探讨安全性preA模型安全性及DBRM0表达>带有委托功能UCONpreA模型安全性及DBRM0表达中专
最后更新时间:2024-03-21
作者:用户投稿
本站原创
点赞:22998
浏览:91496
本站原创
点赞:22998
浏览:91496
论文导读:
摘 要:针对使用控制模型(UCON)中加入委托功能后安全分析愈加复杂的问题,首先形式化地表达了其子模型——使用前授权(UCONpreA)的委托过程,通过分析证明了一般带有委托功能的UCONpreA模型的安全性是不可确定的,然后通过构造有限状态机的方法证明了一个受约束的带有委托功能的UCONpreA模型的安全性是可确定的,最后利用该约束模型成功地表达了传统的基于角色的委托模型(RBDM0);并进一步增强了UCON的表达能力,能有效保证其安全性。
关键词:使用控制;安全性分析;有限状态机;委托;基于角色的委托模型
:A
Safety analysis for UCONpreA model with delegation feature and expression for DBRM0
YE Chun-xiao,YU Yi-feng*
School of Computer Science,Chongqing University,Chongqing 400044,China
Abstract:
In order to resolve the problem of safety analysis for Usage Control (UCON) with delegation feature, this article first formalized the delegation process for its one child model, pre-authorization model; the security of a general UCONpreA model with delegation feature was indefinite through analysis, by means of constructing a finite state machine, the security of a constrained UCONpreA model with delegation feature was proved decidable; lastly, the traditional role based on delegation model was simulated succesully using the constrained model. This research further enhances the expression power of UCON, and ensures its safety effectively.
英文关键词 Key words:
Usage Control (UCON); safety analysis; Finite State Machine (F); delegation; RBDM0
0 引言
现代信息系统需要细粒度的、灵活的访问控制策略,这需要有动态的表达能力强的访问控制模型。传统的访问控制模型(例如:访问矩阵、强制访问控制、自主访问控制和基于角色的访问控制)被相继提出以满足各种不同的应用需求。使用控制(Usage Control, UCON)模型拓展了传统访问控制模型基本机制,是一个通用的综合模型,自从2002年被提出后,越来越多地受到研究者的重视,目前已经成为访问控制领域新的热点。
文献[1-2]展示了UCON在表达访问控制系统、数字版权管理和信任管理上的策略灵活性和表达能力。访问控制的另一个重要问题是权限揭露。在访问控制系统中,授权依赖于当前的系统状态,而授予权限的同时也可能改变后续的系统状态,由此导致其他的授权。这种动态的特征使我们很难确定一个系统状态,在该状态下特定的主体拥有对特定客体的特定权限,这就是访问控制的安全性问题。对于一个特定的访问控制模型,其表达能力越强,执行安全性分析越困难[3]。
UCON的访问控制由授权(Authorizations)策略、职责(Obligations)策略和条件(Conditions)策略组成。在UCONA中,访问的控制决策取决于一个或多个由主客体属性组成的断言。访问的执行可能导致主体和/或客体属性的更新,属性更新继而又导致后续访问权限的改变。这种由属性可变性造成的权限延伸,使UCON通用模型的安全性分析变得复杂和困难。权限委托是访问控制系统的一个重要组成部分。作为一种基于属性的访问控制模型,UCON的权限委托通过属性操作来实现[4-6],在委托执行过程中伴随着相关主体属性的更新,也会导致系统状态的变化。因此,向UCON授权模型中加入委托功能,无疑使安全性分析的复杂性和困难程度进一步增加。
考虑到以上问题,本文首先向使用前授权(UCONpreA)中加入权限委托功能,给出其形式化的表达。通过分析证明带有委托功能的UCONpreA一般模型的安全性。然后对一般模型施加约束,通过构造一个有限状态机来证明该约束模型的安全性是可确定的。最后,结合安全性分析的结论,利用该约束模型实现模拟表达RBDM0。
1 UCON模型
