趙君萍

摘要:UCON模型是一種新型的訪問控制模型,它包含了傳統(tǒng)訪問控制模型并能適應(yīng)現(xiàn)代信息系統(tǒng)的訪問控制要求,為研究下一代訪問控制提供了新思路,被認(rèn)為是當(dāng)前很具有潛力的訪問控制技術(shù)。本文較為全面的介紹了UCON模型,重點(diǎn)介紹了UCON核心模型的組成元素,UCONABC模型,闡述了UCON模型的新特性,以及它的使用范圍,最后分析了UCON的優(yōu)點(diǎn)以及實(shí)際應(yīng)用中存在的不足。

關(guān)鍵詞:UCON;ABC模型;連續(xù)性;可變性

中圖分類號:TP309文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)22-pppp-0c

現(xiàn)代信息系統(tǒng)面向的是一個開放網(wǎng)絡(luò)環(huán)境,傳統(tǒng)的訪問控制(DAC、MAC、RBAC)主要關(guān)注在一個信息系統(tǒng)封閉環(huán)境中資源機(jī)密性和完整性的保護(hù),不能很好地滿足開放式網(wǎng)絡(luò)環(huán)境中動態(tài)、連續(xù)的訪問控制需求,在此情況下,建立一個面向開放網(wǎng)絡(luò)環(huán)境的訪問控制模型已經(jīng)成為亟待解決的問題。2002年,GeorgeMason大學(xué)著名的信息安全專家Ravi Sandhu和Jaehong Park博士在Towards usage control models:beyond traditional access control[1]一文中首次提出使用控制(UCON,UsageControl)的概念。該文較為全面的研究了下一代訪問控制模型-UCON模型。

1 UCON核心模型組成

UCON對傳統(tǒng)的存取控制進(jìn)行了擴(kuò)展,定義了授權(quán)(Authorization)、義務(wù)(oBligation)和條件(Condition)三個決定性因素,同時提出了存取控制的連續(xù)性(Continuity)和可變性(Mutability)兩個重要屬性。UCON不僅集合了傳統(tǒng)的訪問控制、信任管理以及數(shù)字版權(quán)管理,并且超越了它們的定義和范圍,能更好地滿足現(xiàn)代信息系統(tǒng)對數(shù)字資源的保護(hù)要求。

ABC模型是UCON的核心模型,由八種元素組成,如圖1。

UCON模型中的主體、主體屬性、客體和客體屬性的概念都來自于傳統(tǒng)訪問控制模型,它們的應(yīng)用方式也和傳統(tǒng)訪問控制中類似。主體(Subject)是具有某些屬性,對客體擁有某些使用權(quán)限的主動的實(shí)體,簡記為S。主體屬性(Subject Attribute)標(biāo)識了主體能力和特征,是權(quán)限決策過程中的重要參數(shù),簡記為ATT(S)。客體(Object)是按權(quán)限集合的規(guī)定接受主體訪問的被動的實(shí)體,簡記為O?？腕w屬性(Object Arttbiutes)是標(biāo)識客體的重要信息,簡記為ATT(O)。

權(quán)限(Rights)指一個主體以特定的方式(如讀或?qū)?訪問某個客體的權(quán)利。UCON模型不像傳統(tǒng)的訪問控制,把權(quán)限看成獨(dú)立于主體活動的訪問控制矩陣的靜態(tài)元素,而是在主體試圖訪問客體時才跟據(jù)主客體屬性和授權(quán)、義務(wù)、條件三大決策因素動態(tài)的確定用戶的操作權(quán)限。

