（计算机软件与理论专业论文）基于约束信任的信任管理框架研究.pdf

上海交逶犬学博士学位论文 基于约束信任的信任管理框架研究 摘要 近年来，随着计算机网络技术的迅猛发展，蒸乎i n t e r n e t 的大规模汗放式 分布系统交得越来越酱遍。这些蠢来鸯不间自治域的用户为共享资源和协月解决 河题丽建立的动态虚拟组织，往往要求大爨糖互陌生戆用户密切协作，共事彼此 的敏感资源。为此，这些系统追切嚣要一种缨粒度的、基予信任的灵活授权枫制， 从而对授权技术的研究捷出了新的挑战。 在传统的、基于身份认证的授投机制难以满足这释授权器求的情况下，基于 “授权委托”或“属性委托”概念的信任管骥方法为鳃决这一潞题提供了有效途 径。然雨，授权委托橇蒂一般适予进行个体之间鲍显式投限委托，在处理多自治 域阋大规模协作的群体授权l ；习_ 瑟时，往往导致管理歼销以撮数方式增长。属性委 托梳制虽然逶鼍：处理对群体的授权趣趣，健却不能满足针对个体的细粒度授权霈 求。熙然，以上两种概念都不能独立地刻赫具有足够表达熊力的授权策略。针对 以上两种视髑的弱患，本文在国杰外已有的研究成果纂础上，提出一种使用“信 念”和受隈剿的“信任”概念来刻莉授权策略的信任管理框絮c t p f ，弗使用信 念逻辑建立了相应的形式纯基础。c t p f 把以上两种委托机制统一起来，在缵承 它们表达授投策略能力的丽时，克服了它 | 、 的弱点，隽大规模开放式分布系统提 供了一嵇缅粒度的灵活授权机制。本文_ 生簧的创新性互作包括以下蹬个鄂分： 第一，提出、定义了“约束信任”撅念，并以信念逻辑为纂础建立了攉搏信 念和约束信任豹形式逻辑框架；提出了使用约束表达约束信任关系的方法。 零文深入研究了基于逻辑懿信任形式纯阀题，提如了“约束信任”鑫孽概念， 并使用信念逻辑对约束信任进行了形式化定义，给如了约束信任的语义解释、接 导规贝g 及推导觌剜的可靠性证明，从瓶建立了个能够描述和推毽主体信念和主 体闯约束信任关系的形式逻辑框架，为蠢接使用“信念”和“约柬信任”概念刻 萄开放式系统授权策略提供了形式化基硪。此外，本文还给出了抽象约束信任规 范到分布式系统具体机制的映射方法，并把约束域的概念引入信任管理，使用约 上海交逶大学搏士学位论文 柬表达式表达主体阀的约柬信任关系。 第二，提出了使用“信念”和“约束信任”概念刻函授权策略的信任管理策 略框架，在该框架下较好她解决了信任管理研究中的凡个关键阂题；摄出了一种 用于描述殍放式系统信任策略的语富。 本文针对现旁信任管理框絮的不足，以关于信念和约束信任的形式逻辑穰架 为基础，提出了使用信任策略统一表示开放系统安全策略、安全凭证和访闽请求 的信任管理禚槊c t p f ，并在该攥架下缓好媳解决了诸如“结构纯资源细粒度访 问控制”等闯题。为描述信任策略，本文通过使用“信念”和“约束信任”的构 造体扩展了无函数逻辑程痔设计语言d a t a l o g ，歼发了基于逻辑的信任策略规范 语言t p s l 。由予c t p f 框架也支持简单的 单调信任策略弗可能产生策略冲突， 本文绘出了冲突豹勰决方法弗提出一种将菲单调信任策略映射到攀调信任策略 空间的篾革方法，从裾髓用单调信任策略的评馋概制处理非攀调策略。 第三，提出了使用约束逻辚程序( c l 黔湃 鑫信任策略的方法，给掇了信任策 略集到约束逻辑程序豹转换方法，并分析了转换豹复杂度。 本文定义了从信任策略集到逻辑程序的三步骤转换：f r a n s f o r n ? 消除非单调 策略；t r a n s f o r d 消除复合主体；t r a n s f o r n ? 将单调、光复合主体的信任策略集 转换成语义等价的约柬逻辑程序，并分裂辩每种转换簿法的复杂度进彳亍了研究， 讨论了霆羲i 程序的终止性阕题。 最后，续含以上工份，设谤并实瑷了一个简单的、基予c t p f 的原溅系统， 验证了c t p f 框架的可行性。通过实验和公析，对本文的策略译估方法( c l p 方 法) 与其它系统基瞢通逻辑程序的策略评估方案( o l p 方法) 进行了性熊比较， 结果表明：在评储带信任深度撩制的策晦时，前者的性能犬犬傻子后者。舅外， 还通过实验测试了信任策略中约束的使用对评倍性能豹影响。 关键词：信任管毽，信念，约束信任，信任策略，授权，约束逻辑程痔 上海交通大学博士学位论文 as t u d yo nt h ec o n s t r a i n e d t r u s t b a s e d t r u s tm a n a g e m e n tf r a m e w o r k a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to f c o m p u t e rn e t w o r kt e c h n o l o g i e s ，t h ei n t e r a c t - b a s e d ， l a r g e s c a l e ，o p e n ，d i s t r i b u t e ds y s t e m sb e c o m em o r e a n dm o r ep o p u l a ri nr e c e n ty e a r s t h ev i r