一種支持更新操作的數(shù)據(jù)空間訪問(wèn)控制方法

潘　穎　元昌安　李文敬　程茂華（廣西師范學(xué)院計(jì)算機(jī)與信息工程學(xué)院南寧530023）

?

一種支持更新操作的數(shù)據(jù)空間訪問(wèn)控制方法

潘穎*元昌安李文敬程茂華
（廣西師范學(xué)院計(jì)算機(jī)與信息工程學(xué)院南寧530023）

數(shù)據(jù)空間是一種新型的數(shù)據(jù)管理方式，能夠以“pay-as-you-go”模式管理海量、動(dòng)態(tài)、異構(gòu)的數(shù)據(jù)。然而，由于數(shù)據(jù)空間環(huán)境下數(shù)據(jù)的動(dòng)態(tài)演化、數(shù)據(jù)描述的細(xì)粒度和極松散性等原因，難于構(gòu)建有效的訪問(wèn)控制機(jī)制。該文提出一個(gè)針對(duì)數(shù)據(jù)空間環(huán)境下極松散結(jié)構(gòu)模型，重點(diǎn)支持更新操作的細(xì)粒度和動(dòng)態(tài)的訪問(wèn)控制框架。首先定義更新操作集用于數(shù)據(jù)空間的數(shù)據(jù)更新，提出支持更新操作的映射方法，可將動(dòng)態(tài)數(shù)據(jù)映射到關(guān)系數(shù)據(jù)庫(kù)中；給出支持更新操作權(quán)限的數(shù)據(jù)空間訪問(wèn)控制規(guī)則的定義，并分析與關(guān)系數(shù)據(jù)庫(kù)的訪問(wèn)控制規(guī)則二者轉(zhuǎn)換的一致性；然后提出具有可靠性和完備性的訪問(wèn)請(qǐng)求動(dòng)態(tài)重寫(xiě)算法，該算法根據(jù)用戶的讀/寫(xiě)訪問(wèn)請(qǐng)求檢索相關(guān)訪問(wèn)控制規(guī)則，使用相關(guān)權(quán)限信息重寫(xiě)訪問(wèn)請(qǐng)求，從而實(shí)現(xiàn)支持動(dòng)態(tài)更新的細(xì)粒度數(shù)據(jù)空間訪問(wèn)控制。理論和實(shí)驗(yàn)證明該框架是可行和有效的。

訪問(wèn)控制；數(shù)據(jù)空間；Pay-as-you-go；極松散結(jié)構(gòu)

1　引言

現(xiàn)代數(shù)據(jù)具有海量、多樣和動(dòng)態(tài)等特點(diǎn)，使得數(shù)據(jù)集成和管理需要遵循“pay-as-you-go”模式［1，2］，即數(shù)據(jù)集成和管理應(yīng)該是漸進(jìn)的、逐步完善的、功能由簡(jiǎn)單到復(fù)雜的過(guò)程，有別于傳統(tǒng)的數(shù)據(jù)庫(kù)系統(tǒng)和數(shù)據(jù)集成系統(tǒng)“高成本高功能”的集成和管理技術(shù)。為此，數(shù)據(jù)空間［3，4］，一種以“pay-as-you-go”模式管理海量、動(dòng)態(tài)、異構(gòu)數(shù)據(jù)為目標(biāo)的新型數(shù)據(jù)管理方式應(yīng)運(yùn)而生。然而，由于難于構(gòu)建有效的數(shù)據(jù)空間訪問(wèn)控制機(jī)制，極大阻礙了數(shù)據(jù)空間的發(fā)展和應(yīng)用。

和傳統(tǒng)的訪問(wèn)控制研究相比，數(shù)據(jù)空間的訪問(wèn)控制問(wèn)題更具有挑戰(zhàn)性：（1）數(shù)據(jù)空間需要描述和訪問(wèn)不同層次、不同粒度的數(shù)據(jù)，因此訪問(wèn)控制必須是細(xì)粒度的；（2）數(shù)據(jù)空間的數(shù)據(jù)是動(dòng)態(tài)演變的，訪問(wèn)者的權(quán)限隨著環(huán)境條件、數(shù)據(jù)屬性等因素動(dòng)態(tài)變化，因此訪問(wèn)控制必須是動(dòng)態(tài)的。同時(shí)，由于數(shù)據(jù)空間經(jīng)常發(fā)生動(dòng)態(tài)更新，使得訪問(wèn)控制不僅需要考慮數(shù)據(jù)讀操作，更重要的是考慮數(shù)據(jù)寫(xiě)（更新）操作的安全要求；（3）數(shù)據(jù)空間普遍采用的極松散結(jié)構(gòu)數(shù)據(jù)模型便于描述動(dòng)態(tài)異構(gòu)數(shù)據(jù)，但其結(jié)構(gòu)的極松散性、數(shù)據(jù)描述的不完全性等特點(diǎn)使得數(shù)據(jù)空間支持更新操作的訪問(wèn)控制問(wèn)題變得復(fù)雜。

