普適計算的上下文訪問控制模型

(東華大學 a.信息化辦公室；b.計算機科學與技術學院， 上海 201620)

摘 要：上下文訪問控制是普適計算安全中極具挑戰性的重要問題。基于使用控制模型（UCONABC），提出了普適計算的上下文訪問控制模型（CACM）。CACM不僅關心授權，而且引入了職責和條件。針對普適計算醫療保健環境中的三種典型的上下文訪問控制應用，靈活擴展了組合子模型。通過實例分析，證明了模型的安全性、靈活性和有效性。

關鍵詞：普適計算；上下文；訪問控制；使用控制模型

中圖分類號：TP39308 文獻標志碼：A

文章編號：10013695(2009)01031704

Context access control model for pervasive computing

PU Fanga，JIANG Taoa，CAO Qiyinga，b-|

(a.Informationizational Office，b.College of Computer Sciences Technology， Donghua University， Shanghai 201620， China)

Abstract:Context access control problem remains a major challenge in the security researches of pervasive computing.This paper presented a context access control model (CACM) based on UCONABC model.CACM not only focused on authorization， but also introduced obligations，and conditions.Extended the integrated submodels flexibly， aiming at three typical contextaware application of the smart healthcare pervasive computing environment.Demonstrated the security， flexibility and usefulness of CACM by analyzing the examples.

Key words:pervasive computing; context; access control; UCONABC model

0 引言

普適計算環境是信息空間與物理空間的融合，在這個融合空間中計算無處不在，完全融入人們的日常生活中。人們可以隨時隨地和透明地獲得環境所提供的服務[1，2]。然而，在服務實現的過程中，信息安全和個人隱私成為不容忽視的問題。只有授權的實體可以訪問環境中的信息和服務，而且這種授權是隨著環境中上下文的變化而變化的。例如病人的病史檔案在通常情況下只有他的主治醫生具有訪問權限。但是當病人處于緊急危險狀況時，他的病史檔案可以被具有醫生身份的任何人訪問。

計算機信息系統訪問控制技術最早產生于20世紀60年代，隨后出現了兩種重要的訪問控制技術，即自主訪問控制（discretionary access control，DAC）和強制訪問控制（mandatory access control，MAC）。它們在多用戶系統（如各種UNIX系統）中得到廣泛的應用。基于角色的訪問控制模型（rolebased access control，RBAC)在70年代被提出。90年代，安全需求的發展加上R. S. Sandhu等人[3]的倡導和推動，RBAC又引起了人們極大的關注。目前美國很多學者和研究機構均在從事這方面的研究。在RBAC中，在用戶(user)和訪問許可權(permission)之間引入角色（role)的概念，用戶與特定的一個或多個角色相聯系，角色與一個或多個訪問許可權相聯系。1997年，P. K. Thomas等人[4]提出了基于任務的授權控制模型(taskbased authorization control，TBAC)。1988年，R.S.Sandhu等人[5]提出了基于組機制的NTree訪問控制模型。在90年代還出現了些其他的訪問控制技術，如俄羅斯學者提出的基于加密的訪問控制技術及IBM提出的基于進程間通信(IPC)的訪問控制技術等。2004年J. Park等人[6，7]提出了使用控制模型（usage control，UCONABC）。使用控制被稱為下一代的存取控制方法，從授權(authentication) 、職責(obligation)和條件(condition) 三方面提出了16個基本模型及其邏輯規范。UCONABC核心內容在于主客體屬性的可變性(mutability) 和授權決策的持續性(continuity) [8]。 

