基于角色的協(xié)同虛擬環(huán)境研究

1、         08-07-30 15:26:00     作者：劉蕾 劉厚泉 劉    編輯：studa0714 摘  要  本文根據(jù)協(xié)同虛擬環(huán)境中的角色需求，提出一個(gè)適應(yīng)協(xié)同虛擬環(huán)境的角色模型，給出一個(gè)帶有時(shí)間空間特性的角色訪問控制模型TSRBAC，使協(xié)同虛擬環(huán)境具有更全面的安全屬性描述。在此基礎(chǔ)上，構(gòu)建一個(gè)基于角色的協(xié)同虛擬環(huán)境系統(tǒng)RBCVES。     關(guān)鍵詞

2、0; 協(xié)同虛擬環(huán)境；角色；虛擬現(xiàn)實(shí) 1  引言    協(xié)同虛擬環(huán)境(Collaborative Virtual Environment，CVE)于20世紀(jì)90年代中期提出，在一組以網(wǎng)絡(luò)互聯(lián)的計(jì)算機(jī)上同時(shí)運(yùn)行虛擬環(huán)境實(shí)現(xiàn)協(xié)同工作。隨著虛擬環(huán)境、網(wǎng)絡(luò)、計(jì)算機(jī)支持的協(xié)同工作和圖形學(xué)技術(shù)的飛速發(fā)展，促進(jìn)了人們對協(xié)同虛擬環(huán)境的研究興趣，也推動(dòng)了該領(lǐng)域的發(fā)展。協(xié)同虛擬環(huán)境作為通信和合作的強(qiáng)大的工具，在娛樂、商業(yè)、教育、工程和醫(yī)藥等領(lǐng)域有很廣泛的應(yīng)用1。    CVE要在一個(gè)三維虛擬環(huán)境中實(shí)現(xiàn)多個(gè)用戶對虛擬空間、虛擬實(shí)體和資源的

3、共享，目的是通過網(wǎng)絡(luò)通信實(shí)現(xiàn)異地用戶之間協(xié)同工作，共同完成任務(wù)。為了適應(yīng)CVE在Internet上的應(yīng)用需求，我們需要考慮在CVE中用戶和權(quán)限的控制，確保用戶對各種物體和資源享有不同權(quán)利和義務(wù)，從而更好地維護(hù)用戶間協(xié)同的順利進(jìn)行。    角色機(jī)制一方面可以實(shí)現(xiàn)權(quán)限的有效管理和用戶的合理授權(quán)，提高系統(tǒng)交互性，另一方面對訪問和操作進(jìn)行合法檢測，能夠提高系統(tǒng)安全性。本文在CVE系統(tǒng)中引入角色機(jī)制作為支撐技術(shù)，通過面向角色的軟件方法來實(shí)現(xiàn)系統(tǒng)功能。2  模型設(shè)計(jì)2.1  角色模型    通常角色指的是一組權(quán)利和義務(wù)的集合2

4、。權(quán)利代表了許可，即對象對于一組目標(biāo)資源允許或者禁止的行為；義務(wù)代表了職責(zé)，即對象對于一組目標(biāo)物體必須做或者絕對不做的行為。權(quán)利(Permissions)和義務(wù)(Obligations)是角色的核心要素，但并不是全部要素。角色還應(yīng)該具備角色標(biāo)識符號、承擔(dān)該角色的對象負(fù)責(zé)的一個(gè)或多個(gè)子目標(biāo)、角色擁有的資格、角色的狀態(tài)與其它角色之間的各種關(guān)系等要素。    基于以上分析，我們給出如下角色模型：    定義1  角色模型Role_Model<Role_Model>= “ROLE”<ID><Name&g

5、t;<Goals><Qualifications><Status><Permissions><Obligations><Relations>“END_ROLE”     各屬性定義如下：    ID是系統(tǒng)實(shí)現(xiàn)時(shí)，對角色的標(biāo)識，每個(gè)角色只有惟一的ID。    Name是角色的名稱標(biāo)識。    Goals是角色對應(yīng)的子目標(biāo)。    Qualifications是角色擁有的資格。&

6、#160;   Status指的是角色的狀態(tài)。表明了角色在某一時(shí)刻所處的行為。    Permissions是一組權(quán)限的集合。指定該角色執(zhí)行的操作哪些是允許的，哪些是禁止的，以及哪些資源是可利用的，哪些資源是不可用的。    Obligations是角色的義務(wù)集的動(dòng)態(tài)體現(xiàn)。該集合規(guī)定了角色必須執(zhí)行的一組特定行為，它反映了角色必須完成的目標(biāo)和行為約束。另外，角色的義務(wù)集也反映了角色之間的組織關(guān)系，即在組織內(nèi)部，角色之間的相互負(fù)責(zé)關(guān)系。每一個(gè)obligation都要包含obligated_roles、authority