文獻(xiàn)［5］已經(jīng)建立了基于關(guān)系數(shù)據(jù)庫(kù)的數(shù)據(jù)空間訪問(wèn)控制框架，對(duì)訪問(wèn)控制規(guī)則、查詢重寫(xiě)算法等進(jìn)行了初步的研究，但未涉及數(shù)據(jù)空間發(fā)生動(dòng)態(tài)更新的情形。本文重點(diǎn)研究支持動(dòng)態(tài)更新的細(xì)粒度數(shù)據(jù)空間訪問(wèn)控制，主要內(nèi)容如下：（1）定義更新操作集用于數(shù)據(jù)更新；（2）提出支持更新操作的映射方法，將數(shù)據(jù)空間更新的數(shù)據(jù)映射到關(guān)系數(shù)據(jù)庫(kù)中；（3）給出支持更新操作的數(shù)據(jù)空間訪問(wèn)控制規(guī)則的定義，分析其與關(guān)系數(shù)據(jù)庫(kù)的訪問(wèn)控制規(guī)則二者轉(zhuǎn)換的一致性；（4）提出訪問(wèn)請(qǐng)求的動(dòng)態(tài)重寫(xiě)算法，在用戶執(zhí)行讀/寫(xiě)操作時(shí)，檢索相關(guān)訪問(wèn)控制規(guī)則，將其權(quán)限限制條件添加到訪問(wèn)請(qǐng)求中，執(zhí)行改寫(xiě)后的訪問(wèn)請(qǐng)求，從而動(dòng)態(tài)控制用戶對(duì)數(shù)據(jù)的訪問(wèn)。

訪問(wèn)控制問(wèn)題一直是數(shù)據(jù)空間領(lǐng)域研究的難點(diǎn)。文獻(xiàn)［3］闡述了實(shí)現(xiàn)數(shù)據(jù)空間系統(tǒng)需解決的若干技術(shù)難點(diǎn)，其中包括了訪問(wèn)控制技術(shù)，并指出存在該難點(diǎn)的原因主要有：現(xiàn)實(shí)數(shù)據(jù)具有分布、動(dòng)態(tài)、異構(gòu)等特性，多個(gè)數(shù)據(jù)空間存在權(quán)限重疊等，但文獻(xiàn)沒(méi)有涉及問(wèn)題的解決。文獻(xiàn)［6］將索引和查詢技術(shù)嵌入到防篡改硬件中，進(jìn)而安全管理大型個(gè)人數(shù)據(jù)空間。文獻(xiàn)［7］提出一個(gè)科學(xué)數(shù)據(jù)空間原型系統(tǒng)，支持全球不同研究機(jī)構(gòu)訪問(wèn)和發(fā)布分布式呼吸氣體數(shù)據(jù)和分析資源，該系統(tǒng)的數(shù)據(jù)訪問(wèn)和數(shù)據(jù)發(fā)布遵循基于智能卡（smart card）的嚴(yán)格的訪問(wèn)機(jī)制。文獻(xiàn)［8］將4元組的數(shù)據(jù)空間模型iDM［9］擴(kuò)展成為8元組的數(shù)據(jù)模型，用于描述基于規(guī)則的權(quán)限信息，從而支持用戶對(duì)iDM的安全訪問(wèn)。

支持更新操作的訪問(wèn)控制的研究比較多，并取得了不錯(cuò)的成果。文獻(xiàn)［10］給出XM L更新操作和動(dòng)作類型的定義，提出了一個(gè)支持這些更新操作的XML訪問(wèn)控制模型。大多數(shù)訪問(wèn)控制描述語(yǔ)言只支持讀訪問(wèn)權(quán)限，不支持添加、刪除、修改等更新操作的寫(xiě)訪問(wèn)權(quán)限，為此文獻(xiàn)［11］提出了一種考慮了寫(xiě)權(quán)限的細(xì)粒度訪問(wèn)控制描述語(yǔ)言XACU，通過(guò)權(quán)限信息標(biāo)注方式在XMLDTD中添加寫(xiě)訪問(wèn)權(quán)限。文獻(xiàn)［12］提出一種基于XML更新驗(yàn)證的重寫(xiě)方法，通過(guò)定義訪問(wèn)控制描述語(yǔ)言XACU更新操作的重寫(xiě)規(guī)則，有助于研究訪問(wèn)控制策略的一致性。文獻(xiàn)［13］也對(duì)XM L的寫(xiě)訪問(wèn)控制策略的一致性和維護(hù)問(wèn)題進(jìn)行了研究。文獻(xiàn)［14］探討了支持XML查詢和更新的訪問(wèn)控制策略的安全性和有效性問(wèn)題。文獻(xiàn)［15，16］研究了支持RDF圖更新操作的訪問(wèn)控制問(wèn)題。針對(duì)云計(jì)算中數(shù)據(jù)擁有者寫(xiě)-用戶讀/寫(xiě)的應(yīng)用場(chǎng)景，文獻(xiàn)［17］引入可信平臺(tái)模塊，提高了云計(jì)算外包數(shù)據(jù)訪問(wèn)機(jī)制的安全性。文獻(xiàn)［18］研究了云計(jì)算環(huán)境下數(shù)據(jù)的敏感信息隱藏問(wèn)題，通過(guò)更改簽名文件，使其隱私部分不再呈現(xiàn)。

