下面文章以角色為基礎的訪問控制技術，進行學習流訪問控制的模型構建及改進擴展，并進一步建立基于動態控制機制的學習流安全模型，然后綜合多種權限控制方式，提出基于大數據云服務的學習流訪問控制安全模型，并且提出改進角色查找算法IRSA。所構建的幾種模型開放、一致、實用，能保護學習資源不被非法使用和訪問，適合大數據環境下復雜學習流程控制的安全需要，支持云端移動學習所要求的安全訪問。

　　關鍵詞：大數據,云計算,移動學習流,訪問控制,安全訪問控制模型,基于角色的訪問控制

　　移動網絡和大數據時代，移動智能終端的普及應用，給學習和教育帶來了嶄新的環境及方式。大數據環境下的移動學習，能隨時隨地按照用戶的需求，獲得相關的學習資源，實現底層學習資源動態配置，進行學習過程的實時監控和智能導學等等，使得目前海量的、個性化的、云端化的移動學習，正在與學科教學深度融合[1]，大數據在線學習的發展前景廣闊。

　　由于大數據存儲模式的開放性和共享性[2]，相應的移動終端學習流的動態性和不確定性，各自治域中的局部策略之間關系的復雜性[3]，及不同自治域的安全控制策略的多樣性[4]，使學習流系統面臨著非法訪問及惡意攻擊等安全威脅。第一，多租戶環境下，訪問主體重新界定，使得非法訪問可能發生;第二，虛擬化技術下的學習資源共享，使學習資源等信息有可能在同一物理設備中被非法竊取和使用[5]。第三，大數據平臺還會根據實時需求提供動態學習資源[2]，使得訪問控制策略產生動態變化[6]，需要動態的安全訪問控制機制的支持。

　　面對出現的安全問題，本研究使用訪問控制技術進行研究和解決，訪問控制技術是系統安全的核心內容和關鍵技術，能保證信息的機密性和完整性，是公認的、能保證數據安全的技術[7]。本研究先分析移動學習流在大數據環境下的特征及安全訪問控制機制與方法;然后建模，進行基于角色的復雜學習流程訪問控制的安全模型的構建及改進、建立動態的安全訪問控制模型;并設計和優化基于角色的查找算法。從而解決訪問控制面臨的安全的問題，支持基于大數據的移動學習流訪問控制的安全性和授權的有效性。

　　1移動學習流的特征及安全訪問控制模型方法

　　1.1移動學習流的概念與特征

　　移動學習流MLF(MoveLearningFlow)[8]，是由移動終端處理的學生自主學習過程及導師因材施教的過程。表現為學習者對學習知識點、難點或學習任務按照一定流程進行學習，并令其在生生、師生之間傳遞。從廣義理解，移動學習流活動是導師和學生利用移動終端進行的教與學的所有事務，包含各個教學支持服務下的各項教學任務及各種教學過程按時間關系組成的課程關系及師生關系的流程，也包括教師自身的培訓學習流程及學生的自主學習流程。

　　具體地說，移動學習流(MLF)表示了學習的流程，人們在利用移動終端進行學習的過程中，每個活動單元用節點node表示，各個學習活動單元之間的時間先后關系，用關系Relation表示，各個學習活動(節點)及其先后順序(關系)用一個有向圖來描述，構成一個圖狀數據結構，這樣的學習流程稱為一個移動學習流[4]。移動學習流的數學模型可以表示為：MLF=(node，Relation)，node是學習活動的有限集，Relation是node上的關系的有限集。由于移動學習流節點的移動特性和隨機特點[9]，其角色的權限機制需要適應移動環境，能支持角色權限的彈性執行或繼承，也就是能對移動節點進行彈性授權。

　　1.2移動學習流的安全訪問控制方法及模型選用

　　學習流安全訪問控制中，用戶執行某項操作和訪問某個資源的權限，是通過對用戶(User)身份進行認證及授予用戶權限(PRMS)來實現控制的。在移動學習流中，訪問控制包括兩個功能，一是判斷用戶是否具有執行某個任務的權限，判斷的參數是根據用戶角色的權限值，二是判斷用戶是否有登錄某個移動學習流的權限，判斷的參數是用戶登陸某個移動學習流的權限。

　　因為學習流程的管理與其它流程管理在形式上有著本質上相似的方面，流程的研究源于現代企業的過程管理與控制[10]，也稱工作流管理(WorkflowManagement)，簡稱WFM技術。WFM已有較為成熟的理論與應用。對于新興的大數據移動學習過程[11]，其實質是以學習活動為基本單元，按一定的順序開展的一種流程，這與WFM有著相似的特性，因此已有的工作流技術的相關概念、方法和研究成果可以借鑒到移動學習流的研究中。