t u a lo r g a n i z a t i o n st h a ta r ed y n a m i c a l l yf o r m e df o rt h ep u r p o s eo fr e s o u r c e s h a r i n ga n dc o l l a b o r a t i o ni n v o l v i n gu s e r sf r o mv a r i o u sa u t o n o m o u sd o m a i n s ，o f t e n r e q u i r em a n ys t r a n g e r st ow o r kc o l l a b o m t i v e l ya n ds h a r es e n s i t i v er e s o u r c e s t h i s k i n do fs y s t e m sh a ss h o w na nu r g e n tn e e df o rf i n e g r a i n e d , t r u s t - b a s e d ，a n df l e x i b l e a u t h o r i z a t i o nm e c h a n i s m s ，w h i c hp o s ean e wc h a l l e n g e t ot h er e s e a r c ho f a u t h o r i z a t i o nt e c h n i q u e s 。 w h i l et h et r a d i t i o n a l ，i d e n t i t y - b a s e da u t h o r i z a t i o nm e c h a n i s mf a i l st om e e tt h o s e a u t h o r i z a t i o nr e q u i r e m e m s ，t h et r u s tm a n a g e m e n ta p p r o a c h ，w h i c hi sb a s e do nt h e n o t i o no fd e l e g a t i o no f a u t h o r i z a t i o no rd e l e g a t i o no f a t t r i b u t e ，p r o v i d e sap r o m i s i n g s o i n t i o nt ot h ep r o b l e m h o w e v e r , t h em e c h a n i s mo fd e l e g a 畦o no fa u t h o r i z a t i o n a l b e i tb e i n ge f f e c t i v e 遮h a n d i n gt h ea u t h o r i z a t i o nd e l e g a t i o nb e t w e e ni n d i v i d u a l s ， o f t e ng a i n se x p o n e n t i a la d m i n i s t r a t i v ec o s tw h e nh a n d l i n gc o l l e c t i v ea u t h o r i z a t i o ni n l a r g e s c a l ec o l l a b o r a t i v ee n v i r o n m e n t so f m u l t i p l ea u t o n o m o u sd o m a i n s o n t h eo t h e r h a n d ，a l t h o u g ht h ea t t r i b u t e - b a s e dd e l e g a t i o ni sag o o ds o l u t i o nf o rc o u e c t i v e a u t h o r i z a t i o n ，i tf a i l st om e e tt h er e q u i r e m e n tf o rf i n e - g r a i n e da u t h o r i z a t i o nf o r i n d i v i d u a l s o b v i o u s l y , n e i t h e r o ft h et w on o t i o n s 淞s e p a r a t e l ym o d e lt h e a u t h o r i z a t i o np o l i c i e st om e e tt h en e e d so fo p e ns y s t e m s i no r d e rt oo v e r c o m et h e w e a k n e s s e so ft h ed e l e g a t i o nm e c h a n i s m si n t r o d u c e da b o v e w ep r o p o s