协作信息系统的访问控制模型及其应用.doc

2008 年 9 月Journal on CommunicationsSeptember 2008 第 29 卷第 9 期通 信 学 报Vol 29 No 9 协作信息系统的访问控制模型及其应用 李凤华 1 2 王巍1 马建峰1 刘宏月1 1 西安电子科技大学 计算机网络与信息安全教育部重点实验室 陕西 西安 710071 2 北京电子科技学院 研究生处 北京 100070 摘 要 资源授权决策是协作信息系统面临的首要安全问题 首先结合角色 时态和环境的概念 介绍了行为 的含义和基于行为的访问控制模型 ABAC action based access control model 然后基于 ABAC 模型 给出了协作 信息系统访问控制机制的流程 提出了包含用户请求 用户身份 口令 角色 时态状态 环境状态 生命期 等安全属性的安全关联及其产生方法 给出了一种安全认证协议 使用此协议可以实现用户与行为服务器 资 源管理服务器之间交换与 ABAC 模型相关的安全属性 并使用 UC 模型证明该协议的安全性 关键词 访问控制 协作信息系统 安全关联 认证协议 中图分类号 TP309 2 文献标识码 A 文章编号 1000 436X 2008 09 0116 08 Access control model and its application for collaborative information systems LI Feng hua1 2 WANG Wei1 MA Jian feng1 LIU Hong yue1 1 Key Laboratory of Computer Networks and Information Security Ministry of Education Xidian University Xi an 710071 China 2 Graduate School Beijing Electronic Science and Technology Institute Beijing 100070 China Abstract The authorization decision on resources is the major problem in collaborative information systems Firstly the term action was defined based on roles temporal states and environmental states and the action based access control ABAC model was presented Then the access control mechanism based on ABAC for collaborative information systems was introduced The security association was defined and its producing procedure was proposed which contains security properties such as user request user identity password role temporal state environmental state and lifetime Finally to exchange the security properties among user action server and resources management server a secure authentication protocol was proposed and its security was proven under the universally composable model Key words access control collaborative information system security association authentication protocol 1 引言 协作信息系统作为信息技术与资源管理的有 机结合 在互联网上实现了组织结构和工作流程 的优化重组 超越时间 空间及部门之间的分隔 限制 提供全方位的 规范而透明的资源管理服 务 协作信息系统包含多方面的内容 如办公自 动化 部门间的信息共建共享 各级部门间协同 收稿日期 2008 02 10 修回日期 2008 07 20 基金项目 国家高技术研究发展计划 863 计划 基金资助项目 2007AA01Z472 2007AA01Z429 2007AA01Z482 国家自然科学基金资助项目 60633020 60573036 60702059 Foundation Items The National High Technology Research