基于角色的协同虚拟环境研究的论文.docVIP

　　基于角色的协同虚拟环境研究的论文 摘 要 本文根据协同虚拟环境中的角色需求，提出一个适应协同虚拟环境的角色模型，给出一个带有时间空间特性的角色访问控制模型tsrbac，使协同虚拟环境具有更全面的安全属性描述。在此基础上，构建一个基于角色的协同虚拟环境系统rbcves。 关键词 协同虚拟环境；角色；虚拟现实 1 引言 协同虚拟环境(collaborative virtual environment，cve)于20世纪90年代中期提出，在一组以网络互联的计算机上同时运行虚拟环境实现协同工作。随着虚拟环境、网络、计算机支持的协同工作和图形学技术的飞速发展，促进了人们对协同虚拟环境的研究兴趣，也推动了该领域的发展。协同虚拟环境作为通信和合作的强大的工具，在娱乐、商业、教育、工程和医药等领域有很广泛的应用[1]。 cve要在一个三维虚拟环境中实现多个用户对虚拟空间、虚拟实体和资源的共享，目的是通过网络通信实现异地用户之间协同工作，共同完成任务。为了适应cve在inter上的应用需求，我们需要考虑在cve中用户和权限的控制，确保用户对各种物体和资源享有不同权利和义务，从而更好地维护用户间协同的顺利进行。.cOm 角色机制一方面可以实现权限的有效管理和用户的合理授权，提高系统交互性，另一方面对访问和操作进行合法检测，能够提高系统安全性。本文在cve系统中引入角色机制作为支撑技术，通过面向角色的软件方法来实现系统功能。 2 模型设计 2.1 角色模型 通常角色指的是一组权利和义务的集合[2]。权利代表了许可，即对象对于一组目标资源允许或者禁止的行为；义务代表了职责，即对象对于一组目标物体必须做或者绝对不做的行为。权利(permissions)和义务(obligations)是角色的核心要素，但并不是全部要素。角色还应该具备角色标识符号、承担该角色的对象负责的一个或多个子目标、角色拥有的资格、角色的状态与其它角色之间的各种关系等要素。 基于以上分析，我们给出如下角色模型： 定义1 角色模型role_model lt;role_modelgt;∷= “role” lt;idgt;lt;namegt;lt;goalsgt;lt;qualificationsgt; lt;statusgt;lt;permissionsgt;lt;obligationsgt; lt;relationsgt; “end_role” 各属性定义如下： id是系统实现时，对角色的标识，每个角色只有惟一的id。 name是角色的名称标识。 goals是角色对应的子目标。 qualifications是角色拥有的资格。 status指的是角色的状态。表明了角色在某一时刻所处的行为。 permissions是一组权限的集合。指定该角色执行的操作哪些是允许的，哪些是禁止的，以及哪些资源是可利用的，哪些资源是不可用的。 obligations是角色的义务集的动态体现。该集合规定了角色必须执行的一组特定行为，它反映了角色必须完成的目标和行为约束。另外，角色的义务集也反映了角色之间的组织关系，即在组织内部，角色之间的相互负责关系。每一个obligation都要包含obligated_roles、authority_roles、benefited_roles和rules。其中，obligated_roles定义了该义务的承担角色集，authority_roles定义了对该义务具有授权功能的角色集，而benefited_roles则定义了履行该义务后的收益角色集合，rules定义了义务履行的规则集。 relations是该角色与其它角色之间的关系，如角色的继承和派生等关系。 2.2 带时空特性的角色访问控制模型 基于角色的访问控制模型(role-based access control，rbac)最早是在 1992年由ferraiolo和kuhn提出的[3]。rbac模型的突出优点是简化了各种环境下的授权管理。通过引入角色这一中介实现了用户与权限的逻辑分离。rbac的思想是将权限赋予角色。角色实际上是与特定工作岗位相关的一个权限与职责的集合，与用户相比角色是相对稳定的。当用户改变时，只需要进行角色的撤消和重新分配即可。rbac 访问控制模型不仅易于管理而且降低了复杂性、成本和发生错误的概率，因而近年来得到了极大的发展。典型的rbac模型如rbac96模型[4]和nist 标准 rbac 模型[5]。在此基础上，人们提出多个扩充模型[6][7]。 文献[8]中，在 rbac 基础上作了时间特性方面的扩展，在无时间特性的角色访问控制的形式化表达的基础上，对授权约束及其时间特性进行分析，提出了一个带时间特性的角色访问控制模型trbac(timed role