史秀鵬，何涇沙，，趙 斌，張伊璇，劉若鴻

（1.北京工業(yè)大學(xué) 軟件學(xué)院，北京100124；2.北京經(jīng)開股份有限公司 信息技術(shù)部，北京100176）

0 引 言

隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用的界面內(nèi)容來源于多個(gè)采用不同安全策略的訪問控制客體，應(yīng)用在訪問資源的過程中會(huì)并行發(fā)出大量的訪問請(qǐng)求，這些訪問請(qǐng)求在沒有進(jìn)行統(tǒng)一的訪問控制協(xié)調(diào)調(diào)度時(shí)會(huì)導(dǎo)致不安全的訪問和未授權(quán)信息的泄露。

訪問控制作為信息系統(tǒng)的重要保護(hù)屏障，普遍應(yīng)用在操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)當(dāng)中。隨著應(yīng)用系統(tǒng)的高度集成，云計(jì)算和分布式技術(shù)的快速發(fā)展，傳統(tǒng)的采用單一策略的訪問控制方法已經(jīng)不能滿足現(xiàn)在安全要求。訪問控制模型在并發(fā)性、靈活性、協(xié)調(diào)管理和可擴(kuò)展性等方面需要進(jìn)行改進(jìn)。

面向大量外部用戶的可共享的分布式開放式網(wǎng)絡(luò)的普及，催生了網(wǎng)絡(luò)應(yīng)用的發(fā)展，如大型電子商務(wù)網(wǎng)絡(luò)、Ad Hoc網(wǎng)絡(luò)、社交網(wǎng)絡(luò)等［1］。由于網(wǎng)絡(luò)應(yīng)用更多依賴于服務(wù)器提供網(wǎng)絡(luò)資源，導(dǎo)致了用戶同一時(shí)刻對(duì)于服務(wù)器的高并發(fā)訪問［2］。同時(shí)，網(wǎng)絡(luò)資源通過分布式服務(wù)器技術(shù)分散在不同物理位置或網(wǎng)絡(luò)域［3，4］中的服務(wù)器節(jié)點(diǎn)，眾多服務(wù)器實(shí)施的訪問控制策略各異，使得訪問控制難以有效統(tǒng)一地管理。

對(duì)于B／S結(jié)構(gòu)的應(yīng)用系統(tǒng)，資源訪問請(qǐng)求需要進(jìn)行統(tǒng)一調(diào)度協(xié)調(diào)。目前web頁面設(shè)計(jì)的資源種類不再是的文字和圖片，還包含多媒體特效［5］、視頻、聲音等資源，瀏覽器按照順序的資源訪問方式，用戶往往不能第一時(shí)間看到自己需要的資源，用戶簡(jiǎn)單的操作伴隨著頁面刷新，大量資源重復(fù)加載導(dǎo)致了網(wǎng)絡(luò)流量的浪費(fèi)。同時(shí)對(duì)于客體資源的訪問控制主要依賴于服務(wù)器的認(rèn)定，并發(fā)訪問請(qǐng)求的到來伴隨著大量的訪問授權(quán)，這樣就增加了HTTP服務(wù)器的開銷。