普適計算中上下文訪問控制的研究主要有：Covington等人[9]對RBAC進行擴展，提出了GRBAC模型，RBAC中的權限的允許和主體角色相關聯，GRBAC將角色的概念不僅賦予主體，而且賦予客體和系統狀態，稱其為環境角色（environment role），并在CASA項目中實施了環境角色。J. AlMuhtadi等人定義了一個通用的基于上下文的計算環境Gaia[10]，通過對物理空間的計算表示，來幫助用戶與物理空間的互交。在Gaia的計算環境內，提出了上下文感知中的認證、訪問控制和上下文推理的架構Cerberus[11]， Cerberus通過用戶的上下文信息，如指紋、聲音、面部識別來辨認用戶。 Hu Junzhe等人[12]對RBAC模型擴展，提出了具有上下文關聯約束的上下文訪問控制(contextaware access control，CAAC)，根據訪問請求的當前上下文，每個約束被動態地評估，這樣模型的授權不僅取決于角色，而且取決于上下文信息。路綱等人[13]結合上下文環境判斷，基于RBAC實現了面向主體及客體訪問控制機制與PKI/PMI有機整合的模型平臺。徐仁佐等人[14]提出了基于角色和上下文的訪問控制(RCBAC)機制，從角色、上下文的角度建模，依據角色以及上下文的不同對權限進行動態管理。

可見，普適計算中現有的上下文訪問控制研究主要是對傳統的基于角色的訪問控制模型進行了擴展。然而，在普適計算環境中，對資源（包括信息、設備、服務等）的訪問控制更加依賴于各種上下文信息，權限決策不僅依賴于授權，而且依賴于職責和條件，并應該考慮到控制的連續性和屬性的可變性。基于使用控制模型，本文提出了普適計算的上下文訪問控制模型，并針對普適計算中三種典型的上下文訪問控制應用分別進行深入分析和研究。

1 使用控制UCONABC模型

UCONABC模型由如下八 個部分組成，即主體、主體屬性、對象、對象屬性、權利、授權、職責和條件，如圖1所示。使用決策函數在請求使用資源的時刻作出這個授權決定，該決定依賴于主體屬性、對象屬性、授權、職責和條件。

主體屬性包括身份、組名、角色、成員關系、預付的信用、賬戶余額和能力列表等。對象屬性包括安全標簽、所有關系、種類和訪問控制列表等。UCONABC模型的一個重要創新是主體和對象的屬性是可變的。可變屬性會隨著訪問對象的結果而改變，不可變的屬性僅能通過管理行為改變。例如：需要限制主體訪問對象次數和根據訪問的時間實時減少賬戶余額均可方便地利用可變屬性。可變屬性的引入是UCONABC模型與其他增強的訪問控制的最大差別。

授權、職責和條件是決策函數決定主體是否能以特定權力訪問一個對象的決定因素。授權是基于主、對象的屬性，以及所請求的權利進行的。與以前的模型不同，UCONABC模型清楚認識到每一個訪問均有有限的期限，在訪問之前往往需要授權，而且在訪問的過程中也可能需要授權。例如，在訪問過程中，一個證書撤銷列表（CRL）可能需要周期性地被檢查。如果相關的證書出現在CRL 上，那么與這個證書相聯系的訪問將立即被終止。授權也可能更改主體或對象的屬性。這些更新可在訪問之前、訪問中或在訪問結束之后進行。例如，按時間計費的系統需要使用結束之后計算使用時間。使用按時間計費的預交費信用卡需要在使用過程中周期性地更新信用卡的余額，當余額為0時，訪問可能被迫終止。

職責是主體必須在訪問之前或在訪問過程中應完成的行為。一個使用之前的職責例子是：一個用戶必須提供合同信息或個人信息才允許訪問公司的技術資料。主體或客體屬性在訪問請求時，決定主體應該履行什么職責，履行職責后，可能更新可變屬性的值。同時這些更新能影響現在或將來使用決定條件，如系統不同的時間段，或系統的負荷。它們也可能包含系統的安全狀態，如正常、告警、被攻擊狀態等。條件并不被某些個別主體直接控制，條件的評估并不改變任何主體或客體的屬性。

連續性控制和易變屬性使得基于歷史的授權決策更容易實施。連續性控制和可變屬性如圖2所示。基于授權、職責和條件三個因素，并結合連續性和可變屬性，可以設計一套使用控制的基本模型。它主要集中在使用資源的實施過程中，而不包括管理方面的問題，應用于特定的系統時需要進一步細化。