eat r u s t m a n a g e m e n tf r a m e w o r k , c o n s t r a i n e dt r u s tp o l i c yf r a m e w o r k ( c t p f ) ，w h i c hu s e s t h en o t i o n so fb e l i e fa n dak i n do fl i m i t e dt r u s tt om o d e la u t h o r i z a t i o np o l i c i e s a f o r m a lf o u n d a t i o nb a s e do nt h el o 晷话o f b e l i e f i sd e v e l o p e df o rt h ef r a m e w o r k t h e f r a m e w o r ku n i f i e st h et w od e l e g a t i o nm e c h a n i s m s ，i n h e r i t st h e i rp o w e rf o re x p r e s s i n g a u t h o r i z a t i o n ，b u te l i m i n a t e st h e i rw e a k n e s s e s i tp r o v i d e saf l e x i b l ef i n e g r a i n e d a u t h o r i z a t i o nm e c h a n i s mf o rl a r g e - s c a l e ，o p e n , d i s t r i b u t e ds y s t e m s t h em a j o r i n n o v a t i v ew o r ki nt h i sd i s s e r t a t i o ni sa sf o l l o w s f i r s t l y , t h ec o n c e p to fc o n s t r a i n e dt r u s ti sp r o p o s e da n df o r m a l l y d e f m e d 。 u s i n gt h el o g i co f b e l i e f , af o r m a ll o g i c a lf r a m e w o r kf o rr e a s o n i n ga b o u tb e l i e fa n d c o n s t r a l n e dt r u s t ，i sd e v e l o p e d am e t h o dt oe x p r e s sc o n s t r a i n e dt r u s tr e l a t i o n s h i p s u s i n gc o n s t r a i n t si sa l s oi n t r o d u c e d 上海交通大学博士学位论文 w i t hac o m p r e h e n s i v es t u d yo nt h el o g i c - b a s e df o r m a l i s mo f t r u s t ，t h ec o n c e p to f c o n s t r a i n e dt r u s ti sc o i n e d w ed e f i n ec o n s t r a i n e dt r u s tf o r m a l l yu s i n gt h el o g i co f b e l i e f , a n dg i v ei t ss e m a n t i ci n t e r p r e t a t i o n s ，i n f e r e n c er u l e sa sw e l la ss o u n d n e s s p r o o f so ft h o s er u l e s 。t h o s ew o r k sf o r maf o r m a l1 0 爵c a lf r a m e w o r kt h a tc a r lb eu s e d t or e a s o na b o u tb e l i e fa n dc o n s t r a i n e dt r u s t ，a n dt h e r e b yp r o v i d eaf o r m a lf o u n d a t i o n f o rm o d e l i n ga u t h o r i z a t i o np o l i c i e si no p e ns y s t e m sd i r e c t l yu s i n gt h en o t i o n so f b e l i e fa n dc o n s t r a i n e dt r u s t 。