授权开心人人网

技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展1技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展马莉,钟勇,霍颖瑜目录1研究说明.
32社交网络访问控制模型RuleSN.
42.
1RuleSN模型主要组成.
42.
1.
1主体.
42.
1.
2客体.
42.
1.
3关系.
42.
1.
4操作.
42.
1.
5属性集.
52.
1.
6授权策略集.
52.
2形式化定义.
52.
3授权规范和验证策略.
62.
3.
1授权.
62.
3.
2实体授权策略.
62.
3.
3授权验证过程.
62.
4社交网络访问控制模型RuleSN授权框架72.
4.
1RuleSN授权规则语言语法.
72.
4.
2RuleSN授权规则语言语义.
72.
5RuleSN模型的实现.
82.
6应用示例.
82.
6.
1系统授权策略.
92.
6.
2Terry的主体授权策略92.
6.
3Tom的主体授权策略.
92.
6.
4Alice的主体授权策略92.
6.
5Tom的客体授权策略.
102.
6.
6Tom与Alice的关系RTom-Alice授权策略102.
6.
7Tom与Terry的关系RTom-Terry授权策略.
102.
6.
8授权过程示例.
103.
多方授权模型.
103.
1多方授权模型国内外现状.
103.
2多方授权模型.
113.
2.
1RuleSN模型中的多方授权问题113.
2.
2主客体关系性质.
113.
2.
3授权策略.
123.
2.
3.
1Datalog语言123.
2.
3.
2w-Datalog程序语义和评价(evaluation)123.
2.
3.
3授权规则.
133.
2.
3.
4逻辑许可证.
143.
3模型实现.
153.
4表达力示例.
154合理使用模型.
154.
1合理使用模型国内外现状.
15技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展24.
2MRuleSN介绍.
164.
3合理使用模型.
164.
3应用和示例.
185总结.
196参考文献.
19技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展3本技术报告重点探讨基于规则的社交网络访问控制模型RuleSN(RuleBasedSocialNetworkAccessControlModel),该模型是我们将数字权利描述语言LucScript(Logic-basedUsageControlLicenseScript)应用在社交网络访问控制中,产生的新型访问控制模型,该模型在LucScript语法的基础上,针对社交网络的访问授权,内容传播、复制和修改所引发的授权和隐私保护问题,多方拥有数据引起的多方授权等问题提出的.
LucScript数字权利描述语言及相关研究发布在技术报告1-12.
1研究说明近年来,社交网络服务(SocialNetworkService)发展迅速,正在成为互联网上最为流行的应用服务之一,如开心网、人人网、微博、Facebook、Twitter、Linkedin,YouTube等都吸引了数以亿计的用户,社交网络成为众多用户保持联系,分享信息的平台.
社交网络数据的海量性和社交网络独特的系统结构,使传统的访问控制模型难以应用在社交网络中,主要体现在:1)社交网络的权限管理实现机制是分布的,与传统的以参考监视器为核心的访问集中式控制模型不同,社交网络的高度分散性,使集中式访问控制模型难以实施;2)社交网络数据多样性,如图片、视频等,需求的复杂性,这要求访问控制有足够的表达力和灵活性;3)社交网络的权限管理模式应是自主的,用户能自我管理隐私数据和机密信息,设置相应的访问控制策略4)社交网络访问控制模型应是动态的,允许访问控制策略实时变化,适应社交网络的高度动态性.
5)由于社交网络中个人信息的庞大性和多样性,为适应个人隐私保护的各类需要,社交网络的访问控制管理应是细粒度的[2].
随着社交网络用户的增多,通过社交网站发布的个人信息呈海量性增长,社交网络数据被非法使用和个人隐私泄漏的现象层出不穷.
因而,近年来对社交网络用户信息隐私保护的研究在学术界受到广泛关注,研究者纷纷提出各种社交网络访问控制模型,如从基于角色的访问控制等传统模型、语义、多方授权、信任度、数据粒度、拓扑结构、规则、关系等方面对社交网络访问控制模型进行了研究.
社交网络访问控制的高度分散性、动态性以及授权的细粒度等,都要求社交网络访问模型具有较强的访问控制表达能力,在现有的研究中,采用传统模型的方法多局限于静态访问控制模式,较难满足社交网络访问控制表达力和动态性的要求;Wilfred提出的访问控制模型采用用户间信任等级决定请求者是否允许访问数据,表达力较有有限;Carminati等人提出的基于规则的模型通过对用户关系的类型(Type)、深度(Depth)和可信级(Trustlevel)进行访问授权,访问授权以规则的形式表达,其授权表达力仍局限在用户之间的这三类关系,模型也存在效率低,难以在大用户量的社交网络中实施等问题;Zhao等的访问控制模型建立在对用户关系类型进一步细分的基础上;Simpson等的模型将用户属性加入访问控制当中,并采用形式化规格语言Z来进行授权表达,其表达能力有较大扩展.
上述模型的访问控制均建立在用户之间的关系,未考虑到用户与资源以及资源与资源之间的关系对访问控制的影响.
Cheng等的模型将访问授权由用户之间的关系、用户与资源之间的关系以及资源与资源的关系确定,并将正则表达式引入权限表达,该模型具有较强的表达力,其缺点在于访问授权仍是以各类关系为主,未考虑用户以及资源属性对访问控制的影响,该模型较为复杂,可行性不强,也未能将用户、资源及其属性建立成统一的社交网络形式化模型.
针对上述问题,本文提出社交网络访问控制模型RuleSN,该模型的主要创新点在于:(1)模型结合用户之间的关系、用户与资源的关系、资源与资源之间的关系以及基于属性的访问控制,具有较强的授权表达表达力.
(2)模型采用基于Datalog规则的逻辑授权语言,能完整地表达用户之间的关系、用户与资源的关系、资源与资源之间的关系以及用户和资源的属性,具有较强的灵活性和实现的可行性.
本文首先提出社交网络访问控制模型RuleSN,对模型的定义和授权机制进行了说明;然后对模型的授权规则集及其组成进行技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展4了说明;最后对模型的应用进行了示例和说明.
2社交网络访问控制模型RuleSN2.
1RuleSN模型主要组成2.
1.
1主体主体包括用户、用户群和系统群.
用户可加入用户群成为该群的成员,本文将社交网络自身看作一个系统群,默认所有用户和用户群均是该系统群的成员,用户群之间不再有包含关系,因而主体之间可形成如图1所示的主体层次.
图1主体层次示例主体具有主体属性,如主体的类型、用户名等.
2.
1.
2客体客体包括内容和空间.
内容是独立存在的客体,如网络链接、文章、博客、评论、注释以及各类图片、视频、音频等都属于内容客体.
通过从属关系,内容之间可形成如图2的内容层次,对文章A的评论与文章A之间存在直接从属关系,该评论与对该评论的回复也存在直接从属关系,形成图1的内容层次.
图2内容层次示例空间用于存放内容,空间里的内容属该空间所有,所有内容均应属于某空间,空间可包含子空间,形成如图3的空间层次.
图3空间层次示例所有内容均存放在空间内,如果将内容层次的最高点与其存放空间相连,则可形成如图4的层次,称之为客体层次.
图4客体层次示例和主体一样,客体也具有属性,如客体的类型、创建时间等.
2.
1.
3关系关系分为两类,一类是用户与用户之间的关系,如朋友关系等;另一类是主体和客体之间的关系,如拥有关系、标注关系、共有关系等.
图5关系网络图示例和主客体一样,关系也具有属性,如关系的类型(Type)、信任值(Trust)等.
称主体、客体和关系为模型的实体.
技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展52.
1.
4操作操作是主体对实体的行为,如改变主体属性、设立关系、发表文章、撰写评论等.
本模型通过主体对实体属性的行为来实现主体对实体的操作.
2.
1.
5属性集属性是实体具有的特性,主体、客体和关系实体均具有属性,单个实体的属性形成属性集.
2.
1.
6授权策略集授权策略是主体操作实体的访问控制策略,授权策略由访问控制规则集组成,单个实体的访问控制规则集形成该实体的授权策略集.
授权策略集包括授权规则集和过滤规则集.
2.
2形式化定义如下拓展文献[17]对层次(Hierarchy)的定义:定义1.
