XML文档的加密访问控制与传输

维普资讯

第２６卷第５期　

２００６年５月　

计算机应用　

Ｃｏｍｐｕｔｅｒ　Ａｐｐｌｉｃａｔｉｏｎｓ　

Ｖｏｌ＿２６　Ｎｏ．５　

Ｍａｖ　２００６　

文章编号：１００１—９０８１（２００６）０５—１０６１—０３　

ＸＭＬ文档的加密访问控制与传输　

盂健，曹立明，王小平，姚亮　

（同济大学计算机科学与技术系，上海２０００９２）　

（ｍｉｃｈａｅｌｍｅｎｇ１　９７８＠１　６３．ｃｏｍ）　

摘要：以ＸＭＬ文档的特殊结构为基础，将加密与访问控制结合起来，提出了一个访问控制模型　

（Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ　Ｍｏｄｅｌ，ＡＣＭ）。根据访问控制模型，按照主机角色及其特点、主机角色间的关系和访　

问控制策略库（Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ　Ｂａｓｅ，ＡＣＢ），设计了ＸＭＬ文档分组加密算法，产生密钥对照表，进行密　

钥分配与管理，将依据一个或多个密钥对ＸＭＬ文档解密的任务交给主机，减轻服务器的负担；根据访　

问控制策略对主机的访问权限进行时间限制，在访问控制模型的基础上提出依据访问控制权限，将加　

密后的ＸＭＬ文档安全传送给不同级别主机，并进行安全检查的方法。　

关键词：ＸＭＬ；访问控制；粒度；加密　

中图分类号：ＴＰ３０９．７；ＴＰ３９３．０８　文献标识码：Ａ　

Ｅｎｃｒｙｐｔｉｏｎ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ａｎｄ　ｔｒａｎｓｍｉｓｓｉｏｎ　ｏｆ　ＸＭＬ　ｄｏｃｕｍｅｎｔｓ　

ＭＥＮＧ　Ｊｉａｎ，ＣＡＯ　Ｌｉ—ｒｕｉｎｇ，ＷＡＮＧ　Ｘｉａｏ－ｐｉｎｇ，ＹＡＯ　Ｌｉａｎｇ　

（Ｄｅｐａｒｔｍｅｎｔ　ｏｆＣｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ，Ｔｏｎｇｆｉ　Ｕｎｉｖｅｒｓｉｔｙ，Ｓｈａｎｇｈａｉ　２０００９２，Ｃｈｉｎａ）　

Ａｂｓｔｒａｃｔ：Ｅｘｔｅｎｓｉｂｌｅ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ（ＸＭＬ）ｈａｓ　ｂｅｃｏｍｅ　ｔｈｅ　ｓｔａｎｄａｒｄ　ｆｏｒ　ｄａｔａ　ｉｎｔｅｒｃｈａｎｇｅ　ｏｎ　ｔｈｅ　Ｉｎｔｅｒａｃｔ．Ｉｎ　ｔｈｉｓ　

ｐａｐｅｒ，ｂａｓｅｄ　ｏｎ　ｔｈｅ　ｓｐｅｃｉａｌ　ｓｔｒｕｃｔｕｒｅ　ｏｆ　ＸＭＬ　ｄｏｃｕｍｅｎｔｓ，ａｎ　ａｃＡ２：ｅ８￥ｃｏｎｔｒｏｌ　ｍｏｄｅｌ（ＡＣＭ）ｗａｓ　ｂｒｏｕｇｈｔ　ｆｏｒｔｈ．Ａｃｃｏｒｄｉｎｇ　ｔｏ　ｔｈｉｓ　

￣ｃｅｓｓ　ｃｏｎｔｒｏｌ　ｍｏｄｅｌ　ａｎｄ　ｄｉｆｅｒｅｎｔ　ｒｏｌｅｓ　ｏｆ　ｈｏｓｔｓ，ｔｈｅｉｒ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ，ｔｈｅｉｒ　ｒｅｌａｔｉｏｎｓｈｉｐｓ　ａｎｄ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ｂａｓｅ（ＡＣＢ），ａｎ　

ｌａｇｏｒｉｔｈｍ　ｏｆ　ｇｒｏｕｐｉｎｇ　ａｎｄ　ｅｎｃｒｙｐｔｉｎｇ　ＸＭＬ　ｄｏｃｕｍｅｎｔｓ　ｗａｓ　ｄｅｓｉｇｎｅｄ．Ｋｅｙ・ｃｏｌｌａｔｉｏｎ　ｔａｂｌｅ　ｗａｓ　ｃｒｅａｔｅｄ　ａｎｄ　ｋｅｙｓ　ｗｅｒｅ　ｄｉｓｔｒｉｂｕｔｅｄ　

