基于XML的多類型數據客體訪問控制

馮 瑜，杜學繪，曹利峰，陳華城

（1.信息工程大學 數學工程與先進計算國家重點實驗室，河南 鄭州450004；2.解放軍95851部隊，江蘇 南京210046；3.解放軍73503部隊，福建 福州350001）

0 引 言

信息安全等級保護［1］要求三級及三級以上信息系統實現強制訪問控制，安全標記作為強制訪問的前提，也成為實現多級安全的基礎性關鍵技術。要實現安全標記功能，必須有安全標記綁定技術做支撐，目前大多數綁定技術都將標記與客體整體關聯［2］，訪問控制對象只能是整個數據客體，極大限制了客體的利用率，不能滿足客體多元化、分級化的信息系統，且大量應用的不同需求使得客體的結構和格式呈多樣化趨勢，不同應用開發獨立的安全標記實施系統，使得不同平臺、不同應用間的數據交互時訪問控制困難［3］。為了解決上述問題，本文引入可擴展標記語言XML （extensible markup language）［4］，通過分析 不同類型數據客體邏輯結構，將結構化、半結構化和非結構化數據用樹形XML進行統一表示，定義多級XML 文檔，實現數據客體與安全標記的細粒度綁定，并在此基礎上實現多類型數據客體的強制訪問控制。

1 相關技術

XML之所以能實現一致的標記綁定和高細粒度的強制訪問控制，是因為其具有層次化結構、平臺無關性和極大的靈活性等特點：

（1）XML文檔是由自描述的嵌套元素構成，根據嵌套關系可將XML 文檔看成樹形結構，每個元素為樹中的結點，用于表示復雜數據客體中不同敏感級別的信息。對包含有多等級安全信息的XML數據客體實施訪問控制，訪問控制對象可以是整個XML，也可以是文檔中的片段、元素節點甚至是元素屬性，實現了靈活的、高細粒度訪問控制。

（2）XML可用于表示包括結構化、半結構化和非結構化數據，且在多種計算環境中被多種工具解釋。用XML將異構數據客體進行統一化表示，為格式和形式不同的眾多電子文件提供統一的基于XML的安全標記管理系統，從實際推動安全標記的一致性工作。

由于XML具有以上特性，因此本文將XML 引入多類型數據客體的訪問控制中，解決現有研究中安全標記綁定粒度粗、擴展性一致性不足的問題。

2 基于XML的數據客體統一化表示

要實現安全標記的一致性綁定和細粒度的訪問控制，首先要將異構數據客體進行統一描述，轉換為樹形結構的XML文檔，再以XML文檔內的節點、片段為訪問控制對象實現細粒度訪問控制。數據客體按照結構類型的不同，可分為結構化、半結構化以及非結構化數據［5］。盡管客體類型復雜，但是依據其內部關系，客體均能采用數據樹進行表示［6］。本節將分析不同類型客體的數據特征，通過邏輯多級分割，將其表示成樹形XML結構。

結構化數據是指結構良好，能夠用二維表結構來邏輯表達的數據，通常是存儲在關系數據庫中。每個數據庫表都能表示成深度為2的樹形結構，以表名為根，記錄為孩子節點，記錄的表項為葉子節點；而XML本身就是半結構化數據，是一個典型的元素與節點對應的邏輯樹形結構；非結構化數據相對而言數據格式多樣，數據邏輯關系復雜，我們將對幾類代表性的非結構化數據格式進行邏輯分析，典型的數據格式有文本文件、視頻、圖像等。

（1）文本文件：常用的電子文檔有兩種類型：純文本文檔，如TXT 格式文檔和具有目錄樹的word文檔。

純文本文檔數據結構性差，數據按行和段排列，文字間的分割符只有段落標志，因此本文設計將文檔作為XML樹的根結點，以段落為單位創建下級節點，生成深度為2的樹形XML。

目錄樹結構的word文檔統一表示思路是文檔整體為XML根節點，目錄節點轉換為數據樹中的元素節點，目錄下的子目錄及數據內容則在對應元素節點下生成下級元素及元素內容。文檔中存在圖片、表格等非結構化數據以整體進行處理成二進制序列，在所屬目錄對應的元素下創建子元素。

