應(yīng)用UCONABC模型的個人信息保護(hù)方案

李亞平

(1.合肥工業(yè)大學(xué) 管理學(xué)院，合肥　230009; 2.安徽經(jīng)濟(jì)管理學(xué)院，合肥　230059)

?

應(yīng)用UCONABC模型的個人信息保護(hù)方案

李亞平1,2

(1.合肥工業(yè)大學(xué) 管理學(xué)院，合肥230009; 2.安徽經(jīng)濟(jì)管理學(xué)院，合肥230059)

摘要：隨著網(wǎng)絡(luò)實名化程度的不斷提高，個人信息安全問題日益突出。針對個人信息保護(hù)中的需求、權(quán)利和義務(wù)的動態(tài)性特征，傳統(tǒng)的訪問控制方法存在局限性，為此引入UCONABC模型的主要方法，通過細(xì)分個人信息資源使用控制中的主客體和權(quán)利，并基于授權(quán)、責(zé)任、義務(wù)等關(guān)鍵因素，設(shè)計了具有動態(tài)性特征的個人信息保護(hù)方案，為個人信息安全問題的解決提供了新思路。

關(guān)鍵詞：UCON；個人信息；信息安全；動態(tài)性

隨著社會生活網(wǎng)絡(luò)化程度的不斷提高，電子商務(wù)、電子政務(wù)、社交網(wǎng)絡(luò)使得網(wǎng)民越來越難以采用純匿名的方式使用網(wǎng)絡(luò),有限實名網(wǎng)絡(luò)已成為一種典型的網(wǎng)絡(luò)形態(tài)。有限實名即“前臺匿名、后臺實名”或部分實名。在有限實名網(wǎng)絡(luò)環(huán)境中，網(wǎng)民的個人信息在各個網(wǎng)絡(luò)平臺不斷沉積，導(dǎo)致個人信息安全問題也日益突出。針對個人信息保護(hù)的相關(guān)研究十分廣泛，主要側(cè)重于立法研究、政府作為以及互聯(lián)網(wǎng)管理[1-3]。從技術(shù)角度看，相關(guān)研究主要是將個人信息安全納入網(wǎng)絡(luò)安全的大范疇內(nèi)進(jìn)行研究[4-5]。

隨著大數(shù)據(jù)時代的來臨，個人信息安全形勢日益嚴(yán)峻[6]。在個人信息保護(hù)方面，除了立法保護(hù)的相對滯后，也存在著技術(shù)監(jiān)管的缺失和訪問控制策略不靈活等問題。首先，個人信息保護(hù)多依賴于互聯(lián)網(wǎng)企業(yè)單方面的技術(shù)保護(hù)和內(nèi)部監(jiān)管，缺乏必要的行業(yè)監(jiān)管手段。同時，作為個人信息安全事件直接受害者的用戶無法對個人信息保護(hù)加以監(jiān)督。其次，傳統(tǒng)的訪問控制方式越來越難以適應(yīng)動態(tài)的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)訪問控制的粗粒度和靜態(tài)性特征以及個人信息保護(hù)的復(fù)雜性，使得個人信息安全存在較大的不確定性。

UCON(usage control)使用控制的思想最早由Park等提出[7]。UCONABC(usage control authorizations,obligations,conditions)模型是UCON的核心模型。該模型引入了“動態(tài)性”和“可變性”2個特征，更適應(yīng)開放的網(wǎng)絡(luò)環(huán)境[8]。在有限實名網(wǎng)絡(luò)環(huán)境中引入動態(tài)訪問控制模型的思想和方法，設(shè)計新的個人信息保護(hù)方案，將為互聯(lián)網(wǎng)企業(yè)在使用和保護(hù)網(wǎng)民個人信息的矛盾問題中起積極作用。

