基于多中介器協(xié)作的信息集成框架*

王麗俠， 林 瑜， 韓建民, 魯劍鋒， 彭 浩

(1.浙江師范大學(xué) 行知學(xué)院,浙江 金華 321004;2.浙江師范大學(xué) 數(shù)理與信息工程學(xué)院,浙江 金華 321004)

0 引 言

異構(gòu)信息集成技術(shù)一直是數(shù)據(jù)庫領(lǐng)域研究的熱點(diǎn)，大數(shù)據(jù)時(shí)代的到來，為異構(gòu)信息的集成提出了新的挑戰(zhàn)[1].目前，比較流行的集成方法是中介器/包裝器(mediator/wrapper)方法[2-3].中介器是Wiederhold[4]在1992年提出來的，該方法不僅能夠集成結(jié)構(gòu)化的數(shù)據(jù)，也可以集成半結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù),其結(jié)構(gòu)清晰、開放性好、靈活性強(qiáng)，因此受到廣泛的關(guān)注.先后出現(xiàn)了很多基于該結(jié)構(gòu)的集成系統(tǒng)，比如：TSIMMIS[5],HERMES[6]和DISCO[7]等.

中介器是中介器/包裝器結(jié)構(gòu)的關(guān)鍵點(diǎn)，是連接用戶和數(shù)據(jù)源的紐帶，并存儲(chǔ)著全局安全策略.若其安全出現(xiàn)問題，不但不能為用戶提供正常的服務(wù)，還會(huì)泄露大量的敏感信息.因此，保障中介器的安全是極其重要的.以往對(duì)信息集成技術(shù)的研究工作主要集中在語義映射[8-9]、模式轉(zhuǎn)換[10-11]、查詢重寫和優(yōu)化[12-13]，對(duì)其安全的研究比較少.文獻(xiàn)[14]從安全的角度,比較了聯(lián)邦數(shù)據(jù)庫和中介器/包裝器集成系統(tǒng)的不同，討論了中介器在安全上的需求，但沒有給出具體的實(shí)現(xiàn)技術(shù);文獻(xiàn)[15]針對(duì)企業(yè)協(xié)作共享信息的安全問題，提出了可配置主動(dòng)對(duì)象系統(tǒng)(CHAO)，實(shí)現(xiàn)了協(xié)作計(jì)算環(huán)境下的信息安全機(jī)制;文獻(xiàn)[16]提出了一個(gè)混合PKI模型，有效保證信息的保密性和完整性，并把該模型應(yīng)用到中介器中，以提高中介器的安全性.以上工作側(cè)重研究中介器訪問數(shù)據(jù)時(shí)的數(shù)據(jù)安全問題，沒有涉及中介器本身的安全問題和容錯(cuò)問題;文獻(xiàn)[17]在設(shè)計(jì)Piazza系統(tǒng)中采用了peer-to-peer方法，解決了中介器負(fù)擔(dān)重、效率低的問題，提高了系統(tǒng)的靈活性和容錯(cuò)性，但其系統(tǒng)過于復(fù)雜，難于實(shí)現(xiàn)；文獻(xiàn)[18]提出了多個(gè)中介器協(xié)作的分層結(jié)構(gòu)，避免了單個(gè)中介器失效、系統(tǒng)崩潰的問題，系統(tǒng)描述也不復(fù)雜，但主中介器的選舉是利用初始化服務(wù)器建立的，沒有考慮到系統(tǒng)運(yùn)行的當(dāng)前狀況，也不能及時(shí)檢測和處理中介器的故障.本文從安全的角度，分析了傳統(tǒng)的中介器/包裝器結(jié)構(gòu)的不足，提出了多中介器協(xié)作的安全信息集成模型(Multi-Mediator Secure Integrity Model,MMSIM模型)，提高了中介器結(jié)構(gòu)的安全性.

1 傳統(tǒng)中介器的不足

典型的基于中介器的數(shù)據(jù)集成系統(tǒng)主要包括中介器和包裝器，如圖1所示.用戶通過全局?jǐn)?shù)據(jù)模式向中介器發(fā)出查詢請(qǐng)求，中介器處理用戶請(qǐng)求，將其轉(zhuǎn)換成各個(gè)數(shù)據(jù)源子查詢，并將各個(gè)子查詢發(fā)送給包裝器，包裝器把子查詢轉(zhuǎn)換為數(shù)據(jù)源能執(zhí)行的查詢，發(fā)送給數(shù)據(jù)源，數(shù)據(jù)源執(zhí)行相應(yīng)的查詢，并把查詢結(jié)果發(fā)送給包裝器，包裝器對(duì)查詢結(jié)果進(jìn)行包裝，轉(zhuǎn)換為全局模式，返回給中介器，中介器集成各個(gè)包裝器發(fā)送過來的查詢結(jié)果，傳遞給用戶，其過程如圖2所示.

