張瑩

文章編號(hào)： 2095-2163（2018）03-0095-07中圖分類號(hào)： 文獻(xiàn)標(biāo)志碼： A

摘要： 關(guān)鍵詞： （1 School of Cyber Security， University of Chinese Academy of Sciences， Beijing 100049， China； 2 Institute of Information Engineering，

Chinese Academy of Sciences， Beijing 100093， China； 3 Liaoning Technical University， Fuxin Liaoning 123000， China）

Abstract： In the scene of spatial data applications， there is an increasing need to implement access control to spatial object. Most of the research result on spatial data access control model is based on the traditional data access control model. It is focused on implementing spatial expansion based on the traditional data access control model， adding the spatial attributes of the subject and object， providing the support for the spatial operation， and realizing the fine-grained authorization of the spatial object. Based on the deep research on the spatial data access control model， this paper summarizes the technical origin， the interrelation and the development context of the existing models. Starting from the spatial expansion of the three classical access control models， this paper focuses on the analysis of several typical spatial data access control models. After that， the paper analyzes the technical features， advantages and disadvantages of various spatial data access control models， and proposes the unique research demands for a spatial data access control model ，which could provide the basis for the further study.

Key words：

作者簡(jiǎn)介：

收稿日期： 引言

遙感、衛(wèi)星影像、測(cè)繪、定位導(dǎo)航等技術(shù)的進(jìn)展，為空間數(shù)據(jù)基礎(chǔ)設(shè)施的建立和完善奠定了基礎(chǔ)，使空間數(shù)據(jù)的采集效率顯著提高。實(shí)時(shí)空間數(shù)據(jù)和高分辨率空間數(shù)據(jù)無(wú)處不在，除了傳統(tǒng)的地理信息系統(tǒng)（GIS）外，空間數(shù)據(jù)還已廣泛應(yīng)用于諸如計(jì)算機(jī)輔助設(shè)計(jì)和制造（CAD/CAM）、多媒體數(shù)據(jù)庫(kù)、移動(dòng)數(shù)據(jù)庫(kù)等多個(gè)領(lǐng)域，空間數(shù)據(jù)已實(shí)現(xiàn)了從傳統(tǒng)的軍事應(yīng)用向軍民共用的過(guò)渡，隨之而來(lái)的是敏感空間數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)日益嚴(yán)重的安全威脅。因此，信息安全和地理信息系統(tǒng)2個(gè)領(lǐng)域的學(xué)者已經(jīng)陸續(xù)開(kāi)始關(guān)注空間數(shù)據(jù)安全的研究，將空間數(shù)據(jù)訪問(wèn)控制作為空間數(shù)據(jù)研究的一個(gè)專門方向。

訪問(wèn)控制模型是訪問(wèn)控制機(jī)制的實(shí)施規(guī)范，是從抽象層次上對(duì)訪問(wèn)控制系統(tǒng)進(jìn)行定義，解釋了對(duì)合法用戶進(jìn)行授權(quán)、防止未授權(quán)用戶非法訪問(wèn)以及對(duì)合法用戶的越權(quán)訪問(wèn)實(shí)施控制的安全運(yùn)行機(jī)理，其中涉及的基本對(duì)象包括主體、客體、訪問(wèn)控制策略以及強(qiáng)制執(zhí)行機(jī)制。多年來(lái)，世界各國(guó)的學(xué)者對(duì)訪問(wèn)控制模型展開(kāi)了卓有成效的研究，提出了自主訪問(wèn)控制（DAC）、強(qiáng)制訪問(wèn)控制（MAC）、基于角色的訪問(wèn)控制（RBAC）3種經(jīng)典訪問(wèn)控制模型。隨著分布式計(jì)算、網(wǎng)絡(luò)計(jì)算和普適計(jì)算的相繼問(wèn)世，對(duì)訪問(wèn)控制模型也衍生了更新要求，研究者又先后提出了基于任務(wù)的訪問(wèn)控制模型、基于團(tuán)隊(duì)的訪問(wèn)控制模型、使用控制模型、基于屬性的訪問(wèn)控制模型、基于時(shí)空的訪問(wèn)控制模型、基于信任的訪問(wèn)控制模型、基于行為的訪問(wèn)控制模型和基于屬性的訪問(wèn)控制模型等一系列新型訪問(wèn)控制模型。

