（计算机软件与理论专业论文）keynote信任管理的应用研究及系统扩展.pdf

中国科学技术大学i 硕士学位论文 摘要 摘要 传统的认证授权机制将认证与授权分离，系统首先对请求者进行身份认证， 然后再授予相应的权限。随着大规模开放式分布式系统的出现，这种机制不再适 用，因为系统中潜在主体( 可被授权的实体) 的数目非常庞大，而且无法预知， 这使得主体身份认证非常困难，而要制定基于主体的访问控制策略更是不可能。 信任管理的提出很好地解决了这个问题。信任管理将访问权限授予一组安全 属性，每个主体被赋予某个特定属性，并从其拥有的属性获得权限。安全策略用 于描述基于属性的访问控制策略，由第三方签发的证书用于认证主体拥有的属 性。系统根据主体请求的动作、证书及系统的安全策略判断主体权限，很好地解 决了分布式访问控制的问题。目前已提出了若干种信任管理系统，并己投入使用。 本文详细介绍了信任管理的概念，并分析了几种典型的信任管理系统的设计 思想、相关算法、性能比较和适用场合等。论文接着详细介绍了目前使用最广泛 的信任管理系统一- - k e y n o t e 的概念、语法和计算模型，并讨论了k e y n o t e 系统 应用于主动网络的关键技术，包括信任状和动作属性的存取、安全策略的制定和 加载，以及策略实旌，改造后的k e y n o t e 系统被嵌入到主动网络节点操作系统 的内核中，用于实现对主动节点资源和服务的访问控制和授权管理。 根据实践中获得的k e y n o t e 应用经验，本文分析了目前k e y n o t e 系统存在的 不足，例如没有对网络地址运算提供支持、策略和信任状的书写格式单一、不能 对信任状的有效期进行控制、无法准确禁止特殊请求、没有辅助软件为k e y n o t e 应用提供帮助。针对这些不足本文提出了对k e y n o t e 系统的改进方案，引入比 特操作、x m l 书写格式、信任状撤销机制和意外事件处理机制，并设计和实现 了k e y n o t e 辅助软件，该软件能帮助用户提高应用开发的效率，并为应用提供 模拟和测试服务。以上工作完善和扩展了k e y n o t e 信任管理系统。此外，我们 还在实际应用的基础上提出了k e y n o t e 实现模型，该模型总结了应用中的 k e y n o t e 系统组成、部件功能、通信机制和系统接1 ：3 ，为k e y n o t e 应用提供指导。 关健词： 信任管理；k e y n o t e ：主动网络；访问控制 中国科学技术大学硕士学位论文a b s t r a c t a b s t r a c t t h et r a d i t i o n a lm e c h a n i s mo fa u t h e n t i c a t i o na n da u t h o r i z a t i o n s e p a r a t e st h e f o r m e rf r o mt h el a t t e r i ti d e n t i f i e sa l l a p p l i c a n tf i r s t l y , t h e ng r a n t s i tw i t h c o r r e s p o n d i n gr i g h t s a f t e rt h ea p p e a r a n c eo fl a r g e s c a l eo p e n l yd i s t r i b u t e ds y s t e m ，i t c a r l ta c c o m m o d a t ei t s e l ft ot h ec h a n g e ds i t u a t i o n f i r s t l y , t h en u m b e ro fp o t e n t i a l o b j e c t si nas y s t e mi sn o to n l yg r e a tb u tc a l ln o tb ep r e d i c t e d ，w h i c hm a k e si td i f f i c u l t t oi d e n t i f yas p e c i f i co b j e c ta n di m p o s s i b l et oe s t a b l i s ha c c e s s c o n t r o lp o l i c i e sb a s e d o no b j e c t s t h et h i n k i n go ft r u s tm a n a g e m e n ts e t t l e st h ea b o v ep r o b l e ms u c c e s s f u l l y i t g r a