（计算机应用技术专业论文）带有空间特性角色约束的研究.pdf

江苏大学硕士学位论文 摘要 空间数据库和基于移动用户位置的信息服务正得到日益广泛的应 用，对访问控制模型也具有特殊要求：用户地理位置的变化通常会引 起用户权限的动态变化。因此，空间信息在访问控制模型中是一个关 键的上下文参数。然而，传统的访问控制模型( 如，强制访问控制、自 主访问控制、基于角色的访问控制) 都是典型的非上下文敏感的，它 们需要复杂而又静态的认证基础设施。因此，不能够适应空间数据库 的访问控制要求。 为了满足上述要求，需要提出一种支持空间能力的访问控制模 型。在位置感知的应用程序中，用户经常被分组为不同类别，因此基 于角色访问控$ o ( r b a c ) 模型是个合理的选择。在空间环境下，角色 所具有权限的施用受到角色作用域的制约。只有当用户所处的当前空 间位置在其所扮演角色的空间域范围内才能被授予对客体的操作权 限。系统在进行访问控制决策时必须根据客体和用户的空间位置来授 予或取消权限。将现有的r b a c 模型应用到空间数据的访问控制时， 必须对其进行改进，增加对空间数据安全特性的支持。以适应空间数 据库中用户权限与其所处空间位置之间的映射关系。 本文以空间数据库管理系统p o s t g r e s q l ( 以下简称p g ) 为平台，研 究支持空间特性的角色访问控制模型s p a t i a l r b a c ( s p a t i a l r o l e b a s e da c c e s sc o n t r 0 1 ) 的特性，以增强r b a c 模型对空间特性 的描述能力，丰富和完善空间数据库安全理论，为军事、银行、证券 等信息敏感行业建立更为严密的信息安全防护体系奠定理论基础。具 体研究内容包括： ( 1 ) 根据约束集的可满足性、无互斥、无冗余等要求，定义了在 江苏大学硕士学位论文 空间环境下的空间区域约束、空间职责分离约束和空间角色激活基数 约束。并给出了各种约束的形式化描述； ( 2 ) 详细研究了空间职责分离约束的实施策略，使用最小空间互 斥角色约束作为实施机制，能有效避免冗余约束准确实施空间职责分 离约束； ( 3 ) 根据互斥用户集、互斥角色集、互斥权限集，构建了具体的 空间约束库； ( 4 ) 研究了空间约束的触发机制，当用户在一个空间区域内建立 会话，如果存在与该会话相关约束，系统自动触发该约束，控制会话 运行。如果不存在与该会话相关约束，则会话一直运行到结束或有其 他会话中止当前这个会话为止。从而最终建立一个精确、通用、空间 描述能力强的s p a t i a l r b a c 模型。 ( 5 ) 从访问控制策略方面对p g 的设计方案进行阐述，提出了一 种基于空间角色的数据库访问控制系统方案，该方案将s p a t i a l r b a c 模型嵌入到p g 服务器端的访问代理程序中，整个系统由授权管理和 访问代理两个子系统组成，增强了p g 的访问控制能力。 关键词：空间数据库，基于位置服务，访问控制模型，r b a c ， s p a t i a l r b a c ，空间约束 i i 江苏大学硕士学位论文 a b s t r a c t s e c u r i n ga c c e s st od a t ai nl o c a t i o n - b a s e ds e r v i c e sa n dm o b i l ea p p l i c a t i o n sp o s e i n t e r e s t i n gs e c u r i t yr e q u i r e m e n t sa g a i n s ts p a t i a l l ya w a r ea c c e s sc o n t r o ls y s t e m s i n p a r t i c u l a r ，t h ep e r m i s s i o n sa s s i g n e dt ou s e r sd e p e n do nt h e i rp h y s i c a lp o s i t i o n si na r e f e r e n c es p a c e h o w e v e r , t r a d i t i o n a la c c e s sc o n t r o lm o d e ld o e sn o ts p e c i f yt h e s e s p a t i a lr e q u i r e m e n t s t od e a l 谢t 1 1t h er e q u i r e m e n t sl i s t e da b o v e ，a na c c e s sc o n t r o lm o d e lw i t hs p a t i a l c a p a b i l i t i e si sn e e d e d s i n c ei nl o c a t i o n - a w a r ea p p l i c a t i o n su s e r sa r eo f t e ng r o u p e di n d i s t i n c tc a t