（计算机应用技术专业论文）开放环境下的自动信任协商研究.pdfVIP

摘要 在以服务为中心的开放式计算环境下，任务的完成需要多个位于不同安全域 内实体的协同或合作。如何在跨安全域的两个陌生实体之间方便、快捷地建立信 任关系是当前安全研究的一个热点问题。自动信任协商以一种迭代交互披露信任 证、访问控制规则的方式使得服务的请求方和提供方自动地建立信任关系，实现 了资源的共享与协同工作。 由于自动信任协商在信任建立的过程中需要向陌生实体披露自己的信任证和 访问控制规则，这就不可避免地涉及到实体自身的隐私保护问题。如何在建立信 任的过程中，最大限度地保护用户的个人敏感信息是当前自动信任协商中一个重 要的研究问题。本文主要针对在环境中存在恶意攻击或试探攻击的情况下，信任 建立过程中隐私保护问题进行了研究。具体工作如下： ( 1 ) 简要介绍了在自动信任协商研究方面已有的成果和进展，并在此基础上对 自动信任协商做了形式化的定义，对其中所涉及到术语、符号、公式等做 了详细的描述。 ( 2 ) 为解决如何生成协商的安全信任证披露序列问题，尤其是最少信任证的安 全披露序列，本文在分析了现有的对协商策略建模方法的优缺点的基础上 引入形式化建模工具p e t r i 网，对协商策略进行建模分析。根据具有合法 发生序列的最小初始标识子集设计了安全信任证披露序列算法，并对协商 过程中算法的通信复杂度和计算复杂度进行了分析。 ( 3 ) 为了阻止恶意协商者的试探性攻击，或在协商过程中的隐私泄露，本文研 究了敏感信息保护的方法，并分别对自动信任协商中基于属性值敏感的和 存在敏感的两种信任证作了详细分析。由于在保护属于存在敏感信任证的 相关信息时，传统的访问控制规则己难以对其实现有效的保护，本文提出 了信任证的可信度和访问阈值的概念。将存在敏感的信任证量化为表示其 敏感程度的可信度值，定义了访问阈值实现对敏感信任证或服务的访问。 本文通过对子集和问题多项式时间归约证明求解最小披露信任证集为 n p c 问题，并通过实验分析了子集和算法的性能。 ( 4 ) 本文详细分析了自动信任协商过程对描述语言的需求。在此基础上，基于 x m l 标准提出一个新的信任协商语言一信任协商标识语言( t n m l ) 。本 文详细阐述了t n m l 语言中的语法，提出u m l 类图表示元模型，同时 举例描述t n m l 刻画的信任证和访问控制规则，以及用于加速协商过程 的信任票的x m ls c h e m a 架构。根据本文自动信任协商系统中基于p e t r i 网对协商策略建模的方法，提出由t n m l 语言描述的访问控制规则文件 转化成信任协商的p e t r i 网关联矩阵的算法。t n m l 与现有的其它一些信 任协商语言的比较表明其能够较好地满足信任协商中对语言的要求，具有 较强的实用性和可扩展性。 关键词：自动信任协商，访问控制规则，信任证，x m l ，p e t r i 网 a b s t r a c t u n d e rt l l el a r g e s c a l eo p e nd i s t r i b u t e ds y s t e m sc i r c 啪s t a n c e s ，t h e 如l f i l l m e n to f t a s k sr e q u i r e st h ec o o r d i n a t i o na 1 1 dc o o p e r a t i o no fe n t i t i e sw h i c hb e l o n gt od i f r e r e n t s e c u r i t ya r e a s h o wt oe f f e c t i v e l y ，s e c u r e l y a n dd y n 锄i c a l l ye s t a b l i s ht m s ta c r o s s s e c u r i t ya r e a sh a sb e c o m eah o tt o p i ci nt h ec u r r e n ts t u d yo fs e c u r i t y a u t o m a t e dt m s t n e g o t i a t i o n ( a t n ) c a l le s t a b l i s hm u t u a lt m s tb e 铆e e ns e r v i c er e q u e s t o ra n dp r o v i d e rt 0 a c h i e v er e s o u r c e ss h a r i n ga n dc o o r d i n a t i v ew o r k i n gb ym e a n so fi t e r a t i v e l yd i s c l o s i n g c r e d e n t i a l sa n da c c e s sc o n t r o lp 0 1 i c i e s i na 1 n ，t m s ti nap a n i c u l a rc o n t e x ti sa t t a i n e db yd i s c l o s