加密XML数据结构索引方案研究

充分利用XML数据库文档的树形结构特性,结合Dewey编码原理和B+树的索引特性,提出了一种基于B+树的加密XML结构索引和查询模型.在XML文档加密过程中,将XML加密数据与基于加密数据的B+树索引一起存储在服务器端,以便在服务器端完成对加密数据的结构索引.实验结果表明,此法提高了查询的效率,无需解密无关的加密数据,有效地实现了对加密XML数据的结构索引.     

基于加密过程控制语言的XML数据加密方案

目前国内外的XML数据加密方法只针对某一特定的应用，缺乏对加密过程的描述，通用性不佳，数据加密过程效率不高。该文在XML文档对称加密与非对称加密的方案基础上，提出了一种加密过程控制语言，用以控制XML文档的加密过程，从而提高了XML数据加密的效率和通用性，同时给出了这种加密方案的实现。     

XML文档的加密访问控制与传输

以XML文档的特殊结构为基础,将加密与访问控制结合起来,提出了一个访问控制模型（Access Control Model, ACM）。根据访问控制模型,按照主机角色及其特点、主机角色间的关系和访问控制策略库（Access Control Base, ACB）,设计了XML文档分组加密算法,产生密钥对照表,进行密钥分配与管理,将依据一个或多个密钥对XML文档解密的任务交给主机,减轻服务器的负担;根据访问控制策略对主机的访问权限进行时间限制,在访问控制模型的基础上提出依据访问控制权限,将加密后的XML文档安全传送给不同级别主机,并进行安全检查的方法。     

XML加密的研究

随着互联网技术的发展,网络的数据交换越来越频繁。寸扩展标记语言（XML）作为一种描述数据的标记语言,具有对数据进行统一描述的强大功能,成为网络数据传输和交换的主要载体。由于在XML规范中不提供对数据的保密措施,所以它的安全性也受到了越来越多的关注。通过演示1个简单的数据交换,用XML加密确保安全,然后增加安全性需求的复杂程度,解释XML加密模式及其不同元素的使用。     

加密XML文档的一种新策略

提出了加密XML文档的一种新策略,使用户从编写复杂的XML文档加密算法中解脱出来,而只需要将加密文档的策略,采用文中定义的XML格式规定,编写“加密策略描述”文件,然后将该文件提交给加密服务程序,后者根据前者所描述的加密策略,自动实现对XML文档的加密处理。与传统的通过编程实现XML文档加密的方法相比,方法在不失灵活性的同时,更加简单高效。     

基于优先级的XML细粒度访问控制模型

提出了一种基于优先级的XML授权与访问控制模型.本模型由主体、客体、授权规则、授权规则树和访问控制算法组成.根据XML的特点,主体既可以是角色也可以是用户.客体是受保护的对象,可以是XML Schema,也可以是XML实例中的任意节点.授权规则的优先级由其三个属性的权值决定,授权规则树将授权规则根据XML文档的结构进行重组织.利用授权规则优先级和授权规则树,极大的简化了访问控制算法.     

基于XML的信息加密方法及其实现

分析了XML加密需求,指出了XML加密方法与当前因特网上常用的传输层安全性（TLS）和安全套接字层（SSL）技术相比的优越性之所在。研究了XML的加密原理,详细分析了XML加密的具体方法及步骤。结合一个网上购书系统的具体工程实例,给出了XML加密方法的Java实现。实际应用的结果表明,与TLS、SSL等传统的加密方法相比,XML加密方法更灵活,更易于实现。     

XML加密在XML安全性中的应用

针对用XML表示的信息在网络数据交换中存在的安全性问题,提出了使用XML加密机制来保证XML信息的安全性,并就如何加密不同粒度的XML信息进行了详细的讨论。     

基于XML加密规范的安全数据交换的实现

本文介绍了XML加密相对于传统加密的优点,并通过实例说明了在微软的．NET框架下如何使用DON编程接口技术和对称加密算法实现XML加密,使用非对称加密算法实现密钥的加密交换,最后介绍了安全数据交换实现的方法。     

一种基于证书的XML访问控制模型

XML的广泛应用对其访问控制提出了需求,同时Web中大量存在的异质用户群也为授权管理增加了难度。在分析XML文档安全特性的基础上,提出了一种基于证书的XML访问控制模型,并给出了基于XML的策略描述,最后讨论了该模型的实现。     

Parameterized Role-Based Access Control Policies for XML Documents

ABSTRACT

Role-based access control policies (RBAC) are often used to provide access to fragments of static XML documents. Existing implementations of such RBACs often disseminate a single document encrypted with multiple cryptographic keys. However, most existing approaches are subject to role proliferation, especially in the case of large organizations where the number of defined roles may be several hundred. In such circumstances, correctly administering access control becomes much more difficult and error-prone. In this article, we present a novel approach to RBACs, which supports role parameterization to mitigate the potential of role proliferation. Our approach supports the association of specific user and/or session-specific credentials (i.e., parameters) with roles. We first define parameterized RBAC (PRABC), and then provide an algorithm for generating the minimal set of keys required to enforce a particular parameterized policy. We present another algorithm for efficiently encrypting an XML document in a single pass, using a technique that disguises the original structure of hidden subtrees. Finally, we include a key distribution algorithm that ensures each user receives only those keys that are needed for decrypting accessible fragments of the document. We analyze the complexity of our implementation and provide experiments to demonstrate its scalability.     

