基于重復(fù)和部分角色的分布式轉(zhuǎn)授權(quán)模型

基于重復(fù)和部分角色的分布式轉(zhuǎn)授權(quán)模型

1rrdm和prd隨著信息技術(shù)的發(fā)展和廣泛應(yīng)用，信息系統(tǒng)的安全問題日益突出?；诮巧脑L問控制技術(shù)（rbac）被廣泛應(yīng)用為信息安全領(lǐng)域的新信息安全技術(shù)。rbac96是sundhu提出的rbac模型（如圖1所示）和模型的一些補(bǔ)充模型。rbac96已得到美國國家行業(yè)標(biāo)準(zhǔn)技術(shù)研究所（nist）的支持，并已作為rbac技術(shù)標(biāo)準(zhǔn)發(fā)布。目前，rbac支持的商業(yè)產(chǎn)品包括transport、orale等。rbac的“中立政策”和rbac管理rbac的想法可以滿足不同的安全政策要求，并得到廣泛應(yīng)用。在分布環(huán)境下,系統(tǒng)的管理工作異常繁重.完全依賴于管理者的集中式管理方式,需要管理者參與系統(tǒng)中所有的授權(quán)行為,更加重了系統(tǒng)的管理負(fù)擔(dān).轉(zhuǎn)授權(quán)(delegation)的基本思想是用戶將自己所具有的部分或全部權(quán)限轉(zhuǎn)授給其他用戶,讓接受授權(quán)的用戶代表發(fā)出授權(quán)用戶執(zhí)行某些任務(wù).轉(zhuǎn)授權(quán)技術(shù)允許將分布環(huán)境下的集中式管理工作分散實施,是一種提高分布式系統(tǒng)伸縮性的重要技術(shù),而基于角色的轉(zhuǎn)授權(quán)技術(shù)為在分布系統(tǒng)中實現(xiàn)角色訪問控制提供了一種有效的手段.作為兩種主要的RDM,RDM2000和RBDM0認(rèn)為將被轉(zhuǎn)授角色再次轉(zhuǎn)授給已經(jīng)具有該被轉(zhuǎn)授角色的用戶,或者具有比該被轉(zhuǎn)授角色高級的角色的用戶是沒有意義的,因此禁止此類重復(fù)角色轉(zhuǎn)授權(quán)(RRD).事實上,禁止這種所謂的“向上轉(zhuǎn)授權(quán)”(upwarddelegation)是錯誤的,因為用戶所具有的角色是動態(tài)變化的,不同用戶轉(zhuǎn)授的同一角色應(yīng)該區(qū)別對待,否則將會造成系統(tǒng)授權(quán)管理的混亂.同時,RBDM0和RDM2000不支持PRD,而采用“全部角色轉(zhuǎn)授權(quán)”的方式,即要么不轉(zhuǎn)授角色,要么將被轉(zhuǎn)授角色的全部權(quán)限都轉(zhuǎn)授給被轉(zhuǎn)授用戶,這種方式破壞了“最小特權(quán)”的安全原則,給系統(tǒng)帶來了潛在的威脅.本文提出的RPRDM支持RRD和PRD,更符合實際的安全需求.第2節(jié)論述了轉(zhuǎn)授權(quán)的特性和RDM2000,分析了轉(zhuǎn)授權(quán)模型中的RRD和PRD的必要性;第3節(jié)是本文的重點,系統(tǒng)地論述了支持RRD和PRD的RPRDM以及授權(quán)撤銷;第4節(jié)描述了我們基于Linux實現(xiàn)的RPRDM原型;全文的總結(jié)及其展望是第5節(jié).2按照轉(zhuǎn)向授權(quán)和許可證模型與授權(quán)相比,轉(zhuǎn)授權(quán)有其自身的特點;RBDM0和RDM2000是具有代表性的轉(zhuǎn)授權(quán),但是它們?nèi)匀痪哂胁蛔愫腿毕?2.1ued的revi中小型轉(zhuǎn)授權(quán)roovson在基于角色的轉(zhuǎn)授權(quán)模型中,發(fā)起轉(zhuǎn)授權(quán)動作的用戶稱為授權(quán)用戶(delegatinguser),記做uing;轉(zhuǎn)授出去的角色稱為被轉(zhuǎn)授角色(delegatedrole),記做red;接受被轉(zhuǎn)授角色的用戶稱為被授權(quán)用戶(delegateduser),記做ued.