张莹

文章编号： 2095-2163（2018）03-0095-07中图分类号： 文献标志码： A

摘要： 关键词： （1 School of Cyber Security， University of Chinese Academy of Sciences， Beijing 100049， China； 2 Institute of Information Engineering，

Chinese Academy of Sciences， Beijing 100093， China； 3 Liaoning Technical University， Fuxin Liaoning 123000， China）

Abstract： In the scene of spatial data applications， there is an increasing need to implement access control to spatial object. Most of the research result on spatial data access control model is based on the traditional data access control model. It is focused on implementing spatial expansion based on the traditional data access control model， adding the spatial attributes of the subject and object， providing the support for the spatial operation， and realizing the fine-grained authorization of the spatial object. Based on the deep research on the spatial data access control model， this paper summarizes the technical origin， the interrelation and the development context of the existing models. Starting from the spatial expansion of the three classical access control models， this paper focuses on the analysis of several typical spatial data access control models. After that， the paper analyzes the technical features， advantages and disadvantages of various spatial data access control models， and proposes the unique research demands for a spatial data access control model ，which could provide the basis for the further study.

Key words：

作者簡介：

收稿日期： 引言

遥感、卫星影像、测绘、定位导航等技术的进展，为空间数据基础设施的建立和完善奠定了基础，使空间数据的采集效率显著提高。实时空间数据和高分辨率空间数据无处不在，除了传统的地理信息系统（GIS）外，空间数据还已广泛应用于诸如计算机辅助设计和制造（CAD/CAM）、多媒体数据库、移动数据库等多个领域，空间数据已实现了从传统的军事应用向军民共用的过渡，随之而来的是敏感空间数据和个人隐私数据日益严重的安全威胁。因此，信息安全和地理信息系统2个领域的学者已经陆续开始关注空间数据安全的研究，将空间数据访问控制作为空间数据研究的一个专门方向。

访问控制模型是访问控制机制的实施规范，是从抽象层次上对访问控制系统进行定义，解释了对合法用户进行授权、防止未授权用户非法访问以及对合法用户的越权访问实施控制的安全运行机理，其中涉及的基本对象包括主体、客体、访问控制策略以及强制执行机制。多年来，世界各国的学者对访问控制模型展开了卓有成效的研究，提出了自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）3种经典访问控制模型。随着分布式计算、网络计算和普适计算的相继问世，对访问控制模型也衍生了更新要求，研究者又先后提出了基于任务的访问控制模型、基于团队的访问控制模型、使用控制模型、基于属性的访问控制模型、基于时空的访问控制模型、基于信任的访问控制模型、基于行为的访问控制模型和基于属性的访问控制模型等一系列新型访问控制模型。

空间数据访问控制模型的研究力图在传统模型的基础上，提出兼容空间数据特性的访问控制模型。研究可前溯至2000年，Chun等在第14届IFIP 11.3数据库安全年度工作会议上发表了论文[1]，首次提出了针对空间数据的访问控制模型GSAM。此后，研究人员又纷纷研发了各种空间数据访问控制模型，形成了空间数据访问控制模型的体系化研究成果。基于DAC的模型大多是在研究早期进入学界视野的，而基于MAC的模型成果较少，研究的热点主要集中在基于RBAC的模型中。

1空间数据自主访问模型剖析

在DAC模型的基础上，扩展对空间主体、空间客体、空间操作的支持，从而形成空间自主访问控制模型。围绕这一主题，研究工作可详述如下。

1.1GSAM模型[2]

基于DAC的空间访问控制模型GSAM （Geospatial Data Authorization Model）[2]可同时处理矢量和栅格数据结构，且主要针对多分辨率栅格数据，控制不同用户对不同分辨率数据的访问权限。该模型对时间和空间数据的表示方法进行了精确定义，用来设计阐析空间主、客体的时空属性。这里，针对该模型的研究内容可分述如下。

（1）主体标识及主体证书。GSAM模型同时支持针对主体标识和主体证书的授权。其中，主体标识是授权主体的唯一标识，对主体标识的授权是针对唯一特定主体的。主体证书的概念使模型具有了基于属性的访问控制特征，即对授权主体的识别不再仅依赖单一的主体标识，而是可以由主体证书中若干属性值的综合作用来共同决定。模型定义了主体、主体证书、证书类型、证书类型层次等不同层面的基础概念。研究推得其相互关系如图1所示。

（2）时空客体。GSAM模型对时空客体表达式来定义授权客体，对满足时空客体表达式的客体进行访问授权，对时空客体表达式的定义涉及到空间客体、客体类型以及客体类型层次的概念，可研究推得其相互关系如图2所示。

