使用控制模型及其應(yīng)用的分析與研究

1、使用控制模型及其應(yīng)用的分析與研究摘要使用控制模型是近年來提出的新型訪問控制模型，它包含了傳統(tǒng)訪問控制模型并能滿足現(xiàn)代信息系統(tǒng)的訪問控制需求。本文在對使用控制模型介紹與分析的根底上，討論了基于該模型實(shí)現(xiàn)傳統(tǒng)的訪問控制和數(shù)字版權(quán)管理的應(yīng)用。關(guān)鍵詞使用控制模型；可變性；連續(xù)性1引言訪問控制(Aessntrl)是國際標(biāo)準(zhǔn)化組織IS在網(wǎng)絡(luò)平安標(biāo)準(zhǔn)(IS7498-2)中定義的平安信息系統(tǒng)的根底架構(gòu)中必須包含的五種平安效勞之一，它通過顯式地允許或限制用戶的訪問才能及范圍，對用戶提出的訪問懇求進(jìn)展控制，以保證資源不被非法使用。訪問控制是一種重要的信息平安技術(shù)，與數(shù)據(jù)加密、身份認(rèn)證和密鑰管理等信息平安技術(shù)結(jié)合使

2、用來保障信息系統(tǒng)的平安。著名的經(jīng)典訪問控制模型包括：自主訪問控制(DisretinaryAessntrl，DA)、強(qiáng)迫訪問控制(andatryAessntrl，A)和基于角色的訪問控制(RleBasedAessntrl，RBA)，它們主要關(guān)注在一個(gè)信息系統(tǒng)封閉環(huán)境中資源機(jī)密性和完好性的保護(hù)。而隨著網(wǎng)絡(luò)技術(shù)特別是新型互聯(lián)網(wǎng)應(yīng)用(如P2P、數(shù)字版權(quán)管理等)的迅速開展，現(xiàn)代信息系統(tǒng)面向的是一個(gè)開放網(wǎng)絡(luò)環(huán)境，系統(tǒng)具有開放性、動(dòng)態(tài)性和擴(kuò)展性，在為用戶提供了更加廣闊的資源空間和更加便利效勞的同時(shí)，也產(chǎn)生了新的平安問題。例如，開放系統(tǒng)和未知用戶的受權(quán)問題、數(shù)字資源的分發(fā)和持續(xù)使用控制問題、資源使用的可變性問

3、題等，這些問題使得訪問控制的復(fù)雜性大為增加。而傳統(tǒng)訪問控制機(jī)制由于設(shè)計(jì)根底的局限性，不能很好地滿足開放式網(wǎng)絡(luò)環(huán)境中動(dòng)態(tài)、連續(xù)的訪問控制需求，在此情況下，建立一個(gè)面向開放網(wǎng)絡(luò)環(huán)境的訪問控制模型已經(jīng)成為亟待解決的問題。當(dāng)前，面向開放網(wǎng)絡(luò)環(huán)境的訪問控制的研究主要從2個(gè)途徑展開：一是在根本RBA模型上進(jìn)展擴(kuò)展和增強(qiáng)，近年提出的主要RBA擴(kuò)展模型包括：帶時(shí)間約束的RBA、分布式RBA(DistributedRBA)、基于任務(wù)和角色的訪問控制T-RBA(Task-Rle-BasedAeessntrl)等。這些增強(qiáng)的RBA模型彌補(bǔ)了根本RBA模型在開放式網(wǎng)絡(luò)環(huán)境中表現(xiàn)出的某些缺陷。另一途徑是提出一些新的訪問

4、控制技術(shù)和模型，近期提出的主要訪問控制技術(shù)包括：信任管理(Trustanageent，T)和數(shù)字版權(quán)管理(DigitalRightsanageent，DR)，提出的訪問控制模型是使用控制模型(Usagentrl，UN)。信任管理是在20世紀(jì)90年代后半段興起的訪問控制技術(shù)，是目前對開放系統(tǒng)和未知用戶的受權(quán)研究采用的主要技術(shù)，DR技術(shù)是對各類數(shù)字內(nèi)容的知識產(chǎn)權(quán)進(jìn)展保護(hù)的一系列軟硬件技術(shù)，用以保證數(shù)字內(nèi)容在整個(gè)生命周期內(nèi)的合法使用，目前已經(jīng)在Internet上得到了廣泛的應(yīng)用。而UN那么是將傳統(tǒng)訪問控制、信任管理和DR三個(gè)領(lǐng)域的問題進(jìn)展統(tǒng)一考慮，以形成一個(gè)可以解決開放式網(wǎng)絡(luò)環(huán)境的訪問控制問題的模型

