帶時間特性的自動信任協商

摘 要:自動信任協商是陌生實體通過交替地披露屬性證書建立信任關系的一種方法。現有的研究僅僅考慮與時間特性無關的其他方面，沒有合理的信任協商會話調度方案，存在著拒絕服務攻擊。提出了自動信任協商的基本組件，使用狀態變換系統形式化描述了一個自動信任協商抽象模型。討論了自動信任協商的時間特性，對原有安全策略擴展了時間約束安全策略，構造了一個帶時間特性的自動信任協商狀態變化系統。同時分析了安全策略的可滿足性判定問題。

關鍵詞:自動信任協商; 信任證; 圖靈機; 不可判定性; 時間自動機

中圖分類號:TP309文獻標志碼:A

文章編號:1001-3695(2010)06-2304-05

doi:10.3969/j.issn.10013695.2010.06.089

Timed automated trust negotiation

YANG Qiuwei， ZHOU Jie， TANG Zhuo， LIU Ling

(School of Computer Communication， Hunan University， Changsha 410082， China)

Abstract:Automated trust negotiation is an approach to build trust relationship between strangers by disclosing attribute credentials alternately. However， the main work focuses on some aspects， which had nothing to do with the time character in recent research， without reasonable schedule scheme of ATN session and existing denial of service attack. This paper proposed the components of ATN and described an abstract ATN model with statetransition system. Extended the security policies so that it could describe the time character. Constructed a statetransition system with time character to simulate ATN. Discussed the satiability of security policies in ATN.

Key words:automated trust negotiation; credential; Turing machine; undecidable; timed automata

0 引言

在開放的互聯網中，以及新近出現的P2P(peer to peer)和grid環境下，迫切需求系統間的協同和資源共享。由于主體數量龐大、運行環境動態分散以及訪問控制自主性需求等特點，各主體往往隸屬于不同的管理域，使得傳統的訪問控制技術在跨域環境下進行授權及訪問控制時顯得力不從心，暴露出許多弱點。

1996年，Blaze等人[1]首先提出了信任的概念，將信任引入到授權管理中，并在此基礎上開發了信任管理系統PolicyMaker[1]和KeyNote[2] 。Winsborough等人[3]稱這類信任管理系統為基于能力(capabilitybased)的授權系統，它們仍需要請求方預先被服務方所熟知，無法與陌生方建立動態的信任關系。在文獻[4，5]中，Li Ninghui等人提出了一種基于角色的信任管理框架(rolebased trustmanagement framework，RT)，RT模型族中的授權依賴于主體屬性，使得陌生方之間建立有效的信任關系成為可能。但是，陌生主體之間建立信任所依賴的屬性信任證和訪問控制策略中，均可能泄露交互主體的敏感內容以及資源擁有信息，并且主體間的信任關系常常是動態變化的。為了解決以上問題， Winsborough 等人[3]提出了自動信任協商(automated trust negotiation， ATN)的概念，它是通過信任證、訪問控制策略的交互披露，資源的請求方和提供方自動地建立信任關系[6~9]。

在現有的ATN研究中，均沒有對ATN抽象模型嚴格的形式化定義，也沒有引入時間概念，因而沒有嚴格的形式化模型來刻畫ATN的處理過程，并且沒有考慮隨時間變化而引起模型的動態變化。例如，當信任協商會話長時間占用系統資源(如CPU、內存等系統資源)時，服務提供方沒有對多個信任協商會話合理的調度方案。另外，惡意主體發起大量無用的信任協商會話，構成拒絕服務攻擊(denial of service attack)，最終導致系統癱瘓。

本文提出了ATN抽象模型的基本組件，引入狀態變換系統定義ATN抽象模型。在此形式化基礎上，對ATN作時間特性上的擴展，分析和討論了ATN的時間語義。構造一個帶時間特性的狀態變化系統來描述擴展了的ATN。最后對ATN中安全策略的可滿足性進行了分析。

1 基本概念

1.1 自動信任協商

ATN主要研究跨域的信任建立問題。它與傳統的訪問控制的主要區別在于協商雙方是否事先知道對方身份、擁有的權限和訪問控制策略。而在自動信任協商里，通過逐步披露屬性證書，最終建立信任關系，協商過程一般強調自動化，不需要或者需要少量的人工參與。