授權(quán)(Authoriaztion)是UCON模型中重要組成部分,簡記為A,它用于使用決策,并返回主體是否能夠?qū)腕w進(jìn)行操作的決策。授權(quán)是基于主、客體的屬性和所請求的權(quán)限(如:讀或?qū)懙葯?quán)限)并依據(jù)權(quán)限規(guī)則集進(jìn)行的權(quán)限判斷操作。UCON中的授權(quán)既包括傳統(tǒng)的預(yù)先授權(quán),也可以根據(jù)不同的控制規(guī)則訪問過程中進(jìn)行授權(quán)判斷操作。此外,執(zhí)行授權(quán)謂詞可能會在訪問之前、訪問中或在訪問結(jié)束之后引起主、客體可變屬性值的更新,進(jìn)而將對本次或其它的訪問決策產(chǎn)生影響。例如:用戶在購買一本電子圖書后其信用卡上的金額會相應(yīng)減少,這一結(jié)果將是用戶本次或以后使用該卡進(jìn)行電子交易的權(quán)限判斷的重要依據(jù)。

義務(wù)(oBligation)是主體在訪問之前或者訪問過程中必須執(zhí)行的動作,簡記為B。在訪問之前執(zhí)行(preB)是在訪問請求執(zhí)行前主體必須滿足某種條件,例如:用戶必須提供個人信息才能下載網(wǎng)站上的資源。在訪問過程中執(zhí)行(onB)是在權(quán)限行使的過程中必須持續(xù)性滿足或是周期性滿足的條件,例如:要求用戶必須處于登錄狀態(tài)才能在執(zhí)行事務(wù)性操作。主體履行何種義務(wù)不是預(yù)先靜態(tài)設(shè)置的,而是根據(jù)主客體的屬性動態(tài)確定的,義務(wù)的履行也可能會更新主客體的可變屬性,同時這些更新能影響現(xiàn)在或?qū)硎褂脹Q策。

條件(Condition)是面向環(huán)境或是面向系統(tǒng)的決策因素,簡記為C。條件評估當(dāng)前的硬件環(huán)境或與系統(tǒng)有關(guān)的限制以決定是否滿足用戶請求。例如:用戶必須在規(guī)定的終端、規(guī)定的時間段使用服務(wù);也可以對網(wǎng)絡(luò)流量進(jìn)行一定的限制等。主客體屬性可以用來判斷用戶需要滿足何種條件,比如:在網(wǎng)絡(luò)擁塞的情況下只需要特定ID進(jìn)入系統(tǒng)。但條件的評估并不改變?nèi)魏沃黧w或客體的屬性,這一點(diǎn)與授權(quán)和義務(wù)規(guī)則不同。

2 UCON的新特征

UCON區(qū)別于傳統(tǒng)的訪問控制模型的兩個顯著特性是:“連續(xù)性”和“可變性”。

連續(xù)性意味著使用控制決策不僅可以在訪問前進(jìn)行,在訪問過程中也可以。沿時間線可將一個完整的使用過程分為三個階段:使用前,使用中和使用后。使用控制決策可以對前兩個階段進(jìn)行授權(quán),分別稱為預(yù)先授權(quán)和過程授權(quán)[2]。但卻不能發(fā)生在訪問資源之后,因?yàn)榇藭r對客體資源的操作已經(jīng)完全結(jié)束,訪問控制也就沒有任何意義可言。

易變性意味著主體、客體屬性作為訪問執(zhí)行的結(jié)果而發(fā)生改變。根據(jù)上述的三個階段可將屬性的變化分為三種類型:使用前更新,使用中更新,使用后更新?？勺儗傩缘母聦Ρ敬位蚴窍麓蔚臋?quán)限決策起重要依據(jù)作用。

連續(xù)性控制和可變屬性使得基于歷史的授權(quán)決策更容易實(shí)施。

3 UCONABC核心模式

ABC模型假設(shè)有一個訪問客體資源的請求,根據(jù)連續(xù)性,請求的權(quán)利可在行使該權(quán)利之前進(jìn)行判斷,也可在行使該權(quán)利過程中判斷?？勺儗傩宰鳛槭褂觅Y源的結(jié)果,允許更新主體或客體的屬性。如果在訪問控制過程中不存在可變屬性,則使用決策過程中不可改變屬性,用O表示,存在可變屬性的訪問控制模型中,屬性的更新可能在權(quán)限行使之前,行使過程中或行使之后,分別用1、2、3表示。對于不可能實(shí)現(xiàn)的情況用“N”表示,可能實(shí)現(xiàn)的情況用“Y”表示。有16種可能的模式作為使用控制模型的核心模式。

