• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    基于雙層角色和組織的可擴(kuò)展訪問(wèn)控制模型

    2015-12-13 11:46:26熊厚仁陳性元杜學(xué)繪
    電子與信息學(xué)報(bào) 2015年7期
    關(guān)鍵詞:定義用戶模型

    熊厚仁 陳性元 張 斌 杜學(xué)繪

    1 引言

    通過(guò)引入角色的概念,基于角色的訪問(wèn)控制模型(Role-Based Access Control, RBAC)[1]中用戶不是直接與權(quán)限相關(guān)聯(lián),而是將權(quán)限賦予角色,通過(guò)為用戶分配合適的角色從而獲得指定權(quán)限,極大地降低了授權(quán)管理復(fù)雜度,并具有策略中立、強(qiáng)擴(kuò)展性、易于管理等特點(diǎn),更適用于現(xiàn)代信息系統(tǒng)。自提出以來(lái),RBAC得到了廣泛的研究和應(yīng)用,包括RBAC管理模型ARBAC研究[2]、基于時(shí)間和空間的RBAC研究[3,4]、RBAC中的職責(zé)分離約束研究[5]及結(jié)合其它約束研究[6]、基于工作流的 RBAC研究[7]、基于 RBAC的委托研究[8]、RBAC與信任管理結(jié)合的研究[9],跨域訪問(wèn)控制研究[10],角色工程研究[11]及圍繞RBAC展開(kāi)安全性分析研究[12,13]等。以上研究根據(jù)實(shí)際應(yīng)用需要對(duì)經(jīng)典RBAC進(jìn)行改進(jìn)或擴(kuò)展,從而滿足不同應(yīng)用環(huán)境的特定需求。

    現(xiàn)有針對(duì) RBAC模型的應(yīng)用及研究繼承了RBAC的諸多優(yōu)點(diǎn),但仍存在一些適應(yīng)性、安全性及復(fù)雜度等方面的問(wèn)題,具體表現(xiàn)為:

    (1)傳統(tǒng)角色概念不能同時(shí)滿足組織層面和應(yīng)用層面的訪問(wèn)控制需求。RBAC模型中的授權(quán)管理包括用戶授權(quán)(user-role assignment)和角色授權(quán)(role-permission assignment)。在實(shí)際系統(tǒng)中,人員信息和資源信息往往交給不同人員管理,分別由人事部門和信息管理部門負(fù)責(zé)。在較大規(guī)模的組織或企業(yè)中,很難找到既熟知人員的職責(zé)分工,又熟悉應(yīng)用系統(tǒng)業(yè)務(wù)流程的管理人員?,F(xiàn)有研究中,RBAC模型單一的角色設(shè)置不符合現(xiàn)實(shí)世界的真實(shí)情況,其適用性較低。文獻(xiàn)[14]提出將角色劃分為職能角色和任務(wù)角色的思想以解決以上問(wèn)題,但該方案用于具有多個(gè)相似組織的大型分布式系統(tǒng)時(shí)易帶來(lái)角色和權(quán)限數(shù)量過(guò)多等問(wèn)題。

    (2)在由多個(gè)相似組織組成的大型分布式網(wǎng)絡(luò)中,現(xiàn)有研究存在角色、權(quán)限數(shù)量過(guò)大和冗余等不足,易導(dǎo)致權(quán)限分配繁瑣、管理復(fù)雜等問(wèn)題。分布式網(wǎng)絡(luò)呈現(xiàn)多域、動(dòng)態(tài)等特點(diǎn),由多個(gè)具有組織結(jié)構(gòu)特點(diǎn)的域構(gòu)成,且每個(gè)域都采用RBAC模型時(shí),需要為每個(gè)域定義相應(yīng)的角色及權(quán)限,不僅容易造成角色和權(quán)限冗余,也帶來(lái)了較大的管理復(fù)雜度,特別是增加了跨域訪問(wèn)控制的難度和復(fù)雜性。文獻(xiàn)[15]在 RBAC的基礎(chǔ)上引入組織的概念以解決該問(wèn)題,但存在單一角色設(shè)置及私有權(quán)限得不到有效保護(hù)的問(wèn)題。

    (3)現(xiàn)有研究大多將權(quán)限視為一個(gè)整體,主要集中于用戶權(quán)限分配、權(quán)限約束的管理,忽視了資源的重要性,或者未對(duì)面向RBAC的授權(quán)管理中的資源、資源操作及權(quán)限分配的管理進(jìn)行深入具體的描述,或者其資源管理不具有通用性和可擴(kuò)展性。

    針對(duì)以上問(wèn)題,本文對(duì)文獻(xiàn)[14]提出的雙層角色進(jìn)行延伸,在文獻(xiàn)[15]引入的基于組織和角色的訪問(wèn)控制的基礎(chǔ)上,將雙層角色與組織相結(jié)合,提出支持資源管理的基于雙層角色和組織的可擴(kuò)展訪問(wèn)控制模型(Scalable Access Control Model Based on Double-Tier Role and Organization, SDTROBAC),解決現(xiàn)有研究中存在的角色設(shè)置單一使得適應(yīng)性差、存在角色或權(quán)限冗余、資源管理得不到足夠重視等問(wèn)題。

    2 基于角色區(qū)分的雙層角色架構(gòu)

    RBAC中用戶授權(quán)和角色授權(quán)部分的管理由不同管理員完成。若角色與組織架構(gòu)中的職能分工對(duì)應(yīng),用戶授權(quán)工作比較直觀方便,但角色授權(quán)工作就非常復(fù)雜;若角色按照應(yīng)用系統(tǒng)內(nèi)的業(yè)務(wù)劃分制定,則角色授權(quán)工作可以由應(yīng)用系統(tǒng)管理員完成,但用戶授權(quán)則會(huì)變得比較繁瑣。將授權(quán)管理工作按照組織層面和應(yīng)用層面進(jìn)行區(qū)分,可以極大地降低管理負(fù)擔(dān)和復(fù)雜度。通過(guò)將角色概念進(jìn)行拆分,提出基于角色區(qū)分的雙層角色架構(gòu):在組織層面,按照組織架構(gòu)中用戶的職責(zé)分工情況,設(shè)置職能角色;在應(yīng)用層面,按照應(yīng)用系統(tǒng)內(nèi)的業(yè)務(wù)劃分和資源屬性,設(shè)置任務(wù)角色,如圖1所示。

    圖1 基于職能角色和任務(wù)角色的雙層角色架構(gòu)

    與RBAC中的角色層次類似,兩種角色均具有角色層次結(jié)構(gòu)及與之對(duì)應(yīng)的角色樹。其中任務(wù)角色直接與權(quán)限相關(guān)聯(lián),是權(quán)限的集合,其層次結(jié)構(gòu)能夠體現(xiàn)權(quán)限的繼承關(guān)系;職能角色樹中上下級(jí)節(jié)點(diǎn)之間是部門間的層次關(guān)系和崗位對(duì)部門的隸屬關(guān)系,沒(méi)有權(quán)限繼承關(guān)系。

    3 基于雙層角色和組織的可擴(kuò)展訪問(wèn)控制模型SDTR-OBAC

    3.1 模型主要思想

    通過(guò)引入組織的概念,將雙層角色和組織相結(jié)合,并對(duì)權(quán)限概念加以擴(kuò)展,改進(jìn)經(jīng)典RBAC模型,提出支持資源管理的基于雙層角色和組織的可擴(kuò)展訪問(wèn)控制模型SDTR-OBAC,如圖2所示。

    SDTR-OBAC模型的主要思想是:將傳統(tǒng)的角色概念劃分為職能角色和任務(wù)角色,解決傳統(tǒng)角色概念不能同時(shí)滿足組織層面和應(yīng)用層面需求及適應(yīng)性差的問(wèn)題;引入組織的概念,代表進(jìn)行協(xié)作的各個(gè)域,并將分配給用戶的角色擴(kuò)展為組織-職能角色二元組,將與權(quán)限關(guān)聯(lián)的角色擴(kuò)展為組織-任務(wù)角色二元組,通過(guò)組織-職能角色和組織-任務(wù)角色間的映射關(guān)系建立用戶與權(quán)限之間的關(guān)聯(lián),解決由大量相似組織或域構(gòu)成的分布式環(huán)境下角色、權(quán)限過(guò)多或冗余問(wèn)題;經(jīng)典RBAC模型中由操作和資源構(gòu)成的權(quán)限擴(kuò)展為由操作和資源類型構(gòu)成的二元組,提高角色授權(quán)管理效率;對(duì)職能角色、任務(wù)角色分別定義不同的繼承關(guān)系,解決下層角色的敏感權(quán)限得不到有效保護(hù)的問(wèn)題;分析描述了針對(duì)資源、操作和權(quán)限等的管理,解決現(xiàn)有研究缺乏面向授權(quán)管理的資源管理的問(wèn)題;引入職責(zé)分離約束、勢(shì)約束等授權(quán)管理安全約束,對(duì)權(quán)限繼承、用戶角色分配、角色權(quán)限分配和角色映射關(guān)系等問(wèn)題進(jìn)行限制,提高授權(quán)管理的安全性。

