分类号UDC
TP393
学号密级
06069076公开
工学博士学位论文
信任管理的策略表示与量化模型研究
博士生姓名学科专业研究方向指导教师
王小峰计算机科学与技术
网络计算与安全苏金树教授Dr.RajkumarBuyya
国防科学技术大学研究生院二〇〇九年十月
论文书脊
信任管理的策略表示与量化模型研究
国防科学技术大学研究生院
OnthePolicyDescriptionandQuantificationModelforTrustManagement
Candidate:WangXiaofengSupervisor:Prof.SuJinshu&Dr.RajkumarBuyya
AdissertationSubmittedinpartialfulfillmentoftherequirements
forthedegreeofDoctorofEngineeringinComputerScienceandTechnologyGraduateSchoolofNationalUniversityofDefenseTechnology
Changsha,Hunan,
P.R.ChinaOctober,2009 国防科学技术大学研究生院博士学位论文 目录 摘要
1.1 1.2 1.3
电子商务、电子政务和电子社交等新的互联网应用得到广泛部署;各种新型分布式计算技术如P2P、Grid以及云计算等,也使得互联网应用更加简单高效。
然而互联网在给人们带来便利的同时,也给人类社会以及人机交互的信任关系带来巨大挑战。
面对陌生的用户和无法保证的服务行为,互联网的信任风险正急剧增大。
因此,一个可信的计算环境已成为互联网应用拓展的重要基础。
为了对互联网的信任关系进行有效管理,本文根据应用的需求层次将信任管理分为:基于身份的信任、服务属性信任、面向可靠性的信任和面向健壮性的信任。
针对前三个层次的信任关系,我们提出紧密相关的四个研究问题:如何设计功能强大的基于身份的信任策略描述语言;如何得到全面且健壮的服务属性信誉模型;如何结合基于策略和信誉的两种信任管理;如何应用信任关系来提高复杂网络应用的可靠性。
围绕解决这四个信任问题,本文主要的研究工作和成果是:
(1)提出一种支持分布式证明和协商的信任策略描述语言和方法现有的信任协商语言难以支持复杂的访问控制策略和协商策略,对信任分布式证明方法的支持也不够充分。
本文提出一种面向信任分布式证明和协商的策略语言RTP(Role-basedTrustProving)。
RTP通过对RT语言进行拓展,可以定义复杂的角色;增加lsign语法,能够定义逻辑推导角色并支持信任分布式证明;增加release谓词,可以保护信任证书的敏感信息;增加信任协商启发式规则,从而避免信任证书的盲目搜索。
文章详细阐述了RTP语言的语法构成,定义了RTP语言的推理证明规则,给出了语言的语义解释并证明了语言的可靠性和完全性。
基于RTP语言,进一步提出一个信任分布式证明协商算法DPN(distributedprovingandnegotiation)。
DPN通过本地信任协商和远程信任证明,可以高效地完成信任分布式证明任务。
文章利用信任图概念分析了算法的正确性和完整性。
实验表明,与传统的信任协商方法相比,DPN算法能够有效地减少信任建立时间和交互次数。
(2)设计了一个全面且健壮的基于信誉的信任评估模型基于信誉的信任管理在分布式系统中正变得越来越重要。
尽管信誉是信任概率的一个统计估计值,但现有大多数信任模型没有考虑信誉估计偏差;此外大多数研究工作采用相加方法聚合信誉反馈,容易遭受恶意反馈的攻击,且难以增强模型的健壮性。
本文提出一个健壮的线性马尔科夫RLM(RobustLinearMarkov)信誉模型,它的特点是通过对信誉评估偏差进行预测,从而能够得到更全面和健壮的信誉评估。
RLM模型将信誉定义成两个参数:信誉估计值和信誉估计方差。
为 第i页 国防科学技术大学研究生院博士学位论文 了聚合信誉反馈,我们提出新颖的卡尔曼反馈聚合方法,它能够支持健壮的信誉评估。
为了使模型能够抵御恶意反馈攻击,我们首先采用EM(ExpectationMaximization)算法自主校准模型的动态参数,从而能够减少不正确反馈信誉值对模型的影响;在此基础上介绍了基于假设检验的反馈检验方法,从而能够进一步抵抗恶意反馈的攻击。
文章从理论上证明了RLM模型的健壮性。
实验结果表明RLM信誉模型能够有效地评估信誉估计值和信誉估计方差,与其它信誉模型相比,RLM能够给出更准确的信誉评估,且具有更高的健壮性。
(3)设计了一种基于策略和信誉的混合信任管理系统现有的基于角色的策略语言只能定义[0,1]布尔类型的角色关系,难以支持更细粒度的访问控制,且这种静态的角色管理不能跟踪角色的授权行为,无法抵御角色域内的内鬼攻击。
为此本文设计了一个基于角色策略和信誉的混合信任管理系统RTE(Role-basedTrustEvaluation)。
RTE的信任策略语言通过信誉值参数支持信誉的管理,系统的信誉值计算包括信任经验和信任推荐,能够实现资源的细粒度访问控制。
另外,RTE通过定义信任合成算子,能够支持信誉值的网络传递和计算,进而可以根据角色的跟踪记录实现角色授权的动态管理,抗击角色域内的恶意行为。
文章给出了RTE策略语言的语法和推演规则,介绍了RTE系统的信任值计算,并给出了一个RTE系统进行混合信任管理的示例。
(4)提出一种面向可靠性信任的信誉模型及工作流优化算法当前基于信任的应用大多是基于一次交互的简单应用。
对于一个由多个作业顺序或并序组成的网络作业流,评估系统资源的可靠性并在此基础上为其提供面向可靠性信任的资源调度正变得日益重要。
现有的大多数用于评估资源可靠性的信誉模型没有考虑作业的运行时间,无法精确评估作业的可靠性;此外多数工作流调度算法采用基于列表的启发式,没有采用能给出更好调度方案的遗传算法。
本文提出一种可靠性驱动的RD(reliability-driven)信誉模型,利用资源的失败率来定义信誉,能够直接被用来评估作业的可靠性。
基于RD信誉,提出了一种前瞻的遗传算法LAGA(look-aheadicalgorithm)同时优化工作流的时间和可靠性信任。
LAGA采出一种全新的演化和评估机制:遗传算子只演化一个调度方案的作业资源映射,而调度的作业顺序由算法的评估步骤采用我们提出的max-min策略决定,该策略是第一个能在遗传算法中运行的两阶段工作流启发式。
实验结果表明RD信誉能够给出更准确的信誉和作业可靠性评估;LAGA能够给出比现有基于列表启发式更好的工作流调度方案,且比传统的遗传算法有更好的收敛性。
关键词:信任管理,策略,信任证书,信誉,健壮性,动态角色,可靠性,流调度 第ii页 国防科学技术大学研究生院博士学位论文 ABSTRACT Thebasedinformationsystemisingincreasinglyimportantforthehumansociety.Thee-business,e-governmentande-societyapplicationsarewidelydeployedonthe,andvariousputingtechniquessuchascloud,gridandputing,havemadethe-basedapplicationsmoreconvientandefficient.Althougththecanresultingreatbenefit,italsocauseshugechallengeforboththetrustinthehumansocietyandthetrustbetweenhumanandmachaine.Withtheunfamiliarclientandunknownservicequality,thetrustriskforanapplicationhasbeenincreasedconsiderably.Hence,atrustworthenvironmentesoneofthepreconditionsforfurtherimprovementofbasedapplications. ordingtotherequirementsofthebasedapplications,weclassifythetrustmanagementsystemintofourtrustlevels:theID-basedtrust,theutinity-orientedtrust,thereliability-orientedtrustandtherobustness-orientedtrust.Forthetrustinthefirstthreelevels,weputforwardfourcloselyrelatedquestions:howtodesignapowerfulpolicylanguagefortheID-basedtrustmanagement,howtogetprehensiveandrobustreputationmodelforaserviceutility,howbinethepolicy-basedandreputation-basedtrustmanagement,andhowtoapplythetrustinworksystemtooptimizeitsreliabilityorientedtrust.Tosolvethesefourquestions,ourworkinthispapercanbebrieflyintroducdasfollowing:
(1)DistributedProvingOrientedLanguageandMethodforTrustNegotiationMostexistingtrustpolicylanguagescannotsimultaneouslysupportthefollowingimportantcharacteristics:distributedtrustproving,plicatedesscontroldefinitionandnegotiation-relatedconstraints.ThispaperpresentstheRTP(role-basedtrustproving)policylanguagefordistributedtrustprovingandnegotiation.ThemaincontributionsofRTPinclude:throughentendingtheRTlanguage,itcanplicatedroles;withthepredicatelsign,itcandefinealogicroleandsupportthedistributedtrustproving;withthepredicaterelease,itcanprotectthepolicy’ssensitiveinformation;anditcanavoidtheunrelatedcredentialfetchingwiththehelpofthenegotiationheuristics.BoththesyntaxandsemanticsofRTPareintroduced.Inaddition,weprovedthesoundnesspletenessofRTPthroughthedefinatationofitsinferencerules.BasedonRTPlanguage,wedesignadistributedtrustprovingandnegotiationalgorithm,whichcancarryoutanefficienttrustconstructionthroughlocaltrustnegotiationorremotetrustproving.WealsodemonstratethesoundnesspletenessofDPNalgorithmbasedonthetrustgraph.OurexperimentsshowthattheDPNalgorithmoutperformsthetraditionaltrustnegotiationintermsofbothtimeandnumberofcredentialtransfers. 第iii页 国防科学技术大学研究生院博士学位论文
(2)AComprehensiveandRobustGeneralTrustModelforReputationEvaluationReputation-basedtrustmanagementisingincreasinglyimportantindistributedsystems.Althoughreputationisapredictionaboutthetrustprobability,mostexistingworkcannotassessthereputationpredictionvariance.Moreover,thesummationmethodiswidelyusedforfeedbackaggregation,butitisvulnerabletomaliciousfeedbacksanddifficulttobeprotected.ThispaperpresentsageneraltrustmodelRLM,whosehighlightistheuseofreputationpredicationvariancetogiveaprehensiveandrobustreputationevaluation.Concretely,wedefinethereputationbytwoattributes:reputationvalueandreputationpredictionvariance.Forfeedbackaggregation,weintroducethenovelKalmanaggregationmethod,whichcansupportrobusttrustevaluation.Tomakethemodelrobust,wedesigntheExpectationMaximizationalgorithmtomitigatetheinfluenceofamaliciousfeedback,andfurtherapplythehypothesistestmethodtoresistthemaliciousfeedback.Throughtheoryanalysis,wedemonstratetherobustnessofourdesign.OurexperimentsshowthatRLMmodelcaneffectivelycapturethereputationanditspredictionvariance.Comparedwithsomeothertypicaltrustmodels,RLMcangiveamoreuratereputationprediction.Moreover,ithasahighrobustnessundertheattackofmaliciousfeedbacks.
(3)ACombinedTrustManagementwithPoliciesandReputationValueMostexistingrole-basedpolicylanguagesdefinetrustasaBoolean-rolerelationship[0,1],whichcannotsupportfinegranularityesscontrol.Inaddition,thecurrentstaticrolemanagementsystemcannottracktheauthorizedroleusagetodefendthemaliciousrolebehavior.Inthispaper,weproposeatrustmanagementsystemRTEwhichbinetheadvantagesofboththepolicy-basedandreputation-basedtrustmanagement.ThepolicylanguageofRTEcansupportthetrustvaluemanagementthroughaddingtheparameterofreputationvalue.putethereputationvaluebythetrustexperienceandtrustmadetion,sothatRTEcangiveafinegranularityesscontrol.Inaddition,throughdefiningatrustaggregationoperatorforthework,RTEcantracktherolebehavior,hence,itcandynamicallymanagetheroleanddefendthemaliciousrolebehavior.BoththesynaxandtheinferencerulesofthepolicylanguageinRTEareintroduced,andwegiveademonstratingexapleofhowtomanagethetrustwithRTE.