i n gc e r t a i nn u m b e r so r t y p e so fc r e d e n t i a l s t h u s ，t h ep r o b l e ma b o u tp r i v a c yp r o t e c t i o n o fe n t i t i e si sv e 巧 i m p o r t a i l t a tt h ep r e s e n t ，h o wt or e s t r i c tt h el o s so fp r i v a c ya st h ec r e d e n t i a l sr e v e a l e d i ss t u d i e de x t e n s i v e l y t h i st h e s i sa i m sa tt h er e s e a u r c ho np r i v a c yp r o t e c t i o ni nt h e p r o c e s so ft m s te s t a b l i s h m e n to nm ec o n d i t i o no fm “i c i o u sa t k so rp r o b i n ga t t a c k s t h em a i nc o n 廿i b u t i o n si nt h i st h e s i sa r ea sf o l l o w s ： ( 1 ) b r i e fi n n o d u c t i o no ft h ep r i o ra c h i e v e m e n ta n dp r o g r e s so na t n i sp r e s e n t e d ， i n c l u d i n gt h ef o m a l i z a t i o no ft h ei n v o l v e dt e r m s ，s y m b o l sa n df o 肌u l a ( 2 ) b o t ha d v a n t a g e sa n dd i s a d v a n t a g e so fo t h e rm o d e lw a y sa b o u tt h en e g o t i a t i o n s t r a t e 西e sa r ea n a l y z e d t h ep e t r in e t si si n t r o d u c e dt os o l v et h ep r o b l e mo f g e n e r a t i n gs a f ec r e d e n t i a l ss e q u e n c e an e wm o d e l i n gm e t h o df o rt 九j s t n e g o t i a t i o nb a s e do nt h ep e t r in e t si sp r o p o s e d t h es a f e d i s c l o s e ds e q u e n c e a l g o “t h mi sp r e s e n t e db a s e do nt h el e g a lf i r i n gs e q u e n c er e a c h a b i l i 够w i t h m i n i m u mi n i t i a l s u b m a r k i n g t h ea i l a l y s i s o fc o m p l e x i t ) ri s p r o v i d e d i n c o m m u n i c a t i o na n dc o m p u t a t i o ni nt h ep r o c e s so fn e g o t i a t i o n ( 3 )s e n s i t i v e i n f o r n l a t i o n p r o t e c t i o nm e t h o di sp r o p o s e d i no r d e rt o p r e v e n t p r o b i n g a t t a c ko fm a l i c i o u sn e g o t i a t o ro rp r i v a c yl e a k i n gi na t n t h e d i f k r e n c e sb e t w e e na t t r i b u t e s e n s i t i v ec r e d e n t i a l sa n dp o s s e s s i o n - s e n s i t i v e c r e d e “a l sa r ea 1 1 a l v s i z e di nt h i st h e s i s t h et r a d i t i o n a la c c e s sc o n t r o lp o l i c e s c a n n o tp r o t e c tt h ep o s s e s s i o n s e n