ｎａｄ　ｍａｎａｇｅｄ．Ｈｏｓｔｓ　ｕｓｅ　ｏｎｅ　ｏｒ　ｍｏｒｅ　ｋｅｙｓ　ｔｏ　ｄｅｃｒｙｐｔ　ＸＭＬ　ｄｏｃｕｍｅｎｔｓ　ａｎｄ　ｔｈｅ　ｓｅｒｖｅｒ　ｉｓ　ｓｅｔ　ｆｒｅｅ．Ｔｈｅ　ａｃｃｅ８￥ｏｆ　ｈｏｓｔｓ　ｉｓ　ｔｅｍｐｏｒａｌｌｙ　

ｃｏｎｔｒｏｌｌｅｄ　ｂｙ　ＡＣＢ．Ｏｎ　ｔｈｅ　ｂａｓｉｓ　ｏｆ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ｍｏｄｅｌ，ｔｈｅ　ｍｅｆｌ￣ｄｏ　ｏｆ　ｔｒａｎｓｍｉｔｔｉｎｇ　ｓｅｃｕｒｅｌｙ　ＸＭＬ　ｄｏｃｕｍｅｎｔｓ　ｅｎｃｒｙｐｔｅｄ　

ａｃｃｏｒｄｉｎｇ　ｔｏ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ｐｒｉｖｉｌｅｇｅｓ，ｔｏ　ｈｏｓｔｓ　ｏｆ　ｉｄｆｅｒｅｎｔ　ｇｒａｄｅｓ，ａｎｄ　ｔｈｅ　ｍｅｔｈｏｄ　ｏｆ　ｓｅｃｕｒｉｔｙ　ｃｈｅｃｋ—ｕｐ　ｗｅｒｅ　ｐｕｔ　ｆｏｒｗａｒｄ．　

Ｋｅｙ　ｗｏｒｄｓ：ＸＭＬ；ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ；ｇｒａｎｕｌａｒｉｔｙ；ｅｎｃｒｙｐｔｉｏｎ　