(4)Reliability-orientedReputationandItsApplicationinWorkflowOptimizationMostexistingworkusedthereputationtomakeadecisionforasimpleapplicationwithonlyonetransactioninvolved.Foraworkflowapplication,whichposedofmanysequentialorparemeralltasks,providingareliableschedulingbasedonresourcereliabilityevaluationisingincreasinglyimportant.Mostexistingreputationmodelsusedforreliabilityevaluationignorethetaskruntimeinfluence.Moreover,tooptimizemakespanandreliabilityforworkflowapplications,mostexistingworksuselistheuristicsratherthanicalgorithms(GAs)whichcanusuallygivebetter 第iv页 国防科学技术大学研究生院博士学位论文 solutions.Hence,inthispaper,weproposethereliability-driven(RD)reputation,whichistimedependentandcanbeusedtoevaluateatask’sreliabilitydirectlyusingtheexponentialfailuremodel.BasedonRDreputation,weproposealook-aheadicalgorithm(LAGA)tooptimizebothtimeandreliabilityforaworkflowapplication.LAGAusesanovelevolutionandevaluationmechanism:theevolutionoperatorsevolvethetask-resourcemappingforaschedulingsolution,whilethesolution’staskorderisdeterminedintheevaluationstepusingourproposedmax-minstrategy,whichisthefirsttwophasestrategythatcanworkwithGAs.TheexperimentsshowthattheRDreputationcanimprovethereliabilityforanapplicationwithmoreuratereputation,whileLAGAcanprovidebettersolutionsthanexistinglistheuristicsandevolvetobettersolutionsmorequicklythanatraditionalicalgorithm. Keywords:trustmanagement,policy,credential,reputation,robustness,dynamicrole,reliability,workflowscheduling 第v页 国防科学技术大学研究生院博士学位论文 第vi页 国防科学技术大学研究生院博士学位论文 第一章绪论 本章首先介绍我们进行互联网环境下信任问题研究的背景,然后针对当前网络应用的信任需求,陈述本文关注的四个信任研究问题,以及我们的解决方案和论文贡献,最后给出全文的组织结构。
1.1问题背景 随着网络技术和计算机技术的快速融合,基于互联网的应用呈现出爆炸式的发展态势。
政府、企业和各科研机构纷纷将自己的应用系统部署到互联网上,以便于信息共享和提高工作效率;而各种新型分布式计算技术也使得基于互联网的应用更加简单高效,典型技术包括云计算、Grid以及P2P技术等。
所有这一切都促使互联网成为世界上最大的人造信息系统,并构成了一个分布协同的虚拟信息社会。
互联网信息社会在给人们带来方便的同时,也给系统和应用的信任关系带来了巨大的挑战。
正如PeterSteiner所说“在世界里,没人知道你是一条狗”;DavidNicol则说“在世界里,每个人都可以说你是一条狗,但没人知道你会不会咬人”[2]。
这实际说明了网络世界中的身份信任和行为信任两个问题。
因此,如何在互联网环境中,对用户的身份信任和行为信任进行有效管理成为互联网应用拓展的重要基础。
而这一挑战已经超出了传统网络安全处理的范畴,为此,人们提出了各种信任管理技术。
本节首先介绍分布协同的互联网计算环境的基本特点;然后阐述新的计算环境下一些典型的信任挑战以及技术难点;最后论述目前被广泛关注的信任管理技术。
1.1.1互联网与信任 作为计算机技术与通信技术融合的产物,互联网正从传统的计算机通信平台演变为无处不在的分布式网络计算平台。
过去,人们努力使计算机具有联网功能,现在则是强调网络具有计算能力。
尤其随着各种移动个人计算PC(PersonalComputing)设备的广泛部署和应用,互联网已成为人们生活工作的必备工具和载体。
人们将更多的带有隐私和安全要求的个人信息交由互联网存储或处理,如公共邮件系统以及各种社会网络平台(Facebook,校内网等);原先服务于单个组织、政府或科研机构的应用系统正快速转变为面向互联网的开放式系统,电子商务、电子政务以及电子科学(e-science)等应运而生,以便能更好地处理和共享服务。
受到需求的驱动,工业界和学术界提出了多种网络计算技术(如网格计算、 第1页 国防科学技术大学研究生院博士学位论文 对等计算和云计算)。
随着面向服务体系架构SOA(ServiceOrientedArchitecture)和软件即服务SaaS(SoftwareasaService)等理念的日益成熟,软件系统应用模式凸显出网络化和服务化的趋势。
无论网格计算,对等计算还是云计算均是从不同侧面对面向网络的分布计算模式进行积极探索,它们的共同之处是如何基于开放、动态的网络计算环境,实现可信、协同的资源(包括计算资源、数据资源、软件资源以及服务资源等)共享和有效利用[16]。
由于互联网上各类分布异构资源缺乏有效的安全控制和组织管理机制,可协同、可管理和可信任成为互联网应用系统的三个基本问题。
具体地,可协同性问题是指如何跨自治域进行资源共享和协同工作;可管理性问题是指如何将异构、庞大的网络资源进行有效地聚合与管理;可信任性问题是指面对大量不可控和缺乏信任基础的服务资源,如何保证共享和协同资源之间可靠和相互信赖的信任关系[16]。
可信任作为基于互联网应用系统的基本要求,它在新的计算环境和应用模式中面临诸多新的挑战。
如何在互联网环境下对信任进行有效管理,以适应计算环境和应用模式发展的需要,已经成为当前的热点问题。
互联网环境下,信任管理的需求主要根源于互联网资源的一些自然特性。
1.分布无中心性 互联网作为一种分布式计算系统,用户可以从任何地方简单动态地访问并处理数据,这给安全管理带来了极大的挑战。
为了管理分布的用户访问,一个重要的解决方案就是通过安全架构对用户进行等级划分。
在集中式管理系统中,解决该问题只需维护一个安全服务器就可以完成用户安全等级的分配和认证问题。
但是在分布式计算环境中,由于存在多个安全域,安全等级的管理机制与集中环境相比有着更大的复杂性。
需要一个有效的安全框架通过标准的安全协议来屏蔽不同安全域之间的差异,同时保证不同的安全域仍可以有效地保护内部的各种资源。
分布式安全框架及协议首先需要一个有效的用户身份管理机制。
传统的解决方案是把各个安全域中的用户映射到一个统一的环境中。
在网络规模和用户数量有限的情况下,该机制还可以对用户身份进行静态分配。
但是,随着网络用户数量的不断增加,这种静态分配用户身份的可操作性就变得越来越低。
而系统的无安全控制中心特性,使得难以形成集中的资源授权和信任关系定义。
这需要多域联盟、推荐及委托等信任机制的支持,使得信任的网络传递管理成为互联网环境下信任管理的一个重要问题。
2.自治性 自治性是指互联网资源具有局部自治、自主决策的特性,用户节点作为资源的所有者,基于“自愿参与、自主协同”的原则自发构造系统的行为。
例如,互 第2页 国防科学技术大学研究生院博士学位论文 联网上很多资源是面向特定组织和个人的,资源提供方既可以根据资源请求方的要求向它提供资源,也可以拒绝提供资源。
在P2P和Grid为代表的互联网自治系统中,节点作为用户的代理,一个基本的特征是其在参与系统过程中的自主性。
在自治系统中,无论节点的加入、退出,还是系统内部节点间的相互通信和服务,都是由节点自身发起和唯一决定的,节点的行为不受系统本身的直接控制。
互联网资源的自治性使得系统中的节点行为只取决于其自身的利益或准则,无集中控制。
正因为如此,相对于传统的分布式计算系统,基于互联网的应用系统在运行特征和运行轨迹上通常都表现出更大的不确定性和动态特征[21],资源的行为更加无法控制,而这对资源的信任问题带来无比挑战。
3.协同性 互联网系统中,系统应用通常都会涉及到多自治域间的服务调用和组合。
为此,一个首先需要解决的问题是如何在陌生的来源于不同自治域的实体间促成协同活动。
所谓协同是指多个资源为完成共同任务而进行的交互、同步和计算的过程。
由于互联网资源具有分布自治性,各个管理域在互联网环境下广泛分布,可能跨越多个国家;每个管理域都有各自的资源访问控制规则以及协商策略,不同的管理域会使用不同的规则。
这些都使得如何在互联网资源间协同地建立信任成为跨域协作的瓶颈性难题。
它意味着需要在大量的机器上,根据不同自治域的各种要求,同时同步一个统一的信任策略集合,并根据这个策略集合,对来自不同自治域的用户进行统一管理。
4.异构动态性 异构性是指互联网资源属性存在广泛差异的特性。
这些差异增加了资源统一建模和管理的难度。
动态性是指互联网资源规模不断膨胀、资源关联关系不断变化的动态特性。
互联网是一个不断成长的开放系统,其覆盖地域不断扩大,大量的分布异构资源不断更新与扩展。
随着互联网应用的扩展与深入,资源及其关联关系也在不断动态演化,相应的资源特征信息也必将不断的扩充和变化。
其次,系统的动态演化特性,体现为主体的加入退出行为频繁,导致协作环境及信任关系随需而变,对有效的信任管理需求增强。
1.1.2信任关系的挑战 互联网计算环境的分布无中心性、自治协同性和异构动态性对信任管理提出了新的要求。
下面通过分析三个典型的信任关系挑战问题,进一步具体介绍互联网环境下信任管理需解决的问题。
第3页 国防科学技术大学研究生院博士学位论文
1.跨域访问控制的信任问题跨安全域的资源访问控制是分布协同系统首先需要解决的问题,下面我们引用文献[62]中的一个例子简要说明跨域进行访问控制信任建立的问题。
图1.1医疗急救中的访问控制信任 实例1(医疗紧急救助):如图1.1所示,在对Alice实施的一次医疗急救中,急救中心FirstAid需要向Alice曾就医的医院Hospital请求访问其电子病历
R,然而,R涉及到Alice的个人隐私信息,属于敏感资源,所以,Hospital制定了相应的保护资源R的访问控制策略:只有Alice本人及急救中心才能调阅
R。
在协议消息交互过程中,各方会根据其独立的协商策略披露相应的消息项,如,FirstAid只要提交当地卫生署为其签发的急救中心信任证书,就能快速地访问到病历
R。
因此,建立跨安全域之间的信任通常面临着如下几项本质问题:
(1)当隶属类似于实例1中的机构FirstAid和Hospital两个独立安全域的陌生主体进行资源访问时,如何提供一种有效的方法和机制,以动态地建立两者的信任关系?
(2)当开放网络中的协商主体在维护其自治性和隐私性时,需要什么样的访问控制策略和信任证书(如实例1中Hospital制定的访问控制策略和FirstAid拥有的信任证书)?
(3)对资源的访问控制结论,不再是单纯的Yes或No,需要根据各自的协商策略给出相应的提议,以支持进一步的协商:既要实施信息保护,又要达成联合协作。
因此,如何建立协商策略机制以兼顾二者的要求?
