硕士论文-P2P环境下基于信任域划分的访问控制模型研究.pdf

西北师范大学 硕士学位论文 P2P环境下基于信任域划分的访问控制模型研究 姓名 张国治 申请学位级别 硕士 专业 计算机应用技术 指导教师 党小超 20060501 西北师范大学硕士论文 摘要 P 2 P P e e rt oP e e r 作为年轻而又古老的技术 在资源共享和协同协作方面有着 崭新的应用 目前已经成为I n t e r n e t 一个新的发展起点 但是该技术在计算机网络安 全尤其是在信任管理和访问控制等方面存在着严重问题 P 2 P 网络的访问控制就是这诸 多问题中的一个难点 传统的访问控制都是基于身份认证的 但是P 2 P 网络的特性决定了在P 2 P 环境下身 份认证的不现实性 因此在P 2 P 环境下基于P K I P u b l i cK e yI n f r a s t r u c t u r e 证书管 理的访问控制机制不能得到很好的应用 针对P 2 P 的网络应用环境 本文构建了一种不同于传统访问控制的模型 这个模型 采用现有的信任评价体制对P 2 P 节点进行信任评价 并依赖评价结果对P 2 P 节点进行信 任域的划分 然后结合R B A c R 0 1 eb a s e da c c e s sc o n t r 0 1 的访问控制模型 将每个信 任域指派到一类角色 最后对角色进行信任授权 从而完成用户请求到角色授权的整个 过程 这个过程所使用的算法和方法简洁可行 能够实现信任管理和访问控制的完整结 合 论文首先阐述了P 2 P 网络的基本原理和存在的安全问题 并就其安全问题中的访问 控制问题提出了基于信任域和R B A C 结合的信任授权模型的思想 该模型弥补了传统方 式下无法将信任管理和访问控制相结合的不足 使得从信任管理到访问控制的实现简单 可行 该模型可以集成到各种P 2 P 应用中 其访问控制策略也非常灵活和实用 其次 设计了信任模型的基本框架 定义了信任域及其变迁规则 设计了整个访问控制模型的 框架 各个组成部分和每个部分的结构及功能 设计了授权证书和角色证书以及模型的 工作流程 最后 对模型进行了分析和仿真 关键词 P 2 P 访问控制 信任管理 信任域 证书 西北师范大学硕士论文 A B S T R A C T 2 A sam o d e ma sw e l la st I a d i t i o n a lt e c h n o l o g y P 2 P p e e rt op e e r h a ss h o w e dn e w a p p l i c a t i o ni I lt h ef i e l d so fr e s o u r c e s h a r i n ga n dc o o p e r a t i o n a n dh a sb e c o m ea n o t h e rs t a n i n g p o i n ti n1 1 1 t e m e t T h i st e c h n 0 1 0 9 y h o w e V e r h a ss e r i o u sp r o b l e m sa sf o r1 1 1 t e m e ts e c u r i t y e s p e d a I I ya b o u tt 1 1 1 s tm a n a g e m e n t a da c c e s sc o n 订o I T t a d i t i o n a la c c e s sc o n t r 0 1b a s e do na u m e n t i c a t i o n w h i l et h ec h a r a c t e r i s t i c so fP 2 P n e 聃o r km a d et h i sa p p r o a c hi p r a c t i c a l s ot h ea c c e s sc o m r o lb a s e do nP P u b l i cK e y 蛐a s t m c t u r e c e n i 丘c a t e s m a n a g e m e n tc a 衄o t b e a p p l i e dw e l l i I lP 2 Pe n v i r o l l I n e n t C o n s i d e r j gt h en e t V o r ke n v i r o n m e n to fP 2 P t 王l i st h e s i sc o n s t r u c t sam o d e ld i E e r e n tf r o mt h e t r a d i t i o n a l T l l i sm o d e la p p l i e sp r e s e tt m s te v a l u a t i o ns y s t e mt oe v a l u a t eP 2 Pn o d e s t h e n b a s e do 丑t 1 1 i sr c s u l t i td i v i d c st m s td o m a i n C 0 m b i n e dw i t hR B A Cf R o l eb a s e da c c e