對(duì)于C／S結(jié)構(gòu)的應(yīng)用系統(tǒng)，資源的調(diào)取方式也往往來源于多個(gè)訪問控制的客體，雖然采用了TCP／IP 的面向持續(xù)連接的連接方式，但是不同目的地址的客體會(huì)增加連接的個(gè)數(shù)，在整個(gè)系統(tǒng)界面的加載過程中也沒有進(jìn)行不同訪問控制的協(xié)調(diào)工作。同時(shí)并發(fā)訪問請(qǐng)求所請(qǐng)求的客體也存在著關(guān)聯(lián)關(guān)系，因此需要根據(jù)客體的關(guān)聯(lián)關(guān)系來調(diào)度調(diào)整并發(fā)訪問請(qǐng)求的訪問順序，根據(jù)客體訪問控制的結(jié)果來開啟或關(guān)閉其它未進(jìn)行的并發(fā)訪問請(qǐng)求。因此如何根據(jù)安全要求及并發(fā)訪問請(qǐng)求的關(guān)聯(lián)關(guān)系有效協(xié)調(diào)訪問控制機(jī)制，提出有效的、滿足開放式網(wǎng)絡(luò)要求的動(dòng)態(tài)訪問控制方案，對(duì)保護(hù)信息、資源和服務(wù)的安全以及個(gè)人隱私至關(guān)重要。研究并發(fā)訪問的關(guān)聯(lián)關(guān)系，根據(jù)不同的關(guān)聯(lián)關(guān)系制定訪問控制的協(xié)調(diào)方法，對(duì)于目前的應(yīng)用系統(tǒng)的設(shè)計(jì)和建設(shè)具有重要的研究?jī)r(jià)值。

1 并發(fā)訪問請(qǐng)求

網(wǎng)絡(luò)應(yīng)用在加載的過程中，會(huì)觸發(fā)大量的并發(fā)訪問請(qǐng)求，這些訪問請(qǐng)求將并發(fā)的調(diào)取網(wǎng)絡(luò)資源［6］。HTTP 訪問請(qǐng)求是我們常見的訪問請(qǐng)求的一種，通過網(wǎng)頁數(shù)據(jù)分析工具可以獲得web頁面的并發(fā)數(shù)據(jù)，得到對(duì)于單一頁面會(huì)出發(fā)多大程度的并發(fā)調(diào)取網(wǎng)絡(luò)資源的數(shù)量。

本文使用的工具是Http watch，它集成在Internet Explorer工具欄，可以查看網(wǎng)頁摘要、網(wǎng)頁字符、Cookies、緩存、訪問請(qǐng)求消息頭發(fā)送／接受。Http watch還能夠在顯示網(wǎng)頁同時(shí)顯示網(wǎng)頁請(qǐng)求和回應(yīng)的日志信息，如圖1所示。

圖1 Http watch顯示網(wǎng)絡(luò)應(yīng)用觸發(fā)的并發(fā)訪問請(qǐng)求

在Http watch中可以看到，在訪問淘寶網(wǎng)－首頁時(shí)，瀏覽器會(huì)觸發(fā)186個(gè)并發(fā)的訪問請(qǐng)求，180個(gè)為GET 請(qǐng)求，6個(gè)為POST 請(qǐng)求。在訪問新浪網(wǎng)－首頁時(shí)，瀏覽器會(huì)觸發(fā)225個(gè)并發(fā)的網(wǎng)絡(luò)請(qǐng)求，全部為GET 請(qǐng)求。

在HTTP請(qǐng)求中描述調(diào)取資源的目的地址是URL，也就是網(wǎng)業(yè)結(jié)構(gòu)中的超鏈接，信息，可以將超鏈接視為線，網(wǎng)頁視為結(jié)點(diǎn)，這樣就組成了一個(gè)圖的結(jié)構(gòu)，被稱之為網(wǎng)站的拓?fù)浣Y(jié)構(gòu)。本文使用基于Heritrix的網(wǎng)絡(luò)爬蟲工具提取網(wǎng)站網(wǎng)頁中的超鏈接信息，同時(shí)剔除了網(wǎng)頁中夾雜的無效鏈接，由于網(wǎng)站拓?fù)浣Y(jié)構(gòu)呈現(xiàn)出來是圖結(jié)構(gòu)不利于理解和導(dǎo)航，本文擬將其組織成層次性結(jié)構(gòu)，將網(wǎng)站的拓?fù)浣Y(jié)構(gòu)轉(zhuǎn)換成樹型結(jié)構(gòu)以便認(rèn)知理解，如圖2所示。

