建立文档的逻辑结构的访问控制Towards Access Control for Logical Document Structures.docx

建立文档的逻辑结构的访问控制Towards Access Control for Logical Document Structures.docx

《建立文档的逻辑结构的访问控制Towards Access Control for Logical Document Structures.docx》由会员分享，可在线阅读，更多相关《建立文档的逻辑结构的访问控制Towards Access Control for Logical Document Structures.docx（18页珍藏版）》请在冰点文库上搜索。

建立文档的逻辑结构的访问控制TowardsAccessControlforLogicalDocumentStructures

建立文档的逻辑结构的访问控制

摘要

本文提出了一种对安全模型的第一步

定义文档的逻辑结构的访问控制。

这种模式从角色到抽象，从用户利益

从安全级别（分类）抽象对象。

安全级别上定义一个复杂的顶部

将需要真正的Web应用程序的文件结构。

由于用户的操作间隙可以

从指定的角色和权限，我们使用一个格子

定义了一个部分分类为了使授权

决定。

普通用户应该能够处理

其文件管理的权利。

建议

模型可用于在分散式的方式。

1。

简介

当各国或Intranet是用于协同工作

用户要创建新的文件共享

他人或他们希望获得创建的文件

别人。

在一个项目中复杂的超链接的文件

谁是集体努力的参与者之间共享

从多个物理单位建立的文件。

这些单位通常对各种分散位于

拥有并保持相对独立的网站服务器

一个组织或由单个用户的部分。

在这

纸，我们设想的环境，例如每个

用户可以到他的私人网站上发布自己的文件

服务器。

这对Web服务器的所有者为其他用户

能力，阅读和上传（写）文件。

网络是成长为一个distrubuted平台

真正的合作应用（电子商务），与交易

大量的documentswhich同样敏感

，因此没有委托给每一个用户。

对于这个

原因文件管理和行政

访问权限变得越来越复杂。

本文是对一个系统，的第一步

应该赋予他们权力，使用户能够管理访问

他的证件的权利，同时保持这些连贯

企业范围的政策。

在本文中，我们集中

单一的Web服务器和地址仅读操作。

写操作，因此，安全的信息流

将考虑在今后的工作中。

本文的结构如下：

1.1节中，我们

定义文档的逻辑结构。

我们描述了在第

1.2文档结构和layouting概念

用来定义一些政策，这些概念如何

有关访问控制。

一格将被用来定义一个

超过元件的相关分类?

?

