（计算机应用技术专业论文）基于半环理论的可信性评估模型研究.pdf

摘要 摘要 传统的信息安全策略已经不能适应现在社会对安全的要求，可信技术的发展是计算 安全发展的要求，也越来越受到广泛的重视。对于网络当中的结点的可信性进行评估就 显得非常重要：如果一个结点是可信的，才允许它参加路由选择，反之，就不允许它参 加，这样就可以大大提高网络的安全性。 在网络安全领域，可信指的是参加各种协议的各个实体之间关系的集合，这些关系 是建立在实体在某个协议之上进行相互操作的行为之上的。本文首先介绍了半环理论、 可信的基本概念和相关特征，然后对其他的信任模型进行分析，针对他们存在的问题进 行分析，在此基础上提出了基于半环理论的可信评估模型t d s e m i r i n g ，该模型能够 很好地解决可信度的评估问题。 本文主要讨论的是对可信事件的评估，其中评估过程被建模成一个在有向图寻找最 短路径的问题，在该有向图中结点表示实体或者用户，边表示可信关系，通过使用半环 理论，建立了一个基于半环的可信性评估模型t d s e m i r l n g ，在两个以前没有进行相互 操作的实体之间建立间接的可信关系，介绍了这个模型在路由选择当中的应用；最后， 通过仿真实验，验证、分析了该模型的有效性，并对未来的工作进行了总结和展望。 关键词可信可信评估可信评估模型半环a d h o c 网络 a b s t r a c t a b s t r a c t t h et r a d i t i o n a li n f o r m a t i o ns e c u r i t ys t r a t e g yh a sb e e nu n a b l et om e e tt h ec o m m u n i t y s s e c u r i t yr e q u i r e m e n t s ，t r u s tc o m p u t i n g i st h er e q u i r e m e n to ft h ed e v e l o p m e n to ft h e c a l c u l a t i o no fs e c u r i t y , a n di sp a i dm o r ea n dm o r ea t t e n t i o n a m o n gt h en e t w o r kt oa s s e s st h e c r e d i b i l i t yo fn o d e si sv e r yi m p o r t a n t ，i fan o d ei sc r e d i b l e , o n l ya l l o wi tt op a r t i c i p a t ei n r o u t i n gt h eo t h e rh a n d , o rd on o ta l l o wi t t op a r t i c i p a t ei n , a n dt h i sc a ng r e a t l yi m p r o v e n e t w o r k s e c u r i t y t h en o t i o no ft r u s t , i nt h er e a l mo fn e t w o r ks e c u r i t y , w i l lf o ro u rp u r p o s e sc o r r e s p o n dt o as e to fr e l a t i o n sa m o n ge n t i t i e st h a tp a r t i c i p a t ei nap r o t o c 0 1 t h e s er e l a t i o n sa l eb a s e do n t h ee v i d e n c eg e n e r a t e db yt h ep r e v i o u si n t e r a c t i o n so fe n t i t i e sw i t h i nap r o t o c o l ；t oe n h a n c e s e c u r i t yi na d h o en e t w o r k s ，i ti si m p o r t a n tt oe v a l u a t et h et r u s t w o r t h i n e s so fo t h e rn o d e s w i t h o u tc e n t r a l i z e da u t h o r i t i e s i nt h i sw o r k ，w ea l ef o c u s i n go nt h ee v a l u a t i o no ft r u s t e v i d e n c ei na dh o en e t w o r k s f i r s t ，w ei n t r o d u c et h em e t r i c so ft h et r u s t ，t h ee v a l u a t i o n p r o c e s si sm o d e l e da sap a t hp r o