基于XML的多類型數(shù)據(jù)客體訪問控制

馮 瑜，杜學(xué)繪，曹利峰，陳華城

（1.信息工程大學(xué) 數(shù)學(xué)工程與先進(jìn)計(jì)算國家重點(diǎn)實(shí)驗(yàn)室，河南 鄭州450004；2.解放軍95851部隊(duì)，江蘇 南京210046；3.解放軍73503部隊(duì)，福建 福州350001）

0 引 言

信息安全等級保護(hù)［1］要求三級及三級以上信息系統(tǒng)實(shí)現(xiàn)強(qiáng)制訪問控制，安全標(biāo)記作為強(qiáng)制訪問的前提，也成為實(shí)現(xiàn)多級安全的基礎(chǔ)性關(guān)鍵技術(shù)。要實(shí)現(xiàn)安全標(biāo)記功能，必須有安全標(biāo)記綁定技術(shù)做支撐，目前大多數(shù)綁定技術(shù)都將標(biāo)記與客體整體關(guān)聯(lián)［2］，訪問控制對象只能是整個數(shù)據(jù)客體，極大限制了客體的利用率，不能滿足客體多元化、分級化的信息系統(tǒng)，且大量應(yīng)用的不同需求使得客體的結(jié)構(gòu)和格式呈多樣化趨勢，不同應(yīng)用開發(fā)獨(dú)立的安全標(biāo)記實(shí)施系統(tǒng)，使得不同平臺、不同應(yīng)用間的數(shù)據(jù)交互時訪問控制困難［3］。為了解決上述問題，本文引入可擴(kuò)展標(biāo)記語言XML （extensible markup language）［4］，通過分析 不同類型數(shù)據(jù)客體邏輯結(jié)構(gòu)，將結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)用樹形XML進(jìn)行統(tǒng)一表示，定義多級XML 文檔，實(shí)現(xiàn)數(shù)據(jù)客體與安全標(biāo)記的細(xì)粒度綁定，并在此基礎(chǔ)上實(shí)現(xiàn)多類型數(shù)據(jù)客體的強(qiáng)制訪問控制。

1 相關(guān)技術(shù)

XML之所以能實(shí)現(xiàn)一致的標(biāo)記綁定和高細(xì)粒度的強(qiáng)制訪問控制，是因?yàn)槠渚哂袑哟位Y(jié)構(gòu)、平臺無關(guān)性和極大的靈活性等特點(diǎn)：

（1）XML文檔是由自描述的嵌套元素構(gòu)成，根據(jù)嵌套關(guān)系可將XML 文檔看成樹形結(jié)構(gòu)，每個元素為樹中的結(jié)點(diǎn)，用于表示復(fù)雜數(shù)據(jù)客體中不同敏感級別的信息。對包含有多等級安全信息的XML數(shù)據(jù)客體實(shí)施訪問控制，訪問控制對象可以是整個XML，也可以是文檔中的片段、元素節(jié)點(diǎn)甚至是元素屬性，實(shí)現(xiàn)了靈活的、高細(xì)粒度訪問控制。

（2）XML可用于表示包括結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，且在多種計(jì)算環(huán)境中被多種工具解釋。用XML將異構(gòu)數(shù)據(jù)客體進(jìn)行統(tǒng)一化表示，為格式和形式不同的眾多電子文件提供統(tǒng)一的基于XML的安全標(biāo)記管理系統(tǒng)，從實(shí)際推動安全標(biāo)記的一致性工作。

由于XML具有以上特性，因此本文將XML 引入多類型數(shù)據(jù)客體的訪問控制中，解決現(xiàn)有研究中安全標(biāo)記綁定粒度粗、擴(kuò)展性一致性不足的問題。

