基于屬性RBAC及委托性質的使用控制模型

蔡偉鴻， 蔡建坤， 徐 濤， 韋 崗

（1.汕頭大學計算機科學與技術系，廣東 汕頭 515063；2.華南理工大學電子與信息學院，廣東 廣州 510640）

基于屬性RBAC及委托性質的使用控制模型

蔡偉鴻1，2， 蔡建坤1， 徐 濤1， 韋 崗2

（1.汕頭大學計算機科學與技術系，廣東 汕頭 515063；2.華南理工大學電子與信息學院，廣東 廣州 510640）

針對UCON未涉及特權委托的基本特征和權限管理的缺陷，提出了基于屬性RBAC的帶委托性質的使用控制模型（EUCON）.將角色、委托和擴展屬性等要素引入到EUCON，構建了基于屬性-角色的訪問控制方法，提高了模型的可變性和動態性，并使用區間時序邏輯對該委托模型的完備性進行邏輯驗證，最后提供了網上行政審批的實例，為模型的應用奠定了一個很好的實例基礎.

EUCON；UCON；RBAC；委托；區間時序邏輯；網上行政審批

0 引 言

隨著網絡規模的逐漸增大，傳統的訪問控制模型已不能滿足系統授權的安全性要求.由Sandhu等人[1-2]提出的使用控制模型（Usage Control，UCON）是一種全新的訪問控制方法，在滿足目前大量存在的商業和政府部門系統安全需求方面顯示了極大的優勢，已被理論界和工業界所接受，并成為研究的熱點.但是UCON也存在一些缺陷，尤其在大型分布式系統中.一方面，無法滿足系統開發與重用的簡易化與安全管理需求，另一方面，也無法滿足系統用戶希望在符合系統安全規定的情況下自主地把一些權限委托給其他用戶，以便后者代替前者完成某項任務的需求.Zhao Baoxian等人[3]在UCON的基礎上提出了TUCON，該模型采用有效時間和最大使用次數的限制來簡化UCON的應用，然而對于大多數應用來說，使用次數的限制是不合理的.基于有效時間限制和定量授權限制的TMAAC模型[4]，提供了更嚴格的限制條件以防止授權的濫用，但該文未對模型策略的實用性進行描述.Zhang Zhiyong等人[5]對委托基本特征進行了研究，分析了它在UCON體系框架中的具體表現，給出了一種具有委托特征的UCON即UCOND，但該模型未對權限進行管理.在模式描述方面，Zhang Xinwen等人[6]利用動作時序邏輯對UCON進行了表述，但其標準中假設狀態轉換之間的動作總是立即執行，不存在時間延遲，這在實際應用中是不合理的.田光輝等人[7]使用DDL對UCON的授權模型進行描述，但是DDL主要表現在模型的邏輯推理與實現，而未涉及對邏輯的檢查與驗證.

傳統的行政審批系統存在著效率低下、缺乏監管等問題，因此電子政務的發展勢在必行.但是在電子政務系統中，系統的安全性要求特別高，采用怎樣的控制模型對系統各主體的權限進行管理至今仍是個難題.本文著眼于網上行政審批的需要，針對UCON的不足和角色權限等級管理的必要性，提出基于屬性RBAC[8]的帶委托性質的使用控制模型（Extended UCON，EUCON），并通過引入一種廣泛使用的模型驗證語言——區間時序邏輯（Internal Temporal Logic，ITL）[9-10]，對EUCON的控制策略進行邏輯表述以及驗證其邏輯完備性，最后以網上行政審批為例子，說明模型的具體實用性，為各省市網上行政審批建設提供參考模型.

1 EUCON模型

1.1 EUCON組成

圖1 EUCONABCD框架模型

EUCON是在UCON的基礎上提出的，因此該模型具有UCON的主要要素，包括主體（s）、客體（o）、 客體屬性（ao）、 權限（p）、授權（A）、 義務（B）和條件（C）. 除此之外，EUCON 還包含角色（r）、 委托（D）和主體擴展屬性（aes）3 個新要素.

定義1 角色

角色是根據具體職責劃分而進行的任務范圍規定的多個集合，代表了一種資格或權利.在EUCON中由屬性與權限共同組成具有不同含義和功能的角色.角色的引入，將權限和用戶分開，權限只與角色關聯，解決了UCON中將權限直接分配給用戶所帶來的系統可重用問題和安全問題，也創新性地構建了基于屬性-角色訪問控制方法.該方法的思想就是把對用戶的授權分成兩部分：用角色充當用戶行使權限的中介；用屬性作為判斷用戶能否擁有角色的依據.如圖1所示，不同于傳統角色訪問控制模型，EUCON中除用戶與角色之間以及角色與權限之間形成了兩個多對多的關系外，角色與屬性之間以及角色與使用決策之間也形成了兩個相互影響的關系.