n t sas e to fs e c u r i t ya t t r i b u t e sa c c e s sr i 曲t s ，t h e no b j e c t sg e tt h e i rr i g h t sb yt h e a t t r i b u t e st h e yh a v e s e c u r i t yp o l i c i e sd e s c r i b ea c c e s s - c o n t r o l p o l i c i e sb a s e do n a t t r i b u t e s ，a n dc e r t i f i c a t e ss i g n e db yt h et h i r dp a r t yp r o v eo b j e c t s a t t r i b u t e st h u s ，t h e s y s t e me s t i m a t e saa p p l i c a n t sr i g h t sb a s e do nt h ec e r t i f i c a t e s ，a s k i n ga c t i o n sa n dt h e s y s t e m ss e c u r i t yp o l i c i e s t h e r ea r en o ws e v e r a lt r u s tm a n a g e m e n ts y s t e mw h i c h h a v eb e e nu s e di np r a c t i c e t h e p a p e ri n t r o d u c e st h ec o n c e p t i o no ft r u s tm a n a g e m e n ti nd e t a i l ，a n da n a l y z e s t h ed e s i g nt h i n k i n g ，c o r r e l a t i v ea l g o r i t h m ，p e r f o r m a n c ec o m p a r i s o na n dt h ea p p l i c a b l e s i t u a t i o no fs e v e r a lk i n d so ft r u s tm a n a g e m e n t s y s t e m a f t e ri n t r o d u c i n gt h e c o n c e p t i o n ，s y n t a xa n de s t i m a t i o nm o d e lo fk e y n o t ew h i c hi st h em o s t l yu s e dt r u s t m a n a g e m e n ts y s t e m ，i td i s c u s s e sh o wt ou s et h ek e y n o t es y s t e mi nt h ea c t i v e n e t w o r k i no r d e rt oe m b e dt h ek e y n o t es y s t e mi n t ot h ek e r n e lo ft h ea c t i v en o d e o p e r a t i n gs y s t e ma n dr e a l i z et h ea c c e s sc o n t r o la n da u t h o r i z a t i o nm a n a g e m e n to f r e s o u r c e sa n ds e r v i c e so fa na c t i v en o d e ，i n c l u d i n gt h ea c c e s so fc r e d e n t i a l sa n d a c t i o na t t r i b u t e s ，t h ee s t a b l i s h m e n to ft h e s e c u r i t y p o l i c i e s a n d p o l i c y i m p l e m e n t a t i o n s t h ep a p e rt h e n a n a l y s e st h es h o r t c o m i n g so fk e y n o t es y s t e mb a s e do n e x p e r i e n c e so fk e y n o t e ，i n c l u d i n gn os u p p o r tt ot h en e t w o r ka d d