（计算机应用技术专业论文）面向saas的上下文感知数据过滤模型与匹配算法研究.pdf

浙江大学硕士学位论文 摘要 摘要 软件即服务( s o f t w a r ea sas e r v i c e ，s a a s ) 以网络为载体、以云计算为依托 为用户提供软件租赁服务，具有价格低廉、部署迅速和配置灵活的特点，是未来 软件业发展的重要方向。 由于s a a s 模式通过开放的因特网或广域网向用户提供服务，数据面临的安 全威胁远高于传统软件运行模式。论文基于s a a s 中常用的多用户共享数据库模 式，研究s a a s 应用下数据安全和数据过滤，包括基于动态策略的上下文感知数 据过滤模型，快速有效的上下文匹配算法等。 论文首先提出了一个面向s a a s 的上下文感知数据过滤模型，模型包括一个 策略制定和匹配执行的过程，具有动态可配置的特点。模型中给出了上下文属性、 数据属性的形式化定义，同时提出了上下文判定、过滤规则及过滤策略的概念。 上下文判定用于对场景上下文进行匹配，以筛选适用的过滤规则；过滤规则构成 了数据过滤执行的依据；过滤策略确定了上下文判定与过滤规则间的推导关系。 在上述数据过滤模型的基础上，论文为上下文判定的过程提出了两种匹配算 法，分别是基于策略树的遍历匹配算法和基于等价链的有序匹配算法。前者利用 有向树结构，以树的非叶节点表示上下文原子判定，采用前序遍历方法实现了策 略树中上下文的匹配；后者以节点链的形式表示策略，根据上下文判定的匹配失 败率对其排序，并利用等价链避免判定的重复匹配，提高了上下文匹配的效率。 接着，论文分析了数据过滤的关键过程，将过滤规则分为增加规则和删减规 则两类，并讨论了两类过滤规则间出现冲突的情况，提出了利用数据属性来检测 潜在的冲突，再利用过滤规则权重解决冲突的方法。 最后，论文设计了一个面向s a a s 的数据过滤系统，实现了上述的模型。系 统以x m l 格式存储策略，以s q l 存储过滤规则，实现了动态细粒度的数据过滤。 关键词：软件即服务( s a a s ) ，数据过滤，动态策略，上下文感知，过滤规则， 匹配算法 浙江大学硕士学位论文 a b s t r a c t s o f t w a r ea sas e r v i c e ( s a a s ) ，r e l y i n go nt h ec l o u dc o m p u t i n g ，c o u l dp r o v i d e s e r v i c ef o rm u l t i p l et e n a n t sv i ai n t e r n e ta tal o w e rp r i c e ，b u tq u i c k e rd e p l o y m e n ta n d h i g h e rc o n f i g u r a b i l i t y ，w h i c hm a k e ss a a sar e p r e s e n t a t i v ef o rf u t u r e ss o f t w a r e s i n c em u l t i p l et e n a n t ss h a r ea c c e s st os a a sv i ai n t e r n e t , t h e r e sah i g h e rs e c u r i t y t h r e a tt os a a st h a nt r a d i t i o n a lo n e b a s e do nt h es h a r e dd a t a b a s em o d e li ns a a s ，t h e t h e s i sg i v e sar e s e a r c ho nd a t as e c u r i t ya n dd a t af i l t e r i n g ，i n c l u d i n gac o n t e x t - a w a r e d a t af i l t e r i n gm o d e lo nt h eb a s i so fd y n a m i cs t r a t e g i e s ，a n dq u i c ka n de f f e c t i v ec o n t e x t m a t c h i n ga l g o r i t h m s a tf i r s t ，t h et h e s i sp r o p o s e sas a a s - o r i e n t e dc o n t e x t - a w a r ed a t af i l t e r i n gm o d e l ， w h i c hc o n s i s t so ft w op h a s e s ：s t r a t e g ym a k i n ga n ds t r a t e g ye x e c u t i o n t h em o d e l p r o v i d e ss u p p o r