一种基于规则的多粒度遥感数据访问方法

一种基于规则的多粒度遥感数据访问方法
【专利摘要】本发明公开了一种基于规则的多粒度遥感数据访问方法，包括以下步骤：（1）用户登录，依据用户的组织关系为用户分配不同的角色，每个角色对应一组基本权限，所述基本权限赋予用户对粗粒度遥感数据的访问权限；（2）当用户发出对细粒度遥感数据的访问请求时，依据授权规则对该访问请求进行解析，判断访问请求是否被允许，若访问请求被允许，则授权用户对相应细粒度遥感数据进行访问；若访问请求未被允许，则拒绝用户对相应细粒度遥感数据进行访问。本发明通过预先设定的授权规则，个性化地给予不同角色访问访问权限，满足日益复杂的遥感数据访问需求，并且能够满足遥感数据服务的安全性和保密性需求。
【专利说明】一种基于规则的多粒度遥感数据访问方法
【技术领域】
[0001]本发明涉及遥感【技术领域】，具体涉及一种基于规则的多粒度遥感数据访问方法。【背景技术】
[0002]随着全球信息化的发展，空间技术的日益普及，云计算、物联网等高新技术应用越来越广泛，对遥感信息服务提出了更高的要求，积极推动了遥感信息服务的发展。
[0003]“十二五”期间，国家投入大量资金来提高遥感卫星的数量和品种，中国发射了多颗遥感卫星，包括气象、海洋和环境等成系列的、行业性的卫星体系和组合星座，将形成多分辨率、多类型、高覆盖度的海量多源遥感数据，为遥感信息服务提供了数据基础，中国遥感信息服务进入了一个“黄金期”。
[0004]遥感信息服务向着多用户、多应用和大规模的方向发展，数据量越来越大，业务关系越来越复杂,对遥感系统的数据安全方面有着越来越高的需求,而且遥感数据往往涉及到军事机密、商业秘密和个人隐私等问题，所以遥感数据的使用安全性能应该放在第一位来考虑。
[0005]遥感数据安全性是遥感技术研究与应用必不可少的组成部分，数据访问控制机制更是数据安全必不可少的一部分，但是，由于遥感数据的特殊性和敏感性，一般的访问控制机制往往不能满足系统对遥感数据访问控制的需求，遥感数据的访问控制，往往需要细粒度级别的控制，如具体到数据的某一属性，或者考虑数据的时空关系。
[0006]由于目前对遥感数据安全进行全面描述的规范和文档还比较缺乏，许多遥感信息服务仅使用用户名密码保护，对敏感数据则一律不开放，这难以满足数据共享的需求，并且严重影响国家遥感技术的发展。因此，需要提供一种遥感数据的访问控制方法，满足遥感数据访问的安全性和便捷性要求。

【发明内容】

[0007]本发明提供了一种基于规则的多粒度遥感数据访问方法，通过预先设定的授权规贝U，个性化地给予不同角色访问访问权限，满足日益复杂的遥感数据访问需求，并且能够满足遥感数据服务的安全性和保密性需求。
[0008]一种基于规则的多粒度遥感数据访问方法，所述多粒度遥感数据包括粗粒度遥感数据和细粒度遥感数据，所述粗粒度遥感数据包括遥感数据集、遥感数据库以及遥感数据表；所述细粒度遥感数据包括单个遥感数据、遥感数据记录以及遥感数据属性；
[0009]所述多粒度遥感数据访问方法包括以下步骤:
[0010](I)用户登录，依据用户的组织关系为用户分配不同的角色，每个角色对应一组基本权限，所述基本权限赋予用户对粗粒度遥感数据的访问权限。
[0011]组织关系包括单位、部门等实际的组织机构，也包括项目组、学术圈等临时的组织，甚至也包括虚拟组织。
[0012]用户、角色和基本权限之间为多对多的关系，即一个用户可能对应多种角色，一种角色可以对应多个基本权限(多个基本权限构成一组权限)，通过角色分配，用户可以获得基本权限，即获得对粗粒度遥感数据的访问权限。
[0013](2)当用户发出对细粒度遥感数据的访问请求时，依据授权规则对该访问请求进行解析，判断访问请求是否被允许，
[0014]若访问请求被允许，则授权用户对相应细粒度遥感数据进行访问；
[0015]若访问请求未被允许，则拒绝用户对相应细粒度遥感数据进行访问。当访问请求未被允许时，向用户说明未被允许的原因。
[0016]所述访问包括针对遥感数据的增加、删除、修改、查询和下载。用户对多粒度遥感数据访问后，记录访问过程。
