數(shù)字資源的訪問控制機(jī)制及其應(yīng)用

單芳芳， 董躍鈞， 夏　冰， 張俊寶， 田繼鵬

(1.中原工學(xué)院, 鄭州 450007; 2.鄭州市計(jì)算機(jī)網(wǎng)絡(luò)安全評估重點(diǎn)實(shí)驗(yàn)室， 鄭州 450007;3.計(jì)算機(jī)信息系統(tǒng)安全評估河南省工程實(shí)驗(yàn)室, 鄭州 450007)

?

數(shù)字資源的訪問控制機(jī)制及其應(yīng)用

單芳芳1,2， 董躍鈞1,3， 夏冰1,2， 張俊寶1,3， 田繼鵬1,2

(1.中原工學(xué)院, 鄭州 450007; 2.鄭州市計(jì)算機(jī)網(wǎng)絡(luò)安全評估重點(diǎn)實(shí)驗(yàn)室， 鄭州 450007;3.計(jì)算機(jī)信息系統(tǒng)安全評估河南省工程實(shí)驗(yàn)室, 鄭州 450007)

摘要：針對移動互聯(lián)環(huán)境下多種數(shù)字資源融合及其對象化管理的發(fā)展趨勢，從維度、時序和環(huán)境等方面對數(shù)字資源的訪問控制需求進(jìn)行分析，設(shè)計(jì)數(shù)字資源權(quán)限描述方法，提出了數(shù)字資源的訪問控制機(jī)制。該機(jī)制實(shí)現(xiàn)了個性化、細(xì)粒度的數(shù)字資源訪問權(quán)限控制，并通過可控交互機(jī)制支持用戶權(quán)限的動態(tài)調(diào)整，能夠滿足用戶對數(shù)字資源訪問控制和統(tǒng)一有效組織管理的需求。

關(guān)鍵詞：訪問控制；數(shù)字資源；移動通信；權(quán)限描述

移動通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的結(jié)合使互聯(lián)網(wǎng)信息的獲取變得更加便捷。隨著移動終端等智能設(shè)備的多元化，在其功能不斷增強(qiáng)的同時成本不斷下降。隨著3G/4G/5G、WIFI、M2M等各類寬帶移動通信技術(shù)的發(fā)展，越來越多的人選擇移動互聯(lián)方式接入網(wǎng)絡(luò)。這為人們通過移動終端訪問數(shù)字資源奠定了基礎(chǔ)。

