空間數據訪問控制模型研究

張瑩

文章編號： 2095-2163（2018）03-0095-07中圖分類號： 文獻標志碼： A

摘要： 關鍵詞： （1 School of Cyber Security， University of Chinese Academy of Sciences， Beijing 100049， China； 2 Institute of Information Engineering，

Chinese Academy of Sciences， Beijing 100093， China； 3 Liaoning Technical University， Fuxin Liaoning 123000， China）

Abstract： In the scene of spatial data applications， there is an increasing need to implement access control to spatial object. Most of the research result on spatial data access control model is based on the traditional data access control model. It is focused on implementing spatial expansion based on the traditional data access control model， adding the spatial attributes of the subject and object， providing the support for the spatial operation， and realizing the fine-grained authorization of the spatial object. Based on the deep research on the spatial data access control model， this paper summarizes the technical origin， the interrelation and the development context of the existing models. Starting from the spatial expansion of the three classical access control models， this paper focuses on the analysis of several typical spatial data access control models. After that， the paper analyzes the technical features， advantages and disadvantages of various spatial data access control models， and proposes the unique research demands for a spatial data access control model ，which could provide the basis for the further study.

Key words：

作者簡介：

收稿日期： 引言

遙感、衛星影像、測繪、定位導航等技術的進展，為空間數據基礎設施的建立和完善奠定了基礎，使空間數據的采集效率顯著提高。實時空間數據和高分辨率空間數據無處不在，除了傳統的地理信息系統（GIS）外，空間數據還已廣泛應用于諸如計算機輔助設計和制造（CAD/CAM）、多媒體數據庫、移動數據庫等多個領域，空間數據已實現了從傳統的軍事應用向軍民共用的過渡，隨之而來的是敏感空間數據和個人隱私數據日益嚴重的安全威脅。因此，信息安全和地理信息系統2個領域的學者已經陸續開始關注空間數據安全的研究，將空間數據訪問控制作為空間數據研究的一個專門方向。

訪問控制模型是訪問控制機制的實施規范，是從抽象層次上對訪問控制系統進行定義，解釋了對合法用戶進行授權、防止未授權用戶非法訪問以及對合法用戶的越權訪問實施控制的安全運行機理，其中涉及的基本對象包括主體、客體、訪問控制策略以及強制執行機制。多年來，世界各國的學者對訪問控制模型展開了卓有成效的研究，提出了自主訪問控制（DAC）、強制訪問控制（MAC）、基于角色的訪問控制（RBAC）3種經典訪問控制模型。隨著分布式計算、網絡計算和普適計算的相繼問世，對訪問控制模型也衍生了更新要求，研究者又先后提出了基于任務的訪問控制模型、基于團隊的訪問控制模型、使用控制模型、基于屬性的訪問控制模型、基于時空的訪問控制模型、基于信任的訪問控制模型、基于行為的訪問控制模型和基于屬性的訪問控制模型等一系列新型訪問控制模型。

空間數據訪問控制模型的研究力圖在傳統模型的基礎上，提出兼容空間數據特性的訪問控制模型。研究可前溯至2000年，Chun等在第14屆IFIP 11.3數據庫安全年度工作會議上發表了論文[1]，首次提出了針對空間數據的訪問控制模型GSAM。此后，研究人員又紛紛研發了各種空間數據訪問控制模型，形成了空間數據訪問控制模型的體系化研究成果?；贒AC的模型大多是在研究早期進入學界視野的，而基于MAC的模型成果較少，研究的熱點主要集中在基于RBAC的模型中。

1空間數據自主訪問模型剖析

在DAC模型的基礎上，擴展對空間主體、空間客體、空間操作的支持，從而形成空間自主訪問控制模型。圍繞這一主題，研究工作可詳述如下。

1.1GSAM模型[2]