b l e mo na d i r e c t e dg r a p h ，w h e r en o d e sr e p r e s e n te n t i t i e s ，a n d e d g e sr e p r e s e n tt r u s tr e l a t i o n s u s i n gt h et h e o r yo fs e m i r i n g , at r u s te v a l u a t i o nm o d e lb a s e d o ns e m i r i n g ( t d s e m i r t n g ) i sd e v e l o p e d ，t h e nt w on o d e sc a ne s t a b l i s ha ni n d i r e c tt r u s t r e l a t i o nw i t h o u tp r e v i o u sd i r e c ti n t e r a c t i o na n di n t r o d u c et h ea p p l i c a t i o no ft h i sm o d e li n r o u t ee l e c t i o n ；a tl a s t ，t h ef e a s i b i l i t yo ft h i sm o d e li sa n a l y s e d k e y w o r d s ：t r u s t ；t r u s te v a l u a t i o n ；t r u s tm o d e l ；s e m i r i n g ；a d h o cn e t w o r k s i i 河北大学 学位论文独创性声明 本人郑重声明：所里交的学位论文，是本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写的研究成果，也不包含为获得河北大学或其他教育机构的学位或证书 所使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示了致谢。 作者签名：日期：冱堕 年l 月耻e t 学位论文使用授权声明 本人完全了解河北大学有关保留、使用学位论文的规定，即：学校有权保留并向国 家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。学校可以公布 论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文。 本学位论文属于 1 、保密口，在年月日解密后适用本授权声明。 2 、不保密口。 ( 请在以上相应方格内打“4 ) 保护知识产权声明 本人为申请河北大学学位所提交的题目为( 纂j 彳肜，蜉? 拿胥移j 弘雠 论文，是我个人在导师叼银i 砀p 导并与导师合作下取得的研究成果，研究工作及取得 的研究成果是在河北大学所提例哟研究经费及导师的研究经费资助下完成的。本人完全 了解并严格遵守中华人民共和国为保护知识产权所制定的各项法律、行政法规以及河北 大学的相关规定。 本人声明如下：本论文的成果归河北大学所有，未经征得指导教师和河北大学的书 面同意和授权，本人保证不以任何形式公开和传播科研成果和科研工作内容。如果违反 本声明，本人愿意承担相应法律责任。 声明人： 作者签名： 导师签名： 第1 章绪论 第1 章绪论 1 1 引言 随着现今信息技术特别是攻防技术的发展，就信息系统本身而言，并不能完全做到 对计算系统的全方位的保护。可信计算平台的建设，是信息安全和计算安全的要求，是 全球信息化发展进程的要求，同时也是涉及到国家信息保障体系能否顺利实施的大事。 面对不断拓展的网上应用和网上操作，加强对可信计算技术的研究，有助于加快我国信 息化进程的发展，更有助于加快全球可信计算平台的构建。 a dh o c 网络是由一群不需要集中管理和固定网络结构的移动结点组成。a dh o e 网络 对于各种各样的攻击是脆弱的，因为a dh o c 网络的分布性的本质。为了解决a dh o c 网 络的安全性，一个可行的方案是建立一个允许每个结点去评估其他结点的可信性的机 制。该机制不仅能够用于恶意结点的检测，也能够提高网络的安全性能，因为可信度高 的结点能够避免同不可信的结点进行相互操作。 由于i n t e r n c t 已经能够把全球的计算机资源联结在一起，网络可以看成是一个有向 图，所有网络当中的结点都可以看作是有向图当中的结点。那么对于某个结点来说，评 估其他结点的可信性就非常必要了，如果该结点评测出它与某个下次准备要进行相互操 作的结点是可信_ 的，就可以与之进行相互操作，反之，则不与之进行相互操作，这样就 可以大大提高网络的安全性。同样可以利用它来检测恶意结点，如果一个结点在检测到 某个结点的可信值低于某个特定值的时候就认为该结点是一个恶意结点，从而拒绝与该 结点进行相互操作。 1 2 课题的研究现状 1 2 1 传统信息安全性的不足 我们知道信息安全必须首先解决计算机本身的安全隐患问题，所有的信息安全防御 工作必须从终端源头开始进行。