０　引言　

到每一个ＸＭＬ语义元素…，访问控制模型必须能以多种粒度　

级别对ＸＭＬ语义元素制定访问权限，一般的访问控制机制对　

ＸＭＬ作为一种元语言，已经成为互联网异构环境下不同　

此并没有特殊的要求；访问ＸＭＬ文档的用户具有异构和动态　

类型和不同领域数据交换的开放标准　。ＸＭＬ文档通过定　

的特点，因此传统的基于ＩＤ（用户身份）的验证机制不再适　

义标记描述文档的结构和意义，其数据具有结构化、树形的特　

用，需要采用其他的验证机制　Ｊ。根据访问主体的特点，采　

点，具有强大的可延展性和自我描述性。在ＸＭＬ安全的加　

用基于角色的访问控制方式（ｒｏｌｅ．ｂａｓｅｄ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ。　

密、数字签名和访问控制三方面中，访问控制机制是其中一个　

ＲＢＡＣ）　。根据访问主体在系统中需要完成的工作，定义角　

重要环节。我们依据ＸＭＬ文档的特殊结构，提出了一个访问　

色，并授予其一定的访问权限，访问控制机制根据角色需要完　

控制模型，首先对ＸＭＬ文档进行相应粒度级别的加密，利用　

成的任务，对每个角色进行权限的分配　Ｊ。　

主机的角色与特点和依据访问控制模型形成的ＡＣＢ，将ＸＭＬ　

访问控制模型需要将访问权限限制在一定的时间范围　

文档分组，提出了采用多级密钥分组加密的算法，结合加密与　内。因此在不同的时间段内，访问主体可扮演不同角色，对文　

访问控制，生成密钥对照表，进行密钥分配与管理，并提出安　

档具有不同的访问权限。访问控制模型必须能够根据时间调　

全地传送ＸＭＬ文档并进行检验的方法。　

整不同角色的访问权限。　

１　ＸＭＬ文档的访问控制要求　２　ＸＭＬ文档的访问控制分级加密　

对网络中的数据进行保护的技术主要有数据加密、数字　根据对ＸＭＬ文档访问控制机制要求的分析，我们提出　

签名和访问控制等，其中，访问控制策略与机制是保护网络数　

一

个访问控制模型（ＡＣＭ），ＡＣＭ＝（．ｓ，Ｈ，ＡＣＰ）其中，．ｓ为服　

据的重要方法之一。在网络环境中，ＸＭＬ已经成为描述数据　务器、　为主机、ＡＣＰ为访问控制策略。．ｓ提供需要访问的ＸＭＬ　

的主要语言，具有较为特殊的树型结构特点　，因此，需要根　文档，　向．ｓ发送请求。ＡＣＰ是一个六元组ＡＣＰ＝（，，Ｐ，　

据ＸＭＬ文档的特点构建访问控制模型和机制。　ｓｕｂ・ｓｐ，ａｃｅ・ｓｐ，ｐｒｏｐ・ｏｐｓ，ｔｙｐｅ）。下面分别介绍每个元素的意　

ＸＭＬ文档的访问控制机制与一般的访问控制机制不同，　

义。　

传统的访问控制机制不能直接应用于对ＸＭＬ文档的访问控　，表示ＡＣＰ的有效时间，，＝｛（ｔｌ，ｔ２）Ｉ　ｔｌ，ｔ２∈Ｔ，ｔｌ＜ｔ２｝，　

制中。由于ＸＭＬ查询语言（Ｘｑｕｅｒｙ）的存在　，可以直接寻找　

表示时间；　

收稿日期：２００５—１１—０４；修订日期：２００６—０１—１６　

作者简介：孟健（１９７７一），男，新疆石河子人，博士研究生，主要研究方向：分布式系统与安全；曹立明（１９４４一），男，浙江绍兴人，教授，博　

士生导师，主要研究方向：人工智能、多Ａｇｅｎｔ系统；王小平（１９６２一），男，江苏扬中人，副教授，博士，主要研究方向：遗传算法、多Ａｇｅｎｔ系统；　

