一種分布式移動SNS的資源訪問授權方式

一種分布式移動SNS的資源訪問授權方式

引言
　　
　　移動 SNS[1]是SNS 的更深層次的應用，用戶可通過移動終端訪問移動互聯網上的SNS服務，為用戶的網上或網下的生活和工作以及使用其他網絡服務或應用提供有效的幫助。現有的移動SNS 網站都是基于集中式思想設計的。然而，集中式的SNS 網站存在下列問題[2]：1)、人類維護獨立的社交領域這種心理特性限制了SNS 網站的使用。2)、集中式的SNS 或集中式的移動SNS 能夠將人際關系網的資源完全挖掘出來，這樣將用戶的個人隱私完全暴露，設計一個便利和可信的SNS 服務比較困難。3)、集中式的SNS 網站較多，各個系統間不能互通，這樣導致了同一個用戶在不同網站擁有不同的社交網絡。未來SNS 發展方向很可能是去中心化的，以每個用戶為中心的模式，每個用戶都擁有自己的互聯網社會化入口[2]，這個入口我們可以認為是一種個人資源中心，用戶個人資源信息在個人資源中心中組織，用戶可通過移動終端進行交友，還可通過PC 機或移動終端等多種方式進入自己的資源中心或訪問他人的個人資源中心，實現真正意義上的分布式移動SNS。
　　文獻[3] 提出了一種基于FOAF 的分布式移動SNS 的應用方法，用戶的社交數據保存在自己的終端，用戶在特定場所的評論和活動等數據保存在該場所的服務中心。這種方式在一定程度上解決了SNS 服務“虛實結合”的問題，實現了現實環境下的交友，但是沒能很好地整合用戶網絡SNS 的資源數據，并且在資源訪問授權上有著比較大的局限性。
　　為解決在上述提及的資源訪問授權的問題，本文提出一種基于票據和D-FOAF 的訪問授權解決方案，基本思想是：用戶的在互聯網上的SNS 網站資源信息通過整合存放在自己的服務器上，服務器將用戶的個人資源整合為個人資源中心PRC（Personal Resource Center）。用戶終端和個人資源中心上均保存著用戶的社交網絡數據，并進行同步。用戶終端可以生成票據并傳遞給其他用戶終端，票據是一種授權憑證，獲得票據的用戶可以獲得相應的個人資源中心訪問權限。個人數據中心上存在著訪問控制引擎，根據好友級別和票據信息過濾訪問請求，實現了安全可信的訪問。
　　本文描述了兩個具有代表性的分布式移動SNS 的資源共享及授權的應用場景,一方面用以說明本文提出方法的實際意義，另一方面也為設計和開發基于P2P 網絡的創新應用提供了借鑒范例。
　　
　　1 場景描述
　　
　　以下列出兩個可能的應用場景:
　　場景一：張明在旅行途中遇到了老同學李剛，張明通過自己的手機終端將李剛添加為自己的好友，李剛此時則可以直接通過網絡訪問張明的個人資源中心資源。在瀏覽過程中李剛希望查看張明剛出生孩子的照片，然而該資源被設置為1 度好友關系的人且持有票據才能訪問，李剛訪問失敗，于是李剛向張明請求相應級別的票據，張明通過智能終端生成訪問私密資源的票據并將其發送到李剛的終端，李剛憑借該票據順利地獲得訪問權限。
　　場景二：張明參加一個同鄉聚會，在聚會過程中他成為了會場中最受矚目的一個人，大家都希望了解張明的一些個人信息，于是張明通過智能終端向每個參會的人員發布一個票據，參會人員均可通過獲得的票據訪問張明個人資源中心的部分公開資源，這部分的公開資源只需訪問者持有一定級別的票據即可訪問，無需訪問者與張明存在好友關系。
　　
　　2 系統介紹
　　
　　本節主要介紹個人數據中心以及終端軟件體系架構，并對系統交互流程進行了說明。
　　
　　2.1 個人資源中心 PRC 框架
　　個人資源中心PRC 的整體框架所示。
　　PRC 系統由數據層、通信中間件、訪問控制過濾引擎、資源管理子系統、好友級別管理子系統、票據有效性管理子系統和個人門戶等部分組成。各部分的定義及其作用如下：
　　1.數據層:數據層中包含3 種類型的數據信息，FOAF 數據，票據數據，以及個人資源PR（Personal Resource）數據三種。FOAF 數據由用戶自定義的一些個人以及好友信息；票據保存的是由用戶自己生成的票據，票據的生成是在用戶終端上完成；個人資源（PersonalResource）數據可采用文獻[4]中的方法獲取，本文假設個人資源信息已從網絡上獲取。
　　2.通信中間件:和終端進行通信的中介。
　　3.資源管理子系統: 資源管理子系統具有資源索引、資源集合和資源訪問規則管理等功能。資源管理子系統為用戶提供操作界面和接口，便于用戶生成資源索引。用戶可通過資源集合模塊自定義創建不同的資源集合（如家庭活動、校園活動和社會活動等），用戶可將對應的資源歸入某種資源集合之中。對于每項資源集合，系統會給定一個默認的訪問規則，而用戶也可以通過資源訪問規則管理模塊對資源集合自定義訪問規則，并將訪問規則導入訪問控制過濾引擎中的訪問過濾器。
　　4.好友級別管理子系統: 好友級別管理子系統通過通信接口與終端設備保持FOAF 信息的同步，好友的級別由好友級別計算模塊依據FOAF 數據，通過Dijkstra 算法計算出來。
　　5.票據管理子系統: 票據管理子系統通過對票據有效期的計算判斷票據是否有效，并定期刪除無用票據。另外可以提取票據中的票據級別以及票據跳數信息，計算出票據有效性系數，供訪問控制引擎使用。
　　6.訪問控制過濾引擎:每一個用戶訪問均需要通過訪問控制過濾引擎，首先通過訪問信息生成模塊生成形式化的資源訪問信息，該信息包括資源類型、好友級別和票據有效性系數等。然后通過資源過濾器根據訪問過濾算法得出是否允許訪問。
　　7.個人門戶: 個人門戶是其他用戶訪問自己個人資源中心的入口，資源以及個人信息等內容在個人門戶呈現。
　　
　　2.2 終端軟件功能
　　終端軟件的整體框架所示。用戶終端需要部署有終端票據系統，終端票據系統包括中間件模塊，票據管理模塊和FOAF 管理模塊。中間件模塊主要向外提供一定能力的開放接口，包括應用引擎和網絡能力接口。應用引擎主要用于對xml 文件的解析，網絡能力接口用于完成終端之間以及終端和PRC 之間的通信。票據管理模塊的主要功能是生成票據、票據傳遞、票據同步、票據存儲和票據加密解密等。終端票據系統與PRC 的數據交互格式為XML 和HTML。票據文件是以xml 文件的格式保存的。FOAF 管理主要用于修改FOAF 文件以及保持與PRC 中FOAF信息的一致。