s s c o n D 1 t h em o d e la s s i g ne a c ht m s td o m a i nam l e a n d 孕a n tt m s ta u t h o r i z a t i o nt ot h er o l e s t of i I l i s ht h ew h o l ep r o c e s s 丘o mu s e r sr e q u e s tt or o l ea u t h o r i z a t i o n T h ea l g o r i t h ma n d m e t h o d su s e di nt 上l i sp r o c e s sa r es i m p l ea n df e a s i b l ee n o u g ht or e a H z ec o m p l e t ec o m b i n a t i o n b e t w e e nt I u s tm a n a g e m e n ta n da c c e s sc o t r 0 1 T h i st h c s i s a tf i r s t p u tf o r w a r dT r u s tA u t h o r j z a t i o nM o d e lb a s e do nc o m b i I l a t i o no f t r u s td o m a i na n dR B A C T m sm o d e lm a k e s u pt h es h o r t c o m i n go ft r a d i t i o n a lm o d e l i e t m s t m a n a g e m e n tf i n d i n gn ow a yt oc o m b i n ew i t ha c c e s sc 0 t r o l s ot h er e a l i z a t i o n 丘D mm l s t m a I l a g e m e n ta n da c c e s sc o n t r o lh a sb e c o m ef e a s i b l e 1 h i sm o d e lc a nb em t e g r a t e di n t oe v e r y a p p H c a t i o no fP 2 P a di t sa c c e s sc o n t r 0 1s t r a t e g i e sa r ea l s of l e x i b l ea n dp r a c t i c a l S e c o n d D e s i g nt h eb a s i c 丘砌eo ft r u s tm o d e l a n dd e f i n et m s td o m a i na n dt r a S i t i o nm l e D e s i g nt h e t m s tm o d e l sg e n e r a l 丘a m e e a c hp a n a I l ds t r u c t l l r ea n df I l n c t i o no fe a c hp a n D e s i 印 a u 血o r i z a t i o nc e r t i f i c a t e r o l ec e r t 讧i c a t ea n dm o d d sw o r kn o w h s t A n a l y z i n ga n d s i m u l a t i I 培o ft h em o d e l K e y w o r d P 2 P a c c e s sc o n t r o l t m s tm a a g e m e n t t r u s t d o m a i n c e n i f i c a t e s 西北师范大学硕士论文 独创性声明 I J I 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得 的研究成果 尽我所知 除了文中特别加以标注和致谢的地方外 论文中 不包括其他人已经发表或撰写过的研究成果 也不包含为获得西北师范大 学或其他教育机构的学位或证书而使用过的材料 与我 同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意 签名 厶 蛰三量 日期 川iv j 关于论文使用授权的说明 本人完全了解西北师范大学有关保留 使用学位论文的规定 即 学 校有权保留送交论文的复印件 允许论文被查阅和借阅 学校可以公布论 文的全部或部分内容 可以采用影印 缩印或其他复制手段保存论文 保密的论文在解密后应遵守此规定 签名 i l 塾遗导师签名 二左 塑日期 趁 丝 1 1P 2 P 网络技术 第一章绪论 P 2 P p e e rt op e e r 即对等网络 1 1 它是一种由若干分散的互联协作的对等节点构成 节点之间直接交互来共享资源和服务的网络 它是一种相对于传统的C s c I i e n t S e r v c r 和B S B r o w s e r S e r v e r 模式的新的网络应用模型 早在7 0 年代 