圖1 Mediator方法的數(shù)據(jù)集成模型 圖2 查詢處理過程

從安全角度上分析，傳統(tǒng)的基于中介器的集成系統(tǒng)具有以下幾個(gè)方面的不足：

1)存在單點(diǎn)失效問題.若中心中介器失效，則整個(gè)集成系統(tǒng)就會(huì)失效，不能正常地提供服務(wù).

2)存在泄密隱患.中介器中保存了系統(tǒng)的全局安全策略，若被攻破，入侵者就可以代理中介器獲取數(shù)據(jù)源的敏感信息，同時(shí)也會(huì)獲得中介器的安全策略信息和密鑰信息，造成很大損失.

3)易受到DOS(Denial of Service)攻擊.中介器負(fù)責(zé)用戶的認(rèn)證和授權(quán)、模式映射、查詢的分解和優(yōu)化、查詢結(jié)果的集成，任務(wù)多、負(fù)擔(dān)重、效率低.當(dāng)惡意用戶大量地向其發(fā)送查詢請(qǐng)求時(shí)，就不能為合法用戶提供正常的服務(wù)，即受到了DOS攻擊.

2 多中介器安全信息集成模型——MMSIM模型

2.1 MMSIM模型的組成

定義1(MMSIM模型) 多中介器的安全信息集成模型MMSIM是一個(gè)6元組：(M,W,S,DS,AS,BS)，其框架如圖3所示.其中：

M={M1,M2,…,Mn},M≠?，M為非空有限中介器集.

W={W1,W2,…,Wt},W≠?，W為非空有限包裝器集.

S={S1,S2,…,St},S≠?，S為非空有限數(shù)據(jù)源集，且對(duì)?Si∈S,?Wi∈W,且Si對(duì)應(yīng)Wi,Mi與Wi為多對(duì)多的關(guān)系，Wi與Si為一對(duì)一關(guān)系.

DS：Detection System檢測系統(tǒng)，檢測Mi的工作狀態(tài)，判斷其是否出現(xiàn)異常.

AS：Adjust System動(dòng)態(tài)調(diào)節(jié)系統(tǒng)，接收AS的檢測報(bào)告，控制和重置異常的Mi.

BS：Blackboard System黑板系統(tǒng)，接收Mi的安全檢查信息，進(jìn)行安全審核;接收Mi的代價(jià)評(píng)估結(jié)果，進(jìn)行中介器選舉.

中介器是MMSIM的核心部件，完成查詢分解和查詢結(jié)果集成，模型中每個(gè)中介器Mi的實(shí)現(xiàn)技術(shù)和安全機(jī)制都可能不同，中介器的多樣性提高了攻破所有中介器的難度.每個(gè)Wi對(duì)應(yīng)一個(gè)數(shù)據(jù)源Di，包裝器接收中介器發(fā)送來的子查詢，發(fā)送給數(shù)據(jù)源Di，并把Di執(zhí)行子查詢的結(jié)果由局部模式包裝成全局模式，發(fā)送給相應(yīng)的Wi.數(shù)據(jù)源和包裝器一一對(duì)應(yīng)，數(shù)據(jù)源有自己的局部數(shù)據(jù)模式和局部安全策略.DS檢測所有中介器，當(dāng)發(fā)現(xiàn)某個(gè)中介器被入侵或破壞時(shí)，通知?jiǎng)討B(tài)調(diào)整系統(tǒng)AS，AS會(huì)重置該中介器，從而使原來的入侵失效.AS重新配置和更新中介器，在某些情況下，AS可以關(guān)閉、暫?；蛑刂弥薪槠?，重置中介器時(shí)，會(huì)更新中介器中的所有密鑰，并提供協(xié)作機(jī)制，用于全局安全檢查和最優(yōu)中介器的選舉.