e g o r i e s ，r b a cm o d e l sr e p r e s e n tar e a s o n a b l ec h o i c e u n d e rs p a y i a l e n v i r o n m e n t ，t h ep e r m i s s i o n sa s s i g n e dt ou s e r sd e p e n do nt h e i rp o s i t i o ni nar e f e r e n c e s p a c e ；u s e r so f t e nb e l o n gt ow e l ld e f i n e dc a t e g o r i e s ；o b j e c t st ow h i c hp e r m i s s i o n s m u s tb eg r a n t e da r el o c a t e di nt h a ts p a c e ；a c c e s sc o n t r o lp o l i c i e sm u s tg r a n t p e r m i s s i o n sb a s e do no b j e c tl o c a t i o n sa n du s e rp o s i t i o n s i ti sn e c e s s a r yt os t u d y r b a cf u r t h e r i nt h i sp a p e r , w ee x t e n dt h ee x i s t i n gr b a cm o d e la n dp r o p o s et h e s p a t i a l - r b a cm o d e lt h a tu t i l i z e ss p a t i a la n dl o c a t i o n - b a s e di n f o r m a t i o ni ns e c u r i t y p o l i c yd e f i n i t i o n s b a s e do np o s t g r e s q l ，w ee x t e n dt h ee x i s t i n gr b a cm o d e la n dp r o p o s et h e s p a t i a l - r b a cm o d e lt h a tu t i l i z e ss p a t i a la n dl o c a t i o n - b a s e di n f o r m a t i o ni ns e c u r i t y p o l i c yd e f i n i t i o n s ，i no r d e rt os t r e n g t h e nt h ec a p a b i l i t yo fs a f e t ye x p r e s s i o nf o rr b a c 晰t hs p a t i a lc h a r a c t e r s ，o p t i m i z et h et h e o r yo fs e c u r ed b m sa n da f f o r dt h et h e o r yt o b u i l dt h es t r i c t e rs y s t e mf o rb a n k , b o n da n dm i l i t a r y o u rc o n t r i b u t i o n si nt h i sp a p e ra r ea sf o l l o w s ( 1 ) a c c o r d i n gt ot h ea n a l y s i so f t h el o c a t i o nf e a t u r eo fas p a t i a lo b j e c t ，c o m b i n i n g t h en e c e s s i t yo fs p a t i a lc o n s t r a i n t sa n dt h en o n c o n f l i c tc o n d i t i o no fs p a t i a lc o n s t r a i n t s w i t ht h es a t i s f i a b i l i t yo fs p a t i a lc o n s t r a i n t ss e t sa n dr e l e v a n c eb e t w e e nt h ed i f f e r e n t c l a s s e so fc o n s t r a i n t s ，t h ec o n s t r a i n t sw i t hs p a t i a lc h a r a c t e r sa r ed i v i d e di n t ot h r e e d i f f e r e n tc l a s s e s ：t h ec o n s t r a i n t so ns p a t i a lr e g i o n ，s p a t