（计算机软件与理论专业论文）基于ucon访问控制模型的分析与研究.pdf

基于u c o n 访问控制模型的分析与研究 摘要 随着网络技术的快速发展和普及，现代在社会的生产和生活都产生了巨大 变化，信息安全问题也越来越成为人们关注的焦点问题。计算机访问控制是信 息安全领域中的一项重要技术，正在展开深入、广泛的研究与应用。使用控制 模型是涵盖了传统的访问控制、信任管理、数字版权管理三种模型的新一代访 问控制模型，它解决了现代商务和信息系统需求中安全和隐私两大重要问题， 因此，该模型不仅仅对访问控制技术和网络安全技术产生巨大的推进作用，还 将带来了新的商业模式和生活理念。 本文在分析了目前常用的几种访问控制技术及存在的问题的基础上引入了 使用控制模型，重点研究该模型的工作机制和体系结构，并通过基于该模型的 访问控制实例提出了使用控制模型实现的关键技术和实现步骤，进而说明了使 用控制模型的综合性、安全性、实用性和可行性。 关键字：访问控制、使用控制模型、信任管理、数字版权管理、引用监控器 a n a l y s i sa n ds t u d yo fa c c e s sc o n t r o lb a s e do n u s a g ec o n t r o lm o d e l a b s t r a c t ： w i t ht h er a p i dd e v e l o p m e n ta n dp o p u l a r i z a t i o no ft h et e c h n o l o g yo nc o m p u t e r n e t w o r k ，t h ep r o d u c t i o na n dl i f eo ft h em o d e r ns o c i e t yh a v ea c h i e v e dal a r g e n u m b e ro fg r e a tc h a n g e s ，a n dm o r ea n dm o r ea t t e n t i o na r ep a i dt ot h ep r o b l e mo f i n f o r m a t i o ns e c u r i t y t h ec o m p u t e ra c c e s sc o n t r o lt e c h n o l o g ya sav e r yi m p o r t a n t p a r to fi n f o r m a t i o na s s u r a n c ea r e ah a sb e e nr e s e a r c h e dw i d e l ya n dt h o r o u g h l y t h e u s a g ec o n t r o l ( u c o n ) m o d e le n c o m p a s s e s t r a d i t i o n a la c c e s sc o n t r o l ，t r u s t m a n a g e m e n t ，a n dd i g i t a lr i g h t sm a n a g e m e n ta n db e c o m e st h en e x tg e n e r a t i o no f a c c e s sc o n t r 0 1 i ts o l v e st h es e c u r i t ya n di n t i m i t yp r o b l e m si nt h em o d e mc o m m e r c e a n di n f o r m a t i o ns y s t e m s ot h i sm o d e ln o to n l ym a k e sag r e a ti m p e t u st ot h ea c c e s s c o n t r o lt e c h n o l o g ya n dt h em e t w o r ks e c u r i t y ，b u ta l s ob r i n g san e wc o m m e r c i a l m o d ea n dl i f ec o n c e p t t h i st h e s i si n t r o d u c e st h eu s a g ec o n t r o lm o d eb a s e do ns e v e r e la c c e s sc o n t r o l t e c h n o l o g i e sa n dt h e i re x i s t i n gp r o b l e m s i tf o c u so na n a l y z i n gt h em o d l e sw o r k i n g m e c h a n i s ma n dt h es y s t e ms t r u c t u r e ，t h e n ，t h em