s i t i v ec r e d e n t i a l su n d e ri n f i e r e n c ea t t a c k ， e s p e c i a l l yw h e nt h em a l i c i o u sp r o b e re x i s t s an e ww a yt op r o t e c tt h e p o s s e s s i o n s e n s i t i v ec r e d e n t i a l sh a sb e e np r o p o s e db a s e do nt h ec r e d i b i l i 哆 v a l u ew h i c hi st h ew o r mo ft h ep r i v a c yo ft h ec r e d e n t i a l s ；a n do nt h em r e s h o l d w h i c hi sam i n i m u mt o t a lo fc r e d i b i l i 够v a l u er e q u i r e db e f o r et h es e r v i c ei s g r a n t e d am i n i m u mc r e d e n t i a l sd i s c l o s e ss e tp r o b l e mp r e s e n t e di nt l l i st h e s i s i sp r o v e dt ob ean p cp r o b l e mb yr e d u c i n gt i l es u b s e ts u mp r o b l e mi n p o l y n o m i a l t i m e t h ep e r f o m l a n c eo fs u b s e ts u ma l g o r i t h mi sa j l a l y z e dt 1 1 r o u g h e x p e r i m e n t s ( 4 ) t h er e q u i r e m e n t so fa t nf o rn e g o t i a t i o ns p e c i f i c a t i o nl a n g u a g ea r ea 1 1 a l y z e d i nd e t a j l ，a n da nx m l - b a s e ds p e c i f i c a t i o nl a l l g u a g ec a l l e d1 n m li sp r o p o s e d m e a n 【w h i l e ，m es y n t a xo ft h et n m l ，a n du m l c l a s sn g u r ea st h em e t a m o d e l a r eg i v e n t h et h e s i si u u s t “l t e sc r e d e n t i a l sa n da c c e s sc o n t r o lp o l i c i e s ，p r e s e n t s t h ex m ls c h e m ao ft m s tt i c k e t su s e df o ra c c e l e r a t i n gn e g o t i a t i o n ，a j l d g e n e r a t e sa l g o r i t h mf o rt h et r a i l s l a t i n gf r o mn 、i m lf i l e st oap e t r in e t s t h e c o m p a r i s o nb e t w e e nt n m la n dc u r r e n t e x i s t i n go t h e r t r u s tn e g o t i a t i o n l a n g u a g e si n d i c a t e st h a ti tc a j ls a t i s 母t 1 1 er e q u i r e m e n t so fl a n g u a g ef o r 饥l s t n e g o t i a t i o n ，a n di th a sm u c hs t r o n g e rp r a c t i c a l i 够a i l ds c a l a b i l i 锣 k e y w o r d s ： a u t o m a t e dt r u s tn e g o t i a t i o n ，a c c e s sc o n t r o lp o l i c i e s ，c r e d e n t i a l s ， x m l p e t r in e t s 扬州大学学位论文原创性声明和版权使用授权书 学位论文原创性声明 本人声明：所呈交的学位论文是在导师指导下独立进行研究工作所取得的研 究成果。