收藏
下载资源

(2020年)行业分析报告授权访问动态时空数据分析

上传人:精****库 文档编号:139594029 上传时间:2020-07-22 格式:DOCX 页数:11 大小:26.55KB
返回 下载 相关 举报
(2020年)行业分析报告授权访问动态时空数据分析_第1页
第1页 / 共11页
(2020年)行业分析报告授权访问动态时空数据分析_第2页
第2页 / 共11页
(2020年)行业分析报告授权访问动态时空数据分析_第3页
第3页 / 共11页
(2020年)行业分析报告授权访问动态时空数据分析_第4页
第4页 / 共11页
(2020年)行业分析报告授权访问动态时空数据分析_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《(2020年)行业分析报告授权访问动态时空数据分析》由会员分享,可在线阅读,更多相关《(2020年)行业分析报告授权访问动态时空数据分析(11页珍藏版)》请在金锄头文库上搜索。

1、n更多企业学院: 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料n更多企业学院: 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46

2、套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料n更多企业学院: 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份

3、资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料架构师:安全性授权访问动态时空数据根据空间和时间参照进行个体数据对象访问授权是一项复杂的工作。阅读本文了解一个可行的方法。作者:Bart van Velden2008 年 4 月发布在集合和用户群规模都较大且是动态的情况下,对集合中的单个数据对象进行访问授权会比较困难。如果授权策略是基于数据对象的时间和空间参照,这将变得更为复杂。本文以我的公司 CycloMedia Tech

4、nology 的真实场景为例,给大家介绍了这一问题的解决方案,该方案结合使用了的两个组件:和特性。CycloMedia TechnologyCycloMedia 专业从事基于 360 度的全景图像(即环形全景图)实现环境的系统性大规模可视化。要创建环形全景图,需要对广阔区域进行拍照,并将其输入到联机数据库。注册完每个记录、位置、方位后,就可以实现多样化的应用,如 3-D 测量和建模。(请参见以下示例。)图像 Id记录位置记录日期时间43c5klf8h0cg5.70698580234006,50.84747508176982005-03-12 15:226ju83ks7u6pg4.5901980

5、0392403,52.46226362928422004-08-02 08:5185s8hi4nl7u26.9008111752263,52.41154436661612006-06-21 12:17.图 1使用地理空间数据的环形全景图示例DCR7 是 CycloMedia 自行开发的一系列记录系统中最新的模型,可用于表现外观质量、量度精度和高速直观记录。DCR7 能够以 5 米间隔、80 公里/小时的速度生成环形全景图,CycloMedia 有意使用它将欧洲大部分公共空间转化为图像。由于这些进步,环形全景图集合有望快速增长。授权挑战在 CycloMedia 案例中,我们面临着这样一种情况,即

6、需要向许多用户授予对带有空间和时间参照的动态对象集合的访问权。授权参数基于集合的时间和空间维度。传统上,这一问题的解决方案是创建静态数据集或授权表来描述每个主体(客户端或用户)与集合中各对象之间的每一种单一关系。构建这些数据集和表通常要使用专业工具来计算对象和授权区域之间的空间关系。当用户群体和集合都较大且是动态的情况下,构建和维护这些即席数据集和授权表以支持访问控制并不合适。而且,即席数据不支持访问控制策略中的灵活保护粒度和动态变化。近来提出的几个解决方案有着不同缺点。导致这些缺点的主要原因与所提出的解决方案的体系结构相关。在数据库外实施授权,或在执行查询后实施授权,因此限制了数据的使用。甚

7、至 Open Geospatial Consortium 当前建议的新标准 GeoXACML 体系结构也存在问题。它基于用于空间数据(GML、WMS)和授权 (XACML) 的标准,为不受保护的 Web 地图服务提供了一种无需更改现有基础架构即可进行访问控制的解决方案。为此,它拦截了传输至 WMS 的消息,对目标 WMS 执行检索任务,将检索结果发送至决策点,然后基于得到的授权决定创建结果集。这一概念在很大程度上基于这一体系结构原型,该原型会导致一些效率低下的后果:所有数据均选自原始数据库,然后转换为 GML, 再使用外部工具根据授权策略按特征逐一划分并计算。因此无法使用原始数据库中的空间索引

8、,而且必须在其他组件中实施空间比较函数。另外,该体系结构不能执行复杂的分析任务,因为数据首先经过了选择然后依据授权策略进行了筛选。即使是简单查询最近邻居也会出问题:您最后可能会发现一开始所选择的最近对象是无法到达的。数据库级授权评估因为主流数据库已经实施了空间数据类型和空间函数(通常基于 Open Geospatial Consortium 的 SFS 空间类型和函数 标准),在数据库级别上执行授权策略似乎是可行的。然而,当前的 SQL 授权机制却限制在表、视图和列级别上。用户可以想像为每个用户创建视图,但如果有大量用户和不断变化的策略,该方法将再次失效。由于上述问题,当前的信息系统通常绕过数

