基于安全等級的自動協(xié)商系統(tǒng)

摘要：提出了一種基于安全等級的自動協(xié)商系統(tǒng)，分析如何防止DoS攻擊和敏感信息泄漏，以此來提高系統(tǒng)的安全性。

關鍵詞：信任協(xié)商； 信任狀； 訪問控制策略； 安全等級

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2007)12-0196-03

隨著網(wǎng)絡在商務、政務、娛樂等方面的應用越來越深入，原有的網(wǎng)絡安全機制將無法滿足新的需求，必須設計新的安全機制來滿足分布式環(huán)境中不同安全域內(nèi)主體間信任關系的建立。M.Blaze等人^[1]首先提出了信任管理（trust management）的概念。與原有集中式訪問控制技術(shù)基于身份鑒別相比，它使用基于能力的授權(quán)系統(tǒng)，但服務方必須預先對請求方進行授權(quán)。這樣仍舊無法滿足開放、動態(tài)的環(huán)境。為此，Winsborough等人^[2]提出了ATN(automated trust negotiation，自動信任協(xié)商)的概念。通信雙方通過互相披露信任狀和信任策略，實現(xiàn)陌生的請求方與服務方之間建立信任關系，進而建立信任連接的功能。但是原有的自動信任協(xié)商在安全性方面還很不夠。目前對于信任協(xié)商的研究均建立在假設協(xié)商雙方均為誠實的基礎上，但現(xiàn)實環(huán)境中往往存在著大量欺騙和攻擊的情況。為了解決這個問題，筆者發(fā)展了基于安全等級的自動信任協(xié)商（automated trust negotiation based on security level）系統(tǒng)。根據(jù)當前協(xié)商情況、歷史信息和資源敏感程度等方面來評估安全等級，通過這種方式來有效抵御來自互聯(lián)網(wǎng)的攻擊和欺騙。

1原有系統(tǒng)缺陷

集中式環(huán)境中，因為使用預先注冊的方式，可以確保請求者與服務者互相認識。通過這種方式來防止攻擊和欺騙的行為，顯然無法滿足目前網(wǎng)絡上越來越多分布式環(huán)境下通信的需求。

自動信任協(xié)商技術(shù)是近年來剛出現(xiàn)的安全機制。使用這種機制，通信雙方通過互相披露信任狀和信任策略，實現(xiàn)在陌生的請求方與服務方之間建立信任關系，進而建立信任連接的功能。原有信任協(xié)商系統(tǒng)框架中每個協(xié)商方均對應一個安全代理，主體發(fā)送協(xié)商信息到安全代理，而實際的協(xié)商操作由安全代理來進行，最后根據(jù)安全代理協(xié)商的結(jié)果來決定是否和怎樣建立安全連接。這樣就算不同安全域的主體也可以建立安全連接，只要他們各自滿足對方的安全策略。對應框架如圖1所示。

但是以往對于自動信任協(xié)商的研究考慮的情況過于理想化，大部分研究均是基于協(xié)商雙方誠實的前提下。這在現(xiàn)實中顯然是不可能的。現(xiàn)實情況中協(xié)商雙方均有可能受到攻擊，而其中最常見的最大的威脅主要是敏感信息泄漏(sensitive information leakage)和DoS(denial of service)攻擊。

1．1敏感信息泄漏

惡意攻擊者可能在信任協(xié)商中通過直接請求或者間接推理方式得到敏感信息，這將嚴重影響信任協(xié)商系統(tǒng)的安全性。

文獻[3]中將目前敏感的信任狀主要分為兩大類：a）屬性敏感信任狀(attribute－sensitive credential)，即信任狀中的某些屬性值，或者訪問控制策略本身，為顯式敏感信息；b）擁有敏感信任狀(possession－sensitive credential)，即通過協(xié)商方間的響應和通信操作可能會暴露的敏感信息，為隱式敏感信息。

對于屬性敏感信任狀，制訂相應訪問控制策略即可較好地解決，而對擁有敏感信任狀的保護則比較困難。為了解決敏感信息泄漏的問題，已經(jīng)有很多人進行了研究并各自提出了解決方案：

a）積極策略^[2，7]。協(xié)商方披露滿足當前訪問控制策略的所有信任狀，而不管對方是否需要該信任狀。這種情況下無論協(xié)商方是否擁有敏感信息，他的反應與沒有擁有該敏感信息時始終一致，所以不會有擁有敏感信任狀泄漏的問題。該策略簡單高效，但是披露了過多并不需要的信任狀，將消耗大量資源。