轉(zhuǎn)授權(quán)主要有以下特性:(1)時限性:是指red的作用時限.按照時限的不同可以將轉(zhuǎn)授權(quán)分為兩種:永久性轉(zhuǎn)授權(quán)和時限性轉(zhuǎn)授權(quán).前者是指一旦把red轉(zhuǎn)授予ued,ued就具有red所包含的權(quán)限,直到系統(tǒng)管理員或者具有授權(quán)管理角色的用戶將ued的red撤銷;而時限性轉(zhuǎn)授權(quán)是指在轉(zhuǎn)授權(quán)的同時指定red的有效期,一旦red過期,系統(tǒng)自動地將red撤銷.(2)單調(diào)/非單調(diào):uing將red授予ued后,如果uing還具有red,這種轉(zhuǎn)授權(quán)方式稱為單調(diào)轉(zhuǎn)授權(quán);與之相對,如果uing不再具有red,則稱之為非單調(diào)轉(zhuǎn)授權(quán).(3)完全/部分:是指uing將red所具有的全部或者部分權(quán)限轉(zhuǎn)授給ued.(4)管理:在實際的轉(zhuǎn)授權(quán)操作中,轉(zhuǎn)授權(quán)可以由uing本身完成,還可以由第3方的授權(quán)代理用戶來完成.(5)多步轉(zhuǎn)授權(quán):在RDM中,如果允許ued將red繼續(xù)轉(zhuǎn)授予其他的用戶則稱做多步轉(zhuǎn)授權(quán);否則稱做單步轉(zhuǎn)授權(quán).(6)多重轉(zhuǎn)授權(quán):是指同一個red可以同時授予一個或者多個ued.(7)協(xié)商:是指uing和ued之間在轉(zhuǎn)授權(quán)過程中所采用的協(xié)議.根據(jù)ued是否參與轉(zhuǎn)授權(quán)決策分為雙邊協(xié)商和單邊協(xié)商.(8)撤銷:當(dāng)直接撤銷red時,同時會將與該角色相關(guān)的其他角色(如:ued以red為先決條件而被授予的其他角色)也一并撤銷,則這種撤銷叫做層疊式撤銷(cascadingrevocation).只有uing才能撤銷red的撤銷方式叫做授權(quán)依賴撤銷(grant-dependentrevocation);與之相對,任何具有管理員授予的red角色的其他用戶都可以撤銷ued所具有的red的撤銷方式叫做非授權(quán)依賴撤銷(grant-independentrevocation).2.2按rbtm0和rbda低轉(zhuǎn)授權(quán)基于RBAC96,RBDM0首次將角色引入轉(zhuǎn)授權(quán)模型中,并將用戶的角色分成兩類:①初始角色:管理員或具有授權(quán)管理權(quán)限的用戶授予的角色;②轉(zhuǎn)授角色:其他用戶轉(zhuǎn)授來的角色.RBDM0區(qū)分對待這兩類角色.RDM2000模型支持層次角色(hierarchicalroles)和多步轉(zhuǎn)授權(quán),是基于RBDM0擴(kuò)充而成的較完善的RDM.RDM2000的轉(zhuǎn)授權(quán)模型如圖2所示.RBDM0和RDM2000禁止“向上轉(zhuǎn)授權(quán)”是錯誤的,可以通過下例說明.假設(shè)有正教授a、副教授b,以及學(xué)生1,分別記做Pa,APb和S1,他們在圖書館分別具有正教授閱覽者角色RP和副教授閱覽者角色RAP以及學(xué)生閱覽者角色RS,且RP,RAP和RS之間有關(guān)系RP?RAP?RS,即正教授的閱讀權(quán)限包含副教授的閱讀權(quán)限,副教授的閱讀權(quán)限包含學(xué)生的閱讀權(quán)限.如果Pa和APb現(xiàn)在都想讓學(xué)生S1替他們查資料,則按照RBDM0和RDM2000的轉(zhuǎn)授權(quán)機(jī)制,會有如下過程:(1)t1時刻管理員LA將RP授予Pa;(2)t2時刻LA將RAP授予APb;(3)t3時刻LA將RS授予S1;(4)t4時刻Pa將RP轉(zhuǎn)授給S1,此時S1具有角色RP和RS;(5)t5時刻APb欲將RAP轉(zhuǎn)授給S1,但因此時S1已經(jīng)具有角色RP,且RP?RAP,故授權(quán)被拒絕.