韓 莉

（晉中學(xué)院信息技術(shù)與工程學(xué)院，山西晉中030619）

（編輯 張 瑛）

自動信任協(xié)商雖然可以有效解決互聯(lián)網(wǎng)資源共享過程中存在的問題，但是因為工作模式等多方面要素的制約，整體工作效率比較差，必須對其進行完善.本文將從自動信任協(xié)商體系結(jié)構(gòu)、敏感屬性保護、保護敏感屬性的細粒度訪問控制策略三方面入手，對自動信任協(xié)商系統(tǒng)敏感屬性保護問題進行研究.

1 自動信任協(xié)商體系結(jié)構(gòu)

國外專家學(xué)者不僅提出了自動信任協(xié)商，同時還明確了自動新人協(xié)商體系結(jié)構(gòu)，經(jīng)過多年來的發(fā)展，該結(jié)構(gòu)的科學(xué)性及可行性已經(jīng)得到印證，并且許多后來衍伸出的自動信任協(xié)商系統(tǒng)都是由該結(jié)構(gòu)中演變出來的，其結(jié)構(gòu)如圖1所示.

圖1 自動信任協(xié)商體系結(jié)構(gòu)圖

在該結(jié)構(gòu)圖中，協(xié)商雙方都有證書，而且根據(jù)敏感證書的實際情況擬定了相應(yīng)的證書訪問策略，并且資源的提供方還在基礎(chǔ)工作之上擬定了服務(wù)控制策略，提升了系統(tǒng)運作的可行性.自動信任協(xié)商需要通過客戶端為各代理發(fā)送服務(wù)訪問請求，之后服務(wù)端需要對請求進行分析，獲取控制策略，根據(jù)服務(wù)控制策略的實際發(fā)展情況，向客戶端發(fā)送證書請求.若服務(wù)端口的證書請求內(nèi)含敏感證書，則在客戶端方面需要將敏感證書訪問策略作為基礎(chǔ)工作點，轉(zhuǎn)向?qū)Ψ?wù)端發(fā)送請求.若在服務(wù)端的證書請求當(dāng)中存在一些敏感證書，則雙方要根據(jù)實際發(fā)展情況進行后續(xù)協(xié)商，直至不存在敏感信息才能保證系統(tǒng)成功運行.在完成日常協(xié)商以后，不論是客戶端還是服務(wù)端，都需要出示證書，由客戶端獲取服務(wù)訪問權(quán)限.從以往的工作情況及上述工作流程上看，可以將自動信任協(xié)商系統(tǒng)分成四個階段來處理，首先是初始階段，初始階段的主要工作是讓客戶端方面產(chǎn)生資源訪問請求，而策略交互工作需要從協(xié)商雙方的各方面策略對證書的要求入手，相互揭露策略交互信息，直至雙方之中有一方需要拿出不含任何敏感信息的證書為止.在證書出示時，協(xié)商雙方需要將上述過程中的所有環(huán)節(jié)用到的證書以及頒發(fā)的證書出示給堆放.在最終的服務(wù)授權(quán)階段，服務(wù)端需要將客戶端所提交上來的證書以及相關(guān)的資源訪問控制策略匹配到其中，明確訪問權(quán)限.

2 敏感屬性保護

自動信任協(xié)商可以從根本上解決陌生的雙方訪問控制問題以及隱私方面的保護問題.通過分析之前的研究成果，總結(jié)出制約自動信任協(xié)商工作效率的因素.主要包含三方面，第一是因為證書當(dāng)中有一部分屬性和協(xié)商沒有關(guān)聯(lián)的，這些屬性會增加額外協(xié)商數(shù)量，提升協(xié)商風(fēng)險.第二是因為自動信任協(xié)商中的部分策略會出現(xiàn)過分依賴的情況，這種過分依賴會影響協(xié)商的正常運轉(zhuǎn)，產(chǎn)生無限循環(huán)，使協(xié)商效率下降.第三是因為自動信任協(xié)商可以在信任管理基礎(chǔ)之上，通過控制策略等方式來保護用戶的隱私，提升協(xié)商的成功率.

2.1 用戶隱私訪問控制保護策略

雖然自動信任協(xié)商已經(jīng)成功制定出比較完善的訪問控制方式，可以全面保護用戶的隱私，但是相關(guān)學(xué)者指出，當(dāng)前所使用的方案比較極端，只有揭露所有敏感屬性和任何敏感屬性都不揭露者兩種工作模式，這種模式是不能滿足所有應(yīng)用需求的.通常情況下，如果權(quán)威機構(gòu)需要給用戶生成屬性書，會將多屬性封裝在同一本證書當(dāng)中，通過簽名的方式來提升屬性集合法性.從不同協(xié)商的需求情況入手，對屬性進行劃分.通常可以將其劃分為協(xié)商相關(guān)屬性集、協(xié)商不相關(guān)屬性和敏感屬性集這三種屬性方式.在協(xié)商過程中，用戶需要對圖2中的屬性1以及屬性2進行分析，保證這兩點可以滿足訪問的基本控制需求.如果需要將證書以整體的方式來出示，則需要設(shè)計到圖2中所帶的屬性3以及屬性4，但是出示屬性3與屬性4之后，會產(chǎn)生一些和信任沒有關(guān)聯(lián)的協(xié)商，并且屬性5一旦出示，還會提升通信量.