實例1 在線電子書城系統中，電子書店只對注冊了的用戶提供瀏覽書目以及訂購書籍服務。用戶Alice試圖訪問電子書店eBookMerket，整個信任協商過程如圖1所示:①Alice向eBookMarket發送訪問請求;②eBookMarket制定了策略只對注冊了的用戶提供服務，所以eBookMarket向Alice發送披露包含了注冊信息的證書(C1:register)的請求;③同時，Alice制定策略訪問注冊證書C1的主體必須首先披露營業執照，所以Alice向eBookMarket發送披露營業執照(C2:businesslicense)的請求;④eBookMarket認為營業執照C2是可以被任意用戶查詢驗證的，所以eBookMarket披露營業執照C2;⑤Alice接收到eBookMarket向Alice披露的營業執照C2后，C1的保護策略被滿足，Alice向eBookMarket披露C1;⑥最后，Alice的訪問被批準。 整個信任協商過程經歷的時間長度為t。

1.2 ATN的抽象模型

在前面的部分簡單介紹了ATN的研究內容。下面將給出ATN抽象模型的定義。

定義1 ATN抽象模型。該模型有如下組件:

U:主體集;AT:屬性集;P:策略集;S(信任協商)會話集。

UAT  U×AT，建立U到AT的關聯，指定哪些主體擁有哪些屬性。

PAT  P×AT，建立P到AT的關聯，使用哪些策略保護哪些屬性。

user:S→U×U，將每個會話映射到兩個協商者(資源提供者，資源請求者)的函數。

policy:AT→2P，將每個屬性映射到一個策略集合。policy(ti){p|(p， ti)∈PAT}。

attribute:S→2AT，將每個會話映射到一個屬性集合。attribute(si){t|((us，ur)∈user(si))[((us，t)∈UAT)∨(ur，t) ∈UAT]}。信任協商會話si需要滿足的策略集合為∪t∈attribute(si){p|(p，t)∈PAT}。

定義2 ATN抽象模型。用狀態變換系統M=〈K，Σ，P，δ〉來模擬ATN抽象模型。其中:K是狀態集;Σ是操作集;P是系統策略集;δ: K×Σ×2P→K狀態轉移函數。

K是狀態集，如k∈K，k是一個四元組〈urequestor， urecipient， UAT， PAT〉。Σ是操作集，例如，Σ是類似request(c)和disclosure(c)組成的集合。其中request(c)表示向協商對方發送披露信任證c的請求，disclosure(c)表示向協商對方披露信任證c。狀態變化函數δ定義了狀態變換系統的變化規則。如果在輸入a∈Σ，系統M從狀態k1到k2，這表示當它在狀態k1時讀入a，轉移到狀態k2，記為k1δ a k2。k1δ* k2表示狀態系統M經過零次或者多次狀態變化從k1變化到k2，并且稱在狀態變換系統M中狀態k2相對狀態k1是可到達的。P是系統策略集，如系統策略集包含了敏感屬性的保護策略。通常在信任協商的過程中，需要考慮諸如此類與時間相關的安全問題:a)是否有用戶長時間占用過多的系統資源?b)是否服務提供方接收的服務請求量超過了所能承受的負載?主要考慮如下兩個方面的安全策略:

a)單信任協商會話時間約束安全策略。該類安全策略約束單個信任協商會話的資源消耗問題，限制單個用戶的惡意行為能力，使得其他合法用戶的服務請求得到及時的響應，并實施有效的會話調度。

b)多信任協商會話時間約束安全策略。該類安全策略約束系統中多個信任協商會話的資源消耗問題，限制多個用戶的惡意行為能力，保證服務提供方的正常運行。

2 ATN中的時間約束特性分析

本章將對ATN的時間約束特性進行分析。首先通過定義一個離散時間點序列來模擬現實世界中的連續時間序列。在此基礎上對多種時間約束提出了形式化的定義。

2.1 自動信任協商系統中的時間約束

2.1.1 單信任協商會話時間約束

根據時間約束的特性，單信任協商會話時間約束可分為如下四類:

a)信任協商時間范圍約束。該類約束規定用戶只能在特定時間范圍內可以建立信任協商會話。例如，一個有工作時間限制的企業組織中，在非工作時間的范圍內，將不允許提供某些服務或者對某些資源的訪問，相關的信任協商會話將不被批準。

b)信任協商時間長度約束。該類約束規定每個信任協商會話的時間跨度不能超過一個固定時間長度。可用該類約束防止因信任協商會話長時間占用系統資源(如CPU、內存等系統資源)，而導致其他會話得不到及時響應。

c)時間范圍內信任協商時間長度約束。該類約束規定用戶建立信任協商會話的累計時間長度，在一定的時間范圍內不超過一個規定的上限。其能夠有效地限制主體的惡意行為，可以控制在一定的時間范圍內提供給主體的服務時間。

d)時間范圍內信任協商累計次數約束。該類約束規定用戶建立信任協商會話的累計次數，在一定的時間范圍內不超過一個規定的上限。其能夠有效地限制惡意主體的行為，可以限制主體在一定的時間范圍內平均的信任協商會話次數。

2.1.2 多信任協商會話時間約束

從會話的時間長度和次數考慮，多信任協商會話時間約束又可分為以下兩類:

a)時間范圍內信任協商總時間長度約束。該類約束規定服務提供方響應所有信任協商會話的累計時間，在一定的時間范圍內不超過一個規定的上限。其同時影響多個會話的時間。例如，為了防止過多的信任協商會話而導致服務方響應能力的下降，可能要求限制服務提供方響應的所有信任協商會話的累計時間。

b)時間范圍內信任協商總數約束。該類約束規定服務提供方響應信任協商會話的總數，在一定的時間范圍內不超過一個規定的上限。同樣，如果不對響應的會話數量進行控制，那么就為惡意主體實施DoS攻擊提供了可能。

以上兩種分類方法是從不同的角度對會話相關的時間約束的考察，但單信任協商會話時間約束是以控制敵手行為能力為目的，而多信任協商會話時間約束通常是為了保護服務提供方的資源。一個信任協商會話可能既包含了單信任協商會話時間約束又包含了多信任協商會話時間約束。

2.2 時間點序列和時間區間的定義

定義3 時間點序列的定義。時間點序列就是一串時間變量…，tk，tk+1，tk+2，…所構成的序列，或用tk(k=…，1，2，3，…)表示，對每個固定的整數k，tk是一時間變量，稱為時間點。要求時間點序列T 中的元素是按下標k嚴格遞增的，即有時間點序列T={tk|k=…，1，2，3，…}，可以定義該時間點序列上的≤關系:

ti，tj∈T，i≤jti≤tjti

定義4 時間區間定義。時間區間是由兩個時間點ti，tj∈T(i≤j)所構成的區間，用[ti，tj]表示。可以定義該時間區間的∈關系

t，ti，tj∈T，并且ti≤tj，t∈[ti，tj]ti≤t≤tj

定義5 t，ti，tj∈T，并且ti≤tj，對帶時間特性的自動信任協商系統作如下規定:

a)st是一個信任協商會話，表示該會話在t時刻發起;

b)對任意實體發起的任意信任協商會話，該會話的發起時間是確定的，可以通過函數start(st)獲得:

start(st)=t

c)current_time，系統設置的時間約束檢查點所對應的時間點，即系統檢查時間約束的時刻，系統檢查點可以是某個會話的發起時刻、定時循環查詢或異常發生時刻，這與具體應用相關;

d)對已經結束了的信任協商會話，該會話的結束時間是確定的，并且可以通過函數end(st)獲得:

end(st)=t′t′≤current_timest complete at t′ timecurrent_time st does′t complete at currenttime

e)sA[ti，tj]是會話集，表示在時間區間[ti，tj]內，由實體A發起的會話集，st∈sA[ti，tj]ti≤start(st)≤tj;

f)s[ti，tj]是會話集，表示在時間區間[ti，tj]內，所有實體發起的會話集，st∈s*[ti，tj]ti≤start(st)≤tj。

2.3 自動信任協商時間約束的語義

基于時間點序列和時間區間的定義，信任協商時間約束可用以下函數進行定義:

a)信任協商時間范圍約束函數:(st，[ti，tj])→{true，1}。其中:true表示信任協商會話在規定時間內發起，1表示信任協商會話在規定時間外發起。具體定義如下:

(st，[ti，tj])=truestart(st)∈[ti，tj]1else

b)信任協商時間長度約束函數η:(st，l)→{true，1}。其中: l是常量，表示信任協商時間長度的上限，true表示信任協商會話的時間長度沒有超過上限 l，1表示信任協商會話的時間長度超過了上限l。具體定義如下:

η(st，l)=truecurrent_time-start(st)≤l1else

c)時間范圍內信任協商時間長度約束函數ψ:(sA[ti，tj]，l)→{true，1}。其中:l是常量，表示在時間范圍[ti，tj]內，允許單個用戶可以進行信任協商會話總的時間長度上限，true表示單個用戶信任協商總的時間長度沒有超過上限l，1表示單個用戶信任協商總的時間長度超過了上限l。函數sum_time(sA[ti，tj])統計在時間范圍[ti，tj]內，實體A總的信任協商時間長度。具體定義如下:

sum_time(sA[ti，tj])=∑st∈sA[ti，tj](min(tj，current_time，end(st))-start(st))ψ(sA[ti，tj]，l)=truesum_time(sA[ti，tj])≤l1else

d)時間范圍內信任協商累計次數約束函數ω:(sA[ti，tj]，C)→{true，1}。其中:C是常數，表示在時間范圍[ti，tj]內，允許單個用戶可以進行信任協商會話總的次數上限，true表示單個用戶信任協商總的次數沒有超過上限C，1表示單個用戶信任協商總的次數超過了上限C。函數count(st，[ti，tj])判定某個會話是否出現在規定時間范圍[ti，tj]內，并計數。sum_number(sA[ti，tj])統計在時間范圍[ti，tj]內，實體A總的信任協商次數。具體定義如下:

count(st，[ti，tj])=1start(st)∈[ti，tj]0else

sum_number(sA[ti，tj])=∑st∈sA[ti，tj]count(st，[ti，tj])

ω(sA[ti，tj]，C)=truesum_number(sA[ti，tj])≤C1else

e)時間范圍內信任協商總時間長度約束函數θ:(s*[ti，tj]，l)→{true，1}。其中:l是常數，表示在時間范圍[ti，tj]內，允許所有用戶可以進行信任協商會話總的時間長度上限，true表示所有用戶信任協商總的時間長度沒有超過上限l，1表示所有用戶信任協商總的時間長度超過了上限l。函數sum_all_time(s*[ti，tj])統計在時間范圍[ti，tj]內，所有用戶總的信任協商時間長度。具體定義如下:

sum_all_time(s[ti，tj])=

∑st∈s*[ti，tj](min(tj，current_time，end(st))-start(st))

θ(s*[ti，tj]，l)=true sum_all_time(s[ti，tj])≤l1 else

f)時間范圍內信任協商總數約束函數μ:(s*[ti，tj]，C)→{true，1}。其中: C是常數，表示在時間范圍[ti，tj]內，允許所有用戶可以進行信任協商會話總的基數上限，true表示所有用戶信任協商總的基數沒有超過上限C，1表示所有用戶信任協商總的基數超過了上限C。sum_all_number(s[ti，tj])統計在時間范圍[ti，tj]內，所有用戶總的信任協商次數。具體定義如下:

sum_all_number(s*[ti，tj])=∑st∈s*[ti，tj]count(st，[ti，tj])

μ(s[ti，tj]，C)=truesum_all_number(s[ti，tj])≤C1else

3 構造ATN的時間自動機

在本文前面的部分介紹了自動信任協商時間約束的特性，并定義了幾種類型的時間約束語義。在自動信任協商系統中，協商雙方在交互過程中，將對方的響應作為輸入，并且根據本地安全策略(包括了敏感屬性保護策略和時間約束安全策略)，決定會話是否繼續進行。下面使用帶時間特性的狀態變換系統模擬帶時間約束的ATN抽象模型。