i na d d i t i o n h o w 幻m a pt h ea b s t r a c tc o n s t r a i n e dt r u s t s p e c i f i c a t i o n si n t oc o n c r e t em e c h a n i s m sa n dt h em e t h o du s i n gc o n s t r a i n te x p r e s s i o n s t oe x p r e s sc o n c r e t ec o n s t r a i n e dt r u s tr e l a t i o n s h i p so fp r i n c i p a l sb yi n t r o d u c i n gt h e n o t i o no f c o n s t r a i n td o m a i ni n t ot r u s tm a n a g e m e n ta r ea l s og i v e n s e c o n d l y t h et r u s tm a n a g e m e n tf r a m e w o r kt h a tt u nb e u s e dt om o d e l a u t h o r i z a t i o np o l i c i e su s i n gt h en o t i o n so fb e f i e fa n dc o n s t r a i n e dt r u s ti sp r o p o s e d 。 s e v e r a lk e yp r o b l e m si nt h er e s e a r c ha r e ao ft r u s t m a n a g e m e n ta r es o l v e di nt h e f r a m e w o r k al a n g u a g et h a tc a nb eu s e dt os p e c i f yt r u s tp o l i c i e si nt h eo p e ns y s t e mi s a l s op r o p o s e d i no r d e rt oo v e r c o m et h ew e a k n e s s e so f e x i s t i n gt r u s tm a n a g e m e n tf r a m e w o r k s ， c t p f ，at r u s tm a n a g e m e n tf r a m e w o r kt h a tr e p r e s e n t ss e c u r i t yp o l i c i e s s e c u r i t y c r e d e n t i a l s ，a n dr e q u e s t sw i t ht r u s tp o l i c i e si nau n i f o r mw a yi sp r o p o s e db a s e do nt h e f o r m a ll o g i c a lf r a m e w o r kf o rb e l i e f a n dc o n s t r a i n e dt r u s t 。s e v e r a ik e y p r o b l e m si nt h e r e s e a r c h a r e ao ft r u s tm a n a g e m e n t ，s u c ha st h ef i n e - g a i na c c e s sc o n t r o lo f c o n s t r u c t e dr e s o u r c e s ，a r en a t u r a l l ys o l v e di nt h ef r a m e w o r k f o rs p e c i f y i n gt r u s t p o l i c i e s ，a ne x p r e s s i v el o g i c - b a s e dl a n g u a g e ，t r u s tp o l i c ys p e c i f i c a t i o nl a n g u a g e ( t p s ”，i sa l s od e v e l o p e db ye x t e n d i n gt h ef u n c t i o n f r e el o g i cp r o g r a m m i n gl a n g u a g e d a t a l o gw i t ht h ec o n s t r u c t so fb e l i e fa n dc o n s t r a i n e dt r u s t b e c a u s et h ef r a m e w o r k s u p p o r t ss i m p l en o n - m o n o t o n i ct r u s tp o l i c i e st h a tm a yc a u s ec o n f l i c t s ，am e t h o dt h a t c a nh a n d l ep o l i c yc o n