（计算机软件与理论专业论文）开放网络中基于rt语言的自动信任协商研究.pdf

南京邮电大学 硕士学位论文摘要 学科专业：工科、计算机软件与理论 研究方向：基于网络的计算机软件应用技术 题目： 开放网络中基于r t 语言的自动信任协商研究 英文题目： r e s e a r c h o fr t - b a s e da u t o m a t e dt r u s tn e g o t i a t i o ni no p e nn e t w o r k 关键词： 自动信任协商、主客观信任融合、基于角色的信任管理框架、权威推荐度、 第三方信任度、信任目标图协议、分布式证书发现、自动信任协商模型 英文关键词： a u t o m a t e dt r u s tn e g o t i a t i o n ，c o m b i n a t i o no f o b j e c t i v ea n ds u b je c t i v et r u s t ， r o l e b a s e dt r u s tm a n a g e m e n tf r a m e w o r k ，a u t h o r i t yr e c o m m o d a t i o n ，t h i r d p a r t yt r u s t ，t r u s tt a r g e tg r a p hp r o t o c o l ，d i s t r i b u t e dc e r t i f i c a t ed i s c o v e r y , a u t o m a t e dt r u s tn e g o t i a t i o nm o d e l 论文选题来源： 1 国家8 6 3 高科技计划项目，项目名称为“基于a g e n t 的开放网络信任模型 研究”( 项目编号2 0 0 7 a 0 1 a 4 7 8 ) 。 2 江苏省自然科学基金，项目名称为“基于可信平台模块t p m 的可信计算 系统关键技术研究”( 项目编号2 0 0 8 4 51 ) 。 中文摘要 开放网络环境中存在大量异构节点，它们动态地自组织成不同的自治域。即使在一个 自治域内部，由于节点的频繁迁徙，节点之间仍是相对陌生的。所以如何在陌生节点之间 建立信任关系，是开放网络需要面对的问题。本文基于开放网络环境的特点和目前自动信 任协商研究的不足，深入分析了开放网络的信任需求，指出应将自动信任协商和主观信任 相结合，试图为开放网络的信任管理找到一种新的途径。通过引入权威推荐度和第三方信 任度，扩展了基于角色的信任管理语言，设计出一种融合了主观信任的信任管理语言 r 1 村。基于r t a t ，对自动信任协商的关键技术进行了深入研究。首先，提出了基于r t a t 的信任目标图协议，通过在协商过程中计算证书链效力，实现了协商结论的模糊化，反映 了信任的动态特征并部分实现了敏感信息保护。其次，提出了基于r t a t 的分布式证书链 发现算法，通过在证书发现过程中对证书链断裂处进行证书链效力估算，解决了持证节点 异常离线导致证书链发现失败的问题。并在这两者基础上，设计出一种融合了主观信任的 自动信任协商模型，更加适应开放网络的安全环境和信任需求。最后设计实现了一种开放 网络环境下的自动信任协商系统，通过整合x m l 文档、s o c k e t 、数据库等技术自动建立 资源共享双方的信任关系。 关键词：自动信任协商、主客观信任融合、基于角色的信任管理框架、权威推荐度、第 三方信任度、信任目标图协议、分布式证书发现、自动信任协商模型 _ ， r 一 - i 一一 a bs t r a c t i no p e nn e t w o r ke n v i r o n m e n t ，m a s s i v en o d e si nh e t e r o g e n o u sd o m a i n sf o r mi n t oa l l a u t o n o m o u ss y s t e ms p o n t a n e o u s l yf o rt h ep u r p o s eo fas e r v i c e b e c a u s eo ft h e i rf r e q u e n t m o v i n g ，e a c hn o d ec a nn o tk n o we x a c t l ya b o u t t h eo t h e r a sar e s u l t ，i ti si m p e r a t i v ef o re a c h n o d ei no p e nn