空間數(shù)據(jù)訪問(wèn)控制模型的研究力圖在傳統(tǒng)模型的基礎(chǔ)上，提出兼容空間數(shù)據(jù)特性的訪問(wèn)控制模型。研究可前溯至2000年，Chun等在第14屆IFIP 11.3數(shù)據(jù)庫(kù)安全年度工作會(huì)議上發(fā)表了論文[1]，首次提出了針對(duì)空間數(shù)據(jù)的訪問(wèn)控制模型GSAM。此后，研究人員又紛紛研發(fā)了各種空間數(shù)據(jù)訪問(wèn)控制模型，形成了空間數(shù)據(jù)訪問(wèn)控制模型的體系化研究成果?；贒AC的模型大多是在研究早期進(jìn)入學(xué)界視野的，而基于MAC的模型成果較少，研究的熱點(diǎn)主要集中在基于RBAC的模型中。

1空間數(shù)據(jù)自主訪問(wèn)模型剖析

在DAC模型的基礎(chǔ)上，擴(kuò)展對(duì)空間主體、空間客體、空間操作的支持，從而形成空間自主訪問(wèn)控制模型。圍繞這一主題，研究工作可詳述如下。

1.1GSAM模型[2]

基于DAC的空間訪問(wèn)控制模型GSAM （Geospatial Data Authorization Model）[2]可同時(shí)處理矢量和柵格數(shù)據(jù)結(jié)構(gòu)，且主要針對(duì)多分辨率柵格數(shù)據(jù)，控制不同用戶對(duì)不同分辨率數(shù)據(jù)的訪問(wèn)權(quán)限。該模型對(duì)時(shí)間和空間數(shù)據(jù)的表示方法進(jìn)行了精確定義，用來(lái)設(shè)計(jì)闡析空間主、客體的時(shí)空屬性。這里，針對(duì)該模型的研究?jī)?nèi)容可分述如下。

（1）主體標(biāo)識(shí)及主體證書。GSAM模型同時(shí)支持針對(duì)主體標(biāo)識(shí)和主體證書的授權(quán)。其中，主體標(biāo)識(shí)是授權(quán)主體的唯一標(biāo)識(shí)，對(duì)主體標(biāo)識(shí)的授權(quán)是針對(duì)唯一特定主體的。主體證書的概念使模型具有了基于屬性的訪問(wèn)控制特征，即對(duì)授權(quán)主體的識(shí)別不再僅依賴單一的主體標(biāo)識(shí)，而是可以由主體證書中若干屬性值的綜合作用來(lái)共同決定。模型定義了主體、主體證書、證書類型、證書類型層次等不同層面的基礎(chǔ)概念。研究推得其相互關(guān)系如圖1所示。

（2）時(shí)空客體。GSAM模型對(duì)時(shí)空客體表達(dá)式來(lái)定義授權(quán)客體，對(duì)滿足時(shí)空客體表達(dá)式的客體進(jìn)行訪問(wèn)授權(quán)，對(duì)時(shí)空客體表達(dá)式的定義涉及到空間客體、客體類型以及客體類型層次的概念，可研究推得其相互關(guān)系如圖2所示。

（3）權(quán)限模式。GSAM模型可實(shí)現(xiàn)三大類型的權(quán)限模式，具體包括：查看、復(fù)制和維護(hù)。其中，查看模式分為靜態(tài)和動(dòng)態(tài)2種：靜態(tài)查看包括查看縮略圖、查看注釋、查看3種操作模式；動(dòng)態(tài)查看包括放大、疊加、標(biāo)識(shí)、動(dòng)畫以及飛越模式。復(fù)制包括下載和下載數(shù)據(jù)2種模式。維護(hù)包括插入、修改、刪除和生成模式。在現(xiàn)有的空間數(shù)據(jù)訪問(wèn)控制模型中，GSAM模型提供了較豐富的圖形操作。

（4）時(shí)空授權(quán)。GSAM模型采用基于SAR（Subject-Action-Resource）的授權(quán)方法，在傳統(tǒng)授權(quán)三元組（主體，客體，權(quán)限模式）的基礎(chǔ)上進(jìn)行空間擴(kuò)展，擴(kuò)充授權(quán)三元組為授權(quán)四元組（ce，ge，pr，τ）。其中，ce為主體證書表達(dá)式，既可以是主體標(biāo)識(shí)，也可以是一個(gè)主體證書集，用來(lái)表示授權(quán)主體；ge為時(shí)空客體表達(dá)式，可以用邏輯地址或時(shí)空客體的形式表示允許訪問(wèn)的客體；pr為權(quán)限模式；τ為時(shí)間項(xiàng)，用來(lái)指定授權(quán)的有效期。

