信任管理中基于角色的委托授權研究進展

摘要：通過分析委托授權的本質特征和應用背景，綜述了現有的基于角色的委托模型及其特征擴展，并給出了它們在信任管理中的研究進展和應用。最后，指出了目前所存在的問題和今后的研究方向。

關鍵詞：分布式計算； 訪問控制； 委托授權； 信任管理； 證書鏈

中圖分類號：TP309文獻標志碼：A

文章編號：1001－3695(2008)06－1601－05

0引言

近年來依賴于大規模計算機網絡（網格）環境的多種計算模式，如分布式計算、移動計算、普適計算、網格計算等得到了廣泛的研究和應用，由此所產生的計算環境的安全問題也面臨著嚴峻的考驗。嗅探、竊聽、身份冒充與欺騙、分布式拒絕服務攻擊等手段以及蠕蟲病毒、惡意程序的入侵，致使敏感的數據信息被竊取、竄改和濫用，系統安全遭受到嚴重的威脅。作為信息與網絡安全中傳統的研究領域，訪問控制理論與技術也是目前研究較為廣泛、深入且極其活躍的。從20世紀60、70年代，面向操作系統安全的、經典訪問控制模型與機制研究（如訪問控制矩陣模型、BLP與BiBa模型、Take－Grant模型等），到90年代的RBAC研究，以及始于21世紀初的面向數字版權管理的使用控制等，訪問控制策略主要包括DAC、MAC、RBAC和UCON等。上述策略和模型主要適合于解決用戶身份已知的集中式訪問控制和授權問題。

從90年代后期，信任管理的出現主要為了解決大規模的、開放分布式環境中的授權問題。與傳統的安全授權機制相比，信任管理具有靈活性、可擴展性及可靠性等，使得互操作的實體之間能夠建立信任關系，從而完成可靠的授權管理和資源分享。這樣，傳統的集中式授權管理就不再適應于新的計算環境下的安全訪問控制要求。委托技術具有分布式、分散授權和系統可擴展的重要特征。作為信任管理中的核心技術，近年來也得到了研究者的關注和廣泛研究。基于角色的委托模型(role－based delegation model)就是在RBAC策略的基礎上提出的一種旨在解決分布式計算環境下訪問授權管理復雜性問題的思想和安全機制。

1委托授權特征與委托模型

1．1委托授權的思想與基本特征

委托授權[1]是用戶實體將自己所具有的角色或許可轉授給其他用戶，使其可以代表自己的利益行使一定的職責，協同或獨立地完成某些任務，最終達到權力和資源共享的目的。此外委托者還可以撤銷委托，收回共享的特權。基于角色委托的基本思想是在分布式環境下，用戶可以不經過安全管理人員將自身所具有的角色（顯式角色）或所繼承的角色（隱式角色）委托給其他用戶，使他能夠代表自己的職責（角色）行使一定的權限。這樣便分散了授權管理，增加了分布式系統的靈活性。其中，委托授權后產生的安全性問題可由系統審計來處理。

與基于角色的委托授權相關的實體有委托者(delegator)、被委托角色/許可(delegated－role/permission）和受托者(delegatee)。委托策略主要考慮以下基本特征：

a)委托粒度。委托的基本單位主要分為Zhang等人[2]提出的基于許可的細粒度、Barka等人[3]和Na等人[4]基于角色的中粒度以及Zhang等人[5]提出的基于角色—許可的粗粒度。細粒度是指允許用戶將角色中的部分許可委托給另一用戶，而不只是角色的整體委托。這樣降低了可委托授權的粒度，遵循了最小特權原則；但是會產生大量邏輯意義上不完整的角色，從而又增加了授權管理的復雜性和實際應用系統的開銷。中粒度是指用戶只能將自身的角色整體委托給其他用戶，從而使其獲得該角色所具有的全部許可權限。它在某種程度上違背了最小特權原則。粗粒度委托是用戶可以任意將自身的角色和（或）許可委托給他人。這樣的委托較前兩者更為靈活，然而實現時較為復雜。關于委托粒度需要根據實際應用系統的需求折中選擇合適的委托授權基本單位。