r e s s e so p e r a t i o n ， s i n g l e n e s so fe x p r e s s i o no fp o l i c e sa n dc r e d e n t i a l s ，n oc o n t r o lo v e rt h ep e r i o do f v a l i d i t yo fc r e d e n t i a l s ，i n c a p a b i l i t yo ff o r b i d d i n gas p e c i a lr e q u e s tn i c e l ya n dn o l i 中国科学技术大学硕士学位论文 a b s t r a c t a s s i s t a n ts o f t w a r e t og e tr i do ft h e s es h o r t c o m i n g s ，w ea r i s e st h ec o r r e s p o n d i n g i m p r o v e m e n tb yi n t r o d u c i n gb i to p e r a t i o n s ，e x p r e s s i o nf o r m a tu s i n gx m l ，r e v o c a t i o n m e c h a n i s mo fc r e d e n t i a l sa n de x c e p t i o nh a n d l i n gm e c h a n i s m w ed e s i g na n dr e a l i z e t h ek e y n o t ea s s i s t a n ts o f t w a r et oi m p r o v et h ee f f i c i e n c yo fa p p l i c a t i o na n dc a na l s o b eu s e df o rs i m u l a t i o na n dt e s t i na d d i t i o n ，w eb r i n gf o r w a r dak e y n o t er e a l i z a t i o n m o d e lb a s e do no u re x p e r i e n c e s t h i sm o d e li sc o n s t i t u t e db yt h et h ek e y n o t es y s t e m c o m p o n e n t s ，u n i tr u n i o n s ，c o m m u n i c a t i o nm e c h a n i s ma n ds y s t e mi n t e r f a c e s ，a n di t i sh e l p f u lt ot h ea p p l i c a t i o no fk e y n o t e k e y w o r d s ：t r u s tm a n a g e m e n t ；k e y n o t e ；a c t i v en e t w o r k ；a c c e s sc o n t r o l u i 中国科学技术大学硕士学位论文第1 章绪论 第1 章绪论 1 1 i n t e r n e t 安全和传统访问控制 随着i n t e m e t 的发展，基于i n t e r n e t 的分布式应用也得到了飞速发展，如电子商 务、远程资源共享、主动网络、i p s e c 等，同时出现了许多新的开放的大规模分 布式系统。在这些分布式系统中，存在数目庞大的计算实体，各实体间的交互非 常频繁，但许多实体之间不存在直接的信任关系，并且系统中不存在被广泛信任 的集中权威。在这些系统中，需要通过访问控制机制来保证实体安全。 传统的访问控制采用认证授权机制，其中认证与授权分离，系统首先对请求 者进行身份认证，然后授予相应的权限。身份认证回答“是谁提出请求? ”，授 权回答“请求者是否有权完成请求的行为? ”。访问控制列表就是一种典型的认 证授权机制，因其形式简单和易于实现而被广泛采用。但传统的认证授权机制由 于存在以下固有的缺陷而无法解决分布式访问控制问题： 身份鉴别 在传统的访问控制方法中，实体( 用户、应用等) 的身份总是事先已知的。然 而在分布式系统中存在着大量的未知用户与应用，用户不一定为系统所熟知，这 时传统的访问控制方法就无法运用。 授权 传统的访问控制方法缺乏委托机制，而分布的系统管理任务需要委托机制的 支持。授权机制对于分布式系统而言是必须的，它使得分布式层次化管理能够实 现。 策略的灵活性和可扩展性 一个分布式安全机制应该能够描述新的、不同环境下的策略定制及安全约 束。