李亞平

(1.合肥工業(yè)大學(xué) 管理學(xué)院，合肥　230009; 2.安徽經(jīng)濟(jì)管理學(xué)院，合肥　230059)

?

應(yīng)用UCONABC模型的個(gè)人信息保護(hù)方案

李亞平1,2

(1.合肥工業(yè)大學(xué) 管理學(xué)院，合肥230009; 2.安徽經(jīng)濟(jì)管理學(xué)院，合肥230059)

摘要：隨著網(wǎng)絡(luò)實(shí)名化程度的不斷提高，個(gè)人信息安全問題日益突出。針對(duì)個(gè)人信息保護(hù)中的需求、權(quán)利和義務(wù)的動(dòng)態(tài)性特征，傳統(tǒng)的訪問控制方法存在局限性，為此引入U(xiǎn)CONABC模型的主要方法，通過細(xì)分個(gè)人信息資源使用控制中的主客體和權(quán)利，并基于授權(quán)、責(zé)任、義務(wù)等關(guān)鍵因素，設(shè)計(jì)了具有動(dòng)態(tài)性特征的個(gè)人信息保護(hù)方案，為個(gè)人信息安全問題的解決提供了新思路。

關(guān)鍵詞：UCON；個(gè)人信息；信息安全；動(dòng)態(tài)性

隨著社會(huì)生活網(wǎng)絡(luò)化程度的不斷提高，電子商務(wù)、電子政務(wù)、社交網(wǎng)絡(luò)使得網(wǎng)民越來越難以采用純匿名的方式使用網(wǎng)絡(luò),有限實(shí)名網(wǎng)絡(luò)已成為一種典型的網(wǎng)絡(luò)形態(tài)。有限實(shí)名即“前臺(tái)匿名、后臺(tái)實(shí)名”或部分實(shí)名。在有限實(shí)名網(wǎng)絡(luò)環(huán)境中，網(wǎng)民的個(gè)人信息在各個(gè)網(wǎng)絡(luò)平臺(tái)不斷沉積，導(dǎo)致個(gè)人信息安全問題也日益突出。針對(duì)個(gè)人信息保護(hù)的相關(guān)研究十分廣泛，主要側(cè)重于立法研究、政府作為以及互聯(lián)網(wǎng)管理[1-3]。從技術(shù)角度看，相關(guān)研究主要是將個(gè)人信息安全納入網(wǎng)絡(luò)安全的大范疇內(nèi)進(jìn)行研究[4-5]。

隨著大數(shù)據(jù)時(shí)代的來臨，個(gè)人信息安全形勢(shì)日益嚴(yán)峻[6]。在個(gè)人信息保護(hù)方面，除了立法保護(hù)的相對(duì)滯后，也存在著技術(shù)監(jiān)管的缺失和訪問控制策略不靈活等問題。首先，個(gè)人信息保護(hù)多依賴于互聯(lián)網(wǎng)企業(yè)單方面的技術(shù)保護(hù)和內(nèi)部監(jiān)管，缺乏必要的行業(yè)監(jiān)管手段。同時(shí)，作為個(gè)人信息安全事件直接受害者的用戶無法對(duì)個(gè)人信息保護(hù)加以監(jiān)督。其次，傳統(tǒng)的訪問控制方式越來越難以適應(yīng)動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)訪問控制的粗粒度和靜態(tài)性特征以及個(gè)人信息保護(hù)的復(fù)雜性，使得個(gè)人信息安全存在較大的不確定性。

UCON(usage control)使用控制的思想最早由Park等提出[7]。UCONABC(usage control authorizations,obligations,conditions)模型是UCON的核心模型。該模型引入了“動(dòng)態(tài)性”和“可變性”2個(gè)特征，更適應(yīng)開放的網(wǎng)絡(luò)環(huán)境[8]。在有限實(shí)名網(wǎng)絡(luò)環(huán)境中引入動(dòng)態(tài)訪問控制模型的思想和方法，設(shè)計(jì)新的個(gè)人信息保護(hù)方案，將為互聯(lián)網(wǎng)企業(yè)在使用和保護(hù)網(wǎng)民個(gè)人信息的矛盾問題中起積極作用。

