帶有空間特性角色約束的研究.pdf

1、空間數(shù)據(jù)庫(kù)和基于移動(dòng)用戶位置的信息服務(wù)正得到日益廣泛的應(yīng)用，對(duì)訪問(wèn)控制模型也具有特殊要求：用戶地理位置的變化通常會(huì)引起用戶權(quán)限的動(dòng)態(tài)變化。因此，空間信息在訪問(wèn)控制模型中是一個(gè)關(guān)鍵的上下文參數(shù)。然而，傳統(tǒng)的訪問(wèn)控制模型(如，強(qiáng)制訪問(wèn)控制、自主訪問(wèn)控制、基于角色的訪問(wèn)控制)都是典型的非上下文敏感的，它們需要復(fù)雜而又靜態(tài)的認(rèn)證基礎(chǔ)設(shè)施。因此，不能夠適應(yīng)空間數(shù)據(jù)庫(kù)的訪問(wèn)控制要求。 為了滿足上述要求，需要提出一種支持空間能力的訪問(wèn)控制模型

2、。在位置感知的應(yīng)用程序中，用戶經(jīng)常被分組為不同類別，因此基于角色訪問(wèn)控制(RBAC)模型是個(gè)合理的選擇。在空間環(huán)境下，角色所具有權(quán)限的施用受到角色作用域的制約。只有當(dāng)用戶所處的當(dāng)前空間位置在其所扮演角色的空間域范圍內(nèi)才能被授予對(duì)客體的操作權(quán)限。系統(tǒng)在進(jìn)行訪問(wèn)控制決策時(shí)必須根據(jù)客體和用戶的空間位置來(lái)授予或取消權(quán)限。將現(xiàn)有的RBAC模型應(yīng)用到空間數(shù)據(jù)的訪問(wèn)控制時(shí)，必須對(duì)其進(jìn)行改進(jìn)，增加對(duì)空間數(shù)據(jù)安全特性的支持。以適應(yīng)空間數(shù)據(jù)庫(kù)中用戶權(quán)限與其

3、所處空間位置之間的映射關(guān)系。 本文以空間數(shù)據(jù)庫(kù)管理系統(tǒng)PostgreSQL(以下簡(jiǎn)稱PG)為平臺(tái)，研究支持空間特性的角色訪問(wèn)控制模型Spatial—RBAC(SpatialRole—Based Access Control)的特性，以增強(qiáng)RBAC模型對(duì)空間特性的描述能力，豐富和完善空間數(shù)據(jù)庫(kù)安全理論，為軍事、銀行、證券等信息敏感行業(yè)建立更為嚴(yán)密的信息安全防護(hù)體系奠定理論基礎(chǔ)。具體研究?jī)?nèi)容包括： (1)根據(jù)約束集的可滿足性

4、、無(wú)互斥、無(wú)冗余等要求，定義了在空間環(huán)境下的空間區(qū)域約束、空間職責(zé)分離約束和空間角色激活基數(shù)約束。并給出了各種約束的形式化描述； (2)詳細(xì)研究了空間職責(zé)分離約束的實(shí)施策略，使用最小空間互斥角色約束作為實(shí)施機(jī)制，能有效避免冗余約束準(zhǔn)確實(shí)施空間職責(zé)分離約束； (3)根據(jù)互斥用戶集、互斥角色集、互斥權(quán)限集，構(gòu)建了具體的空間約束庫(kù)； (4)研究了空間約束的觸發(fā)機(jī)制，當(dāng)用戶在一個(gè)空間區(qū)域內(nèi)建立會(huì)話，如果存在與該會(huì)話相關(guān)約

5、束，系統(tǒng)自動(dòng)觸發(fā)該約束，控制會(huì)話運(yùn)行。如果不存在與該會(huì)話相關(guān)約束，則會(huì)話一直運(yùn)行到結(jié)束或有其他會(huì)話中止當(dāng)前這個(gè)會(huì)話為止。從而最終建立一個(gè)精確、通用、空間描述能力強(qiáng)的Spatial—RBAC模型。 (5)從訪問(wèn)控制策略方面對(duì)PG的設(shè)計(jì)方案進(jìn)行闡述，提出了一種基于空間角色的數(shù)據(jù)庫(kù)訪問(wèn)控制系統(tǒng)方案，該方案將Spatial—RBAC模型嵌入到PG服務(wù)器端的訪問(wèn)代理程序中，整個(gè)系統(tǒng)由授權(quán)管理和訪問(wèn)代理兩個(gè)子系統(tǒng)組成，增強(qiáng)了PG的訪問(wèn)控制能