【摘 要】針對(duì)可信網(wǎng)絡(luò)連接過(guò)程中所定義的訪問(wèn)控制粒度粗、以及沒(méi)有明確給出訪問(wèn)請(qǐng)求者信任級(jí)別評(píng)估方法等問(wèn)題,本文提出了一種綜合考慮多個(gè)可信性影響因素的信任度評(píng)估方案,依據(jù)終端平臺(tái)計(jì)算環(huán)境特征及接入后的用戶歷史行為等因素來(lái)評(píng)定其信任級(jí)別,實(shí)現(xiàn)了從終端入網(wǎng)驗(yàn)證到接入后控制、動(dòng)態(tài)調(diào)整的細(xì)粒度信任評(píng)估過(guò)程。
【關(guān)鍵詞】可信性影響因素;信任度評(píng)估;接入控制
1.引言
可信網(wǎng)絡(luò)連接TNC[1]技術(shù)是在傳統(tǒng)訪問(wèn)控制基于用戶身份認(rèn)證的基礎(chǔ)上增加了對(duì)其所在終端平臺(tái)進(jìn)行可信性驗(yàn)證的要5\求,通過(guò)驗(yàn)證通信主體身份的真實(shí)性和平臺(tái)信息的完整性,來(lái)確保主體間的信任關(guān)系。但是在可信網(wǎng)絡(luò)連接過(guò)程中所定義的訪問(wèn)控制粒度粗,如何在通信訪問(wèn)請(qǐng)求者接入網(wǎng)絡(luò)的過(guò)程中對(duì)其信任級(jí)別進(jìn)行綜合評(píng)估以便實(shí)施細(xì)粒度的授權(quán)控制等問(wèn)題尚未在TNC標(biāo)準(zhǔn)規(guī)范中明確給出具體的執(zhí)行策略。基于以上考慮,本文在可信接入過(guò)程中提出了一種綜合多種因素的信任度評(píng)估方案,評(píng)估得到的用戶當(dāng)前信任度成為對(duì)其在可信網(wǎng)絡(luò)[2]中實(shí)施授權(quán)的主要依據(jù),該方案同時(shí)也將主體信任與行為[3]信任相結(jié)合,實(shí)現(xiàn)了從終端入網(wǎng)驗(yàn)證到接入后控制、動(dòng)態(tài)調(diào)整的細(xì)粒度信任評(píng)估過(guò)程。
2.信任度評(píng)估方案
本文提出的信任度評(píng)估方案,綜合了三方面影響因素來(lái)評(píng)估用戶當(dāng)前信任度:對(duì)用戶身份信息進(jìn)行認(rèn)證的用戶基本信任度;對(duì)終端平臺(tái)可信性進(jìn)行驗(yàn)證的平臺(tái)完整性信任度;對(duì)用戶接入系統(tǒng)后操作行為進(jìn)行評(píng)估的歷史行為信任度。
信任度評(píng)估方案的算法描述形式如下:
T(u)=w1×TUB+w2×TPI+w3×THB (1)
在公式(1)中,T(u)是用戶當(dāng)前信任度,TUB是用戶基本信任度,TPI是平臺(tái)完整性信任度,THB是歷史行為信任度。在計(jì)算用戶當(dāng)前信任度時(shí),要考慮各影響因素在其中所占的權(quán)重比值,設(shè)用戶基本信任度、平臺(tái)完整性信任度和歷史行為信任度的權(quán)重比值分別為w1,w2,w3,,。
2.1 用戶基本信任度TUB
用戶在接入系統(tǒng)時(shí),需要提供一些必要的身份認(rèn)證信息,如用戶ID、口令、數(shù)字證書等。在制定安全策略和安全規(guī)則時(shí)可以依據(jù)這些信息在認(rèn)證過(guò)程中的重要程度,分解為n個(gè)認(rèn)證的因子,并確定各自的認(rèn)證安全度aus,ausk∈[0,1](k=1,2,……,n),以及它們對(duì)應(yīng)的權(quán)重值wk∈[0,1],;以各
種信息的認(rèn)證安全度的加權(quán)之和作為用戶基本信任度TUB的最終評(píng)估結(jié)果。
用戶基本信任度的計(jì)算公式為:
TUB= (2)
2.2 平臺(tái)完整性信任度TPI
平臺(tái)完整性信任度評(píng)估是建立在可信平臺(tái)完整性度量[4-5]的基礎(chǔ)上。在平臺(tái)完整性度量機(jī)制中,影響度量可信性的主要因素包括:主體的度量能力以及委托執(zhí)行鏈的長(zhǎng)度。在信任的傳遞過(guò)程中,用來(lái)執(zhí)行完整性度量任務(wù)的主體其度量能力將會(huì)對(duì)度量的結(jié)果產(chǎn)生影響,即執(zhí)行主體的度量能力越強(qiáng)則得到的度量結(jié)果也就越可信;此外,委托執(zhí)行鏈的長(zhǎng)度對(duì)度量的可信性也起著制約的作用,即委托執(zhí)行鏈越長(zhǎng),則信任損失的可能性也就越大。