2 基于XML的數(shù)據(jù)客體統(tǒng)一化表示

要實(shí)現(xiàn)安全標(biāo)記的一致性綁定和細(xì)粒度的訪問控制，首先要將異構(gòu)數(shù)據(jù)客體進(jìn)行統(tǒng)一描述，轉(zhuǎn)換為樹形結(jié)構(gòu)的XML文檔，再以XML文檔內(nèi)的節(jié)點(diǎn)、片段為訪問控制對象實(shí)現(xiàn)細(xì)粒度訪問控制。數(shù)據(jù)客體按照結(jié)構(gòu)類型的不同，可分為結(jié)構(gòu)化、半結(jié)構(gòu)化以及非結(jié)構(gòu)化數(shù)據(jù)［5］。盡管客體類型復(fù)雜，但是依據(jù)其內(nèi)部關(guān)系，客體均能采用數(shù)據(jù)樹進(jìn)行表示［6］。本節(jié)將分析不同類型客體的數(shù)據(jù)特征，通過邏輯多級分割，將其表示成樹形XML結(jié)構(gòu)。

結(jié)構(gòu)化數(shù)據(jù)是指結(jié)構(gòu)良好，能夠用二維表結(jié)構(gòu)來邏輯表達(dá)的數(shù)據(jù)，通常是存儲在關(guān)系數(shù)據(jù)庫中。每個數(shù)據(jù)庫表都能表示成深度為2的樹形結(jié)構(gòu)，以表名為根，記錄為孩子節(jié)點(diǎn)，記錄的表項(xiàng)為葉子節(jié)點(diǎn)；而XML本身就是半結(jié)構(gòu)化數(shù)據(jù)，是一個典型的元素與節(jié)點(diǎn)對應(yīng)的邏輯樹形結(jié)構(gòu)；非結(jié)構(gòu)化數(shù)據(jù)相對而言數(shù)據(jù)格式多樣，數(shù)據(jù)邏輯關(guān)系復(fù)雜，我們將對幾類代表性的非結(jié)構(gòu)化數(shù)據(jù)格式進(jìn)行邏輯分析，典型的數(shù)據(jù)格式有文本文件、視頻、圖像等。

（1）文本文件：常用的電子文檔有兩種類型：純文本文檔，如TXT 格式文檔和具有目錄樹的word文檔。

純文本文檔數(shù)據(jù)結(jié)構(gòu)性差，數(shù)據(jù)按行和段排列，文字間的分割符只有段落標(biāo)志，因此本文設(shè)計(jì)將文檔作為XML樹的根結(jié)點(diǎn)，以段落為單位創(chuàng)建下級節(jié)點(diǎn)，生成深度為2的樹形XML。

目錄樹結(jié)構(gòu)的word文檔統(tǒng)一表示思路是文檔整體為XML根節(jié)點(diǎn)，目錄節(jié)點(diǎn)轉(zhuǎn)換為數(shù)據(jù)樹中的元素節(jié)點(diǎn)，目錄下的子目錄及數(shù)據(jù)內(nèi)容則在對應(yīng)元素節(jié)點(diǎn)下生成下級元素及元素內(nèi)容。文檔中存在圖片、表格等非結(jié)構(gòu)化數(shù)據(jù)以整體進(jìn)行處理成二進(jìn)制序列，在所屬目錄對應(yīng)的元素下創(chuàng)建子元素。

（2）圖像：圖像所提供的信息是基于視覺感觀的，因此對圖像的邏輯分割必須考慮到圖像內(nèi)容所展示的視覺效果的實(shí)際意義。本文以圖片內(nèi)有意義的圖形單位和色塊為對象，對圖形單位及背景進(jìn)行實(shí)效分割，分割的圖形單位及背景可根據(jù)一定規(guī)則再進(jìn)行二次分割，并依據(jù)圖像節(jié)點(diǎn)之間在圖像中的相對位置［7，8］，為每個圖形分割塊，創(chuàng)建XML節(jié)點(diǎn)，則一個圖像可以表示為以整個圖像為根節(jié)點(diǎn)，若干分割塊、分割子塊為子節(jié)點(diǎn)的樹形XML。

