使用控制模型及其應(yīng)用的分析與研究

1、使用控制模型及其應(yīng)用的分析與研究摘 要使用控制模型是近年來提出的新型訪問控制模型，它包含了傳統(tǒng)訪問控制模型并能滿足現(xiàn)代信息系統(tǒng)的訪問控制需求。本文在對(duì)使用控制模型介紹與分析的基礎(chǔ)上，討論了基于該模型實(shí)現(xiàn)傳統(tǒng)的訪問控制和數(shù)字版權(quán)管理的應(yīng)用。 關(guān)鍵詞使用控制模型；可變性；連續(xù)性 1引言 訪問控制(Access Control)是國(guó)際標(biāo)準(zhǔn)化組織ISO在網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(ISO7498-2)中定義的安全信息系統(tǒng)的基礎(chǔ)架構(gòu)中必須包含的五種安全服務(wù)之一，它通過顯式地允許或限制用戶的訪問能力及范圍，對(duì)用戶提出的訪問請(qǐng)求進(jìn)行控制，以保證資源不被非法使用。訪問控制是一種重要的信息安全技術(shù)，與數(shù)據(jù)加密、身份認(rèn)證和密鑰

2、管理等信息安全技術(shù)結(jié)合使用來保障信息系統(tǒng)的安全。 著名的經(jīng)典訪問控制模型包括：自主訪問控制(Discretionary Access Control，DAC)、強(qiáng)制訪問控制(Mandatory Access Control，MAC)和基于角色的訪問控制(Role Based Access Control，RBAC)，它們主要關(guān)注在一個(gè)信息系統(tǒng)封閉環(huán)境中資源機(jī)密性和完整性的保護(hù)。而隨著網(wǎng)絡(luò)技術(shù)特別是新型互聯(lián)網(wǎng)應(yīng)用(如P2P、數(shù)字版權(quán)管理等)的迅速發(fā)展，現(xiàn)代信息系統(tǒng)面向的是一個(gè)開放網(wǎng)絡(luò)環(huán)境，系統(tǒng)具有開放性、動(dòng)態(tài)性和擴(kuò)展性，在為用戶提供了更加廣闊的資源空間和更加便利服務(wù)的同時(shí)，也產(chǎn)生了新的安全問題。

3、例如，開放系統(tǒng)和未知用戶的授權(quán)問題、數(shù)字資源的分發(fā)和持續(xù)使用控制問題、資源使用的可變性問題等，這些問題使得訪問控制的復(fù)雜性大為增加。而傳統(tǒng)訪問控制機(jī)制由于設(shè)計(jì)基礎(chǔ)的局限性，不能很好地滿足開放式網(wǎng)絡(luò)環(huán)境中動(dòng)態(tài)、連續(xù)的訪問控制需求，在此情況下，建立一個(gè)面向開放網(wǎng)絡(luò)環(huán)境的訪問控制模型已經(jīng)成為亟待解決的問題。 當(dāng)前，面向開放網(wǎng)絡(luò)環(huán)境的訪問控制的研究主要從2個(gè)途徑展開：一是在基本RBAC模型上進(jìn)行擴(kuò)展和增強(qiáng)，近年提出的主要RBAC擴(kuò)展模型包括：帶時(shí)間約束的RBAC、分布式RBAC (Distributed RBAC)、基于任務(wù)和角色的訪問控制T-RBAC (Task-Role-Based Aceess