此時S1仍只具有角色RP和RS;(6)t6～t8時段S1為Pa查資料;(7)t8時刻Pa將S1的RP角色撤銷,撤銷操作成功,此時S1只具有角色RS;(8)t7～t9時段S1為APb查資料;結(jié)果:在時段t8～t9中,S1將無法繼續(xù)為APb查資料.以上過程可以用圖3表示,其中圖3(a)表示授權(quán)和轉(zhuǎn)授權(quán)過程,圖3(b)表示S1的角色變化過程.由圖3可以直觀地看出,在時段t8～t9中,S1只具有角色RS,因此沒有足夠的權(quán)限為APb查資料.系統(tǒng)中用戶所具有的每一角色都有時限性,隨著時間的推移,以及對用戶進(jìn)行的授權(quán)、轉(zhuǎn)授權(quán)以及授權(quán)撤銷等動作,用戶所具有的角色集合是動態(tài)變化的.不同用戶授予的同一角色不應(yīng)被當(dāng)做一個相同的角色,它們之間是有區(qū)別的.以上問題的根本原因在于忽略了轉(zhuǎn)授權(quán)的時限性以及重復(fù)角色轉(zhuǎn)授權(quán)中的授權(quán)主體差異性,這也正是本文要解決的問題之一.RPRDM支持重復(fù)角色轉(zhuǎn)授權(quán),解決了禁止重復(fù)角色轉(zhuǎn)授權(quán)所引起的問題.RBDM0和RDM2000的另一個不足是它們不支持部分角色轉(zhuǎn)授權(quán)PRD.再如上例,如果角色RP具有權(quán)限{p1,p2,p3},其中,p1:閱覽第1閱覽室的圖書,p2:閱覽第2閱覽室的圖書,p3:借出教師圖書室的圖書.如果僅僅為了查資料,Pa只把角色RP中的權(quán)限p2,p2轉(zhuǎn)授予S1就足夠了,不應(yīng)該連同p3也授予S1,這樣不符合“最小特權(quán)原則”.RBDM0和RDM2000中卻沒實現(xiàn)部分角色轉(zhuǎn)授權(quán).3基于重復(fù)和各種角色的授權(quán)模型rcd重復(fù)角色轉(zhuǎn)授權(quán)和部分角色轉(zhuǎn)授權(quán)是轉(zhuǎn)授權(quán)模型的重要功能組成部分,我們提出的RPRDM完全支持這兩種轉(zhuǎn)授權(quán)機(jī)制.3.1rprdm中的轉(zhuǎn)授權(quán)和保護(hù)在RBDM0和RDM2000中,red是作為一個整體被轉(zhuǎn)授出去的.即一旦將red轉(zhuǎn)授出去,就必須將red所包含的全部權(quán)限轉(zhuǎn)授出去,而不能僅將red的部分權(quán)限轉(zhuǎn)授出去.在實際的應(yīng)用中,這種機(jī)制不但不能滿足實際的部分轉(zhuǎn)授權(quán)的需求,且違背了“最小特權(quán)”原則.RPRDM中引入了屏蔽值mask的概念,可以用mask屏蔽掉red中某些不想轉(zhuǎn)授出去的權(quán)限項.定義1.RPRDM中,?u,u∈U,u的所有角色組成的集合記做Ru,管理員授予u的初始角色記做ORu,ORu=roleo(u),其他用戶轉(zhuǎn)授予的轉(zhuǎn)授角色記做DRu,DRu=roled(u),Ru=ORu∪DRu.定義2.RPRDM中的轉(zhuǎn)授權(quán)是五元組:dlgt={uing,red,ued,d,mask},其中,uing∈U是轉(zhuǎn)授權(quán)用戶,ued∈U是被轉(zhuǎn)授權(quán)用戶,red∈R指被轉(zhuǎn)授的角色,d∈Duration表示ued具有red的合法時段,mask∈MASK是red所具有的權(quán)限的屏蔽值.定義3.?ued,ued∈U,如果對ued有dlgt={uing,red,ued,d,mask},其中red∈Ruing,red={p1,p2,…,pn},pi(1≤i≤n)是角色red所具有的權(quán)限項,mask=b1b2…bn,bi(1≤i≤n)是mask的二進(jìn)制數(shù)位,bi∈{0,1}.