a i na s p e c t sa n ds t e p st o u s a g e c o n t r o lm o d e la r ep u tf o r w a r db yd e s i g n i n ga ne x a m a p l eb a s e do nu c o n f i n a l l y a c c o r d i n gt oa l lo fa b o v e ，w e c a l ld r a wt h ec o n c l u s i o nt h a tt h eu s a g ec o n t r o lm o d e l h a st h ec h a r a c t e r i s t i c so fi n t e g r a t i o n ，s e c u r i t y ，r e a l i t ya n df e s i b i l i t y k e y w o r d s ： a c c e s s c o n t r o l ，u s a g ec o n t r o l ，t r u s tm a n a g e m e n t ，d i g i t a lr i g h t s m a n a g e m e n t ，r e f e r e n c em o n i t o r i i 图表清单 图1 1 访问控制模型结构 2 图1 2 传统的访问控制模型3 图1 3r b a c 核心模型6 图1 - 4 信任管理模型7 图2 - 1 连续性和可变属性1 0 图2 2u c o n a b c 模型组成1 2 图2 3a b c 的组合模型1 4 图4 1 访问控制模型2 7 图4 2 访问控制决策单元2 7 图4 3 基于s r m 的体系结构3 0 图4 - 4 基于c r m 的体系结构3 1 图4 。5 基于s r m & c r m 的体系结3 1 图4 - 6u c o n 模型的引用监控器 3 2 图4 7 引用监控机- n c l 3 5 图4 8 引用监控机_ n c 2 3 5 图4 9 引用监控机- f c l 3 6 图4 1 0 引用监控机f c 2 3 6 图4 1 1 引用监控机e c l 3 7 图4 1 2 引用监控机e c 2 3 7 图4 1 3 引用监控机_ x c l 3 8 图4 1 4 引用监控机_ x c 2 3 8 图5 1 供应链管理系统的安全保障体系4 2 图5 2 系统实现的体系结构4 4 图5 3 主体属性设置晁面4 7 图5 - 4 客体属性设置界面4 8 图5 5 订单申请界面4 8 表l 。l 访问矩阵3 表2 11 6 种基本的a b c 模型矩阵1 3 表4 - 1 基于客户端引用监控机的分类3 4 表5 1 主体属性表4 5 表5 2 客体属性表4 6 表5 3 折扣信息表4 6 表5 4 订单信息表4 6 v i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究 成果。据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经 发表或撰写过的研究成果，也不包含为获得金星王些盍堂 或其他教育机构的学 位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文作者繇1 为干鳓粉辟肿日 学位论文版权使用授权书 本学位论文作者完全了解金避王些太堂有关保留、使用学位论文的规定，有 权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。 本人授拯金魍王些盔堂可以将学位论文的全部或部分论文内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者魏嚼平 签字日期：m g 年月华目 导师签名汔昧龟 签字日期：1 t 6 年善月年目 学位论文作者毕业后去向：亩钕谗泛通信嵋司 工作单位： 通讯地址： 电话 邮编 致谢 本人在硕士研究生学习期间以及撰写论文的过程中，一直得到了我的导师 张维勇教授的悉一t 5 指导。从研究生课程的学习、论文选题、收集资料、完成实 验、到最后的论文成稿，张老师都给予我很多的关怀和帮助。张老师渊博的学 识、严谨的治学作风、诲人不倦的教学态度以及爱岗敬业的精神、待人热忱的 人格魅力都让我受益匪浅，这必将激励我在今后的人生道路上不断努力、积极 进取、勇往直前。在此，特向张老师表示衷心的感谢和崇高的敬意! 同时，还要感谢合肥工业大学计算机与信息学院的各位老师，他们对我的 学习和研究给予了极大的关心、大力的支持和帮助，使我可以不断丰富专业知 识，提升专业技能，顺利完成学业。 此外，还要感谢我的同学，以及学长、学弟、学妹们三年来对我的关心与 帮助。三年的美好时光，让我终身难忘。 最后，还要感谢我的家人，没有他们的支持与关怀，就没有我的今天。