[发明专利]一种支持访问控制的索引结构及其检索方法

说明书

技术领域

本发明涉及信息检索和信息安全技术领域，具体涉及一种支持访问控 制的索引结构及其检索方法。

背景技术

随着通信、计算机及信息技术的发展，在党政机关、企事业单位、财 政金融、国防军工等相关部门中，信息的保有量和交流量都达到了前所未 有的数量级。与此同时，很多商业组织和国家涉密机构需要在网络环境中 存储和处理大量涉密文档。如何构建一个安全的信息检索系统来检索这些 涉密文档并且保证相关文档的安全已成为迫切的需求。

信息检索系统的核心是其索引结构，目前主流的信息检索系统使用的 索引结构一般为倒排索引。倒排索引由多个索引词(term)组成的索引词表 以及相对应的记录信息表(posting list)所组成；索引词表中包含多个域(指 构成文档的单元，如标题、正文、作者、摘要等)，索引词表中的索引词可 以属于一个或者多个索引词域，例如索引词“中国”可能出现在标题、正 文等多个域中，而索引词“科技”则只出现在正文域中。索引词表中的每 个索引词均指向一个记录信息表，此记录信息表中记录所有包含此索引词 的文档信息，一般有文档ID、词频信息以及索引词在这篇文档中的位置信 息等。用户在进行检索时通过检索词在索引词表查询匹配的索引词，然后 通过索引词指向的记录信息表获得相应的包含此检索词的文档信息。

一般地，使用倒排索引的检索系统进行检索包括以下步骤：

(1)对所获得的资源通过分词等技术建立倒排索引文件，并将所建立 的倒排索引文件置于服务器端。

(2)当用户查询资源时，搜索程序通过分词技术将用户查询条件分解 为索引项。

(3)在已建立的索引文件中进行搜索，并将搜索到的结果反馈给用户。

此类检索系统并没有考虑到涉密文档的安全访问问题，在其中所有可 以访问检索系统的用户用同样的查询条件在检索系统中能够检索到的结果 是完全相同的。而在涉密系统中，这种检索方式并不能很好地满足系统要 求，原因在于涉密系统中用户是分级别的，在此类系统中不同级别的用户 使用相同检索词查询得到的结果集按照用户的级别进行分级控制。

基于此原因，需要在涉密检索系统中加入访问控制来对用户访问到的 文档进行限制。一般地，加入了访问控制的检索系统检索的步骤分两步：

(1)对登录进来的用户进行识别，判断用户的角色，给予用户相应的 权限。

(2)用户进行查询，系统进行检索，并且按照用户相应的权限进行返 显。

这种方法能够实现对不同级别用户返回不同的结果集的要求。但是由 于需要在搜索之前对用户的身份信息进行确认，比直接进行检索的方式在 效率上低上很多；在返回结果集的时候也必须依据用户角色控制返回的结 果集，难以满足用户在检索速度上的要求。中国发明专利申请 ZL200710052025.6提出了一种基于访问控制的安全搜索引擎系统。其中的 查询检索模块在单点登录模块的控制之下，在认证通过时，获取用户的访 问权限。查询检索模块接受来自用户的查询关键字，对其进行分词并根据 获取的用户权限对索引库进行检索并接收返回结果。这种方式虽然满足了 基于访问控制的安全搜索，但是效率和速度上难以满足要求。

发明内容

为了解决上述问题，本发明提出了一种支持访问控制的索引结构，该 索引结构能够实现对涉密文档的分级访问控制，具有较高的效率和灵活性； 本发明还提供了基于该索引结构的检索方法。

本发明提供的支持访问控制的索引结构的检索方法，其索引构建过程 如下：

第一步创建一个空的哈希表H；

第二步对每个文档，求出该文档的全路径；

第三步如果哈希表H不为空，跳转到第六步；

第四步将所有角色/用户按照级别抽象成一个角色树，角色树的每个 节点对应一个角色或用户，树节点越高角色的级别就越高，该树节点同时 对应一个文档目录；

从角色树的根节点目录开始遍历路径中的每个目录，对根节点目录及 根节点目录下所有的子节点的目录，求得角色对文档默认的访问权限，并 把结果插入到哈希表H中；

第五步再次从根目录开始遍历路径中的每个目录，对根节点目录及 根节点目录下所有的子节点的目录，求得该目录上额外定义的对文档的搜 索权限集，结果插入到哈希表H中；