4、control)等。這些增強(qiáng)的RBAC模型彌補(bǔ)了基本RBAC模型在開放式網(wǎng)絡(luò)環(huán)境中表現(xiàn)出的某些缺陷。另一途徑是提出一些新的訪問控制技術(shù)和模型，近期提出的主要訪問控制技術(shù)包括：信任管理(Trust Management，TM)和數(shù)字版權(quán)管理(Digital Rights Management，DRM)，提出的訪問控制模型是使用控制模型(Usage Control，UCON)。信任管理是在20世紀(jì)90年代后半段興起的訪問控制技術(shù)，是目前對(duì)開放系統(tǒng)和未知用戶的授權(quán)研究采用的主要技術(shù)，DRM技術(shù)是對(duì)各類數(shù)字內(nèi)容的知識(shí)產(chǎn)權(quán)進(jìn)行保護(hù)的一系列軟硬件技術(shù)，用以保證數(shù)字內(nèi)容在整個(gè)生命周期內(nèi)的合法使用，目前已經(jīng)在

5、Internet上得到了廣泛的應(yīng)用。而UCON則是將傳統(tǒng)訪問控制、信任管理和DRM三個(gè)領(lǐng)域的問題進(jìn)行統(tǒng)一考慮，以形成一個(gè)能夠解決開放式網(wǎng)絡(luò)環(huán)境的訪問控制問題的模型。 2使用控制模型 為了統(tǒng)一在訪問控制研究中提出的許多新概念(如信任管理、數(shù)字版權(quán)管理、義務(wù)、條件)，George Mason大學(xué)著名的信息安全專家J. Park和R.Sandhu于2002年首次提出了“使用控制”的概念；隨后，二人提出了使用控制的核心模型ABC(Authorization oBligation Condition)模型并給出了完整定義，ABC模型闡釋了“使用控制”的本質(zhì)。在此基礎(chǔ)上Xinwen Zhang、Park和

6、Sandhu給出了ABC模型的形式化描述并對(duì)ABC模型的授權(quán)安全屬性(Safety Properties)進(jìn)行了分析，證明了具有有限屬性域的授權(quán)模型存在一個(gè)可判定的安全性。 使用控制模型是對(duì)傳統(tǒng)訪問控制模型的根本性增強(qiáng)，它包含了義務(wù)、條件、連續(xù)性和可變性等抽象和反映了開放式網(wǎng)絡(luò)環(huán)境中的訪問控制需求的新概念，是解決開放式網(wǎng)絡(luò)環(huán)境中的訪問控制問題的一種有前途的研究方向，被很多專家和學(xué)者認(rèn)為是下一代的訪問控制模型的發(fā)展方向。 2.1ABC模型的組成 使用控制的核心模型是ABC(Authorization，oBligation，Condition)模型，也稱為UCONABC模型。ABC模型包括主體、客

7、體、權(quán)限3個(gè)基本元素和授權(quán)規(guī)則、義務(wù)、條件3個(gè)與授權(quán)有關(guān)的元素，其組成如圖1所示。 圖1UCONABC模型 主體(Subjects)是對(duì)客體(Objects)擁有某些使用權(quán)限的主動(dòng)實(shí)體，記為S。主體屬性(Subject Attribute)標(biāo)識(shí)了主體能力和特征，是權(quán)限決策過程中的重要參數(shù)，記為ATT(S)。常見的主體屬性有：用戶名、用戶組、角色和安全級(jí)別等。 客體(Objects)是按權(quán)限(Rights)的規(guī)定接受主體訪問的被動(dòng)實(shí)體，記為O?？腕w屬性(Object Arttbiute)是標(biāo)識(shí)客體的重要信息，包括客體的安全標(biāo)簽、所有關(guān)系、類別和訪問控制列表ACL等，記為ATT(O)。 權(quán)限(Ri

8、ghts)是主體能夠?qū)腕w進(jìn)行控制和執(zhí)行的特權(quán)，由主體可以對(duì)客體進(jìn)行的訪問操作(如讀、寫、運(yùn)行)集組成， 記為R。 授權(quán)規(guī)則(Authorization Rules)是指允許主體使用客體特定權(quán)限必須滿足的規(guī)則集，它是判定主體是否能夠訪問客體的決定因素，記為A。 義務(wù)(Obligations)是指主體獲得或行使對(duì)客體的訪問權(quán)利前或過程中必須完成的操作，記為B。例如，用戶必須填寫個(gè)人信息表才允許訪問有關(guān)的技術(shù)資料。 條件(Conditions)是指主體獲得或行使對(duì)客體的訪問權(quán)利前必須滿足的系統(tǒng)或執(zhí)行環(huán)境的強(qiáng)制約束條件，記為C。例如，用戶必須在特定IP地址才能訪問有關(guān)的資源。 2.2連續(xù)性和可變性