    圖2 基于雙層角色和組織的可擴(kuò)展訪問(wèn)控制模型SDTR-OBAC

    3.2 形式化描述

    本文采用集合論和一階邏輯分別對(duì)模型的元素、關(guān)系、函數(shù)和約束進(jìn)行形式化定義。

    3.2.1 模型元素與關(guān)系

    定義1 模型元素

    (1)U, S, Op, Res:與經(jīng)典RBAC定義相同,分別表示用戶、會(huì)話、操作和資源的集合。

    (2)O:組織集合,代表構(gòu)成分布式系統(tǒng)的各個(gè)域;R:角色集合,包含職能角色FR和任務(wù)角色TR,即R = F R ∪ T R ; ResT:資源類型集合。

    (3)OFR, OTR:分別表示組織-職能角色集合和組織-任務(wù)角色集合,ofr∈OFR和otr∈OTR是由組織分別與職能角色和任務(wù)角色構(gòu)成的二元組,即ofr=(o,fr),otr=(o,tr),其中fr∈FR, tr∈TR。

    (4)P:權(quán)限,對(duì)經(jīng)典RBAC中權(quán)限的概念進(jìn)行擴(kuò)展,權(quán)限 p ∈ P 是由操作和資源類型構(gòu)成的二元組,即 p =(op,rt),其中op∈Op, rt∈ResT。

    (5)C:約束,對(duì)用戶與組織-職能角色分配、組織-職能角色與組織-任務(wù)角色映射、組織-任務(wù)角色的權(quán)限分配、組織層次關(guān)系、角色層次關(guān)系等進(jìn)行限制,主要包括職責(zé)分離約束SoD,勢(shì)約束Cardinality等。

    定義2 模型關(guān)系

    (1)UOFR ? U × O × F R :多對(duì)多的用戶與組織-職能角色分配關(guān)系,類似于經(jīng)典RBAC中的UA;US?U×S:用戶與會(huì)話關(guān)系,用戶可激活多個(gè)會(huì)話,但一個(gè)會(huì)話只能屬于一個(gè)用戶;SOFR?S×O×F R:會(huì)話與組織-職能角色對(duì)之間的多對(duì)多映射關(guān)系;OTRP ? O × T R× P :組織-任務(wù)角色與權(quán)限映射關(guān)系,類似于經(jīng)典RBAC中的PA。

    (2)OFR ? O× F R,OTR?O×TR,ORes?O×R es:分別表示多對(duì)多的組織與職能角色、組織與任務(wù)角色、組織與資源之間的關(guān)聯(lián)關(guān)系。

    (3)FRTR ? FR× T R,OFROTR? OFR× O TR:分別表示多對(duì)多的職能角色與任務(wù)角色映射關(guān)系和多對(duì)多的組織-職能角色與組織-任務(wù)角色映射關(guān)系。OFROTR主要由組織之間的信任關(guān)系和FRTR決定,若兩個(gè)組織 o1,o2間的信任關(guān)系表示為 o1?o2,則 OFROTR={ ((o1,fr), (o2,tr))|(o1,fr)∈ O FR ∧(o2,tr)∈ O TR ∧ o1?o2∧(fr, tr)∈FRTR }。

    (4)OpResT ? Op× R esT , PResT? P × R esT,POp?P× O p, ResTRes? R esT× R es:分別表示操作與資源類型關(guān)聯(lián)關(guān)系、權(quán)限和資源類型的關(guān)聯(lián)關(guān)系、權(quán)限和操作的關(guān)聯(lián)關(guān)系和資源與資源類型的隸屬關(guān)系。

    (5)OH?O×O:組織層次關(guān)系,指組織之間的上下級(jí)隸屬關(guān)系和管理關(guān)系,具有自反性、反對(duì)稱性和可傳遞性,是偏序關(guān)系,兩個(gè)組織 o1∈ O ,o2∈ O 間的層次關(guān)系定義為 ( o1, o2)∈ O H ,表示o1≤o2。

    (6)RH?R×R:角色層次關(guān)系,與經(jīng)典RBAC相同,包含職能角色層次關(guān)系FRH ? F R × F R和任務(wù)角色層次關(guān)系TRH ? T R × T R,即RH = FRH∪ T RH。與組織層次關(guān)系OH類似,角色層次關(guān)系RH也具有自反性、反對(duì)稱性和傳遞性,是偏序關(guān)系。為了保護(hù)下層角色的敏感權(quán)限,兩類角色采取不同的繼承策略,即職能角色層次中不存在權(quán)限繼承和用戶繼承關(guān)系,上下級(jí)角色間只存在管理關(guān)系,即 ( fr1, fr2)∈FRH表示為fr1≤fr2;而任務(wù)角色層次中存在權(quán)限繼承但不存在職能角色繼承,即(tr1, tr2)∈TRH表示為tr1≤tr2。

    (7)OFRH ? O FR× O FR:組織-職能角色層次關(guān)系,依賴于組織層次關(guān)系和職能角色層次關(guān)系,是偏序關(guān)系,即 (o fr1, ofr2)∈ O FRH或 o fr1≤ofr2當(dāng)且僅當(dāng) o1≤o2∧fr1≤fr2,其中ofr1=(o1, fr1), ofr2=(o2, fr2) 。

    (8)OTRH ? O TR× O TR:組織-任務(wù)角色層次關(guān)系,依賴于組織層次關(guān)系和任務(wù)角色層次關(guān)系,是偏序關(guān)系,即 (o tr1, otr2)∈ O TRH或 o tr1≤otr2當(dāng)且 僅 當(dāng) o1≤o2∧tr1≤tr2, 其 中otr1=(o1,tr1),ofr2= ( o2, tr2) 。

    (9)ResH ? R es× R es:資源層次關(guān)系,主要指資源間的包含關(guān)系,是偏序關(guān)系, (r e1, re2)∈ResH表示 r e1≤re2;ResTH? R esT× R esT:資源類型層次關(guān)系,是資源類型間的包含關(guān)系,是偏序關(guān)系,(rt1, rt2)∈ R esTH 表示 r t1≤rt2; OpH?Op×Op:操作層次關(guān)系,主要指操作間的蘊(yùn)含關(guān)系,如讀寫操作蘊(yùn)含只讀操作,是偏序關(guān)系, (o p1, op2)∈OpH表示 o p1≤op2。

    (10)PH?P×P:權(quán)限層次關(guān)系,由操作蘊(yùn)含關(guān)系和資源類型包含關(guān)系決定,是偏序關(guān)系,即(p1, p2)∈ P H 或p1≤p2當(dāng)且僅 當(dāng)op1≤op2∧rt1≤ r t2,其中 p1= ( op1,rt1), p2= ( op2,rt2)。

    其中,“≤”和“≤”的區(qū)別為前者不存在權(quán)限繼承和用戶繼承關(guān)系,而后者存在權(quán)限繼承關(guān)系。

    3.2.2 模型函數(shù)

    定義 3 模型函數(shù) 模型包含與以上關(guān)系對(duì)應(yīng)的相關(guān)函數(shù),限于篇幅,主要給出以下關(guān)鍵函數(shù)。

    (1)user: S→U:會(huì)話到用戶的映射,通過(guò)該函數(shù)查找與會(huì)話s關(guān)聯(lián)的用戶u。

    (2)re s types: Res→2ResT:資源到其所屬資源類型集合的映射,某具體資源可屬于多種資源類型。

    (3)re s orgs: Res→2O:資源到其所隸屬的組織集合的映射,資源可隸屬于多個(gè)組織。

    (4)assigned_orgs-trole: OFR→2OTR:組織-職能角色到組織-任務(wù)角色集合的映射,可為某組織-職能角色對(duì)映射多個(gè)組織-任務(wù)角色對(duì)。