f l i c t si nc t p fi sg i v e n a t r a n s f o r m a t i o na l g o r i t h mt h a tc a nm a p n o n - m o n o t o n i ct r u s t p o l i c i e s i n t ot h es p a c eo fm o n o t o n i ct r u s tp o l i c i e si sa l s o p r o p o s e d i nt h i sw a y , t h et r u s tp o l i c i e so fn o n - m o n o t o n i cc a nb ee v a l u a t e du s i n gt h e f a c i l i t i e sd e s i g n e df o rm o n o t o n i ct r u s tp o l i c i e s t h i r d l y , a na p p r o a c ht oe v a l u a t i n gt r u s tp o l i c i e su s i n gt h ec o n s t r a i n tl o g i c p r o g r a m m i n g ( c l p ) t e c h n i q u e si sp r o p o s e d t h et r a n s f o r m a t i o nm e t h o db e t w e e n t r u s tp o l i c ys e ta n dc o n s t r a i n tl o g i cp r o g r a mi si n t r o d u c e d t h ec o m p l e x i 移a n a l y s i so f t h et r a n s f o r m a t i o ni sa l s og i v e n t h ed i s s e r t a t i o nd e f i n e sat r a n s f o r m a t i o nt h a tc a nc o n v e r tt r u s tp o l i c i e si n t oa c o n s t r a i n t l o g i cp r o g r a m i nt h r e e s t e p s 弧et r a n s f o r m l s t e p e l i m i n a t e s n o n - m o n o t o n i cp o l i c i e s ；t h et r a n s f o r m 2s t e pe l i m i n a t e sc o m p o s i t ep r i n c i p a l s ；t h e t r a n q o r m c o n v e r t sam o n o t o n i ca n dc o m p o s i t e - p r i n c i p a l f r e et r u s tp o l i c ys e ti n t oa s e m a n t i c a l l ye q u i v a l e n t c o n s t r a i n t l o g i cp r o g r a m t h ec o m p l e x i t yo ft h e 4 上海交通大学博士举位论文 t r a n s f o r m a t i o ni ne v e r ys t e pa n dt h et e r m i n a t i o np r o p e r t yo ft a r g e tp r o g r a m sa r ea l s o i n v e s t i g a t e d f i n a l l y , ap r o t o t y p e o ft r u s t m a n a g e m e n ts y s t e mb a s e do n t h ep r o p o s e d f r a m e w o r ki s d e s i g n e d a n d i m p l e m e n t e du s i n gt h ec o n c e p t sa n dt e c h n i q u e s i n t r o d u c e di n t h i sd i s s e r t a t i o n ap e r f o r m a n c ec o m p a r i s o nb e t w e e nt w op o l i c y e v a l u a t i o na p p r o a c h e s ：o u rc o n s t r a i n tl o g i cp r o g r a m ( c l p ) a p p r o a c ha n dt h eo r d i n a r y l o g i cp r o g r a m ( o l p ) a p p r o a c ha d o p t e db ys o m eo t h e rt r u s tm a n a g e m e n ts y s t e m s ，i s a l s og i v e n t h ee x p e r i m e n t a lr e s u l t ss h o wt h a tf o r m e rh a sh i g h e rp e r f o r m a n c et h a n t h el a t t e rw h e ne v a l u a t i n gt h ep o l i c i e sw i t hd e l e g a t i o nd e p t hc o n t r o l 。