5、。2使用控制模型為了統(tǒng)一在訪問控制研究中提出的許多新概念(如信任管理、數(shù)字版權(quán)管理、義務(wù)、條件)，Gergeasn大學(xué)著名的信息平安專家J.Park和R.Sandhu于2002年首次提出了“使用控制的概念；隨后，二人提出了使用控制的核心模型AB(AuthrizatinBligatinnditin)模型并給出了完好定義，AB模型闡釋了“使用控制的本質(zhì)。在此根底上XinenZhang、Park和Sandhu給出了AB模型的形式化描繪并對AB模型的受權(quán)平安屬性(SafetyPrperties)進(jìn)展了分析，證明了具有有限屬性域的受權(quán)模型存在一個(gè)可斷定的平安性。使用控制模型是對傳統(tǒng)訪問控制模型的根本性增

6、強(qiáng)，它包含了義務(wù)、條件、連續(xù)性和可變性等抽象和反映了開放式網(wǎng)絡(luò)環(huán)境中的訪問控制需求的新概念，是解決開放式網(wǎng)絡(luò)環(huán)境中的訪問控制問題的一種有前途的研究方向，被很多專家和學(xué)者認(rèn)為是下一代的訪問控制模型的開展方向。2.1AB模型的組成使用控制的核心模型是AB(Authrizatin，Bligatin，nditin)模型，也稱為UNAB模型。AB模型包括主體、客體、權(quán)限3個(gè)根本元素和受權(quán)規(guī)那么、義務(wù)、條件3個(gè)與受權(quán)有關(guān)的元素，其組成如圖1所示。圖1UNAB模型主體(Subjets)是對客體(bjets)擁有某些使用權(quán)限的主動(dòng)實(shí)體，記為S。主體屬性(SubjetAttribute)標(biāo)識了主體才能和特征，是

7、權(quán)限決策過程中的重要參數(shù)，記為ATT(S)。常見的主體屬性有：用戶名、用戶組、角色和平安級別等?？腕w(bjets)是按權(quán)限(Rights)的規(guī)定承受主體訪問的被動(dòng)實(shí)體，記為?？腕w屬性(bjetArttbiute)是標(biāo)識客體的重要信息，包括客體的平安標(biāo)簽、所有關(guān)系、類別和訪問控制列表AL等，記為ATT()。權(quán)限(Rights)是主體可以對客體進(jìn)展控制和執(zhí)行的特權(quán)，由主體可以對客體進(jìn)展的訪問操作(如讀、寫、運(yùn)行)集組成，記為R。受權(quán)規(guī)那么(AuthrizatinRules)是指允許主體使用客體特定權(quán)限必須滿足的規(guī)那么集，它是斷定主體是否可以訪問客體的決定因素，記為A。義務(wù)(bligatins)是指

8、主體獲得或行使對客體的訪問權(quán)利前或過程中必須完成的操作，記為B。例如，用戶必須填寫個(gè)人信息表才允許訪問有關(guān)的技術(shù)資料。條件(nditins)是指主體獲得或行使對客體的訪問權(quán)利前必須滿足的系統(tǒng)或執(zhí)行環(huán)境的強(qiáng)迫約束條件，記為。例如，用戶必須在特定IP地址才能訪問有關(guān)的資源。2.2連續(xù)性和可變性傳統(tǒng)訪問控制模型僅用受權(quán)規(guī)那么來決定對訪問懇求的處理，而AB模型必須考慮受權(quán)規(guī)那么、義務(wù)和條件等使用決定因素，其中義務(wù)、條件是使用控制模型提出的新概念，是對傳統(tǒng)訪問控制基于屬性的控制策略的擴(kuò)展與增強(qiáng)。使用控制模型引入了連續(xù)性(ntinuity)和可變性(ultability)兩種新的重要特征，是開放式網(wǎng)絡(luò)環(huán)境

9、中的訪問控制所必不可少的。在傳統(tǒng)訪問控制中，受權(quán)決策是在訪問操作執(zhí)行之前進(jìn)展判斷的。而在現(xiàn)代訪問控制中，有相對長期持續(xù)的資源使用或立即撤消資源使用權(quán)限的應(yīng)用要求。因此，受權(quán)決策需要在資源的使用過程(nging)中對訪問懇求進(jìn)展不連續(xù)的或重復(fù)的檢查和判斷，這一特征稱為“連續(xù)性。另一方面，傳統(tǒng)訪問控制中，屬性只有通過管理行為才能被改變；但在開放式網(wǎng)絡(luò)環(huán)境的許多應(yīng)用中，屬性需隨著主體行為而被改變，這種改變必將影響到主體的下次或本次訪問權(quán)限的判斷，這一特征稱為“可變性。2.316種根本的AB模型使用控制模型中，受權(quán)是由受權(quán)規(guī)那么、義務(wù)、條件和屬性可變性等因素共同決定的。由于受權(quán)規(guī)那么的形式可以是使用前