綜上所述，數(shù)據(jù)空間的訪問(wèn)控制研究目前多數(shù)停留在理論探討上，還沒(méi)有普遍認(rèn)可的有效的訪問(wèn)控制機(jī)制；支持更新操作的訪問(wèn)控制研究主要集中在XML，RDF等數(shù)據(jù)模型上，對(duì)極松散結(jié)構(gòu)數(shù)據(jù)模型鮮有研究。極松散結(jié)構(gòu)模型和XML，RDF有較大的區(qū)別，例如，XML，RDF的結(jié)構(gòu)較嚴(yán)格，XML為樹(shù)形結(jié)構(gòu)，RDF嚴(yán)格使用主體、謂詞和客體的三元組來(lái)描述資源，而極松散結(jié)構(gòu)模型是極松散的圖模型，對(duì)節(jié)點(diǎn)和邊的形式?jīng)]有嚴(yán)格要求；此外，XML，RDF難于描述復(fù)雜關(guān)系，如XML主要描述父子關(guān)系，RDF不便描述空關(guān)系等，而極松散結(jié)構(gòu)模型可以方便描述簡(jiǎn)單關(guān)系（如空關(guān)系）和復(fù)雜關(guān)系（如節(jié)點(diǎn)間的多重關(guān)系）。因此，基于XML，RDF的支持更新操作的訪問(wèn)控制技術(shù)不適用于極松散結(jié)構(gòu)模型，我們需要進(jìn)一步研究面向極松散結(jié)構(gòu)模型的支持更新操作的細(xì)粒度動(dòng)態(tài)訪問(wèn)控制方法。

2　支持動(dòng)態(tài)更新的數(shù)據(jù)空間訪問(wèn)控制框架

支持動(dòng)態(tài)更新的數(shù)據(jù)空間訪問(wèn)控制框架如圖1所示。（1）通過(guò)映射函數(shù)C和更新操作集將數(shù)據(jù)空間的動(dòng)態(tài)數(shù)據(jù)映射到關(guān)系數(shù)據(jù)庫(kù)；（2）通過(guò)支持更新操作的映射函數(shù)M將數(shù)據(jù)空間的訪問(wèn)規(guī)則映射到關(guān)系表的訪問(wèn)規(guī)則，從而將數(shù)據(jù)空間的細(xì)粒度訪問(wèn)控制轉(zhuǎn)換為對(duì)相應(yīng)關(guān)系表的訪問(wèn)控制；（3）當(dāng)用戶提出訪問(wèn)請(qǐng)求時(shí)，訪問(wèn)請(qǐng)求重寫(xiě)算法首先檢索和該用戶的讀/寫(xiě)操作相關(guān)的訪問(wèn)控制規(guī)則，然后根據(jù)這些規(guī)則重寫(xiě)訪問(wèn)請(qǐng)求，使其包含相關(guān)權(quán)限信息，執(zhí)行重寫(xiě)后的訪問(wèn)請(qǐng)求，對(duì)映射的關(guān)系表進(jìn)行細(xì)粒度的訪問(wèn)。

2.1數(shù)據(jù)模型

在現(xiàn)有的數(shù)據(jù)空間模型［5，9］的基礎(chǔ)上，為了方便描述動(dòng)態(tài)數(shù)據(jù)和不確定數(shù)據(jù)，本文提出一種更為通用的極松散結(jié)構(gòu)模型，它的形式定義如下：

定義1數(shù)據(jù)空間的數(shù)據(jù)模型是用來(lái)描述數(shù)據(jù)空間中的數(shù)據(jù)及其關(guān)系的圖模型，記為G:=（N，E），其中N為節(jié)點(diǎn)集｛N1，N2，…，Nk｝，節(jié)點(diǎn)Ni由屬性-值對(duì)（attribute-value）組成，記為代表節(jié)點(diǎn)Ni具有的屬性系列，代表該屬性系列對(duì)應(yīng)的值。當(dāng)為空節(jié)點(diǎn)。E是邊的集合，邊記為其中表示邊的標(biāo)簽，且L可為nu ll值。

圖1　支持動(dòng)態(tài)更新的數(shù)據(jù)空間訪問(wèn)控制框架

由定義1可知，該數(shù)據(jù)模型可以描述數(shù)據(jù)空間里各種粒度的邏輯實(shí)體及其關(guān)系（如節(jié)點(diǎn)可以描述整個(gè)文檔、文檔章節(jié)、一段文字等不同粒度的邏輯實(shí)體；邊可以描述邏輯實(shí)體間的各種關(guān)系）。此外，空節(jié)點(diǎn)為沒(méi)有包含屬性-值對(duì)的節(jié)點(diǎn)，可用來(lái)描述節(jié)點(diǎn)的不完全信息；邊為null值可方便描述不確定的關(guān)聯(lián)信息。

2.2更新操作集

更新操作集包括create，delete和update操作，含義如下：

（1）create操作：

create（nodeid，attribute，value）：添加節(jié)點(diǎn)及其屬性-值對(duì)；

create（nodeid，label，nodeid）：添加節(jié)點(diǎn)間的邊（關(guān)系）。

（2）delete操作：

delete（nodeid）：刪除整個(gè)節(jié)點(diǎn)，其屬性-值對(duì)也被刪除；

delete（nodeid，attribute，value）：刪除節(jié)點(diǎn)中的屬性-值對(duì)；

delete（nodeid，label，nodeid）：刪除節(jié)點(diǎn)間的邊（關(guān)系）。

（3）update操作：

update（nodeid，attribute，value）：更新節(jié)點(diǎn)中的屬性-值對(duì)的內(nèi)容；

update（nodeid，label，nodeid）：更新節(jié)點(diǎn)間的邊（關(guān)系）的內(nèi)容。

2.3支持動(dòng)態(tài)更新的數(shù)據(jù)模型到關(guān)系表的映射

數(shù)據(jù)空間中的數(shù)據(jù)是動(dòng)態(tài)演變的，數(shù)據(jù)模型對(duì)數(shù)據(jù)的描述是從簡(jiǎn)單到具體、逐漸完善的過(guò)程。因此，該數(shù)據(jù)模型到關(guān)系表的映射必須支持?jǐn)?shù)據(jù)的動(dòng)態(tài)更新。考慮到數(shù)據(jù)空間的數(shù)據(jù)更新操作可以對(duì)應(yīng)SQL的insert，update和delete語(yǔ)句，因此本文通過(guò)這些SQL語(yǔ)句將更新的數(shù)據(jù)分別映射到不同的關(guān)系表中。

