Ｘ－ＴＭ：一種基于ＸＭＬ的信任管理框架

摘 要：在分析現有信任管理的基礎上，結合科學數據網格項目需求，提出了一種基于XML的信任管理框架X-TM。該框架包含了一種基于XML的統一信任證和策略語言，以及完成驗證TrustTicket與一致性驗證器的信任管理執行器，其主要創新點為可擴展的策略語言和支持TrustTicket與策略緩存的信任管理執行器，具有靈活性和良好的可擴展性等特點。

關鍵詞：信任管理；信任證；策略；一致性驗證器；科學數據網格

中圖分類號：TP393 文獻標志碼：A

文章編號：1001-3695(2008)07-2167-04

X-TM: XMLbased trust management framework

XU Hao1a，1b，2，ZHANG Xiguang1a，2，ZHENG Yihua1a，YAN Baoping1a



(1.a.Computer Network Information Center， b. Institute of Computing Technology，Chinese Academy of Sciences， Beijing 100190， China;2. Graduate School， Chinese Academy of Sciences， Beijing 100039， China）



Abstract:The paper presented a novel trust management framework named X-TMbased on analyzing exist trust management system， and satisfying the requirements of scientific data grid project. The proposed framework took into account all aspects related to trust management， from the XMLbased combining credential with policy language， to trust management enforcement which implemented verifying trust ticket and compliance checker. X-TM presented a number of innovative features， such as flexible and extensible policy language， the support for trust ticket and policies cache in the trust management enforcement.

Key words：trust management；credential；policy；compliance checker；scientific data grid（SDG）



在分布式環境中，應用訪問控制技術是一件非常困難的事情，尤其是當資源和請求資源的主體屬于不同授權系統控制的安全域時。傳統的訪問控制機制是基于資源請求者的身份標志來進行控制的。然而，由于在跨安全域的資源訪問中，資源擁有者和請求通常會互不相識，基于身份標志的訪問控制將變得無效。基于屬性的訪問控制系統（attributebased access control，ABAC）^[1]克服了傳統的基于身份標志管理系統中集中存儲用戶信息的缺點，通過用戶自身擁有的屬性證書來分散用戶信息存儲。但是請求方和資源擁有者的信任關系是事先靜態建立好的。

M. Blaze等人^[2]提出的信任管理術語將處理分布式授權的一些規則聯合起來進行授權。其采用統一的信任證和委托授權機制實現分布式環境下信任關系的建立。傳統的信任策略語言利用屬性作為決定實體信任關系的關鍵，通過管理系統要么是基于斷言的授權方式，要么是復雜的角色授權方式。其一致性驗證器也非常復雜，要么是基于程序方式，要么是基于復雜算法的方式?？傊?，這些系統考慮的方面相對較少，并沒有完整考慮實際應用系統的需求。

科學數據網格(SDG)是中國科學院科研信息化環境建設中的一個試點項目，它建立在中國科學院科學數據庫海量數據資源的基礎上，旨在利用先進的網格技術達到大規模的、分布的、異構的科學數據資源的集成和共享，充分發揮科學數據資源的可利用價值?？茖W數據網格是一個以網格服務形式對外提供數據服務發布、查找和調用的系統。

數據訪問服務（data access system，DAS）系統^[3]是SDG的核心子系統，是一個訪問科學數據的數據網格中間件。它為大規模、分布、自治、異構的數據資源提供統一的訪問接口，以方便科學數據庫數據資源的共享和集成；它以網格服務的形式提供數據庫的查詢，從而將分布的數據資源加入到網格中來。



1 相關工作

目前已有的幾個信任管理系統包括PolicyMaker^[2]、KeyNote^[4]、REFEREE^[5]和RT^[6]等。以下將分析幾個典型的信任管理并指出其缺陷。

KeyNote是由M. Blaze等人提出的第二個信任管理系統，也是最經典的系統之一。KeyNote為本地策略和信任證提供了一種單一和統一的語言。策略和信任證稱為聲明，包含描述了特殊公鑰的擁有者所允許的信任動作的謂詞。KeyNote聲明本質上是個結構化的程序，其格式類似于電子郵件信頭的格式。一個簽發的聲明可以用來發布在不被信任的網絡中，被稱為信任證聲明。信任證聲明同樣用做證書角色，擁有與策略聲明一樣的語法，但是也被簽發來表示主體委托的信任。KeyNote采用一種深度優先的一致性驗證算法。其主要思想是采用遞歸的方式查找至少一條滿足請求的策略斷言，從而決定是否對請求授權。但是由于其斷言由程序來實現，其信任證與策略的構造比較復雜，且委托沒有深度約束；另外沒有提供信任證鏈發現的功能。