圖2 屬性證書當(dāng)中屬性集劃分

所以，可以從自動信任協(xié)商評估指標(biāo)的實際情況來分析證書出示過程中會產(chǎn)生的問題.首先是產(chǎn)生和協(xié)商沒有任何直接聯(lián)系的敏感屬性，產(chǎn)生額外協(xié)商，這種情況會導(dǎo)致協(xié)商的輪數(shù)增加，進而降低協(xié)商的效率.其次是在進行自動信任協(xié)商的過程中不僅需要對協(xié)商相關(guān)的屬性集進行協(xié)商，還要對不相關(guān)的敏感屬性進行協(xié)商，很有可能降低其協(xié)商的成功率.從這一情況來看，可以將目前正在使用的自動信任協(xié)商框架進行調(diào)整，擬定科學(xué)化的訪問控制測量，對單體屬性保護以及細粒度訪問控制策略進行修訂，減少證書出示效率下降的幾率，提升其成功率.

2.2 屬性證書初始化階段及細粒度出示

在證書初始化階段中，請求方可以通過寫上生成密匙來對必須披露的屬性值進行加密，不想讓其掌握的屬性值可以通過散列函數(shù)的方式處理，在其三列以后交給證書發(fā)布者，讓證書的發(fā)布者對其中所有屬性生成進行證書A生成處理.在請求方可以繼續(xù)生成二進制序列，數(shù)列中的所有屬性都要和順序?qū)?yīng).其中數(shù)值為1的位代表屬性值通過加密，數(shù)值體現(xiàn)為0則代表沒有經(jīng)過加密或者是經(jīng)過散列處理.資源方受到加密之后的證書，可以對證書進行解密處理，對其中的敏感屬性值進行解密，和訪問控制策略進行一致性驗證.如果資源方認定披露屬性值有限，可以使資源方對證書的有效性進行判斷，結(jié)合不滿足訪問控制策略，利用反饋機制來促使其披露更多的屬性值.可以通過對比分析的方式對目前已有屬性可細粒度特征進行研究，理想情況下可細粒度出示證書方案必須滿足系統(tǒng)的基本特性，要和X.509v4兼容，使方案可以得到比較廣泛的認可.其次細粒度屬性證書必須要和權(quán)威機構(gòu)形成松耦合，將日后簽發(fā)機構(gòu)與證書的接觸機會控制在最小的范圍內(nèi).最后要在明確證書屬性以后來驗證簽名合法性，保證證書是可用的，對證書當(dāng)中存在的和協(xié)商沒有直接關(guān)聯(lián)的敏感屬性進行保護，保證方案的開銷可以滿足X.509v4標(biāo)準(zhǔn).當(dāng)前已有的研究成果雖然解決了一部分屬性證書當(dāng)中存在的細粒度問題，但是從性能、系統(tǒng)安全性以及系統(tǒng)管理的復(fù)雜程度等方面來看，還是存在許多不足之處的，為了將自動信任協(xié)商成功率及工作效率提升到最高的水平，必須擬定更加具有科學(xué)性的可細度證書出示方案.

3 保護敏感屬性的細粒度訪問控制策略

在之前已經(jīng)成型的自動信任協(xié)商當(dāng)中，訪問控制目標(biāo)不僅包含資源，同時還包含敏感證書.訪問控制工作需要通過協(xié)商的方式來證明能力，所以通常情況下可以將控制策略表示成（如圖3所示）.

圖3 控制策略示意圖

圖3 中，Constr表示協(xié)商對手所擁有證書的證書集約束，而R代表協(xié)商對手在出示證書集以后，可以獲取的相應(yīng)的權(quán)限.但是從目前自動信任協(xié)商的實際情況來看，協(xié)商能力需要通過認證機構(gòu)屬性集體來體現(xiàn)，證書只是其中單一的屬性承載體而已.通常情況下，單體協(xié)商人員可以擁有數(shù)量較多的權(quán)威機構(gòu)屬性證書，而不同的權(quán)威機構(gòu)可以通過對不同屬性集進行簽名制約的方式來提升協(xié)商者的合法性，使其可以合法地擁有這些能力.因為自動協(xié)商日常面對的用戶都屬于陌生用戶，所以作為協(xié)商者來說需要避免資源定制以及資源訪問策略的盲目性，如果產(chǎn)生了盲目性，可能會影響資源的擁有者對用戶真正有用的權(quán)利進行判斷，最終只能通過對協(xié)商對手證書當(dāng)中存在的權(quán)威機構(gòu)以及屬性類型等進行約束，才能保證資源訪問權(quán)限的實效性.所以針對這一實際情況，可以制定如下形式的訪問控制策略.