1.2其它基于DAC的模型

GASM模型是空間數(shù)據(jù)庫(kù)訪問(wèn)控制模型中對(duì)自主訪問(wèn)控制模型進(jìn)行空間擴(kuò)展的典型代表。此外，文獻(xiàn)＼[3-5＼]提出了針對(duì)Web GIS的空間數(shù)據(jù)訪問(wèn)控制方法，而且都是針對(duì)矢量數(shù)據(jù)實(shí)施訪問(wèn)控制。文獻(xiàn)＼[3-4＼]在傳統(tǒng)自主訪問(wèn)控制的基礎(chǔ)上引入了授權(quán)要素類和授權(quán)窗口的概念，前者是指以簡(jiǎn)單要素地理幾何模型中的要素類作為授權(quán)客體，后者用來(lái)指定被授權(quán)的地理區(qū)域范圍。文獻(xiàn)＼[5＼]為了簡(jiǎn)化模型的定義、強(qiáng)化空間數(shù)據(jù)拓?fù)潢P(guān)系，首先對(duì)LSDM模型（Layered Spatial Data Model）進(jìn)行了修改，定義了空間數(shù)據(jù)模型（Topological Spatial Data Model， TSDM），并以此為基礎(chǔ)實(shí)施訪問(wèn)控制，提出的訪問(wèn)控制模型考慮了細(xì)粒度訪問(wèn)控制、肯定和否定授權(quán)、授權(quán)傳播規(guī)則以及強(qiáng)弱授權(quán)。

文獻(xiàn)＼[6＼]提出的空間數(shù)據(jù)訪問(wèn)控制模型PBAC針對(duì)空間數(shù)據(jù)庫(kù)矢量數(shù)據(jù)對(duì)自主訪問(wèn)控制模型進(jìn)行了擴(kuò)展：一是增加了指定用戶可訪問(wèn)區(qū)域的授權(quán)謂詞；二是通過(guò)授權(quán)類型支持肯定和否定授權(quán)；三是設(shè)計(jì)了權(quán)限傳播規(guī)則。

1.3空間DAC模型的比較研究

基于DAC的空間訪問(wèn)控制模型分別依據(jù)不同空間數(shù)據(jù)模型的特點(diǎn)進(jìn)行擴(kuò)展：對(duì)于柵格數(shù)據(jù)，主要考慮限制用戶對(duì)不同分辨率客體的訪問(wèn)權(quán)限；對(duì)于矢量數(shù)據(jù)，主要考慮將空間區(qū)域定義為授權(quán)客體的細(xì)粒度訪問(wèn)控制需求。各個(gè)模型具有不同的特點(diǎn)，綜合分析結(jié)果可見(jiàn)表1。

對(duì)傳統(tǒng)MAC模型進(jìn)行各種形式的空間擴(kuò)展得到基于MAC的空間數(shù)據(jù)訪問(wèn)控制模型。以此為核心，該項(xiàng)技術(shù)研究可詳論如下。

2.1LMAC[7]模型

LMAC模型（Location-based MAC Model）[7]是在BLP模型的基礎(chǔ)上對(duì)其中各組件進(jìn)行空間擴(kuò)展得到的空間數(shù)據(jù)強(qiáng)制訪問(wèn)控制模型，該模型在精確定義位置及位置安全級(jí)的基礎(chǔ)上，通過(guò)一系列的約束定義建立主、客體的位置相關(guān)性，并將位置信息作用于安全條件，來(lái)獲得操作的位置相關(guān)性。該模型同時(shí)可實(shí)現(xiàn)對(duì)用戶位置的隱私保護(hù)。針對(duì)該模型的研究?jī)?nèi)容，可具體闡釋如下。

（1）位置。LMAC模型首先對(duì)位置、位置間的包含和相等關(guān)系做出形式化定義，并由位置包含關(guān)系形成位置層次。同時(shí)定義了位置安全級(jí)，其約束條件體現(xiàn)了位置層次關(guān)系對(duì)位置安全級(jí)的約束作用。