(层次)层次是四元组(Mi,Ma,M,≤),其中:(1)Mi、Ma和M是互不相交的集合,即Mi∩Ma=Mi∩M=Ma∩M=(2)≤是集合(Mi∪Ma∪M)上的偏序关系,其中对任意m∈Mi是集合(Mi∪Ma∪M)中最小的,m∈Mi是最小的当且仅当在层次中没有比m更小的元素,即n≤mn=m;对任意m∈Ma是集合(Mi∪Ma∪M)中最大的,m∈Ma是最大的当且仅当在层次中没有比m更大的元素,即m≤nn=m.
定义2.
(主体层次)主体层次UGH是层次四元组(U,Gsys,Guser,≤UG),其中U是用户标识符集,Gsys是系统群标识符集,Guser是用户群标识符集,≤UG是偏序关系,其中:(1)对任意的u∈U,g∈Guser,u≤UGg当且仅当用户u是用户群Guser的成员.
(2)对任意的v∈U∪Guser,sys∈Gsys,均有v≤UGsys.
定义3.
(客体层次)客体层次CSH是层次四元组(,,C∪SP,≤CS),其中C是内容集,SP是空间集,≤CS是偏序关系,其中:(1)对任意的sp∈SP,sp'∈SP,sp≤CSsp'当且仅当sp是sp'的子空间.
(2)对任意的c∈C,c'∈C,c≤CSc'当且仅当c是c'的直接从属内容.
(3)对任意的c∈C,sp∈SP,c≤CSsp当且仅当内容c存放在空间sp中且c是其所在内容层次的最高点.
定义4.
(关系图)关系图R_Graph是四元组(V,E,∑,R),其中:(1)V=S∪O是关系图上顶点的有限集,S和O分别是主体集和客体集.
(2)∑=∑u_u∪∑s_o={t1,t2,t3,…,tn}代表关系图中的关系类型集,ti∈∑(1≤i≤n)是关系类型,关系类型集分两大类别:U_U和S_O,U_U是用户与用户的关系类型,S_O是主体和客体的关系类型,其中:U_U关系:U*∑u_u*U.
S_O关系:S*∑s_o*O.
(3)E=Eu_u∪Es_o代表关系图中的边集,其中Eu_uU*∑u_u*U,Es_oS*∑s_o*O.
(4)R是关系实体集,对关系图中任意的边e=(s,v,t),其中e∈E,s∈S,v∈S∪O,t∈∑,存在唯一的r∈R,r的起始点为s,r的终点为v,r的类型为t,也即e=(s,v,t)!
r∈Rstart(r)=send(r)=vtype(r)=t.
如下定义5所示,本文用函数来表示实体单个属性的当前取值,type(r)=t表示关系实体r的类型当前取值为t.
另外,由于单条边可确定唯一关系实体,本文也将与边(s,v,t)对应的关系实体表示为r(s,v,t).
定义5.
(授权属性集)让EN、EV分别代表实体E的预定义属性名称集和取值范围集,属性是二元组(EN,EV),称实体E当前取值的属性集合为该实体的授权属性集,表示为E.
方便起见,本文也用函数来表示单个属性的当前取值,如:Age(u)=19Date(sys)="01-23-2014"Type(r)="friend"定义6.
(社交网络系统)社交网络系统SNS是六元组(UGH,CSH,R_Graph,P,,Pol):(1)UGH=(U,Gsys,Guser,≤UG)是主体层次;(2)CSH=(,,C∪SP,≤CS)是客体层次;(3)Rel是用户与用户之间、主体和客体之间的关系集;(4)P是主体对实体的操作集;(5)是实体授权属性集;(6)Pol是实体授权策略集.
技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展62.
3授权规范和验证策略2.
3.
1授权定义7.
(授权)授权是三元组(u,e,(sign)p),其中u∈U,e∈S∪O∪R,sign∈{+,-},p∈P.
如三元组(u,o,+p)允许用户u对客体o执行操作p,(u,r,+creat)允许用户u创建关系r,(u,g,-creat)不允许用户u创建群g.
定义8.
(授权验证)从主体s的授权属性集及授权策略集pol,如果能推理出授权三元组(u,e,(sign)p),则称该三元组获得主体s的授权验证,将其表示为:,pol|=(u,e,(sign)p)(1)定义9.
(验证路径)对实体序列Seq=(n1),u∈U,sign∈p∈P如果对任意ei∈Seq(1≤i≤n)均有i,poli|=(u,ei,(sign)p),则称授权三元组(u,e1,(sign)p)获得实体序列Seq的验证,将该实体序列称之为e1的验证路径,将其表示为:Seq~>(u,e1,(sign)p)(2)对实体e及其验证路径Seq,如果Seq=只包含实体本身,称之为单一验证路径,该验证称为单一授权验证,如果e是客体,csh是e所在的客体层次,Seq是csh根节点到该实体的有向路径,则将该路径称为客体e在客体层次csh上的完全验证路径,该验证称为完全授权验证.
简单起见,用符号↑表示客体e的直接从属上级,如路径验证e1及其直接从属上级.
定义10.
(验证冲突)对实体e及其验证路径Seq1和Seq2,如果Seq1~>(u,e,+p),Seq2~>(u,e,-p),则称验证路径Seq1和Seq2对授权(u,e,p)存在验证冲突.
类似于传统的冲突策略解决机制,验证冲突可采用拒绝优先策略、允许优先策略等解决机制.
2.
3.
2实体授权策略实体授权策略Pol是主体访问实体的授权规则集,Pol包括系统授权策略PSys、主体授权策略Psub、客体授权策略Pobj和关系授权策略Prel.
系统授权策略PSys是由社交网络系统管理员制定的应用于系统和实体的公共策略.
PSys包括系统访问控制策略ACPSys和系统冲突解决策略CRPSys.
主体授权策略Psub是由主体自主制定的应用于该主体所拥有的全部客体的访问控制策略,Psub包括主体访问控制策略ACPsub、主体过滤策略FPsub和主体冲突解决策略CRPsub,其中主体过滤策略FPsub用于过滤主体已获得授权的客体内容,FPsub可由主体本身或与其具有某种关系如监护关系的主体设置.
2.
3.
3授权验证过程以s1对s2所拥有的客体o进行p操作为例说明授权验证过程:(1)主体验证过程.
按照系统授权策略PSys、主体s2的访问控制策略ACPs2和冲突解决策略CRPs2对授权三元组(s1,o,+p)进行验证,即验证:Sys∪s1∪s2,PSys∪ACPs2∪CRPs2|=(s1,o,+p)(1)其中Sys是系统属性、s1、s2分别是主体s1和s2的属性.
(2)客体验证过程.
按照客体o的验证路径Seq对授权三元组(s1,o,+p)进行验证,即在遵循系统授权策略和主体授权策略的情况下验证:Seq~>(s1,o,+p)[PSys,Psub](2)(3)内容过滤过程.
按照主体s1过滤策略FPs1对客体o进行过滤,过滤后的客体为o1,即:s1∪o,FPs1∪(s1,o,+p)|=(s1,o1,+p)(3)对实体e1及其验证路径Seq=授权验证过程如算法1所示:算法1:实体路径验证算法输入:授权三元组(u,e,(sign)p)条件:在实体e进行路径验证输出:验证结果Tested(1)hasTested={};//已验证实体集合(2)Seq=;//验证路径序列(3)h=e//h指向实体e(4)Tested=true;//假定验证结果为真(5)do{(6)ifhhasTested&¬(h|=(u,h,(sign)p)){//如果e的验证失败(7)Tested=false;//路径验证失败技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展7(8)ReturnTested;//退出程序}(9)ifhhasTestedhasTested←hasTested∪{h}//将h加入已验证实体集合(10)Seq=Seq&tail(getTestRoad(h))//取出h的验证路径并将该路径的尾部加入seq(11)h=head(Seq)}//取出序列的第一个实体(12)whileSeq//如果序列不为空(13)ReturnTested2.
4社交网络访问控制模型RuleSN授权框架2.
4.
1RuleSN授权规则语言语法RuleSN授权规则语言基于Datalog逻辑程序,并使用了限制逻辑程序(CLP)的部分实例[18].