則dlgt實際轉(zhuǎn)授給ued的權(quán)限P′,P′=p(dlgt)={pi|bi=1,pi∈red,red=dlgt,bi∈mask,1≤i≤n},dlgt[i]表示取dlgt的第i個元素.正如文獻(xiàn)所指出的那樣,管理員在授予用戶角色時,可能不允許該角色中的某些權(quán)限再次被轉(zhuǎn)授給其他用戶,角色在轉(zhuǎn)授的過程中,轉(zhuǎn)授權(quán)用戶也可以指定被轉(zhuǎn)授角色中哪些權(quán)限被轉(zhuǎn)授出去.RPRDM有如下定義:定義4.?r,r∈R,r包含的權(quán)限集合記做p(r),其中,p(r)中可以轉(zhuǎn)授的權(quán)限記做dp(r),不可轉(zhuǎn)授的權(quán)限記做ndp(r),mask是r的轉(zhuǎn)授權(quán)屏蔽值,m(mask,r)=dp(r),p(r)=dp(r)∪ndp(r),dp(r)∩ndp(r)=>.3.2主要功能關(guān)系基于以上的分析、定義以及RBAC96和RDM2000,RPRDM的基本元素如下:①P,R,U和S分別是權(quán)限集合、角色集合、用戶集合和會話集合;②PA?P×R:權(quán)限到角色之間多對多的映射關(guān)系;③UAO?U×R:用戶到初始角色之間的多對多的關(guān)系;④roleo:U→2R是用戶到初始角色一對多的映射關(guān)系,roleo(u)=ORu;⑤por(u,r)={p|(p,r)∈PA,r∈ORu}:用戶的初始角色的權(quán)限集合;⑥UAD?U×R:用戶到被轉(zhuǎn)授角色之間的多對多的關(guān)系;⑦roled:U→2R是用戶到被轉(zhuǎn)授角色一對多的映射關(guān)系,roled(u)=DRu;⑧roles(u)=roleo(u)∪roled(u);⑨UA=UAO∪UAD?U×R:用戶到角色的指派關(guān)系,是多對多的關(guān)系;⑩PA?P×R:權(quán)限到角色的指派關(guān)系,該關(guān)系是多對多的關(guān)系;(11)RH?R×R:角色與角色之間的繼承關(guān)系,是一偏序關(guān)系;(12)userso,usersd,users:R→2U角色到用戶之間一對多的映射關(guān)系;userso(r)={u|(?r′≥r)(u,r′)∈UAO};usersd(r)={u|(?r′≥r)(u,r′)∈UAD};users(r)=userso(r)∪usersd(r);(13)user:S→U是會話到用戶一對一的映射關(guān)系,user(si)={u|(u,r)∈si};(14)role:S→2R是會話到角色一對多的映射關(guān)系,role(si)?{r|(?r′≥r)(user(si),r′)∈UA};(15)ps:S→2P是會話到權(quán)限的一對多的映射關(guān)系,ps(si)={por(user(si),r)|?r,r∈ORuser(si)∩r∈role(si)}∪{por(u,user(si),r)|?r,r∈DRuser(si)∩r∈role(si)};(16)MASK,N是自然數(shù)集合;(17)Duration是所有的有效的時間段集合,時間段用二元組[tb,te]表示;(18)DLGT?UA×UA=U×R×U×R,用戶授權(quán)到用戶授權(quán)的一對多映射關(guān)系;(19)ODLGT?UAO×UAD,初始用戶授權(quán)到用戶轉(zhuǎn)授權(quán)的一對多的映射關(guān)系;(20)DDLGT?UAD×UAD,用戶轉(zhuǎn)授權(quán)到用戶轉(zhuǎn)授權(quán)的一對多的映射關(guān)系;(21)DLGT?ODLG∪DDLGT;(22)DT?UA×UA:轉(zhuǎn)授權(quán)樹;(23)prior:U×R→U×R;prior(uing,red,ued,d,mask)={(u′ing,r′ed,u′ed,d′,mask′)|(u′ing,r′ed,u′ed,d′,mask′)∈DLGT∩u′ed=uing};prior{u,