（3）視頻：在視頻流數(shù)據(jù)［9］中，其最小的物理數(shù)據(jù)單元是 “鏡頭”，所以視頻分割的目的是將連續(xù)圖像幀分割成長短不一的視頻鏡頭。一般來說，一段視頻由一些描述獨(dú)立故事單元的場景構(gòu)成；一個場景由一些語義相關(guān)的鏡頭組成；而每個鏡頭是由一些連續(xù)幀構(gòu)成。本文將視頻用XML統(tǒng)一化表示的思路是：視頻整體抽象成XML 文檔根節(jié)點(diǎn)，將構(gòu)成視頻的每個場景表示成孩子節(jié)點(diǎn)，每個場景所包含的鏡頭表示成場景節(jié)點(diǎn)的下級節(jié)點(diǎn)，連續(xù)幀則表示成葉子節(jié)點(diǎn)，幀節(jié)點(diǎn)的數(shù)據(jù)內(nèi)容為每一幀圖片的二進(jìn)制序列。

3 多級XML文檔訪問控制模型XBLP

為了有效實(shí)施統(tǒng)一的安全標(biāo)記訪問控制，本文在異構(gòu)數(shù)據(jù)客體XML統(tǒng)一化表示的基礎(chǔ)上，提出面向多級XML文檔的訪問控制模型XBLP。模型定義了擴(kuò)展了安全標(biāo)記的多級XML 文檔，規(guī)范了XML 安全標(biāo)記語法和約束規(guī)則，并給出安全標(biāo)記綁定算法，實(shí)現(xiàn)安全標(biāo)記與數(shù)據(jù)客體的綁定。

3.1 安全標(biāo)記擴(kuò)展的多級XML文檔

一個完整的多級XML 除了包括文檔中直接包含的元素、屬性、安全標(biāo)記等，還包括不同層次節(jié)點(diǎn)間安全標(biāo)記的約束關(guān)系。

3.1.1 多級XML文檔定義

XML的基本模型包含XML 內(nèi)容信息和結(jié)構(gòu)信息，利用節(jié)點(diǎn)之間的嵌套關(guān)系可以將一個XML文檔表示成一棵以文檔根元素為根節(jié)點(diǎn)，文檔元素為子節(jié)點(diǎn)的樹形結(jié)構(gòu)，本文我們稱其為文檔樹。擴(kuò)展了安全標(biāo)記的XML文檔即是為文檔樹中的節(jié)點(diǎn)添加安全標(biāo)記綁定，為不同敏感級的節(jié)點(diǎn)賦予不同安全等級的安全標(biāo)記，使得整棵文檔樹呈現(xiàn)節(jié)點(diǎn)多等級化的特點(diǎn)，如圖1所示。我們將擴(kuò)展了安全標(biāo)記的多級安全XML文檔稱為多級XML文檔。

定義1 多級XML 文檔：多級XML 文檔是一個九元組：XLabDoc ＝ （r，Ve，Va，L0，Ns，SubElem，Attrs，Name，Lab），其中：r為多級XML文檔的根元素，是整個文檔的標(biāo)識，r∈Ve；Ve為文檔數(shù)據(jù)節(jié)點(diǎn)集，包括一個數(shù)據(jù)客體經(jīng)過邏輯分割成相應(yīng)的數(shù)據(jù)元素節(jié)點(diǎn)，客體O ＝∑ei，ei∈Ve；Va為文檔屬性節(jié)點(diǎn)集，屬性attri是對元素ei的描述attri∈Va；L0為文檔中安全標(biāo)記集，是每個安全級別和范疇集二元組λi＝（Class，Categorys），文檔內(nèi)安全標(biāo)記的DTD 定義見表1。

圖1 多級XML文檔樹形結(jié)構(gòu) （U 表示XML

表1 安全標(biāo)記的DTD 定義

Ns為文檔命名集，包括元素和屬性的命名；

Attrs是屬性到元素的二元關(guān)系，若attr1∈Va，e1∈Ve，則Attrs（attr1，e1）表示attr1是e1的屬性；

Name 是名稱到屬性或元素的二元關(guān)系，若attr1∈Va，e1∈Ve，則Name（n1，attr1），Name（n2，e1）分別表示attr1名稱為n1，e1名稱為n2；