1個(gè)人信息保護(hù)中的動(dòng)態(tài)性分析

有限實(shí)名網(wǎng)絡(luò)環(huán)境中，互聯(lián)網(wǎng)企業(yè)既有使用網(wǎng)民個(gè)人信息用于商業(yè)目的的需要，也有保護(hù)個(gè)人信息安全的義務(wù)。同時(shí)，不同的訪問主體具有不同的使用控制需求，不同類型的個(gè)人信息資源同樣具有差異化的安全保護(hù)需求。因此，如何有效保護(hù)個(gè)人信息面臨著多維度的動(dòng)態(tài)性問題。

1) 需求的動(dòng)態(tài)性

需求動(dòng)態(tài)性主要指?jìng)€(gè)人信息保護(hù)中涉及的多個(gè)權(quán)力主體在需求方面的變化特征以及不確定性。主要表現(xiàn)為：不同主體(企業(yè)、個(gè)人、監(jiān)管機(jī)構(gòu))使用需求和保護(hù)需求的不同，同一主體在不同環(huán)境下需求的差異性。此外，在有限實(shí)名環(huán)境中，不同的個(gè)人信息資源同樣具有不同的安全需求。

2) 權(quán)利的動(dòng)態(tài)性

權(quán)利的動(dòng)態(tài)性主要指不同權(quán)利主體在訪問個(gè)人信息時(shí)應(yīng)享有不同的權(quán)力。傳統(tǒng)訪問控制中，權(quán)利通常被一次賦予，主體長(zhǎng)期擁有被賦予的權(quán)利。然而，主體長(zhǎng)期擁有對(duì)特定個(gè)人信息資源的訪問權(quán)利會(huì)使得個(gè)人信息保護(hù)面臨相應(yīng)的安全風(fēng)險(xiǎn)。因此，個(gè)人信息保護(hù)的安全性要求主體的訪問控制權(quán)應(yīng)設(shè)計(jì)為只在主體申請(qǐng)時(shí)才會(huì)被賦予。同時(shí)，這些權(quán)利在主體的訪問過程中仍然可以被控制，權(quán)利是可分解、細(xì)粒度的，能被及時(shí)撤銷，從而體現(xiàn)出靈活性和動(dòng)態(tài)性。

3) 義務(wù)的動(dòng)態(tài)性

義務(wù)動(dòng)態(tài)性主要指主體獲取個(gè)人信息資源時(shí)應(yīng)盡的義務(wù)，它有別于傳統(tǒng)基于角色的訪問控制，不再單一地具有何種角色即擁有對(duì)應(yīng)的權(quán)力。例如，網(wǎng)絡(luò)環(huán)境中獲取信息資源時(shí)的廣告點(diǎn)擊、評(píng)論發(fā)表、問題回答等均為基于義務(wù)的訪問控制的具體表現(xiàn)。

2個(gè)人信息動(dòng)態(tài)訪問控制方案

考慮到個(gè)人信息保護(hù)在需求、權(quán)力、義務(wù)等方面的動(dòng)態(tài)性特征，在個(gè)人信息資源保護(hù)方案構(gòu)建中需設(shè)計(jì)適應(yīng)這些動(dòng)態(tài)性特征的訪問控制模型和規(guī)則，而傳統(tǒng)的訪問控制(基于任務(wù)、基于角色的訪問控制方式等)在適應(yīng)動(dòng)態(tài)需求方面存在局限[8]。UCON核心模型UCONABC主要基于授權(quán)、責(zé)任和條件3個(gè)關(guān)鍵的決策因素[9]，它結(jié)合主客體的屬性，支持動(dòng)態(tài)授權(quán)決策方式，更加適應(yīng)動(dòng)態(tài)開放的網(wǎng)絡(luò)環(huán)境，可以更好地適應(yīng)網(wǎng)絡(luò)環(huán)境中個(gè)人信息保護(hù)的動(dòng)態(tài)性特征。

2.1個(gè)人信息訪問控制的相關(guān)分析

2.1.1主客體的界定

在UCON模型中，主客體的含義與傳統(tǒng)訪問控制一致，主體主要指提出請(qǐng)求和要求的實(shí)體，客體則主要是指被操作的對(duì)象。在《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》中，網(wǎng)絡(luò)個(gè)人信息保護(hù)主體主要包括網(wǎng)絡(luò)服務(wù)提供者、企事業(yè)單位、監(jiān)管部門等。據(jù)此，并結(jié)合個(gè)人信息資源使用控制實(shí)際，本文將網(wǎng)絡(luò)個(gè)人信息資源的訪問控制主體劃分為網(wǎng)民、互聯(lián)網(wǎng)企業(yè)、監(jiān)管部門和訪問者4種類型。個(gè)人信息保護(hù)中的客體相對(duì)明確，可以界定包括個(gè)人身份信息和行為信息在內(nèi)的個(gè)人信息資源。