i a ls e p a r a t i o no fd u t yc o n s t r a i n t a n dc o n s t r a i n t so nc a r d i n a l i t yo fs p a t i a lr o l ea c t i v a t i o n w ea l s of o r m a l i z ea l lt h e c o n s t r a i n t sw i t hs p a t i a lc h a r a c t e r s ( 2 ) t h e r e a r eo f t e nm u l t i p l em u t u a l l ye x c l u s i v e s p a t i a lr o l e s ( m e s r ) c o n s t r a i n t st h a tc a ne n f o r c et h es a m es p a t i a ls e p a r a t i o no fd u t yp o l i c y ( s s o d ) a l t h o u g ht h ed i f f e r e n tm e s rc o n s t r a i n t sc a ne n f o r c et h es a l t l ee f f e c to nt h es a n l e i i i 江苏大学硕士学位论文 s e s s i o n , w eh a v ef o u n dt h a tt h ed i f f e r e n tm e s rc o n s t r a i n t sa r ev a r y i n gg r e a t l yi nt h e e n f o r c e m e n te f f i c i e n c y t h em o r ep r e c i s et h em e s rs e t sa l ed e f i n e df o re n f o r c i n ga n s s o dp o l i c y , t h el e s so v e r h e a dt h es y s t e mi ss u f f e r e d i nt h i sp a p e r , w ea r g u et h a t e n f o r c e m e n to fs s o dp o l i c i e si sr e a l i z e db ys p e c i f y i n gm i n i m a lm e s rc o n s t r a i n t s b yc o m p a r i n gt h ed i f f e r e n tm e s rc o n s t r a i n t sw h i c hc a ne n f o r c et h es o j n es s o d ，w e c o n c l u d et h em i n i m a lm e s rc o n s t r a i n t sc a na v o i dr e d u n d a n t r e s t r i c t i v e n e s s e f f e c t i v e l ya n de n f o r c et h es s o dp o l i c yp r e c i s e l y w ea l s op r e s e n ta na l g o r i t h mt h a t g e n e r a t e sa l lm i n i m a lm e s rc o n s t r a i n t st h a ta r ep r e c i s ef o re n f o r c i n go n es s o d p o l i c y ( 3 ) a c c o r d i n gt oc o n f l i c ts e to fu s e r s ，c o n f l i c ts e to fr o l e sa n dc o n f l i c ts e to f p e r m i s s i o n s ，c o n s t r a i n t sb a s ea r ec o n s t r u c t e d ( 4 ) w h e nas e s s i o ni se s t a b l i s h e di nas p a t i a lr e g i o nb yu s e r s ，t h er e l a t e d c o n s t r a i n t sc o n c e r no nt h i ss e s s i o nw i l lb et r i g g e r e da n dc o n t r o lt h es e s s i o np r o c e s s d u r i n gi t sl i f ea u t o m a t i c a l l y o n w h e n t h e n e l s ea u t h o r i z a t i o nr u l e s ( o re n h