基于層次權限的遠程教學平臺訪問控制研究

劉波

四川廣播電視大學信息中心 四川 610073

0 前言

目前RBAC控制模型還在不斷的發展中，為了適應遠程教學平臺中大量資源的有效控制，本文以RBAC96核心模型為基礎，探討對權限的有效管理，提出了基于層次權限的角色控制技術(Multi-Level Privilege RBAC，MLPRBAC)，建立了符合遠程教學平臺特點的權限管理模型，并通過權限數據定義和客體相關算法驗證了 MLPRBAC模型在遠程教育中的可行性。

1 MLPRBAC基本模型

1.1 RBAC核心模型

在RBAC96模型中定義了以下基本元素：用戶、角色、操作、客體、權限、會話等，分別用USER,ROLE,OP,OBJ,PRM,SESSION表示；其對應的集合稱為用戶集、角色集、操作集、客體集、權限集、會話集，用US,RS,OPS,OBJS,PRMS,SESSIONS表示。

1.2 層次權限

在通常的權限管理中，我們不僅僅要控制對該權限的操作，還可能需要控制隸屬于該權限的子權限，這種具有控制屬性的權限稱為控制權限，寫為cp，不具有控制屬性的權限稱為普通權限，寫為np。根據控制權限和普通權限的定義，R、A、B、E稱為控制權限，C、D、F稱為普通權限，其中R控制了A，R間接控制了B、C、D，E控制了F。

層次權限集合(Multi-Level Privileges, MLPS)表示了權限之間的層次關系，通過上層的權限能對下層的訪問控制產生一定的影響?？梢赃@樣規定：如果用戶(角色)沒有其所有控制該權限的所有權限，那么無論有沒有下層的這項權限，他都不能執行這項權限。這樣體現了層次模型對現實管理的實際反映。

圖1 MLPRBAC模型

1.3 MLPRBAC模型

定義1：MLPRBAC模型遵循核心RBAC模型的基本定義。

定義 2：MLPS的所有權限是互斥的，也稱在MLPS中不存在兩個相同的權限。其形式化寫為：

定義3：組成MLPS的所有客體肯定是客體集合的元素，組成MLPS的所有操作肯定是操作集合的元素。形式化表示為：

定義4：權限的控制關系用符號?表示，pi控制pj寫為pi?pj，控制關系具有傳遞性,形式化描述為：

定義 5：權限的非控制關系用符號～表示，pi控制pj寫為 pi～pj，顯然控制關系和非控制關系是互斥的，形式化描述為：

定義6：CreateMlp ( pk, pi, pj:MLPS ) 定義了一個新z層次權限加入到層次權限集的算法，其中權限pi的父親節點為pk，其孩子節點增加一個孩子節點pj。當且僅當節點pi、pk、pj之間不存在任何的控制關系，此函數功能有效。如果pk節點為空表示此節點為根節點；當pj為空表示此節點為葉子節點。

定義7：RevokeMlp ( pi:MLPS ) 定義了從已存在的層次權限集刪除一個層次權限的算法。如果pi的父親節點不為空，則從pi的父親節點的孩子節點集中刪除pi；如果pi的孩子節點不為空，則把所有pi的孩子節點的父親節點置為空。

定義8：CheckAccess (s:SESSIONS, p:MLPS)定義了判斷在會話s中是否能執行權限p。返回值是布爾值是或者否。

1.4 MLPRBAC關鍵算法

對于模型的處理，關鍵問題就體現在對客體的控制上，根據1.2層次權限的定義，在1.3 MLPRBAC模型的定義6和定義7中，建立了一個適用的層次權限模型，定義8給出了判斷權限有效的定義。對于權限的控制，關鍵就體現在定義8中。

算法CheckAccess ( s:SESSIONS, p:MLPS ) 當且僅當所有控制權限p的權限都是會話s的權限時，返回TRUE，否則返回FALSE。其中avail_session_perms(s)在RBAC96中的定義為當前會話擁有的權限集合，權限判斷算法描述偽碼如下：

2 MLPRBAC在遠教中的應用分析

2.1 遠程教學平臺的特點

在現代遠教平臺中，存在著大量的用戶，也發布了大量的資源，這些資源包括了課程、教學文件、IP課件等資源，而這些用戶要訪問這些資源，必然要受一定的權限控制。而RBAC模型就通過角色解決了大量用戶集中授權管理的問題；MLPRBAC模型就解決了大量資源的邏輯管理。

