潘　穎　元昌安　李文敬　程茂華（廣西師范學(xué)院計算機(jī)與信息工程學(xué)院南寧530023）

?

一種支持更新操作的數(shù)據(jù)空間訪問控制方法

潘穎*元昌安李文敬程茂華
（廣西師范學(xué)院計算機(jī)與信息工程學(xué)院南寧530023）

數(shù)據(jù)空間是一種新型的數(shù)據(jù)管理方式，能夠以“pay-as-you-go”模式管理海量、動態(tài)、異構(gòu)的數(shù)據(jù)。然而，由于數(shù)據(jù)空間環(huán)境下數(shù)據(jù)的動態(tài)演化、數(shù)據(jù)描述的細(xì)粒度和極松散性等原因，難于構(gòu)建有效的訪問控制機(jī)制。該文提出一個針對數(shù)據(jù)空間環(huán)境下極松散結(jié)構(gòu)模型，重點支持更新操作的細(xì)粒度和動態(tài)的訪問控制框架。首先定義更新操作集用于數(shù)據(jù)空間的數(shù)據(jù)更新，提出支持更新操作的映射方法，可將動態(tài)數(shù)據(jù)映射到關(guān)系數(shù)據(jù)庫中；給出支持更新操作權(quán)限的數(shù)據(jù)空間訪問控制規(guī)則的定義，并分析與關(guān)系數(shù)據(jù)庫的訪問控制規(guī)則二者轉(zhuǎn)換的一致性；然后提出具有可靠性和完備性的訪問請求動態(tài)重寫算法，該算法根據(jù)用戶的讀/寫訪問請求檢索相關(guān)訪問控制規(guī)則，使用相關(guān)權(quán)限信息重寫訪問請求，從而實現(xiàn)支持動態(tài)更新的細(xì)粒度數(shù)據(jù)空間訪問控制。理論和實驗證明該框架是可行和有效的。

訪問控制；數(shù)據(jù)空間；Pay-as-you-go；極松散結(jié)構(gòu)

1　引言

現(xiàn)代數(shù)據(jù)具有海量、多樣和動態(tài)等特點，使得數(shù)據(jù)集成和管理需要遵循“pay-as-you-go”模式［1，2］，即數(shù)據(jù)集成和管理應(yīng)該是漸進(jìn)的、逐步完善的、功能由簡單到復(fù)雜的過程，有別于傳統(tǒng)的數(shù)據(jù)庫系統(tǒng)和數(shù)據(jù)集成系統(tǒng)“高成本高功能”的集成和管理技術(shù)。為此，數(shù)據(jù)空間［3，4］，一種以“pay-as-you-go”模式管理海量、動態(tài)、異構(gòu)數(shù)據(jù)為目標(biāo)的新型數(shù)據(jù)管理方式應(yīng)運而生。然而，由于難于構(gòu)建有效的數(shù)據(jù)空間訪問控制機(jī)制，極大阻礙了數(shù)據(jù)空間的發(fā)展和應(yīng)用。

和傳統(tǒng)的訪問控制研究相比，數(shù)據(jù)空間的訪問控制問題更具有挑戰(zhàn)性：（1）數(shù)據(jù)空間需要描述和訪問不同層次、不同粒度的數(shù)據(jù)，因此訪問控制必須是細(xì)粒度的；（2）數(shù)據(jù)空間的數(shù)據(jù)是動態(tài)演變的，訪問者的權(quán)限隨著環(huán)境條件、數(shù)據(jù)屬性等因素動態(tài)變化，因此訪問控制必須是動態(tài)的。同時，由于數(shù)據(jù)空間經(jīng)常發(fā)生動態(tài)更新，使得訪問控制不僅需要考慮數(shù)據(jù)讀操作，更重要的是考慮數(shù)據(jù)寫（更新）操作的安全要求；（3）數(shù)據(jù)空間普遍采用的極松散結(jié)構(gòu)數(shù)據(jù)模型便于描述動態(tài)異構(gòu)數(shù)據(jù)，但其結(jié)構(gòu)的極松散性、數(shù)據(jù)描述的不完全性等特點使得數(shù)據(jù)空間支持更新操作的訪問控制問題變得復(fù)雜。

