葉春曉，余一豐，余龍龍

1.重慶大學計算機學院，重慶400044

2.西南財經(jīng)大學經(jīng)濟信息工程學院，成都611130

1 引言

UCON概念由Park和Sandhu于2002年提出，它綜合并擴展了各種傳統(tǒng)訪問控制解決方案的特點，使研究者能夠在一個統(tǒng)一的框架下以系統(tǒng)化的方式研究訪問控制領(lǐng)域內(nèi)的所有問題[1]。UCON創(chuàng)造性地提出了屬性可變性和決策連續(xù)性的概念，對資源的使用決定基于主體提出訪問請求時的主體屬性、客體屬性、授權(quán)、職責和環(huán)境因素，能夠為應用資源提供更廣泛、更豐富、更細粒度的訪問控制保護，滿足現(xiàn)代信息系統(tǒng)基于不同決策因素的授權(quán)需求。UCON已經(jīng)成為訪問控制領(lǐng)域一個新的研究方向。

使用控制概念中的“使用”表示對數(shù)字對象上權(quán)限的使用，這里的權(quán)限包括對數(shù)字對象的使用權(quán)限以及對該使用權(quán)限的委托權(quán)限[2]。UCONABC核心模型主要解決訪問控制的授權(quán)過程，即對數(shù)字對象使用權(quán)限的控制。目前UCON研究主要集中于使用控制策略表達，各種應用背景下的形式化描述，實現(xiàn)架構(gòu)和機制，而對于委托授權(quán)研究相對較少。模型的提出者在多個文獻[2-4]中均強調(diào)了對委托授權(quán)的需求，但都是將它作為一個次要問題留做以后解決，這極大地制約了UCON的后續(xù)研究和應用。

RBAC等傳統(tǒng)訪問控制模型的委托研究已經(jīng)相當成熟，很多的研究成果成功地解決了各自領(lǐng)域內(nèi)的委托授權(quán)問題。盡管UCON是對傳統(tǒng)訪問控制模型的綜合和擴展，但是由于屬性可變性和決策連續(xù)性的特點，UCON并不像傳統(tǒng)的訪問控制模型那樣顯式或隱含地保存著一個訪問控制列表，記錄系統(tǒng)中每個用戶擁有的操作權(quán)限；相反UCON系統(tǒng)中的權(quán)限是實時和動態(tài)的，只有在用戶提出訪問請求時才能確定其是否擁有所請求的權(quán)限。因此，傳統(tǒng)訪問控制的委托模型并不能解決一般UCON的委托授權(quán)。本文提出一種基于權(quán)限的UCON委托模型（PBUDM），利用委托授權(quán)、委托職責和委托條件三個委托決策因素控制和約束委托過程，延續(xù)了UCON的特征，而且具有靈活、簡便的特點。

2 相關(guān)研究

Farzad Salim[4]等提出了一個UCON管理模型，在該模型中，屬性通過主體的斷言創(chuàng)建，斷言描述創(chuàng)建者對其他主體或客體的權(quán)限。利用直接斷言，系統(tǒng)安全管理員能夠?qū)崿F(xiàn)對主體的授權(quán)，利用委托斷言，主體能夠?qū)⒐芾頇?quán)限委托給其他主體，由此實現(xiàn)了管理授權(quán)和管理權(quán)限委托的統(tǒng)一。但是作為一個概念模型，該模型缺少正式的定義；只涉及到管理權(quán)限的委托問題，無法實現(xiàn)一般使用權(quán)限的委托；管理權(quán)限的委托過程有太強的隨意性，缺少必要的約束。Woochul Shin等[5]在UCON模型中加入了委托授權(quán)模塊，并應用于授權(quán)會話的管理。這種擴展只是具體工程環(huán)境中的一次嘗試性應用，未詳細說明UCON中委托授權(quán)功能的實現(xiàn)方法。