r}={>|r∈roleo(u)};(24)轉(zhuǎn)授權(quán)路徑(delegationpath):path(dlgt0)={dlgt0,dlgt1,…,dlgti-1,dlgti,…,dlgtn|dlgti=prior(dlgti-1)∈UA,i>0},其中,dlgti=(uingi,redi,uedi,di,maski);path(u,r)={>|(u,r)∈UAO};RPR模型的結(jié)構(gòu)如圖4所示.3.3轉(zhuǎn)授權(quán)的判定在RDM2000中,轉(zhuǎn)授權(quán)判定公式是基于以下3方面進(jìn)行判斷的:(1)轉(zhuǎn)授權(quán)用戶所具有的角色;(2)被授權(quán)用戶已經(jīng)具有的角色集合;(3)系統(tǒng)允許的最大轉(zhuǎn)授權(quán)步數(shù).在實際的轉(zhuǎn)授權(quán)操作中,以上3種限制明顯不足:僅限制轉(zhuǎn)授權(quán)的最大步數(shù)(depth),而沒有對某一角色被轉(zhuǎn)授的次數(shù)(width)加以限制,也沒有整個系統(tǒng)中對該角色的授權(quán)次數(shù)加以限制;對被轉(zhuǎn)授角色的轉(zhuǎn)授權(quán)限項沒有限制,不能部分轉(zhuǎn)授權(quán);對使用被轉(zhuǎn)授角色的合法時間沒有限制,不能支持系統(tǒng)依據(jù)時間自動撤銷用戶的角色.下面的定義(定義5)借用了ARBAC97和RDM2000中定義的先決條件(prerequisitecondi-tion),定義6是我們的授權(quán)判定.定義5.先決條件CR是用操作符“&”(and,與)和“|”(or,或)將元素cr結(jié)合起來的布爾表達(dá)式.其中,cr可以是x或者-x的形式,前者表示具有角色x,后者表示不具有角色x.如:CR=cr1&cr2|(-cr3).定義6.轉(zhuǎn)授權(quán)的判定如下:candelegate?R×CR×MASK×N×Duration;dlgt=(uing,red,ued,d,mask)∈candelegate?①uing∈{u|users(r),r≥red}∩.②roles(ued)∈cr∩.③dlgt∈porior(dlgt)∩.④dlgt∈porior(dlgt)∩.⑤n(dlgt)≤n.其中,R,CR,MASK,N和Duration分別是角色、先決條件、屏蔽值、最大轉(zhuǎn)授權(quán)次數(shù)和時限的集合;函數(shù)n(dlgt)表示轉(zhuǎn)授權(quán)操作dlgt中被轉(zhuǎn)授角色r的轉(zhuǎn)授次數(shù),其含義包括:①該被轉(zhuǎn)授角色被不同用戶轉(zhuǎn)授的次數(shù),即轉(zhuǎn)授權(quán)樹的深度;②該被轉(zhuǎn)授角色被同一用戶轉(zhuǎn)授給不同用戶的次數(shù),即轉(zhuǎn)授權(quán)寬度;③在整個系統(tǒng)中該角色被轉(zhuǎn)授的次數(shù).n(dlgt)≤n是指當(dāng)前的轉(zhuǎn)授權(quán)操作的次數(shù)滿足系統(tǒng)的限制.關(guān)于授權(quán)次數(shù)的限制,我們將在相關(guān)的文章中細(xì)述.基于上述的討論,有推論1和2.推論1.如果有dlgt=prior(dlgt′),則p(dlgt′)?p(dlgt′).該推論是指在某角色的轉(zhuǎn)授權(quán)過程中,實際轉(zhuǎn)授出去的權(quán)限項只會越來越少.我們還是利用第2.2節(jié)中提到的例子進(jìn)一步說明RPRDM.表1是權(quán)限描述,表2是角色的權(quán)限,表3是轉(zhuǎn)授權(quán)操作,表4是基于表3的轉(zhuǎn)授權(quán)路徑.由表2可知:RS?RAP?RP.圖書管理員LA分別給教授Pa、副教APb和學(xué)生S1、S2授予角色RP、角色RAP以及角色RS.表3和4所示的授權(quán)樹如圖5所示.