除文中已经标明引用的内容外，本论文不包含其他个人或集体已经发表 的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方式标明。 本声明的法律结果由本人承担。 学位论文作者签名墨涵身 签字日期：卅年月厂日 学位论文版权使用授权书 本人完全了解学校有关保留、使用学位论文的规定，即：学校有权保留并向 国家有关部门或机构送交学位论文的复印件和电子文档，允许论文被查阅和借 阅。本人授权扬州大学可以将学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。同时授权中国 科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通过 网络向社会公众提供信息服务。 学位论文作者签名：二拗 签字日期：勿一产厂月丁日 导师签名 签字日期：d 7 年石 月厂日 吴省身：自动信任协商中的隐私保护研究 l 引言 1 1 研究背景 随着因特网技术的发展，信息的交互越来越便捷，也越来越重要，传统的分 布式系统正演化为具有开放性和动态性的分布式系统，这其中包括( 语义) w e b 服务旧j ，普适计算1 4 ，5 】( p e r v a s i v ec o m p u t i n g 或u b i q u i t o u sc o m p u t i n g ) 和多a g e m 系统i 叫j ( m u l t ia g e n ts y s t e m s ，m a s s ) 。它们提高了信息传输的速度，拓宽了信 息处理的范围，降低了信息处理的成本，因此极大地推动了社会的发展，对社会 经济、国防建设、科学研究与社会生活等均产生了深刻的影响。同时也为各种不 法分子非法使用信息资源打开了方便之门。因此在方便了使用的同时，也大大增 加了安全的风险。 在这些大规模分布式系统中，传统的c s 结构已远远不能承担起各种复杂的应 用，而基于p 2 p i l0 j 结构的系统得到了广泛的应用。而这些新的体系结构使得安全的 设计也面临着新的挑战。因此在这种新的安全应用场景之下，信任管理【1 1 】( t m s t m a l l a g e m e n t ) 被提了出来。信任是评估对方是否有足够像它自己声明的能力来完 成分配给它任务的机制。在传统的信任建立过程中，验证是单方向的，如c s 系统 中，请求服务之前，客户必须提供证明自己身份的相关信息，这时，客户就需要 事先在服务端注册。而在各种基于p 2 p 架构的开放的分布式系统中，难以保证每个 访问的客户都是已注册的，甚至在很多应用场景中，会产生一些没有预料的穿越 安全域边界的资源访问。由于是在开放的互联网中，合作活动存在参与主体的数 量多、运行环境异构、活动目标动态以及自主等特点，并且资源或服务的主体往 往隶属于不同的权威管理机构，使得传统的基于身份的访问控制技术应用在跨安全 域的授权及访问控制时显得力不从心，暴露出许多弱点。 如在以服务为中心的网格计算( g r i dc o m p u t i n g ) 【1 2 l ，供应链管理，电子商 务等具有多个安全管理自治域的应用中，任务的完成需要多个虚拟组织问共享资 源或协同计算，而任务的参与者却是动态的分散的。在这种陌生方之间建立信任 就面临着泄露参与交互的主体隐私信息的风险，特别是相互之问很难再协定出彼 此信任的第三方，能够协助它们建立信任关系。因此迫切需要种机制能够在跨 组织的个体之问建立动态的信任关系，以实现在资源访问和协作的同时满足参与 者的自治性和隐私安全等需求。 为此，w i n s b o r o u g l l 等人1 4 j 提出了自动信任协商( a u t o m a t e dt r u s t 2 扬州大学硕士学位论文 n e g o t i a t i o n ，简称a t n ) 的概念，它是“通过迭代地交互披露信任证、访问控制 规则，使得资源的请求方和提供方自动地建立信任关系”【1 5 】，使得跨安全域的服 务组合成为现实，进一步推动了普适计算等的发展。 1 2 国内外研究现状 1 2 1 国外研究现状 国外学者对自动信任协商的相关理论和应用方面已经开展了大量的研究，如 i b mh a i f a 研究院的1 m s te s t a b l i s h m e n t 项卧1 6 j ，b y u 大学的s e 锄o n s 和u i u c 大学的w i n s l e t t 等学者联合承担了a n 的研究项目t - m s t b u i l d e r 系统【1 7 1 8 j ，德国 h a n n o v e 大学的p e e r t m s t 项目【1 9 】也在从事相关的研究工作。日前，研究者们已经 在对自动信任协商理论和关键技术方面的研究取得了丰富的成果。 文献 2 0 】对于自动信任协商中证书链的发现和信任路径的构造进行了深入的 研究，并提出了相关的算法。自动信任协商是一个通过相互交换证书进行认证的 过程。在协商过程中，需要查询证书链中每个层次的证书，检验证书的有效性。 证书主要有集中式和分布式两种存储方式。证书存储方式不仅要做到能够安全的 存储证书，还要保证对证书的高效访问。在信任协商过程中，需要根据证书链进 行证书查找以构建出可信的信任路径。