數(shù)字資源的授權(quán)和訪問控制通常采用權(quán)利描述語言、數(shù)字版權(quán)管理(Digital Right Management，DRM)或者訪問控制等技術(shù)。常見的權(quán)利描述語言有兩種類型：一類基于邏輯，如License Script語言[1]；另一類基于XML(Extensible Markup Language，可擴(kuò)展標(biāo)記語言)，如XrML[2](Extensible Right Markup Language，可擴(kuò)展權(quán)限標(biāo)記語言)和ODRL(Open Digital Right Language，開放數(shù)字權(quán)限語言)，其中XrML為MPEG REL的基礎(chǔ)文檔。目前針對權(quán)利描述語言的研究多集中于上述語言的擴(kuò)展。Chong C N等人提出的基于邏輯框架的數(shù)字權(quán)限描述語言LucScrpit[1]，提高了權(quán)限描述語言的表達(dá)能力和實(shí)時控制能力。上述語言標(biāo)準(zhǔn)分別從數(shù)字權(quán)限、參與者、條件等方面描述并提出了相關(guān)的語義框架。除了權(quán)利描述語言，研究者提出利用DRM技術(shù)來實(shí)現(xiàn)數(shù)字資源的授權(quán)和訪問控制。該技術(shù)利用數(shù)字許可證實(shí)現(xiàn)對數(shù)字作品的保護(hù)，進(jìn)而對數(shù)字媒體進(jìn)行訪問控制。數(shù)字版權(quán)管理技術(shù)的主要目的是防止數(shù)字作品的非授權(quán)復(fù)制，限制其非法擴(kuò)散，從而有效地保護(hù)版權(quán)人的利益和積極性。目前，國內(nèi)外學(xué)者在DRM技術(shù)研究中，通常借助密碼算法來完成對數(shù)字資源的訪問授權(quán)控制。Petrlic R等人基于CP-ABE加密方案提出了一個無需可信第三方的多方DRM方案[3]。在文獻(xiàn)[4]中，數(shù)字內(nèi)容擁有者將密態(tài)數(shù)字內(nèi)容分發(fā)給用戶，用戶通過購買許可證得到解密密鑰，進(jìn)而獲得數(shù)字內(nèi)容的訪問權(quán)限。文獻(xiàn)[5]和文獻(xiàn)[6]通過對數(shù)字內(nèi)容實(shí)施重加密，實(shí)現(xiàn)了云計(jì)算環(huán)境下的隱私保護(hù)DRM方案。文獻(xiàn)[7]采用的對內(nèi)容加密密鑰重加密的方式大大提高了上述DRM方案的效率。文獻(xiàn)[8]將環(huán)簽名與匿名接收方法結(jié)合起來，同時引入秘密共享機(jī)制，提出了一種軟件不可追蹤執(zhí)行的DRM方案。除了權(quán)利描述語言和DRM技術(shù)，研究者還試圖利用訪問控制技術(shù)解決數(shù)字資源的訪問控制問題。Park J等人提出的UCON(Usage Control，使用控制)模型，在傳統(tǒng)的訪問控制模型中引入了“義務(wù)”“授權(quán)”和“條件”等基礎(chǔ)實(shí)體[9]，為數(shù)字作品管理的對象化、細(xì)粒度和多層次控制需求提供了實(shí)現(xiàn)可能。文獻(xiàn)[10]針對開放環(huán)境中實(shí)體之間的授權(quán)問題進(jìn)行研究，為互聯(lián)網(wǎng)中資源的虛擬化提供支撐。然而，現(xiàn)有的信任管理模型很難保證權(quán)限傳播的良好可控性，對于系統(tǒng)安全性的提高效果甚微。為了實(shí)現(xiàn)細(xì)粒度的訪問控制，文獻(xiàn)[11]將角色分為對象角色和委托角色，雖然可以防止權(quán)限濫用，但可能導(dǎo)致委托限制規(guī)則之間的沖突。文獻(xiàn)[12]提出了一種針對數(shù)字機(jī)頂盒中數(shù)字視頻的訪問控制方案。與已有方案相比，該方案效率更高且更易于實(shí)現(xiàn)。文獻(xiàn)[13]在考慮超媒體文件關(guān)聯(lián)關(guān)系、位置等因素的基礎(chǔ)上，提出了一種超媒體的描述機(jī)制并給出了其相應(yīng)的使用方法。文獻(xiàn)[14]針對多種云計(jì)算環(huán)境提出一種輕量級的安全訪問控制方案，使得基于加密的訪問控制在智能終端的實(shí)施成為可能。文獻(xiàn)[15]針對數(shù)字內(nèi)容提出了一種基于身份的訪問控制方法iDAC，利用CP-ABE加密方案實(shí)現(xiàn)了對復(fù)制到其他服務(wù)器數(shù)字內(nèi)容的持續(xù)保護(hù)。

目前針對數(shù)字資源內(nèi)容授權(quán)及訪問控制的研究并未考慮其使用過程中的權(quán)限個性化定制及可控交互等內(nèi)容?，F(xiàn)有數(shù)字資源版權(quán)管理技術(shù)針對同一份數(shù)字媒體文檔，仍需要解決不同位置、時間、設(shè)備、機(jī)構(gòu)、職位的用戶訪問不同內(nèi)容的應(yīng)用需求問題，必須解決使用者權(quán)限主動個性化定制，實(shí)現(xiàn)聯(lián)動交互的問題。本文針對移動互聯(lián)環(huán)境下數(shù)字資源在維度控制、時序控制以及環(huán)境控制等方面的特點(diǎn)，分析數(shù)字資源的權(quán)限定制需求，設(shè)計(jì)了一種數(shù)字資源的權(quán)限描述方法，并在此基礎(chǔ)上提出支持個性化細(xì)粒度權(quán)限管理的數(shù)字資源訪問控制機(jī)制，以滿足用戶對多維數(shù)字媒體資源訪問控制以及統(tǒng)一有效組織管理的需求。

