（计算机系统结构专业论文）开放系统中自动信任协商的研究与实现.pdf

r es e a r c ha n d i m p l e m e n t a t i o n o f a u t o m a t e dt r u s tn e g o t i a t i o n i no p e ns y s t e m s ad i s s e r t a t i o ns u b m i t t e dt o s o u t h e a s tu n i v e r s i t y f o rt h ea c a d e m i cd e g r e eo fm a s t e ro fe n g i n e e r i n g b y x i a os h u t i n g s u p e r v i s e db y p r o f w ug u o x i n s c h o o lo f c o m p u t e rs c i e n c e e n g i n e e r i n g s o u t h e a s tu n i v e r s i t y j u n e2 0 l o 研究生签名： 盔嵫 日 期： 明 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印 件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸 质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包 括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办理。 研究生签名： 亟治邀 导师签名： 日期：妒6 ( f 摘要 摘要 随着网络技术的持续发展，基于网络的开放式应用不断涌现，这类应用的用户群体呈开放和动态的 特点，且通常与应用系统不属于一个信任域，这对应用实施访问控制和授权提出了挑战。解决网络中访 问控制和授权等信息安全问题的关键是实体间信任关系的判定，信任管理为非集中式、多信任域间信任 关系管理提供了方法。本文关注陌生实体间通过披露属性证书而进行自动信任协商的过程。由于属性证 书往往可能包含主体的敏感信息，不加限制地披露属性证书将对用户信息的安全性和隐私性构成威胁。 自动信任协商模型支持用户对属性证书定义访问政策，交互双方通过逐步地向对方披露属性证书最终达 成信任关系。 为解决开放系统中信任关系建立机制在可扩展性、多信任域支持、用户属性信息的安全和隐私保护 方面的问题，本文将信任管理框架与自动信任协商系统有机融合，设计了一个以基于角色的信任管理系 统为支撑、辅以属性一角色映射机制和支持属性可选择性披露证书描述方案的自动信任协商系统框架。 本文工作主要体现在以下几个方面： ( 1 ) 分析开放系统的特点，探讨其对信任关系建立机制在可扩展性、多信任域支持和属性信息安全 和隐私保护方面提出的挑战。 ( 2 ) 研究非集中式信任管理的概念、基于角色的信任管理框架及其应用，分析在应用于开放系统时 可能面临的问题。 ( 3 ) 对自动信任协商模型、协商策略和协商协议进行调研，研究信任目标图协商协议及其实现方法。 ( 4 ) 分析自动信任协商系统中证书交换过程的属性披露粒度问题，设计并实现了一个基于x m l 描 述、支持属性可选择性披露的属性证书描述方案，方案利用内容抽取签名方法、x m l 签名和加密标准， 通过将不必要或者不该披露的属性信息元素从证书文件中移除或加密达到选择性披露属性的目标，可用 于自动信任协商系统。 ( 5 ) 通过集成基于角色的信任管理系统、辅以属性一角色映射模块，设计了一个功能完善、架构灵 活的自动信任协商系统框架，基于此框架的自动信任协商系统能够应用于开放系统，实现基于实体属性 建立信任关系：研究构成此框架的主要组件及相关工具的设计与实现方法。 随着各类网络应用和服务的日益发展及用户保护个人信息安全觉悟的提高，对合理、安全地建立信 任关系的需求将更加迫切，自动信任协商系统将有望成为应用和用户终端系统的基础安全组件。 