    (5)a ss igned_orgs-frole:U→2OFR:用戶到為其分配的組織-職能角色集合的映射,形式化表示為

    (6)a ss igned_users: OFR→2U:組織-職能角色到用戶集合的映射,形式化表示為:assigned_users(o,fr))= {u |(u,( o, fr))∈ U OFR}。

    (7)a ct ive_orgs-frole: S→2OFR:會(huì)話到其可用的組織-職能角色集合的映射,形式化表示為:active_orgs-role(s)? assigned_orgs-frole(user(s))。

    (8)a ss igned_privilege: OTR→2P:組織-任務(wù)角色到權(quán)限集合的映射,包含直接分配的權(quán)限和繼承而來(lái)的權(quán)限,形式化描述為:assigned_privilege(o, tr)={p ∈ P |?t r' ≤ tr ∧ ?o' ≤ o ∧ ((o', t r' ),p)∈ O TRP}。

    (9)can_access(U,S,Op,Res):用于判斷某用戶是否可通過(guò)激活會(huì)話對(duì)資源執(zhí)行特定的操作。can_access(u, s, op,re)= t rue表示用戶u可通過(guò)激活會(huì)話s對(duì)資源re執(zhí)行op操作。can_access(u,s,op,re)=true成立當(dāng)且僅當(dāng)下式成立:u=user(s) ∧ ( o, fr)∈ a ctive_orgs-frole(s) ∧ (? o ' ≤ o , o'∈resorgs(re))∧ (?( o ' ', t r)≤ assigned_orgs-trole(o',fr) ∧(?op', o p ≤op ') ∧ (? r t,restype(re)≤ rt)∧ ( op',rt) ∈assigned_privilege(o'',tr)) 。

    3.2.3 安全約束

    定義 4 模型約束 約束是模型中用于限制UOFR,OFROTR, OTRP和RH等關(guān)系的重要內(nèi)容,本文主要給出UOFR和OFROTR的約束,其他如OTRP,RH等的約束可類似定義,主要考慮職責(zé)分離約束SoD和勢(shì)約束Cardinality。

    為了職責(zé)分離約束和勢(shì)約束進(jìn)行定義,引入通配符“?”和“*”表示組織O中任意一個(gè)組織o和O中不同的兩個(gè)或多個(gè)組織,則可對(duì)職責(zé)分離約束和勢(shì)約束進(jìn)行如下形式化定義。

    職責(zé)分離約束SoD:S o D? ( 2RO+× N)。其中,RO+?R×O+; O+=O∪{?,*},N是一個(gè)自然數(shù)集且滿足 ?(ro,n)∈ SoD, |ro|≥n≥2, n∈N。

    職責(zé)分離約束(ro,n)∈ S oD表示不能將n個(gè)或更多存在互斥關(guān)系的組織-角色對(duì)ro指派給某用戶。

    通配符“?”和“*”的區(qū)別是:“?”指組織 O中的相同組織,而“*”則指組織 O中的任意不同取值。當(dāng)只有一種取值時(shí),“?”和“*”具有相同的含義。

    勢(shì)約束Cardinality:cardinality:RO+→ N ,其中RO+?R× O+, O+=O∪ { ?, *},N是一個(gè)自然數(shù) 集 合 , ?( r, o ) ∈ R O+,|assigned_users((r, o ))|≤cardinality((r, o))。

    勢(shì)約束 n =cardinality((r, o )) 表示能被指派組織o中角色r的用戶數(shù)量是 n =cardinality((r, o))。

    當(dāng)(o, r)∈ OTR時(shí),assigned_users((r, o))指經(jīng)組織-職能角色映射獲得組織-任務(wù)角色的用戶。通配符“?”和“*”與職責(zé)分離約束SoD中定義相同。因?yàn)閯?shì)約束中只有一種取值,因此在勢(shì)約束中,“?”和“*”沒(méi)有區(qū)別。例如,cardinality((r, ?))= 1 0與cardinality((r, *))= 1 0的含義是相同的,表示能夠獲得任意組織o中角色r的最大用戶數(shù)量是10。

    3.2.4 授權(quán)管理操作

    定義5 授權(quán)管理操作 模型包含3類32種授權(quán)管理操作,分別為添加、刪除用戶,添加、刪除職能角色,添加、刪除任務(wù)角色,添加、刪除組織,添加、刪除操作,添加、刪除資源類型,添加、刪除資源,創(chuàng)建、刪除靜態(tài)互斥組織-職能角色集,創(chuàng)建動(dòng)態(tài)互斥組織-職能角色集,創(chuàng)建靜態(tài)互斥組織-任務(wù)角色集,創(chuàng)建動(dòng)態(tài)互斥組織-任務(wù)角色集,添加、刪除約束等24種系統(tǒng)要素管理操作;為用戶分配、撤銷組織-職能角色,創(chuàng)建、撤銷組織-職能角色與組織-任務(wù)角色的映射關(guān)系,為組織-任務(wù)角色分配、撤銷權(quán)限等6種權(quán)限授予與撤銷操作;創(chuàng)建、結(jié)束會(huì)話2種用戶訪問(wèn)行為管理操作。

    限于篇幅,本文不對(duì)授權(quán)管理操作展開(kāi)詳細(xì)描述。

    4 模型分析

    本節(jié)主要對(duì) SDTR-OBAC模型的表達(dá)能力和復(fù)雜度進(jìn)行分析。

    4.1 表達(dá)能力分析

    表達(dá)能力是評(píng)價(jià)訪問(wèn)控制模型優(yōu)劣的一個(gè)重要指標(biāo),通過(guò)采用構(gòu)造模型系統(tǒng)的方法及以下定理分析模型的表達(dá)能力,證明模型具有與經(jīng)典RBAC相同的表達(dá)能力。

    引理1 任何基于經(jīng)典RBAC的系統(tǒng)均可采用基于SDTR-OBAC的系統(tǒng)實(shí)現(xiàn)。

    證明 給定任一經(jīng)典RBAC (U,S,R,RH,Op,=Res,P,UA,PA,user),構(gòu)造一個(gè)SDTR - O BAC =(U',S', R ', R H',FR,FRH,TR,TRH,O,OH,OFR,OFRH,OTR,OTRH,OFROTF,Op',OpH,ResT,ResTH,Res',ResH,P',PH,UOFR,OTRP,user',restypes,resorgs),其中:

    (1)U',S',R',RH',Op',Res'和user'與 RBAC中的U,S,R,RH,Op,Res和user相同。

    (2)對(duì)于組織 O ,定義O = { o| o =resorgs(rsi),i = 1 ,2,… , n },即RBAC中的所有資源屬于同一個(gè)組織。

    (3)對(duì)于FR和TR,定義R = F R = T R且RH=FRH = T RH,與 RBAC相同;對(duì)于OFR,OTR,定義OFR = O TR = O R = { (o, r) |o ∈ O ,r∈R};對(duì)于 ?( o, r )∈ O R,定義((o, r) ,(o, r) )∈ O RH且ORH = OFRH=OTRH;對(duì)于OFROTF及 ?(o, r)∈ O R ,由于OFR = O TR = O R,定義((o, r ) ,(o, r ))∈OFROTF。

    (4)對(duì)于資源類型ResT,定義ResT = {rti|rti=restypes(rei),i = 1 ,2,… , n };對(duì)于 ?rei∈ R es 和?r ti∈ R esT ,分別定義 (rei, rei)∈ R esH和 (rti, rti)∈ R esTH 。

    (5)對(duì) 于 ? o pi∈ O p, 定 義 (opi, opi)∈ O pH ;P' ? O p× R esT,對(duì)于 RBAC 中的任一(op,rei)∈ P ,定義(op,rti)∈ P',其中rti=restypes(rei);對(duì)于 ?( op,rti) ∈ P ',定義 ((op,rti),(op,rti) )∈ P H 。

    (6)UOFR?U'×OFR,對(duì)于RBAC中的?(u,r)∈ U A, 定 義 (u,( o, r))∈ UOFR;OTRP?OTR×P ',對(duì)于RBAC中的 ?(r, p) = ( r ,(op,rei))∈ PA,定義((o, r ) ,(op,rti))∈ O TRP。

    由此可見(jiàn),基于經(jīng)典RBAC的系統(tǒng)可通過(guò)構(gòu)造基于SDTR-OABC的系統(tǒng)實(shí)現(xiàn)。 證畢