b)委托傳播。在委托權限進一步傳播和轉讓過程中，可以通過構建委托樹來實現。委托樹的深度具體可分為單步委托和多步委托兩類。前者是指受托者不可以進一步地將委托角色或許可再次委托給其他用戶；后者則是允許受托者進一步實施委托，但撤銷委托將變得復雜和困難。委托樹的廣度是指角色或許可可以同時被授權的數量，即針對同一委托權限，它所屬的受托者集合的基數問題。

c)委托時限。角色或許可的委托具有臨時性、周期性等特征，因此在委托時限內，用戶可以合法地執行被委托的能力；超出時限的角色或許可將被系統或委托者收回。

d)委托撤銷。委托過程的逆操作稱為委托撤銷，即完成被委托角色或許可的回收。撤銷的主要方式有級聯、非級聯、獨立于授權、非獨立于授權、系統自動和用戶撤銷等。

e)委托約束。針對上述四個特征，對角色（許可）委托過程和委托使用過程的基本約束限制，從而實現更為嚴格的自定義安全策略和委托策略。主要表現為委托步約束、委托時限約束以及委托實施約束等方面。

1．2研究動機與應用情景

在分布式計算環境下，傳統的集中式授權管理加重了安全管理員的負擔。這種繁重的授權工作已經不再適應新的環境。為此提出了角色委托的概念，它是安全分布式計算環境的一個重要因素。委托作為是一種重要的安全策略，通常運用于如下應用場景中[2]：

a)職責備份。當某人臨時不在崗位時，他所負責的工作需要由他人繼續接管實施。這時需要將其工作權力暫時委托給他人，并通過委托安全策略（涉及1.1節委托的五種基本特征）控制委托權限的有效使用。

b)職權分散。當某個組織初始構建或后來重組時，需要按照組織結構將工作職權從高層向低層進行分配。

c)協同工作。在單個組織內部以及多個組織間進行高效協作和資源（權力）共享時，需要資源和權力屬主將部分或全部權限臨時轉讓給協作者。

2基于角色的委托模型研究

2．1基于角色的委托模型

Barka 和Sandhu 最早在文獻[1]中分析了基于角色委托模型的一些基本特性，包括委托的臨時性、單調性、委托角色完整性、委托傳播性、管理性等，并提出了角色委托模型的研究方向。其中，單調性是表示委托者在將角色委托授權給其他實體后，是否失去相應的許可；委托角色完整性是指是否將角色作為委托的最小單位，即角色的原子性和委托粒度；委托傳播性是被委托的角色仍可以再次進行轉讓，即委托樹的深度問題；委托管理性是對委托過程涉及的多個實體的管理和控制特性。同時，他們提出了一個基于角色的委托模型RBDM0[3]。該模型是第一個支持用戶到用戶的角色委托模型，并且非形式化地提出了在委托細粒度、委托傳播、支持具有角色層次屬性的委托，以及委托撤銷等方面的擴展特征。RBDM0存在角色委托的時限，并且該模型中委托細粒度和傳播特征是通過委托約束機制加以描述，但并不顯式支持這些特征，使得模型在使用時效率較低，并具有較大的系統開銷。此后，Barka等人又在文獻[6]中基于RBDM0 作了角色層次上的擴展，給出了支持角色層次的RBDM1，但仍然不顯式支持委托細粒度和委托傳播性。文獻[7]基于RBDM0提出了RDM2000。該模型對RBDM0在委托傳播和約束方面作了進一步擴展，并采用基于規則的描述語言形式化地描述了該委托策略。但是，與RBDM0一樣，該模型為保持委托角色的完整性，只支持基于角色中粒度的整體委托 ，然而在職責備份和協同工作情形下，部分委托則是必需的。這時上述模型將不能滿足實際需求。

