一種新型的安全信任協(xié)商策略算法

摘 要：介紹了信任協(xié)商機(jī)制的一般流程，給出了逐步信任協(xié)商和規(guī)則圖的概念，提出了一種新型的安全信任協(xié)商策略算法，并分析了該算法的安全性。

關(guān)鍵詞： 信任協(xié)商； 規(guī)則圖； 策略

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2007)06-0139-03

近年來(lái)，隨著基于網(wǎng)絡(luò)的電子商務(wù)、政務(wù)和科學(xué)實(shí)驗(yàn)等活動(dòng)的逐步發(fā)展，大規(guī)模分布式網(wǎng)絡(luò)環(huán)境下進(jìn)行資源共享和業(yè)務(wù)協(xié)作變得日益頻繁。在分布式網(wǎng)絡(luò)環(huán)境中，由于參與對(duì)象的數(shù)量巨大，各自運(yùn)行環(huán)境的差異性，以及活動(dòng)目標(biāo)的動(dòng)態(tài)性等特點(diǎn)，各資源的擁有者往往隸屬于不同的安全管理域內(nèi)。使用傳統(tǒng)的基于身份的訪問(wèn)控制技術(shù)對(duì)于這種跨多個(gè)安全管理域的資源的授權(quán)和訪問(wèn)控制就會(huì)顯得力不從心。信任協(xié)商機(jī)制是一種用于解決這種跨多個(gè)管理域間訪問(wèn)控制的新方法。然而，以往的研究對(duì)其安全性考慮不足，本文提出了一種新型的安全信任協(xié)商策略算法，能很好地解決這些安全性問(wèn)題。

1 信任協(xié)商機(jī)制原理

1.1 信任協(xié)商機(jī)制的基本流程

信任協(xié)商（Trust Negotiation）機(jī)制是由W.Winsborough等人［1］提出的一種用于在陌生的交互雙方之間建立信任的方法。信任協(xié)商的主要思想是：陌生的雙方通過(guò)證書、訪問(wèn)控制規(guī)則的交互出示，使得資源的請(qǐng)求者與擁有者之間自動(dòng)地建立信任關(guān)系。圖1是一個(gè)簡(jiǎn)單的信任協(xié)商例子。

圖1 網(wǎng)上訂購(gòu)學(xué)生票

A同學(xué)是南京大學(xué)的一名本科生，學(xué)校給他頒發(fā)了一份電子化的學(xué)生證書。現(xiàn)在假設(shè)火車站提供一種網(wǎng)上購(gòu)票的系統(tǒng)，A可以通過(guò)登錄該系統(tǒng)來(lái)訂購(gòu)寒假回家的學(xué)生票。購(gòu)票系統(tǒng)中有一條對(duì)購(gòu)買學(xué)生票的訪問(wèn)控制規(guī)則P：只給具有學(xué)生證書的人出售學(xué)生票。當(dāng)A請(qǐng)求購(gòu)買學(xué)生票時(shí)，購(gòu)票系統(tǒng)站點(diǎn)就會(huì)給學(xué)生發(fā)送上述規(guī)則P。學(xué)生方在收到規(guī)則P后就把自己的證書發(fā)送給購(gòu)票系統(tǒng)站點(diǎn)，站點(diǎn)在收到證書后驗(yàn)證證書的正確性以及是否滿足規(guī)則，無(wú)誤后便可發(fā)送訂票成功信息給A。

這個(gè)例子很簡(jiǎn)單，從中可以看到，原本不同屬于任何一個(gè)安全管理域的雙方（學(xué)生和車站），經(jīng)過(guò)簡(jiǎn)單的協(xié)商過(guò)程，建立了某種程度上的信任。這種跨安全管理域間的信任建立，傳統(tǒng)情況下一般通過(guò)使用可信的第三方來(lái)做中介代理，由他來(lái)負(fù)責(zé)對(duì)雙方的信任度作評(píng)估，以決定如何進(jìn)行相應(yīng)的操作。而在上面的信任協(xié)商例子中看到協(xié)商的雙方是完全陌生的，之前不存在任何預(yù)先的信任關(guān)系，在協(xié)商中也不存在一個(gè)他們都信任的第三方，在此情況下信任協(xié)商機(jī)制完全自主的優(yōu)點(diǎn)就體現(xiàn)出來(lái)了。