传统的计算机系统存在着如下一些安全隐患，它通过包 的转发等策略来实现信息的传递，而不考虑这些传送信息的这些结点是否是合法的，而 这些信息进入计算机系统以后，在进行解包时病毒就开始入侵系统( 如d d o s ) 或者通 过诱骗等来获得计算机超级管理员的密码，导致系统资源可以在不知道的情况下被任意 的使用，特别是执行代码可以被修改，恶意程序可以被植入。病毒程序利用p c 操作系 河北大学丁学硕十学位论文 统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，从而实现了病毒的 传播；黑客则利用被攻击的系统的漏洞，来窃取超级用户的权限，在系统中植入攻击程 序，肆意进行破坏等活动。入侵检测系统( d s 系统) 能够发现一些的网络病毒、系统 漏洞、异常攻击等高风险事件并进行有效处置，从而保障了各重要业务系统的正常运行。 防火墙技术也能起到一些防御攻击的效果，但仅靠它们的防御是远远不够的。 近年以来，人们已经充分认识到仅仅依靠内部检测的方式来解决安全性的问题是不 够的，而开始从信息的传递源开始就检测传递的合法性。未来i t 的关键应用越来越多 地是基于信息传递和互联网之上，营造一个可信的计算环境是r r 应用的基础和保障， 而信息传递本身的安全性、可信性是其中的核心。 国家信息化专家咨询委员会专家沈昌祥院士指出：“为了解决p c 结构上的不安全， 从基础上提高其可信性，在世界范围内要推行可信计算技术”。 1 2 2 本课题的研究现状 b l a z e 模型：1 9 9 6 年，m b l a z e 等人为了解决网络服务的安全问题，首次提出了“信 任管理( t m s tm a n a g e m e n t ) 的概念【1 1 ，并在此基础上发展出了一个相应的信任管理系统 p o l i c ym a k e r 1 1 和k e y n o t e d ：2 。3 1 ，其基本思想是承认开放系统中安全信息的不完整性，提出 系统的安全决策需要附加的安全信息，因而将信任与分布式系统安全结合在一起。 w i n s b o r o u g h 等人【4 】称这类信任管理系统为基于能力( c 印a b i l i t y 七嬲e d ) 的授权系统，它们仍 需要服务方预先为请求方颁发指定操作权限的信任证，无法与陌生方建立动态的信任关 系。依赖主体属性( p r o p e r t y - b a s e d ) 授权，是为陌生方之间建立信任关系的一种有效方法【5 】。 与此同时，a a d u l r a h m a n 等学者则从信任的概念出发，对信任内容和信任程度进 行划分，并从信任的主观性入手提出了信任度量的数学模型【鼬】。 b e t h 信任度评估模型【9 】：该模型引入了经验的概念来表述和度量信任关系，并给出了 由经验推荐所引出的信任度推导和综合计算公式。在b e t h 信任度评估模型中，经验被定 义为对某个实体完成某项任务的情况记录，对应于任务的成败。经验被分为肯定经验和否 定经验。若实体任务成功则对其的肯定经验记数增加，若实体任务失败则否定经验记数增 加。模型中的经验可以由推荐获得，而推荐经验的可信度问题同样是信任问题。 b e t h 模型对直接信任的定义比较严格，仅采用肯定经验对信任关系进行度量。另外， 其信任度综合计算采用简单的算术平均，无法很好地消除恶意推荐所带来的影响。 2 第1 章绪论 j e s a n g 信任度评估模型：j e s a n g 等人提出了基于主观逻辑( s u b j e c t i v el o g i c ) 的信 任模型【1 m 1 5 1 ，引入了证据空间( e v i d e n c es p a c e ) 和观念空间( o p i n i o ns p a c e ) 的概念来描述 和度量信任关系，并提供了一套主观逻辑( s u b j e c t i v el o g i c ) 运_ 算子用于信任度的推导和综 合计算。 与b e t h 模型相比，j o s a n g 模型对信任的定义较宽松，同时使用了事实空间中的肯定事 件和否定事件对信任关系进行度量。模型没有明确区分直接信任和推荐信任，但提供了推 荐算子用于信任度的推导。该模型同样无法有效的消除恶意推荐带来的影响。 随着新的网络应用模式的出现，在p 2 p 、移动自组网、传感器网络和普适计算等领 域中的信任和信任管理成了研究的重点。其中，p 2 p 领域的信任机制包括基于抱怨的信 任管理方法【1 6 】，基于声望的可信支持框架p e e r t r u s t 【1 7 1 、基于b a y e s i a nn e t w o r k 的信任模 型【1 8 】等等。在可信评估和可信管理方面取得了一些成果，包括基于a c c u s a t i o n ( 谴责) 的可信评估1 9 1 、适用于评估“开放性多代理系统信任度和信誉值的f i r e 模型【2 0 1 、依 据上下文环境的可靠性进行可信评估的框架【2 1 1 、提出了用神经网络对网络服务可信度 评估的方法【2 2 1 、基于角色推荐的可信评估的框架【2 3 】等等。 在国内，对于信任模型和信任管理技术的研究也逐渐深入。如国防科学技术大学的 王志英教授等从信任关系的动态特性、动态信任关系建模和基于动态信任模型的可信决 策等问题进行了研究【2 4 】。