校园一卡通授权框架中代理委托的策略的研究.docVIP

校园一卡通授权框架中代理委托的策略的研究 　　 ?? 　　摘 要：针对现有基于RBAC的委托模型不支持代理委托机制，提出了一种代理委托策略。给出了代理委托的相关概念、基本特征、委托过程及其在校园一卡通授权框架中的应用实现，解决了委托人失效而无法自主实施委托的问题，对于实际应用环境具有一定的参考价值。?? 　　关键词：基于RBAC的委托；校园一卡通；授权；代理委托?? 　　中图分类号：TP301 文献标识码：A 文章编号：1672-7800（2011）08-0034-02?お? 　　?? 　　基金项目：信阳师范学院青年科研基金资助项目?? 　　作者简介：孙伟(1981-)，男，河南信阳人，硕士，信阳师范学院计算机与信息技术学院助教，研究方向为访问控制、安全模型。 　　 　　 　　0 引言?? 　　 基于RBAC的代理委托允许将委托人的授权管理工作分散给普通代理人去实施，能够解决委托人在出差或休假的情况下无法自主执行委托的问题，是委托技术的一种重要表现形式。现有基于RBAC的委托模型RBDM1、RDM2000、PBDM等都是自主执行委托，委托过程完全依赖于委托人的意志和能力，缺乏必要的监督和控制，存在权限滥用的危险，且未能体现代理委托形式。基于RBAC的校园一卡通系统是集校内消费、身份识别、校务管理、金融服务于一体的数字化校园核心应用项目。一卡通授权系统的安全、稳定运行是保证数据畅通运转，分析学校商户经营状况的重要前提和基础。因此，在一卡通统一授权框架下如何设计并实现代理委托策略值得思考与研究。?? 　　 针对现有模型不支持代理委托，提出一种代理委托策略。给出代理委托的相关概念、基本特征、委托过程及其在一卡通授权框架中的应用实现。?? 　　1 相关概念及特征?? 　　1.1 相关定义?? 　　 定义1 基本元素集：U、R、P、S、UA、 PA和RH为RBAC的基本元素集；UAO、RR、AR、UAD、UA、OU、DU、Users(r,s)、Roles(u,s)、A_Users_O(r)和A_Users_D(r)为RBDM1、RDM2000、PBDM的基本元素集，分别表示委托人-常规角色指派集、常规角色集、代理角色集、受托人-委托角色指派集、用户-角色指派集、委托人集、受托人集、用户-角色激活函数、角色-用户激活函数、委托人函数和受托人函数。?? 　　 定义2 代理人集：代表执行委托的代理人集合，用AU表示。其中，au∈AU，形式化可描述为：?? 　　 A_Users_A(r) = {au | (au,r)∈UAA}；?? 　　 UAA??AU×R，表示代理人集与角色集之间多对多的指派关系；?? 　　 Users(r) = A_Users_O(r)∪A_Users_D(r)∪A_Users_A(r)；?? 　　 UA = UAO∪UAD∪UAA；?? 　　 UAO∩UAD =Φ，且UAA∩UAD =Φ。?? 　　 定义3 委托角色集：代理人临时创建的委托角色集合，用DR表示。其中，dr∈DR，形式化可描述为：?? 　　 A_Roles_O(ou,au) = {dr | ou∈A_Users_O(dr),且au∈A_Users_A(dr)}；?? 　　 A_Roles_D(du,au) = {dr | du∈A_Users_D(dr),且au∈A_Users_A(dr)}；?? 　　 A_Roles_A(au) = {dr | au∈A_Users_A(dr)}；?? 　　 R = RR∪DR∪AR；?? 　　 A_DR_Permissions(dr,au) = {p | (p,dr)∈PA,且dr∈A_Roles_A(au)}，表示代理人au指派给委托角色dr的权限集合。?? 　　 定义4 时限集。DT = {[dtbi,dtei] | dtbi∈S为开始时间,dtei?S为终止时间，i=1,2,…….,n},为委托时限的集合。?? 　　1.2 基本特征?? 　　 与RBDM1、RDM2000、PBDM相比，该模型支持临时性、单调性/非单调性、完全/部分性、单步性和撤销性等基本特征。根据代理委托的相关概念，对其基本特征概括如下。?? 　　 (1) 代理执行性：支持代理委托，即允许委托人选择某一合适的代理人代表实施委托。?? 　　 (2) 临时性：在委托人失效期间，允许受托人在该有效时限内拥有临时委托角色的所有权限。一旦有效期到期，委托角色将被自动撤销，委托终止。?? 　　 (3) 单调性、非单调性：委托人执行的委托是单调的。如果代理人也是委托角色成员，那么代理人执行的委托也是单调的；否则，代理人执行的委托是非单调的。?? 　　 (4) 全部、部分