and Development Program of China 863 Program 2007AA01Z472 2007AA01Z429 2007AA01Z482 The National Natural Science Foundation of China 60633020 60573036 60702059 第 9 期李凤华等 协作信息系统的访问控制模型及其应用 117 办公 实时信息发布 网上信息查询 电子化民 意调查和社会经济统计等 在协作信息系统中 各种数据 文件 档案 都以数字形式存储于资源服务器中 可通过计算 机检索机制快速查询 即用即调 但这种情况导 致恶意访问和非法使用等问题 因此 建设协作 信息系统首先要解决的一个关键性的问题就是信 息资源的访问控制 文献 1 5 给出了几种建设安 全协作信息系统的方法 其中 文献 1 通过使用 基于标准化的 XML 的权限描述语言 利用已有 的基于角色的访问控制方法对协作信息系统的权 限进行管理 文献 2 提出了支持 RBAC 的可控 的 P2P 计算结构来完成对大型信息系统的协同操 作 为了支持远程用户和服务提供者之间的动态 协作 文献 3 提出了一种分布式环境下的访问控 制管理框架 文献 4 提出了一种扩展的兼顾身份 和时空约束的访问控制模型 Ex RBAC 并将其 应用于基于位置的移动协作系统 文献 5 提出了 在扩展企业中的安全认证和授权方法 这种方法 包括分布式的基于角色的访问控制模型 RBAC 公钥基础设施 PKI 权限管理基础设施 PMI 文 献 6 提出了一种协作 Web 计算环境 其支持网 络访问控制机制和负载分布式机制 从而可以防 止资源的滥用和提高计算性能 文献 7 提出了将 多域环境下的不同访问控制策略整合为全局策略 的方法 但这些已有的方法没有考虑 位置 操作 平台等环境因素对访问协作信息系统的影响 2 基于行为的访问控制模型 访问控制模型中涉及到以下几个概念 8 9 用 户 角色 会话 权限 时态 除了以上提到的 概念之外 在移动计算或分布式计算环境下 角 色访问系统时的位置和操作平台等环境信息会影 响到角色访问系统的权限 当一个角色所处的位 置不同时 其所能够得到的权限可能是不同的 如某个角色是跨国公司中分公司主管 当其处于 分公司内部时可以享有主管的权限 而当其在总 公司时享有的权限可能和一般职员相同 此外 其出差时享有的权限可能比在分公司内部享有的 权限低 同时其权限又高于一般职员 同样 若 此角色访问信息资源时使用的操作平台不同 其 权限也可能不同 如使用公用计算机时其只能享 有最低的权限 当使用系统内部计算机时其可以 访问公司向内部人员公开的信息 当使用系统内 部专用机时其可以访问公司机密信息等 此外 使用不同的软件也可能会影响到角色享有的权限 如使用公用软件时只能访问一些公开资源 而使 用专用软件时可以访问一些机密资源 所以在对 访问控制机制进行建模时有必要引入 环境 因 素 下面介绍 环境 以及由此得到的 行为 的概念 定义 1 环境指用户访问系统时的客观因素 如位置 场所物理位置 网络位置 逻辑位置等 平台 硬件平台 软件平台 密码系统等 和其 他与访问控制相关的外部客观信息等 系统可以 使用与安全相关的环境信息来限制对系统资源的 访问 环境状态对用户在何种外部客观因素下的 权限进行约束 将环境状态的集合记为 E 定义 2 行为 a 指角色 r 在某种环境 e 下某段 时间 t 内实现某个功能所需权限集合的描述 即用 户 u 在启动会话 s 获得权限 p 时所需的角色 时态 和环境信息 其中 u U s S p P r R t T e E U 为用户集合 S 为会话集合 P 为权限集合 R 为角色集合 T 为时态状态集合 a 可以表示为 三元组 r t e 记 a 对应的 r 的集合为 t 的集合为 e 的集合为 p 的集合为 定义 3 用户 行为分配 ua 指对用户 u 分配 行为 a 的过程 ua 的集合记为 UA 定义 4 行为 权限分配 ap 指对行为 a 分配 权限 p 的过程 ap 的集合记为 AP 根据 行为 的概念 下面借鉴文献 1 的形 式给出基于行为的访问控制模型 ABAC 的形式化 定义 定义 5 ABAC 模型具有以下组件 1 U A P 和 S 用户 行为 权限 会话 其中 A R T E R T E 分别为角色 时态和环 境 A 是一个多元因素相互交叉影响的复杂关系 一般用 Action 层次树或 ACL access control list 描 述 P OPS OBS freeze 这里 OBS 是对象集合 OPS 分别是创建 读 写 修改和删除操作 freeze 表示冻结状态 2 UA U A 表示多对多的用户 行为的分配 关系 3 AP A P 表示多对多的行为 权限的分配 关系 118 通 信 学 报第 29 卷 4 AH A A 表示行为集合 A 上的偏序关系 记为 5 Constraints 表示约束条件 