【摘 要】針對(duì)可信網(wǎng)絡(luò)連接過(guò)程中所定義的訪問(wèn)控制粒度粗、以及沒(méi)有明確給出訪問(wèn)請(qǐng)求者信任級(jí)別評(píng)估方法等問(wèn)題，本文提出了一種綜合考慮多個(gè)可信性影響因素的信任度評(píng)估方案，依據(jù)終端平臺(tái)計(jì)算環(huán)境特征及接入后的用戶歷史行為等因素來(lái)評(píng)定其信任級(jí)別，實(shí)現(xiàn)了從終端入網(wǎng)驗(yàn)證到接入后控制、動(dòng)態(tài)調(diào)整的細(xì)粒度信任評(píng)估過(guò)程。

【關(guān)鍵詞】可信性影響因素；信任度評(píng)估；接入控制

1.引言

可信網(wǎng)絡(luò)連接TNC[1]技術(shù)是在傳統(tǒng)訪問(wèn)控制基于用戶身份認(rèn)證的基礎(chǔ)上增加了對(duì)其所在終端平臺(tái)進(jìn)行可信性驗(yàn)證的要5＼求，通過(guò)驗(yàn)證通信主體身份的真實(shí)性和平臺(tái)信息的完整性，來(lái)確保主體間的信任關(guān)系。但是在可信網(wǎng)絡(luò)連接過(guò)程中所定義的訪問(wèn)控制粒度粗，如何在通信訪問(wèn)請(qǐng)求者接入網(wǎng)絡(luò)的過(guò)程中對(duì)其信任級(jí)別進(jìn)行綜合評(píng)估以便實(shí)施細(xì)粒度的授權(quán)控制等問(wèn)題尚未在TNC標(biāo)準(zhǔn)規(guī)范中明確給出具體的執(zhí)行策略。基于以上考慮，本文在可信接入過(guò)程中提出了一種綜合多種因素的信任度評(píng)估方案，評(píng)估得到的用戶當(dāng)前信任度成為對(duì)其在可信網(wǎng)絡(luò)[2]中實(shí)施授權(quán)的主要依據(jù)，該方案同時(shí)也將主體信任與行為[3]信任相結(jié)合，實(shí)現(xiàn)了從終端入網(wǎng)驗(yàn)證到接入后控制、動(dòng)態(tài)調(diào)整的細(xì)粒度信任評(píng)估過(guò)程。

2.信任度評(píng)估方案

本文提出的信任度評(píng)估方案，綜合了三方面影響因素來(lái)評(píng)估用戶當(dāng)前信任度：對(duì)用戶身份信息進(jìn)行認(rèn)證的用戶基本信任度；對(duì)終端平臺(tái)可信性進(jìn)行驗(yàn)證的平臺(tái)完整性信任度；對(duì)用戶接入系統(tǒng)后操作行為進(jìn)行評(píng)估的歷史行為信任度。

信任度評(píng)估方案的算法描述形式如下：

T（u）=w1×TUB+w2×TPI+w3×THB （1）

在公式（1）中，T（u）是用戶當(dāng)前信任度，TUB是用戶基本信任度，TPI是平臺(tái)完整性信任度，THB是歷史行為信任度。在計(jì)算用戶當(dāng)前信任度時(shí)，要考慮各影響因素在其中所占的權(quán)重比值，設(shè)用戶基本信任度、平臺(tái)完整性信任度和歷史行為信任度的權(quán)重比值分別為w1，w2，w3，，。

2.1 用戶基本信任度TUB

用戶在接入系統(tǒng)時(shí)，需要提供一些必要的身份認(rèn)證信息，如用戶ID、口令、數(shù)字證書等。在制定安全策略和安全規(guī)則時(shí)可以依據(jù)這些信息在認(rèn)證過(guò)程中的重要程度，分解為n個(gè)認(rèn)證的因子，并確定各自的認(rèn)證安全度aus，ausk∈[0，1]（k=1，2，……，n），以及它們對(duì)應(yīng)的權(quán)重值wk∈[0，1]，；以各

種信息的認(rèn)證安全度的加權(quán)之和作為用戶基本信任度TUB的最終評(píng)估結(jié)果。

用戶基本信任度的計(jì)算公式為：

TUB= （2）

2.2 平臺(tái)完整性信任度TPI

平臺(tái)完整性信任度評(píng)估是建立在可信平臺(tái)完整性度量[4-5]的基礎(chǔ)上。在平臺(tái)完整性度量機(jī)制中，影響度量可信性的主要因素包括：主體的度量能力以及委托執(zhí)行鏈的長(zhǎng)度。在信任的傳遞過(guò)程中，用來(lái)執(zhí)行完整性度量任務(wù)的主體其度量能力將會(huì)對(duì)度量的結(jié)果產(chǎn)生影響，即執(zhí)行主體的度量能力越強(qiáng)則得到的度量結(jié)果也就越可信；此外，委托執(zhí)行鏈的長(zhǎng)度對(duì)度量的可信性也起著制約的作用，即委托執(zhí)行鏈越長(zhǎng)，則信任損失的可能性也就越大。

