（計算機系統(tǒng)結(jié)構(gòu)專業(yè)論文）基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn).pdf

中山大學(xué)碩士學(xué)位論文基于胄 色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型的研究與宴現(xiàn) 基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 計算機系統(tǒng)結(jié)構(gòu)專業(yè) 碩士生 楊虹軼 指導(dǎo)教師 湯庸教授 摘要 當前基于角色的訪問控制系統(tǒng)完全依賴于管理者的集中管理方式 不能夠滿 足分布式環(huán)境下的系統(tǒng)管理的需求 基于角色的轉(zhuǎn)授權(quán)模型更適于分布式環(huán)境的 授權(quán)管理 同時 時間是自然界無所不在的客觀屬性 所有的信息都具有相應(yīng)的 時間屬性 通過在轉(zhuǎn)授權(quán)模型中引入時間的因素 能夠更好地控制用戶之間的轉(zhuǎn) 授權(quán)與撤銷的過程 目前已有的轉(zhuǎn)授權(quán)模型的研究都僅限于基于常規(guī)角色的轉(zhuǎn)授權(quán)與撤銷 r d m 系列模型 r o l e b a s e dd e l e g a t i o nm o d e l 只有轉(zhuǎn)授權(quán)的有效期到期將其自動撤銷 的概念 沒有將時間因素引入到模型里 而t r d m 模型 t e m p o r a lr o l e b a s e d d e l e g a t i o nm o d e l 是帶時限的轉(zhuǎn)授權(quán)模型 但是不支持角色的部分轉(zhuǎn)授權(quán) 也 沒有詳細討論帶時限的用戶主動撤銷轉(zhuǎn)授權(quán)的機制 本文將對r d m 和t r d m 中的基于常規(guī)角色的轉(zhuǎn)授權(quán)與撤銷機制進行擴展 擴展后的模型稱為基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型 t e m p o r a lr o l e b a s e d d e l e g a t i o na n dr e v o c a t i o nm o d e l t r d r m 同時將時間因素 a r b a c a d m i n i s t r a t i v er b a c 的思想 s a r b a c s c o p e d a r b a c 的管理范圍的定 義引入到t r d r m 中 從而在支持常規(guī)角色的轉(zhuǎn)授權(quán)與撤銷的同時 也支持管理 角色的轉(zhuǎn)授權(quán)與撤銷 是集中管理方式和分布式管理方式的有效結(jié)合 本文的最后對t r d r m 中的轉(zhuǎn)授權(quán)與撤銷機制的核心功能進行了實現(xiàn) 是將 t r d r m 模型應(yīng)用到本人所參與的科研機構(gòu)協(xié)同工作平臺項目里的一個探索 關(guān)鍵詞 訪問控制 基于角色 轉(zhuǎn)授權(quán) 時限 管理角色 巾i h 大學(xué)碰士學(xué)位論文 基于角色的帶時限的轉(zhuǎn)授權(quán)與撒銷模型的研究與實現(xiàn) r e s e a r c ha n di m p l e m e n to fat e m p o r a lr o l e b a s e dd e l e g a t i o na n d r e v o c a t i o nm o d e l c o m p u t e ra r c h i t e c t u r e n a m e y a n gh o n g y i s u p e r v i s o r p r o f e s s o rt a n gy o n g a b s t r a c t r o l e b a s e da c c e s sc o n t r o li sa ne n a b l i n gt e c h n o l o g yf o rm a n a g i n ga n de n f o r c i n g s e c u r i t yi nl a r g e s c a l ea n de n t e r p r i s e w i d es y s t e m s r e s e a r c h e r sh a v ep r o p o s e dm a n y e n h a n c e m e n t so fr b a cm o d e l si nt h ep a s td e c a d e a n dd e l e g a t i o ni sa ni m p o r t a n t f a c t o rf o rs e c u r ed i s t r i b u t e dc o m p u t i n ge n v i r o n m e n t d e l e g a t i o nm o d e l sw i t hc a p a b i l i t i e st op r o c e s st e m p o r a li n f o r m a t i o ni sp o w e r f u l r d m r o l e b a s e dd e l e g a t i o nm o d e l a n dt r d m t e m p o r a lr o l e b a s e dd e l e g a t i o n m o d e l a r er e c e n t l yp u b l i s h e dd e l e g a t i o nm o d e l sf o c u s e do nr e g u l a rr o l ed e l e g a t i o n r d md e s c r i b e sar u l e b a s e df r a m e w o r kf o rr o l e b a s e d d e l e g a t i o na n dr e v o c a t i o n w i t h o u tt e m p o r a lf a c t o r t r d md e a l sw i t ht e m p o r a li n f o r m a t i o nb a s e do nr d mb u t o m i t su s e rr e v o c a t i o n t h i sp a p e rp r e s e n t sat e m p o r