UCONABC模型假設有一個對被訪問對象的請求。請求的權力能在行使這個權力之前進行判斷，也可在行使這個權力的過程中判斷。可變屬性作為使用資源的結果，允許更新主體或對象的屬性。如果使用是不可變的，那么使用的決定過程將無須更新屬性，用0表示。對于可變的使用，屬性更新可能在使用之前，使用過程中或使用之后進行，分別用1、2 和3 表示。根據這些標準，有16 種可能的使用控制的基本模式，如表1所示。雖然這都是以單個的模式為例，但實際系統中可能同時利用多個模式。

表1 16種基本的UCONABC模型矩陣

0（不可改變）1（使用之前更新）2（使用過程中更新）3（使用之后更新）

preAYYNY

onAYYYY

preBYYNY

onBYYYY

preCYNNN

onCYNNN

表1顯示了基于授權、職責和條件三個因素的所有可能模式的細節。對于可能不現實的情況用“N”表示。如果決策是“pre”，屬性更新可能僅僅發生在權力被實施之前或權力實施之后。因為沒有使用過程中的判斷決策，使用過程中的更新僅能影響將來的請求，所以更新可能在使用結束之后發生。然而，如果決策是“ongoing”，屬性更新可能發生在使用之前、使用過程中或使用之后。對于條件因素模式，條件的判斷不能更新屬性值，因為它只能簡單地檢查現在的環境和系統狀態。



2 上下文訪問控制模型

基于UCONABC模型，筆者主要考慮普適計算環境中的上下文信息和特征，提出了上下文使用控制（context access control model，CACM）。CACM包括三個基本的子模型：使用前授權模型CACMpreA、使用前職責模型CACMpreB、使用前條件模型CACMpreC。與現有的基于RBAC上下文訪問控制相比，有以下幾點值得強調：a）在上下文訪問控制中，將職責和條件等同授權一樣獨立、重要的因素來考慮。使用決策不僅基于授權決定，而且基于職責和條件。對于普適計算中上下文的訪問控制提高了安全性和有效性。b）授權的決策不僅取決于主體屬性，而且取決于對象屬性。c）職責是主體訪問資源之前必須滿足的需求，即主體要想得到請求的使用權利而不得不完成一些規定的行為。d）條件是指與主體和被訪問對象無關的面向環境或系統的訪問判斷因素，即普適計算環境上下文發生變化。例如，當用戶在建筑物內移動時，無線定位點的改變當前時間的推移等。下面分別給出三個基本子模型的定義。

符號說明：三個決策因素分別表示為授權（A）、職責（B）和條件（C）。五個組成部分分別表示為主體（S）、對象（O）、權利（R）、主體屬性（ATT(S)）、對象屬性（ATT(O)）。Allowed(s;o;r)意味著某一主體s被允許對某一對象o執行某一權利r。公式表達中指向右邊的連接符對于允許使用是必要非充分的。

定義1 使用前授權模型CACMpreA有下面幾部分：

a)PreA (preauthorizations);

b)Allow(s，o，r)PreA((ATT(s)，ATT(o)，r)。

PreA是一個對于允許使用必須滿足的使用前授權謂詞。

定義2 使用前職責模型CACMpreB有下面幾部分：

a)OBS、OBO、OB分別是職責主體、職責對象和職責動作；

b)PreB、PreOBL分別是使用前職責謂詞和職責要素；

c)PreOBLOBS×OBO×OB

d)PreFulfilled:OBS×OBO×OB→{true，1}；

e)GetPreOBL:S×O×R→2preOBL，用于選擇使用前職責的函數；

f)PreB(s，o，r)=∧PreFulfilled(obsi，oboi，obi)， 其中(obsi，oboi，obi)∈GetPreOBL(s，o，r);

g)PreB(s，o，r)=true，如果GetPreOBL(s，o，r)=;

h)Allowed(s，o，r)PreB(s，o，r)。

PreB是一種歷史函數，用于核對是否特定的職責已經完成，或者使用決策時返回的事是真還是假。PreB謂詞評價時所有必須使用前職責要素(PreOBL) 是否都通過使用PreFulfilled 并返回真或假。

