基于網絡服務聲譽的訪問控制決策

摘 要：聲譽系統可以給網絡用戶提供想要訪問的網絡資源的聲譽值，也可以給網站提供訪問用戶的聲譽值。用戶或網站都可以根據訪問對象的聲譽值來評估自己是否要繼續訪問或接受訪問。綜上，在訪問控制的決策過程中，網絡實體的重要屬性-聲譽值可以成為決策的條件之一。

關鍵詞：聲譽系統；訪問控制；決策

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 22-0000-01

網絡服務或網站的聲譽可能會受到網絡用戶的關心。它決定了用戶對其所提供的信息或服務的信賴程度。對一個惡意網絡服務的訪問往往會導致欺詐或用戶身份信息的失竊。另外，在一個大系統中，完成一項任務需要多個網絡服務協同工作。當其中某些服務的質量下降時，系統就有可能使用其他備用服務來替代這些表現差的服務。因此，在網絡環境中就需要建立一個聲譽評價和管理體系；用來讓用戶對所提供的服務進行聲譽評價；并記錄評價值供今后引用。

聲譽系統已在互聯網世界獲得應用。例如，eBay在其用戶完成一次網上交易之后把對該用戶的評價（正、負、或中立）存儲起來以供其他用戶今后參考。一個用戶的聲譽分別由他在歷史上完成的成功（正）和失敗（負）交易的個數所組成。PageRank是一個根據網頁鏈接結構評價網頁聲譽的系統。在PageRank聲譽系統中，每一個網頁對另一個網頁的貢獻與其自身的聲譽成正比；而與它包含的鏈接數成反比。

作為一種通用系統，英國Kent大學開發出一個聲譽評價系統。它被設計成為一個網絡服務供預先注冊的網絡客戶端調用；對已注冊的網絡實體進行評價或查看其聲譽值。聲譽系統除能夠讓網絡用戶獲取對被訪問的網絡資源的信賴程度外；網絡資源的聲譽還可以用于對信息系統的安全保護。

訪問控制是信息安全的基礎。基于政策的訪問控制系統可以根據讀入的網絡服務的聲譽值與預先定義的訪問控制政策比對，以確定用戶是否對該服務進行訪問。因而，通過設立一個應用網關來阻止對一個聲譽值低的網絡資源的訪問，從而促進網絡服務質量的提高和打擊聲譽差的網絡服務（如賭博、色情網站）。通過調用聲譽系統，一個訪問控制決策過程可以用基于聲譽的方法來實現。這種訪問控制方法在大型網絡環境中是非常有用的；即該網絡的用戶經常需要與其他未知用戶進行交互；或訪問一些從未訪問過的網絡資源。在這種境況下，是否與這些用戶進行交互或對這些資源進行訪問，可以由其他用戶的經驗來確定。

一、通用聲譽系統的建立

建立一個通用的聲譽系統首先需要選擇一個合適的聲譽算法。這個算法至少需要三個輸入值來確定本次評分對當前評價對象聲譽值的影響。第一個輸入值是本次的評分值（評分值越大表示越好的評價）；第二個值是評分次數；第三個值是當前的聲譽值（聲譽值越高表示越好的聲譽）。更復雜的聲譽算法需要考慮如何應對惡意評分；如何根據評分者自身的聲譽去確定本次評分的影響程度。除使用什么聲譽算法外，一個聲譽系統還需要確定誰有資格去對某個對象進行評價；以及去評價誰等。最后需要考慮如何存儲被評價對象的聲譽值和其他相關信息。在這一方面的研究要解決獲取高效聲譽算法的問題。本算法要在快速計算的前提下，具有防惡意評分和綜合評分者聲譽的能力。

二、聲譽值的安全引用

由于聲譽值將會作為訪問控制決策的關鍵信息，所以必須考慮這個值的安全使用。

首先，當聲譽值需要在網絡上傳輸時必須保障它的完整性；即在傳輸的過程中不能被篡改。換句話說，聲譽值得接收方需要檢驗信息來源的真實性。

其次，由于聲譽值是在動態地變化著，所以訪問控制決策部件使用的聲譽值必須是全新的。這就要求聲譽值的引用系統具有防重防攻擊的能力。設計一種同時承載信息來源和現時信息的聲譽值籌碼是研究的重點。

這個聲譽值籌碼應當符合現行訪問控制籌碼的標準，公鑰基礎設施（PKI）所支持的X.509屬性證書（Attribute Certificate）可以作為承載聲譽值的媒介。

聲譽屬性證書所具有的數字簽名可以用來保證聲譽值的完整性。聲譽屬性證書的有效期結合其他技術可以用來證實聲譽值的現時性，即防止使用記錄下來的聲譽屬性證書對訪問控制系統進行重放攻擊。

一個聲譽屬性證書由聲譽系統動態生成，其驗證工作要有訪問控制系統進行驗證，即由消費這個證書的部件來驗證其有效性。

三、使用聲譽值的訪問控制決策

使用聲譽值的訪問控制決策要解決兩個問題。一是如何定義引用聲譽值的訪問控制政策；二是如何使用現有訪問控制決策系統來完成訪問控制的決策，解決的難點是設計一個符合訪問控制請求標準的調用訪問控制決策部件的接口。

所使用的訪問請求標準能夠承載需要的聲譽值。通過該接口要能夠調用現有的訪問控制決策系統；例如，PERMIS和XACML。聲譽值在訪問控制政策中的引用方式在不同的訪問控制決策系統中可能有所不同。

但是，無論使用什么訪問控制系統，訪問控制決策部件的調用接口應該相同。我們可以使用當前比較流行的PERMIS和XACML PDP來檢驗研發的聲譽系統和使用聲譽值進行的訪問控制決策系統。

四、結束語

隨著計算機網絡技術的不斷發展，全社會都已邁進信息數字化時代。網絡服務或網站的聲譽越來越受到用戶關注，它決定了用戶對其所提供的信息或服務的信賴程度。對一個惡意網絡服務的訪問往往會導致欺詐或用戶身份信息的失竊。

因此在網絡環境中就需要建立一個聲譽評價和管理體系，讓用戶對所提供的服務進行聲譽評價。網絡服務聲譽的訪問是與信息化技術與時代的發展同步的，需要與時俱進，不斷完善。使其服務于更多的人，具有更大的意義上。

參考文獻：

[1]翟征德，馮登國.一個通用的分布式訪問控制決策中間件[J].計算機工程與應用，2008（05）：3-6.

[2]王偉.基于聲譽值的訪問控制決策[D].內蒙古大學，2012（04）：15-16.

[作者簡介]孫元（1978-），女，內蒙古包頭人，信息工程學院教師，研究方向：計算機網絡技術應用。