2．2基于許可的委托模型

文獻[8]中針對RBDM0和RDM2000禁止重復角色委托和不支持細粒度的缺點，提出基于重復和部分角色的轉授權模型RPRDM（repeated－and－part－role－based delegation model），并定義了該模型的組成元素以及轉授權和轉授權撤銷規則等；最后給出了Linux 實現RPRDM 的一個實驗原型，并指出如何形式化描述與該模型相關的安全策略將是今后的研究方向之一。文獻[2]中提出了PBDM(permission－based delegation model) 委托模型家族，其主要特征是支持角色間的基于許可的細粒度委托。其中，部分委托是通過用戶創建臨時性的委托角色DTR（delegatgion role）區別于普通授權角色（regular role），將待委托的許可（集）指派給臨時委托角色，然后再將其委托給用戶。在實現上臨時委托角色的引入能夠封裝多個待委托許可或可委托角色，并可以一次性地進行委托。但這種方式需要創建大量的臨時性角色，這些角色可能在組織內部的語義并不完整，同時也導致模型的使用和管理的高復雜性。文獻[5]提出了基于許可—角色粗粒度的委托模型。臨時委托角色TDR不僅可以封裝多個許可，也可以將多個普通角色指派給TDR，即TDR是許可和角色的集合。這樣可以更靈活地實現許可和（或）角色的同時委托，但在實現上增加了系統的開銷和TDR的管理復雜性。

2．3基于特征擴展的委托模型

文獻[9]主要針對委托約束的基本特征，提出了一個基于角色的受限委托模型（constrained role－based delegation model，CRDM）。該模型在RBDM0的基礎上，通過引入委托票據的概念，并以角色作為委托粒度，著重解決臨時性限制約束、常規角色關聯性限制約束等問題。其中，在委托的時限約束上表現得較為靈活，可以在委托角色的生命周期內控制激活時間、使用次數；常規角色關聯則通過常規角色當前的激活狀態這一先決條件，判定委托角色是否可以有效地執行。該模型對于委托角色的使用限制和約束特征，從多個方面進行了討論，但缺少統一的描述約束框架和形式化語言，并且其中的角色繼承和層次以及多步委托問題還有待于進一步研究。文獻[10]針對PBDM中的委托約束問題，為提高委托過程的安全性，提出了一種基于屬性的委托模型(attribute－based delegation model，ABDMA)。通過同時實現委托先決條件(CR)和委托屬性表達式(DAE)，增強對用戶和權限的使用限制，提高了委托過程的安全性。但由于委托實現采用類似于PBDM構建臨時委托角色集的方法，該模型在管理上也存在較高的復雜性問題。

文獻[11]針對委托粒度和委托傳播特征，提出了量化角色的概念，實現了一種強制與自主相結合的細粒度委托約束機制，給出一個形式化的基于量化角色的可控委托模型(quantified role based controllable delegation model，QBCDM )。量化角色是對普通RBAC 角色的擴展，可以描述其任意部分權限，能夠較好地實現細粒度的委托能力，并且改進了PBDM委托角色的管理復雜性問題。此外，該模型結合DAC和MAC基本特征，實現了更為嚴格的委托傳播限制。

文獻[12]針對委托時限的相關特征，基于Bertino的周期時間自主訪問控制模型，較為詳細地形式化構建了一種基于周期性時限的DAC委托模型PDACDM。它主要面向用戶到用戶的委托訪問權限限制，對權限委托的臨時性、時序依賴性和受限傳播性等約束特性進行探討，并給出了相關的推導規則集和應用實例。此外，本文提出正負權限的概念。負權限是指用戶對于某個客體不該具備的訪問權限，這對于開放系統環境下的委托授權研究是值得關注的。

Bandmann等人在文獻[13]中針對委托約束特征，提出一個受限的委托模型及其在協作組織中的委托框架。該模型通過正則表達來描述委托約束，從而對委托樹的構建進行限制。該框架將權限的委托與使用分離。具體的約束限制表現為組成員約束、時間約束和外部數據的依賴約束等。

3信任管理中的委托授權

3．1信任管理技術

信任管理[14]作為一種開放環境下支持分布式授權的技術近年來得到了廣泛而深入的研究。它支持匿名主體用戶的訪問控制，通過委托授權機制實現信任的傳遞，從而支持分布式應用，并依據相關的信任評估模型，完成對主體用戶的信任評價和計算。信任管理的主要研究內容和實現是解釋說明安全策略和信任憑證，以及判定它們之間的一致性關系；依據判定結果，通過信任憑證對某個動作請求進行委托授權，傳遞信任關系和拓展信任鏈。