1數(shù)字資源訪問控制需求

1.1維度控制需求

這里的維度涉及數(shù)字作品涵蓋對象的表現(xiàn)形式、互操作類型等方面。在購買具有多維互操作特點(diǎn)的數(shù)字出版物前，用戶往往希望通過試用來確定購買意向和具體內(nèi)容，而內(nèi)容銷售商則希望在為用戶提供售前試用的同時可隨時收回用戶的試用權(quán)限。例如，某電子書以介紹文物信息為內(nèi)容，具有3D圖形及旋轉(zhuǎn)操作等表現(xiàn)形式，用戶可對三維圖形執(zhí)行旋轉(zhuǎn)操作來觀賞其他視角效果。該電子書將每項(xiàng)文物的2D照片作為該文物的一個視角。2D照片只允許查看，沒有互操作功能。圖1所示，用戶A在購買前提出電子書預(yù)覽請求，銷售商成功驗(yàn)證用戶身份后為用戶提供部分章節(jié)的預(yù)覽功能；用戶A通過預(yù)覽確認(rèn)購買意向，接著向銷售商發(fā)送購買請求并支付費(fèi)用，銷售商將依據(jù)用戶的購買意向和付費(fèi)信息為用戶A提供相應(yīng)的數(shù)字內(nèi)容和數(shù)字許可證。此時，用戶A將擁有其所支付費(fèi)用可獲得的電子書內(nèi)容，同時獲得了相應(yīng)的顯示維度和互操作權(quán)限。因此，完成數(shù)字出版物的權(quán)限管控，需要實(shí)現(xiàn)對媒體維度、動作等細(xì)粒度因素的控制。

1.2時序控制需求

在獲得訪問權(quán)限后，用戶希望能夠?qū)?shù)字出版物內(nèi)容的使用權(quán)限進(jìn)行主動的個性化定制，以實(shí)現(xiàn)對指定最終用戶使用時間和使用權(quán)限的限制。以遠(yuǎn)程教育培訓(xùn)為例，在教學(xué)過程中，管理者通過定制參考答案查閱時間和查閱權(quán)限，對學(xué)生進(jìn)行查看權(quán)限的限定，從而實(shí)現(xiàn)教學(xué)活動中教育者與學(xué)生的聯(lián)動。

圖2所示，管理員通過權(quán)限定制來控制學(xué)生S，學(xué)生S需要在拿到習(xí)題兩小時后才可以對習(xí)題冊的配套答案進(jìn)行查看。

圖2　時序控制需求分析

1.3環(huán)境控制需求

數(shù)字資源出版物的可移動性為用戶使用產(chǎn)品提供了便利，用戶可以在任何時間、任何地點(diǎn)對數(shù)字出版物進(jìn)行查閱和操作，因此出現(xiàn)了針對環(huán)境信息的權(quán)限定制需求。為了以數(shù)字資源出版物形式向?qū)W生提供習(xí)題和試卷，在電子化教學(xué)過程中，管理員可通過定制習(xí)題冊和試卷使用環(huán)境實(shí)現(xiàn)對學(xué)生權(quán)限的管理。例如，管理員完成相關(guān)定制后，學(xué)生S在家中和學(xué)校均可以提出習(xí)題冊使用申請并獲取授權(quán)，而試題需要學(xué)生在指定的考試教室里才能使用和操作(見圖3)。

圖3　環(huán)境控制需求分析

1.4安全需求

多維數(shù)字媒體管理系統(tǒng)通過定義用戶與媒體文檔的主客體環(huán)境、時態(tài)標(biāo)簽，可以實(shí)現(xiàn)基于多要素的訪問控制；同時，在權(quán)限屬性描述中，通過定義安全級別和訪問范疇等實(shí)現(xiàn)對資源多級管理的描述，針對不同安全級別，設(shè)置不同訪問規(guī)則及操作類型，從而實(shí)現(xiàn)對多維數(shù)字媒體的多級安全管理，以進(jìn)一步適用于分布式計(jì)算、云計(jì)算、泛在計(jì)算等復(fù)雜網(wǎng)絡(luò)環(huán)境。針對資源與權(quán)限描述的機(jī)密性問題，可以通過添加加密與簽名標(biāo)簽的描述，采用安全協(xié)議進(jìn)行數(shù)據(jù)傳遞等方式來解決。

2數(shù)字資源權(quán)限描述方法

針對數(shù)字資源使用過程中對象級的3D可控交互、權(quán)限主動個性化定制等應(yīng)用需求，本文提出的一種細(xì)粒度權(quán)限描述方法如圖4所示。

圖4　數(shù)字資源細(xì)粒度權(quán)限的描述方法

該方法包括數(shù)字資源中權(quán)限、權(quán)限屬性(如時態(tài)要求、環(huán)境要求、動態(tài)調(diào)整歷史等)、權(quán)限屬性與權(quán)限的關(guān)聯(lián)關(guān)系等信息的管理及描述。

