蔡偉鴻， 蔡建坤， 徐 濤， 韋 崗

（1.汕頭大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系，廣東 汕頭 515063；2.華南理工大學(xué)電子與信息學(xué)院，廣東 廣州 510640）

基于屬性RBAC及委托性質(zhì)的使用控制模型

蔡偉鴻1，2， 蔡建坤1， 徐 濤1， 韋 崗2

（1.汕頭大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系，廣東 汕頭 515063；2.華南理工大學(xué)電子與信息學(xué)院，廣東 廣州 510640）

針對UCON未涉及特權(quán)委托的基本特征和權(quán)限管理的缺陷，提出了基于屬性RBAC的帶委托性質(zhì)的使用控制模型（EUCON）.將角色、委托和擴(kuò)展屬性等要素引入到EUCON，構(gòu)建了基于屬性-角色的訪問控制方法，提高了模型的可變性和動(dòng)態(tài)性，并使用區(qū)間時(shí)序邏輯對該委托模型的完備性進(jìn)行邏輯驗(yàn)證，最后提供了網(wǎng)上行政審批的實(shí)例，為模型的應(yīng)用奠定了一個(gè)很好的實(shí)例基礎(chǔ).

EUCON；UCON；RBAC；委托；區(qū)間時(shí)序邏輯；網(wǎng)上行政審批

0 引 言

隨著網(wǎng)絡(luò)規(guī)模的逐漸增大，傳統(tǒng)的訪問控制模型已不能滿足系統(tǒng)授權(quán)的安全性要求.由Sandhu等人[1-2]提出的使用控制模型（Usage Control，UCON）是一種全新的訪問控制方法，在滿足目前大量存在的商業(yè)和政府部門系統(tǒng)安全需求方面顯示了極大的優(yōu)勢，已被理論界和工業(yè)界所接受，并成為研究的熱點(diǎn).但是UCON也存在一些缺陷，尤其在大型分布式系統(tǒng)中.一方面，無法滿足系統(tǒng)開發(fā)與重用的簡易化與安全管理需求，另一方面，也無法滿足系統(tǒng)用戶希望在符合系統(tǒng)安全規(guī)定的情況下自主地把一些權(quán)限委托給其他用戶，以便后者代替前者完成某項(xiàng)任務(wù)的需求.Zhao Baoxian等人[3]在UCON的基礎(chǔ)上提出了TUCON，該模型采用有效時(shí)間和最大使用次數(shù)的限制來簡化UCON的應(yīng)用，然而對于大多數(shù)應(yīng)用來說，使用次數(shù)的限制是不合理的.基于有效時(shí)間限制和定量授權(quán)限制的TMAAC模型[4]，提供了更嚴(yán)格的限制條件以防止授權(quán)的濫用，但該文未對模型策略的實(shí)用性進(jìn)行描述.Zhang Zhiyong等人[5]對委托基本特征進(jìn)行了研究，分析了它在UCON體系框架中的具體表現(xiàn)，給出了一種具有委托特征的UCON即UCOND，但該模型未對權(quán)限進(jìn)行管理.在模式描述方面，Zhang Xinwen等人[6]利用動(dòng)作時(shí)序邏輯對UCON進(jìn)行了表述，但其標(biāo)準(zhǔn)中假設(shè)狀態(tài)轉(zhuǎn)換之間的動(dòng)作總是立即執(zhí)行，不存在時(shí)間延遲，這在實(shí)際應(yīng)用中是不合理的.田光輝等人[7]使用DDL對UCON的授權(quán)模型進(jìn)行描述，但是DDL主要表現(xiàn)在模型的邏輯推理與實(shí)現(xiàn)，而未涉及對邏輯的檢查與驗(yàn)證.