(4)此外,信任的建立将依赖于一套完整的协议,例如,在实例1中体现为机构FirstAid和Hospital的消息交互过程。
第4页 国防科学技术大学研究生院博士学位论文
2.不可信甚至危害性服务问题 在分布协同的计算环境中,没有集中控制的服务器。
每个参与节点可能具有不同的动机,并且不同的节点具有不同的能力,由此导致系统可能存在不可靠甚至危害性的服务资源。
不可靠服务的具体表现是提供不真实(例如虚假的文件下载)或与所声明服务质量不符的服务,其目的通常是降低系统整体服务的可靠程度,使得用户难以获得真实可信的服务,从而降低或破坏其对于系统本身的信任,影响系统的健康运行以及进一步的扩充和发展。
仅就P2P文件共享系统而言,以不可信文件为代表的不可靠甚至危害性服务问题已成为影响其整体应用价值的关键问题之一[25]。
2005年学者对KazAa中最流行的100个文件的统计发现,其中不可信文件的比例平均超过了50%以上[26];而Gnutella系统内部不可信文件的泛滥已使之作为一个具有应用价值系统的地位基本丧失。
3.网络节点自私性问题 分布自治的计算环境存在另一个主要问题,即节点的自私问题。
系统的每个节点只追求节点本身的利益最大化,而忽视整个系统的性能。
P2P网络中,典型的自私问题包括搭便车(Free-Rider)和资源无节制使用(TragedyoftheCommons)问题。
搭便车特指那些加入系统后总是使用其它节点共享的资源,却很少或从不提供资源共享的节点。
搭便车现象的泛滥,直接导致了以Gnutella为代表的很多P2P文件共享系统内部可用资源的不足。
资源无节制使用问题是指网络带宽作为一种非排他占有的公共资源,被各种P2P节点无节制使用的现象。
研究表明,P2P节点无节制使用网络带宽的行为已经成为影响互联网应用价值[36]的重要问题。
节点的自私问题主要源于节点对其它节点成为“优秀公民”的不信任,以及系统缺乏监督和激励机制。
如何建立节点对其它节点以及系统惩罚和激励机制的信任,成为一个分布自治系统能够吸引资源,稳定发展的基本要求。
以上三个问题基本反映了互联网环境所面临的信任建立问题。
第一个挑战涉及如何根据用户身份的不同进行资源访问控制,我们将它称为基于身份的信任问题。
后面两个问题不同于传统的系统安全性[39,40]问题,它们是自治节点参与系统过程中产生的对系统造成不良影响的行为,我们称之为基于行为的信任问题。
信任是人类社会的重要基石之
一,在社会科学、技术科学、商业等诸多领域中都发挥着关键作用。
它长期以来被认为是主观的、不精确的、不可靠的、甚至不可信的,缺乏科学的系统的研究,尤其是缺乏形式化的定量研究。
随着互联网的出现和发展,人们对信任进行形式化研究的要求变得越来越迫切。
作为当前计算机科学中仍处于探索阶段的领域,信任管理技术的研究面临着诸多挑战。
1.1.3信任管理的提出 第5页 国防科学技术大学研究生院博士学位论文 在互联网计算环境中,为了应对各种新的信任建立挑战,信任管理逐渐成为一个重要的安全技术。
下面从技术演化的角度,简要概述基于身份的访问控制信任管理和基于信誉评价的信任管理技术。
1.基于身份访问控制的信任管理 基于身份访问控制的信任管理主要通过身份进行资源访问信任关系的管理。
计算机安全是一个具有30多年历史的研究领域,以认证(authentication)、授权(authorization)和审计(audit)为基础的AAA安全是实现系统安全性的主要安全技术[25]。
认证是访问控制的基础,是分布系统安全的重要基础设施。
授权管理是一类具有服务质量保证和管理性质的技术。
审计是对授权行为的监控,是计算机安全的必备要素。
基于AAA技术的资源访问控制是计算机安全的核心内容,其研究范围涵盖访问控制策略、访问控制模型和安全管理等诸多研究分支,核心任务是确保资源访问限于具有合法权限的主体,同时保证具有合法权限的主体能够访问到相应资源[26]。
计算机系统形态经历了集中式主机系统、客户/服务器系统和基于互联网的系统三个主要阶段[129]。
相应的,计算机资源访问控制也从传统的访问控制、分布式访问控制、逐步发展到面向互联网的信任管理技术阶段。
早期的访问控制技术主要关注多用户主机系统的资源共享问题。
针对操作系统和军事信息系统的不同安全需求,人们提出了自主访问控制(DiscretionaryessControl,DAC)[27]和强制访问控制(MandatoryessControl,MAC)[29]两类具有代表性的访问控制策略。
由于DAC和MAC在解决商业组织安全问题时存在局限性,自1992年起,人们提出多种基于角色的访问控制(RoleBasedessControl,RBAC)模型[33,34,35,36]。
早期的访问控制技术主要采取集中方式进行管理,在可伸缩性和灵活性等方面存在局限性,由此人们提出分布式访问控制技术。
它的一个重要特点是将传统访问控制技术与密码技术结合,访问能力和主体身份的分布化是这个阶段研究工作的主要特点。
上世纪80年代末至90年代初,出现了大量研究多级访问请求、多级认证和特权委派的研究工作[64,65,66],这类系统的主要目标是实现信任链中的分布式身份推演和委派机制。
分布式访问控制技术适用于以身份集中管理方式进行的分布式应用系统。
但是基于PKI的安全技术依赖于全局命名体系,在实践中面临诸多难题[13];此外,在域间授权活动中,主体身份对服务方可能是陌生的,身份不足以作为授权的依据。
为此学者们提出信任管理(TrustManagement)的概念[18],它被定义为:“采用一种统一的方法描述和解释安全策略、安全凭证和用于直接授权关键性安全操作的信任关系”[9]。
信任管理系统把授权决策转换为一种满足性验证(ProofOf 第6页 国防科学技术大学研究生院博士学位论文 Compliance)问题:“凭证集C是否能证明操作A满足本地策略P”,其中C是请求方和授权方收集的凭证,A是请求方希望执行的操作,P是授权方的本地策略。
信任管理是一种面向分治系统的访问控制方法,基于委派实现灵活可伸缩的授权,能够有效解决陌生人授权问题。
2.基于行为信誉评价的信任管理 访问控制和授权管理关注的是用户的身份可信问题,信任管理还需解决用户的行为可信问题。
用户的行为可信是指终端用户的行为是否可以评估、可预期、可管理、对网络设备和数据是否会造成破坏或毁坏。
传统的安全机制可以解决用户的身份信任问题,但并不能处理用户的行为信任问题。
例如在数字化电子资源的订购方面,大学生通过合法可信的身份(学校的IP地址或帐号)可以登录到学校定购的数字资源服务器上,但他的行为却有可能是不可信的。
例如,某些学生在校内使用网络下载工具大批量下载学校购买的电子资源,再通过私设代理服务器牟取非法所得等,即用户的身份是可信的,但用户的行为不一定可信。
用户行为信任的研究最初来源于社会学、经济学和心理学等领域。
在计算科学领域,信誉作为对用户行为信任的管理技术,它在很多研究方向中得到关注。
在文献[8]中,Jøsang是这样定义信誉的:信誉是关于某个人或某件事的特征或者立场的大众观点。
由于信誉系统能够提供信任信息的聚合、过滤以及排序的功能,它在很多领域都被广泛应用,如分布式系统和应用[85,86,87,88,95],多Agent系统[90,91],基于Web的服务[92,93]和推荐系统[84,106,110]等。
1.2本文研究的信任问题 针对分布协同的互联网环境,本课题把信任管理按可信系统的需求层次进行划分,并对部分重要且相关的信任问题进行研究。
如图1.2所示,我们根据互联网系统的需求层次将信任分为四个层次:
1.基于身份的信任(IDTrust)。
可信系统首先需要保证服务资源只能被使用真实身份且已被授权的用户访问,即保证合法的用户和合法的访问。
该层次信任主要用于解决系统的资源访问控制,因此也称系统访问控制的信任。
2.服务属性信任(UtilityTrust)。
在身份信任的基础上,即当用户使用适当的身份获取具有某些属性的服务后,可信系统还必须确保该用户正确使用该服务属性,即保证用户的服务操作行为合法。
例如,在云存储计算环境中,如果某些合法的存储服务商被允许出售保密数据存储服务,那么可信存储环境就必须确保该服务商能够提供保密存储的服务属性。
服务属性信任主要依靠服务的信誉来管理,因此也称为基于行为信誉的信任。
第7页 国防科学技术大学研究生院博士学位论文
3.面向可靠性的信任(ReliabilityTrust)。
在服务属性信任的基础上,可信系统还必须保证某种属性服务的可靠性,即用户提交的任务能够在保证服务属性的前提下,顺利完成。
例如,在上例中,系统需保证用户的保密数据存储不会在用户撤销之前,因物理故障等原因而丢失。
4.面向健壮性的信任(RobustnessTrust)。
在面向可靠性信任的基础上,可信系统还可进一步提供面向健壮性的信任。
也就是说,即使系统发生了一些故障,系统仍可以完成某些属性的服务。
图1.2互联网系统的信任层次划分 上面四种信任关系逐层叠进,最终完成可信系统的建设。
基于身份的信任作为系统访问控制的信任,是信任管理的基础;服务属性信任、面向可靠性和健壮性的信任都是对系统行为的管理,因此它们构成了系统行为信任的管理。
另外,基于身份和信誉的信任是对信任概念和内涵本身的管理;而面向可靠性和健壮性的信任乃是利用身份和信誉信任来提高系统的性能,因此它们属于对信任本体的进一步应用。
本文将对紧密相关的前三个层次的信任进行研究,如图1.2中蓝色标注的四个部分所示,本课题研究的四个问题如下: 1.2.1基于身份策略的信任描述身份策略即是基于身份的访问控制策略。
在基于身份策略的信任管理中,如何对分布式环境中跨安全域的资源进行访问授权管理成为当前的研究热点。
其中一个主要研究方向为自动信任协商(ATN,AutomatedTrustNegotiation)。
与传统基 第8页 国防科学技术大学研究生院博士学位论文 于访问控制列表的方法相比,它的特点是通过信任证书和访问控制策略的交互披露,资源的请求方和提供方自动地建立信任关系[51]。
目前对ATN的研究主要有两方面:信任证书的分布式放置收集方法以及策略语言的形式化描述分析。
信任证书分布式放置收集方法包括传统的信任协商和分布式证明两种方法[53],Bauer[54]分析认为分布式证明方法比传统信任协商方法更高效并能克服后者的一些缺点,如信任求证节点负载过大。
ATN策略语言的内容可分为资源访问控制策略和信任协商策略,一般情况下策略语言将两者分离并分别进行描述[52]。
策略语言的资源访问控制策略利用角色对权限的授权和委托信息进行定义,角色的描述能力越强对应用的支持就越大。
协商策略需提供对信任证书敏感信息的保护并避免信任证书的盲目搜索。
综合自动信任协商系统的上述特点,一个好的信任管理策略语言必须具有强大的资源访问控制描述能力,能够保护信任证书敏感信息,避免信任证书的盲目搜索并能支持信任分布式证明。
目前一些研究工作都只是对我们目标的某个方面提出解决办法,如[54]通过定义say谓词提出了一个信任分布式证明算法,但该算法不支持复杂的资源访问控制和信任证书信息保护;
N.Li在文献[55]中提出一种资源访问控制策略RT(Role-basedTrust-management)语言,支持参数化和连接两种复杂角色,但不能支持敏感信息保护;
J.Li[56]在RT语言的基础上通过加密信任证书技术支持敏感信息保护,但这两者都不能支持信任的分布式证明方法。
以上语言和方法之所以不能对信任分布式证明方法以及复杂的资源访问和信任协商策略提供全面支持,主要是缺少一个功能全面的策略描述语言。
1.2.2基于行为信誉的信任模型 建立健壮的信誉机制,实现可靠的信任评价,是基于信誉的信任管理系统成功的基础。
信誉是从历史行为记录中得到的一个关于信任概率的统计值。
通常情况下,信誉值可以通过两种途径进行计算:根据评估者自身经历的直接信任和根据信誉反馈的间接信任[8]。
为了能够计算直接信任,研究者提出了很多信誉模型,包括简单平均模型[83]、Bayesian模型[94]以及基于证据的信念模型[90,91]等,他们将信任量化成一个或几个确定性的估计值。
虽然信誉本质上是一个概率的估计值,但现有的这些信任模型大多忽略了概率估计值的另一个重要属性:概率估计方差。
信誉(可信概率)估计方差可以评估信誉估计值和真实信誉值之间的偏差,它在信誉系统中可以起到很重要的作用。
例如,一个服务资源真实的事务成功率是90%,一个服务消费者A与该服务资源进行了少量的事务交互,并根据自己的记录将该资源的信誉值确定为70%。
现有的信誉模型将不能支持评估者A对该信誉估计值的偏差进行评估,这将带来两个后果:
(1)评估者不能确定自己给出的信誉 第9页 国防科学技术大学研究生院博士学位论文 估计值的准确性,因而也就不能确定该多大程度的依靠该信誉评估做出决策。
(2)当评估者A将该信誉估计值作为反馈发送给其它信誉评估者B时,A无法通告B应如何聚合该信誉反馈从而能得到更准确的信誉评估。
为了能够聚合信誉反馈,一个很重要的问题是如何处理恶意推荐问题。
恶意节点对具有良好行为的节点进行诋毁提交负面的评价,对恶意行为的节点进行夸大提交正面评价,这将严重扰乱系统的资源配置,进而降低系统的性能。
目前的大多数工作采用相加的聚合方法[85,86,88,108],但是该方法很容易被恶意信誉反馈攻击[96]。
为了解决这个问题,很多研究工作通过计算信誉反馈的可信度来检测恶意反馈[96,103,108]。
这些反馈可信度计算方法一般都假设评估者知道整个信誉系统的一些全局信任知识[85,96,108],或者需要一些人为设定的感性参数[89,91],这种强假设条件在实际应用中可能是无法实现的。
这些基于相加方法的可信度检测技术之所以难以应用,原因在于相加的聚合方法缺乏对健壮性推测技术的支持。
虽然相加的方法容易进行反馈聚合,但这种感性的聚合方法没有统计推测理论的基础,容易被恶意节点控制。
综合上面的分析,为了能够得到更全面和健壮的信誉评估,我们需要研究如下问题:
1.如何在信任模型中考虑信任评估的方差,并同时给出信誉值及其评估偏差的估计,从而给出更全面地信誉评估;
2.如何用模型预测的方法来聚合信任反馈,从而能够避免使用感性的相加聚合方法,以支持对恶意反馈的抵抗;
3.如何能够自主的对信任模型进行健壮性的较准,从而能够在不需要全局信任知识及人为参与的情况下,模型能够自主准确地抵御恶意推荐攻击。
1.2.3基于策略和信誉的混合信任管理 基于策略的信任是一种理性信任,可以用布尔值表示。