2.1.2主客體的屬性分析

在訪問控制中，主客體的屬性主要用于描述訪問控制決策所需的主客體性質(zhì)或特征。在個(gè)人信息保護(hù)中，主體屬性即上文中網(wǎng)民、互聯(lián)網(wǎng)企業(yè)、監(jiān)管部門和訪問者用于訪問控制決策的屬性，客體屬性即個(gè)人信息資源的屬性。由于UCONABC模型沒有給出主客體屬性的通用界定，鑒于個(gè)人信息資源保護(hù)中授權(quán)的需要以及個(gè)人信息資源作為網(wǎng)絡(luò)資源的一個(gè)特殊子集的事實(shí)，本文將個(gè)人信息資源保護(hù)中的主體屬性劃分為權(quán)力屬性和非權(quán)力屬性，同時(shí)將權(quán)力屬性劃分為特征屬性(主要表現(xiàn)為具有穩(wěn)定性的屬性)、狀態(tài)屬性(主要表現(xiàn)為具有可變性的屬性)。參照都柏林核心元數(shù)據(jù)集對(duì)于資源屬性的描述，并結(jié)合相關(guān)文獻(xiàn)的研究[9]，本文將個(gè)人信息資源屬性劃分為共有屬性、特有屬性和擴(kuò)展屬性3種類別。共有屬性用以描述個(gè)人信息資源屬性中具有共性特征的屬性(如題名、創(chuàng)建者、所有者、相關(guān)權(quán)益者、來源等)。特有屬性用以描述個(gè)人信息資源在特殊要求情形下的個(gè)性化特征(如密級(jí)屬性)。擴(kuò)展屬性主要根據(jù)各部門、行業(yè)、子系統(tǒng)的訪問控制需求對(duì)個(gè)人信息資源設(shè)定其他屬性項(xiàng)。

2.1.3權(quán)利分析

文獻(xiàn)[9]從數(shù)字版權(quán)保護(hù)的角度對(duì)網(wǎng)絡(luò)資源的訪問控制權(quán)利進(jìn)行劃分，并將權(quán)利劃分為2個(gè)一級(jí)類別和4個(gè)二級(jí)類別。個(gè)人信息資源作為網(wǎng)絡(luò)資源的一個(gè)子集，具有文件類資源的基本特征，因此可以繼承文件類資源的通用屬性，如讀、寫、創(chuàng)建、刪除、修改、查找等權(quán)利。UCONABC模型中的權(quán)利與傳統(tǒng)訪問控制中的權(quán)利有所不同。傳統(tǒng)訪問控制中權(quán)利是獨(dú)立于主體的訪問控制行為，無論主體是否有訪問控制的實(shí)際操作，通常靜態(tài)地存儲(chǔ)在訪問控制矩陣中，在撤銷前被主體長(zhǎng)期擁有。在UCONABC模型中，權(quán)利只在主體訪問客體時(shí)才會(huì)被授予，而不是被某個(gè)主體長(zhǎng)期擁有。因此，UCONABC模型更符合個(gè)人信息資源保護(hù)的動(dòng)態(tài)需求。本文兼顧個(gè)人信息資源使用控制中轉(zhuǎn)移授權(quán)的需要，將個(gè)人信息資源訪問控制中涉及的權(quán)利劃分為如表1所示。

表1　個(gè)人信息訪問控制中的權(quán)利劃分

2.2個(gè)人信息使用控制方案設(shè)計(jì)

2.2.1個(gè)人信息訪問控制模型

UCONABC模型作為UCON的核心模型，主要從授權(quán)(A：Authorizations)、責(zé)任(B：Obligations)和條件(C：Conditions)3個(gè)關(guān)鍵因素的角度實(shí)現(xiàn)使用決策[10]，同時(shí)兼顧主客體屬性的可變特征來完成對(duì)主體訪問客體資源的動(dòng)態(tài)授權(quán)策略?；赨CONABC模型的個(gè)人信息訪問控制模型如圖1所示。

圖1　個(gè)人信息訪問控制模型

1) 授權(quán)是基于主客體屬性和所涉及的權(quán)利進(jìn)行的決策，傳統(tǒng)訪問控制通常是在訪問前對(duì)所涉及的權(quán)利一次性授予。UCONABC模型中，授權(quán)只在主體提出訪問申請(qǐng)時(shí)才進(jìn)行。同時(shí)，UCONABC模型中的授權(quán)可以根據(jù)主客體屬性、權(quán)利的細(xì)分程度實(shí)現(xiàn)更為細(xì)粒度化的權(quán)利控制。