a ne x p e r i m e n t t om e a s u r et h ei n f l u e n c e so fc o n s t r a i n t su s i n gi nt r u s tp o l i c i e su p o np o l i c ye v a l u a t i o n a r ea l s oc o n d u c t e d 。 k e yw o r d s ：t r u s tm a n a g e m e n t ，b e l i e f , c o n s t r a i n e dt r u s t ，t r u s tp o l i c y , a u t h o r i z a t i o n ，c o n s t r a i n tl o g i cp r o g r a m 上海交通大学学位论文答辩决议书 i 中请者李柏岩 i i 所在学科( 专业) l i 计算机软件与理沧 j i 论文题目陛于约柬信任的信任管理框架研究l 0 答辩日期 2 0 0 5 0 9 1 9 0 答辩地点 i i 上海变通大学分布式计算中心 答辩委员会成员 担任职务l姓名 职称所在工作单位各注 l l 签名 主席l施伯乐教授复旦大学计算机与信息技术系 无 | | ：疆腩弘j 委员l 陈克非教授上海交通大学计算机科学与工程系i | 无 i i ，妇嗑硐y 高级工程 教黝锵引 委员 朱鲁华总参第五十六研究所 师 i 委员 0 郑衍衡 教授 上海大学计算机学院无j i 郗 沂 制 i 委员 0 马范援 教授 上海交通大学计算机科学与工程系无l | 卫芑援i 评语和决议： 李柏岩同学的博十学位沦文基于约束信任的信任管理框架研究针对大规模开放、分 布系统的授权问题进行了深入的研究，提出一种使用“信念”和受限制的“信任”概念米刻 圆授权策略的信任管理框架井建立了相应的形式化基础和策略评估机制。其工作具有重要 的理硷和应用价值，沱文的主要工作及创新性在于： 篇一，提出一种使用“约束信任”概念精细刻画分布式系统主体间信任关系的方法，并 使用信念逻辑建立了相应的形式逻辑框架；提出了使用约束域上的约束表达式限制约束信任 主题的具体方法。 一 第一。提出了基于约束逻辑设计语言扩展的信任策略描述语言，赢接使用“信念”和“约三一 柬信任”的概念来刻画策略，支持多类约束域上的约束表达式，能够灵活表达各种细粒度的 授权。 薷三提出了适用于大规模开放、分布系统的信任管理策略框架并在该框架下较好地 解决了信任管理研究领域中的几个关键阍题，如结构化资源的访问控制问题：提出了使用约蚧 。一者o t 4 日良：m 刊臆舡赫腋曲 堆 些m 了檀杯带嘘扭j 曲击谭蛰舞障酌特地甫律# 辑桁丫= - 转换：蒙譬岳晰，行文流畅，论证严谨反映作者掌握了坚实宽广的基础理论和系统深入 日 论文条理清晰，行文流畅，论证严谨反映作者掌握了坚实宽广的基础理论和系统深入 的譬业知识，具有独立的科研工作能力和创新研究能力。 答辩过程中讲述清楚同答问题正确。经答辩委员会无记名投票，一致通过李柏岩同学 的博十学位论文答辩建议授予工学博士学位a 协呵肆旯f 黾 上海交通大学 学位论文原剖性声明 本久郑踅声明：所递交敬学位论文，是本人在导爆的攘导下，独立 进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究 做出蹩要贸献的个人和集体，均已在文中以明确方式标明。本人完全意 识到本声明的法律结果由本人承掇。 学位论文作者签名：套椭名 目期：酗f 年9 月蟛嗣 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同 意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许 论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的全部或 部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制 手段保存和汇编本学位论文。 保密口，在一年解密后适用本授权书。 本学位论文属于 不保密口。 ( 请在以上方框内打“”) 学位论文作者签名：夸栖坫指导教师签名：彳为乍乙一 日期：d 鲜9 月巧e t日期：伽s 年9 月2 石日 第一章绪论 1 1 研究背景和动梳 第一章绪论 随着计算机网络技术的迅猛发展，基于i n t e r n e t 平台的大规模开放式分布系统变得越来 越普遍。