1個人信息保護(hù)中的動態(tài)性分析

有限實名網(wǎng)絡(luò)環(huán)境中，互聯(lián)網(wǎng)企業(yè)既有使用網(wǎng)民個人信息用于商業(yè)目的的需要，也有保護(hù)個人信息安全的義務(wù)。同時，不同的訪問主體具有不同的使用控制需求，不同類型的個人信息資源同樣具有差異化的安全保護(hù)需求。因此，如何有效保護(hù)個人信息面臨著多維度的動態(tài)性問題。

1) 需求的動態(tài)性

需求動態(tài)性主要指個人信息保護(hù)中涉及的多個權(quán)力主體在需求方面的變化特征以及不確定性。主要表現(xiàn)為：不同主體(企業(yè)、個人、監(jiān)管機(jī)構(gòu))使用需求和保護(hù)需求的不同，同一主體在不同環(huán)境下需求的差異性。此外，在有限實名環(huán)境中，不同的個人信息資源同樣具有不同的安全需求。

2) 權(quán)利的動態(tài)性

權(quán)利的動態(tài)性主要指不同權(quán)利主體在訪問個人信息時應(yīng)享有不同的權(quán)力。傳統(tǒng)訪問控制中，權(quán)利通常被一次賦予，主體長期擁有被賦予的權(quán)利。然而，主體長期擁有對特定個人信息資源的訪問權(quán)利會使得個人信息保護(hù)面臨相應(yīng)的安全風(fēng)險。因此，個人信息保護(hù)的安全性要求主體的訪問控制權(quán)應(yīng)設(shè)計為只在主體申請時才會被賦予。同時，這些權(quán)利在主體的訪問過程中仍然可以被控制，權(quán)利是可分解、細(xì)粒度的，能被及時撤銷，從而體現(xiàn)出靈活性和動態(tài)性。

3) 義務(wù)的動態(tài)性

義務(wù)動態(tài)性主要指主體獲取個人信息資源時應(yīng)盡的義務(wù)，它有別于傳統(tǒng)基于角色的訪問控制，不再單一地具有何種角色即擁有對應(yīng)的權(quán)力。例如，網(wǎng)絡(luò)環(huán)境中獲取信息資源時的廣告點擊、評論發(fā)表、問題回答等均為基于義務(wù)的訪問控制的具體表現(xiàn)。

2個人信息動態(tài)訪問控制方案

考慮到個人信息保護(hù)在需求、權(quán)力、義務(wù)等方面的動態(tài)性特征，在個人信息資源保護(hù)方案構(gòu)建中需設(shè)計適應(yīng)這些動態(tài)性特征的訪問控制模型和規(guī)則，而傳統(tǒng)的訪問控制(基于任務(wù)、基于角色的訪問控制方式等)在適應(yīng)動態(tài)需求方面存在局限[8]。UCON核心模型UCONABC主要基于授權(quán)、責(zé)任和條件3個關(guān)鍵的決策因素[9]，它結(jié)合主客體的屬性，支持動態(tài)授權(quán)決策方式，更加適應(yīng)動態(tài)開放的網(wǎng)絡(luò)環(huán)境，可以更好地適應(yīng)網(wǎng)絡(luò)環(huán)境中個人信息保護(hù)的動態(tài)性特征。

2.1個人信息訪問控制的相關(guān)分析

2.1.1主客體的界定

在UCON模型中，主客體的含義與傳統(tǒng)訪問控制一致，主體主要指提出請求和要求的實體，客體則主要是指被操作的對象。在《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》中，網(wǎng)絡(luò)個人信息保護(hù)主體主要包括網(wǎng)絡(luò)服務(wù)提供者、企事業(yè)單位、監(jiān)管部門等。據(jù)此，并結(jié)合個人信息資源使用控制實際，本文將網(wǎng)絡(luò)個人信息資源的訪問控制主體劃分為網(wǎng)民、互聯(lián)網(wǎng)企業(yè)、監(jiān)管部門和訪問者4種類型。個人信息保護(hù)中的客體相對明確，可以界定包括個人身份信息和行為信息在內(nèi)的個人信息資源。