关键字：开放系统，信任管理，自动信任协商，信任关系建立 t os o l v et h ep r o b l e m so fe x t e n s i b i l i t y , m u l t i p l et r u s td o m a i n ss u p p o r t , s a f e t ya n dp r i v a c yo fu s e r s i n f o r m a t i o nw h e nb u i l d i n gt r u s ti no p e ns y s t e m s ，t h ea u t h o rd e s i g n saf l e x i b l ea r c h i t e c t u r ef o ra u t o m a t e dt r u s t n e g o t i a t i o ns y s t e m sw i t hr o l e - b a s e dt r u s tm a n a g e m e n tf r a m e w o r k , a t t r i b u t e s - b a s e de n t i t y r o l em a p p i n gm o d u l e a n dac r e d e n t i a l r e p r e s e n t i n gs c h e m es u p p o r t i n gs e l e c t i v e l ya t t r i b u t e sd i s c l o s u r e t h ed i s s e r t a t i o nm a i n l y c o n t r i b u t e st ot h ef o l l o w i n ga s p e c t s ： ( 1 ) a n a l y z ec h a l l e n g e sa g a i n s tt r u s tb u i l d i n gm e c h a n i s mi no p e ns y s t e m so na s p e c t so fe x t e n s i b i l i t y , m u l t i - t r u s t d o m a i n s u p p o r t , l a s e r s i n f o r m a t i o ns a f e t ya n dp r i v a c yp r o t e c t i o n ( 2 ) r e s e a r c ht r u s tm a n a g e m e n tc o n c e p t , r o l e b a s e t r u s tm a n a g e m e n tf r a m e w o r k , a p p l i c a t i o n sa n d p r o b l e m sm a yo c c u rw h e na p p l i e dt oo p e ns y s t e m s ( 3 ) i n v e s t i g a t ea u t o m a t e dt r u s tn e g o t i a t i o nm o d e l ，s t r a t e g i e sa n dp r o t o c o l s ，p a r t i c u l a r l yt h et r u s tt a r g e t g r a p hp r o t o c 0 1 ( 4 ) d e s i g na nx m l - b a s e d , s e l e c t i v ea t t r i b u t e sd i s c l o s u r es u p p o r t e dc r e d e n t i a ld e s c r i p t i o ns c h e m ew h i c h c a l lb eu s e di na u t o m a t e dt r u s tn e g o t i a t i o ns y s t e m s i ta p p l i e st h ec o n t e n te x t r a c t i o ns i g n a t u r e sm e t h o da n dw 3 c x m ls i g n a t u r ea n de n c r y p t i o ns t a n d a r d sa n da c h i e v e s s e l e c t i v e l yd i s c l o s i n ga t t r i