　　
　　2.3 主要交互流程
　　本節對系統中的主要交互流程進行介紹，2.3.1 節介紹了票據生成、傳遞及存儲流程，2.3.2 節介紹了用戶訪問資源流程。
　　2.3.1 票據生成、傳遞及存儲流程
　　票據生成、傳遞及存儲的流程所示：
　　用戶 A 通過終端的票據生成模塊生成票據，通過票據存儲模塊將票據存儲在終端中，通過票據同步模塊與用戶A 自己的PRC 票據數據庫進行同步。隨后用戶A 可將票據通過票據傳遞模塊傳給用戶B 的終端，用戶B 的終端將收到的票據存儲在自己的終端中。
　　2.3.2 用戶訪問資源流程
　　用戶訪問資源的流程如所示：
　　用戶 B 持有用戶A 產生的票據后請求訪問用戶A 的個人資源中心，用戶B 首先在自己的票據存儲單元中查找是否存在用戶A 產生的票據，若存在則將票據攜帶在請求中并向用戶A 的訪問控制系統發起資源訪問請求。用戶A 的訪問控制過濾引擎首先調用好友級別管理得出用戶B 相對于自己的好友度數，然后調用票據有效性管理功能得出票據的有效性系數，根據得到的這些結果生成形式化的請求信息，然后執行過濾算法確定訪問是否合法，若合法則允許用戶B 的訪問請求，并通過資源索引定位到請求的個人資源。
　　
　　3 相關計算過程
　　
　　在 PRC 的實現框架中，用戶的訪問本身具備兩個屬性：好友屬性以及票據屬性，好友屬性是用好友的級別來表示的，也就是好友的“度”；票據屬性是以用戶是否持有票據以及票據的跳數決定的。資源訪問規則根據這兩個屬性進行定義，并以此得出了訪問控制流程。
　　
　　3.1 好友級別計算
　　在本節首先對D-FOAF 進行介紹，然后提出適合本系統的好友級別計算方法。
　　3.1.1 D-FOAF 簡介
　　FOAF(Friend-of-a-Friend)是一種XML/RDF 詞匯表，它以計算機可讀的形式描述用戶Web 主頁中通常會包含的個人信息，如基本信息（姓名、電子郵件地址等等）、興趣愛好和相關朋友等信息。FOAFReaml 組織采用了FOAF 的用戶信息的語法規則，提出了D-FOAF的解決方案[5]。
　　D-FOAF 可以對分布式環境下的FOAF 信息進行整合，獲取用戶進行授權和訪問的一些必要信息。D-FOAF 主要解決了三個問題：
　　1.分布式身份管理，授權以及訪問控制的算法。
　　2.提供了一種基于社區的訪問權限代理。
　　3.提供了分布式環境下的社會網絡信息保護。
　　D-FOAF 允許用戶定義好友的信任度，并通過好友間的信任網建立基于信任度的好友級別模型。為好友間的資源訪問控制提供了一種可能的方式。
　　3.1.2 好友級別計算方法
　　文獻[6]提出了基于D-FOAF 的好友級別計算方法，在本論文中，對于好友級別的計算可進行適當的簡化處理，以好友信息網為基礎，以好友間聯系的跳數作為好友級別的標準來進行計算，通過Dijkstra 算法可得到好友級別信息。
　　
　　3.2 票據有效性計算
　　票據是用戶對資源進行訪問時所持有的憑證，系統中所用的票據以xml 文件的形式存在，下面給出的是票據的結構：
　　<?xml version=’1.0’?>
　　<ticket>
　　<ticketID/>
　　<creator>
　　<name/>
　　<url/>
　　</creator>
　　<holderList>
　　<name/>
　　</holderList>
　　<createTime/>
　　<outTime/>
　　<level/>
　　<hops/>
　　<transitive/>
　　<maxHops/>
　　</ticket>
　　票據中包含以下內容，票據標識(ticketID)、票據產生者(creator)、票據持有者列表(holderList)、票據發放時間(createTime)、票據截止時間(outTime)、票據級別(level)、是否允許傳遞(transitive)、票據傳遞跳數(hops)和票據最大允許傳遞跳數(maxHops)。
　　票據的生成者可自定義是否允許票據在用戶之間傳遞，在票據的傳遞過程中，不僅會記錄票據的跳數，也會記錄票據傳遞過程中的所有持有者列表，每經過一次傳遞都會在票據持有者中順序添加新的持有者。根據票據持有者列表信息今后可提供更豐富的應用。
　　為了保持票據在傳遞過程中的安全性，還必須對xml 格式的票據進行xml 加密處理，在本系統中我們采用的是完整文檔加密的方式[4]，對整個xml 票據文件進行加密處理。
　　當用戶請求到達時，首先分析用戶是否持有票據，若沒有持有票據，則票據有效性系數為0；若持有票據，系統首先分析票據的截止時間是否到期，若已到期，則票據無效，票據有效性系數為0；若票據未到期，則對票據有效性指數進行計算，票據的有效性是由票據的級別和票據的傳遞跳數共同決定的，當傳遞跳數為1 時，票據有效性系數為票據級別數，票據每經過1 跳，其有效性系數出現相應的降低。
　　
　　3.3 資源訪問控制過程
　　本節在前兩節的基礎上給出了訪問控制引擎的資源的訪問控制過程。訪問控制引擎依次判斷每個訪問信息中的票據有效性條件和好友度數條件是否滿足資源訪問策略的要求，若都滿足，則允許訪問進行.
　　
　　4 結論
　　
　　本文介紹了一種分布式移動SNS 資源訪問授權方式。用戶通過個人資源中心提供的接口對個人資源中心上的資源可設定更加靈活的訪問規則，在該系統中我們引入了票據作為訪問資源的憑證，票據持有者可通過票據訪問相應的資源，這滿足了現實社交環境下非好友關系的人臨時訪問對方資源的需求，并且提高了資源訪問的安全性。另外，我們還設計了兩個應用場景，說明了這種方法的創新意義和現實中的應用價值。
　　社交服務的終極狀態應該是分布式的（或者是去中心化的）SNS，而本文設計的TAAS系統對分布式移動SNS 中資源訪問控制的問題做了有益的探索，該系統也可為現有的集中式SNS 服務，為其提供訪問控制能力。