2.1.2主客體的屬性分析

在訪問控制中，主客體的屬性主要用于描述訪問控制決策所需的主客體性質(zhì)或特征。在個人信息保護(hù)中，主體屬性即上文中網(wǎng)民、互聯(lián)網(wǎng)企業(yè)、監(jiān)管部門和訪問者用于訪問控制決策的屬性，客體屬性即個人信息資源的屬性。由于UCONABC模型沒有給出主客體屬性的通用界定，鑒于個人信息資源保護(hù)中授權(quán)的需要以及個人信息資源作為網(wǎng)絡(luò)資源的一個特殊子集的事實，本文將個人信息資源保護(hù)中的主體屬性劃分為權(quán)力屬性和非權(quán)力屬性，同時將權(quán)力屬性劃分為特征屬性(主要表現(xiàn)為具有穩(wěn)定性的屬性)、狀態(tài)屬性(主要表現(xiàn)為具有可變性的屬性)。參照都柏林核心元數(shù)據(jù)集對于資源屬性的描述，并結(jié)合相關(guān)文獻(xiàn)的研究[9]，本文將個人信息資源屬性劃分為共有屬性、特有屬性和擴(kuò)展屬性3種類別。共有屬性用以描述個人信息資源屬性中具有共性特征的屬性(如題名、創(chuàng)建者、所有者、相關(guān)權(quán)益者、來源等)。特有屬性用以描述個人信息資源在特殊要求情形下的個性化特征(如密級屬性)。擴(kuò)展屬性主要根據(jù)各部門、行業(yè)、子系統(tǒng)的訪問控制需求對個人信息資源設(shè)定其他屬性項。

2.1.3權(quán)利分析

文獻(xiàn)[9]從數(shù)字版權(quán)保護(hù)的角度對網(wǎng)絡(luò)資源的訪問控制權(quán)利進(jìn)行劃分，并將權(quán)利劃分為2個一級類別和4個二級類別。個人信息資源作為網(wǎng)絡(luò)資源的一個子集，具有文件類資源的基本特征，因此可以繼承文件類資源的通用屬性，如讀、寫、創(chuàng)建、刪除、修改、查找等權(quán)利。UCONABC模型中的權(quán)利與傳統(tǒng)訪問控制中的權(quán)利有所不同。傳統(tǒng)訪問控制中權(quán)利是獨立于主體的訪問控制行為，無論主體是否有訪問控制的實際操作，通常靜態(tài)地存儲在訪問控制矩陣中，在撤銷前被主體長期擁有。在UCONABC模型中，權(quán)利只在主體訪問客體時才會被授予，而不是被某個主體長期擁有。因此，UCONABC模型更符合個人信息資源保護(hù)的動態(tài)需求。本文兼顧個人信息資源使用控制中轉(zhuǎn)移授權(quán)的需要，將個人信息資源訪問控制中涉及的權(quán)利劃分為如表1所示。

表1　個人信息訪問控制中的權(quán)利劃分

2.2個人信息使用控制方案設(shè)計

2.2.1個人信息訪問控制模型

UCONABC模型作為UCON的核心模型，主要從授權(quán)(A：Authorizations)、責(zé)任(B：Obligations)和條件(C：Conditions)3個關(guān)鍵因素的角度實現(xiàn)使用決策[10]，同時兼顧主客體屬性的可變特征來完成對主體訪問客體資源的動態(tài)授權(quán)策略。基于UCONABC模型的個人信息訪問控制模型如圖1所示。

圖1　個人信息訪問控制模型

1) 授權(quán)是基于主客體屬性和所涉及的權(quán)利進(jìn)行的決策，傳統(tǒng)訪問控制通常是在訪問前對所涉及的權(quán)利一次性授予。UCONABC模型中，授權(quán)只在主體提出訪問申請時才進(jìn)行。同時，UCONABC模型中的授權(quán)可以根據(jù)主客體屬性、權(quán)利的細(xì)分程度實現(xiàn)更為細(xì)粒度化的權(quán)利控制。

