亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        中山大學(xué):高校業(yè)務(wù)系統(tǒng)授權(quán)管理方案

        2015-01-29 02:33:22唐國(guó)華葉羲陶
        中國(guó)教育網(wǎng)絡(luò) 2015年4期
        關(guān)鍵詞:細(xì)粒度訪問(wèn)控制規(guī)則

        文/唐國(guó)華 葉羲陶

        隨著計(jì)算機(jī)應(yīng)用的日益普及,特別是網(wǎng)絡(luò)的迅速發(fā)展,如何在發(fā)展和推廣網(wǎng)絡(luò)應(yīng)用的同時(shí)進(jìn)一步提高訪問(wèn)控制的安全與效率,已經(jīng)成為目前網(wǎng)絡(luò)界所必須研究和解決的課題。針對(duì)不同應(yīng)用的授權(quán)管理,需要根據(jù)項(xiàng)目的實(shí)際情況和具體架構(gòu),在維護(hù)性、靈活性、完整性等N 多個(gè)方案之間比較權(quán)衡,選擇符合的方案。目前的授權(quán)管理一般有三種:

        1.自主型訪問(wèn)控制方法。目前在我國(guó)的很多信息系統(tǒng)中的訪問(wèn)控制模塊中基本是借助于自主型訪問(wèn)控制方法中的訪問(wèn)控制列表(ACLs)。

        2.強(qiáng)制型訪問(wèn)控制方法。用于多層次安全級(jí)別的軍事應(yīng)用。

        3.基于角色的訪問(wèn)控制方法(RBAC)。是目前公認(rèn)的解決大型系統(tǒng)的統(tǒng)一資源訪問(wèn)控制的有效方法。其顯著的兩大特征是:1.減小授權(quán)管理的復(fù)雜性,降低管理開(kāi)銷。2.靈活地支持企業(yè)的安全策略,并對(duì)企業(yè)的變化有很大的伸縮性。

        高校信息系統(tǒng)的對(duì)象包括學(xué)校所有校區(qū)、院系和部門、在校各類學(xué)生和家長(zhǎng)、教職員工、畢業(yè)校友和國(guó)際友人,系統(tǒng)還涉及到上級(jí)主管部門和社會(huì)群體,用戶數(shù)量多,類型復(fù)雜,采用基于角色的訪問(wèn)控制方法能夠?yàn)楦咝P畔⑾到y(tǒng)建立一個(gè)高安全強(qiáng)度,更易于維護(hù)和管理,擴(kuò)展能力極強(qiáng)的訪問(wèn)控制環(huán)境,并能夠有效地控制管理復(fù)雜性,提供標(biāo)準(zhǔn)化和可以不斷延伸的授權(quán)平臺(tái)。但是,傳統(tǒng)的基于角色的訪問(wèn)控制模型也存在著如下缺點(diǎn):

        1.模型粗糙,最小權(quán)限約束粒度還不夠細(xì)化;

        2.權(quán)限表示缺乏靈活性,難以實(shí)現(xiàn)擁有相同功能權(quán)限的用戶訪問(wèn)不同的數(shù)據(jù)范圍。

        針對(duì)傳統(tǒng)授權(quán)模型的缺點(diǎn),吳江棟等人提出了基于RBAC的細(xì)粒度訪問(wèn)控制方法,在傳統(tǒng)粗粒度權(quán)限管理的基礎(chǔ)上加入“菜單-按鍵”對(duì)應(yīng)關(guān)系使權(quán)限得以細(xì)化,但是并沒(méi)有解決數(shù)據(jù)授權(quán)的問(wèn)題;趙靜等人提出了基于數(shù)據(jù)對(duì)象的權(quán)限訪問(wèn)控制模型,通過(guò)將角色分離為公有角色和私有角色,來(lái)劃分用戶的多個(gè)數(shù)據(jù)對(duì)象所具有的不同的功能權(quán)限,但模型的粒度只是到數(shù)據(jù)對(duì)象,而不能根據(jù)數(shù)據(jù)對(duì)象屬性的不同來(lái)進(jìn)行數(shù)據(jù)授權(quán)。