定義2 G中數(shù)據(jù)記為GD，關(guān)系表中數(shù)據(jù)記為則 G到關(guān)系表的映射函數(shù)記為具體映射規(guī)則如下：

（1） G的邊映射到關(guān)系表Edge（source，label，target）。其中，字段source和target分別為邊的引出節(jié)點(diǎn)和引入節(jié)點(diǎn)，字段label為邊的標(biāo)簽。

（2） G的節(jié)點(diǎn)的屬性-值對(duì)映射到關(guān)系表Attribute（nodeid，value）。其中，字段nodeid為節(jié)點(diǎn)的ID，字段value為節(jié)點(diǎn)的屬性值。

（3）數(shù)據(jù)空間發(fā)生create操作的情形：當(dāng)create（nodeid，attribute，value）時(shí)，則使用insert語(yǔ)句將所添加的節(jié)點(diǎn)及其屬性-值對(duì)的內(nèi)容插入到相應(yīng)的A ttribute表，如果該屬性沒(méi)有A ttribute表，則先新建該Attribute表再做插入；當(dāng)create（nodeid，label，nodeid）時(shí)，則使用insert語(yǔ)句將所添加節(jié)點(diǎn)間的邊（關(guān)系）插入到Edge表。

（4）數(shù)據(jù)空間發(fā)生delete操作的情形：當(dāng)delete（nodeid）時(shí)，則使用delete語(yǔ)句刪除Attribute表和Edge表中該節(jié)點(diǎn)的所有內(nèi)容。具體地說(shuō)，如果該節(jié)點(diǎn)有屬性-值對(duì)，則使用delete語(yǔ)句刪除Attribute表中這些屬性-值對(duì)；如果該節(jié)點(diǎn)有邊和其它節(jié)點(diǎn)相連，則使用delete語(yǔ)句刪除Edge表中的這些邊。當(dāng)delete（nodeid，attribute，value）時(shí)，則使用delete語(yǔ)句刪除Attribute表中該節(jié)點(diǎn)的屬性-值對(duì)。當(dāng)delete（nodeid，label，nodeid）時(shí)，則使用delete語(yǔ)句刪除Edge表中該邊（關(guān)系）。

（5）數(shù)據(jù)空間發(fā)生update操作的情形：當(dāng)update（nodeid，attribute，value）時(shí)，則使用update語(yǔ)句更新A ttribute表中該節(jié)點(diǎn)的屬性-值對(duì)的內(nèi)容；當(dāng)update（nodeid，label，nodeid）時(shí)，則使用update語(yǔ)句更新Edge表中該邊（關(guān)系）的內(nèi)容。

2.4數(shù)據(jù)空間的訪問(wèn)控制規(guī)則

定義3關(guān)系表的訪問(wèn)控制規(guī)則描述訪問(wèn)者是否對(duì)關(guān)系表中被訪問(wèn)的資源擁有某些操作權(quán)限，包含主體（sub ject）、客體（ob ject）、操作（action）、標(biāo)識(shí)（sign）4個(gè)基本元素，記為：其中，

（1）suR表示對(duì)關(guān)系表進(jìn)行訪問(wèn)的用戶或角色；

（2）obR表示關(guān)系表的訪問(wèn)控制對(duì)象，即被訪問(wèn)的資源。這里，我們使用SQL語(yǔ)句“select F from T where P”來(lái)描述obR，其中T代表權(quán)限涉及的表（tab le）的集合；F代表受權(quán)限約束的字段（fields）的集合，且F包含在T的字段集合中，記為：是與T.fields相關(guān)的謂語(yǔ)（predicate），代表限制條件；

（3）acR表示主體對(duì)資源進(jìn)行的操作，如read，create，delete和update操作；

（4）siR包括標(biāo)識(shí)“+”和“-”，其中，“+”表示肯定授權(quán)，“-”表示否定授權(quán)。

這里，obG可以表示任意粒度的 G中數(shù)據(jù)，例如可以表示 G，也可以表示 G中某個(gè)屬性-值對(duì)對(duì)或邊中的某部分（如或者 L）等細(xì)粒度的數(shù)據(jù)。

定義5數(shù)據(jù)空間的訪問(wèn)控制規(guī)則描述訪問(wèn)者是否對(duì) G中被訪問(wèn)的資源擁有某些操作權(quán)限，記為：在此，數(shù)據(jù)空間的訪問(wèn)控制規(guī)則通過(guò)關(guān)系表的訪問(wèn)控制規(guī)則來(lái)描述。