基于信誉的信任是一种感性信,是主体对客体特定行为的主观可能性预期,取决于经验并随着客体行为的结果变化而不断修正。
基于策略和基于信誉的两种信任关系具有很强的互补性。
一方面在计算机的安全技术发展中,认证和授权、访问控制等都可以看作是基于策略的信任。
这种理性信任关系在安全控制领域一直发挥着重要的作用,它们是感性信任的基础。
另一方面,基于信誉的信任关系是一种感性信任关系,更符合人类对信任基本性质的认识,并弥补理性信任的不足。
感性信任试图通过模拟人类社会中的交互和信任关系,在计算机世界中建立起一种量化的互信关系,从而可以辅助决策制定。
另外,感性信任关系还可以表示信任关系的历史、现状和将来的发展趋势,可以应用于某些复杂领域的信任问题。
因此,感性信任关系在某种程度上弥补了理性信任的不足。
目前的大多数的信任管理都将两者分离开,单独进行信任关系处理。
对于理第10页 国防科学技术大学研究生院博士学位论文 性信任模型而言,它们将信任定义为一个客观的逻辑关系,可以抽象为0或
1。
但在实际的应用中,大多数情况下用户希望能够实现更细粒度的信任管理,比如该多大程度地相信一个经济分析师的投资推荐,而不仅仅是相信或者不相信。
另外,目前大多数基于角色的凭证管理技术是一种静态的信任管理技术,它不能跟踪角色的授权行为并动态管理角色关系,这将导致角色域内的用户行为无法被跟踪控制,并为角色域内的恶意行为提供了条件。
因此如何结合基于策略和基于信誉的两种信任,设计出一种混合的信任管理机制,成为我们的目标。
为此主要的研究问题包括:1.如何在基于角色的凭证管理中引入信誉属性,从而拓展普通意义上的角色描述能力;2.如何利用带信誉的角色关系进行更细粒度的授权管理。
3.如何通过角色的信誉值,自动探测角色域内的恶意行为,设计出健壮的角色管理技术,增强系统抵御内鬼攻击的能力。
1.2.4面向可靠性的信任模型及其优化 目前对信任本身的研究工作很多,但对基于信任关系的应用研究相对较少。
例如,学者们在P2P及社会网络中提出了很多信誉系统,但只有很少的研究工作[87]采用信誉来增强复杂系统的可靠性和健壮性,且大多数基于信誉的应用都比较简单如ebay等,都是一次事件交互应用。
另外,目前的大多数基于信誉的信任模型难以支持复杂应用系统的可靠性量化评估。
例如为了评估资源的可靠性,很多分布式和多agent应用[8,91,86,109]采用信誉系统来跟踪资源的历史行为。
然而这些信誉系统存在两个问题:
1.大多数信誉模型[8,108,121,86]将资源的信誉定义为该资源成功完成作业的概率,在信誉计算过程中,他们忽略了作业运行时间(大小)的影响。
2.在大多数基于信誉的资源调度系统中,运行在某个资源之上的所有作业具有相同的可靠性(成功率),它被定义为资源的信誉[87,121],也忽略了作业运行时间的影响。
针对上面提到的阻碍信任关系应用的两个问题,我们将研究适用于复杂应用可靠性评估的信誉模型,并研究利用该信誉对网络作业流的可靠性进行优化的算法和机制。
具体的研究问题包括:1.如何对分布式系统中资源的运行失败进行模拟,并提出一个基于可靠性的信誉模型,它能够实时的跟踪资源的失败率,并能提供作业可靠性的定量度量;2.如何利用我们的信誉评估结果,提出适用于复杂作业流的启发式规则;
3.如何根据资源的信誉评估结果,对系统的资源调度和管理进行优化以便达到最佳的稳定性和可靠性。
1.3论文的主要贡献 第11页 国防科学技术大学研究生院博士学位论文 针对上小节中我们提出的四个有关信任的研究问题,本文将分别提出我们的解决方案。
论文的主要贡献如下:
1.提出一种支持分布式证明和协商的信任策略语言和方法 现有的大多数信任策略描述语言无法对信任协商的需求提供全面的支持。
为此我们的目标是设计出一个功能全面的信任管理策略语言,它具有强大的资源访问控制描述能力,能够保护信任证书敏感信息,避免信任证书的盲目搜索并能支持信任分布式证明。
本文提出一种面向信任分布式证明和协商的策略语言RTP(Role-basedTrustProving)。
RTP语言的主要特点如下:1)对RT语言进行改进和功能拓展,从而使RTP语言的访问控制策略能够延续RT语言描述能力强的优点,可以定义复杂的角色如连接角色和带参数的角色。
2)语言中增加lsign语法,可以定义逻辑推导角色,且该新增类型角色是对传统角色定义的放松,能够支持信任分布式证明。
3)语言的信任协商策略增加release谓词,从而可以限制信任证书信息的传播,提供对信任证书保护技术的支持。
4)信任协商策略中增加prove和find谓词,可以定义信任协商启发式规则,从而避免信任证书的盲目搜索。
文章详细介绍了RTP语言的语法构成,定义了RTP语言的推理证明规则,给出了语言的语义解释并证明了语言的可靠性和完全性。
为了体现RTP语言的全面功能,本文还提出一个基于RTP语言的信任分布式证明协商算法DPN(distributedprovingandnegotiation)。
DPN算法通过本地信任协商和远程信任证明,可以高效地完成信任分布式证明任务。
另外通过信任证书限制策略和启发式规则,算法可以有效地保护信任证书敏感信息,并避免信任证书盲目搜索。
文章通过信任图的概念分析了算法的正确性和完整性。
我们的实验表明,跟传统的信任协商方法相比,DPN算法能够有效地减少信任建立时间和交互次数。
2.设计一个全面健壮的通用信誉模型 尽管信誉是信任概率的一个统计估计值,但现有的大多数信任模型没有考虑信誉估计偏差,因此无法估计信誉评估本身的准确性。
另外大多数现有工作采用相加的方法聚合信誉反馈,该感性方法容易遭受恶意反馈的攻击,且很难被拓展以增强健壮性。
为了能够得到一个全面和健壮的信誉评估,本文介绍了一种健壮的线性马尔科夫RLM(RobustLinearMarkov)信誉模型。
该模型的主要贡献包括:
(1)RLM模型将信誉评估表示成由信誉估计值和信誉估计方差组成的二维元组,从而能够得到更全面地信誉评估。
采用线性自回归方程定义信誉状态空间的 第12页 国防科学技术大学研究生院博士学位论文 演化,从而构成了一个隐马尔科夫过程。
(2)模型采用卡尔曼滤波方法聚合信誉反馈,通过反馈噪音方差这个模型参 数,卡尔曼聚合方法可以控制一个不正确反馈信誉值对模型的影响。
该性质能够支持模型进一步采用健壮性的统计推测技术以抵御恶意反馈攻击。
(3)设计了一个健壮性的模型校准方法。
为了计算模型中的动态参数,模型首先采用EM(ExpectationMaximization)参数估计方法,它能自动产生适当的反馈噪音方差从而减轻一个恶意反馈信誉值的影响;在EM基础上,模型进一步采用基于假设检验的反馈检测方法,可以抵抗恶意反馈的攻击。
文章通过理论分析,证明了模型的健壮性。
RLM信誉模型及卡尔曼反馈聚合方法完全基于统计推测理论。
据我们所知,RLM是第一个可以评估信誉估计方差的信誉模型,它能够给出更全面准确的信誉评估。
我们的卡尔曼反馈聚合方法以及模型校准方法能够抵御恶意反馈的攻击,并能自主地通过局部信任知识计算模型参数,无需人为设定参数。
另外,文章同时给出理论分析和实验结果,证明RLM信誉模型的有效性、准确性和健壮性。
3.设计一种基于策略和信誉的混合信任管理系统 基于策略(理性)和基于信誉(感性)的两种信任关系具有很强的互补性。
理性信任的静态安全机制是感性信任的基础,而感性信任的动态变化性则可以弥补理性信任的不足。
然而,目前大多数信任管理系统将两者分离,单独进行信任关系处理,它们无法提供全面的信任评估功能。
因此我们的目标是结合基于策略和基于信誉的两种信任,设计出一种混合的信任管理机制,它能够支持如下特性:1)信任管理语言能够支持带信誉属性的角色定义;2)支持细粒度的资源访问控制;3)信任管理语言能够支持信誉的网络计算;4)实现角色的动态管理,通过跟踪角色的授权行为,抵御角色域内恶意行为。
针对上文提出的目标,本文介绍了一个基于角色策略和信誉的混合信任管理系统RTE(Role-basedTrustEvaluation)。
RTE的信任策略语言通过在基于角色的信任关系语言中增加信誉值参数,从而能够在信任策略语言中支持信誉的管理。
RTE的信誉值计算包括信任经验和信任推荐,能够实现资源的细粒度访问控制授权。
另外,RTE的策略语言通过定义信任合成算子,能够支持信誉值的网络传递和计算,进而可以根据角色的跟踪记录,动态管理角色授权,抗击角色域内的恶意行为。
文章给出了RTE策略语言的语法和推演规则,介绍了RTE系统的信任值计算,并给出了一个RTE系统进行混合信任管理的示例。
4.提出一种面向可靠性的信誉模型及其在工作流优化中的应用 当前基于信任的应用都比较简单,大多是一次交互作业,缺少大规模的应用 第13页 国防科学技术大学研究生院博士学位论文 示范。
另外目前的信任模型难以支持复杂应用系统的可靠性信任量化评估。
为此,本文的目标是对信任的关键网络应用进行研究。
由于一个网络作业流是多个作业的顺序或者并序的结合,它具有大规模网络服务应用的典型特点。
因此,本文将通过对网格作业流的分析,提出一种基于信任的面向可靠性的作业流的调度系统。
另外,由于目前的基于信誉的信任系统大多忽略了事务交互的时间因素,无法支持复杂作业流的可靠性评估。
因此,本文还将研究如何量化信任以便在作业流应用中对作业的可靠性进行评估。
针对上文提出的关键信任应用的研究目标,本文首先提出一种可靠性驱动RD(Reliability-Driven)资源信誉模型,RD信誉模型采用与时间相关的作业失败率来定义资源的信誉,从而在信誉模型中考虑作业运行时间的影响。
此外,文章给出的RD信誉算法能够实时地跟踪信誉的变化,并可被用来直接评估作业的可靠性。
基于RD信誉,文章提出了一种前瞻的工作流遗传调度算法LAGA(Look-AheadicAlgorithm),它可对工作流的时间和可靠性信任同时进行智能的优化。
LAGA具有两个重要特点:
1.基于本文提出的资源优先级启发式,LAGA的遗传算子可智能地变异调度方案,避免传统的随机变异带来的问题;
2.使用一种新颖的演化和评估机制:遗传算子(交叉和变异)只负责演化调度方案的作业资源映射,而调度方案的作业顺序由算法的评估步骤采用本文提出的max-min策略进行智能决策。
本文提出的max-min策略是第一个能在遗传算法中运行的两阶段工作流启发式。
依赖该策略,LAGA能够避免BGA算法中的无效调度方案问题[137],且能够通过智能的演化方法达到更好的收敛性。
1.4本文组织结构 本文共分为七章,第一章为绪论,第二章介绍相关工作,我们提出的四个问题的解决方案将在第
三、四、五和六章中分别介绍,文章最后一章是总结。
各章节的主要内容安排如下: 第一章为绪论,首先介绍课题的背景:分析了分布协同的互联网环境对信任的需求,介绍了互联网环境下信任建立的挑战,并得出信任管理概念的由来。
然后详细阐述了本文关注的三个层次的四个递进信任管理问题。
针对四个信任问题,简要介绍了本文提出的解决方案以及理论和实验贡献。
本章最后是论文的组织情况。
第二章对信任管理的相关概念和工作进行了介绍。
陈述了信任的定义,以及它的基本性质和分类方法;介绍了网络系统信任的定义和内涵;分析了信任管理的需求及其种类。
针对基于身份策略的信任管理,介绍了策略信任证书的描述语 第14页 国防科学技术大学研究生院博士学位论文 言和分布式管理方法,给出了典型示例。
针对基于信誉的信任管理,总结了信任信息的存储和收集方法,介绍了信誉的多种数学模型。
第三章提出一种支持分布式证明和协商的信任策略语言RTP。
首先描述了RTP语言的语法结构和一个知识库示例,定义了语言的推理证明规则。
然后介绍了RTP语言的语义解释,并证明了语言的可靠性和完全性。
在RTP语言的基础上,本章提出一个信任分布式证明协商算法DPN,并分析了该算法的正确性和完整性。
最后本章通过实验说明了RTP语言及DPN算法给信任协商带来的性能提升。
第四章设计了一个全面健壮的通用信誉模型RLM。
首先描述了RLM信誉模型的各数学要素以及它们之间的关系。
然后介绍了模型的卡尔曼信誉反馈聚合方法,并证明了它对健壮性信誉评估技术的支持。
为了使模型能够抵御恶意反馈的攻击,本章描述了EM参数自主校准算法以及基于假设检验的反馈检测方法,并证明了模型的健壮性。
最后,本章给出了充分的实验过程,证明RLM模型的有效性、准确性和健壮性。
第五章陈述了一种支持信誉值的基于策略语言的混合信任管理系统RTE。
首先提出带参数信誉值的基于角色的信任关系语言,介绍了语言的语法和语义,并给出了带信誉计算的推导规则。
然后介绍了RTE系统中的信任计算方法,包括信任经验计算和信任推荐计算以及两者的合成方法。
最后,本章介绍一个基于RTE系统进行的资源访问控制实例。
第六章提出一种可靠性驱动的RD资源信誉模型,并在此基础上设计一种工作流调度算法。
首先介绍采用作业失败率定义的RD信誉模型,并给出能够实时跟踪信誉变化的RD信誉算法。
基于RD信誉,定义了面向可靠性和时间的工作流调度问题。
然后,本章提出了前瞻的遗传调度算法LAGA,介绍了算法的各个操作步骤,并分析了算法的时间复杂性。
最后,本章通过实验分析了RD信誉模型对信誉评估以及资源调度带来的影响、LAGA算法的性能以及我们提出的优先级启发式的效能。
第七章总结了本文的主要工作,并对下一步的工作进行了展望。
第15页 国防科学技术大学研究生院博士学位论文 第16页 国防科学技术大学研究生院博士学位论文 第二章信任管理的相关研究工作 可信作为系统能够稳定发展的基本要求,近年来在学术界和工业界都得到了广泛关注。
本章首先对信任及信任管理的概念进行总结和分析,然后介绍两种基本的信任管理技术:基于身份策略和基于行为信誉的信任管理。
2.1信任及信任管理 2.1.1信任 为了能够更好的理解信任概念的内涵,本小节将从信任的定义、性质以及分类三个方面对信任进行解释。
1.信任的定义信任作为人类社会的一个基本因素,它在社会组织中起到了决定性的作用。
例如在一个交通十字路口时,我们总会相信另一个方向的汽车会遵守信号灯的指示,从而做出我们的决策并得以顺利出行。
正是由于信任的重要性,信任研究得到了各个领域的关注,包括心理学、社会学、哲学等,随着时代的发展,又融入了商业管理、经济理论、工程学、计算机科学等应用领域知识。
由于信任具有复杂性和多面性的特点,目前学术界和工业界对于信任还没有一个精确的、广泛可被接受的定义,它通常被作为一种直觉上的概念加以理解。
围绕着信任,目前存在着各种定义。