傳統(tǒng)的行政審批系統(tǒng)存在著效率低下、缺乏監(jiān)管等問題，因此電子政務(wù)的發(fā)展勢在必行.但是在電子政務(wù)系統(tǒng)中，系統(tǒng)的安全性要求特別高，采用怎樣的控制模型對系統(tǒng)各主體的權(quán)限進(jìn)行管理至今仍是個(gè)難題.本文著眼于網(wǎng)上行政審批的需要，針對UCON的不足和角色權(quán)限等級管理的必要性，提出基于屬性RBAC[8]的帶委托性質(zhì)的使用控制模型（Extended UCON，EUCON），并通過引入一種廣泛使用的模型驗(yàn)證語言——區(qū)間時(shí)序邏輯（Internal Temporal Logic，ITL）[9-10]，對EUCON的控制策略進(jìn)行邏輯表述以及驗(yàn)證其邏輯完備性，最后以網(wǎng)上行政審批為例子，說明模型的具體實(shí)用性，為各省市網(wǎng)上行政審批建設(shè)提供參考模型.

1 EUCON模型

1.1 EUCON組成

圖1 EUCONABCD框架模型

EUCON是在UCON的基礎(chǔ)上提出的，因此該模型具有UCON的主要要素，包括主體（s）、客體（o）、 客體屬性（ao）、 權(quán)限（p）、授權(quán)（A）、 義務(wù)（B）和條件（C）. 除此之外，EUCON 還包含角色（r）、 委托（D）和主體擴(kuò)展屬性（aes）3 個(gè)新要素.

定義1 角色

角色是根據(jù)具體職責(zé)劃分而進(jìn)行的任務(wù)范圍規(guī)定的多個(gè)集合，代表了一種資格或權(quán)利.在EUCON中由屬性與權(quán)限共同組成具有不同含義和功能的角色.角色的引入，將權(quán)限和用戶分開，權(quán)限只與角色關(guān)聯(lián)，解決了UCON中將權(quán)限直接分配給用戶所帶來的系統(tǒng)可重用問題和安全問題，也創(chuàng)新性地構(gòu)建了基于屬性-角色訪問控制方法.該方法的思想就是把對用戶的授權(quán)分成兩部分：用角色充當(dāng)用戶行使權(quán)限的中介；用屬性作為判斷用戶能否擁有角色的依據(jù).如圖1所示，不同于傳統(tǒng)角色訪問控制模型，EUCON中除用戶與角色之間以及角色與權(quán)限之間形成了兩個(gè)多對多的關(guān)系外，角色與屬性之間以及角色與使用決策之間也形成了兩個(gè)相互影響的關(guān)系.

定義2 委托

委托是指系統(tǒng)中的一個(gè)活動(dòng)實(shí)體授權(quán)另一個(gè)活動(dòng)實(shí)體，使后者可以代表前者執(zhí)行相應(yīng)任務(wù)[11].根據(jù)委托的粒度特征，可分為細(xì)粒度委托授權(quán)和中粒度委托授權(quán).細(xì)粒度委托授權(quán)是允許用戶將角色的部分許可委托給另一用戶，而不是角色的整體委托；中粒度委托授權(quán)是指用戶將自身的角色整體委托給另一用戶[5].EUCON涵蓋了這兩種類型的委托，使得其具有一般性，可以適合各類型訪問控制的委托授權(quán).引入委托后，系統(tǒng)每個(gè)主體具有的屬性將包括兩部分，其一是主體原有的屬性，其二是該主體接受另一主體（或系統(tǒng)）委托所得到的屬性.例如主體A接受其上級B所委托的屬性p1，則其主體屬性將包括原來具有的屬性和屬性p1.

定義3 主體擴(kuò)展屬性

為了更清晰地描述引入委托后模型屬性的可變性和動(dòng)態(tài)性，將主體的屬性劃分為初始屬性與委托屬性，提出了主體擴(kuò)展屬性的概念.主體擴(kuò)展屬性由初始屬性與委托屬性組成.初始屬性最初是由系統(tǒng)分配給用戶的屬性，常見的初始屬性有：用戶名、用戶組、角色和安全級別等.委托屬性是通過委托授權(quán)而得到的屬性，通常包括委托客體及相應(yīng)訪問權(quán)限等內(nèi)容.擴(kuò)展屬性是可變的，在主體訪問客體的過程中可能會(huì)被系統(tǒng)改變或是得到被委托的屬性.