2.2 中介器的組成

定義2(中介器) 中介器是一個(gè)4元組，Mi=(QEi，SCi，WEi，RIi).其中：

QEi為查詢分解部件，分析用戶的查詢請(qǐng)求，并根據(jù)全局模式和局部模式的映射關(guān)系及安全策略，把用戶查詢分解成相應(yīng)各個(gè)數(shù)據(jù)源的子查詢.

SCi為安全檢查部件，完成用戶的授權(quán)和身份的認(rèn)證，以及全局安全策略的實(shí)施，每個(gè)中介器都存儲(chǔ)全局安全策略，并用自己的密鑰加密.

WEi為代價(jià)評(píng)估部件，評(píng)估每個(gè)中介器完成請(qǐng)求所需要的代價(jià)，每個(gè)中介器通過代價(jià)評(píng)估模塊評(píng)估自己完成請(qǐng)求的代價(jià)，把評(píng)估結(jié)果發(fā)送給黑板.

RIi為集成部件，集成包裝器發(fā)來的查詢結(jié)果.

圖3 MMSIM框架 圖4 中介器各組成部分間協(xié)作關(guān)系

中介器各組成部分間的協(xié)作關(guān)系如圖4所示.圖4中的標(biāo)號(hào)為查詢執(zhí)行的順序.用戶的查詢發(fā)送到mediator，首先發(fā)送到查詢分解部件QEi，QEi從映射庫中提取映射關(guān)系，進(jìn)行查詢的分解，生成子查詢，子查詢發(fā)送給安全檢查部件SCi和結(jié)果集成部件RIi，RIi等待選舉結(jié)果，若被選中，則處理該子查詢，否則，放棄該子查詢.SCi從策略庫中提取全局安全策略，然后進(jìn)行安全檢查，生成符合全局安全策略的子查詢，發(fā)送給黑板和代價(jià)評(píng)估部件WEi，WEi利用自己的評(píng)估函數(shù)評(píng)估代價(jià)，并把評(píng)估結(jié)果發(fā)送給黑板，黑板進(jìn)行安全審核和中介器選舉，并激活選中中介器的結(jié)果集成部件RIi，RIi從各個(gè)包裝器中收到子查詢的結(jié)果，并集成發(fā)送給用戶，整個(gè)流程如圖4所示.

2.3 黑板模型

MMSIM中安全檢查機(jī)制和中介器選舉機(jī)制都采用了黑板模型.黑板模型[19]是一種比較成熟的協(xié)作模型，經(jīng)典黑板系統(tǒng)由3個(gè)部分組成：知識(shí)源、黑板和控制組件.基于經(jīng)典的黑板模型，根據(jù)MMSIM的需求，提出了MMSIM-BM黑板模型.

定義3(MMSIM-BM黑板模型) MMSIM-BM黑板模型是一個(gè)5元組:(I，B，CU，PU，RB).其中：

I：接口，為中介器提供了統(tǒng)一訪問黑板的接口.接口包括輸入(I_W)，輸出(I_R)兩類.中介器利用輸入類接口向黑板寫信息，其接口定義為：Write_BlackBoard(mediator_id,Write_time,Inform_Type,Content)，利用輸出類接口從黑板讀信息，其接口定義為：Read_BlackBoard(mediator_id,Write_time,Inform_Type,Content).

B：黑板，中介器讀寫的共享數(shù)據(jù)區(qū)，存放中介器需要交互的信息，中介器通過對(duì)信息的讀寫完成交互，黑板信息存儲(chǔ)的格式為：(stringmediator_id，DateTimewrite_time，stringInform_type,stringcontent).

CU：控制單元，包括安全審核部件CU_SC和中介器選舉部件CU_MS，安全審核部件根據(jù)規(guī)則庫中的規(guī)則及中介器的安全檢查結(jié)果，判定系統(tǒng)是否安全.中介器選舉部件，根據(jù)各個(gè)中介器的評(píng)估結(jié)果，選舉出最優(yōu)的中介器.

PU：權(quán)限控制單元，實(shí)現(xiàn)中介器對(duì)黑板操作的訪問控制和中介器的權(quán)限管理工作，以確保黑板和推理的安全；包括授權(quán)和認(rèn)證兩個(gè)過程，認(rèn)證可防止非法用戶訪問，中介器的訪問控制列表限制中介器可訪問的黑板區(qū)域.

RB：規(guī)則庫，存儲(chǔ)黑板決策規(guī)則.