在这方面，传统的认证授权机制无法提供丰富的灵活性和可扩展性。策略必 须编码到应用中，这意味着策略的改变将导致应用的重新编码，从而无法处理多 变的安全条件和个性化的安全需求。 中国科学技术大学项：l 学位论文第l 章绪论 1 2 信任管理模型 传统访问控制的不足使其无法适应当前分布式系统的需要，必须有一种全新 的方法来解决此问题，在这种背景下信任管理应运而生。 信任管理的概念由m b l a z e 在1 9 9 6 年提出川，旨在提供一种直接描述授权和信 任关系的策略语言，并基于策略语言+ 给出统一的策略验证算法。信任管理系统直 接描述并处理授权问题，而不是通过认证和访问控制表间接地处理。 m b l a z e 等对信任管理的定义是：信任管理是一种采用统一的方法描述和解 释策略、信任状以及授权之间信任关系的访问控制模型。在这里，策略用于描述 访问控制策略，而信任状用于表达委托授权关系。根据该定义，信任管理的内容 应包括制定策略、获取信任状、判断信任状集合是否满足相关策略集等。 信任管理要回答的问题可以表述为“信任状集合c 是否能够证明请求r 满足本 地策略集p ”0 4 1 。在应用的访问授权中，服务方的策略形成了本地权威的根，服 务方既可用策略对特定的服务请求进行直接授权，也可将这种授权委托给可信任 第三方。可信任第三方则根据其具有的领域专业知识或与潜在的服务请求者之间 的关系判断委托请求，并以签发信任状的形式返回委托请求方。请求方向服务方 提出访问请求，同时提交自身拥有的信任状。服务方的信任管理系统判断收集的 信任状集合是否满足本地策略，并作出相应的安全决策。 图卜1 信任管理模型 为了使信任管理能够独立于特定的应用，m b l a z e 等提出了一个基于信任管 理引擎( t r u s tm a n a g e m e n te n g i n e ) 的信任管理模型，如图1 1 所示。信任管理 引擎是整个信任管理模型的核心，它使用通用的、应用独立的一致性证明验证算 法，根据输入的三元组( r ，c ，p ) 作出策略是否满足的判断。目前几个典型的信 任管理系统，如p o l i c y m a k e r 、k e y n o t e 和r e f e r e e ，均是以该模型为基础进行 中国科学技术大学硕士学位论文第1 章绪论 设计和实现的。 该信任管理模型的要点可归结为以下3 点： 采用对等的授权方式 该信任管理模型使用对等的授权方式，一个实体既可以是授权者也可以是动 作请求者。作为授权者，它可以制定自己的策略，并将自己拥有的部分权限授予 其它主体；作为动作请求者，它维护一组信任状，并在请求动作时提交给信任管 理引擎作为授权证明。这种机制使得信任管理能够很好地支持分布式委托授权。 采用可编程的授权证书 该信任管理模型采用可编程的授权证书作为信任状，描述数字世界复杂的信 任关系。证书编程使得网络应用能够用统一的方式表示策略、证书和信任关系， 并可用一致、灵活和透明的方式处理安全问题。这种机制使得基于信任管理的访 问控制机制具有良好的表达能力和可扩展性。 采用通用的证明机制 由于信任管理引擎和应用相对独立，其使用的算法不涉及应用的语义，从而 可保证引擎的通用性，避免重复编制策略计算程序。 1 3 信任管理系统 从信任管理模型可以看出，信任管理引擎是信任管理系统的核心，设计信任 管理引擎需要涉及以下几个主要问题：描述策略和信任状，设计策略一致性 验证算法，划分信任管理引擎和应用系统之间的职能。目前典型的几个信任管 理系统，p o l i c y m a k e r “、k e y n o t e 3 i $ 口r e f e r e e ”，在设计和实现信任管理引擎 时各自采用了不同的方法来处理上述问题。 1 3 1 p o l i e y m a k e r p o l i c y m a k e r 是m b l a z e 等人依据他们所提出的信任管理思想较早实现的一个 信任管理系统。p o l i c y m a k e r 为网络服务安全授权提供了一个完整而直接的解决 方法，取代了传统的认证和访问控制相结合的做法，并且给出了一个独立于特定 应用的一致性证明验证算法，用于服务请求、策略和信任状的匹配。 p o l i c y m a k e r 采用一种完全可编程的机制来描述策略和信任状。策略和信任状 中国科学技术大学硕士学位论文 第l 章绪论 由一组声明构成，声明是指定策略和委托授权的基本单元。每个声明可表达为一 个( es ) 对，其中s 表示权威源( s o u r c eo f a u t h o r i t y ) ，f 则是一段用于描述实际授权 内容或委托授权内容的程序。在一个策略声明中，s 被赋予关键字p o l i c y 。策略 声明是信任管理引擎必不可少的输入参数，描述了应用系统判断请求是否可接受 的最终权威根源。