（2）用戶及主體。LMAC模型的用戶（主體）具有位置和安全標(biāo)簽2個(gè)屬性，同時(shí)基于位置也具有安全級(jí)這一前提，因此用戶行為實(shí)際上受位置安全級(jí)和安全標(biāo)簽所規(guī)定的用戶安全級(jí)的共同約束。模型定義了低安全級(jí)用戶不得進(jìn)入高安全級(jí)位置約束條件，用戶的位置信息和登錄安全級(jí)會(huì)傳遞給由該用戶創(chuàng)建的主體（進(jìn)程），且有約束條件被創(chuàng)建主體的安全級(jí)必須受主體位置安全級(jí)支配。

（3）客體。LMAC模型客體也具有位置和安全標(biāo)簽2個(gè)屬性，同時(shí)定義了客體安全標(biāo)簽設(shè)定的安全級(jí)必須受客體所在位置安全級(jí)的支配的約束，即不允許高等級(jí)客體存放于低等級(jí)位置。

（4）操作。 LMAC模型支持讀、寫操作，且定義了可執(zhí)行操作的主體位置約束和可執(zhí)行操作的客體位置約束，同時(shí)對(duì)BLP模型的簡(jiǎn)單安全屬性和受限*屬性給出了重新定義，在安全條件中也增加了位置約束。

2.2其它基于MAC的模型

文獻(xiàn)＼[8＼]提出了空間矢量數(shù)據(jù)強(qiáng)制訪問(wèn)控制模型SV_MAC（Spatial Vector data Mandatory Access Control model），這是一種以簡(jiǎn)單要素?cái)?shù)據(jù)模型為基礎(chǔ)的矢量數(shù)據(jù)強(qiáng)制訪問(wèn)控制模型。模型對(duì)空間對(duì)象的矢量要素進(jìn)行子塊拆分，訪問(wèn)控制粒度可以細(xì)化到每一個(gè)地理要素子塊。過(guò)程中，首先形式化定義了空間矢量數(shù)據(jù)模型，包括數(shù)據(jù)庫(kù)模型、數(shù)據(jù)庫(kù)實(shí)例和數(shù)據(jù)查詢。然后規(guī)范配置了空間數(shù)據(jù)安全標(biāo)簽設(shè)定策略，并在此基礎(chǔ)上設(shè)計(jì)添加了安全標(biāo)簽的數(shù)據(jù)庫(kù)實(shí)例以及基于安全標(biāo)簽的受控查詢。

文獻(xiàn)[9]提出多級(jí)安全空間數(shù)據(jù)模型MLS/SDM（Multi-level Secure Spatial Data Model），重點(diǎn)研究了空間數(shù)據(jù)模型SDM（Spatial Data Model），對(duì)空間類和非空間類進(jìn)行區(qū)別定義，并定義了帶有安全標(biāo)簽的空間數(shù)據(jù)類和空間關(guān)系類，在此基礎(chǔ)上可以為空間視圖、空間圖層、空間塊、空間對(duì)象4種不同粒度的空間客體設(shè)置安全標(biāo)簽，從而實(shí)現(xiàn)細(xì)粒度的強(qiáng)制訪問(wèn)控制。此外，模型還定義了空間約束關(guān)系，包括空間類約束和空間拓?fù)浼s束。

2.3空間MAC模型的比較研究

目前，基于強(qiáng)制模型的空間訪問(wèn)控制研究均針對(duì)矢量數(shù)據(jù)模型。矢量數(shù)據(jù)模型將單獨(dú)的地理要素存儲(chǔ)為一條記錄，對(duì)其執(zhí)行適當(dāng)?shù)目臻g操作，就可以有效地解決強(qiáng)制模型中基于空間區(qū)域授權(quán)和細(xì)粒度訪問(wèn)控制的問(wèn)題，比較容易實(shí)現(xiàn)客體標(biāo)簽的設(shè)置。研究中，將2種空間MAC模型的特點(diǎn)歸納整合后，最終結(jié)果可見(jiàn)表2。

對(duì)傳統(tǒng)RBAC模型進(jìn)行各種形式的空間擴(kuò)展，從而得到基于MAC的空間數(shù)據(jù)訪問(wèn)控制模型。立足于該項(xiàng)研究，論述內(nèi)容詳見(jiàn)如下。

3.1GEO-RBAC模型

GEO-RBAC模型[10]在NIST RBAC標(biāo)準(zhǔn)的基礎(chǔ)上擴(kuò)展了對(duì)空間數(shù)據(jù)和位置信息的支持，具體通過(guò)空間角色、角色位置、角色模式、角色實(shí)例、授權(quán)/非授權(quán)角色的定義實(shí)現(xiàn)空間數(shù)據(jù)基于位置的訪問(wèn)控制。與傳統(tǒng)數(shù)據(jù)RBAC模型一致，GEO-RBAC也是一個(gè)模型族，共由3個(gè)組件構(gòu)成，分別是：