黑板模型各部件間的關(guān)系如圖5所示.其中:下標(biāo)為操作順序號(hào);Ri描述了讀操作的過程;Wi描述了寫操作過程;Si描述了安全審核過程;Ei描述了選舉過程.

圖5 黑板各部件間的協(xié)作關(guān)系

3 MMSIM模型的安全機(jī)制

3.1 相關(guān)概念

用戶的查詢Q可形式化描述為：Q=(requester,OBJ).其中:requester為提交查詢的請(qǐng)求者;OBJ為訪問對(duì)象的集合;OBJ={objecti}，objecti為全局模式下的數(shù)據(jù)對(duì)象.

全局安全策略為一系列的訪問控制規(guī)則Ri，Ri=(Principal,Obj,Permission)，這里引入Principal作為訪問控制主體的統(tǒng)一概念，可以是MAC、DAC中的用戶、RBAC的角色，或者X.509中的證書、SDSI中的名字等；Obj為全局?jǐn)?shù)據(jù)模式下數(shù)據(jù)對(duì)象，可以采用全局模式的URI標(biāo)識(shí)；Permission為權(quán)限，Permission={yes,no}.

安全檢查的過程是生成滿足安全策略的查詢的過程，把經(jīng)過安全檢查之后的查詢定義為Qs,Qs=(requester,OBJs).其中：requester為提交查詢的請(qǐng)求者；OBJs為滿足全局安全策略的全局模式下的數(shù)據(jù)對(duì)象集.

定義4(安全檢查) 安全檢查為一個(gè)轉(zhuǎn)換函數(shù)，SCF：Q→Qs.其中：SCF為將用戶的原始查詢Q，依據(jù)全局安全策略，轉(zhuǎn)換為滿足安全策略的查詢Qs的過程.

每個(gè)中介器安全檢查都基于同一全局訪問控制策略，采用的模型和實(shí)現(xiàn)機(jī)制可以不同，這些差異增加了攻破多個(gè)中介器安全部件的難度，同時(shí)，由于全局安全策略是相同的，所以安全的情況下各個(gè)中介器安全檢查的結(jié)果應(yīng)該是相同的.

定義5(安全門限t) 安全門限t定義了系統(tǒng)為安全的最少安全中介器個(gè)數(shù)，即當(dāng)系統(tǒng)n個(gè)中介器中的t個(gè)中介器安全檢查相同時(shí)，說明系統(tǒng)是安全的.

系統(tǒng)在為用戶提供服務(wù)前，要進(jìn)行安全檢查，采用n選t策略，即n個(gè)中介器對(duì)同一個(gè)請(qǐng)求檢查結(jié)果有t(n/23t.

定義6(安全審核) 黑板系統(tǒng)依據(jù)規(guī)則庫中的規(guī)則，對(duì)各個(gè)中介器安全檢查結(jié)果進(jìn)行審核，從而判斷整個(gè)系統(tǒng)是否安全,這個(gè)過程為安全審核.

定義7(安全憑證) 安全審核部件判定系統(tǒng)為安全時(shí)，生成安全憑證，憑證格式為：時(shí)間戳+黑板私鑰加密后的時(shí)間戳.

3.2 安全機(jī)制

MMSIM模型的安全機(jī)制是通過各個(gè)中介器的安全檢查部件和黑板模型實(shí)現(xiàn)的，用戶的查詢同時(shí)發(fā)送到多個(gè)中介器上，中介器的安全檢查部件依據(jù)全局安全策略，對(duì)查詢進(jìn)行分析和安全檢查，并把安全檢查結(jié)果以定義好的格式寫到黑板上特定的區(qū)域中.當(dāng)大于t個(gè)中介器(t為安全門限)的安全檢查結(jié)果寫到黑板上時(shí)，黑板觸發(fā)控制單元的安全審核部件，依據(jù)規(guī)則庫(RB)審核這些中介器安全檢查結(jié)果，判斷是否有t個(gè)結(jié)果一致.檢查結(jié)果一致，則模型安全審核通過，生成安全憑證；否則，依據(jù)規(guī)則判定是否有中介器受到了攻擊或破壞，并調(diào)用AS系統(tǒng)進(jìn)行處理.

黑板系統(tǒng)中的規(guī)則庫提供了安全審核依據(jù)的策略，下面舉例說明，例如：有3個(gè)中介器(設(shè)為m1,m2,m3)，安全門限t為2，SCF(mi)表示中介器mi的安全檢查結(jié)果，S(M)表示模型M是安全的，B(mi)表示mi被攻擊.則

規(guī)則1(安全審核規(guī)則)

SCF(m1)=SCF(m2)∨SCF(m1)=

SCF(m3)∨SCF(m2)=SCF(m3)→S(M).