網(wǎng)頁的文本信息中包含的鏈接類型主要包含網(wǎng)頁的樣式文件鏈接、腳本文件連接、跳轉(zhuǎn)至其它頁面的鏈接和多媒體資源鏈接。跳轉(zhuǎn)型鏈接和多媒體鏈接會(huì)連接到不同的域名或IP地址，來源于不同的客體，并觸發(fā)不同客體的訪問控制。網(wǎng)絡(luò)連接指向的客體資源存在著一定的聯(lián)系，通過對(duì)于客體資源的識(shí)別和分類可以找到客體資源之間的關(guān)系，進(jìn)而獲得訪問請(qǐng)求之間的關(guān)聯(lián)關(guān)系。

2 訪問請(qǐng)求關(guān)聯(lián)關(guān)系

2.1 關(guān)聯(lián)關(guān)系概念

在訪問請(qǐng)求并發(fā)訪問客體資源的過程中，并發(fā)訪問請(qǐng)求之間存在著相互的關(guān)聯(lián)關(guān)系，關(guān)聯(lián)關(guān)系的判斷來源于訪問請(qǐng)求本身屬性，還來源于訪問請(qǐng)求訪問客體資源之間的二元關(guān)系［7］。本文將具體的關(guān)聯(lián)關(guān)系定義為以下5種：或、與、非、依賴、聚合。

（1）“或”關(guān)系，標(biāo)識(shí)為 “∪”，代表的是兩個(gè)并發(fā)訪問請(qǐng)求，至少有一個(gè)獲得訪問控制的允許，兩者才能繼續(xù)顯示出來。例如：通常在信息系統(tǒng)中，很多訪問請(qǐng)求存在著意義上的關(guān)聯(lián)，但關(guān)聯(lián)程度并不強(qiáng)烈。新聞系統(tǒng)中，兩則同一板塊的新聞鏈接，雖然意義上同屬于同一個(gè)新聞?lì)愋?，但相互之間不存在制約的關(guān)聯(lián)關(guān)系，它們觸發(fā)的訪問控制之間是相互獨(dú)立的。

（2）“與”關(guān)系，標(biāo)識(shí)為 “∩”，代表的是兩個(gè)并發(fā)訪問請(qǐng)求，都獲得了訪問控制的允許，兩者才能繼續(xù)顯示出來。例如：圖片和文字同時(shí)展示時(shí)，若圖片未獲得響應(yīng)或者不允許訪問，則相應(yīng)的文字也同時(shí)不予以展示；視頻和文字同時(shí)展示時(shí)，文字詳細(xì)描述了視頻的內(nèi)容，若視頻不允許訪問，則文字的響應(yīng)也不予以展示。

（3）“非”關(guān)系，標(biāo)識(shí)為 “！”，代表并發(fā)訪問請(qǐng)求1，在并發(fā)訪問請(qǐng)求2訪問控制拒絕的情況下，才能顯示訪問請(qǐng)求1的結(jié)果。例如：在信息系統(tǒng)中，在一些通用的功能模塊中，普通用戶和管理員用戶的功能需求差異不大，共享著同一個(gè)用戶界面。根據(jù)用戶權(quán)限的不同，普通用戶加載界面時(shí)會(huì)隱藏管理員用戶的界面內(nèi)容，同樣管理員用戶加載界面時(shí)會(huì)隱藏普通用戶的界面內(nèi)容，這種互斥關(guān)系就是 “非”關(guān)系。

（4）“優(yōu)先”關(guān)系，標(biāo)識(shí)為 “→”，代表的是并發(fā)訪問請(qǐng)求1，應(yīng)該在并發(fā)訪問請(qǐng)求2前面，優(yōu)先被執(zhí)行。例如：文字信息是用戶更想看到的，此時(shí)文字的現(xiàn)實(shí)應(yīng)該放在其它信息之后展示出來；廣告在展示時(shí)是用戶較不想先看到的，應(yīng)該放在后面展示。

