一种新型安全信任协商策略算法.docVIP

一种新型的安全信任协商策略算法 　　摘 要：介绍了信任协商机制的一般流程，给出了逐步信任协商和规则图的概念，提出了一种新型的安全信任协商策略算法，并分析了该算法的安全性。 　　关键词： 信任协商； 规则图； 策略 　　中图分类号：TP393.08文献标志码：A 　　文章编号：1001-3695(2007)06-0139-03 　　近年来，随着基于网络的电子商务、政务和科学实验等活动的逐步发展，大规模分布式网络环境下进行资源共享和业务协作变得日益频繁。在分布式网络环境中，由于参与对象的数量巨大，各自运行环境的差异性，以及活动目标的动态性等特点，各资源的拥有者往往隶属于不同的安全管理域内。使用传统的基于身份的访问控制技术对于这种跨多个安全管理域的资源的授权和访问控制就会显得力不从心。信任协商机制是一种用于解决这种跨多个管理域间访问控制的新方法。然而，以往的研究对其安全性考虑不足，本文提出了一种新型的安全信任协商策略算法，能很好地解决这些安全性问题。?? 　　 　　1 信任协商机制原理 　　1.1 信任协商机制的基本流程?? 　　信任协商（Trust Negotiation）机制是由W.Winsborough等人［1］提出的一种用于在陌生的交互双方之间建立信任的方法。信任协商的主要思想是：陌生的双方通过证书、访问控制规则的交互出示，使得资源的请求者与拥有者之间自动地建立信任关系。图1是一个简单的信任协商例子。?? 　　图1 网上订购学生票 　　A同学是南京大学的一名本科生，学校给他颁发了一份电子化的学生证书。现在假设火车站提供一种网上购票的系统，A可以通过登录该系统来订购寒假回家的学生票。购票系统中有一条对购买学生票的访问控制规则P：只给具有学生证书的人出售学生票。当A请求购买学生票时，购票系统站点就会给学生发送上述规则P。学生方在收到规则P后就把自己的证书发送给购票系统站点，站点在收到证书后验证证书的正确性以及是否满足规则，无误后便可发送订票成功信息给A。?? 　　这个例子很简单，从中可以看到，原本不同属于任何一个安全管理域的双方（学生和车站），经过简单的协商过程，建立了某种程度上的信任。这种跨安全管理域间的信任建立，传统情况下一般通过使用可信的第三方来做中介代理，由他来负责对双方的信任度作评估，以决定如何进行相应的操作。而在上面的信任协商例子中看到协商的双方是完全陌生的，之前不存在任何预先的信任关系，在协商中也不存在一个他们都信任的第三方，在此情况下信任协商机制完全自主的优点就体现出来了。 　　1.2 逐步信任协商和规则图?? 　　上面通过一个简单的网上订票例子介绍了信任协商机制的基本流程，情况相当简单，双方只进行了一次“请求证书”?D“出示证书”的过程就彼此获取了信任。但在很多实际使用中，情况会复杂得多。很多时候，当你请求对方证书时，对方也会反过来请求你的证书，因为有些证书对方是不愿意直接出示的，需要达成一定的信任关系后才可以出示。这样多次来回请求证书，直到双方逐渐达成了信任关系，资源的拥有者才会出示其资源给请求方。这样的情况称之为逐步信任协商，这是信任协商在实际运用中最常出现的形式。?? 　　对于逐步信任协商，资源不再是通过单一的规则来保护，而是通过一系列具有先后关系的规则来保护，这些规则形成了具有层次关系的结构。在文献[2]中将这种具有层次关系的规则组合而成的数据结构称为规则图。它是一个有向无环图，每个规则图只有一个源节点和一个终节点，终节点代表了规则图所保护的资源，其他节点上都带有相应的规则。图2是一个规则图的例子。本例中，资源R表示为：姓名是XXX的教师档案。对于接收到对方证书的不同，在协商中出示的规则也不同。如果是普通教师请求查询，则必须出示其身份证书，以证明和被查询人是亲戚，但如果是校长，则可以直接进行查询。 　　 　　2 一种新型的安全信任协商策略算法SDSNS?? 　　在协商过程中，以怎样的途径来出示、接收规则和证书，这就是协商策略要关注的问题。在文献[2]中提出过两种的协商策略算法，这两种协商策略算法是基于理想网络状况下的协商过程设计的，并没有考虑很多信任协商机制本身的安全性因素，因此很容易遭到攻击者的破坏。关于针对信任协商机制本身的攻击可以参考文献[3]。据此，笔者提出了一种称为安全出示集协商策略（Secure Disclosure Set Negotiation Strategy，SDSNS）的协商策略算法来解决这些存在的安全隐患。 　　2.1 算法中的几个重要概念?? 　　前面提到，在实际的信任协商过程中绝大部分情况是以逐步信任协商的形式出现的。本文的算法是以规则图为基础来进行设计的。下面介绍算法中需要用到的三个概念，这些概念在该安全协商策略算法中起着至关重要的