45自动信任协商安全性分析习题.PPT

在图7.5中，Alice和SMC的信任协商是这样的 ①表示Alice向eBookMarket发送访问请求 ②表示SMC要求出示相应的信任证，证实Alice是“由福利公司(ReliefNet)所承认的单位或个人” ③表示Alice向SMC提交信任证(a) ④表示SMC在验证Alice的信任证满足本地的安全策略后，允许Alice享受打折请求 4. ACK策略的实例分析 现设Alice认为其员工身份包含敏感信息，只能披露给政府授权的且名声较好的机构，不是对任意的机构都能够披露的。即证书(a)的披露必须建立在一定的信任关系上。在使用ACK 策略后，证书(a)的访问控制策略描述可描述为： (e)ACK：Alice[(a)]=Gov.goodIndeed 该ACK策略表示信任证（a）只能披露Alice给政府授权的且名声较好的机构 4. ACK策略的实例分析 为了确保协商的顺利进行，SMC 将提供证书 (f)Gov.goodIndeed←SMC 该信任证表示Gov声明SMC 是政府授权的且名声较好的机构 加入ACK策略后，Alice和SMC的信任协商过程将改变为如图7.6所示 4. ACK策略的实例分析 在图7.6中，增加ACK策略以后，Alice和SMC的信任协商过程发生了相应的改变 ①表示Alice向eBookMarket发送访问请求 ②表示SMC要求出示相应的信任证，证实Alice是“由福利公司(ReliefNet)所承认的单位或个人” ③表示Alice根据本地ACK策略，要求SMC提供信任证，证实SMC是“政府授权的且名声较好的机构” 4. ACK策略的实例分析 ④表示SMC披露信任证（f）给Alice ⑤表示Alice在验证信任证（f），满足本地ACK安全策略后，提供信任证(a)给SMC ⑥表示SMC在验证Alice的信任证满足本地的安全策略后，允许Alice享受打折请求 4. ACK策略的实例分析 从上面的例子看来，ACK 策略是通过增加访问控制策略，以达到建立更高级别的信任关系后，再释放一些重要的信息，从而避免了攻击方的非授权推测 此外，针对信任证中敏感信息保护问题，还有学者提出了隐藏证书和零知识证明协议等概念，隐藏证书基于椭圆曲线加密的原理，对证书中敏感信息进行机密性和完整性保护，可以防止敏感信息的泄露 4. ACK策略的实例分析 自动信任协商通过使用访问控制策略提供了一种方法来规范敏感证书和敏感策略的交换，从而保护了用户的敏感证书信息、敏感访问控制策略和个人隐私。当访问者与资源/服务提供方不在同一个安全域时，自动信任协商则可为合法用户访问资源提供安全保障 ，防止非法用户的非授权访问 4.5 自动信任协商安全性分析 但现有的ATN模型存在一些不足： 1. 缺乏对相关概念统一的安全定义 自动信任协商中没有对信任证、访问控制策略、协商者等给出安全定义,即没有回答“什么样的证书,才算是安全的”、“什么样的访问控制策略才可提供安全保障”等问题。一般地，为了提高证书的安全级别，学者们增加了签名算法的研究力度；为了保证访问控制策略的安全，则规范访问控制策略的披露过程，对敏感信息的释放进行严格限制等。但高安全级别的证书，增加了加密/解密的开销，访问控制的谨慎披露策略，降低了协商效率 4.5 自动信任协商安全性分析 2. 访问控制策略描述语言研究需要加强 访问控制策略是ATN 中的一个重要研究内容，时至今日，有关策略语言的研究仍属于一个热点。ATN 的广泛应用需要表达力强、计算效率高而且易于理解和处理的策略语言来支持，策略语言不仅局限于对信任证属性的约束，而且要能够表达跨安全域间复杂的信任关系。同时，在访问控制策略动态变化情况下，需要研究其对协商策略的影响，即二者间互相影响的联动关系 4.5 自动信任协商安全性分析 3. 信任决策模型需要综合考虑各种因素 现在的ATN的信任决策模型仍凸显单薄。在现实社会中,陌生方之间信任的确立往往需要凭借主观和非主观信任相结合的方式。主观信任模型的研究主要侧重于从主观性入手研究信任的数学模型，解决信任的表述、度量、推导和综合运算等问题。因此，研究一种结合主观信任和客观安全策略相结合的信任决策模型将为跨域协作提供更有力的理论基础 4.5 自动信任协商安全性分析 习题 1. 试列举一个信任管理系统的应用实例，并且对照信任管理系统的基本组件，说明信任管理系统的运行框架和大致流程 3. 对比dRBAC模型与RT0模型，说明它们之间有何相同点，有何不同的地方 4. 列举一个ATN的应用实例，并给出Client与Service建立信任关系的过程，要求协商双方至少都要定义一条