基于PAT的使用控制模型的形式化规约与安全性分析资源-CSDN文库

102 浏览量 2021-01-20 05:41:43 上传评论收藏 342KB PDF 举报

资源推荐

资源详情

资源评论

2016 年 3 月 Chinese Journal of Network and Information Security March 2016

00038-1

第 2 卷第 3 期

网络与信息安全学报

Vol.2

No.3

基于 PAT 的使用控制模型的形式化规约与安全性分析

周从华，陈伟鹤，刘志锋

（江苏大学计算机科学与通信工程学院，江苏镇江 212013）

摘要：使用控制模型 UCON 是高度分布式、网络化的异构开放式计算环境下实现数字资源保护的新型

访问控制模型。首先，利用态式时间进程代数 TCSP#建立了每个 UCON 核模型的形式化规约，以及针

对一般化 UCON 的组合规约机制。其次，提出了各种基于单会话的进程组合机制，实现了复杂并发会话、

时间控制与非确定性的形式化规范，从而使组合进程的可达空间即为所求空间。最后，提出了基于可达

空间的 UCON 安全性分析方法，以及基于进程代数等价的控制规则冲突性分析方法。所有的工作都已在

PAT 上实现，表明所提方法是切实可行的，同时也为 UCON 的形式化规范与安全性验证寻找到了一个合

适的工具。

关键词：UCON；形式化规约；安全性分析；模型检测

中图分类号：TP309.7

文献标识码：A

doi: 10.11959/j.issn.2096-109x.2016.00038

Formal specification and security verification of

usage control model based on PAT

ZHOU Cong-hua, CHEN Wei-he, LIU Zhi-feng

(School of Computer Science and Telecommunication Engineering, Jiangsu University, Zhenjiang 212013, China)

Abstract: Usage control (UCON) is an access control model to enforce digital resources protection in highly dis-

tributed, heterogeneous network computing environment. Firstly, each core model of UCON was specified formally

with TCSP#, and a combination specification mechanism was proposed for general UCON. Secondly, as the basis of

the security analysis, the concepts and calculation method of the reachable space were given. Various combination

mechanisms of processes based on single-session was presented to achieve formal specifications of complex con-

current sessions, timings and nondeterminism. Then the reachable space of combined processes was the desired

space. Finally, the security analysis method based on the reachable space and the conflict analysis of access control

policies based on the equivalent checking in process algebras were proposed for UCON model. All the proposed

work had been formal checked in PAT. The experiment result shows that the proposed approaches are feasible, and

PAT is a really great tool for the systematic formal specification and security analysis of UCON.

Key words: UCON, formal specification, security analysis, model checking

1 引言

现今社会，信息技术持续的创新促使各种移

动设备如智能手环、移动电话、PAD 等成为人们

日常生活不可或缺的信息产品，进而使对数字信

息的访问变得无处不在，访问环境也从封闭系统

收稿日期：2016-02-12；修回日期：2016-03-05。通信作者：周从华，chzhou@ujs.edu.cn

基金项目：国家自然科学基金资助项目（No.61300228）

Foundation Item: The National Natural Science Foundation of China (No.61300228)

第 3 期周从华等：基于 PAT 的使用控制模型的形式化规约与安全性分析 ·53·

转变为分布式、网络化的计算环境。在这种无处

不在的计算环境下，传统的访问控制，如自主访

问控制 DAC

[1]

、强制访问控制 MAC

[1]

与角色访问

控制 RBAC

[2,3]

已经不再适用。Park 和 Sandhu

[4]

在 2002 年首次提出了 UCON 模型，目的在于实现

无处不在的开放式计算环境下对信息的合法访问。

UCON 模型区别于传统访问控制模型的主要

特征在于可变属性与连续的访问控制。UCON 定

义了授权、义务和条件 3 个访问控制决策因素，

必须当 3 个因素都被满足时访问才能得到许可。

在 UCON 中，决策因素并不仅仅在访问执行之前

被检测，在访问的过程中亦会被重复检测，只有

在访问过程中主客体属性的变异和运行环境的变

化没有导致某些决策因素不被满足时，访问才可

以继续，否则撤销本次访问。UCON 模型不仅包

含了 DAC、MAC 和 RBAC，还包含了数字版权

管理与信任管理等，涵盖了现代电子商务和信息

系统面临的安全和隐私 2 个重要的信息安全问

题。因此，UCON 模型为无处不在的计算环境下

信息的合法访问提供了一种新方法，被称作下一

代访问控制模型。

一个正确的访问控制策略首先应该为用户提

供充分的许可来执行他们的操作并获取合法信

息，同时应该阻止用户恶意的行为。为了保证控

制策略的正确性，控制策略的形式化规约与安全

验证必不可少。规约可以帮助人们识别可能的系

统行为，验证可以帮助人们验证安全性问题，如

某个主体最终能否获得某个客体的访问权限。

UCON 支持可变属性和连续决策，这为 UCON 的

形式化规约与安全性验证带来了很大挑战。本文

的研究动机主要在于应对此挑战，从规约到验证

提供一个系统的解决方案，同时寻求现有成熟工

具的支持，使方案变得切实可行。

目前，已有的 UCON 形式化规约方式可以分

为基于逻辑的形式化规约

[5～7]