定義3 使用前條件模型CACMpreC有下面幾部分：

a)PreCon (使用前條件元素的集合);

b)GetPreCon:S×O×R→2preCon;

c)PreConChecked:PreCon→{true，1};

d)PreC(s，o，r)=∧PreConChecked(preConi)， 其中PreConi∈GetPreCon(s，o，r);

e)Allowed(s，o，r)PreC(s，o，r)。

使用前條件模型CACMpreC中，在權利執行之前，必須先評價使用前條件謂詞(PreC)。條件定義了對于使用必須要滿足的特定環境約束，與主體和對象沒有直接的聯系。當環境狀態發生變化時（如當前時間的推移；當用戶在建筑物內移動時，無線定位點的改變），條件狀態值可以被改變。

3 應用實例及分析

31 應用實例

在普適計算環境中，很多服務潛在地提供了用戶的個人隱私信息，有些信息只能夠被一部分人有訪問權限，且這些隱私信息的訪問權限應該隨著環境中上下文信息的變化而變化。下面將描述一個普適計算環境中的醫療保健應用。其中上下文訪問控制的場景描述用斜體字標出。

“在普適計算的智能醫療保健環境中，病人佩帶有移動醫療保健助手，它具有能夠報告病人的當前位置，監測病人的健康狀態，與醫療中心通信等功能。

一天某一病人張三正在超市購物時，忽然感覺不舒服。這時他隨身佩帶的醫療保健助手也監測到張三的健康狀態數據不正常，如血壓高于90/140 kPa。醫療保健助手將這一情況（包括張三的當前位置和健康狀態）報告給醫療中心，并也向四周發出求救信號。這一求救信號將被具有醫生身份的人的移動設備所識別。

某一醫生李四正好路過超市，他的PDA這時收到了這條緊急廣播消息。根據消息提供的信息，李四很快地找到了張三，并且可以訪問張三的病史檔案（實例1）。李四對張三進行了緊急的臨時救護，過了幾分鐘，醫療中心的救護車就趕到了現場。

當張三醒來時，他已經在醫院的病床上。這時只有張三的主治醫生趙五對張三的病史檔案具有讀寫權限。當主治醫生趙五進入張三的病房，張三的健康狀態將自動顯示在趙五的PDA上，趙五分析后，補充更新張三的病史檔案（實例2）。

在普適計算環境中，醫院的手術室安裝有智能門。如果病人沒有醫生的同意和陪同，智能門將阻止病人進入手術室（實例3）。

本文對于以上普適計算環境中的醫療保健場景分析如下：病人的病史檔案在通常情況下只有他在醫院的主治醫生具有訪問權限。但是當病人處于緊急危險狀況時，他的病史檔案可以被具有醫生身份的任何人訪問。普適計算環境需要選擇性的決定何人、何時、在何地、對何物具有什么確切的訪問權限。

32 實例分析

在CACM三個基本的子模型的基礎上，針對普適計算中三種典型的上下文訪問控制應用場景，靈活擴展了組合模型。

a）根據普適計算環境中上下文的變化，對用戶的位置上下文信息的訪問控制。該場景可用實例1來分析：當病人張三處于緊急危險狀況時，他的位置信息和病史檔案可以被附近的具有醫生身份的李四具有讀的訪問權限。模型如下：

EMERGENCY是病人身體處于的緊急病危狀態的各種指標集合；

curStatus是病人當前的身體狀況；

curArea是病人的醫療保健助手所在的區域名稱碼；

ROLE 是人員角色的無序集合；

SPECIALTY是醫學專業名稱的集合；

sRole:S→2ROLE;

sSpeciaty:S→2SPECIALTY;

oSpeciaty:O→2SPECIALTY;

oEmergency:O→2EMERGENCY;

ATT(s)={sRole，sSpeciaty，curArea};