基于DAC的空間訪問控制模型GSAM （Geospatial Data Authorization Model）[2]可同時處理矢量和柵格數據結構，且主要針對多分辨率柵格數據，控制不同用戶對不同分辨率數據的訪問權限。該模型對時間和空間數據的表示方法進行了精確定義，用來設計闡析空間主、客體的時空屬性。這里，針對該模型的研究內容可分述如下。

（1）主體標識及主體證書。GSAM模型同時支持針對主體標識和主體證書的授權。其中，主體標識是授權主體的唯一標識，對主體標識的授權是針對唯一特定主體的。主體證書的概念使模型具有了基于屬性的訪問控制特征，即對授權主體的識別不再僅依賴單一的主體標識，而是可以由主體證書中若干屬性值的綜合作用來共同決定。模型定義了主體、主體證書、證書類型、證書類型層次等不同層面的基礎概念。研究推得其相互關系如圖1所示。

（2）時空客體。GSAM模型對時空客體表達式來定義授權客體，對滿足時空客體表達式的客體進行訪問授權，對時空客體表達式的定義涉及到空間客體、客體類型以及客體類型層次的概念，可研究推得其相互關系如圖2所示。

（3）權限模式。GSAM模型可實現三大類型的權限模式，具體包括：查看、復制和維護。其中，查看模式分為靜態和動態2種：靜態查看包括查看縮略圖、查看注釋、查看3種操作模式；動態查看包括放大、疊加、標識、動畫以及飛越模式。復制包括下載和下載數據2種模式。維護包括插入、修改、刪除和生成模式。在現有的空間數據訪問控制模型中，GSAM模型提供了較豐富的圖形操作。

（4）時空授權。GSAM模型采用基于SAR（Subject-Action-Resource）的授權方法，在傳統授權三元組（主體，客體，權限模式）的基礎上進行空間擴展，擴充授權三元組為授權四元組（ce，ge，pr，τ）。其中，ce為主體證書表達式，既可以是主體標識，也可以是一個主體證書集，用來表示授權主體；ge為時空客體表達式，可以用邏輯地址或時空客體的形式表示允許訪問的客體；pr為權限模式；τ為時間項，用來指定授權的有效期。

1.2其它基于DAC的模型

GASM模型是空間數據庫訪問控制模型中對自主訪問控制模型進行空間擴展的典型代表。此外，文獻＼[3-5＼]提出了針對Web GIS的空間數據訪問控制方法，而且都是針對矢量數據實施訪問控制。文獻＼[3-4＼]在傳統自主訪問控制的基礎上引入了授權要素類和授權窗口的概念，前者是指以簡單要素地理幾何模型中的要素類作為授權客體，后者用來指定被授權的地理區域范圍。文獻＼[5＼]為了簡化模型的定義、強化空間數據拓撲關系，首先對LSDM模型（Layered Spatial Data Model）進行了修改，定義了空間數據模型（Topological Spatial Data Model， TSDM），并以此為基礎實施訪問控制，提出的訪問控制模型考慮了細粒度訪問控制、肯定和否定授權、授權傳播規則以及強弱授權。

文獻＼[6＼]提出的空間數據訪問控制模型PBAC針對空間數據庫矢量數據對自主訪問控制模型進行了擴展：一是增加了指定用戶可訪問區域的授權謂詞；二是通過授權類型支持肯定和否定授權；三是設計了權限傳播規則。

1.3空間DAC模型的比較研究

基于DAC的空間訪問控制模型分別依據不同空間數據模型的特點進行擴展：對于柵格數據，主要考慮限制用戶對不同分辨率客體的訪問權限；對于矢量數據，主要考慮將空間區域定義為授權客體的細粒度訪問控制需求。各個模型具有不同的特點，綜合分析結果可見表1。

對傳統MAC模型進行各種形式的空間擴展得到基于MAC的空間數據訪問控制模型。以此為核心，該項技術研究可詳論如下。

2.1LMAC[7]模型

LMAC模型（Location-based MAC Model）[7]是在BLP模型的基礎上對其中各組件進行空間擴展得到的空間數據強制訪問控制模型，該模型在精確定義位置及位置安全級的基礎上，通過一系列的約束定義建立主、客體的位置相關性，并將位置信息作用于安全條件，來獲得操作的位置相關性。該模型同時可實現對用戶位置的隱私保護。針對該模型的研究內容，可具體闡釋如下。