与基于进程代数的

形式化规约

[8,9]

。文献[10]对所有的规约形式从表

达力方面进行了系统的比较，认为目前已有的规

约形式在表达力上有很大欠缺，特别是在并发使

用会话之间的交互、时间控制与非确定性 3 个方

面没有得到充分的表达。在 UCON 的安全性验证

上，目前存在的工作比较少。文献[11]证明了在

属性值域是有限的前提下，仅仅考虑授权因素的

UCON 子模型 UCON

的安全性是可判定的，但

是并没有给出具体的方法来计算可达空间。文献

[12]利用模型检测工具 SPIN

[13]

对 UCON 在应用

层的并发执行进行了建模与验证，其考虑的并发

场景仅仅限于主体对客体的单次访问。

PAT

[14]

是目前先进的模型检测工具，主要优

点包括：1) PAT 的建模语言 TCSP#

[15]

集成了高层

规约和程序级规约，支持各种组合操作、实时性

与自定义数据结构，具有表达力强、建模直观与

便捷等特性；2) PAT 支持多种性质的验证，比如

死锁、可达性、线性时态逻辑 LTL

[16]

以及精化。

鉴于 PAT 是一款出色的模型检测工具，本文的主

要研究动机在于基于 PAT 平台，从访问控制策略

的规约到安全性验证形成一套系统的方法，具体

工作包括以下几个方面：首先，为每个 UCON 核

模型建立 TCSP#规范，为一般化 UCON 建立规范

组合机制，使对任意 UCON 按照这套机制可完整

正确地建立其 TCSP#规范；其次，提出了各种基

于单使用会话的进程组合机制，建立了并发使用

会话、时间控制与非确定性的形式化规范，以此

实现了任意时刻任意主体对任意客体发起任意访

问请求的形式化规范以及可达空间的计算；最后，

提出了基于可达空间的简单安全性、简单可用性

等属性的分析方法，以及基于进程代数等价的控

制策略冲突性分析方法。

2 使用控制 UCON

UCON 支持丰富、细粒度和持续的数字资源的

访问控制。对于许多应用如 GRID、Web Service、

云计算、无线自组网等 UCON 均提供了可行的、彻

底的解决方案。UCON 共由 6 个部分组成：主体及

其属性、客体及其属性、权限、授权、义务和条件，

其中，授权、义务和条件是访问许可决策模块。

主体是资源访问的请求者，能够激活访问，同

时会采取某些事件来完成访问。主体主要通过其属

性来定义和表示，主体的属性是指那些能够进行决

策的性质或者能力。客体是被主体执行访问权限的

实体，客体的属性包括那些能够进行决策的性质或

者能力。权限与传统访问控制中的访问权限一致，

即表示那些能够被主客体利用的使用许可。

00038-2

·54· 网络与信息安全学报第 2 卷

授权是定义在主客体属性上的谓词，是关于

主客体属性的约束（如主体的角色必须为主治医

生），谓词必须为真访问请求才可能得到许可。实

际上从传统的访问控制系统开始，授权已经获得

了广泛的应用。只不过在 UCON 中授权谓词可能

在访问之前、访问的过程中进行评估，而传统访

问控制只支持访问之前的评估。

义务是主体在访问客体之前、过程中必须完

成的事件（如用户在注册前必须签署遵守某种约

定的协议），增强了 UCON 模型的表达力。条件

是对系统运行环境的约束，与主客体属性无关（如

对客体的访问时间只能限于白天工作时间）。条件

谓词的评估可以在访问实施之前或者在访问实施

过程中执行。需要特别注意的是条件检测不能改

变主体、客体和运行环境的属性。

在 UCON 中单次使用会话的基本过程可以总

结如下。开始时主体 s 通过执行事件 tryaccess.s.o.r

发出对客体 o 执行权限为 r 的访问请求。系统评估

授权谓词的真值，如果值为假，则立即通过执行事

件 denyaccess.s.o.r 来拒绝此次访问请求，如果值为

真，则执行事件 permitaccess.s.o.r 来同意此次访问

请求，并继续执行事件 preupdate.s.o.r 来更新属性

的值，执行事件 doaccess.s.o.r 完成访问请求，系

统也进入在线使用控制的阶段。在访问过程中，

主客体属性可能需要周期性更新，执行事件

onupdate.s.o.r 来完成该更新过程。在访问过程中，

如果授权、条件和义务有一个失效，则系统立即

通过执行事件 revokeaccss.s.o.r 来终止此次访问。

在访问过程中，如果主体主动终止访问过程，可

通过执行事件 endaccess.s.o.r 来实现。无论是主动

