使用控制授權模型的安全性研究

摘要：在基于策略的模型中，研究了使用控制授權模型的安全特性，首先分析了在一般使用控制授權模型中安全問題的不確定性；然后在限定屬性值范圍和無生成策略的條件下，說明了安全問題的確定性；最后通過釋放生成策略的限制，在非連通的屬性生成圖和包含生成父屬性的屬性更新圖中，證明了安全問題的確定性。

關鍵詞：訪問控制； 使用控制； 授權； 安全性

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001－3695(2008)01－0226－04

隨著信息技術的不斷發展和大規模應用，信息系統的安全性成為越來越突出的問題。訪問控制（access control）中最重要的安全問題是許可的泄露。訪問許可權的授予與否取決于系統當前的狀態，而且當前授予的許可權也可能影響或改變系統的下一個狀態，甚至影響其他的訪問許可[1]。因此當一個主體對一個對象擁有某種特權時，可能使系統當前的狀態很難被確定，這將導致訪問控制中的安全問題[2，3]。另外，在使用控制（usage control）中，使用決策與授權、認證和條件密切相關，使用決策是基于主體屬性和對象屬性作出的，而主體屬性和對象屬性隨著主體使用行為的負作用而單方面改變和更新。這種屬性的改變將會改變系統的狀態，影響將來訪問許可權的授予。由于使用控制屬性的可變性，使得訪問許可相互傳遞，從而導致使用控制模型中的安全問題更復雜、更難以確定。如何合理地限制以確保使用控制安全問題的確定性是使用控制的一個基本問題，也是本文討論的重點內容。

1使用控制

1．1使用控制邏輯模型簡介

使用控制模型由八部分組成：主體（S， subject）、主體屬性（ATT（S）， attribute subject）、對象（O， object）、對象屬性（ATT（O）， attribute object）、權限（R， right）、授權（A，authorization）、認證（B）和條件（C），如圖1所示。其中：主體、對象和權限都來自傳統的訪問控制，主體擁有對象的使用權，對象提供主體訪問的資源；主體屬性和對象屬性是能被訪問決策過程使用的屬性；授權是在主體屬性、對象屬性和要求權限基礎上的訪問權限評估，其返回值為“yes”或“no”；認證是為獲得對一個所請求對象的使用，主體必須完成的行為。另外，訪問和使用也受限于一定的環境和系統狀態，如某些數字資源的使用與使用的時間和當前的位置有關。這種決定因素稱為條件[4]。

此外，使用控制模型還包括連續性(continuity)和可變性(mutability)兩個重要屬性。連續性是對相對長期持續的資源使用或立即撤銷資源使用的權限應用要求。可變性主要指屬性的可變性，是對相關主體和對象屬性的訪問結果的更新處理。連續性和可變性使得基于歷史的授權決策更容易實施。

對于使用控制中的每一個決策因素，都有不同的組成模型。例如在使用控制的授權模型中，使用決策的授予是以主體屬性和對象屬性為基礎的，在使用前或使用中檢測和執行，分別叫做使用前授權（preA，pre authorizations）和使用中授權（onA ，ongoing authorizations）。由于授權決策由主體屬性和對象屬性決定，并且這些屬性將隨著主體使用行為的負作用而單方面改變和更新，這種更新將影響將來的訪問許可權的授予，導致使用控制的安全問題，而使用前授權模型中的安全問題更為突出和典型。本文主要討論使用前授權模型的安全問題。

1．2使用前授權模型

在使用控制的邏輯模型中，系統狀態的改變是在單一的使用過程中，使用過程整體的影響并沒有全面考慮；而對于安全分析來說，安全問題關心的是在一系列使用過程中許可的累積和傳遞。單一的使用過程雖是獨立的，任何兩個使用過程之間并無聯系，但所有的使用過程卻是連續、順次執行的，組成一個連續完整的系統。同時使用控制的邏輯結構關注的是單一使用過程中系統狀態的臨時特性，而生成、刪除的主體和對象及其相關特性并沒有系統闡述。因此需要重新定義一個新的、正式的模型——使用前授權模型（UCONA， pre authorizations of usage control model），去論述使用過程的全局影響和一系列使用過程后的累積結果。使用前授權模型UCONA是指在主體對所請求對象進行訪問之前將許可的權限授予主體[5]。為了分析使用前授權模型的安全問題，定義了一系列特殊的使用策略、授權檢測，以及作為單方面影響結果的主體行為，同時也定義了與主體和對象有關的生成策略和刪除策略。

1．2．1主體、對象和權限

主體是一個活躍的實體集合，可以激活某種使用請求，對一個對象行使某種訪問許可，甚至也可以被另一個主體訪問。對象是提供給主體訪問的資源，每個對象都有惟一標志的名稱，且當對象被刪除后該名稱將不能再被使用。權限是主體對請求對象擁有或行使的特權，是主體訪問能力的功能集，具有一定的優先等級。權限的許可是一個三元組，即permit (S，O，R)。其中：S表示主體；O表示對象；R表示權限。