我 永远爱他们! i i l 作者：聂丽平 2 0 0 6 年5 月 前言 随着计算机技术，特别是网络技术的蓬勃发展，信息全球化已成为发展的 大趋势。但由于在计算机网络中具有连接形式的多样性、终端分布的不均匀性 和网络的开放性、互连性等特征，致使网络信息安全问题越来越成为制约大型 网络应用系统和数据库管理系统研发和应用的瓶颈。特别是对于军用信息系统、 银行系统和电子商务等应用领域网络安全更显得尤为重要。目前在网络应用环 境中主要采用的安全措施包括：数据加密解密、数字签名、身份认证、防病毒 系统和访问控制模型等，其中访问控制可以说是保证网络安全最重要的核心策 略之一，它涵盖了对计算机系统、网络资源和信息资源的访问控制机制，是防 范计算机系统和资源被非授权访问的第一道防线。 访问控制技术起源于上个世纪七十年代，目前已得到了深入的研究和广泛 的应用。传统访问控制技术是基于已知用户标识和属性，通过基于一定授权规 则的引用监控程序的控制以达到保护封闭系统环境中数字资源的目的。信任管 理则基于用户能力和属性，通过一种合理的可信度量化途径描述、表达并解决 开放环境中未知用户的授权问题。传统访问控制和信任管理都是对服务器端存 储的数字资源进行控制，而数字版权管理则讨论的是数字对象在分发以后的使 用和访问控制。即在客户端环境下对资源存取、使用和再分发等行为进行约束。 传统的访问控制、信任管理和数字版权管理分别针对各自的问题域提出相应的 解决方案，缺乏综合性。而使用控制模型作为下一代的访问控制模型，其主要 目的是统一这三种模型的问题域，为网络应用提供一个可持续发展的信任空间。 本课题在第一章首先分析、总结了传统的几种访问控制模型、信任管理和 数字版权管理等领域的概念、应用领域及其存在的不足之处，进而提出了使用 控制模型引入的必要性。在第二章详细分析了该模型针对当前复杂的网络环境 和应用需求而提出了授权、义务和条件三大权限决策因素，并介绍了该模型所 支持的可变属性和连续属性的两个特点。第三章首先介绍了几种常用的逻辑描 述手段，然后使用数理逻辑的描述工具系统地描述了使用控制模型中各种决策 因素和属性之间的逻辑关系，并使用该模型模拟实现了传统访问控制模型、信 任管理和数字版权管理等模型。第四章中详细分析了使用控制模型的体系结构， 总结了该模型实现的三个关键因素，并围绕着这三个因素针对不同的应用需求 提出多种实现机制。第五章以供应链管理系统中订单模块为例具体介绍了使用 控制模型实现的详细步骤和有关问题，为使用控制模型的实际应用提出了具体 的解决方案。最后，在第六章总结了论文阶段本课题的研究工作，并对下一阶 段的工作进行了探讨和展望。 总之，使用控制模型还处于不断完善和发展的过程中，目前针对该模型的 研究和实例尚不多见，因而本课题的工作具有一定的研究意义和实用价值。 第一章访问控制模型概述 访问控制是维护网络系统安全、保护网络资源的重要手段。其主要目的是 防止网络信息、网络资源被非法用户访问使用，或被合法用户进行非授权( 越 权) 的使用，进而保证了合法用户的正常使用和权益。访问控制模型是从访问 控制的角度出发，描述安全系统，建立安全模型的一种方法。在访问控制模型 中访问控制主要描述为访问主体依据某些控制权限对客体本身或是其资源进行 不同授权的访问使用。在模型的实现过程中主要包括3 个要素，即：主体、客 体和权限。 ( 1 ) 主体( s u b j e c t ) ： 是指一个提出访问请求或要求的实体，是动作的发起者，主体可以是用户 或其它任何代理用户行为的实体( 如：进程、作业和程序) 。 ( 2 ) 客体( o b j e c t ) ： 是接受其他实体访问的被动实体，凡是可以被操作的信息、资源、对象都 可以认为是客体。 ( 3 ) 权限( r i g h t s ) ： 是主体对客体的操作行为集和客体对主体的约束条件集，简单讲，权限是主 体对客体的访问规则集，体现了一种授权行为。 访问控制模型三要素之间的行为关系如图1 1 所示： r i g h t s 【一。，。j 图卜1 访问控制模型结构 图1 1 中的引用监控器是访问控制模型体系结构实现的关键，本文将在第 四章中做详细的讨论。本章的重点是分析几种经典的访问控制模型及其存在的 问题，进而引入种新的访问控制模型一一使用控制模型1 ，2 ，3 1 ( u c o n ，u s a g e c o n t r 0 1 ) 。 1 1 传统的访问控制模型 传统的访问控制模型是以“授权”作为唯一的决策因素，“授权”主要是基 于主体属性、客体属性和请求的权限来返回判断的结果，具体过程如图1 - 2 所 示，其中属性包括了身份、能力、安全等级等重要的主客体特征，而请求的权 限则记录了主体可以对客体进行的具体操作( 例如“读”、“写”或“执行” 等) 。 使用挟策 主体属性客体属性 a t t ( s ) a t t ( o ) 图卜2 传统的访问控制模型 1 9 6 9 年b w l a i n p s o n 通过形式化表示方法运用主体、客体和访问矩阵 ( a c c e s sm a t r i x ) 的思想第一次对访问控制问题进行了抽象【4 , 5 1 ，奠定的传统访 问控制模型的理论基础。