王怀民教授等在文【2 5 】提出了一个基于i n t e r n e t 的虚拟计算环 境( i v c e ) 的可信框架，将身份、能力和行为可信性作为分布式软件可信性的基本因素 进行研究，为软件可信性的研究提供了很好的思路。在文献【2 6 】提出一个基于时间帧的动 态信任模型d y t r u s t ，使用时间帧标示经验和推荐的时间特性，提高了信任模型的动态 适应能力；清华大学的林闯教授等【2 7 】利用随机模型分析了网络安全中的可信性；北京大 学的唐文等【2 8 】运用模糊集合理论对信任管理问题进行了建模，提出了信任关系的推导规 则，为开放网络环境中的信任管理研究提供了一个有价值的新思路。中科院、华中科技 大学、哈工大、西安电子科技大学、南京大学、湖南大学、武汉大学等为代表的科研机 构从信任度模型【2 8 。3 0 1 、自动信任协商【3 1 。3 1 、授权管型3 4 1 、网构软件的信任度型3 5 1 、p 2 p 网络中的信任【3 8 1 等多个角度展开了研究，都取得了丰硕的成果。 近年来一些主流的研究领域包括： ( 1 ) 信任以及非信任的传播。 3 河北大学_ t 学硕十学位论文 g u b a 3 9 】主要是面向电子商务系统，提出了一套完整的算法，文中使用t r u s tg r a p h ：i 挂行 了传递方法研究，算法针对个体之间的部分信任表达来精确预测任意两个对象之间的信 任。 ( 2 ) 基于声望( r e p u t a t i o n ) 的直接信任模型。 目前国际上大部分直接信任模型都是基于声望的，文【删提出影响信任的5 种参数， 并且融合这5 种参数提出了一致信任度量策略( ac o h e r e n tt r u s tm e t r i c ) ，来进行实体的信 任度量。文【4 1 1 提出了一种基于声望的信任模型：t r u m m a r ，并能被移动代理系统用来 防止恶意主机的入侵。文f 4 2 】比较了分布式系统中基于可信和声望的集中式系统体制， 提出了一个基于b a y e s i a n - n e t w o r k 的可信模型。文【4 3 】对声望管理中的欺骗检测进行了研 究。文介绍了分布式期望管理结构，提出了神经系统理论的全局期望模型。 ( 3 ) 使用模糊集的方法来研究直接信任。 由于信任在某种程度上的不确定性，但在进行可信决策的时候又需要按照一定的度 量策略来进行，所以信任度量可以使用模糊方法来研究。文【4 5 】提出了基于开放式网络环 境的模糊自主信任模型，解决了模糊信任的建模问题。文m 明确给出了网格环境下信任 的定义，详细分析了信任属性。根据网格的特点，提出了以域为单位的两层信任模型， 包括全局信任关系和本地信任关系。重点介绍了网格计算中全局信任的计算模式。文m 对于信任的度量和量化提出了一种基于模糊逻辑的算法。 ( 4 ) 基于推荐代理( r c c o m m e n d a t i o nd e l e g a t e ) 的直接信任模型。 文【4 8 1 提出了一种信任代理树t r u s td e l e g a t i o nt r e e ( t d t ) 和- - 种动态分布式信任协 议( d y n a m i cd i s t r i b u t e dt r u s tp r o t o c 0 1 ) 。 1 3 课题的研究目标 本课题的目标是把现有的网络虚拟成人际关系中的信任网络，利用半环理论在现在 的网络中引入可信机制，建立一个信任评估图，而评估过程被建模成一个在有向图寻找最 短路径的问题，在该有向图中结点表示实体或者用户，边表示可信关系，建立了个基 于半环的可信性评估模型t d s e m i r r n g , 在两个以前没有进行相互操作的实体之间建立 间接的可信关系。并通过仿真试验来验证该模型的有效性。 1 4 论文结构 第一章主要介绍课题的研究现状和研究目的等。第二章介绍了相关背景知识，引入 4 第1 章绪论 可信计算的原因、可信计算组织的介绍、可信的基本概念和特征。第三章阐述了半环理 论，包括半环定义和特性。第四章阐述了t d s e m i r i n g 的系统模型，系统实现的相关 技术，以及对系统的评测模型和评测结果分析。第五章为结束语。 河北大学t 学硕士学位论文 第2 章相关背景知识 2 1 引入可信计算的原因 传统的信息安全技术大都是在外界传递的信息已经进入到计算机内部的时候才开 始检测，根据检测的结果来决定相应的防卫工作，手段可以说是多种多样，技术也可以 说是越来越成熟。可是对于那些由恶意结点传过来的恶意的信息，传统的信息安全技术 并不能检测出该结点是否是恶意结点，而直接接收消息，从而导致了被入侵的可能，因 此传统的安全技术并不能解决这方面的安全问题。 因此，我们提出可信计算的技术，用以防卫来自于网络外部的攻击和威胁。提出可 信计算技术的目标主要是杜绝不可信代码的存在，包括有漏洞的或者是恶意的代码。用 可信性作为一个衡量的方法和估计的手段，对系统外部的攻击进行有效的防卫和评测。 2 2 可信计算组织介绍 提到可信计算，我们就不得不提可信计算组织。可信计算组织是一个致力于推进适 合产业化、跨平台的可信计算的联盟。