UCON使用控制

1、Usage Control(UCON)Usage control: A vision for next generation access control2UCON介绍n2002年，Jaehong Park和Ravi Sundhu首次提出了UCON的概念。nUCON对传统访问控制进行了扩展，定义了3个决定因素:授权规则(Authorization Rule)职责（义务）(Obligation)条件(Condition) n提出了访问控制的2个重要属性:连续性(Continuity)易变性(Mutability)UCON的核心模型3Usage Control的核心模型(也称ABC模型)包含： 三

2、个基本元素： 主体S、客体O、权限R 三个授权相关的元素： 授权A、条件B、职责C 两个属性： 主体属性ATT(S) 客体属性ATT(O)主体(Subjects)：具有某些属性和对客体操作权限的实体；属性包括用户名、用户组、角色和安全级别等。客体(Objects)：主体能够控制权限，并能访问和控制的实体；客体属性：包括安全级别、所有关系、ACL等，用于授权控制。权限(Rights) ：主体拥有的对客体控制和执行的一些特权，如读、写、运行等。ABC模型的核心模型4Usage Control的核心模型(也称ABC模型)包含： 三个基本元素： 主体S、客体O、权限 三个授权相关的元素： 授权A、条件

3、B、职责C 两个属性： 主体属性ATT(S) 客体属性ATT(O)授权规则A：允许主体使用客体特定权限必须满足的规则集，它是判定主体是否能够访问客体的决定因素。条件C：是指主体获得或行使对客体的访问权利前必须满足的系统或执行环境的强制约束条件。职责(Obligations)：是指主体获得或行使对客体的访问权利前(preB)或过程中(onB)必须完成的操作。UCONABC模型5连续性： 传统访问控制:授权决策在访问操作执行之前进行判断。 ABC访问控制：使用控制决策不仅可以在访问前进行,在访问过程中也可以。使用控制决策可以对使用前和使用过程两个阶段进行授权,分别称为预先授权和过程授权。可变性：

4、传统访问控制：属性只有通过管理行为才能被改变。 ABC访问控制：可变性意味着主体、客体属性作为访问执行的结果而发生改变。根据上述的三个阶段可将属性的变化分为三种类型:使用前更新,使用中更新,使用后更新。ABC模型616种基本的ABC模型决策阶段：preA ：使用前授权onA ：使用中授权preB ：使用前义务onB ：使用中义务preC ：使用前环境onC ：使用中环境属性可变性：0：不改变1：使用前改变2：使用中改变3：使用后改变ABC实现RBACn通过UCONpreA0实现DAC的集合谓词描述：S表示主体即用户或用户组，O表示客体，N表示身份标 记集合，R为操作权限集； id表示用户到标记集合N之间的一对一映射关系； ACL表示客体与NR之间的映射关系，其中NR为用户身份与操作权限的组合关系； ATT(S) = id；ATT(O) = ACL； allow (s，o，r) = (id(s)，r) ACL(o)，其中allow(s，o，r)表示主体s对客体o具有执行r操作的权限。 7总结8ABC模型 可以实现DAC、MAC、RBAC、DRM这些访问控制模型； 两个核心内容：主客体属