在局域网互联的情况下 其通信所用的模式就可以算作是P 2 P 模式 不过在随后的网 络应用模式的发展过程中 由于网络带宽 h l t e r n e t 基本服务等方面的发展 才使得 c s 和B s 模式得到迅速的发展 成为现今主要的网络模式 相对于传统的C S 模式的网络 对等网络具有以下显著的特点 冽 信息分散 在位置上对等实体完全不局限于地域 在信息的使用上它将网络信息 分散化 这样相同信息的P 2 P 设备可以构成存在于互联网中的子网 使信息安置方式 又一次集中重组 关系平等 网络中每一个节点既是服务器又是客户端 如何表现取决于用户的需 求 这样的平等关系使得它们之间的功能互补 各取所需 具有协调自助的能力 结构灵活 P 2 P 网络有它的自组织性和节点的动态加入 离开的灵活性 是构架 在现有网络之上的一个逻辑实体域 它不依赖于现存的网络拓扑结构 它强调的仅仅 是节点互联 网络互联 结构相对灵活 到目前为止 P 2 P 研究涉及的方面非常广泛 主要包括 资源的寻址和定位 安 全与可靠性 分布式数据存储 大规模并行计算等 P 2 P 的应用更是涵盖了诸多领域 如文件和数据共享和存储 协同和分布计算 即时通讯等 1 1 1P 2 P 的应用和发展 P 2 P 网络的发展大概经过了三代 第一代P 2 P 网络的典型代表是 p s t e r 2 oN a p s t e r 提供一种免费软件 用户安装联 网后 P c 机就变成一台M P 3 服务器 可以实现本地M P 3 资源的全球共享 这种软件 允许音乐迷们在自己的硬盘上共享歌曲文件 搜索其它用户的共享文件 并在其它同样 使用N a p s t c r 服务的用户硬盘上下载歌曲 这样 无数台个人电脑组成了一个庞大的 M P 3 共享网络 在全球风靡一时 但是N a p s t e r 网站最终因为被告侵权而被迫关闭 虽 然N 卵s t c r 败诉了 但由此引发的P 2 P 的浪潮是人们始料不及的 并且逐渐改变着人们 的网络思维和行为 西北师范大学硕士论文 2 第二代的P 2 P 网络模型是以G n u t e l l a l 4 为代表 G n u t e l l a 的协议是在2 0 0 0 年3 月份 由A O L 的一个部门在其网站上发布 后来由各种第三方组织其进行了克隆和改进 到 了2 0 0 1 年 由相互兼容G n u t e l l a 协议的多种应用逐渐形成了一定规模的G u t e l l a 网络 G n u t e l l a 是一份关于发布检索的协议 主要是支持点对点的 没有中心的检索 在 使用这个协议创建的网络中 所有的G n u t e l l a 客户机正常情况下 执行联系服务器和客 户端的任务 它们提供客户端的接口使得用户可以发布查询请求和查看检索结果 同时 它们也接收来自其它客户端的请求 检查本地数据中匹配的部分 返回可用的结果 G n u t e l l a 网络具有天然的分布性 服务也具有高度的容错性 它代表了第二代无中心 纯分布式P 2 P 系统的特点 不再是简单的点对点通信 而是更加高效 更加复杂的网络 通信 目前第三代P 2 P 网络正在迅速发展 相关的标准也正在制定 其中最有代表性的是 s u N 公司资助下的开发源代码的P r o j e c tJ 3 项目 P r o j e c tJ 嗡为构造P 2 P 虚拟网 络制定一系列协议标准 这些协议定义了所有用户组成和加入 个虚拟网络的最小语义 要求 协议同时定义了普通的网络底层用于创建各种P 2 P 网络 协议旨在互联网和非 I P 的网络之上建立了一个虚拟的网络 并允许成员直接交互及自我管理它们的网络连 接属性 l 1 2P 2 P 网络的在安全上存在的闯题 从N a p s t e r 的败诉到现今P 2 P 对网络流量的侵蚀 P 2 P 无不显露出其在网络安全方 面的严重问题 5 6 由于P 2 P 是高速连接网络和维持P C 开放状态 所以遭受攻击的风险 更高 I s s h l t e m e ts e c u r i t ys y s t e m 公司的研究主任c sR o u l a d 1 7 8 1 曾针对P 2 P 的音 乐交换服务做出这样的评判 我们将网上音乐下载称作危险的网络行为 P 2 P 在网上 和别人分享了你的I P 地址 这样很容易引来入侵者 M 蹦e e c o m 的病毒研究主管A p r i l G 0 0 s t r e e 说 由于人们在处理P 2 P 文件时 不像操作E m a n 或者互连网其它的操作一 样慎重 使得P 2 P 正面临着严重的危险 P 2 P 无疑是病毒的滋生地 人们来来往往地发 送文件 而根本不考虑安全的事情 综合来说 目前的P 2 P 网络主要存在着节点可用性 数据源的真实性 节点匿名 性以及访问控制等方面的安全问题 5 J 下面对这些问题做简单的描述 并就一些目前的 解决方法做简单陈述 节点可用性 P 2 P 网中存在大量的D D O S D i s t 曲u t c dD e n i a Io f s e 帆e 平 f a 丑一s t o p 攻击 因为在G n u t e l l a 中 各个节点都可以对查询请求进行应答 导致某些恶意节点充当起中 西北师范大学硕士论文 心的角色 对所有的请求都应答某一个牺牲品 