9、傳統(tǒng)訪問控制模型僅用授權(quán)規(guī)則來決定對(duì)訪問請(qǐng)求的處理，而ABC模型必須考慮授權(quán)規(guī)則、義務(wù)和條件等使用決定因素，其中義務(wù)、條件是使用控制模型提出的新概念，是對(duì)傳統(tǒng)訪問控制基于屬性的控制策略的擴(kuò)展與增強(qiáng)。 使用控制模型引入了連續(xù)性(Continuity)和可變性(Multability)兩種新的重要特征，是開放式網(wǎng)絡(luò)環(huán)境中的訪問控制所必不可少的。在傳統(tǒng)訪問控制中，授權(quán)決策是在訪問操作執(zhí)行之前進(jìn)行判斷的。而在現(xiàn)代訪問控制中，有相對(duì)長(zhǎng)期持續(xù)的資源使用或立即撤消資源使用權(quán)限的應(yīng)用要求。因此，授權(quán)決策需要在資源的使用過程(ongoing)中對(duì)訪問請(qǐng)求進(jìn)行不間斷的或重復(fù)的檢查和判斷，這一特征稱為“連續(xù)性”。另

10、一方面，傳統(tǒng)訪問控制中，屬性只有通過管理行為才能被改變；但在開放式網(wǎng)絡(luò)環(huán)境的許多應(yīng)用中，屬性需隨著主體行為而被改變，這種改變必將影響到主體的下次或本次訪問權(quán)限的判斷，這一特征稱為“可變性”。 2.316種基本的ABC模型 使用控制模型中，授權(quán)是由授權(quán)規(guī)則、義務(wù)、條件和屬性可變性等因素共同決定的。由于授權(quán)規(guī)則的形式可以是使用前授權(quán)(preA)、使用中授權(quán)(onA)，同樣義務(wù)、條件的形式也可以是使用前(preB、preC)、使用中(onB、onC)，而屬性可變性可分為不改變(0)、使用前改變(1)、使用中改變(2)和使用后改變(3)等4種情況，通過組合可構(gòu)造出使用控制的16個(gè)基本模型。表1中給出了

11、基于授權(quán)規(guī)則、義務(wù)、條件三個(gè)決策因素和屬性可變性的各種可能模型，可能的情況標(biāo)為“Y”，否則標(biāo)為“N”。 表116種基本ABC模型屬性可 變性 決策因素 不改變 0 使用前改變 1 使用中改變 2 使用后改變 3 preA Y Y N Y onA Y Y Y Y preB Y Y N Y onB Y Y Y Y preC Y N N N onC Y N N N 表1中只考慮單一的決策因素。例如若決策因素是“preA”，則屬性改變只能在使用前或使用后，而不可能在使用中；而在以條件為決策因素(preC、onC)的訪問模型中所有更新屬性的組合都標(biāo)為“N”，因?yàn)椤皸l件”只與環(huán)境或系統(tǒng)狀態(tài)有關(guān)，不能改變?nèi)?/p>