牛津大辞典中信任被定义为“对某人或某物在可靠性、真实性、能力和实力方面的一种信念”。
Mayer[1]将信任定义为“基于对被信者某个行为的预测,信任方愿意接受相信对方的风险,而不管能否监视或者控制被信方”。
该定义着重强调了信任的风险,说明信任本质上是对接受风险的一种评估。
图2.1信任要素构成 如图2.1所示,Huang[2]等人给出定义“信任是一种心理状态,它包括三个方面:
(1)期望:信任者希望从被信任者获得的服务;
(2)信念:基于对被信任者能力 第17页 国防科学技术大学研究生院博士学位论文 和意愿的判断,信任者相信期望是正确的;
(3)风险意愿:信任者愿意承担信念可能的失败”。
D.Gambetta[3]给出如下定义:“信任(或不信任)是一方评价另一方或另一团体实际行为的主观可能性程度,评价是在对该行为进行监控(或根本不可能监控该行为)之前和与该行为对其自身行为产生影响的情况下进行”。
该定义给出了信任的几个重要特征:
(1)主观性,不同的个体对同一事物的看法会受个体喜好等因素影响而不同;
(2)可能性预期,信任的程度可表示为对事件发生概率的可能性估计;
(3)上下文相关,信任是对事物的某个方面而言的。
综合上面各种信任定义对信任属性的理解,我们将信任定义为: 定义2.1信任(Trust):信任是在特定时间段和特定上下文环境中,授信方(Trustor)对受信方(Trustee)的某种服务属性(serviceutility)在诚实性(honesty)、安全性(security)、可靠性(reliablity)以及可依赖性(dependability)方面的一种主观肯定。
信任也称为可信。
我们的定义限定了信任作用的时间(特定时间段)和条件(特定上下文环境),考虑了信任的本体构成(授信方,受信方及某种服务属性),明确了信任的关注因素(诚实性、安全性、可靠性以及可依赖性)。
服务属性的诚实性关注受信方是否真正拥有它所宣称的服务能力;安全性关注受信方是否能安全(保密和完整等)地提供服务;可靠性关注受信方提供服务的失败率;可依赖性关注依赖受信方的风险。
信任本身并不是事实或者证据,而是对于所观察到的事实的知识,而且它往往和一定的信任等级相联系[5]。
信任等级是对一个实体相信程度的度量。
信任等级可以是连续的,也可以是离散的,本文用信任度的概念加以描述。
定义2.2信任度(Trustworthiness):信任度是授信方对受信方信任程度的量化表示,也可以称为可信度、信任值、信任级别等。
2.信任的性质 信任的动态性是信任评估和可信赖性预测的最大挑战,它是由信任关系中的实体的自然属性决定的。
在现实世界中,信任的动态性(变化)既可以由实体的内因(endogenousfactors,例如实体的心理、性格、知识、能力、意愿等)引起,也可以由实体的外因(exogenousfactors,例如实体表现出的行为、策略、协议等)引起。
信任主体的内因很难由其他主体来判断和量化(即使非常有经验的心理学家也很难做到),而外因可以直接观察到,是可以进行预测、量化和推理的,也可以管理它们。
在信任关系中,某一时刻采样到的外因特征值是一个相对静态和稳定的量,采样的时间粒度决定了推理的准确程度。
外因是内因的外部表现形式,可以间接地根据外因去评估内因。
因此,信任的动态性是可以量化的,信任与各种因素的关系 第18页 国防科学技术大学研究生院博士学位论文 可用图2.2进行说明[6]。
图2.2信任的动态性关系 总结各种文献对信任性质的认识,综合考虑影响信任动态性的各种因素,本文将信任的性质归纳如下:
(1)主观不确定性:指随着上下文和时间的变化,授信方(trustor)不能清楚地判断受信方(trustee)的动态变化,只能根据以前的交互历史对信任进行评估;信任是授信方对受信方的一种主观判断,不同的实体会具有不同的判定标准。
即便对于同一受信方,相同上下文环境,相同时段以及相同行为,授信方的不同,给出的量化判断也很可能不同。
(2)上下文相关性:信任的具体状况与上下文环境紧密相关,离开具体上下文环境讨论信任问题是毫无意义的。
(3)不对称性:也就是信任关系是单向的,A信任
B,不表示B也信任
A。
(4)不完全传递性:信任关系一般不具有完全传递性,即A信任
B,B信任
C,不一定能得出结论A信任
C。
只有在某些特定的约束条件下,信任才具有一定的传递性。
推荐是比较典型的信任传播方式,是信任传递性的一种体现。
文献[2]通过形式化的描述说明关于能力的信任不具有传递性,而基于观念的信任具有传递性。
(5)时间异步性:指实体之间的对信任关系的评估结果具有时间异步性,解决问题的办法是对时间槽进行平均;信任会随着时间的推移而衰减,最为直接的表现是:越久远的信任评价,其说服力越差。
(6)多客面性:信任往往和受信方的多种属性相联系,受到多种属性的影响,是一个多属性作用融合的概念。
以在线购物为例,顾客对卖家的评价可能包括对其产品的质量、价格、服务态度和快递的速度等多个方面的评价。
3.信任的分类根据不同的标准,信任可以有不同的分类方法。
Zucker[7]在对美国经济领域的信任演化机制进行研究后,将信任分为三类:
(1)基于过程的信任,它来自于用户行为的历史记录;
(2)基于特征属性的信任,它来自于用户之间特征属性的相似性;
(3)基于机构的信任,它来自于用户所在机构的组成及法规等。
根据信任 第19页 国防科学技术大学研究生院博士学位论文 的内容、主体和客体的不同信任可被分为:服务提供信任、资源访问信任、代理信任、证书信任和架构信任(上下文信任)[8]。
文献[9]提出了另外一种信任划分:身份信任(IdentityTrust)和行为信任(BehaviorTrust),身份信任与实体身份认证的真实性有关,而行为信任与实体的声誉有关。
这种划分与基于证书和策略的信任机制和基于信誉的信任机制这两种信任管理技术形成了对应关系。
根据DonovanArtz[10]等人的观点,信任根据获取途径可分为:基于凭证的信任和基于信誉的信任。
前者又称为理性信任或者客观信任,后者又称为感性信任或者主观信任。
理性信任,指授信方在一定环境中相信受信方会以一定的方式执行或者不执行某项活动。
它的特点是相对精确、客观,表达为信任或不信任的两种选择,信任与活动没有直接的关系。
理性信任可以抽象为0或1的关系,也可以用布尔值表示。
这种信任关系本身就决定了信任或者不信任的条件,信任管理则根据信任关系判断“是”或者“否”。
感性信任,则主要从信任的定义出发,使用数学的方法来描述信任意向的获取和评估。
感性信任模型认为,信任是主体对客体特定行为的主观可能性预期,取决于经验并随着客体行为的结果变化而不断修正[3]。
在感性信任模型中,实体之间的信任关系分为直接信任关系和推荐信任,分别用于描述主体与客体、主体与客体经验推荐者之间的信任关系。
也就是说,主体对客体的经验既可以直接获得,也可以通过推荐者获得,而推荐者提供的经验同样可以通过其他推荐者获得。
感性信任模型放弃了实体间的固定关系,认为信任是一种经验的体现。
它对信任进行量化或者分级,通过经验、信誉或者风险分析来给出可信的概率,往往用[0,1]之间的实数或者不连续值来表示。
感性信任模型所关注的内容主要有信任表述、信任证据过滤、信任度量和信誉评估。
信誉评估是整个信任模型的核心,因此感性信任模型也称信誉评估模型。
理性信任和感性信任是信任管理在实际应用中的具体体现,并不存在矛盾[130]。
单纯地把信任限定为某一种类型的观点是存在局限性的[48,49,50],也不能因为某种信任否定另一种信任,两种关系决定了不同的信任方面,在信任系统中是可以并存的。
而且,通过这种并存关系可以把确定因素的和不确定因素相结合,实现更加有效的信任管理。
我们所需要考虑的,更多的是根据特定的信任场景,决定采用何种信任关系和何种形式的信任模型。
2.1.2网络系统信任 关于可信,以前的大多数研究工作只是对两个实体之间的信任关系进行研究。
但是随着人类社会的发展,人们需要更多地与经济社会中的陌生人交往,这就对 第20页 国防科学技术大学研究生院博士学位论文 系统的信任提出了要求。
计算机互联网络系统作为人类活动的反映,网络系统的信任正变得越来越重要。
现实的发展对网络安全提出了更高的要求,希望在保障信息私密性、完整性和可用性的同时,保障网络系统的安全性、可生存性和可控性。
然而,目前互联网中普遍存在的脆弱性导致了它是不可完全信任的。
尽管人们提出可信系统的概念已经有一段历史,但是国际上对可信网络系统的探索才刚刚开始,基本概念和科学问题的认识还不深入。
自上世纪70年代初期,AndersonJ.P.首次提出可信系统(TrustedSystem)的概念以来[11],IT系统的可信性问题就一直受到学术界和工业界的广泛关注。
目前国际上对系统可信性比较有代表性的阐述主要有:ISO/IEC154O8[12]标准中指出,一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定物理干扰所造成的破坏;Microsoft、Intel、IBM和HP等公司组成的可信计算组织(TrustedComputingGroup)[13]认为:如果一个实体总是按照其设定目标所期望的方式行事,则称这个实体为可信的;从用户体验的角度,微软公司比尔盖茨认为可信计算是一种可以随时获得的可靠安全的计算,并包括人类信任计算机的程度,就像使用电力系统、电话那样自由、安全[14];Algridas和Laprie等人则将系统可信性表述为系统提供的服务可以被论证为可信任的,系统能够避免出现不能接受的频繁或严重的服务失效[15]。
从网络行为的角度,林闯等人认为可信的网络意味着网络系统的行为及其结果是可以预期的,能够做到行为状态可监测,行为结果可评估,异常行为可控制[16]。
具体而言,网络的可信性应该包括一组属性,从用户的角度需要保障服务的安全性和可生存性,从设计的角度则需要提供网络的可控性。
不同于安全性、可生存性和可控性在传统意义上分散、孤立的概念内涵,可信网络将在网络可信的目标下融合这三个基本属性,围绕网络组件间信任的维护和行为控制形成一个有机整体。
如图2.3所示,系统信任信息的维护过程可以分为信任信息输入、信任信息处理和信任等级或策略输出三个部分[16]。
信任信息采集提供具体的输入方式,主要包括:集中式安全检测,即通过在网络中设置专门的服务器,对某个范围内的网络节点进行脆弱性检测等信任信息的采集;分布式节点自检,即将部分监测功能交由网络节点中的代理完成,网络只负责接收检测结果;第三方通告,即由于不能直接对被测节点进行检测等原因,而间接地获得有关信息。
信任信息经过存储、传播和分析后,通过信任等级和策略输出用于驱动和协调需要采取的行为控制。
典型的行为控制方式有:访问控制,即开放或禁止网络节点对被防护网络资源的全部或部分访问权限,从而能够对抗那些具有传播性的网络攻击;攻击预警,即向被监控对象通知其潜在的易于被攻击和破坏的脆弱性,并在网络上发布可信性 第21页 国防科学技术大学研究生院博士学位论文 评估结果,报告正在遭受破坏的节点或服务;生存行为,即在网络设施上调度服务资源,根据系统工作状态进行服务能力的自适应调整以及故障的恢复等;免疫隔离,即根据被保护对象可信性的分析结果,提供到网络不同级别的接纳服务。
图2.3信任信息处理过程 文献[17]中,软件系统的可信被定义为“如果一个软件系统参与某应用环境的行为总是与预期相一致的,则称其在该应用环境中为可信(Trustworthy)的”。
它们关注的焦点包括1)身份可信问题:从安全的角度,要求资源的访问和利用总是处于规则允许的范围之内,其核心是基于身份确认的访问授权与控制;2)能力可信问题:从可依赖的角度,要求软件系统的功能是稳定和可靠的,对于客观失效(如网络故障、系统部件失效)造成的系统故障具有较好的承受能力,其核心是软件系统运行的可靠和可用性;3)行为可信问题:要求软件系统的行为总是处于系统限定的范围之内,或者系统对其的行为评价总是与对其承诺相一致。
总结上面对系统可信的理解,我们将网络系统可信定义为:定义2.3(网络系统的可信)如果一个分布协同的网络系统能够确保其系统行为是负责任的(ountable)、可预期的(predictable)以及错误容忍的(endurable),则称该系统是可信(trustworthy)的。
在我们的定义中,系统的可信首先表示的是系统的行为是负责任的,即系统中各要素对自己的行为结果负责,这主要包括要素实体身份和行为记录的真实、恶意行为的自动监测和系统通告。
其次,系统的可信要求系统行为具有可预测性,即系统可以提供满足用户QoS(时间、开销、满意度等)期望的服务。
另外,可信的系统还需保证一定的健壮性,即在系统的某些元素发生错误后,系统服务仍然能够保证一定质量的QoS服务。
2.1.3信任管理 为了能够在分布协同的网络环境中对信任关系进行有效处理,信任管理(TrustManagement)[18,19]的概念被提出。
它的基本思想是承认系统中信任信息的不完整性,系统的安全决策需要依靠可信第三方提供附加的安全信息。
信任管理的概念 第22页 国防科学技术大学研究生院博士学位论文 最初由AT&T实验室的
M.Blaze等人于1996年提出[18],旨在“采用一种统一的方法描述和解释安全策略、安全凭证和用于直接授权关键性安全操作的信任关系”。
基于该定义,信任管理的内容包括:制定安全策略、获取安全凭证、和判断安全凭证集是否满足相关的安全策略等。
信任管理要回答的问题可以表述为“安全凭证集C是否能够证明请求r满足本地策略集P”。
在一个典型的Web服务访问授权中,服务方的安全策略形成了本地的信任权威,服务方既可使用安全策略对特定的服务请求进行直接授权,也可将这种授权委托给可信任第三方。
可信任第三方则根据其具有的领域专业知识或与潜在的服务请求者之间的关系判断委托请求,并以签发安全凭证的形式返回委托请求方。
最后,服务方判断收集的安全凭证是否满足本地安全策略,并做出相应的安全决策。
Winsborough等人[51]称这类信任管理系统为基于能力(capability-based)的授权系统,它们仍需要服务方预先为请求方颁发指定操作权限的信任证书,无法与陌生方建立动态的信任关系。
Li等人提出了一种基于角色的信任管理框架(role-basedtrust-managementframework,简称RT)[55,65],代表了信任管理的最新研究水平。
由于信息安全的隐患源于多个方面,在利用属性信任证书和访问控制策略进行信任建立的过程中,可能泄露交互主体的敏感信息。