[0017]所述依据授权规则对该访问请求进行解析，具体包括以下步骤:
[0018]2-1、获取用户的角色、用户所要进行的访问请求；
[0019]2-2、依据细粒度遥感数据的特征以及步骤2-1所获得信息判断访问请求是否被允许。
[0020]本发明基于规则的多粒度遥感数据访问方法，结合基于角色的访问控制模型和规则引擎技术，实现遥感数据服务在用户、数据两个维度的多粒度访问控制，提高遥感数据服务的数据安全性和保密性，促进遥感数据的共享和应用，通过遥感数据授权规则的动态增删和组合，灵活实现复杂的细粒度访问控制，满足负责访问逻辑的需求，通过状态保存、规则匹配缓存等机制优化访问控制的性能，防止复杂的访问控制导致系统性能的下降。
【专利附图】

【附图说明】
[0021]图1为本发明基于规则的多粒度遥感数据访问方法的框架图；
[0022]图2为本发明基于规则的多粒度遥感数据访问方法中基于授权规则的验证系统组成图；
[0023]图3为本发明基于规则的多粒度遥感数据访问方法中授权规则的组成结构图；
[0024]图4为本发明基于规则的多粒度遥感数据访问方法中规则引擎的工作流程图。
【具体实施方式】
[0025]下面结合附图，对本发明基于规则的多粒度遥感数据访问方法做详细描述。
[0026]如图1所示，一种基于规则的多粒度遥感数据访问方法，多粒度遥感数据包括粗粒度遥感数据和细粒度遥感数据，粗粒度遥感数据包括遥感数据集、遥感数据库以及遥感数据表；细粒度遥感数据包括单个遥感数据、遥感数据记录以及遥感数据属性；
[0027]多粒度遥感数据访问方法包括以下步骤:
[0028](I)用户登录，依据用户的组织关系为用户分配不同的角色，每个角色对应一组基本权限，基本权限赋予用户对粗粒度遥感数据的访问权限。
[0029]用户登录时，将用户、角色和基本权限之间的映射关系加载到内存中，由于这些数据经常使用且数据量较小，加载到内存中可以加快基本权限的验证。
[0030](2)当用户发出对细粒度遥感数据的访问请求时，依据授权规则对该访问请求进行解析，判断访问请求是否被允许，
[0031]若访问请求被允许，则授权用户对相应细粒度遥感数据进行访问；[0032]若访问请求未被允许，则拒绝用户对相应细粒度遥感数据进行访问。
[0033]粗粒度数据的访问使用RBAC (Role-Based Access Control)模式，细粒度遥感数据的访问使用授权规则。用户对多粒度遥感数据访问后，记录访问过程。
[0034]如图3所示，授权规则由决策、用户分类、资源分类、操作和说明组成，其中，决策包括允许和拒绝两种，在逻辑上可以互换；用户分类是指依据一定的条件，将用户分为若干类；资源包括界面元素、功能模块和遥感数据对象，主要是指遥感数据资源，资源分类是指依据一定的条件，将遥感数据资源分为若干类；操作即访问，包括针对遥感数据的修改(包括增加、删除、修改、查询)和下载，当资源被定义为界面元素、功能模块时，操作为null ;说明用于构建授权结果的信息，当访问请求未被允许时，向用户说明未被允许的原因。
[0035]用户分类属于动态划分，与角色的含义并不完全相同，使用授权规则对用户进行描述，如果用户满足授权规则的描述，则属于某一用户分类，通过授权规则的运算得到隶属关系，而不需要事先用户划分至某一用户分类。
[0036]资源分类也属于动态划分，使用授权规则对资源进行描述，如果资源满足授权规则的描述，则属于某一资源分类，通过授权规则的运算得到隶属关系，而不需要事先资源划分至某一资源分类。
[0037]访问请求至少包括以下信息:用户、所要访问的资源以及需要对资源进行的操作。授权规则可以依据需要进行设定，例如，若需要访问的遥感数据的精度超过一定阈值，则只允许管理员访问。通过结合RBAC模型和规则引擎技术，实现遥感数据服务的灵活定制。
[0038]依据授权规则对该访问请求进行解析，判断访问请求是否被允许，访问请求的允许和拒绝通过过滤器链实现，过滤器链由一组具有先后顺序的过滤器组成，每个过滤器设定自己的拦截条件，当访问请求满足拦截条件时，过滤器将其拦截并进行验证，如果通过验证,则将访问请求交给下一过滤器,若访问请求通过所有过滤器,则允许访问请求；若访问请求未通过所有过滤器，则拒绝访问请求。