b u t e sb yr e m o v i n g o r e n c r y p t i n ge l e m e n t sc o n t a i n e di na t t r i b u t ec r e d e n t i a l s ( 5 ) p r o p o s eaf l e x i b l ea r c h i t e c t u r ef o ra u t o m a t e dt r u s tn e g o t i a t i o ns y s t e m sb yi n t e g r a t i n gr o l e b a s e dt r u s t m a n a g e m e n tf r a m e w o r ka n da t t r i b u t e d - b a s e dr o l em a p p i n gm o d u l e a u t o m a t e dt r u s tn e g a t i o ns y s t e m sb a s e do n t h i sa r c h i t e c t u r ec a l lm e e tt h er e q u i r e m e n t so ft r u s t - b u i l d i n gm e c h a n i s mi no p e ns y s t e m s s t u d yd e s i g na n d i m p l e m e n t a t i o no fm a j o rc o m p o n e n t sc o n s i s t e di nt h ea r c h i t e c t u r e w i t ht h ee v o l u t i o no fn e t w o r ka p p l i c a t i o n sa n du s e r s c o n s c i o u s n e s so i lp r o t e c t i n gp e r s o n a li n f o r m a t i o n , r e s e a r c ho nh o wt ob u i l dt r u s ti nam o r er a t i o n a la n ds a f ew a yb e c o m e si n c r e a s i n g l yu r g e n t i ti se x p e c t e dt h a t a u t o m a t e dt r u s tn e g o t i a t i o ns y s t e mw o u l db eaf u n d a m e n t a ls e c u r i t yt o o l k i to i lt h ea p p l i c a t i o na n dn s e r s t e r m i n a ls y s t e m s k e y w o r d s ：o p e ns y s t e m s ，t r u s tm a n a g e m e n t ，a u t o m a t e dt r u s tn e g o t i a t i o n , t r u s t - b u i l d i n g 第2 章 2 1 2 2 2 3 第3 章 3 1 3 2 3 3 3 4 3 5 3 6 第4 章 4 1 4 2 1 1 1 2 2 3 4 信任管理5 信任管理的概念5 2 1 1 k e y n o t e - 5 - 2 1 2基于角色的信任管理框架7 基于r t 的一致性验证器8 信任管理系统存在的问题1 0 自动信任协商12 自动信任协商模型1 2 协商策略1 3 协商协议1 4 3 3 1蛮力回溯法1 4 3 3 2 信任目标图协议1 4 角色指派与基于属性的鉴别语言1 6 属性可选择性披露1 7 属性和角色语义的一致性达成1 9 系统总体设计2 0 设计目标2 0 系统架构2 0 4 2 1 属性证书和策略库2 卜 4 2 2 基于角色的信任管理系统2 2 4 2 3 属性一角色映射2 2 4 2 4 协商协议2 2 4 2 5 协商代理2 4 i i i t l t i ti， i j m m 镰适| | | | j ；蔓鼍 遥毽蒜己鼍；：i i j 毫；：i ：i t - - ：_ ：鼍i i 己i ：鼍i 鼍- ；：| ：_ - i - i 麓乇。 