RT是基于角色的信任管理語言的一個族，包含RT0、RT1、RT2、RTT和RTD，這些語言表示了分布式授權中的策略和信任證。RT結合了RBAC和信任管理系統的優點。從RBAC處，它吸收了角色的觀念，插入了分配權限給用戶來幫助組織那些分配，以及會話和選擇性的角色活動；從信任管理處，RT吸收了通過使用信任證來管理分布式授權的規則以及那些授權之間的指定關系。RT系統支持復雜的信任證策略表示和高效的信任證鏈收集功能，但它同樣缺少委托深度約束；沒有考慮提高信任關系建立的效率問題。

從以上可以看出，目前的信任管理系統存在著諸多缺陷。下面提出的基于XML的信任管理框架從實用角度多方面解決問題，不僅能夠方便地使用XML表達信任證與策略，同時提供委托深度約束；還可通過TrustTicket和緩存策略等方式加速信任關系的建立速度。

2 基于XML的信任管理框架

X-TM是一種基于XML語言的信任管理系統框架。它適合在跨安全域的不同實體之間建立信任關系，從而完成實體之間的資源共享與訪問。在本文中所用到的資源可能是服務或者數據等，實體可能是普通用戶、服務器或者處理進程。實體的身份信息由PKI系統CA簽發的證書所決定，而信任證表示為實體之間的委托屬性的一種憑證。為了防止偽造，信任證也必須由委托者使用私鑰對其簽發。



X-TM的框架結構如圖1所示。其中：資源請求者為客戶端；資源提供者為服務端的應用程序。服務端的主要功能模塊是信任管理執行器，它可以調用一致性驗證器來判斷是否能夠授權請求。其流程為：用戶提交訪問服務端資源的請求和本地XML信任證集合；服務端收到請求后調用信任管理執行器，通過一致性驗證判斷用戶的請求和信任證是否滿足本地的策略集合；若滿足，返回成功授權消息給用戶，且允許用戶訪問應用程序中相應的資源，否則拒絕訪問，用戶無法訪問應用程序中相應的資源。

3 基于XML的策略語言

本章介紹X-TM框架中的策略語言，并分別給出了信任證和策略的XML格式。該策略語言的特點是靈活、易擴展，且能夠容易地在不同系統之間傳遞。

3．1 XML信任證

信任證是簽發者對策略的簽名，表示屬主實體所擁有的屬性，其內容為對CA所證明的實體賦予的屬性集合。實體通過擁有CA簽發的X509V3格式證書來驗證其身份信息。信任證的作用就是將實體擁有的證書映射到某個角色上，即聲明這個實體所擁有的屬性。除了規定實體擁有的屬性之外，授權者還需要使用自己的私鑰對其進行數字簽名，防止竄改。本框架所支持的信任證類型為RT1^[6]所包含的信任證。

定義1 XML信任證可以定義為一個五元組(subjectKeyInfo， issuerKeyInfo， Validity， Policies， Signature)，分別表示主體公鑰信息。它包含公鑰和額外信任證存儲位置、簽發者公鑰信息、有效期、策略即主體所擁有的屬性集合、簽發者的簽名。

整個信任證分為以下三部分：a）頭部，即為header，它包含了信任證主體的公鑰、簽發者信任證的公鑰、有效期、主體額外信任證的存儲地址和簽發者額外信任證的存儲地址。b）體，包含了多種角色類型，分別為simplemember（簡單成員角色）、 simpledelegation（委托角色）、 intersection（交集角色）。c）簽名即為signature，表示簽發者對信任證以XML signature^[7]規范進行簽名的信息。下面代碼為一個XML格式信任證的框架：