姚亮（１９８１一），男，安徽蚌埠人，硕士研究生，主要研究方向：分布式系统安全．　

维普资讯

１０６２　计算机应用　２００６生　

Ｐ＝｛Ｐｉ（ｔ　ｔ　）Ｉ　ｉ＝１，２，３，…，ｎ　ｌ，ｔ　Ｅ　Ｔ　ｔ＜ｔ　，　

ｕ　Ｐｉ＝，｝；尸是，的子集。　

ａｃｅ—ｓｐ　Ｅ｝ｖｉｅｗ，ｎａｖｉ，ｂｒｏ—ａｌ，ｄｅｌｅ—ａｔｔｒ，ｉｎｓ—ａｔｔｒ，　

ｕｐｄａ—ａｔｔｒ．ｉｎｓｔ—ｅｌｅｍ。ｄｅｌｅ—ｅｌｅｎ，ａｕｔｈ—ａｌｌ｝。每个ａｃｅ一印的取值　

分别表示对文档的操作权限，ｖｉｅｗ表示允许对所有（或部分）　

元素进行读操作，ｎａｖｉ表示可以通过受保护元素中的链接访　

问其他元素或属性，ｂｒｏ—ａｌ表示ｖｉｅｗ和ｎａｖｉ的合成，ｄｅｌｅ—ａｔｔｒ表　

示允许删除元素属性，　ｍ—ａｔｔｒ表示可以添加元素属性，　

ｕｐｄａ—ａｔｔｒ表示允许修改元素属性，　ｍ￡一ｅｌｅｍ表示允许插入当　

前元素的子元素，ｄｅｌｅ—ｅｌｅｎ表示允许删除当前元素及其所有　

在Ｘｐａｔｈ规范中，以“／”引导的结点表示的是元素节点，　

以“＠”引导的是属性节点，以“ｔｅｘｔ（）”引导的是文本节点。｜ｓ　

的任务是扫描ＡＣＢ，根据每条ＡＣＰ中角色、访问权限、策略级　

别等信息，将ＸＭＬ文档按照一定的规则分块，并对各部分依　

据级别密钥对照表（表１）运用不同的密钥加密。　

根据该文档的特点，｜ｓ首先将日分为ａｄｍｉｎ、ｍａｎａｇｅｒ、　

ｅｍｐｌｏｙｅｅ三种不同角色，日在访问该文档前，都必须向｜ｓ提供　

关于其角色和其他相关信息，这些信息如图２所示。　

子元素，ａｕｔｈ—ａｌｌ表示允许对元素作以上的所有操作，即　

ａｕｔｈ—ａｌｌ＝ｖｉｅｗ『　ｌｄｅｌｅ—ａｔｔｒ　ｆ　Ｉｄｅｌｅ—ｅｌｅｎ；　

ｓｕｂ—ｓｐ表明角色信息＜ｓｕｂ，ｎｔｔｍ＞ｓｕｂ是一个ｘｐａｔｈ表达　

式，说明ＡＣＰ允许的访问角色，ｎｔｔｍ表示允许访问ＸＭＬ文档　

的角色的种类数；　

ｐｒｏｐ—ｏｐｓ　ｘｐａｔｈ表达式，以“／”或“＠”为前导符，分别表明　

路径所表示的节点性质，例如／ｂｕｓｉｎｅｓｓ　ｒｅｃｏｒｄｓ￣ｒｅｃｏｒｄ指定　

ｒｅｃｏｒｄ子节点中的所有元素，ｒｅｃｏｒｄ　ｅｍｐｌｏｙｅｅ＠ｉｄ表示ｒｅｃｏｒｄ　

ｅｍｐｌｏｙｅｅ的　属性；　

ｔｙｐｅ＝｛ｃｐ　Ｉ　ｔｐ　Ｅ　Ｚ，ｍａｘ（ｔｐ）≤ｎｔｔｍ｝，表明ＡＣＰ的优先　

级。ｔｙｐｅ通常在形成访问控制策略库（ＡＣＢ）后，在多条ＡＣＰ产　

角色的主机　

生冲突的情况下使用，优先级别高的ＡＣＰ得到优先执行”　。　

一

不同的日在对｜ｓ发出访问该ＸＭＬ文档请求前，｜ｓ首先根　

据角色产生若干条ＡＣＰ，用访问控制模型六元组（，，Ｐ，　

ｓｕｂ—ｓｐ，ａｃｃ—ｓｐ，ｐｒｏｐ—ｏｐｓ，ｔｙｐｅ）表示。｜ｓ可对文档生成若干条相　

应的ＡＣＰ。ＡＣＰ集合形成ＡＣＢ。　

访问控制策略库ＡＣＢ：　

ＡＣＰ１（［０１／０１／２００５，１２／３１／２００６］，［０１／０１／２００５，１２／３１／２００５］，　

／Ｈ　ｓｕ￣／Ｔｙｐｃ［＠Ｒｏｌｅ：ＡｄｍＪｎ］，ａｍｈ—ａｌ１．Ｂｕｓｉｎｅｓｓ　Ｒｅｐｏｒｔ，ｔｙｐｅ：２）　

ＡＣＰ２（［０１／０１／２００５，ｌ２／３ｌ／２００５】，【０１／０１／２００５，Ｏ６／３Ｏ／２Ｏ０５］，　