    引理2 基于SDTR-OBAC的系統(tǒng)可通過(guò)基于經(jīng)典RBAC的系統(tǒng)實(shí)現(xiàn)。

    證明 對(duì)于任一SDTR - O BAC = (U,S,R,RH,FR,FRH,TR,TRH,O,OH,OFR,OFRH,OTR,OTRH,OFROTF,Op,OpH,ResT,ResTH,Res,ResH, P, PH,UOFR,OTRP,user,restypes,resorgs), 構(gòu) 造 經(jīng) 典RBAC = (U',S', R ', R H', O p', R es', P ', U A', P A', u ser'),其中:

    (1)U',S',Op',Res'和user'與 SDTR-OBAC 中的U,S,Op,Res和user相同。

    (2)對(duì)于 SDTR-OBAC 中的 ? oi∈O, ? oj∈O ,? f rk∈F R,? t rl∈T R和 ? ((oi, frk) ,(oj, trl))∈OFROTF,定義角色rik∈R',即SDTR-OBAC模型中的每個(gè)組織-角色對(duì)映射關(guān)系根據(jù)組織-職能角色對(duì)(oi, frk)定義成RBAC模型中單獨(dú)的角色。

    (3)對(duì)于OH?O×O,RH?R×R和OFRH?OFR×OFR, 定 義RH' = {(rik,rjl)|(rk, rl)∈ R H ∧(oi, oj)∈ O H∧((oi, frk) ,(oj, frl))∈ O FRH}。

    (4)對(duì)于 P ? O p× R esT 及 ? ( opi, rtj)∈ P ,定義P' = P ' ∪ { (opi, rej) |restypes(rej) = r tj}。

    (5)對(duì) 于 UOFR ? U × O FR 及 ?(u,( oi, frk)) ∈UOFR, ? ((oi, frk) ,(oj, trl))∈ OFROTF,定義 (u, rik)∈ U A。

    (6)對(duì) 于 OTRP ? O TR× P 及 ? ((oj, trl) ,(opm,rtn))∈ O TRP ,? ((oi, frk) ,(oj, trl))∈ OFROTF ,定義PA' = P A' ∪ { (rik,(opm, ren) |restypes(ren) =rtn)}。

    可見(jiàn),基于經(jīng)典SDTR-OBAC的系統(tǒng)可通過(guò)構(gòu)造基于RBAC的系統(tǒng)實(shí)現(xiàn)。 證畢

    定理1 SDTR-OBAC模型具有與RBAC相同的表達(dá)能力。

    證明 引理1說(shuō)明SDTR-OBAC模型的表達(dá)能力比RBAC強(qiáng);引理2說(shuō)明RBAC的表達(dá)能力比SDTR-OBAC強(qiáng)。因此,根據(jù)引理1和引理2可知,SDTR-OBAC模型與 RBAC模型具有相同的表達(dá)能力。 證畢

    4.2 復(fù)雜度分析

    RBAC通過(guò)在用戶和權(quán)限之間引入角色極大地降低了授權(quán)管理的負(fù)擔(dān)和操作復(fù)雜度,但在由多個(gè)組織或域構(gòu)成的大型分布式網(wǎng)絡(luò)環(huán)境下,其優(yōu)勢(shì)就不再明顯。SDTR-OBAC通過(guò)引入組織的概念并將其與角色相結(jié)合,可在RBAC的基礎(chǔ)上進(jìn)一步降低復(fù)雜度,特別適合用于具有多個(gè)相似組織或域的分布式環(huán)境。

    在分析SDTR-OBAC模型的操作復(fù)雜度之前,先定義以下同構(gòu)度的概念。

    定義 6 同構(gòu)度 給定一個(gè) SDTR-OBAC 模型,定義以下概念。

    (1)對(duì)于 oi,oj∈ O ,r ∈ R ,R = F R ∪ T R ,當(dāng)且僅當(dāng) (oi, r) ∈ O R ∧ ( oj, r )∈ O R時(shí),oi與 oj對(duì)于r是同構(gòu)的,記為: oi≡roj;對(duì)于oi,oj∈O ,Rc?R,R = FR∪TR,當(dāng)且僅當(dāng) ?r∈Rc,(oi, r)∈OR∧( oj, r )∈ O R時(shí), oi與 oj對(duì)于集合Rc是同構(gòu)的,即對(duì)于任意 r ∈ R c,oi與 oj是同構(gòu)的,記為:oi≡Rcoj。

    (2)c o mpatible_O*:2Rc→2O該函數(shù)將某個(gè)角色集Rc映射到對(duì)于該角色集同構(gòu)的所有組織的集合,形式化表示為:對(duì)于Rc?R,R= F R∪TR且 Rc≠ ? ,compatible_O*(Rc)={o | ? r ∈Rc,(o, r )∈OR},特別地,定義compatible_O*(?)=?;若 1<|compatible_O*(Rc)|< | O|, 則 稱SDTROBAC模型對(duì)于Rc是部分同構(gòu)的,記為Rc-部分同構(gòu);若compatible_O*(Rc)= O ,則稱SDTR-OBAC模型對(duì)于Rc是完全同構(gòu)的,記為Rc-完全同構(gòu);若|compatible_O*(Rc)|= 1 ,則稱 SDTR-OBAC 模型對(duì)于Rc是異構(gòu)的,記為Rc-異構(gòu)。

    (3)同構(gòu)度 h index: 2Rc→[0,1]將角色集映射到區(qū)間[0,1]中某個(gè)實(shí)數(shù)的函數(shù),形式化表示為:hindex(Rc)= |compatible_O*(Rc)|/|O|。

    同構(gòu)度函數(shù)hindex(Rc)用于衡量SDTR-OBAC模型系統(tǒng)中多個(gè)組織對(duì)于某特定角色集的同構(gòu)程度,即該角色集在這些組織中的相似程度。若SDTR-OBAC模型是Rc-完全同構(gòu)的,則hindex(Rc)= 1;若 SDTR-OBAC 模型是Rc-異構(gòu)的,則hindex(Rc)= 1 /|O|;若SDTR-OBAC模型是Rc-部分同構(gòu)的,則1/|O|< hindex(Rc)< 1 。

    根據(jù)以上同構(gòu)度的定義,可得出hindex(R)的以下兩個(gè)性質(zhì)。

    定理 2 對(duì)于角色集R中任意兩個(gè)非空子集Rc1, R c2,若 R c1?Rc2,則hindex(Rc1)≥ hindex(Rc2)。

    證明 給定條件 R c1≠?, R c1?Rc2, ?r∈Rc1?r∈Rc2。

    對(duì) 于 ?o ∈ c ompatible_O*(Rc2) ? ?r∈ R c2,(o, r) ∈ O R ? ?r ∈ R c1,(o, r) ∈ O R ? o ∈compatible_O*(Rc1)。即 c ompatible_O*(Rc2)中的任一組織o也 是 c ompatible_O*(Rc1)中 的 元 素 , 因 此|compatible_O*(Rc2)|≤ | compatible_O*(Rc1)|,從 而 hindex(Rc1)= |compatible_O*(Rc1)|/|O|≥|compatible_O*(Rc2)|/|O|=index(Rc2)。 證畢

    定理3 若SDTR-OBAC模型是Rc-完全同構(gòu)的,則對(duì)于Rc中的所有非空子集,SDTR-OBAC模型也是完全同構(gòu)的。

    證明 根據(jù)同構(gòu)度的定義,模型是Rc-完全同構(gòu)的,則compatible_O*(Rc)= O ,從而hindex(Rc)=|compatible_O*(Rc)|/|O|= 1 。

    從 定 理 2可 知 , ? R c' ? R c ∧ R c'≠ ? , 則hindex(Rc' )≥ h index(Rc)= 1 成 立 , 根 據(jù) 定 義 ,hindex(Rc')≤ 1 。

    從而可得hindex(Rc')= 1 ,則compatible_O*(Rc')= O ,即模型是Rc-完全同構(gòu)的。 證畢

    基于以上定義,將SDTR-OBAC與經(jīng)典RBAC進(jìn)行對(duì)比分析。SDTR-OBAC與RBAC中角色數(shù)量的關(guān)系可描述為 | Rc|RBAC=O |×[1 + (|Rc|SDTR-OBAC- 1 )× h index(Rc)],則對(duì)于完全同構(gòu)的系統(tǒng),由于hindex(R)= 1 , 從 而 |R|RBAC= | O|×[1+(|R|SDTR-OBAC-1 )× 1 ]=| O|× | R|SDTR-OBAC,即經(jīng)典RBAC中所需的角色數(shù)量是完全同構(gòu)的 SDTROBAC模型中角色數(shù)量的|O|倍;對(duì)于異構(gòu)系統(tǒng),由于 hindex(R)= 1 /|O|,|O|= 1 ,從而 | R|RBAC=|O|×[ 1 + ( |R|SDTR-OBAC- 1 )× 1 ]= | R|SDTR-OBAC,即異構(gòu)系統(tǒng)中RBAC和SDTR-OBAC所需角色數(shù)量相同。