例1定義如下數(shù)據(jù)空間的訪問(wèn)控制規(guī)則，使得用戶user1只能添加、修改或刪除自己的Em ail信息：

｛user1，select*from Aem ailwhere user1id= nodeid，create（nodeid，email，value），+｝

｛user1，select*from Aem ail where user1id= nodeid，delete（nodeid，email，value），+｝

｛user1，select*from Aem ailwhere user1id= nodeid，update（nodeid，email，value），+｝其中，條件where user1id=nodeid表示：當(dāng)用戶的登錄ID等于節(jié)點(diǎn)ID時(shí)，該用戶可以訪問(wèn)節(jié)點(diǎn)的信息，從而保證用戶只能添加、修改或刪除自己的Email信息。

定義6（訪問(wèn)請(qǐng)求）訪問(wèn)請(qǐng)求是指用戶/角色u對(duì)訪問(wèn)資源o執(zhí)行讀/寫(xiě)操作a的請(qǐng)求，記為:A=（，，）u o a，訪問(wèn)請(qǐng)求的SQL描述是指u對(duì)o執(zhí)行操作a的SQL表示，a包括4種操作，分別對(duì)應(yīng)SQL的select，create，delete和update語(yǔ)句，訪問(wèn)資源o的SQL描述方式類似obR。特別地，數(shù)據(jù)空間的訪問(wèn)請(qǐng)求記為

定理1（訪問(wèn)規(guī)則映射的一致性）對(duì)于數(shù)據(jù)空間的任意一個(gè)訪問(wèn)請(qǐng)求則其訪問(wèn)請(qǐng)求的結(jié)果為一個(gè)。

證明根據(jù)定義3，定義5和定義6可知，數(shù)據(jù)空間的訪問(wèn)控制規(guī)則除了其他內(nèi)容均和關(guān)系數(shù)據(jù)庫(kù)的訪問(wèn)控制規(guī)則一樣，有據(jù)定義6和定義7可知，對(duì)于數(shù)據(jù)空間的任意一個(gè)訪問(wèn)請(qǐng)求，其訪問(wèn)結(jié)果為acR操作在上的3種執(zhí)行結(jié)果之一。因此要證明該定理，只需證明的值是唯一的，即數(shù)據(jù)空間上的訪問(wèn)資源到關(guān)系數(shù)據(jù)庫(kù)的映射結(jié)果是唯一的。根據(jù)定義2和定義4可知，對(duì)于任意粒度的obG，總存在唯一的obR，使得反過(guò)來(lái)，考慮obR不同粒度的情況：表粒度時(shí)，obR為屬性表或邊表，分別對(duì)應(yīng) G中包含特定屬性的所有節(jié)點(diǎn)的該屬性-值對(duì)或整個(gè)邊集；行粒度時(shí)，obR為屬性表或邊表中的一行記錄，分別對(duì)應(yīng) G中一個(gè)屬性-值對(duì)或一條邊；列粒度時(shí)，obR為屬性表或邊表中的一列，分別對(duì)應(yīng) G中包含特定屬性的所有節(jié)點(diǎn)的該屬性的值或所有邊的標(biāo)簽；元素粒度時(shí)，obR為屬性表或邊表中的一個(gè)元素，分別對(duì)應(yīng) G中一個(gè)特定節(jié)點(diǎn)的特定屬性的值或一條特定邊的標(biāo)簽。由此得到：對(duì)于任意粒度的obR，也總存在唯一的obG，使得證畢

定理1說(shuō)明了數(shù)據(jù)空間的訪問(wèn)規(guī)則和關(guān)系數(shù)據(jù)庫(kù)的訪問(wèn)控制規(guī)則二者轉(zhuǎn)換的一致性。

2.5訪問(wèn)請(qǐng)求的動(dòng)態(tài)重寫(xiě)算法

訪問(wèn)請(qǐng)求的動(dòng)態(tài)重寫(xiě)過(guò)程如表1的算法1所示，該算法的主要思想：根據(jù)訪問(wèn)請(qǐng)求GA所涉及的用戶/角色、訪問(wèn)資源和操作，檢索相關(guān)訪問(wèn)控制規(guī)則逐一計(jì)算如果siGi為“+”，則析取肯定授權(quán)資源賦值給，如果siGi為“-”，則合取否定授權(quán)資源賦值給，計(jì)算然后將RS添加到訪問(wèn)請(qǐng)求的SQL描述的where條件里，得到包含了權(quán)限限制的訪問(wèn)表1通過(guò)動(dòng)態(tài)重寫(xiě)訪問(wèn)請(qǐng)求，使其符合相關(guān)訪問(wèn)控制規(guī)則，進(jìn)而控制用戶/角色對(duì)數(shù)據(jù)的訪問(wèn)。

例2假定user1的訪問(wèn)請(qǐng)求為：更新email信息，即AG=（user1，M（obG）=select*from Aem ail，update），相關(guān)數(shù)據(jù)空間的訪問(wèn)控制規(guī)則為：｛user1，M（obG）=select*from Aem ail w here user1id= nodeid，update（nodeid，em ail，value），+｝。由算法1得：AG'=（user1，M（obG）=select*from A em ail where user1id=nodeid，update），其中訪問(wèn)控制規(guī)則中的ob+R信息被添加到where條件中，使得重寫(xiě)過(guò)的包含權(quán)限信息。的SQL描述為：update Aem ail set em ail=value where user1id=nodeid，訪問(wèn)請(qǐng)求的結(jié)果為：update操作在select*from Aemailwhere user1id=nodeid上的肯定授權(quán)執(zhí)行結(jié)果。