RuleSN授权规则语言的语法结构如下:(1)取值域主体集S,用户集U,用户群集G,系统群SYS,S=U∪G∪SYS;客体集O,内容集C,空间集SP,O=C∪SP;关系集R,用户关系集RU,主客体关系集RO,R=RU∪RO;实体集E=S∪O∪R,实体属性集ATTR;操作集P,授权类型集SIGN={+,-};整数集Z,自然数集N.
(2)谓词类型谓词包含外延谓词集和内涵谓词集.
1)外延谓词集,表示为Pext.
外延谓词以实体属性谓词为主,属性谓词是形如attr(e,v)的谓词,其中attr是属性名,e是实体,v是属性值,对实体自身策略,也可以用attr(v)表示该实体属性值.
如属性谓词age(u,20)或u内部策略age(20)表示用户u的年龄为20.
2)内涵谓词集,表示为Pint.
内涵谓词主要包括以下几类:-授权谓词和衍生授权谓词,表示为Pauth,各类授权操作谓词如下:a.
主体验证谓词AuthSb.
客体验证谓词AuthOc.
客体路径验证谓词,RoadAuthOd.
授权谓词Authe.
内容过滤谓词Filterf.
实体操作谓词Do-组合谓词.
用来组合规则和属性的中间谓词.
如:relation(u1,u2,"friend")←type(r,"friend"),start(r,u1),end(r,u2)(4)relation(u1,u2,"friend")←relation(u1,u3,"friend"),relation(u3,u2,"friend")(5)上述规则(4)说明如果存在关系实体r,其类型为friend,起点为u1,终点为u2,则说明u1与u2之间存在friend关系.
规则(5)说明如果u1与u3之间存在friend关系,u3与u2之间存在friend关系,则u1与u2之间也存在friend关系.
(3)原子公式和文字1)定义单个常量是项2)定义单个变量是项让p(x1,…,xn)是任意谓词符号,x1,…,xn是相应取值域上的项,称p(x1,…,xn)是一个原子公式(简称原子),称p(x1,…,xn)或其求反p(x1,…,xn)为一个文字.
(4)授权规则和授权策略授权规则由下列形式Datalog规则组成:P←L1,…,Ln(6)其中P是内涵谓词原子,L1,…,Lm是任意文字.
实体授权策略Pol=EDB∪IDB,其中外延数据库EDB由代表实体属性和状态的基本事实组成,IDB是授权规则集.
其中,规定授权规则必须是安全的.
安全性指的是在规则体中出现的任何变量都必须出现在某个非求反的子目标谓词中,安全性的目地是防止不受限制的变量产生不受输入数据库控制的规则或事实集.
在授权规则中规定对任意的无限制域变量,规则体中必存在包含该变量的非负原子Li,而其它变量均取值离散的有限集,受其取值域限制.
2.
4.
2RuleSN授权规则语言语义定义11.
(主体验证规则,AuthS规则)AuthS规则是如下形式的规则:AuthS(s,e,p)←L1,…,Ln(7)其中s∈S,e∈S∪O∪R,sign∈SIGN,p∈P,Li(1≤i≤n)是代表主体双方属性或状态的文字.
如下列规则说明访问Alice所拥有客体的访问者必须是Alice的朋友或朋友的朋友,年技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展8龄大于20岁,朋友关系的可信度超过0.
5.
AuthS(u,o,+read)←own("Alice",o),relation(u,"Alice","friend"),depth(u,"Alice","friend",m),m≤2,trust(u,"Alice","friend",n),n0.
5(8)其中,own、relation、depth和trust均是组合谓词.
如下列规则(9)说明s拥有客体o1,则s拥有客体o1层次上的所有客体.
own(s,o)←own(s,o1),in(o,o1,CSH)(9)定义12.
(客体验证规则,AuthO规则)AuthO规则是如下形式的规则:AuthO(s,o,p)←L1,…,Ln(10)其中s∈S,o∈O,sign∈SIGN,p∈P,Li(1≤i≤n)是代表主客体双方属性的任意文字.
定义13.
(客体路径验证规则,RoadAuthO规则)对实体e1的验证路径Seq=(n1),RoadAuthO是如下形式的规则:RoadAuthO(s,e1,p)←AuthO(s,e1,p),RoadAuthO(s,e2,p),.
.
.
,RoadAuthO(s,en,p)(11)其中s∈S,ei∈E,sign∈SIGN,p∈P.
定义14.
(主体授权规则,Auth规则)Auth规则是如下形式的规则:Auth(s,o,p)←AuthS(s,o,p),RoadAuthO(s,o,p),Over(s,o,p)(12)其中s∈S,o∈O,sign∈SIGN,p∈P.
主体授权规则说明要经过主体验证、客体路径验证并按照冲突解决策略获得主体授权.
定义15.
(内容过滤规则,Filter规则)Filter规则是如下形式的规则:Filter(o1,o2,p)←L1,…,Ln(13)其中o1∈O,o2∈O,sign∈SIGN,p∈P,Li(1≤i≤n)是代表主体属性或状态的任意文字.
过滤规则由主体自身或与主体具有一定关系的其他主体设置,如下列过滤规则说明过滤掉黑名单blacklist中主体拥有的内容:filter(o,,p)←own(s,o),blacklist(blist),s∈blistfilter(o,o,p)←own(s,o),blacklist(blist),sblist(14)定义16.
(实体操作规则,Do规则)Do规则是如下形式的规则:Do(o1,o2,p)←Auth(Self,o2,p),filter(o2,o1,p),L1,…,Ln(15)其中常量Self∈S代表拥有规则的主体自身,o1∈O,o2∈O,sign∈SIGN,p∈P.
2.
5RuleSN模型的实现RuleSN程序是在Datalog语义基础上增加负文字的Datallog规则[18],首先证明下列定理.
定理1.
(分层性和安全性)RuleSN程序是具有分层性(stratified)[20]的安全Datalog语言.
证明:(1)RuleSN程序可进行如下分层:表1RuleSN语言的分层层谓词规则体包含谓词1外延谓词Pext2overas,overaooverriding规则外延谓词Pext3内容过滤谓词Filter外延谓词Pext4主体验证规则AuthS外延谓词Pext和over文字5客体验证规则AuthO外延谓词Pext,over文字,AuthS文字6客体路径验证规则RoadAuthO7授权规则Auth8实体操作规则Do(2)按照授权规则的规定,RuleSN授权规则必须是安全的,即规则中任意的无限制域变量,规则体中必存在包含该变量的非负原子Li,而其它变量均取值离散的有限集,受其取值域限制.
因而RuleSN规则是安全的分层Datalog语言,定理得证.
在实现方法上,安全的分层Datalog的评价方法可按照Jajodia等[20]提出的基于分层Datalog授权框架FAF的实现方法,在此不再赘述.
2.
6应用示例社交网络关系如图6所示:技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展9图6社交网络关系应用示例2.
6.
1系统授权策略1)系统属性{date≡2014/7/4;time≡8:00:25;version≡2.
0.
1}2)系统授权策略(1)注册时间超过1年,建群不超过2个且等级高于2的用户u可建群;AuthS(u,g,+creatgroup)←regdays(u,d),d≥365,userlevel(u,l),l≥2,groupnum(u,n),n.
AuthO(u,家庭相册,+read)←own(Self,家庭相册),relation(Self,u,"friend")RoadAuthO(u,家庭相册,+read)←AuthO(u,家庭相册,+read),RoadAuthO(u,e2,p)(26)2)工作相册授权策略只有Tom的同事才能访问Tom的工作相册,访问路径.
AuthO(u,工作相册,+read)←own(Self,工作相册),relation(Self,u,"colleagued")RoadAuthO(u,工作相册,+read)←AuthO(u,工作相册,+read),RoadAuthO(u,e2,p)(27)3)照片1授权策略年龄大于18岁的用户才能访问图片1,访问路径AuthO(u,照片1,+read)←own(Self,照片1),relation(Self,u,"friend"),age(u,n),n≥18RoadAuthO(u,照片1,+read)←AuthO(u,照片1,+read),RoadAuthO(u,工作相册,+read)(28)4)实体操作策略Do(o1,o2,p)←Auth(Self,o2,p),filter(o2,o1,p)(29)2.
6.