由于目前在电子商务、电予政务、科研教育、企渡协作以及大规模科学计算等诸多应 用领域对这类系统存在鬻巨大瓣需求，因褥引怒学者靛广泛关注。近年来戒为磷究熬煮貔掰格 系统裁是其中一个典型代表。 网格是一种将广域分布、异构、动态的计算瓷源以一致的访问方式提供给普通用户的基础 设施 f k 9 9 。它通过汇聚和虚拟化i n t e r n e t 上属于多个不同机构的计算和信息资源，馒人们能 够像使褥单会计葬穰那襻使鬻这些资源。掰穰技术起源子大型科学诗弊，嗣踅最裙静鹅格称舞 诗募霹掺( c o m p u t a t i o n a lg r i d ) 。隧羞在巍业方面应用翦景的尽趋硬朗，剐格技术逐渐与w e b 服务技术结合起来，产生了面向商务环境的歼放网格服务体系结构( o p e ng r i ds e r v i c e s a r c h i t e c t u r e ，o g s a ) f k n 0 2 。在o g s a 体系结构下，人们可以将不耐机构的计算资源和信息 瓷深虚拟亿魏各种服务，使瘸w e b 藏务按术簇域现蠢豹各释标潦燕范、耱议来梅建羽臻。在这 转背景下，鄹措运濒演交成了一季中跨越物理组织和管理域边界，以资源共享和协同解决闽题为 圉标的犬规模动态虚拟缎织( v i r t u a lo r g a n i z a t i o n 。v o ) f k t o i 。 网格具有大规模开放系统区别予传统分布式系统的主黉特髓，如可伸缩性、跨域俄、自治 健、开艘洼释动态健等等。熬簿，瓣格系统在免天秘提供壤想计算能力瓣霹黠，落绘蕊子身傍 认证约传统授权决策技术带来了新的挑战。这秽挑战主要体现以下几个方磁： 1 陌生用户的授权问题；在大规模v 0 中往往存在着数量庞大、大多互不相识、来自不同 自治域的资源提供者和用户。由于v o 的动态性，资源提供者无法保存所有潜在用户的信息，也 秃法事先与赘源请求毒建立信任关系，溺对系统孛一觳氇不存公谈静僖投藏( 妇公认懿身份 认迂机构) 。在这雩申情况下，对翅户的身份认证难以进行，即使糍够认证，也难以钟对不同用户 进行细粒度授权。 2 跨越管理城边界的资源访问：v o 中的共享资源以服务的形式提供绘用户，一个服务可 戳整由多个耩于不简组绫静服务擒成的菱合骧务( c o m p o s i t es e r v i c e s ) 。资源请求者农访闰复 会照务避，可能要多次跨越管理域逸界。传统的授投机制嚣求访问每次跨越管理域边界时都要 认证用户身份。如果这般管理域不认同请求者的c a ( c e r t i f i c a t i o na u t h o r i t y ) ，则认证无法 谶行。这种机制甚至难毗在大规模v 0 中满足嘲格对单点登录( s i n g l es i g no n ) f k t 9 8 j 特性的 上海交通大学博士学位论文 要求。 3 灵活多变的授权需求：传统的授权机制通常只考虑简单的属性，如用户名或安全级别。 而网格系统往往需要灵活多变的授权策略，例如一个用户可能允许v 0 的其它成员在l a m 到7 a m 之间下载其文件资源。在一些情况下，v 0 资源提供者可能希望只在一定条件下允许特定个体访 问其特定资源，需要细粒度的授权机制。在另外一些情况下，他们往往需要对满足某种属性的 用户群体统一授权，以减少其管理开销。 传统的授权机制把授权过程分成身份认证和访问控制两个步骤，由于存在一些根本性的弱 点，难以满足大规模开放式分布的授权需求。针对这种情况，m b l a z e 等人于1 9 9 6 年提出了使 用信任管理( t r u s tm a n a g e m e n t ，1 3 1 ) 方法解决这一问题的新思路。其基本思想是承认开放系 统中安全信息的不完整性，认为系统的授权决策需要依靠可信第三方提供的安全信息，应该允 许用户进行以信任为基础的授权委托。该方法采用统一的方式描述安全策略( s e c u r i t y p o l i c y ) 、安全凭证( s e c u r i t yc r e d e n t i a l ) 和分布式系统中主体闻的信任关系( t r u s t r e l a t i o n s h i p ) ，支持以非集中方式存储和管理授权信息，并使用通用的策略评估机制进行授权 决策。 信任管理方法为解决开放式分布系统授权问题提供了有效途径和基本框架，为学术界广泛 接受，并成为研究热点 r k 0 5 。许多类似的解决方案都可用这个框架来评价，如 s p k i s d s i c e e o i 、p o l i c y m a k e r b f l 9 6 、k e y n o t e b f l 9 9 a 、r e f e r e e c f l 9 7 、d l l g f 0 3 、 s d 3e j i 0 0 0 、f i d e l i s y a 0 0 3 a 、r t 咖3 等等。本文将在这个基本框架下研究授权策略的表 示和评估问题，提出适合于网格等大规模开放式分布系统的信任管理策略框架和策略规范语言 以满足这些系统对先进的、细粒度的灵活授权机制的需求。 1 2 大规模开放系统的授权框架 网格系统是大规模开放系统的典型代表。