a n c e d e c ar u l e s ) a r eu s e df o re n f o r c i n gr b a cw i t hs p a t i a lc h a r a c t e r i s t i c s w es h o wt h e m a p p i n gb e t w e e nt h eb a s i ce l e m e n t si nr b a cw i t hs p a t i a lc h a r a c t e r i s t i c sa n dt h e o w t er u l es p e c i f i c a t i o n w ee s t a b l i s ho w t er u l e sa sa ne n f o r c e m e n tm e c h a n i s m f o rt h er e a l i z a t i o no fr o l e - b a s e dc o n s t r a i n tw i t hs p a t i a lc h a r a c t e r i s t i c sa td i f f e r e n t g r a n u l a r i t i e s ( 5 ) w eh a v ep r o p o s e das y s t e ms c h e m at h a tp e r f o r m sd a t a b a s ea c c e s sc o n t r o l b a s eo ns p a t i a lr o l e a c c o r d i n gt ot h es p a t i a ld b m sp o s t g r e s q l t h es c h e m a e m b e d d e dt h ea c c e s sc o n t r o lf u n c t i o ni n t oa na c c e s sa g e n tp r o g r a mo ft h es e r v e rt o c o n t r o lu s e r sa c c e s st od a t a b a s er e s o u r c ew i t hah i g hd e g r e eo fg r a n u l a r i t y t h e s y s t e mc o n s i s t so ft h ep r i v i l e g em a n a g e m e n ts u b s y s t e ma n dt h ea c c e s sa g e n t s u b s y s t e m ，w h i c hi m p r o v e st h es e c u r i t yo fp o s t g r e s q l k e y w o r d s ：s p a t i a ld b m s ，l o c a t i o n b a s e ds e r v i c e s ，a c c e s sc o n t r o lm o d e l ，r b a c ， s p a t i a l r b a c ，s p a t i a lc o n s t r a i n t s i v 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部 内容或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 本学位论文属于 保密口，在年解密后适用本授权书。 不保密 学位论文作者签名：c 3 跨 导师签名：羚以 签字日期：力邸年p 月，孚e l签字日期：砂啼年，月憎e t 独创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究工作所取得的成果。除文中已经注明引用的内容以外，本论文 不包含任何其他个人或集体己经发表或撰写过的作品成果。对本文的 研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人 完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 0 3 蔷 日期：勘8 年f2 月 fg 日 江苏大学硕士学位论文 第一章绪论 空间数据库系统是一个存贮空间和非空间数据的数据库系统，在它的数据模 型和查询语言中能提供空间数据类型，可以进行空间索引，并且提供空间查询和 其它空间分析的方法。空间数据库是最近数据库研究的一个重点，它作为g i s 的核心，是g i s 发展的技术支柱。同时空间数据库也是数据库技术的一个前沿课 题，它突破了传统数据库主要基于文字、数字信息的应用，可以用于存贮和分析 大量的具有复杂结构的信息。目前，市场上已经出现了成熟地能够处理空间地物 信息的对象型数据库，但是针对对象型空间数据库的安全产品仍然比较少见，是 当前研究的热点。 1 1 研究背景与意义 国际上对数据库安全研究起步较早，积累了丰富的理论经验。