一種基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法
【專利摘要】本發(fā)明公開了一種基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，包括以下步驟：（1）用戶登錄，依據(jù)用戶的組織關(guān)系為用戶分配不同的角色，每個角色對應一組基本權(quán)限，所述基本權(quán)限賦予用戶對粗粒度遙感數(shù)據(jù)的訪問權(quán)限；（2）當用戶發(fā)出對細粒度遙感數(shù)據(jù)的訪問請求時，依據(jù)授權(quán)規(guī)則對該訪問請求進行解析，判斷訪問請求是否被允許，若訪問請求被允許，則授權(quán)用戶對相應細粒度遙感數(shù)據(jù)進行訪問；若訪問請求未被允許，則拒絕用戶對相應細粒度遙感數(shù)據(jù)進行訪問。本發(fā)明通過預先設定的授權(quán)規(guī)則，個性化地給予不同角色訪問訪問權(quán)限，滿足日益復雜的遙感數(shù)據(jù)訪問需求，并且能夠滿足遙感數(shù)據(jù)服務的安全性和保密性需求。
【專利說明】一種基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及遙感【技術(shù)領(lǐng)域】，具體涉及一種基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法?！颈尘凹夹g(shù)】
[0002]隨著全球信息化的發(fā)展，空間技術(shù)的日益普及，云計算、物聯(lián)網(wǎng)等高新技術(shù)應用越來越廣泛，對遙感信息服務提出了更高的要求，積極推動了遙感信息服務的發(fā)展。
[0003]“十二五”期間，國家投入大量資金來提高遙感衛(wèi)星的數(shù)量和品種，中國發(fā)射了多顆遙感衛(wèi)星，包括氣象、海洋和環(huán)境等成系列的、行業(yè)性的衛(wèi)星體系和組合星座，將形成多分辨率、多類型、高覆蓋度的海量多源遙感數(shù)據(jù)，為遙感信息服務提供了數(shù)據(jù)基礎(chǔ)，中國遙感信息服務進入了一個“黃金期”。
[0004]遙感信息服務向著多用戶、多應用和大規(guī)模的方向發(fā)展，數(shù)據(jù)量越來越大，業(yè)務關(guān)系越來越復雜,對遙感系統(tǒng)的數(shù)據(jù)安全方面有著越來越高的需求,而且遙感數(shù)據(jù)往往涉及到軍事機密、商業(yè)秘密和個人隱私等問題，所以遙感數(shù)據(jù)的使用安全性能應該放在第一位來考慮。
[0005]遙感數(shù)據(jù)安全性是遙感技術(shù)研究與應用必不可少的組成部分，數(shù)據(jù)訪問控制機制更是數(shù)據(jù)安全必不可少的一部分，但是，由于遙感數(shù)據(jù)的特殊性和敏感性，一般的訪問控制機制往往不能滿足系統(tǒng)對遙感數(shù)據(jù)訪問控制的需求，遙感數(shù)據(jù)的訪問控制，往往需要細粒度級別的控制，如具體到數(shù)據(jù)的某一屬性，或者考慮數(shù)據(jù)的時空關(guān)系。
[0006]由于目前對遙感數(shù)據(jù)安全進行全面描述的規(guī)范和文檔還比較缺乏，許多遙感信息服務僅使用用戶名密碼保護，對敏感數(shù)據(jù)則一律不開放，這難以滿足數(shù)據(jù)共享的需求，并且嚴重影響國家遙感技術(shù)的發(fā)展。因此，需要提供一種遙感數(shù)據(jù)的訪問控制方法，滿足遙感數(shù)據(jù)訪問的安全性和便捷性要求。

【發(fā)明內(nèi)容】

[0007]本發(fā)明提供了一種基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，通過預先設定的授權(quán)規(guī)貝U，個性化地給予不同角色訪問訪問權(quán)限，滿足日益復雜的遙感數(shù)據(jù)訪問需求，并且能夠滿足遙感數(shù)據(jù)服務的安全性和保密性需求。
[0008]一種基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，所述多粒度遙感數(shù)據(jù)包括粗粒度遙感數(shù)據(jù)和細粒度遙感數(shù)據(jù)，所述粗粒度遙感數(shù)據(jù)包括遙感數(shù)據(jù)集、遙感數(shù)據(jù)庫以及遙感數(shù)據(jù)表；所述細粒度遙感數(shù)據(jù)包括單個遙感數(shù)據(jù)、遙感數(shù)據(jù)記錄以及遙感數(shù)據(jù)屬性；