a lr o l e b a s e dd e l e g a t i o na n dr e v o c a t i o nm o d e l c a l l e dt r d r mb a s e do nb o t hr d ma n dt r d m t r d r mn o to n l ys u p p o r t sr e g u l a r r o l ed e l e g a t i o na n dr e v o c a t i o n b u ta l s os u p p o r t sa d m i n i s t r a t i v er o l ed e l e g a t i o na n d r e v o c a t i o n i ti sa ne f f e c t i v ew a yt ob u i l db r i d g eb e t w e e nc e n t r a lm a n a g e m e n ta n d d i s t r i b u t e dm a n a g e m e n t a p r o t o t y p ei m p l e m e n t a t i o no ft r d r m i sp r e s e n t e di nt h el a s tp a r to ft h i sp a p e r i t i st h ef i r s ts t e pt o i n c o r p o r a t et r d r mi n t ot h ec o l l a b o r a t i v ew o r kp l a t f o r m s y s t e m s k e y w o r d s a c c e s sc o n t r o l r o l e b a s e d d e l e g a t i o n t e m p o r a l a d m i n i s t r a t i v er o l e 中i i i 大學(xué)碩士學(xué)位論文 基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 1 1 訪問控制的發(fā)展 第1 章緒論 訪問控制技術(shù)的研究一直是信息安全研究的熱點問題 訪問控制技術(shù)起源于 二十世紀七十年代 最初的需求是保護大型計算機系統(tǒng)的數(shù)據(jù)集的安全 1 9 7 2 年 a n d e r s o n 首先提出了引用監(jiān)視器 r e f e r e n c e m o n i t o r 的概念 為訪問控制成 為一項關(guān)鍵的安全技術(shù)奠定了理論基礎(chǔ) 1 在隨后的三十多年中 先后出現(xiàn)了多種訪問控制模型 其中 自主訪問控制 d a c 強制訪問控制 m a c 基于角色的訪問控制 r b a c 為其他的 訪問控制模型的發(fā)展提供了重要思路 自主訪問控制在操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)中得到了廣泛的應(yīng)用 然而在d a c 模型中 訪問權(quán)限的授予是可以傳遞的 一旦訪問權(quán)被傳遞出去將難以控制 會 帶來嚴重的安全問題 m a c 源于對信息機密性的要求以及防止特洛伊木馬之類 的攻擊 雖然m a c 增強了信息的機密性 但不能實施完整性控 1 1 2 1 1 9 9 2 年f e r r a i o l o 和k u h n 提出了r b a c 模型 3 隨后 s a n d h u 等人又給 出了r b a c 模型的一個比較完整的框架 r b a c 9 6 模型 4 到2 0 0 4 年初 r b a c 已成為a n s i 標準 r b a c 模型的突出優(yōu)點是簡化了各種環(huán)境下的授權(quán) 管理 基于角色的訪問控制 r b a c 的本質(zhì)是權(quán)限是通過角色來賦予的 而不 是直接授予給獨立的用戶個體 也就是說 用戶被賦予角色 而角色被授予了權(quán) 限 從而實現(xiàn)對用戶權(quán)限的控制 在這里 角色充當了用戶和權(quán)限的中介 即給 用戶授權(quán)的動作可以分成兩個邏輯上獨立的部分 一是給用戶指派一定的角色 二是給角色指派一定的權(quán)限 與用戶相比角色是相對穩(wěn)定的 角色實際上是與特 定工作崗位相關(guān)的一個權(quán)限集 當用戶改變時只需進行角色的撤消和重新分配即 可 基于角色的訪問控制已經(jīng)被廣泛認可為傳統(tǒng)的自主訪問控制和強制訪問控 制的替代方案 就目前的應(yīng)用情況來講 基于角色的訪問控制策略是在大型系統(tǒng) 以及企業(yè)級應(yīng)用系統(tǒng)中實施管理和執(zhí)行安全策略的有效技術(shù) 同時 基于角色的訪問控制模型也衍生出來一系列擴展模型 主要包括擴展 基于角色的書時限的轉(zhuǎn)授救與撤銷模型的研究與實現(xiàn) r b a c 的約束 r b a cc o n s t r a i n t 來增強其表達能力的研究 5 6 7 8 9 基 于角色的轉(zhuǎn)授權(quán)模型 1 0 1 1 1 2 1 3 1 4 1 5 1 6 1 等方面的研究 當然還有繼 續(xù)研究和探索的空間 r b a c 的約束 規(guī)定了為角色分配權(quán)限時 或者為用戶分配角色時 以及當 用戶在某一時刻激活一個角色時所應(yīng)遵循的強制性規(guī)則 文獻 5 1c p 對授權(quán)約束的時間特性需求進行分析 提出一個帶時間特性的約束 描述語言r c l t r o l e b a s e dc o n s t r a i n t sl a n g u a g ew i t ht i m e c h a r a c t e r 文獻 6 中形式化描述了一個引入時間后的角色訪問控制模型 對原有授權(quán)約束進行了時 間擴充 提出了相應(yīng)算法解決了時間授權(quán)約束和會話的狀態(tài)轉(zhuǎn)變問題 文獻 7 給出了一個角色激活受時間約束的模型t r b a c t e m p o r a l r o l e b a s e da c c e s sc o n t r 0 1 該模型通過角色觸發(fā)器 r o l et r i g g e r 支持角色激 活的依賴關(guān)系 文獻 8 則在文獻 7 的基礎(chǔ)之上 支持角色繼承關(guān)系下的時間約 束 文獻 9 主要探討時間約束與職責(zé)分離等其他約束的依賴關(guān)系 b a r k a 和s a n d h u 提出了基丁二角色的轉(zhuǎn)授權(quán)模型 