9、据库访问控制工具,将访问控制嵌入到用于访问数据库的应用程序中。这可以是最终用户应用程序或中间件应用程序。将访问控制嵌入到最终用户应用程序中的情况下,如果用户无法控制应用程序的来源或者使用了多个应用程序,那么就会出问题。授权策略的变化也必须应用于多个控制机制,但甚至在那种情形下用户也依赖于应用更新策略来使更改生效。此外,还存在着用户或黑客提交随意性查询的风险。第二个选择是在中间件应用程序中构建查询。然后,该应用程序应编辑由最终用户应用程序执行的查询,以加入授权策略。然而,当遇到复杂的检索任务和经常变化的授权策略时,这将变得非常困难。另外一个选择是提供几个默认的检索任务作为最终用户应用程序的函数。

10、尽管这可能会简化过程,但它直接限制了用户的选择。数据库级授权执行出于上述原因,理想情况下应该在数据库级指定并实施细粒度的访问控制。U.C. Berkeley 的 Shariq Rizvi 和其他人提出了 Truman 模型,该模型基于数据库级别修改查询,以包括授权策略。尽管其他人曾讨论过这一概念,但 Truman 模型使用参数化的视图框架对这一在数据库级修改查询的方法进行了统一。Truman 模型背后的想法是为每个用户提供完整数据库的个人限制性视图。为实现此目的,需要对用户的查询进行修改以确保用户不能查看允许之外的内容。将授权策略加入提交的查询作为谓词,这些策略实际上就是逻辑表达式。下面是该模

11、型的示意图。图 2Truman 模型:用户提供的 query 将重写至 query,由系统执行。因为查询的修改过程对用户是透明的,用户几乎不会察觉到访问控制机制的存在。因此,最终用户将认为该体系结构没有对数据应用限制,他可以访问表中的所有对象。Truman 模型视图示意图:图 3Truman 模型下的查询修改对用户是透明的。由于这一原因,也可以这样认为,在该模型中,用户查询中的每个关系由用户有权查看的视图所代替。Truman 模型有时也称为细粒度访问控制(FGAC) 或行级安全(RLS)。(该模型名称的灵感源自于 1998 年的电影The Truman Show中 Truman Burbank

12、 角色所处的人工世界)。该模型的优点包括:单点授权实施、可以拥有动态的集合、最终用户查询功能以及高效的数据处理(这是空间数据一个主要方面)。Oracle 虚拟专用数据库Oracle 虚拟专用数据库 (VPD) 在 Oracle 文档中有其他几个名称,包括 FGAC 或 RLS。无论名称是什么,VPD 安全都提供了一个全新的数据访问控制方法。它基于这样的思路:将定义的安全策略函数附加到数据库表或视图,每次查询或更改表或视图中的数据时都执行该安全策略函数。该函数将返回另外一个 SQL(称为谓词),在使用该 SQL 前将其附加到原始 SQL 的 WHERE 子句上。从而与 Truman 模型的概念相

13、匹配。查询修改在查询优化器中完成,实际上是在分析和执行 SQL 时进行。执行 SQL 时,实际上是代表用户执行修改过的 SQL。这表示策略函数控制返回哪几行数据。可以将该过程看作一个系统触发器,当访问定义了策略的表时,将执行该触发器。一个重要的特征是 VPD 的动态本质。实施为了解 Truman 模型是否适用于预定情况,我们在启用了 Spatial 选件的 Oracle 数据库 10g企业版上建立一个测试实施。只有 Oracle 数据库企业版才包含的 VPD 组件用于修改查询。在数据库中构建集合相对容易,只需要一个包含 image_id、recording_location 和 recordi

14、ng_datetime 列的表就够了。将 image_id 指定为主键。因为授权谓词和检索任务中使用了位置和日期时间,所以基于它们创建索引。recording_location 是 SDO_GEOMETRY 类型。该空间数据类型可以保存不同的空间几何信息。接下来,向数据库中导入原始数据。因为原始数据使用的是 Dutch National Grid 格式,需要将它们转化为世界大地坐标系 (WGS84) 格式。该集合最终包含大约 10 年期间在荷兰所记录的近 1 千万张图像。下面我们要设计一个数据模型,其中将包含合同、客户端、用户、每个合同的可访问范围(使用空间和时间类型)。创建一个名为 cond

15、ition_sets 的公共视图,其中集中了来自那些表的数据,从而提供所有“可访问”的空间和时间范围组合。最后插入一些测试数据。要将用户限制为仅访问其自己的数据,我们为 condition_sets 定义了以下谓词:(WHERE) client_id = SYS_CONTEXT(THE_CTX,THE_CLIENT_ID)除了 client_id 是在会话上下文(the_ctx)中的 the_client_id 值内设置的行外,该谓词将移除其他所有行,从而阻止用户访问其无权访问的数据。该会话上下文使用登录触发器创建,登录触发器将确定该用户属于哪个客户端。因为 VPD 还提供了一个使用函数来设定上下文的函数,这将使得应用服务器和数据库之间的会话是持久的,且能够移除登录触发器。现在需要将

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 企业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号