的偏序

一个文件。

第2节提供了一个简短的讨论

在分布式的超文本的访问控制的要求

系统和方法的简要说明，在这个方向。

在第3和4，我们描述了我们的格子为基础

授权模型，可用于在分散

环境。

这种模式使用到抽象，从主体角色

为了对象分类，以抽象的

简化域管理（管理）。

在

第5节，我们提出了一个实施的架构。

最后，第6节提供了总结性发言和

今后工作的简要说明。

1.1。

逻辑超文本文件

如上所述这项工作提到侧重于访问控制

Inter-/Intranet基于超文本系统使用XML。

XML[4]是W3协会的建议，并

被作为可能的继任者的HTML[22]。

在超文本

系统逻辑关闭的文件是从几个内置

物理单位。

我们在这里区分之间的物理

文件和文档的逻辑。

物理文件

结构简单文件设置（文字，图片，DTD中，风格

所需信息等）来定义文档（见图

1）。

一个文档的逻辑结构可以定义沿

正交的概念：

文件的结构，复合

结构，导航结构，布局的定义。

文档结构定义了一个单一的单元（文件）

是内置的元素（标题，段落，地址，图等）。

虽然标记语言定义文档结构。

于SGML的标记语言[1]（就像HTML

图1。

物理文件结构（许多

相通的文件）。

或XML）允许每个元素的属性。

我们建议

使用基于Web的文件以来的XML

（一）

它确保（相反HTML）一个定义良好的结构

文件及（b）它是各种新颖的基础

扩展（如RDF，XLink和名称空间[2]）。

复合材料结构定义了如何综合文件

从更小的组件，它可以是内置

好或基本单位的复合文档。

典型的Web

文件是由多个源文件，可以

标记文本，图像或其他组件。

导航结构定义了一个用户可以移动

以下链接文件之间的内部和周围。

导航链接允许非顺序读取（或

写作）[19]。

图2。

嵌入和链接的基本

单位形成复合和逻辑文件。

复合材料和导航结构是指由

的XLink（XML链接语言）[17]。

XLink的提供了一个

构造简单的设置（如XML元素链接）

描述元素之间的联系。

一个环节都有一些属性

来表达自己的行为。

显示属性（价值要么

嵌入或更换一个链接）指示是否每个

链接的资源应在当前文档中嵌入

或应单独列示。

actuate属性

（值自动或用户）定义是否

链接应该激活自动负载或用户

互动。

例如，一个链接的属性值

汽车和EMBED标签在HTML类似。

图2显示了基本单位可以嵌入，形成

综合文件。

一个文档的逻辑被定义为一套文件

连接通过导航链接。

本元素

设置代表一个单一的逻辑内容。

在本文中，我们假设

逻辑文件是技术实现

形成了由所有的导航链接的传递闭包

从一个切入点。

最后的布局定义指定元素如何

文档，复合材料和导航结构

渲染并呈现给用户。

CSS（层叠样式

张）[16]布局定义语言是一个很好的候选人。

CSS介绍演示文稿（如字体，颜色

和间距）结构化的文档

1.2。

逻辑文件的访问策略

我们使用本文中的术语分类，在最

文献（如[3]）来表达的灵敏度水平

文件或它的组件。

长期间隙

是用来表达与用户相关联的信任程度。

分类和间隙也安全

可以附加的文件和用户的标签。

如格子模型[24]防伪标签

形成了一个部分有序的霸主地位的晶格结构

什么关系？

和最少的上限运营商。

本文

我们利用这样一个优势关系比较分类

一个请求的文件和清拆

请求，以使授权决定。

“

在这项工作中使用的防伪标签的设置将取决于

从文件的拥有者，形成一个格子。

对于一些

应用程序的安全标签的层次结构可以足够了。

正如提到的[14，18]信息一般必须

从3种的威胁保护：

（一）未经批准

披露，

（二）XX的修改（三）

XX的代扣信息。

在本文中，我们

地址存储信息的XX的披露

在Web文档。

因此，我们区分以下

政策执行访问的互斥类

在一个Inter-/Intranet范围内的控制：

拒绝访问策略，

隐蔽谴责政策和谴责政策。

其他种类

的威胁，将在今后的工作中加以解决。

拒绝访问策略时使用访问

如果它包含XX的的整个逻辑文件将被拒绝

信息（为特定的用户）。

隐蔽谴责政策过滤XX的信息

从文件中。

提交的文件

不完整的，用户不能推断的不完备。

谴责政策过滤XX的信息

从文件，取而代之的是一个标准的地方

持有人。

提交的文件也是不完整的，但的

用户能够看到的不完备。

从安全角度考虑和尊重这些

政策既有结构的概念和布局定义

相关。

例如，我们现在可以应用的政策

以上的复合结构和导航

结构。

例如，考虑图2描绘了一个逻辑

含有复合材料部件的文件（灰框）

和导航链接。

无论是和复合材料部件

导航链接可以安全问题。

为了

能够提出一个复合文档完全

根据“拒绝访问政策”的用户，复合

作为一个整体的文档必须有一个分类，

至少是最机密的级别分类

它包含的信息在所有预埋件（多层

[14]文件）。

如果我们使用的“秘密谴责政策”