另外在具有多个安全管理自治域的应用中,为了实现多个虚拟组织间的资源共享和协作计算,需要通过一种快速、有效的机制为数目庞大、动态分散的个体和组织间建立信任关系。
而这种信任关系常常需要动态地建立、调整,并依靠协商方式达成信任关系。
为了解决上述问题,Winsborough等人[51]提出了自动信任协商(automatedtrustnegotiation,简称ATN)的概念,并成为当前的一个重要研究方向,它通过信任证书、访问控制策略的交互披露,资源的请求方和提供方自动地建立信任关系[27,51]。
上面介绍的基于凭证的信任管理系统本质是使用一种精确的、理性的方式来描述和处理复杂的信任关系。
但在信任管理思想提出之前和之后,都有一些学者,如
D.Gambetta,
A.Adul-Rahman等人,认为信任是非理性的[3,20],是一种经验的体现,不仅要有具体的内容,还应有程度的划分,并提出了一些基于此观点的信任模型。
Povey在
M.Blaze定义的基础上,结合
A.Adul-Rahman等人提出的主观信任模型思想[21],给出了一个更具一般性的信任管理定义,即信任管理是信任意向的获取、评估和实施[22]。
授权委托和安全凭证实际上是一种信任意向的具体表现。
在后续的研究中[19][20],信任管理被扩展定义为:以评估和决策制定为目的的、对应用中信任关系的完整性、安全性或者可靠性相关的证据进行收集、编码、分析和表示的行为。
证据可能包括凭证、风险评估、使用经验或者推荐信息。
分析过程是根据信任需求进行信任评估或计算的过程。
从上面的分析可以发现,目前的信任管理研究主要有两方面:
(1)基于策略和 第23页 国防科学技术大学研究生院博士学位论文 信任证书的信任管理,它对应的是理性信任或者客观信任关系的管理;
(2)基于信誉的信任管理,对应的是一种主观或感性信任关系管理。
下面两小节将分别介绍这两种信任管理技术的相关研究工作。
2.2基于身份策略的信任管理 基于策略的信任管理技术依赖于客观的“强安全(strongsecurity)”机制诸如签名证书和可信证书权威,目的是为了规范用户对服务的访问。
基于信任证书的访问决策通常基于具有良好语义定义的机制,该机制提供了强大的验证和分析支持。
下面简要阐述基于策略和信任证书的信任管理中的基本概念。
1.信任证书 信任证书(Credential):经过签名的信息或策略称为信任证书(也称为凭证),可简单示例为,分别表示实体的公钥信息、策略信息、颁发者实体的签名以及有效时间。
信任证书必须具有可证实性和不可伪造性。
按照用途的不同,信任证书可分为身份信任证书和属性信任证书。
身份信任证书主要应用于对安全级别要求高的系统,如军事系统和邮件系统。
其主要代表为基于PKI身份认证系统的X.509[28]。
属性信任证书则主要应用于方便管理和易于操作的系统,如图书资源共享管理系统和投票系统等,其典型代表为SPKI/SDSI[41]。
2.满足性检查算法 满足性检查算法(ComplianceCheckingAlgorithm,CCA)是信任管理系统的统一授权决策引擎,信任管理系统的授权模型语义由CCA实现。
如何构造CCA算法并对CCA计算复杂性与语言表达能力进行适当权衡是信任管理的核心问题。
3.授权授权(authorization)[30]是指分析用户提交的证书,根据证书上的属性值,为用户分配访问资源的权限。
用户对资源具有什么样的操作权限,或者能够享受到什么样的服务,都体现在系统对用户的授权上。
在基于身份认证的信任管理系统中,对用户的授权主要是激活用户对资源的相应控制操作。
例如,在MAC[31]系统中,用户身份直接对应着权限,系统对用户的授权则直接为其分配操作权限。
在基于属性认证的信任管理系统中,对用户的授权则是激活用户在系统中的角色。
例如,在RBAC[32]系统中,系统对用户的授权,则表现在将其关联到一定的角色。
4.委托 第24页 国防科学技术大学研究生院博士学位论文 委托(delegation)[33,34]是一种重要的安全策略,主要思想是系统中的主动实体将权限委托给其他主动实体,以便以前者的名义执行一些工作。
委托具有临时性,即角色的委托只是在某个时间段内有效。
在这个时间段内,使用角色的次数可能是有限的,并且可能仅在该时间段的一些周期性时间片内可用。
委托管理的一个重要问题是委托角色权限的传播问题。
为便于管理,必须限制权限的传播。
5.访问控制策略 访问控制策略(esscontrolpolicy)[35,51]是用来保护资源不被合法用户非授权访问,从而规范合法用户对资源的操作。
访问控制策略决定了在自动信任协商中暴露哪些证书以及这些证书暴露的先后顺序。
根据描述的复杂程度,访问控制策略可分为简单策略(元策略)与复合策略。
简单策略是组成复合策略的基本元素,它们的关系类似于元数据与数据的关系。
6.信任协商模型 信任协商模型(trustnegotiationmodel)[36,37,51]是协商双方在建立信任关系中所采取的暴露证书和访问控制策略的方式。
信任协商模型的选择,决定了协商双方将采用什么样的方式来释放证书和访问控制策略信息,对敏感信息个人隐私保护具有极大的影响。
本小节下面首先介绍信任策略和信任证书的描述语言,然后介绍信任证书的分布式系统管理,最后给出几个相关的例子。
2.2.1策略及信任证书描述语言 信任管理系统一般采用统一的信任管理语言描述策略和信任证书。
委派策略是信任管理系统的核心策略,能够极大的提高分布式授权的灵活性和可伸缩性。
对委派策略和其它典型访问控制策略的支持程度是衡量信任管理语言表达能力的重要标准。
访问控制策略[23,36,37]规定了访问受保护资源所需提供的信任证书集。
Seamons等人[36]通过分析四类访问控制策略语言,总结出信任协商策略语言需要满足的要求。
其中一项关键特征是强调单调性,因为在分布式广域协作环境中,很难判断某实体不拥有某种信任证书。
例如,某策略定义:如果你不是ACM的会员,就可以访问某类服务。
在分布式环境中,用户只要不提供ACM颁发的信任证书就能访问该服务,这就违背了策略定义的本意。
换言之,单调性就是保证在披露信任证书减少的条件下,不会导致最终授权集的增加。
对于访问控制策略的规范和管理,Leithead等人[25]基于本体论来研究如何在避免敏感信息泄漏的同时,简化 第25页 国防科学技术大学研究生院博士学位论文 策略的管理工作;而Skogsrud等人[59]借助状态机描述了ATN中访问控制策略的结构,并探讨了策略的生命周期管理等问题。
RT语言是基于角色信任管理(role-basedtrust-management)语言的简写。
RT定义了两类实体:主体(principal)与角色(role)。
主体是指由个体程序公钥等唯一证明的实体。
在信任管理系统里,RT语言[55,66]是一类语言的集合,包括:RT0,RT1,RTT与RTD。
RT0是RT的基础,它主要用来定义角色。
一个角色定义由两部分组成:头部与主体,用谓词连接起来。
根据处理类型来划分,可分为如下四种: 类型1:A.r←
B,定义主体B是角色A.r的成员,即B∈members(A.r)。
类型2:A.r←B.r1,定义角色B.r1的成员是角色A.r的成员,即members(B.r1)⊆members(A.r)。
类型3:A.r←A.r1.r2,定义角色A.r包含所有的角色B.r2,即members(A.r1.r2)=∪B∈members(A.r1)members(B.r2)⊆members(A.r);其中B是角色A.r1的成员;A.r1.r2是一个链接角色(linkedrole)。
类型4:A.r←B1.r1∩…∩Bk.rk,定义角色A.r的成员包含了角色集{Bi.ri}交集的所有成员,即(members(B1.r1)∩…∩members(Bk.rk))⊆members(A.r)。
此外,RT0还支持简单的委托,如A.r⇐B
P.R.ChinaOctober,2009 国防科学技术大学研究生院博士学位论文 目录 摘要
.................................................................................................................
i Abstract..............................................................................................................iii 第一章1.1 1.2 1.3
1.4 绪论......................................................................................................
1问题背景.........................................................................................................
11.1.1互联网与信任......................................................................................11.1.2信任关系的挑战..................................................................................31.1.3信任管理的提出..................................................................................5本文研究的信任问题.....................................................................................71.2.1基于身份策略的信任描述..................................................................81.2.2基于行为信誉的信任模型..................................................................91.2.3基于策略和信誉的混合信任管理....................................................101.2.4面向可靠性的信任模型及其优化....................................................11论文的主要贡献...........................................................................................
11本文组织结构...............................................................................................
14 第二章信任管理的相关研究工作.....................................................................172.1信任及信任管理...........................................................................................
172.1.1信任....................................................................................................
172.1.2网络系统信任....................................................................................202.1.3信任管理............................................................................................
222.2基于身份策略的信任管理...........................................................................242.2.1策略及信任证书描述语言................................................................252.2.2分布式信任证书协商管理................................................................262.2.3典型示例............................................................................................
292.3基于行为信誉的信任管理...........................................................................312.3.1信誉信息的存储管理........................................................................322.3.2信誉反馈搜集技术............................................................................352.3.3信誉模型............................................................................................
362.4小结...............................................................................................................