EUCON是一種具有普遍特征的控制模型，不僅包含了UCONABC[2]，還包含了UCON未涉及的委托模型，構(gòu)成EUCONABCD核心模型體系.同時(shí)在權(quán)限控制中引入角色，解決了將權(quán)限指定給用戶帶來的系統(tǒng)開發(fā)、重用問題和系統(tǒng)安全管理問題.相對于UCON，EUCON具有更一般性，涵蓋更多種訪問控制類型，是UCON的擴(kuò)展，模型框架如前文圖1所示.

表1 EUCONABCD模型矩陣

1.2 EUCONABCD核心模型體系

在EUCONABCD模型中，假設(shè)有一個(gè)訪問客體資源的請求，對訪問權(quán)限的訪問決策發(fā)生在請求前或者請求期間，主體屬性、客體屬性的可變性允許系統(tǒng)在使用期間對主體或者客體的屬性進(jìn)行更新.在訪問決策過程中沒有屬性更新要求表示為 “0”，使用前期、期間、后期分別標(biāo)記為 “1、2、3”.根據(jù)這些標(biāo)準(zhǔn)，得到表1所示的18種可能的核心模式.現(xiàn)實(shí)中可能的情況標(biāo)記為 “Y”，否則為 “N”.

圖2（a）顯示了EUCONABCD中A、B、C、D在給定上下文中的可能的組合以及它們之間的關(guān)系.A、 B、 C、 D模型可以分別劃分成圖2（b）、（c）、（d）和（e）表示的幾種情況. 圖2說明了模型體系空間的豐富性以及上下文決策規(guī)則的靈活性.EUCON模型是基于授權(quán)、義務(wù)、條件和委托4種決定策略來檢查訪問控制決策，實(shí)施動(dòng)態(tài)的細(xì)粒度訪問控制的，既保留了RBAC模型又保留了UCON的優(yōu)點(diǎn)，內(nèi)容非常豐富，包含了18種子模型.

2 EUCON邏輯模型

在邏輯描述EUCON之前，本節(jié)先描述一下ITL各要素在EUCON中的表述.

2.1 屬性與狀態(tài)

EUCON是基于角色和屬性的訪問控制模型，控制策略涉及到主體、客體、主體屬性、客體屬性和系統(tǒng)屬性，其中，主體和客體是常變量，主體屬性和客體屬性是可變變量，而系統(tǒng)屬性跟主體屬性和客體屬性沒有直接的聯(lián)系.在訪問前、訪問過程中或者訪問后，屬性的值可能會(huì)發(fā)生變化.

授權(quán)判決以用戶提出訪問請求開始.本文使用一個(gè)3元組（s，o，p）來表示主體s希望以權(quán)限p訪問客體o的訪問請求.為了描述當(dāng)前訪問過程的狀態(tài)，定義了函數(shù)z（s，o，p）.

定義 4 狀態(tài)函數(shù) z（s，o，p）

狀態(tài)函數(shù) z（s，o，p）表示當(dāng)前訪問過程的狀態(tài)， 是從（s，o，p）到{zinitial，zrequesting，zdenied，zaccessing，zrevoked，zend}的映射[6]， 記為：z（s，o，p）：{（s，o，p）}→{zinitial，zrequesting，zdenied，zaccessing，zrevoked，zend}， 其中zinitial表示初始狀態(tài)；zrequesting為主體s剛提出訪問請求（s，o，p）；zdenied表示訪問請求被拒絕；zaccessing是訪問請求（s，o，p）被系統(tǒng)通過，主體s正在對客體o進(jìn)行p操作；zrevoked為系統(tǒng)撤銷訪問請求（s，o，p）； zend表示訪問結(jié)束狀態(tài).