（1）位置。LMAC模型首先對位置、位置間的包含和相等關系做出形式化定義，并由位置包含關系形成位置層次。同時定義了位置安全級，其約束條件體現了位置層次關系對位置安全級的約束作用。

（2）用戶及主體。LMAC模型的用戶（主體）具有位置和安全標簽2個屬性，同時基于位置也具有安全級這一前提，因此用戶行為實際上受位置安全級和安全標簽所規定的用戶安全級的共同約束。模型定義了低安全級用戶不得進入高安全級位置約束條件，用戶的位置信息和登錄安全級會傳遞給由該用戶創建的主體（進程），且有約束條件被創建主體的安全級必須受主體位置安全級支配。

（3）客體。LMAC模型客體也具有位置和安全標簽2個屬性，同時定義了客體安全標簽設定的安全級必須受客體所在位置安全級的支配的約束，即不允許高等級客體存放于低等級位置。

（4）操作。 LMAC模型支持讀、寫操作，且定義了可執行操作的主體位置約束和可執行操作的客體位置約束，同時對BLP模型的簡單安全屬性和受限*屬性給出了重新定義，在安全條件中也增加了位置約束。

2.2其它基于MAC的模型

文獻＼[8＼]提出了空間矢量數據強制訪問控制模型SV_MAC（Spatial Vector data Mandatory Access Control model），這是一種以簡單要素數據模型為基礎的矢量數據強制訪問控制模型。模型對空間對象的矢量要素進行子塊拆分，訪問控制粒度可以細化到每一個地理要素子塊。過程中，首先形式化定義了空間矢量數據模型，包括數據庫模型、數據庫實例和數據查詢。然后規范配置了空間數據安全標簽設定策略，并在此基礎上設計添加了安全標簽的數據庫實例以及基于安全標簽的受控查詢。

文獻[9]提出多級安全空間數據模型MLS/SDM（Multi-level Secure Spatial Data Model），重點研究了空間數據模型SDM（Spatial Data Model），對空間類和非空間類進行區別定義，并定義了帶有安全標簽的空間數據類和空間關系類，在此基礎上可以為空間視圖、空間圖層、空間塊、空間對象4種不同粒度的空間客體設置安全標簽，從而實現細粒度的強制訪問控制。此外，模型還定義了空間約束關系，包括空間類約束和空間拓撲約束。

2.3空間MAC模型的比較研究

目前，基于強制模型的空間訪問控制研究均針對矢量數據模型。矢量數據模型將單獨的地理要素存儲為一條記錄，對其執行適當的空間操作，就可以有效地解決強制模型中基于空間區域授權和細粒度訪問控制的問題，比較容易實現客體標簽的設置。研究中，將2種空間MAC模型的特點歸納整合后，最終結果可見表2。

對傳統RBAC模型進行各種形式的空間擴展，從而得到基于MAC的空間數據訪問控制模型。立足于該項研究，論述內容詳見如下。

3.1GEO-RBAC模型

GEO-RBAC模型[10]在NIST RBAC標準的基礎上擴展了對空間數據和位置信息的支持，具體通過空間角色、角色位置、角色模式、角色實例、授權/非授權角色的定義實現空間數據基于位置的訪問控制。與傳統數據RBAC模型一致，GEO-RBAC也是一個模型族，共由3個組件構成，分別是：