定義2 委托

委托是指系統中的一個活動實體授權另一個活動實體，使后者可以代表前者執行相應任務[11].根據委托的粒度特征，可分為細粒度委托授權和中粒度委托授權.細粒度委托授權是允許用戶將角色的部分許可委托給另一用戶，而不是角色的整體委托；中粒度委托授權是指用戶將自身的角色整體委托給另一用戶[5].EUCON涵蓋了這兩種類型的委托，使得其具有一般性，可以適合各類型訪問控制的委托授權.引入委托后，系統每個主體具有的屬性將包括兩部分，其一是主體原有的屬性，其二是該主體接受另一主體（或系統）委托所得到的屬性.例如主體A接受其上級B所委托的屬性p1，則其主體屬性將包括原來具有的屬性和屬性p1.

定義3 主體擴展屬性

為了更清晰地描述引入委托后模型屬性的可變性和動態性，將主體的屬性劃分為初始屬性與委托屬性，提出了主體擴展屬性的概念.主體擴展屬性由初始屬性與委托屬性組成.初始屬性最初是由系統分配給用戶的屬性，常見的初始屬性有：用戶名、用戶組、角色和安全級別等.委托屬性是通過委托授權而得到的屬性，通常包括委托客體及相應訪問權限等內容.擴展屬性是可變的，在主體訪問客體的過程中可能會被系統改變或是得到被委托的屬性.

EUCON是一種具有普遍特征的控制模型，不僅包含了UCONABC[2]，還包含了UCON未涉及的委托模型，構成EUCONABCD核心模型體系.同時在權限控制中引入角色，解決了將權限指定給用戶帶來的系統開發、重用問題和系統安全管理問題.相對于UCON，EUCON具有更一般性，涵蓋更多種訪問控制類型，是UCON的擴展，模型框架如前文圖1所示.

表1 EUCONABCD模型矩陣

1.2 EUCONABCD核心模型體系

在EUCONABCD模型中，假設有一個訪問客體資源的請求，對訪問權限的訪問決策發生在請求前或者請求期間，主體屬性、客體屬性的可變性允許系統在使用期間對主體或者客體的屬性進行更新.在訪問決策過程中沒有屬性更新要求表示為 “0”，使用前期、期間、后期分別標記為 “1、2、3”.根據這些標準，得到表1所示的18種可能的核心模式.現實中可能的情況標記為 “Y”，否則為 “N”.

圖2（a）顯示了EUCONABCD中A、B、C、D在給定上下文中的可能的組合以及它們之間的關系.A、 B、 C、 D模型可以分別劃分成圖2（b）、（c）、（d）和（e）表示的幾種情況. 圖2說明了模型體系空間的豐富性以及上下文決策規則的靈活性.EUCON模型是基于授權、義務、條件和委托4種決定策略來檢查訪問控制決策，實施動態的細粒度訪問控制的，既保留了RBAC模型又保留了UCON的優點，內容非常豐富，包含了18種子模型.

2 EUCON邏輯模型

在邏輯描述EUCON之前，本節先描述一下ITL各要素在EUCON中的表述.

2.1 屬性與狀態

EUCON是基于角色和屬性的訪問控制模型，控制策略涉及到主體、客體、主體屬性、客體屬性和系統屬性，其中，主體和客體是常變量，主體屬性和客體屬性是可變變量，而系統屬性跟主體屬性和客體屬性沒有直接的聯系.在訪問前、訪問過程中或者訪問后，屬性的值可能會發生變化.

授權判決以用戶提出訪問請求開始.本文使用一個3元組（s，o，p）來表示主體s希望以權限p訪問客體o的訪問請求.為了描述當前訪問過程的狀態，定義了函數z（s，o，p）.