1.2 逐步信任協(xié)商和規(guī)則圖

上面通過(guò)一個(gè)簡(jiǎn)單的網(wǎng)上訂票例子介紹了信任協(xié)商機(jī)制的基本流程，情況相當(dāng)簡(jiǎn)單，雙方只進(jìn)行了一次“請(qǐng)求證書”―“出示證書”的過(guò)程就彼此獲取了信任。但在很多實(shí)際使用中，情況會(huì)復(fù)雜得多。很多時(shí)候，當(dāng)你請(qǐng)求對(duì)方證書時(shí)，對(duì)方也會(huì)反過(guò)來(lái)請(qǐng)求你的證書，因?yàn)橛行┳C書對(duì)方是不愿意直接出示的，需要達(dá)成一定的信任關(guān)系后才可以出示。這樣多次來(lái)回請(qǐng)求證書，直到雙方逐漸達(dá)成了信任關(guān)系，資源的擁有者才會(huì)出示其資源給請(qǐng)求方。這樣的情況稱之為逐步信任協(xié)商，這是信任協(xié)商在實(shí)際運(yùn)用中最常出現(xiàn)的形式。

對(duì)于逐步信任協(xié)商，資源不再是通過(guò)單一的規(guī)則來(lái)保護(hù)，而是通過(guò)一系列具有先后關(guān)系的規(guī)則來(lái)保護(hù)，這些規(guī)則形成了具有層次關(guān)系的結(jié)構(gòu)。在文獻(xiàn)[2]中將這種具有層次關(guān)系的規(guī)則組合而成的數(shù)據(jù)結(jié)構(gòu)稱為規(guī)則圖。它是一個(gè)有向無(wú)環(huán)圖，每個(gè)規(guī)則圖只有一個(gè)源節(jié)點(diǎn)和一個(gè)終節(jié)點(diǎn)，終節(jié)點(diǎn)代表了規(guī)則圖所保護(hù)的資源，其他節(jié)點(diǎn)上都帶有相應(yīng)的規(guī)則。圖2是一個(gè)規(guī)則圖的例子。本例中，資源R表示為：姓名是XXX的教師檔案。對(duì)于接收到對(duì)方證書的不同，在協(xié)商中出示的規(guī)則也不同。如果是普通教師請(qǐng)求查詢，則必須出示其身份證書，以證明和被查詢?nèi)耸怯H戚，但如果是校長(zhǎng)，則可以直接進(jìn)行查詢。

2 一種新型的安全信任協(xié)商策略算法SDSNS

在協(xié)商過(guò)程中，以怎樣的途徑來(lái)出示、接收規(guī)則和證書，這就是協(xié)商策略要關(guān)注的問(wèn)題。在文獻(xiàn)[2]中提出過(guò)兩種的協(xié)商策略算法，這兩種協(xié)商策略算法是基于理想網(wǎng)絡(luò)狀況下的協(xié)商過(guò)程設(shè)計(jì)的，并沒(méi)有考慮很多信任協(xié)商機(jī)制本身的安全性因素，因此很容易遭到攻擊者的破壞。關(guān)于針對(duì)信任協(xié)商機(jī)制本身的攻擊可以參考文獻(xiàn)[3]。據(jù)此，筆者提出了一種稱為安全出示集協(xié)商策略（Secure Disclosure Set Negotiation Strategy，SDSNS）的協(xié)商策略算法來(lái)解決這些存在的安全隱患。

2.1 算法中的幾個(gè)重要概念

前面提到，在實(shí)際的信任協(xié)商過(guò)程中絕大部分情況是以逐步信任協(xié)商的形式出現(xiàn)的。本文的算法是以規(guī)則圖為基礎(chǔ)來(lái)進(jìn)行設(shè)計(jì)的。下面介紹算法中需要用到的三個(gè)概念，這些概念在該安全協(xié)商策略算法中起著至關(guān)重要的作用。

