使用控制模型及其应用的分析与研究

1、使用控制模型及其应用的分析与研究摘要使用控制模型是近年来提出的新型访问控制模型，它包含了传统访问控制模型并能满足现代信息系统的访问控制需求。本文在对使用控制模型介绍与分析的根底上，讨论了基于该模型实现传统的访问控制和数字版权管理的应用。关键词使用控制模型；可变性；连续性1引言访问控制(Aessntrl)是国际标准化组织IS在网络平安标准(IS7498-2)中定义的平安信息系统的根底架构中必须包含的五种平安效劳之一，它通过显式地允许或限制用户的访问才能及范围，对用户提出的访问恳求进展控制，以保证资源不被非法使用。访问控制是一种重要的信息平安技术，与数据加密、身份认证和密钥管理等信息平安技术结合使

2、用来保障信息系统的平安。著名的经典访问控制模型包括：自主访问控制(DisretinaryAessntrl，DA)、强迫访问控制(andatryAessntrl，A)和基于角色的访问控制(RleBasedAessntrl，RBA)，它们主要关注在一个信息系统封闭环境中资源机密性和完好性的保护。而随着网络技术特别是新型互联网应用(如P2P、数字版权管理等)的迅速开展，现代信息系统面向的是一个开放网络环境，系统具有开放性、动态性和扩展性，在为用户提供了更加广阔的资源空间和更加便利效劳的同时，也产生了新的平安问题。例如，开放系统和未知用户的受权问题、数字资源的分发和持续使用控制问题、资源使用的可变性问

3、题等，这些问题使得访问控制的复杂性大为增加。而传统访问控制机制由于设计根底的局限性，不能很好地满足开放式网络环境中动态、连续的访问控制需求，在此情况下，建立一个面向开放网络环境的访问控制模型已经成为亟待解决的问题。当前，面向开放网络环境的访问控制的研究主要从2个途径展开：一是在根本RBA模型上进展扩展和增强，近年提出的主要RBA扩展模型包括：带时间约束的RBA、分布式RBA(DistributedRBA)、基于任务和角色的访问控制T-RBA(Task-Rle-BasedAeessntrl)等。这些增强的RBA模型弥补了根本RBA模型在开放式网络环境中表现出的某些缺陷。另一途径是提出一些新的访问

4、控制技术和模型，近期提出的主要访问控制技术包括：信任管理(Trustanageent，T)和数字版权管理(DigitalRightsanageent，DR)，提出的访问控制模型是使用控制模型(Usagentrl，UN)。信任管理是在20世纪90年代后半段兴起的访问控制技术，是目前对开放系统和未知用户的受权研究采用的主要技术，DR技术是对各类数字内容的知识产权进展保护的一系列软硬件技术，用以保证数字内容在整个生命周期内的合法使用，目前已经在Internet上得到了广泛的应用。而UN那么是将传统访问控制、信任管理和DR三个领域的问题进展统一考虑，以形成一个可以解决开放式网络环境的访问控制问题的模型

5、。2使用控制模型为了统一在访问控制研究中提出的许多新概念(如信任管理、数字版权管理、义务、条件)，Gergeasn大学著名的信息平安专家J.Park和R.Sandhu于2002年首次提出了“使用控制的概念；随后，二人提出了使用控制的核心模型AB(AuthrizatinBligatinnditin)模型并给出了完好定义，AB模型阐释了“使用控制的本质。在此根底上XinenZhang、Park和Sandhu给出了AB模型的形式化描绘并对AB模型的受权平安属性(SafetyPrperties)进展了分析，证明了具有有限属性域的受权模型存在一个可断定的平安性。使用控制模型是对传统访问控制模型的根本性增

6、强，它包含了义务、条件、连续性和可变性等抽象和反映了开放式网络环境中的访问控制需求的新概念，是解决开放式网络环境中的访问控制问题的一种有前途的研究方向，被很多专家和学者认为是下一代的访问控制模型的开展方向。2.1AB模型的组成使用控制的核心模型是AB(Authrizatin，Bligatin，nditin)模型，也称为UNAB模型。AB模型包括主体、客体、权限3个根本元素和受权规那么、义务、条件3个与受权有关的元素，其组成如图1所示。图1UNAB模型主体(Subjets)是对客体(bjets)拥有某些使用权限的主动实体，记为S。主体属性(SubjetAttribute)标识了主体才能和特征，是