（1） 核心GEO-RBAC模型。

（2） 層次GEO-RBAC，記作GEO-HRBAC模型。

（3） 約束GEO-RBAC模型。

研究中，對此設計提出的功能闡析可綜述如下。

（1）GEO-RBAC的空間數據。GEO-RBAC模型在簡單要素模型的基礎上定義了空間感知的客體，而空間客體被定義為要素集合的子集。

空間角色是一個包含角色名和角色空間范圍的二元組。其中，角色范圍說明了角色的有效空間邊界，同一角色名與不同角色空間范圍的組合對應不同的空間角色。

GEO-RBAC模型中，通過位置定義使模型具備了位置相關性。

（2）核心GEO-RBAC模型。在傳統RBAC核心模型的基礎上，核心GEO-RBAC模型的主要擴展是對角色模式和角色實例的區分以及授權/非授權角色概念的研發設計。其中，角色模式是同類角色的抽象。

與NIST RBAC標準類似，用戶登錄創建會話的同時激活與用戶相關聯的角色。若用戶當前位置被角色空間范圍包含，激活角色會成為授權角色。用戶可以直接從授權角色獲得權限，也可以從其對應的角色模式繼承權限，用于授權判定，授權角色的劃定實現了對用戶的位置約束。

（3）層次GEO-RBAC模型。層次GEO-RBAC定義了2種層次關系，分別為角色模式層次和角色實例層次。2種層次關系一方面簡化了角色授權，子孫模式可以繼承祖先模式的權限，子孫實例可以繼承祖先實例的權限；同時，角色實例還可以繼承對應的角色模式的權限。另一方面，由于繼承關系復雜，使得某一實例實際獲取權限的管理變得難以控制。

（4）約束GEO-RBAC模型。職責分離約束（SoD）是為了阻止單一個體同時完成敏感且互斥的任務時產生沖突。在約束GEO-RBAC中，依據約束的粒度、維度、驗證的時間對SoD約束進行了分類。

3.2其它基于RBAC的模型

對RBAC模型進行空間擴展的研究成果較多，特別是在移動服務以及基于位置的服務場景下，對于資源的訪問控制則要斟酌調用主、客體所處的空間位置和時間屬性。

文獻＼[11-15＼]都對傳統的RBAC模型進行了時、空擴展，相應提出了LRBAC 、LoT-RBAC、Spatio-temporal RBAC、STARBAC、ESTARBAC模型，每一模型各有其特點?？偟貋碚f，LRBAC模型（Location-Aware Role-Based Access Control Model）＼[11＼]，在定義位置及其拓撲關系的基礎上，實現了基于位置的核心RBAC的空間擴展，并使用Z語言對位置感知命令展開了詳細的描述。LoT-RBAC模型（Location and Time-Based RBAC Model）＼[12＼]首先新建了位置上下文模型，其中不僅定義了物理位置、邏輯位置及位置關系，還定義了相對位置和位置層次關系，從而增強了LoT-RBAC模型的位置表達能力。在精確定義位置的基礎上，該模型還對用戶、角色和權限進行了添加時空屬性的形式化定義。最后，該模型又通過定義事件和觸發器實現時空約束。Spatio-temporal RBAC模型＼[13＼]在LRBAC和LoT-RBAC模型的基礎上增加了對權限和角色分配的時空約束，同時擴展了時空屬性對角色層次和職責分離的影響。STARBAC模型（Spatiotemporal Role Based Access Control Model）＼[14＼]對實現時空RBAC的貢獻在于提出了時空條件的定義，支持多個時間以及空間約束條件的邏輯連接，同時還形式化表述了角色控制命令的概念。ESTARBAC模型（Enhanced Spatiotemporal Role Based Access Control Model）＼[15＼]擴展了STARBAC模型：一是描述了訪問控制判定算法，并給出了應用案例；二是研究引入了權限的時空屬性以及時空約束下的職責分離。

3.3空間RBAC模型的比較研究

RBAC模型是當前訪問控制模型研究和應用的熱點。對RBAC模型的研究不僅對模型組件進行各種形式的重新定義，以用于空間數據的訪問控制，而且通過對傳統RBAC添加空間和時間數據模型及時空約束關系的定義，使訪問控制判定結果與主、客體的當前時空數據相關，形成時空RBAC模型。至此，即將3種空間RBAC模型的特點經過概括匯總后，即得分析對比結果可見