（1） 核心GEO-RBAC模型。

（2） 層次GEO-RBAC，記作GEO-HRBAC模型。

（3） 約束GEO-RBAC模型。

研究中，對(duì)此設(shè)計(jì)提出的功能闡析可綜述如下。

（1）GEO-RBAC的空間數(shù)據(jù)。GEO-RBAC模型在簡(jiǎn)單要素模型的基礎(chǔ)上定義了空間感知的客體，而空間客體被定義為要素集合的子集。

空間角色是一個(gè)包含角色名和角色空間范圍的二元組。其中，角色范圍說(shuō)明了角色的有效空間邊界，同一角色名與不同角色空間范圍的組合對(duì)應(yīng)不同的空間角色。

GEO-RBAC模型中，通過(guò)位置定義使模型具備了位置相關(guān)性。

（2）核心GEO-RBAC模型。在傳統(tǒng)RBAC核心模型的基礎(chǔ)上，核心GEO-RBAC模型的主要擴(kuò)展是對(duì)角色模式和角色實(shí)例的區(qū)分以及授權(quán)/非授權(quán)角色概念的研發(fā)設(shè)計(jì)。其中，角色模式是同類角色的抽象。

與NIST RBAC標(biāo)準(zhǔn)類似，用戶登錄創(chuàng)建會(huì)話的同時(shí)激活與用戶相關(guān)聯(lián)的角色。若用戶當(dāng)前位置被角色空間范圍包含，激活角色會(huì)成為授權(quán)角色。用戶可以直接從授權(quán)角色獲得權(quán)限，也可以從其對(duì)應(yīng)的角色模式繼承權(quán)限，用于授權(quán)判定，授權(quán)角色的劃定實(shí)現(xiàn)了對(duì)用戶的位置約束。

（3）層次GEO-RBAC模型。層次GEO-RBAC定義了2種層次關(guān)系，分別為角色模式層次和角色實(shí)例層次。2種層次關(guān)系一方面簡(jiǎn)化了角色授權(quán)，子孫模式可以繼承祖先模式的權(quán)限，子孫實(shí)例可以繼承祖先實(shí)例的權(quán)限；同時(shí)，角色實(shí)例還可以繼承對(duì)應(yīng)的角色模式的權(quán)限。另一方面，由于繼承關(guān)系復(fù)雜，使得某一實(shí)例實(shí)際獲取權(quán)限的管理變得難以控制。

（4）約束GEO-RBAC模型。職責(zé)分離約束（SoD）是為了阻止單一個(gè)體同時(shí)完成敏感且互斥的任務(wù)時(shí)產(chǎn)生沖突。在約束GEO-RBAC中，依據(jù)約束的粒度、維度、驗(yàn)證的時(shí)間對(duì)SoD約束進(jìn)行了分類。

3.2其它基于RBAC的模型

對(duì)RBAC模型進(jìn)行空間擴(kuò)展的研究成果較多，特別是在移動(dòng)服務(wù)以及基于位置的服務(wù)場(chǎng)景下，對(duì)于資源的訪問(wèn)控制則要斟酌調(diào)用主、客體所處的空間位置和時(shí)間屬性。