访问控制矩阵记录了主客对应的权限集合是授权决策 的主要依据，见表1 1 所示： 表卜1 访问矩阵 o b i e c t l o b j e c t 2o b j e c t j s u b j e c t l r c a d w r i t e r e a d ，w r i t e ，o v 1 1r e a d s u b j e c t 2 r e a dw r i t e r e a d ，w r i t e ，o w n s u b j e c tiw r i t er e a d r e a d w r i t e 访问矩阵是以主体为行索引，以客体为列索引的矩阵，矩阵中的每一个元 素表示一组访问方式，而整个矩阵则是若干访问方式的集合。矩阵中第i 行第 j 列的元素记录着第i 个主体s i 可以执行的对第i 个客体o j 的访问方式，比如 m i j 等于表示s i 可以对o j 进行读和写访问。但由于现实系统中的主客体资源 过多而造成访问控制矩阵过于庞大，并且由于许多主体对于大多数客体不能访 问而使得访问矩阵变成稀疏矩阵，从而使得访问矩阵不易执行，本节介绍的访 问控制模型都是基于访问矩阵理论，但又对访问矩阵进行一定的变形得以实现 的。 1 1 1 自主访问控制模型 自主访问控制 6 j ( d a c ，d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 又称为任意访问控 制。l i n u x ，u n i x 、w i n d o w s n t 或是s e r v e r 版本的操作系统都提供自主访 问控制的功能。基本思想是：系统中的主体可以自主将其本身对客体资源的访 问权限全部地或部分地赋予给其他主体或则收回已赋予的权限，其实现方法是 建立基于行( 主体) 或列( 客体) 的访问矩阵。基于行的方法是在每个主体上 都附加个该主体可以访问的客体的明细表。根据表中信息的不同可分为3 种 形式：权限表( c a p a b i l i t i e s l i s t ) 、前缀表( p o r f i l e s ) 和口令( p a s s w o r d ) 。 权限表决定用户是否可以对客体进行访问以及进行何种形式的访问 ( 如：读、写、改、执行等) 。一个拥有某种权力的主体可以按一定方 式访问客体，并且在进程运行期间访问权限可以添加或删除。 前缀表包括受保护的客体名以及主体对它的访问权。当主体欲访问某客 体时，自主访问控制系统将检查主体的前缀是否具有它所请求的访问 权。 口令机制要求每个客体( 甚至客体的每种访问模式) 都需要一个口令， 主体访问客体时首先向操作系统提供该客体的口令。 基于列的自主访问控制是对每个客体附加一个可访阀它的主体的明细表。 它有两种形式：保护位( p r o t e c t i o n b i t s ) 和访问控制表( a c c e s s c o n t r o l l i s t ，a c l ) 。 保护位是对所有的主体指明一个访问模式集合，由于它不能完备地表达 访问控制矩阵，因而很少使用。 访问控制表可以决定任一主体是否能够访问该客体，它是在客体上附加 一主体明细表的方法来表示访问控制矩阵。表中的每一项包括主体的身 份和对客体的访问权。访问控制表是实现自主访问控制的最好的方法。 d a c 的优点是其自主性为用户提供了极大的灵活性，从而使之适合于许多 小规模的系统和应用。但也正由于这种自主性导致了d a c 的一个致命弱点： 访问权的授予是可以传递的。一旦访问权被传递出去将难以控制，访问权的管 理是相当困难的，会带来严重的安全问题；另一方面，d a c 不保护受保护的客 体产生的副本，即一个用户不能访问某一客体，但能够访问它的拷贝，这更增 加了管理的难度：而且在大型系统中主、客体的数量巨大，无论使用哪一种形 式的d a c 所带来的系统开销都是难以支付的、效率相当低下、难以满足大型 应用特别是网络应用的需要。 1 1 2 强制访问控制模型 强制访问控制7 ，8 】( m a c ，m a n d a t o r ya c c e s sc o n t r 0 1 ) 是美国政府和军方 源于对信息机密性的要求以及防止特洛伊木马之类的攻击而研发的。在m a c 4 访问控制中，用户和客体资源都被赋予一定的安全级别，用户不能改变自身和 客体的安全级别，只有管理员才能够确定用户和组的访问权限。和d a c 模型 不同的是，m a c 采用的是一种多级访问控制策略，它的主要特点是系统对访问 主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同 的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级 别属性进行比较，再决定访问主体能否访问该受控对象。