文獻(xiàn)［5］已經(jīng)建立了基于關(guān)系數(shù)據(jù)庫的數(shù)據(jù)空間訪問控制框架，對訪問控制規(guī)則、查詢重寫算法等進(jìn)行了初步的研究，但未涉及數(shù)據(jù)空間發(fā)生動態(tài)更新的情形。本文重點研究支持動態(tài)更新的細(xì)粒度數(shù)據(jù)空間訪問控制，主要內(nèi)容如下：（1）定義更新操作集用于數(shù)據(jù)更新；（2）提出支持更新操作的映射方法，將數(shù)據(jù)空間更新的數(shù)據(jù)映射到關(guān)系數(shù)據(jù)庫中；（3）給出支持更新操作的數(shù)據(jù)空間訪問控制規(guī)則的定義，分析其與關(guān)系數(shù)據(jù)庫的訪問控制規(guī)則二者轉(zhuǎn)換的一致性；（4）提出訪問請求的動態(tài)重寫算法，在用戶執(zhí)行讀/寫操作時，檢索相關(guān)訪問控制規(guī)則，將其權(quán)限限制條件添加到訪問請求中，執(zhí)行改寫后的訪問請求，從而動態(tài)控制用戶對數(shù)據(jù)的訪問。

訪問控制問題一直是數(shù)據(jù)空間領(lǐng)域研究的難點。文獻(xiàn)［3］闡述了實現(xiàn)數(shù)據(jù)空間系統(tǒng)需解決的若干技術(shù)難點，其中包括了訪問控制技術(shù)，并指出存在該難點的原因主要有：現(xiàn)實數(shù)據(jù)具有分布、動態(tài)、異構(gòu)等特性，多個數(shù)據(jù)空間存在權(quán)限重疊等，但文獻(xiàn)沒有涉及問題的解決。文獻(xiàn)［6］將索引和查詢技術(shù)嵌入到防篡改硬件中，進(jìn)而安全管理大型個人數(shù)據(jù)空間。文獻(xiàn)［7］提出一個科學(xué)數(shù)據(jù)空間原型系統(tǒng)，支持全球不同研究機(jī)構(gòu)訪問和發(fā)布分布式呼吸氣體數(shù)據(jù)和分析資源，該系統(tǒng)的數(shù)據(jù)訪問和數(shù)據(jù)發(fā)布遵循基于智能卡（smart card）的嚴(yán)格的訪問機(jī)制。文獻(xiàn)［8］將4元組的數(shù)據(jù)空間模型iDM［9］擴(kuò)展成為8元組的數(shù)據(jù)模型，用于描述基于規(guī)則的權(quán)限信息，從而支持用戶對iDM的安全訪問。

支持更新操作的訪問控制的研究比較多，并取得了不錯的成果。文獻(xiàn)［10］給出XM L更新操作和動作類型的定義，提出了一個支持這些更新操作的XML訪問控制模型。大多數(shù)訪問控制描述語言只支持讀訪問權(quán)限，不支持添加、刪除、修改等更新操作的寫訪問權(quán)限，為此文獻(xiàn)［11］提出了一種考慮了寫權(quán)限的細(xì)粒度訪問控制描述語言XACU，通過權(quán)限信息標(biāo)注方式在XMLDTD中添加寫訪問權(quán)限。文獻(xiàn)［12］提出一種基于XML更新驗證的重寫方法，通過定義訪問控制描述語言XACU更新操作的重寫規(guī)則，有助于研究訪問控制策略的一致性。文獻(xiàn)［13］也對XM L的寫訪問控制策略的一致性和維護(hù)問題進(jìn)行了研究。文獻(xiàn)［14］探討了支持XML查詢和更新的訪問控制策略的安全性和有效性問題。文獻(xiàn)［15，16］研究了支持RDF圖更新操作的訪問控制問題。針對云計算中數(shù)據(jù)擁有者寫-用戶讀/寫的應(yīng)用場景，文獻(xiàn)［17］引入可信平臺模塊，提高了云計算外包數(shù)據(jù)訪問機(jī)制的安全性。文獻(xiàn)［18］研究了云計算環(huán)境下數(shù)據(jù)的敏感信息隱藏問題，通過更改簽名文件，使其隱私部分不再呈現(xiàn)。