而在一个信任状声明中，s , t l 被赋予信任状签发者的公钥。信 任状用私钥进行加密，签发者的公钥用于验证该信任状的可靠性。p o l i c y m a k e r 没有对书写声明内容f 的程序语言作特别的要求，其原则是只要能被本地应用环 境解释的编程语言均可用于书写声明。在其早期的试验性工作中，m b l a z e 等人 专门开发了一种名为a w k 的程序语言用于描述声明内容，该语言的模式匹配结 构较适合描述授权信息。 由于p o l i c y m a k e r 没有指明特定的声明描述语言，因此其策略一致性证明验证 算法必须独立于特定的声明描述语言。p o l i c y m a k e r 进行一致性证明验证的一般 步骤描述如下：首先建立一个仅包含请求字符串r 的黑板，随后调用声明，声明 由本地运行环境解释，同一声明可以根据需要调用多次。当声明( cs ) 运行时， 先读取黑板中的内容并根据内容加入一条或多条接受记录( i ，s i , r i j ) ，但不能够删 除其他声明已写入黑板的接受记录，其中民，表示一个被权威源所证明的特定应用 操作，可以是一个输入请求r ，也可以是一些用于声明间交互的操作。算法本身 不需要理解和处理r 面向特定应用的声明程序处理r ”最终，当所有声明调 用完毕后，若黑板中存在一条能证明请求r 的接受记录，则一致性证明验证成功。 但实际的验证算法还需要解决诸如声明的调用顺序、声明的调用次数和丢弃产生 冲突的声明等一系列问题。为此，m b l a z e 等人用数学的方法精确地描述了一致 性验证( p m o f o f c o m p l i a n c e ，简称p o c ) 问题，并证明一般意义下的p o c 问题是 不可判定的，但一些限定的p o c 问题存在多项式时间算法。p o l i c y m a k e r 实现了一 个解决l b m a p o c 问题的一致性验证证明算法，该算法只能处理满足单调性的策 略声明。单调性要求策略和信任状只能累加而不能去除证据，即没有撤销授权的 观点，向信任管理引擎中增加新的信任状不会导致原先许可的动作请求被否决。 因此p o l i c y m a k e r 限制了一些策略的使用，如否定信任状( n e g m i v ec r e d e n t i a l ) 等。 另外，该算法还要求声明程序f 的时间复杂性不能大于o ( n “) 。 p o t i c y m a k e r 是- - 个实验性质的信任管理系统，其功能相对简单，不提供安全 4 中国科学技术大学硕士学位论文 第1 章绪论 凭证的收集和验证的功能。应用系统必须负责收集并保证足够的安全凭证用于验 证相关的操作请求，还需根据安全凭证的公钥信息验证其可靠性，而p o l i c y m a k e r 仅根据应用系统输入的操作请求、策略集和信任状集合来完成最后的一致性证明 验证工作。这种信任管理引擎与应用系统的功能划分加重了应用系统的负担，而 且可能会因为信任状收集不充分而导致一致性证明验证的失败。但应用系统负责 安全凭证的可靠性验证，使其在选择签名算法时具有定的灵活性。 1 3 2 k e y n o t e k e y n o t e 是mb l a z e 等人实现的第二个信任管理系统。不同于p o l i c y m a k e r ， k e y n o t e 在设计之初就希望能够促进信任管理系统的标准化并使其易于集成到 应用系统中。为此，k e y n o t e 在系统的设计和实现上与p o l i c y m a k e r 存在着很大 的差别。目前k e y n o t e 已在i p s e c 、网上交易的离线支付等方面进行了一些应用 研究。 考虑到标准化和易读性，k e y n o t e 采用一种类似于电子邮件信头的格式来描 述策略和信任状，如下例所示： k e y n o t e v e r s i o n ：2 a u t h o r i z e r ：”r s a p k c s l h e x ：1 0 2 3 a b c d l i c e n s e e s ：”d s a - h e x ：9 8 6 51 2 a l ” r s a p k c s l h e x ：1 9 a b c d 0 2 ” c o m m e n t ：a u t h o r i z e rd e l e g a t e s r e a da c c e s st oe d i t o ro f t h el i c e n s e e s c o n d i t i o n s ：( s t i l e = d e t c p a s s w d “& s a c c e s s = = ”r e a d ”) 专( r e t u r n ”o k ”) s i g n a t u r e s ：”r s a m d 5 - p k c s l h e x ：r o o f 5 6 7 3 ” 其中a u t h o r i z e r 字段等同于p o l i c y m a k e r 中的声明权威源，以实体的公钥标 识。