基于层次权限的远程教学平台访问控制研究.pdfVIP

国 酬 … 基于层次权限的远程教学平台 访问控制研究 刘液， 四川广播电视大学信息中心四川 610073 摘婆 z 访问策略是随着发仓技术发展起来的新兴技术，本文讨论了远程教学平台中权限管现存在的问题，提出了滋用于 远程教育特点的权限模型-院次权限角色控制技术，详细阐述了它的核心定义和算法，并给出了实际i运用的例子. 关键问:启次权限，角色$客体，安4号 。 前言 →定的影响。可以这样规定 z 如果用户(角色)班有其所有控 目前 RBAC 枪制模糊现在不断的发展中，为了适内涵穗 制该权限的所有权限，那么无论有没有F腥的这项权限，他 教学平台中大最资源的有效控制，本文以 RBAC96 核心模黯 都不能执行这项权限。这样体现了居次模明对现实管理的实 为基础，探讨对极限的有效管理，提出了基于居次权限的角 际反映。 色控制技术(Multi嗣Level privilege RBAC , MLPRBAC)，建立 了符合远程教学平台特点的权限管理模型，并通过权限数据 定义和客体制关算法验证了 MLPRBAC 模型在远程教育中 的可行性。 1 MLPRBAC 基本模明 1.1 RBAC 核心模明 图 1 MLP阳AC 模型 在 RBAC96 模糊巾定义了以下基本元素:用户、角色、 1.3 MLPRBAC 模型 操作、客体、权限、金话等，分别用 USER，ROLE，OP，OBJ，PRM， 定义 1:如1LPRBAC 模啄!遵循核心 RBAC 模型的基本~义。 SESSION 表示 s 战对应的集合称为用户集、角色集、操作集、 定义 2: 儿1LPS 的所有权限是直斥的，也称在 MLPS 中 客体集、权限集、金话集，JfJ US，邸，OPS，OBJS，PRMS，SESSIONS 不得在两个栩间的权限。其形式化写为: 表示。 i， jE N， i 叫，町，们 MLPS 功r:/P; #叫 1.2 层次权限 定义 3: 组成 MLPS 的所有客体肖远是客体集合的元素， 在通常的权限管理中，我们不仅仅要控制对波权限的操 组成 MLPS的所有操作宵~是操作集合的元素。形式化衰示为: 作，还可能带姿控制隶属于该权限的子权限，这种具有控制 属性的权限称为控制权限，写为 cp. 不具有控制属性的权限 称为警通权限，骂为 np. 根据控制权限和普通权限的定义， 凡 A ， B, E 称为控制极限， C, D , F 称为普通权限，其中 r:/(Op， Obj)E 儿1LPS 埠。I[J E OPS,ObjE oQJS 定义 4: 极限的控制关系用符号《茬示 ? PI控制j 巧写为 Pi 衍，控制l关系具有传递性，形式化描述为: Pi ,Pk ,PjE MLPS,Pi …P. … Pj :::) PI Pj R 控制了 A ， R 间接控制了 B、 C， D. E 控制了 F。 也义 5: 权限的非控制关系用符号~表示 ? Pi 控制药写 犀次权限集合(Multi-Level Privi1eges, MLPS)表示了权限 为 PI-舟，跟然控制关系和非控制l关系是直斥的，形式化捕 之间的思次关系，通过上层的极限能对下层的访问精制产生 述为: ~ 团军;J:5f11EJMMi田Il:.:.冒冒目肝tltiJ;ìU胃理军何事圃- 2010.6 跚跚自撞击董m与皿用 93 国 黯藕wa即技术应南山川v 翠 I 鸟，PjEMLPS功 Pi Pj ^Pi 叩 Pj=0 组成这些资源的基本元霸可以认为就是具体某个权限， 定义 6: CreateMlp (PIo P. P/ MLPS) 定义了一个新 z层 它包括了操作和客体，如课程管理的操作在平台中就是点班 次权限加入到层次极限策的算法，其中权限 Pi 的咒亲节点为 或者是执行，而对象就是某个课程。 Pt. 其孩子节点增加一个孩子节点 Pj ? 当且仅~节点 Pi、 Pk、 2.2 数据设计 局之间不存在任何的控制l关系，此函数功能有嫂。如果Pk节点 在 MLPRBAC 模型中，重点描述了屁次权限，通过普通 为空表示此节点为根节点，当局为空表示此节点为叶子节点。 底次仅限和控制层次权限组成了居次权限树和恩次权限 ~义 7: RevokeMlp ( Pi: MLPS )意义了从巳存在的层次 森林。 权限集删除一个思次权限的算法。如果Pi的父亲节点不为空， 到1从 Pi 的父亲节点的孩子节点集中删除 PíI 如果 Pi的孩子节 点不为窍，则把所有 Pi的孩子节点的父亲节点最为窍。 黛义 8: CheckAωess (s:S巴SSIONS， p:MLPS)意义了判断 在会话 s 中是带能执行权限 P. 塌阴值是布尔值是或者帘。 1.4 MLPRBAC 关键算法 对于模型的处理，关键问题就体现在对客体的控制上， 如朋 2 的层