12、何主客體屬性。以UCON決策因素，屬性可變性值的形式表示基本模型，例如UCONpreA1表示以授權(quán)規(guī)則作為決策因素、并在使用前改變主客體有關(guān)可變屬性的基本模型。 在實(shí)際系統(tǒng)中可根據(jù)不同應(yīng)用的需求產(chǎn)生不同的組合模型，例如模型UCONpreC0onC0，表示在使用前和使用中都要執(zhí)行“條件”決策因素，且都不改變主客體的屬性。 3使用控制模型的應(yīng)用 本節(jié)討論自主訪問控制DAC、強(qiáng)制訪問控制MAC、基于角色的訪問控制RBAC和數(shù)字版權(quán)管理模型在ABC模型中的實(shí)現(xiàn)，以集合謂詞為主要描述工具進(jìn)行分析。3.1DAC模型的實(shí)現(xiàn) 自主訪問控制DAC是在確認(rèn)主體身份以及它們所屬組的基礎(chǔ)上對(duì)訪問進(jìn)行限制的一種方法，獲

13、得訪問許可的主體能夠向其它主體轉(zhuǎn)讓訪問權(quán)。在實(shí)現(xiàn)上，首先對(duì)用戶的身份(id)進(jìn)行鑒別，然后就可按訪問控制列表ACL所賦予用戶的權(quán)限允許或限制用戶使用客體資源。DAC可由UCONpreA0模型支持，以下是有關(guān)描述： (1)S表示主體即用戶或用戶組，O表示客體，N表示身份標(biāo)記集合，R為操作權(quán)限集。 (2) id表示用戶到標(biāo)記集合N之間的一對(duì)一映射關(guān)系。 (3) ACL表示客體與NR之間的映射關(guān)系，其中NR為用戶身份與操作權(quán)限的組合關(guān)系。 (4) ATT(S) = id。 (5) ATT(O) = ACL。 (6) allowed(s，o，r) (id(s)，r) ACL(o)。其中allow(s，

14、o，r)表示主體s對(duì)客體o具有執(zhí)行r操作的權(quán)限。 3.2MAC模型的實(shí)現(xiàn) 強(qiáng)制訪問控制MAC是一種強(qiáng)制主體服從訪問控制策略的訪問方式。在強(qiáng)制訪問控制中，主體和客體資源都被賦予了一定的安全級(jí)別(如公開、秘密、機(jī)密和絕密等)，安全級(jí)別之間是一種偏序關(guān)系。按使用控制的觀點(diǎn)來看，主體屬性為安全等級(jí)(clearance)，而客體屬性為安全類別(classifiactoin)。采用MAC的系統(tǒng)先對(duì)訪問主體和受控客體的安全級(jí)別屬性進(jìn)行比較，再?zèng)Q定訪問主體能否訪問該受控對(duì)象。通過這些主體和客體的安全級(jí)別的偏序關(guān)系來執(zhí)行強(qiáng)制訪問控制的安全規(guī)則，即簡(jiǎn)單安全特性規(guī)則和*特性規(guī)則。MAC由UCONpreA0模型支持，

15、以下是有關(guān)描述： (1) L表示具有偏序關(guān)系的安全級(jí)別集合；claearnce表示訪問主體S和安全級(jí)別L之間的映射函數(shù)，即SL。calssfiiaction表示客體和安全級(jí)別L之間的映射函數(shù)，即OL。 (2) ATT(S)=clearance。 (3) ATT(O)=classification。 (4) allowed(s，o，read) clearance (s) classification (o)，即主體只能向下讀，不能向上讀(簡(jiǎn)單安全特性規(guī)則)。 (5) allowed(s，o，write) clearance (s) classification (o)，即主體只能向上寫，不能向下

16、寫(*特性規(guī)則)。 3.3RBAC模型的實(shí)現(xiàn) 基于角色的訪問控制策略RBAC中，將訪問權(quán)限分配給角色，用戶通過被指派為角色從而獲得角色所擁有的訪問控制權(quán)限。從使用控制的觀點(diǎn)來看，用戶/角色的映射關(guān)系可作為主體屬性，角色/操作權(quán)限的映射關(guān)系可作為客體屬性和權(quán)限。2001年提出的NIST標(biāo)準(zhǔn)RBAC模型是各類基于角色的訪問控制模型的基礎(chǔ)，它由基本模型RBAC0(Core RBAC)、等級(jí)模型RBAC1(Hierarchal RBAC)、約束模型RBAC2(Constraint RBAC)和統(tǒng)一模型RBAC3(Combines RBAC)四個(gè)子模型組成。RBAC0中包含用戶users、角色roles