表1　訪問(wèn)請(qǐng)求的動(dòng)態(tài)重寫(xiě)算法

3　實(shí)驗(yàn)結(jié)果及分析

下面通過(guò)實(shí)驗(yàn)測(cè)試本文方法的有效性和可行性，并和文獻(xiàn)［8］的GDM方法進(jìn)行比較分析。實(shí)驗(yàn)數(shù)據(jù)主要來(lái)源于在線學(xué)術(shù)信息服務(wù)平臺(tái)：學(xué)者網(wǎng)schol@t（http://www.scholat.com），涉及學(xué)者的個(gè)人信息、論文信息和學(xué)術(shù)會(huì)議信息等。在數(shù)據(jù)空間下該數(shù)據(jù)集的節(jié)點(diǎn)數(shù)為10000個(gè)，屬性-值對(duì)85062對(duì)，其中單個(gè)節(jié)點(diǎn)包含的屬性-值對(duì)不超過(guò)10個(gè)，邊數(shù)為7904，通過(guò)3.3節(jié)的映射規(guī)則轉(zhuǎn)換到Oracle 12c中，生成1個(gè)Edge表和26個(gè)Attribute表，近10萬(wàn)條記錄數(shù)。實(shí)驗(yàn)的硬件環(huán)境為：Intel（R）core（TM）i5-3210M CPU 2.5 GHz，內(nèi)存4 GB，硬盤(pán)430 GB，操作系統(tǒng)W indows 7 Ultimate w ith Service Pack 1。

理想狀態(tài)下，涉及特定用戶、特定訪問(wèn)資源的同一類操作的訪問(wèn)規(guī)則不會(huì)超過(guò)1個(gè)（肯定授權(quán)或否定授權(quán)）。然而，現(xiàn)實(shí)中定義的訪問(wèn)規(guī)則可能存在相互矛盾、訪問(wèn)資源重疊授權(quán)的情況，相互矛盾的訪問(wèn)規(guī)則可以作為不授權(quán)處理，為了考察訪問(wèn)請(qǐng)求動(dòng)態(tài)重寫(xiě)算法的有效性，本文重點(diǎn)考慮同用戶、同操作下訪問(wèn)資源重疊授權(quán)的情況。因此我們定義如下5類共500個(gè)數(shù)據(jù)空間訪問(wèn)控制規(guī)則，存在訪問(wèn)資源重疊授權(quán)，涉及表、行、列、元素4種粒度：

（1）用戶可以讀、寫(xiě)所有數(shù)據(jù)；

（2）用戶可以查看部分?jǐn)?shù)據(jù)內(nèi)容，不能進(jìn)行寫(xiě)操作；

（3）用戶可查看所有數(shù)據(jù)內(nèi)容，但只能添加部分邊/屬性-值對(duì)；

（4）用戶可查看所有數(shù)據(jù)內(nèi)容，但只能更新部分邊/屬性-值對(duì)；

（5）用戶可查看所有數(shù)據(jù)內(nèi)容，但只能刪除部分邊/屬性-值對(duì)。

部分?jǐn)?shù)據(jù)空間訪問(wèn)控制規(guī)則如表2所示。

表2　部分?jǐn)?shù)據(jù)空間訪問(wèn)控制規(guī)則

定義4組訪問(wèn)請(qǐng)求1SA，2SA，3SA和4SA，分別對(duì)應(yīng)Read操作、create操作、update操作和delete操作，每組訪問(wèn)請(qǐng)求包含4個(gè)請(qǐng)求，涉及表、行、列、元素4種粒度。

為測(cè)試本文方法的可擴(kuò)展性，分別在不同的節(jié)點(diǎn)數(shù)上執(zhí)行4組訪問(wèn)請(qǐng)求，每組訪問(wèn)請(qǐng)求執(zhí)行10次，求其平均時(shí)間，實(shí)驗(yàn)結(jié)果如圖2所示。隨著節(jié)點(diǎn)數(shù)量的增長(zhǎng)，執(zhí)行時(shí)間也逐漸增長(zhǎng)，時(shí)間開(kāi)銷與節(jié)點(diǎn)個(gè)數(shù)成線性關(guān)系，本文方法具有較好的可擴(kuò)展性。

根據(jù)文獻(xiàn)［8］的思想，我們?cè)跀?shù)據(jù)空間中做如下仿真實(shí)驗(yàn)：預(yù)先添加訪問(wèn)規(guī)則到iDM中，采用iQL語(yǔ)言處理訪問(wèn)請(qǐng)求。將本文方法、GDM方法、Oracle環(huán)境下無(wú)訪問(wèn)控制進(jìn)行比較，每組訪問(wèn)請(qǐng)求分別執(zhí)行10次，求其平均時(shí)間，得到的實(shí)驗(yàn)結(jié)果如圖3所示。采用本文方法時(shí)，4組訪問(wèn)請(qǐng)求的執(zhí)行時(shí)間比無(wú)權(quán)限控制時(shí)的執(zhí)行時(shí)間略高，但在可接受的范圍。GDM方法的仿真實(shí)驗(yàn)預(yù)先將控制規(guī)則寫(xiě)入數(shù)據(jù)模型中，在查詢階段省略了訪問(wèn)權(quán)限的檢索和計(jì)算，所以執(zhí)行時(shí)間較短，但在現(xiàn)實(shí)使用中，將規(guī)則寫(xiě)入數(shù)據(jù)模型、權(quán)限的檢索和計(jì)算會(huì)花費(fèi)更多時(shí)間。本文方法的讀操作訪問(wèn)請(qǐng)求1SA比3組寫(xiě)操作訪問(wèn)請(qǐng)求2SA-4SA的執(zhí)行時(shí)間低，最高的執(zhí)行時(shí)間是create操作2SA，這是因?yàn)榕c2SA相關(guān)的訪問(wèn)控制規(guī)則存在較多的重疊授權(quán)，造成了RS的計(jì)算量較大。考慮到可以預(yù)先對(duì)訪問(wèn)控制規(guī)則進(jìn)行優(yōu)化，計(jì)算同一操作的obR+和obR-，從而降低訪問(wèn)請(qǐng)求執(zhí)行時(shí)RS的計(jì)算量。總體上看，本文的訪問(wèn)控制框架所增加的負(fù)擔(dān)在可接受和可控的范圍，因此是可行的。