        高校內(nèi)部的業(yè)務(wù)管理相對(duì)還是比較復(fù)雜的,同一個(gè)人可能在多個(gè)部門的多個(gè)崗位任職,在相同崗位任職的可能是多人(相同部門或不同部門),同時(shí)高校內(nèi)部單位眾多,人員流動(dòng),職責(zé)變化頻繁,為了適應(yīng)高校的特定環(huán)境需求,通過(guò)擴(kuò)展基于角色的授權(quán)訪問(wèn)控制模型,提出了基于角色的細(xì)粒度分級(jí)授權(quán)模型,通過(guò)引入業(yè)務(wù)規(guī)則和崗位實(shí)現(xiàn)靈活的數(shù)據(jù)授權(quán)和分級(jí)授權(quán),有效彌補(bǔ)了RBAC模型的缺點(diǎn),擴(kuò)展了RBAC模型的動(dòng)態(tài)性。

        細(xì)粒度的分級(jí)授權(quán)模型

        本章首先簡(jiǎn)單闡述傳統(tǒng)的訪問(wèn)控制模型-RBAC(基于角色的訪問(wèn)控制模型),然后針對(duì)數(shù)據(jù)授權(quán)和分級(jí)授權(quán)對(duì)模型進(jìn)行擴(kuò)展,給出該模型的基本元素及相應(yīng)函數(shù),以及訪問(wèn)控制流程。

        RBAC模型

        RBAC的基本思想是引入角色的概念,用戶和權(quán)限通過(guò)角色相關(guān)聯(lián),根據(jù)安全策略劃分角色,對(duì)每個(gè)角色分配權(quán)限許可,對(duì)用戶的授權(quán)通過(guò)賦予用戶相應(yīng)的角色來(lái)實(shí)現(xiàn)。使得用戶和權(quán)限得到了邏輯分離,降低了安全管理成本和管理復(fù)雜性,使授權(quán)變得簡(jiǎn)單而靈活。圖1是RBAC0基本模型。

        RBAC包含三個(gè)實(shí)體:用戶、角色和權(quán)限,其中,用戶就是一個(gè)可以獨(dú)立訪問(wèn)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或者用數(shù)據(jù)表示的其他資源的主體,一般情況下是指自然人;角色就是組織內(nèi)部一件工作的功能或工作的頭銜,表示該角色成員所授予的職責(zé)的許可;權(quán)限是對(duì)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或用數(shù)據(jù)表示的其他資源進(jìn)行訪問(wèn)的許可。

        用戶與角色之間以及角色與權(quán)限之間用雙雙箭頭相連表示用戶角色分配和角色權(quán)限分配關(guān)系都是多對(duì)多的關(guān)系,即一個(gè)用戶可以擁有多個(gè)角色,一個(gè)角色也可被多個(gè)用戶所擁有。同樣的,一個(gè)角色擁有多個(gè)權(quán)限,一個(gè)權(quán)限能被多個(gè)角色所擁有。用戶建立會(huì)話從而對(duì)資源進(jìn)行存取,每個(gè)會(huì)話將一個(gè)用戶與他所對(duì)應(yīng)的角色集中的一部分建立映射關(guān)系,這個(gè)角色會(huì)話子集稱為會(huì)話激活的角色集。在一次會(huì)話中,用戶可以執(zhí)行的操作就是該會(huì)話激活的角色集對(duì)應(yīng)的權(quán)限所允許的操作。

        RBAC模型最突出的優(yōu)點(diǎn)在于系統(tǒng)管理員能夠按照學(xué)校的安全政策劃分不同的角色,執(zhí)行特定的任務(wù)。一個(gè)系統(tǒng)建立起來(lái)后主要的管理工作即為授權(quán)或取消用戶的角色。用戶的職責(zé)變化時(shí)只需要改變角色即可改變其權(quán)限;當(dāng)組織功能變化或演進(jìn)時(shí),則只需刪除角色的舊功能,增加新功能,或定義新角色,而不必更新每一個(gè)用戶的權(quán)限設(shè)置。這極大地簡(jiǎn)化了授權(quán)管理,使對(duì)信息資源的訪問(wèn)控制能更好地適應(yīng)特定單位的安全策略。

        圖1 RBAC模型

        但是,RBAC模型僅僅解決了功能資源授權(quán)問(wèn)題,對(duì)于數(shù)據(jù)資源授權(quán),因?yàn)楹蜆I(yè)務(wù)緊密相關(guān),必須在RBAC模型的基礎(chǔ)上進(jìn)行擴(kuò)充,才能較好地解決數(shù)據(jù)資源授權(quán)問(wèn)題。