綜上所述，數(shù)據(jù)空間的訪問控制研究目前多數(shù)停留在理論探討上，還沒有普遍認(rèn)可的有效的訪問控制機(jī)制；支持更新操作的訪問控制研究主要集中在XML，RDF等數(shù)據(jù)模型上，對極松散結(jié)構(gòu)數(shù)據(jù)模型鮮有研究。極松散結(jié)構(gòu)模型和XML，RDF有較大的區(qū)別，例如，XML，RDF的結(jié)構(gòu)較嚴(yán)格，XML為樹形結(jié)構(gòu)，RDF嚴(yán)格使用主體、謂詞和客體的三元組來描述資源，而極松散結(jié)構(gòu)模型是極松散的圖模型，對節(jié)點和邊的形式?jīng)]有嚴(yán)格要求；此外，XML，RDF難于描述復(fù)雜關(guān)系，如XML主要描述父子關(guān)系，RDF不便描述空關(guān)系等，而極松散結(jié)構(gòu)模型可以方便描述簡單關(guān)系（如空關(guān)系）和復(fù)雜關(guān)系（如節(jié)點間的多重關(guān)系）。因此，基于XML，RDF的支持更新操作的訪問控制技術(shù)不適用于極松散結(jié)構(gòu)模型，我們需要進(jìn)一步研究面向極松散結(jié)構(gòu)模型的支持更新操作的細(xì)粒度動態(tài)訪問控制方法。

2　支持動態(tài)更新的數(shù)據(jù)空間訪問控制框架

支持動態(tài)更新的數(shù)據(jù)空間訪問控制框架如圖1所示。（1）通過映射函數(shù)C和更新操作集將數(shù)據(jù)空間的動態(tài)數(shù)據(jù)映射到關(guān)系數(shù)據(jù)庫；（2）通過支持更新操作的映射函數(shù)M將數(shù)據(jù)空間的訪問規(guī)則映射到關(guān)系表的訪問規(guī)則，從而將數(shù)據(jù)空間的細(xì)粒度訪問控制轉(zhuǎn)換為對相應(yīng)關(guān)系表的訪問控制；（3）當(dāng)用戶提出訪問請求時，訪問請求重寫算法首先檢索和該用戶的讀/寫操作相關(guān)的訪問控制規(guī)則，然后根據(jù)這些規(guī)則重寫訪問請求，使其包含相關(guān)權(quán)限信息，執(zhí)行重寫后的訪問請求，對映射的關(guān)系表進(jìn)行細(xì)粒度的訪問。

2.1數(shù)據(jù)模型

在現(xiàn)有的數(shù)據(jù)空間模型［5，9］的基礎(chǔ)上，為了方便描述動態(tài)數(shù)據(jù)和不確定數(shù)據(jù)，本文提出一種更為通用的極松散結(jié)構(gòu)模型，它的形式定義如下：

定義1數(shù)據(jù)空間的數(shù)據(jù)模型是用來描述數(shù)據(jù)空間中的數(shù)據(jù)及其關(guān)系的圖模型，記為G:=（N，E），其中N為節(jié)點集｛N1，N2，…，Nk｝，節(jié)點Ni由屬性-值對（attribute-value）組成，記為代表節(jié)點Ni具有的屬性系列，代表該屬性系列對應(yīng)的值。當(dāng)為空節(jié)點。E是邊的集合，邊記為其中表示邊的標(biāo)簽，且L可為nu ll值。

圖1　支持動態(tài)更新的數(shù)據(jù)空間訪問控制框架

由定義1可知，該數(shù)據(jù)模型可以描述數(shù)據(jù)空間里各種粒度的邏輯實體及其關(guān)系（如節(jié)點可以描述整個文檔、文檔章節(jié)、一段文字等不同粒度的邏輯實體；邊可以描述邏輯實體間的各種關(guān)系）。此外，空節(jié)點為沒有包含屬性-值對的節(jié)點，可用來描述節(jié)點的不完全信息；邊為null值可方便描述不確定的關(guān)聯(lián)信息。

2.2更新操作集

更新操作集包括create，delete和update操作，含義如下：

（1）create操作：

create（nodeid，attribute，value）：添加節(jié)點及其屬性-值對；

create（nodeid，label，nodeid）：添加節(jié)點間的邊（關(guān)系）。

（2）delete操作：

delete（nodeid）：刪除整個節(jié)點，其屬性-值對也被刪除；

delete（nodeid，attribute，value）：刪除節(jié)點中的屬性-值對；

delete（nodeid，label，nodeid）：刪除節(jié)點間的邊（關(guān)系）。

（3）update操作：

update（nodeid，attribute，value）：更新節(jié)點中的屬性-值對的內(nèi)容；

update（nodeid，label，nodeid）：更新節(jié)點間的邊（關(guān)系）的內(nèi)容。

2.3支持動態(tài)更新的數(shù)據(jù)模型到關(guān)系表的映射

數(shù)據(jù)空間中的數(shù)據(jù)是動態(tài)演變的，數(shù)據(jù)模型對數(shù)據(jù)的描述是從簡單到具體、逐漸完善的過程。因此，該數(shù)據(jù)模型到關(guān)系表的映射必須支持?jǐn)?shù)據(jù)的動態(tài)更新?？紤]到數(shù)據(jù)空間的數(shù)據(jù)更新操作可以對應(yīng)SQL的insert，update和delete語句，因此本文通過這些SQL語句將更新的數(shù)據(jù)分別映射到不同的關(guān)系表中。