ATT(o)={oSpeciaty，curStatus，curArea};

preCon={curStatus∈oEmergency，curArea(s)∩curArea(o)≠};

getPreCon(s，o，r)=(curStatus∈oEmergency)，(curArea(s)∩curArea(o)≠);

preA(s，o，r)(′physician′∈sRole(s))，(sSpeciaty∩oSpeciaty≠);

preC(s，o，r)preConChec ked(getPreCon(s，o，r));

allowed(s，o，r)preA(s，o，read)∩preC(s，o，read)。

該實例使用了條件謂詞，核對病人當前身體狀況，病人和醫生的當前位置關系，并決定是否任何醫生均可以閱讀病人的位置信息和病史檔案。在使用條件謂詞的同時，使用了授權謂詞和對醫生的醫學專業是否和病人病史中涉及到的醫學專業是否吻合。該實例可認為采用了使用前授權+使用前條件CACMpreApreC模型。當授權和條件同時滿足時，主體能夠對對象執行權力，即醫生可以讀取病人的位置信息和病史檔案。

b）根據用戶的位置變化，用戶對普適計算環境中資源和服務的訪問控制。該場景可用實例2來分析：當主治醫生在病房中時，病人的身體健康數據可以自動顯示在主治醫生的PDA上。模型如下：

wardArea 是病人病房的區域名稱碼；

curArea 是移動定位設備的當前區域名稱碼；

ROLE是人員角色的無序集合；

SPECIALTY是醫學專業名稱的集合；

sRole:S→2ROLE;

sSpeciaty:S→2SPECIALTY;

oSpeciaty:O→2SPECIALTY;

ATT(s)={sRole，sSpeciaty，curArea};

ATT(o)={oSpeciaty，curStatus，curArea};

allowed(s，o，pr)′attending physician′∈sRole(s)，sSpeciaty∩oSpeciaty≠;

allowed(s，o，ar)′attending physician′∈sRole(s)，sSpeciaty∩oSpeciaty≠，curArea(s)∈wardArea(o)。

該實例中，主治醫生總是對病人的病史檔案具有讀寫權限。這種權限的執行分為兩種不同的模式，即主動權力（activeright，AR）模式和被動權力（passiveright mode，PR）模式。在主動權限模式下，系統將在一些特定情況下，自動向主體提供權限服務。當醫生進入病人病房，系統執行主動權力模式。在被動權力模式下，例如醫生通過自己的PDA來查詢病人的一些以往病史數據。根據不同的模式，相應的操作可以定義和實現。

c）根據用戶間位置關系的變化，用戶對普適計算環境中資源和服務的訪問控制。該場景可用實例3來分析：進入手術室的智能門，病人需要醫生的同意和陪同。模型如下： 

operoomArea是手術室的區域名稱碼；

curArea是移動定位設備的當前區域名稱碼；

ROLE是人員角色的無序集合；

SPECIALTY是醫學專業名稱的集合；

sRole:S→2ROLE;

sSpeciaty:S→2SPECIALTY;

ATT(s)={sRole，sSpeciaty};

OBS={s′|′doctor′∈sRole(s′)};

OBO={enter_agreement};

OB={agree};

getPreOBL(s′，o，enter)={(s′，enter_agreement，agree)}

其中s′∈OBS，

curArea(s)∩curArea(s′)∩operoomArea(s)≠;

preA(s，o，r)′patient′∈sRole(s)，

sSpeciaty∩s′Speciaty≠;

preB(s，o，r)preFulfilled(getPreOBL(s′，o，enter));

allowed(s，o，r)preA(s，o，enter)∩preB(s，o，enter)。

在這個實例中，職責的決策取決于病人當前位置所在的區域名稱碼（主體屬性）、該病人的手術室的區域名稱碼（主體屬性），以及醫生當前位置所在的區域名稱碼（對象主體屬性）三者之間的關系，三者的交集不為空，則職責滿足。在這個實例中職責主體（OBS）與主體（subject）是不一樣的。職責主體是醫生， 主體是想要進入手術室的病人。該實例被認為是使用前授權+使用前職責CACMpreApreB模型。當授權和職責同時滿足時，主體能夠對對象執行權力，即病人可以進入手術室的智能門。