e t w o r kt oe s t a b l i s ht r u s tr e l a t i o n s h i pw i t ho t h e rn o d e s t of i n dan e wa p p r o a c h t ot r u s tm a n a g e m e n ti no p e nn e t w o r k ，t h ei d e ao fc o m b i n i n ga u t o m a t e dt r u s tn e g o t i a t i o na n d s u b j e c f i v et r u s ti sp r o p o s e di nt h i st h e s i s ，t h r o u g hd e e p l ya n a l y z i n ge x i s t e dp r o b l e m si nc u r r e n t a u t o m a t e dt r u s tn e g o t i a t i o nr e s e a r c ha n di d e n t i f y i n ge n r i c h e dr e q u i r e m e n t so ft r u s ti no p e n n e t w o r k h i g h l i g h t e db yt h ei d e a ，t w on e wc o n c e p t i o n s ，a u t h o r i t yr e c o m m e n d a t i o na n d t h i r d p a r t yt r u s t ，a r ep r o p o s e dt oe x t e n dr o l e - b a s e dt r u s tm a n a g e m e n tf r a m e w o r k ，f o l l o w e dw i t ha n o v e l s u b je c t i v e t r u s t c o m b i n e dt r u s tm a n a g e m e n tl a n g u a g er 1 a t t h e t h e s i s d e e p l y i n v e s t i g a t e sk e yt e c h n o l o g i e so fa u t o m a t e dt r u s in e g o t i a t i o nb a s e do n r t a ti nt h ef o l l o w i n gw a y f i r s t l y , r 1 a t b a s e dt r u s tt a r g e tg r a p hp r o t o c o l ，w h o s en e g o t i a t i o n c o n c l u s i o ni s f u z z y , i s p r o p o s e d t or e f l e c tc h a n g eo ft r u s tr e l a t i o na n dp a r t l ya c h i e v ep r o t e c t i o no fs e n s i t i v e i n f o r m a t i o n ，b yc a l c u l a t i n gc e r t i f i c a t e c h a i nv i r t u ed u r i n gn e g o t i a t i o np r o c e s s s e c o n d l y , 骶硒b a s e dd i s t r i b u t e dc e r t i f i c a t ec h a i nd i s c o v e r ya l g o r i t h mi si m p r o v e dt or e s o l v et h e p r o b l e mt h a ts t o r i n gc e r t i f i c a t e sn o d e s a b n o r m a l l yo f f l i n e r e s u l t si nd e f e a to fc e r t i f i c a t e d i s c o v e r y , b ye v a l u a t i n gc e r t i f i c a t ec h a i nv i r t u ei nt h ep l a c ew h e r