    因此,應(yīng)用于同構(gòu)系統(tǒng)中,與RBAC相比,在保持其靈活、易于管理等優(yōu)點(diǎn)的同時(shí),SDTR-OBAC模型所需角色數(shù)量將明顯減少,特別是在由多個(gè)具有相似業(yè)務(wù)功能的組織構(gòu)成的大型分布式系統(tǒng)中,SDTR-OBAC模型的優(yōu)勢(shì)是顯而易見(jiàn)的。但當(dāng)系統(tǒng)中所有組織均沒(méi)有相似的業(yè)務(wù)功能時(shí),由于引入了組織的概念且角色被劃分成職能角色和任務(wù)角色,使用SDTR-OBAC將增加額外的管理負(fù)擔(dān)。

    5 實(shí)例分析

    下面通過(guò)實(shí)例說(shuō)明本文模型的合理性和有效性。假設(shè)有一公司com,其包含 3個(gè)子公司 c om1,com2, c om3; 6類職能角色:總經(jīng)理 fr1,業(yè)務(wù)經(jīng)理fr2,主管 fr3,會(huì)計(jì) fr4,出納 fr5及其他普通職員 fr6;4個(gè)任務(wù)角色:系統(tǒng)管理員 t r1,普通管理員 t r2,高級(jí)用戶 t r3,普通用戶 t r4;公司向所有人員提供了一個(gè)公司業(yè)務(wù)處理系統(tǒng),包含3種類型資源:數(shù)據(jù)庫(kù)類資源DB, Web服務(wù)類資源WS,網(wǎng)站類資源WB,相應(yīng)類型的資源分別包括 d b11, d b12, d b13, w s21,ws22, w s23, w b31, w b32, w b33, w b34; 5類操作:更新u,下載d,瀏覽b,查詢q,調(diào)用i。討論該公司用戶li, wang, liu, zhang, zhao進(jìn)行授權(quán)和訪問(wèn)控制的過(guò)程。

    該實(shí)例中,部分關(guān)鍵的元素,關(guān)系和函數(shù)定義

    如下:資源 R es={db11, db12, db13, ws21, ws22, ws23, wb31,wb32,wb33,wb34};權(quán)限 P ={ p1, p2, p3, p4, p5, p6, p7, p8,p9,p10} ={(u, D B),(u, WS),(u, W B),(d , WB),(b,WS),(b, W B),(q, DB),(q, WS),(q, WB),(i, W S)};用戶-角色關(guān) 系 UOFR={(li,com,fr1),(wang,com,fr2) ,(liu,com1,fr3),(zhang,com3, fr6),(zhao, c om2,fr5)};角色-權(quán)限關(guān)系OTRP={(com1, tr1, p1) ,(com3, tr1, p3) ,(com2, tr1, p2),(com1, tr2, p7) ,(com3, t r2, p8) ,(com2, tr2, p9) ,(com2, tr3,

    p4),(com3, tr3, p5) ,(com3, tr3, p10) ,(com2, tr4, p6)};職能角色-任務(wù)角色關(guān)系: F RTR={(fr1, tr1) ,(fr2, tr2) ,(fr3,tr3) ,(fr4, tr4) ,(fr5, tr4) ,(fr6, tr4); 組 織 層 次 關(guān) 系 OH={(com,com1),(com,com2),(com,com3)};職能角色層次 關(guān) 系 FRH={(fr1,fr2) ,(fr2,fr3) ,(fr3,fr4) ,(fr3,fr5) ,(fr3,fr6)};任務(wù)角色層次關(guān)系 T RH={(tr1, tr2) ,(tr2, tr3),(tr3, tr4)} ;資源層次關(guān)系 R esH={(db11, db12) (db12,db13) ,(ws21, ws22) ,(ws22, ws23) ,(wb31, wb32) ,(wb32, wb33),(wb33, wb34)};權(quán)限層次關(guān)系 P H = {(p1, p7) ,(p2, p8),(p8, p10) ,(p10, p5) ,(p3, p4) ,(p4, p9) ,(p9, p6)};資源類型與 組 織 關(guān) 系 r esorgs(DB)={com1},resorgs(WS)={com3}, resorgs(WB)={com2} ; 職 責(zé) 分 離 約 束SoD = {({(fr4, *),(fr5,*)},2)};勢(shì)約束:cardinality((fr1,*))= 1 ,c ardinality(tr1,*))= 1 。

    該 5個(gè)用戶分別提出以下訪問(wèn)請(qǐng)求: q1=can_access(li,s1, u, db13),q2=can_access(wang,s2, d,wb33),q3= can_access(liu,s3, i, w s23),q4=can_access(zhang,s4, i, w s21) , q5=can_access(zhao,s5, b,wb32) ,對(duì)這些訪問(wèn)請(qǐng)求進(jìn)行判決。根據(jù)模型定義可分析得出 q1= t rue,q2= t rue , q3= f alse , q4= f alse,q5= t rue,即li, wang, zhao的訪問(wèn)合法,允許訪問(wèn);liu和zhang的請(qǐng)求非法,拒絕訪問(wèn)。

    以上實(shí)例可以看出,本文提出的SDTR-OBAC模型是合理的,可行的,可有效應(yīng)用于多個(gè)組織中用戶請(qǐng)求訪問(wèn)特定資源的授權(quán)管理和訪問(wèn)控制。以上實(shí)例涉及4個(gè)具有相似業(yè)務(wù)需求的組織,每個(gè)組織包含6個(gè)職能角色,4個(gè)任務(wù)角色和3類資源。為滿足訪問(wèn)控制需求,應(yīng)用本文所提模型時(shí),以上實(shí)例僅需10個(gè)角色,10個(gè)權(quán)限即可實(shí)現(xiàn)。然而,若采用經(jīng)典RBAC,所需的角色數(shù)為24,權(quán)限總數(shù)為34??梢?jiàn),經(jīng)典RBAC所需的角色數(shù)和權(quán)限數(shù)比SDTR-OBAC模型多。

    6 結(jié)束語(yǔ)

    授權(quán)與訪問(wèn)控制是繼身份認(rèn)證后興起的又一重要信息安全技術(shù)。RBAC以其靈活、便于管理和策略中立等優(yōu)點(diǎn)成為解決授權(quán)與訪問(wèn)控制問(wèn)題的研究熱點(diǎn)并取得了很多研究成果,但仍存在傳統(tǒng)角色設(shè)置單一使得適應(yīng)性較差、下級(jí)角色的私有權(quán)限難以得到有效保護(hù)、易帶來(lái)角色或權(quán)限冗余及對(duì)資源管理關(guān)注不夠等問(wèn)題。針對(duì)這些問(wèn)題,本文提出支持資源管理的基于雙層角色和組織的訪問(wèn)控制模型并進(jìn)行形式化定義。將傳統(tǒng)角色劃分為職能角色和任務(wù)角色,提出基于角色區(qū)分的雙層角色架構(gòu),提高模型的適應(yīng)性,并對(duì)兩種角色分別定義不同的繼承策略,解決下級(jí)角色的私有權(quán)限難以得到有效保護(hù)問(wèn)題;引入具有域思想的組織的概念并與雙層角色相結(jié)合,解決由大型分布式系統(tǒng)中易存在的角色、權(quán)限冗余問(wèn)題;對(duì)資源、資源操作和權(quán)限等進(jìn)行分析,將授權(quán)管理和資源管理相結(jié)合,解決現(xiàn)有研究缺乏面向授權(quán)管理的資源管理的問(wèn)題;將經(jīng)典RBAC中權(quán)限的概念擴(kuò)展為操作和資源類型構(gòu)成的二元組,提高授權(quán)管理效率。從表達(dá)能力、復(fù)雜度兩個(gè)方面分析了模型的特點(diǎn),表明該模型不僅保留了RBAC的特點(diǎn)與優(yōu)勢(shì),且比RBAC具有較低的復(fù)雜度和較高的效率和適應(yīng)性。下一步的工作是對(duì)模型的安全性進(jìn)行分析證明。

    [1] ANSI. 2004. American national standard for information technology-role based access control[S]. ANSI INCITS 359,2004.