（5）“聚合”關(guān)系，標(biāo)識(shí)為 “×”，代表的是該并發(fā)訪問請(qǐng)求是由多個(gè)子并發(fā)請(qǐng)求組成的。例如：一條訪問請(qǐng)求鏈接道德界面模塊中包含有多個(gè)子訪問請(qǐng)求，這樣的訪問請(qǐng)求由多個(gè)子訪問請(qǐng)求組合而成。

2.2 多元關(guān)聯(lián)關(guān)系代數(shù)描述

并發(fā)訪問關(guān)聯(lián)關(guān)系可以采用代數(shù)計(jì)算來描述，便于通過簡(jiǎn)單的二元關(guān)系，通過關(guān)系運(yùn)算符的連接，推演為復(fù)雜的多元關(guān)系，具體描述如下：

本文定義的5種基本的訪問請(qǐng)求關(guān)聯(lián)關(guān)系，它們的含義如下：

（1）CR＝Request1∪Request2

操作符 “∪”表示 “或”，是二元操作符，含義是在請(qǐng)求Request1和請(qǐng)求Request2 當(dāng)中，至少有一個(gè)發(fā)生，表示為：

If（（Request1＝＝1）Or（Request1＝＝1））Composite－Request＝1

（2）CR＝Request1∩Request2

操作符 “∩”表示 “與”，是二元操作符，含義是兩種請(qǐng)求Request1和Request2都發(fā)生，表示為：

If（（Request1＝＝1）And（Request2＝＝1））Composite－Request＝1

（3）CR＝Request1！Request2

操作符 “！”表示 “非”，是二元操作符，含義是Request1請(qǐng)求發(fā)生而Request2請(qǐng)求不發(fā)生，表示為：

If（（Request1＝＝1）And（Request2＝＝0））Composite－Request＝1

（4）CR＝Request1→Request2

操作符 “→”表示 “時(shí)序優(yōu)先”，是二元操作符，含義是請(qǐng)求Request1在時(shí)間上發(fā)生在Request2之前，表示為：

If（（Request1＝＝1）And（Request2＝＝1）And（Request1.Time＜Request2.Time））Composite－Request＝1

（5）CR＝Request1×Request2×Request3

操作符 “×”表示 “聚合”，是多元操作符，含義是event事件實(shí)例發(fā)生n次，表示為：

If（（Request1＝＝1）Or／And（Request2＝＝1）Or／And（Request3＝＝1））Composite－Request＝1

3 基于關(guān)聯(lián)關(guān)系的訪問控制協(xié)調(diào)方法

3.1 訪問控制協(xié)調(diào)框架

在開放式網(wǎng)絡(luò)中，用戶對(duì)信息、資源和服務(wù)的訪問與使用仍然要求在可控條件下有條不紊地進(jìn)行，以確保網(wǎng)絡(luò)資源最大程度地得到共享以及實(shí)現(xiàn)對(duì)各類資源及用戶隱私進(jìn)行有效的保護(hù)［8］。訪問控制是實(shí)現(xiàn)以上安全要求的一項(xiàng)關(guān)鍵技術(shù)，目的是對(duì)用戶提出的信息、資源和服務(wù)的訪問請(qǐng)求按照設(shè)置的安全策略進(jìn)行授權(quán)而達(dá)到有效控制。根據(jù)訪問請(qǐng)求的關(guān)聯(lián)關(guān)系，合理調(diào)度訪問請(qǐng)求，進(jìn)而協(xié)調(diào)訪問控制，可以跟好的滿足系統(tǒng)在安全訪問和資源獲取速度上的需要。本文提出了訪問控制協(xié)調(diào)框架，如圖3所示。

圖3 訪問控制協(xié)調(diào)框架

框架的各個(gè)組成部分的功能如下。

（1）“主體”是一個(gè)主動(dòng)的實(shí)體，在訪問控制協(xié)調(diào)框架中它是一個(gè)具有用戶登錄身份標(biāo)識(shí)的終端或應(yīng)用，主體通過發(fā)出訪問請(qǐng)求訪問客體。