ec h a i n i sb r o k e n o nt h e b a s i so ft h e s et w ot e c h n o l o g i e s ，an e ws u b j e c t i v e t r u s tc o m b i n e da u t o m a t e dt r u s tn e g o t i a t i o n m o d e l ，w h i c ha d a p t sw e l lt os e c u r i t y e n v i r o n m e n ta n dt r u s tr e q u i r e m e n ti no p e nn e t w o r k ，i s p r e s e n t e dt h i r d l y f i n a l l y , an e wa u t o m a t e dt r u s tn e g o t i a t i o ns y s t e mi n o p e nn e t w o r ki s d e s i g n e dt oh e l pb u i l d t r u s tr e l a t i o n s h i pb e t w e e ns h a r i n gr e s o u r c ep a r t n e r s ，b yi n t e g r a t i n g t e c h n o l o g i e ss u c ha sx m l d o c u m e n t ，s o c k e t ，a n dd a t a b a s e k e y w o r d s ：a u t o m a t e dt r u s tn e g o t i a t i o n ，c o m b i n a t i o no fo b j e c t i v ea n ds u b j e c t i v et r u s t ， r o l e b a s e dt r u s tm a n a g e m e mf r a m e w o r k ，a u t h o r i t yr e c o m m o d a t i o n ，t h i r dp a r t yt r u s t ，t r u s t t a r g e tg r a p hp r o t o c o l ，d i s t r i b u t e dc e r t i f i c a t ed i s c o v e r y , a u t o m a t e dt r u s t n e g o t i a t i o nm o d e l 南京邮电大学硕士研究生学位论文目 目录 中文摘要i a b s t r a c t i l 第一章引言1 1 1 课题背景l 1 2 课题来源2 1 3 本文组织2 第二章自动信任协商研究综述4 2 1 自动信任协商的研究内容和研究现状4 2 1 1 自动信任协商的体系结构和模型4 2 1 2 自动信任协商的策略语言5 2 1 3 协商策略6 2 1 4 敏感信息保护技术6 2 1 5 自动信任协商的_ 致性检验8 2 2 开放网络环境下的自动信任协商需求8 2 3 目前自动信任协商研究的不足1 0 2 4 本文的研究思路11 2 5 本章小结1 2 第三章基于角色的信任管理语言研究。1 3 3 1 访问控制研究。l 3 3 1 1 基于角色的访问控制1 3 3 1 2 基于属性的访闯控制1 4 3 2r t 语言框架1 5 3 2 1r t 语言框架概述15 3 2 2r t 语言框架的组件：2 0 3 3r 叮语言3 3 3 3 1r t 语言族的不足3 3 i i i o 一飞 南京邮电大学硕士研究生学位论文 目 录 3 3 2 权威推荐度和第三方信任度3 4 、 l 3 3 3r t a t 的信任状描述3 5 ，： 3 3 4r 1 椰的信任状图和规则3 5 3 3 5r 1 r a t 语言的特点。：3 9 3 4 本章小结3 9 第四章基于r 1 盯的自动信任协商研究4 l 4 1 基于r 1 t 的协商协议研究4 1 4 1 1 a c k 策略( a c k n o w l e d g e m e n tp o l i c y ，a c kp o l i c y ) 4 1 4 1 2 信任目标图协议( t r u s tt a r g e tg r a p hp r o t o c o l ，t t gp r o t o c 0 1 ) 4 2 4 1 3 基于r 1 谢的信任目标图协议( r t x b a s e d t r u s t t a r g e t g r a p h p r o t o c o l ，孵1 v i g p ) 4 7 4 2 基于r 1 椰的信任协商中信任状发现算法研究4 8 4 2 1 基于r t 0 证书链发现算法。