為了使信任管理能夠獨立于特定的應用，Blaze等人[15]等人提出了一個基于信任管理引擎(trust management engine，TME)的信任管理模型，如圖1所示。TME是整個信任管理模型的核心，體現了具有通用性、應用獨立性的一致性驗證算法，根據輸入的三元組(r，C，P)，由信任管理引擎判定策略是否被滿足，并對應用系統的動作請求進行響應。其中，安全策略P是指本地定義的可信授權規則；而信任憑證C表示用戶實體間基于委托機制的信任傳遞。對于請求r相關的憑證集合C是否與本地安全策略P具有一致性的判定和授權則由一致性驗證器來完成，并將判定結果反饋給應用系統來實施訪問控制。信任管理引擎負責判定和推薦信任關系，具體的信任實施則由應用系統實現。這里假設憑證系統、本地策略數據庫、信任管理引擎和應用系統都是可信的，從而構成一個具有信任邊界的信任域。

信任管理涉及信任管理模型、信任評估模型以及具有委托特性的授權模型等。本文主要討論其中的委托授權機制與相關模型的研究進展情況。

3．2基于SPKI/PMI的傳統委托授權

Blaze等人提出的PolicyMaker[14]和KeyNote[15]作為經典的信任管理系統， 通過實體憑證集支持委托授權，但兩者主要探討的是安全憑證和策略的表達、元語言描述以及一致性驗證器的判定決策算法等，對于其中的委托機制和實現涉及較少。Ellison等人[16]提出的SPKI主要借助于證書機制，較為靈活地實現了委托授權的表達和傳遞。這與上述信任管理系統是一致和互補的。SPKI中包括兩種證書，即授權證書和名字證書。授權證書表達權限的指派，是公鑰或名字等與權限的綁定。SPKI授權證書使用委托機制進行權限傳播，通過委托字段的關聯從而形成從證書初始發布者CA到最終被級聯委托授權的用戶實體之間一條完整的證書鏈。對于該證書鏈的搜索通常采用自頂向下或自底向上的搜索算法。

隨著基于X.509證書格式的PKI技術的發展和面向可信域的實際部署，為表達更為詳細的實體屬性特征（包括角色、組成員關系、權限等），X.509公鑰證書進一步向屬性證書擴展，由此產生了PMI技術以及委托技術在PMI中的相關研究與應用等。基于X.509屬性證書的PMI主要是通過屬性證書進行系統用戶或其他實體的授權管理與訪問控制過程。屬性證書AC（attribute certificate）不同于PKI中的公鑰證書PKC，它是由AA（attribute authority）機構頒發的記錄用戶特權信息的載體，具有短期的時效性。PMI和其他信任管理技術均可以實現基于角色的委托授權，但是PMI關于委托的實現僅限于集中式屬性權威機構AA的委托授權，特權聲稱者PA（privilege assertion）及用戶本身不具備委托授權能力，這將不適合于分布式PMI應用的創建[17~19]。然而信任管理主要面向于分布式環境，其中任何一個擁有公私鑰對的實體都可以發布證書。因此傳統的PMI在分布式授權上具有一定的局限性。文獻[20]對于分布式環境下基于證書的委托機制，提出了主要的研究內容和開放問題，如權限管理與指派、委托證書鏈、委托控制和委托撤銷等。

3．3基于PMI/角色的分布式委托授權

文獻[21]提出了傳統PMI體系在委托授權方面存在的問題。委托授權者是SOA或各級AA、SOA具有最高和最廣泛的權限，各級AA只具備由上一級AA授予的局部權限，它們可以將所屬的特權或特權子集委托給實體PA。這種委托過程屬于集中式特權管理，PA不具有委托能力。在大型分布式應用環境下，由于大量實體的存在，委托授權只能集中在AA機構，將使其承擔繁重的管理工作；并且在委托驗證時需要AA逐級向上回溯至SOA，這又增加了委托驗證的時間復雜度。