／Ｈ　ｓｔａｆｆ／Ｔｙｐｅ［＠Ｒｏｌｅ：ｍａ｜ｌ昭ｅｒＩ，ｖｉｅｗ．ＢｕｓｉｎｅｓｓＲｅｐｏｒｔ，ｒａｎｋ－－３）　

ＡＣＰ３（［０１／０１／２００５，ｌ２／３ｌ／２ｏ０５】，【０１／０１１２００５．０７／３１／２００５］，　

／Ｈ　ｓｔａｆｆ／Ｔｙｐｅ【＠Ｒｏｌｅ：ｎ１ａ｜ｌａｇｅｒ　ＡＮＤ＠Ｄｅｐｔ：Ｈ１】，ｖｉｗ，ｅ　

ｗｏ＆ｒｅｃｏｒｄｓ，ｔｙｐｅ＝３）　

为了说明该模型对ＸＭＬ文档的访问控制操作，首先提出　

个ＸＭＬ文档的实例，并以树形图的形式将该文档表示出来：　

＜ｂｕｓｉｎｅｓｓ　ｒｅｃｏｒｄｓ　ｃｏｍｐａｎｙ：”ｇｅｎｅｒａｌ　ｃｏｍｐａｎｙ。’＞　

＜ｒｅｃｏＴｄ　ｅｍｐｌｏｙｅｅ　ｉｄ：　５４６８８　ｄａｔｅ　ｃｒｅａｔｉｏｎ：　０５＼０３＼０１　＞　

＜ｐｅ￣ｏｎａｌ　ｄａｔａ＞　

＜ｓｎａｍｅ＞ｒｅｄ＜／ｓｈａｍｅ＞　

＜ｎａ／ｎｅ＞ｐａｕｌ＜／ｎａｍｅ＞　

＜ａｄｄｄｒｅｓｓ＞…＜／ａｄｄｒｅｓｓ＞　

＜ｉｎｓｕｒａｎｃｅ　ｉｄ：　…　／＞　

＜／ｐｅｒｓｏｎａｌ　ｄａｔａ＞　

＜ｗｏｒｋｅｘｐｅｆｉｅｎｃｅｓ＞　

＜ｗｏｒｋｅｘｐｅｒｌｅｎｃｅ　ｉｄ：　０１　ｄａｔｅ：　…　ｄｅｐｔ：　Ｈ１　＞　

ＡＣＰ４（［０１／０１／２００５，１２／３１／２００６］，【０１／０１１２００５，０７／３１／２００５］，　

／Ｈ　ｓｔａｆｆ／Ｔｙｐｅ【＠Ｒｏｌｅ：ｎｌ￣ｅｒ　ＡＮＤ＠Ｄｑ，ｔ：｝Ｉ２】，ｖｉｗ，ｅ　

ｗｏｒｋ￣ｃｏｒｄｓ［＠Ｄｅｐｔ＝｝ｔ２】，ｔｙｐｅ：３）　

ＡＣＰ５（［０１／０１／２００５，１２，／３１／２００５］，【０１／０１／２００５，０７／３１／２００５］．　

／Ｈ　ｓｔａｆｆ／Ｔｙｐｅ【＠Ｒｏｌｅ：ｍａｎａｇｅｒ　ＡＮＤ＠Ｄｅｐｔ：Ｈ１】，ａｕｔｈ—ａｌ１．　

ｗｏ￣ｋｒｅｃｏｒｄｓ［＠Ｄｅｐｔ＝ＨＩ］，ｔｙｐｅ：４】　

ＡＣＰ６（［０１／０１／２００５，１／３１２／２００５］，【０１／０１１２００５，０７／３１／２００５］，　

／Ｈ　ｓｔａｆｆ／Ｔｙｐｅ【＠Ｒｏｌｅ：ｍａｎａｇｅｒ　ＡＮＤ＠Ｄｃｐｔ：｝Ｉ２】，ａｕｔｈ—ａｌｌ，　

ｗｏＳｏ￣ｃｏｒｄｓ［＠Ｄｅｐｔ：｝Ｉ２】，ｔｙｐｅ：４】　

ＡＣＰ７（［０１／０１／２００５．１２／３１／２００５］，【０１／０１／２００５．０７／３１／２００５］，　

＜／ｗｏｒｋｅｘｐｅｒｉｅｎｃｅｓ＞　

＜ｗｏｒｋｒｅｃｏＭｓ＞　

＜ｗｏｒｋ　ｒｅｃｏｒｄ　ＩＤＴＲＦ：　０１　ｄｅｐｔ：　Ｉｔ２　＞　

＜／ｗｏｒｋｒｅｃｏ￣＞　

＜ｗｏｒｋｒｅｅｏ￣ＩＤＩＲＦ：　０２　ｄｅｐｔ：　Ｈ２　＞　

／Ｈ　ｓｔａｆｆ／Ｔｙｌ￣［＠Ｒｏｌｅ＝ｅｍ＃ｏｙｅ］，ｖｉｅｗ，Ｐｅｒｓｏｎａｌ山ｌ　ｔｙｐｅ＝５）　

＜／ｗｏｒｋｒｅｃｏ￣＞　

ＡＣＢ中的每一条ＡＣＰ表明每个具有不同相关信息的角色　

在不同的时问段内，对文档中的不同部分具有不同的访问权　

限”Ｊ。基于访问控制模型六元组（，，Ｐ，ｓｕｂ—ｓｐ，ａｃｃ—ｓｐ，　

＜／ｗｏｒｋｒｅＣＯ￣￥＞　

＜／ｒｅｃｏｒｄ＞　

＜／ｂｕｓｉｎｅ８ｓ　ｌ＂ｅｃｏｒｄ８＞　

ｐｒｏｐ—ｏｐｓ，ｔｙｐｅ）生成的ＡＣＢ提供的相关信息，以ＡＣＰ３为例，，　