2) 責(zé)任主要是指主體在訪問客體資源之前或訪問客體資源過程中，根據(jù)使用決策必須實(shí)施的具體操作行為[10]。例如，訪問者訪問個(gè)人信息資源時(shí)，需提供合同信息或特定的身份信息等。因此，通過過程責(zé)任的設(shè)定可以支持對(duì)個(gè)人信息訪問的過程控制，與傳統(tǒng)訪問控制相比，它更具時(shí)效性。

3) 條件主要用以描述系統(tǒng)因素，這些因素通常不能被特定的主體所控制，且因素的變化也不影響主客體的屬性。例如系統(tǒng)時(shí)間、系統(tǒng)負(fù)載以及系統(tǒng)的安全狀態(tài)等。

綜合應(yīng)用授權(quán)、條件、責(zé)任及主客體屬性進(jìn)行授權(quán)決策能使使用控制在權(quán)利上更加細(xì)粒度化，在控制上更具連續(xù)性。因此，基于UCONABC模型的個(gè)人信息使用控制方案更加適應(yīng)有限實(shí)名網(wǎng)絡(luò)環(huán)境下個(gè)人信息保護(hù)的需求。

2.2.2參量說明

1)S,O,R：S表示個(gè)人信息使用控制中的主體(subject)；O表示訪問控制中的客體(object)即個(gè)人信息資源；R表示個(gè)人信息資源使用控制中的權(quán)利(right)。

2)S1,S2,S3,S4：分別表示使用主體的4種類型(企業(yè)、個(gè)人、監(jiān)管者、訪問者)。

3)A,B,C：分別表示使用控制中的授權(quán)(authorizations)、責(zé)任(obligations)、條件(conditions)。

4)P={p1,p2,…,pk}：個(gè)人信息使用控制主體操作行為的集合。

2.2.3函數(shù)設(shè)計(jì)

1)ATT()：提取主客體屬性，即ATT(S)→S′,ATT(O)→O′。

2)Sq(s,o,r)：主體s申請(qǐng)對(duì)個(gè)人信息資源o的使用權(quán)利r。

3)getP(s,o,r)→P：提取主體s在對(duì)個(gè)人信息資源o申請(qǐng)使用權(quán)利r時(shí)的操作信息。

4)getB(s,o,r)→B′：提取主體s在對(duì)個(gè)人信息資源o申請(qǐng)使用權(quán)利r時(shí)的責(zé)任信息。

5)getC(s,o,r)→C′：提取主體s在對(duì)個(gè)人信息資源o申請(qǐng)使用權(quán)利r時(shí)的條件信息。

6)setS(s,o,r)→S′：主體s對(duì)個(gè)人信息資源o申請(qǐng)權(quán)利r時(shí)，系統(tǒng)設(shè)定的主體屬性要求。

7)setO(s,o,r)→O′：主體s在對(duì)個(gè)人信息資源o申請(qǐng)使用權(quán)利r時(shí)，系統(tǒng)設(shè)定的個(gè)人信息資源屬性要求。

8)setB(s,o,r)→B′：主體s在對(duì)個(gè)人信息資源o申請(qǐng)使用權(quán)利r時(shí)，系統(tǒng)設(shè)定的責(zé)任要求。

9)setC(s,o,r)→C′：主體s在對(duì)個(gè)人信息資源o申請(qǐng)使用權(quán)利r時(shí)，系統(tǒng)設(shè)定的條件要求。

10)A_checked(s,o,r)→{true,false}：檢查授權(quán)是否滿足的仲裁函數(shù)。

11)B_checked(s,o,r)→{true,false}：檢查責(zé)任是否滿足的仲裁函數(shù)。

12)C_checked(s,o,r)→{true,false}：檢查條件是否滿足的仲裁函數(shù)。

13)ATT_checked(s,o,r)→{true,false}：檢查屬性是否滿足的仲裁函數(shù)。

14)allowed(s,o,r)：授予主體s對(duì)個(gè)人信息資源o的使用權(quán)利r。

15)reject(s,o,r)：拒絕主體s對(duì)個(gè)人信息資源o使用權(quán)利r的申請(qǐng)。

16)stopped(s,o,r)：停止主體s對(duì)個(gè)人信息資源o的使用權(quán)利r。

17)update()：更新主客體的屬性。

2.3方案設(shè)計(jì)

