XML访问控制与推理控制

3 XML-RDF授权策略模型
实际应用中存在着聚合敏感问题，即聚合体作为整体是敏感的，而各组成部分是非敏感的。为了保证数据的可用性，授权策略模型需要支持这类整体与个体的分离授权，而通常面向结点的授权模型却无法实现。在结点被封装为RDF对象后，将结点的授权转换成对象的授权可以较容易解决这一问题。不失一般性，本模型只考虑构成授权的三个基本组成部分，即授权主体、客体和授权类型。更加复杂的授权模型通过简单的扩展同样可以刻画。

RDF授权是对XML授权中授权主体、授权类型以及授权对象的RDF陈述。其中授权类型分为正授权(+)和反授权(-)，分别表示允许访问和拒绝访问。授权以对象为基本单位，对象与其组成间的授权关系满足约定：(1)简单对象封装的所有结点具有和对象自身相同的授权；(2)正授权组合对象的子对象同样具备正授权；(3)反授权组合对象的子对象可以有不同于整体的授权。

模型采用封闭式授权策略，如果主体没有被显式声明允许访问客体，则默认该主体不能访问客体，即用户访问文档中的任何结点必须先获得该结点所属简单对象的访问许可。由于结点唯一封装于一个简单对象之中，文档的任意结点子集必然有唯一的简单对象集与之对应，对该结点集的访问控制可以自然的转换为对相应对象集的访问控制。因此，以对象为单位的授权与以结点为单位的XML访问之间不存在矛盾，对象的透明性不会影响到授权的有效性。

所有授权的集合构成了XML数据库的安全策略，自主访问控制的灵活性使得安全策略中往往存在着授权冲突，表现在两个方面：同一客体上的授权冲突和不同客体之间的授权冲突。对于前者可以在安全策略中预先设定一系列优先规则，冲突发生时根据规则自动确定优先授权，并且在规则不变前提下结果是恒定的。而后者则是面向结点的授权模型无法解决的，如具有相同语义的结点间的不同授权。对于同一对象上的授权冲突，可以采用已有的优先规则(如反授权优先)，在访问控制实施过程中加以解决。对于不同对象间的授权冲突，由于其发生在相互关联的对象(如等价对象)之间，是信息泄露的根源，可以通过有效的推理控制加以消除。

4 访问控制与推理控制
推理控制与访问控制是相辅相成的，访问控制通过授权保证用户访问的结点都获得了许可，避免未授权结点的直接泄露；推理控制以此为基础，进一步确保显式拒绝访问的结点不被推理。

推理控制可以在设计和查询两个阶段分别实施。如前所述，推理泄露的根源在于关联对象之间的授权冲突。在设计阶段可以简单的判定这类冲突的存在，并确定发生冲突的对象，进而通过调整授权加以消除。然而通过授权调整并不能解决所有问题，原因可能是基于信息最大可用性的考虑，也可能是法律的必须公开规定等。通过查询阶段的推理控制则可以有效解决，如组合对象整体是反授权的，而各子对象是正授权的，用户可以访问部分子对象，但当用户试图访问所有子对象时，推理控制会加以限制，避免作为整体的组合对象的泄露。这样在保证了安全的同时，提高了数据的可用性和访问控制的灵活性。