[0039]依据所要访问的遥感数据的不同，过滤器链的行为可以分为以下三种:
[0040]I)需要访问粗粒度遥感数据，只进行基于角色的基本权限的验证；即将用户访问请求映射为对应的一组权限，然后在内存中查找用户的权限集，若用户拥有访问请求所需要的所有权限，则验证通过允许访问，否则拒绝访问。
[0041]2)需要访问细粒度遥感数据，进行基于授权规则的验证；
[0042]基于授权规则的验证系统的组成如图2所示，包括规则引擎、规则编辑器、图形化管理模块以及安全服务模块(Spring Security),其中规则引擎的功能包括解析、验证和授权、规则编辑器的功能包括制定以及测试规则，图形化管理模块可以显示用户、角色以及权限，安全日志系统用于记录日志，以Spring Security为基础,实现基于角色的访问控制,并借助过滤器链控制基于角色和基于授权规则的访问流程。
[0043]基于授权规则的验证过程利用规则引擎处理，如图4所示，验证步骤如下:
[0044]a)请求过滤器与规则引擎通过统一 API接口进行对接；
[0045]b)规则引擎将访问请求中的用户和所要访问的资源转发给规则解析器，同时，规则引擎访问规则库，将规则库中与访问请求相关的规则信息转发给规则解析器；
[0046]C、规则解析器对访问请求进行解析和封装，将生成的解析结果转发给规则验证器；解析具体包括以下步骤:2_1、获取用户的角色、用户所要进行的访问请求；2_2、依据细粒度遥感数据的特征以及步骤2-1所获得信息判断访问请求是否被允许。
[0047]d、规则验证器根据配置文件访问需要验证的源数据信息(包括用户信息和资源属性)，并将源数据信息与授权规则进行匹配，生成验证结果；
[0048]e、规则授权器将验证结果进行封装返回给请求过滤器，并触发安全日志系统写日志。
[0049]f、请求过滤器依据验证结果接受或者拒绝用户访问请求。
[0050]3)需要同时访问粗粒度遥感数据和细粒度遥感数据，首先进行基于角色的基本权限的验证，然后进行基于授权规则的验证。
【权利要求】
1.一种基于规则的多粒度遥感数据访问方法，其特征在于，所述多粒度遥感数据包括粗粒度遥感数据和细粒度遥感数据，所述粗粒度遥感数据包括遥感数据集、遥感数据库以及遥感数据表；所述细粒度遥感数据包括单个遥感数据、遥感数据记录以及遥感数据属性； 所述多粒度遥感数据访问方法包括以下步骤: (1)用户登录，依据用户的组织关系为用户分配不同的角色，每个角色对应一组基本权限，所述基本权限赋予用户对粗粒度遥感数据的访问权限； (2)当用户发出对细粒度遥感数据的访问请求时，依据授权规则对该访问请求进行解析，判断访问请求是否被允许， 若访问请求被允许，则授权用户对相应细粒度遥感数据进行访问； 若访问请求未被允许，则拒绝用户对相应细粒度遥感数据进行访问。
2.如权利要求1所述的基于规则的多粒度遥感数据访问方法，其特征在于，所述访问包括针对遥感数据的增加、删除、修改、查询和下载。
3.如权利要求1所述的基于规则的多粒度遥感数据访问方法，其特征在于，所述步骤(2)中，当访问请求未被允许时，向用户说明未被允许的原因。
4.如权利要求1所述的基于规则的多粒度遥感数据访问方法，其特征在于，用户对多粒度遥感数据访问后，记录访问过程。
5.如权利要求1所述的基于规则的多粒度遥感数据访问方法，其特征在于，所述依据授权规则对该访问请求进行解析，具体包括以下步骤: 2-1、获取用户的角色、用户所要进行的访问请求； 2-2、依据细粒度遥感数据的特征以及步骤2-1所获得信息判断访问请求是否被允许。
【文档编号】G06F21/62GK103810441SQ201410040977
【公开日】2014年5月21日 申请日期:2014年1月28日 优先权日:2014年1月28日
【发明者】郑国轴, 李灼灵, 梁杰超, 陶金火, 陈华钧, 吴朝晖 申请人:浙江大学