[0009]所述多粒度遙感數(shù)據(jù)訪問方法包括以下步驟:
[0010](I)用戶登錄，依據(jù)用戶的組織關(guān)系為用戶分配不同的角色，每個角色對應一組基本權(quán)限，所述基本權(quán)限賦予用戶對粗粒度遙感數(shù)據(jù)的訪問權(quán)限。
[0011]組織關(guān)系包括單位、部門等實際的組織機構(gòu)，也包括項目組、學術(shù)圈等臨時的組織，甚至也包括虛擬組織。
[0012]用戶、角色和基本權(quán)限之間為多對多的關(guān)系，即一個用戶可能對應多種角色，一種角色可以對應多個基本權(quán)限(多個基本權(quán)限構(gòu)成一組權(quán)限)，通過角色分配，用戶可以獲得基本權(quán)限，即獲得對粗粒度遙感數(shù)據(jù)的訪問權(quán)限。
[0013](2)當用戶發(fā)出對細粒度遙感數(shù)據(jù)的訪問請求時，依據(jù)授權(quán)規(guī)則對該訪問請求進行解析，判斷訪問請求是否被允許，
[0014]若訪問請求被允許，則授權(quán)用戶對相應細粒度遙感數(shù)據(jù)進行訪問；
[0015]若訪問請求未被允許，則拒絕用戶對相應細粒度遙感數(shù)據(jù)進行訪問。當訪問請求未被允許時，向用戶說明未被允許的原因。
[0016]所述訪問包括針對遙感數(shù)據(jù)的增加、刪除、修改、查詢和下載。用戶對多粒度遙感數(shù)據(jù)訪問后，記錄訪問過程。
[0017]所述依據(jù)授權(quán)規(guī)則對該訪問請求進行解析，具體包括以下步驟:
[0018]2-1、獲取用戶的角色、用戶所要進行的訪問請求；
[0019]2-2、依據(jù)細粒度遙感數(shù)據(jù)的特征以及步驟2-1所獲得信息判斷訪問請求是否被允許。
[0020]本發(fā)明基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，結(jié)合基于角色的訪問控制模型和規(guī)則引擎技術(shù)，實現(xiàn)遙感數(shù)據(jù)服務在用戶、數(shù)據(jù)兩個維度的多粒度訪問控制，提高遙感數(shù)據(jù)服務的數(shù)據(jù)安全性和保密性，促進遙感數(shù)據(jù)的共享和應用，通過遙感數(shù)據(jù)授權(quán)規(guī)則的動態(tài)增刪和組合，靈活實現(xiàn)復雜的細粒度訪問控制，滿足負責訪問邏輯的需求，通過狀態(tài)保存、規(guī)則匹配緩存等機制優(yōu)化訪問控制的性能，防止復雜的訪問控制導致系統(tǒng)性能的下降。
【專利附圖】

【附圖說明】
[0021]圖1為本發(fā)明基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法的框架圖；
[0022]圖2為本發(fā)明基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法中基于授權(quán)規(guī)則的驗證系統(tǒng)組成圖；
[0023]圖3為本發(fā)明基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法中授權(quán)規(guī)則的組成結(jié)構(gòu)圖；
[0024]圖4為本發(fā)明基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法中規(guī)則引擎的工作流程圖。
【具體實施方式】
[0025]下面結(jié)合附圖，對本發(fā)明基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法做詳細描述。
[0026]如圖1所示，一種基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，多粒度遙感數(shù)據(jù)包括粗粒度遙感數(shù)據(jù)和細粒度遙感數(shù)據(jù)，粗粒度遙感數(shù)據(jù)包括遙感數(shù)據(jù)集、遙感數(shù)據(jù)庫以及遙感數(shù)據(jù)表；細粒度遙感數(shù)據(jù)包括單個遙感數(shù)據(jù)、遙感數(shù)據(jù)記錄以及遙感數(shù)據(jù)屬性；
[0027]多粒度遙感數(shù)據(jù)訪問方法包括以下步驟:
[0028](I)用戶登錄，依據(jù)用戶的組織關(guān)系為用戶分配不同的角色，每個角色對應一組基本權(quán)限，基本權(quán)限賦予用戶對粗粒度遙感數(shù)據(jù)的訪問權(quán)限。
[0029]用戶登錄時，將用戶、角色和基本權(quán)限之間的映射關(guān)系加載到內(nèi)存中，由于這些數(shù)據(jù)經(jīng)常使用且數(shù)據(jù)量較小，加載到內(nèi)存中可以加快基本權(quán)限的驗證。
[0030](2)當用戶發(fā)出對細粒度遙感數(shù)據(jù)的訪問請求時，依據(jù)授權(quán)規(guī)則對該訪問請求進行解析，判斷訪問請求是否被允許，
[0031]若訪問請求被允許，則授權(quán)用戶對相應細粒度遙感數(shù)據(jù)進行訪問；[0032]若訪問請求未被允許，則拒絕用戶對相應細粒度遙感數(shù)據(jù)進行訪問。
[0033]粗粒度數(shù)據(jù)的訪問使用RBAC (Role-Based Access Control)模式，細粒度遙感數(shù)據(jù)的訪問使用授權(quán)規(guī)則。用戶對多粒度遙感數(shù)據(jù)訪問后，記錄訪問過程。
[0034]如圖3所示，授權(quán)規(guī)則由決策、用戶分類、資源分類、操作和說明組成，其中，決策包括允許和拒絕兩種，在邏輯上可以互換；用戶分類是指依據(jù)一定的條件，將用戶分為若干類；資源包括界面元素、功能模塊和遙感數(shù)據(jù)對象，主要是指遙感數(shù)據(jù)資源，資源分類是指依據(jù)一定的條件，將遙感數(shù)據(jù)資源分為若干類；操作即訪問，包括針對遙感數(shù)據(jù)的修改(包括增加、刪除、修改、查詢)和下載，當資源被定義為界面元素、功能模塊時，操作為null ;說明用于構(gòu)建授權(quán)結(jié)果的信息，當訪問請求未被允許時，向用戶說明未被允許的原因。
[0035]用戶分類屬于動態(tài)劃分，與角色的含義并不完全相同，使用授權(quán)規(guī)則對用戶進行描述，如果用戶滿足授權(quán)規(guī)則的描述，則屬于某一用戶分類，通過授權(quán)規(guī)則的運算得到隸屬關(guān)系，而不需要事先用戶劃分至某一用戶分類。
[0036]資源分類也屬于動態(tài)劃分，使用授權(quán)規(guī)則對資源進行描述，如果資源滿足授權(quán)規(guī)則的描述，則屬于某一資源分類，通過授權(quán)規(guī)則的運算得到隸屬關(guān)系，而不需要事先資源劃分至某一資源分類。
[0037]訪問請求至少包括以下信息:用戶、所要訪問的資源以及需要對資源進行的操作。授權(quán)規(guī)則可以依據(jù)需要進行設定，例如，若需要訪問的遙感數(shù)據(jù)的精度超過一定閾值，則只允許管理員訪問。通過結(jié)合RBAC模型和規(guī)則引擎技術(shù)，實現(xiàn)遙感數(shù)據(jù)服務的靈活定制。
[0038]依據(jù)授權(quán)規(guī)則對該訪問請求進行解析，判斷訪問請求是否被允許，訪問請求的允許和拒絕通過過濾器鏈實現(xiàn)，過濾器鏈由一組具有先后順序的過濾器組成，每個過濾器設定自己的攔截條件，當訪問請求滿足攔截條件時，過濾器將其攔截并進行驗證，如果通過驗證,則將訪問請求交給下一過濾器,若訪問請求通過所有過濾器,則允許訪問請求；若訪問請求未通過所有過濾器，則拒絕訪問請求。
[0039]依據(jù)所要訪問的遙感數(shù)據(jù)的不同，過濾器鏈的行為可以分為以下三種:
[0040]I)需要訪問粗粒度遙感數(shù)據(jù)，只進行基于角色的基本權(quán)限的驗證；即將用戶訪問請求映射為對應的一組權(quán)限，然后在內(nèi)存中查找用戶的權(quán)限集，若用戶擁有訪問請求所需要的所有權(quán)限，則驗證通過允許訪問，否則拒絕訪問。
[0041]2)需要訪問細粒度遙感數(shù)據(jù)，進行基于授權(quán)規(guī)則的驗證；
[0042]基于授權(quán)規(guī)則的驗證系統(tǒng)的組成如圖2所示，包括規(guī)則引擎、規(guī)則編輯器、圖形化管理模塊以及安全服務模塊(Spring Security),其中規(guī)則引擎的功能包括解析、驗證和授權(quán)、規(guī)則編輯器的功能包括制定以及測試規(guī)則，圖形化管理模塊可以顯示用戶、角色以及權(quán)限，安全日志系統(tǒng)用于記錄日志，以Spring Security為基礎(chǔ),實現(xiàn)基于角色的訪問控制,并借助過濾器鏈控制基于角色和基于授權(quán)規(guī)則的訪問流程。