張志勇等[6]在提出的UCOND模型中引入了委托者、受托者、委托上下文和委托屬性的概念，展示了參與權(quán)限委托的相關(guān)主體之間的關(guān)系。該模型嚴格區(qū)分委托者和被委托者之間的關(guān)系，違反了UCON模型中的主體對等的核心思想，即一個主體既可以是委托者又可以是受托者。周麗麗等[7]在UCOND基礎上引入可信度的概念，提出了基于UCON和動態(tài)模糊神經(jīng)網(wǎng)絡的委托授權(quán)模型，針對UCON的三個決策因素，利用動態(tài)模糊神經(jīng)網(wǎng)絡的相關(guān)算法計算出主體可信任程度，作為對主體授權(quán)的依據(jù)。該模型考慮到了分布式開放環(huán)境下主體間的可信關(guān)系，但是同UCOND一樣，缺少與UCON模型之間的必然聯(lián)系。李亞平等[8]提出了基于屬性的UCON委托授權(quán)方案，將主體屬性劃分為委托屬性和非委托屬性，通過主體間屬性值的傳遞來實現(xiàn)屬性關(guān)聯(lián)權(quán)限的委托。該方案并未給出實現(xiàn)屬性與權(quán)限對應的方法，并且對于委托實施后屬性的變化所造成的影響也沒有加以描述和解決。

3 委托的基本特性

委托功能的實現(xiàn)涉及到眾多委托基本特性，分別簡要介紹如下：

委托粒度，是指實施委托的基本單位?？梢允腔跈?quán)限的細粒度、基于權(quán)限組的中粒度和基于權(quán)限-權(quán)限組的中細粒度。細粒度是指用戶將一部分權(quán)限委托他人，這種方式滿足最小特權(quán)原則，但管理較為復雜；中粒度是指用戶將持有的權(quán)限全部委托出去，受托者將具有委托權(quán)的所有權(quán)限，該方式在一般情況下容易違背最小特權(quán)原則。

持續(xù)性，該特征描述委托的時間限制，根據(jù)委托的時限可以將其分為臨時委托和永久委托。臨時委托是指委托權(quán)限只在指定的時間內(nèi)有效，當時間用完后由系統(tǒng)自動撤銷；永久委托是指委托者一旦將權(quán)限委托出去后，只有通過安全管理員的管理動作才能將其取回，受托者一直持有委托權(quán)限。

單調(diào)性，該特征描述在委托實施后委托者對委托權(quán)限的持有狀況，可將委托分為單調(diào)委托和非單調(diào)委托。單調(diào)委托是指在委托實施后委托者依然持有委托的權(quán)限，能夠利用它們訪問客體資源或再次委托給其他用戶。對于非單調(diào)委托，在委托時限內(nèi)，委托者不再擁有委托的權(quán)限，但是可以撤銷委托，因此在委托被撤銷或時限用完后可以重新獲得委托權(quán)限。

委托深度，該特征定義是否允許后續(xù)委托以及后續(xù)委托的次數(shù)。單步委托不允許后續(xù)委托，即受托者不能將其獲得的委托權(quán)限再委托他人。多步委托允許受托者再次將委托權(quán)限委托給其他用戶。委托深度為一個正整數(shù)，表示允許的后續(xù)委托次數(shù)，當該值為1時即為單步委托，當值大于1時為多步委托。對于多步委托，當達到允許的最大委托深度時，不再允許后續(xù)委托。

委托寬度，在有些情況下，委托者需要將權(quán)限同時委托給其他多個用戶，委托寬度表示在特定時間內(nèi)委托者將同一權(quán)限（組）委托給的用戶數(shù)量。委托寬度同樣為一個正整數(shù)，當委托達到指定的最大寬度時，不再允許委托者將相關(guān)權(quán)限委托給其他用戶。

委托撤銷，表示委托者收回受托者持有的委托權(quán)限，分為級連撤銷和非級連撤銷。對于級連撤銷，委托者撤銷委托的同時，所有的后續(xù)委托都將被撤銷；若由于管理動作，委托者不再具有委托的權(quán)限時，所有的后續(xù)委托也將失效。在非級連撤銷情況下，委托的撤銷不影響后續(xù)委托，即使委托者失去委托權(quán)限，受托者依然持有委托權(quán)限，只能通過管理操作予以刪除。