tf o rd y n a m i ca n dh i g hc o n f i g u r a b l ed a t af i l t e r i n g f o l l o w i n gt h e f o r m a ld e f i n i t i o n so fc o n t e x ta n dd a t ap r o p e r t y , t h em o d e lp r o v i d e st h ec o n c e p t so f c o n t e x td e c i s i o n ，f i l t e r i n gr u l ea n d f i l t e r i n gs t r a t e g y c o n t e x td e c i s i o ni su s e dt om a t c h c o n t e x tv a l u ef o rs e a r c h i n gc o r r e s p o n d i n gf i l t e r i n gr u l e s ；f i l t e r i n gr u l ec o n d u c t sh o w d a t af i l t e r i n gi se x e c u t e d ；f i l t e r i n gs t r a t e g yb u i l d sm a p p i n gb e t w e e nc o n t e x td e c i s i o n s a n df i l t e r i n gr u l e s b a s e do nt h ed a t af i l t e r i n gm o d e l ，t w om a t c h i n ga l g o r i t h m sa r ep r o p o s e df o rt h e c o n t e x tm a t c h i n g 。t r a v e r s i n ga l g o r i t h mb u i l d ss t r a t e g yt r e ew i t hn o n l e a fn o d ea s c o n t e x ta t o m i cd e c i s i o n ，a n dt r a v e r s e st h ew h o l et r e ei np r e o r d e rt om a t c hc o n t e x t s e q u e n t i a la l g o r i t h mp r e s e n t ss t r a t e g i e sw i t hn o d e sl i s t , s o r t st h ea t o m i cd e c i s i o n s a c c o r d i n gt ot h e i rm a t c h i n gr a t e ，a n du s e se q u i v a l e n tl i n kt o e l i m i n a t er e d u n d a n t c o n t e x td e c i s i o n s t h es e q u e n t i a la l g o r i t h mc o u l dg r e a t l yi m p r o v et h ee f f i c i e n c yo f m a t c h i n gp r o c e s s n e x t , a na n a l y s i so ft h ek e yp r o c e s sf o rd a t af i l t e r i n gi sp r e s e n t e d f i l t e r i n gr u l e s a r ec l a s s i f i e di n t oa d dr u l e sa n dd e l e t er u l e s ，a n dt h ep o t e n t i a lc o n f l i c tb e t w e e nt h e s e t w ok i n d so fr u l e si sd i s c u s s e d f i n a l l y , t h et h e s i sp r o p o s e saw a yt od e t e c tp o t e n t i a l c o n f l i c tu s i n gd a t ap r o p e r t ya n da v o i di tw i t hr u l ew e i g h t n 浙江大学硕士学位论文 a b s t r a c t a tl a s t , w ed e v e l o pad a t af i l t e r i n gs y s t e mb a s e do nt h em e n t i o n e dm o d e l i nt h e s y s t e m ，s t r a t e g i e sa r es t o r e di nx m lf o r m a t ，a n df i l t e r i n gr u l e sa r es t o r e da ss q l t h e s y s t e mc o u l db eu s e dt op r o v i d ed y n a m i cf i n e g r a i n e dd a t af i l t e r i n g k e y w o r d s ：s a a s ( s o f t w a r ea sas e r v i c e ) ，d a t af i l t e r i n g ，d y n a m i cs t r a t e g y , c o n t e x t - a w a r e , f i l t e r i n gr u l e s ，m a t c h i n ga l g o r i t h m 浙江大学硕士学位论文图目录 图目录 图1 1s a a s 中的多用户数据模型3 图1 2 专用用户数据库。3 图1 3 数据库共享但模式独立4 图1 4 论文结构8 图2 1s a a s 的总体架构1 1 图3 1 数据过滤模型1 7 图4 1数据过滤流程2 7 图4 2 策略树的创建2 9 图4 3策略树匹配的框架结构3 0 图4 4 策略集的线性遍历3 2 图4 5 将选择运算分解后的初始策略序列3 3 图4 6 按策略中原子判定数目排序后的策略序列3 4 图4 7 对策略内部排序之后的策略序列3 4 图4 8 加入等价链后的策略序列3 5 图4 9 策略总数变化时算法的构造时间和匹配性能对比3 7 图4 1 0 上下文原子判定总数变化时算法的构造时间和匹配性能对比3 8 图5 1全局数据集与默认数据集4 1 图5 2 增加规则作用于默认数据集4 2 图5 3 删减规则作用于默认数据集4 2 图5 4 过滤规则间的冲突4 4 图5 5 过滤规则冲突检测与处理流程4 5 图6 1钱塘权限管理中间件平台的总体架构4 8 图6 2 数据过滤系统的体系结构5 0 图6 3 数据过滤系统的模块设计51 图6 4 上下文模型类与策略存取5 3 图6 5 上下文匹配类和过滤规则冲突检测5 4 图6 6 策略分类与策略管理平台5 5 图6 7c r m 实例的策略制定过程一5 6 图6 8c r m 实例的策略制定过程二。5 7 图6 9c r m 实例的策略制定过程三之一5 9 图6 10c r m 实例的策略制定过程三之二6 0 图6 1 1c r m 实例的策略制定过程四6 2 图6 1 2c r m 实例的策略制定过程五。6 4 i 浙江大学硕士学位论文表目录 表目录 表4 1匹配算法的各项参数设计3 6 i v 浙江大学研究生学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得逝鎏盘堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文作者签名：兹铆牡签字日期：砂细年月夕日 学位论文版权使用授权书 本学位论文作者完全了解逝壅盘堂有权保留并向国家有关部门或机 构送交本论文的复印件和磁盘，允许论文被查阅和借阅。本人授权逝姿盘鲎 可以将学位论文的全部或部分内容编入有关数据库进行检索和传播，可以采用影 印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：彭荭抹 导师签名： 芝起 签字日期：f 。年月( ) 日签字日期：p 年了月； 日 浙江大学硕士学位论文 第1 章绪论 第1 章绪论 1 1 研究背景和意义 信息化建设的深入与广泛推进，使得信息系统中的信息量呈指数级别爆炸式 增长，过滤无用数据，只展示当前场景相关信息的需求日益迫切。数据过滤是实 现上述需求的有效方式，它不仅便于人们迅速地获取个性化( o n d e m a n d ) 信息， 更是用来保证数据安全的重要手段。这一技术要求在新兴的s a a s ( s o f t w a r ea sa s e r v i c e ，软件即服务) 应用中表现得更为明显。s a a s 作为一种通过网络、采用在 线租赁方式提供服务的新型软件应用模式，由于其特有的单实例多租户特性，对 数据过滤的实现提出了更高的可配置性要求。 1 1 1s a a s 产业的兴起 s a a s 是s o f t w a r ea sas e r v i c e ( 软件即服务) 的简称，它是一种利用i n t e m e t 提供软件服务的模式和运作平台。在s a a s 模式中，用户无需再购买软件、配置 服务器和聘请专业的i t 技术人员，而只需向s a a s 服务提供商租用相关软件和服 务，就能随时随地通过网络对企业的经营活动进行管理。随着硬件、虚拟化和云 计算技术的逐步成熟，s a a s 正成为未来软件服务化的主要表现形式。与传统的软 件经营模式相比，s a a s 具有价格低廉、部署迅速和配置灵活的特点。 