根據委托特性，文獻[21]所給出的DM for PMI（delegation model for PMI）模型既彌補了原有委托模型不支持權限級委托授權的缺陷，又保持了角色級委托授權管理中高效、靈活的特點，是一種在分布式應用環境下解決委托問題較為完備的模型。同時，依據DM for PMI對傳統的PMI體系架構進行了擴展，引入委托證書、委托失效列表、委托審計等組件構成了EPMI，使其具有分布式委托特性。鑒于委托授權的短期時效性，不將委托信息寫入屬性證書，而是構建DC發放給受托者。除了SOA、AA具有委托特權外，終端實體PA也具備委托能力。PA可以在遵循SOA制定的委托策略前提下，通過終端系統生成的DC直接(或間接由AA機構托管)將顯式或隱式角色以及權限委托給受托者PA。當PA需要撤銷委托或委托時限到達時，PA（或系統）將在委托失效列表DEL（delegation expire list）中添加DC的惟一標志，使DC作廢，同時多步委托特權也被具有依賴性的級聯撤銷。

鑒于分布式委托的分散性，為保證PA委托的安全和合法，在EPMI中引入委托審計機制。系統對PA每一次委托授權和撤銷過程進行跟蹤監視，將審計信息存儲在審計數據庫中，以便將來進行安全檢測。

3．4基于邏輯/角色的委托授權

委托技術是信任管理中的一項核心技術，Li等人[22]首先于1999年提出了一種基于邏輯的知識描述語言——委托邏輯 (delegation logic，DL）。它主要用于描述大規模、開放、分布式環境下的授權機制。該文獻提出對于任意系統在判定一個請求動作是否應當被授權的關鍵是授權委托、授權否定和授權沖突的表達。DL基于已有的委托技術和信任管理研究，以及在邏輯語言和非單調推理方面的否定和沖突研究，形式化地給出了DL相關語法及語義說明。與已有的基于邏輯的授權方法所不同的是，DL基于邏輯程序顯式地表述了委托深度，并且支持廣泛的負責策略，其中包括（n，k）門限等；與現有信任管理方法所不同的是，一致性驗證是基于理論模型的語義。該語言不僅具備說明性語義，其一致性證明也是基于完備的邏輯基。同時，DL可在分布式授權中描述復雜的信任關系和委托特征。DL和PolicyMaker、KeyNote等系統在一致性證明上有所不同，它的一致性證明是基于邏輯程序的模型理論語義來實現的，具有實現獨立性。

此后，在文獻[23，24]中將信任管理與基于角色的訪問控制進行結合，提出了基于角色的信任管理框架RT。該框架是描述用于分布式授權策略和安全憑證的基于角色的信任管理語言集合，它將RBAC角色易于組織和管理的優勢，與信任管理系統相結合，使其適合于基于屬性的訪問控制。通過簡單的證書形式，提供了對角色的本地授權、角色委托定義、關聯角色、參數化角色等；此外RT引入簇角色來表述授權限制和職責分離策略，以及激活角色的委托。通過在框架中實現從證書到datalog邏輯語言規則的翻譯，形式化地定義了證書的語義。文獻[25]針對信任管理中不同類型的委托深度控制方案，將基于正整數值的委托深度控制方法引入到RT框架中，提出了RT+0模型及形式化描述了證書的相關語法，并將其翻譯為可操作的邏輯規則，增強了委托深度控制的語義表達能力。

3．5基于RBAC模型的委托授權

Freudenthal等人[26]在RT框架的基礎上提出并形式化定義了一個動態結盟環境下的分布式RBAC模型dRBAC（distributed RBAC）以及基于圖方法的證書搜索和驗證。 dRBAC是一種面向跨多個管理域的具有分布式可擴展性、非集中式的信任管理和訪問控制策略。它利用PKI機制定義信任域，通過角色指派實現多許可的分配，并且可實現跨域的角色委托。dRBAC的主要特征體現在來自于域的名空間之外引入的第三方角色委托依賴于顯式的委托指派；使用與角色關聯的數量值屬性實現權限轉移；對時間較長的交互進行持續的實體信任關系監控，從而確保信任關系的有效性和延續性。dRBAC實現了一個較為完整的訪問控制系統用于分發、搜索、驗證和撤銷基于角色的委托，適用于較大規模的分布式安全環境的構建。