早期b e l l ， b i b a ，l a p a d u l a 和d e n n i n g 等人对信息安全进行大量的基础研究，提出多种系统 安全模型，并在多个系统中得以实现。美国国防部于1 9 8 5 年公布了世界上第一 个计算机系统安全评估标准t c s e c ( 可信计算机安全评估标准) ，之后又公布了 t d i ( 可信数据库管理系统解释) ，这也是目前国际上比较通用的标准。 我国也于1 9 9 9 年制定了计算机信息系统安全保护等级准则( g b 1 7 8 5 9 1 9 9 9 ) ，目前我国安全数据库的研究均是参照这些标准进行研制的。国内 为解决广泛使用的c 级数据库管理系统的安全问题，一些数据库安全研究人员 通过应用程序实施对数据库访问控制，这是一个开发成本低、见效快的切实可行 的方案。 然而，当前数据库安全的研究主要围绕着关系数据库系统的访问控制模型展 开，主要集中在自主访问控匍j ( d a c ) ，强制访问控制( m a c ) 及基于角色访问控制 ( r b a c ) 4 5 】。对空间数据库系统安全技术研究比较匮乏。 在空间数据库应用和基于用户位置的信息服务系统中，用户对信息的处理权 限往往是和用户发出信息处理请求时的位置有关，是动态变化的，而不仅仅和用 户的职责有关。用户地理位置的变化通常会引起用户权限的动态变化。例如，我 们可以看到，一个人能否扮演医生或护士的角色受到其所处的空间位置的制约， 只有当其所处的位置和其所扮演的角色的作用域满足包含关系的时候才能够行 江苏大学硕士学位论文 使所扮演的角色的权限。 然而，传统的访问控制模型( 如m a c 、d a c 、r b a c ) 都是典型的非上下文敏 感的，它们需要复杂而又静态的认证基础设施。在某些情形下，与用户标识相比， 访问控制更加依赖于用户的上下文。此外，当前的访问控制机制常常让终端用户 背负不必要的安全相关的负担。例如，期望用户从会话一开始就担任某一角色， 从而导致不必要的多次登录。而另一种选择是，用户可自动地执行其拥有的级别 最高的角色以获得该角色的权限，且被认为能可信地执行安全策略，不会滥用授 予的特权。目前，人们越来越认识到在授权决策中利用上下文信息的重要性，专 门引入的上下文敏感的访问控制原则就用来解决这些问题【7 j5 1 。若访问控制时能 结合用户的或组的上下文信息，则安全服务可变得更为用户友好、更为灵活。 无线和移动网络领域的迅猛发展培育出了新一代的设备，它们适合于用作位 置技术的传感器、可计算工作环境中的相对位置和用户移动。基于位置的服务和 基于位置的移动应用程序的广泛部署迫切要求位置感知访问控制系统的支持，这 些应用程序需要基于位置的访问控制模型。空间信息在这些模型中看成是一个关 键的上下文参数。例如，空间感知的访问控制系统会存在这样几种需求：( 1 ) 个别 用户只允许在他家和办公室的人们访问房间内的设备。( 2 ) 某个公司只允许在公司 大楼某些特定区域内的用户访问给定的资源。( 3 ) 两个冲突位置区域的资源不能被 同一用户访问。( 4 ) 当前处于某个空间区域的用户数量不能超过规定的上限。 为了满足上述列出的要求，需要提出一种支持空间能力的访问控制模 型【1 7 。2 0 】。在位置感知的应用程序中，用户经常被分组为不同类别，因此r b a c 模 型是个合理的选择。上述情形( 1 ) 和( 2 ) 意味着空间数据的多粒度。情形( 3 ) 表述了 空间职责分离和最小特权的要求。从情形( 4 ) 可以看出基于位置的基数限制的要 求。虽然目前出现了许多支持空间和基于位置的访问控制能力或限制的上下文感 知的访问控制模型【7 , 8 , 1 4 , 1 8 , 1 9 2 0 1 ，但它们并不能满足上述的所有需求，并且没有形 式化关键组件给出系统清晰而又精确的定义。 f r o d e 等为无线通讯网开发的带有空间特性的角色访问控制模型 ( s r b a c ) 1 9 】，该模型非常简单，它在空间角色概念的基础上扩展了r b a c 模型。 当用户在给定的位置上时，相应的空间角色被自动激活。s r b a c 仅简单地提出 了带有空间特性的职责分离约束，但没有对带有空间特性的角色授权约束和会话 状态变化规律进行讨论。 2 江苏大学硕士学位论文 e l i s ab e r t i n o 等在文献【2 0 】提w , g e o r b a c 模型，它扩展传统的r b a c 模型以 用于处理空间和基于地理位置的数据信息的访问控制。用空间实体来表示客体、 用户的地理位置、以及受地理位置约束的角色。用户所具有的角色是否被激活取 决于用户所在的地理位置。同时，为了使模型具有灵活性和可重用性，在 g e o r b a c 模型中引入了角色模式( r o l es c h e m a ) 的概念，它包括角色的名字、 角色空间有效作用域的类型、逻辑位置的粒度等。将空间环境下的职责分离约束 进行扩充以解决不同粒度( 空间角色模板空间角色实例层) 、不同维度( 空间 非空间) 和不同的约束验证时间( 静态动态) 。并指出当角色模式的定义域之间 满足某种拓扑关系时，这些角色模式为互斥，任意一个用户不能同时扮演由这些 角色模式实现的角色实例。最后，提出了有关空间约束集的几个要求：可满足性、 不同约束类之间的关联、约束的传递、复杂度估算。