s a a s 产业的兴起建立在长尾理论的基础之上，并利用规模经济实现了收益 的最大化。复杂的企业软件开发过程中，需要针对不同客户的需求进行定制，可 能包括现场安装、上门服务等，通常还需要专门的服务器硬件和支持人员来对其 加以管理。提供上述专门服务的成本会一定程度上增加供应商销售软件的最低成 本，因此，这种软件通常面向大型企业，只有大型企业才有实力来支付专f - j ) l 务。 不过，相对于购买企业解决方案的大型企业数量而言，有着同样需求的中小型企 业的数量要多得多，但他们却难以承担高昂的成本。 s a a s 供应商利用规模经济效益将客户的硬件和服务需求加以整合，就能提供 浙江大学硕士学位论文 第1 章绪论 比传统厂商价格低得多的解决方案，这不仅减轻了财务成本，而且大幅减少了客 户增加i t 基础设施建设的需要。因此，s a a s 供应商能面向全新的客户群开展市 场工作，而这部分客户是传统解决方案供应商所无力顾及的，因为他们根本就没 办法为这部分客户提供低价格的服务。 在经济学上，规模经济的定义是指在一定科技水平下生产能力的扩大，使长 期平均成本下降的趋势，即长期费用曲线呈下降趋势。如果相同应用由各家客户 进行本地安装，就要求每家客户为该应用提供专门的服务器，在负载平衡和可用 性要求高的情况下，甚至可能需要不止一台服务器。因此，s a a s 模式比传统模式 更能实现成本节约，对于高可扩展性的s a a s 应用来说，随着客户的增多，单个 客户的运营成本会不断降低，而与此同时，供应商则通过规模效应，利用更低的 成本来为客户提供更高质量的服务。因此，即使考虑到s a a s 供应商所需的硬件 和专业服务成本，s a a s 客户仍能以相同的成本实现更高的软件功能。 目前，s a a s 在欧美等信息化应用发达地区已经被广泛接受。据g a r t n e r 预测， s a a s 的收入将从2 0 0 8 年的6 6 亿美元增加到9 6 亿美元，并将持续增长到2 0 1 3 年， 届时全球的s a a s 销售收入有望达到1 6 0 亿美元。相较于其他应用，s a a s 模式的 c r m ( 客户关系管理) 已经占据了广泛的市场，介于市场总量的9 至3 3 之2 间。 其中，s a l e s f o r c e t o m 在短短8 年的时间里已经成长为一个在s a a s 领域具有5 亿 美元资产和5 0 亿市值的c r m 软件公司。在全世界的2 1 4 8 万个公司拥有超过5 0 11 万个用户，并以每年8 0 的速度增长，客户满意度高达9 7 。 而对于国内市场，据易观国际预测，2 0 0 8 年我国s a a s 市场规模为1 6 1 亿元， 而2 0 11 年预计将达5 2 8 亿元，市场增长率为6 3 5 。 1 1 2s a a s 应用的挑战 1 1 2 1s a a s 多用户数据模型 s a a s 中数据不存于本地，且拥有单一代码库，多应用实例的特性，为适应大 批量用户不同定制的需求，当前的s a a s 应用采用的多用户数据模型主要有专用 数据库，数据库共享但模式( s c h e m a ) 独立以及数据库共享且模式共享三种形式， 图1 1 体现了s a a s 中数据存储从完全隔离到完全共享的不同架构。 2 女学学谁文第1 $ 绪论 l s o l a t e d 图1l s a a s 中的多用户数据模型 1 专用用户数据库 完全隔离数据的方法就是为各租户提供专用的数据库( 图l2 ) 。如果有新租 户加入，就创建新的标准默认数据库，租户可根据需要任意扩展自己的数据库， 而不会影响到其他租户。这种方法适用于对数据隔离要求很高的客户，例如银行 和医疗记录管理等领域。 o oo t e n a n t 1 3 2 t e n a n t 6 8 0 t e n a n t 4 7 1 1 图1 2 专用用户数据库 此方法的主要优点是具有高安全性，对从非s a c s 应用转向s a a s 应用也较容 易实现适合于系统较复杂对安全性需求高数据扩展要求多，价格也相应较 高的s a a s 应用。由于一台服务器只能支持一定数目的数据库，专用数据库模式 的主要缺点是消耗的硬件资源较大，基础设施成本高，不适合价格低廉的s e a s 应用，很难利用规模效应来降低成本，因此也不容易吸引大量用户。 2 数据库共享但模式独立 数据库中的模式( s c h e m a ) 指的是一系列数据库对象的集合，包括表、视图、 索引、存储过程等，一个模式关联到一个用户，作为用户的操作空间。模式可以 在创建用户时显式地分配，也可以由系统默认分配。在数据库共享但模式独立的 架构下( 图l3 ) ，不同的租户使用同个数据库，但每个租户的数据都存储在独 立的模式内，数据操作也只作用于各自的模式，实现了租户间的数据隔离。新租 浙扛掌酿学位论文# i 章绪论 户加入时，无需为其创建新的数据库，只需在原有的数据库内为其划分新的模式 椭眦驼霞鲫 孽震 哐薹 圈1 3 数据库共享但模式独立 此方法的成本要大大低于专用数据库方法，因为单个数据库引擎可支持大量 客户。