定義2 G中數(shù)據(jù)記為GD，關(guān)系表中數(shù)據(jù)記為則 G到關(guān)系表的映射函數(shù)記為具體映射規(guī)則如下：

（1） G的邊映射到關(guān)系表Edge（source，label，target）。其中，字段source和target分別為邊的引出節(jié)點和引入節(jié)點，字段label為邊的標(biāo)簽。

（2） G的節(jié)點的屬性-值對映射到關(guān)系表Attribute（nodeid，value）。其中，字段nodeid為節(jié)點的ID，字段value為節(jié)點的屬性值。

（3）數(shù)據(jù)空間發(fā)生create操作的情形：當(dāng)create（nodeid，attribute，value）時，則使用insert語句將所添加的節(jié)點及其屬性-值對的內(nèi)容插入到相應(yīng)的A ttribute表，如果該屬性沒有A ttribute表，則先新建該Attribute表再做插入；當(dāng)create（nodeid，label，nodeid）時，則使用insert語句將所添加節(jié)點間的邊（關(guān)系）插入到Edge表。

（4）數(shù)據(jù)空間發(fā)生delete操作的情形：當(dāng)delete（nodeid）時，則使用delete語句刪除Attribute表和Edge表中該節(jié)點的所有內(nèi)容。具體地說，如果該節(jié)點有屬性-值對，則使用delete語句刪除Attribute表中這些屬性-值對；如果該節(jié)點有邊和其它節(jié)點相連，則使用delete語句刪除Edge表中的這些邊。當(dāng)delete（nodeid，attribute，value）時，則使用delete語句刪除Attribute表中該節(jié)點的屬性-值對。當(dāng)delete（nodeid，label，nodeid）時，則使用delete語句刪除Edge表中該邊（關(guān)系）。

（5）數(shù)據(jù)空間發(fā)生update操作的情形：當(dāng)update（nodeid，attribute，value）時，則使用update語句更新A ttribute表中該節(jié)點的屬性-值對的內(nèi)容；當(dāng)update（nodeid，label，nodeid）時，則使用update語句更新Edge表中該邊（關(guān)系）的內(nèi)容。

2.4數(shù)據(jù)空間的訪問控制規(guī)則

定義3關(guān)系表的訪問控制規(guī)則描述訪問者是否對關(guān)系表中被訪問的資源擁有某些操作權(quán)限，包含主體（sub ject）、客體（ob ject）、操作（action）、標(biāo)識（sign）4個基本元素，記為：其中，

（1）suR表示對關(guān)系表進(jìn)行訪問的用戶或角色；

（2）obR表示關(guān)系表的訪問控制對象，即被訪問的資源。這里，我們使用SQL語句“select F from T where P”來描述obR，其中T代表權(quán)限涉及的表（tab le）的集合；F代表受權(quán)限約束的字段（fields）的集合，且F包含在T的字段集合中，記為：是與T.fields相關(guān)的謂語（predicate），代表限制條件；

（3）acR表示主體對資源進(jìn)行的操作，如read，create，delete和update操作；

（4）siR包括標(biāo)識“+”和“-”，其中，“+”表示肯定授權(quán)，“-”表示否定授權(quán)。

這里，obG可以表示任意粒度的 G中數(shù)據(jù)，例如可以表示 G，也可以表示 G中某個屬性-值對對或邊中的某部分（如或者 L）等細(xì)粒度的數(shù)據(jù)。

定義5數(shù)據(jù)空間的訪問控制規(guī)則描述訪問者是否對 G中被訪問的資源擁有某些操作權(quán)限，記為：在此，數(shù)據(jù)空間的訪問控制規(guī)則通過關(guān)系表的訪問控制規(guī)則來描述。

例1定義如下數(shù)據(jù)空間的訪問控制規(guī)則，使得用戶user1只能添加、修改或刪除自己的Em ail信息：

｛user1，select*from Aem ailwhere user1id= nodeid，create（nodeid，email，value），+｝

｛user1，select*from Aem ail where user1id= nodeid，delete（nodeid，email，value），+｝

｛user1，select*from Aem ailwhere user1id= nodeid，update（nodeid，email，value），+｝其中，條件where user1id=nodeid表示：當(dāng)用戶的登錄ID等于節(jié)點ID時，該用戶可以訪問節(jié)點的信息，從而保證用戶只能添加、修改或刪除自己的Email信息。