　　目前對大數據學習流安全訪問控制的系統研究成果尚缺少，值得借鑒的是國內外工作流訪問控制方面的成果[11-15]，例如，自主訪問控制DAC(如HRU)、強制訪問控制MAC(如BLP模型、狀態機模型)、以執行任務為單位的授權控制模型TBAC、以角色為基礎的訪問控制模型RBAC等等[11]。DAC模型的訪問控制方法是[16]：被訪問的客體與訪問主體之間的許可關系用訪問控制列表來描述，訪問主體和被訪客體中間沒有媒介，直接把權限賦予用戶，方便易用，但授權的靈活性缺乏，在用戶權限轉移上的適應性較差。

　　而MAC模型的訪問控制方法為：以DAC模型為基礎，客體的安全級別先予以定義，其訪問權限用分級的方式管理，提高需要保護的客體的安全性。但是，授權靈活性的問題仍然存在，在用戶權限轉移上適應性還是不好。因此，這兩種安全訪問控制模型較為僵化，難以滿足大數據移動學習在授權靈活方面的要求。TBAC模型的訪問控制方法為[17]：針對過程中的任務(Task)進行授權，通過任務關聯訪問控制中的各種實體，優點是能有效地表達學習過程、表達執行步驟與訪問控制之間的關聯關系。

　　缺點是沒考慮各種安全約束以及這些約束之間的沖突，且訪問控制中的用戶視圖表示不理想，在支持用戶權限轉移方面較為欠缺，源于TBAC沒有對任務(Task)和用戶(User)的授權關系直接地表示出來。而RBAC模型的訪問控制方法是[13-15]：增加了角色(Role)作為媒介，用戶(User)和被訪客體(OBJS)之間以角色(Role)作為聯系，通過Role到OBJS的指派和User到Role的指派進行授權操作;授權靈活性高，遵守最小權限原則。

　　在學習流管理中，班級群體或學生個體用戶(User)能夠根據自己的具體學習情況，自主地進行選擇和轉換不同角色，通過角色指派得到進行學習所需的最小權限�？梢姡�進行大數據學習流管理，RBAC模型的授權機制及安全性較好。

　　綜上，本研究選擇基于角色的訪問控制技術，參考RBAC的基本方法，進行學習流大數據訪問控制的安全解決方案的研究。該模型以角色的授權控制方法為基礎，能進行學習流管理中權限轉移方面的各種操作，授予班級或學生完成學習任務所需的最小權限。這種通過用戶的角色選擇或轉換，授權控制用戶訪問權限的方式，能有效禁止非法用戶入侵學習系統，防止合法用戶超越權限對學習系統非法使用，滿足大數據云端移動學習環境下的安全訪問控制的要求。

　　2基于角色的移動學習流訪問控制安全模型的建模及模型擴展

　　研究從大數據環境及移動智能終端的安全需要出發，根據教與學過程中學習流程的特點，以角色為基礎，進行學習流安全模型的構建及有關算法的研究。協調組成學習流的四大元素[8，11]：學習人員、學習資源、學習事件、學習狀態之間的關系，實現學習流的發生、發展、完成全程的安全控制及監控。對學習過程中教師的教學情況、包括教學資源的建設和應用情況[18]、以及學生的學習效果進行考試[19]及智能評價，并根據個性化的教與學的效果，來進行學習流方向和進度的控制。

　　需要注意的是，學習流安全模型與工作流的安全模型在控制的內容和要求上是不同的，主要有：學習流中流動的是學習信息數據，學習者在流動，學習過程中產生變化的參數是學習者的知識和能力。對于特定的學習流，主要角色通常是學習者、導師和學習小組，流程的執行者相對固定等等，因而研究學習流訪問控制時，需要重新建模，根據學習過程的特征，通過角色來限制用戶對數據信息的訪問能力及范圍，構建適合移動學習流的訪問控制安全模型。

　　2.1基于角色的移動學習流訪問控制安全模型

　　在移動學習流(MLF)的訪問控制中，使用以角色為基礎的訪問控制(Role-BasedAuthorizationControl)技術建模[16]，模型包含訪問控制最基本的元素：用戶(Users)、角色(Roles)、會話(Session)和權限(PRMS)，其中權限又包括對象(OBJS)和操作(OPS)。模型中，角色(Roles)是安全訪問控制方法的核心，用戶的訪問條件和權限是通過角色來獲取的，模型中用戶與角色是相關聯的、角色與權限也是互相關聯的，當一個用戶擁有某個權限，則該用戶所具有的某一個角色與該權限是相關聯的。