但这种方法数据安全性要低于专用数据库，且在各租户需求相似时，存在 表结构大量重复的问题，同时单个数据库里的表过多时就需要对数据库进行分 区，系统复杂度提高。 3 数据库共享且模式共享 完全共享数据的方法是所有租户共享同一个数据库和模式，一个新租户加入 时几乎无需对数据库做任何更改。不同租户的数据麸存于同一个数据表内，利用 租户i d 字段将不同的记录与不同的租户相关联。 这种方法在提供服务方面具有很大的成本优势，基于数据库本身的多用户支 持特性，在租户数量不断扩大的情况下，通过创建新的数据库，能最大化地利用 数据服务器资源。而且无需为不同租户分配模式，数据库的管理也相对轻松。但 这种方法的数据安全性相对较低，由于需要在数据表中以某个字段( 租户i d 等) 来对不同租户的记录予以区分，数据库新增、索引、更新、检索记录等都变得更 浙江大学硕士学位论文第1 章绪论 为复杂。这种方法价格最为低廉，适合对安全性要求不高的客户。 但是，安全性是中小企业用户在面对s a a s 时首要考虑的问题，无论s a a s 服 务以何种低廉的价格提供，如果用户数据的安全无法得到保证，s a a s 应用也难以 推广并规模化。因此，上述的三种数据模型都必须以保证基本的数据安全为前提， 才能在s a a s 中进行实际应用。而数据过滤是实现数据安全的重要手段，通过为 不同的用户指定其可操作的数据范围，过滤可以实现对数据的细粒度访问控制， 进而保证数据安全。 1 1 2 2s a a s 数据模型对数据过滤的挑战 上文的三类数据模型对s a a s 中数据过滤的实现提出了不同的挑战。 其中，用户专用数据库的模型为每个租户建立了单独的数据库，因此不存在 针对不同的租户实施数据过滤的需求。但如同许多应用中一样，业务层面往往要 求在单个租户的系统中，能根据用户属性或系统环境等对数据的访问进行细粒度 的控制，例如随着用户级别的升高，其可操作的数据量也会随之增大。 在数据库共享但模式独立的数据模型中，首要的一步过滤是将不同的租户分 配到不同的模式中，数据库能直接实现此功能。在此基础上，该模型也提出了细 粒度数据控制的需求。 在数据库共享且模式共享的情况下，数据过滤不只提供细粒度的数据控制， 也是保证各租户数据彼此独立的关键。由于不同租户的数据存储于同一张表中， 租户i d 成为了判断数据归属的重要依据。而s a a s 特有的单实例多用户架构，使 得租户i d 成为了用户属性的一个方面，由此，如何利用用户属性等操作上下文 对数据进行过滤成为了保护s a a s 数据安全的关键。 此类过滤需求在一些以数据为主导的系统中体现得最为明显，例如企业级的 客户关系管理( c u s t o m e r r e l a t i o n s h i pm a n a g e m e n t ，c r m ) 系统中，就存在大量对 数据的细粒度控制需求，下面给出一个s a a s 模式c r m 服务中数据控制的典型实 例，为论文中逐步呈现数据过滤方案提供框架。 某企业名下有两家分别从事酒店业和旅游业的分公司，总公司在s a a s 服务商 处定制了两套不同的c r m 系统，以匹配各分公司的业务。作为s a a s 服务供应商， 浙江大学硕士学位论文第l 章绪论 必须满足分公司及总公司用户的如下需求： 1 ) 在一般情况下，各分公司只能访问自己的c r m 系统，不能访问其他分公司的 数据。即旅行社无法看到酒店相关的客户数据，酒店也无法访问旅行社的客 户数据，在多用户共享数据库的模式中，采用租户属性字段对各租户的数据 进行隔离是较为常用的手段。 2 ) 旅行社的导游可以查看自己带团的团员资料( 人数、年龄、健康状况等) ，但 不可以查看其他旅行团的资料。此需求主要是出自对客户隐私的考虑，虽然 导游需要相关的客户信息以保证活动的正常展开，但客户的健康状况等内容 是个人隐私的一部分，应尽可能地予以保护。此处是一个涉及数据粒度控制 的需求。 3 ) 酒店的客户资料是部分公开的，高层管理者可以查看客户的详细资料，而其 他人员只能查看客户基本信息( 姓名、房号等) 。同样以保护客户个人隐私为 出发点，这是一个动态数据粒度控制的需求，根据用户的级别，对其可查看 的数据范围予以限定，等级越高的用户，其可查看的数据范围越大，同样， 等级越低的用户，其可查看的数据范围越小。 4 1 在特定情况下，总公司的经理允许访问各分公司的c r m 系统，并用动态设定 的策略来限制其可访问的数据范围。在层次结构明显的企业或组织中，按不 同的层次来限制可访问的数据范围极为常见。上一层次的用户可见的数据应 大于或等于下一层次的用户可见数据的总和，在此需求中，总公司的高层可 以在特定条件下查看分公司的客户数据，起到一个实时监管的作用。 5 ) 分公司间需要不定期的互访，由策略进行约束，如某分公司的高层管理者只 允许在每月末查看其他分公司的客户统计等。目前的s a a s 系统大多只将租户 的数据隔离列入数据安全的考虑范围，而没有考虑到数据隔离的同时，相关 租户间可能存在的数据互访需求。 