b）確認策略^[6]（ack policy）。一般的訪問策略只針對已存在的信任狀，而ack策略可以針對不存在的資源。因此當主體A使用ack策略時，另一方主體B將無法知道主體A是否擁有ack策略所對應的信任狀。但是ack策略的數(shù)量不可控，為了自身不存在的敏感信任狀可能需要制訂大量的ack策略，占用大量資源。

c)策略遷移^[8]。設置用于保護擁有敏感信任狀的策略，然后將這些策略遷移到其他信任狀（可能與要保護的信任狀無關）上。這種方法很有新意，但由于將策略設置到本來無關的信任狀上，增加了信任協(xié)商的復雜度，容易失敗。

d）通過可信第三方來進行TN^[9]。選擇一個雙方都信任的第三方，雙方將信任狀和訪問控制策略都發(fā)給該方，信任狀和訪問控制策略的驗證也在這里進行。通過這種方式來保證協(xié)商安全高效地完成，而且還可以通過第三方來解決循環(huán)相關性的問題。但是在實際使用中如何找到合適的第三方又將是一個相當復雜的問題。

1．2DoS攻擊

造成DoS的攻擊行為被稱為DoS攻擊。其目的是使計算機或網(wǎng)絡無法提供正常的服務。常見的DoS攻擊在網(wǎng)絡層，包括帶寬攻擊和連通性攻擊。信任協(xié)商系統(tǒng)則容易受到應用層DoS攻擊。

a）惡意攻擊者可能同時發(fā)送大量協(xié)商請求，消耗另一方資源來進行處理，甚至攻擊者發(fā)送請求后就停止響應，使得服務端只能繼續(xù)占用資源等待超時才能釋放。

b）給出所需運算量非常大的復雜策略，以此來消耗對方資源。

c）發(fā)布大量無關或無效信任狀，驗證并保存這些信任狀都將占用大量資源，這也是信任協(xié)商積極策略不現(xiàn)實的原因。

受到DoS攻擊時，服務器會耗費大量運算時間和存儲空間在這些非法請求上，影響了合法用戶的訪問。現(xiàn)有信任協(xié)商系統(tǒng)中防止DoS攻擊的研究還不多，目前僅有使用動態(tài)策略^[4]可以在一定程度上防止DoS攻擊。動態(tài)策略是指在信任協(xié)商過程中根據(jù)當前狀態(tài)即時改變協(xié)商策略的內(nèi)容。通過這種方式，當感受到DoS攻擊威脅時，就可以改用更嚴格的策略，以提高協(xié)商的安全性。但在協(xié)商過程中改變策略會比較復雜，相關運算需要占用大量系統(tǒng)資源，因此在實踐應用方面還需更多努力。

2系統(tǒng)介紹

2．1框架

正是由于原有信任協(xié)商系統(tǒng)存在以上這些隱患，筆者設計了一種基于安全等級的自動信任協(xié)商系統(tǒng)。該系統(tǒng)框架如圖2所示。

圖2中，在服務端與其安全代理之間添加了安全等級管理器。需要說明的是，服務端和請求端均可以使用基于安全等級的信任協(xié)商。這里為了簡單起見只介紹服務端使用安全等級的情況。

該系統(tǒng)中每個主體均對應一個安全代理，而安全等級管理器位于服務端與服務端安全代理之間，它能夠計算當前對方和自身的安全等級。進行信任協(xié)商時，請求方發(fā)送信息到安全代理，實際的協(xié)商操作由安全代理來進行，服務端安全代理將當前協(xié)商狀態(tài)信息發(fā)送給安全等級管理器；安全等級管理器將根據(jù)當前協(xié)商狀態(tài)、IDS攻擊檢測服務器的結(jié)果和歷史安全信息等來計算當前安全等級，將計算結(jié)果保存數(shù)據(jù)庫后再將當前安全等級返回服務端安全代理；然后服務端安全代理根據(jù)對方和自身安全等級給出當前需滿足的訪問控制策略，其他則與普通信任協(xié)商相同。這樣經(jīng)過多次協(xié)商，最后根據(jù)安全代理協(xié)商的結(jié)果來決定是否和怎樣建立安全連接。