4 8 4 2 2 基于r 1 甲的分布式证书链发现算法( r t x - b a s e dd i s t r i b u t e dc e r t i f i c a t ec h a i nd i s c o v e r y , r t a t _ d c c d ) 4 9 4 3 基于r t 的信任协商模型研究5 3 4 3 1 传统自动信任协商模型5 3 4 3 2 基于r 1 ，的主客观融合的自动信任协商模型5 3 4 4 本章小结。5 9 第五章开放网络中的自动信任协商系统。6 0 5 1 系统应用背景和总体设计6 0 5 1 1 应用背景6 0 5 1 2 总体设计6 0 5 1 3 系统流程6 l 5 1 4 模块架构6 2 5 2 系统模块的具体设计6 3 5 2 1 协商请求端模块6 3 5 2 2 协商应答端模块6 5 5 3 系统模块的实现演示6 8 5 3 1 协商应答端模块实现演示6 8 5 3 2 协商请求端模块实现演示。7 0 i v o 南京邮电大学堡主婴壅竺堂垡笙茎 一 旦茎 - _ _ _ _ _ - _ _ _ _ _ _ _ _ - _ - - _ _ _ - _ _ _ _ _ _ _ - - - _ _ _ _ _ _ _ _ _ - - _ - _ l _ - 。_ 。_ _ _ _ _ _ _ _ - _ - _ - 。- _ - - _ - _ _ _ _ - 。i _ _ - 。一一 一 5 4 本章小结：7 l 第六章总结与展望“7 2 6 1 总结7 2 6 2 展望- 7 2 致谢；7 3 攻读硕士学位期间的学术论文7 4 攻读硕士学位期间参加的科研项目7 5 攻读硕士学位期间获得的专利申请7 5 缩略词。7 6 图表清单7 8 参考文献8 0 v 南京邮电大学硕士研究生学位论文 第一章引言 1 1 课题背景 第一章引言 为解决分布式环境中的新安全问题，b l a z e 等人首先提出信任管理( t r u s t m a n a g e m e n t ，简称t m ) 的概念【1 】【2 】，w i n s b o r o u g h 等人【3 】称这类信任管理系统为基于能力 ( c a p a b i l i t y - b a s e d ) 的授权系统，因为它们仍需要服务方预先为请求方颁发相应操作权限 的信任证，无法与陌生对方建立动态的信任关系。l i 等人提出了一种基于角色的信任管 理框架( r o l e b a s e dt r u s t - m a n a g e m e n tf r a m e w o r k ，简称r t ) 【4 】【5 1 ，它依赖主体属性 ( p r o p e r t y - b a s e d ) 授权的方式在陌生双方之间建立信任关系。r t 定义了两类实体：主体 ( p r i n c i p a l ) 与角色( r o l e ) 。主体是指由个体、程序、公钥等唯一证明的实体。在信任管理系 统里，r t 语言是一类语言的集合，包括：r t o 、r t l 、r t t 与r t d 。r t o 是i 玎的基础，它 主要用来定义角色。一个角色定义由两部分组成：开头( 脏a d ) 与主体( b o d y ) ，中 间用谓词连接起来。鉴于r t 语言在信任管理方面的强大表示能力和扩展能力，学者们提 出许多基于r t 语言的信任管理模型和信任管理机制【6 】【7 】【引。 自动信任协商是在传统的信任管理基础上发展起来的新型信任管理机制，它与信任管 理的主要区别在于是否事先知道对方的访问控制策略。传统的信任管理，访问者事先并不 清楚对方的访问控制策略，需要通过提交访问请求来获得访问控制策略信息；而自动信任 协商的访问控制策略是对外公布的，用户在访问前就可以预先准备好证书，协商过程极少 需要人工参与。 与基于身份的访问控制系统相比，自动信任协商的优势体现在【9 j ： ( 1 ) 陌生者之间的信任关系通过参与者的属性信息交换进行确立，这是通过数字证 书的暴露来实现的。 ( 2 ) 协商双方都可定义访问控制策略，以规范对方对其敏感资源的访问。 ( 3 ) 协商过程中，并不需要可信第三方的参与。 目前以p 2 p 网络、a dh o e 、无线传感器网络为代表的开放网络正成为国内外引人注 目的研究领域。