定義6（訪問請求）訪問請求是指用戶/角色u對訪問資源o執(zhí)行讀/寫操作a的請求，記為:A=（，，）u o a，訪問請求的SQL描述是指u對o執(zhí)行操作a的SQL表示，a包括4種操作，分別對應(yīng)SQL的select，create，delete和update語句，訪問資源o的SQL描述方式類似obR。特別地，數(shù)據(jù)空間的訪問請求記為

定理1（訪問規(guī)則映射的一致性）對于數(shù)據(jù)空間的任意一個訪問請求則其訪問請求的結(jié)果為一個。

證明根據(jù)定義3，定義5和定義6可知，數(shù)據(jù)空間的訪問控制規(guī)則除了其他內(nèi)容均和關(guān)系數(shù)據(jù)庫的訪問控制規(guī)則一樣，有據(jù)定義6和定義7可知，對于數(shù)據(jù)空間的任意一個訪問請求，其訪問結(jié)果為acR操作在上的3種執(zhí)行結(jié)果之一。因此要證明該定理，只需證明的值是唯一的，即數(shù)據(jù)空間上的訪問資源到關(guān)系數(shù)據(jù)庫的映射結(jié)果是唯一的。根據(jù)定義2和定義4可知，對于任意粒度的obG，總存在唯一的obR，使得反過來，考慮obR不同粒度的情況：表粒度時，obR為屬性表或邊表，分別對應(yīng) G中包含特定屬性的所有節(jié)點的該屬性-值對或整個邊集；行粒度時，obR為屬性表或邊表中的一行記錄，分別對應(yīng) G中一個屬性-值對或一條邊；列粒度時，obR為屬性表或邊表中的一列，分別對應(yīng) G中包含特定屬性的所有節(jié)點的該屬性的值或所有邊的標(biāo)簽；元素粒度時，obR為屬性表或邊表中的一個元素，分別對應(yīng) G中一個特定節(jié)點的特定屬性的值或一條特定邊的標(biāo)簽。由此得到：對于任意粒度的obR，也總存在唯一的obG，使得證畢

定理1說明了數(shù)據(jù)空間的訪問規(guī)則和關(guān)系數(shù)據(jù)庫的訪問控制規(guī)則二者轉(zhuǎn)換的一致性。

2.5訪問請求的動態(tài)重寫算法

訪問請求的動態(tài)重寫過程如表1的算法1所示，該算法的主要思想：根據(jù)訪問請求GA所涉及的用戶/角色、訪問資源和操作，檢索相關(guān)訪問控制規(guī)則逐一計算如果siGi為“+”，則析取肯定授權(quán)資源賦值給，如果siGi為“-”，則合取否定授權(quán)資源賦值給，計算然后將RS添加到訪問請求的SQL描述的where條件里，得到包含了權(quán)限限制的訪問表1通過動態(tài)重寫訪問請求，使其符合相關(guān)訪問控制規(guī)則，進(jìn)而控制用戶/角色對數(shù)據(jù)的訪問。

例2假定user1的訪問請求為：更新email信息，即AG=（user1，M（obG）=select*from Aem ail，update），相關(guān)數(shù)據(jù)空間的訪問控制規(guī)則為：｛user1，M（obG）=select*from Aem ail w here user1id= nodeid，update（nodeid，em ail，value），+｝。由算法1得：AG'=（user1，M（obG）=select*from A em ail where user1id=nodeid，update），其中訪問控制規(guī)則中的ob+R信息被添加到where條件中，使得重寫過的包含權(quán)限信息。的SQL描述為：update Aem ail set em ail=value where user1id=nodeid，訪問請求的結(jié)果為：update操作在select*from Aemailwhere user1id=nodeid上的肯定授權(quán)執(zhí)行結(jié)果。

表1　訪問請求的動態(tài)重寫算法

3　實驗結(jié)果及分析

下面通過實驗測試本文方法的有效性和可行性，并和文獻(xiàn)［8］的GDM方法進(jìn)行比較分析。實驗數(shù)據(jù)主要來源于在線學(xué)術(shù)信息服務(wù)平臺：學(xué)者網(wǎng)schol@t（http://www.scholat.com），涉及學(xué)者的個人信息、論文信息和學(xué)術(shù)會議信息等。在數(shù)據(jù)空間下該數(shù)據(jù)集的節(jié)點數(shù)為10000個，屬性-值對85062對，其中單個節(jié)點包含的屬性-值對不超過10個，邊數(shù)為7904，通過3.3節(jié)的映射規(guī)則轉(zhuǎn)換到Oracle 12c中，生成1個Edge表和26個Attribute表，近10萬條記錄數(shù)。實驗的硬件環(huán)境為：Intel（R）core（TM）i5-3210M CPU 2.5 GHz，內(nèi)存4 GB，硬盤430 GB，操作系統(tǒng)W indows 7 Ultimate w ith Service Pack 1。