甓逢岐5 5 2罨兰_二-_二：j：j：j：毫鼍三三毫三：!：；：鼍三鼍4355 4355 5 42 t t g3954 3954 t t g3753 3552 43452 33352 23252 3252 272 26i i 2 6 。 实现 。 1 数据结桕 协商代理 4 0 娄空鄱 1 数据结构 协商协议 。 属性一角岱，睥射 。 应用涮试 实用丁亘立砷 证书档震 1 证书结桕 属性证书藁缔 “： 5 1 一致件赊；币墨鐾的帝硐 5 数摇结构 一” i v 。- 6 - 1 6 - 1 7 - 一1 8 2 1 2 3 一2 4 - 图5 一l 基于角色的信任管理系统类图2 6 图5 2 后向搜索过程实现伪码2 8 图5 3 后向搜索获取凭证实现伪码2 9 图5 4 向子节点传播单解实现伪码2 9 图5 5 向子节点传播全部解实现伪码3 0 图5 6 前向搜索过程实现伪码31 图5 7 属性证书结构x m ls c h e m a 描述3 3 图5 8 属性证书签名元素内容框架3 3 图5 - 9 属性证书生成实现伪码3 4 图5 1 0 属性证书签名验证实现伪码3 5 图5 11o p e n s s l 建立p k i 体系步骤3 5 图5 1 2 属性证书实用工具运行结果3 6 图5 1 3 属性信息文件内容示例3 6 图5 1 4 属性证书示例3 7 图5 1 5 属性一角色映射模块类图3 8 图5 1 6 属性一角色映射实现伪码3 8 图5 1 7t t g 图相关数据结构4 0 图5 1 8 ”r g 图a d d e d g e ( 1 ) 实现伪码4 2 图5 1 9t t g 图a d d e d g e ( 2 ) 实现伪码4 3 图5 2 0 协商代理类图4 4 图5 2 l 协商代理运行界面4 5 图5 2 2 例2 协商过程日志4 6 图5 2 3 例2 协商过程可视化结果4 6 v 表目录 表目录 表2 1k e y n o t e 断言各字段含义- 5 - 表2 2r t o 角色表达式类型一7 一 表2 3r t o 支持的四种断言7 一 表2 - 4 例2 中的r t 凭证8 一 表3 一l 例2 中的属性证书及访问政策1 3 表4 1n g 图更新操作2 3 表5 1 后向搜索相关数据结构2 7 一 表5 2 前向搜索相关数据结构3 0 - 表5 3 双向搜索相关数据结构- 3 2 一 表5 _ 41 g 节点类数据成员3 9 表5 51 图类数据成员3 9 表5 - 6 协商代理全局变量列表4 3 表5 7 协商会话的数据结构4 4 表5 8 协商代理实现主要类4 4 v i 第l 章前言 第1 章前言 本章分析开放式应用中访问控制和授权管理机制面临的挑战，介绍信任与信任模型，概述信任管理 和自动信任协商的研究现状，给出论文的研究背景，介绍研究目标、研究内容和本文章节安排。 1 1研究背景 随着网络技术的持续发展，基于网络的开放式应用不断涌现，为用户提供了丰富的共享资源和便捷 的w e b 服务。为了避免恶意用户对系统资源的非法使用，应用系统须对用户资源服务请求的合法性进行 判断。访问控制根据既定安全策略，对每一个资源访问请求做出是否许可的判定，从而防止对资源的非 授权使用。 传统访问控制模型可行的前提条件是：资源提供者对于资源请求者是熟知的，或资源提供者与资源 请求者属于同一个信任域。而随着互联网的蓬勃发展，网络应用已从早期面向熟知、封闭的用户群体和 相对静态的形式向开放、公共可访问和高度动态的服务模式转变。 解决网络中访问控制和授权等信息安全问题的关键是对实体是否可信任的判定。信任是一个实体对 另一实体的身份和行为的可信度评估，如果被评估主体符合评估主体所假定的期望值，那么称评估主体 对被评估主体是信任的。信息安全技术发展到今天，已经解决了身份认证和信息机密性问题，但由于网 络的虚拟性和开放性，如何有效地评估实体行为的可信度仍是一个难题。随着现代社会日益加快的信息 化发展进程，研究网络中实体间如何有效地建立和管理信任关系，具有非常重要的意义和价值。 1 1 1 信任与信任模型 信任模型是指建立和管理信任关系的框架，对网络中信任模型的研究思路主要来源于人类社会中的 人际信任关系产生机制。