由于证书的存储方式对证书链的发现影响 很大，因此在查找证书时，首先需要明确证书的存储方式。n h “等学者基于 r o l e - b a s e d1 m s tm a n a g e m e m ( i 盯) 语言【2 1j 提出了适用于分布式证书存储和集中 式证书存储两种方案的证书链发现算法。 文献【2 2 分析了自动信任协商对于访问控制规则描述语言的需求，依据分析结 果对p s p l 【2 3 1 ，t p l 【2 4 1 ，x s e c 【2 5 】等现有的访问控制规则描述语言进行了对比，并 指出这些语言不能完全满足自动信任协商对于访问控制规则描述语言的需求，需 要改进原有的策略描述语言或开发新的语言。 w i n s b o r o u 曲等在文献 1 3 中提出了两种基本的协商策略：积极策略( e a g e r s t r a t e g y ) 和谨慎策略( p a r s i m o n i o u ss t r a t e g y ) ，以及在此基础上融合这两种策略所 设计的混合型策略( h y b r i ds t r a t e g y ) 。在文献 2 6 ，2 7 】中提出了一种称为p r u n e s ( p m d e n tn e g o t i a t i o ns t r a t e g y ) 的策略，该策略基于谨慎策略思想，以深度优先的 方式搜索安全披露序列。由于该策略是一种完全搜索策略，为了保证完备性以致 搜索代价较为昂贵；并且在生成信任证披露序列时会暴露访问控制规则的内容， 这在一定程度上影响了系统的安全性。 吴省身：自动信任协商中的隐私保护研究 3 在文献【2 8 】中全面探讨了自动信任协商中的安全问题。在协商过程中，协商者 之问相互发送的信任证和访问控制规则信息，有可能受到窃听或主动攻击而导致 协商者敏感信息的泄漏。目前，解决安全问题的方法主要有策略迁移( p o l i c y m i g r a t i o n ) 【2 9 】、a c k 策略( a c k n o w n l e d g e m e n tp o l i c y ) 1 3 0 3 1 1 、隐藏证书( h i d d e n c r e d e n t i a l s ) 【3 2 ，3 3 1 、u n i p r o ( u n i f i e ds c h e m ef o rr e s o u r c ep r o t e c t i o n ) 模式刚等。 1 2 2 国内研究现状 国内在自动信任协商方面研究的也做了大量的工作，虽然起步较国外晚一些， 但仍然取得了较多的研究成果。 在文献 3 5 ，3 6 中，系统介绍了自动信任协商的理论研究和应用进展情况，并 对信任协商中的协商模型、协商体系结构、访问控制规则规范、信任证描述以及 信任证链的发现收集、协商策略及协议等多项关键技术的研究现状进行分析和点 评，最后针对目前研究工作中存在的一些问题，对未来的研究方向进行展望。 在文献【3 7 】中，针对目前有关协商策略的研究中没有区分信任证的敏感度的问 题，引入披露开销的概念，设计了一种新的协商策略。该策略采用动态规划的思 想，基于与或图建模，分解协商过程，自底向上求解最小开销的信任证披露序列。 在文献 3 8 中，提出了一种基于属性的信任协商模型。在该模型中，将所有的 对象看作为实体，并将每个实体与一对应的证1 弓绑定，有效保证资源的合法性，避 免了非授权用户对系统的访问。给出了模型的体系结构，描述了用户访问资源的 流程，设计了用户的属性证书和资源的策略证书，并从安全、效率、扩展性等方 面对模型进行了可行性分析。分析表明，模型具有单点登录、p u l l 模式访问资 源、用户隐私保护、访问控制规则保护、易于实现的特点。 1 3 研究内容和意义 随着对自动信任协商研究的进一步深入，在实际应用过程中发现仍存在着下 列问题： 访问控制规则( a c c e s sc o n t r o lp l i c i e s ) ：访问控制规则是信任协商的基础，对 于相关规则语言的研究也仍然是当前的热点问题。表达能力强同时是用户友好型 的语言将有助于信任协商的大规模应用。除了对于信任证的属性约束，策略语言 还要能够提供对于复杂的跨组织边界授权的约束。同时由于互联网是一个公平竞 争的场所，也不可能使得所有人都使用一种规则语言【2 2 】。在规则语言具有较强 表达能力的情况下，对于规则一致性的检验也是信任协商系统研究中的一个关键 4 扬州大学硕士学位论文 问题。 组织或个人在通过访问控制规则保护它的敏感信息时，需要能够方便地对规 则进行编辑、组合、复用等，同时还要有相关的工具来分析、理解、测试规则。 系统的安全管理员需要有相关工具来帮助他对访问控制规则进行如回归测试、一 致性检验、规则的比较等。这些都是在自动信任协商以及其它规则相关的应用中 需要考虑的问题。 攻击防范( a t t c a ka g a i n s t ) 尽管在现有的工作中，我们假设由底层的软件提 供安全的通信信道，在信任协商的过程中，我们仍然会遇到很多来自应用层的攻 击。比如a l i c e 和b o b 可能会互相勾结，合并它们两者的信任证去获得原本他们任 一个单独请求都没有资格访问的资源。