但对角色的空间约束并没有 进行足够的研究。 1 2 本文主要工作及组织结构 空间数据库管理系统p o s t g r e s q l ( 以下简称p g ) 是全功能的自由软件数据 ， 库【l 】，支持事务、子查询、多版本并行控制系统、数据完整性检查等特性，它的 特性覆盖t s q l 2 s q l 9 2 和s q l 3 s q l 一9 9 ，包括对众多数据类型的支持，比如 i p 类型和几何类型等；p g 使用存取控制列表a c l 方法控制访问请求、保护信息 实现自主访问控制【2 3 】。它的研究对于开发自主版权的高安全性对象关系型空间 数据库管理系统，具有重要意义。 在空间环境下，角色所具有权限的施用受到角色作用域的制约。系统在进行 访问控制决策时必须根据客体和用户的空间位置来授予或取消权限。本文针对 p g 的安全性要求，对传统的r b a c 模型进行扩充，提出- s p a t i a l r b a c 模型来保 证位置感知应用程序的安全。引入空间角色的概念，表达了地理绑定的组织功能。 给角色赋予了空间位置域以指定角色可以活动的空间范围。为表达位置感知系统 中细粒度的空间语义，给模型增加空间安全描述能力，定义了三类空间约束，给出 了各种空间约束的形式化描述；紧接着，研究了各种空间约束的实施策略，并构 建了具体的空间约束库；最后讨论了空间约束的触发机制，使s p a t i a l r b a c 在定 义安全策略时能结合用户的当前空间位置信息；最终将s p a t i a l r b a c 在p g 上加以 实现，使p g 具有支持空间特性的基于角色访问控制机制，增强了p g 的访问控制 江苏大学硕士学位论文 能力。本文主要解决以下几个问题： 1 、提出了带有空间特性角色访问控匍j s p a r i a l r b a c 模型，在分析了空间对 象区域特征后，结合空间约束条件的必要性、无冲突性，以及空间约束集的可满 足性、不同约束类之间的关联性要求，将空间对象区域特征约束分为空间区域约 束、空间职责分离约束和空间角色激活基数约束，这些约束分别可以控制角色状 态、给用户分配角色、给角色分配权限和角色的激活。并且给出了各种约束的形 式化描述。 2 、尽管空间区域约束、空间角色激活基数约束可以在系统中直接准确的实 施，然而空间职责分离约束在系统中直接实施是n p 问题。因而，研究了空间职 责分离约束的实施策略，获得了准确实施空间职责分离约束的最小互斥空间角色 集，保i 正t s p a r i a l r b a c 模型实用性。并根据互斥用户集、互斥空间角色集、互 斥权限集，最终构建了空间约束库。 3 、研究了空间约束的触发机制。用户在一个空间区域内建立会话，如果存 在与该会话相关约束，系统自动触发该约束，控制会话运行。如果不存在与该会 话相关约束，则会话一直运行到结束或有其他会话中止当前这个会话为止。 4 、采用x w i n d o w s 和c 语言技术，在空间数据库管理系统p g 上实现 s p a t i a l r b a c 模型。 本文各章内容如下： 第二章以带有空间特性的角色访问控制模型为对象，针对一个空间对象区 域特征，将约束分为三大类：空间区域约束，角色激活基数约束，以及空间职责 分离约束。 第三章研究了各种空间约束的实施策略，提出了准确实施空间职责分离约 束的策略的方法。 第四章定义了空间约束库。随着用户空间位置的变化而动态的调整用户权限。 第五章研究了空间约束的触发机制。提供处理约束的统一的、透明的方法。 第六章详细介绍带有空间特性角色访问控制模型在空间数据库管理系统 p g 上的实现，给出实现数据类型和流程，显示系统实际运行界面。 4 江苏大学硕士学位论文 第二章带有空间特性角色约束的定义 文中对现有的r b a c 模型进行扩充，提出- j s p a t i a l r b a c 模型，使其在定义 安全策略时能结合用户的当前物理位置信息。提出了空间角色的概念，为角色赋 予位置域以指定角色可以活动的空间范围，角色激活依赖于用户从移动终端获得 的当前物理位置。随后，受限的s p a t i a l r b a c 描述了3 类约束：空间区域约束、 角色激活基数约束、以及空间职责分离约束。这些约束不但允许表达位置感知系 统中细粒度的空间语义，而且给模型增加了空间安全描述能力。最后，为受限的 s p a t i a l r b a c 模型设置了7 个不变量，证明了约束集的可满足性，为模型在实际 环境中的应用奠定了基础。 2 1 s p a t i a l r b a c 模型 为了能让r b a c 支持空间感知，我们需要研究怎样获取物理位置和怎样描述 位置。本节首先对位置检测技术进行分类，介绍位置描述的方法，然后引出模型 相关的定义。 2 1 1 位置探测 为了能让系统基于用户所在的空间维作出授权决策，仲裁者必须获取提出访 问请求的移动终端的位置信息目前存在几种评估移动终端位置的检测技术如 使用g p s ( 全球定位系统) 接收器可得到地理空间坐标。g p s 只能用来确定移动 终端在室外的物理位置。至于移动终端的室内位置追踪，我们可以把居住地址信 息或房间的位置属性储存在蓝牙设备中或配有w i f i 卡的手提电脑中。