在后续的章节中，论文的数据过滤模型将以实现这些典型的数据过滤需求为 目标，对数据过滤中的关键过程进行分析并给出相应的解决方案。 6 浙江大学硕士学位论文第1 章绪论 1 2 课题背景和研究内容 论文涉及的课题背景是浙江大学中问件技术工程研究中心与恒生电子股份 有限公司共同承担的国家发改委信息安全专项产品产业化专项：钱塘权限管理服 务中间件产业化。项目的总体目标是为企业应用软件提供统一集中、方便高效的 认证、登录、授权、责任认定安全服务，力求解决目前困扰我国企业应用软件领 域的权限管理混乱、开发维护成本高等问题。项目的具体目标是融合行业知识， 面向金融、证券、交通、国防、电力等高端大型企业级应用的权限服务中间件。 项目针对高端大型企业应用异构、海量、分布、高效的安全数据处理要求，研制 高性能权限服务安全中间件。 在上述项目目标指导下，钱塘权限管理中间件采用了多租户的s a a s 应用模 式，通过r b a c ( 基于角色的访问控制，r o l e b a s e da c c e s sc o n t r 0 1 ) 【2 】模型实现 基础的权限控制，并使用p m i ( 权限管理基础设施) 构架为企业级用户提供权限 管理服务。 由于s a a s 应用中特有的单实例多租户特性，对数据安全的实现提出了更高 的可配置性要求，而r b a c 模型主要依靠主体的标识来实现对数据的保护，在权 限控制时没有考虑执行的上下文环境，无法通过操作的场景上下文( 例如当前用 户所属的租户、用户的级别、操作的时间等) 来对数据进行动态的控制，因此， 针对s a a s 中共享数据库的多用户数据模型，论文提出了一个面向s a a s 、基于动 态策略的上下文感知数据过滤模型，给出了上下文判定和过滤规则的概念，并充 分考虑了多上下文关联匹配的问题，可以有效地根据动态策略实施细粒度的数据 过滤，进而保证了s a a s 中数据控制的可配置性。 1 3 论文结构 论文结构组织如图1 4 所示： 7 浙江大学硕士学位论文 第1 章绪论 图1 4 论文结构 1 第二章介绍了本课题的研究现状，分别就s a a s 模式的研究现状以及上下 文感知的数据过滤的研究现状进行了阐述，并重点分析了s a a s 系统中可配置性 在数据安全方面的需求。 2 第三章提出了面向s a a s 的上下文感知数据过滤模型，建立了上下文属性 和数据属性的形式化模型，并在上下文属性的基础上，定义了上下文判定的形式 化表达，以及基于数据属性的过滤规则的形式化描述。进而给出了由上下文匹配 导出相应的过滤规则的策略表达。同时，针对c r m 系统的用户需求，给出了相 应的数据过滤策略模型。 3 第四章提出了适用于上下文匹配的两个算法，分别是基于策略树的遍历 匹配算法和基于等价链的有序匹配算法，前者以有向树的形式对策略集进行遍历 匹配，后者利用上下文判定中出现的重复的原子判定及匹配失败率定义，引入了 等价链的概念，提高了策略匹配的效率。最后，对上述算法进行了实验，对算法 8 浙江大学硕士学位论文第1 章绪论 执行结果进行了比较和分析。 4 第五章介绍了过滤规则执行的关键过程，在上下文匹配之后，适用当前 场景上下文的数据过滤规则已经被放入待执行的过滤空间中。本章对各规则的适 用情况进行了分析，将规则按其特性分为“增加规则”和“删减规则”，以区别 其对用户可见数据集的影响；进而提供了一个基本的规则冲突检测流程，并利用 规则的优先级对其执行过程中的冲突予以解决。 5 第六章介绍了本课题的原型系统数据过滤系统的应用背景与架构， 并结合具体的架构实施图，给出了其详细实现和模块类图，并以s a a s 模式下的 c r m 系统为例，以x m l 格式表达过滤策略，以动态s q l 形式表达过滤规则， 实现了c r m 系统的数据过滤需求。 6 第七章对论文主要工作做了总结，以及对以后的工作进行了展望。 9 浙江大学硕士学位论文第2 章s a a s 研究现状 第2 章s a a s 研究现状 上一章介绍了论文的研究背景及s a a s 产业的现状，并对s a a s 模式带来的机 遇与挑战进行了分析，本章主要对s a a s 应用中的具体架构、可配置性需求方面 的研究现状进行阐述，对上下文建模、上下文感知和数据过滤技术的研究现状进 行了调研。 2 1s a a s 架构与数据安全研究现状 s a a s 基于一台服务器上的单个应用实例，同时为多家客户提供服务的模式， 决定了s a a s 所采用的是单实例多用户构架。以下将从s a a s 架构特点、s a a s 可配 置性两个方面对相关的研究进行阐述。 2 1 1s a a s 架构 s a a s 模式采用的单实例多用户架构，要求成熟的s a a s 应用应具有可扩展性、 多用户高效性以及可配置性三大特点【3 ，4 1 。 其中，可扩展性是指在原有设计之上，允许更多的功能在必要时被添加到适 当的位置，或在硬件条件扩展的基础上获取更优的性能，以便更高效地利用应用 资源。 多用户高效性对传统独立的单用户应用而言，是一种挑战。