20、基于属性图的方法与XML文档关系保护模型

基于属性图的方法与XML文档关系保护模型

在当今数字化信息共享的时代，安全地在不同组织间共享信息以及保护XML文档中的敏感数据关系变得至关重要。下面将详细介绍基于属性图的信息共享方法以及用于保护XML文档中实体关系的新模型。

基于属性图的信息共享方法

在信息共享场景中，为了确保外部组织用户在访问内部资源时遵守内部安全策略，提出了基于属性图的方法。该方法的核心前提是，若外部主体拥有与内部主体在某种程度上相似的属性，就允许其访问组织的内部资源，本质上是将组织内的安全策略映射到基于凭证的策略上。

属性选择与需求确定

在实际应用中，对于拥有资源访问权限的内部用户，他们的属性集合可能不同。以典型配置文件策略为例，假设HapSys设置了ρ = 0.5×|Up|。若有10个用户具备所需权限，那么ρ = 5，所选择的属性可能包括ga1、ga2、ga3、ga4、la1、la2和ia1，具体对应的属性为学位、就业状态、工作经验年限、认证、角色、群组和姓名。

属性转换为凭证需求

并非所有属性都适合外部用户，因此需要将通用属性、身份属性和本地属性转换为可在凭证中呈现的外部属性。
- 通用属性 ：通用属性值可由任何个体持有，通常无需转换。若凭证包含该属性且属性值在要求范围内，外部用户即可访问资源。但当属性名称和值范围并非全球统一时，可能需要借助本体来翻译属性语义。
- 身份属性和本地属性转换 ：有三种转换选项。
- 要求属性 ：要求外部用户提供正确形式的身份或群组属性，但不要求特定值，任何有效凭证