使用控制授权模型的安全性研究摘要：在基于策略的模型中，研究了使用控制授权模型的安全特性，首先分析了在一般使用控制授权模型中安全问题的不确定性；然后在限定属性值范围和无生成策略的条件下，说明了安全问题的确定性；最后通过释放生成策略的限制，在非连通的属性生成图和包含生成父属性的属性更新图中，证明了安全问题的确定性。??关键词：访问控制；使用控制；授权；安全性??：TP393.08文献标志码：A：1001－3695(2008)01－0226－04随着信息技术的不断发展和大规模应用，信息系统的安全性成为越来越突出的问题。访问控制（accesscontrol）中最重要的安全问题是许可的泄露。访问许可权的授予与否取决于系统当前的状态，而且当前授予的许可权也可能影响或改变系统的下一个状态，甚至影响其他的访问许可[1]。因此当一个主体对一个对象拥有某种特权时，可能使系统当前的状态很难被确定，这将导致访问控制中的安全问题[2,3]。另外，在使用控制（usagecontrol）中，使用决策与授权、认证和条件密切相关，使用决策是基于主体属性和对象属性作出的，而主体属性和对象属性随着主体使用行为的负作用而单方面改变和更新。这种属性的改变将会改变系统的状态，影响将来访问许可权的授予。由于使用控制属性的可变性，使得访问许可相互传递，从而导致使用控制模型中的安全问题更复杂、更难以确定。如何合理地限制以确保使用控制安全问题的确定性是使用控制的一个基本问题，也是本文讨论的重点内容。??1使用控制??1．1使用控制逻辑模型简介??使用控制模型由八部分组成：主体（S,subject）、主体属性（ATT（S）,attributesubject）、对象（O,object）、对象属性（ATT（O）,attributeobject）、权限（R,right）、授权（A，authorization）、认证（B）和条件（C），如图1所示。其中：主体、对象和权限都来自传统的访问控制，主体拥有对象的使用权，对象提供主体访问的资源；主体属性和对象属性是能被访问决策过程使用的属性；授权是在主体属性、对象属性和要求权限基础上的访问权限评估，其返回值为“yes”或“no”；认证是为获得对一个所请求对象的使用，主体必须完成的行为。另外，访问和使用也受限于一定的环境和系统状态，如某些数字资源的使用与使用的时间和当前的位置有关。这种决定因素称为条件[4]。??此外，使用控制模型还包括连续性(continuity)和可变性(mutability)两个重要属性。连续性是对相对长期持续的资源使用或立即撤销资源使用的权限应用要求。可变性主要指属性的可变性，是对相关主体和对象属性的访问结果的更新处理。连续性和可变性使得基于历史的授权决策更容易实施。??对于使用控制中的每一个决策因素，都有不同的组成模型。例如在使用控制的授权模型中，使用决策的授予是以主体属性和对象属性为基础的，在使用前或使用中检测和执行，分别叫做使用前授权（preA，preauthorizations）和使用中授权（onA，ongoingauthorizations）。由于授权决策由主体属性和对象属性决定，并且这些属性将随着主体使用行为的负作用而单方面改变和更新，这种更新将影响将来的访问许可权的授予，导致使用控制的安全问题，而使用前授权模型中的安全问题更为突出和典型。本文主要讨论使用前授权模型的安全问题。??1．2使用前授权模型??在使用控制的逻辑模型中，系统状态的改变是在单一的使用过程中，使用过程整体的影响并没有全面考虑；而对于安全分析来说，安全问题关心的是在一系列使用过程中许可的累积和传递。单一的使用过程虽是独立的，任何两个使用过程之间并无联系，但所有的使用过程却是连续、顺次执行的，组成一个连续完整的系统。同时使用控制的逻辑结构关注的是单一使用过程中系统状态的临时特性，而生成、删除的主体和对象及其相关特性并没有系统阐述。因此需要重新定义一个新的、正式的模型――使用前授权模型（UCON??A,preauthorizationsofusagecontrolmodel），去论述使用过程的全局影响和一系列使用过程后的累积结果。使用前授权模型UCON??A是指在主体对所请求对象进行访问之前将许可的权限授予主体[5]。为了分析使用前授权模型的安全问题，定义了一系列特殊的使用策略、授权检...