    [2] Gofman M I and Yang Ping. Effecient policy analysis for evolving administrative role based access control[J].International Journal of Software Informatics, 2014, 8(1):95-131.

    [3] Liu Meng and Wang Xuan. Alternative representation of periodic constraint on role enabling in TRBAC and GTRBAC[J]. Journal of Computational Information Systems,2013, 9(24): 9909-9918.

    [4] Abdunabi R, Al-Lail M, Ray I, et al.. Specification, validation,and enforcement of a generalized spatio-temporal role-based access control model[J]. IEEE Systems Journal, 2013, 7(3):501-515.

    [5] Muhammad Asif-habib. Mutually exclusive permissions in RBAC[J]. International Journal of Internet Technology and Secured Transactions, 2012, 4: 207-220.

    [6] Ma Li, Zhou Yan-jie, and Duan Wei. Extended RBAC model with task-constraint rules[C]. Proceedings of 8th Future Information Technology: Lecture Notes in Electrical Engineering, Gwangju, Korea, 2014, 276: 245-250.

    [7] Zu Xiang-rong, Liu Lian-zhong, and Bai Yan. A role and task-based workflow dynamic authorization modeling and enforcement mechanism[C]. The 1st International Conference on Information Science and Engineering (ICISE2009),Nanjing, China, 2009: 1593-1596.

    [8] Sohr K, Kuhlmann M, and Gogolla M. Comprehensive two-level analysis of role-based delegation and revocation policies with UML and OCL[J]. Information and Software Technology, 2012, 54(12): 1396-1417.

    [9] Liu Xin-xin and Tang Shao-hua. Analysis of role-based trust management policy using description logics[J]. Journal of Computational Information Systems, 2012, 8(13): 5445-5452.

    [10] Unal D and Caglayan M U. A formal role-based access control model for security policies in multi-domain mobile networks[J]. Computer Networks, 2013, 57(1): 330-350.

    [11] Zhang Da-na, Ramamohanarao K, Zhang Rui, et al.. Efficient graph based approach to large scale role engineering[J].Transactions on Data Privacy, 2014, 7(1): 1-26.

    [12] Ranise S, Truong A, and Armando A. Scalable and precise automated analysis of administrative temporal role-based access control[C]. SACMAT’14, London, Ontario, Canada,2014: 103-114.

    [13] 崔鴻飛. ARBAC 權(quán)限泄漏分析及改進(jìn)[D]. [碩士論文], 天津大學(xué), 2012.Cui Hong-fei. Analysis of permission leakage in ARBAC and improvement[D]. [Master dissertation], Tianjin University,2012.

    [14] 任志宇, 陳性元, 單棣斌. 基于雙層角色映射的跨域授權(quán)管理模型[J]. 計(jì)算機(jī)應(yīng)用, 2013, 33(9): 2511-2515.Ren Zhi-yu, Chen Xing-yuan, and Shan Di-bin. Cross-domain authorization management model based on two-tier role mapping[J]. Joumal of Computer Applications, 2013, 33(9):2511-2515.

    [15] Zhang Zhi-xiong. Scalable role & organization based control and its administration[D]. [Ph.D. dissertation], George Mason University, 2008.