社会学家将人类社会中人际之间信任产生机制分为三类n 1 ：一是由声誉产生信 任根据对他人过去的行为和声誉的了解而决定是否给予信任，声誉好的人能得到更多的信任；二是 由相似性产生信任一根据他人与自己在家庭背景、价值观等方面的相似性多少来决定是否给予信任， 相似性越多，信任度越高；三是由法规制度产生信任一基于社会规章制度，如专业资格、科层组织、 中介机构及各种法规等的保证而给予信任。由于网络社会的虚拟性，上述第二种人类社会信任产生机制 在网络世界无法实施，因此，网络世界中的信任模型主要依据第一和第三种信任产生机制。 在基于第一种机制的信任模型中，信任被表达为主体对客体的是否信任的主观上的评价，通常对信 任进行量化或者分等级。在与一个陌生的实体进行交互之前，实体通过对陌生实体的历史信誉评价值运 用一定的计算模型来得到其信任值，并根据此信任值得出对陌生实体的可信任度度量。这类信任模型适 用于交互频繁、系统整体环境良好且少数失误判断对系统影响不大的应用，p 2 p 应用和大部分c 2 c 电子 商务网络中通常使用这类信任模型1 2 3 ，4 】。 在基于第三种机制的信任模型中，评估方根据经权威机构认证的被评估主体的属性信息和适当定义 的逻辑规则( 通常与主体属性相关) 来进行逻辑推理，根据推理结果来判断实体是否可信任。这种信任 模型适用于需要进行严格而准确的访问控制的应用，系统基于凭证和规则进行逻辑推理，判断资源请求 者是否满足对应的访问控制策略以决定是否准予请求者继续访问。基于这一种信任产生机制的信任模型 第l 章前言 典型代表有信任管理和自动信任协商。本文主要关注这种机制在信任协商过程中披露凭证信息方面的问 题。 1 1 2 信任管理概述 为满足网络应用对访问控制和授权在支持多信任域方面的需求，b l a z e 等人提出通过一个统一的框 架来描述和处理安全政策和安全凭证，从而实现非集中式信任管理【5 】。基于这个想法，他们开发了 p o l i c y m a k e r 原型系统，并进一步完善，形成了k e y n o t e p 信任管理系统。 为了方便验证签名，k e y n o t e 系统使用主体公钥作为主体标识符，主体可进行两项操作：请求执行 某动作和发布断言( a s s e r t i o n ) 。断言用于定义政策和颁发委托证书，由必选字段a u t h o r i z e r 和 k e y n o t e - v e r s i o n 、l o c a l c o n s t a n t s 、l i c e n s e e s 、c o n d i t i o n s 、s i g n a t u r e 等可选字段组成。a u t h o r i z e r 字段的 值可为关键字“p o l i c y ”或主体标识符，表示在c o n d i t i o n s 字段定义的条件下，政策规定或颁发主体 ( a u t h o r i z e r ) 将某些操作授权给l i c e n s e e s 字段中各主体标识符所代表的实体。当a u t h o r i z e r 字段为 “p o l i c y ”时，对应断言用于定义本地政策，只能在本地使用，不需进行签名；当a u t h o r i z e r 字段为某 主体主标识符时，对应断言为经该主体签名后颁发的凭证，可通过网络传送，被其它实体使用。 k e y n o t e 系统通过委托证书成功地实现了跨信任域、非集中式授权管理，但它对信任关系( 政策和 授权) 的描述和处理都是基于主体标识进行的，在实际应用时，可能面临如下两个方面的问题：一是如 果各信任域子系统使用基于主体标识的访问控制与授权方法，当单域的系统规模较大时，授权管理工作 量将变得很繁重；二是为克服基于主体标识的访问控制与授权方法在管理上的不便，当前的应用有很大 一部分使用的是基于角色的访问控制与授权方法，它们与基于主体身份标识的信任管理框架不能兼容。 为此，n , h u il i 等人提出了个基于角色的信任管理( r o l e - b a s e dt r u s tm a n a g e m e n t , r t ) 框架p j ，通过定义基于 角色的信任管理语言将信任管理框架从基于主体标识提升到了基于角色。 虽然基于角色的信任管理框架具有很好的灵活性，但当将其运用到一个高度开放的环境中时，仍然 存在一些问题：在用户和应用之间能够运用基于角色的信任管理的必要条件是：用户须向与应用有授权 委托关系的信任域管理者注册( 从用户的角度来看) 或者应用要与所有潜在用户所属的信任域有授权委 托联系( 从应用的角度来看) ，这对高度开放的系统来说，是很难甚至无法实现的。 