假定LA規(guī)定P6不能轉(zhuǎn)授,而且Pa如果只想讓S1替他查資料而不想讓他借書的話,那么mask1可以是{111010},即把權(quán)限P4和P6屏蔽掉而不授予S1;如果想讓S1僅在一定時段里(如{1,20})具有轉(zhuǎn)授給的權(quán)限,Pa可以將d1定義成{1,20},該轉(zhuǎn)授權(quán)操作用D1表示.同時Pa也可以將RP轉(zhuǎn)授給APb,假設(shè)mask2={111110},d2={1,30},該轉(zhuǎn)授權(quán)操作用D2表示.那么,APb在D2中得到的權(quán)限是:在時段{1,30}中具有權(quán)限P1,P2,P3,P4和P5.接著,APb將Pa轉(zhuǎn)授給的角色RP也轉(zhuǎn)授給S1,該轉(zhuǎn)授權(quán)操作用D3表示.在D3中,mask3只能是mask2的子集,如{111100};d3只能是不超過d2的一個或者幾個時段,如{10,15}∪{20,25}.由D2和D3構(gòu)成轉(zhuǎn)授權(quán)路徑DP23,該路徑的深度是2,此時對于角色DP來說,其最大轉(zhuǎn)授權(quán)寬度是2,最大轉(zhuǎn)授權(quán)次數(shù)是3.當(dāng)然,APb又可以將LA授予的角色RAP也轉(zhuǎn)授給S1和S2,分別用D4和D5表示,假設(shè)mask4={1100},d4={5,9}.最后,S1具有角色RS,RP,RP和RAP,盡管有兩個RP,但它們卻不相同,分別來自Pa和APb,且具有的權(quán)限和具有權(quán)限的合法時間也不同(參見表5),這也正是RPRDM比RDM2000主要的改進(jìn)之一.3.4重復(fù)角色轉(zhuǎn)授權(quán)與轉(zhuǎn)授權(quán)相對應(yīng),授權(quán)撤銷也是安全系統(tǒng)訪問控制中重要的過程.如uing發(fā)現(xiàn)ued濫用被授予的角色red,不論是系統(tǒng)、系統(tǒng)管理員還是uing,都應(yīng)該及時地撤銷該角色.角色轉(zhuǎn)授權(quán)撤銷包括撤銷UAO中授予的角色,也包括撤銷DLGT中授予的角色,本文著重討論如何撤銷轉(zhuǎn)授權(quán)得到的角色.從轉(zhuǎn)授權(quán)角色的撤銷操作的執(zhí)行者來分,可以分為4類:(1)uingonly:只有轉(zhuǎn)授權(quán)用戶才能撤銷被轉(zhuǎn)授的角色.即該角色是誰轉(zhuǎn)授出去的,就由誰來撤銷.因為RDM2000不支持重復(fù)角色轉(zhuǎn)授權(quán),不論幾個用戶授予的同一個角色都認(rèn)為是一個角色,所以,一方面實際轉(zhuǎn)授權(quán)用戶將轉(zhuǎn)授角色撤銷后被授權(quán)用戶將不能為其他轉(zhuǎn)授給他同一角色的用戶工作;另一方面,即使被授權(quán)用戶做了其他授權(quán)用戶不想讓他做的事,也不能撤銷該角色.RPRDM中此類角色撤銷判定如定義7所示.定義7.canrevoke∈R×U,(u′,r,u)∈canrevoke?(?r′,r′≥r,r′∈roleo(u))∩(?dlgt,u=dlgt,red=dlgt,u′=dlgt),其中,(u′,r,u)表示用戶u′可以撤銷用戶u的轉(zhuǎn)授角色r.(2)uingrole:具有轉(zhuǎn)授權(quán)用戶的角色的用戶就可以撤銷被轉(zhuǎn)授的角色.在該類授權(quán)角色撤銷中,只要是初始的具有被授權(quán)角色或者更高級角色的用戶就可以撤銷該角色.基于RPRDM的此類角色撤銷判定如定義5所示.定義8.canrevoke∈R,(u′,r,u)∈canrevoke?(?r′,r′≥r,r′∈roleo(u)).(3)sysauto:系統(tǒng)自動地撤銷被轉(zhuǎn)授的角色.該方式是一種自觸發(fā)過程(self-triggeredprocess),系統(tǒng)按照撤銷觸發(fā)機(jī)制(如:轉(zhuǎn)授角色的時限、用戶激活轉(zhuǎn)授角色的回話結(jié)束等)自動地判