网格计算研究领域提出的v o 概念刻画了太规模开 放系统的本质特点。目前学术界对大规模开放系统授权框架的系统性研究工作主要以网格计算 为背景，因此本文主要介绍这一领域的工作。 1 2 _ 1 授权问题研究现状 从上个世纪9 0 年代中期以来，网格计算一直是学术界的个研究热点。为推动网格计算的 研究，学术界于1 9 9 9 成立了全球网格论坛( g l o b a lg r i df o r u m ，简称g g f ) 。该论坛定期举行网 格会议( g g f 会议) ，交流最新的网格研究成果，制定网格技术标准。g g f 针对不同研究方向设立 工作组( w 。r k i n gg r o u p ，简称w g ) 和研究组( r e s e a r c hg r o u p ，简称r g ) 。其中，工作组集中 于某个特定技术问题，开发相关的文档，如协议规范、指南等；研究组则对一些还不成熟的领 第一章绻论 域进行探索性研究。g g f 在耐格安全方面的研究内容包括认证、授权、诗费；授权稚架和梳翩 网格安全基础设施；蹲捂证书策略：o g s a 安全。表i - i 列出了与授权研究相关的w g 和r g 。 表l 一1g g f 与踺格授权研究提关的鹅窥r g 英文缩写中文名称类型工作内容和目标 a u t h z 一并s援较程絮与橇秘工彳睾缝 程 定义概念| 雯静秘格攫投撂凝，楚糊格授投系统 的设计提供基础 o g s a - s e c 开放圈格服务粲构安全 w g 菇纳并解决o g s a 环境下静两格安全需求 工作缎 0 g s 卜a u t h zo g s a 授权工作组 w g 定义在o g s a 框架中实现授权组件的基本互操 傍懊帮可攒拔挂( p t u g g a b i l i t y ) 熬援越 a r r g - r g 权威机构识别研究小组 r g发掘简单、便宜、半自动化机制的潜力，供信 饪方识爨较藏极梅懿酝砉势作窦决策，簿健著 帮助网格参与者之间建立倍任关系。 g g f 制定豹标准称为网格论坛文档( g r i df o r u md o c u m e n t s ，简称g f d ) 。表1 吨列出t 目 前与嘲格授权框架相关的g f d 。 表i - 2 网格授权框架相关的g g f 文档 i 文档编号文糕名豫文耧内容 g f d 3 8 c o n c e p t u a lg r i da u t h o r i z a t i o nf r a m e w o r ka n d网格授权的概念框架和分类 c i a s s i f i e b t i o n g f d ，4 2 a u t h o r i z a t i o ng l o s s a r y 阿辂授权术语表 从g g f 静工作可以看出，学术界瓣据授投闯题稳当重视，僵羁翦的研究还处予初步阶段。 g g f 的工作主凄包括：定义相关术语、提出概念性的授权樵架、制定现有授权系统互操作规范 等。 g f d 3 8 中提到的授权系统中，a k e n t i r 5 1 0 3 、p e 跚i s l o t 0 3 和c a r d e a l e p 0 3 是使用属 性证书进行投黻委托掩系统。它 f j 都是在原霸分布式授蔽系统萋磷上，逶遮使用一些霹格技术 改造两成。它们支持细粒度的权限委托，但侧重于谯网格环境中支持原有系统，难以广范使用。 v o m s a t f 0 3 和c a s p 辆f 0 2 支持虚拟组织授权，但采用集中式静静鹾资源管理结构，不适于管 理大援摸系统。 此外，目前在网格系统中广泛使用的一娥授权机制，如g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) 上海交通大学博士学位论文 f k l 9 7 ，基本上由传统授权机制改造而成。它们虽然在一定程度上支持权限委托，但不能从根 本上消除传统授权机制的弱点，难以支持大规模系统。 o g s a s e c 的研究表明，网格安全问题是网格计算中的一个核心阉题。网格的安全问题的主 要挑战包括：( 1 ) 集成现有技术和标准；( 2 ) 协同各种不同的安全机制；( 3 ) 如何在动态网格环 境下定义、管理、执行信任策略。网格授权研究的目标是设计出先进的、细粒度的灵活授权机 制，满足网格系统当前和未来的安全需求。 1 2 2 授权概念框架 文档g f d 3 8 定义了网格授权的概念性框架。框架中涉及的实体包括：主体( s u b j e c t ) 、资 源( r e s o u r c e ) 和权威( a u t h o r i t y ) 。三种典型的权威包括：发布属性断言的属性权威、发布授权 策略的策略权威和发布身份证书的身份标识权威( 如c a ) 。网格框架的基本组件包括信任管理、 权限管理、策略管理、授权服务器、授权上下文和授权实施机制。 2a u t h o d z l l t i o n ? r e q u e s l 德套兰! a u t h o d t e s 啪o u 庀a u l h o r * t j 舶l ，目叫c d 训i 曲 38 u t h 0 血b 6 a n r e s p o n