为使信任管理能够更好地用于开放系统中，业界提出基于属性的信任管理机制。用户通过事先向管 理结构注册和申请凭证，并在利用信任管理框架建立信任关系的过程中，向验证方披露必要的属性信息 以获得相应的授权。与主体标识和角色这类抽象的指代不同，具体的属性信息通常有一定的隐私保护需 求和商业价值，由于网络的虚拟性和开放性，恶意行为者很可能通过发布虚假的服务信息，并设置适当 的访问政策，从而获取和滥用不知情用户的属性信息，因此，须有一种机制，使用户可以为属性设置披 露政策，并只向符合对应政策的实体披露相关属性信息。 1 1 3自动信任协商 自动信任协商( a u t o m a t e dt r u s tn e g o t i a t i o n , a t n ) 瞵巩1 0 】提出一种通过逐步地向对方披露凭证从而 在陌生实体间建立信任关系的方案。在自动信任协商模型中，凭证与服务一样，都是需要保护的资源。 实体为凭证定义访问政策，并只在对方满足对应访问政策的约束时，才会向对方逐步披露凭证信息，从 而能够在保证双方信息的安全性和隐私性的前提下，在两个实体之间建立起信任关系。 自动信任协商的过程可简述为：资源提供方在接收到一个资源请求时，将对应资源的访问政策( 为方 便描述，记为p 1 ) 告知请求方，随后，请求方根据p l 推导下一步动作：如果提供方符合为验证政策p 1 是否满足所需凭证的访问政策p 2 ，请求方将相应的凭证发送给资源提供方；如果提供方不满足p 2 ，请 2 第1 章前言 求方将p 2 发送给资源提供方，要求资源提供方披露解锁p 2 需要的凭证。如此进行多轮交互之后，如果 最终能使p l 满足，则资源提供方为此资源请求授权，否则拒绝。在协商交互过程中，各实体均可根据 对方的访问政策得到已方下一步的动作，因此，整个过程不需要用户的参与。 对于给定的信任目标( 访问政策) ，如何根据己方的凭证和访问政策集、已接收到的对方的凭证集， 得出协商双方为达成原始信任目标的凭证披露序列，是实现一个自动信任协商系统要解决的关键问题。 1 1 4 开放系统中信任关系建立机制面临的挑战 基于网络的开放式应用的访问控制和授权方法面临四个方面的挑战：( 1 ) 可扩展性：这类应用的用户 群体通常数量庞大且类型多样化，因此对应的访问控制和授权机制须有很好的可扩展性；( 2 ) 多信任域： 各用户与系统本身往往隶属不同的权威管理机构( 信任域) 或者之前没有信任关系；( 3 ) 开放性：这类应 用具有高度开放的特点，因此，访问应用系统的主体集合是开放和动态变化的，系统无法事先预知所有 用户类别和特点，所以无法对主体进行事先授权；( 4 ) 复杂性：一方面，不同信任域中，各域的权威管理 机构对实体的表示同一含义的属性描述往往不一致，且授权决策往往需要综合请求实体的多方面属性信 息得出；另一方面，交互变得更加复杂，且经常需要交换些敏感信息。 实施访问控制和进行授权决策的关键是正确判定实体间的信任关系，因此，为应对基于网络的开放 式应用的访问控制和授权方法所面临的上述挑战性问题，重点在于研究开放系统中实体间如何建立信任 关系。 开放系统中信任关系建立机制须解决如下两个问题：一是开放的系统环境对信任关系建立机制的有 效性的影响，这需要研究如何利用分散的信任关系在从属于不同信任域的两个实体间建立起信任关系； 二是如何充分保护用户属性信息的安全性和隐私性，这要求用户对自身属性信息的披露具有适当的控制 能力。当前，对自动信任协商在应用方面的研究和实践还很不成熟，据作者调研，已有的原型系统离实 际应用，尤其是开放系统的需求还有很大距离。 1 2 研究目标和内容 针对上述问题，结合国家“8 6 3 ”项目“分布式多信任域间信任管理技术研究与开发”的需求，本文将 信任管理框架与自动信任协商模型有机融合，设计一个以信任管理为支撑的自动信任协商系统框架，能 够满足开放系统对信任关系建立机制在可扩展性、支持多信任域、充分保护用户属性信息安全性和隐私 性方面的需求。 结合研究目标，拟定主要研究内容如下： ( 1 ) 信任管理 研究信任管理的概念、基于角色的信任管理框架及其应用、一致性验证器的实现方法，分析信任管 理系统功能与开放系统对信任关系建立机制需求之间的切合度及存在的问题。 ( 2 ) 自动信任协商 研究自动信任协商的模型、协商策略、协商协议、基于属性的鉴别语言以及如何使自动信任协商系 统支持在多级粒度上对属性信息进行保护，设计一个可用于自动信任协商系统、支持属性可选择性披露 的属性证书描述方案。 ( 3 ) 开放系统中自动信任协商系统框架设计与相关组件实现 以基于角色的信任管理系统为支撑，辅以属性一角色动态映射模块和支持属性可选择性披露的属性 证书描述方案，设计一个适用于开放系统的自动信任协商系统框架；研究构成此框架的主要组件及相关 3 第l 章前言 工具的设计与实现方法，包括：基于角色的信任管理系统、支持属性选择性披露的证书系统及实用工具、 属性一角色映射、信任目标图自动信任协商协议、协商代理和协商过程可视化工具。 1 3 论文章节安排 论文的章节安排如下： 第一章前言：介绍论文的研究背景、研究目标、研究内容以及论文的章节安排。 第二章信任管理：介绍信任管理的概念和模型、基于角色的信任管理框架与应用、一致性验证器的 实现方法及信任管理框架在应用于开放系统时可能存在的问题。 第三章自动信任协商：介绍自动信任协商的模型、协商策略、协商协议和基于属性的鉴别语言，探 讨属性可选择性披露和属性与角色语义一致性达成这两个问题。 第四章系统总体设计：介绍适用于开放系统的自动信任协商系统设计目标及本文设计的自动信任协 商系统框架；介绍构成框架的各组件的概要设计及本文采用的开发环境。 第五章系统组件设计与实现：详细介绍本文设计的自动信任协商系统框架中各功能组件及相关工具 的设计及实现方法，包括：基于角色的信任管理系统、支持属性可选择性披露的证书系统、属性一角色 映射、信任目标图自动信任协商协议、协商代理和协商过程可视化。 第六章论文总结与展望：总结论文主要研究内容和成果、有待改进的地方及未来进一步研究方向。 最后是致谢、参考文献和作者论文发表情况。 4 第2 章信任管理 第2 章信任管理 本章介绍信任管理的概念、基于角色的信任管理语言r t 及基于r t 的一致性验证器的实现方法，总 结信任管理在应用方面的特点，提出在实际应用中可能面临的问题。 2 1信任管理的概念 为应对传统访问控制与授权机制在可扩展性、多信任域支持、开放性和政策描述能力方面的不足，b l a z e 等人提出信任管理 5 1 的概念，其中，通过提供种描述安全政策与安全凭证的策略语言和政策验证算法( 致 性验证器) 来处理授权问题，其主要思想体现在他们开发的p o l i c y m a k e r 原型系统和进一步完善形成的 k e y n o t e 碍j 信任管理系统中，k e y n o t e 信任管理系统版本2 作为i n f o r m a t i o n a l 类备案于r f c2 7 0 4 。 2 1 1k e y n o t e k e y n o t e 信任管理系统采用一种与具体应用相独立的通用框架，它根据具体应用提供的四个输入参 数：本地政策集、授权凭证集、请求主体标识和操作标识字符串，判断在给定本地政策集和授权凭证集 条件下，应用是否可授权该请求主体标识的实体执行操作标识字符串所代表的操作，其中，操作标识字 符串由具体应用定义，对k e y n o t e 系统透明。主体( p r i n c i p a l ) 指可被授权执行操作的任意实体，如终端系 统、进程等，为方便验证凭证签名，k e y n o t e 中使用主体的公钥作为其标识。在k e y n o t e 系统内，主体 可执行两项操作：发出操作请求和发布断言( a s s e r t i o n ) 。断言用于定义政策和颁发委托证书，由必选字段 a u t h o r i z e r 和k e y n o t e v e r s i o n 、l o c a l c o n s t a n t s 、l i c e n s e e s 、c o n d i t i o n s 、c o m m e n t 、s i g n a t u r e 这六个可选 字段组成，表2 1 列出了k e y n o t e 断言各字段的含义。 表2 - 1k e y n o t e 断言各字段含义 字段标识符含义及说明 k e y n o t e v e r s i o n断言适用的k e y n o t e 版本，如果出现，须为断言的第一个字段。 a u t h o r i z e r断言的颁发者，值可为“p o l i c y ”或一个主体标识符。