理想狀態(tài)下，涉及特定用戶、特定訪問資源的同一類操作的訪問規(guī)則不會超過1個（肯定授權(quán)或否定授權(quán)）。然而，現(xiàn)實中定義的訪問規(guī)則可能存在相互矛盾、訪問資源重疊授權(quán)的情況，相互矛盾的訪問規(guī)則可以作為不授權(quán)處理，為了考察訪問請求動態(tài)重寫算法的有效性，本文重點考慮同用戶、同操作下訪問資源重疊授權(quán)的情況。因此我們定義如下5類共500個數(shù)據(jù)空間訪問控制規(guī)則，存在訪問資源重疊授權(quán)，涉及表、行、列、元素4種粒度：

（1）用戶可以讀、寫所有數(shù)據(jù)；

（2）用戶可以查看部分?jǐn)?shù)據(jù)內(nèi)容，不能進(jìn)行寫操作；

（3）用戶可查看所有數(shù)據(jù)內(nèi)容，但只能添加部分邊/屬性-值對；

（4）用戶可查看所有數(shù)據(jù)內(nèi)容，但只能更新部分邊/屬性-值對；

（5）用戶可查看所有數(shù)據(jù)內(nèi)容，但只能刪除部分邊/屬性-值對。

部分?jǐn)?shù)據(jù)空間訪問控制規(guī)則如表2所示。

表2　部分?jǐn)?shù)據(jù)空間訪問控制規(guī)則

定義4組訪問請求1SA，2SA，3SA和4SA，分別對應(yīng)Read操作、create操作、update操作和delete操作，每組訪問請求包含4個請求，涉及表、行、列、元素4種粒度。

為測試本文方法的可擴(kuò)展性，分別在不同的節(jié)點數(shù)上執(zhí)行4組訪問請求，每組訪問請求執(zhí)行10次，求其平均時間，實驗結(jié)果如圖2所示。隨著節(jié)點數(shù)量的增長，執(zhí)行時間也逐漸增長，時間開銷與節(jié)點個數(shù)成線性關(guān)系，本文方法具有較好的可擴(kuò)展性。

根據(jù)文獻(xiàn)［8］的思想，我們在數(shù)據(jù)空間中做如下仿真實驗：預(yù)先添加訪問規(guī)則到iDM中，采用iQL語言處理訪問請求。將本文方法、GDM方法、Oracle環(huán)境下無訪問控制進(jìn)行比較，每組訪問請求分別執(zhí)行10次，求其平均時間，得到的實驗結(jié)果如圖3所示。采用本文方法時，4組訪問請求的執(zhí)行時間比無權(quán)限控制時的執(zhí)行時間略高，但在可接受的范圍。GDM方法的仿真實驗預(yù)先將控制規(guī)則寫入數(shù)據(jù)模型中，在查詢階段省略了訪問權(quán)限的檢索和計算，所以執(zhí)行時間較短，但在現(xiàn)實使用中，將規(guī)則寫入數(shù)據(jù)模型、權(quán)限的檢索和計算會花費更多時間。本文方法的讀操作訪問請求1SA比3組寫操作訪問請求2SA-4SA的執(zhí)行時間低，最高的執(zhí)行時間是create操作2SA，這是因為與2SA相關(guān)的訪問控制規(guī)則存在較多的重疊授權(quán)，造成了RS的計算量較大?？紤]到可以預(yù)先對訪問控制規(guī)則進(jìn)行優(yōu)化，計算同一操作的obR+和obR-，從而降低訪問請求執(zhí)行時RS的計算量。總體上看，本文的訪問控制框架所增加的負(fù)擔(dān)在可接受和可控的范圍，因此是可行的。