規(guī)則2(故障判斷規(guī)則)

SCF(m1)=SCF(m2)∧SCF(m1)≠SCF(m3)→B(m3).

另外，DS負(fù)責(zé)模型的檢測，它會(huì)定期向各個(gè)中介器發(fā)送查詢請(qǐng)求，并檢測各個(gè)中介器安全檢查結(jié)果是否正確.若不正確，則說明該中介器可能受到攻擊或出現(xiàn)故障，通知AS系統(tǒng)，對(duì)其進(jìn)行重置，重置時(shí)，會(huì)更新該中介器的全部密鑰，從而使攻擊失效.

為增加模型的安全性，模型具有定期黑板私鑰更新及相應(yīng)的定期公鑰發(fā)放機(jī)制.

4 MMSIM模型中介器選舉

4.1 評(píng)估函數(shù)

中介器選舉是通過中介器評(píng)估函數(shù)和黑板模型來實(shí)現(xiàn)的.評(píng)估函數(shù)的定義依據(jù)最小等待時(shí)間的策略，即用戶的等待時(shí)間最少.易知，

t查詢結(jié)果等待時(shí)間=t查詢處理時(shí)間+t網(wǎng)絡(luò)傳輸時(shí)間.

其中與t查詢處理時(shí)間有關(guān)的因素有：運(yùn)行mediator主機(jī)的性能，等待處理隊(duì)列的長度，以及該主機(jī)的可信程度.而

t網(wǎng)絡(luò)傳輸時(shí)間=t用戶與中介器之間的傳輸時(shí)間+

t中介器和數(shù)據(jù)源之間的傳輸時(shí)間.

傳輸時(shí)間與帶寬有關(guān)，由此，得到評(píng)估函數(shù)的定義如下：

定義8(評(píng)估函數(shù)) 用來評(píng)估中介器完成這個(gè)任務(wù)的代價(jià)，評(píng)估函數(shù)的定義如下：

f=f(T,Q,B,P)=

k1×T+k2×Q+k3×B+k4×P.

(1)

式(1)中，T指中介器的可信程度，計(jì)算公式為

T=success_query/count_query.

(2)

式(2)中:success_query為一段時(shí)間內(nèi)成功完成查詢的次數(shù);count_query為一段時(shí)間內(nèi)請(qǐng)求次數(shù).

Q：主機(jī)的繁忙程度，由主機(jī)的任務(wù)隊(duì)列長度，即等待處理的查詢?nèi)蝿?wù)個(gè)數(shù)決定，可參見表1數(shù)據(jù).

表1 主機(jī)繁忙程度指標(biāo)

B：主機(jī)連接數(shù)據(jù)源的網(wǎng)絡(luò)帶寬的指標(biāo)，計(jì)算公式為

(3)

式(3)中：userBandwidth為運(yùn)行中介器與用戶之間的網(wǎng)絡(luò)帶寬；sourceBandwidth為運(yùn)行中介器與數(shù)據(jù)源之間的網(wǎng)絡(luò)帶寬，帶寬可以按表2的規(guī)則取值；n為分解的子查詢的個(gè)數(shù).若其中一個(gè)子查詢的數(shù)據(jù)源不在該中介器的管理范圍內(nèi)，則黑板中置該中介器為不可用.

P：運(yùn)行中介器主機(jī)的處理性能參數(shù)，該參數(shù)主要由主機(jī)內(nèi)存大小和CPU性能參數(shù)決定，參數(shù)的選取可以參考表3的數(shù)據(jù)，表3的數(shù)據(jù)是經(jīng)驗(yàn)值.

表2 帶寬指標(biāo)取值

表3 CPU性能參數(shù)

k1，k2，k3，k4為重要因子，參考值分別為：0.4，0.3，0.2，0.1.

對(duì)評(píng)估結(jié)果影響因素的重要程度依次為：中介器的可信程度、任務(wù)隊(duì)列長度、帶寬、主機(jī)性能.

定義9(最少等待時(shí)間調(diào)度算法) 將查詢?nèi)蝿?wù)分配到一個(gè)中介器去處理，使用戶等待的時(shí)間最少的調(diào)度算法.