2.2 謂詞

謂詞是由變量和常量組成的布爾表達(dá)式，包括了主體屬性、客體屬性和系統(tǒng)屬性.根據(jù)屬性形式的不同，謂詞包含幾種類型：主體、客體、主體屬性或者客體屬性的單一謂詞；主體與客體、主體初始屬性或者主體委托屬性與客體屬性之間的謂詞等.如Alice.credit≥$100，表示判斷Alice的積分是否大于等于100美元，即為主體屬性的單一謂詞；own（Alice，file），表示文件file是否歸主體Alice所有，是主體與客體之間的謂詞.在委托模型中，使用k1，k2，…，ki來表示主體委托屬性與客體屬性之間的謂詞.

2.3 動(dòng)作

在EUCON中,狀態(tài)之間的轉(zhuǎn)移通過動(dòng)作來完成，動(dòng)作發(fā)起者可以是系統(tǒng)，也可以是用戶.圖3是EUCON在訪問過程中涉及到的動(dòng)作與發(fā)生時(shí)刻.

圖3 主體與系統(tǒng)動(dòng)作

為描述EUCON中的狀態(tài)轉(zhuǎn)移與更新屬性值的動(dòng)作，定義了以下主體和系統(tǒng)的動(dòng)作：

MTryAccess（s，o，p）表示用戶 s產(chǎn)生一個(gè)訪問請求（s，o，p）；

MPermit（s，o，p）表示系統(tǒng)授權(quán)（s，o，p）；

MPermitAccess（s，o，p）表示系統(tǒng)允許訪問請求（s，o，p）；

MDenyAccess（s，o，p）表示系統(tǒng)拒絕訪問請求（s，o，p）；

MRevokeAccess（s，o，p）表示系統(tǒng)撤銷訪問請求（s，o，p）；

MPreUpdate（att）表示系統(tǒng)在訪問前更新屬性att，其中，att可以是主體擴(kuò)展屬性（aes）、 客體屬性（ao）或者系統(tǒng)屬性（asys）；

MOnUpdate（att）表示系統(tǒng)在訪問過程中更新屬性 att；

MPostUpdate（att）表示系統(tǒng)在訪問后更新屬性att.

為了方便描述EUCON邏輯模型，突出區(qū)間時(shí)序邏輯中各表達(dá)式、公式和動(dòng)作之間的相互關(guān)系，以下對操作符 進(jìn)行定義.

定義5 操作符

假設(shè)f表示任意的表達(dá)式或者公式，w表示任意動(dòng)作，則公式w f表示所有滿足f的區(qū)間會(huì)以滿足動(dòng)作w結(jié)束，即如果滿足表達(dá)式或者公式f，則w會(huì)在f發(fā)生后的時(shí)間里發(fā)生.記為：

2.4 EUCOND模型

由于篇幅的原因，此處僅以EUCOND子模型為例，通過采用ITL邏輯描述EUCOND模型及訪問控制策略，從而驗(yàn)證模型的完備性.其他子模型也可以通過類似的方法驗(yàn)證其完備性.

定義 6 EUCOND定義為一個(gè) 6 元組：Q ＝ （I，Att，Z，M，P，R′），其中 I表示對象集， 包括主體、客體、系統(tǒng)；Att表示屬性集，包括主體擴(kuò)展屬性、客體屬性和系統(tǒng)屬性；Z表示狀態(tài)謂詞集，包括主體的、客體的狀態(tài)謂詞和訪問狀態(tài)謂詞；M表示動(dòng)作集；P表示權(quán)限集；R′表示主體角色集，包括主體原有角色和接受委托得到的角色.

EUCON委托模型由于既可以委托屬性又可以委托角色，因此可將EUCOND根據(jù)需要而對屬性集和角色集進(jìn)行對應(yīng)的調(diào)整，分為細(xì)粒度委托模型和中粒度委托模型.在細(xì)粒度委托模型中，元素Att為主體擴(kuò)展屬性、客體屬性和系統(tǒng)屬性的集合，R′只包括主體原有角色.而在中粒度委托模型中，Att為主體原始屬性、客體屬性和系統(tǒng)屬性的集合，R′包括主體原有角色接受委托得到的角色.