在s a a s 模式下， 某公司的用户使用在线c r m 存取客户信息时，该c l 洲可能同时还在为其他数十 家，甚至是几百家公司的用户提供服务，各用户之间彼此隔离。这就要求s a a s 架构能够将不同用户问的资源共享最大化，不过仍要区分属于不同客户的数据。 而可配置性意味着在单个应用实例同时服务于多个客户的情况下，无法针对 某个最终用户的使用体验编写定制代码，因为一旦针对某个客户定制了具体应 用，就会改变其他用户的体验。因此，s a a s 不是在传统的意义上进行应用定制， 而是让每个客户用元数据【5 】配置应用的外观和行为。 l o 浙江大学硕士学位论文第2 章s a a s 研究现状 图2 1 展示了基于元数据配置的s a a s 总体架构。其中，进程服务( p r o c e s s s e r v i c e s ) 给出了智能客户端( s m a r tc l i e n t ) 及网络供应层可调用的界面，并启 动同步工作流程，或开始耗时较多的事务处理，以调用其他商业服务( b u s i n e s s s e r v i c e s ) ，与各处的数据存储进行互动以读写商业数据。 m e t a d a t af i l es y s t e md a t a b a s e s 图2 1s a a s 的总体架构 而整个s a a s 架构是基于元数据服务的，元数据主要负责对不同用户的应用 配置进行管理。服务、智能客户端和元数据相互协作，用以检索并描述不同用户 的配置及扩展信息，并将其展示在最终用户面前。 2 1 2s a a s 可配置性 对可配置性的支持是所有s a a s 应用取得成功的关键，可配置性允许s a a s 的 单实例多用户模型以按需定制的形式呈现给用户，而这无疑有助于s a a s 应用的 市场推广，能同时给服务提供商和s a a s 用户带来很大的收益【6 】。 可配置性在s a a s 应用中的实现是通过向用户提供一系列配置选项和功能一开 关来实现的，以元数据的形式进行存储。因此，尽管基于相同的代码，s a a s 用 浙江大学硕士学位论文第2 章s a a s 研究现状 户仍可以通过配置来创建独特的操作体验。 以下列举了s a a s 应用中应满足的可配置性分类： 用户界面 用户界面的可配置性允许用户自定义界面主题、颜色和图片等，以营造和用 户偏好或企业文化一致的风格。这一功能可通过提供不同的界面控件来实现。 工作流 为了能向各类潜在客户提供服务，以任务为核心的s a a s 应用必须满足不同 工作流程的需要。在实际应用中，即使是同类的任务，其在各企业内的流程也 大不相同，s a a s 中通过对工作流各环节的配置，实现对其应用行为的管理。 数据 数据是所有s a a s 应用的核心，可以说，s a a s 是由数据驱动的。各租户的数 据模型定义不尽相同，而这正是s a a s 数据可配置性关注的内容。在为通用的数 据需求提供统一的接口支持之外，s a a s 应用还需为用户提供数据扩展，例如以名 称值对的形式存储用户特有的数据等。 访问控制 s a a s 应用的每一个租户都可能拥有大量的终端用户，由租户自行为这些终端 用户创建帐户，并定义其访问资源或执行功能的权限，是访问控制可配置性的主 要内容。与此同时，s a a s 应用还需处理多级别的访问控制配置，这是由企业或组 织的层次结构所决定的。 2 1 3s a a s 数据安全 在任何软件系统中，安全性都是至关紧要的。而s a a s 本身的特性也决定了 其数据安全是客户的最大关注点，也是s a a s 架构设计中优先考虑的重点。 与传统软件类似，认证和授权机制奠定了s a a s 应用安全性的基础。在向大 型或内部人事结构较为复杂的企业提供服务时，s a a s 服务供应商通常将创建及维 护用户帐户的权利分发给客户，由客户负责为内部人员创建不同的用户帐户，指 派其不同的安全等级及访问控制权限，而s a a s 供应商负责为这些帐户提供认证 服务。 1 2 浙江大学硕士学位论文第2 苹s a a s 研冗现状 通常，s a a s 应用中的数据、资源和功能的存取控制都采用“角色”【2 】来进行 统一管理，角色的概念与企业内部的职责相映射。每个角色都被赋予一项或多项 “许可”，因此，分配到该角色的用户就能对相应的数据、资源执行一定的操作， 这些操作直接对应于业务功能或应用管理本身。 在实现基本的认证和授权功能的基础上，s a a s 中的数据安全同样必须具备高 可配置性。这要求s a a s 应用根据不同粒度的安全策略来对资源和操作进行更精 确的控制，这些策略规定了在数据访问或操作执行前必须满足的条件，如限定某 个操作只能在正常办公时间内执行，或限定转帐金额不得高于某个数额。s a a s 的 数据安全由配置域进行统一管理，根据各域间层次关系，配置域可以继承上级配 置域的角色、许可和安全策略，并可对其进行修改、添加和删除。 在成熟的s a a s 应用中，实现数据安全的同时，应向所有客户提供策略配置 的功能，并允许不同用户通过直观易用的界面定制这些策略或创建更多策略。 