Lab 是安全標(biāo)記到屬性或元素的二元關(guān)系，若attr1∈Va，e1∈Ve，則Lab（l1，attr1），Lab（l2，e1）分別表示attr1的安全標(biāo)記為l1，e1安全標(biāo)記為l2。

3.1.2 XML安全標(biāo)記約束規(guī)則

多級XML文檔具有樹狀層次結(jié)構(gòu)，根元素是最外層節(jié)點(diǎn)，當(dāng)要訪問文檔中某個元素或?qū)傩詴r，必須要獲取目標(biāo)節(jié)點(diǎn)的路徑。而該路徑是由從根節(jié)點(diǎn)到達(dá)目標(biāo)節(jié)點(diǎn)所經(jīng)過的所有外層節(jié)點(diǎn)組成，要訪問目標(biāo)節(jié)點(diǎn)則必須要先訪問外層節(jié)點(diǎn)，因此內(nèi)層元素的安全級別應(yīng)比外層元素的安全級別高。據(jù)此，我們規(guī)定元素或者屬性的安全標(biāo)記必須支配其外層的安全標(biāo)記。根據(jù)這一原則，本文定義多級XML文檔綁定安全標(biāo)記時的約束規(guī)則：

規(guī)則1：XML安全標(biāo)記文檔中，子元素的安全標(biāo)記必須支配父元素的安全標(biāo)記；

規(guī)則2：XML 安全標(biāo)記文檔中，若元素ei具有屬性ai，則屬性ai的安全標(biāo)記必須支配元素ei的安全標(biāo)記；

1.2.1 對患者的基本情況登記為老年患者的個人健康建立檔案,將老年患者的病史、年齡、姓名等情況詳細(xì)詢問,通過統(tǒng)一設(shè)計(jì)的調(diào)查問卷逐一將詳細(xì)信息登記[1]。

規(guī)則3：XML安全標(biāo)記文檔中，元素的安全標(biāo)記符合級聯(lián)遞推關(guān)系，即若元素e1是e3的子元素，e3是e4的子元素…en是e2的子元素，則元素e1的安全標(biāo)記支配元素e2的安全標(biāo)記；

規(guī)則4：安全標(biāo)記文檔中，屬性與元素安全標(biāo)記的支配關(guān)系符合級聯(lián)遞推，即若屬性a1是e2的子元素，e2是e3的子元素…en是e1的子元素，則屬性a1的安全標(biāo)記支配元素e1的安全標(biāo)記；

規(guī)則5：安全標(biāo)記文檔根元素的安全標(biāo)記必須被其它元素和屬性的標(biāo)記所支配，且根元素的安全標(biāo)記即XML安全標(biāo)記文檔的安全標(biāo)記，也是主體能訪問文檔的最小標(biāo)記。

根據(jù)以上原則，XML文檔的根節(jié)點(diǎn)是所有其它節(jié)點(diǎn)的最外層元素，根節(jié)點(diǎn)的安全標(biāo)記能被所有元素節(jié)點(diǎn)和屬性節(jié)點(diǎn)的安全標(biāo)記支配。因此，給出XML安全標(biāo)記文檔的安全標(biāo)記的定義。

定義2 文檔的安全等級就是根節(jié)點(diǎn)的安全等級，即λ（XLabDoc）＝λ（r）。

3.2 安全標(biāo)記與XML文檔綁定算法

多級XML文檔是在XML統(tǒng)一化表示的基礎(chǔ)上通過為文檔綁定安全標(biāo)記后生成的，本文給出了安全標(biāo)記與多級XML文檔的綁定算法 （algorithm of binding label to Mulit－XML，ABLMX），基本思想為：通過樹的層次遍歷，為文檔樹中的每個節(jié)點(diǎn)分配安全標(biāo)記，安全標(biāo)記包含的密級和范疇為人工定制。為保證網(wǎng)絡(luò)傳輸過程中安全標(biāo)記的完整性，在綁定時使用XML簽名技術(shù)對文檔樹中節(jié)點(diǎn)及其安全標(biāo)記進(jìn)行簽名，簽名值與安全標(biāo)記一起成為客體節(jié)點(diǎn)的子節(jié)點(diǎn)。ABLMX 算法見表2。

