基于角色的协同虚拟的环境研究.docVIP

基于角色的协同虚拟环境研究 摘 要 本文根据协同虚拟环境中的角色需求，提出一个适应协同虚拟环境的角色模型，给出一个带有时间空间特性的角色访问控制模型TSRBAC，使协同虚拟环境具有更全面的安全属性描述。在此基础上，构建一个基于角色的协同虚拟环境系统RBCVES。 关键词 协同虚拟环境；角色；虚拟现实1 引言 协同虚拟环境(Collaborative Virtual Environment，CVE)于20世纪90年代中期提出，在一组以网络互联的计算机上同时运行虚拟环境实现协同工作。随着虚拟环境、网络、计算机支持的协同工作和图形学技术的飞速发展，促进了人们对协同虚拟环境的研究兴趣，也推动了该领域的发展。协同虚拟环境作为通信和合作的强大的工具，在娱乐、商业、教育、工程和医药等领域有很广泛的应用[1]。 CVE要在一个三维虚拟环境中实现多个用户对虚拟空间、虚拟实体和资源的共享，目的是通过网络通信实现异地用户之间协同工作，共同完成任务。为了适应CVE在Internet上的应用需求，我们需要考虑在CVE中用户和权限的控制，确保用户对各种物体和资源享有不同权利和义务，从而更好地维护用户间协同的顺利进行。 角色机制一方面可以实现权限的有效管理和用户的合理授权，提高系统交互性，另一方面对访问和操作进行合法检测，能够提高系统安全性。本文在CVE系统中引入角色机制作为支撑技术，通过面向角色的软件方法来实现系统功能。2 模型设计2.1 角色模型 通常角色指的是一组权利和义务的集合[2]。权利代表了许可，即对象对于一组目标资源允许或者禁止的行为；义务代表了职责，即对象对于一组目标物体必须做或者绝对不做的行为。权利(Permissions)和义务(Obligations)是角色的核心要素，但并不是全部要素。角色还应该具备角色标识符号、承担该角色的对象负责的一个或多个子目标、角色拥有的资格、角色的状态与其它角色之间的各种关系等要素。 基于以上分析，我们给出如下角色模型： 定义1 角色模型Role_Modellt;Role_Modelgt;= “ROLE”lt;IDgt;lt;Namegt;lt;Goalsgt;lt;Qualificationsgt;lt;Statusgt;lt;Permissionsgt;lt;Obligationsgt;lt;Relationsgt;“END_ROLE” 各属性定义如下： ID是系统实现时，对角色的标识，每个角色只有惟一的ID。 Name是角色的名称标识。 Goals是角色对应的子目标。 Qualifications是角色拥有的资格。 Status指的是角色的状态。表明了角色在某一时刻所处的行为。 Permissions是一组权限的集合。指定该角色执行的操作哪些是允许的，哪些是禁止的，以及哪些资源是可利用的，哪些资源是不可用的。 Obligations是角色的义务集的动态体现。该集合规定了角色必须执行的一组特定行为，它反映了角色必须完成的目标和行为约束。另外，角色的义务集也反映了角色之间的组织关系，即在组织内部，角色之间的相互负责关系。每一个obligation都要包含obligated_roles、authority_roles、benefited_roles和rules。其中，obligated_roles定义了该义务的承担角色集，authority_roles定义了对该义务具有授权功能的角色集，而benefited_roles则定义了履行该义务后的收益角色集合，rules定义了义务履行的规则集。 Relations是该角色与其它角色之间的关系，如角色的继承和派生等关系。2.2 带时空特性的角色访问控制模型 基于角色的访问控制模型(Role-Based Access Control，RBAC)最早是在 1992年由Ferraiolo和Kuhn提出的[3]。RBAC模型的突出优点是简化了各种环境下的授权管理。通过引入角色这一中介实现了用户与权限的逻辑分离。RBAC的思想是将权限赋予角色。角色实际上是与特定工作岗位相关的一个权限与职责的集合，与用户相比角色是相对稳定的。当用户改变时，只需要进行角色的撤消和重新分配即可。RBAC 访问控制模型不仅易于管理而且降低了复杂性、成本和发生错误的概率，因而近年来得到了极大的发展。典型的RBAC模型如RBAC96模型[4]和NIST 标准 RBAC 模型[5]。在此基础上，人们提出多个扩充模型[6][7]。 文献[8]中，在 RBAC 基础上作了时间特性方面的扩展，在无时间特性的角色访问控制的形式化表达的基础上，对授权约束及其时间特性进行分析，提出了一个带时间特性的角色访问控制模型TRBAC(Timed Role-Based Access Control)。TRBAC有着更全面、更