與傳統數據庫訪問控制模型相比，由于空間數據組織和訪問方式的特點，空間數據訪問控制的需求將會更加豐富。相應地，模型中的各組件也要有更為復雜的定義和約束。

4.1定義空間訪問控制模型的前提條件

針對復雜多樣的空間數據，其訪問控制模型的提出要求有統一標準的空間數據模型和空間上、下文的規范表示作為前提條件，可分別描述如下。

（1）空間數據模型的定義。在空間數據庫中，數據的組織方式和存儲結構多種多樣，常用的邏輯結構有矢量數據和柵格數據2種，而每一種邏輯結構又對應多種不同的物理存儲結構和數據檢索方式。標準化的空間數據模型是空間數據訪問控制模型的基礎條件，其主要需求是：

① 能實現矢量、柵格數據的一體化存儲管理。

② 對矢量、柵格數據一體化圖形操作及其相互關系的支持。

③ 空間數據關系的定義和表示方法。

④ 具有兼容新型空間數據的可伸縮性。

（2）空間上下文模型。空間數據訪問控制通常要考慮主、客體以及操作的空間上下文屬性。上下文數據的正確獲取和表示也是空間數據訪問控制模型的前提條件。其主要需求是：

① 上下文信息的類型選擇，比如位置上下文、時間上下文、近鄰上下文、運行環境上下文等。

② 上下文信息的獲取方法。

③ 上下文信息的精確定義和表示。

4.2空間訪問控制模型的研究需求

與傳統訪問控制模型的組件相比，空間數據訪問控制模型對各模型組件還提出了更為復雜的控制需求，研究要點表示如下：

（1）訪問主體的控制需求。空間數據訪問控制模型對訪問主體的控制需求主要包括：

① 主體身份識別方式。

② 主體的成組與授權簡化。

③ 主體的上下文相關性。

④ 主體的移動性及軌跡數據處理。

（2）資源客體的控制需求?？臻g數據訪問控制模型對資源客體的控制需求主要包括：

① 訪問控制粒度，特別是細粒度訪問控制機制。

② 對不同尺度/分辨率數據的訪問控制。

③ 訪問控制客體的維度，包括空間客體和非空間客體的區分。

④ 客體上下文相關性。

⑤ 客體的移動性。

（3）操作模式的控制需求?？臻g操作形式多樣，空間數據訪問控制模型對操作授權時需要考慮：

① 模型對操作支持的完備性。

② 操作間關系分析及授權自動引出機制。

③ 操作的上下文相關性。

④ 特定空間操作可能引發的信息非法訪問和推理通道。

（4）訪問控制授權的需求。由于空間數據的獨特性質及空間主、客體和操作模式的復雜性，空間數據訪問控制授權的需求主要考慮：

① 權限繼承機制。

② 肯定、否定授權的支持。

③ 權限傳播方式。

④ 授權和策略的動態改變。

⑤ 授權冗余的檢測和消除。

⑥ 授權一致性、授權沖突的檢測和消解。

⑦ 多域授權的策略合并。

⑧ 基于客體間空間關系的授權。

⑨ 授權約束條件的定義。

⑩ 授權自動引出和推理機制。

（5）對模型安全性證明的需求。傳統數據訪問控制模型的安全性大多經過嚴格的形式化證明，特別是MAC模型。但當對其進行空間擴展時，由于空間數據及操作的復雜性，模型安全可能出現漏洞。但對空間數據訪問控制模型的大多數研究成果都沒有對模型安全性進行再證明，而是以其溯源起始的傳統模型的安全性為模型安全前提，所以對空間數據訪問控制模型安全性進行嚴格的形式化證明是必要的。