（2）圖像：圖像所提供的信息是基于視覺感觀的，因此對圖像的邏輯分割必須考慮到圖像內容所展示的視覺效果的實際意義。本文以圖片內有意義的圖形單位和色塊為對象，對圖形單位及背景進行實效分割，分割的圖形單位及背景可根據一定規則再進行二次分割，并依據圖像節點之間在圖像中的相對位置［7，8］，為每個圖形分割塊，創建XML節點，則一個圖像可以表示為以整個圖像為根節點，若干分割塊、分割子塊為子節點的樹形XML。

（3）視頻：在視頻流數據［9］中，其最小的物理數據單元是 “鏡頭”，所以視頻分割的目的是將連續圖像幀分割成長短不一的視頻鏡頭。一般來說，一段視頻由一些描述獨立故事單元的場景構成；一個場景由一些語義相關的鏡頭組成；而每個鏡頭是由一些連續幀構成。本文將視頻用XML統一化表示的思路是：視頻整體抽象成XML 文檔根節點，將構成視頻的每個場景表示成孩子節點，每個場景所包含的鏡頭表示成場景節點的下級節點，連續幀則表示成葉子節點，幀節點的數據內容為每一幀圖片的二進制序列。

3 多級XML文檔訪問控制模型XBLP

為了有效實施統一的安全標記訪問控制，本文在異構數據客體XML統一化表示的基礎上，提出面向多級XML文檔的訪問控制模型XBLP。模型定義了擴展了安全標記的多級XML 文檔，規范了XML 安全標記語法和約束規則，并給出安全標記綁定算法，實現安全標記與數據客體的綁定。

3.1 安全標記擴展的多級XML文檔

一個完整的多級XML 除了包括文檔中直接包含的元素、屬性、安全標記等，還包括不同層次節點間安全標記的約束關系。

3.1.1 多級XML文檔定義

XML的基本模型包含XML 內容信息和結構信息，利用節點之間的嵌套關系可以將一個XML文檔表示成一棵以文檔根元素為根節點，文檔元素為子節點的樹形結構，本文我們稱其為文檔樹。擴展了安全標記的XML文檔即是為文檔樹中的節點添加安全標記綁定，為不同敏感級的節點賦予不同安全等級的安全標記，使得整棵文檔樹呈現節點多等級化的特點，如圖1所示。我們將擴展了安全標記的多級安全XML文檔稱為多級XML文檔。

定義1 多級XML 文檔：多級XML 文檔是一個九元組：XLabDoc ＝ （r，Ve，Va，L0，Ns，SubElem，Attrs，Name，Lab），其中：r為多級XML文檔的根元素，是整個文檔的標識，r∈Ve；Ve為文檔數據節點集，包括一個數據客體經過邏輯分割成相應的數據元素節點，客體O ＝∑ei，ei∈Ve；Va為文檔屬性節點集，屬性attri是對元素ei的描述attri∈Va；L0為文檔中安全標記集，是每個安全級別和范疇集二元組λi＝（Class，Categorys），文檔內安全標記的DTD 定義見表1。

圖1 多級XML文檔樹形結構 （U 表示XML

表1 安全標記的DTD 定義

Ns為文檔命名集，包括元素和屬性的命名；

Attrs是屬性到元素的二元關系，若attr1∈Va，e1∈Ve，則Attrs（attr1，e1）表示attr1是e1的屬性；

Name 是名稱到屬性或元素的二元關系，若attr1∈Va，e1∈Ve，則Name（n1，attr1），Name（n2，e1）分別表示attr1名稱為n1，e1名稱為n2；

Lab 是安全標記到屬性或元素的二元關系，若attr1∈Va，e1∈Ve，則Lab（l1，attr1），Lab（l2，e1）分別表示attr1的安全標記為l1，e1安全標記為l2。

3.1.2 XML安全標記約束規則

多級XML文檔具有樹狀層次結構，根元素是最外層節點，當要訪問文檔中某個元素或屬性時，必須要獲取目標節點的路徑。而該路徑是由從根節點到達目標節點所經過的所有外層節點組成，要訪問目標節點則必須要先訪問外層節點，因此內層元素的安全級別應比外層元素的安全級別高。據此，我們規定元素或者屬性的安全標記必須支配其外層的安全標記。根據這一原則，本文定義多級XML文檔綁定安全標記時的約束規則：

規則1：XML安全標記文檔中，子元素的安全標記必須支配父元素的安全標記；

規則2：XML 安全標記文檔中，若元素ei具有屬性ai，則屬性ai的安全標記必須支配元素ei的安全標記；

1.2.1 對患者的基本情況登記為老年患者的個人健康建立檔案,將老年患者的病史、年齡、姓名等情況詳細詢問,通過統一設計的調查問卷逐一將詳細信息登記[1]。

規則3：XML安全標記文檔中，元素的安全標記符合級聯遞推關系，即若元素e1是e3的子元素，e3是e4的子元素…en是e2的子元素，則元素e1的安全標記支配元素e2的安全標記；