中國碩士論文網提供大量免費碩士畢業論文,如有業務需求請咨詢網站客服人員！
　　
　　[參考文獻] (References)
　　[1]N.B. Ellison, C. Steinfield, C. Lampe. Social network sites and society: Current trends and future possibilities.Interactions Magazine, 2012. 16(1):6-9.
　　[2]丁欣李堯 李燁．決勝SNS．2012 年．
　　[3]張龍昌劉志晗董昊．基于FOAF 的分布式移動SNS 應用． 電信科學， 2012，5：88-92．
　　[4]程光曦，SNS 中用戶生成內容和行為數據的分析與應用，北京郵電大學，2012 年．　　
　　[5] Sebastian Ryszard Kruk, S lawomir Grzonkowski etc. D-FOAF Distributed Identity Management with AccessRights Delegation
　　[6]Christopher Steel,Ramesh Nagappan,Ray Lai. Core Security Patterns.2006.

【一種分布式移動SNS的資源訪問授權方式】相關文章：

分布式網絡系統中的數據訪問設計與優化03-18

一種面向固定移動融合的移動控制切換方法03-07

SNS網絡中的若干問題03-05

分布式網絡信息資源重構模式及系統實現03-21

一種基于蟻群優化的分布式動態路由算法03-07

遠程訪問服務03-18

淺析教育資源網格分布式檢索子系統的研究與設計03-21

終身學習-人力資源開發方式的選擇12-09

人力資源ABC管理法的核算方式03-25