〈Credential〉

〈Header〉

〈subjectPubKey〉

〈principal id=〉〈keyvalue〉〈/keyvalue〉〈/principal〉〈/subjectPubKey〉

〈issuerPubKey〉

〈principal id=〉〈keyvalue〉〈/keyvalue〉〈/principal〉

〈/issuerPubKey〉

〈subjectCertRep〉〈/subjectCertRep〉

〈issuerCertRep〉〈/issuerCertRep〉

〈validity〉〈/validity〉

〈/Header〉

〈SimpleMember〉

〈principal ref=\"\" /〉

〈role name=\"\" SENS=\"\" depth=\"\"〉

〈attribute name=\"\"〉〈value〉〈/value〉〈/attribute〉

〈/role〉

〈/SimpleMember〉

〈SimpleDelegation〉

〈principal ref=\"\" /〉

〈role name=\"\" SENS=\"\" depth=\"\"〉

〈attribute name=\"\"〉〈value〉〈/value〉〈/attribute〉

〈/role〉

〈DelegationTo〉

〈principal ref=\"\" /〉

〈role name=\"\" SENS=\"\" depth=\"\"〉

〈attribute name=\"\"〉〈value〉〈/value〉〈/attribute〉

〈/role〉

〈/DelegationTo〉

〈Intersection〉...〈/Intersection〉

〈Signature〉...〈/Signature〉

〈/Credential〉

3．2 XML策略

策略規定了訪問受保護資源所需的規則，而規則是由所需信任證集合以某種邏輯關系的組合。策略語言則規定了策略的語法和語義。與信任證相比它沒有簽名、屬主和簽發者的相關信息，以及有效期信息。在策略的角色定義中擁有depth標記，其含義為此角色能夠委托深度的約束，默認值為 ∞，表示可以任意委托；depth為0時表示不能委托。每當此屬性委托一次時，depth相應地減1。下面代碼為一個XML格式策略的框架：

〈Policy〉

〈Header〉

〈Type〉〈/Type〉

〈principal id=〉〈keyvalue〉〈/keyvalue〉〈/principal〉

〈/Header〉

〈SimpleMember〉

〈principal ref=\"\" /〉

〈role name=\"\" SENS=\"\" depth=\"\"〉

〈attribute name=\"\"〉〈value〉〈/value〉〈/attribute〉

〈/role〉

〈/SimpleMember〉

〈SimpleDelegation〉

〈principal ref=\"\" /〉

〈role name=\"\" SENS=\"\" depth=\"\"〉

〈attribute name=\"\"〉〈value〉〈/value〉〈/attribute〉

〈/role〉

〈/SimpleDelegation〉

〈DelegationTo〉…〈/DelegationTo〉

〈Intersection〉…〈/Intersection〉

〈/Policy〉

本策略語言支持如下策略類型：

pe(title=engineer)∩VLAB.user，表明擁有VLAB.pe角色和VLAB.user角色的用戶才擁有VLAB的process屬性。

由于本框架中的策略語言支持RT1中的四類信任證，同時支持與之對應的四種策略，其語義也與RT1一樣。詳細內容請參考文獻[6]。

4 信任管理執行器

信任管理執行器是X-TM信任管理框架中的核心功能模塊。它提供了驗證TrustTicket和一致性驗證器功能。其執行流程為：首先客戶端向客戶端發送請求和其所擁有的信任證，包括TrustTicket信任證；服務端收到請求后，調用驗證TrustTicket功能，若成功允許訪問，否則調用一致性驗證器功能；一致性驗證器將用戶的請求和信任證作為輸入，本地緩存的策略也作為輸入參數，執行驗證功能，得出是否能夠授權；如果允許，則用戶訪問資源，否則拒絕訪問。

4．1 驗證TrustTicket

TrustTicket也是一種信任證，這種信任證和普通信任證一樣，只是簽發的時機不同。普通信任證簽發的時機可以出現在資源提供者對用戶的授權時，或者是用戶之間的委托授權時，或者是資源提供者對其他資源提供者的委托時等情形。而簽發TrustTicket信任證只有出現在用戶成功與服務端就資源請求建立信任關系后，服務端對用戶簽發臨時授予資源訪問權限的信任票據。

當用戶提交請求后，信任管理執行器會調用驗證TrustTicket功能。驗證功能首先判斷對方是否擁有TrustTicket，若擁有則調用本地一致性驗證器來判斷TrustTicket是否合法（包括屬主和有效期的合法性驗證）。若合法則判斷是否能夠訪問此資源；否則繼續執行信任管理執行器的后續操作。若判斷TrustTicket能夠訪問此資源，就允許訪問，且暴露資源給用戶，并允許用戶執行相關的訪問或者操作；否則繼續執行后續操作。

4．2一致性驗證器

定義2 一致性驗證器模型可以定義為一個函數f(C， P)。其中：C為請求方信任證集；P為被請求資源R的本地策略。若C滿足了R的策略，返回true；若拒絕訪問返回1。

一致性驗證器算法的需求為：a)支持傳統信任管理中一致性驗證器的功能。根據本地策略和請求者發送的資源請求和信任證決定是否能夠授權。b) 信任證所有權。需要驗證信任證是否為提交者所擁有。c)信任證有效性。協商的雙方調用CC都需要驗證對方信任證的有效期。由于此信任證沒有對應私鑰，不用對其增加撤銷操作，從而不處理撤銷驗證。(d)信任證鏈發現。信任協商過程中可能某些需要的信任證不在本地，要通過信任證鏈發現獲得相關信任證。