面向信任管理的委托授權，結合RBAC模型中角色和組織結構的一致性、可管理性、高效靈活性等優勢，已經取得了廣泛的研究，但在角色授權級聯撤銷方面仍缺乏高效的機制。由于委托的臨時性和時限性，有效地實現委托角色不同方式的回收機制是一個完備的授權系統所必需的。此外，基于角色的委托授權在角色繼承、角色層次構建和委托基數（委托樹的廣度）等方面同樣缺少深入的研究。現有機制能夠隱式地支持角色層次關系，但相比顯式機制而言，在實施代價和效率方面將有待于進一步提高，這對于信任管理系統最終得到廣泛的應用和部署至關重要。

3．6基于信任度/角色的委托模型

現有的委托模型在分布式環境下基于認證用戶的訪問控制中得到了深入研究，尤其是在委托的周期性、委托樹的深度，以及委托中角色的相關屬性進行了不斷擴展和完善。然而這些模型不能滿足分布式環境下基于匿名和未知用戶的訪問控制問題，同時由于它們未考慮委托中的信任問題，也不適用于信息管理的應用。首先，在信任管理中委托授權需要考慮兩個實體之間的信任程度，而此時的信任度并非只是處于信任與不信任二值之間，還應考慮更全面的信任度量，即當信任度處于二值之間時的委托情形，這是信任管理所必需的。其次， 現有的信任管理系統對委托的深度控制還沒有很好的方案，因此需要在模型或實現機制層次上給出委托控制問題的解決。基于信任度的委托授權模型(trustworthiness based authorization delegation model，TBAD)使用信任度來刻畫授權實體和被授權實體之間的信任程度，滿足分布式開放環境中的信任管理，并有效地解決了委托的深度控制問題[27]。

TBAD是基于信任度和角色概念的模型，它非形式化地定義了其基本組件，包括實體、角色、客體（委托的對象）、主體（被委托的對象）等。此外該模型引入信任度的概念，即指一個實體對另一個實體的信任程度，這里可用一個區間整數表示信任度。信任度的值刻畫了實體之間彼此的信任程度。在實現上，TBAD仍采用訪問控制列表ACL作為資源所有者的授權源。一個ACL 元組由權限、主體和信任度三部分組成。其中信任度不是表示資源所有者對主體的信任程度，而是表示權限能夠被授予的一個信任度閾值，即只有當該權限的請求者所擁有的信任度達到該條目中的信任度閾值時，才能將該權限授予給請求者。

在TBAD中，證書的發布者、受托者具有一定的信任程度，用證書表示委托關系，并用自己的私鑰對證書進行數字簽名，該證書具有有效期等相關屬性。該模型的一致性驗證問題就是證書鏈查找和信任度的傳遞計算。TBAD為了能夠快速地查找合法的證書鏈，需要對訪問請求者提供的所有證書和本地安全策略(即ACL)進行預處理。首先驗證證書的有效性，包括證書是否過期、信任度的取值是否合法，以及證書的數字簽名是否正確，從而提高證書鏈查找的效率。此外，用簡單的形式表示合法的證書和訪問控制列表的條目。證書鏈搜索可以從訪問控制列表條目中的權限開始（前向搜索法），也可以從委托(即證書)的主體開始（后向搜索法），還可以同時從權限和主體開始（雙向搜索法）。

關于信任傳遞計算模型，TBAD在滿足信任函數單調遞減性和有界性的基礎上簡化了計算模型，把它表示為f(t1，t2)，即信任鏈上相鄰的委托信任度的值。通過計算證書鏈上每個主體擁有相應權限的信任度， 結合ACL的信任度閾值來判定委托是否有效，即受托者是否能得到相應的委托角色或權限，從而達到了對委托深度進行有效控制的目的。