表1中都是以單純的模式為例,但在實(shí)際系統(tǒng)中可能根據(jù)不同應(yīng)用的需求產(chǎn)生不同的組合模型,例如UCONPreC0onC0。就表示既要在訪問使用前執(zhí)行“條件”,決策因素的檢測又要在訪問過程中檢測,并且都不改變主客體的任何屬性。具體的模型組合情況[3]如圖2所示:

4 UCON模型的使用范圍

UCON模型主要保護(hù)數(shù)據(jù)資源,對計(jì)算機(jī)系統(tǒng)資源和網(wǎng)絡(luò)資源也可以針對具體的應(yīng)用需求配合其它相關(guān)技術(shù)達(dá)到資源保護(hù)的目的。在UCON系統(tǒng)中不僅可以保護(hù)服務(wù)器端的數(shù)據(jù)資源,對于下載的客戶端的數(shù)字資源也可以起到保護(hù)作用,比如控制其使用期限、使用次數(shù)和防拷貝等。UCON模型主要實(shí)現(xiàn)數(shù)據(jù)資源安全性預(yù)防的目標(biāo),防止零安全操作的發(fā)生。

5 UCON的優(yōu)點(diǎn)及不足

UCON實(shí)現(xiàn)了傳統(tǒng)訪問控制,信任管理,以及數(shù)字版權(quán)管理并引入了授權(quán)的連續(xù)性、屬性的易變性、義務(wù)、條件等諸多概念,將多個因素繼承到統(tǒng)一的框架中來克服傳統(tǒng)訪問控制模型的不足,用一種統(tǒng)一的、系統(tǒng)化的方式來刻畫現(xiàn)代訪問控制和數(shù)字權(quán)限管理[4]。

UCON雖然從理論上解決了以往訪問控制中存在的問題且具有很好的理論模型。但是目前的研究大多集中在理論層面,面向應(yīng)用的研究不足,未能給出UCON應(yīng)用的具體模型,以及針對具體問題的解決方案。文獻(xiàn)[5]中給出了采用動態(tài)描述邏輯對UCON模型在面向?qū)嶋H應(yīng)用建模方面進(jìn)行系統(tǒng)化的邏輯表述與推理的實(shí)例。

6 結(jié)論

UCON不僅集合了傳統(tǒng)的訪問控制、信任管理以及數(shù)字版權(quán)管理,并且超越了它們的定義和范圍,能更好地滿足現(xiàn)代信息系統(tǒng)對數(shù)字資源的保護(hù)要求。一定程度上說,UCON模型用系統(tǒng)的方式提供了一個保護(hù)數(shù)字資源的統(tǒng)一標(biāo)準(zhǔn)的框架,為研究下一代訪問控制提供了新思路,被認(rèn)為是當(dāng)前很具有潛力的訪問控制技術(shù)。

該文主要介紹了-UCON模型,包括UCON核心模型的組成要素、UCONABC模型、UCON的新特性以及使用范圍等。UCON在各類信息安全系統(tǒng)中有著良好的應(yīng)用前景,但是在實(shí)際應(yīng)用中還存在不足,還有待在應(yīng)用中做進(jìn)一步的探索。

參考文獻(xiàn):

[1] Park J,Sandhu R.Towards usage control models: beyond traditional access control[C].ACM Symposium on Acesscontrol Models and Technologies,2002,2(3):57-64.

[2] JaehongPark,XinwenZhang,Ravi Sandhu.ATTRIBUTE MUTABILITY IN USAGE CONTROL.GeorgeMasonUniversity,2005.

[3] 聶麗平.基于UCON訪問控制模型的分析與研究[D].合肥:合肥工業(yè)大學(xué),2006.

[4] 袁磊.使用控制模型的研究[J].計(jì)算機(jī)工程,2005,31(12):146-148.

[5] 田光輝.使用控制理論及應(yīng)用研究[D].西安:西北大學(xué),2008.