在这种开放动态的网络环境下，参与的节点数量众多，中心服务器的核心 第1 页 ， 一 南京邮电大学硕士研究生学位论文第一章引言 作用被进一步削弱，如何保证陌生实体之间安全有效地交互一直是开放网络安全机制中富 有挑战性的工作。而传统的安全手段( 如加密、数字签名等) 常常依赖于第三方的介入并 且不能为用户提供相对意义的安全。 自动信任协商却能有效地适应这种节点地位平等的开放网络环境。自动信任协商可以 不在第三方参与的情况下，使得资源请求节点和资源应答节点之间高效、安全地建立起信 任关系。因此，研究开放网络环境下的自动信任协商是信任管理领域的一项十分有意义的 探索。 1 2 课题来源 本文所涉及的课题主要来源于国家8 6 3 高科技计划项目，项目名称为“基于a g e n t 的开放网络信任模型研究( 项目编号2 0 0 7 a a 0 1 2 4 7 8 ) 。 本人所做的工作可陈述如下：( 1 ) 提出了开放网络中自动信任协商的应用场景和应用 机制；( 2 ) 基于r t 框架设计了开放网络环境下融合主观信任的自动信任协商模型；( 3 ) 并 提出了基于r t 的分布式证书发现算法；( 4 ) 使用j a v a 语言，为项目原型系统开发了一个 分布式协作环境下的自动信任协商系统。 1 3 本文组织 本文将深入分析开放网络环境下，自动信任协商所需要解决的问题。并引入基于角色 的信任管理框架( r o l e b a s e dt r u s t m a n a g e m e n tf r a m e w o r k ，简称r t ) ，考虑主客观因素 设计出一种开放网络环境下的自动信任协商系统。 全文共分五个章节，内容组织如下： 第一章介绍了从信任管理到r t 的沿革以及自动信任协商在信任管理领域的优势，并 指出了自动信任协商的广泛应用前景； 第二章介绍了自动信任协商领域的研究现状并分析了开放网络环境对自动信任协商 的需求，最后在总结了目前研究成果不足的基础上提出了研究思路； 第三章介绍了r t 语言框架，详细分析了各个框架组件的语法和语义，并在r t 框架 基础上引入权威推荐度和第三方推荐度两个主观信任概念，设计出r 1 严语言； 第四章主要提出了基于r t a t 语言的信任协商协议和分布式证书发现算法，并在此基 第2 页 o 南京邮电大学硕士研究生学位论文 第一章引言 础上设计出了融合了主观信任的自动信任协商模型； 第五章采用j a v a 语言，基于s o c k e t 协议、x m l 文档和相关安全技术设计出了开放网 络环境下的自动信任协商系统； 最后，总结了本文所做的工作，并对进一步研究的重点和方向进行了展望。 第3 页 南京邮电大学硕士研究生学位论文 第二章自动信任协商研究综述 第二章自动信任协商研究综述 2 1 自动信任协商的研究内容和研究现状 2 0 0 0 年，w i n s b o r o u g h 等人【3 】首先提出了自动信任协商( a u t o m a t e dt r u s tn e g o t i a t i o n ， 简称a t n ) 的概念，它是“通过信任证、访问控制策略的交互披露，资源的请求方和提供 方自动地建立信任关系”的一种崭新的信任管理机制【3 】【1 0 】【l l 】【1 2 1 。自动信任协商技术脱胎 于信任管理技术，又适用于开放网络这样一种大规模的、分布式的、异构环境。自动信任 协商技术能够安全地、高效地建立起不同节点之间的动态信任关系，而且不需在网络中部 署超级节点或目录服务器，系统开销小。正是由于这种高效安全的特性，自动信任协商已 经成为信任管理领域的一个研究热点。目前，自动信任协商的研究已经取得巨大的发展， 各种新颖的技术和研究思路层出不穷；但就整体而言，自动信任协商仍处于起步阶段，学 术界仍在就各个技术细节进行深入的研究。 随着自动信任协商的研究深入，学者和研究人员从各个方面就a t n 的各个技术环节 和理论描述做了大量的探索。就国内外的研究现状来看，自动信任协商的研究主要包括以 下内容：自动信任协商的体系结构和模型、策略语言、协商策略、敏感信息保护技术和一 致性检验等。 2 1 1 自动信任协商的体系结构和模型 自动信任协商作为一种分布式环境下的跨域的信任关系建立方式，其体系结构从本质 上说是一种p 2 p 协作模式。w i n s b o r o u g h 最初认为a t n 的体系结构是一种应用层体系结 构【3 】，该结构采用访问控制策略保护敏感信任状，但是所保护资源的类型单一。其后，y u 等人【1 3 l 【1 4 1 提出一种同时保护访问控制策略和信任状的新型a t n 层次体系结构，并涉及了 协商策略和协商协议。