7、权限决策过程中的重要参数，记为ATT(S)。常见的主体属性有：用户名、用户组、角色和平安级别等。客体(bjets)是按权限(Rights)的规定承受主体访问的被动实体，记为。客体属性(bjetArttbiute)是标识客体的重要信息，包括客体的平安标签、所有关系、类别和访问控制列表AL等，记为ATT()。权限(Rights)是主体可以对客体进展控制和执行的特权，由主体可以对客体进展的访问操作(如读、写、运行)集组成，记为R。受权规那么(AuthrizatinRules)是指允许主体使用客体特定权限必须满足的规那么集，它是断定主体是否可以访问客体的决定因素，记为A。义务(bligatins)是指

8、主体获得或行使对客体的访问权利前或过程中必须完成的操作，记为B。例如，用户必须填写个人信息表才允许访问有关的技术资料。条件(nditins)是指主体获得或行使对客体的访问权利前必须满足的系统或执行环境的强迫约束条件，记为。例如，用户必须在特定IP地址才能访问有关的资源。2.2连续性和可变性传统访问控制模型仅用受权规那么来决定对访问恳求的处理，而AB模型必须考虑受权规那么、义务和条件等使用决定因素，其中义务、条件是使用控制模型提出的新概念，是对传统访问控制基于属性的控制策略的扩展与增强。使用控制模型引入了连续性(ntinuity)和可变性(ultability)两种新的重要特征，是开放式网络环境

9、中的访问控制所必不可少的。在传统访问控制中，受权决策是在访问操作执行之前进展判断的。而在现代访问控制中，有相对长期持续的资源使用或立即撤消资源使用权限的应用要求。因此，受权决策需要在资源的使用过程(nging)中对访问恳求进展不连续的或重复的检查和判断，这一特征称为“连续性。另一方面，传统访问控制中，属性只有通过管理行为才能被改变；但在开放式网络环境的许多应用中，属性需随着主体行为而被改变，这种改变必将影响到主体的下次或本次访问权限的判断，这一特征称为“可变性。2.316种根本的AB模型使用控制模型中，受权是由受权规那么、义务、条件和属性可变性等因素共同决定的。由于受权规那么的形式可以是使用前

10、受权(preA)、使用中受权(nA)，同样义务、条件的形式也可以是使用前(preB、pre)、使用中(nB、n)，而属性可变性可分为不改变(0)、使用前改变(1)、使用中改变(2)和使用后改变(3)等4种情况，通过组合可构造出使用控制的16个根本模型。表1中给出了基于受权规那么、义务、条件三个决策因素和属性可变性的各种可能模型，可能的情况标为“Y，否那么标为“N。表116种根本AB模型属性可变性决策因素不改变使用前改变1使用中改变2使用后改变3preAYYNYnAYYYYpreBYYNYnBYYYYpreYNNNnYNNN表1中只考虑单一的决策因素。例如假设决策因素是“preA，那么属性改变只

11、能在使用前或使用后，而不可能在使用中；而在以条件为决策因素(pre、n)的访问模型中所有更新属性的组合都标为“N，因为“条件只与环境或系统状态有关，不能改变任何主客体属性。以UN决策因素，属性可变性值的形式表示根本模型，例如UNpreA1表示以受权规那么作为决策因素、并在使用前改变主客体有关可变属性的根本模型。在实际系统中可根据不同应用的需求产生不同的组合模型，例如模型UNpre0n0，表示在使用前和使用中都要执行“条件决策因素，且都不改变主客体的属性。3使用控制模型的应用本节讨论自主访问控制DA、强迫访问控制A、基于角色的访问控制RBA和数字版权管理模型在AB模型中的实现，以集合谓词为主要描

12、绘工具进展分析。转贴于论文联盟.ll.3.1DA模型的实现自主访问控制DA是在确认主体身份以及它们所属组的根底上对访问进展限制的一种方法，获得访问答应的主体可以向其它主体转让访问权。在实现上，首先对用户的身份(id)进展鉴别，然后就可按访问控制列表AL所赋予用户的权限允许或限制用户使用客体资源。DA可由UNpreA0模型支持，以下是有关描绘：(1)S表示主体即用户或用户组，表示客体，N表示身份标记集合，R为操作权限集。(2)id表示用户到标记集合N之间的一对一映射关系。(3)AL表示客体与NR之间的映射关系，其中NR为用户身份与操作权限的组合关系。(4)ATT(S)=id。(5)ATT()=A