文獻(xiàn)＼[11-15＼]都對(duì)傳統(tǒng)的RBAC模型進(jìn)行了時(shí)、空擴(kuò)展，相應(yīng)提出了LRBAC 、LoT-RBAC、Spatio-temporal RBAC、STARBAC、ESTARBAC模型，每一模型各有其特點(diǎn)。總地來(lái)說(shuō)，LRBAC模型（Location-Aware Role-Based Access Control Model）＼[11＼]，在定義位置及其拓?fù)潢P(guān)系的基礎(chǔ)上，實(shí)現(xiàn)了基于位置的核心RBAC的空間擴(kuò)展，并使用Z語(yǔ)言對(duì)位置感知命令展開(kāi)了詳細(xì)的描述。LoT-RBAC模型（Location and Time-Based RBAC Model）＼[12＼]首先新建了位置上下文模型，其中不僅定義了物理位置、邏輯位置及位置關(guān)系，還定義了相對(duì)位置和位置層次關(guān)系，從而增強(qiáng)了LoT-RBAC模型的位置表達(dá)能力。在精確定義位置的基礎(chǔ)上，該模型還對(duì)用戶、角色和權(quán)限進(jìn)行了添加時(shí)空屬性的形式化定義。最后，該模型又通過(guò)定義事件和觸發(fā)器實(shí)現(xiàn)時(shí)空約束。Spatio-temporal RBAC模型＼[13＼]在LRBAC和LoT-RBAC模型的基礎(chǔ)上增加了對(duì)權(quán)限和角色分配的時(shí)空約束，同時(shí)擴(kuò)展了時(shí)空屬性對(duì)角色層次和職責(zé)分離的影響。STARBAC模型（Spatiotemporal Role Based Access Control Model）＼[14＼]對(duì)實(shí)現(xiàn)時(shí)空RBAC的貢獻(xiàn)在于提出了時(shí)空條件的定義，支持多個(gè)時(shí)間以及空間約束條件的邏輯連接，同時(shí)還形式化表述了角色控制命令的概念。ESTARBAC模型（Enhanced Spatiotemporal Role Based Access Control Model）＼[15＼]擴(kuò)展了STARBAC模型：一是描述了訪問(wèn)控制判定算法，并給出了應(yīng)用案例；二是研究引入了權(quán)限的時(shí)空屬性以及時(shí)空約束下的職責(zé)分離。

3.3空間RBAC模型的比較研究

RBAC模型是當(dāng)前訪問(wèn)控制模型研究和應(yīng)用的熱點(diǎn)。對(duì)RBAC模型的研究不僅對(duì)模型組件進(jìn)行各種形式的重新定義，以用于空間數(shù)據(jù)的訪問(wèn)控制，而且通過(guò)對(duì)傳統(tǒng)RBAC添加空間和時(shí)間數(shù)據(jù)模型及時(shí)空約束關(guān)系的定義，使訪問(wèn)控制判定結(jié)果與主、客體的當(dāng)前時(shí)空數(shù)據(jù)相關(guān)，形成時(shí)空RBAC模型。至此，即將3種空間RBAC模型的特點(diǎn)經(jīng)過(guò)概括匯總后，即得分析對(duì)比結(jié)果可見(jiàn)

與傳統(tǒng)數(shù)據(jù)庫(kù)訪問(wèn)控制模型相比，由于空間數(shù)據(jù)組織和訪問(wèn)方式的特點(diǎn)，空間數(shù)據(jù)訪問(wèn)控制的需求將會(huì)更加豐富。相應(yīng)地，模型中的各組件也要有更為復(fù)雜的定義和約束。

4.1定義空間訪問(wèn)控制模型的前提條件

針對(duì)復(fù)雜多樣的空間數(shù)據(jù)，其訪問(wèn)控制模型的提出要求有統(tǒng)一標(biāo)準(zhǔn)的空間數(shù)據(jù)模型和空間上、下文的規(guī)范表示作為前提條件，可分別描述如下。

（1）空間數(shù)據(jù)模型的定義。在空間數(shù)據(jù)庫(kù)中，數(shù)據(jù)的組織方式和存儲(chǔ)結(jié)構(gòu)多種多樣，常用的邏輯結(jié)構(gòu)有矢量數(shù)據(jù)和柵格數(shù)據(jù)2種，而每一種邏輯結(jié)構(gòu)又對(duì)應(yīng)多種不同的物理存儲(chǔ)結(jié)構(gòu)和數(shù)據(jù)檢索方式。標(biāo)準(zhǔn)化的空間數(shù)據(jù)模型是空間數(shù)據(jù)訪問(wèn)控制模型的基礎(chǔ)條件，其主要需求是：

① 能實(shí)現(xiàn)矢量、柵格數(shù)據(jù)的一體化存儲(chǔ)管理。

② 對(duì)矢量、柵格數(shù)據(jù)一體化圖形操作及其相互關(guān)系的支持。

③ 空間數(shù)據(jù)關(guān)系的定義和表示方法。

④ 具有兼容新型空間數(shù)據(jù)的可伸縮性。

（2）空間上下文模型?？臻g數(shù)據(jù)訪問(wèn)控制通常要考慮主、客體以及操作的空間上下文屬性。上下文數(shù)據(jù)的正確獲取和表示也是空間數(shù)據(jù)訪問(wèn)控制模型的前提條件。其主要需求是：