UCONABC模型包含16個(gè)子模型，針對(duì)屬性變化可分為4種情形：屬性不可變、屬性訪問前更新、過程中更新、訪問后更新。根據(jù)授權(quán)、責(zé)任和條件這3個(gè)關(guān)鍵因素又可分為預(yù)先授權(quán)、過程授權(quán)、預(yù)先責(zé)任、過程責(zé)任、預(yù)先條件、過程條件6個(gè)類別[10]。不同的子模型可以單獨(dú)或組合應(yīng)用在不同的使用控制環(huán)境中。

根據(jù)個(gè)人信息保護(hù)的需求，本文主要給出基于UCONABC模型屬性可變情形下的預(yù)先授權(quán)子模型、預(yù)先責(zé)任子模型和預(yù)先條件子模型的形式化描述。

2.3.1基于預(yù)先授權(quán)的個(gè)人信息保護(hù)方案

//“?”表示必要條件；“?”表示充分條件

//權(quán)利申請(qǐng)

Sq(s,o,r) //主體s申請(qǐng)對(duì)個(gè)人信息資源o的權(quán)限r(nóng)；

//屬性判斷；

ATT_checked(s,o,r)?setS(s,o,r)?ATT(s)

//“系統(tǒng)設(shè)定的主體屬性要求是主體s屬性的子集”這一條件是屬性仲裁函數(shù)取值true的必要條件；

ATT_checked(s,o,r)?setO(s,o,r)?ATT(o)//“系統(tǒng)設(shè)定的客體屬性要求是個(gè)人信息資源o屬性的子集”這一條件是屬性仲裁函數(shù)取值true的必要條件；

A_checked(s,o,r)?ATT_checked(s,o,r) //屬性仲裁函數(shù)取值true是授權(quán)函數(shù)取值true的必要條件；

allowed(s,o,r)?A_checked(s,o,r) //授權(quán)仲裁函數(shù)取值true是授權(quán)主體相應(yīng)權(quán)利的必要條件；

//屬性更新

update(s)?allowed(s,o,r)

update(o)?allowed(s,o,r)

//授權(quán)是更新主客體屬性的充分條件

getP(s,o,r)

//獲取主體s得到授權(quán)后的相關(guān)操作行為，并以此作為屬性更新的觸發(fā)器；

update(s) //更新主體s屬性

update(o)//更新個(gè)人信息資源o的屬性

//停止授權(quán)

stop(s,o,r)?A_checked(s,o,r) //授權(quán)仲裁函數(shù)是否為停止主體s訪問個(gè)人信息資源o的權(quán)利r的充分條件。

2.3.2基于預(yù)先責(zé)任的個(gè)人信息保護(hù)方案

預(yù)先責(zé)任與預(yù)先授權(quán)的不同之處在于將基于主客體屬性的仲裁替換為基于主體責(zé)任的仲裁。接下來給出責(zé)任判斷的形式化描述。

//責(zé)任判斷

B_checked(s,o,r)?setB(s,o,r)?getB(s,o,r)

//“系統(tǒng)設(shè)定的主體責(zé)任要求是主體s責(zé)任的子集”這一條件是責(zé)任仲裁函數(shù)取值true的必要條件；

allowed(s,o,r)?B_checked(s,o,r) //責(zé)任仲裁函數(shù)取值true是授予主體s相應(yīng)權(quán)利的必要條件。

2.3.3基于預(yù)先條件的個(gè)人信息保護(hù)方案

預(yù)先條件的仲裁主要是基于系統(tǒng)條件的仲裁。在此給出條件判斷的形式化描述。

//條件判斷

C_checked(s,o,r)?setC(s,o,r)?getC(s,o,r)

//“系統(tǒng)設(shè)定的條件要求是系統(tǒng)現(xiàn)有條件的子集”這一條件是條件仲裁函數(shù)取值true的必要條件；

allowed(s,o,r)?C_checked(s,o,r) //責(zé)任仲裁函數(shù)取值true是授予主體s相應(yīng)權(quán)利的必要條件。

此外，在預(yù)先決策的過程中，可綜合使用基于屬性、責(zé)任和條件的授權(quán)決策，從而提高個(gè)人信息資源保護(hù)的靈活性和有效性。同時(shí)，基于主客體和權(quán)利的細(xì)分，根據(jù)使用控制環(huán)境的需要建立主客體屬性與權(quán)利的映射關(guān)系，對(duì)個(gè)人信息資源的使用控制授權(quán)實(shí)現(xiàn)更加細(xì)粒度的控制。