1 0 稱為r b d m o 文獻 1 1 1 中z h a n g 等人提出的r d m 2 0 0 0 是對r b a c 以及r b d m 0 的擴展 該模型可以 支持角色繼承關(guān)系下的多步轉(zhuǎn)授權(quán) 而后z h a n g 等人又在r d m 2 0 0 0 的基礎(chǔ)上 對原有的模型進行了完善并做了概念原型的實現(xiàn) 1 2 文獻 1 3 提出了p b d m p e r m i s s i o n b a s e dd e l e g a t i o nm o d e l 轉(zhuǎn)授權(quán)模型 支持部分轉(zhuǎn)授權(quán) b a n d m a n n 在文獻 1 4 1 中提出了一個受限的轉(zhuǎn)授權(quán)模型 可以很好地將權(quán)限 的授權(quán)和使用分離 并且可以有效地限制被授權(quán)權(quán)限的傳播 文獻f 1 5 的c r d m c o n s t r a i n e dr o l e b a s e dd e l e g a t i o nm o d e l 提出了基于角色的轉(zhuǎn)授權(quán)的約束的需 求 臨時性約束 部分性約束等探討得比較完善 不過它不是在角色繼承關(guān)系下 的研究 需要擴展多步轉(zhuǎn)授權(quán)中存在的約束 文獻1 1 6 1 中提出的x r d r 模型則是針i j w e b 信息系統(tǒng)的應(yīng)用 使用x m l 來 描述轉(zhuǎn)授權(quán)策略 以及x m l 斗日關(guān)的技術(shù)完成轉(zhuǎn)授權(quán)的操作 從而實現(xiàn)對系統(tǒng)資 源的細粒度訪問 那么除此之外 同時也有在r b a c 的基礎(chǔ)之上根據(jù)不同的應(yīng)用需求所做出的 擴展研究 文獻 1 7 1 提出的基于角色的c s c w 系統(tǒng)訪問控制模型 主要針對c s c w 環(huán)境 f l i h 大學(xué)碩士學(xué)位論文基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 下的多用戶 交互 協(xié)作 實時 動態(tài)等特性 擴展r b a c 使其能較好地滿足c s c w 系統(tǒng)對訪問控制的需求 文獻 1 8 從協(xié)作環(huán)境下對訪問控制模型的要求 對幾種 模型的優(yōu)缺點進行了對比分析 包括基于角色的訪問控制模型r b a c 基于任務(wù) 的訪問控制模型 t a s k b a s e da c c e s sc o n t r o l t b a c 基于用戶組的訪問控制 模型 t e a m b a s e da c c e s sc o n t r o l t m a c 空間訪問控制模型 s p a t i a la c c e s s c o n t r 0 1 上下文感知的訪問控制模型 c o n t e x t a w a r ea c c e s sc o n t r 0 1 等等 文獻 1 9 中的基于任務(wù)和角色的雙重w e b 訪問控制模型 文獻 2 的面向工作 流和服務(wù)的基于角色的訪問控制模型 都是在r b a c 的基礎(chǔ)上 針對工作流應(yīng)用 的需求所做的擴展 1 2 與本文相關(guān)的研究工作 當前基于角色的訪問控制系統(tǒng)完全依賴于管理者的集中管理方式 不能夠滿 足分布式環(huán)境下的系統(tǒng)管理的需求 基于角色的轉(zhuǎn)授權(quán)模型更適于分布式環(huán)境的 授權(quán)管理 r d m 系列模型 r o l e b a s e dd e l e g a t i o nm o d e l 1 1 1 2 在r b d m o i o 以及 r b a c 3 4 1 的基礎(chǔ)上進行了擴展 但只有轉(zhuǎn)授權(quán)的有效期到期自動撤銷轉(zhuǎn)授權(quán) 關(guān)系的概念 沒有將時間因素引入到模型里 而t r d m 模型 t e m p o r a lr o l e b a s e d d e l e g a t i o nm o d e l 2 0 雖然將時間因素引入了轉(zhuǎn)授權(quán)模型 但是不支持角色的部 分轉(zhuǎn)授權(quán) 也沒有詳細討論帶時限的用戶主動撤銷轉(zhuǎn)授權(quán)的機制 p b d m 模型 1 3 1 則主要討論了如何靈活地支持部分轉(zhuǎn)授權(quán)的問題 但該模型的理論研究過于復(fù) 雜 實現(xiàn)起來十分困難 目前已有的轉(zhuǎn)授權(quán)模型的研究都僅僅限于基于常規(guī)角色的轉(zhuǎn)授權(quán)與撤銷 不 支持管理角色的轉(zhuǎn)授權(quán)與撤銷 雖然關(guān)于基于角色的訪問控制模型r b a c 的研 究相當多 但是利用r b a c 的原理去管理r b a c 系統(tǒng)的研究卻為數(shù)不多 其實 早在r b a c 9 6 就引入了管理角色的概念 到后來的a r b a c 9 7 a d m i n i s t r a t i v e r o l e b a s e da c c e s sc o n t r 0 1 2 1 a r b a c 0 2 1 2 2 以及s a r b a c s c o p e d a d m i n i s t r a t i o no f r o l e b a s e d a c c e s sc o n t r 0 1 模型的不斷補充完善 2 3 2 4 2 5 為本文擴展支持管理角色的轉(zhuǎn)授權(quán)與撤銷提供了研究思路 基于角色的爺時阻的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 1 3 本文所作的工作及意義 1 3 1 項目背景 本文的研究工作始于本人參與開發(fā)的項目 科研機構(gòu)協(xié)同工作平臺項目 項目開發(fā)的目的在于研究與開發(fā)基于中小型科研機構(gòu)管理的解決方案 實現(xiàn) 科研機構(gòu)里的各項工作 比如教學(xué) 實驗室管理 論文管理等活動的電子信息化 該項目的成果將是極大的提高中小型科研機構(gòu)的管理水平 提高效率 解決某些 中小型科研機構(gòu)地點分散 人員眾多 教務(wù)繁忙 各種工作不能協(xié)調(diào)開展的問題 目前 此項目的訪問控制模塊的設(shè)計與開發(fā)是以r b a c 9 6 模型為指導(dǎo)的 