(1)操作權(quán)限。操作權(quán)限包含了操作類型及其對應(yīng)的操作對象。其中，操作類型包含了顯示、遷移、抽取、3D旋轉(zhuǎn)等；操作對象泛指數(shù)字資源中包含的任何數(shù)據(jù)信息，如圖片、圖形、音頻、視頻等。

(2)操作權(quán)限對應(yīng)的屬性。操作權(quán)限對應(yīng)的屬性包含了時態(tài)要求、環(huán)境要求、動態(tài)調(diào)整歷史、角色、安全級別以及資源類型等依據(jù)用戶需求進(jìn)行個性化定制而添加的權(quán)限屬性。

(3)權(quán)限屬性與權(quán)限之間的關(guān)聯(lián)關(guān)系。權(quán)限屬性與權(quán)限之間的關(guān)聯(lián)關(guān)系表示申請權(quán)限的用戶必須滿足屬性中所描述的權(quán)限屬性要求。用戶通過權(quán)限屬性及其之間關(guān)聯(lián)關(guān)系的描述可實(shí)現(xiàn)針對數(shù)字資源的權(quán)限自主定制。

數(shù)字資源細(xì)粒度授權(quán)可通過圖5所示的授權(quán)描述語法體系來進(jìn)一步描述。其中：allPrincipals用于描述授權(quán)活動參與用戶的信息；permission用于描述該授權(quán)包含的操作權(quán)限，一般包含show、move、extract、3Drotate等操作，每項(xiàng)操作均包括用于授權(quán)判定的權(quán)限屬性描述，權(quán)限屬性的描述中涉及時態(tài)要求、環(huán)境要求、動態(tài)調(diào)整歷史、角色、安全級別等內(nèi)容，用戶依據(jù)自身需求可以對權(quán)限屬性進(jìn)行個性化的添加與修改；digitalWork表示該授權(quán)對應(yīng)的數(shù)字資源。授權(quán)描述標(biāo)簽說明如表1所示。

3數(shù)字資源訪問控制機(jī)制

數(shù)字資源訪問控制的體系結(jié)構(gòu)包含3個組成部分，分別為數(shù)字資源訪問控制系統(tǒng)初始化、訪問控制系統(tǒng)訪問授權(quán)和訪問控制系統(tǒng)可控交互(見圖6 )。

3.1數(shù)字資源訪問控制系統(tǒng)的初始化

數(shù)字資源訪問控制機(jī)制通過初始化流程完成訪問控制系統(tǒng)的初始化工作。

圖5　數(shù)字資源授權(quán)描述語法體系

表1　授權(quán)描述標(biāo)簽說明

(1)數(shù)字資源提供商依據(jù)訪問控制需求，通過權(quán)限屬性初始化函數(shù)對權(quán)限屬性相關(guān)內(nèi)容進(jìn)行賦值。

Step1數(shù)字資源提供商依據(jù)訪問控制需求設(shè)置時態(tài)要求;

Step2數(shù)字資源提供商依據(jù)訪問控制需求設(shè)置環(huán)境要求；

Step3數(shù)字資源提供商依據(jù)訪問控制需求設(shè)置資源類型。

(2)數(shù)字資源提供商依據(jù)訪問控制需求，通過權(quán)限初始化函數(shù)對權(quán)限相關(guān)內(nèi)容進(jìn)行賦值。

Step1數(shù)字資源提供商設(shè)置權(quán)限的資源對象；

Step2數(shù)字資源提供商設(shè)置資源對象所對應(yīng)的操作類型。

(3)數(shù)字資源提供商依據(jù)訪問控制需求，通過權(quán)限屬性-權(quán)限映射表初始化函數(shù)對權(quán)限屬性-權(quán)限映射表進(jìn)行賦值。

圖6　數(shù)字資源訪問控制的體系結(jié)構(gòu)

Step1數(shù)字資源提供商構(gòu)建權(quán)限屬性-權(quán)限映射表；

Step2數(shù)字資源提供商添加權(quán)限屬性-權(quán)限映射表表項(xiàng)。

(4)數(shù)字資源提供商依據(jù)訪問控制需求，通過抽象用戶-權(quán)限屬性映射表初始化函數(shù)對抽象用戶-權(quán)限屬性映射表進(jìn)行賦值。

Step1數(shù)字資源提供商構(gòu)建抽象用戶-權(quán)限屬性映射表；

Step2數(shù)字資源提供商添加抽象用戶-權(quán)限屬性映射表。

3.2數(shù)字資源訪問控制系統(tǒng)的訪問授權(quán)