    猜你喜歡
    定義用戶模型
    一半模型
    重要模型『一線三等角』
    重尾非線性自回歸模型自加權(quán)M-估計(jì)的漸近分布
    關(guān)注用戶
    商用汽車(2016年11期)2016-12-19 01:20:16
    3D打印中的模型分割與打包
    關(guān)注用戶
    商用汽車(2016年6期)2016-06-29 09:18:54
    關(guān)注用戶
    商用汽車(2016年4期)2016-05-09 01:23:12
    成功的定義
    山東青年(2016年1期)2016-02-28 14:25:25
    如何獲取一億海外用戶
    修辭學(xué)的重大定義
    中文字幕人妻熟女乱码| 亚洲成国产人片在线观看| 中文字幕人妻熟女乱码| 两个人看的免费小视频| 欧美国产日韩亚洲一区| 搡老熟女国产l中国老女人| 免费在线观看影片大全网站| 老司机靠b影院| 丰满的人妻完整版| 18禁裸乳无遮挡免费网站照片 | 国产成人精品久久二区二区免费| 国产精品亚洲美女久久久| 欧美一区二区精品小视频在线| 色哟哟哟哟哟哟| 亚洲三区欧美一区| 久久中文看片网| 啪啪无遮挡十八禁网站| 欧洲精品卡2卡3卡4卡5卡区| 国产高清videossex| 亚洲va日本ⅴa欧美va伊人久久| 此物有八面人人有两片| 国产野战对白在线观看| 久久精品aⅴ一区二区三区四区| 欧美激情高清一区二区三区| 性欧美人与动物交配| 国产成人精品久久二区二区免费| 精品人妻1区二区| 老汉色av国产亚洲站长工具| 国产真实乱freesex| 欧美久久黑人一区二区| 亚洲精品在线美女| 天堂√8在线中文| 在线观看免费日韩欧美大片| 精品国产乱子伦一区二区三区| 黑人巨大精品欧美一区二区mp4| 欧美在线黄色| 久久中文字幕一级| 首页视频小说图片口味搜索| 超碰成人久久| 亚洲精品在线美女| 日韩三级视频一区二区三区| 国产极品粉嫩免费观看在线| 日韩大尺度精品在线看网址| 日本免费一区二区三区高清不卡| 午夜福利免费观看在线| 国产国语露脸激情在线看| 国内精品久久久久精免费| 成人特级黄色片久久久久久久| 午夜福利一区二区在线看| 久久久久久久精品吃奶| 久久久久精品国产欧美久久久| 亚洲国产精品合色在线| 两个人免费观看高清视频| 亚洲欧美一区二区三区黑人| 午夜成年电影在线免费观看| 国产亚洲精品久久久久久毛片| 亚洲av成人不卡在线观看播放网| 黄色女人牲交| 18美女黄网站色大片免费观看| 18美女黄网站色大片免费观看| 欧美中文综合在线视频| 国产视频一区二区在线看| 国产免费av片在线观看野外av| 51午夜福利影视在线观看| 最近最新免费中文字幕在线| 亚洲在线自拍视频| 国产爱豆传媒在线观看 | 99在线视频只有这里精品首页| 日韩欧美国产在线观看| 久热爱精品视频在线9| 亚洲国产精品999在线| 国产精品av久久久久免费| 非洲黑人性xxxx精品又粗又长| 可以在线观看毛片的网站| 免费在线观看影片大全网站| 国产午夜精品久久久久久| 真人一进一出gif抽搐免费| 久久热在线av| 国内少妇人妻偷人精品xxx网站 | 亚洲精品美女久久av网站| 久久九九热精品免费| 国产aⅴ精品一区二区三区波| 少妇 在线观看| 久久99热这里只有精品18| 国产精品久久视频播放| 国产在线精品亚洲第一网站| 老熟妇仑乱视频hdxx| 19禁男女啪啪无遮挡网站| 操出白浆在线播放| 国产成+人综合+亚洲专区| 亚洲美女黄片视频| 一级片免费观看大全| 色尼玛亚洲综合影院| 亚洲精品一卡2卡三卡4卡5卡| 两个人免费观看高清视频| 又大又爽又粗| 国产精品电影一区二区三区| av天堂在线播放| 国产一区二区三区在线臀色熟女| 久久精品国产99精品国产亚洲性色| 女人爽到高潮嗷嗷叫在线视频| 2021天堂中文幕一二区在线观 | 中文亚洲av片在线观看爽| 香蕉av资源在线| 日韩高清综合在线| 中文字幕av电影在线播放| 18禁观看日本| 午夜亚洲福利在线播放| 黄色丝袜av网址大全| 黑人巨大精品欧美一区二区mp4| 久久中文看片网| tocl精华| 国产亚洲精品av在线| 午夜福利18| 黄频高清免费视频| 国产精品永久免费网站| 亚洲成人久久性| 亚洲无线在线观看| 人妻久久中文字幕网| 国产精品99久久99久久久不卡| 欧美午夜高清在线| 午夜福利视频1000在线观看| 亚洲av片天天在线观看| 欧美在线黄色| 国产精华一区二区三区| 午夜免费鲁丝| 男女午夜视频在线观看| 最近最新中文字幕大全免费视频| 亚洲在线自拍视频| 色哟哟哟哟哟哟| 在线永久观看黄色视频| 亚洲精品中文字幕一二三四区| 美女 人体艺术 gogo| 国产片内射在线| 色婷婷久久久亚洲欧美| 一区二区三区高清视频在线| 丁香欧美五月| 国产精品一区二区三区四区久久 | 成人三级做爰电影| 日韩大尺度精品在线看网址| 欧美乱色亚洲激情| 成人av一区二区三区在线看| 搡老岳熟女国产| 一二三四社区在线视频社区8| 国产亚洲精品久久久久5区| tocl精华| 午夜久久久久精精品| 国产精品乱码一区二三区的特点| 欧美+亚洲+日韩+国产| 一二三四社区在线视频社区8| 黄色片一级片一级黄色片| 香蕉久久夜色| 午夜福利一区二区在线看| 日日干狠狠操夜夜爽| 精品久久久久久久末码| 免费在线观看影片大全网站| 亚洲精品国产区一区二| 大型黄色视频在线免费观看| 精品国产一区二区三区四区第35| 国产精品一区二区三区四区久久 | 18禁黄网站禁片午夜丰满| 在线播放国产精品三级| 中文资源天堂在线| 欧美亚洲日本最大视频资源| 婷婷精品国产亚洲av在线| 长腿黑丝高跟| 国产精品 国内视频| 中文字幕精品亚洲无线码一区 | 免费在线观看影片大全网站| 丰满的人妻完整版| 18禁美女被吸乳视频| 级片在线观看| 久久欧美精品欧美久久欧美| 最近最新中文字幕大全免费视频| 人妻丰满熟妇av一区二区三区| 97碰自拍视频| 十八禁人妻一区二区| 免费在线观看日本一区| 美女大奶头视频| 国产精品久久久久久人妻精品电影| 黄色丝袜av网址大全| 老司机靠b影院| 国内毛片毛片毛片毛片毛片| 国产人伦9x9x在线观看| 午夜影院日韩av| 亚洲精华国产精华精| 欧美最黄视频在线播放免费| 久久狼人影院| 亚洲成av人片免费观看| 欧美性长视频在线观看| 老汉色av国产亚洲站长工具| 日韩欧美在线二视频| 一区二区三区激情视频| 久久中文字幕一级| 人妻丰满熟妇av一区二区三区| 亚洲美女黄片视频| 99在线视频只有这里精品首页| 好看av亚洲va欧美ⅴa在| 男女做爰动态图高潮gif福利片| 午夜精品久久久久久毛片777| 国产成+人综合+亚洲专区| 欧美午夜高清在线| 免费看日本二区| 日本黄色视频三级网站网址| 性色av乱码一区二区三区2| 日韩欧美国产在线观看| 欧美av亚洲av综合av国产av| 在线观看日韩欧美| 亚洲午夜精品一区,二区,三区| 男女床上黄色一级片免费看| 欧美日韩亚洲国产一区二区在线观看| 99久久久亚洲精品蜜臀av| 午夜亚洲福利在线播放| 欧美最黄视频在线播放免费| 少妇被粗大的猛进出69影院| 夜夜夜夜夜久久久久| 国产精品一区二区精品视频观看| 亚洲av电影在线进入| 欧美另类亚洲清纯唯美| 女人高潮潮喷娇喘18禁视频| 午夜福利视频1000在线观看| 亚洲自偷自拍图片 自拍| 国产欧美日韩一区二区三| 麻豆成人午夜福利视频| 精品福利观看| 日韩三级视频一区二区三区| 日韩欧美国产在线观看| 啦啦啦免费观看视频1| 99在线视频只有这里精品首页| 亚洲专区字幕在线| 天堂√8在线中文| 老司机午夜福利在线观看视频| 欧美三级亚洲精品| 亚洲狠狠婷婷综合久久图片| 黄色a级毛片大全视频| 波多野结衣高清无吗| 人成视频在线观看免费观看| 久久国产亚洲av麻豆专区| 精品国产一区二区三区四区第35| 无人区码免费观看不卡| 国产视频一区二区在线看| 听说在线观看完整版免费高清| www.熟女人妻精品国产| 亚洲自拍偷在线| www.www免费av| 在线国产一区二区在线| 久久婷婷人人爽人人干人人爱| 久99久视频精品免费| www日本在线高清视频| 美女高潮喷水抽搐中文字幕| 色综合欧美亚洲国产小说| 久久久久久免费高清国产稀缺| 亚洲九九香蕉| 日日夜夜操网爽| av在线播放免费不卡| 在线观看免费日韩欧美大片| 美女国产高潮福利片在线看| 听说在线观看完整版免费高清| 亚洲天堂国产精品一区在线| 国产又色又爽无遮挡免费看| 欧美色欧美亚洲另类二区| 欧美成人午夜精品| 国产成人精品久久二区二区91| 日日夜夜操网爽| 黄色女人牲交| 午夜福利成人在线免费观看| 婷婷精品国产亚洲av在线| 国产精华一区二区三区| 国产乱人伦免费视频| 久久久国产精品麻豆| 精品久久久久久久久久久久久 | 最近最新免费中文字幕在线| 在线国产一区二区在线| 十八禁网站免费在线| 婷婷丁香在线五月| 神马国产精品三级电影在线观看 | 最近最新中文字幕大全电影3 | 女警被强在线播放| 欧美三级亚洲精品| 日本 欧美在线| 中文字幕高清在线视频| 88av欧美| 国内久久婷婷六月综合欲色啪| 此物有八面人人有两片| 好男人在线观看高清免费视频 | 久久香蕉激情| 亚洲 欧美 日韩 在线 免费| 亚洲av熟女| 国产亚洲精品av在线| 亚洲av成人av| 黑人欧美特级aaaaaa片| 黄色女人牲交| 午夜久久久在线观看| 国产三级在线视频| 中文字幕精品亚洲无线码一区 | 老鸭窝网址在线观看| 亚洲国产日韩欧美精品在线观看 | 超碰成人久久| 国内毛片毛片毛片毛片毛片| 精品国产国语对白av| 中文字幕人妻丝袜一区二区| 欧美大码av| 国产真人三级小视频在线观看| 非洲黑人性xxxx精品又粗又长| 精品国产亚洲在线| 这个男人来自地球电影免费观看| 欧美日韩瑟瑟在线播放| 日韩欧美免费精品| 午夜日韩欧美国产| 亚洲av日韩精品久久久久久密| 国产成人影院久久av| 亚洲天堂国产精品一区在线| 国产不卡一卡二| 欧美色欧美亚洲另类二区| 一区二区三区高清视频在线| 男人操女人黄网站| 亚洲国产高清在线一区二区三 | 韩国av一区二区三区四区| 免费高清视频大片| 淫妇啪啪啪对白视频| 久久99热这里只有精品18| 久久久久国产一级毛片高清牌| 日韩精品青青久久久久久| 亚洲欧美一区二区三区黑人| www.