6Tom与Alice的关系RTom-Alice授权策略1)属性{start≡Tom;end≡Alice;type≡friend;trust≡0.
7;}2)关系授权策略Prel下列策略允许关系的另一端也即Alice改变关系的属性.
AuthS(s,self,+changeattr)←end(self,s)(30)2.
6.
7Tom与Terry的关系RTom-Terry授权策略1)属性{start≡Tom;end≡Terry;type≡guardian;trust≡1;}2)关系授权策略Prel下列策略不允许监护关系中的被监护人修改关系属性.
AuthS(s,self,-changeattr)←end(self,s)(31)2.
6.
8授权过程示例Alice访问Tom的照片1,授权过程如下:(1)Tom的主体验证过程按照系统授权策略和Tom的主体授权策略要求,Tom允许可信度不低于0.
5或好友访问Tom的空间,Alice是Tom可信度为0.
7的好友,满足这一规则,同时不存在系统和主体的冲突策略,因而通过Tom的主体验证,即AuthS(Alice,照片1,+read)成立.
(2)Tom的客体验证过程步骤1:照片1授权策略要求年龄大于18岁的用户才能访问图片1,Alice通过该验证,并按照验证路径进行上一级验证;步骤2:家庭相册授权策略要求Tom的好友才能访问Tom的家庭相册,Alice通过该验证,并按照验证路径进行上一级验证;步骤3:用户空间未设置授权策略,Alice通过该验证Alice最终通过Tom的客体验证,即AuthO(Alice,照片1,+read)成立.
(3)内容过滤过程Alice设置的过滤策略过滤掉黑名单中的用户内容,Tom不属于Alice黑名单中的主体,因而有filter(照片1,照片1,+read)成立.
(4)最终授权过程(实体操作)按照Tom的实体操作策略,最终有do(照片1,照片1,+read)成立,即Alice获得照片1的访问操作权限.
3.
多方授权模型3.
1多方授权模型国内外现状社交网络成为近年来最为流行的互联网技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展11应用之一,如Facebook、Twitter、人人网、微博等都拥有大量的用户.
用户在社交网络上分享信息、交流互动,但也带来了社交网络数据被非法使用和个人隐私泄漏等现象.
采用访问控制机制对用户个人空间信息进行保护是社交网络的通用做法.
但现有的访问控制机制多局限在用户个人空间内的数据,难以控制个人空间以外的数据,如用户不能对其在朋友空间中发表的评论进行访问控制,不能对共有的资源进行联合访问控制等.
因而,社交网络中的多方访问控制(MultipartyAccessControl)问题得到了学术界的广泛关注.
Thomas等分析了缺乏多方授权控制带来的隐私风险,他们以facebook为例说明现有的所有者进行访问控制的单方授权方法难以保护用户的隐私.
Squicciarini等提出在社交网络中采用所有权共有(co-ownership)的方式处理共享内容,所有权可由内容创建者分配给多个用户,他们的方法中所有权是可以由多人同时使用,带来了管理上的混乱.
Amrutha等对多方授权的决策机制和投票机制进行了详细的研究,并提出了一个多方授权模型.
他们的方法未考虑在内容层次上的授权方法.
Shaik等从使用控制的角度对图像隐私的多方保护进行了研究.
Yeung等从语义web的角度对在线图片的多方访问控制进行了研究.
现有的方法既缺乏有足够表达力的授权语言来描述多方授权的复杂性,又缺乏社交网络访问控制所需要的灵活性和细粒度性,难以满足社交网络中的多方访问控制需要.
针对上述问题,本文在逻辑语言的基础上,提出多方授权模型MRuleSN,该模型具有如下创新和特色:(1)采用单一所有、多方共有的方法处理所有权问题,符合社交网络的实际情况;(2)针对Datalog规则无法表达多方授权的可选择性和权重等因素,提出一种扩展的w-datalog规则,对w-datalog的语法和语义及其评价(evaluation)算法进行了描述,w-datalog解决了普通Datalog规则难以表达多方决策的问题.
(3)访问模型建立在社交网络内容的结构层次上,具有更多的灵活性和访问细粒度.
3.
2多方授权模型3.
2.
1RuleSN模型中的多方授权问题RuleSN模型中的多方授权问题包括:(1)共有客体授权问题.
如对提交到朋友空间的客体,提交者与空间所有者对该客体的联合授权问题.
(2)第三方隐私控制问题.
对牵涉到第三方的客体如图片中的第三方(提交者与所有者之外)的隐私控制问题.
(3)多关系客体的联合授权问题.
主客体之间包括拥有、标注、共有等关系,具有多关系的主体的联合授权问题.
(4)多层次客体的授权冲突问题.
属于不同层次的客体导致的授权冲突问题.
(5)客体复制移动导致的多方授权问题.
3.
2.
2主客体关系性质主客体关系包括下列类型:(1)拥有关系.
主体是客体的所有者(owner).
我们规定客体只有唯一的所有者.
(2)共有关系.
主体是客体的共有者(sharer),共有者拥有所有者的部分权限.
(3)原创关系.
主体是客体的原创者(creator),原创者是客体的最初所有者.
(4)传播关系.
主体是客体的传播者(disseminator),主体将客体传播张贴到自己或其它主体空间.
对主客体关系的主体,有如下定义:定义1.
(客体层次)客体层次CSH是二元组(C∪SP,≤CS),其中C是内容集,SP是空间集,≤CS是偏序关系,其中:(1)对任意的sp∈SP,sp'∈SP,sp≤CSsp'当且仅当sp是sp'的子空间.
(2)对任意的c∈C,c'∈C,c≤CSc'当且仅当c是c'的直接从属内容.
(3)对任意的c∈C,sp∈SP,c≤CSsp当且仅当内容c存放在空间sp中且c是其所在内容层次的最高点.
定义2.
(拥有关系)拥有关系RownS*O,其中S是主体集,O是客体集,如下确定拥有关系:(1)主体与其所属或创建的空间客体具有拥有关系;(2)主体与其所拥有的空间客体内存放的内容客体具有拥有关系,即s∈S,c∈CRown(s,c)sp∈SP,c≤CSspRown(s,sp).
拥有关系具有如下性质:技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展12性质1.
(拥有关系的唯一性)主客体间的拥有关系具有唯一性,单个客体不能同时与多个主体具有拥有关系,即s∈S,o∈ORown(s,o)!
s'∈S,ss'Rown(s',o).
性质2.
(拥有关系的层次传递性)在客体层次中,拥有关系具有传递性,即s∈S,o∈O,o'∈O,Rown(s,o)o'≤CSo)Rown(s,o').
由性质1和性质2,易证如下定理:定理1.
(客体层次的同一主体拥有关系定理)同一客体层次中的所有客体只能与同一主体具有拥有关系.
定义3.
(共有关系)共有关系RshareS*O,其中S是主体集,O是客体集,共有关系指客体对主体之间具有标记(tagging),也即:s∈S,c∈CRshare(s,c)c中具有标记(tagging)指向s.
定义4.
(原创关系)原创关系RcreateS*O,其中S是主体集,O是客体集,原创关系Rcreate(s,c)指主体s是客体c的最初创造者.
定义5.
(传播关系)传播关系RdisseminateS*O,其中S是主体集,O是客体集,传播关系Rdisseminate(s,c)指主体s是客体c的当前传播者,即s∈S,s'∈S,c∈CRdisseminate(s,c)Rown(s',c)s将客体c传播张贴到s'的空间内.
3.
2.
3授权策略逻辑许可证是我们提出的一种主要基于Datalog规则的权利管理语言,在该权利语言中,授权策略以逻辑许可证的形式表达,由于多方授权决策和策略表达的需要,我们采用带权重的事务控制逻辑方式表达.
3.
2.
3.
1Datalog语言Datalog是一种有限形式的逻辑编程,它拥有变量、谓词和常数,但却缺乏函数符号.
Datalog规则是具有以下格式的规则:R0(t0,1,…,t0,k0)←R1(t1,1,…,t1,k1),…,Rn(tn,1,…,tn,kn)(1)其中R0,…,Rn是关系谓词符号,每一项ti,j(0in,1jki)既可以为常量也可以为变量.
公式R0(t0,1,…,t0,k0)被称作规则头,序列R1(t1,1,…,t1,k1),…,Rn(tn,1,…,tn,kn)为规则体.