被度量的主體對(duì)象完整性信任度計(jì)算公式（3）如下：

（3）

式（3）中，TI（o0，oj+1）為初始度量的執(zhí)行者o0委托oj對(duì)被度量的對(duì)象oj+1進(jìn)行完整性度量后得到的信任度。委托度量的執(zhí)行者oj對(duì)oj+1的度量測(cè)試結(jié)果為λ，其中λ會(huì)受oj度量能力以及委托信任鏈長(zhǎng)度h的影響；是指o0對(duì)oj度量能力的信任值，取值為[0，1]之間；α則是每一級(jí)受委托度量所帶來(lái)的信任損失值，可以在系統(tǒng)初始化時(shí)對(duì)其進(jìn)行相應(yīng)設(shè)置，取值為[0，1）之間，α?xí)驗(yàn)樾湃捂溕现黧w的度量能力增加而減少，若值為0則認(rèn)為沒(méi)有信任損失。假設(shè)o0是o1的直接度量執(zhí)行者，則被度量的對(duì)象o1其完整性信任度為o0的直接度量結(jié)果λ，即TI（o0，o1）=λ。

整個(gè)信任鏈O的完整性信任度即平臺(tái)的完整性信任度為所有被度量主體對(duì)象的完整性信任度的最小值。公式（4）如下：

（4）

（是O中被度量的主體對(duì)象的總個(gè)數(shù)）

在信任鏈傳遞的過(guò)程中，被度量的主體對(duì)象其信任度值還可能會(huì)受到其他諸多因素的影響。這里只是討論了靜態(tài)度量時(shí)的情形，而沒(méi)有將類似于度量測(cè)評(píng)過(guò)程中信任損失及主體度量能力等的動(dòng)態(tài)變化問(wèn)題涉及進(jìn)來(lái)。

依據(jù)信任鏈上各主體對(duì)象的特性，為它們賦予不同的初始度量能力信任值，同時(shí)設(shè)定每一級(jí)由于委托度量可能造成的信任損失值，如α為0.05；并假定度量的執(zhí)行者對(duì)于被度量對(duì)象進(jìn)行的完整性度量測(cè)評(píng)結(jié)果與先前預(yù)期的完整性值相一致，即λ=1。使用公式（3）計(jì)算得到信任鏈上每一個(gè)主體對(duì)象的完整性信任度如表1所示。

表1 終端平臺(tái)上各主體對(duì)象的可信度

度量執(zhí)行者OjO0 O1 O2 O3

度量能力信任值1 0.95 0.92 0.9

被度量對(duì)象Oj+1O1 O2 O3 O4

委托執(zhí)行鏈長(zhǎng)度h0 1 2 3

對(duì)象完整性信任度TI（o0，oj+1）1 0.9025 0.8303 0.7716

根據(jù)公式（4）信任鏈上所有被度量的主體對(duì)象的完整性信任度的最小值決定了當(dāng)前平臺(tái)的完整性信任度，在表1中，平臺(tái)的完整性信任度即為被度量對(duì)象O4的完整性信任度0.7716，即TPI=0.7716。

2.3 歷史行為信任度THB

用戶在可信網(wǎng)絡(luò)中與系統(tǒng)資源的交互歷史是反映其行為的客觀依據(jù)，根據(jù)交互歷史所記錄的請(qǐng)求事件是否符合系統(tǒng)安全規(guī)則，將用戶的當(dāng)前訪問(wèn)行為劃分為對(duì)資源有效的訪問(wèn)行為和非法的訪問(wèn)行為。用戶在網(wǎng)絡(luò)中對(duì)系統(tǒng)資源發(fā)起地訪問(wèn)事件行為性質(zhì)將會(huì)對(duì)用戶當(dāng)前信任度產(chǎn)生直接影響，使其發(fā)生動(dòng)態(tài)變化。比如，用戶在初始認(rèn)證時(shí)的當(dāng)前信任度值較高，系統(tǒng)依據(jù)授權(quán)策略將為其分配可信級(jí)別較高的操作權(quán)限，但是該用戶在與系統(tǒng)資源的交互訪問(wèn)過(guò)程中執(zhí)行了非法訪問(wèn)操作，違反了系統(tǒng)安全規(guī)則，那么其違規(guī)行為也勢(shì)必成為歷史記錄而被統(tǒng)計(jì)下來(lái)，作為重新評(píng)估信任度的主要依據(jù)之一。利用相應(yīng)算法，在規(guī)定時(shí)間之后，需要對(duì)用戶的當(dāng)前信任度進(jìn)行再一次的評(píng)估，由于信任度值降低而無(wú)法重新激活先前被授予的操作權(quán)限，致使當(dāng)前的操作權(quán)限也隨之失效。用戶的有效訪問(wèn)行為可以提升用戶的當(dāng)前信任度，而非法訪問(wèn)行為則會(huì)使其當(dāng)前信任度值降低。用戶歷史行為信任度計(jì)算公式（5）如下：