2) 責(zé)任主要是指主體在訪問客體資源之前或訪問客體資源過程中，根據(jù)使用決策必須實施的具體操作行為[10]。例如，訪問者訪問個人信息資源時，需提供合同信息或特定的身份信息等。因此，通過過程責(zé)任的設(shè)定可以支持對個人信息訪問的過程控制，與傳統(tǒng)訪問控制相比，它更具時效性。

3) 條件主要用以描述系統(tǒng)因素，這些因素通常不能被特定的主體所控制，且因素的變化也不影響主客體的屬性。例如系統(tǒng)時間、系統(tǒng)負(fù)載以及系統(tǒng)的安全狀態(tài)等。

綜合應(yīng)用授權(quán)、條件、責(zé)任及主客體屬性進(jìn)行授權(quán)決策能使使用控制在權(quán)利上更加細(xì)粒度化，在控制上更具連續(xù)性。因此，基于UCONABC模型的個人信息使用控制方案更加適應(yīng)有限實名網(wǎng)絡(luò)環(huán)境下個人信息保護(hù)的需求。

2.2.2參量說明

1)S,O,R：S表示個人信息使用控制中的主體(subject)；O表示訪問控制中的客體(object)即個人信息資源；R表示個人信息資源使用控制中的權(quán)利(right)。

2)S1,S2,S3,S4：分別表示使用主體的4種類型(企業(yè)、個人、監(jiān)管者、訪問者)。

3)A,B,C：分別表示使用控制中的授權(quán)(authorizations)、責(zé)任(obligations)、條件(conditions)。

4)P={p1,p2,…,pk}：個人信息使用控制主體操作行為的集合。

2.2.3函數(shù)設(shè)計

1)ATT()：提取主客體屬性，即ATT(S)→S′,ATT(O)→O′。

2)Sq(s,o,r)：主體s申請對個人信息資源o的使用權(quán)利r。

3)getP(s,o,r)→P：提取主體s在對個人信息資源o申請使用權(quán)利r時的操作信息。

4)getB(s,o,r)→B′：提取主體s在對個人信息資源o申請使用權(quán)利r時的責(zé)任信息。

5)getC(s,o,r)→C′：提取主體s在對個人信息資源o申請使用權(quán)利r時的條件信息。

6)setS(s,o,r)→S′：主體s對個人信息資源o申請權(quán)利r時，系統(tǒng)設(shè)定的主體屬性要求。

7)setO(s,o,r)→O′：主體s在對個人信息資源o申請使用權(quán)利r時，系統(tǒng)設(shè)定的個人信息資源屬性要求。

8)setB(s,o,r)→B′：主體s在對個人信息資源o申請使用權(quán)利r時，系統(tǒng)設(shè)定的責(zé)任要求。

9)setC(s,o,r)→C′：主體s在對個人信息資源o申請使用權(quán)利r時，系統(tǒng)設(shè)定的條件要求。

10)A_checked(s,o,r)→{true,false}：檢查授權(quán)是否滿足的仲裁函數(shù)。

11)B_checked(s,o,r)→{true,false}：檢查責(zé)任是否滿足的仲裁函數(shù)。

12)C_checked(s,o,r)→{true,false}：檢查條件是否滿足的仲裁函數(shù)。

13)ATT_checked(s,o,r)→{true,false}：檢查屬性是否滿足的仲裁函數(shù)。

14)allowed(s,o,r)：授予主體s對個人信息資源o的使用權(quán)利r。

15)reject(s,o,r)：拒絕主體s對個人信息資源o使用權(quán)利r的申請。

16)stopped(s,o,r)：停止主體s對個人信息資源o的使用權(quán)利r。

17)update()：更新主客體的屬性。

2.3方案設(shè)計

UCONABC模型包含16個子模型，針對屬性變化可分為4種情形：屬性不可變、屬性訪問前更新、過程中更新、訪問后更新。根據(jù)授權(quán)、責(zé)任和條件這3個關(guān)鍵因素又可分為預(yù)先授權(quán)、過程授權(quán)、預(yù)先責(zé)任、過程責(zé)任、預(yù)先條件、過程條件6個類別[10]。不同的子模型可以單獨或組合應(yīng)用在不同的使用控制環(huán)境中。