4　結(jié)束語(yǔ)

本文提出了一個(gè)基于關(guān)系數(shù)據(jù)庫(kù)的支持動(dòng)態(tài)更新的數(shù)據(jù)空間訪問(wèn)控制框架，在用戶對(duì)數(shù)據(jù)空間的數(shù)據(jù)進(jìn)行更新時(shí)，能夠即時(shí)根據(jù)用戶的訪問(wèn)控制權(quán)限，阻止或者允許用戶的行為。關(guān)系數(shù)據(jù)庫(kù)的訪問(wèn)控制技術(shù)較為成熟，基于關(guān)系數(shù)據(jù)庫(kù)的XML，RDF等模型的訪問(wèn)控制一直是研究熱點(diǎn)［19，20］。因此，本文在現(xiàn)有關(guān)系數(shù)據(jù)庫(kù)訪問(wèn)控制研究的基礎(chǔ)上探討數(shù)據(jù)空間的訪問(wèn)控制框架，也是可行和必要的。此外，本文的研究對(duì)解決動(dòng)態(tài)異構(gòu)數(shù)據(jù)的更新操作安全問(wèn)題有一定的借鑒價(jià)值。將來(lái)擬重點(diǎn)探討用戶授權(quán)問(wèn)題，考慮數(shù)據(jù)動(dòng)態(tài)演變、數(shù)據(jù)質(zhì)量低等特殊情況下，如何高效、準(zhǔn)確地為不同用戶指定其可以訪問(wèn)的數(shù)據(jù)。

圖2　不同節(jié)點(diǎn)數(shù)4組訪問(wèn)請(qǐng)求的執(zhí)行時(shí)間比較

圖3　 3種方法訪問(wèn)請(qǐng)求執(zhí)行時(shí)間比較

［1］MARX V.Biology:The big challenges of big data［J］.Nature，2013，498（7453）:255-260.

［2］NGUYEN Q V H，NGUYEN T T，M IKLóS Z，et al. Pay-as-you-go reconciliation in schemamatching networks［C］. International Conference on Data Engineering（ICDE）. Chicago，IL，USA，2014:220-231.

［3］HALEVY A，F(xiàn)RANKLIN M，and MAIER D.Principles of dataspace system s［C］.Proceed ings o f the 25th ACMSIGMOD-SIGACT-SIGART Sym posium on Principles of Database System s（PODS）.Chicago，IL，USA，2006:1-9.

［4］李玉坤，孟小峰，張相於.數(shù)據(jù)空間技術(shù)研究［J］.軟件學(xué)報(bào)，2008，19（8）:2018-2031.

LIYukun，MENG Xiaofeng，and ZHANG Xiangyu.Research on dataspace［J］.JournalofSoftware，2008，19（8）:2018-2031.

［5］潘穎，湯庸，劉海.基于關(guān)系數(shù)據(jù)庫(kù)的極松散結(jié)構(gòu)數(shù)據(jù)模型的訪問(wèn)控制研究［J］.電子學(xué)報(bào)，2012，40（3）:600-606.

PAN Y ing，TANG Yong，and LIU Hai.A ccess con trol in very loosely structu red data m odel using relational databases［J］. Acta Electronica Sinica，2012，40（3）:600-606.

［6］LALLALIS，ANCIAUX N，SANDU POPA I，et al.A secure search engine for the personal cloud［C］.Proceedings of the ACM SIGMOD International Con ference on Management of Data.M elbourne，VIC，Australia，2015:1445-1450.

［7］ELSAYED I，LUDESCHER T，SCHWARZ K，et al.Towards realization of scientific dataspaces for the breath gas analysis research community［C］.CEUR Workshop Proceedings，Temuco，Chile，2009:1-8.

［8］JIN Lei，ZHANG Yawei，and YE Xiaojun.An extensible data m odel w ith security support for dataspace m anagem ent［C］. Proceedings of the 10th International Conference on H igh Performance Com puting and Communications（HPCC）. Dalian，China，2008:556-563.

［9］DITTRICH J P and SALLESM A V.iDM:a unified and versatile data model for personal dataspacemanagement［C］. Proceedings of the 32nd International Conference on Very Large Data Bases.Seou l，Korea，2006:367-378.

［10］LIM C H，PARK S，and SON S H.Access control of XML documents considering update operations［C］.Proceedings of the ACM Workshop on XML Security.ACM，F(xiàn)airfax，VA，USA，2003:49-59.

［11］FUNDULAK I I and MANETH S.Form alizing XM L access control for update operations［C］.Proceed ings of the 12th ACM Sym posium on Access Control Models and Technologies.Sophia Antipolis，F(xiàn)rance，2007:169-174.