（2）“客體”是一個(gè)被動(dòng)的實(shí)體，在訪問控制協(xié)調(diào)框架中它代表的是訪問請(qǐng)求需要獲取的內(nèi)容實(shí)體，包含信息、資源和服務(wù)等類型，主體對(duì)客體的訪問要受到訪問控制策略的限制。

（3）“并行緩沖隊(duì)列”是一個(gè)緩沖執(zhí)行并發(fā)訪問請(qǐng)求的裝置，主體并行發(fā)出的訪問請(qǐng)求將被接收在并行緩沖隊(duì)列當(dāng)中，暫時(shí)不向客體直接發(fā)送訪問請(qǐng)求，等待協(xié)調(diào)處理監(jiān)控器的指令來執(zhí)行訪問請(qǐng)求。

（4）“協(xié)調(diào)處理監(jiān)控器”是一個(gè)可以檢測(cè)訪問請(qǐng)求狀態(tài)的裝置，它可以在 “資源關(guān)系數(shù)據(jù)庫”中查閱不同訪問控制客體之間的關(guān)系定義，實(shí)時(shí)地監(jiān)控已經(jīng)發(fā)出的訪問請(qǐng)求的資源響應(yīng)情況，并且將匯總的資源響應(yīng)信息發(fā)送給 “協(xié)調(diào)機(jī)制決策模塊”，由該模塊來決策調(diào)度并發(fā)訪問請(qǐng)求，同時(shí)負(fù)責(zé)向 “并行緩沖隊(duì)列”傳輸 “協(xié)調(diào)機(jī)制決策模塊”的決策調(diào)度指令。

（5）“資源關(guān)系數(shù)據(jù)庫”是存儲(chǔ)了訪問控制客體資源之間關(guān)聯(lián)關(guān)系的數(shù)據(jù)源［9］。

數(shù)據(jù)源的類型可以通過文件、數(shù)據(jù)庫和云存儲(chǔ)服務(wù)等形式提供給訪問控制協(xié)調(diào)框架。

3.2 協(xié)調(diào)決策過程

本文設(shè)計(jì)了一種面向關(guān)聯(lián)關(guān)系的并發(fā)訪問請(qǐng)求調(diào)度方法，通過合理的調(diào)度并發(fā)訪問請(qǐng)求進(jìn)行訪問控制的協(xié)調(diào)工作，協(xié)調(diào)方法的執(zhí)行流程如下：

（1）收集并發(fā)訪問的關(guān)聯(lián)關(guān)系集合，不具有關(guān)聯(lián)關(guān)系的訪問請(qǐng)求將直接訪問客體資源。

（2）通過訪問請(qǐng)求關(guān)聯(lián)關(guān)系構(gòu)造多個(gè)訪問圖。

（3）每個(gè)訪問圖創(chuàng)建一個(gè)線程實(shí)例，加載訪問圖的結(jié)構(gòu)內(nèi)容。

（4）線程按照訪問圖的結(jié)構(gòu)內(nèi)容執(zhí)行資源訪問。

（5）若訪問圖的當(dāng)前層的訪問請(qǐng)求結(jié)果不滿足當(dāng)前層的關(guān)聯(lián)關(guān)系，則訪問圖下層的節(jié)點(diǎn)不再繼續(xù)訪問資源。