表2 安全標(biāo)記綁定算法ABLMX

一個綁定了安全標(biāo)記的XML文檔的樹形結(jié)構(gòu)實(shí)例如圖2所示。

圖2 綁定安全標(biāo)記的XML文檔樹形結(jié)構(gòu)實(shí)例

3.3 XBLP模型訪問控制規(guī)則

BLP模型［10］是應(yīng)用最為廣泛的經(jīng)典強(qiáng)制訪問控制模型，其中主體s 安全標(biāo)記為λ（s），客體o 安全標(biāo)記為λ（o）。安全標(biāo)記二元組λ（C，G）之間的關(guān)系有兩種：支配關(guān)系和不可比關(guān)系。標(biāo)記λ1（C1，G1）支配 標(biāo)記λ2（C2，G2）當(dāng)且僅當(dāng)C1≥C2且G1G2，記為λ2≤λ1或，如果兩個標(biāo)記不存在支配關(guān)系，則它們不可比。

主體s對客體o能否執(zhí)行特定操作取決于二者安全標(biāo)記之間的關(guān)系。BLP模型的訪問控制規(guī)則可以概括為 “不向上讀”和 “不向下寫”，通過簡單安全特性和＊特性控制信息流的單向流動。但是XML 文檔中包含有兩部分信息：數(shù)據(jù)內(nèi)容和結(jié)構(gòu)信息。若低級別用戶要向上寫時，必須先獲得高等級元素的信息結(jié)構(gòu)，而XML的結(jié)構(gòu)本身也是一種信息，為了保證低等級主體無法讀取任何高安全等級信息，我們采用嚴(yán)格的BLP模型，除了執(zhí)行簡單安全特性外，還遵守嚴(yán)格的＊一特性，即 “同級寫”：主體能夠?qū)懣腕w當(dāng)且僅當(dāng)主體與客體的安全標(biāo)記相等。

XBLP模型的基本規(guī)則：① （簡單安全特性）僅當(dāng)λ（o）≤λ（s）時，主體s能夠讀客體o；② （嚴(yán)格＊特性）僅當(dāng)λ（o）＝λ（s）時，主體s能夠?qū)懣腕wo。

4 XBLP模型中多級XML文檔相關(guān)操作

多級XML文檔中包含的安全等級具有嚴(yán)格的從根節(jié)點(diǎn)到葉子節(jié)點(diǎn)的安全等級由低至高的結(jié)構(gòu)，因此在多級XML文檔訪問控制實(shí)施過程中，也需要遵守安全標(biāo)記約束規(guī)則。本文將多級XML文檔上的操作分為讀取 （extract）、插入（instert）、更新 （update）、刪除 （remove）刪除。

4.1 客體片段提取操作

當(dāng)主體訪問客體時，根據(jù)訪問控制規(guī)則，不同安全密級的主體能獲取的客體的信息也不同。根據(jù)XBLP 訪問控制規(guī)則，若主體s能讀取元素e1，則滿足：主體s支配元素e1的安全標(biāo)記：λ（s）≥λ（e1）。

客體片段提取操作思想為：根據(jù)主體的安全標(biāo)記等級先判斷主體對整個多級XML文檔是否擁有訪問權(quán)限 （多級XML文檔的安全等級為根節(jié)點(diǎn)的安全標(biāo)記等級），若主體能夠訪問根節(jié)點(diǎn)，則先根遍歷整棵XML文檔樹。如果主體的安全等級能支配節(jié)點(diǎn)的安全等級則繼續(xù)遍歷，否則則終止遍歷，并對節(jié)點(diǎn)進(jìn)行剪枝操作，返回父節(jié)點(diǎn)，再遍歷其余孩子節(jié)點(diǎn)，操作過程見表3。

表3 客體數(shù)據(jù)片段提取操作

通過客體片段提取操作，可實(shí)現(xiàn)不同密級主體訪問的客體片段不同的效果，且客體片段的訪問粒度能達(dá)到元素甚至屬性級別，對圖1中XML文檔樹實(shí)施片段提取結(jié)果實(shí)例如圖3所示。