1．2．2屬性、屬性值和狀態

屬性是一個與系統狀態相關聯的變量。每個實體均由一個非空、有限的屬性集來表示，如組關系、角色、安全標簽等。實體的屬性表示為o.a。其中：o表示實體名稱；a表示屬性名稱。它們都是惟一確定的。ATT表示實體的屬性名稱集。 每個屬性都由一系列具有特定數據值的屬性值（values）來表示。屬性值決定屬性的范圍和功能，屬性值表示為dom(a)，dom(a)不能為空，且a∈ATT。狀態（states）主要指系統的狀態，是所有實體屬性組成的集合。

定義1狀態或系統的狀態是一個二元組t(O，σ)。其中：O是一個實體集；σ是實體O的賦值函數，即

σ：O×ATT→dom(ATT)∪{1}

1．2．3檢測

定義2檢測（predicates）p(s，o)是一個基于主體屬性和對象屬性的函數，其返回值為布爾型的數值。其中：s是主體屬性；o是對象屬性。

檢測是對系統狀態的描述，返回值為true或1。如果屬性值滿足當前系統的狀態要求，則該狀態也滿足檢測條件，返回值為true。例如系統檢測要求用戶賬戶金額大于100元，則表示當用戶賬戶金額的屬性值大于100時，返回的檢測值為true。

1．2．4主體行為

定義3在使用前授權模型中，主體行為(primitive action)是一種系統狀態的轉換。具體又分為createObject行為、destroyObject行為和updateAttribute行為。

CreateObject行為在當前系統中生成一個新的對象，并且該對象必須是系統中不存在的，其屬性值為空（1）。DestroyObject行為刪除系統中現有的對象及其對應的屬性。UpdateAttribute行為對一個對象的屬性值進行更新。當createObject行為生成一個新的對象時，updateAttribute必然要對其屬性進行更新。

1．2．5使用前授權模型的訪問策略

在使用前授權模型中，對屬性符合要求的檢測從兩方面影響系統：a)對屬性符合要求的檢測可能賦予主體所請求的訪問權；b)對屬性符合要求的檢測可能授予主體改變系統當前狀態的特權。這些影響可能使另一些檢測條件同時得到滿足，或授予某種額外的權限，甚至改變系統狀態，最終將引發安全問題。在此著重分析主體行為導致的系統狀態改變，以及系統狀態改變導致額外的授權所引起的安全問題。

定義4訪問策略是由策略名稱、實體參數、授權規則和一系列主體行為組成。具體表示為

訪問策略由兩部分組成：a)策略條件。由一個授權規則組成。b)策略主體。由一系列主體行為組成。策略條件是通過系統狀態作出的授權許可；策略主體是執行這種授權許可后對系統狀態的影響。

定義5訪問策略是一個生成策略，當且僅當在策略主體中包含一個createObject行為。

當訪問許可被授予后，訪問策略就會執行。因此，系統中至少有一個滿足條件的參數在訪問許可被授予前存在，并且生成策略中至少包含一個createObject行為。

1．2．6使用前授權模型的保護系統

定義6使用前授權系統是一個四元組(ATT，R，P，C)。其中：ATT是一個有限屬性集；R是一個有限權限集；P是一個由檢測行為組成的有限集；C是一個有限決策集。使用前授權模型的保護系統是由使用前授權系統(ATT，R，P，C)及其狀態t(O0，σ0)組成。

2使用前授權模型安全問題的不確定性

在使用前授權模型中，執行一系列訪問策略后，安全問題發生與否，與系統最初的狀態和主體對所請求對象的訪問許可有關。

定理1使用前授權系統的安全問題是不確定的。

證明傳統的單向轉換機制可以模擬使用前授權系統[6]來說明安全問題。該轉換機制中，缺少與當前可接收狀態相一致的特殊授權許可，在此使用了一個類似于訪問矩陣確定性記錄的構造。該轉換機制中的磁帶可以看做對象，類似對象的屬性來反映轉換機制當前的狀態；轉換機制的轉變函數可以看做使用決策。在該轉換機制中，是否能從最初的狀態到達可接收的授權狀態的檢測是不確定的。因此，與模擬使用前授權系統的程序一樣，對主體或對象許可權的授予與否也是不確定的。這也證明了使用前授權模型安全問題的不確定性。

3使用前授權模型安全問題的確定性

在使用前授權模型中，安全問題發生與否，與系統最初的狀態以及執行一系列訪問策略、屬性更新、生成或刪除對象后主體能否獲得對所請求對象的訪問許可有關。在一般情況下，使用前授權模型的安全問題是不確定的，但通過添加一些限制性條件后，使用前授權模型的安全問題是可以確定的。

3．1不包含生成策略的使用前授權模型的安全分析

在使用前授權系統中，如果每個屬性值的范圍是有限的，則每個對象的屬性值也是有限的；如果系統不包含生成策略， 那么在當前系統狀態下，系統所有的對象都是有限的、確定的，則系統所有可能的狀態是有限的，系統的安全問題也是確定的。所以，在有限狀態的系統中，其安全問題是可以確定的。