UCON系统包括6个组成部分:主体和主体属性、客体和客体属性、授权、职责以及条件,其中,授权、职责和条件为使用控制的决策部件。属性是系统状态中的赋值变量;授权是基于主客体属性(例如:角色名、安全标签、账户余额等)的断言;职责是由主体或系统执行的动作,例如用户在下载某个文件时需要填写表单;条件是类似于系统时钟、位置、系统负载的系统环境约束。
在UCON中,一个完整的使用过程包含三个阶段:使用前(before-usage)、使用中(ongoing-usage)和使用后(after-usage)。控制决策部件在前两个阶段评估和执摘自:毕业论文免费下载www.7ctime.com
行,分别称为使用前决策(pre-decision)和使用中决策(ongoing-decision)。其中,使用中决策体现了UCON的决策连续性特征。
U论文导读:程对系统的总体影响和权限的传播,权限传播是执行一系列使用过程累积的结果。而UCON逻辑模型主要关注于单次使用过程中系统状态转换的细节,因此并不适合用来进行安全性分析。下面给出一种形式化的模型,该模型能够满足安全性分析的要求。上一页12
CON的另一个重要的特征是属性可变性。可变性是指主体对客体的访问操作会导致主体或客体属性的更新。根据使用过程的三个阶段,共有三种更新,分别为:使用前更新(pre-update)、使用中更新(ongoing-update)和使用后更新(post-update)。属性更新由安全系统监控和实施。属性更新作为主体活动的一个间接结果,是UCON对传统访问控制的重要扩展。更新后的主客体属性会影响到相关主客体权限的后续使用,这一特征使UCON具有很强的表达能力,同时,也使其安全性问题变得更加重要。
根据使用控制评估和属性更新执行所处的阶段,UCON的每一个决策部件又定义了若干个子模型。例如,对于授权(Authorization)模型,访问控制决策的评估和决定既可以在访问前也可以在访问过程中进行,分别记作preA(pre-Authorization)和onA(ongoing-Authorization)。根据可能的属性更新时间,每个子模型又被分为四个核心模型。例如:preA0表示不包含属性更新的使用前授权,preA1、preA2和preA3分别表示包含使用前更新、使用过程中更新和使用更新的使用前授权。传统的访问控制模型都可以用preA模型[7]来表达。
UCON模型的安全性分析需要明确地表达使用过程对系统的总体影响和权限的传播,权限传播是执行一系列使用过程累积的结果[3]。而UCON逻辑模型主要关注于单次使用过程中系统状态转换的细节,因此并不适合用来进行安全性分析。下面给出一种形式化的模型,该模型能够满足安全性分析的要求。
摘 要:针对使用控制模型(UCON)中加入委托功能后安全分析愈加复杂的问题,首先形式化地表达了其子模型——使用前授权(UCONpreA)的委托过程,通过分析证明了一般带有委托功能的UCONpreA模型的安全性是不可确定的,然后通过构造有限状态机的方法证明了一个受约束的带有委托功能的UCONpreA模型的安全性是可确定的,最后利用该约束模型成功地表达了传统的基于角色的委托模型(RBDM0);并进一步增强了UCON的表达能力,能有效保证其安全性。
关键词:使用控制;安全性分析;有限状态机;委托;基于角色的委托模型
:A
Safety analysis for UCONpreA model with delegation feature and expression for DBRM0
YE Chun-xiao,YU Yi-feng*
School of Computer Science,Chongqing University,Chongqing 400044,China
Abstract:
In order to resolve the problem of safety analysis for Usage Control (UCON) with delegation feature, this article first formalized the delegation process for its one child model, pre-authorization model; the security of a general UCONpreA model with delegation feature was indefinite through analysis, by means of constructing a finite state machine, the security of a constrained UCONpreA model with delegation feature was proved decidable; lastly, the traditional role based on delegation model was simulated succesully using the constrained model. This research further enhances the expression power of UCON, and ensures its safety effectively.