为了提高计算机的安全防护能力，i n t e l 、微软、 i b m 、h p 和c o m p a q 早在1 9 9 9 年10 月就共同发起成立了t c 妒5 1 ( t r u s t e dc o m p u t i n g p l a t f o r m a l l i a n c e ，可信计算平台联盟) 。发展成员1 9 0 家，遍布全球各大洲主力厂商。 t c p a 专注于从计算平台体系结构上增强其安全性，2 0 0 1 年1 月发布了标准规范( v 1 1 ) 2 0 0 3 年4 月8 日，t c p a 中的a m d 、h p 、m m 、i n t e l 和微软对外宣布，将t c p a 重新改组，更名为t c g ( t r u s t e dc o m p u t i n gg r o u p ，可信计算组织) ，这个组织将可信 定义为：一个实体是可信的，如果他的行为总是以所预期的方式朝着预期的目标。并继 续使用t c p a 制定的“t r u s t e dc o m p u t i n gp l a t f o r ms p e c i f i c a t i o n s ，同时也在制定符合 p a l l a d i u m 的t p m i 2 技术规范。其目的是在计算和通信系统中，广泛的使用基于硬件安 全模块支持下的可信计算平台，用以提高计算整体的安全性。 t c g 定义了具有安全功能的t p m t 5 2 】( 可信平台模块) ，通过在计算机系统中嵌入 一个可抵制篡改的独立计算引擎，作为平台的可信根，再通过信任链将信任扩展到整个 平台。 就我国的情况而言，传统的计算机系统存在着大量的安全隐患，必须对传统的计算 机结构进行改造，防外部的传统防御方法已经不够用，必须从计算机硬件和操作系统本 6 第2 章相关背景知识 身解决安全性的问题。 在我国，虽然从事可信计算技术研发的单位不算多，但效果却相当显著。除瑞达、 联想、浪潮等厂商先后跻身t c g ，积极参与国际交流以外，研发方面也有不逊色于国外 的突出表现：2 0 0 4 年1 2 月，天融信公司推出了致力于可信网络平台( n 岬) 的可信安全管 理平台和可信安全系统平台：联想方面也宣称已在可信主机、可信网络和可信管理系统 三个方面取得了关键性的突破：基于可信计算安全芯片的安全终端及安全应用系统，基 于l e a d s e e 安全协议族的可信管理系统框架，以及基于安全芯片的访问控制，高速内容 检测与过滤技术，3 a 网关技术构成的安全网络设备核心技术等。 我们还可以看到关于可信计算的论述日渐增多：“2 1 世纪的计算”国际研讨会，“中 国首届t c p 论坛 。“第一届中国可信计算学术会议一。“中国首届可信网络架构高层 研讨会，包括国信办在京组织的可信计算专题会议相继召开。 2 0 0 5 年1 月1 9 日全国信息安全标准化技术委员会在北京福建大厦召开了t c 2 6 0 可信 计算小组( w g l ) 成立大会，国信办网络与信息安全组领导，有关专家院士，联想，瑞 达，天融信、兆日，启明星辰，浪潮等公司主管在会上热情发言，大谈可信计算面临的 发展机遇和前景。 我国可信计算平台必须以自主知识产权为基础，依靠国产化产品。武汉瑞达信息安 全产业股份有限公司的可信计算平台在传统的计算机结构中嵌入具有完全自主知识产 权的e s m ( e m b e d d e ds e c u r i t ym o d u l e ) 安全控制模块，作为计算机的可信核心组件，极 大的提升了现有p c 机的安全性。瑞达可信计算平台已经在业界和用户中引起了极大的反 响和兴趣。目前，已在国家重要的政治、经济领域展开了相应的应用工作。瑞达还于2 0 0 4 年6 月推出了国内首款自主研发的具有1 1 p m 功能的可信安全计算机，其s q y l 4 嵌入密码 型计算机的芯片、主板、软件等全部都是由瑞达公司自己研制和改造出来的，除了在安 全计算机的系统结构和主要技术路线上与t c g 的可信p c 规范一致外，还在技术上有所创 新，增加了对开机和端口的限制。该产品于同年1 0 月通过了国家密码管理委员会的技术 鉴定。 在信息安全领域，各国都注重拥有自主知识产权的、国产化的安全产品的产业化。 信息系统也只有依赖并建立在自主知识产权的、国产化的安全产品基础上，才可能谈得 上是真正的安全、可信。研发拥有自主知识产权的、国产化的可信计算平台，对保障国 家信息安全、发展民族产业有着十分重要的意义。 7 河北大学t 学硕十学位论文 2 0 0 5 年1 月，为了研究可信计算的中国标准，国家专门成立了国家安全标准委员 会可信计算工作小组。工作小组开始规划可信计算平台的一些有关标准。同时，遵循立 足保护自己的知识产权、建立可信计算的通用平台、将“可信根 放在中国的三条基本 原则。 我们可以看到，t c g 发展的t c p ( t r u s t e dc o m p u t i n gp l a t f o r m ) 会成为未来信息 战的工具。同时我们必须还要清楚地认识到，t c g 认为可信的c p u 、b i o s 、操作系统 等，对中国来说不一定是可信的。