組成這些資源的基本元素可以認為就是具體某個權限，它包括了操作和客體，如課程管理的操作在平臺中就是點擊或者是執行，而對象就是某個課程。

2.2 數據設計

在MLPRBAC模型中，重點描述了層次權限，通過普通層次權限和控制層次權限組成了層次權限樹和層次權限森林。

如圖2的層次權限數據定義：FunctionID是權限的惟一標示，這個字段表明了層次權限的互斥和惟一；Object表明了需要操作的客體；Operation表明了對這個客體的操作，通常Object和Operation都是相互存在的；ParentID表明了這個權限的父節點權限，其父節點是惟一的，當為根節點的時候，填入空值表示，否則填入某個FunctionID的值表示其父節點；ChildIDS表明了這個權限的子節點權限，根據2.2層次權限的定義，孩子節點可能有多個，直接表示在這個字段中，當為葉節點時，填入空值表示，否則填入一個或多個FunctionID的值表示其孩子節點。

系統中對用戶表、角色表、用戶角色映射表、角色權限映射表都遵循RBAC96的定義，也可以參考文獻表的設計。

圖2 層次權限定義

2.3 MLPRBAC應用

在遠程教學平臺的運用中，結合 MLORBAC模型的特點，授權過程描述為：一般應該先根據1.3中的定義6和定義7建立層次權限表，然后把權限分配給角色，最后在把角色分配給某個用戶，用戶就擁有了這項權限。

2.3.1 建立層次權限表

假定在遠程教學平臺中，我們需要控制的權限有：我的課程、我的工作室、經濟法學、計算機應用基礎、計算機應用基礎教學文件、計算機應用基礎IP課件、計算機應用基礎教學輔導、計算機應用基礎課程說明共計8個權限，分別定義為權限p1、p2、p3、p4、p5、p6、p7、p8，根據實際的邏輯關系，建立的層次權限表如表1。

表1 遠程教學平臺層次權限例表

在表1中，有兩個根節點：我的課程和我的工作室，我的課程下面有經濟法學和計算機應用基礎兩門課，計算機應用基礎課中有教學文件、IP課件、教學輔導，教學輔導中有計算機應用基礎課程說明，這樣，一個細粒度的層次權限就建立了起來。

2.3.2 分配權限

在 2.3.1中建立一個層次權限表，由于權限是體現在會話中，假定有 5個會話 S1、S2、S3、S4、S5，其分配的權限如表2。

表2 會話權限例表

2.3.3 權限有效判斷

例1：CheckAccess(S1,P5) 判斷會話S1是否能執行權限P5，根據表1和表2判斷，P5的父節點是P4不在S1擁有的權限中，返回FALSE，表示會話S1不能執行權限P5。

例2：CheckAccess(S1,P2) 判斷會話S1是否能執行權限P2，根據表1和表2判斷，P2的父節點為NULL，P2就是根節點，返回TRUE，表示會話S1能執行權限P5。

例3：CheckAccess(S2,P8) 判斷會話S2是否能執行權限P8，根據表1和表2判斷，P8的父節點是P5在S2擁有的權限中，接著P5的父節點為P4也在S2擁有的權限中，再接著P4的父節點為P1不在S2擁有的權限中，返回FALSE，表示會話S2不能執行權限P8。

例4：CheckAccess(S3,P5) 判斷會話S3是否能執行權限P5，根據表1和表2判斷，P5的父節點是P4在S3擁有的權限中，接著P4的父節點為P1不在S2擁有的權限中，返回FALSE，表示會話S3不能執行權限P5。

例5：CheckAccess(S4,P5) 判斷會話S4是否能執行權限P5，根據表1和表2判斷，P5的父節點是P4在S4擁有的權限中，接著P4的父節點為P1不在S4擁有的權限中，返回FALSE，表示會話S4不能執行權限P5。

例 6：CheckAccess(S51,P8) 判斷會話 S5是否能執行權限P8，根據表1和表2判斷，P8的父節點是P5在S5擁有的權限中，接著P5的父節點為P4在S5擁有的權限中，再接著P4的父節點為P1在S5擁有的權限中，最后P1的父節點為NULL,P1就是根節點，返回TRUE，表示會話S5不能執行權限P8。

3 結語

面對遠程教學平臺中要管理的大量權限，其權限本身就包括了對客體的操作和被操作的客體，本文在RBAC96模型的基礎上，結合遠程教育的特點，建立了符合遠程教育特色的層次客體權限管理模型，把權限作為最小的粒度，提供了靈活的管理方法，很好的管理了大量的權限和用戶，這個模型非常適合現代遠程教育軟件中的權限管理。

隨著遠程教育的不斷發展，對某個特定任務也將要求更好的進行流程控制，而基于任務的權限模型(Task Based Access Control, TBAC)就有極大的便利，它結合本文提出的模型也將得到更多的運用。

[1] 楊宗凱,吳砥,劉清堂.網絡教育標準與技術[M].北京:清華大學出版社.2008.

[2] R.S.Sandu,E.J.Loyne,et al.Role-Based Access Control Models.IEEE Transaction on Computer.1996.

[3] 張曉燕,張素偉.基于RBAC的電子政務權限訪問控制模塊的設計與實現[J].計算機工程與設計.2007.