w i n s b o r o u g h 在提出a t n 概念的同时，还定义了自动信任协商的 抽象模型，即将协作实体之间的信任建立过程抽象成信任状披露序列。 但就整体而言，目前的体系结构并没有完整地描述出自动信任协商所需的所有相关技 第4 页 南京邮电大学硕士研究生学位论文第二章自动信任协商研究综述 术，也没有体现出其所适用环境的特点。 2 1 2 自动信任协商的策略语言 自动信任协商的策略语言应具有以下特征1 1 5 】【1 6 1 1 1 7 】： 1 良好的语义 保证了策略与策略语言的具体应用无关。 2 单调性 证书或策略的暴露会且只会影响用户的部分权限。 3 证书结合 策略能够将多个证书进行“交”、“并”操作来实现需要提交多个证书的复杂策略。 4 认证 协商者应使用公钥对证书签名而保存私钥来证明该证书的有效性。 5 属性值约束 证书就是一个结构化对象，包含了主体属性信息。证书还可以关联到某类证书，来简 化证书管理。 6 内部证书约束 使用策略表达约束，来比较属于同一主体的不同证书的值。 7 证书链 当某个证书的主体是另一个证书的发布者时就构成一个证书链。策略语言应能表达和 约束证书链。 8 传递闭包 使得信任关系在特定环境下具有可控的传递性。策略语言应可控制信任链的长度。 9 外部函数 用来规范对不同类型数据的操作和比较，如日期、时间、货币等。 1 0 本地证书变量 用来实现资源策略和证书的自动关联，提高匹配效率。 1 1 检测提交者 策略制定者可以指定访问者的哪些证书满足该策略的哪些原子策略。 第5 页 堕塞堡皇奎堂堡主婴壅生兰垡堡奎 篓三皇鱼垫笪堡堡塑堡塞箜堕 1 2 敏感策略保护 策略语言应具有敏感信息保护机制，避免或防止重要信息外泄。 1 3 具有同一形式的互操作语言 策略语言的设计应考虑到真实的应用和上下文环境。 目前信任管理领域存在多种策略语言，如p s p l 15 1 ，t p l t l 5 i t l 8 1 ，x - s e e t l 5 i t l 9 t 2 0 l ， k e y - n o t e 15 1 ，t r u s t x 【1 6 1 1 2 1 1 ，t m s t b u i l d e r t l 6 1 ，r t 等。但是只有r t 语言最大限度地满足 上面的要求( 部分满足1 1 ，不满足1 3 ，其余全部满足) ，在第三章中将详细介绍r t 语言。 2 1 3 协商策略 w i n s b o r o u g h 等人提出了两种极端信任协商策略 3 1 ：热心策略( e a g e rs t r a t e g y ) 与吝啬 策略( p a r s i m o n i o u ss t r a t e g y ) 。热心策略采用的是p u s h 方式，即在信任协商前，访问者一 次性地将所拥有证书全部提交。其优点是减少证书交换次数，降低网络开销，提高协商效 率。但由于用户将所有证书( 包括协商相关的与不相关的) 都提交给了对方，这必将导致无 关证书的暴露。同时不加条件地释放证书，会泄露一些个人隐私或商业信息。吝啬策略采 用的是p u l l 方式，即资源方要求什么证书，访问者才提交相关的证书，直到建立起信任 关系。吝啬模型可以克服热心模型中信息保护的不足，但信任关系的建立需要多次的证书 交换，网络开销大，协商效率低。 为了兼顾效率和保护敏感信息，李建欣等提出了c o t n ( c o n t r a c t b a s e dt r u s t n e g o t i a t i o n ) 策略 2 2 1 。该协商策略是通过在协商初期约定某个条件做为协商底线，协商过 程中发现对方不能满足时及时停止协商，从而提高协商效率和不必要的信息暴露。 2 1 4 敏感信息保护技术 1 隐藏证书 b r a d s h a w l 2 3 1 将h o l t 2 q 提出的隐藏证书应用到隐藏复杂策略，并分析了协议性能。 f f i k k e n 2 5 1 等人则使用隐藏证书隐藏访问控制策略。隐藏证书基于椭圆曲线加密原理( 大 素数相乘容易因式分解困难) ，具有较好的保密性和数据完整性。自动信任协商采用隐藏 证书技术，可以有效保证证书不受攻击、敏感信息泄露及协商不易被破坏。 隐藏证书根据不同环境有不同的系统参数。其参数形式为： 第6 页 南京邮电大学硕士研究生学位论文第二章自动信任协商研究综述 p a r a m s = 。其中g 为大素数；g i 和岛为群；以为消息m 和密文c 的空间大小；p 为g ，中用来生成公私钥对的随机元素；奶和飓为哈希函数， 满足甄： o ，1 ”- - q ，h ：g 2 专 o ，1 ) ”；椰d 为一对加密解密函数；名为线性映射且满足： ( 1 ) 线性：。