v i c t i m 可以提供服务 导致大量请求 聚集耗尽了该节点的资源 实现了D D O S 攻击 文档真实性 在P 2 P 网络中存在大量的伪造文件 目前主要依靠信任体系来解决这 个问题 具有高的信任值 R e p u t a t i o n 就更可靠 更权威 而真正实现的信任系统是 综合上述方法的综合体系 如专家系统用到的专家签名机制可以用于信任体系中 具体 设想的实现如下 可以将P 2 P 网络中通过投票系统选出一组最可靠的用户团队 作为这 个网络社区的可信机构 通过这个中心来签发社区中各节点在可靠性和可信赖性方面需 要的数字证书 D i 西tc e r t i f i c a t i o n 在P K I c A 体系用于P 2 P 系统的实现中充当了第三 方的角色 这些可信的专家团队是可变的 并且可采用多方安全计算方式实现 目前关 于这个方面的问题正在进行卓有成效的研究 匿名性问题 这个问题是P 2 P 系统的一个难点 在信任体系中主要表现为匿名性与 签名机制之间的矛盾 要实现签名就要有唯一可识别的I D 但是实现匿名性的话 可 以通过多个伪标识的方式 节点任意使用多个标识实现匿名性 这样签名就没有意义了 同时匿名性造成了节点查询的不方便 没有确切的查询目标了 在基于反馈的可信体系 统中 单节点的多标识会造成谎言泛滥 l i a r 加m 现象 访问控制问题 这个问题是本文要讨论的主要问题 由于P 2 P 系统的无政府状态 导致在P 2 P 的数据共享时造成了各种知识产权和版权的侵犯问题 N a p s t e r 的失败是在 资源共享方面P 2 P 严重问题的典型例子 在其它很多方面P 2 P 网络也存在严重的问题 在信任管理的基础上实现有效 高效 简洁的访问控制策略是对P 2 P 网络环境下用户利 益的保护 也有利于P 2 P 网络的良性发展 l 2 信任授权和访问控制 认证是对一个实体身份的验证 可以通过口令 一个可信的认证服务或使用身份证 书来实现 授权可以看作是一个更抽象的信任关系的精确表述的结果 授权是分配一个主体在 一定的约束条件下 对某个特定目标完成特定行为的访问控制权限的策略决定 访问控制问题可以分成两个子问题 决定一个请求是否被允许和如何执行决定 信 任管理系统通过定义授权和访问控制策略 来解决 决定一个请求是否被允许 的子问 题 传统的访问控制机制是集中控制的 适用在一个假定参与各方都熟悉的封闭环境中 信任管理系统扩展了传统机制 应用到分布式系统中并消除了对封闭环境的假设 目前 主要存的访问控制方法主要有以下几种 9 1 2 1 t 1 5 A c U A c c e s sC o n t r o l s t 模型 强制访 问控制模型和基于角色的访问控制模型 另外还有诸如基于任务 基于代理等等的访问 西北师范大学硕士论文 控制模型被提出 基于角色的访问控制方法 R B A c R o l eB a s e d A c c e s sC o n t r 0 1 是近年来被提出的一种 灵活的访问控制模型 R B A C 中用户被指定给一个或多个角色 权限是分配给角色而不 是直接给用户 由于角色的数量通常比用户数少的多 通过将用户映射到角色 则大大 缩减了访问控制需决定的数量 而且在授权管理策略上也更显灵活和易于管理 也可 以用身份证书来标识用户身份 提供比用户名和密码更强的身份认证形式 基于口令的 登陆进程被认证协议 如s S L S e c u r eS o c k e t sL a y e r 代替 身份证书中包含公钥和相应 私钥拥有者的身份信息以及信任第三方 如C A c e r t m c a l c A u t h o r i t y 的数字签名 通过认 证协议来验证用户拥有与证书中公钥相对应的私钥 从而确认证书提供者的合法身份 当前W c b 浏览器和服务器之间基于证书的认证过程就是采用这种机制 在许多应用中 我们需要对事先并不知道的用户或实体进行访问控制 证书认证系 统输出完整的证书而不是仅仅提取出和实体身份相关的信息 整个证书被作为信任建立 系统的输入 通过基于证书到角色的策略映射 来分配实体的相应角色权限 非常简单 的信任建立系统已经被作为某些系统的一部分而实现 但是这些模块只是完成了从证书 签发者和证书主体的区分名字到角色的简单映射 缺少更丰富更灵活的信任策略 在一个完全分布的网络环境中 如本文将重点讨论的P 2 P 网络 网络中完全陌生的 实体之间也会存在资源访问的需求 因此陌生实体之间的访问控制策略就需要基于一定 的信任和授权的基础上 访问控制策略必须基于一定的信任和授权策略的基础上 信任 管理可以看作是实现授权机制和访问控制策略的基石 实体之间不仅需要通过证书来传 递信任和授权信息 还需要一定的信任建立和评估机制 1 2 1P 2 P 网络的信任管理问题 关于信任许多的学者都有自己的理解和定义 一个通俗的定义是 1 3 信任是指一种 关于节点执行可信的 安全的 可靠的动作的信仰 及对其未来行为的主观期望 P 2 P 网络安全的首要问题是信任管理问题 信任管理问题也是P 2 P 访问控制的基础 在P 2 P 网络发展的初期 人们过分的强调了节点的匿名信和动态性 使得P 2 P 网络在 访问控制和认证方面存在严重问题 随着P 2 P 网络的不断发展以及P 2 P 技术在电子商 