        圖2 基于角色的細(xì)粒度分級(jí)授權(quán)模型

        分級(jí)授權(quán)問(wèn)題的提出

        對(duì)于一個(gè)高校來(lái)說(shuō),人員的調(diào)入調(diào)出、單位變更、工作職責(zé)變化都是日常工作,而隨著人員的狀態(tài)、單位、職責(zé)變更,相應(yīng)的授權(quán)也應(yīng)該同時(shí)發(fā)生變化,這樣才能更好地保障系統(tǒng)和信息的安全性。學(xué)校的業(yè)務(wù)部門、院系眾多,如果信息系統(tǒng)的授權(quán)都集中在校級(jí)系統(tǒng)管理員或者校級(jí)系統(tǒng)管理小組,那么工作量將非常大,而且往往不能及時(shí)更新用戶授權(quán),也不符合目前的管理體制,研究表明,角色/權(quán)限之間的變化比用戶/角色關(guān)系之間的變化相對(duì)要慢得多,并且委派用戶到角色不需要很多技術(shù),可以由業(yè)務(wù)部門人員來(lái)執(zhí)行,而配置權(quán)限到角色的工作比較復(fù)雜,需要一定的技術(shù),可以由專門的技術(shù)人員來(lái)承擔(dān),但是不給他們委派用戶的權(quán)限。基于以上研究,將系統(tǒng)管理員劃分成校級(jí)系統(tǒng)管理員和部門級(jí)系統(tǒng)管理員,把用戶到角色之間的關(guān)聯(lián)用分級(jí)授權(quán)機(jī)制分配給部門級(jí)系統(tǒng)管理員,使得:

        1.授權(quán)更及時(shí):當(dāng)部門內(nèi)部的人員流動(dòng)、職責(zé)變更時(shí),在部門內(nèi)部即可及時(shí)處理。

        2.授權(quán)更準(zhǔn)確:部門內(nèi)部的人員要使用的系統(tǒng)角色通常部門內(nèi)部會(huì)更清楚,分配人員角色時(shí)會(huì)更準(zhǔn)確。

        3.職責(zé)分明:校級(jí)系統(tǒng)管理員專注于角色、功能權(quán)限、數(shù)據(jù)權(quán)限及相關(guān)關(guān)聯(lián)的設(shè)定和授予,以及部門級(jí)系統(tǒng)管理員的管理;而部門級(jí)系統(tǒng)管理員則專注于用戶和角色關(guān)聯(lián)關(guān)系的設(shè)定。

        基于角色的細(xì)粒度分級(jí)授權(quán)模型定義

        本模型對(duì)RBAC模型進(jìn)行了擴(kuò)展,引入了業(yè)務(wù)規(guī)則、部門、崗位三個(gè)對(duì)象,把業(yè)務(wù)規(guī)則和角色相關(guān)聯(lián),通過(guò)業(yè)務(wù)規(guī)則限定用戶訪問(wèn)的數(shù)據(jù)范圍;將崗位和部門相關(guān)聯(lián),部門系統(tǒng)管理員能夠自行設(shè)置崗位,并設(shè)置崗位包含的角色,把本部門用戶分配到相應(yīng)的崗位上面。整個(gè)模型如圖2所示。

        當(dāng)用戶→角色和用戶→崗位→角色兩條路徑發(fā)生重疊時(shí),系統(tǒng)將按照取并集的規(guī)則進(jìn)行處理。本模型由以下幾部分組成:

        模型中的主要函數(shù)關(guān)系包括:

        1.部門崗位設(shè)置set_department_posts:DEPT→2post,其中,{post∈POST},每個(gè)部門都能設(shè)置一組崗位集;

        2.崗位角色設(shè)置set_posts_roles:POST→2role,其中,{role∈ROLE},每個(gè)崗位都能設(shè)置一組角色集;

        3.用戶崗位分配assigned_users_posts:USER→2post,其中,{post∈POST},每個(gè)用戶都能分派到一組崗位集;

        4.用戶角色分配assigned_users_roles:USER→2role,其中,{role∈ROLE},每個(gè)用戶都能分派一組角色集;

        5.角色功能權(quán)限分配assigned_roles_permissions:ROLE→2perm,其中,{perm∈PERM},每個(gè)角色都能分派一組權(quán)限集;

        6.角色數(shù)據(jù)權(quán)限分配assigned_roles_bussinessrules:ROLE→2buss,其中,{buss∈BUSS},每個(gè)角色都能分派一組業(yè)務(wù)規(guī)則集;

        7.用戶角色合成users_roles_compose:SESS×USER→ 2role, 其中{role∈ROLE|ROLEassigned_users_posts(ROLE)∪ assigned_users_roles(ROLE)},會(huì)話中用戶的角色合成是用戶崗位角色和用戶直接角色的并集。