如果n=0,则规则体为空且该规则被称作一个事实.
一个规则是安全的仅当所有变量发生在规则头并出现在规则体中.
一个Datalog程序就是Datalog规则的一个有限集合.
定义单个常量或单个变量是项,让p(x1,…,xn)是任意谓词符号,x1,…,xn是相应取值域上的项,称p(x1,…,xn)是一个原子公式(简称原子),称p(x1,…,xn)或其求反p(x1,…,xn)为一个文字.
Datalog规则是如下形式的规则:P←L1,…,Ln(2)其中P是内涵谓词原子,L1,…,Lm是任意原子.
事务是不含规则头具如下形式的规则:L1,…,Lm(3)Li(0≤i≤m)是任意文字.
3.
2.
3.
2w-Datalog程序语义和评价(evaluation)定义6(w-Datalog规则).
w-Datalog规则是具有如下形式的规则:w0:P←w1:L1,…,wk:Lk,[wk+1:Lk+1],…,[wn:Ln],Ln+1,…,Lm(4)其中P是内涵谓词原子,L1,…,Ln是任意带权重的文字,称为权重文字,Ln+1,…,Lm是任意文字,wi(0in)是大于零的实数,称之为权重.
在w-Datalog规则中,包括三类文字,带权重的文字和不带权重的文字,带权重的文字又包括固定权重文字和可选权重文字(带中括号的权重).
简单起见,我们考虑如下的三类基本规则:P←L1,…,Ln(基本规则1)w0:P←w1:L1,…,wn:Ln(基本规则2)w0:P←[w1:L1],…,[w1:Ln](基本规则3)其余的w-Datalog规则可看作是这三类规则的组成.
以下简单起见,我们不考虑负文字的情况,基本规则1与传统的Datalog类似,在此不再重复,以下先考虑基本规则2的评价:定义7(操作语义).
设DB是w-Datalog程序,定义DB的操作语义O(DB)为:O(DB)={p()|DB→*p()}(5)其中,p()是任意原子,DB→*p()表示p()能从DB中推导(derivations).
那么,定义w-Datalog的Herbrand基β={p1,…,pn},其中pi(0in)是任意原子,类似文献[9],如下定义直接操作算子:技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展13定义8(Ⅰ型直接操作算子).
设DB是w-Datalog基本规则2程序,I是一个解释(interpretation),则如下定义T1算子(2β→2β):T1(I)={p()|重命名规则w0:p()←w1:L1(),…,wn:Ln()∈DBw=(|Li()∈IθθLi()=Li())w≥w0且在不共享变量的情况下有p()=θp()}(6)直接算子T1(I)说明规则的成立不仅要所有规则体中的文字Li()经变量通代(θ)后θLi()属于解释I,而且需要所有的这些文字Li()的权重和大于等于w0.
定义9(固定点语义).
设DB是w-Datalog程序,定义DB的固定点语义Fix(DB)=TDB↑ω.
定理1(操作语义和固定语义的同一性).
设DB是w-Datalog程序,则有O(DB)=Fix(DB).
基本Datalog(pureDatalog)中该定理是Datalog评价(evaluation)的基础,假定Tp(I)是基本Datalog中的直接操作算子,在基本Datalog中,有:I1I2Tp(I1)Tp(I2)(7)T1(I)是在Tp(I)基础上增加了对权重的限制条件,用函数F(Tp(I))表示该限制条件,我们只需要证明:I1I2F(Tp(I1))F(Tp(I2))(8)对任意事实p()∈F(Tp(I1)),假定该事实由规则w0:p()←w1:L1(),…,wn:Ln()推出,那么对任意Li(),θLi()∈I1θLi()∈I2,这是由于I1I2,在I2中公式(5)w的值只能更大于I1中w的值,也即wI2≥wI1,因而p()∈F(Tp(I2)),即下列规则成立:p()∈F(Tp(I1))p()∈F(Tp(I2))(9)由规则(9)可推F(Tp(I1))F(Tp(I2)),规则(8)得证.
基本规则3型的评价方法如下:定义10(Ⅱ型直接操作算子).
设DB是w-Datalog基本规则3程序,I是一个解释(interpretation),则如下定义T2算子(2β→2β):T2(I)={p()|对规则w0:p()←w1:L1(),…,wn:Ln()w=|Li()∈IθθLi()=Li()w≥w0且在不共享变量的情况下有p()=θp()}(10)直接算子T2(I)说明解释I中的任何文字Li()经变量通代(θ)后能够等于规则中的任意文字Li(),则累积该文字的权重wi到w中,最终需要w大于等于w0.
如对解释I={p(1),q(2),o(1),o(2)},对如下的w-datalog规则,4:q(x)←1:p(x),[2:(y)](11)x绑定后如下规则:4:q(1)←1:p(1),[2:o(y)](12)解释I中o(1)和o(2)让可选文字成立两次,因而有w=5,规则成立,因而T(I)={p(1),q(1),q(2),o(1),o(2)}.
3.
2.
3.
3授权规则系统的取值域如下:主体集S,用户集U,用户群集G,系统群SYS,S=U∪G∪SYS;客体集O,内容集C,空间集SP,O=C∪SP;关系集R,用户关系集RU,主客体关系集RO,R=RU∪RO;主客体关系集RO包括拥有关系集Rown、共有关系集Rshare、原创关系集Rcreate、传播关系集Rdisseminate,RO=Rown∪Rshare∪Rcreate∪Rdisseminate∪;实体集E=S∪O∪R,实体属性集ATTR;操作集P,授权类型集SIGN={+,-};整数集Z,自然数集N.
在定义授权规则前,我们首先规定授权技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展14规则必须是安全的.
安全性指的是在规则体中出现的任何变量都必须出现在某个非求反的子目标谓词中,安全性的目地是防止不受限制的变量产生不受输入数据库控制的规则或事实集.
在授权规则中规定对任意的无限制域变量,规则体中必存在包含该变量的非负原子Li,而其它变量均取值离散的有限集,受其取值域限制.
从w-datalog程序的评价方法易知,w-datalog规则中的可选文字可不受安全性的约束.
定义11.
(主体授权规则,AuthS规则)AuthS规则是如下形式的规则:AuthS(s1,s2,o,p)←L1,…,Ln(13)其中s∈S,o∈O,sign∈SIGN,p∈P,Li(1≤i≤n)是代表主客体双方属性的任意文字.
AuthS(s1,s2,o,p),主体s1授权s2对客体o进行p操作.
如下列规则:AuthS(s1,s2,o,+read)←Rown(s1,o),date(d),d≤"2014/09/01")(14)规则(14)说明客体o的所有人s1授权s2在2014/09/01前拥有阅读o的权限.
定义12.
(多方授权规则,AuthD规则)AuthD规则是如下形式的w_datalog规则:w:AuthD(s,o,p)w1:AuthS(s1,s,o,+p),…,wk:AuthS(sn,s,o,p),[wk+1:AuthS(s1,s,o,+p)],…,[wn:AuthS(sn,s,o,p)],L1,…,Ln(15)其中s∈S,o∈O,sign∈SIGN,p∈P,wi:AuthS(si,s,o,p)(1ik)是固定权重文字,wj:AuthS(sj,s,o,p)(k+1in)是可选权重文字Li(1≤i≤n)是代表主客体双方属性的任意文字.
如下列规则(16)的授权决策要求多数共有者同意才能进行授权.
n/2:AuthD(s,o,+p)[1:AuthS(s1,s2,o,+p)],Rshare(s1,o),sumof(o,SHARER,n)(16)其中谓词sumof获得客体o共有者的数量.
定义13.
(操作授权规则,cando规则)cando规则是如下形式的规则:cando(s,o,p)←L1,…,Ln(17)其中s∈S,o∈O,p∈P,Li(1≤i≤n)是代表主体授权、多方授权和客体双方属性的任意文字.
cando规则是最后的授权结果规则,与主体授权或多方授权规则配合使用,能够实现各类多方授权决策.