定義 4 狀態函數 z（s，o，p）

狀態函數 z（s，o，p）表示當前訪問過程的狀態， 是從（s，o，p）到{zinitial，zrequesting，zdenied，zaccessing，zrevoked，zend}的映射[6]， 記為：z（s，o，p）：{（s，o，p）}→{zinitial，zrequesting，zdenied，zaccessing，zrevoked，zend}， 其中zinitial表示初始狀態；zrequesting為主體s剛提出訪問請求（s，o，p）；zdenied表示訪問請求被拒絕；zaccessing是訪問請求（s，o，p）被系統通過，主體s正在對客體o進行p操作；zrevoked為系統撤銷訪問請求（s，o，p）； zend表示訪問結束狀態.

2.2 謂詞

謂詞是由變量和常量組成的布爾表達式，包括了主體屬性、客體屬性和系統屬性.根據屬性形式的不同，謂詞包含幾種類型：主體、客體、主體屬性或者客體屬性的單一謂詞；主體與客體、主體初始屬性或者主體委托屬性與客體屬性之間的謂詞等.如Alice.credit≥$100，表示判斷Alice的積分是否大于等于100美元，即為主體屬性的單一謂詞；own（Alice，file），表示文件file是否歸主體Alice所有，是主體與客體之間的謂詞.在委托模型中，使用k1，k2，…，ki來表示主體委托屬性與客體屬性之間的謂詞.

2.3 動作

在EUCON中,狀態之間的轉移通過動作來完成，動作發起者可以是系統，也可以是用戶.圖3是EUCON在訪問過程中涉及到的動作與發生時刻.

圖3 主體與系統動作

為描述EUCON中的狀態轉移與更新屬性值的動作，定義了以下主體和系統的動作：

MTryAccess（s，o，p）表示用戶 s產生一個訪問請求（s，o，p）；

MPermit（s，o，p）表示系統授權（s，o，p）；

MPermitAccess（s，o，p）表示系統允許訪問請求（s，o，p）；

MDenyAccess（s，o，p）表示系統拒絕訪問請求（s，o，p）；

MRevokeAccess（s，o，p）表示系統撤銷訪問請求（s，o，p）；

MPreUpdate（att）表示系統在訪問前更新屬性att，其中，att可以是主體擴展屬性（aes）、 客體屬性（ao）或者系統屬性（asys）；

MOnUpdate（att）表示系統在訪問過程中更新屬性 att；

MPostUpdate（att）表示系統在訪問后更新屬性att.

為了方便描述EUCON邏輯模型，突出區間時序邏輯中各表達式、公式和動作之間的相互關系，以下對操作符 進行定義.

定義5 操作符

假設f表示任意的表達式或者公式，w表示任意動作，則公式w f表示所有滿足f的區間會以滿足動作w結束，即如果滿足表達式或者公式f，則w會在f發生后的時間里發生.記為：

2.4 EUCOND模型

由于篇幅的原因，此處僅以EUCOND子模型為例，通過采用ITL邏輯描述EUCOND模型及訪問控制策略，從而驗證模型的完備性.其他子模型也可以通過類似的方法驗證其完備性.

定義 6 EUCOND定義為一個 6 元組：Q ＝ （I，Att，Z，M，P，R′），其中 I表示對象集， 包括主體、客體、系統；Att表示屬性集，包括主體擴展屬性、客體屬性和系統屬性；Z表示狀態謂詞集，包括主體的、客體的狀態謂詞和訪問狀態謂詞；M表示動作集；P表示權限集；R′表示主體角色集，包括主體原有角色和接受委托得到的角色.

EUCON委托模型由于既可以委托屬性又可以委托角色，因此可將EUCOND根據需要而對屬性集和角色集進行對應的調整，分為細粒度委托模型和中粒度委托模型.在細粒度委托模型中，元素Att為主體擴展屬性、客體屬性和系統屬性的集合，R′只包括主體原有角色.而在中粒度委托模型中，Att為主體原始屬性、客體屬性和系統屬性的集合，R′包括主體原有角色接受委托得到的角色.

EUCOND包括EUCONpreD子模型和EUCONonD子模型.下面運用ITL對各子模型進行描述，同時給出其訪問控制策略，并邏輯驗證其完備性.