当用户持 有带蓝牙支持的设备进入房间时，通过蓝牙的基站就可获得房间的位置信息。此 外，电子标签( r f i d ) 可嵌入到许多日常生活的物体中，当物体接近电子标签阅 读器时就可提供局部化的位置评估。决定采用什么类型的位置评估技术依赖于对 移动终端位置精确性方面的要求，这也是系统在执行授权过程时所要求的。例 如，某用户请求访问大楼内某一给定房间内的某安全设备时，就需要较细粒度的 支持以保证用户不会访问到来自隔壁房间的服务。 虽然详细比较这些探测技术已超出了本文的研究范围，但值得注意的是它们 在许多方面都存在差别，其中包括：所覆盖的地理面积的范围、工作在室内还是 江苏大学硕士学位论文 室外、清晰度、精确度、受干扰的可能性、花费、位置是由中央服务器确定还是 由设备本身确定。有了这些位置检测技术的支持，可很容易地获取用户的当前物 理位置，因此，我们假设g e t l o c ( u ) 表示用户的当前物理位置。 2 1 2 空间实体模型 我们采用o g c ( o p e ng e o s p a t i a lc o n s o r t i u m ) 组织空间数据模型【3 2 3 3 1 ，空 间数据库所管理的对象抽象成是一组空间实体，其空间信息所描述的空间对象可 聚类为一个几何关系集g = 点、线、多边形) 。点描述了坐标系中单独一个位置； 线表示一个规则的点序列；多边形表示一个封闭线条的规则序列，它定义了一个 区域的外部和内部边界，内部边界线定义了多边形中的孔。 下面我们先给出空间实体的类型定义。 定义2 1点类型p ：点是一个0 维几何结构，表示坐标空间中的一个位置， 点的边界集合为空集。一个空间对象的形状及其所占空间位置大小在大比例尺地 形图上已经没有意义，可抽象成一个点。可记为尸阮；这里n a m e 表示点的名 称；五y 为笛卡儿坐标，p a r a m e 招r 为点的参数。n a m e ，p a r a m e t e r 均可缺省。 定义2 2 线类型三：线是坐标空间中的一个一维几何结构，它是一个间隔 为d 的闭合实数区间在映射，以w 一 1 2 2 下的同胚映象，其中d = a , w = 肛 f a 爿 ，是所有用户的集合；r = ，r 2 ，如 ，是所有角色的集合； o b = o b l ，o b 2 ”，o b k ，是所有空间对象的集合；o p = 印1 ，o p 2 ，o p l ，是所有操作的 集合；乒p ，s 29 - o ，劫 ，是所有会话的集合；c = c z ，c 2 ，c t ) ，是所有约束的集合； 尸= 2 印x d 6 ，是所有权限的集合；l o c = l o c ，l o c e ，l o o ，是空间对象所处空间位 置的集合。l o c 表示由平面坐标系中的所有坐标数据序偶 构成的点集。 7 江苏大学硕士学位论文 u a c ( u x l o c r ) 。，从用户集到角色集的多对多映射，表示用户瞻特定的空 间位置l o c 被分配角色r ，且满足约束c ； p a g 俨x l o c x 彤。，从权限集到角色集的多对多映射，表示角色r 在特定的空 间位置l o c 被授予权限p ，且满足约束c ； r h c _ 俾x r x l o c 。，是角色集上的一个偏序关系，称为层次关系。如果阢矽 胴，则定义为n 志r j ，表示在空间位置d c ，f 继承，= 的权限。 s = ，会话s 是指用户与系统进行的一次 交互。会话用7 元组来描述，其中阢r ，u a ，p a 分别表示该会话所允许的用户、 角色、用户角色的映射关系和角色权限映射关系，c 表示该会话在运行时必须满 足的约束规则。c h a n g e p o s i t i o n 表示会话状态发生变化时的空间位置。t a s k 表示 会话需完成的一系列操作。操作是指系统根据用户的任务要求所执行的一条指 令。一次会话将有4 个状态 运行，阻塞，错误，结束) 。在会话的整个生命周期 中，将在这四个状态之间转换。 由于篇幅有限，我们只列出操作集合印中的某几个进行简单介绍。 印冬r s = l r a s s i g n _ u ( u , r , l o c ) u n a s s i g n _ u ( u , r , l o c ) 操作，用户请求分配取消用户 “在空间位置l o c 的角色，； a d d _ a s s i g n 一材化r , l o c ) a d d _ u n a s s i g nu ( u , r , l o c ) 操作，系统执行分配 取消用户u 在空间位置l o c 的角色，； a s s i g n e d _ u ( u , l o c ) u n a s s i g n e d _ u ( u , l o c ) 操作，返回用户甜在空间位置 l o c 上已经被分配的角色未被分被的角色； a u t h o r i z e _ r ( r , p , l o c ) u n a u t h o r i z e r ( r , p , l o c ) 操作，用户请求授予收 回角色，在空间位置l o c 的权限p ； a d d _ a u t h o r i z e _ r ( r , p , l o c ) a d d _ u n a u t h o r i z e _ r ( r , p , l o c ) 操作，系统执行 授予收回角色，在空间位置l o c 的权限p ； a u t h o r i z e d ，仉l o c ) u n a u t h o r i z e d操作，返回角色，在空间位r(r,loc) 置l o c 上已经被分配的权限未被分被的权限； a c t i v a t e ，化r , l o c ) d e a c t i v a t e ，- 化r , l o c ) 操作，用户u 在空间位置l o c 请求激活去除激活角色，； 8 江苏大学硕士学位论文 a d da c t _ s e s s i o n r 化 s e s s i o n l d , l o c ) a d d _ d e a c t i v a t e r ( u , r , l o c ) 操 作，系统将用户u 在空间位置d c 请求激活去除激活的角色r 1 3 1 入到已经激活去 除激活的角色集中； a c t i v a t e d r ( u , l o c ) d e a c t i v a t e d _ r ( u , l o c ) 操作，返回用户u 在空间位置 l o c 已经激活去除激活的角色； a c t i v a t e dr ( z , o o 操作，返回空间位置l o c 上所有激活的角色； a c ts e s s i o n ，化s , r , l o c ) 操作，用户u 在空间位置l o c 上会话s 中请求 激活角色，； a d d a c t s e s s i o n r “s , r , l o c ) 操作，系统将用户”在空间位置d c 会话 j 中请求激活的角色厂力口入到该会话被激活的角色集中； s e s s i o n a c t r ( u , s , l o c ) 操作，返回在空间位置l o c g * 建会话s 中被激 活的角色； s e s s i o n _ r ( s ) 操作，返回会话s 中的会话角色，依赖于用户在该会话中 的位置，仅该会话角色的子集是有效的； e n a b l es e s s i o n ，伍l o q 操作，返回会话s 中的有效角色； e n a b l e r ( r , l o c ) d i s a b l e _ r ( r , l o c ) 操作，请求角色在空间位置l o c 有 效无效； a d d e n a b l e s e s s i o n r o l e s ( s , l o c ) a d d _ d i s a b l e _ r ( r , l o c ) 操作，系统将 角色在空间位置l o c ) j 1 入到有效会话角色无效会话角色； e n a b l e d _ r ( r , l o c ) d i s a b l e d _ r ( r , l o c ) 操作，返回在空间位置三d 哺效 会话角色无效会话角色； r e t u r n “仉l o c ) 操作，返回在空间位置l o c 获得角色，的所有用户； 阳f “，u l o c ) 操作，返回在空间位置l o c 获得权限p 的所有角色； g e t _ r p ( u , p , r , l o c ) 操作，用户在空间位置d c 通过角色r 获得权嘞； 秒，( l s , s ( a c t i v a t e r ( r , l 劝操作，返回角色r 在区域三s 中被激活的次数； 0 2 ( l s , s ( a c t i v a t e _ r ( u , r , l 驯操作，返回用户u 在区域三s 中激活角色厂的次数； “- s e s s i o n r ( s ) 表示在会话s 中能潜在激活的角色。一般地，如果用户分配了几个 角色，则由他来授权决定激活哪个s e s s i o n r ( s ) 。在本文中，集成了空间信息的空 间角色在本质上是动态的，用户可不必直接选择将要被激活的角色。依赖于用户 9 江苏大学硕士学位论文 在会话中所处的位置l o c ，只有一部分角色才是有效的且能被授予权限。角色将 自动地由环境激活或非激活。为了决定有效的会话角色，系统将评估给定位置 l o c 与当前位置域l s 2 _ 间的包含关系，因此引入有效角色的概念来决定用户的 最终权限。 因此，有效会话角色可表示为： p ，2 口b l es e s s i d 咒，：s l o c - - - * 2 r 使得 e n a b l e s e s s i o n ro ，l o c ) = ，尺ir e s e s s i o n _ r ( s ) 八c o n t a i n s ( 1 0 c ，i s ) 2 t r u e 系统根据用户的当前物理位置自动地选择将要生效的空间角色。图2 1 描述了 选取有效会话角色的过程。有效角色是决定授权或拒绝访问请求的基础，也就是 说用它来定义授权机制。访问请求o r 是四元组( s ，l o c ，o p ，o b ) ，表示会话s 中的用户 在空间位置1 0 c 试图对客体d