（1）最內(nèi)被打開(kāi)節(jié)點(diǎn)。在規(guī)則圖中，如果節(jié)點(diǎn)N上的訪問(wèn)控制規(guī)則被對(duì)方出示的證書所滿足了，稱節(jié)點(diǎn)N已被打開(kāi)。如果節(jié)點(diǎn)N上的訪問(wèn)控制規(guī)則被發(fā)送給對(duì)方，就稱節(jié)點(diǎn)N被出示給對(duì)方。如果規(guī)則圖的源節(jié)點(diǎn)S到圖中某個(gè)非源節(jié)點(diǎn)N的某一個(gè)父節(jié)點(diǎn)的有向路徑上所有節(jié)點(diǎn)的規(guī)則都被出示了，則稱S到N有一條授權(quán)路徑；此時(shí)，如果N的子節(jié)點(diǎn)中有一個(gè)沒(méi)有被打開(kāi)，則稱N為該規(guī)則圖的一個(gè)最內(nèi)被打開(kāi)節(jié)點(diǎn)。對(duì)于最內(nèi)被打開(kāi)節(jié)點(diǎn)，有如下結(jié)論：

如果在協(xié)商過(guò)程中由于對(duì)方的證書被出示，導(dǎo)致本方規(guī)則圖中一個(gè)節(jié)點(diǎn)N第一次被打開(kāi)，那么一定存在一個(gè)N的父節(jié)點(diǎn)，剛好在這次證書出示之前，它是該規(guī)則圖中的一個(gè)最內(nèi)被打開(kāi)節(jié)點(diǎn)。

該結(jié)論用反證法很容易證明。反設(shè)不存在這樣的父節(jié)點(diǎn)，那么剛好在這次證書出示之前，所有的最內(nèi)被打開(kāi)節(jié)點(diǎn)都不是N的父節(jié)點(diǎn)，那么這次打開(kāi)的節(jié)點(diǎn)將不會(huì)包括N節(jié)點(diǎn)，與題設(shè)矛盾。

由結(jié)論可知，信任協(xié)商過(guò)程中某一方一旦收到對(duì)方發(fā)過(guò)來(lái)新出示的證書，其協(xié)商策略引擎只需要去檢查所有的最內(nèi)被打開(kāi)節(jié)點(diǎn)，看看這些節(jié)點(diǎn)中的規(guī)則是否有能被滿足的，而無(wú)須搜索規(guī)則圖中所有的節(jié)點(diǎn)。

（2）持有敏感型證書。在網(wǎng)絡(luò)環(huán)境中，有時(shí)候一些客體之間存在著的信任關(guān)系本身也被認(rèn)為是一種隱私信息。例如，醫(yī)療中心、保險(xiǎn)公司、銀行和電信提供商等均與各自的服務(wù)群體之間保持著一種信任關(guān)系。他們作為可信機(jī)構(gòu)可以簽發(fā)相應(yīng)的證書。這些證書的類型可以反映出證書持有者與發(fā)布者之間的信任關(guān)系。在這種情況下，筆者發(fā)現(xiàn)，是否持有一份特定類型的證書將會(huì)成為一種隱私信息，比如某人持有一份南京大學(xué)的學(xué)生證書，那就反映了這個(gè)人與南京大學(xué)之間的關(guān)系，這樣的信息在很多情況下被認(rèn)為是一種隱私信息。筆者將這樣的證書稱為持有敏感型證書。

對(duì)于這種持有敏感型證書，在協(xié)商過(guò)程中攻擊者可以通過(guò)直接給用戶發(fā)送請(qǐng)求該證書的規(guī)則，根據(jù)對(duì)方回應(yīng)還是不回應(yīng)請(qǐng)求來(lái)判斷對(duì)方是否持有該證書。這樣，即便攻擊者無(wú)法真正獲取該證書，他也可以根據(jù)回應(yīng)信息來(lái)判斷對(duì)方是否持有該證書，這樣已經(jīng)造成了隱私信息泄漏。所以對(duì)于這種證書的訪問(wèn)控制，不能用一般的逐步信任協(xié)商來(lái)處理。