如下列规则(18)说明最终授权以客体所有者的决策优先:cando(s,o,p)←AuthS(s1,s2,o,+p),Rown(s1,o)cando(s,o,p)←AuthD(s,o,+p),AuthS(s1,s,o,-p),Rown(s1,o)(18)下列规则(19)说明要求所有共有者完全同意才能授权:1:AuthD(s2,o,-p)1:AuthS(s1,s2,o,-p),Rshare(s1,o)cando(s,o,p)←AuthD(s,o,-p)(19)3.
2.
3.
4逻辑许可证定义14.
(许可证)许可证lic是四元组{D,AuthPolicy,DecionPolicy,CandoPolicy,Attr},其中D是客体的唯一标识符,AuthPolicy是主体授权策略和授权逻辑规则集,DecionPolicy是多方决策策略集,CandoPolicy是授权规则集,Attr是属性集.
简单起见,我们只考虑属性(谓词)及其单个取值的情况,并表示为name≡value的属性绑定形式.
图3是逻辑许可证示例1.
License(//许可证示例2.
imagespace//相册空间3.
{AuthS(s1,s2,o,+read)←Rown(s1,o),relation(s1,s2,"friend"),trust(s1,s2,"friend",n),n0.
5;4.
AuthS(s1,s2,flower.
jpg,+read)←Rdisseminate(s1,o),relation(s1,s2,"collegaue"),depth(s1,s2,collegaue",m),m<2,dirin(flower.
jpg,imagespace);5.
AuthS(s1,s2,o,+p)←Rown(s1,o),INPUT(s1,s2,o,+p,ss),ss="permit";6.
AuthS(s1,s2,o,+p)←Rshare(s1,o),INPUT(s1,s2,o,+p,ss),ss="permit";7.
AuthS(s1,s2,o,+p)←Rcreate(s1,o),INPUT(s1,s2,o,+p,ss),ss="permit";8.
AuthS(s1,s2,o,+p)←Rdissemnate(s1,o),INPUT(s1,s2,o,+p,ss),ss="permit";},//AuthPolicy9.
{n/2:AuthD(s,o,+p)[1:AuthS(s1,s,o,+p)],Rshare(s1,o),sumof(o,SHARER,n);10.
1:AuthD(s,o,+p)[0.
2:AuthS(s1,s,o,+p)],Rshare(s1,o),0.
7:AuthS(s2,s,o,+p),Rcreate(s2,o),[0.
5:AuthS(s3,s,o,+p)],Rdissemnate(s3,o);},//DesionPolicy11.
{cando(s,o,p)←AuthS(s1,s,o,+p),Rown(s1,o)12.
cando(s,o,p)←AuthD(s,o,+p),AuthS(s1,s,o,-p),Rown(s1,o)},//CandoPolicy13.
{owner≡'李华';id≡'123';version≡'1.
0';expire≡'15/12/31'},//Attr14.
)图3逻辑许可证示例图3中语句(3)说明李华允许可信度不低于0.
5的好友访问自己所属的相册空间;语句(4)说明图片flower.
jpg的传播者允许自己的直接技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展15同事访问该图片,该图片直接存储在李华的相册空间内,谓词depth用于计算关系之间的深度[22],dirin用于说明客体之间的直接从属关系.
语句(5)、(6)、(7)、(8)分别说明主客体四类关系都可以进行主体授权,谓词INPUT用于输入主体的意见;语句(9)说明共有者必须一半以上同意才能获得决策授权;语句(10)说明传播者和共有者、原创者形成阈值度的授权(超过1的阈值度);语句(11)说明如果s获得的是客体所有者的主体授权,则s直接获得操作授权;语句(12)说明如果s获得客体的多方授权且没有客体所有者的否认主体授权,s才能获得操作授权,也即客体所有者对授权有一票否认权.
3.
3模型实现首先说明MRuleSN授权程序是分层的(stratified)[10]和安全的.
由于MRuleSN授权规则必须符合安全性要求,我们只说明MRuleSN程序的分层性,MRuleSN程序可进行如下分层:表1MRuleSN语言的分层层谓词规则体包含谓词1外延谓词Pext主客体属性等谓词2主体授权规则AuthS外延谓词Pext3多方授权规则,AuthD外延谓词Pext和AuthS文字4操作授权规则,cando外延谓词Pext、AuthS文字和AuthD文字因而逻辑许可证程序是在w-Datalog语义基础上增加了分层负文字,w-Datalog语言的评价上述3.
3.
2节已做说明,分层负Datalog的评价可参考文献[10].
3.
4表达力示例我们的模型具有较强的表达力,能表达文献[11]提出的所有模型.
(1)决策投票(DecisionVoting)模型所有多方参与者一人一票,超过半数通过:n/2::AuthD(s,o,+p)1:AuthS(s1,s,o,+p),Rcreate(s1,o),[1:AuthS(s2,s,o,+p)],Rshare(s2,o),1:AuthS(s3,s,o,+p),Rcreate(s3,o),[1:AuthS(s4,s,o,+p)],Rdissemnate(s4,o),sumof(o,ALL,n)(20)如果多方参与者权重不同,可以设定按不同权重进行投票的带权重决策投票.
(2)敏感度投票(SensitivityVoting)每个参与者按照个人隐私需要具有一定的数据敏感度(SensitivityLevel),根据参与者的敏感度计算投票结果:w:AuthD(s,o,+p)[1/l:AuthS(s1,s,o,+p)],SL(s1,o,l)(21)规则(21)中说明,数据敏感度越高,其权重越小,因而数据的敏感度越高,授权的可能性越小.
(3)客体所有人优先见规则(18).
(4)所有参与者必须都同意即否认优先,见规则(19).
(5)多数参与者同意下列规则说明超过半数以上参与者同意才能授权.
n/2:AuthD(s,o,+p)[1:AuthS(s1,s,o,+p)],sumof(o,ALL,n)(22)4合理使用模型4.
1合理使用模型国内外现状Overthepastfewyearswiththedevelopmentofsocialnetworks,apowerfulwayhasbeenprovidedforuserstointeractwithotherusersthroughdifferentformsandmodalitiesintheplatforms.
Theuserscanshareimages,videos,audiosandotherdigitalcontentseasilyandconvenientlyfromanywhereintheworld,whichmakesprotectionofcopyrighteddigitalcontentaconcernedproblem.
SomanystrictmethodssuchasDRMtechnologyareusedtoprotectdigitalcontent.
DigitalRightsManagement(DRM)technologyhasbeenpromotedasthesolutiontoprotectingcopyrightofdigitalmedia.
However,currentDRMtechnologydowellinlimitingusageofawork,butarebasicallynotgoodinenforcingproperlycopyrightlaws.
Inmostcountries,copyrightlawallowsforanumberofexceptionsthatallowuserstomakeuseofaworkthatwouldotherwisebeaviolationofcopyright.
TheseexceptionsareknownascopyrightexceptionsinEuropeandfairuseintheUSA[1]Fairuseisadifficultproblemtoimplementonacomputer.
Felten[2]arguesthatevaluatingfairusewouldrequiresophisticatedAI,andthefactorsinvolvedare"AI-hardproblems".
ThusDRMtechnologyinfact"distortcopyrightlaw".
Timothy[3]sumsupanumberofthoughtfulsuggestionsconcerninghowbesttoimplement技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展16copyrightexceptions.
ThefirstisthataDRMmechanismmightacceptsomeinputsfromendusersintheauthorizationprocess,whichraisestheprospectthatanexternalauthority'sdecisiontodenypermissionmightnotbethefinalworkontheuseofcopyrightedworks.
ThesecondisthatcurrentRELsshouldberevisedtomakeiteasiertoexpresscontext-dependentpoliciessuchasfairuseandallowenduserstoassertrightsovercontentintheirpossession.
Cheunetal.
[4]suggestanovelapproachthatcanimplementsomeofthesuggestions,whoselanguage,LicenseScript,isbasedontheprogramminglanguageProlog.
Theyproposeatwo-partapproachtoapproximatefairuserightsinLicenseScript:"(1)Rightsassertion:toallowtheusertoassertnewfairuse-compliantrights,and(2)Auditlogging:tokeeparecordoftherightsassertedbytheuser.
"Theirmethodcanallowbothuserstoassertnewrightscontributedtofairuseandthecopyrightownerstotrackthesourceofpossiblecopyrightinfringement.