[0043]基于授權(quán)規(guī)則的驗證過程利用規(guī)則引擎處理，如圖4所示，驗證步驟如下:
[0044]a)請求過濾器與規(guī)則引擎通過統(tǒng)一 API接口進行對接；
[0045]b)規(guī)則引擎將訪問請求中的用戶和所要訪問的資源轉(zhuǎn)發(fā)給規(guī)則解析器，同時，規(guī)則引擎訪問規(guī)則庫，將規(guī)則庫中與訪問請求相關(guān)的規(guī)則信息轉(zhuǎn)發(fā)給規(guī)則解析器；
[0046]C、規(guī)則解析器對訪問請求進行解析和封裝，將生成的解析結(jié)果轉(zhuǎn)發(fā)給規(guī)則驗證器；解析具體包括以下步驟:2_1、獲取用戶的角色、用戶所要進行的訪問請求；2_2、依據(jù)細粒度遙感數(shù)據(jù)的特征以及步驟2-1所獲得信息判斷訪問請求是否被允許。
[0047]d、規(guī)則驗證器根據(jù)配置文件訪問需要驗證的源數(shù)據(jù)信息(包括用戶信息和資源屬性)，并將源數(shù)據(jù)信息與授權(quán)規(guī)則進行匹配，生成驗證結(jié)果；
[0048]e、規(guī)則授權(quán)器將驗證結(jié)果進行封裝返回給請求過濾器，并觸發(fā)安全日志系統(tǒng)寫日志。
[0049]f、請求過濾器依據(jù)驗證結(jié)果接受或者拒絕用戶訪問請求。
[0050]3)需要同時訪問粗粒度遙感數(shù)據(jù)和細粒度遙感數(shù)據(jù)，首先進行基于角色的基本權(quán)限的驗證，然后進行基于授權(quán)規(guī)則的驗證。
【權(quán)利要求】
1.一種基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，其特征在于，所述多粒度遙感數(shù)據(jù)包括粗粒度遙感數(shù)據(jù)和細粒度遙感數(shù)據(jù)，所述粗粒度遙感數(shù)據(jù)包括遙感數(shù)據(jù)集、遙感數(shù)據(jù)庫以及遙感數(shù)據(jù)表；所述細粒度遙感數(shù)據(jù)包括單個遙感數(shù)據(jù)、遙感數(shù)據(jù)記錄以及遙感數(shù)據(jù)屬性； 所述多粒度遙感數(shù)據(jù)訪問方法包括以下步驟: (1)用戶登錄，依據(jù)用戶的組織關(guān)系為用戶分配不同的角色，每個角色對應一組基本權(quán)限，所述基本權(quán)限賦予用戶對粗粒度遙感數(shù)據(jù)的訪問權(quán)限； (2)當用戶發(fā)出對細粒度遙感數(shù)據(jù)的訪問請求時，依據(jù)授權(quán)規(guī)則對該訪問請求進行解析，判斷訪問請求是否被允許， 若訪問請求被允許，則授權(quán)用戶對相應細粒度遙感數(shù)據(jù)進行訪問； 若訪問請求未被允許，則拒絕用戶對相應細粒度遙感數(shù)據(jù)進行訪問。
2.如權(quán)利要求1所述的基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，其特征在于，所述訪問包括針對遙感數(shù)據(jù)的增加、刪除、修改、查詢和下載。
3.如權(quán)利要求1所述的基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，其特征在于，所述步驟(2)中，當訪問請求未被允許時，向用戶說明未被允許的原因。
4.如權(quán)利要求1所述的基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，其特征在于，用戶對多粒度遙感數(shù)據(jù)訪問后，記錄訪問過程。
5.如權(quán)利要求1所述的基于規(guī)則的多粒度遙感數(shù)據(jù)訪問方法，其特征在于，所述依據(jù)授權(quán)規(guī)則對該訪問請求進行解析，具體包括以下步驟: 2-1、獲取用戶的角色、用戶所要進行的訪問請求； 2-2、依據(jù)細粒度遙感數(shù)據(jù)的特征以及步驟2-1所獲得信息判斷訪問請求是否被允許。
【文檔編號】G06F21/62GK103810441SQ201410040977
【公開日】2014年5月21日 申請日期:2014年1月28日 優(yōu)先權(quán)日:2014年1月28日
【發(fā)明者】鄭國軸, 李灼靈, 梁杰超, 陶金火, 陳華鈞, 吳朝暉 申請人:浙江大學