英文关键词 Key words:
Usage Control (UCON); safety analysis; Finite State Machine (F); delegation; RBDM0
0 引言
现代信息系统需要细粒度的、灵活的访问控制策略,这需要有动态的表达能力强的访问控制模型。传统的访问控制模型(例如:访问矩阵、强制访问控制、自主访问控制和基于角色的访问控制)被相继提出以满足各种不同的应用需求。使用控制(Usage Control, UCON)模型拓展了传统访问控制模型基本机制,是一个通用的综合模型,自从2002年被提出后,越来越多地受到研究者的重视,目前已经成为访问控制领域新的热点。
文献[1-2]展示了UCON在表达访问控制系统、数字版权管理和信任管理上的策略灵活性和表达能力。访问控制的另一个重要问题是权限揭露。在访问控制系统中,授权依赖于当前的系统状态,而授予权限的同时也可能改变后续的系统状态,由此导致其他的授权。这种动态的特征使我们很难确定一个系统状态,在该状态下特定的主体拥有对特定客体的特定权限,这就是访问控制的安全性问题。对于一个特定的访问控制模型,其表达能力越强,执行安全性分析越困难[3]。
UCON的访问控制由授权(Authorizations)策略、职责(Obligations)策略和条件(Conditions)策略组成。在UCONA中,访问的控制决策取决于一个或多个由主客体属性组成的断言。访问的执行可能导致主体和/或客体属性的更新,属性更新继而又导致后续访问权限的改变。这种由属性可变性造成的权限延伸,使UCON通用模型的安全性分析变得复杂和困难。权限委托是访问控制系统的一个重要组成部分。作为一种基于属性的访问控制模型,UCON的权限委托通过属性操作来实现[4-6],在委托执行过程中伴随着相关主体属性的更新,也会导致系统状态的变化。因此,向UCON授权模型中加入委托功能,无疑使安全性分析的复杂性和困难程度进一步增加。
考虑到以上问题,本文首先向使用前授权(UCONpreA)中加入权限委托功能,给出其形式化的表达。通过分析证明带有委托功能的UCONpreA一般模型的安全性。然后对一般模型施加约束,通过构造一个有限状态机来证明该约束模型的安全性是可确定的。最后,结合安全性分析的结论,利用该约束模型实现模拟表达RBDM0。
1 UCON模型
UCON系统包括6个组成部分:主体和主体属性、客体和客体属性、授权、职责以及条件,其中,授权、职责和条件为使用控制的决策部件。属性是系统状态中的赋值变量;授权是基于主客体属性(例如:角色名、安全标签、账户余额等)的断言;职责是由主体或系统执行的动作,例如用户在下载某个文件时需要填写表单;条件是类似于系统时钟、位置、系统负载的系统环境约束。
在UCON中,一个完整的使用过程包含三个阶段:使用前(before-usage)、使用中(ongoing-usage)和使用后(after-usage)。控制决策部件在前两个阶段评估和执摘自:毕业论文免费下载www.7ctime.com
行,分别称为使用前决策(pre-decision)和使用中决策(ongoing-decision)。其中,使用中决策体现了UCON的决策连续性特征。
U论文导读:程对系统的总体影响和权限的传播,权限传播是执行一系列使用过程累积的结果。而UCON逻辑模型主要关注于单次使用过程中系统状态转换的细节,因此并不适合用来进行安全性分析。下面给出一种形式化的模型,该模型能够满足安全性分析的要求。上一页12
CON的另一个重要的特征是属性可变性。可变性是指主体对客体的访问操作会导致主体或客体属性的更新。根据使用过程的三个阶段,共有三种更新,分别为:使用前更新(pre-update)、使用中更新(ongoing-update)和使用后更新(post-update)。属性更新由安全系统监控和实施。属性更新作为主体活动的一个间接结果,是UCON对传统访问控制的重要扩展。更新后的主客体属性会影响到相关主客体权限的后续使用,这一特征使UCON具有很强的表达能力,同时,也使其安全性问题变得更加重要。
根据使用控制评估和属性更新执行所处的阶段,UCON的每一个决策部件又定义了若干个子模型。例如,对于授权(Authorization)模型,访问控制决策的评估和决定既可以在访问前也可以在访问过程中进行,分别记作preA(pre-Authorization)和onA(ongoing-Authorization)。根据可能的属性更新时间,每个子模型又被分为四个核心模型。例如:preA0表示不包含属性更新的使用前授权,preA1、preA2和preA3分别表示包含使用前更新、使用过程中更新和使用更新的使用前授权。传统的访问控制模型都可以用preA模型[7]来表达。
UCON模型的安全性分析需要明确地表达使用过程对系统的总体影响和权限的传播,权限传播是执行一系列使用过程累积的结果[3]。而UCON逻辑模型主要关注于单次使用过程中系统状态转换的细节,因此并不适合用来进行安全性分析。下面给出一种形式化的模型,该模型能够满足安全性分析的要求。