（6）動(dòng)態(tài)顯示訪問控制協(xié)調(diào)后的資源訪問結(jié)果。

訪問控制協(xié)調(diào)決策流程如圖4所示。

圖4 訪問控制協(xié)調(diào)決策流程

3.3 構(gòu)造訪問圖

本文提出了訪問請(qǐng)求訪問圖構(gòu)造算法。訪問請(qǐng)求訪問圖的構(gòu)造算法將根據(jù)訪問請(qǐng)求之間的關(guān)聯(lián)關(guān)系構(gòu)造訪問圖［10］，訪問請(qǐng)求訪問圖中每個(gè)并發(fā)的訪問請(qǐng)求作為訪問圖中的一個(gè)節(jié)點(diǎn)，訪問圖構(gòu)造的過程采用遞歸的方法，將具有相互聯(lián)系的節(jié)點(diǎn)構(gòu)造在一個(gè)訪問圖中，建立訪問請(qǐng)求訪問圖的過程如下：

（1）將并發(fā)的訪問請(qǐng)求分別創(chuàng)建一個(gè)訪問圖節(jié)點(diǎn)。

（2）根據(jù)訪問請(qǐng)求的屬性將訪問請(qǐng)求分組，觸發(fā)訪問控制的訪問請(qǐng)求節(jié)點(diǎn)單獨(dú)分為一組 （A 組），不觸發(fā)訪問控制的訪問請(qǐng)求節(jié)點(diǎn)分為一組 （B組）。

（3）A組根據(jù)訪問請(qǐng)求節(jié)點(diǎn)訪問資源的訪問控制安全級(jí)別，將節(jié)點(diǎn)分層，每層有關(guān)聯(lián)的節(jié)點(diǎn)組合起來，共同連接一個(gè)新創(chuàng)建的節(jié)點(diǎn)，稱為“匯集節(jié)點(diǎn)”。層與層之間有關(guān)聯(lián)關(guān)系時(shí)，上層節(jié)點(diǎn)通過匯集節(jié)點(diǎn)與下層節(jié)點(diǎn)組合起來，再共同連接一個(gè)新創(chuàng)建的匯集節(jié)點(diǎn)。重復(fù)執(zhí)行上述，生成訪問請(qǐng)求訪問圖。

（4）第 （3）步中，A 組生成的訪問請(qǐng)求訪問圖，將相互之間沒有連接的圖拆分開，形成多張?jiān)L問圖。

（5）B組根據(jù)訪問資源的類型構(gòu)造多張?jiān)L問圖，每張?jiān)L問圖中設(shè)一層訪問控制節(jié)點(diǎn)。

訪問圖的構(gòu)造示意過程如下：

（1）在訪問請(qǐng)求未經(jīng)過協(xié)調(diào)時(shí)，訪問請(qǐng)求的訪問順序是并行進(jìn)行的，如圖5所示。

（2）協(xié)調(diào)方法將訪問請(qǐng)求節(jié)點(diǎn)按照訪問訪問控制安全級(jí)別分層處理，每層的訪問順序是并行進(jìn)行的 （橢圓形節(jié)點(diǎn)為訪問控制節(jié)點(diǎn)，方塊形節(jié)點(diǎn)為匯集節(jié)點(diǎn)），并且在當(dāng)前層滿足訪問請(qǐng)求關(guān)聯(lián)關(guān)系約束的情況下，才進(jìn)入下一層進(jìn)行節(jié)點(diǎn)的訪問，如圖6所示。

圖5 未經(jīng)過協(xié)調(diào)的訪問請(qǐng)求節(jié)點(diǎn)

圖6 經(jīng)過協(xié)調(diào)的訪問請(qǐng)求節(jié)點(diǎn)

3.4 按照訪問圖的多線程訪問資源

線程 （thread）是指一個(gè)任務(wù)從頭至尾的執(zhí)行流。線程提供了運(yùn)行任務(wù)的機(jī)制。一個(gè)程序可能包含多個(gè)并發(fā)執(zhí)行的任務(wù)，這些線程可以在多個(gè)系統(tǒng)同時(shí)運(yùn)行。在單處理器（single－processor）系統(tǒng)中，多個(gè)線程共享CPU 時(shí)間稱為時(shí)間共享 （time sharing），而操作系統(tǒng)負(fù)責(zé)調(diào)度分配資源給它們。這種安排是切實(shí)可行的，因?yàn)镃PU 的大部分時(shí)間都是空閑的。例如，在等待用戶輸入數(shù)據(jù)時(shí)，CPU 處于空閑狀態(tài)。