4.2 最小等待時(shí)間調(diào)度算法

最小等待時(shí)間調(diào)度算法的目標(biāo)是發(fā)出請(qǐng)求的用戶的等待時(shí)間最少，該調(diào)度算法能夠根據(jù)模型當(dāng)前各個(gè)部件的工作狀態(tài)，動(dòng)態(tài)分配用戶的請(qǐng)求，使用戶的請(qǐng)求能夠得到最快地解決.算法描述如下：

Whilerequestiin Queue do

{ 發(fā)送requesti給多個(gè)Mi(i=1 ton) //把用戶請(qǐng)求發(fā)送給所有能發(fā)送的中介器Mi

For allMi(i=1 ton)

{Mi利用自身的評(píng)估函數(shù)(見式(1))，評(píng)估當(dāng)前狀態(tài)下，完成該請(qǐng)求的代價(jià)fi；

將fi值發(fā)送到黑板中該中介器代價(jià)評(píng)估區(qū)域；

}

若有t個(gè)評(píng)估函數(shù)發(fā)送到黑板，則黑板對(duì)評(píng)估結(jié)果進(jìn)行選舉，選出代價(jià)最小的fi；

發(fā)送fi到Mi，通知該Mi處理requesti

}

中介器的選舉采用的是最小等待時(shí)間調(diào)度算法，算法基于評(píng)估函數(shù)和黑板模型，各中介器接到查詢?nèi)蝿?wù)，進(jìn)行查詢分析，利用評(píng)估函數(shù)評(píng)估一下自己完成查詢所需要的代價(jià)，并把代價(jià)發(fā)送到黑板，黑板從多個(gè)送來的代價(jià)中選舉代價(jià)最小的中介器作為主控中介器，并把安全審核通過憑證發(fā)送給該中介器，該中介器開始進(jìn)行查詢處理.

4.3 MMSIM模型運(yùn)行協(xié)議

協(xié)作定義如下：

第1步：用戶通過表示層向集成系統(tǒng)發(fā)送查詢請(qǐng)求，表示層將查詢請(qǐng)求發(fā)送給所有或部分中介器.

第2步：中介器根據(jù)用戶提交的憑證信息進(jìn)行安全檢查，并將檢查結(jié)果發(fā)送給其他的中介器，同時(shí)接收其他中介器發(fā)送過來的安全檢查結(jié)果.

第3步：黑板系統(tǒng)審核各中介器發(fā)送過來安全檢查結(jié)果，當(dāng)有大于t個(gè)中介器的安全檢查結(jié)果相同時(shí)，說明安全審核通過，生成安全憑證，并把安全憑證發(fā)送給所有的包裝器.

第4步：各中介器利用評(píng)估函數(shù)，評(píng)估自己完成這個(gè)任務(wù)所需要的代價(jià)，并把代價(jià)值發(fā)送給黑板，黑板接收到所有中介器發(fā)送來的代價(jià)信息，評(píng)估有哪個(gè)中介器完成這個(gè)任務(wù)，將安全憑證交給該中介器，并通知該中介器處理查詢?nèi)蝿?wù).

第5步：該中介器對(duì)查詢?nèi)蝿?wù)進(jìn)行分解，并攜帶時(shí)間戳和安全憑證把子查詢送到包裝器或其他中介器，中介器再進(jìn)一步分解查詢，直到發(fā)送到包裝器.

第6步：包裝器檢查中介器送來的安全憑證與黑板發(fā)送來的有效安全憑證是否一致，若一致，則把查詢轉(zhuǎn)換為數(shù)據(jù)源能夠執(zhí)行的查詢，發(fā)送給數(shù)據(jù)源，并把本處理對(duì)應(yīng)的安全憑證置為無效.

第7步：數(shù)據(jù)源進(jìn)行局部安全策略檢查，通過后執(zhí)行查詢?nèi)蝿?wù)，并把結(jié)果發(fā)送給包裝器，包裝器包裝查詢結(jié)果，并把結(jié)果發(fā)送給中介器.

第8步：查詢結(jié)果發(fā)送到中介器后，中介器集成這些結(jié)果，并返回給用戶.

圖6描述了模型的協(xié)議執(zhí)行過程中各元素的交互情況.