We[5]proposeafairusemechanismbasedonthelanguageLucScriptpresentedbyus,whosefeaturesincluderightsassertionwithoutlimitation,auditloggingandmisusestrigger,whichbringsafairusemechanismnearertoofflineworldthanthatofexistingDRMsystems.
Slawomeiretal.
[6]argueDRMshouldrespectboththecreativityoftalentedpeopleandalsotherightsofthecustomer.
Usersshouldbeabletosharemedianotonlyamongtheirpersonaldevice,butalsowiththeiracquaintances,thefairusealsoincludestheuseofdigitalcontentsimilartothephysicalworld.
4.
2MRuleSN介绍MRuleSNisamulti-partyauthorizationmodelforsocialnetworks,whichprocessestheproblemofownershipbysingleownershipandmulti-partyshareholders.
Themodeladoptsextendedw-Datalogrulestoexpressauthorization,whichownsmorepowerfulflexibility,fine-grainedaccesscontrolandauthorizationexpressiveness.
MRuleSNdividesthesubjectsofasocialnetworksintothreeparts:users,usergroupsandsystemgroup,whichformsahierarchyasfollows.
Fig.
4.
hierarchyofusersinsocialnetwork.
Inthehierarchy,userscanjoinausergrouptobecomeamemberoftheusergroup,andallusergroupsbelongtothesystemgroup.
Westipulateausergroupcan'tbelongtoanothergroupandallusersbelongtothesystemgroupbydefault.
Aformaldefinitioncanoutlinethehierarchy.
Definition1(SubjectHierarchy)Asubjecthierarchyisa3-tuple(U,UGSG,≤).
WhereUisasetofuser-idsinthesocialnetwork,andGisasetofidentifiersofusergroups,SGisthesetofidentifiersofsystemgroup.
≤isapartialorderinghavingfollowingrules:(1)u∈U,g∈UGSG,u≤guisamemberofg.
(2)u∈U,sg∈SGu≤g.
(3)#SG=1Therule1showsifuisamemberofgthenu≤g.
Therule2showsthatallusersaremembersofsystemgroupbydefault.
Thelastruleshowsthereisonlyonesystemgroupinthesystem.
[7]proposesarule-basedaccesscontrolmodelintermsoftherelationshiptype,depthandtrustlevelexistingamongusersinthenetwork.
Ourrulesadoptextendedw-Datalogrulestoexpressauthorizationasfollowingrule:w0:P←w1:L1,…,wk:Lk,[wk+1:Lk+1],…,[wm:Lm],Lm+1,…,Ln(23)wherepisanatomandLi(1≤i≤n)isaliteral,wi(0≤i≤m)isaweightwhichisarealnumbergreaterthanzero.
[]meanstheliteralisoptional.
Aw-DatalogruleisanextendedDatalogrulethataddsweightstoheadandsomeliteralsofDatalogrules.
Weneed+[]≥w0whenevaluatesaw-DatalogruleexcepttheevaluationofanormalDatalogrule.
Iftheliteralsin[]aren'ttruewhichcan'tinfluenceiftheruleistruelikestandarddatalogrule.
Butiftheliteralsin[]aretruetheycontributetheirweightstotheevaluationofrules.
4.
3合理使用模型Fairuseindicatestheexceptionsthatallowtherighttouseacopyrightedworkwithouta技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展17licensefromtherightsholder.
Forexample,useofcopyrightedcontentforpurposessuchascriticism,comment,newsreporting,andteachingisnotconsideredasinfringementofcopyright,butasfairuseintheUSlaw.
AsintheUS,thenationallawinmostEuropeancountriesprovidesalistofcircumstanceswheretheauthorisnotallowedtoenforcehisorherrightssuchasthefollowingexceptions:privatecopyorotherprivateuse,parody,quotation,useofaworkforscientificorteachingpurposes,newsreporting,libraryprivileges,andtheadministrationofjusticeandpublicpolicyneeds.
Soweconsidertherearethreeaspectstoapplythefairuse.
Frompointoflaws,somesituationsforfairusecanbenecessaryandmandatoryforrightholderssuchascriticism,comment,newsreporting,andteaching.
Frompointofusers,thedigitalcontentshouldhaveafairuseasphysicalworldsuchaslendingtoafriendorsomeprivateuses.
Normally,userswishtheprotectionofdigitalcontentmorelooseandfreeandtheyhaveajudgerighttousetheirfairuserights.
Frompointofrightholders,theywishabalancebetweenfairuserightsanddigitalcontentprotection.
Theyworrymisuseoffairuserightstoreducetheircopyrightfees.
Alsotheyworrytoorestrictiveprotectionofdigitalcontenttoreducethewillofusingtheirproducts,whichmeansthereductionoftheirsales.
Soagoodmechanismoffairuseshoulddoitsbesttosatisfytheneedsofallthreeparties.
Figure5representsfairusemechanisminMRuleSNmodel.
Insystemlevel,therearetwokindsofrules.
Oneisthefairuserulesbylawsthatarethepartsofclearandunambiguous.
Therulesaremandatoryandallotherfairuserulesmustobeytherulesifthereconflictsamongthem.
Sowesettherulesforsystemgroupthathasaglobaleffectinthesystem.
Excepttherulesbylaw,thesystemmaybehassomespecificfairuserulesthatarenegotiatedbysystem、rightholdersanduserstobalancetheirrelations,whichconsiderthebalanceofrightsprotectionandeaseofuse.
Fig.
5.
hierarchyofusersinsocialnetworkTorightholders,theymaybehavesomemorerestrictionsonfairuseofthecontentsotheycansetsomespecialrulesonthecontent.
Tousersorusergroups,theymaybehavesometheirownjudgmentsabouttheirfairuserightssotheycansetthefairuserulesthemselves.
Andtherightholdersandusersallareinclinedtoexpandtheirrightssothesystemmusthavesomemechanismstoadjusttheirtendencysothatareasonableauthorizationcanbeachieved.
Soagoodfairuseauthorizationruleissimilartosomevotingmechanisms,thefairuserulesbylawhavethemandatorypreemptiverights,thefairuserulesinsystemlevelarenegotiatedbysystem,rightholdersandusers,whichalsodecidethevotingmechanismandauthorizationdecision.
Fairuserulesdecidedbyusersmeansuserscanasserttheirfairuserightswithoutlimitation.
Topreventmisusingtherights,anauditloggingandwarningmechanismmustbeincludedinthemechanism.
Asshowninfigure4,theauthorizationruleshouldbearulesimilartothefollowingrule:cando(s,o,p)←AuthbyLaw(s,o,p)(24)cando(s,o,p)←l:Authbyuser(s,o,p),[m:Authbyuser(s,o,p)],[nAuthbyowner(s,o,p)](25)Therule(24)explainsthatonlyifauthorizedbylaws,theuserscandotheirjobs.
Therule(25)specifiesauthorizaztionbysystemisnecessaryandalsosomeauthorizationsfromrightholdersorusesthemselvesmaybeneededtoacquireenoughweightstogettheauthorization.
Fig.
6.
AuthorizationMechanisminSocial技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展18Networkforfairuse4.
3应用和示例Inourpreviousresearch,wehaverealizedtheevaluationofw-DatalogrulesandimplementationofMRuleSNModel.
Inthissectionweshowhowtoincludesocialnetworkpropertiestoimplementthefairusemechanisminthesocialnetwork.
Weassumestherearetwousergroupsinoursocialnetwork.
Oneistheeducationgroupconsistedofthestudentsandteachersinanon-profitableschool.
Anotheristhetraininggroupwhichisaprofitablebusinesstraininggroup.
Davidistheteacheroftheeducationgroupbecauseheisateacheroftheschool.
Alsoheisthepart-timeteacheroftraininggroupbecausehewanttoaextraincome.
"PhysicalWorld"isadigitalcontentDavidhasbuyfromcontentprovider.
Fig.
7.
AuthorizationMechanisminSocialNetworkforfairuse.
Firstly,wehavethefollowingrulesbylaws:AuthbyLaw(s1,s2,o,p)←own(s1,o),purpose(s1,s2,o,p,"teaching")(26)AuthbyLaw(s1,s2,o,excerpt)←own(s1,o),purpose(s1,s2,o,excerpt,"newsreporting")(27)Therule(26)explainsthatifs1ownsadigitalcontentandforthepurposeofteaching,s1cangivetherighttos2.