2 2 上下文和数据过滤研究现状 本节分别就上下文建模、上下文感知和数据过滤技术的研究进行阐述。 2 2 1 上下文建模 上下文是普适计算t g l q 丁的一个概念，是指包括用户自身在内的计算环境中可 能对交互过程产生影响的各种因素f 8 一。上下文信息的概念十分广泛，可以是具体 的简单环境信息，如时间、位置、系统负载、网络状况等，也可以是抽象的概念 如信任管理中的信任级别等【1 0 1 1 1 。 上下文建模的目的是描述用户所处的环境或场景，在构建上下文感知系统时 具有十分重要的作用，以下就几种上下文模型分别进行介绍【1 2 】： 键值对模型：键值对 1 3 ，h 壤早应用于操作系统领域，例如环境变量。早期系 统也经常利用键值对表示上下文模型，虽然键值对简单易实现，但在表达复 杂上下文时较为繁琐，甚至无法精确描述。 标记配置模型：标记配置模型【1 5 ，1 6 】利用具有层次结构的标记语言表达上下文 信息，例如x m l 或r d f 。与键值对相比，标记配置模型能更为方便且精确 浙江大学硕士学位论文第2 章s a a s 研究现状 地描述上下文信息的类型及数据结构，但上下文信息间的关系仍难以通过标 记配置模型定义。 图模型：图形上下文建模语言c m l 以对象一角色模型( o r m ) 为基础，针 对上下文信息的特点作了一定修改和扩展，具有直观、表达力强等优点。 面向对象模型：面向对象的建模方法可以应用在上下文感知计算的多个层次 上，如在项目t e a 1 7 】中使用c u e 作为传感器的抽象。c u e 借鉴面向对象的思 想，屏蔽了底层传感器的信息采集细节及原始上下文信息的处理解释过程， 从而向上层提供更易使用和理解的接口。 逻辑模型【1 8 】：形式化是逻辑模型最大的特点，在基于逻辑的上下文模型中， 上下文信息通常被表示为一系列的定理、公式和规则。 2 2 2 上下文感知 上下文感知可以通过多种途径实现，但这些途径往往依赖于特定的环境和条 件，如可能的用户数量( 单用户或多用户) ，传感器的位置( 本地或远程) ，当前 设备可获取的资源( 固定主机或移动设备) 等，因此需要根据应用实现的细节来 设计不同的上下文感知方案。在现有的研究中，有三类常用的上下文感知计算的 系统结构： 直接访问传感器 此方法通常用于内嵌有传感器的设备，客户端软件想要的信息能直接从这些 传感器中收集到。这种紧耦合的方法只能在很少的情况下使用，由于缺少对多个 并发的传感器访问进行管理的机制，不适合新兴的分布式系统。 基于上下文服务器 这种方法在多个客户端访问远程的数据资源时，引入了一种对远程组件访问 的管理机制。由这个上下文服务器来执行收集上下文的工作，允许多个的并发访 问。使用上下文服务器的一个优点是缓解了客户端对密集型资源的操作。 基于中间件的上下文感知服务 基于中间件的方法在上下文感知系统中引入一种分层的结构，用于隐藏底层 的传感细节，提供所需的上下文感知服务。这种技术容易扩展，而且提高了依赖 1 4 浙江大学硕士学位论文第2 章s a a s 研究现状 于硬件的传感器代码的可重用性。 2 2 3 基于上下文的数据过滤 当前，海量的数据主要以数据库的形式进行存储，而如何高效地从这些海量 信息中获取正确的信息，不仅是一个数据安全和隐私保护的问题，更是保证数据 有效性和可用性的关键。 目前，基于上下文实现数据过滤的方法主要针对数据库系统的数据过滤展 开，以下是几种主流的数据过滤方法： 基于视图的数据过滤 基于视图的数据过滤方法 2 0 , 2 1 主要作用于关系型数据库上，其原理是：先对 单一上下文执行数据过滤，把数据过滤的结果创建为相应的视图并予以存储，接 着在多项上下文执行数据过滤时，通过视图的组合来得到最终的过滤结果，其中， 视图间允许不同的组合方式，并以操作符的方式来对其进行定义。 该方法利用视图的组合，可以较高效地获取相应的上下文过滤数据，但由于 仅支持对单一上下文进行视图映射，没有对多上下文的数据过滤需求予以支持， 例如没有考虑多个上下文条件同时满足才执行数据过滤的情况，因此并不适用于 复杂的多上下文匹配过滤的应用。 基于参数化查询的数据过滤 基于参数化查询的数据过滤方法利用数据库系统内建的对参数化查询 ( p a r e m e t e r i z e dq u e r i e s ) 的支持 2 2 1 ，利用操作场景中上下文的值来生成动态的 s q l 语句，执行数据过滤。 该方法灵活多变，可以按需动态生成各类过滤器，并且在不同的场景中，通 过给查询参数赋予不同的值，可以生成不同的过滤结果，同时，参数化查询也提 供对正则表达式等形式的模式匹配的支持。 2 3 本章小结 本章介绍了课题的研究现状，分别就s a a s 模式的研究现状以及上下文感知 的数据过滤的研究现状进行了阐述。前者分析了s a a s 系统采用的单实例多用户 1 5 浙江大学硕士学位论文第2 章s a a s 研究现状 体系架构所带来的可扩展性、多用户高效性以及可配置性要求，并重点探讨了其 中可配置性在数据安全方面的实现需求；后者在对当前