务等领域的应用 信任管理问题和基于信任管理的访问控制等问题逐渐成为P 2 P 网络的 核心问题 在基于B s 或者C s 模式的网络环境中 信任关系的建立依赖于可信的第三方 比 如认证中心 C A 只要个体持有该C A 所颁发的证书即被认为是可信的 同时 恶意用 西北师范大学硕士论文 户必须承担 法律 责任 然而 在目前广泛存在的P 2 P 环境中 类似c A 的认证中心的 实施有很大的问题 这主要基于以下几点考虑 集中式认证往往伴随着额外的费用和开销 而P 2 P 环境通常追求零开销 用户 自愿参与网络 自由交易并且不准各为自己的行为负责任 对单点失效的顾虑 这里指的单点失效有两方面的含义 1 物理上的 即可信 认证 服务器的崩溃导致整个P 2 P 系统的崩溃 2 社会或法律意义上的单点失效 即 由于政治 法律等原因导致可信 认证 服务器无法正常工作从而致使P 2 P 系统崩溃 而 且在分布式网络中 各个参与者的资源整合越来越大 使得原来较好的集中服务 自顶 向下的行为变得难以扩展 随着节点的增多 个体不可能只依赖自己的经验来判断其他 节点行为的好坏 因此对于目前日益广泛的诸多P 2 P 环境 建立一种新的分布式信任机 制是十分必要的 人类社会的运作在很大的程度上依赖于信任关系 这包括在法律和道德上的信任约 束 可是我们不能将每个人的利益完全依赖于道德约束 必须要有强有力的措施来保证 和保护每个个体的利益 基于信任网络的P 2 P 系统与人际网络有很大的相似性 借鉴社 会学研究的某些结论 为P 2 P 网络的研究提供了可能 一种可能的办法是对用户评定信 任等级 在多个同样服务可选的情况下 信任等级高的节点成为交易对象的首选 信任在每个具有一定规模的分布式应用中都是一个问题 在一个分布式应用中 信 任的等级就是衡量我们确信程度的尺度 即我们正与之通信的人是否是我们以为的那个 人 以及我们正访问的资源是否是我们以为的那些 信任机制在P 2 P 网络中的作用是规范成员的行为 提高网络的可用性 这表现在 节点不情愿在匿名的互联网上与其它节点交互 由于网络的一个重要目的就是 提供匿名性 使得用户在选择交易对象时对于整个网络的状态无法了解 信任机制就是 通过预测网络的状态来提供网络的可靠性 网络中存在多种危险如恶意攻击 欺诈及冒名等 在P 2 P 网络中 由于用户参 与程度更高 所以各种不可预测的行为和恶意行为难以避免 信任机制可以对这些行为 进行隔离和惩罚 减少它们对用户的危害 网络中缺少绝对可信的管理者和强制性的措施 由于P 2 P 网络的特点以及应用 的限制 系统为了吸引更多用户的参与 只提供较弱的安全措施和自愿的原则 通过信 任机制 用户可以参与到认同的行为域之中 更加安全 有效的利用网络资源 信任机 制中有一个重要的参数是信任度 它代表了用户对产生信任关系的行为的信任程度 P 2 P 的绝大多数问题都与资源的访问控制需求相关 实体需要通过访问控制机制 加强对敏感信息的保护 对有限的存储空间或计算能力使用的限制 防止成为病毒 黑 西北师范大学硕士论文 客攻击的目标以及非法信息和非法交易的平台 防止从不可信的实体那里获得含有病毒 或恶意代码的文件 遭受攻击和破坏等 可见 P 2 P 应用对访问控制机制有迫切的现实 需求 这也是本论文选择P 2 P 网络作为研究访问控制的原因 总的说来 目前关于P 2 P 安全访问控制相关问题的研究 主要集中在信任关系表示 和授权方式两个方面 且已知的研究项目都只针对其中的一个方面展开研究 本文在前 面分析中己经指出 灵活的访问控制策略应当基于一定的信任和授权策略的基础上 单 单依赖信任关系或单单依赖授权关系的访问控制机制都缺乏灵活性 难以实现细粒度的 控制策略 例如 资源控制者可能希望将不同的访问权限分配给具有同样信任程度的两 个不同实体 需要分布授权机制 一个实体虽然拥有了一条可验证的授权链 但资源控 制者并不一定就能信任该实体 需要信任管理机制 资源控制者可能希望将资源的访问 许可授予那些能够出示有效授权链同时又具有一定信任程度的实体 所以本文中对P 2 P 访问控制的研究将有机结合信任表示和分布授权两个方面 提出一个完整的 可实现的 信任授权模型 本论文基于这一思想 针对P 2 P 网络应用环境 针对P 2 P 中大量节点的匿名 动态 等特性 提出将P 2 P 节点根据信任评价所得到的信任度 划分为不同的信任域 然后针 对不同的信任域 应用R B A c 中角色的原理 将信任域划分映射到不同的角色 再为 角色分配相应的访问控制策略 从而实现从信任管理到访问控制的转换 完成从理论到 具体应用的完整过程 在这个过程中 要通过信任度管理策略和授权证书策略 制定灵 活的访问控制策略 1 2 2 信任管理模型 P K I 州用信任模型 T r u s tM o d e l 描述实体间建立信任的方式 各种P K I 机制提出 了在不同环境下的多种信任模型 通过信任模型实体可实现两个目的 验证请求实体确实是其所声称的身份 a u t h e n t i c a t i o n 验证请求实体确实拥有对所请求资源或服务的访问权限 a u t h o r i z a t i o n a c c e s sc o n t r 0 1 P K I 机制用自动和程序化的方式来描述真实世界中人们之间的身份和可信赖关系 P K I 