l i c e n s e e s 字段用于显式地指定被授权或被委以授权的实体，同样以其公钥 标识，并且多个实体公钥之问可以使用逻辑运算符，如合取”& ”、析取”等进 行连接。c o m m e n t 字段用于声明的注释。c o n d i t i o n s 字段描述委托授权的条件， 用于测试k e y n o r e 应用系统提供的操作环境变量，其中包含了请求相关和信任 判断必须的信息。测试使用的运算操作主要有字符串匹配、数值运算、数值比较 和模式匹配等。k e y n o t e 只能接受用这种描述语言所描述的声明。 k e v n o r e 的一致性证明验证算法是一种深度优先算法。其主要思想是采用递 中国科学技术大学硕士学位论文 第1 章绪论 归的方式试图查找到至少一条能够满足请求的策略声明。所谓满足一个声明，即 该声明的c o n d i t i o n 字段和l i c e n s e e s 字段同时得到满足。当由请求、声明和声 明问的证明关系所形成的图被构造出来时，该请求被证明。相对于p o l i c y m a k e r 而言，k e y n o t e 一致性验证算法对输入的声明要求更严格，因此k e y n o t e 一致性 验证算法实际上解决的p o c 问题仅是p o l i e y m a k e r 的一个子集。k e y n o t e 也只能 处理满足单调性的声明。 k e v n o t e 提供一种专门的语言描述策略和信任状声明，并且负责信任状的可 靠性验证。这一方面减轻了应用系统的负担，使k e y n o t e 更容易与应用系统集 成；另一方面则有利于策略和信任状描述格式的标准化，使应用系统能够更有 效地传播、获取以及使用策略和信任状。 1 3 3r e f e r e e r e f e r e e 是y h c h u 等人为解决w e b 浏览安全问题而开发的信任管理系统， 虽然其设计目标比较单一，但该系统可以较完整地实现信任管理模型所列出的各 要素。 r ef e r ee 采用了与p o l i c y m a k e r 类似的完全可编程方式描述策略和信任状。 在r ef e r ee 系统中，策略和信任状均被表达为一段程序，但程序必须采用r e - f e r ee 约定的格式来描述，如下例所示： ( i n v o k e ”l o a d l a b e l ”s t a t e m e n t o l i s tu r l ”h t t p ：w w w m u s a c o r g ” ( e m b e d d e d ) ) ( f a l s e - i f - u n k n o w n ( m a t c h ( ( ”l o a d - l a b e l ”) ( ( ( v e r s i o n ”p i c s - 1 1 ”) ( s e r v i c e ”h t t p ：w w w m u s a c o r g “) + ( r a t i n g s ( r es t r i c t # 授权条件，一 相当于i f t h e n f ( r o l e = = ”a d m i n i s t r a t o r ”) 一 t r u e ： ( r o l e ：= ”s u p e r u s e r ”) 一 ( ( o p e r a 一”r e a d ”) | f ( o p e r a = = ”e x e c u t e ”) ) 一 t r u e ： ： ( o p e r a = = ”e x e c u t e ”) 一 t r u e ： ： 本地的一个文件功能模块提供r e a d 、w r i t e 、e x e c u t e 三种操作，按照主体所属 的应用域( 用d o m a i n 命名) 以及主体的角色( 用r o l e 命名) 进行分类，规定只 中国科学技术大学硕士学位论立第2 章k e v n o r e 信任管理系统 有属于e e 应用域的主体才能访问该功能模块，管理员可以进行所有的操作，超 级用户可以读和执行文件，而普通用户只能执行。假设m a r y 和a n n y 都属于e e 应用域( o m a i n 一”e e ”) ，但m a r y 是管理员( m l e = = ”a d m i n i s t r a t o r ”) ，a n n y 是超级 f f j p ( r o l e = = ”s u p e r - u s e r ”) ，两个人的文件操作权限就不一样。