6 user S U 将会话 si映射到单个用户 user si 的函数 会话生命期内保持不变 7 actions S 2A 将会话 si映射到行为集合 actions si 的函数 i aaauser saUA 会话 si具有权限 i a actions s paa apAP 在行为集合 A R T E 中 时态状态 T 可以表 示为 TI TP TD TC 其中二元组 TI TP 表示事 件的时间区间 TD 表示事件的持续时间 TC 表 示事件发生的周期 环境状态 E 可以表示为 EL EN EH ES EC 其中 EL 表示事件发生的物理 位置 EN 表示事件发生的网络位置 EH 表示事 件发生时用户使用的硬件平台 ES 表示事件发生 时用户使用的软件平台 EC 表示事件发生时用户 使用的密码系统 环境状态 E 十分重要 可以使 用如下方法获得不同的环境状态 对于 EL 可以 使用 GPS 等定位系统 对于 EN 可以通过网络布 线和设备配置 使用 IP 地址和服务器中的地址映 射表等网络信息 对于 EH 可以选用配有 TPM 等安全芯片的硬件平台 对于 ES 可以选用能够 访问特殊数据的专用软件 对于 EC 可以选用不 同密码算法或不同群组密钥 由此 可以对不同 的环境状态 E 加以区分 对于冻结状态 freeze TRUE FALSE 来说 当 freeze TRUE 时 用户只能得到信息的标题或 摘要 而不能得到具体的信息内容 如公文签批 时需要一级一级地进行上报审批 而公文阅办时 需要一级一级地向下批示 而且在此过程当中 信息可操作性是具有时间顺序的 对于行为 权限的分配关系 AP 由于行为由 角色 时态和环境三者决定 所以可以得到以下 偏序关系 i rR j tT k eE i j kN 满足 12 n sss pppP ijkijk ar t e ls pAP 如果有 和1 ln i j kN 满足 12 n sss pppP i j kijk ar te ls pAP 且 则1 l n iijjkk rr tt ek 12 n sss ppp 12 n sss ppp 参考 RBAC 的结构图 1 图 1 给出了基于行 为的访问控制模型 ABAC 的结构图 其中包含 了行为层次 角色层次 环境层次 时态层次 从图 1 中可以看出 ABAC 对 RBAC 进行了扩 展 主要体现在行为 A 的结构上 即行为 A 包 含角色 R 环境状态 E 和时态状态 T 行为 A 的状态随着角色 环境状态和时态状态的不同 而动态变化 其中 环境状态和时态状态对角色 所能享有的权限具有直接影响 如不同的物理位 置 网络位置 硬件平台 软件平台和密码系统 等外部环境可以对角色享有的权限产生影响 同时不同的时态状态如事件发生的起始时间 终 止时间 持续时间 周期等也会对角色享有的权 限产生影响 此外 对于相同的角色 环境状态 和时态状态之间也存在相互影响 考虑不同的 网络位置 如公司内部网络和外部网络 不同的 图 1 ABAC 模型 第 9 期李凤华等 协作信息系统的访问控制模型及其应用 119 时间段 如上班时间和下班时间等 可以给出 4 种不同的环境 时态组合 内部网络 上班 内部网络 下班 外部网络 上班 外部网络 下班等 这时 角色可能由于所处环境 时 态组合的不同而享有不同的权限 如内部网络 上班对应访问机密资源的权限 内部网络 下班和外部网络 上班对应访问公司内部公开资 源的权限 外部网络 下班对应访问公司对外公 开资源的权限 通过将角色 时间和环境综合考 虑 可以使 ABAC 灵活地处理各种信息系统中 的访问控制问题 关于 ABAC 的详细讨论 参 考文献 10 3 基于ABAC 的协作信息系统访问控制机 制 3 1 访问控制的安全体系结构 图 2 给出了基于 ABAC 的协作信息系统访问 控制的安全体系结构 其中 行为服务器管理行 为信息并向用户提供一部分安全关联 SA security association 资源管理服务器对用户提供的安全关 联进行认证并分配另一部分安全关联 当用户第一次提交资源访问请求时 他需 要通过以下步骤 与行为服务器 资源管理服务 器进行交互 其中安全关联 SA UA SA AP SA 的结构和相关的安全认证 协议分别在 3 2 节和 3 3 节介绍 Step1 用户将自身的 ID 口令 物理位置 硬件信息 软件信息 请求时间和希望访问的资 源管理服务器的地址进行散列并对结果进行签名 将签名值和 ID 口令 物理位置 硬件信息 软 件信息 请求时间和希望访问的资源管理服务器 的地址发送给行为服务器 Step2 行为服务器对用户进行认证并依据用 户的相关信息生成 用户 行为安全关联 UA SA Step2 1 行为服务器借助身份认证服务器对 用户发送的消息进行认证 并对 ID 口令进行鉴 别 若成功则转 Step2 2 否则返回错误信息 Step2 2 行为服务器借助环境服务器抽取用 户的网络位置信息 Step2 3 