熟女人妻精品国产| 国产精品野战在线观看| 中文字幕av电影在线播放| 国产三级在线视频| 亚洲国产欧美一区二区综合| 最新美女视频免费是黄的| 国产不卡一卡二| 亚洲一区高清亚洲精品| 亚洲精品一区av在线观看| 在线观看日韩欧美| 老熟妇仑乱视频hdxx| 久久九九热精品免费| 一级黄色大片毛片| a级毛片在线看网站| 超碰成人久久| 日日干狠狠操夜夜爽| 亚洲一区二区三区不卡视频| 嫩草影院精品99| 久久 成人 亚洲| 亚洲av美国av| 两个人看的免费小视频| 岛国视频午夜一区免费看| 精品久久久久久久久久久久久 | 国产精品美女特级片免费视频播放器 | 日韩高清综合在线| 精品福利观看| 最近最新免费中文字幕在线| 亚洲五月色婷婷综合| 色精品久久人妻99蜜桃| 曰老女人黄片| 国产精品久久视频播放| 黄网站色视频无遮挡免费观看| 日韩大码丰满熟妇| 在线观看www视频免费| 精品久久久久久久末码| 黄网站色视频无遮挡免费观看| a在线观看视频网站| 国产亚洲精品久久久久久毛片| 在线观看午夜福利视频| 亚洲熟女毛片儿| а√天堂www在线а√下载| 老司机深夜福利视频在线观看| 丝袜美腿诱惑在线| 中文字幕精品免费在线观看视频| 欧美zozozo另类| 白带黄色成豆腐渣| 又大又爽又粗| 999精品在线视频| 麻豆成人午夜福利视频| 男人舔奶头视频| 久久久精品国产亚洲av高清涩受| 亚洲精品一区av在线观看| 可以在线观看的亚洲视频| 国产精品1区2区在线观看.| 人人妻,人人澡人人爽秒播| 精品不卡国产一区二区三区| 99在线人妻在线中文字幕| 99热6这里只有精品| 手机成人av网站| 深夜精品福利| 国产精品久久电影中文字幕| 日韩欧美一区视频在线观看| 一本精品99久久精品77| 一二三四社区在线视频社区8| 精品午夜福利视频在线观看一区| 国产精品98久久久久久宅男小说| 国产免费av片在线观看野外av| 别揉我奶头~嗯~啊~动态视频| 手机成人av网站| 国产黄a三级三级三级人| 成熟少妇高潮喷水视频| 97碰自拍视频| av超薄肉色丝袜交足视频| 国产精品电影一区二区三区| 久久婷婷人人爽人人干人人爱| 99精品久久久久人妻精品| 精品高清国产在线一区| 女同久久另类99精品国产91| 美国免费a级毛片| 午夜视频精品福利| 美女高潮喷水抽搐中文字幕| 亚洲国产欧美一区二区综合| 亚洲av电影不卡..在线观看| 中文字幕最新亚洲高清| 国产高清视频在线播放一区| 一区二区日韩欧美中文字幕| 免费搜索国产男女视频| 女人被狂操c到高潮| 日日摸夜夜添夜夜添小说| 老司机靠b影院| 亚洲av日韩精品久久久久久密| 99久久综合精品五月天人人| 欧美乱色亚洲激情| 巨乳人妻的诱惑在线观看| av在线天堂中文字幕| 亚洲色图 男人天堂 中文字幕| www.熟女人妻精品国产| 在线十欧美十亚洲十日本专区| 人人妻,人人澡人人爽秒播| 女生性感内裤真人,穿戴方法视频| 午夜免费激情av| 久久久久久久久免费视频了| 欧美三级亚洲精品| 国产一卡二卡三卡精品| av超薄肉色丝袜交足视频| 亚洲第一电影网av| 国产亚洲av高清不卡| 日韩三级视频一区二区三区| 久久亚洲精品不卡| 亚洲国产欧洲综合997久久, | 欧美激情高清一区二区三区| 非洲黑人性xxxx精品又粗又长| 亚洲国产欧美网| 巨乳人妻的诱惑在线观看| 99在线视频只有这里精品首页| 亚洲va日本ⅴa欧美va伊人久久| 亚洲精品美女久久av网站| 法律面前人人平等表现在哪些方面| 18禁国产床啪视频网站| 美女扒开内裤让男人捅视频| 精品国产美女av久久久久小说| 亚洲av电影不卡..在线观看| 搡老岳熟女国产| √禁漫天堂资源中文www| 欧美av亚洲av综合av国产av| 欧美中文综合在线视频| 久久精品aⅴ一区二区三区四区| 欧美久久黑人一区二区| 国产精品,欧美在线| 校园春色视频在线观看| 欧美激情 高清一区二区三区| 亚洲精品国产一区二区精华液| 日韩欧美国产一区二区入口| 91麻豆av在线| 天天躁狠狠躁夜夜躁狠狠躁| 欧美中文综合在线视频| 精品国产一区二区三区四区第35| 国产aⅴ精品一区二区三区波| av欧美777| 欧美一级毛片孕妇| 国产精品免费一区二区三区在线| 国产久久久一区二区三区| 波多野结衣高清作品| 天堂影院成人在线观看| 国产欧美日韩一区二区三| 99精品在免费线老司机午夜| 天堂动漫精品| 国产伦在线观看视频一区| 女性生殖器流出的白浆| 啦啦啦韩国在线观看视频| 免费高清在线观看日韩| 黑人操中国人逼视频| 亚洲aⅴ乱码一区二区在线播放 | 婷婷精品国产亚洲av| 给我免费播放毛片高清在线观看| 午夜福利18| 午夜老司机福利片| 搞女人的毛片| 少妇裸体淫交视频免费看高清 | or卡值多少钱| 麻豆一二三区av精品| 国产精品二区激情视频| 国产精品亚洲美女久久久| 亚洲狠狠婷婷综合久久图片| 50天的宝宝边吃奶边哭怎么回事| 老熟妇乱子伦视频在线观看| 国产av又大| 亚洲成人免费电影在线观看| 无人区码免费观看不卡| 自线自在国产av| 欧美日韩亚洲国产一区二区在线观看| 搡老岳熟女国产| 欧美久久黑人一区二区| 精品国产美女av久久久久小说| 一卡2卡三卡四卡精品乱码亚洲| 丁香欧美五月| 高潮久久久久久久久久久不卡| 国产免费av片在线观看野外av| 婷婷丁香在线五月| 十八禁网站免费在线| 高潮久久久久久久久久久不卡| 久久人妻福利社区极品人妻图片| 久久久久免费精品人妻一区二区 | 久久国产精品人妻蜜桃| 91麻豆精品激情在线观看国产| 一卡2卡三卡四卡精品乱码亚洲| 亚洲男人天堂网一区| 一本精品99久久精品77| 免费高清在线观看日韩| 国产亚洲精品av在线| 国产精品爽爽va在线观看网站 | 久久99热这里只有精品18| 欧美最黄视频在线播放免费| 老汉色av国产亚洲站长工具| 好看av亚洲va欧美ⅴa在| 一夜夜www| 搡老熟女国产l中国老女人| 国产精品 国内视频| 在线观看66精品国产| 国产成人一区二区三区免费视频网站| 韩国精品一区二区三区| 国内久久婷婷六月综合欲色啪| 久热这里只有精品99| 窝窝影院91人妻| videosex国产| 国产精品免费视频内射| 桃红色精品国产亚洲av| 午夜影院日韩av| www国产在线视频色| 天堂动漫精品| 免费一级毛片在线播放高清视频| 免费人成视频x8x8入口观看| 亚洲专区国产一区二区| x7x7x7水蜜桃| 亚洲国产精品sss在线观看| 最近最新中文字幕大全电影3 | 亚洲av熟女| 久热爱精品视频在线9| 国产色视频综合| www.自偷自拍.com| 99久久精品国产亚洲精品| 国产主播在线观看一区二区| 男女那种视频在线观看| 51午夜福利影视在线观看| 美女国产高潮福利片在线看| 国产极品粉嫩免费观看在线| 欧美一区二区精品小视频在线| 美女扒开内裤让男人捅视频| 久久久国产精品麻豆| av电影中文网址| 亚洲成av人片免费观看| 每晚都被弄得嗷嗷叫到高潮| 午夜久久久在线观看| videosex国产| 国产伦在线观看视频一区| 啪啪无遮挡十八禁网站| 精品国产亚洲在线| 欧美人与性动交α欧美精品济南到| 国产不卡一卡二| 一区二区三区国产精品乱码| 叶爱在线成人免费视频播放| 动漫黄色视频在线观看| 高清毛片免费观看视频网站| 美女大奶头视频| 一级毛片精品| 色综合站精品国产| 一边摸一边做爽爽视频免费| 少妇的丰满在线观看| 久久亚洲精品不卡| 久久精品国产综合久久久| 嫁个100分男人电影在线观看| 999精品在线视频| 国产精品久久电影中文字幕| 一进一出好大好爽视频| 久久精品亚洲精品国产色婷小说| 香蕉国产在线看| 国产爱豆传媒在线观看 | 亚洲精品久久国产高清桃花| 91九色精品人成在线观看| 欧美日韩乱码在线| 国产高清视频在线播放一区| 男人操女人黄网站| 久久亚洲精品不卡| 国产熟女xx| 亚洲精品中文字幕一二三四区| 99久久久亚洲精品蜜臀av| 中文字幕精品亚洲无线码一区 | 欧美人与性动交α欧美精品济南到| 欧美一区二区精品小视频在线| 国产片内射在线| 黄色女人牲交| 国产免费男女视频| 午夜福利在线观看吧| 天天躁狠狠躁夜夜躁狠狠躁| 成人亚洲精品av一区二区| 露出奶头的视频| 免费在线观看视频国产中文字幕亚洲| 日韩有码中文字幕| 午夜免费成人在线视频| 日韩大尺度精品在线看网址| 在线观看一区二区三区| 特大巨黑吊av在线直播 | 亚洲午夜理论影院| 制服诱惑二区| 国产av一区二区精品久久| 美国免费a级毛片| 亚洲人成电影免费在线| 他把我摸到了高潮在线观看| 亚洲va日本ⅴa欧美va伊人久久| 人人妻人人澡人人看| 久久久久久人人人人人|