（3）权限模式。GSAM模型可实现三大类型的权限模式，具体包括：查看、复制和维护。其中，查看模式分为静态和动态2种：静态查看包括查看缩略图、查看注释、查看3種操作模式；动态查看包括放大、叠加、标识、动画以及飞越模式。复制包括下载和下载数据2种模式。维护包括插入、修改、删除和生成模式。在现有的空间数据访问控制模型中，GSAM模型提供了较丰富的图形操作。

（4）时空授权。GSAM模型采用基于SAR（Subject-Action-Resource）的授权方法，在传统授权三元组（主体，客体，权限模式）的基础上进行空间扩展，扩充授权三元组为授权四元组（ce，ge，pr，τ）。其中，ce为主体证书表达式，既可以是主体标识，也可以是一个主体证书集，用来表示授权主体；ge为时空客体表达式，可以用逻辑地址或时空客体的形式表示允许访问的客体；pr为权限模式；τ为时间项，用来指定授权的有效期。

1.2其它基于DAC的模型

GASM模型是空间数据库访问控制模型中对自主访问控制模型进行空间扩展的典型代表。此外，文献＼[3-5＼]提出了针对Web GIS的空间数据访问控制方法，而且都是针对矢量数据实施访问控制。文献＼[3-4＼]在传统自主访问控制的基础上引入了授权要素类和授权窗口的概念，前者是指以简单要素地理几何模型中的要素类作为授权客体，后者用来指定被授权的地理区域范围。文献＼[5＼]为了简化模型的定义、强化空间数据拓扑关系，首先对LSDM模型（Layered Spatial Data Model）进行了修改，定义了空间数据模型（Topological Spatial Data Model， TSDM），并以此为基础实施访问控制，提出的访问控制模型考虑了细粒度访问控制、肯定和否定授权、授权传播规则以及强弱授权。

文献＼[6＼]提出的空间数据访问控制模型PBAC针对空间数据库矢量数据对自主访问控制模型进行了扩展：一是增加了指定用户可访问区域的授权谓词；二是通过授权类型支持肯定和否定授权；三是设计了权限传播规则。

1.3空间DAC模型的比较研究

基于DAC的空间访问控制模型分别依据不同空间数据模型的特点进行扩展：对于栅格数据，主要考虑限制用户对不同分辨率客体的访问权限；对于矢量数据，主要考虑将空间区域定义为授权客体的细粒度访问控制需求。各个模型具有不同的特点，综合分析结果可见表1。

对传统MAC模型进行各种形式的空间扩展得到基于MAC的空间数据访问控制模型。以此为核心，该项技术研究可详论如下。

2.1LMAC[7]模型

LMAC模型（Location-based MAC Model）[7]是在BLP模型的基础上对其中各组件进行空间扩展得到的空间数据强制访问控制模型，该模型在精确定义位置及位置安全级的基础上，通过一系列的约束定义建立主、客体的位置相关性，并将位置信息作用于安全条件，来获得操作的位置相关性。该模型同时可实现对用户位置的隐私保护。针对该模型的研究内容，可具体阐释如下。

（1）位置。LMAC模型首先对位置、位置间的包含和相等关系做出形式化定义，并由位置包含关系形成位置层次。同时定义了位置安全级，其约束条件体现了位置层次关系对位置安全级的约束作用。

（2）用户及主体。LMAC模型的用户（主体）具有位置和安全标签2个属性，同时基于位置也具有安全级这一前提，因此用户行为实际上受位置安全级和安全标签所规定的用户安全级的共同约束。模型定义了低安全级用户不得进入高安全级位置约束条件，用户的位置信息和登录安全级会传递给由该用户创建的主体（进程），且有约束条件被创建主体的安全级必须受主体位置安全级支配。

（3）客体。LMAC模型客体也具有位置和安全标签2个属性，同时定义了客体安全标签设定的安全级必须受客体所在位置安全级的支配的约束，即不允许高等级客体存放于低等级位置。

（4）操作。 LMAC模型支持读、写操作，且定义了可执行操作的主体位置约束和可执行操作的客体位置约束，同时对BLP模型的简单安全属性和受限*属性给出了重新定义，在安全条件中也增加了位置约束。

2.2其它基于MAC的模型

文献＼[8＼]提出了空间矢量数据强制访问控制模型SV_MAC（Spatial Vector data Mandatory Access Control model），这是一种以简单要素数据模型为基础的矢量数据强制访问控制模型。模型对空间对象的矢量要素进行子块拆分，访问控制粒度可以细化到每一个地理要素子块。过程中，首先形式化定义了空间矢量数据模型，包括数据库模型、数据库实例和数据查询。然后规范配置了空间数据安全标签设定策略，并在此基础上设计添加了安全标签的数据库实例以及基于安全标签的受控查询。