4 結束語

本文首先介紹了經典訪問控制和使用控制UCONABC模型，總結了普適計算中現有的上下文訪問控制的相關研究。基于使用控制模型，提出了普適計算的上下文訪問控制模型，使用決策不僅基于授權決定，而且基于職責和條件。授權的決策不僅取決于主體屬性，而且取決于對象屬性。根據模型的基本定義，在普適計算應用中筆者靈活擴展了組合模型，分別為：a）使用前授權+使用前條件CACMpreApreC 模型。當授權和條件同時滿足時，主體能夠對對象執行權力。b）主動權力模式和被動權力模式。在主動權限模式下，系統將在一些特定情況下，自動向主體提供權限服務。在被動權力模式下，主體通過請求、查詢的方式來訪問服務。根據不同的模式，相應的操作可以定義和實現。c）使用前授權+使用前職責CACMpreApreB模型。當授權和職責同時滿足時，主體能夠對對象執行權力。針對普適計算中的智能醫療保健場景，深入分析了典型的上下文訪問控制應用，證明了模型的安全性、靈活性和有效性。

在上下文訪問控制的研究中還有待深入：在許多普適計算的應用中，這些屬性不得不因主體的行為而修改。多因素授權中引入了可變屬性，其值會作為訪問結果而改變。同時，使用控制考慮到授權的連續執行，對于可變屬性的更新可能發生在使用資源之前，可能發生在使用的過程中，也可能發生在資源使用完成之后。這些特性的進一步挖掘和研究，將更加有利于普適計算環境中的上下文訪問控制的發展。

參考文獻：

［1］

WEISER M.The computer for the 21st century[J].Science America，1991，265(3):94104.

［2］徐光祐，史元春，謝偉凱.普適計算[J].計算機學報，2003，26(9):10421050.

［3］SANDHU R S，COYNE E J，FEINSTEIN H L，et al.Rolebased access control models[J].IEEE Computer，1996，29(2):3847.

［4］THOMAS R K，SANDHU R S.Taskbase authorization controls(TBAC):a family of models for active and enterpriseoriented authorization management[C]//Proc of the IFIP TC11 WG11.3 11th International Conference on Database Securty XI.London:Chapman Hall Ltd，1998:166181.

［5］SANDHU R S.The NTree:a two dimension partial order for protection groups[J].ACM Trans on Computer Systems，1988，6(2):197222.

［6］PARK J，SANDHU R.The UCONABC usage control model[J].ACM Trans on Information and System Security (TISSEC)，2004，7(1):128174.

［7］SANDHU R，PARK J.Usage control:a vision for next generation access control[C]//Proc of the 2nd International Workshop on Mathematical Methods， Models and Architectures for Computer Networks Security (MMMACNS).Petersburg，Russia:Springer，2003:1731.

［8］PARK J，ZHANG X，SANDHU R.Attribute mutability in usage control[C]//Proc of the 18th Annual IFIP WG 11.3 Working Conference on Data and Applications Security.2004:112.

［9］COVINGTON M J，FOGLA P，ZHAN Z，et al.A contextaware security architecture for emerging applications[C]//Proc of the 18th Annual Computer Security Applications Conference (ACSAC).Las Vegas:[s.n.]，2002:249258.

［10］CONVINGTONM J，LONG W D，SRINIVASAN S，et al.Securing contextaware applications using environment roles[C]//Proc of the 6th ACM Symposium on Access Control Models and Technologies (SACMAT ’01).Virginia:ACM Press，2001:1020.

［11］ALMUHTADI J，RANGANATHAN A，CAMPBELL R，et al.Cerberus: a contextaware security scheme for smart spaces[C]//Proc of the 1st IEEE Annual Conference on Pervasive Computing and Communications.Fort Worth:[s.n.]，2003:489496.

［12］HU J，WEAVER A C.A dynamic，contextaware security infrastructure for distributed healthcare applications[C]//Proc of the 1st Workshop on Pervasive Privacy Security， Privacy， and Trust.Boston:[s.n.]，2004.

［13］路綱， 佘堃， 周明天.普適空間安全訪問控制平臺設計思想與實現[J].計算機工程與應用， 2007，43(6):7275，98.

［14］徐仁佐， 鄭紅軍， 陳斌.基于角色和上下文的訪問控制模型[J]. 計算機應用研究， 2004，21(12):140142.