EUCOND包括EUCONpreD子模型和EUCONonD子模型.下面運(yùn)用ITL對各子模型進(jìn)行描述，同時(shí)給出其訪問控制策略，并邏輯驗(yàn)證其完備性.

2.4.1 EUCONpreD模型

EUCONpreD模型在使用決策過程中使用預(yù)先授權(quán)，委托包括主體屬性或者角色的委托，在允許使用前要進(jìn)行委托判決.根據(jù)可變性，它只有EUCONpreD1一種模型.但由于委托粒度特征不一樣，又將EUCONpreD1分為基于細(xì)粒度的預(yù)先委托EUCONpreDs1和基于中粒度的預(yù)先委托EUCONpreDm1.

preDs1 EUCONpreDs1是系統(tǒng)的主動(dòng)實(shí)體將它的屬性委托給其它主動(dòng)實(shí)體，以便后者能夠代表前者執(zhí)行某些權(quán)限的預(yù)先委托模型.它是在使用前利用更新功能來修改主體屬性和客體屬性的.使用控制決策如下:

其中asys∈Att，r∈R′，而k1，k2，…，ki表示本次訪問所涉及的由主體委托屬性和客體屬性組成的預(yù)先委托謂詞，公式as.r=?asys.r·MPermit（asys.r，o，p）判斷主體s具有的角色是否是可以對客體o進(jìn)行操作的權(quán)限p所對應(yīng)的角色.在以上兩者必須均為真時(shí)，同時(shí)主體有提出訪問請求MTryAccess（s，o，p）且系統(tǒng)對屬性進(jìn)行更新后，再根據(jù)系統(tǒng)對屬性的更新情況決定是否允許用戶的訪問請求.

preDm1 EUCONpreDm1模型是系統(tǒng)的主動(dòng)實(shí)體將他的某個(gè)角色委托給其他主動(dòng)實(shí)體，使后者能夠代替前者執(zhí)行某些權(quán)限.主客體屬性的更新在授權(quán)前執(zhí)行，其使用控制決策用ITL描述如下:

其中as.rd表示主體接受其他主動(dòng)實(shí)體委托過來的角色，謂詞JCan_d（asys.r）描述角色r是否可以被委托， 公式 as.rd= ?asys.r·（MPermit（asys.r，o，p）∧JCan_d（asys.r））描述主體 s 被委托角色是否是可被委托的、擁有對客體o進(jìn)行操作的權(quán)限p的角色.規(guī)則（2）與preDs1相同.

2.4.2 EUCONonD模型

EUCONonD中，在使用權(quán)利執(zhí)行過程中，需要連續(xù)地或者定期地進(jìn)行委托判決.一旦不滿足委托要求，那么當(dāng)前允許的使用權(quán)利就會(huì)被收回，對客體的操作就會(huì)被停止.根據(jù)可變性，EUCONonD模型中，只有EUCONonD2一種模型.但由于委托粒度特征不同，將EUCONonD2分為基于細(xì)粒度的使用中委托EUCONonDs2與基于中粒度的使用中委托EUCONonDm2.

onDs2 EUCONonDs2中, 委托的對象是屬性.用戶提出的訪問請求不需要預(yù)先判決就可以訪問，但是系統(tǒng)在整個(gè)訪問過程中會(huì)不斷地檢測和更新主客體屬性，其訪問控制策略用ITL語言描述如下：

規(guī)則（3）描述系統(tǒng)在訪問過程中不斷檢測該次訪問所涉及到的主體委托屬性、客體屬性等相關(guān)屬性和主體的角色屬性，一旦出現(xiàn)不滿足的情況立即撤銷該次訪問.規(guī)則（4）表明系統(tǒng)在整個(gè)訪問過程中會(huì)不時(shí)地對主客體相關(guān)信息進(jìn)行更新.

onDm2 EUCONonDm2與EUCONonDs2基本相同，差別在于EUCONonDm2模型是對角色的委托，而不是對屬性的委托.