［12］JACQUEMARD F and RUSINOW ITCH M.Rew rite-based verification of XML updates［C］.Proceedings of the 12th International ACM SIGPLAN Sym posium on P rincip les and Practice of Declarative P rogramm ing.Hagenberg，Austria，2010:119-130.

［13］BRAVO L，CHENEY J，F(xiàn)UNDULAKI I，et al.Consistency and repair for XML w rite-access control policies［J］.The VLDB Journal，2012，21（6）:843-867.

［14］M IRABI M，IBRAHIM H，F(xiàn)ATH I L，et al.A dynam ic comp ressed accessibility map for secure XML querying and updating［J］.Journalof Information Science and Engineering，2015，31（1）:59-93.

［15］SAYAH T，COQUERY E，THION R，et al.Inference Leakage Detection for Authorization Policies over RDF Data［M］. Data and App lications Security and Privacy.Berlin，Germany，Springer International Publishing，2015:346-361.

［16］RACHAPALLI J，KHADILKAR V，KANTARCIOGLU M，et al.Towards fine grained RDF access control［C］. Proceedings of the 19th ACM Sym posium on A ccess Control Models and Technologies.London，ON，Canada，2014: 165-176.

［17］付東來(lái)，彭新光，楊玉麗.基于可信平臺(tái)模塊的外包數(shù)據(jù)安全訪問(wèn)方案［J］.電子與信息學(xué)報(bào)，2013，35（7）:1766-1773.doi: 10.3724/SP.J.1146.2012.01321.

FU Donglai，PENG X inguang，and YANG Yu li.Trusted platform module-based scheme for secure access to outsourced data［J］.Journal of Electronics&Information Technology，2013，35（7）:1766-1773.doi:10.3724/SP.J.1146. 2012.01321.

［18］劉西蒙，馬建峰，熊金波，等.云計(jì)算環(huán)境下基于屬性的可凈化簽名方案［J］.電子與信息學(xué)報(bào)，2014，36（7）:1749-1754.doi: 10.3724/SP.J.1146.2013.01154.

LIU Ximeng，MA Jianfeng，XIONG Jinbo，et al.A ttribute based sanitizable signature scheme in cloud com puting［J］. JournalofElectronics&Information Technology，2014，36（7）: 1749-1754.doi:10.3724/SP.J.1146.2013.01154.

［19］EL-AZIZ A，AHMED A E A，and KANNAN A.XM L access control:mapping XACML Policies to relational database tables［J］.International Arab Journal of Information Technology，2014，11（6）:532-539.

［20］PAPAKON STANTINOU V，M ICHOU M，F(xiàn)UNDULAKI I，etal.Access control for RDF graphsusing abstractmodels［C］. Proceedings of the 17th ACM Sym posium on A ccess Control Models and Technologies.Newark，NJ，USA，2012:103-112.

潘穎：女，1972年生，教授，博士，碩士生導(dǎo)師，研究方向?yàn)榇髷?shù)據(jù)管理、信息安全.

元昌安：男，1964年生，教授，博士，碩士生導(dǎo)師，研究方向?yàn)閿?shù)據(jù)庫(kù)與知識(shí)工程、智能計(jì)算.

李文敬：男，1964年生，教授，碩士生導(dǎo)師，研究方向?yàn)閿?shù)據(jù)庫(kù)與知識(shí)工程、信息安全.

程茂華：男，1991年生，碩士生，研究方向?yàn)榇髷?shù)據(jù)管理、服務(wù)計(jì)算.

Access Control Method for Supporting Update Operations in Dataspace

PAN Ying YUAN Chang，an LIWenjing CHENG Maohua
（College ofComputer and Information Engineering，Guangxi Teachers Education University，Nanning 530023，China）

Dataspace is a new type of datamanagement，which canmanage themass，heterogeneous，and dynam ic data in a pay-as-you-go fashion.However，it is difficult to construct an effective access control mechanism in dataspace environm ent，because of the data dynam ic evolu tion，the fine-grained and extrem ely loose data description.A fine-grained and dynam ic access controlm echanism supporting secu re updates is presented in this paper for very loosely structured data model which is common ly used in dataspace.Firstly，a set of update operations are defined formodifying data in the dataspace，and themapping functions are p rovided formapping theupdates data into relationaldatabases.Second ly，the fine-grained access control ru le supporting secure updates is given，and the consistency of the conversion between this rule and relational database access control rule is analyzed.Thirdly，an access request rew riting algorithm，which is sound and com plete，is also presented for dynam ically controlling read/w rite access to the data.The algorithm retrieves the related access control rules based on user'saccess request，and then rew rites the request by utilizing the relevant authority.Finally，the validity of thework in this paper is proved by the theory and the experiment.

Access control；Dataspace；Pay-as-you-go；Very loosely structured

s:The National Natural Science Foundation of China（61363074），The Natural Science Foundation of Guangxi Province of China（2013GXNSFAA 019346），The Scientific Research Fund of Guangxi Education Departm ent of China（2013YB 148）

TP309

A

1009-5896（2016）08-1935-07

10.11999/JEIT 151212

2015-11-03；改回日期：2016-03-25；網(wǎng)絡(luò)出版：2016-05-05

潘穎panying@gxtc.edu.cn

國(guó)家自然科學(xué)基金（61363074），廣西自然科學(xué)基金（2013GXNSFAA 019346），廣西教育廳科研項(xiàng)目（2013YB 148）