是 一種靜態(tài)地訪問控制方式 不支持轉(zhuǎn)授權(quán)與撤銷 也沒有引入時間的因素進行有 效的動態(tài)控制 勢必不能滿足協(xié)同工作的需求 1 3 2 本文所做的工作 時間是自然界無所不在的客觀屬性 所有的信息都具有相應(yīng)的時間屬性 通 過在轉(zhuǎn)授權(quán)模型中引入時間的因素 能夠更好地控制用戶之間的轉(zhuǎn)授權(quán)與撤銷的 過程 因此本文將對r d m 和t r d m 中的基于常規(guī)角色的轉(zhuǎn)授權(quán)與撤銷機制進行 擴展 同時將時間因素引入到擴展之后的模型中 并且利用a r b a c 的思想以 及s a r b a c 的管理范圍的定義 使擴展后的模型在支持常規(guī)角色的轉(zhuǎn)授權(quán)與撤 銷的同時 也支持管理角色的轉(zhuǎn)授權(quán)與撤銷 是集中管理方式和分布式管理方式 的有效結(jié)合 本文所做的理論上的研究工作 主要包括以下六點 1 總結(jié)帶時限的轉(zhuǎn)授權(quán)樹的特點 并得出了形式化的結(jié)論 2 不僅支持帶時限的完全轉(zhuǎn)授權(quán) 也支持轉(zhuǎn)授角色中的部分權(quán)限 3 詳細討論了帶時限的用戶主動撤銷授權(quán)的處理機制 4 轉(zhuǎn)授權(quán)和撤銷操作若是對有效時間的更改 歸納分析了對轉(zhuǎn)授權(quán)樹的 結(jié)構(gòu)產(chǎn)生影響之后的處理機制 5 擴展研究管理角色的轉(zhuǎn)授權(quán)與撤銷的處理機制 并重點討論了管理角 中山大學(xué)碩士學(xué)位論文 基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型的研究與宴現(xiàn) 色的轉(zhuǎn)授權(quán)樹與常規(guī)角色的轉(zhuǎn)授權(quán)樹之間建立聯(lián)系的問題 即如何管理和監(jiān)控常 規(guī)角色的轉(zhuǎn)授權(quán)與撤銷操作的問題 6 定義重要的約束規(guī)則 包括靜態(tài)職責(zé)分離中的角色沖突與權(quán)限沖突 本文將擴展后的模型稱為基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型 t e m p o r a lr o l e b a s e dd e l e g a t i o na n dr e v o c a t i o nm o d e l t r d r m 最后 本文針對t r d r m 中的核心功能進行了實現(xiàn) 本文所實現(xiàn)的t r d r m 原型系統(tǒng) 是將t r d r m 模型應(yīng)用到科研機構(gòu)協(xié)同工作平臺項目里的一個探索 下一步工作則是把t r d r m 原型系統(tǒng)整合到此項目中 1 3 3 本文的結(jié)構(gòu)安排 第一章是緒論部分 簡單介紹訪問控制的發(fā)展 本文所做的工作及意義 第二章介紹與本文的研究相關(guān)的基礎(chǔ)知識 包括時態(tài)相關(guān)的基礎(chǔ)知識 訪問 控制的基礎(chǔ)知識 重點介紹了轉(zhuǎn)授權(quán)與撤銷的基礎(chǔ)概念 第三章介紹了本文擴展研究的重點對象 r d m 模型和t r d m 模型 并分析 了這兩個模型存在的不足 提出本文的研究思路 第四章形式化地描述了本文擴展之后的轉(zhuǎn)授權(quán)與撤銷模型t r d r m 詳細分 析了引入時間因素之后的轉(zhuǎn)授權(quán)與撤銷的各種情形對轉(zhuǎn)授權(quán)樹造成的影響如何 處理的機制 同時使用了基于規(guī)則的策略描述語言定義了授權(quán)判定的規(guī)則以及重 要的約束規(guī)則 第五章在第四章的基礎(chǔ)之上 把對常規(guī)角色的轉(zhuǎn)授權(quán)與撤銷機制的處理擴展 到管理角色的轉(zhuǎn)授權(quán)與撤銷的方面 并且結(jié)合a r b a c 的思想以及s a r b a c 中 的管理范圍的重要概念 在常規(guī)角色的轉(zhuǎn)授權(quán)樹與管理角色的轉(zhuǎn)授權(quán)樹之間建立 了聯(lián)系 以達到管理和監(jiān)控的目的 第六章則是對t r d r m 模型的一個原型實現(xiàn) 針對t r d r m 模型中的核心功 能進行了實現(xiàn) 下 步工作是將其整合到本人參與的項目 科研機構(gòu)協(xié)同工作 平臺中去 中山大學(xué)碩士學(xué)位論文 基于角色的帶時限的轉(zhuǎn)授救與撤銷模 牲的研究與實現(xiàn) 第2 章相關(guān)基礎(chǔ)知識介紹 本章介紹與本文的研究相關(guān)的基礎(chǔ)知識 關(guān)于時態(tài)的基礎(chǔ)知識來自文獻 1 2 6 1 訪問控制的基礎(chǔ)知識來自文獻 1 轉(zhuǎn)授權(quán)與撤銷相關(guān)的基本概念來自文獻 1 2 1 3 1 6 2 7 2 1 關(guān)于時態(tài)的基礎(chǔ)知識 2 1 1 時態(tài)信息 在現(xiàn)實世界中 時間無時不有 無處不在 客觀世界中的事物都帶有時問的 屬性 描述現(xiàn)實世界的帶有時間屬性的信息系統(tǒng) 稱為時態(tài)信息系統(tǒng) 這些系統(tǒng) 中的記錄的信息是隨時間變化的 這種隨時問變化的信息稱為時態(tài)信息 t e m p o r a li n f o r m a t i o n 時態(tài)信息需要用數(shù)據(jù)庫進行記錄 這些用于記錄時態(tài)信息的數(shù)據(jù)就是時態(tài)數(shù) 據(jù) t e m p o r a ld a t a 時態(tài)數(shù)據(jù)在計算機系統(tǒng)中一般保存在數(shù)據(jù)庫系統(tǒng)中 2 1 2 時間模型 在自然界中 時問是每時每刻都存在 連續(xù)發(fā)生且一去不復(fù)的 它在時問軸 上是連續(xù)存在的 從計算機科學(xué)的角度來看 如何量化時間和確定某個時問點或 者時間段 這關(guān)系到如何確定時間模型 基于對時間軸結(jié)構(gòu)的選擇 時問模型可以劃分成如下幾種模型 1 連續(xù)模型 c o n t i n u o u sm o d e l 連續(xù)模型把時問看作是同構(gòu)于實數(shù) 每一個實數(shù)對應(yīng)于一個時間點 這種模 型能夠最精確地為時間建模 但是由于現(xiàn)代計算機基于數(shù)字邏輯的工作方式 