m a c 对访问主体和受 控对象标识两个安全标记：一种是具有有层次的安全级别，分为：t s ，s ，c ， r s ，u 五级：绝密级别( t o ps e c r e t ) ，秘密级别( s e c r e t ) ，机密级别( c o n f i d e n t i a l ) ， 限制级别( r e s t r i c t e d ) 和无级别级( u n c l a s s i f i e d ) ：另一种是无层次的安全级 别，即不对主体和客体按照安全类别分类，只是给出客体接受访问时可以使用 的规则和管理者。按照安全等级的层次关系，当主体和客体在分属不同的安全 类别时就构成一个偏序关系( 比如t s 表示绝密级，就比密级s 要高) 。考虑到 偏序关系，主体对客体的访问主要有4 种方式： 下读：主体安全级别高于客体信息资源的安全级别时允许执行读操作； 上读：主体安全级别低于客体信息资源的安全级别时允许执行读操作； 下写：主体安全级别高于客体信息资源的安全级别时允许执行写操作； 上写：主体安全级别低于客体信息资源的安全级别时允许执行写操作。 由于m a c 通过分级的安全标签实现了信息的单向流通，因此它一直被军 方采用，其中最著名的是b e l l l a p a d u l a i9 】模型和b i b a t l 0 i 模型：b e l l l a p a d u l a 模 型具有只允许向下读、向上写的特点，可以有效地防止机密信息向下级泄露； b i b a 模型则具有不允许向下读、向上写的特点，可以有效地保护数据的完整性。 但由于m a c 增加了不能回避的访问限制，因而可能影响系统的灵活性，对模 型的实际应用也产生了重大的阻碍；另一方面，m a c 不能同时实现系统对机密 性和完整性的要求；最后，在m a c 系统中实现单向信息流的前提是系统中不 存在逆向潜信道。逆向潜信道的存在会导致信息违反规则的流动。而现代计算 机系统中这种潜信道是难以去除的，如大量的共享存储器以及为提升硬件性能 而采用的各种c a c h e 等。这给系统增加了安全性漏洞。 1 1 3 基于角色的访问控制模型 9 0 年代n i s t ( n a t i o n a li n s t i t u t eo f s t a n d a r d s a n dt e c h n o l o g y ) 提出了基于角 色的访问控制i ”，1 2 】( r b a c ，r o l e b a s e da c c e s sc o n t r 0 1 ) 的概念并广为接受。 r b a c 的突出优点是简化了各种环境下的授权管理。在d a c m a c 系统中访问 权限直接授予用户，而系统中的用户数量众多而且经常变动，这就增加了授权 管理的复杂性。r b a c 的思想是将访问权限分配给角色，系统的用户担任一定 的角色，与用户相比角色是相对稳定的。角色实际上是与特定工作岗位相关的 一个权限集，当用户权限改变时只需由管理员进行角色的撤消和重新分配即可。 目前针对r b a c 提出多种模型如：由s a n d h u 等人提出的r b a c 9 6 a r b a c 9 7 a r b a c 0 2 模型族、角色图模型、n i s t 模型、o a s i s ( o p e na r c h i t e c t u r e f o r s e c u r e l yi n t e r w o r k i n gs e r v i c e ) 模型和s a r b a c ( s c o p e a d m i n i s t r a t i v er b a c ) 模型等。这些模型主要是基于r b a c 进行不同程度的深入展开。其主要的理论 基础还是由s a n d h u 提出的核心模型，在该核心模型中包含了5 个基本静态集合： 用户集( u s e r s ) 、角色集( r o l e s ) 、对象集( o b j e c t s ) 、操作集( o p e r a t o r s ) 和特 权集( p e r m s ) ，以及一个运行过程中动态维护的集合一一会话集( s e s s i o n s ) ， 如图1 3 所示。其中用户集是系统中可以执行操作的用户，也就是主体；对象 集是系统中需要保护的被动的实体，即客体；操作集是定义在对象上的一组操 作，也就是权限；特定的一组操作就构成了一个针对不同角色特权；而角色则 是r b a c 模型的核心，通过用户分配( u a ) 和特权分配( p a ) 等操作建立起 主体和特权的关联。 图1 3r b a c 核心模型 相比较丽言，r b a c 是实掩面向企业安全策略的一种有效的访问控制方 式，其具有灵活性、方便性和安全性的特点，目前在大型数据库系统的权限管 理中得到普遍应用。但r b a c 模型仍处于不断完善的过程中，而且对于未知用 户的访问也缺乏必要的控制和委托机制，限制了在大型开放式分布式网络环境 下的应用。 