通过对m a r y 和a n n y 的两个属性d o m a i n 和r 0 1 e 进行控制，k e y y o t e 实现对授权的细粒度控制。 2 3k e y n o t e 语法 k e y n o t e 的信任关系和委托授权通过策略和信任状表达，策略和信任状都由 声明构成，声明描述了主体之间授权的条件和内容。声明是一个高度结构化的单 元，考虑到标准化和易读性，k e y n o t e 采用一种类似于电子邮件信头的格式来描 述声明。声明被划分为字段，包括版本字段、授权者字段、许可人字段、局部常 量字段、条件字段、注释字段和声明字段，每个字段具有不同的语义功能。声明 中的授权者字段是必须的，其他字段都是可选的。字段名不区分大小写，所有字 段最多可以出现一次，除版本和签名字段必须分别排在声明开头和结尾之外，其 余字段可以按任何顺序排列。以下是声明的一个简单例子： k e y n o t e - v e r s i o n ：2 c o m m e n t ：as i m p l e ，i f c o n t r i v e d ，e m a i lc e r t i f i c a t ef o ru s e rm a b l o c a l - c o n s t a n t s ：a t t _ c a _ k e y = “r s a ：a c d f a l d f l 0 1 1 b b a c ” m a b _ k e y = d s a ：d e a d b e e f c a t e 0 0 1 a ” a u t h o r i z e r ：a t t _ c ak e y l i c e n s e e s ：m a b _ k e y c o n d i t i o n s ：( ( a p p _ d o m a i n2 2 ”e m a i l ”1 # v a l i df o re m a i lo n l y & & ( a d d r e s s 一”m a b r e s e a r c h a t t c o r n ”) ) ： s i g n a t u r e ：”r s a s h a l ：f 0 0 f 2 2 4 4 ” 下面分别对各字段进行说明： 版本字段 版本字段说明了书写声明的语言的版本信息。如果版本字段出现在声明中的 话，它必须放在声明的最前面。 局部常量字段 中国科学技术大学硕士学位论文第2 章k e y n o t e 信任管理系统 在局部常量字段中定义的属性将覆盖在其他字段中重名的属性，这种机制允 许为一个长的标识符取一个短的别名，增强字段的可读性。 授权者字段 授权者是权限的发放者，也就是颁发声明的主体。 许可人字段 许可人字段指出被授权的主体，许可人可以是一个或多个。l i c e n s e e s 字段用 于显式地指定被授权或被委以授权的实体，同样以其公钥标识，并且多个实体公 钥之间可以使用逻辑运算符，如合取”& “、析取” 等进行连接。 条件字段 这个字段给出了授权者信任许可人去执行一个动作的条件，它是一个谓词， 条件字段执行的操作建立在动作属性集之上，动作属性包含了和请求相关和信任 判断必须的信息。对动作属性进行的运算操作主要有字符串匹配、数值运算、数 值比较和模式匹配等。 注释字段 注释字段允许对声明进行注释说明。k e y n o t e 在解析声明时，会把这部分忽 略掉。此外，通过在前面加”# ”也可以将注释加到声明的任何地方。 签名字段 签名字段用来标识授权者和保证声明的完整性，加上签名的声明可以在不可 靠的网络中传输。签名字段采用k e y n o t e 熟知的算法和授权者的私钥加密得到， 从声明的第一个字段到签名字段( 不包括签名字段) 的内容是签名的计算对象。 签名字段放在声明的最后。 k e y n o t e 提供专门的语言描述策略和信任状声明，并且负责信任状的可靠性 验证，这有利于策略和信任状描述格式的标准化，使应用系统能够更有效地传播、 获取以及使用策略和信任状。 2 4k e y n o t e 计算模型 首先给出以下定义： 定义1 ：策略支持度指请求服从本地策略的程度，它是名为“p o l i c y ”的主 体支持度。 中国科学技术大学硕士学位论文第2 章k e y n o t e 信任管理系统 定义2 ：主体支持度指主体支持请求的程度，它是主体的直接授权值与主体 签发的声明的支持度的最大值。 定义3 ：直接授权值，提交请求的主体的直接授权值是_ m a x _ t r u s t ；否则 ：是m 1 n t r u s t 。m i n j r u s t 代表策略服从值集合的最小值，一m a x t r u