e ：g lxg 2 - - g 2 ； ( 2 ) 非退化性：v 户g l t e ( p ，p ) g 2 ； ( 3 ) 可计算性：存在有效快速且满足 e ( a p ，6 q ) = 0 妒，q ) 口6 的计算仑妒，q ) 。 ， 隐藏证书具有证书不可区分性，即两个不同的元策略加密后的密文对于那些不拥有这 两个元策略要求的证书的用户而言是不可区分的。这样攻击者很难在多项式时间内解密加 密后的策略，从而实现敏感信息的保护；同时又减少了证书披露的次数，提高了协商效率。 2 无记忆属性证书 无记忆属性证书( o b l i v i o u sa t t r i b u t ec e r t i f i c a t e s ，o a c e r t s ) 2 6 1 通过允许证书持有者使用 证书的部分( 全部) 属性并规定了如何使用这些属性来防止敏感信息泄露和推理攻击。 o a c e r t s 使用零知识协议，通过计算协商双方各自的授权函数来确定他们获得什么信息。 其模型可以描述为( a l i c e 为协商应答方，b o b 为协商请求方) ： ( 1 ) f c o m m i t ，p r e d j t t a c , ( p a r a m s ，m ，a ，) = 0 。、，。、f m ，i fc = c o m m i t e a r a m s ( 口，) 人p r e d ( a ) = t r u e ( 2 ) ， c o m m i t , p r e d 】砌( 肋a m s , c , m , a , r ) 2 o ：d 砌p 刑洫 一。 其中，c o m m i t 为提供零知识协议的算法；p a r a m s 为c o m m i t 的公共安全参数：p r e d ( ，诺， ， r 。同样可以为角色r 分配许可p ，可以表示成， p 。按 照这种方法，“用户一角色 分配、角色和“角色一许可”分配共同在用户、角色和许可 之上定义了一个统一的偏序关系。 - ，2 除了可以理解成角色，i 对，2 的许可；也可以被 理解成任何r l 的成员自动地成为r 2 的成员，称之为，2 包含，1 ( 的所有用户成员) 。包含是 和支配是一对相反的算子，可以使用其中任何一个来定义偏序。r t 使用包含算子，因为 l i t 是以实体为中心的且包含更适合角色的属性描述。 2 j 对角色的本地化权威 开放网络是一种分布式环境，节点( 域) 彼此是平等的，组织各自都是自己资源的权 威。也就是说分布式环境的权威不再是一个区域的中心点而分散在各个节点之上，实现了 本地化。为了应对分布式环境的这一特点，r t 借鉴了s d s i 中的本地名字空间的概念。 s d s i 中，一个本地名称是由一个实体后接一个名字标识符来表示的，每个实体都有自己 的名字空间并负责定义自己名字空间中的本地名称。类似地，在r t 中，角色通过在实体 后面跟上个角色名，中间用点隔开来表示。角色彳，_ 被读作实体彳的角色，这意味着 _ 只有彳具有定义角色彳，的成员的( 本地) 权威。 而a 定义自己角色的权威是通过发布( 角色定义) 信任状来实现的。 3 信任状 一个信任状包括一个头部( h e a d ) 和主体( b o d y ) ，中间由箭头连接构成。头部以 丘，的形式出现，其中么为某个实体( 该信任状的发布者) ，r 为角色名称。每个信任状定 义了一个角色包含了一个实体、另一个角色、或是对实体集合求值的表达式。一个角色可 以被多个信任状定义，他们的效果彼此互不干扰。 实体彳可以定义：角色彳，包含另一个由彳定义的角色a ，1 。这种信任状的一般形式 可以被写作彳，卜彳，它也可以理解成么定义了角色，1 支配，。而信任状彳，卜b r 表 示彳将自己关于角色，的权威委托给了b 。这就可以被用来实现从实体到角色的分派。一 个形如4 ，卜曰r l 的信任状是彳对b 的委托，可以用来定义跨组织协作实体的角色映射。 而信任状中的链接角色使得发布者可以对该角色的所有成员进行委托。例如信任状 彳，4 - - a 厂2 说明：存在一个实体b ，若么，1 包含b 的所有成员，则彳r 包含所有b ，2 的 所有成员。由这个信任状定义的包含关系集合是动态的，其中的信任状也依赖于其它信任 第1 7 页 南京邮电大学硕士研究生学位论文第三章基于角色的信任管理语言研究 状，而这些信任状定义地或早或迟。r t 还允许使用交集定义角色。例如形如 彳r 卜骂n 垦r 2 的信任状说明：a 厂包含所有共同属于b t r l 和b e r 2 的成员。 