訪問控制系統(tǒng)根據(jù)初始化的權(quán)限、權(quán)限屬性、權(quán)限屬性-權(quán)限映射表以及抽象用戶-權(quán)限屬性映射表進(jìn)行訪問授權(quán)的實(shí)施。

(1)調(diào)用函數(shù)Certificate_A,驗(yàn)證用戶的身份，若用戶身份合法且其證書驗(yàn)證通過，返回TURE，否則返回FALSE。

(2)調(diào)用函數(shù)Set_UserInfo,設(shè)置抽象用戶在用戶信息中的時態(tài)、環(huán)境等因素。

Step1訪問控制裝置依據(jù)國家授時中心的時間設(shè)置時態(tài)因素；

Step2訪問控制裝置設(shè)置抽象用戶的環(huán)境因素；

Step3訪問控制裝置設(shè)置抽象用戶請求訪問資源的資源類型。

(3)調(diào)用函數(shù)Extract_Request，獲取抽象用戶的訪問請求。

Step1訪問控制裝置獲取抽象用戶的用戶ID；

Step2訪問控制裝置獲取抽象用戶的用戶信息；

Step3訪問控制裝置獲取抽象用戶所請求的操作類型；

Step4訪問控制裝置獲取抽象用戶所請求訪問的資源。

(4)調(diào)用函數(shù)Extract_PriorityAttribute，根據(jù)抽象用戶的用戶信息查詢抽象用戶-權(quán)限屬性表，獲得其對應(yīng)的權(quán)限屬性。

(5)調(diào)用函數(shù)Extract_P，根據(jù)權(quán)限屬性查詢權(quán)限屬性-權(quán)限表，獲得對應(yīng)權(quán)限。

Step1訪問控制裝置根據(jù)權(quán)限屬性，查詢權(quán)限屬性-權(quán)限映射表來獲取相應(yīng)表項(xiàng)；

Step2訪問控制裝置獲取權(quán)限。

(6)調(diào)用函數(shù)Grant_Request，根據(jù)抽象用戶請求及其用戶信息對應(yīng)的權(quán)限決定用戶的訪問請求是否授權(quán)。

3.3數(shù)字資源訪問控制系統(tǒng)的可控交互實(shí)施

Step1調(diào)用函數(shù)Extract_Request，獲取抽象用戶的訪問請求(具體步驟詳見3.2節(jié)的(3))；

Step2調(diào)用函數(shù)Extract_PriorityAttribute，獲取用戶訪問請求中用戶信息所對應(yīng)的權(quán)限屬性；

Step3調(diào)用函數(shù)Extract_P，獲取權(quán)限屬性所對應(yīng)的權(quán)限(具體步驟詳見3.2節(jié)的(5))；

Step4調(diào)用函數(shù)Compare，比較用戶信息所對應(yīng)的權(quán)限和用戶訪問請求中的權(quán)限，如果二者一致則結(jié)束可控交互流程，否則進(jìn)入下一步；

Step5調(diào)用函數(shù)Extract_PriorityAttribute，獲取用戶請求權(quán)限所對應(yīng)的權(quán)限屬性；

Step6調(diào)用函數(shù)Extract_UserMessage，返回用戶所請求權(quán)限對應(yīng)的尚未滿足的用戶信息。

4結(jié)語

本文結(jié)合數(shù)字資源特點(diǎn)提出了數(shù)字資源訪問控制機(jī)制，解決了現(xiàn)有數(shù)字資源訪問控制中缺乏時空因素及權(quán)限動態(tài)縮減機(jī)制的問題，引入了數(shù)字資源權(quán)限描述方法，定義了授權(quán)描述標(biāo)簽,并在此基礎(chǔ)上給出了數(shù)字資源授權(quán)描述語法體系。通過對初始化流程、訪問授權(quán)流程以及可控交互流程的描述，闡明了訪問控制機(jī)制的實(shí)施方案。

參考文獻(xiàn)：

[1]Chong C N, Ricardo C, Sandro E, et al. License Script: A Novel Digital Rights Language and Its Semantics[C]//Proceedings of the 3rd International Conference on Web Delivering of Music. Washington: IEEE, 2003: 122-129.

[2]Halpern J Y, Weissman V. A Formal Foundation for XrML[J]. Journal of the ACM, 2008, 55(1): 4.

[3]Petrlic R, Sorge C. Privacy-preserving Digital Rights Management Based on Attribute-based Encryption[C]//Proceedings of the 6th International Conference on New Technologies, Mobility and Security. Dubai: United Arab Emirates, 2014: 1-5.