線程池中定義了固定數(shù)目的線程，如果線程完成了任務(wù)的執(zhí)行，它可以被重新使用以執(zhí)行另外一個(gè)任務(wù)。如果線程池中所有的線程都不是處于空閑狀態(tài)，那么新加入的任務(wù)處于等待執(zhí)行的狀態(tài)，多線程運(yùn)行如圖7所示。

在訪問控制的協(xié)調(diào)過程中，為每個(gè)訪問圖生成一個(gè)線程，可以滿足異步進(jìn)行訪問控制的要求使網(wǎng)絡(luò)應(yīng)用的響應(yīng)更快、交互性更強(qiáng)、執(zhí)行效率更高。在協(xié)調(diào)訪問控制的過程中，由于分屬不同的訪問圖中的訪問請(qǐng)求并不存在關(guān)聯(lián)關(guān)系，相互的獨(dú)立的線程運(yùn)行結(jié)果不會(huì)延誤其它線程獲取資源的進(jìn)度。

圖7 訪問圖多線程訪問資源

同時(shí)將開啟的線程交由線程池調(diào)度，避免網(wǎng)絡(luò)應(yīng)用消耗過多的內(nèi)存資源，保證用戶系統(tǒng)的平穩(wěn)運(yùn)行，是管理并發(fā)執(zhí)行線程任務(wù)個(gè)數(shù)的理想方法。

4 實(shí)驗(yàn)與分析

為了驗(yàn)證訪問控制協(xié)調(diào)方法的可行性，采用C＃語言的WCF框架模擬實(shí)現(xiàn)了訪問控制協(xié)調(diào)服務(wù)，WCF 是一款微軟推出的通信框架，可以便捷的基于該技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)。訪問控制協(xié)調(diào)算法將在服務(wù)的接口函數(shù)中實(shí)現(xiàn)，客戶端通過并發(fā)訪問服務(wù)的方式進(jìn)行并發(fā)訪問控制協(xié)調(diào)方法性能的實(shí)驗(yàn)。實(shí)驗(yàn)通過對(duì)比的方式，對(duì)未使用訪問控制協(xié)調(diào)和使用訪問控制協(xié)調(diào)兩種模式進(jìn)行比較。

在減少非安全的訪問請(qǐng)求方面，隨著并發(fā)訪問請(qǐng)求數(shù)量的增加，經(jīng)過訪問控制的協(xié)調(diào)，可以有效降低非安全訪問請(qǐng)求的產(chǎn)生數(shù)量。非安全訪問請(qǐng)求數(shù)量對(duì)比如圖8所示。

圖8 非安全訪問請(qǐng)求數(shù)量對(duì)比

在加快客戶端界面加載方面，隨著并發(fā)訪問請(qǐng)求數(shù)量的增加，未經(jīng)過訪問控制協(xié)調(diào)的客戶端界面加載緩慢，而由于協(xié)調(diào)訪問控制采用了多線程的加載方式，有效加快了客戶端界面的加載速度。界面加載時(shí)間對(duì)比如圖9所示。

實(shí)驗(yàn)數(shù)據(jù)對(duì)比說明，在訪問請(qǐng)求并發(fā)程度高的情況下，訪問控制協(xié)調(diào)方法可以有效降低非安全訪問請(qǐng)求的產(chǎn)生，同時(shí)在加快客戶端界面的加載方面起到很好的作用。

圖9 界面加載時(shí)間對(duì)比

然而在訪問請(qǐng)求并發(fā)程度不高的情況下，采用并發(fā)訪問控制協(xié)調(diào)方法會(huì)占用系統(tǒng)內(nèi)存資源，起到的效果并不明顯，這也是今后對(duì)協(xié)調(diào)方法改進(jìn)的方向。