4 参数化角色( p a r a m e t e r i z e dr o l e s ) 实际环境下，一个网络实体可能含有大量差别很小的同类角色。比如，图书管理员对 不同书库的书籍管理的权限通常是一样的。因此，充分地重用角色能减少系统中角色的规 模，减轻系统负担。为此，r t 引入了参数化角色的概念，又被称做角色模板( r o l e t e m p l a t e s ) 。 r t l 将r t 0 的角色扩展成参数化角色，为角色标识符增加了一个含有数据项的元组。 r t 使用，( 通常带下标) 来表示角色标识符，使用带下标的h ，j ，来表示数据项。 参数化角色可以很直观地表示实体之间的关系。例如，如果南京邮电大学允许学生导 师对学生进行评价和学习指导，可以使用n j u p t m e n t e r o f ( s t u d e n t ) 来命名学生导师。其 中s t u d e n t 是一个变量用来代表某个具体的学生，这样该导师角色就很清晰地描述出和自 己学生的关系。参数化角色也可以用来表示带域值的属性。比如，学位证书通常包含学校、 学位、发证日期等信息；数字驾照则应含有身份证号、驾驶种类和发放单位等。参数化角 色还可以来描述对带参数识别的资源和访问模式的访问许可。 5 公用字典( c o m m o nv o c a b u l a r i e s ) 实体可以定义自己的角色的前提，是它知道该角色的含义。而a b a c 环境中权威被 分布在组织( 节点或域) 上，需要一种机制使得分布式权威彼此知道各自所定义角色的真 正含义，才能使得访问控制双方依据角色来进行访问控制。这样，就产生了公用字典问题： 不同实体在使用彼此的角色之前必须拥有一个公用字典。 r t 受x m l 名字空间( n a m es p a c e ) 的启发，引入应用域规格文档( a p p l i c a t i o nd o m a i n s p e c i f i c a t i o nd o c u m e n t s ，a d s d s ) 来解决这个问题。每个a d s d 定义一个词汇表 ( v o c a b u l a r y ) ，词汇表中包含一套相关的包含了相关数据类型、名称和参数数据类型的 角色标识符( 角色i d ) 信息。a d s d 也可以宣称角色的其它通用特征，比如角色的存储 类型信息。a d s d 通常应该给出角色标识的自然语言解释，其中包括定义该角色信任状的 发布场景。信任状应该包含一个导言，它说明了角色定义使用了哪个a d s d 的字典标识 符，这可以通过列出a d s d 的u r i 来实现。将字典标识做为角色标识的前缀，就可以构 成一个全局唯一的角色标识。一个a d s d 可以引用其它a d s d ，包括引用角色定义、数 据类型和相关机制。一个具体r t 系统通常是由多个a d s d 共同定义实现。 第1 8 页 南京邮电大学硕士研究生学位论文第三章基于角色的信任管理语言研究 a d s d 中词汇表的概念和本地名字空间概念类似，但侧重点不同。本地名字空间关注 的是谁拥有定义某个角色成员的权威；而词汇表关注的是建立起对角色名字的通用理解。 例如：某国际驾照组织发布了一个a d s d 定义国际通用驾照的格式，那么彳国就可以使 用这个a d s d 给驾驶员颁发信任状。虽然a 国仍具有发布本国驾照的权威，但这时它使 用了一个由国家驾照组织创造的词汇表来发布信任状。特别地，当存在多个国际驾照组织 的a d s d 时，么国可以参考不同的a d s d 来发布不同的信任状。 6 逻辑对象( l o g i c a lo b j e c t s ) 在r t 中，角色也可以用来表示许可。一个许可通常是由访问模式和访问对象构成的， 这样可以对具有相同访问模式的相关对象进行有效地组织并授予统一的许可。为此，我们 引入r t 2 ，它在r t l 的基础上增加了o 集的概念( o s e t s ) 。0 集的定义和角色类似，不同 之处在于0 集的成员不是实体。 7 门限和职责分离策略( t h r e s h o l da n ds e p a r a t i o n o f - d u t yp o l i c i e s ) 信任管理系统中，经常需要同时获得实体集中多个实体的同意才能授权，这就是所谓 的门限结构。在诸如委托逻辑( d e l e g a t i o nl o g i c ) 系统中还有更具表达力的动态门限结构。 职责分离策略( s o d ) 要求两个或更多的人为一个敏感工作( 订货或付款) 的完成共 同负责，来防范可能存在欺诈行为的实体的欺诈。在