XX的信息都指向导航链接

文件是前必须过滤。

通过使用

布局定义语言CSS它也有可能

禁止某些文档中的元素或部件的可视化。

例如，文档的结构以及可用于

在电子商务应用。

因为它是必要的

签署一份文件（如合同中约定）的一些元素。

这可以通过使用数字签名的实现

这些元素的文档（文档结构）。

自

纸张的主要目标是处理与访问控制

这两个问题不会进一步讨论。

2。

在分布式的访问控制的要求

超文本系统

在本文中，我们所关心的协同工作

就是在组织中工作的人进行。

人或在Interor项目之间共享文件

联网范围内。

文件通常放在

各种分散的网络，拥有和维护的服务器

组织的相对独立的部分。

在

内联网往往是每一个部门的Web服务器，

有时使用个人Web服务器。

其中的挑战

对本文设计的安全机制

既适用在分散的情况下（没有完成

有关所有对象的知识）和管理的由

要共享的用户（而不是系统管理员）

在一个可控制的方式的信息。

最后是一个数量问题：

文件我们

正在处理具有复杂的结构，有时组成

要处理的物理单位百强

在一个方便的方法。

潜在用户的数量是压倒性的

以及。

换句话说，有很强的需要

中的主体和对象的抽象机制

访问控制系统。

因此，我们提出以下几点建议

抽象机制：

？

用户建模的角色[25]。

？

角色获得权利（间隙）的基础上分类

（一定的操作）。

此外，我们提出一些访问的设计目标

在分布式超媒体系统的控制：

？

导航限制。

只有授权的用户应

能够通过一个逻辑文件或浏览

（读）的一部分。

？

文档创作的完整性。

只有授权的用户

应能够创建或写一个文档的逻辑或

它的一部分。

？

分散式管理的访问控制。

为了提高

自主权，隐私权和文件所有权分散式

这里需要访问控制的管理。

通过这种方式，用户和文件管理必须

简化

2.1。

相关工作

[21，20]“的角色，基于对theWeb访问控制”的定义

文件或目录级别上。

每个用户被分配到

的作用。

每个角色的权限以批准特定

操作来访问文档（文件）。

该系统

使用LDAP服务器的访问控制信息[26]获得。

该系统采用可分辨名称作为角色

X500的标准定义[8]。

凤凰城项目[15]是一个分布式的超媒体创作

访问控制信息系统集成

超媒体文件。

文件（文件）的保护

ACL的手段。

每个文件包含一个HTML

ACL的URL标记的元素。

为了

授权文件的要求，一个文件服务器发送

请求的方法，ACLURL引用的身份验证

客户端授权服务器的名称。

授权

使用建议的ACL作出了一项决定，

返回到文档服务器。

行政

访问控制是在这里做编辑HTML文件。

在

此外，服务器必须不同寻常的解析HTML文件，然后

发送到客户端。

WWW的一种能力为基础的授权模型

[11，10，12]提出。

这种模式采用分布式

授权模型提供授权文件

和内容级别（文件或文档的逻辑水平）。

“

客户端（用户）管理简化为只有一台服务器

需要知道它的潜在客户。

文档和内容

服务器使当地的授权决定，使用功能

提出他们的客户。

事实上，没有一个初始能力

根文件，客户端将无法

能够访问从文件中的任何节点。

通过这种方式

可以保护文档的逻辑。

该模型支持

existingWWWnode迁移技术。

Themajor限制

这种模式是再生能力，因为

他们有一个有效期，过期失效。

下一节介绍的授权模型

一个文档库。

第4节讨论访问

在分散的环境控制。

第5条建议

架构适合实施

3。

基于格的授权模型

3.1。

文档库

在下面，我们呼吁保持文件

文档库由一个单一的机构。

继

[19]的方法，我们假设每一个文件都有一个

所有者。

所有者是创建和存储的人

在这个仓库的文件，谁负责

它。

只有所有者有权撤回文件，

改变或委托其访问权限。

图3显示了一个例子

一个文档库，其中包含一个逻辑

从几个hperlinked组件内置的文档。

我们使用的标签C1鈥C6表示的分类

这些组件（多级文件）。

此标签

形成一个格子，图3右手所示

C0C1，C1，C3，C1C2，C3C6，C3C5和

C2C4的。

文档库可以如集

属于一个项目的文件或存储在一个人

Web服务器。

此Web服务器可以拥有单一用户

因此，每一个文档库都有一个所有者，谁拥有最多的访问权限-阴影的作用（见图3）。

图3。

自主文档库。

这意味着所有者是比其他用户的信赖，因此他被分配在系统中最高级别的安全标签（图3-C0支配所有其他标签）。

此外，雇主能够

（一）在文档库中定义新的分类，（b）界定所需的所有角色，和（c）创建新的文件和现有的分类。

如果分配的分类和间隙的变化随着时间的推移重组受影响的角色，权限和文件将开始从文档库的所有者。

必须支持下列基本要求：

验证：

为了获得访问该文件

库每个用户确定。

?

?

授权：

文档库必须能够

决定是否给定的用户被允许访问文档。

?

?