所 以不可能無失真地記錄時間 2 步進模型 s t e p w i s em o d e l 步進模型把數(shù)據(jù)的狀態(tài)看成是時間的函數(shù) 當時間點上的數(shù)據(jù)狀態(tài)發(fā)生變化 時才址錄狀態(tài)變化 否則保持不變 在這種模型下 時間序列上任一點上數(shù)據(jù)的 基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模墅的研究與實現(xiàn) 值對應(yīng)于上一次數(shù)據(jù)改變時保持的狀態(tài) 如果要查詢當前數(shù)據(jù)的取值 則需要回 溯 3 離散模型 d i s c r e t em o d e l 離散模型把時間和整數(shù)映射起來 且在相鄰的兩個時間點之間不存在另一個 時間點 任一時間點有前驅(qū)和后繼時間點 在實際應(yīng)用中 該模型適用于記錄那 些在關(guān)鍵時間點上才 有意義的數(shù)據(jù) 4 恒定模型 n o nt e m p o r a lm o d e l 有些數(shù)據(jù)是不隨時間變化的 例如籍貫 出生地等 這些數(shù)據(jù)只有本身固有 的屬性 在一般情況下 建模時通常沒有充分考慮值隨時間變化的情況 2 1 3 時間基本元素單位 時間元素 t i m ee l e m e n t 就是指表示時間屬性值的元素 時間元素在時態(tài) 信息系統(tǒng)中有著基礎(chǔ)的地位 它對于正確有效的表達記錄的時間屬性有著重要的 意義 1 時間點 基于點的時間將是時間離散化 事物或者事件的時間屬性用時間點表示 用 時間點的形式來表示時問元素 這和系統(tǒng)的時間量子及時間粒度的關(guān)系較大 基 于點 p o i n t b a s e d 的時間元素 又稱為時間點 或稱時刻 t i m ep o i n t 這種 描述方式把時間看成一個個離散的時間點 這些離散化的時間點的間隔大小適度 時 就可以準確地描述現(xiàn)實世界事件發(fā)生及變化的狀況 2 時間區(qū)間 在基于區(qū)間 i n t e r v a l b a s e d 的時間元素中 時間的基本單位為時間段或者 時間區(qū)間 即通過描述時間段的起始點和終止點來描述時間區(qū)間 時問區(qū)間是指 一段時問 有固定的起止時間點 3 時間跨度 時間跨度 t i m es p a n 是指持續(xù)的一段時間 表示時問的長度 在數(shù)據(jù)庫 系統(tǒng)內(nèi) 一般用一個整數(shù)表示時間跨度 與時間區(qū)間不同的是 時間跨度沒有時 間起點 也沒有時間終點 中i i i 大學(xué)碩士學(xué)位論文基于角色的帶時限f n 轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 4 時間集合 時間集合 t i m es e t 也稱時間域 t e m p o r a ld o m a i n 時間域是一些時間 區(qū)間 i n t e r v a l 的有窮并集 2 1 4 時態(tài)元素關(guān)系 時間的表示可以分成兩大類 基于時間點的表示和基于時問區(qū)間的表示 由此可以把時態(tài)關(guān)系分成三大類 分別是時態(tài)區(qū)間之間 時態(tài)區(qū)間與時間點之間 時間點之間的時態(tài)關(guān)系 基于時間點的時間處理方法是將時間看成是離散的 基于時間區(qū)間的處理 方法是將時間看作是連續(xù)型的 1 a l l e n 的時態(tài)區(qū)間關(guān)系 a l l e n 在1 9 8 3 年發(fā)表的論文 m a i n t a i n i n gk n o w l e d g ea b o u tt e m p o r a li n t e r v a l s 中指出十三種時態(tài)區(qū)間的關(guān)系 如表2 一l 表中的t 1 和t 2 表示兩個時態(tài)區(qū)間 表2 1a l l e n 的十三種時態(tài)區(qū)間的關(guān)系 時態(tài)區(qū)間解釋 b e f o r e t l t 2 t 1 比1 2 早開始 同時t 1 與t 2 之間沒有相交 a f t e r t l t 2 t 1 比t 2 晚開始 同時t l 與t 2 之間沒有相交 d u r i n g t 1 t 2 t 1 比t 2 晚開始 且早結(jié)束 即在時間軸上t 1 的區(qū)間范圍被包含在t 2 的區(qū)間范圍內(nèi) c o n t a i n s t 1 t 2 t 1 比t 2 早開始 且晚結(jié)束 即在時間軸上1 1 的區(qū)間范圍包括r t 2 的 區(qū)間范圍 o v e r l a p s t 1 t 2 1 1 比t 2 早開始 且兩個區(qū)間在時間軸上有相交 o v e r l a p p e d b y t 1 t 2 1 1 比t 2 晚開始 且兩個區(qū)間在時問軸上沒有相交 m e e t s t l t 2 t l 比t 2 早開始 且t l 和t 2 之問沒有其他時態(tài)區(qū)間 即t 2 開始于t 1 的結(jié)束點 m e t b y t l t 2 t l 比t 2 晚開始 且t 1 與t 2 之間沒有其他時態(tài)區(qū)間 即t 1 開始于t 2 的結(jié)束點 s t a r t s t 1 t 2 t l 和t 2 有共同的起始點 但1 1 比c 2 先結(jié)束 s t a r t e d b y t l t 2 t l 和t 2 有共同的起始點 但t 2 比t l 先結(jié)束 f i n i s h e s t 1 t 2 t l 硐 t 2 有共同的結(jié)束點 但t l 比t 2 晚開始 f i n i s h e d b y t l t 2 t l 和c 2 有共同的結(jié)束點 但1 2 比t 1 晚開始 e q u a l s t 1 t 2 t 1 和t 2 有共同的時間區(qū)間 即1 1 和t 2 在時間軸一r 重合 基于角色的帶時陬的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 2 時態(tài)區(qū)間與時間點之間的時態(tài)關(guān)系 時間點可以看作延續(xù)時間為0 的時間區(qū)間 關(guān)于時態(tài)區(qū)間與時間點的關(guān)系有 5 種 如圖2 1 所示 其中t 表示時態(tài)區(qū)間 p 表示時間點 b e f o r e p t a r e r p 0 m e e t