13、L。(6)alled(s，r)(id(s)，r)AL()。其中all(s，r)表示主体s对客体具有执行r操作的权限。3.2A模型的实现强迫访问控制A是一种强迫主体服从访问控制策略的访问方式。在强迫访问控制中，主体和客体资源都被赋予了一定的平安级别(如公开、机密、机密和绝密等)，平安级别之间是一种偏序关系。按使用控制的观点来看，主体属性为平安等级(learane)，而客体属性为平安类别(lassifiatin)。采用A的系统先对访问主体和受控客体的平安级别属性进展比拟，再决定访问主体能否访问该受控对象。通过这些主体和客体的平安级别的偏序关系来执行强迫访问控制的平安规那么，即简单平安特性规那么和*

14、特性规那么。A由UNpreA0模型支持，以下是有关描绘：(1)L表示具有偏序关系的平安级别集合；laearne表示访问主体S和平安级别L之间的映射函数，即SL。alssfiiatin表示客体和平安级别L之间的映射函数，即L。(2)ATT(S)=learane。(3)ATT()=lassifiatin。(4)alled(s，read)learane(s)lassifiatin()，即主体只能向下读，不能向上读(简单平安特性规那么)。(5)alled(s，rite)learane(s)lassifiatin()，即主体只能向上写，不能向下写(*特性规那么)。3.3RBA模型的实现基于角色的访问控制

15、策略RBA中，将访问权限分配给角色，用户通过被指派为角色从而获得角色所拥有的访问控制权限。从使用控制的观点来看，用户/角色的映射关系可作为主体属性，角色/操作权限的映射关系可作为客体属性和权限。2001年提出的NIST标准RBA模型是各类基于角色的访问控制模型的根底，它由根本模型RBA0(reRBA)、等级模型RBA1(HierarhalRBA)、约束模型RBA2(nstraintRBA)和统一模型RBA3(binesRBA)四个子模型组成。RBA0中包含用户users、角色rles、目的bjets、会话sessins、操作peratins五个根本数据元素和用户角色分配(URP)、角色权限分配

16、(PRA)，其根本思想是通过角色建立和访问权限之间的多对多关系，用户由此获得访问权限。RBA1、RBA2、RBA3都是在RBA0上的扩展。RBA1引入了角色的等级和角色间的继承，角色间的继承关系可分为一般继承关系和受限继承关系。一般继承关系允许角色间的多继承，受限继承关系那么要求角色间单继承。以下是通过UNpreA0实现以RBA1的描绘：(1)P=(，r)，P表示受权集合，(，r)为客体-权限对。(2)RLE表示角色层次的偏序关系。(3)atRle表示激活角色，实现用户角色分配(URP)。(4)pRle表示受权角色，实现角色权限分配(PRA)。(5)ATT(S)=atRle。(6)ATT()=

17、pRle。(7)alled(s，r)=rleatRle(s)rlepRle(，r)rlerle，即假如存在受权角色(pRle(，r)，其偏序关系激活角色(atRle(s)，那么访问恳求被允许。3.4DR模型的实现数字版权管理DR是对各类数字媒体内容的知识产权进展保护的一系列技术，它是一种在开放是网络环境中的基于支付(Pay-Based)的使用控制策略。典型的数字版权使用控制策略包括使用前支付、使用后支付、累计支付等根本类型。以下是通过UNpreA1实现使用前支付DR模型的描绘：(1)p表示用户对数字媒体内容的操作集(如播放、复制等)。(2)redit表示用户帐号中的金额。(3)value表示使

18、用客体资源的价格。(4)ATT(s)：redit(s)。(5)ATT(，p)：value(，p)。(6)alled(s，p)redit(s)value(，p)，即当用户帐号上的余额大于或等于客体资源的使用价格时，允许其访问。(7)preUpdate(redit(s)：redit(s)=redit(s)-value(，p)，即在主体使用客体资源之前，按客体资源的使用价格修改用户帐号中的金额。无论是RBA模型，还是数字版权管理DR模型，虽然其应用场合有很多变化，但都可根据详细应用需求选用AB根本模型或组合模型进展描绘。4完毕语使用控制是下一代访问控制技术开展的根底，其两个核心内容：主客体属性的可变性和受权决策的连续性是反映开放网络环境中访问控制需要的重要特性。它提供了强大的描绘才能，在各类信息平安系统中将有着良好的应用前景。参考文献1ZhangXin-en，HENSng-qing，R.Sandhu.EnhaningdataauthentiityandintegrityinP2PsystesJ.IEEEInternetputing，2022，9(6)：42-492J.Park，R.Sandhu.Tardsusagentrldels：beyndtraditinalaessntrl.ASypsiunAessntrldelsandTehnlgies，200