t c g 的t c p 让用户对自己的计算机或计算机系统失 去了很多的控制权。中国用户使用国外的软、硬件产品还需要支付巨额的版权费，遏制 了中国软、硬件技术和产品的发展，中国软、硬件产品开发商也需要向t c g 支付巨额 的可信授权和可信评估的费用。 所以，我国可信计算平台的研发要坚持如下的基本原则： ( 1 ) 遵循t c g 的t c p 技术路线； ( 2 ) 中国t c p 的开放模式，由中国t c p 用户自行管理； ( 3 ) t c p 度量平台的可信性，配置和决策权由用户决定； ( 4 ) 发展t c g 的终端t c p ，占领网络可信计算的先机； ( 5 ) 信任链的延伸至网络应用： ( 6 ) 扩展t p m 中基于智能卡的认证技术； ( 7 ) 拓展t p m 中对应用的安全运行和保护的技术； 2 3 可信平台 2 3 1 可信平台的概念 所谓平台，是一种能向用户发布信息或从用户那里接收信息的实体。所谓可信计算 平台用，是能够提供可信计算服务的计算机软、硬件实体，它能够提供系统的可靠性、 可用性和信息的安全性。 可信计算平台基于可信平台模块( t p m ) ，以密码技术为支持、安全操作系统为核 心。安全操作系统是可信计算平台的核心和基础，没有安全的操作系统作为保障，就没 有安全的应用，也不能使t p m 发挥应有的作用。 8 第2 章相关背景知识 2 3 2 可信平台的发展 我国在2 0 0 0 年实施的8 6 3 安全课题中专门对基于l i n u x 开发安全操作系统立项。 目前，已经完成了多个符合美国国家可信计算机系统评价准则中b 1 级以上的安全操作 系统。这些系统包括有：江苏南大苏富特软件股份有限公司的苏富特安全操作系统 s o 舳sv 1 0 、北京中科安胜信息技术有限公司的安胜安全操作系统v i 0 、四川三0 卫 士安全软件有限公司的航天卫士安全操作系统( v 1 o ) 等多家安全操作系统。 t c g 预期，未来通过可信平台模块t p m 提供的硬件安全应用类别繁多，比如：由 t p m 提供密钥保护的文件及文件夹的加密；基于客户的单一登录方式：信息知识库的 防护( 如借助t p m 封装能力，保护诸如信用卡、账户等敏感信息) ；e - m a i l 集成；数 字签名；基于t p m 鉴权的企业登录；远程接入；增强型p k i ( 利用t p m 对保护和管理 策略进行认证授权) 等。 但是，目前国内有关可信计算和可信计算平台的研究工作主要集中于单机，提出了 多种新型的可信计算机和可信软件 1 l 一1 3 1 等。但是，对服务器系统可信的研究工作1 1 4 - 1 9 】 并没有全面的展开。 可信性这个概念现在还没有一个可以被广泛承认的定量的度量模型，可信的研究也 是技术超前于理论的状态。从理论上讲，根本上消除脆弱性，企图设计并实现一个绝对 安全的系统是不切实际的。但是，新一代的计算机系统需要从体系结构上为可信性付出 相应必要的努力，至少将安全完全建立在对用户绝对信任基础上的假设是不能够再成立 的。 、 2 4 可信的基本概念和特征 从网络安全的意义上说，可信指的是参加各种协议的各个实体之间关系的集合巧”， 实体在某个协议之下会进行相互的操作，而这些关系正是建立在这些相互操作的行为之 上的，也就是说，如果两个实体之间的相互操作是“可靠的，那么它们之间的信任度 将会增加。 在a d h o e 网络中，可信关系的建立有两种方式，一是通过对结点的直接观察或者 说是相互的操作来获得，例如可以给对方发送包，看对方是否能够按照自己的意愿去做， 等等；二是通过中间的结点来获得，也就是如果两个结点a ，b 之间没有相互操作，但都 同某个结点c 有直接的相互操作，那么a 就可以通过c 结点的推荐来获得b 的可信度， 9 河北大学r t 学硕士学位论文 此时称a 通过c 的推荐获得了对b 的可信度。 本文主要介绍a d - h o c 网络中的可信事件的评估过程。可信的评估过程可以用有向带 权图来描述，在该图中，结点表示用户，边表示直接的可信关系，权表示第一个用户对 第二个用户的信任程度。每一个用户只与跟它直接操作的对象才有直接的信任关系。最 主要的目标是为两个以前没有相互操作的结点之间建立间接的可信关系，这可以通过与 这两个结点都有相互操作的中间结点来获得。因而，可以假定可信是可以传递的，当然 也必须要考虑边的权值，同时，这种传递会随着可信路径长度的增加和时间的推移而衰 减。 可信有下面一些基本特征： 1 ) 可信度是建立在两个会发生某一行为的实体之间的关系。即一个实体相信另外一个 实体会去执行某一个动作。 2 ) 可信是不确定性的函数。如果一个主体确信客体会做这个动作，那么主体将完全相 信客体将执行这个行为，主体对客体的可信度也就是最高的；如果主体认为客体肯定不 会执行这个动作，则主体对客体的可信度就是最低的；但是当主体不能确认客体是否会 执行这个行为时，在这种情况下，主体对客体的信任度是不确定的。 3 ) 信任度可以用一个连续型的实数来度量，并以此作为可信值。那么这个可信值代表 的就是一种不确定性。 4 ) 主体对那些同一客体执行同一行为的可信值可能是不相同的。 5 ) 可信也不是对称的。也就是说如果a ，b 是两个实体，a 相信b 的事实并不能表示 b 也相信a 。 