中把证书认证权威 c A 管理作为最核心的层次 用证书授权和验证来建立用户间的 信任链 但P K l 只是一种传递信任的机制 并不产生信任 日前的P K I 实现机制都是基 于非常有限的信任模型 无法作为一个通用的信任评估和决策制定的工具 难以提供用 户信任管理的优势 因此 P K l 只有和一个相应的信任建立机制相关联 其传播的公钥 西北师范大学硕士论文 7 及在安全应用中使用才有意义 从这 点来说 信任管理是必不可少的 对于文件共享的P 2 P 应用 P 的实施相对困难 因为现在文件共享的P 2 P 应 用允许用户随意交换各种文件 这就导致了各种版权问题 p s t e r 的先例已经说明了 这个问题的严重性 因此 在版权问题得到很好的解决以前 没有任何商业 政府或是 法人组织的c A 愿意给这种应用提供服务 这也正是对等网的分布式特性和o 的集 中特性相矛盾的地方 目前已有许多基于P 的信任管理系统被提出 X 5 0 9 f 1 8 t o l 信任模型是一种用于认证的严格的层次型信任结构 这种模型不适合缺 少集中管理域的完全分布环境下的网络应用 它采用全球命名空间 翊o b a l 舶m e s p a c e s 实体都用D N D i s t i l l g I l i s h e dN a m e 来表示 而且要求D N 是全球唯一的 当X 5 0 9 使用D N 的时候 就想当然的认为一个人只有唯一的一个D N 一个证书 而实际上 每个人是有多个身份的 比如一个用户在公司的身份是部门经理 在 个 I I l t e m e t 文件共享组中的身份是A 在一个在线游戏中的身份是B 如果使用 个身份 证书 不仅不能很好的区分这三个身份 而且泄漏了该用户的隐私 针对x 5 0 9 的不足 提出了s P K S D S I s i m p kP u b l i cK e yh l 丘a s t n l c t u r e S i I I l p l e D i s t r i b u t e ds e c u r i t vI n f r a s t r u c t u r e 的公钥框架 它提供两类证书 名字证书 a m e c e r t m c a t e 和授权证书 a u t h o r i t yc e n i f i c a t e 支持本地化的命名空间 主要针对分布 式的认证和授权 但是 基于x 5 0 9 的P 是已经付诸实施的系统 提供了许多优秀 的安全解决方案 而且产品也比较成熟 而s P K D s I 离真正大规模应用仍有一定距 离 P G P 信任模型用来完成和安全电子邮件系统应用相关的认证 P G P 的思想和 P 2 P 的思想很类似 每个用户都可以作为C A 来签名其他用户的证书 而且每个用户 也能够像P 中的用户一样 作为客户端来验证证书的有效性 这使得P G P 跟P 魁 相比具有独特的优点 不依赖于全局性的c A 管理负担小 能够很容易的在对等网中 实施 然而 在P G P 中缺乏有效的证书管理体系 证书的管理完全由用户自己来完成 错误的信任假设和管理的不当 会影响到P G P 的安全性 主要包括以下几方面的问题 1 1P G P 公钥的有效性 P G P 公钥的正确性是通过多个其他公钥的签名来保证的 这要求所有这些签发证 书的公钥是独立的 但是P G P 对此是没法保证的 P G P 中公钥环的修改 增加或删除 等维护操作是认证者的随机偶然事件 没有机制保证公钥环更新是全局同步的 2 介绍人的信任问题 介绍人的引入为获取陌生人的公钥提供了方法 但也带来了新的问题 即信任问题 西北师范大学硕士论文 这里的信任指的是一个用户相信另一个用户能够签发有效的公钥证书 信任等级 完全 信任 部分信任 不信任 的划分实际上给出了对介绍人信任程度的度量 说明他们所 签名公钥的真实程度 但在P G P 中 却没有任何依据来判断一个人达到什么样的信任 等级 用户只能通过直觉来对一个用户的信任度进行设置 如果设置不当就会造成安全 隐患 特别是遇到规模较大特别是物理地址分散的情况 3 证书撤销中的问题 一个密钥总是有自己的生命期 生命期的长短由算法强度 计算能力以及应用策略 等方面决定 密钥最好在生命期内总是有效 但在某些情况下 如私钥的泄漏 遗失或 用户身份的改变 都需要使该密钥无效 在公钥系统中 证书撤销是使公钥无效的有效 方式 在P G P 中提供了两种撤销证书的方式 介绍人撤销和拥有者自行撤销 二者具 有同等的效力 均被认为使相关的密钥对无效 但证书撤销问题的真正难点不在于撤销 本身 而在于将撤销信息通知每一个潜在的使用者 用户使用被撤销的证书是件很危险 的事情 很有可能造成泄密 因此在每次使用证书时都应该确信该证书没有被撤销 P G P 中虽然提供了撤销证书的功能 但没有提供任何将撤销信息通知其他用户的方式 这是 P G P 的一个致命弱点 将P 融和P G P 技术结合是一种折中的方式 这种方案主要建立在P G P 的基础上 在最底层采用P G P 的方式 在此之上采用附属层次型结构 c A 可以用来保存证书撤 销列表 以解决P G P 中证书撤销的问题 中间层次的C A 可以充当公开可信的介绍 人 以减少信任链的长度 减轻用户的工作量 需要指出的是 在这样的系统中 C A 并 不是一个颁发证书的权威机构 