40 第三章面向身份策略的信任描述语言及证明算法...........................................413.1相关工作.......................................................................................................
42 第I页 国防科学技术大学研究生院博士学位论文 3.2RTP语言框架及语法....................................................................................443.2.1RTP语言知识框架............................................................................443.2.2RTP语言语法....................................................................................45 3.3RTP推演规则语义........................................................................................483.3.1RTP语言推演规则............................................................................483.3.2RTP语言语义....................................................................................49 3.4基于RTP语言的信任分布式证明算法......................................................513.4.1DPN算法描述...................................................................................513.4.2DPN算法性质...................................................................................53 3.5实验分析.......................................................................................................
533.6小结...............................................................................................................
55 第四章4.14.24.34.4 4.5 4.6 基于行为信誉的信任量化和聚合计算模型...........................................57相关工作.......................................................................................................
58RLM信誉模型.............................................................................................
59卡尔曼反馈聚合...........................................................................................
61健壮的RLM模型校准................................................................................634.4.1模型参数校准....................................................................................634.4.2恶意反馈检测....................................................................................65实验和结果...................................................................................................
664.5.1实验方法和指标................................................................................664.5.2RLM模型的有效性..........................................................................684.5.3RLM模型的准确性..........................................................................694.5.4RLM模型的健壮性..........................................................................72小结...............................................................................................................
75 第五章5.15.2 5.35.45.5 基于身份策略和行为信誉的混合信任管理...........................................77相关工作.......................................................................................................
77RTE策略语言...............................................................................................
785.2.1知识库框架........................................................................................785.2.2策略语言的语法................................................................................795.2.3策略语言的推演规则........................................................................80RTE中的信任计算.......................................................................................
81RTE资源访问控制实例...............................................................................82小结...............................................................................................................
84 第II页 国防科学技术大学研究生院博士学位论文 第六章面向复杂应用的信誉模型及工作流可靠性信任优化..............................856.1相关工作.......................................................................................................
866.2系统模型和假设...........................................................................................
876.3可靠性驱动的信誉管理...............................................................................896.3.1实时RD信誉计算.............................................................................896.4可靠性驱动的调度问题...............................................................................916.5可靠性驱动的工作流遗传调度算法...........................................................926.6实验和结果...................................................................................................
986.6.1实验环境............................................................................................
986.6.2RD信誉评估....................................................................................1006.6.3LAGA算法性能..............................................................................1026.6.4优先级启发式的有效性..................................................................1056.7小结.............................................................................................................
106 第七章总结与展望.........................................................................................
1077.1本文总结.....................................................................................................
1077.2未来工作.....................................................................................................
108 致谢............................................................................................................
111参考文献.........................................................................................................
113攻读博士期间取得的学术成果.........................................................................123攻读博士期间参与的科研工作.........................................................................125 第III页 国防科学技术大学研究生院博士学位论文 第IV页 国防科学技术大学研究生院博士学位论文 图目录 图1.1医疗急救中的访问控制信任.............................................................................4图1.2互联网系统的信任层次划分.............................................................................8图2.1信任要素构成...................................................................................................
17图2.2信任的动态性关系...........................................................................................
19图2.3信任信息处理过程...........................................................................................
22图3.1信任协商示例...................................................................................................