1 2 信任管理 为了适应大规模的、开放的分布式系统对授权机制的要求，b l a z em 等人 在1 9 9 6 年首次提出了“信任管理”的概念，并将其定义为“用统一的方法说明 和解释安全策略、证书以及对安全行为直接授权的关系”d 3 ，随后出现了许多 与之相关的研究，其中p o l i c ym a k e r 、k e y n o t e 、r e f e r e e 、s p k i s d s i 是最具 代表性的信任管理系统，此外，信任管理语言一d l 、信誉度量等也是信任管理 的关键性技术。 信任管理是一种以密钥为中心的授权机制，它把公钥作为主体，可以直接 对公钥进行授权。信任管理使用表达性更强的证书，此类证书可以实现基于第 三方信任形式和直接的信任管理模式。它将公钥绑定到授予的权限【14 1 、密钥持 有者的各种属性或者完全可编程的“能力”上。而授权可以转化为回答一个一 6 致性证明问题：“证书集合c 是否证明了请求r 符合本地安全策略p ? ”，证 书编程的思想使得信任管理可以统一表示安全策略、证书以及信任关系，并以 灵活、通用、可靠的方式解决开放分布式系统中的授权问题。 为了使信任管理能够独立于特定的应用，b l a z e 等人还提出了一个基于信任 管理引擎( t m e ，t r u s tm a n a g e m e n te n g i n e ) 的信任管理模型，如图1 4 所示。t m e 是整个信任管理模型的核心，体现了通用的、应用独立的一致性证明验证算法， 根据输入的三元组( r ，c ，p ) ，输出策略是否被满足的判断结果。前面介绍的 典型信任管理系统均以该模型为基础设计并实现。 证书 请求 图卜4 信任管理模型 从信任管理的模型可以看出，设计信任管理系统主要解决三个方面的问题： 如何描述和表达安全策略和凭证；设计策略一致性验证算法；信任管理系统与 应用程序之间的职能划分。 信任管理系统补充了传统授权机制的不足，提供了一个适合w e b 应用系统 开放、分布和动态特性的安全决策框架【1 ”。但目前它自身也还存在着一些问题， 如：委托控制问题、证书收集及描述问题和信任管理语言等问题，此外，信任 管理系统还不能对已分发的数字资源进行使用控制。 1 3 数字版权管理 随着网络通信技术的普及，许多传统媒体资源都被转变成数字内容在网络 上迅速的传播使用，这必将对社会的发展和电子商务技术的发展起到很大的推 动作用。但是著作权保护制度也因此受到前所未有的冲击，数字版权管理 1 6 1 7 】 ( d r m ，d i g i t a lr i g h t s m a n a g e m e n t ) 正是满足这一需求而提出的保护多媒体内 容免受未经授权的播放和复制的一种方法，并为内容提供者保护他们的私有数 据资源免受非法复制和使用提供了一种手段。 d r m 通过对数字内容进行加密和附加使用规则等技术手段在数字产品的 分发、传输和使用等各个环节进行保护控制，其中，使用规则是判断用户是否 符合数字内容播放条件的依据，使用规则包括：被授权使用的用户和终端设备、 呼 一篇一 二 靴。 一 一盏 二 一 一_l#一 上兰竺 当一 授权使用的方式( 如读、复制等) 和授权使用期限等规则信息，规则信息一般 以加密文件形式伴随着数字资源的下载而自动的、冗余的下载到用户终端设备 的受保护存储区内，当数字内容使用时由操作系统和多媒体中间件( d r m 客户 端代理软件) 负责解密并强制执行使用规则监测工作，防止了数字内容被任意 的使用。防止内容被任意分发的主要方法是：对数字内容进行加密，只有授权 用户才能得到解密的密钥，而且密钥是与用户的硬件信息绑定的。加密技术加 上硬件绑定技术进一步实现了版权保护的目的。 目前d r m 已经得到了一定的发展，m i c r o s o f t 、r e a l n e t w o r k 和方正集团等 公司都推出了各自的d r m 解决方案。但d r m 是一个相当庞大的领域，涉及到 密码学技术、数字签名、数字水印和权限描述语言等技术，同时其发展也要受 到各种法律和商业规范等因素的制约。因此，d r m 还不够完善，成为制约电子 出版业和网络信息服务业发展的瓶颈，此外，d r m 主要针对客户端的数据内容 进行权限管理。只是解决访问控制领域中的一部分问题。 1 4 本章小结 本章介绍了目前比较常用的访问控制模型，它们都有各自的应用领域，但 又都存在着缺点和局限性：传统访问控制技术是基于已知用户标识和属性，通 过引用监控程序和授权规则以达到保护封闭系统环境中数字资源的目的。信任 管理则基于用户能力和属性，研究开放系统中未知用户的授权问题。传统访问 控制和信任管理都是对服务器端存储的数字资源进行控制，而数字版权管理则 讨论的是数字对象在分发以后( 即在客户端) 的使用和访问控制。传统的访问 控制、信任管理和数字版权管理分别针对各自的问题域提出相应的解决方案， 缺乏综合性。因而需要引入一种统的、综合的访问控制机制以适应信息化、 网络化的需求。 2 1 u c o n 模型简介 第二章u c o n 访问控制模型 2 0 0 2 年，g e o r g em a s o n 大学著名的信息安全专家r a v is a n d h u 教授和 j a e h o n gp a r k 博士首次提出使用控制( u c o n ，u s a g ec o n t r 0 1 ) 的概念。