4 PBUDM委托模型

4.1 形式化定義

4.1.1 模型組件

如圖1示，PBUDM由主體（S）、主體屬性（A tt（S））、權(quán)限（P）、委托授權(quán)（DA）、委托職責（DO）和委托條件（DC）等6個組件構(gòu)成，其中委托授權(quán)、委托職責和委托條件是用于評估委托授權(quán)的功能性斷言。各個組件定義如下：

圖1 PBUDM模型組件圖

主體和主體屬性，與核心模型的定義相同，主體是帶有屬性的實體，持有或能夠?qū)嵤腕w的某些特權(quán)，由主體屬性定義和表示。權(quán)限委托是主體與主體之間的授權(quán)行為。UCON將主體分為消費主體（CS）、提供者主體（PS）和身份主體（IS），不同類別的主體對同一客體持有不同的權(quán)限。

權(quán)限，是指主體能夠?qū)腕w執(zhí)行的特權(quán)，表示為二元組p(r，o)，其中o為目標客體，r為定義在目標客體o上的特權(quán)。為方便下文描述，用p(o)表示權(quán)限p的目標客體，用p(r)表示權(quán)限p對應客體上的特權(quán)。UCON同樣將權(quán)限分為消費權(quán)限、提供者權(quán)限和身份權(quán)限，不同類別的主體對同一客體持有相應類別的權(quán)限，本文主要處理消費主體之間消費權(quán)限的委托。根據(jù)權(quán)限的可委托性，將權(quán)限進一步劃分為可委托權(quán)限（CDP）和不可委托權(quán)限（NDP）。可委托權(quán)限是指允許用戶通過委托授予其他用戶的權(quán)限；不可委托權(quán)限是指用戶只能通過安全管理員的授權(quán)獲得并且不允許委托給其他用戶的權(quán)限，這一劃分由系統(tǒng)設計者或安全管理員確定。系統(tǒng)為每一個主體維持一個委托權(quán)限集合SDP，用于保存其他用戶委托給的權(quán)限，主體s的委托權(quán)限集記為s.SDP。

委托授權(quán)，用于在主體提出委托請求時評估委托許可的功能性斷言。委托授權(quán)根據(jù)委托授權(quán)規(guī)則集中的規(guī)則評估委托主體屬性、受托主體屬性、委托權(quán)限以及相關(guān)約束條件，返回是否允許執(zhí)行請求的委托。委托授權(quán)需要更新受托主體的委托權(quán)限集合，但不會影響相關(guān)的主體屬性。

委托職責，評估在執(zhí)行委托之前相關(guān)主體必須執(zhí)行的強制動作的功能性斷言，當系統(tǒng)設定的一些職責被履行時返回true，否則返回false。委托職責不一定使用主體屬性，但主體屬性可能被用來確定執(zhí)行委托時哪些主體履行哪些職責。委托職責動作表示為二元組Ob(sb，ob)，sb和ob分別是職責主體和職責客體。sb可能為委托者主體，如委托者在將權(quán)限委托給受托者之前必須確認相關(guān)許可協(xié)議，也可能為受托者主體，如委托者對受托者的委托必須經(jīng)過受托者確認同意，也可能是其他未參與委托過程的主體，如委托需要告知上級主管或安全管理員，在獲得同意后方可進行。因此，利用委托職責能夠?qū)崿F(xiàn)各種委托協(xié)商。

委托條件，用于評估當前的環(huán)境或系統(tǒng)狀態(tài)，確定是否滿足相關(guān)需求的斷言，返回true或false。利用委托條件可以實現(xiàn)對委托的時間、地點或系統(tǒng)狀態(tài)等約束。

4.1.2 委托實現(xiàn)

下面通過定義實例化一個委托授權(quán)斷言集合，利用該斷言集合表達委托授權(quán)策略和撤銷策略。這是一個實現(xiàn)委托的最小斷言集合，對于實際的應用系統(tǒng)，可以根據(jù)需要增加新的斷言以實現(xiàn)對委托更豐富的控制和約束。職責動作和條件約束與實際的應用相關(guān)，本文不再定義相應的斷言。下面首先引入委托樹的概念。