（3）收據(jù)。在協(xié)商過(guò)程中，雙方不斷出示證書和規(guī)則給對(duì)方。當(dāng)一方收到另一方發(fā)來(lái)的規(guī)則和證書后，可以對(duì)每一份證書和每一條規(guī)則都生成一個(gè)收據(jù)，收據(jù)中指明了收到的證書或規(guī)則的名稱、發(fā)送者和接收者的姓名、接收時(shí)間等信息。在收據(jù)的最后，利用接收者的私有密鑰對(duì)該收據(jù)進(jìn)行數(shù)字簽名，以確保該收據(jù)是該接收者生成的。

2.2 算法描述

筆者將本地持有的證書稱為本地證書，對(duì)方持有的證書稱為遠(yuǎn)程證書。規(guī)定：本地資源的訪問(wèn)控制規(guī)則中不會(huì)涉及到本地證書，因?yàn)橹挥羞h(yuǎn)程的訪問(wèn)者才需要請(qǐng)求本地資源。

先定義幾個(gè)算法中出現(xiàn)的概念：

下面是本文設(shè)計(jì)的安全出示集協(xié)商策略算法SDSNS的偽代碼，共分為兩部分。其中SDSNS _Main函數(shù)是協(xié)商策略算法程序的主函數(shù)；Compute _CredPolicySet函數(shù)是核心的計(jì)算規(guī)則圖中可出示證書集和規(guī)則集的算法。算法的主要思想和偽代碼描述如下：

（1）SDSNS _Main函數(shù)。某一方在接收到一個(gè)協(xié)商消息報(bào)文m后，首先設(shè)置三個(gè)本次將要發(fā)送的集合（newCredSet、newPolicySet和SendReceiptSet）的初始值；然后根據(jù)R的屬性判斷是服務(wù)器端還是客戶端，如果是服務(wù)器端，則將收到的證書集和規(guī)則集分別放入RecvCredSet和RecvPolicySet，調(diào)用Compute_CredPolicySet函數(shù)（描述見(jiàn)下）重新計(jì)算當(dāng)前newCredSet和newPolicySet；再后判斷R是否可以出示，在不能出示的情況下，還要區(qū)別協(xié)商是否可以繼續(xù)下去，如果協(xié)商可以繼續(xù)，則對(duì)本次收到的credSet和policySet中所有的證書和規(guī)則調(diào)用收據(jù)生成函數(shù)MakeReceipt來(lái)生成相應(yīng)的收據(jù)集合SendReceiptSet，再與剛才計(jì)算出來(lái)的newCredSet以及newPolicySet一起組成新的消息報(bào)文進(jìn)行發(fā)送。如果是客戶端，除了不需要判斷R是否已打開(kāi)外，其他過(guò)程和服務(wù)器端一樣。

(2)Compute _CredPolicySet函數(shù)。對(duì)于本地所有非持有敏感型證書的規(guī)則圖中每一個(gè)最內(nèi)被打開(kāi)節(jié)點(diǎn)n都進(jìn)行如下操作：①檢查，如果n節(jié)點(diǎn)上的規(guī)則可以被滿足，則重新計(jì)算圖中的最內(nèi)被打開(kāi)節(jié)點(diǎn)，否則，對(duì)于每條在n節(jié)點(diǎn)上的規(guī)則pLocal，檢查其是否包含在SendPolicySet或newPolicySet中，若不在則分別加入兩個(gè)集合中。②檢查RecvPolicySet中的每一條未被滿足的規(guī)則pRemote。如果pRemote在本地規(guī)則圖中已經(jīng)可以被滿足，則對(duì)pRemote的約束條件中涉及到的所有本地證書進(jìn)行判斷；如果不在SendCredSet和newCredSet中，則將其分別加入兩個(gè)集合中，同時(shí)，將RecvPolicySet中的規(guī)則pRemote標(biāo)志為已滿足。另外，考慮到持有敏感型證書的訪問(wèn)控制比較特殊，需要檢查一遍所有的持有敏感型證書的規(guī)則圖的終節(jié)點(diǎn)d，看其是否被滿足并且被在對(duì)方發(fā)來(lái)的規(guī)則中出現(xiàn)，如果是則也加入到newCredSet中去。