u c o n 对传统的存取控制进行了扩展，定义了授权( a u t h o r i z a t i o n ) 、义务( o b l i g a t i o n ) 和条件( c o n d i t i o n ) 三个决定性因素，同时提出了存取控制的连续性( c o n t i n u i t y ) 和可变性( m u t a b i l i t y ) 两个重要属性。u c o n 集合了传统的访闷控制、信任管 理以及数字版权管理，用系统的方式提供了一个保护数字资源的统一标准的框 架，为下一代存取控制机制提供了新的思路。 2 1 1u c o n 模型的使用范畴 系统安全主要是指与计算机硬件和软件等资源安全相关的技术手段，主要 保护的对象包括：数据资源、计算机系统资源和网络资源，u c o n 模型主要保 护数据资源，对计算机系统资源和网络资源也可以针对具体的应用需求配合其 它相关技术达到资源保护的目的。在u c o n 系统中不仅可以保护服务器端的数 据资源，对于下载的客户端的数字资源也可以起到保护作用，比如控制其使用 期限、使用次数和防拷贝等。 系统安全的主要目标可以分为：预防( p r e v e n t i o n ) 、检测( d e t e c t i o n ) 和 响应( r e s p o n s e ) ，u c o n 模型主要实现数据资源安全性预防的目标，防止非安 全操作的发生。而对于非安全操作的检测和响应工作主要通过i d s 入侵检测和 日志跟踪和相应的规章、法律等手段实现。 2 1 2u c o n 的新特征 u c o n 模型引入了两种新的重要特征：“连续性”和“可变性”。在传统的 访问控制中，授权决策是在访问操作执行之前进行判断的，而在现代访问控制 中，有相对长期持续的资源使用或立即撤消资源使用权限的应用要求，这些都 需要在整个资源的使用过程( o n g o i n g ) 中对访问请求进行实时监控，这一特征 称为“连续性”。连续性控制可以发生在访问使用资源之前，也可以发生在访问 使用资源过程中，但却不能发生在使用资源之后，因为此时对客体资源访问操 作已经完全结束，访问控制也就没有任何意义可言。在使用过程中执行的权限 判断可以是基于时间( 规定时间间隔，周期性的执行权限检测) ，也可以是基于 事件( 特定的事件或上下文情景特征触发权限检测谓词的执行) 。 在传统的访问控制中，属性只能通过管理行为才能被修改。然而，在许多 应用中，这些属性不得不因为主体的行为而被修改。例如，一个主体的银行账 户余额必须随着主体的支取或者存入而改变，这种改变也必将影响到主体的下 一次或本次的访问权限检测。这种属性的可变性在传统的访问控制中很少被讨 论。对于可变属性的更新可能发生在使用资源之前，可能发生在使用的过程中， 也可能发生在资源使用完成之后。在u c o n 模型中一般将属性分为两类：不变 属性( 管理控制属性) 和可变属性1 8 1 ( 系统控制属性) ，不变属性必须由管理 员通过管理行为进行确定或修改，也就是说不能在系统的运行过程中自动的改 变，例如：用户的安全证书、工作组等属性。而变动属性是在系统权限决策前、 中或者是后改变属性值，并对本次或是下次的权限决策起重要依据作用。 连续性控制和可变属性如图2 1 所示。连续性控制和可变属性使得基于历 史的授权决策更容易实施。 使用过程中 连续性控制之前j 9 ”! 、 连续性控制 l 使用之前f 使用使用之后 可变属性f l f 二f 之前( 1 0 r e )使用过程中 之后( p o s t ) ( o n g o i n g ) 2 2 u c o n a b c 模型 图2 1 连续性和可变属性 u c o n a b c ( a u t h o r i z a t i o n ，o b l i g a t i o n ，c o n d i t i o n ) 模型 1 9 】是使用控制模型 的核心模型。本节将介绍该模型的8 大组成部分，并系统地讨论这一模型。 2 2 1u c o n a b c 的组成部分 ( 1 ) 主体和主体属性： 主体( s u b j e c t ) 是可以对客体拥有某些使用权限的主动实体，简记为s 。 主体的含义很广泛，可以是用户所在的组织( 用户组) 、用户本身，也 可以是用户使用的计算机终端、卡机、手持终端( 无线) 等，甚至可以 使应用服务程序或进程。主体可分为消费者主体( c o n s u m e rs u b j o c t ， c s ) 、生产者主体( p r o v i d e rs u b j e c t ，p s ) 和审计主体( i d e n t i f i e es u b j e c t ， i s ) 。c s 是对客体拥有一定权限的主体集合，如电子图书的阅读者或 m p 3 音乐的欣赏者等。