作為信任管理中的委托模型研究，TBAD將信任度引入委托模型中，根據信任度的不同和基于證書鏈的信任傳遞，初步實現了信任管理中的委托授權機制，并給出了一個應用舉例。然而，該模型還存在若干問題：

a)TBAD的實體中定義角色實體，但在委托形式化定義時并未涉及角色與信任度的關系，信任度仍然與用戶直接關聯。因此在應用中，未能體現角色實體的意義。

b)該模型對委托深度的控制采用信任傳遞模型計算從委托者到受托者的信任值，然后與權限信任閾值比較，判定此次委托是否有效。TBAD沒有使用顯式的委托深度控制，不利于委托者直接控制權限的傳播。委托信任值的計算復雜度是O（n），而基于委托樹深度值的判定時間開銷只有O（1）。

c)TBAD沒有涉及委托授權的回收，因此該模型是不完備的，需要完整定義委托撤銷的方式和實現機制。

d)TBAD模型缺少具體的形式化工作，包括委托的時限描述以及基于角色的委托約束規則等。

4結束語

近年來委托模型研究得到了深入的研究，并且在重要組件上得到了擴展和完善。信任管理作為分布式計算環境下的訪問控制研究對象，它依賴于證書鏈機制實現了系統對匿名用戶的信任管理和訪問授權。分布式環境下用戶間的資源共享必然涉及到委托授權問題，同時這也是解決集中式授權服務器負荷過重的有效方案。委托授權在傳統基于角色的訪問控制中的研究已比較成熟，如何將它應用在信任管理中將是今后信任管理的一個重要研究方向。目前這個方向的研究仍然不足，所面臨的問題和研究內容包括：

a)用戶間的信任度差異使得委托授權的范圍和時限不同，因此信任管理中需要細粒度的、具有委托時限的委托模型。目前這個方面已有相應成果，但需要考慮如何將信任度引入模型之中。 

b)目前的信任管理模型是基于用戶實體的信任度管理，當用戶具有多個角色或權限時，單一的用戶信任度將不能滿足系統要求。因此，還需要將信任度與角色聯系，根據受托者信任度和角色信任度的比較，判定是否委托該角色。

c)信任管理中的委托撤銷除了通過證書期限由系統判定委托的有效性之外，委托者根據應用系統的變化和實際需求，如何實現用戶主動撤銷委托以及證書鏈的修正，也將是今后待解決的主要問題。

d)信任委托樹的深度和廣度研究并重，委托樹的深度研究涉及到權限委托的安全傳播和高效的級聯撤銷等問題，目前研究較為深入。然而，委托樹的廣度研究相對薄弱，它主要涉及到同一權限受托者集合的基數控制。在某些應用場景下這也是必不可少的。如何描述這種基數控制策略也是今后值得關注的方向。

參考文獻：

［1］BARKA E， SANDHU R S. Framework for role－based delegation mo－dels[C]//Proc of the 16th Annual Computer Security Application Conference. New Orleans: IEEE Computer Society Press，2000:168－176.

[2]ZHANG Xin－wen， OH S， SANDHU R S.PBDM:a flexible delegation model in RBAC[C]//Proc of the 8th ACM Symposium on Access Control Models and Technologies. New York: ACM Press， 2003:149－157.

[3]BARKA E， SANDHU R S. A role－based delegation model and some extensions[C]//Proc of the 23rd National Information Systems Secu－rity Conference. Baltimore， Maryland: NIST， 2000:101－114.

[4]NA S Y， CHEON S H.Role delegation in role－based access control[C]//Proc of the 5th ACM Workshop on Role－based Access Control.New York: ACM Press， 2000:39－43.

[5]ZHANG Zhi－yong， PU Jie－xin. Permission－role based delegation mo－del and object－oriented modeling[C]//Proc of China National Open Distributed and Parallel Computing Symposium. Beijing: Computer Engineer and Application， 2004:52－55.

[6]BARKA E，SANDHU R S. Role－based delegation model/ hierarchical roles (RBDM1)[C]//Proc of the 20th Annual Computer Security Applications Conference. Washington DC: IEEE Computer Society， 2004:396－404.