委托樹是對參與委托的主體之間關(guān)系及其約束的形象描述。樹上的每一個結(jié)點表示一個主體，根結(jié)點表示初始委托者主體，初始委托者最先將權(quán)限委托給其他主體，其權(quán)限來自于UCON核心模型的授權(quán)，記委托權(quán)限p的初始委托主體為original_s(p)。除根結(jié)點外的每個結(jié)點都有一個父結(jié)點，處在父結(jié)點上的主體將權(quán)限委托給其子結(jié)點上的主體，記主體s父結(jié)點上的主體為father_s(s，p)，記以主體s為根的子樹上的所有子孫結(jié)點上的主體為descendant_s(s，p)。除葉子結(jié)點外的每個結(jié)點有若干個孩子結(jié)點，主體s所在結(jié)點的子結(jié)點數(shù)量即為由s發(fā)起的委托的寬度，記為w idth(s，p)。主體s所在結(jié)點在樹上的深度為當前的委托深度，記為depth(s，p)。每一個委托權(quán)限都有固定的有效時限，記主體s的委托權(quán)限p的有效時限為duration(s，p)。

主體只能將自身持有的權(quán)限委托給其他主體，但是由于UCON權(quán)限的特點，只有在主體提出訪問請求時才能確定其是否具有所請求的權(quán)限。因此，在委托之前必須根據(jù)授權(quán)規(guī)則判斷委托者是否具有所請求委托的權(quán)限。

定義1 DA(s，p)：委托授權(quán)斷言，利用主體s屬性評估相關(guān)授權(quán)斷言（來自核心模型），確定其當前是否具有權(quán)限p。

定義2 depth(s，p)＜Max_depth：委托約束斷言，判斷主體s所處的委托深度是否小于最大委托深度，最大委托深度Max_depth由安全管理員定義。

定義3 width(s，p)＜Max_w idth：委托約束斷言，判斷主體s對權(quán)限p的委托寬度是否小于最大委托寬度，最大委托寬度Max_w idth由安全管理員定義。

定義4 duration?duration(s，p)：委托約束斷言，對于后續(xù)委托，判斷委托者主體s請求的委托時限duration是否在其委托權(quán)限的時限范圍內(nèi)。

根據(jù)以上定義，委托及其撤銷實現(xiàn)如下：

初始委托，主體s1請求將權(quán)限p委托給s2，委托時限為duration，根據(jù)UCON授權(quán)規(guī)則判斷s1、s2是否具有權(quán)限p，不允許委托給主體其已有的權(quán)限，同時委托必須滿足寬度的約束。符號“→”右側(cè)表達式為其左側(cè)表達式的必要條件。

后續(xù)委托，權(quán)限p的初始委托者當前必須繼續(xù)持有該權(quán)限，同時必須滿足委托深度、寬度和時限的約束。

非級連撤銷，只有直接委托者才能撤銷委托，撤銷不影響后續(xù)委托。

級連撤銷，委托撤銷后，所有由受托者發(fā)起的后續(xù)委托都將被一同撤銷。

4.2 帶有委托功能的UCON授權(quán)模型

通過以上定義實現(xiàn)了UCON的委托授權(quán)與撤銷，下面考慮向授權(quán)模型中加入委托功能。

根據(jù)使用控制決策因素和使用評估所處的階段，UCON核心模型定義了若干個子模型，例如，對于授權(quán)（Authorization）決策因素，訪問控制決策的評估既可以在訪問前也可以在訪問過程中進行，分別記做preA子模型（pre-Authorization）和onA子模型（ongoing-Authorization）。傳統(tǒng)的訪問控制模型都可以用preA模型來表達，而利用onA模型可以在權(quán)限的使用過程中對其進行更豐富的控制和約束。在實際的應用系統(tǒng)中，可以組合使用多個子模型以實現(xiàn)全面和細粒度的訪問控制。UCON各個子模型的委托情形略有區(qū)別，主要體現(xiàn)在對委托權(quán)限的使用上，下面以使用前授權(quán)模型preA和使用中授權(quán)模型onA為例加以說明。