3 實(shí) 例

EUCONABCD的形式化描述驗(yàn)證了模型的完備性，并提出了其訪問控制策略，為模型的具體實(shí)現(xiàn)提供邏輯基礎(chǔ).下面通過網(wǎng)上行政審批的實(shí)例來說明EUCONABCD的實(shí)際應(yīng)用.科技局項(xiàng)目申請書的行政審批流程，角色主體關(guān)系以及角色權(quán)限之間的關(guān)系如圖4及表2、表3所示.假設(shè)項(xiàng)目申請書o1需要自受理行政許可申請之日起10天內(nèi)作出行政許可決定，而局長John由于出差在外不能對o1進(jìn)行行政批準(zhǔn)，于是他希望把r1中的權(quán)限p1轉(zhuǎn)授給秘書Mary，代替他執(zhí)行o1的項(xiàng)目審批權(quán)限.但出于安全上的考慮，John要求Mary的項(xiàng)目審批要在副局長Tom的監(jiān)督下進(jìn)行，即Mary要得到Tom的確認(rèn)才能進(jìn)行下一步的審批工作，同時(shí)要求Mary每隔一段時(shí)間t要輸入委托驗(yàn)證碼進(jìn)行身份驗(yàn)證.

圖4 行政審批示意圖

表2 角色-主體

表3 角色-權(quán)限

如果平臺(tái)采用UCON，則其對權(quán)限的管理將變得復(fù)雜和混亂，不符合權(quán)限和職責(zé)明確的原則，而且無法實(shí)現(xiàn)權(quán)限委托，因此不能直接采用UCON.但僅采用基于角色的訪問控制模型（RBAC），雖然可以解決權(quán)限管理的問題，但是不能對角色的訪問進(jìn)行連續(xù)的控制，事實(shí)上一旦主體（Mary）獲得了相關(guān)的角色（r1），就應(yīng)該進(jìn)行該角色下的權(quán)利活動(dòng)（項(xiàng)目批準(zhǔn)）而不應(yīng)受系統(tǒng)的控制，于是有必要進(jìn)行訪問的連續(xù)控制以降低行政審批中由于某角色被非法獲取而產(chǎn)生的安全問題.綜上，對于這類既需要很好的權(quán)限管理又需要對訪問進(jìn)行連續(xù)性和靈活性控制的訪問控制問題，RBAC和UCON都無法實(shí)現(xiàn).而本文的EUCON則可以既簡潔又安全地解決此類問題.由于項(xiàng)目審批權(quán)限p1是用戶Mary接受John委托得到的，即為用戶的委托權(quán)限，則此實(shí)例的策略可以用EUCON中的onDs2模型來描述.以下使用t′表示主體的時(shí)間屬性，即主體對項(xiàng)目行政審批的時(shí)間，C（s1，s2，p）表示主體 s1監(jiān)督 s2進(jìn)行 p操作， V（t）表示每過 t時(shí)間輸入驗(yàn)證碼. 其訪問策略的具體過程如下:

開始：

規(guī)則：

4 結(jié) 語

本文針對UCON在委托授權(quán)以及權(quán)限管理方面的不足，提出了基于屬性RBAC的帶委托性質(zhì)的使用控制模型EUCON.模型通過引入角色的概念，解決了將權(quán)限直接分配給用戶所帶來的系統(tǒng)復(fù)雜性問題、靈活性問題和安全問題；通過引入委托，完善了模型的委托權(quán)限控制功能并同時(shí)考慮了權(quán)限的委托粒度特征，也涵蓋了細(xì)粒度委托和中粒度委托.為了更清晰地描述引入委托后模型屬性的可變性和動(dòng)態(tài)性，提出了擴(kuò)展屬性的概念，還通過運(yùn)用一種廣泛使用的模型驗(yàn)證語言——區(qū)間時(shí)序邏輯對EUCON的委托模型進(jìn)行邏輯表述，并驗(yàn)證了其完備性.最后，給出了行政審批的實(shí)例，進(jìn)而說明了EUCON理論研究的價(jià)值.本研究下一步將對EUCON的角色管理和委托授權(quán)進(jìn)行研究.