为［０１／０１／２００５，１２／３１／２００５］，表示该条ＡＣＰ的最长有效时　

间；尸为［０１／０１／２００５，０７／３１２００５］，／表示对ｓｕｂ—ｓｐ表示的角　

色及特点，ｏ，ｃｃ—ｓｐ的有效时间；ｓｕｂ　ｓｐ为／Ｈ　ｓｔａｆｆ　

／Ｔｙｐｅ［＠Ｒｏｌｅ＝ｍａｎａｇｅｒＡＮＤ＠Ｄｅｐｔ＝Ｈ１］　其中角色　

为ｍａｎａｇｅｒ，特点为Ｄｅｐｔ：肌；ａｃｃ—ｓｐ为ｖｉｅｗ，表示允许对　

所有（或部分）元素进行读操作；ｐｒｏｐ—ｏｐｓ为ｗｏｒｋｒｅｃｏｒｄｓ。　

表示这条ＡＣＰ涉及的文档块；ｔｙｐｅ＝３表示该条ＡＣＰ的　

优先级为３。我们设计了一个ＸＭＬ文档加密算法，根据　

如下所示的算法，能够将ＸＭＬ文档分块，并为每一块文　

档分配相应的密钥，生成相应的密钥对照表（表１）。　

算法根据ＡＣＢ，根据角色的不同以及角色的权限　

重叠，将ＸＭＬ文档分组，对每一组分别采用不同的密钥　

加密。生成ＸＭＬ密文。　

算法名：ＧｒｏｕｐｉｎｇａｎｄＥｎｅｒｙｐｔｉｎｇ　

图１　ＸＭＬ文档的树形表示　

入口参数：ＡＣＢ　

维普资讯

第５期　孟健等：ＸＭＬ文档的加密访问控制与传输　１０６３　

输出参数：密钥对照表ＸＭＬ文档密文Ｓ　

第１步：取出ＡＣＢ中的第一条ＡＣＰ，取出其中的角色及　

特点：　

Ｐｏｌｉｃｉｅｓｌ＝ｇｅｔＰｏｌｉｃｉｅｓ（ｓｕｂ—ｓｐ）；　

第２步：取出下一条ＡＣＰ，并比较两者的角色特点是否相　

日　一Ａ：　５（Ｂ（ＡＰ（ｎａｍｅ，Ｅｄ）），Ａ，ＡＰ（Ｒｅｑ（ＸＭＬ１，ａｃｃ－ｋ，　

ａｃｅ—ｔ）））　（１）　

Ａ接收到消息ｍｌ后，使用日的公钥日　检查消息，通过日　

提供的身份信息ｎａｍｅ、Ｅｄ，确定日的角色及其特点，并用私钥　

Ａ　解密，提取出Ｒｅｑ，并发送消息ｍ２到日，其中包含用日的公　

钥加密的文档密文Ｓ删　以及相应密钥组Ｊ｝１、娩、船、…　

Ａ　一日：Ａ５（Ａ，Ｂ，ＢＰ（Ｓ　１））　（２）　

同，若相同则选取文档内容多的与该角色相对应，若不相同则　

取出再下一条ＡＣＰ进行比较：　

Ｐｏｌｉｃｉｅｓ２＝ｇｅｔＰｏｌｉｃｉｅｓ（ｓｕｂ－ｓｐ）；　

Ｉｆ　Ｐｏｌｏｃｉｅｓ２≠ｎｕｌｌ　ｔｈｅｎ　

（Ｃｏｍｐａｒｅ　Ｐｏｌｉｃｉｅｓｌ＆Ｐｏｌｉｃｉｅｓ２；　

ｆ　Ｉｅｑｕａｌ　ｔｈｅｎ　

日收到密文和密钥后，可以对文档进行部分获全部的解　

密，阅读信息，或修改文档。完成相应操作后，发送消息　给　

服务器，其中包括修改或未修改的文档ＭｏｄｉＸＭＬ１。　

日　一Ａ：Ｂ５（Ｂ，Ａ，ＡＰ（ＭｏｄｉｘＭＬ１））　（３）　

Ａ首先提取ｍ２中的ａｃｃ—ｋ，判断访问类型，若为ｖｉｅｗ，则发　

Ｐｏｌｉｃｉｅｓ（ｓｕｂ－ｓｐ）＝（ｃｏｍｐａｒｅ　ｐｏｌｉｃｉｅｓ２．　

ｐｒｏｐ・ｏｐｓ＆ｐｏｌｉｃｉｅｓ１．ｐｒｏｐ－ｏｐ）；　

Ｅｌｓｅ　ｇｏｔｏ第２步ｌ　

找出所有不同的角色及特点和与该角色相对应的访问范　

围，存放在名为ａｃｔｏｒ—ｒｅｇｉｏｎ的表中。　

第３步：比较ａｃｔｏｒ．ｒｅｇｉｏｎ表中不同角色的范围，若有任意　

两角色ａ、ｂ，分别对应Ａ、Ｂ两个文档块，Ａ　ｎ　Ｂ≠　且Ａ　ｎ　Ｂ　

≠Ａ、Ａ　ｎ　Ｂ≠Ｂ，则ａｂ＝Ａ　ｎ　Ｂ，ａ１＝Ａ　ｎ　Ｃ，ｂ１＝Ｂ　ｎ　Ｃ，以　