对于用户而言 它的功能主要是 保存证书撤销列表供 用户验证 充当可信的介绍人 同P G P 一样 系统中的每个用户都能够对其他用户的 证书签名 1 3P 2 P 网络访问控制技术研究的意义 访问控制是提供系统安全的主要保障手段 是为了限制访问用户对系统资源的访问 权限 以阻止未经允许的访问 现有的针对分布式应用的访问控制模型一般针对的是 c S 体系结构 其假设了系统中有一个权威中心来集中的实旌预先制定的访问控制策略 并根据请求的实体的身份来赋予访问权限 此类模型实际上是一个集中式管理模型 只 适用于封闭的系统 其访问策略针对都是熟知的用户 不能处理系统所未知的新用户 因此 在本文的访问控制方案中即不直接针对实体的身份 而是依据其可信性来实 施访问控制为对等协作提供安全保证 本文提出的访问控制模型正是基于这也原理 将 访问控制策略作用到一个具有相似信任特征的集合上 能够有效的简化访问控制策略的 西北师范大学硕士论文 制定实旆 也更加容易的能够应用到实际的模型之中 1 4 本文的主要工作及章节安排 如前面所述 传统的访问控制机制在P 2 P 网络这样缺少集中控制域的大规模分布 环境下 难以实施 本论文针对P 2 P 网络应用环境 提出了 基于信任域划分 的访问 控制模型 完成了整个模型的框架设计 证书设计 访问控制流程的设计 并完成了相 应的仿真实验 最后模型进行了相应的评价 P 2 P 网络 基于信任域划分 的访问控制模型包含两层含义 一方而是它采用了数 学的方法 简单的划分或者复杂的基于粗糙集理论的智能划分一一这种方法尚未实现 这样将有利于访问控制模型的实施 另一方面是它实现的灵活的访问控制策略基于信任 策略和授权策略的有机组合 本文首先针对第一层含义 提出了P 2 P 网络的一种简单的信任域划分方法 并针对 第二层做了主要的工作 具体工作包括 提出了 信任域划分 访问控制模型的思想 将信任定义为针对一个实体 授 权则是针对一个实体在某信任域上的许可 模型基于的访问控制基本原则是 一个实体 只有满足要求的信任 信任度 并且拥有 个其所在信任域的授权证书才能证明其获得 了对请求资源的相应的授权 才能获得访问许可 由于用户的不确定性 使得针对单个 用户制定访问控制策略是复杂而难以实现的 但是在P 2 P 网络中 由于P 2 P 组或者域 的存在 使得针对某个组或域制定一个统一的访问控制策略 颁发相应的信任证书 则 可以有效解决从P 2 P 节点的控制 实现从信任管理到访问控制的一个解决办法 设计了整个访问控制模型的框架 包括各组成模块的功能 相关数据结构和消 息编码格式 以及具体的访问控制流程等 在现有的大量的信任评价体系的基础上 针对其中的某种模型 提出了将其评 价结果用数学方法划分为相应信任域的方法 该方法考虑了不同的信任评价模型具有不 同的信任评价方法 对最终的信任度的表示也不一样 目前在信任基础上关于信任域的 划分方法已经有很多的学者在进行研究 已经有基于粗集的理论应用 关于这一部分 我们在本文不做详细讨论 针对信任域 提出了将信任域映射到角色的概念 并在此基础上应用R B A c 模 型对角色设计角色证书 设计了系统的访问控制流程 并在此基础上设计了访问控制协 议和相应算法 西北师范大学硕士论文 第二章理论基础及背景知识 2 1 信任机制的组成和原理 2 1 1 信任的基本概念 信任是人们生活的一个重要方面 人们依靠信任处理人际交往等各种社会事务 在 社会学 心理学 哲学等领域中 信任被广泛研究 计算机网络实际上就是人类社会的缩影 然而由于网络的开放性和自由性 使得网 络中信任关系的建立很困难 由此导致各种各样的安全问题 随着技术的发展 目前的 安全技术使我们能够建立一定程度的信任 比如加密算法提供隐私保护和数字签名 认 证协议提供认证和访问控制的授权 并出现了P 这种信任管理体系 传统的基于C s 结构的信任管理方案并不适合P 2 P 网络 因此 需要一个针对对 等网的方案 用于分布式的信任评估 信任管理 以解决P 2 P 的安全问题 信任是一个实体评价其他实体或实体集实际行为的主观可能性程度 评价在对该 行为进行监控之前和与该行为对其自身行为产生影响的情况下进行 当我们说我们信任 某人或某人是可信的 意味着他执行一个有益的或者说至少对我们是无害的动作的可能 性是足够高的 以使我们愿意同他进行某种形式的合作 相应的当我们说某人是不可信 的 意味着那种可能性对我们来说是低的 因此尽量避免合作 信任通常被表达为近似数学的形式 使得信任可以在某种程度上定量表示 2 2 1 通 常 一个实体不可能仅仅依靠自身来进行信任决定 它必须依靠其它信息资源 在社会 中 可以通过谈话的方式获得其它资源的信息 这就是一种名誉传递的方式 这种机制 也是一种社会控制的形式 在这个系统里 一个实体的行为是受其它实体行为所影响的 因此 要做一个有效可靠的信任决定 必须获得足够多的名誉 R e D u t a t i o n 信息 名 誉是对 个实体行为的期望 这种期望基于与该实体以前的行为相关的信息或者是对该 实体以前的行为的观察 名誉信息不仅仅需要其他人的观点 也要基于实体自身的经历 这使得对于同样的名誉主体 需要综合个人观点和其他人的观点来归纳出需要的名誉信 息 2 1 2 信任的特性 信任首要特性是主观性 信任不是一个实体的客观属性 