的验证高效性等方面进行总结分析,以期发现RBAC访问控制机制的优劣,总结相关设计经验。在此基础上结合NETCONF及网络管理数据模型的特征,提出集中式访问控制代理服务器模型。
罗荣[10]2007年在《XML数据库系统强制访问控制策略研究》文中进行了进一步梳理可扩展标记语言(eXtensible Markup Language,XML)访问控制是保证XML安全性的一项重要技术。为了给存储在XML数据库中的XML文档提供有效的强制访问控制,从现有面向XML文档的强制访问控制模型存在的问题和访问控制粒度的需求出发,参考现有XML访问控制系统的体系结构,设计实现了一个面向XML数据库的XML通用强制访问控制系统。XML通用强制访问控制系统允许系统安全员根据应用需求创建安全策略,可以满足不同应用系统中对XML文档实施细粒度强制访问控制的要求。该系统基于功能强大的XML模式(XML Schema)技术,支持标记从XML模式文档到XML文档实例的传递,并给出了解决标记冲突的方法:子标记优先原则,最小上界原则。XML通用强制访问控制系统主要包括策略管理模块、策略服务模块和查询处理模块。策略管理模块负责系统中安全策略的创建和组织;策略服务模块根据安全策略中的标记类型和标记访问策略为主体和客体分配标记;查询处理模块负责对用户查询实施强制访问控制。在对用户查询实施强制访问控制时,系统根据用户标记和访问规则对用户提交的原始查询进行改写,能有效防止用户利用在查询语句中附带查询条件而造成信息泄露,在查询结束但尚未将结果返回给用户时,系统根据用户标记和访问规则检查结果集中的每个元素,只将符合规则的元素返回给用户,实现对XML查询的强制访问控制。通过实验对系统进行了功能测试和效率测试,实验数据表明XML通用强制访问控制系统能够有效地实现对XML文档的强制访问控制。
参考文献:
[1]. 面向XML文档的访问控制研究[D]. 李斓. 中国科学院研究生院(软件研究所). 2004
[2]. 面向XML数据源的多粒度访问控制模型研究[D]. 暴莹. 北京邮电大学. 2008
[3]. 面向XML文档的访问控制研究[D]. 吴俊恒. 西安电子科技大学. 2009
[4]. 面向XML文档的访问控制研究[D]. 王平静. 西北大学. 2009
[5]. 面向XML文档的细粒度强制访问控制模型[J]. 李斓, 何永忠, 冯登国. 软件学报. 2004
[6]. 一个面向XML文档的扩展RBAC模型及其应用研究[D]. 彭超逸. 华中科技大学. 2006
[7]. 面向XML数据的动态推理控制[D]. 陈炎军. 上海交通大学. 2014
[8]. 面向XML文档的细粒度访问控制研究及应用[D]. 程岁岁. 东华大学. 2010
[9]. 基于NETCONF的访问控制机制研究[D]. 王峰. 北京邮电大学. 2010
[10]. XML数据库系统强制访问控制策略研究[D]. 罗荣. 华中科技大学. 2007
标签:计算机软件及计算机应用论文; 访问控制论文; xml语言论文; xml数据库论文; 档案管理系统论文; 用户研究论文; 数据粒度论文;