一種新型的安全信任協商策略算法

摘 要：介紹了信任協商機制的一般流程，給出了逐步信任協商和規則圖的概念，提出了一種新型的安全信任協商策略算法，并分析了該算法的安全性。

關鍵詞： 信任協商； 規則圖； 策略

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2007)06-0139-03

近年來，隨著基于網絡的電子商務、政務和科學實驗等活動的逐步發展，大規模分布式網絡環境下進行資源共享和業務協作變得日益頻繁。在分布式網絡環境中，由于參與對象的數量巨大，各自運行環境的差異性，以及活動目標的動態性等特點，各資源的擁有者往往隸屬于不同的安全管理域內。使用傳統的基于身份的訪問控制技術對于這種跨多個安全管理域的資源的授權和訪問控制就會顯得力不從心。信任協商機制是一種用于解決這種跨多個管理域間訪問控制的新方法。然而，以往的研究對其安全性考慮不足，本文提出了一種新型的安全信任協商策略算法，能很好地解決這些安全性問題。

1 信任協商機制原理

1.1 信任協商機制的基本流程

信任協商（Trust Negotiation）機制是由W.Winsborough等人［1］提出的一種用于在陌生的交互雙方之間建立信任的方法。信任協商的主要思想是：陌生的雙方通過證書、訪問控制規則的交互出示，使得資源的請求者與擁有者之間自動地建立信任關系。圖1是一個簡單的信任協商例子。

圖1 網上訂購學生票

A同學是南京大學的一名本科生，學校給他頒發了一份電子化的學生證書?，F在假設火車站提供一種網上購票的系統，A可以通過登錄該系統來訂購寒假回家的學生票。購票系統中有一條對購買學生票的訪問控制規則P：只給具有學生證書的人出售學生票。當A請求購買學生票時，購票系統站點就會給學生發送上述規則P。學生方在收到規則P后就把自己的證書發送給購票系統站點，站點在收到證書后驗證證書的正確性以及是否滿足規則，無誤后便可發送訂票成功信息給A。

這個例子很簡單，從中可以看到，原本不同屬于任何一個安全管理域的雙方（學生和車站），經過簡單的協商過程，建立了某種程度上的信任。這種跨安全管理域間的信任建立，傳統情況下一般通過使用可信的第三方來做中介代理，由他來負責對雙方的信任度作評估，以決定如何進行相應的操作。而在上面的信任協商例子中看到協商的雙方是完全陌生的，之前不存在任何預先的信任關系，在協商中也不存在一個他們都信任的第三方，在此情況下信任協商機制完全自主的優點就體現出來了。

1.2 逐步信任協商和規則圖

上面通過一個簡單的網上訂票例子介紹了信任協商機制的基本流程，情況相當簡單，雙方只進行了一次“請求證書”―“出示證書”的過程就彼此獲取了信任。但在很多實際使用中，情況會復雜得多。很多時候，當你請求對方證書時，對方也會反過來請求你的證書，因為有些證書對方是不愿意直接出示的，需要達成一定的信任關系后才可以出示。這樣多次來回請求證書，直到雙方逐漸達成了信任關系，資源的擁有者才會出示其資源給請求方。這樣的情況稱之為逐步信任協商，這是信任協商在實際運用中最常出現的形式。

對于逐步信任協商，資源不再是通過單一的規則來保護，而是通過一系列具有先后關系的規則來保護，這些規則形成了具有層次關系的結構。在文獻[2]中將這種具有層次關系的規則組合而成的數據結構稱為規則圖。它是一個有向無環圖，每個規則圖只有一個源節點和一個終節點，終節點代表了規則圖所保護的資源，其他節點上都帶有相應的規則。圖2是一個規則圖的例子。本例中，資源R表示為：姓名是XXX的教師檔案。對于接收到對方證書的不同，在協商中出示的規則也不同。如果是普通教師請求查詢，則必須出示其身份證書，以證明和被查詢人是親戚，但如果是校長，則可以直接進行查詢。