4　結(jié)束語

本文提出了一個基于關(guān)系數(shù)據(jù)庫的支持動態(tài)更新的數(shù)據(jù)空間訪問控制框架，在用戶對數(shù)據(jù)空間的數(shù)據(jù)進(jìn)行更新時，能夠即時根據(jù)用戶的訪問控制權(quán)限，阻止或者允許用戶的行為。關(guān)系數(shù)據(jù)庫的訪問控制技術(shù)較為成熟，基于關(guān)系數(shù)據(jù)庫的XML，RDF等模型的訪問控制一直是研究熱點［19，20］。因此，本文在現(xiàn)有關(guān)系數(shù)據(jù)庫訪問控制研究的基礎(chǔ)上探討數(shù)據(jù)空間的訪問控制框架，也是可行和必要的。此外，本文的研究對解決動態(tài)異構(gòu)數(shù)據(jù)的更新操作安全問題有一定的借鑒價值。將來擬重點探討用戶授權(quán)問題，考慮數(shù)據(jù)動態(tài)演變、數(shù)據(jù)質(zhì)量低等特殊情況下，如何高效、準(zhǔn)確地為不同用戶指定其可以訪問的數(shù)據(jù)。

圖2　不同節(jié)點數(shù)4組訪問請求的執(zhí)行時間比較

圖3　 3種方法訪問請求執(zhí)行時間比較

［1］MARX V.Biology:The big challenges of big data［J］.Nature，2013，498（7453）:255-260.

［2］NGUYEN Q V H，NGUYEN T T，M IKLóS Z，et al. Pay-as-you-go reconciliation in schemamatching networks［C］. International Conference on Data Engineering（ICDE）. Chicago，IL，USA，2014:220-231.

［3］HALEVY A，F(xiàn)RANKLIN M，and MAIER D.Principles of dataspace system s［C］.Proceed ings o f the 25th ACMSIGMOD-SIGACT-SIGART Sym posium on Principles of Database System s（PODS）.Chicago，IL，USA，2006:1-9.

［4］李玉坤，孟小峰，張相於.數(shù)據(jù)空間技術(shù)研究［J］.軟件學(xué)報，2008，19（8）:2018-2031.

LIYukun，MENG Xiaofeng，and ZHANG Xiangyu.Research on dataspace［J］.JournalofSoftware，2008，19（8）:2018-2031.

［5］潘穎，湯庸，劉海.基于關(guān)系數(shù)據(jù)庫的極松散結(jié)構(gòu)數(shù)據(jù)模型的訪問控制研究［J］.電子學(xué)報，2012，40（3）:600-606.

PAN Y ing，TANG Yong，and LIU Hai.A ccess con trol in very loosely structu red data m odel using relational databases［J］. Acta Electronica Sinica，2012，40（3）:600-606.

［6］LALLALIS，ANCIAUX N，SANDU POPA I，et al.A secure search engine for the personal cloud［C］.Proceedings of the ACM SIGMOD International Con ference on Management of Data.M elbourne，VIC，Australia，2015:1445-1450.

［7］ELSAYED I，LUDESCHER T，SCHWARZ K，et al.Towards realization of scientific dataspaces for the breath gas analysis research community［C］.CEUR Workshop Proceedings，Temuco，Chile，2009:1-8.

［8］JIN Lei，ZHANG Yawei，and YE Xiaojun.An extensible data m odel w ith security support for dataspace m anagem ent［C］. Proceedings of the 10th International Conference on H igh Performance Com puting and Communications（HPCC）. Dalian，China，2008:556-563.

［9］DITTRICH J P and SALLESM A V.iDM:a unified and versatile data model for personal dataspacemanagement［C］. Proceedings of the 32nd International Conference on Very Large Data Bases.Seou l，Korea，2006:367-378.

［10］LIM C H，PARK S，and SON S H.Access control of XML documents considering update operations［C］.Proceedings of the ACM Workshop on XML Security.ACM，F(xiàn)airfax，VA，USA，2003:49-59.

［11］FUNDULAK I I and MANETH S.Form alizing XM L access control for update operations［C］.Proceed ings of the 12th ACM Sym posium on Access Control Models and Technologies.Sophia Antipolis，F(xiàn)rance，2007:169-174.

［12］JACQUEMARD F and RUSINOW ITCH M.Rew rite-based verification of XML updates［C］.Proceedings of the 12th International ACM SIGPLAN Sym posium on P rincip les and Practice of Declarative P rogramm ing.Hagenberg，Austria，2010:119-130.

［13］BRAVO L，CHENEY J，F(xiàn)UNDULAKI I，et al.Consistency and repair for XML w rite-access control policies［J］.The VLDB Journal，2012，21（6）:843-867.

［14］M IRABI M，IBRAHIM H，F(xiàn)ATH I L，et al.A dynam ic comp ressed accessibility map for secure XML querying and updating［J］.Journalof Information Science and Engineering，2015，31（1）:59-93.