[7]ZHANG Long－hua， AHN G J， CHU B T. A rule－based framework for role－based delegation[C]//Proc of the 6th ACM Symposium on Access Control Models and Technologies.New York: ACM Press， 2001:153－162.

[8]趙慶松，孫玉芳，孫波.RPRDM:基于重復和部分角色的轉授權模型[J].計算機研究與發展，2003，40(2):221－227.

[9]徐震，李斕，馮登國. 基于角色的受限委托模型[J]. 軟件學報， 2005，16 (5):970－978.

[10]葉春曉，吳中福，符云清，等.基于屬性的擴展委托模型[J].計算機研究與發展， 2006，43 (6):1050－1057.

[11]翟征德.基于量化角色的可控委托模型[J].計算機學報， 2006，29(8):1401－1407.

[12]張宏，賀也平，石志.基于周期時間限制的自主訪問控制委托模型[J].計算機學報，2006，29(8):1427－1437.

[13]BANDMANN O， DAM M， FIROZABADI B S.Constrained delegation[C]//Proc of the 23rd Annual IEEE Symp on Security and Privacy.Oakland: IEEE Computer Society Press，2002:131－143.

[14]BLAZE M， FEIGENBAUM J， LACY J.Decentralized trust management[C]//Proc ofIEEE Symposium on Security and Privacy. Washington DC: IEEE Computer Society Press，1996:164－173.

[15]BLAZE M， FEIGENBAUM J，IOANNIDIS J， et al. Request for comments 2704，the KeyNote trust management version 2[S]. Sterling， VA: Internet Engineering Task Force， 1999.

[16]ELLISON C， FRANTZ B，LAMPSON B， et al. Request for comments 2693， SPKI certificate theory[S]. Sterling， VA: Internet Enginee－ring Task Force， 1999.

[17]LINN J， NYSTROM M. Attribute certification: an enabling technology for delegation and rolebased controls in distributed environments[C]//Proc of the 4th ACM Workshop on Role－based Access Control. Virginia: ACM Press， 1999:121－130.

[18]CHADWICK D W， OTENKO O. ThePERMIS X.509role－based pri－vilege management infrastructure[C]//Procof the 7th ACM Sympo－sium on Access Control Models and Technologies. Monterey: ACM Press， 2002:135－140.

[19]許長楓，劉愛江，何大可. 基于屬性證書的PMI及其在電子政務安全建設中的應用[J].計算機應用研究，2004， 21(1):119－122.

[20]CANOVAS O， GOMEZ A F. Delegation in distributed systems: challenges and open issues[C]//Proc of the 14th International Workshop on Database and Expert Systems Applications. Washington DC: IEEE Computer Society Press， 2003:499－503.

[21]張志勇，普杰信. 委托授權在PMI體系架構中的研究與應用[J].計算機工程，2006，32(5):152－154.

[22]LI Ning－hui， FEIGENBAUM J，GROSOF N B. A logic－based know－ledge representation for authorization with delegation[C]//Proc ofIEEE Computer Security Foundations Workshop. Washington DC: IEEE Computer Society Press， 1999:162－174.

[23]LI Ning－hui， MITCHELL J C， WINSBOROUGH W H. Design of a role－basedtrust－managementframework[C]//Proc ofIEEE Symposium on Security and Privacy. Washington DC: IEEE Computer Society Press， 2002:114－130.

[24]LI Ning－hui， MITCHELL J C. RT: a role－based trust－management framework[C]//Proc of DARPA Information Survivability Conference and Exposition (DISCEX III). Washington DC: IEEE Press， 2003:201－212.

[25]HONG Fan，ZHU Xian， WANG Shao－bin.Delegation depth control in trust－management system[C]//Proc of the 19th International Confe－rence on Advanced Information Networking and Applications. Washington DC: IEEE Computer Society， 2005:411－414.

[26]FREUDENTHAL E， PESIN T， PORT L， et al. dRBAC: distributed role－based access control for dynamic coalition environments， TR2001－819[R]. New York: New York University， 2001.

[27]廖俊國，洪帆，朱更明，等.基于信任度的授權委托模型[J].計算機學報， 2006，29 (8):1265－1270.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文