圖6 模型的各個(gè)元素交互圖

5 MMSIM性能分析

5.1 安全分析

MMSIM的安全機(jī)構(gòu)保證信息的保密性、完整性和可用性，對(duì)MMSIM的攻擊大體可分為2類：第1類攻擊是控制性攻擊，通過獲得中介器的控制權(quán)，假冒合法用戶向數(shù)據(jù)源發(fā)送查詢命令，并可以更改發(fā)送給用戶的查詢結(jié)果，從而破壞系統(tǒng)的保密性和完整性；第2類攻擊是DOS攻擊，通過不斷向中介器發(fā)送請(qǐng)求，迫使中介器不能正常地工作，從而破壞系統(tǒng)的可用性.下面分析MMSIM對(duì)這兩種攻擊的防范機(jī)制.

5.1.1 控制性攻擊

假設(shè)攻擊者已經(jīng)控制了一個(gè)中介器，可能會(huì)出現(xiàn)以下幾種情況：

1)攻擊者繞過安全檢查和安全審核,假冒合法用戶向包裝器發(fā)送查詢請(qǐng)求，從而企圖獲得非授權(quán)信息.

由于攻擊者沒有辦法獲得黑板發(fā)送過來的安全憑證，因此，不能通過包裝器的憑證檢查，所以也就不能獲得非授權(quán)的數(shù)據(jù).

2)攻擊者控制中介器冒充合法用戶通過安全檢查，向黑板發(fā)送安全檢查信息，企圖獲得安全憑證.

由于用戶的請(qǐng)求只有在安全門限t個(gè)中介器安全檢查結(jié)果相同的條件下才能執(zhí)行，所以即使攻擊者暫時(shí)攻擊了一些中介器,迫使這些中介器安全檢查結(jié)果相同，其他沒有被攻破的中介器也不會(huì)產(chǎn)生與它們相同的安全檢查結(jié)果.只要攻破的中介器數(shù)量少于t個(gè)，黑板安全審核部件就不會(huì)通過安全審核，也就不會(huì)發(fā)送安全憑證，該請(qǐng)求就不能執(zhí)行.而不同的中介器又具有多樣性，攻擊者同時(shí)攻破t個(gè)中介器的概率很小.因此,系統(tǒng)是安全的.

另外，當(dāng)系統(tǒng)發(fā)現(xiàn)一個(gè)中介器的安全檢查結(jié)果和其他中介器的安全檢查結(jié)果不同時(shí)，會(huì)調(diào)用AS重置中介器，使攻擊失效.

5.1.2 DOS攻擊

假設(shè)攻擊者不斷向某些中介器發(fā)送請(qǐng)求，迫使其不能為合法用戶提供正常服務(wù).

由于合法用戶的請(qǐng)求是發(fā)給n個(gè)中介器的，只要其中t個(gè)中介器通過安全檢查，就可以執(zhí)行相應(yīng)的請(qǐng)求，所以即使攻擊者迫使部分中介器不能提供正常的服務(wù),只要還剩余t個(gè)中介器沒有被破壞，這些沒有被攻破的中介器會(huì)重新組合，完成用戶的請(qǐng)求，從而避免了DOS攻擊.

假設(shè)攻擊者不斷向整個(gè)系統(tǒng)發(fā)送請(qǐng)求，為了避免所有的中介器受到DOS攻擊，系統(tǒng)設(shè)置一個(gè)查詢跟蹤器，當(dāng)所有中介器等待隊(duì)列中某一個(gè)用戶的請(qǐng)求過多時(shí)，調(diào)用AS撤銷該用戶的所有請(qǐng)求.

5.2 效率分析

當(dāng)n(n>t,t為安全門限)個(gè)中介器通過安全審核后，這n個(gè)中介器會(huì)利用自己的評(píng)估模塊評(píng)估當(dāng)前情況下完成請(qǐng)求的代價(jià)，并通過黑板系統(tǒng)，選出一個(gè)主控的中介器，由主控的中介器控制完成用戶的請(qǐng)求.由于被選中的主中介器總是目前執(zhí)行請(qǐng)求代價(jià)最低的，因此,系統(tǒng)的效率比普通的單中介器的異構(gòu)信息集成系統(tǒng)效率高.

6 結(jié) 語

本文引入多中介器協(xié)作機(jī)制，提出了一個(gè)多中介器協(xié)作的安全的信息集成模型(MMSIM模型)，該模型可以有效防范控制性攻擊和DOS攻擊，并且使集成系統(tǒng)具有較高的效率，很大程度上解決了傳統(tǒng)中介器安全問題.當(dāng)然，模型效率和安全性的提高是以犧牲軟硬件的成本為代價(jià)，模型中各個(gè)中介器實(shí)現(xiàn)技術(shù)及安全機(jī)制的不同，提高了系統(tǒng)的安全性，但同時(shí)也增加了系統(tǒng)實(shí)現(xiàn)成本.