［15］SAYAH T，COQUERY E，THION R，et al.Inference Leakage Detection for Authorization Policies over RDF Data［M］. Data and App lications Security and Privacy.Berlin，Germany，Springer International Publishing，2015:346-361.

［16］RACHAPALLI J，KHADILKAR V，KANTARCIOGLU M，et al.Towards fine grained RDF access control［C］. Proceedings of the 19th ACM Sym posium on A ccess Control Models and Technologies.London，ON，Canada，2014: 165-176.

［17］付東來，彭新光，楊玉麗.基于可信平臺模塊的外包數(shù)據(jù)安全訪問方案［J］.電子與信息學(xué)報，2013，35（7）:1766-1773.doi: 10.3724/SP.J.1146.2012.01321.

FU Donglai，PENG X inguang，and YANG Yu li.Trusted platform module-based scheme for secure access to outsourced data［J］.Journal of Electronics&Information Technology，2013，35（7）:1766-1773.doi:10.3724/SP.J.1146. 2012.01321.

［18］劉西蒙，馬建峰，熊金波，等.云計算環(huán)境下基于屬性的可凈化簽名方案［J］.電子與信息學(xué)報，2014，36（7）:1749-1754.doi: 10.3724/SP.J.1146.2013.01154.

LIU Ximeng，MA Jianfeng，XIONG Jinbo，et al.A ttribute based sanitizable signature scheme in cloud com puting［J］. JournalofElectronics&Information Technology，2014，36（7）: 1749-1754.doi:10.3724/SP.J.1146.2013.01154.

［19］EL-AZIZ A，AHMED A E A，and KANNAN A.XM L access control:mapping XACML Policies to relational database tables［J］.International Arab Journal of Information Technology，2014，11（6）:532-539.

［20］PAPAKON STANTINOU V，M ICHOU M，F(xiàn)UNDULAKI I，etal.Access control for RDF graphsusing abstractmodels［C］. Proceedings of the 17th ACM Sym posium on A ccess Control Models and Technologies.Newark，NJ，USA，2012:103-112.

潘穎：女，1972年生，教授，博士，碩士生導(dǎo)師，研究方向為大數(shù)據(jù)管理、信息安全.

元昌安：男，1964年生，教授，博士，碩士生導(dǎo)師，研究方向為數(shù)據(jù)庫與知識工程、智能計算.

李文敬：男，1964年生，教授，碩士生導(dǎo)師，研究方向為數(shù)據(jù)庫與知識工程、信息安全.

程茂華：男，1991年生，碩士生，研究方向為大數(shù)據(jù)管理、服務(wù)計算.

Access Control Method for Supporting Update Operations in Dataspace

PAN Ying YUAN Chang，an LIWenjing CHENG Maohua
（College ofComputer and Information Engineering，Guangxi Teachers Education University，Nanning 530023，China）

Dataspace is a new type of datamanagement，which canmanage themass，heterogeneous，and dynam ic data in a pay-as-you-go fashion.However，it is difficult to construct an effective access control mechanism in dataspace environm ent，because of the data dynam ic evolu tion，the fine-grained and extrem ely loose data description.A fine-grained and dynam ic access controlm echanism supporting secu re updates is presented in this paper for very loosely structured data model which is common ly used in dataspace.Firstly，a set of update operations are defined formodifying data in the dataspace，and themapping functions are p rovided formapping theupdates data into relationaldatabases.Second ly，the fine-grained access control ru le supporting secure updates is given，and the consistency of the conversion between this rule and relational database access control rule is analyzed.Thirdly，an access request rew riting algorithm，which is sound and com plete，is also presented for dynam ically controlling read/w rite access to the data.The algorithm retrieves the related access control rules based on user'saccess request，and then rew rites the request by utilizing the relevant authority.Finally，the validity of thework in this paper is proved by the theory and the experiment.

Access control；Dataspace；Pay-as-you-go；Very loosely structured

s:The National Natural Science Foundation of China（61363074），The Natural Science Foundation of Guangxi Province of China（2013GXNSFAA 019346），The Scientific Research Fund of Guangxi Education Departm ent of China（2013YB 148）

TP309

A

1009-5896（2016）08-1935-07

10.11999/JEIT 151212

2015-11-03；改回日期：2016-03-25；網(wǎng)絡(luò)出版：2016-05-05

潘穎panying@gxtc.edu.cn

國家自然科學(xué)基金（61363074），廣西自然科學(xué)基金（2013GXNSFAA 019346），廣西教育廳科研項目（2013YB 148）