6 ) 可信是传递的。但会随着路径长度的增加和时间的推移而衰减。 可信影响着访问控制、公共密钥的选择等决策。可信关系是由一些规则决定的，这 些规则来评估一个实体在某个协议下的行为事件的可信性。这里有两个需要注意的地 方：一个特定的协议( 应用程序) 和评估可信关系的实体。协议决定着可信的确切意义， 实体决定在随协议而来的步骤当中如何使用可信关系。例如，一个实体a 想要测定实体 b 控制的公共密钥，并且a 和b 之间没有相互操作，因而没有可信关系，这样a 就需 要去跟b 的密钥有相互操作事件的那些实体建立联系。这里的相关事件可能是绑定b 的密钥到b 这个实体身上的证书，当然也需要考虑颁发这个证书的所有实体的可信性。 如果a 同这些颁发证书的这些实体之间有相互的操作，那么对a 来说，这些实体的密 1 n 第2 章相关背景知识 钥和可信性就是可知的。否则，这个步骤将会持续到找到这些颁发这个证书的结点为止。 最后，a 将会评估这些事件并为b 建立一个可信关系。在这种情况下，可信关系可以描 述成：“a ( 不) 相信b 的密钥就是k s 。 2 4 小结 本章主要介绍了相关的一些背景知识，以及可信的一些基本概念与基本特征。首先 介绍了可信计算组织以及我国可信计算平台的研发要坚持的基本原则；然后介绍了可信 的基本概念与基本特征，并介绍了可信的重要性。 河北大学t 学硕七学位论文 第3 章半环理论介绍 3 1 半环定义 定义：半环是一种代数结构( s ，o ，o ) ，其中，s 是一个集合，o ，0 是具有以下特性的 二元运算：( 口，b ，c s ) o 运算是可交换、可结合的，有一个单位元o ： 以0b = b0a ( 口06 ) 0c = 以0 ( 6 0 c ) 以00 = 0 以= 口 o 是可结合的，存在单位元1 s ，零元o s ，使得： ( 口。易) oc = a ( 6 q c ) 口o1 = 口o1 = 口 口o0 = 0 a = 0 0 运算对0 具有分配律： ( 口o6 ) oc = ( 以oc ) o ( 易oc ) 口o ( 60c ) = ( 以o6 ) 0 ( 以0c ) 3 2 半环性质 如果半环( s ，0 ，圆) 是偏序的，并且关于两个二元运算0 ，o 是单调的，那么就称这个 半环是有序半环，记为( s ，0 ，瓯9 ： 以baa b 口。口b0b a 口oa bob 当一个半环是有序的，当且仅当，存在这样的关系，使得： v a ，b s ：( 以b j z s ：口0z = 易) 若v a s ：a o 口= a ，这时称这个半环是幂等的。 第3 章半环理论介绍 3 3 小结 本章主要介绍了半环的基本理论。首先给出了半环的定义，着重介绍了半环中二元 操作的特性，然后介绍了半环的一些性质。 河北大学r t 学硕十学位论文 第4 章t d - s e m irin g 系统模型介绍 4 1 系统结构 4 1 1 相关定义： 有向图：一个有向图是一个有序的二元组 ，其中， ( 1 ) y o 称为图的顶点集，其元素成为顶点或结点； ( 2 ) e 称为边集，它是卡氏积v xy 的多重子集，其元素称为有向边，简称边。 有向带权图：给定有向图d _ ，设w ：e 专r ( r 未实数集) ，任意的边 e = ，设形( e ) = 嘞，称嘞为边p 上的权，嘞可以表示该边的消耗等，并将嘞标 注在边e 上，称d 为有向带权图。 可信关系：用t s u b j e c t ：a g e n t ，a c t i o n ) 表示，第一个实体称为主体，第二个称为客体。 可信观点：用映射：t ( i ，j ) r x v - - s 赫, ，其中s 是可信观点空间。 4 1 2 系统原理： 在前面曾经提到可信的推导过程可以看成是一个有向带权图的最短路径问题。在图 中顶点是用户或者实体( 在此是网络当中的结点) ，从顶点i 到j 的边表示主体i 对客体 j 的可信观点。每个观点表示主体对客体的可信度的估计值，如果砸，) 比较高就表示客 体_ ，相对于主体f 来说就是一个比较可信的实体，或者说主体f 相信客体，能够按照自己 的意愿去完成自己给定的操作，或者表示客体通过了主体给予的一系列测试( 例如包的 转发等等) ，或者表示主体同客体经过了长时间的相互操作并且发现客体没有恶劣的行为 出现，或者是说给客体公共密钥的数字认证被认为是有效的。 可信值是由主体根据自己的主观标准来赋给客体的。这就意味着那些不经过过多观 察就签署公共密钥认证的结点将给出高的可信值。对于一个可信度高的结点，它要对与 它同样可信的结点保持可信。当可信度高和可信度低的这两类结点相互操作的时候，可 信度比较高的实体将给予可信度较低的结点一个足够低的可信值，否则，这个可信值较 低的实体将会导致该可信度高的实体做出不正确的可信决策。 假定结点是通过自己的观察来分配可信观点的，那么可以通过装配一个监控器来观 1 4 第4 章t d - s e m i r i n g 系统模型介绍 察邻居结点的恶意行为，当然两个实体也可以相互进行操作，以便真实地评估相互的可 信度，当然也可以通过交换密钥。