定義6 帶時間約束的ATN抽象模型。用帶時間特性的狀態變換系統M=〈K，Σ，P，C，δ〉來模擬帶時間約束的ATN抽象模型。其中:K是狀態集;Σ是操作集;C是一個有窮時鐘集合;P是系統策略集;δ: K×Σ×2P×2C→K狀態轉移函數。

對于一個給定的帶時間約束的ATN抽象模型M=〈K，Σ，P，C，δ〉。其中K和Σ等同于定義2中的定義;C是一個有窮時鐘集合;P是系統策略集，包含了敏感屬性保護策略和時間約束安全策略;狀態變化函數δ定義了狀態變換系統的變化規則。例如，在輸入a∈Σ，首先判定系統M是否滿足了某個策略集合P′∈2P，如果滿足，系統從狀態從k1變化到k2，并且時鐘集合C′∈2C中的時鐘在這次狀態變化發生后全部復位(置零)，記為( k1， a， P′， C′)→k2。( k1， * ， P′， C′)→k2表示狀態系統M經過零次或者多次狀態變化從k1變化到k2，并且稱在狀態變換系統M中狀態k2相對k1是可到達的。

在自動信任協商系統中，每次在執行系統操作之前作安全策略的可滿足性分析，判定當前操作是否違反安全策略，并且存在一條安全的交互序列，使得協商能夠成功，進而繼續或者終止協商。而安全策略包括了敏感屬性[10，11]的保護策略和時間約束安全策略，策略的可滿足性判定成為保證系統安全的關鍵環節。

4 安全策略的可滿足性分析

4.1 用圖靈機對安全策略進行可滿足性分析

通常，一個時間約束安全策略表達的是這種意圖:在某個時間約束檢查點cp，檢查當前會話集是否滿足本地設置的時間約束條件，如果沒有，將不批準當前的會話請求或停止正在進行的會話。同樣，一個敏感屬性的保護策略表達的意圖是:信任協商的一個主體在披露某個敏感屬性at∈AT之前，信任協商的另一主體必須披露的屬性集，它是由AT的一個子集AT′中的元素以x，

瘙 綈 x，∧和∨操作形式組成的一個布爾表達式。換句話說，也就是只有敏感屬性at的安全策略被滿足了，才能披露at。

假設在會話過程中，每個用戶可以披露自己的保護策略，只有當找到某個安全的交互序列保證信任協商的成功之后，才按此序列交互披露相關信任證;否則，此次會話將不繼續。

定義7 時間約束安全策略的可滿足性。在自動信任協商系統中，用constrain_time表示時間約束安全策略集，如果在某個時間約束檢查點cp(時間約束檢查點可以是會話的發起時刻、定時循環查詢或者異常發生時刻)，時間約束安全策略p∈constrain_time保持為真(true)，那么稱時間約束安全策略p在檢查點cp是可滿足的。

定義8 敏感屬性安全策略的可滿足性。在自動信任協商系統中，假定at∈AT，如果在協商雙方之間存在一個交互序列ai，ai+1， …，aj。其中al ∈{request(at′) | at′∈AT }∪{disclosure(at′) | at′∈AT }， l=i，…，j，使得在這些交互完成之后，屬性at能夠被披露，那么稱屬性at的安全策略是可滿足的。

可見，安全策略的可滿足性判定將直接影響信任協商的成功與否。本文引入符號“⊥”:at⊥AT′，表示是否披露at，取決于屬性集AT′中元素是否已經被披露。對任意的at∈AT，都可以得到一個與之關聯的角色集合AT′。而at′∈AT′，可能同樣存在一個AT″(即協商對方也認為屬性at是敏感屬性，制定了保護策略)，那么可以將集合AT′中的屬性用與之相關的AT″中的元素集取代。為了進行可滿足性分析，這樣遞歸下去，試圖求解與at相關的AT的某個子集合ATat，而ATat是最終決定屬性at能否被披露的屬性集合，ATat  AT。對于決定關系at ⊥ ATat，如果ATat是可以惟一確定的，那么關于屬性at的可滿足性判定將被有效解決。本文把這個替代問題轉換為圖靈機(TM)的語言識別問題。首先描述TM M，它識別由AT集合中的元素組成的字符串w。

