论文部分内容阅读
随着网络地理信息技术广泛应用于空间数据的集成和共享,网络环境下的空间数据安全问题日益受到重视。空间数据网格是网格环境下面向空间数据共享与协同应用,构造一体化空间数据网格映象的技术体系。网格安全基础设施提供的安全机制不能满足空间数据访问控制的特殊要求。针对空间数据网格进行具有空间特征的安全机制研究具有重要的实际价值。
论文对空间数据网格中基于角色的二级安全机制的理论、技术和实现进行了研究。分析了空间数据网格与其它网格地理信息技术的关系,空间数据安全的研究内容及空间数据访问控制的要求;提出了空间数据网格基于应用域和网格节点的二级数据集成结构;建立了基于角色的应用域和网格节点授权模型,及其形式化描述和二级授权决策过程,并对访问控制对象和角色进行了安全级别划分;研究了空间授权区域定义和空间授权决策;讨论了应用域和网格节点安全控制功能组件及访问控制实施过程;初步探讨了空间数据网格基于角色的多级安全机制有关问题;设计和实现了空间数据网格安全功能子系统。论文主要内容包括:
1.空间数据网格中空间数据的分布和集成结构。在介绍了空间数据网格的定义,四层服务体系结构及功能组成,空间元数据目录、数据代理、网格空间数据库(服务)等关键技术之后,着重讨论了空间数据网格中空间数据的分布和集成结构。主要包括基于应用域和网格节点的二级集成结构,基于超级节点的三级集成结构和基于层次理论的多级集成结构。最后指出应用域和网格节点二级集成结构是空间数据网格中数据集成的基本形式,也是进行网格空间数据安全机制研究的基础。
2.基于角色的应用域和网格节点二级强制访问控制模型。这是整个空间数据网格安全机制的核心部分。在讨论了空间数据安全研究内容之后,回顾了DAC、MAC、RBAC三种传统访问控制模型,决定在空间数据网格中采用基于角色的二级强制访问控制模型,从而实现网格范围内的空间信息单向流动。论文主要研究空间数据网格中的读取操作,实现强制访问控制模型的简单安全特性。应用域的访问控制对象包括应用域和网格节点,网格节点的访问控制对象包括空间数据服务、图层和空间授权区域。把访问控制对象及角色划分为公开级、限制级、秘密级、机密级和绝密级5个安全级别。形式化描述了应用域和网格节点授权模型,包括角色层次、定义、约束规则和定理;用伪码描述了应用域和网格节点授权决策过程;提出了角色映射模式和二级授权决策过程。
3.基于角色的应用域和网格节点二级授权管理模型。应用域管理角色负责应用域范围与授权相关的管理工作,网格节点管理角色负责网格节点范围与授权相关的管理工作。与普通角色不同的是,管理角色并没有进行安全级别的划分,只采用了传统RBAC的核心模型,应用域和网格节点层次的管理角色都是唯一的,并且不会进行映射。管理员在执行权限过程中需要注意的原则包括职责分离原则、最小权限原则、合理利用阻断特性原则、协同和自治并重的原则。
4.基于网格节点图层的空间授权区域定义和授权决策。这体现了空间数据网格具有空间特征的访问控制功能。介绍了空间数据访问控制的要求,针对空间数据网格的特点进行了空间授权粒度的选择。空间授权区域的定义包括空间授权区域形状、数量、坐标选择、空间授权方式选择、空间授权安全级别选择。在空间授权决策过程中,首先要获得用户对目标图层空间数据的请求范围,然后根据用户角色安全级别获取目标图层上的授权区域,最后基于授权区域和目标区域计算具体的可访问区域。可访问区域算法包括基于两矩形相交运算的算法和基于GPCJ实现的通用算法。
5.应用域和网格节点安全控制功能组件及访问控制实施过程。访问控制系统通常包括用户身份认证模块、授权规则库、策略实施模块、策略决策模块、策略管理模块。论文阐述了应用域访问控制功能组件及访问控制实施过程,应用域授权信息表的设计;网格节点访问控制组件及访问控制实施过程,网格节点授权信息表设计;应用域角色到节点角色映射信息表设计,应用域和网格节点二级访问控制实施过程。最后,分析了应用域和网格节点访问控制功能组件编程实现的思想和技术要点。
6.空间数据网格中基于角色的多级安全机制有关问题的初步探讨。在空间数据网格多级数据集成结构基础上,初步讨论了基于角色的多级强制访问控制模型和多级授权管理模型;基于多级应用域的空间授权区域定义和授权决策;多级安全控制功能组件及访问控制实施过程。
7.空间数据网格原型中安全功能子系统的设计和实现。介绍了空间数据网格原型的系统结构,讨论了安全控制功能模块与其它功能模块的信息交互。列举了角色实现和角色证书管理机制等与原型安全功能实现相关的技术。详细阐述了原型安全功能演示数据的准备,包括4个节点应用域和网格节点角色证书,中国地质图空间演示数据,应用域和网格节点授权数据。分析了在各个安全级别角色下的网格节点空间数据视图,并着重讨论了应用域空间数据视图在理论上可能的变化种数,进一步指出了决定应用域空间视图的关键因素。最后,在网格门户端演示了应用域管理,角色授权管理,应用域范围空间数据访问和操作等功能。