p s 是客体的提供者，并对客体持有一定的权限， 如数字资源的作者或是发行商等。i s 是对特定客体持有审计权利的主 体，审计是对用户使用客体的使用时间、使用方式等操作信息进行记录 与监控的过程，是对访问控制的必要补充。例如在医疗保障体系中患者 1 0 本人就是他病史的审计主体。 主体属性( s u b j e c t a t t r i b u t e ) 标识了主体能力和特征，是权限决策过程 中的重要参数，简记为a t t ( s ) 。针对不同的应用环境对主体属性的 要求也不同，在传统的访问控制环境中就必须要求主体的属性中有唯一 标识该主体的关键字( 例如：用户名、帐号等) ，这就要求主体必须通 过注册后才能登录系统，而在开放式环境中往往也允许主体以匿名的身 份依据具体的访问规则使用系统资源。常见的主体属性有：用户名、用 户组、角色和安全级别等等等。其中，用户组是满足特定条件的主体的 集合，角色是对客体操作权限的集合，是实际岗位的体现。两者都存在 着继承关系，都是主体的重要属性。 ( 2 ) 客体和客体属性： 客体( o b j e c t ) 是按权限集合的规定接受主体访问的被动的实体，简记 为o 。客体可以是信息、文件、记录等集合体，也可以是网络上的硬件 设备，无线通信中的终端等。按着客体的来源可以把客体分为：原始客 体和派生客体，派生客体是原始客体在被主体使用过程中产生的客体， 比如每个文件被访问的日志文件等，这两类客体都是u c o n 模型要管 理控制的对象。而主体和客体也不是完全绝对的，在具体的应用上下文 中主、客体的身份也可能会发生转变。例如媒体播放软件，它在媒体播 放的过程中是使用客体资源的主体，而在软件下载的过程中却作为客体 受到保护和管控。 客体属性( o b j e c ta t t r i b u t e s ) 是标识客体的重要信息，简记为a t t ( o ) ， 客体属性包括客体的安全标签、所有关系、类别和访问控制列表等。在 基于支付的系统中，价格列表也是重要的客体属性，例如：电子图书的 价格属- 眭，该属性可能会规定读本书需要5 元，2 0 元具有打印权限。 ( 3 ) 权限： 权限( r i g h t s ) 是主体可以对客体访问的动作集，简记为r 。这一集合定义 了主体对客体的作用行为和客体对主体的条件约束。权限可以有很多种分类， 例如按权限主体可分为：消费权限( c r ) ，生产权限( p r ) 和审计权限( i r ) ， 也可以按着权限的用途分为使用权限，委托权限和管理权限等。 ( 4 ) 授权： 授权( a u t h o r i z a t i o n ) 是传统访问控制模型中唯一的权限决策因素，也是 u c o n 模型中重要组成部分，简记为a 。授权是基于主、客体的属性和所请求 的权限( 如：读或写等权限) 并依据权限规则集进行的权限判断操作。与以前 的模型不同，u c o n 模型清楚认识到每个访问都有有限的期限，因此可以根据 不同的控制规则在访问之前或是访问过程中进行授权判断操作。此外，执行授 权谓词可能会引起主、客体可变属性值的修改，进而将对本次或其它的访问决 义务( o b l i g a t i o n ) 【2 0 1 是主体必须在访问之前或则访问过程中执行的功能性 p r 。 i 一 主体性，一 r o l e ， 即如果存在一个许可角色( p r o l e ( 0 ，r ) ) 其偏序关系激活角色( a c t r o l e ( s ) ) ，则请求被允许。 3 3 4 信任管理模型的实现 信任管理主要是解决开放网络环境下陌生用户的授权问题，信任管理的发 展是一个漫长而复杂的过程，这和企业的发展与市场的制约有很大关系。现代 企业有向大型化、集团化发展的趋势，一个企业往往包括多个职能部门，分别 完成生产、管理、结算等各项功能，一般情况下系统的公共信息公司内部的员 工都可以阅览，但是却只能修改本部门的数据信息，其采用u c o n 。r e a o 模型的 逻辑描述如下： d e p a r t m e n t 是部门名称的集合； c e r t ：s 一20 6 p a 盯m 8 n t ，是用户与部门集合之间的映射关系； g r o u p i d ：0 一d e p a r t m e n t ，是信息资源与部门之间的映射关系； a t t ( s ) ： c e r t ； a t t ( o ) ： g r o u p i d ) ； a l l o w e d ( s ，o ，r e a d ) j ( c e r t ( s ) 妒) ，只要用户是本公司的员工即c e r t ( s ) 不为空就可以对信息资源进行写操作； a l l o w e d ( s ，o ，w r i t e ) ( c e r t ( s ) 尹) g r o u p l d ( o ) c e r t ( s ) ，进行修改操 作时规定只能修改本部门的信息。 3 3 5 数字版权管理模型的实现 数字版权管理的实现主要考虑媒体文件的使用次数、使用期限和拷贝权限 等问题，这