規則4：安全標記文檔中，屬性與元素安全標記的支配關系符合級聯遞推，即若屬性a1是e2的子元素，e2是e3的子元素…en是e1的子元素，則屬性a1的安全標記支配元素e1的安全標記；

規則5：安全標記文檔根元素的安全標記必須被其它元素和屬性的標記所支配，且根元素的安全標記即XML安全標記文檔的安全標記，也是主體能訪問文檔的最小標記。

根據以上原則，XML文檔的根節點是所有其它節點的最外層元素，根節點的安全標記能被所有元素節點和屬性節點的安全標記支配。因此，給出XML安全標記文檔的安全標記的定義。

定義2 文檔的安全等級就是根節點的安全等級，即λ（XLabDoc）＝λ（r）。

3.2 安全標記與XML文檔綁定算法

多級XML文檔是在XML統一化表示的基礎上通過為文檔綁定安全標記后生成的，本文給出了安全標記與多級XML文檔的綁定算法 （algorithm of binding label to Mulit－XML，ABLMX），基本思想為：通過樹的層次遍歷，為文檔樹中的每個節點分配安全標記，安全標記包含的密級和范疇為人工定制。為保證網絡傳輸過程中安全標記的完整性，在綁定時使用XML簽名技術對文檔樹中節點及其安全標記進行簽名，簽名值與安全標記一起成為客體節點的子節點。ABLMX 算法見表2。

表2 安全標記綁定算法ABLMX

一個綁定了安全標記的XML文檔的樹形結構實例如圖2所示。

圖2 綁定安全標記的XML文檔樹形結構實例

3.3 XBLP模型訪問控制規則

BLP模型［10］是應用最為廣泛的經典強制訪問控制模型，其中主體s 安全標記為λ（s），客體o 安全標記為λ（o）。安全標記二元組λ（C，G）之間的關系有兩種：支配關系和不可比關系。標記λ1（C1，G1）支配 標記λ2（C2，G2）當且僅當C1≥C2且G1G2，記為λ2≤λ1或，如果兩個標記不存在支配關系，則它們不可比。

主體s對客體o能否執行特定操作取決于二者安全標記之間的關系。BLP模型的訪問控制規則可以概括為 “不向上讀”和 “不向下寫”，通過簡單安全特性和＊特性控制信息流的單向流動。但是XML 文檔中包含有兩部分信息：數據內容和結構信息。若低級別用戶要向上寫時，必須先獲得高等級元素的信息結構，而XML的結構本身也是一種信息，為了保證低等級主體無法讀取任何高安全等級信息，我們采用嚴格的BLP模型，除了執行簡單安全特性外，還遵守嚴格的＊一特性，即 “同級寫”：主體能夠寫客體當且僅當主體與客體的安全標記相等。

XBLP模型的基本規則：① （簡單安全特性）僅當λ（o）≤λ（s）時，主體s能夠讀客體o；② （嚴格＊特性）僅當λ（o）＝λ（s）時，主體s能夠寫客體o。

4 XBLP模型中多級XML文檔相關操作

多級XML文檔中包含的安全等級具有嚴格的從根節點到葉子節點的安全等級由低至高的結構，因此在多級XML文檔訪問控制實施過程中，也需要遵守安全標記約束規則。本文將多級XML文檔上的操作分為讀取 （extract）、插入（instert）、更新 （update）、刪除 （remove）刪除。

4.1 客體片段提取操作

當主體訪問客體時，根據訪問控制規則，不同安全密級的主體能獲取的客體的信息也不同。根據XBLP 訪問控制規則，若主體s能讀取元素e1，則滿足：主體s支配元素e1的安全標記：λ（s）≥λ（e1）。

客體片段提取操作思想為：根據主體的安全標記等級先判斷主體對整個多級XML文檔是否擁有訪問權限 （多級XML文檔的安全等級為根節點的安全標記等級），若主體能夠訪問根節點，則先根遍歷整棵XML文檔樹。如果主體的安全等級能支配節點的安全等級則繼續遍歷，否則則終止遍歷，并對節點進行剪枝操作，返回父節點，再遍歷其余孩子節點，操作過程見表3。