攻击者可能会伪装为服务的提供者，实质 是为了收集用户的信息。同样，在传统的安全协议中容易出现的攻击，在自动信 任协商中也会出现。所以在对协商策略能够互操作的同时，不能忽视由此而引发 的安全漏洞。如在对基于策略迁移的信任证 2 9 保护的弱点评述中，就有攻击者 主体发起攻击，通过对协商内容进行分析从而获取协商参与者是否拥有隐藏的信 任证信息。这些都是需要研究的关键性问题。 在信任的决策模型方面相对于基于主观信任的信任管理研究缺乏有力的理论 模型。在文献 2 7 中，y u 提出希望将信任管理和自动信任协商通过一个有机模型 结合起来，在现实社会中，陌生方之问的信任建立更多还是基于主观和非主观信 任相结合的方式。而主观信任模型【3 9 】的研究比自动信任协商的研究起步要早，它 主要侧重于从主观性入手研究信任的数学模型，解决信任的的表述、度量、推导 和综合运算等问题。因此，探究一种综合式的信任模型将为跨安全域的协作提供 更有力的理论基础。 自动信任协商的广泛应用需要表达能力强、计算效率高且使用方便的策略语 言来支持，策略语言不仅局限于对信任证属性的约束，而且更重要的是能够表达 跨安全域复杂的委托授权关系，在文献【2 l 】中提出的l 玎语言，已经在这个方面做 了相当多的工作。同时，在访问控制规则动态变化的情况下，需要研究其对协商 策略的影响，即二者问的一致性关系。 1 4 论文结构 本文主要基于在自动信任协商中的隐私保护的思想，通过p e 廿i 网对协商策略 建模，根据存在合法发生序列的最小初始子集来分析协商成功的可能性，寻求最 优的安全披露序列；进一步分析在防范恶意者的攻击过程中，尤其是采取试探性 吴省身：自动信任协商中的隐私保护研究 5 的攻击，属于存在敏感的信任证，难以通过单纯地设置访问控制规则来保护，同 时考虑到在实际系统存在大量类似信任证的情况下，这些信任证之间的敏感程度 所存在的差异性，提出了根据信任证的可信度值来设置阈值以实现访问控制的方 法，给出了求解披露序列时基于子集和问题的算法，并论证了计算过程中的时间 复杂度；最后提出了一种基于x m l 的信任协商标记语言( t n m l ) ，该语言支持 信任票机制，方便和加速了协商过程。 本文总体上分为六章，具体组织结构如下： 第一章：对本课题的研究背景、国内外研究现状、研究内容和意义以及论文 结构进行了简要的概述。 第二章：本章简要介绍了自动信任协商的基本知识及其形式化表示，详细介 绍了自动信任协商的体系结构，及其主要组成部分。在此基础上分析了现有的自 动信任协商系统。 第三章：本章主要介绍了基于p e t r i 网的信任协商策略建模。首先简要介绍了 p e t r i 网的相关概念，其次分析了已有的协商策略建模工作，然后详细介绍了我们 采用p e t r i 网技术对协商建模的方法，并根据具有合法发生序列的最小初始标识集 求出信任证的披露序列，以及最优披露序列的选择。 第四章：在上一章的基础上，进一步考虑对存在性隐藏的信任证的隐私保护。 基于信任证的可信度，根据阈值进行访问控制，并给出了多项式时间的可行算法 求解最优的信任证披露集，最后分析算法的计算复杂度。 第五章：分析了在自动信任协商过程中的对描述语言的详细需求。然后根据 所总结的这些需求，基于x m l 标准提出了一个新的信任协商策略语言圳m l 。 第六章：总结本文的主要工作和贡献，指出研究中存在的不足，展望下一步 的研究方向。 6 扬州大学硕士学位论文 2 自动信任协商简介 在自动信任协商过程中，存在着两个对等的实体，一方是资源的拥有者，或者 是服务的提供者，称之为c o n t r o l l e r ；一方是资源的请求者，或者是服务的消费者， 称之为r e q u e s t e r 。由于在陌生的环境下，双方都不能假定对方是可信的，敏感信 息交互所需的信任必须经过一定步骤的协商才能建立。 2 1 基本概念 在信任协商过程中，不同的协商参与者可能有着不同的需求：披露什么样的 信任证? 在什么时候开始披露信任证? 还需要对方什么样的信息? 为了满足这些 需求，协商双方都要依赖于自身的访问控制规则。通过访问控制规则对信任证或 资源披露的引导，来实现信任的协商，最终建立双方的信任。信任协商策略基于 双方本地的访问控制规则，产生协商一方发送给对方的消息内容，即披露哪些信 任证，什么时候披露，什么时候终止协商。 t y u 等人【l3 】将协商过程抽象为资源请求方和提供方之间的信任证披露序列 q = ( c l ，c 2 e ) 的构造过程。如果协商过程中每个信任证e 都是可披露的，则称 q 为安全披露序列( s a f ed i s c l o s u r es e q u e n c e ) 。 下面先介绍一些协商过程中访问控制规则中所用到的相关形式化表示和术 语。在文献【2 8 】中，将自动信任协商框架以如下的形式表示： 定义2 - l ：自动信任协商系统是一个7 元组( k ，f ，z ，s ，丁，r ，p d ，砂) ，其中 1 k 是一个有限主体( p r i n c i p a l s ) 集，每一个主体通过公钥k 来识别； 2 f 是一组有限属性( a t t r i b u t e s ) 集。