第
28
卷第
8
期
2008
年
8
月
s
n
0
4EL
用
-m
应
JV
机句
算盯
叶叶时
飞
p
m
o
pu
Vo
l.
28
No.8
Aug.
2008
文章编号:
1001 - 9081
(2008)
08
一
1931
一
05
普适计算环境下的动态访问控制模型
张立臣,王小明
(陕西师范大学计算机科学学院,西安
710062)
(zhanglichen@
snnu.
edu.
cn)
摘
要:普适计算环境下,主体、客体的状态和上下文信息对授权结果具有决定性影响。针对已有授权模型由于
主体、客体状态和上下文信息的缺失而导致模型不适合普适计算环境的问题,提出了一种基于主体、客体的状态和环
境上下文信息对主体进行动态授权的访问控制模型,论述了模型的构成元素、体系结构和授权算法。与已有模型相
比新模型采用统一的模式描述上下文信息对授权的影响,既保证了模型的简单性,又增强了模型的表达能力,灵适合
于普适计算环境。
关键词:上下文感知;访问控制;授权模型;普适计算
中图分类号:
T
P3
09
文献标志码
:A
Dynamic access control model for pervasive computing
ZHANG
Li-chen
, W
ANG
Xiao-ming
(School 01 Computer Science,
S
归
α
nxi
Normal University,
Xi'
an
Sh
αα
nxi
710062
, China)
Abstract:
The state of subjects/objects and the current context have the decisive effect on the authorization result in
pervasive computing environmen
t. Focusing on the problem that current authorization models use simple states of
subjectsl
objects and the context information leads to failure in pervasive computing environment, a novel dynamic access control model
based on the state of subjects/objects and the current context
was
proposed. The main elements, the architecture and the
authorization algorithm of the model were described. Compared
to
the existing authorization models, the unified scheme of the
context information proposed
to
affect the authorization result enhances the expression ability of the model, and makes the
model simple as well. The model is more suitable for pervasive computing environmen
t.
Key
words:
context
aw
缸
'eness;
access control; authorization model; pervasive computing
0
引言
普适计算
(pervasive
comp
四
ng)
是
Mark
Weiser
1991
年提
出的计算模式
[1]
扩展了传统计算的界限,是信息空间和物
理空间的融合,其主要实现目标是使用户可以随时随地享用
计算资源
[2]
。在普适计算环境下,主体和客体的状态以及环
境上下文信息都是动态变化的,普适计算上下文信息具有信
息空间和物理空间的特征[幻,对授权结果具有决定性的影
响。这要求普适访问控制系统能基于上下文信息实时地对主
体进行动态授权
[2
-4]
。
学术界和工业界公认
RBAC96
系列模型
[5]
相对而言比较
适合普适访问控制,目前提出的
RBAC
扩展模型主要体现在
两个方面的扩展:增加与主体、客体的时空属性相关的授权特
性,或者增加与环境上下文信息相关的授权特性。文献
[
6
,
7J
通过对
RBAC
模型的主体、角色、客体、权限等概念进
行时态扩展,增加时间约束谓词,定义与时间有关的一些函
数,提出了以时态对象为基本元素的
TRBAC
模型,实现了主
体访问客体的时间有效性约束。
Be
此
ino[8]
提出了
GEO-RBAC
模型,角色包含一定的空间覆盖区域,主体的当前物理位置只
有被角色的覆盖区域所包含时才能激活该角色,实现了基于
主体的物理位置进行授权的空间特性约束。
YU[9]
提出了基
于主体的时间、空间位置的授权模型,解决了当前主体请求进
入处于该位置的空间授权问题。
Zhang[
叫根据收集到的环境
上下文信息动态改变主体所激活的角色以及角色所激活的权
限,提出了基于环境上下文信息的
DRBAC
模型。目前提出
的访问控制模型都分别对
RBAC
模型进行了扩展,增强
T
RBAC
模型的表达能力,但应用于普适计算环境主要有两方
面的不足:一是没有综合考虑主体、客体的状态信息以及上下
文信息对授权的决定性影响;二是通过定义复杂的环境角色
使模型支持环境上下文,环境角色的复杂性使得模型的构建
较为复杂,实用性不强。在已有的访问控制模型基础上,本文
提出了一种新的普适计算环境下的基于主体、客体状态的上
下文敏感的动态访问控制模型(
Context-aware Dynamic Access
Control Model
,
CDACM)
。模型对权限类型进行了分类,同时
采用统一的模式详细描述了主体在请求资源时必须满足的与
主客体的状态以及上下文信息相关的约束条件,突出了上下
文信息对授权的影响,最后描述了实现模型的体系结构和授
权算法。
1
模型元素
CDACM
模型中的权限包括主体对客体的操作权限和主
体与主体之间的交互权限。主体只有在满足一定的约束条件
收稿日期
:2008
-:-03
-10;
修回日期
:2008
-05
-04
。
基金项目:国家自然科学基金资助项目(
60773224
)
;教育部科学技术研究重点项目
(107106)
;陕西省自然科学基金资助项目
(2006
凹
7)
。
作者简介:张立臣(1
979
- )
,男,河北邢台人,助教,博士研究生,主要研究方向:系统安全、访问控制;
王小明(1
964
-
),男,甘肃天水人,
教授,博士生导师,主要研究方向:系统安全、网络安全。