终止还是失效终止，终止后属性的值都可能被更

新，这种更新通过事件 postupdate.s.o.r 来执行。

需要注意的是，主动终止与失效终止所引起的属

性的变化可能会有所不同。

3 UCON 的 TCSP#规范

依据无处不在计算环境下访问控制的执行流

程，可以定义如下 9 个原子事件。

1) tryaccess.s.o.r：主体 s 对客体 o 产生一个

权限为 r 的访问请求。

2) permitaccess.s.o.r：访问请求 tryaccess.s.o.r

得到系统许可。

3) denyaccess.s.o.r：访问请求 tryaccess.s.o.r

被系统拒绝。

4) doaccess.s.o.r：主体 s 对客体 o 执行权限为

r 的访问。

5) revokeaccess.s.o.r：系统撤销主体 s 对客体

o 正在执行的权限为 r 的访问。

6) endaccess.s.o.r：主体 s 主动结束对客体 o

的权限为 r 的访问。

7) preupdate.s.o.r：在访问被许可前对主客体

的属性进行更新，或者在许可被拒绝后对主客体

的属性进行更新。

8) onupdate.s.o.r：在访问的过程中由系统来

更新主客体的属性，这种更新操作在访问过程中

可以重复进行。

9) postupdate.s.o.r：在访问结束后由系统更新

主客体的属性。

3.1 授权核模型的规约

依据属性更新的时机不同，对 UCON 中的每

一个决策构件定义了多种核模型，本节主要讨论

授权核模型的 TCSP#规范。在授权核模型中，

使用控制的决策依赖于主客体的属性值。依据

属性更新操作的时间点，即执行访问前、执行

访问过程中和访问结束后 3 个阶段，共有 8 个

核授权模型。

1) preA0：由授权决定的使用控制决策，决

策判定发生在访问之前，且在访问之前、访问过

程中、访问之后没有属性更新操作。

2) preA1：由授权决定的使用控制决策，决

策判定发生在访问之前，且在执行访问操作前完

成主客体相关属性的更新。

3) preA2：由授权决定的使用控制决策，决

策判定发生在访问之前，且在执行访问的过程中

完成主客体相关属性的更新。

4) preA3：由授权决定的使用控制决策，决

策判定发生在访问之前，且在访问结束后完成主

客体相关属性的更新。

5) onA0：由授权决定的使用控制决策，决策

判定发生在访问过程中，且在访问之前、访问过

程中、访问之后没有属性更新操作。

6) onA1：由授权决定的使用控制决策，决策

00038-3

剩余15页未读，继续阅读

评论收藏

内容反馈

weixin_38725260

粉丝: 2
资源: 909

基于PAT的使用控制模型的形式化规约与安全性分析

基于物理资源模型的物联网软件体系结构设计与形式化验证.docx

论文研究-一种新的形式化模型对安全认证协议的分析.pdf

哈希PAT700总有机碳分析仪使用说明书

基于PAT树的符号执行工具的设计与实现.doc

基于层次组合抽象的智能系统形式化验证.pdf

基于PAT树的符号执行工具的设计与实现(提交图书馆).doc

论文研究-基于角色的访问控制模型安全性分析研究综述.pdf

多变量分析和在线PAT系统平台.mp4

热管分析工具箱 (H-PAT)附matlab代码.zip

PAT: Process Analysis Toolkit 3.5.1 (x86)

配置PAT.docx

Patran_Pat301_Course_Outline_chinese20051.doc

使用在线分析设备实现PAT的目标.pdf

PAT答案_1001至1049

PATtest_机器学习_pattest_

PAT Basic Level 题解

第四课 2021年3月29日 数据分析入门--pat 31

TS流结构分析(PAT和PMT)

安装PatB操作步骤

从TS流里面提取PAT表格分析源代码

TS分析工具，可以分析出PSI里面的pat，pmt，cat，nat等表

71、基于端口的PAT转换[实验]-1000215

个性化旅游推荐系统——PAT验证

PAT 非常著名的软件验证程序

CAD点pat文件制作

ts流中PAT表与PMT表详解

CAD填充图案（三百多种）-.pat文件

PAT——一种高性能软件验证工具

最新资源

第四课 2021年3月29日数据分析入门--pat 31