圖3 不同安全等級主體訪問圖1中XML樹時讀取的數(shù)據(jù)片段根據(jù)主體密級不同而不同

4.2 插入子元素操作

插入子元素操作是指在多級XML文檔中為已有節(jié)點(diǎn)創(chuàng)建新的子元素節(jié)點(diǎn)及其安全標(biāo)記。根據(jù)XBLP 模型嚴(yán)格＊特性，主體創(chuàng)建的元素應(yīng)該與主體有相同的安全標(biāo)記；根據(jù)XML安全標(biāo)記約束規(guī)則3，子節(jié)點(diǎn)的安全標(biāo)記必須支配其父節(jié)點(diǎn)的安全標(biāo)記。因此，如果主體s想在元素e1中創(chuàng)建子元素e2，則滿足：

主體s支配元素e1的安全標(biāo)記：λ（s）≥λ（e1）；

主體s與元素e2的安全標(biāo)記相等：λ（s）＝λ（e2）。

創(chuàng)建新的元素節(jié)點(diǎn)時，同時為其創(chuàng)建安全標(biāo)記節(jié)點(diǎn)，并簽名。插入子元素操作過程見表4。

表4 插入子元素操作過程

4.3 更新數(shù)據(jù)內(nèi)容操作

更新操作是指對多級XML 文檔內(nèi)元素節(jié)點(diǎn)的數(shù)據(jù)內(nèi)容、屬性節(jié)點(diǎn)的屬性內(nèi)容進(jìn)行更新。根據(jù)XBLP 模型，只有相同安全等級的主體才能讀寫客體，更新后的內(nèi)容也要遵守安全標(biāo)記結(jié)束規(guī)則，因此主體s更新多級XML 文檔中的元素e1、屬性a1則滿足：

主體s與元素e1的安全標(biāo)記相等：λ（s）＝λ（e2）；

主體s與屬性a1的安全標(biāo)記相等：λ（s）＝λ（a1）。

元素節(jié)點(diǎn)或?qū)傩怨?jié)點(diǎn)的內(nèi)容更新后，只有節(jié)點(diǎn)內(nèi)的數(shù)據(jù)內(nèi)容發(fā)生變化，多級XML文檔的結(jié)構(gòu)并沒有發(fā)生變化。

4.4 刪除節(jié)點(diǎn)操作

刪除操作是指刪除多級XML文檔內(nèi)的元素節(jié)點(diǎn)或?qū)傩怨?jié)點(diǎn)，同時刪除其安全標(biāo)記節(jié)點(diǎn)。根據(jù)XBLP 模型規(guī)則，主體只能刪除安全等級相同的客體。若刪除了低安全等級的客體，則改變了低級數(shù)據(jù)的內(nèi)容，違反XBLP模型特性。因此，主體s刪除元素e1、屬性a1需滿足：

主體s與元素e1的安全標(biāo)記相等：λ（s）＝λ（e1）；

主體s與屬性a1的安全標(biāo)記相等：λ（s）＝λ（a1）。

由于多級XML文檔從結(jié)構(gòu)上看是層次樹形結(jié)構(gòu)，被刪除元素e1可能包含安全等級更高的子孫元素節(jié)點(diǎn)，這些節(jié)點(diǎn)對主體來說是不可見的。執(zhí)行刪除操作時若只將元素e1刪除，那么高等級子孫節(jié)點(diǎn)失去結(jié)構(gòu)支撐，破壞文檔的完整性，并使得高等級信息不可用；若將這些高等級子孫元素一同刪除，則造成越權(quán)操作；若拒絕刪除，則使得主體能通過這個拒絕行為推理出高等級子孫節(jié)點(diǎn)的存在，泄漏了多級XML文檔的結(jié)構(gòu)信息，造成隱通道問題［11］。