5 結(jié)束語

本文調(diào)研了目前網(wǎng)絡(luò)應(yīng)用中并發(fā)訪問請(qǐng)求的構(gòu)成和相互聯(lián)系，提出了并發(fā)訪問請(qǐng)求之間的關(guān)聯(lián)關(guān)系的類型和判定方法。在關(guān)聯(lián)關(guān)系的基礎(chǔ)上，本文提出了訪問控制協(xié)調(diào)的整體結(jié)構(gòu)，并給出了各個(gè)部分的工作模式以滿足并發(fā)訪問請(qǐng)求在獲取信息、資源和服務(wù)上的功能要求。同時(shí)，本文還針對(duì)網(wǎng)絡(luò)應(yīng)用，基于異步通訊方式和多線程技術(shù)提出了通過訪問請(qǐng)求調(diào)度實(shí)現(xiàn)訪問控制協(xié)調(diào)的方法，保證系統(tǒng)的并發(fā)性和安全性。

訪問控制的整體過程中，訪問控制的協(xié)調(diào)過程主要是在用戶端進(jìn)行的，可以減輕服務(wù)器端的負(fù)載壓力。經(jīng)過協(xié)調(diào)，沒有訪問權(quán)限的訪問請(qǐng)求將不再發(fā)送，從而對(duì)于整個(gè)網(wǎng)絡(luò)環(huán)境可以起到節(jié)約網(wǎng)絡(luò)流量的作用。分層訪問的方式可以在重要的資源訪問的過程中，及時(shí)發(fā)現(xiàn)惡意的訪問請(qǐng)求。同時(shí)，經(jīng)過協(xié)調(diào)之后的客戶端的用戶界面將更加友好。

［1］Machida Shimon，Shimada Shigeru，Ecizen Isao.Settings of access control by detecting privacy leaks in SNS ［C］／／International Conference on Signal－Image Technology ＆Internet－Based Systems，2013：660－666.

［2］ZHANG Wei.Based on the research and implementation of concurrent access to shared resources statements control［D］.Hefei：University of Science and Technology of China，2010（in Chinese）.［張偉.基于共享資源聲明的并發(fā)訪問控制研究與實(shí)現(xiàn) ［D］.合肥：中國(guó)科學(xué)技術(shù)大學(xué)，2010.］.

［3］Nekouei E，Inaltekin H，Dey S.Distributed cognitive multiple access networks：Power control，scheduling and multiuser Diversity ［C］／／IEEE International Synposium on Information Theory Proceedings，2013：1665－1669.

［4］Dourado RA，Sampaio LN，Suruagy Monteiro JA.On the composition of performance metrics in multi－domain networks ［J］.IEEE Communications Magazine，2013，51（11）：72－77.

［5］Zhu Ruifeng，Ning Jie，Yu Pei.Application of role－based access control in information system ［J］.Wavelet Active Media Technology and Information Processing，2012，16 （6）：426－428.

［6］Wu Xian，Qian Peide.Towards the scheduling of access requests in cloud storage ［C］／／8th International Conference on Computer Science ＆Education，2013：37－41.

［7］Aktoudianakis E，Crampton J，Schneider S，et al.Policy templates for relationship－based access control［C］／／11th An－nual International Conference on Privacy，Security and Trust，2013：221－228.

［8］Pan L，Liu N，Zi X.Visualization framework for inter－domain access control policy integration ［J］.Communications，China，2013，10 （3）：67－75.

［9］Kayes ASM，Jun Han，Colman A.A semantic policy framework for context－aware access control applications ［C］／／12th IEEE International Conference on Trust，Security and Privacy in Computing and Communications，2013：753－762.

［10］Hengstermovric K，Lewis F.Cooperative optimal control for multi－agent systems on directed graph topologies ［J］.IEEE Tranactions on Automatic Control，2013，59 （3）：769－774.