10、受權(quán)(preA)、使用中受權(quán)(nA)，同樣義務(wù)、條件的形式也可以是使用前(preB、pre)、使用中(nB、n)，而屬性可變性可分為不改變(0)、使用前改變(1)、使用中改變(2)和使用后改變(3)等4種情況，通過組合可構(gòu)造出使用控制的16個(gè)根本模型。表1中給出了基于受權(quán)規(guī)那么、義務(wù)、條件三個(gè)決策因素和屬性可變性的各種可能模型，可能的情況標(biāo)為“Y，否那么標(biāo)為“N。表116種根本AB模型屬性可變性決策因素不改變使用前改變1使用中改變2使用后改變3preAYYNYnAYYYYpreBYYNYnBYYYYpreYNNNnYNNN表1中只考慮單一的決策因素。例如假設(shè)決策因素是“preA，那么屬性改變只

11、能在使用前或使用后，而不可能在使用中；而在以條件為決策因素(pre、n)的訪問模型中所有更新屬性的組合都標(biāo)為“N，因?yàn)椤皸l件只與環(huán)境或系統(tǒng)狀態(tài)有關(guān)，不能改變?nèi)魏沃骺腕w屬性。以UN決策因素，屬性可變性值的形式表示根本模型，例如UNpreA1表示以受權(quán)規(guī)那么作為決策因素、并在使用前改變主客體有關(guān)可變屬性的根本模型。在實(shí)際系統(tǒng)中可根據(jù)不同應(yīng)用的需求產(chǎn)生不同的組合模型，例如模型UNpre0n0，表示在使用前和使用中都要執(zhí)行“條件決策因素，且都不改變主客體的屬性。3使用控制模型的應(yīng)用本節(jié)討論自主訪問控制DA、強(qiáng)迫訪問控制A、基于角色的訪問控制RBA和數(shù)字版權(quán)管理模型在AB模型中的實(shí)現(xiàn)，以集合謂詞為主要描

12、繪工具進(jìn)展分析。轉(zhuǎn)貼于論文聯(lián)盟.ll.3.1DA模型的實(shí)現(xiàn)自主訪問控制DA是在確認(rèn)主體身份以及它們所屬組的根底上對訪問進(jìn)展限制的一種方法，獲得訪問答應(yīng)的主體可以向其它主體轉(zhuǎn)讓訪問權(quán)。在實(shí)現(xiàn)上，首先對用戶的身份(id)進(jìn)展鑒別，然后就可按訪問控制列表AL所賦予用戶的權(quán)限允許或限制用戶使用客體資源。DA可由UNpreA0模型支持，以下是有關(guān)描繪：(1)S表示主體即用戶或用戶組，表示客體，N表示身份標(biāo)記集合，R為操作權(quán)限集。(2)id表示用戶到標(biāo)記集合N之間的一對一映射關(guān)系。(3)AL表示客體與NR之間的映射關(guān)系，其中NR為用戶身份與操作權(quán)限的組合關(guān)系。(4)ATT(S)=id。(5)ATT()=A

13、L。(6)alled(s，r)(id(s)，r)AL()。其中all(s，r)表示主體s對客體具有執(zhí)行r操作的權(quán)限。3.2A模型的實(shí)現(xiàn)強(qiáng)迫訪問控制A是一種強(qiáng)迫主體服從訪問控制策略的訪問方式。在強(qiáng)迫訪問控制中，主體和客體資源都被賦予了一定的平安級別(如公開、機(jī)密、機(jī)密和絕密等)，平安級別之間是一種偏序關(guān)系。按使用控制的觀點(diǎn)來看，主體屬性為平安等級(learane)，而客體屬性為平安類別(lassifiatin)。采用A的系統(tǒng)先對訪問主體和受控客體的平安級別屬性進(jìn)展比擬，再?zèng)Q定訪問主體能否訪問該受控對象。通過這些主體和客體的平安級別的偏序關(guān)系來執(zhí)行強(qiáng)迫訪問控制的平安規(guī)那么，即簡單平安特性規(guī)那么和*

14、特性規(guī)那么。A由UNpreA0模型支持，以下是有關(guān)描繪：(1)L表示具有偏序關(guān)系的平安級別集合；laearne表示訪問主體S和平安級別L之間的映射函數(shù)，即SL。alssfiiatin表示客體和平安級別L之間的映射函數(shù)，即L。(2)ATT(S)=learane。(3)ATT()=lassifiatin。(4)alled(s，read)learane(s)lassifiatin()，即主體只能向下讀，不能向上讀(簡單平安特性規(guī)那么)。(5)alled(s，rite)learane(s)lassifiatin()，即主體只能向上寫，不能向下寫(*特性規(guī)那么)。3.3RBA模型的實(shí)現(xiàn)基于角色的訪問控制