17、、目標(biāo)objects、會(huì)話sessions、操作operations五個(gè)基本數(shù)據(jù)元素和用戶角色分配(URP)、角色權(quán)限分配(PRA)，其基本思想是通過角色建立和訪問權(quán)限之間的多對(duì)多關(guān)系，用戶由此獲得訪問權(quán)限。RBAC1、RBAC2、RBAC3都是在RBAC0上的擴(kuò)展。RBAC1引入了角色的等級(jí)和角色間的繼承，角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。一般繼承關(guān)系允許角色間的多繼承，受限繼承關(guān)系則要求角色間單繼承。以下是通過UCONpreA0實(shí)現(xiàn)以RBAC1的描述： (1) P = (o，r)，P表示授權(quán)集合，(o，r)為客體-權(quán)限對(duì)。 (2) ROLE表示角色層次的偏序關(guān)系。 (3)

18、actRole表示激活角色，實(shí)現(xiàn)用戶角色分配(URP)。 (4) pRole表示授權(quán)角色，實(shí)現(xiàn)角色權(quán)限分配(PRA)。 (5) ATT(S) = actRole。 (6) ATT(O) = pRole。 (7) allowed(s，o，r) = role actRole(s) role pRole(o，r) rolerole，即如果存在授權(quán)角色(pRole(o，r)，其偏序關(guān)系激活角色(actRole(s)，則訪問請(qǐng)求被允許。 3.4DRM模型的實(shí)現(xiàn) 數(shù)字版權(quán)管理DRM是對(duì)各類數(shù)字媒體內(nèi)容的知識(shí)產(chǎn)權(quán)進(jìn)行保護(hù)的一系列技術(shù)，它是一種在開放是網(wǎng)絡(luò)環(huán)境中的基于支付(Pay-Based)的使用控制策略。

19、典型的數(shù)字版權(quán)使用控制策略包括使用前支付、使用后支付、累計(jì)支付等基本類型。以下是通過UCONpreA1實(shí)現(xiàn)使用前支付DRM模型的描述： (1) op表示用戶對(duì)數(shù)字媒體內(nèi)容的操作集(如播放、復(fù)制等)。 (2) credit表示用戶帳號(hào)中的金額。 (3) value表示使用客體資源的價(jià)格。 (4) ATT(s) ：credit(s)。 (5) ATT(o，op) ：value(o，op)。 (6) allowed(s，o，op) credit(s) value(o，op)，即當(dāng)用戶帳號(hào)上的余額大于或等于客體資源的使用價(jià)格時(shí)，允許其訪問。 (7) preUpdate(credit (s)：credit(s) = credit(s)-value(o，op)，即在主體使用客體資源之前，按客體資源的使用價(jià)格修改用戶帳號(hào)中的金額。 無論是RBAC模型，還是數(shù)字版權(quán)管理DRM模型，雖然其應(yīng)用場(chǎng)合有很多變化，但都可根據(jù)具體應(yīng)用需求選用ABC基本模型或組合模型進(jìn)行描述。 4結(jié)束語 使用控制是下一代訪問控制技術(shù)發(fā)展的基礎(chǔ)，其兩個(gè)核心內(nèi)容：主客體屬性的可變性和授權(quán)決策的連續(xù)性是反映開放網(wǎng)絡(luò)環(huán)境中訪問控制需要的重要特性。它提供了強(qiáng)大的描述能力，在各類信息安全系統(tǒng)中將有著良好的應(yīng)用前景。 參考文獻(xiàn)1 Zhan