每一个属性，包括由属性授权( 即属 于哪个主体) 和属性名( 有限字符串表示) 组成。 3 z 是一个有限的信任证( c r e d e n t i a l s ) 集。我们用c 表示z 中的元素，即 具体的某一个信任证，c 则是z 的一个有限信任证子集。 4 s ：z k 是个信任证拥有的函数。s ( c ) r 表示信任证c 的所有者 ( s 埘e c t ) ，当s ( c ) = k ，称c 为k 的信任证。 5 丁：z 一2 7 是一个函数，其中丁( c ) 有限非空。信任证c 证明s ( c ) 存在或具 有丁( c ) 属性。对每一个所有者k 都有一个信任证集合e ，e 中包括的属 性为丁( c ) = u 似? 丁( c ) 。 吴省身：自动信任协商中的隐私保护研究 7 6 r 是一个有限的资源集合。 7 p o i i c y 是保护受限访问的属性f 的正向的规则集合。 本文所谈到的资源r 包括服务或者信任证。资源请求者a l i c e 拥有信任证集 为c ，其资源访问请求为犬，资源请求者b o b 的本地策略集为户。双方每个资源 都拥有一个访问控制规则，表示为c 卜尸，其尸为策略体。当a l i c e 向b o b 发送 一个资源r 的请求，协商就开始了。b o b 收到了资源尺的请求，返回尸中表示为 析取范式( d 砑u n c t i v en o n l l a lf o m l ) 的与r 相关的访问控制规则 r 卜d l vd 2 v 巩，其中p = c 1 人c 2 e ，l f 搠，其中每个c 是由协商对 方所需披露的信任证，d ，而则称为受保护资源r 访问控制规则的子句( c l a u s e ) 。 定义2 2 ：资源未受保护( u n p r o t e c t e d ) 。当资源r 的访问控制规则p 总是能 够被满足或者r 就没有访问控制规则，即户卜豫沈，那么称资源r 为未受保护 资源。 定义2 3 ：获得( g r a n t e d ) 。当资源j r 拥有的访问控制规则尸，若对方披露其 所拥有的信认证状集合c = g l o f 后 使得p 的布尔值为豫晒，那么称 c 满 足尸，或者称为尸被 c 满足，或称为解锁。 定义2 4 ：否认( d e n i e d ) 。当协商的参与者未拥有资源r ，或者是在任何条 件下都不能披露资源尺时，那么称资源灭的请求被否认，记作p 卜尉胆。 定义2 5 ：资源的解( s o l u t i o n ) 。如果协商的参与者披露的信任证集合 c = c i o f 尼 满足资源r 的访问控制规则p ，称c 为r 的一个解。 定义2 6 ：极小解( m i n i m a ls o l u t i o n ) 。如果协商参与者披露的信任证集合 c = e i o f 尼 满足资源r 的解，且任何c 的真子集都不是灭的一个解，那么称 c 为尺的最小解。 定义2 7 ：安全披露序列( s a f ed i s c l o s u r es e q u e n c e ) 。给定一个受限访问资 源尺的披露序列q = ( c l ，c 2 g ) ，如果当所有的e ，1 f 玎都是解锁的，称q 是 一个安全披露序列。 当协商参与者收到对方要求披露相关信任证c 的时候，首先检查c 的披露策 略。如果c 是为受保护的资源，则可以立即通知对方，该信任证是可披露的，称 为获得( g r a n t e d ) ，在这初始阶段，双方并没有真正信任证的传递；如果资源c 是 不存在的，或永不可披露，则请求被拒绝( d e n i e d ) 。 当资源c ，存在p = c l c 2 e 的访问控制规则时，先披露第一个子旬日 给对方，要求对方提供子句d l = c l g c 中的信任证。当对方承诺可以披露 8 扬州大学硕士学位论文 c 信任证时，继续要求对方提供c j + ，信任证；若不能从对方获得e ，或c ，之前的 协商中已经请求过，且一直未获得或被拒绝，则也就不用对方披露后面的信任证 了，子句d 1 也是不可能被满足的。当且仅当d 1 中所有的信任证都是可以获得时， 资源c 。才是对方可获得的。若日不能被满足，而c 访问控制规则中还存在下一 个子句时，则进入下一个子句的协商，否则拒绝披露c i 。 信任协商的目的就是在协商双方访问控制规则的限制下，找到这样一个安全 披露序列q = ( c 】，c 2 g = r ) ，其中r 为请求者最初所要求访问的原始资源。 2 2 信任协商体系结构 自动信任协商是在基于开放式、动态、分布的i n t e m e t 环境下提出来的，因此 他的体系结构也是基于p 2 p ( p e e rt op e e r ) 的协作模式。在自动信任协商过程中， 存在着两个对等的实体，一方是资源的拥有者，或者是服务的提供者，称之为 c o n t r o l l e r ；一方是资源的请求者，或者是服务的消费者，称之为r e q u e s t e r 。图 2 1 显示了信任协商的体系架构。信任通过请求者和提供者之间迭代地交互信任 证及对信任证的请求而逐步建立起来，这个过程就称之为信任协商。协商策略 ( n e g o t i a t i o ns t r a t e g i e s ) 确定在什么情况下披露什么样的信任证，或者是结束信 任协商。