① 上下文信息的類型選擇，比如位置上下文、時(shí)間上下文、近鄰上下文、運(yùn)行環(huán)境上下文等。

② 上下文信息的獲取方法。

③ 上下文信息的精確定義和表示。

4.2空間訪問(wèn)控制模型的研究需求

與傳統(tǒng)訪問(wèn)控制模型的組件相比，空間數(shù)據(jù)訪問(wèn)控制模型對(duì)各模型組件還提出了更為復(fù)雜的控制需求，研究要點(diǎn)表示如下：

（1）訪問(wèn)主體的控制需求?？臻g數(shù)據(jù)訪問(wèn)控制模型對(duì)訪問(wèn)主體的控制需求主要包括：

① 主體身份識(shí)別方式。

② 主體的成組與授權(quán)簡(jiǎn)化。

③ 主體的上下文相關(guān)性。

④ 主體的移動(dòng)性及軌跡數(shù)據(jù)處理。

（2）資源客體的控制需求?？臻g數(shù)據(jù)訪問(wèn)控制模型對(duì)資源客體的控制需求主要包括：

① 訪問(wèn)控制粒度，特別是細(xì)粒度訪問(wèn)控制機(jī)制。

② 對(duì)不同尺度/分辨率數(shù)據(jù)的訪問(wèn)控制。

③ 訪問(wèn)控制客體的維度，包括空間客體和非空間客體的區(qū)分。

④ 客體上下文相關(guān)性。

⑤ 客體的移動(dòng)性。

（3）操作模式的控制需求。空間操作形式多樣，空間數(shù)據(jù)訪問(wèn)控制模型對(duì)操作授權(quán)時(shí)需要考慮：

① 模型對(duì)操作支持的完備性。

② 操作間關(guān)系分析及授權(quán)自動(dòng)引出機(jī)制。

③ 操作的上下文相關(guān)性。

④ 特定空間操作可能引發(fā)的信息非法訪問(wèn)和推理通道。

（4）訪問(wèn)控制授權(quán)的需求。由于空間數(shù)據(jù)的獨(dú)特性質(zhì)及空間主、客體和操作模式的復(fù)雜性，空間數(shù)據(jù)訪問(wèn)控制授權(quán)的需求主要考慮：

① 權(quán)限繼承機(jī)制。

② 肯定、否定授權(quán)的支持。

③ 權(quán)限傳播方式。

④ 授權(quán)和策略的動(dòng)態(tài)改變。

⑤ 授權(quán)冗余的檢測(cè)和消除。

⑥ 授權(quán)一致性、授權(quán)沖突的檢測(cè)和消解。

⑦ 多域授權(quán)的策略合并。

⑧ 基于客體間空間關(guān)系的授權(quán)。

⑨ 授權(quán)約束條件的定義。

⑩ 授權(quán)自動(dòng)引出和推理機(jī)制。

（5）對(duì)模型安全性證明的需求。傳統(tǒng)數(shù)據(jù)訪問(wèn)控制模型的安全性大多經(jīng)過(guò)嚴(yán)格的形式化證明，特別是MAC模型。但當(dāng)對(duì)其進(jìn)行空間擴(kuò)展時(shí)，由于空間數(shù)據(jù)及操作的復(fù)雜性，模型安全可能出現(xiàn)漏洞。但對(duì)空間數(shù)據(jù)訪問(wèn)控制模型的大多數(shù)研究成果都沒(méi)有對(duì)模型安全性進(jìn)行再證明，而是以其溯源起始的傳統(tǒng)模型的安全性為模型安全前提，所以對(duì)空間數(shù)據(jù)訪問(wèn)控制模型安全性進(jìn)行嚴(yán)格的形式化證明是必要的。

5結(jié)束語(yǔ)

本文在對(duì)空間數(shù)據(jù)訪問(wèn)控制模型進(jìn)行深入研究的基礎(chǔ)上，總結(jié)現(xiàn)存模型的技術(shù)淵源、相互關(guān)系、發(fā)展脈絡(luò)，構(gòu)建了空間數(shù)據(jù)訪問(wèn)控制模型演進(jìn)圖。并重點(diǎn)從對(duì)DAC、MAC、RBAC這3種經(jīng)典訪問(wèn)控制模型的空間擴(kuò)展出發(fā)，對(duì)每一類經(jīng)典模型的研究成果選取一種典型代表進(jìn)行深入剖析，并與其它同類型訪問(wèn)控制模型展開(kāi)比較研究，分析各種空間數(shù)據(jù)訪問(wèn)控制模型的技術(shù)特點(diǎn)及優(yōu)缺點(diǎn)。在以上研究的基礎(chǔ)上，總結(jié)現(xiàn)有成果的技術(shù)特點(diǎn)和不足，提出空間數(shù)據(jù)訪問(wèn)控制模型的獨(dú)特需求，為進(jìn)一步研究提供依據(jù)，研究需求中大多數(shù)問(wèn)題是目前的研究成果未做到有效解決的，也是未來(lái)后續(xù)的研究工作方向。