M=對于輸入字符串w:

a)從左到右掃描整個帶子，將字符at用與at 相關的集合T′中的所有元素組成的字符串代替。

b)如果a)之后，沒有進行任何的置換操作，則接受。

c)讓讀寫頭返回帶子的最左端。

d)轉到a)。

容易看出，TM M能夠識別由集合AT中的元素組成的字符串w，只有一個停機狀態為接收狀態:帶上剩下的字符，沒有被包含在任意一個置換規則中。這說明求解出與at相關的集合ATat，只要集合ATat中的元素都已經被披露，at也將被披露。這說明在信任協商雙方之間，至少存在著一條交互序列，如果信任協商雙方按照這條序列進行交互，屬性at的安全策略將被滿足。

4.2 時間約束安全策略可滿足性分析

定理1 信任協商會話時間約束安全策略可滿足性問題能在多項式時間內得到有效解決。

證明 信任協商會話時間約束安全策略，判定用戶u(u∈U)所發起的信任協商的時間屬性是否滿足時間約束，通過定義5可知，任意的一個信任協商會話st的發起(終止)時間是惟一確定的，通過函數start(st)(或函數end(st))獲得，那么由這些時間點通過信任協商時間范圍約束函數、信任協商時間長度約束函數、時間范圍內信任協商時間長度約束函數、時間范圍內信任協商累計次數約束函數、時間范圍內信任協商總時間長度約束函數和時間范圍內信任協商總數約束函數進行邏輯判斷得到的結果也是惟一確定的，進而信任協商會話時間約束安全策略可滿足性問題的結果是惟一確定的，而時間復雜度分為兩種情況:a)對于單信任協商會話時間約束安全策略，要求獲取單個用戶建立的所有信任協商會話的發起(終止)時間。假定|sA[ti，tj]|=n(|A|表示集合A的基數)，單信任協商會話時間約束安全策略可滿足性問題的計算復雜度為O(n)。b)對于多信任協商會話時間約束安全策略，要求獲取所有用戶建立的信任協商會話的發起(終止)時間。假定|U|=c1(c1是常量)，|s*[ti，tj]|=m，多信任協商會話時間約束安全策略可滿足性問題的計算復雜度為O(c1m)。可見，信任協商會話時間約束安全策略可滿足性問題能在多項式時間內能被有效解決。

4.3 敏感屬性保護策略可滿足性判定分析

對于敏感屬性保護策略的可滿足性分析，在TM M上模擬w，本文定義了一類比較特殊的可滿足分析:使得TM M進入接受狀態的可滿足性分析稱為與狀態無關的可滿足性分析，與狀態無關的可滿足性分析的實質是屬性at對應的ATat被惟一確定。

定理2 與狀態無關的敏感屬性保護策略可滿足性問題能夠在多項式時間內得到有效解決。

證明 與狀態無關的敏感屬性保護策略可滿足性問題，因為判定屬性at(at∈AT)的保護策略是否能夠被滿足，通過M識別輸入字符串w，最終能夠得到一個由屬性集ATat中的元素組成的字符串，那么由這些屬性通過∧、∨和

瘙 綈 操作得到的結果也是惟一確定的，進而安全策略的可滿足性的結果是惟一確定的。這要求替換過程中用到所有決定關系at ⊥ ati…atj，右邊的符號未在之前用過的所有替換的左邊出現，否則出現循環，導致不停機。假定|w|=l，|P|=c2(c2是常量)，那么此遞歸操作的計算復雜度為O(c2l)，即能在多項式時間能被有效解決。

可用有向圖表示屬性間的決定關系“⊥”，如T⊥={at1⊥{at4}， at2⊥{at3}， at3⊥{at5}， at5⊥{at2at4}}。那么屬性間的決定關系“⊥”轉換為有向圖2。由圖2可以看出屬性at1能否被披露，取決于屬性at4是否已經被披露，at1⊥{at4}。同樣地，從圖2中可以看到，at2、at3和at5在決定關系上形成了一個環，即在圖上表示為有一個有向環路。TM M的帶子是無限長的，有向環路在TM M識別字符串w的過程中體現為循環，導致不能停機。