送拒绝消息ｍ４。　

Ａ　一Ｂ：Ａ５（ｒｅｆｕｓｅ））　（４）　

否则，根据ＡＣＢ比较，若在六元组中，ｓｕｂ－ｓｐ、ａｃｃ．ｓｐ对　

Ｍｏｄｉ　删均支持，且ＭｏｄｉｘＭ　在ｐｒｏｐ—ｏｐｓ范围内，ａｃｃ－ｔ在Ｐ标示　

的范围内，则发送ｍ５给日，否则发送　，参数　指出拒绝的原　

因。　

Ａ　一Ｂ：Ａｓ（ａｃｃｅｐｔ））　

Ａ　一Ｂ：Ａｓ（ｄｅｎｉａｌ（　））　

（５）　

（６）　

此类推，直到所有分块文档ａｂ、ａ　、ｂ　一没有重叠为止。　

第４步：为每一个文档块分配一个密钥，将角色与一个或　

多个文档块对应起来，并为每个文档块分配密钥，生成密钥对　

照表（表１）。　

ａ）ａｂ．ｋｅｙ＝ｋｌ；　

ｂ）ａ１．ｋｅｙ＝ｋ２；　

ｃ）ｂ１．ｋｅｙ＝ｋ３。　

表１密钥对照表　

值得注意的是，虽然ｍ４、ｍ６同为拒绝请求，但其意义不　

同，ｒｅｆｕｓｅ表示的是主机提出的是浏览的请求，但对文档进行　

了修改，与提出的请求不一致，而ｄｅｎｉａｌ则表示根据ＡＣＰ，不　

允许主机进行某种操作，原因可能是ｓｕｂ－ｓｐ不支持（　＝１）、　

ａｃｃ—ｓｐ不支持（　＝２）、ＭｏｄｉｘＭｎ不在ｐｒｏｐ－ｏｐｓ范围内（　＝３）、　

ａｃｃ－ｔ不在Ｐ标示的范围内（　＝４）或者其他原因（　＝５）。　

经过（１）一（６）的过程，将经过多级加密的文档安全地传　

送给了各个主机，并完成了ＸＭＬ的修改检验。由于经过了多　

文档块与密钥　角色与特点　

Ｂｕｓｉｎｅｓｓ　ｒｅｃｏｒｄ．ｂｕｓｉｎｅｓｓ　ｒｅｃｏｒｄ．ｋｅｙ　ｋ１　

．．　

级加密，服务器只发送符合主机角色要求的相应密钥，主机无　

法获得其角色以外的密钥，从而无法实现角色以外的功能，防　

止了主机对文档的误操作和恶意操作。　

ａｄ　“　

Ｗｏｒｋｌ＇ｅｃｏｒｄｓｆ＠Ｄｅｐｔ＝Ｈ１）．ｋｅｙ＝ｋ２　

Ｗ

ｏｒｋｒｅｃｏｒｄｓ　＠Ｄｅｐｔ＝Ｈ１　．ｋｅｙ＝ｋ３　

Ｐｅｒｓｏｎａｌ　ｄａｔａ．ｋｅｙ　ｋ４　

４　结语　

本文提出了一种对ＸＭＬ文档授权和访问控制，以及验证　

的模型，在模型的基础上提出ＸＭＬ密文分块加密算法，并描　

述了基于分级加密的ＸＭＬ文档传输与安全检验。与其他的　

模型相比较，本模型的优点在于对ＸＭＬ文档进行了依据角色　

的多级加密，将解密的过程交给主机完成，缩短了服务器的服　

务时间，并在验证阶段再次利用ＡＣＢ，确定主机的操作是否　

得当，完成对ＸＭＬ文档的操作。　

参考文献：　

【ｌ】　ＥＲＤＭＡＮＮ　Ｍ，ＳＴＵＤＥＲ　Ｒ．Ｈｏｗ　ｔｏ　ｓｔｒｕｃｔｕｒｅ　ａｎｄ　ａｃｅｅ￥ｓ　ＸＭＬ　ｄｏｃ－　

ｕｍｅｎｔｓ　ｗｉｔｈ　ｏｎｔｏｌｏｇｉｅｓ【Ｊ】．Ｄａｔａ　ａｎｄ　Ｋｎｏｗｌｅｄｇｕｓ　Ｅｎｇｉｎｅｅｒｉｎｇ，　

２００１，３６：３１７—３５５．　

ＭａｎａｇｅｒＤｅｐｔ＝Ｈ１　Ｗｏｒｋｒｅｃｏｒｄｓ（＠Ｄｅｐｔ＝Ｈ１）．ｋｅｙ　ｋ２　

ＭａｎａｇｅｒＤｅｐｔ＝Ｈ２　Ｗｏｒｋｒｅｏｒｄｓ（＠Ｄｅｐｔ＝Ｈ２）．ｋｅｙ　ｋ３　

Ｅｍｐｌｏｙｅｅ　Ｐｅｒｓｏｎａｌ　ｄａｔａ．ｋｅｙ　ｋ４　

第５步：根据密钥对照表，对ＸＭＬ文档分级加密，生成　

ＸＭＬ密文ｓ删Ｌ。　