在以上几种情况中，都是通过结点本身的观察与判断 来分配可信观点的，具有局部性：但是，对于现有的网络而言，在进行最终的可信决策 的时候也必须要考虑那些已经不是邻结点的两个结点在以前的相互操作，因为如果该两 个结点要进行下次相互操作的话，如果两个结点以前的相互操作都是按照对方的意愿来 进行的，结果都是令对方满意的，那么这两个结点可以进行相互操作；如果以前的操作 结果不能令对方满意，那么下次的操作成功率就需要重新评估，它们之间的可信性就需 要重新评估。 4 1 3 可信关系的建立 在初始的网络状态下，每个结点都是通过自己的直接观察来实现对与它有直接操作 的结点的信任评估。假定一个结点a 想同与a 有直接操作的结点b 之间建立直接的可 信关系z 矗，可以通过它们之间相互操作的成功次数来计算( 该处操作成功指的是在规 定的时间内完成操作) ，假如a 要求b 进行某个操作n 次，而b 只是操作了k 次；例如 a 要求b 转发n 个包，而b 实际上只是转发了k 个包。在这种观察方式下，下次b 按 照a 的要求完成规定操作的可能性的大小就是a 对b 的可信程度的大小，可以采用下 面的方式来计算： l 量= 万k ，其中l 斗暑表示a 对b 的可信度，对所有的结点都进行该操作，初始的 所有可信关系就建立了。 源程序如下： v o i dc r e a t e t r u s t ( ) f o r ( v = 09 v i vi ；+ + i ) wh i l e ( u n e i g h b o r s v 】) f i r s t t r u s t v 】【u 】2 k n ； ) ) ) 其中，v ，u 表示结点对应的代码标号，丘r s l 咖s t v 】 u 】表示结点v 对结点u 的初始 信任度。n e i g h b o r s 同后面系统评测算法中的n e i g h b o r s 的意义一样，都代表对应结点 的邻接点，即与之有直接相互操作的结点。该算法的对每个结点都计算它的邻接点的信 河北大学t 学硕七学位论文 任度，这样所有结点都对与他们有相互操作的邻接点建立了可信关系，整个网络的可信 关系也就建立了。 4 1 4 推荐信任度的获取 在所有的直接可信关系都已经确立完了之后，对于没有相互操作的两个结点要评估 对方的可信度需要中间结点的推荐，那么中间结点如何给出推荐信任度呢? 例如：a 跟 c 之间没有直接的相互操作，而a 跟c 都与b 有直接的相互操作，那么a 就可以通过 b 来获得b 对c 的推荐信任度。那么b 怎么对a 给出其对c 的推荐信任度呢? 在前面 可信关系的建立一节可以看出b 对c 的可信度的大小其实指的就是b 预计c 成功执行 下次b 给定操作的可能性大小，即b 认为c 将成功执行b 给定操作的可能性的大小， 也就是b 对c 的可信度，在此b 对c 的可信度就可以作为b 对c 的推荐信任值给a ， 即： w = 五哼c ， 其中，如指的是b 给出的其对c 的推荐信任度。 算法的源程序如下： v o i dr e c o m m e n d _ t r u s t ( ) f o r ( v = 0 ；v i v | + + i ) w h i l e ( u n e i g h b o r s v ) r e c o t r u s t v u = t r u s t v u ； ) ) ) 在此算法当中，r e e o _ t r u s t v u 表示结点v 对结点u 的推荐信任度，t r u s t v u 表示 结点v 对结点u 的信任度，该算法对每个结点的都给出了该结点对它的邻接点的推荐信 任度( 其实也就是该结点对其邻接点的信任度) ，这样就获得了推荐信任度。 4 1 5 两类可信推导问题 在所有的可信关系均已建立、所有的推荐信任值均已获取的情况下，就需要为两个 从未进行过直接相互操作的结点之间建立间接的可信关系。那么如何为这两个结点建立 间接的可信关系呢? 有两种可信推导问题需要考虑。一是实体a 可以通过中间结点的推 荐来给实体b 评估可信值。这可以看成是一个最短路径问题，等同于找实体a 和b 之 1 6 第4 章t d s e m i r i n g 系统模型介绍 间的可信路径。在主体决定是否给予客体对文件的访问权限、鉴定客体是否可信、是否 给客体看敏感的信息还是给它什么样的访问权限的时候，都需要考虑该客体的可信值。 一个结点将不仅仅通过它自己的观察和经验，也需要通过其他结点的经验和推荐来进行 对客体可信性进行判断。二是找到实体a 和b 之间的最为可信的路径，即找到一个结 点序列 ：( 1 ，1 ，州) e , o f 七，使之在所有的可信路径中具有最高 的可信值。当考虑到在实际的网络当中，当主体同某一个结点进行交流时，该问题更为 相关，因为必须要找到一条可信的路径，这样就需要在这些可信的结点上进行路由选择。 在一个图中找出两个结点之间的最短路径，不仅要找到两个结点之间的所有路径，还需 要找到实际的最短的距离。在找可信最小路径情况下，要从许多的可信路径当中计算出 从主体到客体的最短并且最为可信的距离。前一个问题将在距离半环中进行解决，后一 个将在路径半环中解决。 4 2t d - s e mirin g 4 2 1 信任半环的相关特性 从可信建立过程的直观概念来看，信任半环的二元操作o ， 除了半环结构所具有的 特性以外，也具有其它的一些特性：