s p 0 s t a r t s 0 0 m e t b y p t f i n i s h e s p t d u r i n g t p t 卜 t p 一 t 卜 p t p l l p 圖2 1 時間區(qū)間與時間點的時態(tài)關(guān)系 3 時間點之間的時態(tài)關(guān)系 時間點與點之間的時態(tài)關(guān)系相對而言比較簡單 一共有三種關(guān)系 如圖2 2 所示 圖中的p q 分別表示兩個時間點 pq b e f o r e q 2 2 訪問控制的基礎(chǔ)知識 a r e r p q qp p e q u a l s q q 圖2 2 時間點之問的時態(tài)關(guān)系 訪問控制系統(tǒng)中需要區(qū)分安全策略和機制 安全策略是組織或系統(tǒng)中決定訪 問權(quán)限的高層指導(dǎo)原則 安全機制是用來實現(xiàn)安全策略的底層軟件和硬件方法 中山大學(xué)碩士學(xué)位論文 基于角色的帶叫 h 的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 2 2 1 自主訪問控制 d i s c r e t i o n a r y a c c e s sc o n t r 0 1 d a c 自主訪問控制是一種最普遍的訪問控制安全策略 其最早出現(xiàn)在二十世紀七 十年代初期的分時系統(tǒng)中 基本思想伴隨著訪問矩陣被提出 自主訪問控制基于 對主體的識別來限制對客體的訪問 這種控制是自主的 自主的是指對其他主體 具有授予某種訪問權(quán)限權(quán)力的主體能夠自主地 可以是間接地 將訪問權(quán)限或訪 問權(quán)限的子集授予其他主體 自主訪問控制存在明顯的不足 資源管理比較分散 用戶間的關(guān)系不能在系統(tǒng)中體現(xiàn)出來 不易管理 最嚴重的是不能對系統(tǒng)中信息 流進行保護 信息容易泄漏 2 2 2 強制訪問控制 m a n d a t o r y a c c e s sc o n t r 0 1 m a c 由于自主訪問控制不能抵御特洛伊木馬的攻擊 強制訪問控制 m a n d a t o r y a c c e s sc o n t r 0 1 應(yīng)運而生 強制訪問控制通過比較主體與客體的安全屬性來決 定是否允許主體訪問客體 安全屬性是由系統(tǒng)自動或由安全管理員分配給每個實 體 主體和客體 的 它不能被任意更改 如果系統(tǒng)認為具有某一安全屬性的主體 不能訪問具有一定安全屬性的客體 那么任何人 包括該客體的主人 都無法使該 主體訪問該客體 即使存在特洛伊木馬 強制訪問控制也保證了信息可以在安全 屬性的格中按一個方向流動 這就解決了自主訪問控制的問題 強制訪問控制的 不足主要表現(xiàn)在兩方面 應(yīng)用的領(lǐng)域比較窄 完整性方面控制不夠 2 2 3 基于角色的訪問控制 r o l e b a s e da c c e s sc o n t r o l r b a c 隨著安全需求的不斷發(fā)展和變化 自主訪問控制和強制訪問控制已經(jīng)不能完 全滿足需求 研究者提出許多自主訪問控制和強制訪問控制的替代者 其中最引 人矚目的無疑是基于角色的訪問控制 r o l e b a s e da c c e s sc o n t r 0 1 在基于角色 的訪問控制中 在用戶 u s e r 和權(quán)限 p e r m i s s i o n 之間引入角色 r o l e 的 概念 用戶與一個或多個角色相聯(lián)系 角色與一個或多個權(quán)限相聯(lián)系 角色可以 根據(jù)實際的 r 作需要生成或取消 而且用戶可以根據(jù)自己的需要動態(tài)激活自己擁 有的角色 避免了用戶無意中危害系統(tǒng)安全 除此之外 角色之間 權(quán)限之間 角色和權(quán)限之間定義了一些關(guān)系 比如角色間的層次性關(guān)系 而且 也可以按需要 定義各種約束 c o n s t r a i n t s 如定義出納和會計兩個角色為互斥角色 1 0 中i l 大學(xué)碩士學(xué)位論文 基于角色的帶時阻的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 與自主訪問控制和強制訪問控制相比 基于角色的訪問控制具有顯著優(yōu)點 首先 它實際上是一種策略中立的訪問控制技術(shù) 其次 基于角色的訪問控制具 有自管理的能力 此外 基于角色的訪問控制還便于實施整個組織或單位的網(wǎng)絡(luò) 信息系統(tǒng)的安全策略 不過 基于角色的訪問控制要復(fù)雜得多 如圖2 3 所示是基于角色的訪問控制模型 r b a c 9 6 模型 4 基本的術(shù)語 和概念包括用戶 u s e r s 角色 r o l e s 權(quán)限 p e r m i s s i o n s 會話 s e s s i o n s 約束 c o n s t r a i n t s 兩種指派關(guān)系即用戶指派關(guān)系 u s e ra s s i g n m e n t u a 權(quán) 限指派關(guān)系 p e r m i s s i o na s s i g n m e n t p a 以及角色的層次結(jié)構(gòu)關(guān)系 r o l e h i e r a r c h y r h e s s i o 描 圖2 3r b a c 9 6 模型 2 3 轉(zhuǎn)授權(quán)與撤銷的基礎(chǔ)知識 在分布式環(huán)境下 系統(tǒng)的管理工作異常繁重 完全依賴于某個或者某些管理 者的集中管理方式 需要管理者參與系統(tǒng)中所有的授權(quán)行為 更加重了系統(tǒng)的管 理負擔 2 0 轉(zhuǎn)授權(quán) d e l e g a t i o n 的基本思想是用戶將自己所具有的部分或者全部權(quán)限 轉(zhuǎn)授給其他用戶 讓接受授權(quán)的用戶代表發(fā)出授權(quán)的用戶執(zhí)行某些任務(wù) 轉(zhuǎn)授權(quán) 技術(shù)允許將分布式環(huán)境下集中式管理工作分散實施 是提高分布式系統(tǒng)伸縮性的 重要技術(shù) 而基于角色的轉(zhuǎn)授權(quán)技術(shù)為在分布式系統(tǒng)中實現(xiàn)角色訪問控制提供了 一種有效的手段 文獻 1 2 1 3 1 6 2 7 忡對轉(zhuǎn)授權(quán)和撤銷的類型的歸納 本小 節(jié)對其進行整理 以便于本文后續(xù)章節(jié)的討論 