當收到協(xié)商請求時，安全等級管理器首先將根據(jù)當前協(xié)商狀態(tài)、系統(tǒng)當前安全等級和對方的歷史信息來決定當前請求方的安全等級。可能出現(xiàn)的情況有：

a）當所求資源不存在或者系統(tǒng)自身安全等級低于一定標準時，安全等級管理器可直接判定請求方安全等級無效，將該結(jié)果作為請求方歷史安全等級信息保存在數(shù)據(jù)庫中；然后將該等級信息返回給服務端安全代理程序，由它來拒絕請求方。

b）一般情況下安全等級管理器判定請求方滿足有效條件。這時計算請求方安全等級值，記錄到數(shù)據(jù)庫中后再將該等級信息返回給服務端安全代理程序。代理程序根據(jù)安全等級及其所請求的資源選擇對應訪問控制策略；然后根據(jù)該策略繼續(xù)信任協(xié)商。

c）協(xié)商成功時，服務端安全代理程序?qū)⒔Y(jié)果傳給安全等級管理器，根據(jù)這些信息管理器重新計算來提高請求方安全等級，并保存到數(shù)據(jù)庫中供以后使用。

d）協(xié)商失敗時，服務端安全代理程序也會將結(jié)果傳給安全等級管理器，根據(jù)這些信息管理器重新計算來降低請求方安全等級，并保存到數(shù)據(jù)庫。

e）安全等級管理器在信任協(xié)商的過程中還將根據(jù)歷史安全信息的具體內(nèi)容來判斷是否是攻擊和究竟是哪種攻擊。比如某方總是協(xié)商至中途就停止響應，則有可能為DoS攻擊。該方安全等級則作相應更改。

請求方安全等級提高，安全代理程序?qū)⒎艑挷呗缘囊螅幌喾磩t提高對請求方的要求。這樣當某方安全等級高時，可以減少信任協(xié)商所需披露的信任狀數(shù)量，甚至可以在訪問控制策略中指定該方為安全，從它發(fā)出的請求可以不用協(xié)商直接接受。

3結(jié)束語

信任協(xié)商系統(tǒng)通過對策略和信任狀的計算來判斷是否滿足安全性的要求，而使用安全等級則可以有效地保護敏感信息和防止DoS攻擊。安全等級管理器根據(jù)當前協(xié)商狀態(tài)、IDS攻擊檢測服務器的結(jié)果、歷史安全信息和資源敏感程度來計算對方和自身的安全等級，將結(jié)果保存在數(shù)據(jù)庫并返回給安全代理程序。通過這種方式來幫助安全代理程序決定當前所用策略，提高系統(tǒng)安全性能。與原始信任協(xié)商系統(tǒng)相比，本系統(tǒng)在安全性上有了較大提高，但還有很多不完善的地方。比如對安全等級的計算，目前系統(tǒng)中使用的計算方法很簡單，可以考慮使用更精確的方法來計算等級值。目前安全等級管理器是獨立的，可以考慮在不同的等級管理器之間進行通信，交流實體安全等級等信息，以此來更精確地判斷實體是否安全。

參考文獻：

[1]BLAZE M， FEIGENBAUM J， LACY J. Decentralized trust management[C]//Proc of IEEE Symposium on Security and Privacy. Wa－shington DC: IEEE Computer Society Press， 1996:164－173.

[2]WINSBOROUGH W H， SEAMONS K E， JONES V E. Automated trust negotiation[C]//Proc of DARPA Information Survivability Conference and Exposition. New York: IEEE Press， 2000:88－102.

[3]SEAMONS K E， WINSLETT M， YU T， et al. Protecting privacy du－ring on－line trust negotiation[C]//DINGLEDINE R， SYVERSON P F. Proc of the 2nd Workshop on Privacy Enhancing Technologies， LNCS 2482. Toronto: Springer， 2003:129－143.

[4]SKOGSRUD H， BENATALLAH B， CASATI F. Trustserv: model－driven lifecycle management of trust negotiation policies for Web ser－vices[C]//Proc of the 13th World Wide Web Conf. New York: ACM Press， 2004:53-62.

[5]RYUTOV T， ZHOU L， NEUMAN C， et al. Adaptive trust negotiation and access control for grids[C]//Proc of the 6th IEEE/ACM International Workshop on Grid Computing. Seattle:[s.n.]， 2005.

[6]WINSBOROUGH W H， LI Ning－h(huán)ui. Towards practical automated trust negotiation[C]//Proc of the 3rd International Workshop on Policies for Distributed Systems and Networks. California: IEEE Com－puter Society Press， 2002:92－103.

[7]WINSBOROUGH W H， LI Ning－h(huán)ui. Safety in automated trust negotiation[C]//Proc of IEEE Symp on Security and Privacy. Washington D C: IEEE Computer Society Press， 2004:147－160.

[8]YU T. Automated trust establishment in open systems[D]. Illinois:University of Illinois at Urbana－Champaign， 2003.

[9]SONG Ye， MAKEDON F， FORD J. Collaborative automated trust negotiation in peer－to－peer systems[C]//Proc of the 4th International Conference on Peer－to－Peer Computing. 2004:108－115.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文”