2 一種新型的安全信任協商策略算法SDSNS

在協商過程中，以怎樣的途徑來出示、接收規則和證書，這就是協商策略要關注的問題。在文獻[2]中提出過兩種的協商策略算法，這兩種協商策略算法是基于理想網絡狀況下的協商過程設計的，并沒有考慮很多信任協商機制本身的安全性因素，因此很容易遭到攻擊者的破壞。關于針對信任協商機制本身的攻擊可以參考文獻[3]。據此，筆者提出了一種稱為安全出示集協商策略（Secure Disclosure Set Negotiation Strategy，SDSNS）的協商策略算法來解決這些存在的安全隱患。

2.1 算法中的幾個重要概念

前面提到，在實際的信任協商過程中絕大部分情況是以逐步信任協商的形式出現的。本文的算法是以規則圖為基礎來進行設計的。下面介紹算法中需要用到的三個概念，這些概念在該安全協商策略算法中起著至關重要的作用。

（1）最內被打開節點。在規則圖中，如果節點N上的訪問控制規則被對方出示的證書所滿足了，稱節點N已被打開。如果節點N上的訪問控制規則被發送給對方，就稱節點N被出示給對方。如果規則圖的源節點S到圖中某個非源節點N的某一個父節點的有向路徑上所有節點的規則都被出示了，則稱S到N有一條授權路徑；此時，如果N的子節點中有一個沒有被打開，則稱N為該規則圖的一個最內被打開節點。對于最內被打開節點，有如下結論：

如果在協商過程中由于對方的證書被出示，導致本方規則圖中一個節點N第一次被打開，那么一定存在一個N的父節點，剛好在這次證書出示之前，它是該規則圖中的一個最內被打開節點。

該結論用反證法很容易證明。反設不存在這樣的父節點，那么剛好在這次證書出示之前，所有的最內被打開節點都不是N的父節點，那么這次打開的節點將不會包括N節點，與題設矛盾。

由結論可知，信任協商過程中某一方一旦收到對方發過來新出示的證書，其協商策略引擎只需要去檢查所有的最內被打開節點，看看這些節點中的規則是否有能被滿足的，而無須搜索規則圖中所有的節點。

（2）持有敏感型證書。在網絡環境中，有時候一些客體之間存在著的信任關系本身也被認為是一種隱私信息。例如，醫療中心、保險公司、銀行和電信提供商等均與各自的服務群體之間保持著一種信任關系。他們作為可信機構可以簽發相應的證書。這些證書的類型可以反映出證書持有者與發布者之間的信任關系。在這種情況下，筆者發現，是否持有一份特定類型的證書將會成為一種隱私信息，比如某人持有一份南京大學的學生證書，那就反映了這個人與南京大學之間的關系，這樣的信息在很多情況下被認為是一種隱私信息。筆者將這樣的證書稱為持有敏感型證書。

對于這種持有敏感型證書，在協商過程中攻擊者可以通過直接給用戶發送請求該證書的規則，根據對方回應還是不回應請求來判斷對方是否持有該證書。這樣，即便攻擊者無法真正獲取該證書，他也可以根據回應信息來判斷對方是否持有該證書，這樣已經造成了隱私信息泄漏。所以對于這種證書的訪問控制，不能用一般的逐步信任協商來處理。

（3）收據。在協商過程中，雙方不斷出示證書和規則給對方。當一方收到另一方發來的規則和證書后，可以對每一份證書和每一條規則都生成一個收據，收據中指明了收到的證書或規則的名稱、發送者和接收者的姓名、接收時間等信息。在收據的最后，利用接收者的私有密鑰對該收據進行數字簽名，以確保該收據是該接收者生成的。

2.2 算法描述

筆者將本地持有的證書稱為本地證書，對方持有的證書稱為遠程證書。規定：本地資源的訪問控制規則中不會涉及到本地證書，因為只有遠程的訪問者才需要請求本地資源。

先定義幾個算法中出現的概念：

下面是本文設計的安全出示集協商策略算法SDSNS的偽代碼，共分為兩部分。其中SDSNS _Main函數是協商策略算法程序的主函數；Compute _CredPolicySet函數是核心的計算規則圖中可出示證書集和規則集的算法。算法的主要思想和偽代碼描述如下：