中山火學(xué)碩士學(xué)位論文墼于角色的特h 十限的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 2 3 1 轉(zhuǎn)授權(quán)的類型 d e l e g a t i o n 2 3 1 1 從角色的角度來劃分轉(zhuǎn)授權(quán)的類型 轉(zhuǎn)授權(quán)的類型從角色的角度來看 有兩種 1 具有系統(tǒng)管理權(quán)限的角色 a d m i n i s t r a t i v er o l e 的轉(zhuǎn)授 比如 新增和刪除用戶這樣的操作權(quán)限 在文獻 1 2 1 3 1 6 2 7 1 均沒有 探索這種方式的轉(zhuǎn)授 因為控制起來是比較復(fù)雜的 但是在實際生活中是存在這 種需求的 例如 人力資源部門招聘了新的員工 就需要新增用戶以及為該用戶 分配所屬的部門 或者某位老員工離職則需要刪除掉這個用戶的相關(guān)信息 如果 所有的管理工作均交給安全管理員來做 必然使得管理員的任務(wù)繁重 也不符合 應(yīng)用環(huán)境中的需求 2 具有常規(guī)權(quán)限的角色 r e g u l a rr o l e 的轉(zhuǎn)授 這種轉(zhuǎn)授權(quán)的發(fā)生通常有三種情況 1 3 本文將一一舉例說明 1 角色的備份 b a c ku po fr o l e 例2 1 在實際生活中 某個具備銷售經(jīng)理角色的用戶要出差 就可能把銷 售經(jīng)理的角色轉(zhuǎn)授給其下屬 也許是某個銷售代表讓其代為管理 直到經(jīng)理出差 返回再收回銷售經(jīng)理的角色 2 授權(quán)的逐級下放 d e c e n t r a l i z a t i o no f a u t h o r i t y 例2 2 具有總經(jīng)理角色的用戶 把某項任務(wù)交給其下屬部門經(jīng)理 而部門 經(jīng)理又把具體的任務(wù)交給他的下屬 某個員工去完成 如此逐級下放轉(zhuǎn)授權(quán)限 3 臥同工作的需要 c o l l a b o r a t i o no f w o r k 例2 3 某個龐大的工程項目需要工程部門內(nèi)的兩個項目小組一起負責(zé) 而 不同的項目小組所擁有的資源是不相同的 為了協(xié)同的完成這個項目 就需要部 門的同事之間共享某些資源 從而完成任務(wù) 2 3 1 2 從轉(zhuǎn)授權(quán)的方式劃分轉(zhuǎn)授權(quán)的類型 從轉(zhuǎn)授權(quán)的方式來看 主要有幾個相剝應(yīng)的概念 1 永久轉(zhuǎn)授權(quán) 暫時轉(zhuǎn)授權(quán) p e r m a n e n ta n d t e m p o r a r yd e l e g a t i o n 如果轉(zhuǎn)授用戶 d e l e g a t i n gu s e r 在轉(zhuǎn)授出角色 d e l e g a t e dr o l e 之后 再 也收不回來該角色的權(quán)限 則是永久轉(zhuǎn)授權(quán) 此種情況適用于被授用戶 d e l e g a t e d 巾i h 大學(xué)碩士學(xué)位沿文基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) u s e r 完全替代轉(zhuǎn)授用戶的職能 如果轉(zhuǎn)授的過程只是暫時的 則是暫時轉(zhuǎn)授權(quán) 例2 4 一個教授擁有教授的角色 同時擁有某個學(xué)術(shù)組織的成員的角色 如果需要另一個人來接替該教授的學(xué)術(shù)組織成員的角色 則該教授在轉(zhuǎn)授出該角 色之后 就是永久的轉(zhuǎn)授權(quán) 而如果是由于該教授出差暫時不能處理事務(wù) 則暫 時地轉(zhuǎn)授角色給被授用戶 屬于暫時轉(zhuǎn)授權(quán)的情況 2 單調(diào)轉(zhuǎn)授權(quán) 非單調(diào)轉(zhuǎn)授權(quán) m o n o t o n i ca n dn o n m o n o t o n i cd e l e g a t i o n 如果轉(zhuǎn)授用戶在轉(zhuǎn)授出自己擁有的角色之后 仍然享有該轉(zhuǎn)授角色的權(quán)限 則是單調(diào)轉(zhuǎn)授權(quán) 如果轉(zhuǎn)授之后 失去了該轉(zhuǎn)授角色的權(quán)限直到該轉(zhuǎn)授關(guān)系失效 則是非單調(diào)轉(zhuǎn)授權(quán) 這兩種情況的相同點是轉(zhuǎn)授用戶仍然擁有撤銷轉(zhuǎn)授操作的權(quán)力 這樣的話 對于非單調(diào)轉(zhuǎn)授權(quán)的情況來說 在撤銷之后或者是轉(zhuǎn)授關(guān)系的有效時間到期 則 轉(zhuǎn)授的用戶可以收回轉(zhuǎn)授出去的權(quán)限 3 完全轉(zhuǎn)授權(quán) 部分轉(zhuǎn)授權(quán) t o t a la n dp a r t i a ld e l e g a t i o n 如果轉(zhuǎn)授角色的用戶將該角色的全部權(quán)限都轉(zhuǎn)授給被授的用戶 則稱為完全 轉(zhuǎn)授權(quán) 如果轉(zhuǎn)授的只是角色的部分權(quán)限 則稱為部分轉(zhuǎn)授權(quán) 例2 5 一個教授的角色擁有授課 實驗研究 管理日常事務(wù)等權(quán)限 那么 如果具備教授角色的某個教授 將授課的權(quán)限轉(zhuǎn)授給助教 實驗研究轉(zhuǎn)授給研究 員 管理日常事務(wù)轉(zhuǎn)授給秘書 則屬于部分轉(zhuǎn)授權(quán)的情況 完全轉(zhuǎn)授權(quán)則是將教 授這個角色完整地轉(zhuǎn)授給他人 4 單步 多步與多重轉(zhuǎn)授權(quán) s i n g l e s t e p m u l t i s t e p m u l t i p l ed e l e g a t i o n 如果被授用戶還可以繼續(xù)轉(zhuǎn)授權(quán) 那么從初始的轉(zhuǎn)授用戶開始可以形成一條 轉(zhuǎn)授權(quán)路徑 路徑的長度不止一步 則是多步轉(zhuǎn)授權(quán) 而單步轉(zhuǎn)授權(quán)是多步轉(zhuǎn)授 權(quán)的特例 是路徑長度為一的情況 多重轉(zhuǎn)授權(quán)則是指轉(zhuǎn)授用戶在轉(zhuǎn)授角色的時 候 