Therule(27)showsthatifs1ownsadigitalcontentandforthepurposeofnewsreporting,s1cangrants2toexcerptthecontent.
Secondly,fairuserulesbysystemasfollows:purpose(s1,s2,o,p,"teaching")←member(s1,g),member(s2,g),type(g,"education")(28)purpose(s1,s2,o,p,"training")←member(s1,g),member(s2,g),type(g,"training")(29)AuthbySystem(s1,s2,o,p)←own(s1,o),purpose(s1,s2,o,p,"training")(30)AuthbySystem(s1,s2,o,copy)←friend(s1,s2)(31)Therule(28)explainsconcretelywhatisthepurposeofteachinginthesystem,whichisifs1ands2belongtothesamegroupandthetypeofthegroupis"education".
Thesamemethodtherule(29)explainsconcretelywhatisthepurposeoftraining.
Therule(30)showsthatifthepurposeistrainthesystemalsoallows1givestherighttos2.
Therule(31)showsifs1hasadirectfriendrelationwiths2thens1cangiveacopytos2.
Thirdly,wehasthefollowingrulessetbyrightholderof"PhysicalWorld"Authbyowner(s1,s2,"physicalworld",excerpt)←own(s1,"physicalworld"),AuthbyLaw(s1,s2,o,excerpt),sendmessage(SYSTEM,s2,"physicalworld","excerpt)(32)Authbyowner(s1,s2,"physicalworld",copy)←AuthbySystem(s1,s2,"physicalworld",copy),DeleteObject(s1,"physicalworld")(33)Therule(32)showstherightholderof"PhysicalWorld"wishamessagecanbesenttosystemifsomeonewantstoexcerptthecontent.
Therule(33)showsifs1sendsacopyof"physicalworld"tos2andtheauthorizationcomesfromsystemthenthecopyofs1mustbedeleted.
Thatis,onlyonecopyofthedigitalcontentcanbeexistedamongs1andhisfriends.
Fourthly,theauthorizationrulesareasfollows:cando(s2,o,p)←AuthbyLaw(s1,s2,o,p)(34)1:cando(s,o,p)←0.
5:Authbysystem(s,o,p),[0.
4:Authbyuser(s,o,p)],[0.
6Authbyowner(s,o,p)](35)cando(s,o,excerpt)←Assert(s,o,excerpt),sendmessage(SYSTEM,s,o,"excerpt)(36)Therule(34)showsifpermmittedbylaws,theauthorizationispermmitted.
Therule(35)showstheweightproportionofthreepartyindecidingtheauthorization,whichmeansifpermittedbysytemandrightholdersorbyusersandrightholdersorbythreepartiestogether,theauthorizationistrue.
Andauthorizationbysystemisnecessary,theothersareoptional.
Therule(36)showsiftheusersasserthisexcerptright,thenhecangettheauthorizationwiththerequirementofamessagesenttosystem.
Lastly,weconsiderhowDavidexecuteshisfairuserights.
Davidhasthefollowingmethodstoexecutetheirfairuserights:(1)Rightsgivenbylaws.
Forexample,ifDavidwanttocopyhis"PhysicalWorld"digitalbooktoJennyforaclass,thenJennyneedsanauthorizationcando(jenny,"PhysicalWorld",copy),whichcanbeacquiredfromrule(34),(36)and(28).
(2)Rightsnegotiatedamongsystem,rightholdersandusers.
Forexample,ifDavidwanttocopyhis"PhysicalWorld"digitalbooktoMike,thenMikeneedsanauthorizationcando(Mike,技术报告13:社交网络访问控制模型RuleSN及其多方授权扩展19"PhysicalWorld",copy).
Fromrule(13)weknowMikeneedsanaccumulationofweightgreaterandequal1.
Thenfromrule(8)weknowMikecanacquiressystemauthorizationwithaweight0.
5,andfromrule(11)weknowMikecanacquireauthorizationofrightholderswithaweight0.
6,whichmakeMikeacquirehisauthorizationwiththecostfromrule(11)thatDavidloseshisauthorizationon"PhysicalWorld".
(3)Rightsassertedbytheusers.
IfDavidwanttoexcerpthis"PhysicalWorld"forsomepurposesofcomments.
Hethinksitishisfairuseright,buthecan'tacquireauthorizationfromexistingrules.
Fromrule(14),hecansimplyasserttherightandexecutesitbyhisownway,andthetradeoffistheassertionandsomeofinformationofhiswillbesenttosystem.
Inourfairusemechanism,thesocialnetworksystemplayanimportantthirdpartyrole,whichisintheneutralpositionofdecidingauthorizationoffairuseofcopyrightedworksandmaybeagovernment-operatedlicensingauthorityaccordingtoTimothy[3].
IntheexampleofDavidassertinghisexcerptrights,therightholderscan'tlimitthefairuserightsassertionofusersdirectly,buttheycansetsomenoticesfromthethirdpartyauthorityiftheusershavesomemisusesmatchingtherules.
Fairuseallows"unauthorizedbutnotillegal"actions,whichbringsadifficultproblemtoimplementonacomputer.
Inthispaperwehaveproposedafairusemechanisminsocialnetworkwhichcombinessocialnetworksystem,rightholdersandusersundercopyrightslaws.
Themethodscangetanexcellentbalanceamongthethreeparties.
5总结本访问控制模型针对社交网络数据多样性、权限管理自主性及高度分散性、访问控制策略的高度动态性等特点,提出了一种社交网络访问控制模型RuleSN,该模型结合用户之间的关系、用户与资源的关系、资源与资源之间的关系以及基于属性的访问控制,具有较强的灵活性和授权表达表达力,最后通过事例对模型进行了应用,证明该模型在实现上是可行性的.
同时,针对社交网络中的多方授权问题和合理使用问题对该访问控制模型进行了扩展,提出了面向社交网络的多方授权模型MRuleSN,该模型采用单一所有、多方共有的方法处理所有权问题,采用扩展的w-Datalog规则表达多方授权,解决了普通Datalog规则难以表达多方决策的问题.
MRuleSN模型具有较强的多方授权灵活性和授权表达能力.
下一步,将研究系统策略和主体策略的冲突解决问题,另一方面对社交网络中客体的移动和复杂的具体访问控制方法做深入研究.
6参考文献1.
Arnab,A.
,Hutchison,A.
:FairerusagecontractsforDRM.
In:Proc.
oftheFifthACMWorkshoponDigitalRightsManagement.
Alexandria,VA,2005,1–7.
2.
Felten,E.
:SkepticalviewofDRMandFairUse.
CommunicationsoftheACM,2003,46(4):57-59.
3.
Timothy,K.
A.
:DigitalRightsManagementandtheProcessofFairUse.
HarvardJournalofLaw&Technology,2006,20(1):49-122.
4.
Chong,C.
N.
,Etalle,D.
S,etal.
:ApproximatingFairUseinLicenseScript.
In:6thInt.
Conf.
ofAsianDigitalLibraries,KualaLumpur,Malaysia,2003,432-443.
5.
Zhong,Y.
,Zhu,Z.
,Lin,D.
M.
,Qin,X.
L.
:AMethodofFairUseinDigitalRightsManagement.
Proc.
ofthe10thInternationalConferenceonAsianDigitalLibraries,LNCS4822,Hanoi,Vietnam,2007,160-164.
6.
Ensor,B.
,Kruk,S.
R.
,Gzella,A.
:ADRMSolutionBasedonSocialNetworksandEnablingtheIdeaofFairUse,Proc.
OfMediainTransition,2007.
7.
Carminati,B.
,Ferrari,E.
,Perego,A.
:Rule-basedaccesscontrolforsocialnetworks[C]//Proc.
ofOntheMovetoMeaningfulInternetSystems2006:OTM2006Workshops.
Spring-VerlagLectureNotesinComputerScience,LNCS4278,2006,1734-1744.
8.
Dusollier,S.
:FairUsebyDesignintheEuropeanCopyrightDirectiveof2001:AnEmptyPromise.
"FairUsebyDesign"Workshopatthe12thConferenceonComputersFreedom&Piracy,SanFrancisco,CA,USA,2002,12-18.