　　會話作為動態元素，能建立用戶與激活的角色之間的映射關系，用戶是通過會話來設置角色的。分配(Assignment)有：用戶分配(Userassignment)，就是對用戶或者用戶組進行分配，分給特定的角色;還有許可分配(PermissionAssignment)，給系統中的角色進行分配，分給訪問主體Object和操作Operation的訪問權限。

　　3總結與展望

　　本研究在分析常用經典安全訪問控制模型優缺點的基礎上，選擇了基于角色的訪問控制(RBAC)技術，以大數據為環境，構建學習流訪問控制安全框架模型及算法。首先進行基本和改進的學習流訪問控制模型建模;然后進一步進行動態控制機制的移動學習流訪問控制模型構建，新模型加上了動態安全控制機制，實現了權限的動態管理，解決了職責分離的問題，為最小特權原則提供了保證，實現了更為細粒度的權限管理;最后綜合多種方式的權限控制，提出基于大數據云服務的學習流訪問控制安全模型，研究設計角色查找算法，并予優化。

　　學習流安全問題的研究，提高了網絡學習系統的安全控制水平，提升了學習控制系統化解安全威脅的能力，有利于各種學習資源及信息系統間較為安全的無縫銜接。在大數據時代，保證了遠程學習的訪問控制性能和學習網絡互通互聯的可靠性[31]，適用于大數據網絡、復雜網絡、社區網絡[32]。提高學習流控制上的服務效率，使教學支持服務系統的學習流程高度開放、靈活多樣、適合男女老少的個性化需求，有利于滿足人們不斷增長的對于學習流程的安全需求。

　　整個系統可根據用戶的需要來自定義，填補了移動環境里大數據學習流在安全控制模型及算法方面研究的欠缺。當然，對于學習流的訪問控制，無論在理論研究還是在應用推廣方面都還處于發展階段[33]，由于學習流內外環境的多樣性，給學習流安全領域的研究提出了很多新的安全需求，提出了很多尚待解決的安全訪問控制問題;目前還需要深入研究和嚴格規范教育信息大數據訪問控制技術及其標準，迫切要求在技術上有所突破，在標準上不斷完善，以營造安全高效的教育大數據環境，推動教育大數據建設的規模化發展。

　　參考文獻:

　　[1]陳興炎。開放大學建設背景下的福建電大轉型發展之路[J]。福建廣播電視大學學報,2017(4):1-6。

　　[2]HadiHashem,DanielRanc。Pre-ProcessingandModelingToolsforBigdata[J]。FoundationsofComputingandDecisionSciences,2016,41(3)。

　　[3]王于丁,楊家海。一種基于角色和屬性的云計算數據訪問控制模型[J]。清華大學學報(自然科學版),2017,57(11):1150-1158。

　　[4]王于丁,楊家海,徐聰,凌曉,楊洋。云計算訪問控制技術研究綜述[J]。軟件學報,2015,26(05):1129-1150。

　　[5]王小威,趙一鳴。一種基于任務角色的云計算訪問控制模型[J]。計算機工程,2012,38(24):9-13。

　　[6]楊天怡,董紅林,黃勤,劉益良。應用角色和任務訪問控制的工作流動態授權模型[J]。計算機應用研究,2010,27(04):1511-1513。

　　[7]馮登國,張敏,李昊。大數據安全與隱私保護[J]。計算機學報,2014,37(01):246-258。

　　[8]曹曉明。從"工作流"到"學習流":E-learning系統設計的新視角[J]。開放教育研究,2009,15(3):94-98。

　　[9]王建軍。移動環境角色權限機制改進[D]。電子科技大學,2014。

　　[10]陳默,常會友�；�于角色的工作流系統訪問控制管理模型[J]。中國科技論文在線2007。03。27。

　　[11]黃河清�；�于工作流及大數據的學習流引擎的構建與實現[J]。安陽師范學院學報,2018(02):53-60

　　推薦期刊：《計算機時代》(月刊)創刊于1983年，由浙江省計算技術研究所和浙江省計算機學會主辦，是《中國期刊網》、《中國學術期刊(光盤版)》和《中國核心期刊(遴選)數據庫》收錄期刊，全國發行，豐富的內容使您能夠自由的遨游在信息的海洋里，了解最新技術，掌握最新技術，享受精彩紛呈的數字生活。