可以同時將該角色轉(zhuǎn)授給多個用戶 2 3 2 撤銷的類型 r e v o c a t i o n 撤銷的過程是與轉(zhuǎn)授權(quán)的過程密不可分的一個重要過程 轉(zhuǎn)授出去的權(quán)限如 果不及時收回 不在一定時間內(nèi)進行撤銷 勢必為訪問控制帶來安全隱患 從撤銷的方式來看 主要有三對相對應(yīng)的概念 基于角色的帶時限的轉(zhuǎn)授權(quán)與撤銷模型的研究與實現(xiàn) 1 級聯(lián)撤銷 非級聯(lián)撤銷 c a s c a d i n g n o n c a s c a d i n gr e v o c a t i o n 在多步轉(zhuǎn)授權(quán)的情況下 如果在轉(zhuǎn)授權(quán)路徑中的一個節(jié)點被撤銷 則該節(jié)點 的后代全部都將被撤銷 屬于級聯(lián)撤銷 如果僅僅撤銷掉這個節(jié)點本身 它的后 代不予以撤銷 不受影響 則屬于非級聯(lián)撤銷 例2 6 用戶b o b 將自己的某個角色轉(zhuǎn)授給了用戶a l i c e 而a l i c e 又將該角 色轉(zhuǎn)授給了另一用戶c h a r l i e 如果要撤銷a l i c e 與這個被授角色的對應(yīng)關(guān)系 也 就是撤銷掉轉(zhuǎn)授權(quán)路徑當中的這個節(jié)點 那么撤銷操作執(zhí)行之后 若c h a r l i e 仍 然擁有此轉(zhuǎn)授角色 則屬于非級聯(lián)撤銷 若c h a r l i e 因為a l i c e 被撤銷也同時被撤 銷 則屬于級聯(lián)撤銷的情況 2 授權(quán)依賴撤銷 授權(quán)獨立撤銷 g r a n t d e p e n d e n t g r a n t i n d e p e n d e n tr e v o c a t i o n 如果只有直接的轉(zhuǎn)授用戶能夠撤銷掉被授用戶與被授角色之間的對應(yīng)關(guān)系 則是授權(quán)依賴撤銷 如果在轉(zhuǎn)授權(quán)路徑上的間接的轉(zhuǎn)授用戶均可以撤銷 則是授 權(quán)獨立撤銷 例2 7 仍然采用例2 6 中的b o b a l i c e c h a r l i e 的例子 如果要撤銷c h a r l i e 這個節(jié)點 若只有a l i c e 能執(zhí)行撤銷操作 則屬于授權(quán)依賴撤銷 若a l i c e 和b o b 都可以執(zhí)行對c h a r l i e 的撤銷操作 則屬于授權(quán)獨立撤銷的情況 3 強撤銷 弱撤銷 s t r o n g w e a kr e v o c a t i o n 2 1 如果一個用戶與多個角色有對應(yīng)關(guān)系 即該用戶擁有多個角色 若因為撤銷 該用戶和其中一個角色的對應(yīng)關(guān)系 那么導(dǎo)致不僅是該用戶與這個角色的關(guān)系被 撤銷掉 同時該用 所擁有的比被撤角色高級的角色對應(yīng)關(guān)系也將被撤銷掉 則 屬于強撤銷 若該用戶與其它角色的對應(yīng)關(guān)系不會受到影響 仍然成立 則屬于 弱撤銷 例2 8 公司早的某位員工 同時擁有項目開發(fā)部門員工的角色 軟件丌發(fā) 工程師的角色 項目經(jīng)理的角色 按實際情況來看 項目開發(fā)部門員工的角色 軟件丌發(fā)工程師角色 項f 1 經(jīng)理的角色 是從低級到高級的關(guān)系 那么如果要撤 銷該員 i 與軟件開發(fā)工程師角色的對應(yīng)關(guān)系 同時也撤銷項目經(jīng)理的角色 則屬 于強撤銷的情況 因為該員工可能已經(jīng)被調(diào)去部門內(nèi)的其他職位 若僅僅是軟件 開發(fā)工程師的角色對應(yīng)關(guān)系被撤銷 則屬于弱撤銷的情況 第3 章基于角色的轉(zhuǎn)授權(quán)模型的研究 本章主要是對與本文相關(guān)的研究的一個總結(jié)與歸納 分析現(xiàn)有的基于角色 的轉(zhuǎn)授權(quán)模型存在的不足 從而提出本文的研究思路 3 1r d m r o l e b a s e dd e l e g a t i o nm o d e l 模型 r d m 2 0 0 0 1 1 是在r b a c 9 6 1 4 平i r b d m o 1 0 的基礎(chǔ)上擴展而成 r d m 2 0 0 0 支持角色的層次結(jié)構(gòu) 在引入轉(zhuǎn)授權(quán)關(guān)系之后同時也支持多步轉(zhuǎn)授權(quán) 本小節(jié)部 分重點介紹r d m 模型 在本文的第四章部分將在r d m 的基礎(chǔ)上對其進行擴展 研究 3 1 1 基本元素和系統(tǒng)函數(shù) 來自r b a c 9 6 和r b d m o r b a c 9 6 的基本元素及關(guān)系如圖2 3 所示 它包括五種基本元素 用戶 u s e r s 角色 r o l e s 權(quán)限 p e r m i s s i o n s 會話 s e s s i o n s 約束 c o n s t r a i n t s 兩種關(guān)系 用戶指派關(guān)系 u s e ra s s i g n m e n t u a 權(quán)限指派關(guān)系 p e r m i s s i o n a s s i g n m e n t p a 從角色r o l e 的角度來看 用戶可以被劃分為兩個集合 初始用戶 o r i g i n a l u s e r s 即被直接分配了角色r o l e 的用戶的集合 被授用戶 d e l e g a t e du s e r s 即被轉(zhuǎn)授了角色r o l e 的用戶的集合 一個用戶可以是一個角色的初始用戶 也可以是另一個角色的被授用戶 一 個用戶還可能是同時是一個角色的初始用戶和被授用戶 1 r b a c 9 6 的概念 u r p s 分別代表用戶 角色 權(quán)限 會話的集合 u a u r 是用戶與角色之間的多對多關(guān)系 p a p x r 是角色和權(quán)限之間的多對多關(guān)系 r h r r 是角色層次結(jié)構(gòu)的是偏序關(guān)系 函數(shù)s e s s i o n s u 一2 5 是從一個用戶到會話集合的映射函數(shù) 中山大學(xué)碩士學(xué)位論文 基于角色的惜時戳的轉(zhuǎn)授批與撤錆懂型的研究與吏現(xiàn) 函數(shù)r o l e s s 一2 8 是從一個會話到一組角色的集合的映射函數(shù) 函數(shù)p