[4]Dheerendra M, Sourav M. Privacy Rights Management in Multiparty Multilevel DRM System[C]//Proceedings of the 1st International Conference on Advances in Computing, Communications and Informatics. New York: ACM, 2012: 625-631.

[5]Ronald P, Stephan S, Christoph S. A Privacy-friendly Architecture for Future Cloud Computing[J]. International Journal of Grid and Utility Computing, 2013, 4(4): 265-277.

[6]Ronald P. Proxy Re-encryption In a Privacy-preserving Cloud Computing DRM Scheme[C]//Proceedings of the 4th International Symposium on Cyberspace Safety and Security. Berlin: Springer Berlin Heidelberg, 2012: 194-211.

[7]Ronald P, Stephan S. Unlinkable Content Playbacks In a Multiparty DRM System[C]//Proceedings of the 27th Annual IFIP WG 11.3 Conference on Data and Applications Security and Privacy. Berlin: Springer Berlin Heidelberg, 2013: 289-296.

[8]Nalul J, Ronald P. Towards Practical Privacy-preserving Digital Rights Management for Cloud Computing[C]//Proceedings of the 10th Consumer Communications and Networking Conference. Washington: IEEE, 2013: 265-270.

[9]Park J, Sandhu R. Towards Usage Control Models: Beyond Traditional Access Control[C]//Proceedings of the 7th ACM Symposium on Access Control Models and Technologies. New York: ACM, 2002: 57-64.

[10]翟征德, 馮登國, 徐震. 細(xì)粒度的基于信任度的可控委托授權(quán)模型[J]. 軟件學(xué)報, 2007, 18(8): 2002-2015.

[11]劉偉, 蔡嘉勇, 賀也平. 協(xié)同環(huán)境下基于角色的細(xì)粒度委托限制框架[J].通信學(xué)報, 2008, 29(1): 83-91.

[12]Hu L, Li Y, Li T, et al. The Efficiency Improved Scheme for Secure Access Control of Digital Video Distribution[J]. Multimedia Tools and Applications, 2015: 1-18.

[13]蘇铓, 史國振, 李鳳華,等. 細(xì)粒度超媒體描述模型及其使用機(jī)制[J].通信學(xué)報, 2013, 34(S1): 223-229.

[14]Wang Y C, Li F H, Xiong J B, et al. Achieving Lightweight and Secure Access Control in Multi-authority Cloud[C]//Proceedings of the 14th IEEE International Conference on Trust, Security and Privacy in Computing and Communications. Washington: IEEE, 2015: 459-466.

[15]Huang W B, Su W T. Identity-based Access Control for Digital Content Based on Ciphertext-policy Attribute-based Encryption[C]//Proceedings of the 29th International Conference on Information Networking. Washington: IEEE, 2015: 87-91.

(責(zé)任編輯：王長通)

收稿日期：2016-01-25

基金項(xiàng)目：河南省科技攻關(guān)項(xiàng)目(132102310284)；鄭州市科技人才隊(duì)伍建設(shè)計(jì)劃——科技創(chuàng)新團(tuán)隊(duì)支持項(xiàng)目(131PCXTD600)

作者簡介：單芳芳(1984-)，女，河南鄭州人，講師，碩士，主要研究方向?yàn)樵朴?jì)算及網(wǎng)絡(luò)安全。

文章編號：1671-6906(2016)03-0084-06

中圖分類號：TP309.2

文獻(xiàn)標(biāo)志碼：A

DOI:10.3969/j.issn.1671-6906.2016.03.019

Access Control Mechanism and Its Application for Digital Resource

SHAN Fang-fang1,2, DONG Yue-jun1,3, XIA Bing1,2, ZHANG Jun-bao1,3, TIAN Ji-peng1,2

(1.Zhongyuan University of Technology, Zhengzhou 450007;2.Zhengzhou Key Lab of Computer Network Security Assessment, Zhengzhou 450007;3.Henan Engineering Lab of Computer Information System Security Assessment, Zhengzhou 450007, China)

Abstract:According to the tendency of development for digital resource convergence and management of massive data，an access control mechanism and permission description method for digital resource are proposed, based on the access control requirements analysis of digital resource. The mechanism realizes fine-grained access control and dynamic adjustment on the access permission of digital resource. The mechanism could satisfy the demands of convenient and effective management.

Key words:access control; digital resource; mobile communication; permission description