信任證可以形式化定義C={Ci=(rolei，si)|1≤i≤t}。其中：rolei表示為授予的角色（屬性）；si為權威。本文規定策略的定義形如P←D1∨…∨Dm。其中：Di=Ci1∧…∧Cin；1≤i≤m。對于Cij來說，它表示為滿足策略Di所需要的信任證。

一致性驗證器算法可以認為是輸入資源R的請求、信任證集合C和資源R的訪問控制策略P，輸出true或者1。其算法偽代碼如下：

CC(C，P)

If P=R←1

return 1//不能授權，拒絕訪問

I←1

For (i=1; i＜=m; i++){//P中每個析取項

S←true

For (j=1; j＜=n; j++){//析取項中每個信任證

If not check(Cij， C){S←1

break}

if S return S} //成功授權，允許訪問

return 1}//授權失敗

其中函數check(Cij， C)完成根據Cij對應的四種策略類型分別來判斷C中所包含的信任證是否滿足它，若滿足返回true，否則返回1。此外在check函數中還需調用verify(Cij)檢查信任證Cij是否符合條件。Verify驗證有效期和所有權，若驗證過程中相關信任證不在本地，還需要調用discovery_chian(Ck)函數，利用信任證Ck的subjectCertRep字段和issuerCertRep字段發現信任證鏈，并驗證這個鏈是否有效。此信任證鏈函數可以采用Li等人^[8]提出的雙向查找算法。

在信任管理執行器調用一致性驗證器前，需要從本地查找請求資源的本地訪問控制策略。首先從策略緩存中查找，若有資源的訪問控制策略則立刻調用一致性驗證器；否則從本地策略庫中查找。同樣，當一致性驗證器執行完畢后，若緩存中沒有且緩存未滿則直接加入緩存中；若緩存中沒有且緩存已滿，可以將最長沒有訪問的策略刪除掉，并添加到緩存中；若緩存中存在，則直接返回。其中緩存大小可以由服務端自行設置。使用緩存策略的好處是避免信任管理執行器頻繁訪問硬盤獲取策略，同時由于緩存在內存中，可以加速信任關系建立過程。

5 結束語

信任管理系統已經提出幾年了，但是其真正應用不多，究其原因主要是對應用需求考慮太少。本文提出的一種基于XML的信任管理系統框架X-TM是在研究科學數據網格數據訪問中間件DAS系統的應用需求基礎上提出來的。該框架以統一的基于XML的信任證和策略語言為基礎，通過信任管理執行器實現客戶端與服務端信任關系的建立。該框架支持統一、靈活和可擴展的信任證和策略語言，尤其是支持委托深度約束；同時支持TrustTicket和策略緩存方式加速信任關系的建立。下一步的工作主要是根據這個框架，詳細設計在DAS系統中如何添加基于信任管理的授權功能，以推進科學數據網格更廣泛的應用。

參考文獻：

[1]THOMPSONM R， ESSIARI A， MUDUMBAI S. Certificatebased authorization policy in a PKI environment[J]. ACM Trans on Information and System Security(TISSEC)， 2003， 6(4):566-588.

［2］ BLAZE M， FEIGENBAUM J， LACY J. Decentralized trust management [C]// Proc of the 17th Symposium on Security and Privacy. Oakland， CA: IEEE Computer Society Press， 1996: 164-173.

[3]楊德婷， 南凱， 閻保平. 基于網格服務的數據發布系統[J]. 計算機工程， 2006， 32(13):9799.

[4]BLAZE M， FEIGENBAUM J， KEROMYTIS AD. KeyNote: trust management for publickey infrastructures[C]// Cambridge 1998 Security Protocols International Workshop.Berlin:SpringerVerglag， 1999: 59-63.

[5]CHU Yanghua， FEIGENBAUM J， LAMACCHIA B. et al. REFEREE: trust management for Web applications[J]. World Wide Web Journal， 1997， 2(2): 127-139.

[6]LI Ninghui， MITCHELL C J， WINSBOROUGH H W. Design of a rolebased trust management framework[C]// Proc of IEEE Symposium on Security and Privacy.Washington DC: IEEE Computer Society Press，2002.

[7]World Wide Web Consortium[S/OL].(1998). http://www.w3c.org.

[8]LI Ninghui， WINSBOROUGH W H， MITCHELL J C. Distributed credential chain discovery in trust management[J]. Journal of Computer Security， 2003，11(1):35- 86.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文?！?/p>