自主性：

身份验证和授权是决定

仅在版本库中确定。

角色

姓名和防伪标签，可以自由选择，因为

每个文档库应该有自己的名称

空间，例如从使用DN（辨别名）

X500的标准[8]。

在这里，我们假设，已经验证成功

例如使用X509证书[9]建立。

授权

和自主权将在下面讨论。

3.2。

Latticebased

在授权模式

文档库

授权模型的主要任务是确定

主体是否允许执行上的操作

文件。

在本文的主题是雇主或

任意用户。

图4显示了哪些步骤需要

作出授权决定：

1。

角色查找。

为每个用户的角色将自动

或者手动确定。

2。

类中的查找。

为每个文档进行分类

待确定。

3。

权限查找。

每个角色配备权限。

权限指定的操作间隙。

权限设置的间隙查找结果

这是隐含的角色层次。

4。

莱迪思。

在这一步将决定是否

访问将被允许或拒绝使用间隙

主题，文档的分类和

一家独大的关系。

例如，考虑多层次的笔描绘

图3。

Rolea“角色”中的每个用户将获得一个许可

对应的间隙C1。

由于这关

允许此用户占主导地位的所有其他安全标签

贯穿整个文档的逻辑导航（读）。

相反，

根据晶格中的另一个用户要么“Roleb”

或“Rolec”，将有一个对整个限制的读访问

文档的逻辑。

Roleb（Rolec）配备权限

对应C3和C5（C5和C6）。

4。

在分散式环境的授权

间或Intranet范围内的用户将需要的文件

从几个独立的文档库。

由于每个文档库是一个独立的的环境

它通常与不同都有自己的安全政策

角色，权限和文件分类。

此外

每个文档库都有其自己的局部晶格

控制存储库的访问。

为了定义访问

控制在几个独立的文档库

这些地方的晶格是一个分散式的方式参与。

这

原因是从不同的格子的标签必须是

直接或通过映射功能相媲美。

图5描述了不同的两个文档库

晶格。

文件D1，D11和D12是HPER

一个给定的逻辑文档的链接的组件。

考虑一个

欲望浏览这个逻辑文件的用户。

由于这些文件是不同的分类和归属感

不同的文档库的用户必须单独

授权。

为此所需的三项要求

（图5-虚线箭头）。

每个请求将被

分开处理。

这意味着每个文档库

要实现上面（角色中提到的两个步骤

查找和授权权限查找）

要求1，2和3通过使用本地的格子。

5。

执行问题

在本节中，我们提供了一个架构的简短描述

适合实施基于格的访问控制

一个文档库。

这个架构有三个

（见图6）基本组成部分：

用户元数据。

这个组件是用来确定

间隙的用户。

这些间隙将被指定

从角色和权限。

换句话说

此组件的主要任务是确定

一个用户（角色查找）的角色，并确定从

这些角色的权限（权限查找）。

“

转让可以是通过使用一些事实

（例如：

问一个LDAP服务器[26]）或评估一些

规则。

文档元数据。

这个组件是用来确定

文档的分类（类中的查找）。

将获得由该文件的分类

事实（例如，受信任的PICS[23]）。

莱迪思。

这个组件是用来确定是否

访问将被允许或拒绝使用先前

一个给定的主题和determinated过关

分类所需的文件。

雇主

负责界定的支配关系。

一般每个操作至少需要一个主题

读取文件元数据的权利。

我们区分

文件和元数据上执行的操作：

对文件的操作都可以都通过

用户和所有者。

读操作返回任

请求的文件或故障代码，写操作

总是返回一个返回代码，表示是否

写操作成功与否。

?

?

元数据的操作都可以完全由

主人。

允许雇主

（一）以创建一个角色，

（二）

分配角色的权限，（三）分类文档，

及（d）删除文件，角色和权限。

6。

结论和未来工作

在本文中，我们描述了一个对设计的第一步

一种安全机制，可用于在分散

应用在间或的内联网。

我们的重点

便于管理，允许用户共享信息

在一个可控制的方式。

我们使用双抽象

机制，减少行政步骤：

角色到抽象，从学科分类

用抽象的对象。

形式的权限

操作间隙分配给角色而不是

科目和其他角色可以继承。

一格

用于定义的分类偏序

文件。

我们终于提出了一个架构

实施。

在今后的工作将分为两个方向：

最

在网上操作都是读操作建议

方法是足够的。

为了获得一些经验

我们的方法中，我们要实现一个原型

权利管理和访问控制。

我们将

实施该系统使用的原型环境

Cineast[13]服务器和浏览器功能

包括通过SSL加密支持（安全套接字

层）[7]。

其次，我们要投入更多的精力

在Web安全处理的写操作（支持

HTTPPUT方法[6]）。

我们正在尝试使用的格子

限制的信息流。

在我们看来，如果我们

成功这将是一个重要的一步走向真正的协作

Web环境。