访问控制是指通过某种途径,允许或限制访问能力及其范围的一种方式。信息系统通过实施访问控制,可以限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏。这里所说的关键资源可以是网络设备、应用系统功能、数据库记录等等,本文的研究主要针对XML资料库。 XML资料库中存储有数量庞大的文件,并且考虑到XML文件具有良好的结构,因此管理员往往要求对每份文档内的不同部分都可以进行有效的存取控制。对此,本文首先分析了直接应用基于角色的访问控制模型或者XML文档访问控制模型所存在的问题,在此基础上提出了XML资料库访问控制原型系统的架构。它包括两个主要部件:文件级访问控制部件FACC(File-level Access Control Component)以及元素级访问控制部件EACC(Element-level Access Control Component),其中前者参考了基于角色的访问控制模型,而后者借鉴了XML文档访问控制模型。在这个过程中,本文根据实际应用场合的特点,对两模型做了一些必要的修正和扩展,尤其针对以下几个关键问题进行了深入研究: (1) 在授权策略描述方面,分析了安全cookie集、属性证书机制等存在的问题,提出了基于XML的策略表示方法,并给出了文件级策略文档和元素级策略文档的定义。这样的策略文件由于具备XML语言的特点,使得在不同企业或者大型企业的不同部门之间能够较方便地共享授权信息。 (2) 在文件级策略检查方面,借鉴了GRBAC模型中的处理方法,提出了基本型策略规则、扩展型策略规则和变异型策略规则的概念,并针对原有算法在任何情况下都需要计算角色参与集的缺陷做了相应改进,有效地提高了策略评估的效率。 (3) 在权限约束方面,指出了当前处理方法在系统维护方面的严重不足,在此基础上引入了上下文参数的概念,提出了完备型约束表达处理方案,并从约束信息的描述以及约束处理类的设计这两个方面对方案进行了阐述,最后分析了本方案在应对约束条件变更时的灵活性。 另外,本文还详细说明了文件级访问控制部件和元素级访问控制部件的处理机制,并实现了相应的原型系统。运行结果表明该系统能对XML资料库提供有效的文件级和元素级存取控制,而且在权限约束方面也提供了良好的支持。本文的工作为XML技术在企业信息化、电子商务和电子政务等各个领域的进一步推广打下了一定的基础。