算法说明：在选取ＡＣＰ时，按照六元组中ｔｙｐｅ的优先级　

顺序选取，由高到低依次进行。　

３　基于分级加密的ＸＭＬ文档传输与安全检验　

当日向ｓ提出访问申请时，ｓ（假设为Ａ）接收日（假设为　

发出的访问请求，扫描密钥对照表，根据日的角色与特点　

将表中提供的相应密钥采用非对称加密的方式（Ａ　Ｂ，分别　

表示Ａ、Ｂ的公钥，用来加密，Ａ　、Ｂ　表示Ａ、Ｂ的私钥，用来签　

名），发送密文　与密钥组。Ｂ解密文档，并作相应的阅读　

或修改操作，返回文档』ｌ　，由Ａ根据日发送的访问请求　

中的访问类型ａｃｃ－ｋ、访问时间ａｃｃ－ｔ以及ＡＣＢ中对该角色授予　

【２】　ＢＥＲＴＩＮＡ　Ｅ，ＣＡＲＭＩＮＡＴＩ　Ｂ，ＦＥＲＲＡＲＩ　Ｅ．ＸＭＬ　ｓｅｃｕｒｉｔｙ［ｒｔ］．　

Ｉｎｆｏｍｍｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　Ｔｅｃｈｎｉｃａｌ　Ｒｅｐｏｒｔ，２００１，６（２）：４４—５８．　

【３】　Ｗ３Ｃ　ＸＭＬ　Ｗｏｒｋｉｎｇ　Ｇｒｏｕｐ．Ｅｘｔｅｎｓｉｂｌｅ　ｍａｒｋｕｐ　ｌｎｇｕａｇｅ（ＸＭＬ）ａ　

Ｉ．０【ＥＢ／ＯＬ】．ｈｔｔｐ：／／ｗｗｗ．ｘｍ１．ｃｏｍ．　

【４】　ＯＡＳＩＳ　Ｅｘｔｅｎｓｉｂｌｅ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ｍａｒｋｕｐ　ｌａｎｇｕａｇｅ（ＸＡＣＭＬ）【Ｓ】．　

Ｃｏｍｍｉｔｔｅ　Ｓｐｅｃｉｉｆｃａｔｉｏｎ，２００３．　

［５１　ＭＩＫＬＡＵ　Ｇ，ＳＵＣＩＵ　Ｄ．Ｃｒｙｐｔｏｇｒａｐｈｉｃａｌｌｙ　ｅｎｆｏｒｃｅｄ　ｃｏｎｄｉｔｉｏｎａｌ丑ｃ－　

ＣＣＳＳ　ｆｏｒ　ＸＭＬ【ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｗｗｗ．ｃｓ．ｗａｓｈｉｎｇｔｏｎ．ｅｄｕ／ｈｏｍｅｓ／　

ｓｕｃｉｕ／ｗｅｂｄｂ２００２ＭＳ．ｐｓ．２００２—０５．　

的权限，分析日的操作是否得当，作相应检查，向日返回检查　

结果。以下是对这一过程的详细描述。　

假设ＸＭＬ文档在Ａ，提出请求的是日。首先由日向Ａ发出　

［６１　ＨＡＤＡ　Ｓ，ＫＵＤＯ　Ｍ．ＸＭＬ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ｌａｎｇｕａｇｅ：ｐｒｏｖｉｓｉｏｎａｌ　ａｕ－　

ｔｈｏｒｉｚａｔｉｏｎ　ｆｏｒ　ＸＭＬ　ｄｏｃｕｍｅｎｔｓ．Ｔｏｋｙｏ　Ｒｅｓｅａｒｃｈ　Ｌａｂｏｒａｔｏｒｙ，ＩＢＭ　

请求ｍ１，用日的密钥　对消息签名，标明消息的发出者为　

日（包含名称ｎａｍｅ和号码Ｅｄ信息），接收者为Ａ，用Ａ的公钥　

Ａ　加密的请求Ｒｅｑ（包含请求的ＸＭＬ文档名称ＸＭＬ１、访问类　

型ａｃｃ．ｋ、访问时间ａｃｃ－ｔ）。　

Ｒｅｓｅａｒｃｈ［ＥＯ／ＢＬ］．ｈｔｔｐ：／／ｗｗｗ．ｗ３ｏｒｇ／ＴＲ／ｘｍｌ—ｃｌ４ｎ，２００２—０５　

一

ｌ８．　

【７】　ＳＣＨＭＩＤＴ　Ａ，ＷＡＳＳ　Ｆ，ＫＥＲＳＴＥＮ　Ｍ，ｅｔ　ｎ　Ｘｍａｒｋ：Ａ　ｂｅｎｃｈｍａｒｋ　

ｏｒ　ＸＭＬ　ｄａｔｆａ　ｍａｎａｇｅｍｅｎｔ【Ａ】．Ｐｒｏｃ．ＶＬＤＢ【Ｃ】．ＨｏｎｇＫｏｎｇ，　

Ｃｈｉｎａ。２００２．