參考文獻(xiàn)：

[1]Dong X L,Srivastava D.Big data integration[C]//Proceedings of the 39th International Conference on Very Database (VLDB).Brisbane:ACM,2013.

[2]王寧,王能斌.異構(gòu)數(shù)據(jù)源集成系統(tǒng)查詢分解和優(yōu)化的實(shí)現(xiàn)[J].軟件學(xué)報(bào),2000,11(2):222-228.

[3]Das Sarma A,Dong Xin,Halevy A.Bootstrapping pay-as-you-go data integration systems[C]//Proceedings of the 2008 SIGMOD International Conference on Managemrnt of Data.Vancouver:ACM,2008.

[4]Wiederhold G.Mediators in the architecture of future information systems[J].IEEE Computer,1992,25(3):38-49.

[5]Papakonstantinou Y,Garcia-Molina H,Widom J.Object exchange across heterogeneous information sources[C]//Proceedings of the Eleventh International Conference on Data Engineering (ICDE).Taipei:IEEE Computer Society,1995.

[6]Adali S,Emery R.A uniform framework for integrating knowledge in heterogeneous knowledge systems[C]//Proceedings of the Eleventh International Conference on Data Engineering (ICDE).Taipei:IEEE Computer Society,1995.

[7]Tomasic A,Raschid L,Valduriez P.Scaling heterogeneous databases and the design of disco[C]//International Conference on Distributed Computing Systems.Hong Kong:IEEE Computer,1996.

[8]Nadschlager S,Kosorus H,Regner P.Semantic data Integration and relationship identification using the hierarchical structure of a domain-specific Taxonomy[C]//The 23rd International Workshop on Database and Expert Systems Applications (DEXA).Vienna:Springer,2012.

[9]Bergamaschi S,Castano S,Vincini M,et al.Semantic integration of heterogeneous information sources[J].Data and Knowledge Engineering,2001,36(3):215-249.

[10]Huma Z,Rehman M J U,Iftikhar N.An ontology-based framework for semi-automatic schema integration[J].Journal of Computer Science and Technology,2005,6(20):788-796.

[11]Dohzen T,Pamuk M,Seong S W.Data integration through transform reuse in the Morpheus project[C]//Proceedings of the 2006 SIGMOD International Conference on Managemrnt of Data.Chicago:ACM,2006.

[12]Babcock B,Chaudhuri S.Towards a robust query optimizer:A principled and practical approach[C]//Proceedings of the 2005 SIGMOD International Conference on Managemrnt of Data.Maryland:ACM,2005.

[13]Kemp G J L,Gray P M D,Sj?stedt A R.Improving federated database queries using declarative rewrite rules for quantified subqueries[J].Journal of Intelligent Information Systems,2001,17(2/3):281-299.

[14]Altenschmidt C,Biskup J,Flegel U.Secure mediation:requirements,design,and architecture[J].Journal of Computer Security,2003,11(3):365-398.

[15]Liu D,Law K,Wiederhold G.Chaos an active security mediation system[C]//Proceedings of International Conference on Advanced Information Systems Engineering.Stockholm:Springer,2000.

[16]Biskup J,Karabulut Y.A hybrid PKI model with an application for secure mediation[C]//The 16th Annual IFIP WG 11.3 Working Conference on Data and Application Security Cambridge.England:IEEE Computer Society,2002.

[17]Halevy A,Ives Z G,Suciu D.Schema mediation in peer data management systems[C]//Proceedings of the 19th International Conference on Data Engineering (ICDE).Bangalore:IEEE Computer Society,2003.

[18]Ege R K,Yang Li,Kharma Q,et al.Three-layered mediator architecture based on DHT[C]//International Symposium on Parallel Architecture,Algorithm and Network (I-SPAN).HongKong:IEEE,2004.

[19]Nii H P.Blackboard systems:the blackboard model of problem solving and the evolution of blackboard architectazes[J].AI Magazine,1988,7(2):38-53．

[20]Castro M,Liskov B.Practical byzantine fault tolerance[C]//The 3rd Symp on Operating Systems Design and Implementation New Orleans.Louisiana:IEEE,1999.