因此，本文定義了滯后刪除策略，為元素和屬性節(jié)點(diǎn)引入 “visibles”屬性，取值為 “true｜false”。屬性 “visibles＝false”表示其對安全等級為λ（e1）的主體不可見，只有當(dāng)主體的安全標(biāo)記支配λ（e1）時，才能訪問到該節(jié)點(diǎn)。刪除操作過程見表5。

表5 刪除操作過程

刪除操作算法首先判斷主體是否能夠訪問多級XML文檔及是否擁有刪除節(jié)點(diǎn)的操作權(quán)限。若允許刪除操作，則通過后根遍歷方式對子樹進(jìn)行遍歷，遞歸算法 （9—17行）遍歷子樹節(jié)點(diǎn)，將安全等級與主體相同的葉子節(jié)點(diǎn) （連同其安全標(biāo)記及簽名）直接刪除；擁有高等級子孫節(jié)點(diǎn)的節(jié)點(diǎn)設(shè)置屬性值 “visibles＝false”。

5 基于XML的多類型數(shù)據(jù)客體訪問控制系統(tǒng)設(shè)計(jì)

依據(jù)多類型數(shù)據(jù)客體與安全標(biāo)記的綁定方法及基于多級XML文檔的訪問控制模型，本文給出了基于XML 的多類型數(shù)據(jù)客體的訪問實(shí)施架構(gòu)，如圖4所示。

圖4 基于XML的多類型數(shù)據(jù)客體的訪問控制系統(tǒng)結(jié)構(gòu)

圖4中，訪問服務(wù)代理，負(fù)責(zé)對主體進(jìn)行身份認(rèn)證和處理請求及反饋結(jié)果；主體標(biāo)記管理，存儲系統(tǒng)中主體的安全標(biāo)記信息；XML統(tǒng)一化表示，負(fù)責(zé)將多種類型的客體依據(jù)其邏輯結(jié)構(gòu)進(jìn)行分割并表示成樹形結(jié)構(gòu)的XML格式文檔；文檔通過XML標(biāo)記綁定模塊，實(shí)現(xiàn)不同敏感級別的數(shù)據(jù)元素與不同級別安全標(biāo)記的綁定，生成多級XML 文檔；多級XML 文檔管理，負(fù)責(zé)對多級XML 文檔的存儲、維護(hù)；XML安全標(biāo)記管理，負(fù)責(zé)管理多級XML 文檔，實(shí)施提取、提取、創(chuàng)建、更新、刪除操作；客體視圖生成，依據(jù)訪問決策結(jié)果和多級XML文檔生成視圖返回給訪問服務(wù)代理；訪問控制決策中心 （XACDC）是模型的核心模塊，負(fù)責(zé)在XBLP模型訪問控制策略下依據(jù)安全標(biāo)記做出訪問決策，與客體視圖生成模塊聯(lián)動，最終返回訪問結(jié)果。

主體對數(shù)據(jù)客體發(fā)起訪問時，訪問請求受理步驟如下：

（1）主體請求訪問數(shù)據(jù)客體時，先要經(jīng)過訪問服務(wù)代理對其進(jìn)行身份認(rèn)證；

（2）認(rèn)證成功后，訪問服務(wù)代理將主體請求及主體安全標(biāo)記信息發(fā)送給訪問控制決策中心 （XACDC）；

（3）XACDC從用戶標(biāo)記管理模塊獲取主體安全標(biāo)記，并向多級XML文檔管理模塊請求被訪問數(shù)據(jù)客體的安全標(biāo)記；

（4）XACDC根據(jù)訪問控制策略，比較主體和數(shù)據(jù)客體的安全標(biāo)記、判斷請求操作類型，對請求做出正確處理，并將決策結(jié)果發(fā)送到客體視圖生成模塊；

（5）客體視圖生成模塊訪問數(shù)據(jù)客體并根據(jù)決策結(jié)果生成主體可訪問的數(shù)據(jù)客體視圖，然后將最終結(jié)果返回給訪問服務(wù)代理；