        模型訪問(wèn)控制流程

        整個(gè)模型的訪問(wèn)控制流程如圖3所示。

        圖3 訪問(wèn)控制流程

        基于角色的細(xì)粒度分級(jí)授權(quán)模型的應(yīng)用

        中山大學(xué)研究生教育管理信息系統(tǒng)面向的用戶包括研究生院、各院系、導(dǎo)師、學(xué)生,學(xué)生類型復(fù)雜,各院系在管理上都有各自的特點(diǎn),小的院系一個(gè)研究生秘書(shū)就分管了全部學(xué)生,大的院系則根據(jù)年級(jí)、專業(yè)的不同,由多個(gè)研究生秘書(shū)分管。在研究生院內(nèi)部,不同的業(yè)務(wù)管理部門分管不同的業(yè)務(wù)。因此,在授權(quán)訪問(wèn)控制上面必須有靈活的數(shù)據(jù)權(quán)限控制,同時(shí)還要能提供及時(shí)、準(zhǔn)確的授權(quán)。

        系統(tǒng)的安全訪問(wèn)需求

        1.功能權(quán)限因用戶的層次、分管業(yè)務(wù)的不同而不同。不同的用戶只能操作自己權(quán)限范圍內(nèi)的功能模塊。

        2.數(shù)據(jù)權(quán)限需要有足夠細(xì)的粒度和靈活性。根據(jù)深入業(yè)務(wù)調(diào)研,發(fā)現(xiàn)各個(gè)院系在管理上都非常靈活,可以根據(jù)院系、專業(yè)、研究方向、培養(yǎng)層次(碩士、博士)、年級(jí)、單雙證、專業(yè)學(xué)位等粒度進(jìn)行管理。

        3.授權(quán)管理必須簡(jiǎn)單、可維護(hù)。中山大學(xué)是一所綜合性高等學(xué)校,院系眾多,內(nèi)部人員流動(dòng)、崗位變更頻繁,用戶授權(quán)必須是動(dòng)態(tài)可調(diào)整的,而且院系內(nèi)部的變動(dòng)一般只有院系才能準(zhǔn)確、及時(shí)掌握,因此,必須實(shí)現(xiàn)授權(quán)管理的簡(jiǎn)單可操作,讓非專業(yè)人員也能進(jìn)行授權(quán)。

        圖4 基于角色的細(xì)粒度分級(jí)授權(quán)數(shù)據(jù)庫(kù)物理模型

        數(shù)據(jù)庫(kù)設(shè)計(jì)

        基于細(xì)粒度分級(jí)授權(quán)模型定義,結(jié)合安全訪問(wèn)需求,建立基于角色的細(xì)粒度分級(jí)授權(quán)管理的數(shù)據(jù)庫(kù)模型,如圖4所示,圖中只給出了各表的主要屬性。

        在傳統(tǒng)的RBAC模型基礎(chǔ)上,增加了業(yè)務(wù)規(guī)則表和業(yè)務(wù)規(guī)則明細(xì)表,來(lái)控制角色能夠訪問(wèn)的數(shù)據(jù)資源范圍,業(yè)務(wù)規(guī)則表通過(guò)業(yè)務(wù)規(guī)則對(duì)應(yīng)實(shí)體以及表達(dá)式將業(yè)務(wù)規(guī)則明細(xì)表中的條件進(jìn)行組合,示例:業(yè)務(wù)規(guī)則對(duì)應(yīng)實(shí)體為“學(xué)生基本信息”,表達(dá)式:1 AND (2 OR 3),其中數(shù)字對(duì)應(yīng)的是業(yè)務(wù)規(guī)則明細(xì)表中的業(yè)務(wù)規(guī)則明細(xì)編號(hào),業(yè)務(wù)規(guī)則明細(xì)見(jiàn)表1。

        那么這條業(yè)務(wù)規(guī)則的含義表示角色訪問(wèn)的數(shù)據(jù)權(quán)限為法學(xué)院,并且年級(jí)為2013或者2014的學(xué)生基本信息數(shù)據(jù)。通過(guò)設(shè)定業(yè)務(wù)規(guī)則,能夠靈活制定相應(yīng)角色的系統(tǒng)數(shù)據(jù)操作權(quán)限范圍。

        表1 業(yè)務(wù)規(guī)則明細(xì)