行为服务器借助时间服务器 角色 服务器和环境服务器 利用用户的物理位置 网 络位置 硬件信息 软件信息 请求时间信息 将相应的行为分配给用户 Step2 4 行为服务器产生 UA SA Step2 4 1 行为服务器使用与资源管理服务器 之间的对密钥加密如下信息 ID 口令 角色 环境状态 时态状态 Step2 4 2 行为服务器对资源管理服务器的地 址 Step2 4 1 的加密结果和 UA SA 生命期进行散 列操作 Step2 4 3 行为服务器使用自身的私钥对 Step2 4 2 的散列值进行签名 图 2 协作信息系统访问控制的安全体系结构 120 通 信 学 报第 29 卷 Step2 5 行为服务器将 UA SA 发送给用户 Step3 用户对接收到的信息进行认证并向资 源管理服务器请求服务 Step3 1 用户对接收到的信息进行认证 若 成功则转 Step3 2 否则返回错误信息 Step3 2 用户将 UA SA 请求时间和希望访 问的资源信息进行散列并对结果进行签名 将签 名值 UA SA 请求时间和希望访问的资源信息 发送给资源管理服务器 Step4 资源管理服务器对接收到的信息进行 认证并向用户返回请求响应 Step4 1 资源管理服务器对接收到的信息进 行认证 若成功则转 Step4 2 否则返回错误信 息 Step4 2 资源管理服务器检查 UA SA 的生 命期 若其有效则转 Step4 3 否则返回错误信 息 Step4 3 资源管理服务器计算自身地址 UA Enc 和 UA SA 生命期的散列值 并将其与得 到的 UA SA 中的散列域进行比较 若其有效则转 Step4 4 否则返回错误信息 Step4 4 资源管理服务器抽取用户的网络位 置信息 Step4 5 资源管理服务器对行为服务器的签 名信息进行验证 若成功则转 Step4 6 否则返回 错误信息 Step4 6 资源管理服务器使用与行为服务器 之间的对密钥解密 UA SA 中的 UA Enc Step4 7 资源管理服务器利用 AP 决定是否同 意用户的资源请求 若同意则转 Step4 8 否则返 回错误信息 Step4 8 资源管理服务器产生 行为 权限 安全关联 AP SA Step4 8 1 资源管理服务器利用用户的公钥加 密会话密钥和用户得到的权限 Step4 8 2 资源管理服务器对行为服务器的地 址 Step4 8 1 的加密结果和 AP SA 的生命期进行 散列操作 Step4 8 3 资源管理服务器使用自身的私钥对 Step4 8 2 的散列值进行签名 Step4 9 资源管理服务器将 AP SA 发送给用 户 Step5 用户对接收到的信息进行认证并得到 会话密钥 当用户已经掌握安全关联 SA 并希望访问系统 资源时 需要通过以下步骤和行为服务器 资源 管理服务器进行交互 1 当用户的行为发生变化时 Step1Step2Step3Step4Step5 2 当用户请求的访问时间超出 UA SA 的生 命期时 Step1 Step2 1Step2 4 2Step2 4 3St ep2 5Step3Step4Step5 这里 Step1 为 用户向行为服务器发送自身 ID 口令和请求访问时间 3 当用户请求的访问时间超出 AP SA 的生命 期时 Step3 2Step4 1Step4 2Step4 3Step 4 4Step4 5Step4 8 2Step4 8 3Step4 9 Step5 4 当用户的请求符合安全关联的要求时 Step3 2Step4 1Step4 2Step4 3Step 4 4Step4 5Step4 9Step5 3 2 安全关联 在 3 1 节的访问控制的安全体系结构中 使用 了安全关联的概念 下面介绍安全关联的定义和 产生方法 定义 6 安全关联 SA 为一组与基于 ABAC 的 协作信息系统访问控制机制相关的安全数据的集 合 其包含如下 2 个部分 行为服务器产生的 用户 行为安全关联 UA SA 资源管理服务 器产生的 行为 权限安全关联 AP SA 其中 UA SA 包括 请求的资源管理服务器地址 RMSAddr 加密域 UA Enc 生命期 UA Lifetime 散列域 UA HASH 签名域 UA Sign AP SA 包括 产生 UA SA 的行为服务 器的地址 ASAddr 加密域 AP Enc 生命期 AP Lifetime 散列域 AP HASH 签名域 AP Sign 加密域 UA Enc 是对用户身份 User ID 口令 password 角色 role 环境状态 Environmental state 时态状态 Temporal state 进 行加密的结果 加密域 AP Enc 是对会话密钥 SK 权限 Permission OPS OBS freeze 进行 加密的结果 SA UA SA AP SA 其中UA SA RMSAddr 第 9 期李凤华等 协作信息系统的访问控制模型及其应用 121 