圖4 訪問控制策略示意圖

圖4 當(dāng)中，Constr表示在日常運行過程中需要對協(xié)商對手出示的屬性集約束情況，而R則代表受保護服務(wù)或者是其余的各種敏感屬性.對屬性的約束可以通過Attr表述，約束通過謂詞進行連接，所以可以對訪問控制策略進行完善，構(gòu)成圖5所示的形式.

圖5 控制策略完善結(jié)果

圖5 中，Constr代表單個屬性Attr約束情況，這種約束方式可以通過細粒度的方式到該屬性所屬的權(quán)威機構(gòu)中，雖然證書當(dāng)中存在的屬性會對細粒度產(chǎn)生一定的約束，但是在明確訪問控制策略的時候，都必須將一切工作建立在自動信任協(xié)商策略語言需求上.通常情況下，不同的權(quán)威機構(gòu)可以為相同的協(xié)商用戶提供大量的屬性證書，并且所有提供的證書當(dāng)中都是有權(quán)威機構(gòu)簽名的，可以保證這些證書的合法性以及多屬性.對敏感屬性進行保護時，需要明確控制策略，控制策略制定方必須擁有對多本證書當(dāng)中任何一個屬性組合進行約束的能力，可以通過謂詞來實現(xiàn)這一能力.策略會對屬性值有一些約束，同時也會對證書鏈產(chǎn)生約束，這些約束類型都可以歸納到細粒度約束中.證書當(dāng)中存在的所有屬性都可以通過二元組來表示，且從實際情況來看，屬性值取值范圍和屬性的類型有著直接的聯(lián)系.面對證書頒發(fā)者時，可以通過Constr對其進行約束.在對敏感屬性細粒度訪問策略進行保護時，可以從不同單位屬性約束量上入手，對其中至少三個元組進行約束，保證自動信任協(xié)商可以滿足屬性值和證書鏈在約束方面的基本需求.因為互操作性必須從工程實踐經(jīng)驗上入手，才能明確互操作性工作模式.作為單體策略來說，如果要做到互聯(lián)互通，就必須具有標(biāo)準(zhǔn)格式以及標(biāo)準(zhǔn)的解析器，才能保證工作的正常開展.可以通過解析器完成標(biāo)準(zhǔn)格式策略操作，包含策略查詢、策略匹配等諸多方面的工作類型，并且要保證工作可以得到行業(yè)內(nèi)人的認可.而要獲得細粒度訪問控制策略的實效性，還需要通過元策略設(shè)計、復(fù)合策略設(shè)計、策略矩陣的化簡以及策略匹配等環(huán)節(jié)進行設(shè)計，結(jié)合目前國內(nèi)外先進工作技術(shù)，提升設(shè)計的科學(xué)性，使其可以更好地結(jié)合在一起，為細粒度訪問控制策略實效性提供基礎(chǔ)，保證其正常運行，提升數(shù)據(jù)保護質(zhì)量.

4 結(jié)束語

近年來，互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，雖然加速了社會發(fā)展，但是在資源共享方面經(jīng)常出現(xiàn)各種問題，影響互聯(lián)網(wǎng)的使用.上文從多角度出發(fā)，闡述了自動信任協(xié)商敏感屬性保護技術(shù)問題，針對細粒度訪問進行了詳細的分析，旨在提升自動信任協(xié)商敏感屬性保護質(zhì)量，促進社會更好更快地發(fā)展.

［1］王凱.自動信任協(xié)商中敏感屬性保護技術(shù)研究［D］.鄭州：解放軍信息工程大學(xué)，2012.

［2］劉百靈.自動信任協(xié)商中敏感信息保護機制及提高協(xié)商效率方法研究［D］.武漢：華中科技大學(xué)，2010.

［3］徐浩.虛擬組織中融合信任管理的自動信任協(xié)商關(guān)鍵技術(shù)研究［D］.北京：中國科學(xué)院研究生院（計算技術(shù)研究所），2012.

［4］廖俊國，洪帆，李俊，等.在信任協(xié)商中保密證書的敏感屬性［J］.通信學(xué)報，2012（6）：20～25.

［5］王爍楠，胡金山，王凌燕.信任協(xié)商中敏感信息保護的研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011（8）：67～69.

［6］安慶.對等網(wǎng)絡(luò)環(huán)境下基于信任協(xié)商的訪問授權(quán)模型的研究與應(yīng)用［D］.鄭州：解放軍信息工程大學(xué)，2012.

［7］王爍楠.網(wǎng)格環(huán)境下自動信任協(xié)商研究與技術(shù)實現(xiàn)［D］.鄭州：解放軍信息工程大學(xué)，2013.

［8］雷建云，余涵，蔣天發(fā)，等.自動信任協(xié)商中的敏感信息保護方案［J］.武漢理工大學(xué)學(xué)報，2012（3）：137～140.

［9］官尚元，伍衛(wèi)國，董小社，等.自動信任協(xié)商的形式化描述與驗證研究［J］.通信學(xué)報，2011（2）：86～99.