被度量的主體對(duì)象完整性信任度計(jì)算公式(3)如下:
(3)
式(3)中,TI(o0,oj+1)為初始度量的執(zhí)行者o0委托oj對(duì)被度量的對(duì)象oj+1進(jìn)行完整性度量后得到的信任度。委托度量的執(zhí)行者oj對(duì)oj+1的度量測(cè)試結(jié)果為λ,其中λ會(huì)受oj度量能力以及委托信任鏈長(zhǎng)度h的影響;是指o0對(duì)oj度量能力的信任值,取值為[0,1]之間;α則是每一級(jí)受委托度量所帶來(lái)的信任損失值,可以在系統(tǒng)初始化時(shí)對(duì)其進(jìn)行相應(yīng)設(shè)置,取值為[0,1)之間,α?xí)驗(yàn)樾湃捂溕现黧w的度量能力增加而減少,若值為0則認(rèn)為沒(méi)有信任損失。假設(shè)o0是o1的直接度量執(zhí)行者,則被度量的對(duì)象o1其完整性信任度為o0的直接度量結(jié)果λ,即TI(o0,o1)=λ。
整個(gè)信任鏈O的完整性信任度即平臺(tái)的完整性信任度為所有被度量主體對(duì)象的完整性信任度的最小值。公式(4)如下:
(4)
(是O中被度量的主體對(duì)象的總個(gè)數(shù))
在信任鏈傳遞的過(guò)程中,被度量的主體對(duì)象其信任度值還可能會(huì)受到其他諸多因素的影響。這里只是討論了靜態(tài)度量時(shí)的情形,而沒(méi)有將類似于度量測(cè)評(píng)過(guò)程中信任損失及主體度量能力等的動(dòng)態(tài)變化問(wèn)題涉及進(jìn)來(lái)。
依據(jù)信任鏈上各主體對(duì)象的特性,為它們賦予不同的初始度量能力信任值,同時(shí)設(shè)定每一級(jí)由于委托度量可能造成的信任損失值,如α為0.05;并假定度量的執(zhí)行者對(duì)于被度量對(duì)象進(jìn)行的完整性度量測(cè)評(píng)結(jié)果與先前預(yù)期的完整性值相一致,即λ=1。使用公式(3)計(jì)算得到信任鏈上每一個(gè)主體對(duì)象的完整性信任度如表1所示。
表1 終端平臺(tái)上各主體對(duì)象的可信度
度量執(zhí)行者OjO0 O1 O2 O3
度量能力信任值1 0.95 0.92 0.9
被度量對(duì)象Oj+1O1 O2 O3 O4
委托執(zhí)行鏈長(zhǎng)度h0 1 2 3
對(duì)象完整性信任度TI(o0,oj+1)1 0.9025 0.8303 0.7716
根據(jù)公式(4)信任鏈上所有被度量的主體對(duì)象的完整性信任度的最小值決定了當(dāng)前平臺(tái)的完整性信任度,在表1中,平臺(tái)的完整性信任度即為被度量對(duì)象O4的完整性信任度0.7716,即TPI=0.7716。
2.3 歷史行為信任度THB
用戶在可信網(wǎng)絡(luò)中與系統(tǒng)資源的交互歷史是反映其行為的客觀依據(jù),根據(jù)交互歷史所記錄的請(qǐng)求事件是否符合系統(tǒng)安全規(guī)則,將用戶的當(dāng)前訪問(wèn)行為劃分為對(duì)資源有效的訪問(wèn)行為和非法的訪問(wèn)行為。用戶在網(wǎng)絡(luò)中對(duì)系統(tǒng)資源發(fā)起地訪問(wèn)事件行為性質(zhì)將會(huì)對(duì)用戶當(dāng)前信任度產(chǎn)生直接影響,使其發(fā)生動(dòng)態(tài)變化。比如,用戶在初始認(rèn)證時(shí)的當(dāng)前信任度值較高,系統(tǒng)依據(jù)授權(quán)策略將為其分配可信級(jí)別較高的操作權(quán)限,但是該用戶在與系統(tǒng)資源的交互訪問(wèn)過(guò)程中執(zhí)行了非法訪問(wèn)操作,違反了系統(tǒng)安全規(guī)則,那么其違規(guī)行為也勢(shì)必成為歷史記錄而被統(tǒng)計(jì)下來(lái),作為重新評(píng)估信任度的主要依據(jù)之一。利用相應(yīng)算法,在規(guī)定時(shí)間之后,需要對(duì)用戶的當(dāng)前信任度進(jìn)行再一次的評(píng)估,由于信任度值降低而無(wú)法重新激活先前被授予的操作權(quán)限,致使當(dāng)前的操作權(quán)限也隨之失效。用戶的有效訪問(wèn)行為可以提升用戶的當(dāng)前信任度,而非法訪問(wèn)行為則會(huì)使其當(dāng)前信任度值降低。用戶歷史行為信任度計(jì)算公式(5)如下:
(5)
公式(5)中BE是用戶在系統(tǒng)中執(zhí)行資源訪問(wèn)事件的行為記錄,若執(zhí)行的是有效訪問(wèn)行為則BE=1;若執(zhí)行的是非法訪問(wèn)行為則BE=-1;式中ic是行為的影響系數(shù),它的取值為[0,1],為了體現(xiàn)信任度“慢升快降”的原則,避免用戶的行為欺騙風(fēng)險(xiǎn),在為ic取值時(shí),有效訪問(wèn)行為的行為影響系數(shù)應(yīng)小于非法訪問(wèn)訪問(wèn)行為的行為影響系數(shù);是用戶在執(zhí)行了不同性質(zhì)的行
為訪問(wèn)事件后所得出的實(shí)際行為數(shù)值之和;是用戶執(zhí)行了所有歷史訪問(wèn)事件
后得到的行為數(shù)值之和;那么實(shí)際行為數(shù)值和與所有歷史訪問(wèn)事件的行為數(shù)值和之間的比值即為當(dāng)前用戶在系統(tǒng)中的歷史行為信任度THB,其取值為[-1,1]。
綜上所述,由用戶基本信任度公式(2)、平臺(tái)完整性信任度公式(4)和歷史行為信任度公式(5),構(gòu)成了用戶當(dāng)前信任度計(jì)算公式為:
(6)
3.評(píng)估方案綜合分析
(1)本文提出的可信接入過(guò)程中信任度評(píng)估方案是一種綜合了多種因素、適用于多種情況的評(píng)估方案,利用確定性的可檢測(cè)的用戶身份認(rèn)證信息、平臺(tái)完整性信息及用戶歷史行為等證據(jù)來(lái)解決具有不確定性和模糊性的信任度評(píng)估問(wèn)題;
(2)該評(píng)估方案是在綜合考察了接入用戶相關(guān)原始證據(jù)的基礎(chǔ)之上來(lái)完成的認(rèn)證評(píng)估,而非直接根據(jù)第三方主觀信任的評(píng)定結(jié)果來(lái)執(zhí)行的簡(jiǎn)單判定,這讓整個(gè)評(píng)估過(guò)程更為客觀;
(3)該評(píng)估方案通過(guò)對(duì)接入用戶歷史行為信任度THB的測(cè)評(píng)實(shí)現(xiàn)了用戶接入網(wǎng)絡(luò)后的行為控制,同時(shí)也使操作權(quán)限的動(dòng)態(tài)調(diào)整成為可能,能夠降低因接入用戶執(zhí)行違規(guī)操作而給系統(tǒng)資源造成的危害和損失。
(4)該評(píng)估方案能夠在不同的情形下對(duì)用戶的當(dāng)前信任度做出微觀細(xì)粒度的認(rèn)證評(píng)估而非宏觀粗粒度認(rèn)證評(píng)估,使得評(píng)估結(jié)果更為真實(shí)可信,該評(píng)估方案具有良好的可擴(kuò)展性。
4.總結(jié)
本文在深入分析了用戶當(dāng)前信任度可信性影響因素的基礎(chǔ)上,提出了針對(duì)可信接入過(guò)程中的信任度評(píng)估方案。分析結(jié)果表明,利用所提出的方法能夠較好地在多種情況下實(shí)現(xiàn)對(duì)終端用戶的可信性評(píng)定。
參考文獻(xiàn):
[1]Trusted Computing Group.TCG specification trusted network connect-TNC architecture for interoperability revision1.2[EB/OL].2009-12-12.http://www.trustedcomputinggroup.org.
[2]馬卓,馬建峰,李興華等.可證明安全的可信網(wǎng)絡(luò)連接協(xié)議模型[J].計(jì)算機(jī)學(xué)報(bào),2011,34(9):1669-1678.
[3]劉巍偉,韓臻,沈昌祥.基于終端行為的可信網(wǎng)絡(luò)連接控制方案[J].通信學(xué)報(bào),2009,30(11):127-133.
[4]金園園,吳振強(qiáng),種惠芳.基于模糊集合的完整性信任度評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用,2010,46(24):77-80.
[5]Jaeger T,Sailer R,Shankar U.PRIMA:Policy-reduced integrity measurement architecture[C].//Proceedings of the 11th ACM Symposium on Access Control Models and Technologies.California:ACM Press,2006:19-28.