（6）訪問服務(wù)代理將結(jié)果返回給主體。

6 結(jié)束語

安全標(biāo)記是實(shí)施強(qiáng)制訪問控制的基礎(chǔ)，等級保護(hù)實(shí)施的關(guān)鍵，本文分析現(xiàn)有安全標(biāo)記實(shí)施系統(tǒng)中存在的問題，針對多類型數(shù)據(jù)客體與安全標(biāo)記的綁定問題提出了一種基于XML的統(tǒng)一化表示方法，在此基礎(chǔ)上完成安全標(biāo)記與客體的綁定，實(shí)現(xiàn)基于XML的多類型數(shù)據(jù)客體的訪問控制。提出的綁定方法實(shí)現(xiàn)了數(shù)據(jù)客體與安全標(biāo)記綁定的統(tǒng)一，解決了安全標(biāo)記綁定粒度粗、擴(kuò)展性不足的問題，為多級信息系統(tǒng)間異構(gòu)數(shù)據(jù)交互和數(shù)據(jù)安全訪問控制問題提供了技術(shù)支撐。

下一步的工作將探討訪問控制過程中數(shù)據(jù)聚合引起的客體密級提升問題，并研究如何保證安全標(biāo)記在網(wǎng)絡(luò)傳輸過程中的一致性，同時多級安全網(wǎng)絡(luò)中安全標(biāo)記與網(wǎng)絡(luò)數(shù)據(jù)流的綁定問題也是下一步的研究內(nèi)容。

［1］GB／T22239－2008.Baseline for classified protection of information system ［S］.（in Chinese）.［GB／T22239－2008.信息系統(tǒng)安全等級保護(hù)基本要求 ［S］.］

［2］CAO Lifeng，LI ZHONG.Method of binding secure label to data object based on XML ［J］.Computer Science，2013，40（8）：124－128 （in Chinese）.［曹利峰，李中.基于XML 的數(shù)據(jù)客體與安全標(biāo)記綁定方法 ［J］.計(jì)算機(jī)科學(xué)，2013，40（8）：124－128.］

［3］Sander O，Ian B.A proposal for an xml confidentiality label and related binding of metadata to data objects［R］.RTO－MPIST－091－22.NATO C3Agency，2010.

［4］World Wide Web Consortium （W3C. “extensible markup language（XML）1.0 （Second Edition）”［EB／OL］. ［2013－08－19］.http：／／www.w3c.org／TR／REC－xml.

［5］Barbulescu M，Grigoriu R O，Halcu I，et al.Integrating of structured，semi－structured and unstructured data in natural and build environmental engineering ［C］／／11th Roedunet International Conference（RoEduNet）.IEEE，2013：1－4.

［6］LEE T Y.Formalisms on semi－structured and unstructured data schema computations［D］.Hong Kong：University of Hong Kong，2010.

［7］Chen W B，Zhang C，Gao S.Segmentation tree based multiple object image retrieval［C］／／IEEE International Symposium on Multimedia.IEEE，2012：214－221.

［8］CHEN Jun，WANG Qing.Image structure representation based on graph－cut and saliency ［J］.Application Research of Computers，2009，26 （9）：3589－3593 （in Chinese）. ［陳君，王慶.基于圖割和顯著性的圖像結(jié)構(gòu)表示方法研究 ［J］.計(jì)算機(jī)應(yīng)用研究，2009，26 （9）：3589－3593.］

［9］Chergui A，Bekkhoucha A，Sabbar W.Video scene segmentation using the shot transition detection by local characterization of the points of interest［C］／／6th International Conference on Sciences of Electronics，Technologies of Information and Telecommunications.IEEE，2012：404－411.

［10］Bell D E，Lapadula L J.Seccure computer system：Unified exposition and multics interpretation ［R］.The MITRE Cor－poration，TechRep：MTR－2997Revision 1，1976.

［11］FENG Xuebin，HONG Fan，LONG Tao，et al.Seccurity policy for REMOVE operation of multilevel XML document［J］.Computer Engineering and Application，2008，44 （22）：166－168 （in Chinese）.［馮學(xué)斌，洪帆，龍濤，等.多級安全XML文檔刪除操作安全策略研究 ［J］.計(jì)算機(jī)工程與應(yīng)用，2008，44 （22）：166－168.］