文献[9]提出多级安全空间数据模型MLS/SDM（Multi-level Secure Spatial Data Model），重点研究了空间数据模型SDM（Spatial Data Model），对空间类和非空间类进行区别定义，并定义了带有安全标签的空间数据类和空间关系类，在此基础上可以为空間视图、空间图层、空间块、空间对象4种不同粒度的空间客体设置安全标签，从而实现细粒度的强制访问控制。此外，模型还定义了空间约束关系，包括空间类约束和空间拓扑约束。

2.3空间MAC模型的比较研究

目前，基于强制模型的空间访问控制研究均针对矢量数据模型。矢量数据模型将单独的地理要素存储为一条记录，对其执行适当的空间操作，就可以有效地解决强制模型中基于空间区域授权和细粒度访问控制的问题，比较容易实现客体标签的设置。研究中，将2种空间MAC模型的特点归纳整合后，最终结果可见表2。

对传统RBAC模型进行各种形式的空间扩展，从而得到基于MAC的空间数据访问控制模型。立足于该项研究，论述内容详见如下。

3.1GEO-RBAC模型

GEO-RBAC模型[10]在NIST RBAC标准的基础上扩展了对空间数据和位置信息的支持，具体通过空间角色、角色位置、角色模式、角色实例、授权/非授权角色的定义实现空间数据基于位置的访问控制。与传统数据RBAC模型一致，GEO-RBAC也是一个模型族，共由3个组件构成，分别是：

（1） 核心GEO-RBAC模型。

（2） 层次GEO-RBAC，记作GEO-HRBAC模型。

（3） 约束GEO-RBAC模型。

研究中，对此设计提出的功能阐析可综述如下。

（1）GEO-RBAC的空间数据。GEO-RBAC模型在简单要素模型的基础上定义了空间感知的客体，而空间客体被定义为要素集合的子集。

空间角色是一个包含角色名和角色空间范围的二元组。其中，角色范围说明了角色的有效空间边界，同一角色名与不同角色空间范围的组合对应不同的空间角色。

GEO-RBAC模型中，通过位置定义使模型具备了位置相关性。

（2）核心GEO-RBAC模型。在传统RBAC核心模型的基础上，核心GEO-RBAC模型的主要扩展是对角色模式和角色实例的区分以及授权/非授权角色概念的研发设计。其中，角色模式是同类角色的抽象。

与NIST RBAC标准类似，用户登录创建会话的同时激活与用户相关联的角色。若用户当前位置被角色空间范围包含，激活角色会成为授权角色。用户可以直接从授权角色获得权限，也可以从其对应的角色模式继承权限，用于授权判定，授权角色的划定实现了对用户的位置约束。

（3）层次GEO-RBAC模型。层次GEO-RBAC定义了2种层次关系，分别为角色模式层次和角色实例层次。2种层次关系一方面简化了角色授权，子孙模式可以继承祖先模式的权限，子孙实例可以继承祖先实例的权限；同时，角色实例还可以继承对应的角色模式的权限。另一方面，由于继承关系复杂，使得某一实例实际获取权限的管理变得难以控制。

（4）约束GEO-RBAC模型。职责分离约束（SoD）是为了阻止单一个体同时完成敏感且互斥的任务时产生冲突。在约束GEO-RBAC中，依据约束的粒度、维度、验证的时间对SoD约束进行了分类。