而是其它实体对它的 主观评价 只有和其它实体联系在一起 信任才有意义 信任对一个孤立的实体毫无意 西北师范大学硕士论文 1 1 义 信任具有非对称性 A 信任B 并不表示B 就信任A 即使A 和B 之间存 在相互的信任关系 它们信任对方的程度通常也是不同的 因此 使用A 到B A 对 B 这样的说法来表示信任的方向 信任不具有传递性 A 信任B B 信任C 并不表示A 就信任c 经过B 的 推荐 在A 到c 之间建立信任关系 这并不是信任的传递 而是名誉的传递 最终A 是否信任c 仍然要由A 自己决定 这也再次反映了信任的主观性 信任是上下文有关的 不同的情况使得一个实体对另一个实体有不同的信任评 价 对于一个结果不可预知的行为 只要被认为将会产生正面的结果 它就更有可能被 接受 这不同于盲目的猜测 一个信任决定是基于本身相关的经历和知识 这些经历和 知识形成了在一个熟悉的环境中的信任基础 在这种感知下 信任的理由是一种感性的 形式而不是理性的形式 这也使得信任是动态的 非单调的 以后的经历和有关的事 件将会增加或者降低我们自身在其它实体上的信任等级 而且 最近发生的事件往往对 信任等级的影响更大 2 1 3 信任评价 信任度 信任度是一个实体对另一个实体信任程度的定量表示 在很多研究中 把信任度表示为一个实数区间 如 O 1 O 代表完全不信任 1 代 表完全 从而利用概率的理论来建立信任模型 跟一般的概率模型相比 它引入了不确 定性 主要是基于这样一种考虑 在一个实体对实体一无所知的时候 不能简单的用信 任或者不信任来描述这种状态 而不确定性的引入就好的解决这个问题 直接信任 直接信任表示在某个信任类c 中 实体A 具有对实体B 的某类经验信息 包括 所有直接或间接的经验 则A 到B 存在基于信任类c 的直接信任关系 采用实体的经历次数作为信任度评估的自变量 设n 是A 直接或间接获知的B 的经历次数 在每次经历中 B 都得到一个成功或者失败的评价 s 表示成功经历的次 数 f 表示失败经历的次数 显然 s n 那么一个合理的信任评估应该满足 1 s 越大 信任度越大 2 f 越大 信任度越小 西北师范大学硕士论文 3 要获得好的信任评价 必须要经历足够长的一段时间 这是为了防止有些恶 意实体在获得很差的名誉后更换一个身份 如果实体必须花费足够长的时间获得好的名 誉 那么它就不会轻易放弃一个身份 4 获得一次失败的评价而导致信任评价降低的程度要大于获得一次成功的评价 使信任评价上升的程度 这是为了避免恶意实体在一开始伪装成正常的实体 在积累 到一定名誉后就开始进行破坏 这样 当恶意实体开始非正常行动时 它的信任评价会 很快降低 推荐信任 在一个大规模的分布式系统中 一个实体要想获得系统中其他所有实体的信息是非 常困难的 而系统中其他任何一个实体都可能成为该实体的潜在通信对象 当需要和一 个陌生的实体交互时 必须先了解它的名誉 以此来决定是否进行交互 而关于这个陌 生实体的信息可以通过其它实体的推荐间接得到 2 2P 2 P 的信任模型 在P 2 P 领域中 关于信任的研究一直受到重视 这里介绍几个比较有代表性的研究 口6 2 脚 1 k l w G o V e m e dh l t e r a c t i o n L G I 它是由R u t g e r S 大学的N a f c a l y M i n s k y 和 c t o r i a u n g u r e a n u 主持开发的 该模型的 主要特点是由公正的 可信任的管理者制定统一的行为模式 这些管理者的权威性是由 c A s C e r t i f i c a t i o nA l u t h o r i t i e s 向其颁发证书来保证的 模型的主要优点在于所有成员在 相同规则的控制下 其行为是可以预测的 成员的信任关系仅仅和c A s 联系 降低了 信任的复杂性和风险 无赖 r o g l l e 成员的影响被有效地限制在很小的范围 2 P o b l a o 它作为一个分布式信任模型在J A P 2 P 网络上的应用 是由s u 公司的砌t a c h e n 和w i l l i 锄Y e a g e r 主持开发的 主要是强调用户所提供内容的可靠性 模型中的信任关 系不但反映了成员之间的信任程度 而且代表了成员和c o d a t s 之间的关系 主要优点 是提供了多种安全机制 可满足成员对网络安全的不同需求 对用户提供的内容进行分 解评估 但是由于模型的复杂性 有存在许多问题 比如对成员提供的内容进行分解时 的可靠性 信任度的传播和更新需要消耗很多的网络流量 3 E i g e n R 印l I 它是由S t a n f o r d 大学开发的信任模型 基本思想是当节点z 需要了解任意节点k 的可信任程度度时 首先从k 的交易伙伴 曾经与k 发生过交易的节点 获知节点k 的可 西北师范大学硕士论文 信度信息 然后根据这些交易伙伴自身的局部可信度综合出k 最终的信任度 该模型的 特点是使用迭代的方法计算节点的信任度 并且使用H a s h 函数放置节点的全局信任度 但是由于进行迭代计算时需要从网络中搜集大量的信息 使得在大规模网络环境中缺乏 工程上的可行性 信任模型是信任机制中比较高层的构件 它的作用是保证成员的可信性和资源的可 信性 目前基于P 2 P 环境的