UA Enc UA Lifetime UA HASH UA Sign AP SA ASAddr AP Enc AP Lifetime AP HASH AP Sign 假设行为服务器的私钥和公钥分别为 sk as 和 pk as 资源管理服务器的私钥和公钥分别为 sk rms 和 pk rms 用户的私钥和公钥分别为 sk u 和 pk u 行为服务器和资源管理服务器之间的对 密钥为 k ar ENCk m 为使用密钥 k 加密信息 m 的 加密函数 DECk c 为使用密钥 k 解密密文 c 的解 密函数 SIGNk m 为使用密钥 k 对消息 m 进行签 名的签名函数 VERIFYk m 为使用密钥 k 对消息 m 进行验证的验证函数 x y 表示将 x 和 y 连接在 一起 则行为服务器和资源管理服务器需要对安 全关联进行以下操作 1 行为服务器在产生 UA SA 时需要计算 UA Enc ENCk ar User ID Password Role Envi ronmental state Temporal state UA HASH HASH RMSAddr UA Enc UA Lif etime UA Sign SIGNsk as UA HASH 2 资源管理服务器对接收到的 UA SA 进行 以下计算 HASH RMSAddr UA Enc UA Lifetime UA HASH VERIFYpk as UA Sign UA HASH DECk ar UA Enc 并计算下式产生 AP SA AP Enc ENCpk u SK Permission AP HASH HASH ASAddr AP Enc AP Lifeti me AP Sign SIGNsk rms AP HASH 3 3 安全认证协议 SAP 本节给出了 3 1 节中使用的安全认证协议 SAP security authentication protocol 并在 UC universally composable 模型 11 下对其安全性进行 了证明 图 3 给出了认证理想函数 FAUTH 下面提出可 以利用证书理想函数 FCERT实现认证理想函数 FAUTH的认证协议 此协议描述为 若协议参与方 A 需要在会话 sid 中向参与方 B 发送认证消息 m 则其只需对 m B 签名并将结果发送给 B 图 4 给出了协议 的详细描述 理想函数 FAUTH 1 若从参与方 A 收到消息 Send sid B m 则 向攻击者 A 发送 Sent sid A B m 并挂起 2 若从攻击者 A 处收到 Send sid B m 则若 参与方 A 被入侵 向参与方B 输出 Sent sid A m 挂起 若参与方 A 没有被入侵 向参与方 B 输出 Sent sid A m 挂起 图 3 消息认证理想函数 FAUTH 协议 SAP 1 若参与方A收到输入 Send sid B m 则令 sid A sid m m B 向 FCERT发送 Sign sid m 得 到返回的响应 Signed sid m s 后向参与方 B 发 送 sid A m s 2 参与方 B 接收到消息 sid A m s 后 令 sid A sid m m B 向FCERT发送消息 Verity sid m s 得到返回的响应 Verified sid m s f 后检查 f 的值 若 f 1 则输出 Sent sid A B HASH m 并 挂起 否则直接挂起且不产生任何输出 图 4 基于签名的安全认证协议 SAP 图 5 给出了提出的协议与 3 1 节的访问控制机 制步骤之间的关系 其中 AS 表示行为服务器 RMS 表示资源管理服务器 User 表示用户 图 5 提出的协议与访问控制机制步骤之间的关系 这里 有几点需要注意 1 协议中没有明 显的抵抗重放攻击的机制 实际上 此协议基于 会话标识的惟一性 也就是说 若接收者 B 获得 了 2 个消息且此 2 个消息的 sid 相同 则接收到 的第二个消息被丢弃 可以利用 2 种方法完成此 功能 第一种令接收方保存已接收到的协议的 sid 值 并在每次接收消息时查找是否已收到过相 同的 sid 第二种使用 nonce 机制 即在协议交 122 通 信 学 报第 29 卷 互之前令 2 个参与方互相交互自身选择的一次性 随机数 nonce 并把这 2 个 nonce 串联起来作为 sid 2 在我们的方法中 每次消息传输都会激 活一个协议实例 这简化了协议的设计和分析 在这种情况下 每次消息传输可能需要使用不同 的签名实例 这时 可以使用具有共同状态的通 用可组合方法避免这一缺点 下面 证明提出的协议是 UC 安全的 定理 1 协议 SAP 在 FCERT混合模型下安全地 实现了 AUTH 证明 令是在混合模型 FCERT下与协议 SAP 中的参与方交互的攻击者 下面我们构造理想环 境下的攻击者 仿真器 S 使得对任意的环境机 Z 来说 Z 和 SAP 交互的视角与其和 