15、策略RBA中，將訪問權(quán)限分配給角色，用戶通過被指派為角色從而獲得角色所擁有的訪問控制權(quán)限。從使用控制的觀點(diǎn)來看，用戶/角色的映射關(guān)系可作為主體屬性，角色/操作權(quán)限的映射關(guān)系可作為客體屬性和權(quán)限。2001年提出的NIST標(biāo)準(zhǔn)RBA模型是各類基于角色的訪問控制模型的根底，它由根本模型RBA0(reRBA)、等級模型RBA1(HierarhalRBA)、約束模型RBA2(nstraintRBA)和統(tǒng)一模型RBA3(binesRBA)四個(gè)子模型組成。RBA0中包含用戶users、角色rles、目的bjets、會(huì)話sessins、操作peratins五個(gè)根本數(shù)據(jù)元素和用戶角色分配(URP)、角色權(quán)限分配

16、(PRA)，其根本思想是通過角色建立和訪問權(quán)限之間的多對多關(guān)系，用戶由此獲得訪問權(quán)限。RBA1、RBA2、RBA3都是在RBA0上的擴(kuò)展。RBA1引入了角色的等級和角色間的繼承，角色間的繼承關(guān)系可分為一般繼承關(guān)系和受限繼承關(guān)系。一般繼承關(guān)系允許角色間的多繼承，受限繼承關(guān)系那么要求角色間單繼承。以下是通過UNpreA0實(shí)現(xiàn)以RBA1的描繪：(1)P=(，r)，P表示受權(quán)集合，(，r)為客體-權(quán)限對。(2)RLE表示角色層次的偏序關(guān)系。(3)atRle表示激活角色，實(shí)現(xiàn)用戶角色分配(URP)。(4)pRle表示受權(quán)角色，實(shí)現(xiàn)角色權(quán)限分配(PRA)。(5)ATT(S)=atRle。(6)ATT()=

17、pRle。(7)alled(s，r)=rleatRle(s)rlepRle(，r)rlerle，即假如存在受權(quán)角色(pRle(，r)，其偏序關(guān)系激活角色(atRle(s)，那么訪問懇求被允許。3.4DR模型的實(shí)現(xiàn)數(shù)字版權(quán)管理DR是對各類數(shù)字媒體內(nèi)容的知識產(chǎn)權(quán)進(jìn)展保護(hù)的一系列技術(shù)，它是一種在開放是網(wǎng)絡(luò)環(huán)境中的基于支付(Pay-Based)的使用控制策略。典型的數(shù)字版權(quán)使用控制策略包括使用前支付、使用后支付、累計(jì)支付等根本類型。以下是通過UNpreA1實(shí)現(xiàn)使用前支付DR模型的描繪：(1)p表示用戶對數(shù)字媒體內(nèi)容的操作集(如播放、復(fù)制等)。(2)redit表示用戶帳號中的金額。(3)value表示使

18、用客體資源的價(jià)格。(4)ATT(s)：redit(s)。(5)ATT(，p)：value(，p)。(6)alled(s，p)redit(s)value(，p)，即當(dāng)用戶帳號上的余額大于或等于客體資源的使用價(jià)格時(shí)，允許其訪問。(7)preUpdate(redit(s)：redit(s)=redit(s)-value(，p)，即在主體使用客體資源之前，按客體資源的使用價(jià)格修改用戶帳號中的金額。無論是RBA模型，還是數(shù)字版權(quán)管理DR模型，雖然其應(yīng)用場合有很多變化，但都可根據(jù)詳細(xì)應(yīng)用需求選用AB根本模型或組合模型進(jìn)展描繪。4完畢語使用控制是下一代訪問控制技術(shù)開展的根底，其兩個(gè)核心內(nèi)容：主客體屬性的可變性和受權(quán)決策的連續(xù)性是反映開放網(wǎng)絡(luò)環(huán)境中訪問控制需要的重要特性。它提供了強(qiáng)大的描繪才能，在各類信息平安系統(tǒng)中將有著良好的應(yīng)用前景。參考文獻(xiàn)1ZhangXin-en，HENSng-qing，R.Sandhu.EnhaningdataauthentiityandintegrityinP2PsystesJ.IEEEInternetputing，2022，9(6)：42-492J.Park，R.Sandhu.Tardsusagentrldels：beyndtraditinalaessntrl.ASypsiunAessntrldelsandTehnlgies，200