3 SDSNS算法安全性分析

相比文獻(xiàn)[2]中提出的兩種協(xié)商策略算法，本文提出的SDSNS算法中考慮了許多的安全性因素。下面總結(jié)分析一下該算法的安全性所在：

（1）對(duì)帶有隱私信息規(guī)則的保護(hù)。在協(xié)商過(guò)程中，雖然訪問(wèn)控制規(guī)則的本意是用來(lái)保護(hù)證書和資源的隱私信息不被泄漏。但實(shí)際上，訪問(wèn)控制規(guī)則本身也具有隱私性，很多時(shí)候訪問(wèn)控制規(guī)則的約束條件能透露出很多資源持有者的隱私信息。而在SDSNS算法采用的逐步信任協(xié)商的方式中，由于每一個(gè)資源的訪問(wèn)控制規(guī)則被組織成規(guī)則圖的形式，規(guī)則之間有了先后關(guān)系，不帶隱私信息的規(guī)則被先出示，而在達(dá)成了一定程度的信任后，帶有隱私信息的規(guī)則才會(huì)被出示，從而保證了帶有隱私信息的規(guī)則不會(huì)因?yàn)楸浑S意出示，而導(dǎo)致隱私泄漏。

（2）對(duì)持有敏感型證書的保護(hù)。在SDSNS算法中，對(duì)于持有敏感型證書的規(guī)則圖，并沒(méi)有和一般的規(guī)則圖一樣處理，而是直接檢查規(guī)則圖的終節(jié)點(diǎn)的所有父節(jié)點(diǎn)中是否有被滿足的。這樣做的好處是，如果一開(kāi)始對(duì)方就請(qǐng)求該證書，則將收不到任何回應(yīng)，無(wú)論本地是否真正持有該證書，只有當(dāng)在協(xié)商過(guò)程中對(duì)方出示的證書能滿足終節(jié)點(diǎn)的某個(gè)父節(jié)點(diǎn)上的規(guī)則時(shí)，資源才會(huì)被出示，從而保護(hù)了持有敏感型證書不會(huì)被探測(cè)到其存在與否。

（3）對(duì)出示后的證書和規(guī)則的保護(hù)。一般情況下在協(xié)商過(guò)程中用到的證書和規(guī)則被出示之后，就無(wú)法控制它們是否會(huì)被對(duì)方隨意使用，從而可能被第三方獲知其中的隱私信息。而筆者使用的收據(jù)就是為了防止這種情況的發(fā)生。在收據(jù)的內(nèi)容中除了上面提到過(guò)的之外，還有一項(xiàng)是接收方的聲明，表明他會(huì)怎樣保護(hù)這份收到的證書（或規(guī)則）。這樣一來(lái)，如果證書（或規(guī)則）的原持有者發(fā)現(xiàn)其證書（或規(guī)則）被對(duì)方隨意使用，就可以通過(guò)法律途徑來(lái)控告他，因?yàn)楸镜乇４媪嗣恳环葑C書（或規(guī)則）的帶有對(duì)方簽名的收據(jù)。

4 結(jié)束語(yǔ)

信任協(xié)商機(jī)制是一種解決不同管理域間訪問(wèn)控制授權(quán)的有效方法，它正日益受到人們的關(guān)注。以往的研究對(duì)信任協(xié)商的策略算法中的安全性隱患考慮不足，導(dǎo)致了很多潛在的攻擊可能。本文提出的這種安全信任協(xié)商策略算法SDSNS在這方面做了一些前瞻性的工作，有效地防止了某些安全漏洞可能帶來(lái)的危害，提高了信任協(xié)商機(jī)制的可靠性和可用性。

本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。