（5）

公式（5）中BE是用戶在系統(tǒng)中執(zhí)行資源訪問(wèn)事件的行為記錄，若執(zhí)行的是有效訪問(wèn)行為則BE=1；若執(zhí)行的是非法訪問(wèn)行為則BE=-1；式中ic是行為的影響系數(shù)，它的取值為[0，1]，為了體現(xiàn)信任度“慢升快降”的原則，避免用戶的行為欺騙風(fēng)險(xiǎn)，在為ic取值時(shí)，有效訪問(wèn)行為的行為影響系數(shù)應(yīng)小于非法訪問(wèn)訪問(wèn)行為的行為影響系數(shù)；是用戶在執(zhí)行了不同性質(zhì)的行

為訪問(wèn)事件后所得出的實(shí)際行為數(shù)值之和；是用戶執(zhí)行了所有歷史訪問(wèn)事件

后得到的行為數(shù)值之和；那么實(shí)際行為數(shù)值和與所有歷史訪問(wèn)事件的行為數(shù)值和之間的比值即為當(dāng)前用戶在系統(tǒng)中的歷史行為信任度THB，其取值為[-1，1]。

綜上所述，由用戶基本信任度公式（2）、平臺(tái)完整性信任度公式（4）和歷史行為信任度公式（5），構(gòu)成了用戶當(dāng)前信任度計(jì)算公式為：

（6）

3.評(píng)估方案綜合分析

（1）本文提出的可信接入過(guò)程中信任度評(píng)估方案是一種綜合了多種因素、適用于多種情況的評(píng)估方案，利用確定性的可檢測(cè)的用戶身份認(rèn)證信息、平臺(tái)完整性信息及用戶歷史行為等證據(jù)來(lái)解決具有不確定性和模糊性的信任度評(píng)估問(wèn)題；

（2）該評(píng)估方案是在綜合考察了接入用戶相關(guān)原始證據(jù)的基礎(chǔ)之上來(lái)完成的認(rèn)證評(píng)估，而非直接根據(jù)第三方主觀信任的評(píng)定結(jié)果來(lái)執(zhí)行的簡(jiǎn)單判定，這讓整個(gè)評(píng)估過(guò)程更為客觀；

（3）該評(píng)估方案通過(guò)對(duì)接入用戶歷史行為信任度THB的測(cè)評(píng)實(shí)現(xiàn)了用戶接入網(wǎng)絡(luò)后的行為控制，同時(shí)也使操作權(quán)限的動(dòng)態(tài)調(diào)整成為可能，能夠降低因接入用戶執(zhí)行違規(guī)操作而給系統(tǒng)資源造成的危害和損失。

（4）該評(píng)估方案能夠在不同的情形下對(duì)用戶的當(dāng)前信任度做出微觀細(xì)粒度的認(rèn)證評(píng)估而非宏觀粗粒度認(rèn)證評(píng)估，使得評(píng)估結(jié)果更為真實(shí)可信，該評(píng)估方案具有良好的可擴(kuò)展性。

4.總結(jié)

本文在深入分析了用戶當(dāng)前信任度可信性影響因素的基礎(chǔ)上，提出了針對(duì)可信接入過(guò)程中的信任度評(píng)估方案。分析結(jié)果表明，利用所提出的方法能夠較好地在多種情況下實(shí)現(xiàn)對(duì)終端用戶的可信性評(píng)定。

參考文獻(xiàn)：

[1]Trusted Computing Group.TCG specification trusted network connect-TNC architecture for interoperability revision1.2[EB/OL].2009-12-12.http：//www.trustedcomputinggroup.org.

[2]馬卓，馬建峰，李興華等.可證明安全的可信網(wǎng)絡(luò)連接協(xié)議模型[J].計(jì)算機(jī)學(xué)報(bào)，2011，34（9）：1669-1678.

[3]劉巍偉，韓臻，沈昌祥.基于終端行為的可信網(wǎng)絡(luò)連接控制方案[J].通信學(xué)報(bào)，2009，30（11）：127-133.

[4]金園園，吳振強(qiáng)，種惠芳.基于模糊集合的完整性信任度評(píng)估模型[J].計(jì)算機(jī)工程與應(yīng)用，2010，46（24）：77-80.

[5]Jaeger T，Sailer R，Shankar U.PRIMA：Policy-reduced integrity measurement architecture[C].//Proceedings of the 11th ACM Symposium on Access Control Models and Technologies.California：ACM Press，2006：19-28.