[1] Park J， Sandhu R.Towards usage control models： beyond traditional access control[C]//proc of the 7th ACM Symposium on Access Control Models and Tcehnologies.California： ACM Press,2002：57-64.

[2] Park J，Sandhu R.The UCONABCusage control model[J].ACM Trans on Information and System Security， 2004， 7（1）： 128-174.

[3] Zhao Baoxian， Ravi Sandhu， Zhang Xinwen， et al.Towards a times-based usage control model[J].DBSec， 2007： 227-242.

[4]Yang Ran， Lin Chuang， Feng FuJian.A time and mutable attribute-based access control model[J].Journal of Computers， 2009,6（4）： 510-518.

[5] Zhang Zhiyong， Yang Lin， Pei Qingqi， et al.Research on usage control model with delegation characteristics based on OM-AM methodology[C]//Proceedings of IFIP International Conference on Network and Parallel Computing-Workshop on Networks System Security.Washington D C：IEEE Conputer society， 2007： 238-243.

[6] Zhang Xinwen， Park J， Sandhu R.A logical specification for usage control[C]//Proceedings of the 9th ACM Symposium on Access Control Models and Technologies.New York:ACM Press，2004：67-75.

[7] 田光輝，吳江，張德同，等.基于動(dòng)態(tài)描述邏輯的UCON授權(quán)模型[J].計(jì)算機(jī)工程,2008，34（19）： 163-166.

[8] Sandhu R， Coyne E,Feinstein H， et al.Role-based access control models[J].IEEE Computer，1996， 29（2）： 38-47.

[9]Antonio Cau， Ben Moszkowski. Interval temporal logic， HTML version of the ITL home page[EB/OL].http://www.cse.dmu.ac.uk/STRL/ITL/，2009-05-15.

[10]Allen J F，F(xiàn)erguson G.Actions and events in interval temporal logic[J].Journal Logic and Computation， 1994， 4（5）： 531-579.

[11]Barka E， Sandhu R.Role-based delegation model/hierarchical roles（RBDM1）[C]//Proceedings of the 20th Annual Computer Security Applications Conference. Washington D C： IEEE Press， 2004：396-404.

Abstract：As UCON model does not involve the basic characteristics of the delegation and the usage of permissions is not well-management，a new model based on attribute-RBAC with character of delegation usage control is proposed. Key elements such as role，delegation and extended-attribute into usage control are introduced.A new access control method that based on attribute-role,which makes the model more variably and dynamically is presented.In addition,Interval Temporal Logic is used for logically demonstrating the completeness of EUCON model based on delegation.Finally，an application of administrative examination and approval is articulated.offering a good example for application of EUCON.

Key words：EUCON； UCON； RBAC； delegation； interval temporal logic； administrative examination and approval

Model of Attribute-RBAC with Character of Delegation Usage Control

CAI Wei-hong1，2， CAI Jian-kun1， XU Tao1， WEI Gang2
（1.Department of Computer Science and Technology of Shantou University， Shantou 515063， Guangdong， China；2.School of Electronic&Information Engineering， South China University of Technology， Guangzhou 510640，Guangdong， China）

TN 915

A

1001-4217（2010）04-0057-09

2010-06-04

蔡偉鴻（1963-），男，廣東潮州人，教授. 研究方向：網(wǎng)絡(luò)與通信、信息安全與應(yīng)用研究.E-mail：whcai@stu.edu.cn

國家自然科學(xué)基金-國家杰出青年科學(xué)基金項(xiàng)目（60625101）；省部產(chǎn)學(xué)研合作引導(dǎo)項(xiàng)目（2009B090300345）；廣東省現(xiàn)代信息服務(wù)業(yè)發(fā)展專項(xiàng)（GDIID2008IS046）