2.4.1 EUCONpreD模型

EUCONpreD模型在使用決策過程中使用預先授權，委托包括主體屬性或者角色的委托，在允許使用前要進行委托判決.根據可變性，它只有EUCONpreD1一種模型.但由于委托粒度特征不一樣，又將EUCONpreD1分為基于細粒度的預先委托EUCONpreDs1和基于中粒度的預先委托EUCONpreDm1.

preDs1 EUCONpreDs1是系統的主動實體將它的屬性委托給其它主動實體，以便后者能夠代表前者執行某些權限的預先委托模型.它是在使用前利用更新功能來修改主體屬性和客體屬性的.使用控制決策如下:

其中asys∈Att，r∈R′，而k1，k2，…，ki表示本次訪問所涉及的由主體委托屬性和客體屬性組成的預先委托謂詞，公式as.r=?asys.r·MPermit（asys.r，o，p）判斷主體s具有的角色是否是可以對客體o進行操作的權限p所對應的角色.在以上兩者必須均為真時，同時主體有提出訪問請求MTryAccess（s，o，p）且系統對屬性進行更新后，再根據系統對屬性的更新情況決定是否允許用戶的訪問請求.

preDm1 EUCONpreDm1模型是系統的主動實體將他的某個角色委托給其他主動實體，使后者能夠代替前者執行某些權限.主客體屬性的更新在授權前執行，其使用控制決策用ITL描述如下:

其中as.rd表示主體接受其他主動實體委托過來的角色，謂詞JCan_d（asys.r）描述角色r是否可以被委托， 公式 as.rd= ?asys.r·（MPermit（asys.r，o，p）∧JCan_d（asys.r））描述主體 s 被委托角色是否是可被委托的、擁有對客體o進行操作的權限p的角色.規則（2）與preDs1相同.

2.4.2 EUCONonD模型

EUCONonD中，在使用權利執行過程中，需要連續地或者定期地進行委托判決.一旦不滿足委托要求，那么當前允許的使用權利就會被收回，對客體的操作就會被停止.根據可變性，EUCONonD模型中，只有EUCONonD2一種模型.但由于委托粒度特征不同，將EUCONonD2分為基于細粒度的使用中委托EUCONonDs2與基于中粒度的使用中委托EUCONonDm2.

onDs2 EUCONonDs2中, 委托的對象是屬性.用戶提出的訪問請求不需要預先判決就可以訪問，但是系統在整個訪問過程中會不斷地檢測和更新主客體屬性，其訪問控制策略用ITL語言描述如下：

規則（3）描述系統在訪問過程中不斷檢測該次訪問所涉及到的主體委托屬性、客體屬性等相關屬性和主體的角色屬性，一旦出現不滿足的情況立即撤銷該次訪問.規則（4）表明系統在整個訪問過程中會不時地對主客體相關信息進行更新.

onDm2 EUCONonDm2與EUCONonDs2基本相同，差別在于EUCONonDm2模型是對角色的委托，而不是對屬性的委托.

3 實 例

EUCONABCD的形式化描述驗證了模型的完備性，并提出了其訪問控制策略，為模型的具體實現提供邏輯基礎.下面通過網上行政審批的實例來說明EUCONABCD的實際應用.科技局項目申請書的行政審批流程，角色主體關系以及角色權限之間的關系如圖4及表2、表3所示.假設項目申請書o1需要自受理行政許可申請之日起10天內作出行政許可決定，而局長John由于出差在外不能對o1進行行政批準，于是他希望把r1中的權限p1轉授給秘書Mary，代替他執行o1的項目審批權限.但出于安全上的考慮，John要求Mary的項目審批要在副局長Tom的監督下進行，即Mary要得到Tom的確認才能進行下一步的審批工作，同時要求Mary每隔一段時間t要輸入委托驗證碼進行身份驗證.

圖4 行政審批示意圖

表2 角色-主體

表3 角色-權限

如果平臺采用UCON，則其對權限的管理將變得復雜和混亂，不符合權限和職責明確的原則，而且無法實現權限委托，因此不能直接采用UCON.但僅采用基于角色的訪問控制模型（RBAC），雖然可以解決權限管理的問題，但是不能對角色的訪問進行連續的控制，事實上一旦主體（Mary）獲得了相關的角色（r1），就應該進行該角色下的權利活動（項目批準）而不應受系統的控制，于是有必要進行訪問的連續控制以降低行政審批中由于某角色被非法獲取而產生的安全問題.綜上，對于這類既需要很好的權限管理又需要對訪問進行連續性和靈活性控制的訪問控制問題，RBAC和UCON都無法實現.而本文的EUCON則可以既簡潔又安全地解決此類問題.由于項目審批權限p1是用戶Mary接受John委托得到的，即為用戶的委托權限，則此實例的策略可以用EUCON中的onDs2模型來描述.以下使用t′表示主體的時間屬性，即主體對項目行政審批的時間，C（s1，s2，p）表示主體 s1監督 s2進行 p操作， V（t）表示每過 t時間輸入驗證碼. 其訪問策略的具體過程如下:

開始：

規則：

4 結 語

本文針對UCON在委托授權以及權限管理方面的不足，提出了基于屬性RBAC的帶委托性質的使用控制模型EUCON.模型通過引入角色的概念，解決了將權限直接分配給用戶所帶來的系統復雜性問題、靈活性問題和安全問題；通過引入委托，完善了模型的委托權限控制功能并同時考慮了權限的委托粒度特征，也涵蓋了細粒度委托和中粒度委托.為了更清晰地描述引入委托后模型屬性的可變性和動態性，提出了擴展屬性的概念，還通過運用一種廣泛使用的模型驗證語言——區間時序邏輯對EUCON的委托模型進行邏輯表述，并驗證了其完備性.最后，給出了行政審批的實例，進而說明了EUCON理論研究的價值.本研究下一步將對EUCON的角色管理和委托授權進行研究.

[1] Park J， Sandhu R.Towards usage control models： beyond traditional access control[C]//proc of the 7th ACM Symposium on Access Control Models and Tcehnologies.California： ACM Press,2002：57-64.

[2] Park J，Sandhu R.The UCONABCusage control model[J].ACM Trans on Information and System Security， 2004， 7（1）： 128-174.

[3] Zhao Baoxian， Ravi Sandhu， Zhang Xinwen， et al.Towards a times-based usage control model[J].DBSec， 2007： 227-242.

[4]Yang Ran， Lin Chuang， Feng FuJian.A time and mutable attribute-based access control model[J].Journal of Computers， 2009,6（4）： 510-518.

[5] Zhang Zhiyong， Yang Lin， Pei Qingqi， et al.Research on usage control model with delegation characteristics based on OM-AM methodology[C]//Proceedings of IFIP International Conference on Network and Parallel Computing-Workshop on Networks System Security.Washington D C：IEEE Conputer society， 2007： 238-243.

[6] Zhang Xinwen， Park J， Sandhu R.A logical specification for usage control[C]//Proceedings of the 9th ACM Symposium on Access Control Models and Technologies.New York:ACM Press，2004：67-75.

[7] 田光輝，吳江，張德同，等.基于動態描述邏輯的UCON授權模型[J].計算機工程,2008，34（19）： 163-166.

[8] Sandhu R， Coyne E,Feinstein H， et al.Role-based access control models[J].IEEE Computer，1996， 29（2）： 38-47.

[9]Antonio Cau， Ben Moszkowski. Interval temporal logic， HTML version of the ITL home page[EB/OL].http://www.cse.dmu.ac.uk/STRL/ITL/，2009-05-15.

[10]Allen J F，Ferguson G.Actions and events in interval temporal logic[J].Journal Logic and Computation， 1994， 4（5）： 531-579.

[11]Barka E， Sandhu R.Role-based delegation model/hierarchical roles（RBDM1）[C]//Proceedings of the 20th Annual Computer Security Applications Conference. Washington D C： IEEE Press， 2004：396-404.

Abstract：As UCON model does not involve the basic characteristics of the delegation and the usage of permissions is not well-management，a new model based on attribute-RBAC with character of delegation usage control is proposed. Key elements such as role，delegation and extended-attribute into usage control are introduced.A new access control method that based on attribute-role,which makes the model more variably and dynamically is presented.In addition,Interval Temporal Logic is used for logically demonstrating the completeness of EUCON model based on delegation.Finally，an application of administrative examination and approval is articulated.offering a good example for application of EUCON.

Key words：EUCON； UCON； RBAC； delegation； interval temporal logic； administrative examination and approval

Model of Attribute-RBAC with Character of Delegation Usage Control

CAI Wei-hong1，2， CAI Jian-kun1， XU Tao1， WEI Gang2
（1.Department of Computer Science and Technology of Shantou University， Shantou 515063， Guangdong， China；2.School of Electronic&Information Engineering， South China University of Technology， Guangzhou 510640，Guangdong， China）

TN 915

A

1001-4217（2010）04-0057-09

2010-06-04

蔡偉鴻（1963-），男，廣東潮州人，教授. 研究方向：網絡與通信、信息安全與應用研究.E-mail：whcai@stu.edu.cn

國家自然科學基金-國家杰出青年科學基金項目（60625101）；省部產學研合作引導項目（2009B090300345）；廣東省現代信息服務業發展專項（GDIID2008IS046）