5結束語

本文在對空間數據訪問控制模型進行深入研究的基礎上，總結現存模型的技術淵源、相互關系、發展脈絡，構建了空間數據訪問控制模型演進圖。并重點從對DAC、MAC、RBAC這3種經典訪問控制模型的空間擴展出發，對每一類經典模型的研究成果選取一種典型代表進行深入剖析，并與其它同類型訪問控制模型展開比較研究，分析各種空間數據訪問控制模型的技術特點及優缺點。在以上研究的基礎上，總結現有成果的技術特點和不足，提出空間數據訪問控制模型的獨特需求，為進一步研究提供依據，研究需求中大多數問題是目前的研究成果未做到有效解決的，也是未來后續的研究工作方向。

參考文獻

[1] CHUN S A， ATLURI V. Protecting privacy from continuous high-resolution satellite surveillance＼[C＼]//Data and Application Security. IFIP International Federation for Information Processing. Boston， MA： Springer， 2002：233-244.

[2]ATLURI V， CHUN S A. An authorization model for geospatial data＼[J＼].IEEE Transactions on Dependable and Secure Computing，2004， 1（4）： 238-254.

[3]BERTINO E ， DAMIANI M L ， MOMINI D. An access control system for a Web map management service＼[C＼]// Proceedings of the 14th International Workshop on Research Issues on Data Engineering： Web Services for E-Commerce and E-Government Applications （RIDE' 04）. Boston， MA：IEEE，2004：33-39.

[4]BERTINO E， DAMIANI M L. A controlled access to spatial data on Web＼[C＼]// Proc. of the 7th AGILE Conf. on Geographic Information Science. Heraklion， Greece：Crete Univ. Press，2004： 369-377.

[5]BELUSSI A， BERTINO E， CATANIA B， et al. An authorization model for geographical maps＼[C＼]// Proc. 14th ACM GIS. Washington DC， USA：ACM， 2004：82-91.

[6]張德勝，馮登國，陳馳. 一種面向空間數據庫矢量數據的授權模型與實現方法＼[J＼]. 計算機研究與發展，2011，48（8）： 1524-1533.

[7]RAY I，KUMAR M. Towards a location-based mandatory access control model＼[J＼]. Computers & Security， 2006，25（1）：36-44.

[8]張妍， 陳馳， 馮登國. 空間矢量數據細粒度強制查詢訪問控制模型及其高效實現＼[J＼]. 軟件學報，2011，22（8）： 1872-1883.

[9]OH Y H， BAE H Y.6 MLS/SDM： Multi-level secure spatial data model＼[C＼]// International Conference on Computational Science and Its Applications-ICCSA 2004. Assisi， Italy：dblp， 2004： 222-229.

[10]BERTINO E， CATANIA B， DAMIANI M L， et al. GEO-RBAC： A spatially aware RBAC＼[C＼]//Proceedings of the tenth ACM symposium on Access control models and technologies. Stockholm， Sweden：ACM， 2005：29-37.

[11]RAY I， KUMAR M， YU Lijun. LRBAC： A location-aware role-based access control model＼[C＼]// International Conference on Information Systems Security. Berlin/Heidelberg：Springer， 2006：147-161.

[12]CHANDRAN S M， JOSHI J B D. LoT RBAC： A location and time-based RBAC model＼[C＼]// International Conference on Web Information Systems Engineering. Berlin/Heidelberg：Springer， 2005：361-375.

[13]RAY I，TOAHCHOODEE M. A spatio-temporal role-based access control model＼[C＼]// 21st Annual IFIP WG 11.3 Working Conference on Data and Applications Security. Redonodo Beach， CA， USA：Springer ，2007：211-226.

[14]AICH S， SURAL S，MAJUMDAR A K. STARBAC： Spatiotemporal role based access control＼[C＼]// 2007 OTM confederated international conference on the move to meaningful internet systems： CoopIS， DOA， ODBASE， GADA， and IS （OTM'07）. Berlin/Heidelberg：Springer-Verlag， 2007：1567-1582.

[15]AICH S， MONDAL S， SURAL S， et al. Role based access control with spatiotemporal context for mobile applications＼[C＼]// Transactions on Computational Science IV. Berlin/ Heidelberg：Springer，2009： 177-199.