表3 客體數據片段提取操作

通過客體片段提取操作，可實現不同密級主體訪問的客體片段不同的效果，且客體片段的訪問粒度能達到元素甚至屬性級別，對圖1中XML文檔樹實施片段提取結果實例如圖3所示。

圖3 不同安全等級主體訪問圖1中XML樹時讀取的數據片段根據主體密級不同而不同

4.2 插入子元素操作

插入子元素操作是指在多級XML文檔中為已有節點創建新的子元素節點及其安全標記。根據XBLP 模型嚴格＊特性，主體創建的元素應該與主體有相同的安全標記；根據XML安全標記約束規則3，子節點的安全標記必須支配其父節點的安全標記。因此，如果主體s想在元素e1中創建子元素e2，則滿足：

主體s支配元素e1的安全標記：λ（s）≥λ（e1）；

主體s與元素e2的安全標記相等：λ（s）＝λ（e2）。

創建新的元素節點時，同時為其創建安全標記節點，并簽名。插入子元素操作過程見表4。

表4 插入子元素操作過程

4.3 更新數據內容操作

更新操作是指對多級XML 文檔內元素節點的數據內容、屬性節點的屬性內容進行更新。根據XBLP 模型，只有相同安全等級的主體才能讀寫客體，更新后的內容也要遵守安全標記結束規則，因此主體s更新多級XML 文檔中的元素e1、屬性a1則滿足：

主體s與元素e1的安全標記相等：λ（s）＝λ（e2）；

主體s與屬性a1的安全標記相等：λ（s）＝λ（a1）。

元素節點或屬性節點的內容更新后，只有節點內的數據內容發生變化，多級XML文檔的結構并沒有發生變化。

4.4 刪除節點操作

刪除操作是指刪除多級XML文檔內的元素節點或屬性節點，同時刪除其安全標記節點。根據XBLP 模型規則，主體只能刪除安全等級相同的客體。若刪除了低安全等級的客體，則改變了低級數據的內容，違反XBLP模型特性。因此，主體s刪除元素e1、屬性a1需滿足：

主體s與元素e1的安全標記相等：λ（s）＝λ（e1）；

主體s與屬性a1的安全標記相等：λ（s）＝λ（a1）。

由于多級XML文檔從結構上看是層次樹形結構，被刪除元素e1可能包含安全等級更高的子孫元素節點，這些節點對主體來說是不可見的。執行刪除操作時若只將元素e1刪除，那么高等級子孫節點失去結構支撐，破壞文檔的完整性，并使得高等級信息不可用；若將這些高等級子孫元素一同刪除，則造成越權操作；若拒絕刪除，則使得主體能通過這個拒絕行為推理出高等級子孫節點的存在，泄漏了多級XML文檔的結構信息，造成隱通道問題［11］。

因此，本文定義了滯后刪除策略，為元素和屬性節點引入 “visibles”屬性，取值為 “true｜false”。屬性 “visibles＝false”表示其對安全等級為λ（e1）的主體不可見，只有當主體的安全標記支配λ（e1）時，才能訪問到該節點。刪除操作過程見表5。

表5 刪除操作過程

刪除操作算法首先判斷主體是否能夠訪問多級XML文檔及是否擁有刪除節點的操作權限。若允許刪除操作，則通過后根遍歷方式對子樹進行遍歷，遞歸算法 （9—17行）遍歷子樹節點，將安全等級與主體相同的葉子節點 （連同其安全標記及簽名）直接刪除；擁有高等級子孫節點的節點設置屬性值 “visibles＝false”。

5 基于XML的多類型數據客體訪問控制系統設計

依據多類型數據客體與安全標記的綁定方法及基于多級XML文檔的訪問控制模型，本文給出了基于XML 的多類型數據客體的訪問實施架構，如圖4所示。

圖4 基于XML的多類型數據客體的訪問控制系統結構

圖4中，訪問服務代理，負責對主體進行身份認證和處理請求及反饋結果；主體標記管理，存儲系統中主體的安全標記信息；XML統一化表示，負責將多種類型的客體依據其邏輯結構進行分割并表示成樹形結構的XML格式文檔；文檔通過XML標記綁定模塊，實現不同敏感級別的數據元素與不同級別安全標記的綁定，生成多級XML 文檔；多級XML 文檔管理，負責對多級XML 文檔的存儲、維護；XML安全標記管理，負責管理多級XML 文檔，實施提取、提取、創建、更新、刪除操作；客體視圖生成，依據訪問決策結果和多級XML文檔生成視圖返回給訪問服務代理；訪問控制決策中心 （XACDC）是模型的核心模塊，負責在XBLP模型訪問控制策略下依據安全標記做出訪問決策，與客體視圖生成模塊聯動，最終返回訪問結果。