根據(jù)個人信息保護(hù)的需求，本文主要給出基于UCONABC模型屬性可變情形下的預(yù)先授權(quán)子模型、預(yù)先責(zé)任子模型和預(yù)先條件子模型的形式化描述。

2.3.1基于預(yù)先授權(quán)的個人信息保護(hù)方案

//“?”表示必要條件；“?”表示充分條件

//權(quán)利申請

Sq(s,o,r) //主體s申請對個人信息資源o的權(quán)限r(nóng)；

//屬性判斷；

ATT_checked(s,o,r)?setS(s,o,r)?ATT(s)

//“系統(tǒng)設(shè)定的主體屬性要求是主體s屬性的子集”這一條件是屬性仲裁函數(shù)取值true的必要條件；

ATT_checked(s,o,r)?setO(s,o,r)?ATT(o)//“系統(tǒng)設(shè)定的客體屬性要求是個人信息資源o屬性的子集”這一條件是屬性仲裁函數(shù)取值true的必要條件；

A_checked(s,o,r)?ATT_checked(s,o,r) //屬性仲裁函數(shù)取值true是授權(quán)函數(shù)取值true的必要條件；

allowed(s,o,r)?A_checked(s,o,r) //授權(quán)仲裁函數(shù)取值true是授權(quán)主體相應(yīng)權(quán)利的必要條件；

//屬性更新

update(s)?allowed(s,o,r)

update(o)?allowed(s,o,r)

//授權(quán)是更新主客體屬性的充分條件

getP(s,o,r)

//獲取主體s得到授權(quán)后的相關(guān)操作行為，并以此作為屬性更新的觸發(fā)器；

update(s) //更新主體s屬性

update(o)//更新個人信息資源o的屬性

//停止授權(quán)

stop(s,o,r)?A_checked(s,o,r) //授權(quán)仲裁函數(shù)是否為停止主體s訪問個人信息資源o的權(quán)利r的充分條件。

2.3.2基于預(yù)先責(zé)任的個人信息保護(hù)方案

預(yù)先責(zé)任與預(yù)先授權(quán)的不同之處在于將基于主客體屬性的仲裁替換為基于主體責(zé)任的仲裁。接下來給出責(zé)任判斷的形式化描述。

//責(zé)任判斷

B_checked(s,o,r)?setB(s,o,r)?getB(s,o,r)

//“系統(tǒng)設(shè)定的主體責(zé)任要求是主體s責(zé)任的子集”這一條件是責(zé)任仲裁函數(shù)取值true的必要條件；

allowed(s,o,r)?B_checked(s,o,r) //責(zé)任仲裁函數(shù)取值true是授予主體s相應(yīng)權(quán)利的必要條件。

2.3.3基于預(yù)先條件的個人信息保護(hù)方案

預(yù)先條件的仲裁主要是基于系統(tǒng)條件的仲裁。在此給出條件判斷的形式化描述。

//條件判斷

C_checked(s,o,r)?setC(s,o,r)?getC(s,o,r)

//“系統(tǒng)設(shè)定的條件要求是系統(tǒng)現(xiàn)有條件的子集”這一條件是條件仲裁函數(shù)取值true的必要條件；

allowed(s,o,r)?C_checked(s,o,r) //責(zé)任仲裁函數(shù)取值true是授予主體s相應(yīng)權(quán)利的必要條件。

此外，在預(yù)先決策的過程中，可綜合使用基于屬性、責(zé)任和條件的授權(quán)決策，從而提高個人信息資源保護(hù)的靈活性和有效性。同時，基于主客體和權(quán)利的細(xì)分，根據(jù)使用控制環(huán)境的需要建立主客體屬性與權(quán)利的映射關(guān)系，對個人信息資源的使用控制授權(quán)實現(xiàn)更加細(xì)粒度的控制。