定理2一個系統的安全問題是可以確定的，當滿足下列兩個條件時：

a）每個對象的屬性值是有限的。

b）在系統中不包含生成策略。

證明如果系統總的狀態數是有限的，并且每個對象的屬性值是有限的，也沒有新的對象產生，則系統安全問題可減少到接近有限的程度，也就是確定的。由于系統是由一個四元組(ATT，R，P，C)和其最初的狀態t0=(O0，σ0)組成，可以從如下方面分析其安全問題：

在一個有限狀態的系統中，能否實現可接收狀態的決定性問題也是確定的。這證明在使用前授權系統的安全問題是確定的。

推論1在沒有生成策略且對象屬性值范圍有限的條件下，使用前授權系統的安全問題具有多元性。

證明在定理2中，對授權許可permit(s， o， r)的安全檢測是從系統最初的狀態中發現一條通向系統可接收狀態的路徑，也叫路徑問題。在一定數量的節點中，一個圖形的路徑問題是多元的，這意味著安全問題也是多元的。

3．2包含生成策略的使用前授權模型的安全分析 

在以上討論的安全確定性系統中，不允許生成新的對象。在該節中將取消這種限制，允許有某種限制形式的生成策略存在。在一個生成策略中，如果必須更新主體屬性值，但沒有任何策略能將該主體屬性值更新為其最初的屬性值，此時在系統中就需要創建一些有限的對象，并通過跟蹤系統可能的狀態，使安全問題變得可以確定。

證明在一個非連通的屬性更新圖中， 包含一個具有生成特性的父屬性元組。在任何一個基本的生成策略cn(s1:τs; o1:τo)中，τs′和τs是完全不同的；否則在其父屬性元組中就會存在一個死循環，且τs既是一個生成父屬性元組，又是一個更新后的屬性元組。如果任兩個基本生成策略可以使用同一個主體作為父生成屬性元組，則生成子屬性的數量大于子屬性的元組數，那么在同一個更新父屬性元組中必然存在兩個生成策略，這與已知的非連通性相矛盾。所以最大子屬性的數值為子屬性的元組數。

3．3安全問題分析 

對系統最初狀態中的任何主體，其直接子主體的數目是有限的，其生成圖的深度也是有限的。同樣在一個系統中，生成的對象是有限的。其系統的狀態也是有限的，因此安全是可以檢測的，也是確定的。

定理3在使用前授權系統中，安全問題是確定的。如果其屬性值的范圍是有限的，且：

a）屬性生成圖是非連通的。

b）屬性更新圖是非連通的，且包含一個生成的父屬性。

c）在任何一個基本生成策略cn(s1:τs;o1:τo)中，父屬性元組和子屬性元組都是更新的。

證明對任一主體，都有一些基本生成策略把它作為父屬性。由推論3可知，這些基本生成策略數目有限，并且其生成子屬性的最大數量是子屬性的元組數；另一方面，由推論2可知，任何對象都存在有限數量的生成值，則其生成子對象的數量也是有限的。由此可見，系統中所有可能生成對象的數量是有限的，即在系統中只有有限數量的對象生成，則系統的狀態是有限的，所以安全問題也是確定的。

4結束語

使用控制安全問題分析是基于策略模型的，通過安全分析，得到如下結論：a)一般的使用前授權和使用前認證模型中，安全問題是不確定的；b)在限定屬性范圍和沒有生成策略的條件下，使用前授權模型的安全問題是確定的，并且在系統狀態數量有限的條件下安全問題是多元的；c)在有限屬性范圍和生成策略的條件下，如果屬性生成圖是非連通的，并且在屬性更新圖中沒有循環包括生成父屬性元組，則安全問題是確定的。本文僅分析了使用控制三種模型中的一種——使用前授權模型的安全問題，而條件模型由于環境信息的變化導致系統的變化是不可預測和捕捉的，則其安全也是一個功能性的問題。認證模型由于訪問認證是一種與主體屬性相關的請求行為，也是訪問控制中的核心因素。認證模型中的安全問題將是下一步研究工作的重點。

參考文獻：

[1]JAEGER T， TIDSWELL J E. Practical safety in flexible access control models[J]. ACM Transactions on Information and Systems Security， 2001，4(3):34－58.

[2]KOCH M， MANCINI L V， PARISI PRESICCE F.Decidability of safety in graph based models for access control[J]. ACM European Symposium on Research in Computer Security， 2002，21(7):2502－2548.

[3]LI N， TRIPUNITARA M V. Security analysis in role based access control[J]. ACM Symposium on Access Control Models and Techniques， 2004，9(1):28－46.

[4]ZHANG X， PARK J， PARISI PRESICCE F， et al. A logical specification for usage control[J]. ACM Symposium on Access Control Models and Technologies， 2004，18(9):1－26.

[5]ZHANG Xin wen. Formal model and analysis of usage control[J]. ACM Symposium on Access Control Models and Technologies， 2006，5(1):122 153.

[6]HARRISON M H， RUZZO W L， ULLMAN J D. Protection in opera￣ting systems[J].Communication of ACM，1976，19(8):28－57.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”