基于ＮＦＡ异构数据库集成系统的查询优化.docVIP

基于ＮＦＡ异构数据库集成系统的查询优化 　　摘要：XML文档信息容量的增长、数据敏感程度的增加，对异构数据源集成系统提出了新的挑战。为了降低查询复杂度、提高查询效率、增强数据库文档信息的安全性，本文采用感知情景因素的RBAC扩展模型，用一种新的基于XML的访问控制描述语言描述异构数据库集成系统中的访问控制策略，并使用查询优化技术，构造不确定性自动机（NFA）对用户查询进行重写。通过这些技术，最终过滤掉异构数据库集成系统中不符合安全策略的查询，实现细粒度的访问控制。 　　关键词：NFA；XML；访问控制策略；策略规范；查询重写 　　中图分类号：TP311.13文献标识码：A 文章编号：1009-3044(2008)20-30211-04 　　 　　Query Optimization for Heterogeneous Database Systems Based on NFA 　　XIAO Ye 　　(College of Software Engineering,Southeast University,Nanjing 210096,China ) 　　Abstract:The increase of information capacity and data sensitiveness in XML documents has posed new challenges for heterogeneous database systems, such as how to minimize the complexity of query, how to promote efficiency, and how to preserve information security for database documents. To meet these challenges, this paper adopts an extended context-aware RBAC model, describes the access control policies in heterogeneous database systems using an XML-based access control language, and rewrites customer query by constructing NFA and using the optimized query technology. Through these technologies, we are able to prune any query that violates the security policy for fine-grained access control. 　　Key words: NFA; XML; access control policy; policy specification; query rewriting 　　 　　1 引言 　　 　　随着XML文档的信息容量日益增长，信息内容的敏感程度越来越强，对异构数据源集成系统提出了新的挑战：如何降低查询的复杂度、提高查询效率、确保关键信息的安全性。目前，XML文档访问控制的方法可分成三大类[1]：文档粒度的访问控制算法、基于视图的算法、依赖XML数据库自身安全支持的方法。上述三类均存在缺陷：文档级别算法，访问控制的粒度太粗；基于视图的算法，视图的建立和维护成本太高；依赖XML数据库自身安全支持的方法，应用范围有限，不适用于层次数据库、关系数据库、面向对象数据库。 　　针对这些不足，出现了一种既不基于视图、也不依赖XML数据库支持的细粒度访问控制方法。Qfilter[1]将过滤器的概念应用到安全控制领域，通过对Xpath描述的访问控制规则构造NFA不确定性自动机，过滤不符合安全策略的查询。然而，Qfilter没有给出访问规则的具体描述形式，也没有对情景因素提供支持。本文在Qfilter的基础上，进一步改进过滤器，采用感知情景因素的RBAC扩展模型，使用XML[4]来描述安全策略，从而增强了系统的可维护性和通用性。另外，结合学校背景下的学生综合信息查询系统，建立过滤系统，通过对查询语句的过滤和改写，实现查询优化。 　　 　　2 系统架构 　　 　　本系统属于预处理性的过滤器，在查询语句执行前，除去不符合访问控制策略的查询。系统主要包含XML策略库、策略分析器、核心过滤器、Xpath解析器组件（如图1）。用户输入的查询条件经过Xpath查询解析器解析，到达核心过滤器，立即触发执行NFA不确定性自动机。自动机过滤掉不符合策略的查询并通过改写查询，输出安全的查询。