3結(jié)束語

UCONABC模型在“連續(xù)性”和“可變性”方面較傳統(tǒng)訪問控制有明顯的優(yōu)勢，對有限實名網(wǎng)絡(luò)環(huán)境中個人信息保護(hù)的動態(tài)性要求更具有效性。基于UCONABC模型的個人信息保護(hù)方案通過具有動態(tài)性特征的授權(quán)決策方案實現(xiàn)預(yù)先控制，支持過程決策。同時，該方法基于屬性、責(zé)任和條件進(jìn)行多維度的仲裁，支持對個人信息資源更加靈活和細(xì)粒度的使用控制。因此，將UCONABC模型的基本方法引入個人信息保護(hù)中，可以為日益突出的個人信息安全問題提供新的思路和建議。

參考文獻(xiàn)：

[1]石佳友.網(wǎng)絡(luò)環(huán)境下的個人信息保護(hù)立法[J].蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2012(6):85-96.

[2]齊愛民.論個人信息保護(hù)基本策略的政府選擇[J].蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版),2007(4):32-36.

[3]王宇.社交網(wǎng)絡(luò)中用戶個人信息安全保護(hù)研究[J].圖書館學(xué)研究,2014(20):178-178.

[4]佟大柱.網(wǎng)絡(luò)環(huán)境下的個人信息安全與保護(hù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2012(8):18-20.

[5]郭玉梅.個人信息的網(wǎng)絡(luò)安全保護(hù)[J].軟件工程師,2012(5):19-21.

[6]史衛(wèi)民.大數(shù)據(jù)時代個人信息保護(hù)的現(xiàn)實困境與路徑選擇[J].情報雜志,2013(12):155-159.

[7]PARK J,SANDHU R.The UCON ABC usage control model[J].Acm Transactions on Information & System Security,2002(7):128-174.

[8]李亞平,周偉良.UCONABC模型中的委托授權(quán)方案研究[J].中國科學(xué)技術(shù)大學(xué)學(xué)報(自然科學(xué)版),2012,42(2):154-160.

[9]李亞平.基于UCON過程控制模型的DRM授權(quán)規(guī)則設(shè)計[J].長江大學(xué)學(xué)報(自然科學(xué)版),2014(22):31-35.

[10]王鳳英.訪問控制原理與實踐[M].北京:北京郵電大學(xué)出版社，2010.

(責(zé)任編輯楊黎麗)

Research on Protection Scheme for Personal Information Based on UCONABCModel

LI Ya-ping1, 2

(1.School of Management, Hefei University of Technology, Hefei 230009, China;2.Anhui Economic Management Institute, Hefei 230059, China)

Abstract:With the continuous improvement of the degree of network real name, personal information security is becoming more and more prominent. In view of the dynamic nature of the requirements, rights and obligations in the protection of personal information, the traditional access control methods have limitations. A protection scheme with dynamic characteristics was designed by introducing the method of UCONABCmodel based on the division of the subject and the right of the personal information resources and the key factors, such as authorization, responsibility, obligation, etc, which provides new view for solving the problem of personal information security.

Key words:usage control authorizations, obligations, conditions (UCON); personal information; information security; dynamic

文章編號：1674-8425(2016)04-0102-06

中圖分類號：TP391

文獻(xiàn)標(biāo)識碼：A

doi:10.3969/j.issn.1674-8425(z).2016.04.018

作者簡介：李亞平(1982—)，安徽長豐人，講師，博士研究生，主要從事信息管理與信息系統(tǒng)研究。

基金項目：國家社科基金資助項目(13BTQ048)；安徽省2013年高校省級優(yōu)秀青年人才基金重點項目(2013SQRW115ZD)

收稿日期：2015-11-16

引用格式：李亞平.應(yīng)用UCONABC模型的個人信息保護(hù)方案[J].重慶理工大學(xué)學(xué)報(自然科學(xué))，2016(4):102-107.

Citation format：LI Ya-ping.Research on Protection Scheme for Personal Information Based on UCONABCModel[J].Journal of Chongqing University of Technology(Natural Science)，2016(4):102-107.