3結(jié)束語

UCONABC模型在“連續(xù)性”和“可變性”方面較傳統(tǒng)訪問控制有明顯的優(yōu)勢(shì)，對(duì)有限實(shí)名網(wǎng)絡(luò)環(huán)境中個(gè)人信息保護(hù)的動(dòng)態(tài)性要求更具有效性?；赨CONABC模型的個(gè)人信息保護(hù)方案通過具有動(dòng)態(tài)性特征的授權(quán)決策方案實(shí)現(xiàn)預(yù)先控制，支持過程決策。同時(shí)，該方法基于屬性、責(zé)任和條件進(jìn)行多維度的仲裁，支持對(duì)個(gè)人信息資源更加靈活和細(xì)粒度的使用控制。因此，將UCONABC模型的基本方法引入個(gè)人信息保護(hù)中，可以為日益突出的個(gè)人信息安全問題提供新的思路和建議。

參考文獻(xiàn)：

[1]石佳友.網(wǎng)絡(luò)環(huán)境下的個(gè)人信息保護(hù)立法[J].蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2012(6):85-96.

[2]齊愛民.論個(gè)人信息保護(hù)基本策略的政府選擇[J].蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2007(4):32-36.

[3]王宇.社交網(wǎng)絡(luò)中用戶個(gè)人信息安全保護(hù)研究[J].圖書館學(xué)研究,2014(20):178-178.

[4]佟大柱.網(wǎng)絡(luò)環(huán)境下的個(gè)人信息安全與保護(hù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2012(8):18-20.

[5]郭玉梅.個(gè)人信息的網(wǎng)絡(luò)安全保護(hù)[J].軟件工程師,2012(5):19-21.

[6]史衛(wèi)民.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的現(xiàn)實(shí)困境與路徑選擇[J].情報(bào)雜志,2013(12):155-159.

[7]PARK J,SANDHU R.The UCON ABC usage control model[J].Acm Transactions on Information & System Security,2002(7):128-174.

[8]李亞平,周偉良.UCONABC模型中的委托授權(quán)方案研究[J].中國(guó)科學(xué)技術(shù)大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,42(2):154-160.

[9]李亞平.基于UCON過程控制模型的DRM授權(quán)規(guī)則設(shè)計(jì)[J].長(zhǎng)江大學(xué)學(xué)報(bào)(自然科學(xué)版),2014(22):31-35.

[10]王鳳英.訪問控制原理與實(shí)踐[M].北京:北京郵電大學(xué)出版社，2010.

(責(zé)任編輯楊黎麗)

Research on Protection Scheme for Personal Information Based on UCONABCModel

LI Ya-ping1, 2

(1.School of Management, Hefei University of Technology, Hefei 230009, China;2.Anhui Economic Management Institute, Hefei 230059, China)

Abstract:With the continuous improvement of the degree of network real name, personal information security is becoming more and more prominent. In view of the dynamic nature of the requirements, rights and obligations in the protection of personal information, the traditional access control methods have limitations. A protection scheme with dynamic characteristics was designed by introducing the method of UCONABCmodel based on the division of the subject and the right of the personal information resources and the key factors, such as authorization, responsibility, obligation, etc, which provides new view for solving the problem of personal information security.

Key words:usage control authorizations, obligations, conditions (UCON); personal information; information security; dynamic

文章編號(hào)：1674-8425(2016)04-0102-06

中圖分類號(hào)：TP391

文獻(xiàn)標(biāo)識(shí)碼：A

doi:10.3969/j.issn.1674-8425(z).2016.04.018

作者簡(jiǎn)介：李亞平(1982—)，安徽長(zhǎng)豐人，講師，博士研究生，主要從事信息管理與信息系統(tǒng)研究。

基金項(xiàng)目：國(guó)家社科基金資助項(xiàng)目(13BTQ048)；安徽省2013年高校省級(jí)優(yōu)秀青年人才基金重點(diǎn)項(xiàng)目(2013SQRW115ZD)

收稿日期：2015-11-16

引用格式：李亞平.應(yīng)用UCONABC模型的個(gè)人信息保護(hù)方案[J].重慶理工大學(xué)學(xué)報(bào)(自然科學(xué))，2016(4):102-107.

Citation format：LI Ya-ping.Research on Protection Scheme for Personal Information Based on UCONABCModel[J].Journal of Chongqing University of Technology(Natural Science)，2016(4):102-107.