7、_roles、benefited_roles和rules。其中，obligated_roles定義了該義務(wù)的承擔(dān)角色集，authority_roles定義了對該義務(wù)具有授權(quán)功能的角色集，而benefited_roles則定義了履行該義務(wù)后的收益角色集合，rules定義了義務(wù)履行的規(guī)則集。    Relations是該角色與其它角色之間的關(guān)系，如角色的繼承和派生等關(guān)系。2.2  帶時(shí)空特性的角色訪問控制模型    基于角色的訪問控制模型(Role-Based Access Control，RBAC)最早是在 1992年由Fer

8、raiolo和Kuhn提出的3。RBAC模型的突出優(yōu)點(diǎn)是簡化了各種環(huán)境下的授權(quán)管理。通過引入角色這一中介實(shí)現(xiàn)了用戶與權(quán)限的邏輯分離。RBAC的思想是將權(quán)限賦予角色。角色實(shí)際上是與特定工作崗位相關(guān)的一個(gè)權(quán)限與職責(zé)的集合，與用戶相比角色是相對穩(wěn)定的。當(dāng)用戶改變時(shí)，只需要進(jìn)行角色的撤消和重新分配即可。RBAC 訪問控制模型不僅易于管理而且降低了復(fù)雜性、成本和發(fā)生錯(cuò)誤的概率，因而近年來得到了極大的發(fā)展。典型的RBAC模型如RBAC96模型4和NIST 標(biāo)準(zhǔn) RBAC 模型5。在此基礎(chǔ)上，人們提出多個(gè)擴(kuò)充模型67。    文獻(xiàn)8中，在 RBAC 基礎(chǔ)上作了時(shí)間特性方面的擴(kuò)展

9、，在無時(shí)間特性的角色訪問控制的形式化表達(dá)的基礎(chǔ)上，對授權(quán)約束及其時(shí)間特性進(jìn)行分析，提出了一個(gè)帶時(shí)間特性的角色訪問控制模型TRBAC(Timed Role-Based Access Control)。TRBAC有著更全面、更具體的安全屬性描述能力。TRBAC 定義了系統(tǒng)時(shí)鐘，對約束、會話和系統(tǒng)狀態(tài)空間本身進(jìn)行了時(shí)間擴(kuò)充，解決了時(shí)間授權(quán)約束和會話的狀態(tài)轉(zhuǎn)變問題。    在CVE系統(tǒng)中，時(shí)間固然是一個(gè)不可忽視的要素，同時(shí)它也是一個(gè)三維渲染的虛擬世界。因此，在這個(gè)四維環(huán)境中，不僅要考慮時(shí)間特性方面的影響，還要考慮空間特性對角色的約束。傳統(tǒng)模型的弱點(diǎn)在于都沒有考慮主體執(zhí)行操

10、作時(shí)所處的環(huán)境，這樣容易造成安全隱患。所以，我們在RBAC模型和TRBAC模型的基礎(chǔ)上，結(jié)合CVE的特點(diǎn)，提出一個(gè)帶有時(shí)間和空間特性的角色訪問控制模型TSRBAC(Timed and Spaced Role-Based Access Control)，更好地滿足CVE系統(tǒng)的需求。TSRBAC模型繼承TRBAC的所有元素，包括其時(shí)間約束，并進(jìn)行空間約束的擴(kuò)充：    定義2：空間點(diǎn)序列    S= (xi，yi，zi) | i N ，S是虛擬世界所有空間點(diǎn)的集合。(xi，yi，zi) S表示虛擬空間中的一點(diǎn)。與建立三維虛擬空間時(shí)的坐標(biāo)相

11、吻合。    為討論方便，我們定義如下函數(shù)：    min(i，j)，兩個(gè)數(shù)比較，取較小值；max(i，j)，兩個(gè)數(shù)比較，取較大值；    span(i，j)=(min(i，j)，max(i，j)，任意兩個(gè)數(shù)確定的區(qū)間。    定義3：空間范圍序列    SR =(xi，yi，zi) | xi span(xj，xk)，yi span(yj，yk)，zi span(zj，zk)，(xj，yj，zj)，( xk，yk，zk ) S ，空間范圍是由兩個(gè)空間點(diǎn)確定的范圍，這個(gè)范圍是以給定的兩個(gè)點(diǎn)為對角線確定的長方體。因?yàn)榭臻g形狀復(fù)雜多樣，為了方便描述、表示、計(jì)算，我們選取了這種簡單方便的確定空間范圍的方法。    SRS = 2SR 表示由空間范圍構(gòu)成的集合。    用 C表示所有的約束集合，S_C表示所有