S FAUTH 交互的视角在概率上不可区分 一般来说 仿真 器 运行的拷贝 并转发与 Z 之间的所有消息 另外 进行以下操作 仿真发送者 当没有受到入侵的参与方 A 被 输入 Send sid B 激活时 从理想函数 FAUTH获 得此输入值 接着 仿真期望与 CERT进行的 交互 即 向发送从 FCERT处得来的消息 Sign A sid m B 并从处获得一个值 s 接着 让发送 A 到 B 的消息 sid A m s 若发送者被入侵 则 所需做的工作就是仿真 A 与 FCERT之间进行的交互 即只要被入侵者 A 向 FCERT发送消息 Sign sid m 就将 Sign sid m 发送给 并在获得签名值 s 后以 FCERT的名 义向 A 发送 Sign sid m s 仿真接收者 当向没有被入侵的参与方B 发 送消息 sid A m s 时 首先仿真与 FCERT之间 的交互 若FCERT向发送 Verify sid A sid m m B s 即若 A 被入侵或在此之前m 有一个 与 s 不同的签名值 则将此消息发送给 并记 录的响应 然后 若 FCERT向 B 输出 Verified sid m s f 1 即若的响应中有 f 1 或消息 m 的签名为 s 则发送消息 Sent sid A B m 同时 在理想过程中由 AUTH向 B 发送此消息 否则 不做任何处理 仿真参与方被入侵 由于在协议的运行中不 涉及到秘密的状态信息 所以此仿真过程比较简 单 即当入侵一个参与方时 在理想过程中 入侵同样的参与方 并向提供被入侵者的内部 状态 由以上过程可以看出 Z 在真实环境下和 SAP 交互的视角与其在理想环境下和 FAUTH交 互的视角在概率上不可区分 事实上 只有在如 下情况下才有可能产生 2 种不同的视角 即若当 FCERT收到消息 sid A m s 后向接收者发送 Verified sid m s f 1 而在此消息发送时 A 没有被入侵 且 A 没有输出过消息 sid A m s 然而 若 A 从来没有输出过 sid A m s 则 FCERT就不会使用会话标识 A sid 对消息 m m B 签名 所以 根据 FCERT B 可以一直从 FCERT 处获得 Verified sid m s f 0 4 结束语 协作信息系统是网络环境下支持移动计算的 大型信息系统 如电子政务 电子商务等 由于 移动计算具有接入用户 接入的具体业务需求 接入位置 接入时间和接入平台是随机的 事先 不可预知的等典型特性 所以其访问控制机制复 杂 需要考虑时态状态和环境状态 本文从访问 控制的角度出发 首先结合角色 时态和环境的 概念 介绍了行为的含义和基于行为的访问控制 模型 ABAC 然后基于 ABAC 模型 给出了协 作信息系统的访问控制机制 并对其中涉及到的 安全关联的定义和产生方法进行描述 给出了 用户与行为服务器 资源管理服务器之间的安全 认证协议 并通过此协议给出用户与资源管理服 务器间会话密钥建立的方法 最后使用 UC 模 型对认证协议的安全性进行了证明 参考文献 1 GUTH S SIMON B ZDUN U A contract and rights management framework design for interacting brokers A Proceedings of the 36th Hawaii International Conference on System Sciences C Big Island HI USA 2003 283 283 2 PARK J S HWANG J Role based access control for collaborative enterprise in peer to peer computing environments A Proceedings of the eighth ACM Symposium on Access Control Models and Technologies SACMAT 03 C Como Italy 2003 93 99 3 SHAFIQ B BERTINO E GHAFOOR A Access control management in a distributed environment supporting dynamic collaboration A Proceedings of the 2005 Workshop on Digital Identity Management DIM 05 C Fairfax Virginia USA 2005 104 112 4 CUI X T CHEN Y L GU J Z Ex RBAC an extended role based 第 9 期李凤华等 协作信息系统的访问控制模型及其应用 123 access control model for location aware mobile