（1）SDSNS _Main函數。某一方在接收到一個協商消息報文m后，首先設置三個本次將要發送的集合（newCredSet、newPolicySet和SendReceiptSet）的初始值；然后根據R的屬性判斷是服務器端還是客戶端，如果是服務器端，則將收到的證書集和規則集分別放入RecvCredSet和RecvPolicySet，調用Compute_CredPolicySet函數（描述見下）重新計算當前newCredSet和newPolicySet；再后判斷R是否可以出示，在不能出示的情況下，還要區別協商是否可以繼續下去，如果協商可以繼續，則對本次收到的credSet和policySet中所有的證書和規則調用收據生成函數MakeReceipt來生成相應的收據集合SendReceiptSet，再與剛才計算出來的newCredSet以及newPolicySet一起組成新的消息報文進行發送。如果是客戶端，除了不需要判斷R是否已打開外，其他過程和服務器端一樣。

(2)Compute _CredPolicySet函數。對于本地所有非持有敏感型證書的規則圖中每一個最內被打開節點n都進行如下操作：①檢查，如果n節點上的規則可以被滿足，則重新計算圖中的最內被打開節點，否則，對于每條在n節點上的規則pLocal，檢查其是否包含在SendPolicySet或newPolicySet中，若不在則分別加入兩個集合中。②檢查RecvPolicySet中的每一條未被滿足的規則pRemote。如果pRemote在本地規則圖中已經可以被滿足，則對pRemote的約束條件中涉及到的所有本地證書進行判斷；如果不在SendCredSet和newCredSet中，則將其分別加入兩個集合中，同時，將RecvPolicySet中的規則pRemote標志為已滿足。另外，考慮到持有敏感型證書的訪問控制比較特殊，需要檢查一遍所有的持有敏感型證書的規則圖的終節點d，看其是否被滿足并且被在對方發來的規則中出現，如果是則也加入到newCredSet中去。

3 SDSNS算法安全性分析

相比文獻[2]中提出的兩種協商策略算法，本文提出的SDSNS算法中考慮了許多的安全性因素。下面總結分析一下該算法的安全性所在：

（1）對帶有隱私信息規則的保護。在協商過程中，雖然訪問控制規則的本意是用來保護證書和資源的隱私信息不被泄漏。但實際上，訪問控制規則本身也具有隱私性，很多時候訪問控制規則的約束條件能透露出很多資源持有者的隱私信息。而在SDSNS算法采用的逐步信任協商的方式中，由于每一個資源的訪問控制規則被組織成規則圖的形式，規則之間有了先后關系，不帶隱私信息的規則被先出示，而在達成了一定程度的信任后，帶有隱私信息的規則才會被出示，從而保證了帶有隱私信息的規則不會因為被隨意出示，而導致隱私泄漏。

（2）對持有敏感型證書的保護。在SDSNS算法中，對于持有敏感型證書的規則圖，并沒有和一般的規則圖一樣處理，而是直接檢查規則圖的終節點的所有父節點中是否有被滿足的。這樣做的好處是，如果一開始對方就請求該證書，則將收不到任何回應，無論本地是否真正持有該證書，只有當在協商過程中對方出示的證書能滿足終節點的某個父節點上的規則時，資源才會被出示，從而保護了持有敏感型證書不會被探測到其存在與否。

（3）對出示后的證書和規則的保護。一般情況下在協商過程中用到的證書和規則被出示之后，就無法控制它們是否會被對方隨意使用，從而可能被第三方獲知其中的隱私信息。而筆者使用的收據就是為了防止這種情況的發生。在收據的內容中除了上面提到過的之外，還有一項是接收方的聲明，表明他會怎樣保護這份收到的證書（或規則）。這樣一來，如果證書（或規則）的原持有者發現其證書（或規則）被對方隨意使用，就可以通過法律途徑來控告他，因為本地保存了每一份證書（或規則）的帶有對方簽名的收據。

4 結束語

信任協商機制是一種解決不同管理域間訪問控制授權的有效方法，它正日益受到人們的關注。以往的研究對信任協商的策略算法中的安全性隱患考慮不足，導致了很多潛在的攻擊可能。本文提出的這種安全信任協商策略算法SDSNS在這方面做了一些前瞻性的工作，有效地防止了某些安全漏洞可能帶來的危害，提高了信任協商機制的可靠性和可用性。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。