3.2其它基于RBAC的模型

对RBAC模型进行空间扩展的研究成果较多，特别是在移动服务以及基于位置的服务场景下，对于资源的访问控制则要斟酌调用主、客体所处的空间位置和时间属性。

文献＼[11-15＼]都对传统的RBAC模型进行了时、空扩展，相应提出了LRBAC 、LoT-RBAC、Spatio-temporal RBAC、STARBAC、ESTARBAC模型，每一模型各有其特点。总地来说，LRBAC模型（Location-Aware Role-Based Access Control Model）＼[11＼]，在定义位置及其拓扑关系的基础上，实现了基于位置的核心RBAC的空间扩展，并使用Z语言对位置感知命令展开了详细的描述。LoT-RBAC模型（Location and Time-Based RBAC Model）＼[12＼]首先新建了位置上下文模型，其中不仅定义了物理位置、逻辑位置及位置关系，还定义了相对位置和位置层次关系，从而增强了LoT-RBAC模型的位置表达能力。在精确定义位置的基础上，该模型还对用户、角色和权限进行了添加时空属性的形式化定义。最后，该模型又通过定义事件和触发器实现时空约束。Spatio-temporal RBAC模型＼[13＼]在LRBAC和LoT-RBAC模型的基础上增加了对权限和角色分配的时空约束，同时扩展了时空属性对角色层次和职责分离的影响。STARBAC模型（Spatiotemporal Role Based Access Control Model）＼[14＼]对实现时空RBAC的贡献在于提出了时空条件的定义，支持多个时间以及空间约束条件的逻辑连接，同时还形式化表述了角色控制命令的概念。ESTARBAC模型（Enhanced Spatiotemporal Role Based Access Control Model）＼[15＼]扩展了STARBAC模型：一是描述了访问控制判定算法，并给出了应用案例；二是研究引入了权限的时空属性以及时空约束下的职责分离。

3.3空间RBAC模型的比较研究

RBAC模型是当前访问控制模型研究和应用的热点。对RBAC模型的研究不仅对模型组件进行各种形式的重新定义，以用于空间数据的访问控制，而且通过对传统RBAC添加空间和时间数据模型及时空约束关系的定义，使访问控制判定结果与主、客体的当前时空数据相关，形成时空RBAC模型。至此，即将3种空间RBAC模型的特点经过概括汇总后，即得分析对比结果可见

与传统数据库访问控制模型相比，由于空间数据组织和访问方式的特点，空间数据访问控制的需求将会更加丰富。相应地，模型中的各组件也要有更为复杂的定义和约束。

4.1定义空间访问控制模型的前提条件

针对复杂多样的空间数据，其访问控制模型的提出要求有统一标准的空间数据模型和空间上、下文的規范表示作为前提条件，可分别描述如下。

（1）空间数据模型的定义。在空间数据库中，数据的组织方式和存储结构多种多样，常用的逻辑结构有矢量数据和栅格数据2种，而每一种逻辑结构又对应多种不同的物理存储结构和数据检索方式。标准化的空间数据模型是空间数据访问控制模型的基础条件，其主要需求是：

① 能实现矢量、栅格数据的一体化存储管理。

② 对矢量、栅格数据一体化图形操作及其相互关系的支持。

③ 空间数据关系的定义和表示方法。

④ 具有兼容新型空间数据的可伸缩性。

（2）空间上下文模型。空间数据访问控制通常要考虑主、客体以及操作的空间上下文属性。上下文数据的正确获取和表示也是空间数据访问控制模型的前提条件。其主要需求是：

① 上下文信息的类型选择，比如位置上下文、时间上下文、近邻上下文、运行环境上下文等。

② 上下文信息的获取方法。

③ 上下文信息的精确定义和表示。

4.2空间访问控制模型的研究需求

与传统访问控制模型的组件相比，空间数据访问控制模型对各模型组件还提出了更为复杂的控制需求，研究要点表示如下：

（1）访问主体的控制需求。空间数据访问控制模型对访问主体的控制需求主要包括：

① 主体身份识别方式。

② 主体的成组与授权简化。

③ 主体的上下文相关性。

④ 主体的移动性及轨迹数据处理。

（2）资源客体的控制需求。空间数据访问控制模型对资源客体的控制需求主要包括：

① 访问控制粒度，特别是细粒度访问控制机制。

② 对不同尺度/分辨率数据的访问控制。

③ 访问控制客体的维度，包括空间客体和非空间客体的区分。

④ 客体上下文相关性。

⑤ 客体的移动性。

（3）操作模式的控制需求。空间操作形式多样，空间数据访问控制模型对操作授权时需要考虑：

① 模型对操作支持的完备性。

② 操作间关系分析及授权自动引出机制。

③ 操作的上下文相关性。

④ 特定空间操作可能引发的信息非法访问和推理通道。

（4）访问控制授权的需求。由于空间数据的独特性质及空间主、客体和操作模式的复杂性，空间数据访问控制授权的需求主要考虑：

① 权限继承机制。

② 肯定、否定授权的支持。

③ 权限传播方式。

④ 授权和策略的动态改变。

⑤ 授权冗余的检测和消除。

⑥ 授权一致性、授权冲突的检测和消解。

⑦ 多域授权的策略合并。

⑧ 基于客体间空间关系的授权。

⑨ 授权约束条件的定义。

⑩ 授权自动引出和推理机制。

（5）对模型安全性证明的需求。传统数据访问控制模型的安全性大多经过严格的形式化证明，特别是MAC模型。但当对其进行空间扩展时，由于空间数据及操作的复杂性，模型安全可能出现漏洞。但对空间数据访问控制模型的大多数研究成果都没有对模型安全性进行再证明，而是以其溯源起始的传统模型的安全性为模型安全前提，所以对空间数据访问控制模型安全性进行严格的形式化证明是必要的。