（1）帶有委托功能的preA模型

preA模型的使用決策過程在主體訪問客體之前進行，同樣對于委托權(quán)限的使用，在使用前必須進行可用性判定，可用性判定根據(jù)授權(quán)模型中的授權(quán)斷言判斷初始委托者當前是否還具有委托權(quán)限。同時，委托權(quán)限的使用必須滿足委托時限的約束。

例1在基于付費點播的數(shù)字版權(quán)管理系統(tǒng)中，用戶需要支付一定的費用才能使用（瀏覽、播放等）系統(tǒng)中的數(shù)字資源。只有當用戶的賬戶余額大于所需要支付的金額時，用戶才具有該數(shù)字資源的使用權(quán)限。假設系統(tǒng)允許用戶相互之間委托對數(shù)字資源的使用權(quán)限，即擁有客體訪問權(quán)限的用戶可以將該權(quán)限授予其他用戶。利用本文提出的UCON委托模型和帶有委托功能的preA模型可實現(xiàn)對該權(quán)限的委托和使用控制。

用戶賬戶余額credit作為主體屬性，對數(shù)字資源o的使用權(quán)限記為p(r，o)，利用權(quán)限p訪問數(shù)字資源需要支付的費用value作為客體o的屬性。則用戶s1將權(quán)限委托給s2實現(xiàn)如下：

（2）帶有委托功能的onA模型

在onA模型中，不需要任何預先使用決策的情況下允許所有的使用請求，但是在權(quán)限的使用過程，系統(tǒng)持續(xù)地評估相關(guān)授權(quán)規(guī)則，當某些條件不滿足時，撤銷當前的使用權(quán)限并終止主體對客體的訪問。同樣，在委托權(quán)限的使用過程中，系統(tǒng)持續(xù)地評估初始委托者主體對權(quán)限的持有情況或相關(guān)授權(quán)規(guī)則，一旦其不再具有委托權(quán)限或授權(quán)規(guī)則不滿足時，受托者對權(quán)限的使用將被撤銷。

allowaccess(s，p(o)，p(r))?true

stopaccess(s，p(o)，p(r))?┌(DA(original_s(p)，p)

update:Att(original_s(p))，Att(p(o))

例2在例1的應用案例中，用戶s1已經(jīng)將權(quán)限p委托給了s2，系統(tǒng)只允許有限數(shù)量的用戶同時訪問某一客體，為保證付費用戶的服務質(zhì)量，當并發(fā)訪問客體o的用戶數(shù)超過允許的最大數(shù)量時，委托授權(quán)用戶的訪問將首先被撤銷。當前訪問客體o的用戶數(shù)usageNum作為客體屬性，假設允許并發(fā)訪問的最大用戶數(shù)量為10，則對委托權(quán)限p的使用控制實現(xiàn)如下：

allowaccess(s，p(o)，p(r))?true

stopaccess(s，p(o)，p(r))?p(o).usageNum＞10

preupdate:o.usaageNum=o.usageNum+1

postupdate:o.usageNum=o.usageNum–1

4.3 對比研究與分析

（1）本文延用了UCON的授權(quán)決策因素，利用委托授權(quán)、委托職責和委托條件斷言，實現(xiàn)對委托過程的控制和約束。相對于現(xiàn)有的基于UCON的委托授權(quán)研究，本文的解決方案更適合于解決一般UCON模型的委托問題。

（2）在實際的委托過程中，一個主體既可能是委托者也可能是受托者，同現(xiàn)有的UCON委托研究相比，本文的解決方案不需要對參與委托的主體身份進行顯式地劃分，保持了主體的一致性。

（3）本文的委托授權(quán)實際上是一種權(quán)限的傳遞過程，委托本身不會更新任何主客體的屬性信息。相對于基于屬性的委托授權(quán)，UCON的委托過程與基本授權(quán)過程保持較高的相對獨立性，委托授權(quán)的結(jié)果不影響基本授權(quán)的進行和權(quán)限的使用。