定理3 一般的敏感屬性保護策略可滿足性問題是不可判定的。

證明 將一般的敏感屬性保護策略可滿足性問題轉換為通用圖靈機語言識別的停機問題。當TM M停機時，帶上剩下由屬性集ATat中的元素組成的字符串，那么由它們用x、

瘙 綈 x、∧和∨操作形式組成的表達式可以被確定，所以存在著一條交互序列使得at的保護策略被滿足。當TM M不停機時，帶上還保留有這樣的字符集:它們之間存在著一個循環替換。

若at∈AT，且at ⊥ {ati … atj}，讓TM M識別語言w= ati … atj。根據前面的分析，在迭代替換過程中，M是否停機不能判斷，那么判定屬性at的保護策略可滿足性問題就等價于TM M識別語言的停機問題[12]，即HALT問題。TM M識別的語言的HALT問題是不可判定的，導致一般的敏感屬性保護策略可滿足性問題是不可判定的。

5 結束語

本文首先提出了ATN抽象模型的基本組件，引入狀態變換系統定義ATN抽象模型。在此形式化基礎上，對ATN作了時間特性方面的擴展，定義了時間點序列和時間區間，并形式化分析了幾類時間約束的語義，解決了DoS攻擊、會話調度等問題。構造了一個帶時間特性的狀態變化系統，能夠更全面、更安全地描述ATN抽象模型。同時，對ATN中安全策略的可滿足性判定進行了分析。但在敏感屬性的保護策略以及策略的可滿足性判定方面仍有很多工作需進一步研究。

參考文獻:

[1]BLAZE M， FEIGENBAUM J， LACY J. Decentralized trust management[C]//Proc of the 17th Symposium on Security and Privacy. Okaland:IEEE Computer Society Press， 1996: 164173.

[2]BLAZE M， FEIGENBAUM J， KEROMYTIS A D. Trust management for publickey infrastructures[C]//Cambridge 1998 Security Protocols International Workshop， 1999. Berlin:SpringerVerglag， 1999: 5963.

[3]WINSBOROUGH W H， SEAMONSS K E， JSONES V E. Automate trust negotiation[C]//DARPA Information Survivability Conf and Exposition. 2000: 88102.

[4]LI Ninghui， MITTCHELL J C， WINSBOROUGH W H. Design of a rolebased trust management framework[C]//Proc of IEEE Symposium on Security and Privacy. 2002:114130.

[5]LI Ninghui， WINSBOROUGH W H， MITCHELL J C. Distributed credential chain discovery in trust management[C]//Proc of the 8th ACM Conference on Computer and Communications Security. 2001: 156165.

[6]李建欣，懷進鵬，李先賢.自動信任協商研究[J].軟件學報， 2006，17(1):124133.

[7]AJSYI O， SINNOTT R， STELL A. Trust realisation in multidomain collaborative environments[C]//Proc of the 6th IEEE/ACIS International Conference on Computer and Information Science (ICIS’07). Melbourne， Australia:[s.n.]， 2007:906-911.

[8]廖振松， 金海， 李赤松， 等. 自動信任協商及其發展趨勢[J]. 軟件學報， 2006，17(9):1933-1948.

[9]YU T， WINSLETT M. A unified scheme for resource protection in automated trust negotiation[C]//IEEE Symposium on Security and Privacy. 2003:245-257.

[10]IRWIN K， YU Ting. Preventing attribute information leakage in automated trust negotiation[C]//Proc of the 12th ACM Conference on Computer and Communications Security. 2005:36-45.

[11]劉志遠， 楊秋偉， 洪帆， 等. 一種基于標志的隱私資源保護方案[J]. 計算機應用， 2008， 28(2):418-421.

[12]SIPER M. 計算理論導引[M]. 張立昂， 王捍貧， 黃雄，譯. 北京: 機械工業出版社， 2000:107-109.