主體對數據客體發起訪問時，訪問請求受理步驟如下：

（1）主體請求訪問數據客體時，先要經過訪問服務代理對其進行身份認證；

（2）認證成功后，訪問服務代理將主體請求及主體安全標記信息發送給訪問控制決策中心 （XACDC）；

（3）XACDC從用戶標記管理模塊獲取主體安全標記，并向多級XML文檔管理模塊請求被訪問數據客體的安全標記；

（4）XACDC根據訪問控制策略，比較主體和數據客體的安全標記、判斷請求操作類型，對請求做出正確處理，并將決策結果發送到客體視圖生成模塊；

（5）客體視圖生成模塊訪問數據客體并根據決策結果生成主體可訪問的數據客體視圖，然后將最終結果返回給訪問服務代理；

（6）訪問服務代理將結果返回給主體。

6 結束語

安全標記是實施強制訪問控制的基礎，等級保護實施的關鍵，本文分析現有安全標記實施系統中存在的問題，針對多類型數據客體與安全標記的綁定問題提出了一種基于XML的統一化表示方法，在此基礎上完成安全標記與客體的綁定，實現基于XML的多類型數據客體的訪問控制。提出的綁定方法實現了數據客體與安全標記綁定的統一，解決了安全標記綁定粒度粗、擴展性不足的問題，為多級信息系統間異構數據交互和數據安全訪問控制問題提供了技術支撐。

下一步的工作將探討訪問控制過程中數據聚合引起的客體密級提升問題，并研究如何保證安全標記在網絡傳輸過程中的一致性，同時多級安全網絡中安全標記與網絡數據流的綁定問題也是下一步的研究內容。

［1］GB／T22239－2008.Baseline for classified protection of information system ［S］.（in Chinese）.［GB／T22239－2008.信息系統安全等級保護基本要求 ［S］.］

［2］CAO Lifeng，LI ZHONG.Method of binding secure label to data object based on XML ［J］.Computer Science，2013，40（8）：124－128 （in Chinese）.［曹利峰，李中.基于XML 的數據客體與安全標記綁定方法 ［J］.計算機科學，2013，40（8）：124－128.］

［3］Sander O，Ian B.A proposal for an xml confidentiality label and related binding of metadata to data objects［R］.RTO－MPIST－091－22.NATO C3Agency，2010.

［4］World Wide Web Consortium （W3C. “extensible markup language（XML）1.0 （Second Edition）”［EB／OL］. ［2013－08－19］.http：／／www.w3c.org／TR／REC－xml.

［5］Barbulescu M，Grigoriu R O，Halcu I，et al.Integrating of structured，semi－structured and unstructured data in natural and build environmental engineering ［C］／／11th Roedunet International Conference（RoEduNet）.IEEE，2013：1－4.

［6］LEE T Y.Formalisms on semi－structured and unstructured data schema computations［D］.Hong Kong：University of Hong Kong，2010.

［7］Chen W B，Zhang C，Gao S.Segmentation tree based multiple object image retrieval［C］／／IEEE International Symposium on Multimedia.IEEE，2012：214－221.

［8］CHEN Jun，WANG Qing.Image structure representation based on graph－cut and saliency ［J］.Application Research of Computers，2009，26 （9）：3589－3593 （in Chinese）. ［陳君，王慶.基于圖割和顯著性的圖像結構表示方法研究 ［J］.計算機應用研究，2009，26 （9）：3589－3593.］

［9］Chergui A，Bekkhoucha A，Sabbar W.Video scene segmentation using the shot transition detection by local characterization of the points of interest［C］／／6th International Conference on Sciences of Electronics，Technologies of Information and Telecommunications.IEEE，2012：404－411.

［10］Bell D E，Lapadula L J.Seccure computer system：Unified exposition and multics interpretation ［R］.The MITRE Cor－poration，TechRep：MTR－2997Revision 1，1976.

［11］FENG Xuebin，HONG Fan，LONG Tao，et al.Seccurity policy for REMOVE operation of multilevel XML document［J］.Computer Engineering and Application，2008，44 （22）：166－168 （in Chinese）.［馮學斌，洪帆，龍濤，等.多級安全XML文檔刪除操作安全策略研究 ［J］.計算機工程與應用，2008，44 （22）：166－168.］