面向XML文档的细粒度强制访问控制模型

XML文档存放的信息需要受到访问控制策略的保护.现有的一些面向XML文档的访问控制模型都是基于自主访问控制策略或基于角色的访问控制.高安全等级系统需要强制访问控制来保证系统内信息的安全.首先扩展了XML文档模型使其包含标签信息,并给出了扩展后的文档模型需要满足的规则.然后通过讨论XML文档上的4种操作,描述了面向XML文档的细粒度强制访问控制模型的详细内容.该模型基于XML模式技术,它的控制粒度可以达到文档中的元素或者属性.最后讨论了该模型的体系结构和一些实现机制.     

XML的授权与访问控制方法

提出了一种XML文档的授权与访问控制模型．本模型由主体、客体、安全规则及访问控制算法组成，主体是指用户或用户组，客体为被保护的对象，安全规则用于指定用户对XML文档具有的权限，访问控制算法根据安全规则对XML文档实施保护．本模型的保护对象可以是XML纲要(sclaema)或这一纲要的实例，安全规则所确定的保护粒度可以做到基于文档树结构的保护，也可做到基于内容的保护．还阐述了授权冲突等概念，提出了基于最高优先度的授权冲突解决策略，这种策略具有高效、授权规则语义无岐义等优点．访问控制算法已用Java编程实现，采用SOAP作为通信机制，易于与其他系统集成．     

XML文档存取控制研究

提出了一种基于授权树的XML存取控制标记算法,通过①避免在每个XML结点上进行授权匹配;②避免在每个结点上进行授权冲突解决;③避免标记每个结点,有效地改善了处理性能,另外,提出了一种灵活的、用户可配置的授权冲突解决模式,并且将这种解决模式自然地集成到授权树算法之中。     

一种改进的XML访问控制模型

在XML访问控制方面,改进传统的XML控制技术在现有模型中授权主体的定义范畴,同时将请求评估模块和决策执行模块显式分开,增加定制安全策略和安全规则的灵活性和通用性。     

一种XML访问控制模型及其应用

XML的广泛应用对其访问控制提出了需求，同时关系数据库到XML文档的映射也需要将其访问控制策略自动地映射为相应XML文档的访问控制策略，本文利用XML的自描述特性提出了一种XML访问控制模型(XACM)，并且结合一个实际的XML发布系统讨论了该模型的具体应用．     

XML数据库强制访问控制策略研究

本文提出了一种实施在本源XML数据库中的通用强制访问控制策略,它允许数据库系统安全员定义标签结构和标签访问规则,可以满足不同应用领域的安全需求。该策略基于XML模式技术,为电子商务等领域提供了技术支撑。最后讨论了在数据库中实现该策略的整体框架。     

XML文档访问控制研究

针对XML文档访问控制过程中,更新操作引起的重复DTD验证以及DOM树解析、标记问题,提出操作类型的概念。根据操作类型区分不同的更新访问请求,过滤掉不具权限的请求,以节省验证以及标记过程所耗费的内存等系统资源。通过实例证明该方法在更新请求频繁的情况下,性能优于现有的访问控制技术。     

CSchema: A Downgrading Policy Language for XML Access Control

The problem of regulating access to XML documents has attracted much attention from both academic and industry communities. In existing approaches, the XML elements specified by access policies axe either accessible or inaccessible according to their sensitivity. However, in some cases, the original XML elements are sensitive and inaccessible, but after being processed in some appropriate ways, the results become insensitive and thus accessible. This paper proposes a policy language to accommodate such cases, which can express the downgrading operations on sensitive data in XML documents through explicit calculations on them. The proposed policy language is called calculation-embedded schema （CSchema）, which extends the ordinary schema languages with protection type for protecting sensitive data and specifying downgrading operations. CSchema language has a type system to guarantee the type correctness of the embedded calculation expressions and moreover this type system also generates a security view after type checking a CSchema policy. Access policies specified by CSchema are enforced by a validation procedure, which produces the released documents containing only the accessible data by validating the protected documents against CSchema policies. These released documents are then ready to be accessed by, for instance, XML query engines. By incorporating this validation procedure, other XML processing technologies can use CSchema as the access control module.