（4）PBUDM延續(xù)了UCON屬性可變性和決策連續(xù)性的特點：受托者對委托權(quán)限的使用實際上受制于委托者對該權(quán)限的持有狀況。委托實施后，委托者的某些屬性可能由于其他的訪問動作發(fā)生變化，根據(jù)使用控制策略，委托者不再擁有該權(quán)限時，受托者也將無法使用該權(quán)限；在受托者使用委托權(quán)限對客體的訪問過程中，系統(tǒng)持續(xù)地評估委托者屬性和使用控制決策因素，當任一條件不滿足時，自動撤銷受托者的當前訪問。因此，盡管在形式上委托者將權(quán)限委托給了受托者，受托者持有該委托權(quán)限，但是受托者能否利用該權(quán)限實現(xiàn)對客體的訪問，取決于其提出訪問請求時的委托者屬性、授權(quán)策略、職責和條件等決策因素，PBUDM對委托權(quán)限的使用控制同樣具有動態(tài)性和實時性的特點。

5 結(jié)束語

在UCON委托已有研究基礎之上，結(jié)合UCON授權(quán)的特點和一般權(quán)限委托的特征，提出了一種基于權(quán)限的UCON權(quán)限委托模型并給出了形式化的定義；通過實例化一個最小斷言集合，利用該斷言集合實現(xiàn)了權(quán)限的委托和撤銷；將委托功能加入授權(quán)模型，實現(xiàn)了對委托權(quán)限的使用控制。本文模型利用委托授權(quán)、職責和條件等進行委托決策，能夠很好地適應使用控制系統(tǒng)對權(quán)限委托的需求。同時也應注意到，UCON是一種細粒度的訪問控制方法，對用戶的授權(quán)是通過定義使用控制策略來實現(xiàn)的，每一個權(quán)限都需要制定一個相應的策略，使得UCON的管理操作十分繁瑣。PBUDM基于UCON核心模型，多個權(quán)限的委托只能通過多次委托操作來實現(xiàn)。因此，下一步的研究重點是考慮向模型中加入基于權(quán)限組的委托機制，以方便用戶的委托操作，實現(xiàn)一種多層次的支持不同粒度的UCON委托模型。

[1]Sandhu R，Park J.Usage control：a vision for next generation access control[J].Mathematical Methods，models，and A rchitectures for Network Security Systems，2003（1）：17-31.

[2]Park J，Sandhu R.Towards usage control models beyond traditional access control[C]//Proc of the 7th ACM Symposium on Access Control Models and Technologies.[S.l.]：ACM Press，2002.

[3]Barka E，Sandhu R.Framework for role-based delegation models[C]//Proceedings of the 16th Annual Computer Security Applications Conference.New Orleans：IEEE Press，2000：168-176.

[4]Farzad S，Reid J F，Edward D.An administrative model for UCON[C]//Proceedings of the 8th Australasian Information Security Conference（AISC 2010）.Queensland：Queensland University of Technology，2010：32-38.

[5]Shin W，Yoo S B.Secured Web services based on extended usage control[C]//Proceedings of Pacific-Asia Conference on Know ledge Discovery and Data Mining，2007：656-663.

[6]張志勇，普杰信，黃濤.UCOND：Usage Control委托模型及關(guān)鍵技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用，2006（6）：42-44.

[7]周麗麗，王鳳英，王洪福.基于UCON和動態(tài)模糊神經(jīng)網(wǎng)絡的委托授權(quán)模型[J].山東理工大學學報：自然科學版，2010，24（1）：22-26.

[8]李亞平，周偉良.UCONABC模型中的委托授權(quán)方案研究[J].中國科學技術(shù)大學學報，2012，42（2）：154-160.

[9]Park J.The UCONABCUsage Control model[J].ACM Trans on Information and System Security，2004，7（1）：1-47.

[10]Barka E，Sandhu R.A role-based delegation model and some extensions[C]//Proceedings of 23rd National Information Systems Security Conference.Baltimore：NIST，2000：101-114.

[11]Zhang Xinwen，Parisi-Presicce F，Sandhu R S，et al.Formal model and policy specification of usage control[J].ACM Transactions on Information and System Security-TISSEC，2005，8（4）：351-387.