请求的服务，或者包含敏感信息的信任证及其访问控制规则都是属于受 保护的资源。一致性校验( c o m p l i 锄c ec h e c k e r ) 负责检查对方提交的信任证是否 满足本地的访问控制规则，或者根据对方要求的访问控制规则自己需要披露什么 样的信任证。 在文献【1 3 ，2 8 中，提出了与自动信任协商的研究和应用相协调的体系架构， 并且清晰地表达出当前自动信任协商研究的内容和层次，尤其强调了访问控制规 则的核心地位，并将访问控制规则本身也包括在受保护的资源类型之内。 2 2 1 访问控制规则及其语言 访问控制规则是信任协商的基础，作为研究中的一项关键内容，定义了访问 受保护资源所需要提供的信任证子集。而协商语言就是用来表示访问控制规则的。 协商语言应该具有足够的表达能力，由于自动信任协商是在开放环境下，不能期 望会产生一个通用的、一致的协商语言。当语言的表达能力过于强大的时候，所 描述的复杂的访问控制规则难以方便地实现规则的一致性校验。所以为了保证自 动信任协商系统的可用性，应对访问控制规则进行合理的约束。在本文中，访问 吴省身：自动信任协商中的隐私保护研究 9 控制规则也以析取范式的形式表示。 2 2 2 信任证 信任证是经过权威中心认证所颁发的包含数字签名的断言，且具有可存储性 和可验证性。信任证中包括持有者的相关属性信息，从而在缺乏统一的信任管理 机构的情况下，为陌生方进行授权。 由于信任证所表示拥有者的属性，这里面可能也包含一些敏感信息。一般而 言，现在对于敏感信息的分类有以下两种情况： 1 属性值敏感。对于信任证属性中具体值是有要求保护的。如例2 1 中所示。 例2 1 ：a l i c e 的身份证c 是由当地公安局所颁发的信任证，作为未成年人， a l i c e 并不希望将其中的年龄属性a g e 的属性值随意提供给陌生人，因此c a g e 属 于身份证信任证中的敏感属性值。 2 存在敏感。对于持有者是否拥有这个信任证是要求保护的。如例2 2 中所 示。 例2 2 ：a l i c e 属于某安全局s 的成员，拥有s 为其颁发的信任证c ，如果通 过定制对c 的访问控制规则p 来保护a l i c e 的身份特征，当a l i c e 向请求c 的对 方披露访问控制规则p 时，就会隐式地暴露a l i c e 拥有c 的事实。 厂 r e q u e s t e r 、厂c o n 仃o l l c r、 ，、 厂、 厂、，、 t r u s tn e g o t i a t i o n a c c e s s 7 a c c e s s c o n t r o l d i s c l o s u r e s c o n t r o l t 咖s tn e g o t i a t i o n m i d d l e w a r e p o l i c y m i d d l e w a r e p o i i c y n e g o t i a t i o n j b 、 、 n e g o t i a t i o n m a n a g e m e n t ， b m a n a g e m e n t 、 一 fc o m p l i a n c e1 厂、 厂、 fc o m p i i a n c e1 p r o t e c t e d x p r o t e c t e d ic h e c k e rj 、一 、 r e s o u r c e s r e s o u i c e s n e g o t i a t i o n s e r v i c e s ， _ ，、 s e r v i c e s c r e d e n t i a l s a c c e s s 7 c 他d e n t i a l s a c c e s s n e g o t i a t i o n s t r a t i g i e s c o n t r o lp o l i c i e s s t r a t i g i e s 、 ， 图2 1 信任协商的体系架构 1 0 扬州大学硕士学位论文 2 2 3 协商策略 在信任协商过程中，信任证的交换需要按照一定的顺序进行，协商策略决定 了协商执行的过程，如在什么时候提交什么信任证。协商策略是自动协商中效率 和安全性的基础。在文献 2 2 中，分析了协商策略所需要满足的要求，主要由以 下几点： 1 完备性。协商策略的最基本的要求。保证只要理论上存在成功建立信任的 路径，采用该策略都能成功地实现协商。 2 高效性。整个协商应该能够在有限步骤内结束。在自动信任协商中，很有 可能一方并没有对方所要求的信任证，或出现对信任证的循环请求，产生 死锁。协商策略应该能够即使发现这些情况并终止协商过程。 3 安全性。安全是建立信任的过程不可缺少的，在自动信任协商过程中，应 避免提交与本次无关的信任证，减少敏感信息的隐私泄露。 其次，在协商策略中存在两种基本的协商策略思想： 1 积极策略( e a g e rs t r a t e g y ) 。每次向对方披露所有对方能够访问的所有的 信任证。随着信任证的交互，各自获得对方更多的信任证，直到所有已解 锁的