參考文獻(xiàn)

[1] CHUN S A， ATLURI V. Protecting privacy from continuous high-resolution satellite surveillance＼[C＼]//Data and Application Security. IFIP International Federation for Information Processing. Boston， MA： Springer， 2002：233-244.

[2]ATLURI V， CHUN S A. An authorization model for geospatial data＼[J＼].IEEE Transactions on Dependable and Secure Computing，2004， 1（4）： 238-254.

[3]BERTINO E ， DAMIANI M L ， MOMINI D. An access control system for a Web map management service＼[C＼]// Proceedings of the 14th International Workshop on Research Issues on Data Engineering： Web Services for E-Commerce and E-Government Applications （RIDE' 04）. Boston， MA：IEEE，2004：33-39.

[4]BERTINO E， DAMIANI M L. A controlled access to spatial data on Web＼[C＼]// Proc. of the 7th AGILE Conf. on Geographic Information Science. Heraklion， Greece：Crete Univ. Press，2004： 369-377.

[5]BELUSSI A， BERTINO E， CATANIA B， et al. An authorization model for geographical maps＼[C＼]// Proc. 14th ACM GIS. Washington DC， USA：ACM， 2004：82-91.

[6]張德勝，馮登國(guó)，陳馳. 一種面向空間數(shù)據(jù)庫(kù)矢量數(shù)據(jù)的授權(quán)模型與實(shí)現(xiàn)方法＼[J＼]. 計(jì)算機(jī)研究與發(fā)展，2011，48（8）： 1524-1533.

[7]RAY I，KUMAR M. Towards a location-based mandatory access control model＼[J＼]. Computers & Security， 2006，25（1）：36-44.

[8]張妍， 陳馳， 馮登國(guó). 空間矢量數(shù)據(jù)細(xì)粒度強(qiáng)制查詢?cè)L問(wèn)控制模型及其高效實(shí)現(xiàn)＼[J＼]. 軟件學(xué)報(bào)，2011，22（8）： 1872-1883.

[9]OH Y H， BAE H Y.6 MLS/SDM： Multi-level secure spatial data model＼[C＼]// International Conference on Computational Science and Its Applications-ICCSA 2004. Assisi， Italy：dblp， 2004： 222-229.

[10]BERTINO E， CATANIA B， DAMIANI M L， et al. GEO-RBAC： A spatially aware RBAC＼[C＼]//Proceedings of the tenth ACM symposium on Access control models and technologies. Stockholm， Sweden：ACM， 2005：29-37.

[11]RAY I， KUMAR M， YU Lijun. LRBAC： A location-aware role-based access control model＼[C＼]// International Conference on Information Systems Security. Berlin/Heidelberg：Springer， 2006：147-161.

[12]CHANDRAN S M， JOSHI J B D. LoT RBAC： A location and time-based RBAC model＼[C＼]// International Conference on Web Information Systems Engineering. Berlin/Heidelberg：Springer， 2005：361-375.

[13]RAY I，TOAHCHOODEE M. A spatio-temporal role-based access control model＼[C＼]// 21st Annual IFIP WG 11.3 Working Conference on Data and Applications Security. Redonodo Beach， CA， USA：Springer ，2007：211-226.

[14]AICH S， SURAL S，MAJUMDAR A K. STARBAC： Spatiotemporal role based access control＼[C＼]// 2007 OTM confederated international conference on the move to meaningful internet systems： CoopIS， DOA， ODBASE， GADA， and IS （OTM'07）. Berlin/Heidelberg：Springer-Verlag， 2007：1567-1582.

[15]AICH S， MONDAL S， SURAL S， et al. Role based access control with spatiotemporal context for mobile applications＼[C＼]// Transactions on Computational Science IV. Berlin/ Heidelberg：Springer，2009： 177-199.