5结束语

本文在对空间数据访问控制模型进行深入研究的基础上，总结现存模型的技术渊源、相互关系、发展脉络，构建了空间数据访问控制模型演进图。并重点从对DAC、MAC、RBAC这3种经典访问控制模型的空间扩展出发，对每一类经典模型的研究成果选取一种典型代表进行深入剖析，并与其它同类型访问控制模型展开比较研究，分析各种空间数据访问控制模型的技术特点及优缺点。在以上研究的基础上，总结现有成果的技术特点和不足，提出空间数据访问控制模型的独特需求，为进一步研究提供依据，研究需求中大多数问题是目前的研究成果未做到有效解决的，也是未来后续的研究工作方向。

参考文献

[1] CHUN S A， ATLURI V. Protecting privacy from continuous high-resolution satellite surveillance＼[C＼]//Data and Application Security. IFIP International Federation for Information Processing. Boston， MA： Springer， 2002：233-244.

[2]ATLURI V， CHUN S A. An authorization model for geospatial data＼[J＼].IEEE Transactions on Dependable and Secure Computing，2004， 1（4）： 238-254.

[3]BERTINO E ， DAMIANI M L ， MOMINI D. An access control system for a Web map management service＼[C＼]// Proceedings of the 14th International Workshop on Research Issues on Data Engineering： Web Services for E-Commerce and E-Government Applications （RIDE' 04）. Boston， MA：IEEE，2004：33-39.

[4]BERTINO E， DAMIANI M L. A controlled access to spatial data on Web＼[C＼]// Proc. of the 7th AGILE Conf. on Geographic Information Science. Heraklion， Greece：Crete Univ. Press，2004： 369-377.

[5]BELUSSI A， BERTINO E， CATANIA B， et al. An authorization model for geographical maps＼[C＼]// Proc. 14th ACM GIS. Washington DC， USA：ACM， 2004：82-91.

[6]張德胜，冯登国，陈驰. 一种面向空间数据库矢量数据的授权模型与实现方法＼[J＼]. 计算机研究与发展，2011，48（8）： 1524-1533.

[7]RAY I，KUMAR M. Towards a location-based mandatory access control model＼[J＼]. Computers & Security， 2006，25（1）：36-44.

[8]张妍， 陈驰， 冯登国. 空间矢量数据细粒度强制查询访问控制模型及其高效实现＼[J＼]. 软件学报，2011，22（8）： 1872-1883.

[9]OH Y H， BAE H Y.6 MLS/SDM： Multi-level secure spatial data model＼[C＼]// International Conference on Computational Science and Its Applications-ICCSA 2004. Assisi， Italy：dblp， 2004： 222-229.

[10]BERTINO E， CATANIA B， DAMIANI M L， et al. GEO-RBAC： A spatially aware RBAC＼[C＼]//Proceedings of the tenth ACM symposium on Access control models and technologies. Stockholm， Sweden：ACM， 2005：29-37.

[11]RAY I， KUMAR M， YU Lijun. LRBAC： A location-aware role-based access control model＼[C＼]// International Conference on Information Systems Security. Berlin/Heidelberg：Springer， 2006：147-161.

[12]CHANDRAN S M， JOSHI J B D. LoT RBAC： A location and time-based RBAC model＼[C＼]// International Conference on Web Information Systems Engineering. Berlin/Heidelberg：Springer， 2005：361-375.

[13]RAY I，TOAHCHOODEE M. A spatio-temporal role-based access control model＼[C＼]// 21st Annual IFIP WG 11.3 Working Conference on Data and Applications Security. Redonodo Beach， CA， USA：Springer ，2007：211-226.

[14]AICH S， SURAL S，MAJUMDAR A K. STARBAC： Spatiotemporal role based access control＼[C＼]// 2007 OTM confederated international conference on the move to meaningful internet systems： CoopIS， DOA， ODBASE， GADA， and IS （OTM'07）. Berlin/Heidelberg：Springer-Verlag， 2007：1567-1582.

[15]AICH S， MONDAL S， SURAL S， et al. Role based access control with spatiotemporal context for mobile applications＼[C＼]// Transactions on Computational Science IV. Berlin/ Heidelberg：Springer，2009： 177-199.