如果本字段的值为p o l i c y ， 表示为本地政策，只在定义实体的信任管理系统中使用，不需要进行签名；如果本 字段的值为一主体标识符，表示其为一个凭证断言，须进行签名，可通过网络传输， 其它实体在使用这个凭证前，须验证签名。 l i c e n s e e s断言适用的主体，其值为主体标识符列表。 l o c a l c o n s t a n t s定义可在断言中使用的本地变量。 c o n d i t i o n s 本断言断定为真的条件，即a u t h o r i z e r 信任l i c e n s e e s 中主体的前提是主体满足本字 段中定义的约束条件。 c o m m e n t关于断言的注释 s i g n a t u r e 颁发者对凭证断言的签名，须为最后一个字段。 一致性验证器进行以验证方系统中的本地政策集为信任推演起点，解析输入的凭证集，为发现通过授权 凭证链而存在的间接信任关系，以如下方法构造一个有向图：图的节点以政策集和凭证集中所有断言中 出现的主体标识符或者“p o l i c y ”标记；对输入的凭证集中的每个断言，添加一条从由a u t h o r i z e r 字段值 5 - 第2 章信任管理 标记的节点到由l i c e n s e e s 字段各值标记节点的边，并以断言条件标记这条边。在图构造完毕后，如果其 中存在从某一“p o l i c y ”标记的节点到请求主体标识符标记的节点的路径，并且，根据当前输入，路径上 各条边的标记条件都满足，则认为该主体所请求的操作可信任( 可授权) 。下面的例子说明了k e y n o t e 的 工作方式。 例1 e o m p a n y l ，c o m p a n y 2 和c o m p a n y 3 等几个公司合作开发一个名为c o p r o j e c t 的项目，为促进合作， 有些文件需要共享，但为保证项目信息的机密性，须限制为只向相关的公司且参与此项目的员工共享。 为此，各公司将需共享的文件内容保存于特定目录，共享目录命名格式为：幸一 一 + s h a r e ，其中，第一个 q ”代表拥有此目录的公司编号，其后可接一或多个“”，表示可使用此共享的公司编号，如：目录 “1 _ 2 h a r e ”由c o m p a n yl 拥有，c o m p a n y 2 可使用；2 3 一s h a r e 由c o m p a n y 2 拥有，c o m p a n y 3 可使用。 如果在公司外部可知道另一公司的特定员工是否参与了某个项目，则本例中的访问控制和授权任务 很简单：目录拥有公司向对应公司中参与了此项目的员工颁发一个授权凭证即可。但在实际中，公司内 员工是否参与某项目这一信息通常是不对外公开的，因此，只有通过授权委托的方式来进行：拥有目录 的公司向可使用此目录的公司颁发一个目录授权凭证，对应公司再为参加此项目的员工颁发一个关于项 目的授权凭证，拥有共享目录的公司通过检查其与请求主体之间是否存在凭证链来确定请求主体对特定 目录的访问是否应予授权。因公司并不是实际的目录使用者，向公司颁发的目录授权凭证即是信任管理 中所称的授权委托凭证。 以目录l2s h a r e 为例，c o m p a n y l 定义政策断言( 政策1 ) ，规定c o m p a n y 2 可使用目录12s h a r e 。 b o b 为c o m p a n y 2 的员工并参加了项目c o p r o j e c t ，因此，c o m p a n y 2 向他颁发凭证2 。 为访问目录1 - 2 一s h a r e ，b o b 向c o m p a n y l 的目录共享管理系统发出请求：b o b a c c e s s d i r e c t o r y = ”1 - 2 _ s h a r e ”，p r o j e c t = , c o p r o j e c t ，同时将凭证2 随请求一起发送。在c o m p a n y l 的目录共享管理 系统收到此请求后，将政策l 、凭证2 及请求作为参数传给k e y n o t e 系统。k e y n o t e 在接受上述输入参 数后，构造如图2 1 所示的断言图。由于图中存在从p o l i c y 到请求主体b o b 的路径，且构成路径的两 条边的标记条件都满足，因此，