        在分級(jí)授權(quán)實(shí)現(xiàn)上,引入“崗位”的概念與實(shí)際部門結(jié)構(gòu)相對(duì)應(yīng)。校級(jí)管理員對(duì)部門級(jí)管理員的管理體現(xiàn)在于對(duì)部門級(jí)管理員管理權(quán)限的分配上,部門級(jí)管理員由校級(jí)管理員管理,校級(jí)管理員分配部門級(jí)管理員能夠管理的角色和人員范圍,部門級(jí)管理員具有一定的自治性,在其管理范圍內(nèi),能夠自主管理崗位、分配人員與崗位關(guān)聯(lián)、分配崗位與所管理的角色關(guān)聯(lián)。

        用戶權(quán)限獲取

        用戶在客戶端提交登錄賬號(hào)和密碼后,通過(guò)認(rèn)證后將用戶信息存入當(dāng)前會(huì)話中,根據(jù)當(dāng)前會(huì)話的用戶信息獲取用戶權(quán)限集合,采用如下偽碼表示:

        CPermSet GetUserPerm(String userName) //獲取當(dāng)前用戶的權(quán)限集

        {

        CPostSet postSet = getAssignedUserPosts(userNa me);//獲取用戶的崗位集

        CRoleSet roleSet = [];

        for (int i=0; i

        roleSet= roleSet.union(getAssignedPostRoles(postS et.get(i)));//根據(jù)崗位獲取角色集

        }

        roleSet.union(getAssignedUserRoles(username);//將用戶直接角色集和崗位角色集進(jìn)行合并,形成用戶最終角色集

        CPermSet permSet = [];

        for (i=0; i

        permSet.union(getAssignedRolePerms(roleSet.get(i)));//根據(jù)角色獲取權(quán)限集

        }

        return permSet;

        }

        數(shù)據(jù)權(quán)限獲取

        當(dāng)用戶點(diǎn)擊某個(gè)功能菜單或者某個(gè)操作按鈕時(shí),權(quán)限系統(tǒng)會(huì)從權(quán)限庫(kù)中檢索出當(dāng)前用戶使用的這個(gè)功能菜單對(duì)應(yīng)的角色所擁有的業(yè)務(wù)規(guī)則,使用此業(yè)務(wù)規(guī)則作為過(guò)濾條件對(duì)用戶可操作的數(shù)據(jù)范圍進(jìn)行控制。

        Map getUserPermData(String userName, String permUrl)

        {

        String roleNo = getRoleFromUserPerm(userName,permUrl);//通過(guò)用戶名、資源url獲取對(duì)應(yīng)的角色編號(hào)String bussinessRuleNo = getAssignedRoleBusines sRule(roleNo);//通過(guò)角色編號(hào)獲取業(yè)務(wù)規(guī)則編號(hào)

        String bussinessRuleEntity = getBussinessRuleEnti ty(bussinessRuleNo);// /通過(guò)業(yè)務(wù)規(guī)則編號(hào)獲取業(yè)務(wù)規(guī)則對(duì)應(yīng)的對(duì)象實(shí)體

        String bussinessRuleExpr = composeBussinessRu

        le(businessRuleNo);//通過(guò)業(yè)務(wù)規(guī)則編號(hào)組裝業(yè)務(wù)規(guī)則表達(dá)式

        Map bussinessRule = {getBussinessRuleEntity(role No), bussinessRuleExpr};//將業(yè)務(wù)規(guī)則對(duì)應(yīng)的對(duì)象實(shí)體和業(yè)務(wù)規(guī)則表達(dá)式組合成Map

        return businessRule;

        }

        角色沖突問(wèn)題的解決

        一個(gè)用戶可以分配多個(gè)角色,一個(gè)角色又能授予多個(gè)功能資源,有可能一個(gè)用戶的兩個(gè)或多個(gè)不同角色授予了同一個(gè)功能資源,如果沒(méi)有數(shù)據(jù)授權(quán),那么并不會(huì)產(chǎn)生角色沖突,但如果使用了數(shù)據(jù)授權(quán),則會(huì)產(chǎn)生角色沖突。譬如,一個(gè)用戶同時(shí)被分配了法學(xué)院研究生秘書(shū)和管理學(xué)院研究生秘書(shū)的角色,這兩個(gè)角色都授予了“查詢學(xué)生學(xué)籍”的功能資源,此時(shí)就會(huì)產(chǎn)生角色沖突。解決角色沖突可以通過(guò)兩個(gè)辦法:

        1.由用戶選擇當(dāng)前會(huì)話使用哪個(gè)角色,系統(tǒng)通過(guò)會(huì)話記錄用戶的當(dāng)前選擇,在本次會(huì)話的操作中,都使用當(dāng)前選擇的角色。

        2.增加一個(gè)角色,如上面的例子,就可以增加“法學(xué)院、管理學(xué)院研究生秘書(shū)”這樣的角色,在業(yè)務(wù)規(guī)則表中設(shè)置表達(dá)式:1 OR 2,在業(yè)務(wù)規(guī)則明細(xì)表中設(shè)置,見(jiàn)表2。

        表2 業(yè)務(wù)規(guī)則明細(xì)

        上述兩種方案各有利弊,第1個(gè)方案可以有效利用系統(tǒng)已經(jīng)設(shè)定的角色,但是需要用戶選擇,給用戶帶來(lái)使用上的不便。第2個(gè)方案通過(guò)業(yè)務(wù)規(guī)則的設(shè)定避免了角色沖突,無(wú)需用戶選擇,用戶體驗(yàn)會(huì)更佳,但是增加了系統(tǒng)管理員的角色管理負(fù)擔(dān)。因此,在實(shí)際建設(shè)過(guò)程中,要按照學(xué)校的自身特點(diǎn)加以選擇。

        基于角色的細(xì)粒度分級(jí)授權(quán)模型把系統(tǒng)角色和業(yè)務(wù)規(guī)則、功能權(quán)限相關(guān)聯(lián),能夠?qū)崿F(xiàn)靈活的細(xì)粒度數(shù)據(jù)授權(quán),滿足業(yè)務(wù)安全需求,同時(shí),通過(guò)崗位的設(shè)置,將用戶授權(quán)管理劃分到二級(jí)部門,做到及時(shí)、準(zhǔn)確的授權(quán)。經(jīng)過(guò)在中山大學(xué)研究生教育管理信息系統(tǒng)上面的實(shí)踐檢驗(yàn),該模型切實(shí)可行,取得了很好的應(yīng)用效果。

        猜你喜歡
        細(xì)粒度訪問(wèn)控制規(guī)則
        融合判別性與細(xì)粒度特征的抗遮擋紅外目標(biāo)跟蹤算法
        撐竿跳規(guī)則的制定
        數(shù)獨(dú)的規(guī)則和演變
        細(xì)粒度的流計(jì)算執(zhí)行效率優(yōu)化方法
        基于雙線性卷積網(wǎng)絡(luò)的細(xì)粒度圖像定位
        讓規(guī)則不規(guī)則
        Coco薇(2017年11期)2018-01-03 20:59:57
        ONVIF的全新主張:一致性及最訪問(wèn)控制的Profile A
        TPP反腐敗規(guī)則對(duì)我國(guó)的啟示
        支持細(xì)粒度權(quán)限控制且可搜索的PHR云服務(wù)系統(tǒng)
        動(dòng)態(tài)自適應(yīng)訪問(wèn)控制模型
        久久久无码精品亚洲日韩按摩 | 曰本女人牲交全视频免费播放| 久久精品免视看国产明星| 国产在线精彩自拍视频| 亚洲人不卡另类日韩精品| 99精品国产一区二区三区| 日韩中文网| 日本无吗一区二区视频| 国产av一级黄一区二区三区| 把女邻居弄到潮喷的性经历 | 欧美日韩精品一区二区三区高清视频 | 国产一级一片内射在线| 久久黄色国产精品一区视频| 女人被狂躁高潮啊的视频在线看 | 国产成人综合亚洲av| 日本一区二区不卡在线| 51看片免费视频在观看| 在线免费黄网| 成人女同av免费观看| 亚洲最大中文字幕熟女| 亚洲av蜜桃永久无码精品| 日韩亚洲制服丝袜中文字幕| 精品国产av一区二区三四区| 人妻无码一区二区三区| 亚洲尺码电影av久久| 亚洲高清在线观看免费视频 | 无码人妻h动漫中文字幕| 天天爽天天爽天天爽| 中文字幕亚洲乱亚洲乱妇| 日韩精品免费一区二区三区观看| 亚洲第一se情网站| 精品国产三级a| 日产国产精品亚洲高清| 久久综合九色综合久99| 福利一区在线观看| 粉嫩的18在线观看极品精品| 老鸭窝视频在线观看| 国产精品福利视频一区| 亚洲日韩精品AⅤ片无码富二代| 日本免费一区二区在线视频播放 | 人人妻人人澡人人爽国产|