43图3.2RTP语言局部知识库框架................................................................................44图3.3例1Org的局部知识库KB.............................................................................45图3.4RTP语法的BNF描述.....................................................................................46图3.5DPN分布式证明协商算法..............................................................................52图3.6远程证明调用相关算法...................................................................................52图3.7应用角色结构图...............................................................................................
54图3.8两种算法的运行时间.......................................................................................55图3.9两种算法的交互次数.......................................................................................55图4.1RLM信誉模型图例............................................................................................
61图4.2测试节点的真实信誉值、反馈信誉值和RLM模型给出的信誉估计值.......67图4.3RLM模型给出的信誉估计值和真实信誉值之间的误差................................68图4.4模型评估的和真实的估计方差.......................................................................69图4.5RLM模型估计误差的累积分布CDF............................................................70图4.6信誉估计误差的CDF......................................................................................70图4.7信誉模型的NMSE...........................................................................................
71图4.8不同信誉反馈噪音情况下信誉模型的估计方差...........................................72图4.9不同信誉反馈噪音情况下信誉模型的平均估计方差...................................72图4.10恶意反馈情况下各信誉模型的NMSE..........................................................73图4.11恶意反馈情况下信誉模型的平均估计偏差...................................................74图4.12恶意反馈情况下模型的假阳性.......................................................................74图4.13恶意反馈情况下模型的真阳性.......................................................................75图5.1RTE系统的策略语言知识库框架..................................................................79图5.2RTE语法的BNF描述.....................................................................................80图5.3公司A的初始知识库.......................................................................................83图5.4信息交换后公司A的知识库...........................................................................83图5.5信任值更新后公司A的知识库.......................................................................84 第V页 国防科学技术大学研究生院博士学位论文 图6.1系统模型...........................................................................................................
88图6.2编码例子...........................................................................................................
93图6.3交叉遗传算子...................................................................................................
94图6.4变异遗传算子...................................................................................................
94图6.5不同资源速度情况下作业的归一化的失败概率...........................................99图6.6不同的资源失败率情况下作业的归一化的失败概率...................................99图6.7基于传统信誉和RD信誉的工作流时间.......................................................100图6.8基于传统信誉和RD信誉的工作流失败概率...............................................100图6.9启发式DLS,RDLS和LAGA给出的调度方案运行时间...............................101图6.10启发式DLS,RDLS和LAGA给出的调度方案作业失败率.........................101图6.11遗传算法每次循环的调度方案平均归一化运行时间...............................102图6.12遗传算法每次循环的调度方案平均归一化可靠性...................................102图6.13算法BGA和LAGA演化所需时间.................................................................103图6.14算法BGA和LAGA随时间的演化性能.........................................................103图6.15启发式RESPH的有效性................................................................................104图6.16使用TASKPH1或TASKPH2给出的调度方案运行时间.................................105图6.17使用TASKPH1或TASKPH2给出的调度方案可靠性.....................................105 第VI页 国防科学技术大学研究生院博士学位论文 摘要 人类社会越来越多地依赖于基于互联网的虚拟信息系统。电子商务、电子政务和电子社交等新的互联网应用得到广泛部署;各种新型分布式计算技术如P2P、Grid以及云计算等,也使得互联网应用更加简单高效。
然而互联网在给人们带来便利的同时,也给人类社会以及人机交互的信任关系带来巨大挑战。
面对陌生的用户和无法保证的服务行为,互联网的信任风险正急剧增大。
因此,一个可信的计算环境已成为互联网应用拓展的重要基础。
为了对互联网的信任关系进行有效管理,本文根据应用的需求层次将信任管理分为:基于身份的信任、服务属性信任、面向可靠性的信任和面向健壮性的信任。
针对前三个层次的信任关系,我们提出紧密相关的四个研究问题:如何设计功能强大的基于身份的信任策略描述语言;如何得到全面且健壮的服务属性信誉模型;如何结合基于策略和信誉的两种信任管理;如何应用信任关系来提高复杂网络应用的可靠性。
围绕解决这四个信任问题,本文主要的研究工作和成果是:
(1)提出一种支持分布式证明和协商的信任策略描述语言和方法现有的信任协商语言难以支持复杂的访问控制策略和协商策略,对信任分布式证明方法的支持也不够充分。
本文提出一种面向信任分布式证明和协商的策略语言RTP(Role-basedTrustProving)。
RTP通过对RT语言进行拓展,可以定义复杂的角色;增加lsign语法,能够定义逻辑推导角色并支持信任分布式证明;增加release谓词,可以保护信任证书的敏感信息;增加信任协商启发式规则,从而避免信任证书的盲目搜索。
文章详细阐述了RTP语言的语法构成,定义了RTP语言的推理证明规则,给出了语言的语义解释并证明了语言的可靠性和完全性。
基于RTP语言,进一步提出一个信任分布式证明协商算法DPN(distributedprovingandnegotiation)。
DPN通过本地信任协商和远程信任证明,可以高效地完成信任分布式证明任务。
文章利用信任图概念分析了算法的正确性和完整性。
实验表明,与传统的信任协商方法相比,DPN算法能够有效地减少信任建立时间和交互次数。
(2)设计了一个全面且健壮的基于信誉的信任评估模型基于信誉的信任管理在分布式系统中正变得越来越重要。
尽管信誉是信任概率的一个统计估计值,但现有大多数信任模型没有考虑信誉估计偏差;此外大多数研究工作采用相加方法聚合信誉反馈,容易遭受恶意反馈的攻击,且难以增强模型的健壮性。
本文提出一个健壮的线性马尔科夫RLM(RobustLinearMarkov)信誉模型,它的特点是通过对信誉评估偏差进行预测,从而能够得到更全面和健壮的信誉评估。
RLM模型将信誉定义成两个参数:信誉估计值和信誉估计方差。
为 第i页 国防科学技术大学研究生院博士学位论文 了聚合信誉反馈,我们提出新颖的卡尔曼反馈聚合方法,它能够支持健壮的信誉评估。
为了使模型能够抵御恶意反馈攻击,我们首先采用EM(ExpectationMaximization)算法自主校准模型的动态参数,从而能够减少不正确反馈信誉值对模型的影响;在此基础上介绍了基于假设检验的反馈检验方法,从而能够进一步抵抗恶意反馈的攻击。
文章从理论上证明了RLM模型的健壮性。
实验结果表明RLM信誉模型能够有效地评估信誉估计值和信誉估计方差,与其它信誉模型相比,RLM能够给出更准确的信誉评估,且具有更高的健壮性。
(3)设计了一种基于策略和信誉的混合信任管理系统现有的基于角色的策略语言只能定义[0,1]布尔类型的角色关系,难以支持更细粒度的访问控制,且这种静态的角色管理不能跟踪角色的授权行为,无法抵御角色域内的内鬼攻击。
为此本文设计了一个基于角色策略和信誉的混合信任管理系统RTE(Role-basedTrustEvaluation)。
RTE的信任策略语言通过信誉值参数支持信誉的管理,系统的信誉值计算包括信任经验和信任推荐,能够实现资源的细粒度访问控制。
另外,RTE通过定义信任合成算子,能够支持信誉值的网络传递和计算,进而可以根据角色的跟踪记录实现角色授权的动态管理,抗击角色域内的恶意行为。
文章给出了RTE策略语言的语法和推演规则,介绍了RTE系统的信任值计算,并给出了一个RTE系统进行混合信任管理的示例。
(4)提出一种面向可靠性信任的信誉模型及工作流优化算法当前基于信任的应用大多是基于一次交互的简单应用。
对于一个由多个作业顺序或并序组成的网络作业流,评估系统资源的可靠性并在此基础上为其提供面向可靠性信任的资源调度正变得日益重要。
现有的大多数用于评估资源可靠性的信誉模型没有考虑作业的运行时间,无法精确评估作业的可靠性;此外多数工作流调度算法采用基于列表的启发式,没有采用能给出更好调度方案的遗传算法。
本文提出一种可靠性驱动的RD(reliability-driven)信誉模型,利用资源的失败率来定义信誉,能够直接被用来评估作业的可靠性。
基于RD信誉,提出了一种前瞻的遗传算法LAGA(look-aheadicalgorithm)同时优化工作流的时间和可靠性信任。
LAGA采出一种全新的演化和评估机制:遗传算子只演化一个调度方案的作业资源映射,而调度的作业顺序由算法的评估步骤采用我们提出的max-min策略决定,该策略是第一个能在遗传算法中运行的两阶段工作流启发式。
实验结果表明RD信誉能够给出更准确的信誉和作业可靠性评估;LAGA能够给出比现有基于列表启发式更好的工作流调度方案,且比传统的遗传算法有更好的收敛性。
关键词:信任管理,策略,信任证书,信誉,健壮性,动态角色,可靠性,流调度 第ii页 国防科学技术大学研究生院博士学位论文 ABSTRACT Thebasedinformationsystemisingincreasinglyimportantforthehumansociety.Thee-business,e-governmentande-societyapplicationsarewidelydeployedonthe,andvariousputingtechniquessuchascloud,gridandputing,havemadethe-basedapplicationsmoreconvientandefficient.Althougththecanresultingreatbenefit,italsocauseshugechallengeforboththetrustinthehumansocietyandthetrustbetweenhumanandmachaine.Withtheunfamiliarclientandunknownservicequality,thetrustriskforanapplicationhasbeenincreasedconsiderably.Hence,atrustworthenvironmentesoneofthepreconditionsforfurtherimprovementofbasedapplications. ordingtotherequirementsofthebasedapplications,weclassifythetrustmanagementsystemintofourtrustlevels:theID-basedtrust,theutinity-orientedtrust,thereliability-orientedtrustandtherobustness-orientedtrust.Forthetrustinthefirstthreelevels,weputforwardfourcloselyrelatedquestions:howtodesignapowerfulpolicylanguagefortheID-basedtrustmanagement,howtogetprehensiveandrobustreputationmodelforaserviceutility,howbinethepolicy-basedandreputation-basedtrustmanagement,andhowtoapplythetrustinworksystemtooptimizeitsreliabilityorientedtrust.Tosolvethesefourquestions,ourworkinthispapercanbebrieflyintroducdasfollowing:
(1)DistributedProvingOrientedLanguageandMethodforTrustNegotiationMostexistingtrustpolicylanguagescannotsimultaneouslysupportthefollowingimportantcharacteristics:distributedtrustproving,plicatedesscontroldefinitionandnegotiation-relatedconstraints.ThispaperpresentstheRTP(role-basedtrustproving)policylanguagefordistributedtrustprovingandnegotiation.ThemaincontributionsofRTPinclude:throughentendingtheRTlanguage,itcanplicatedroles;withthepredicatelsign,itcandefinealogicroleandsupportthedistributedtrustproving;withthepredicaterelease,itcanprotectthepolicy’ssensitiveinformation;anditcanavoidtheunrelatedcredentialfetchingwiththehelpofthenegotiationheuristics.BoththesyntaxandsemanticsofRTPareintroduced.Inaddition,weprovedthesoundnesspletenessofRTPthroughthedefinatationofitsinferencerules.BasedonRTPlanguage,wedesignadistributedtrustprovingandnegotiationalgorithm,whichcancarryoutanefficienttrustconstructionthroughlocaltrustnegotiationorremotetrustproving.WealsodemonstratethesoundnesspletenessofDPNalgorithmbasedonthetrustgraph.OurexperimentsshowthattheDPNalgorithmoutperformsthetraditionaltrustnegotiationintermsofbothtimeandnumberofcredentialtransfers. 第iii页 国防科学技术大学研究生院博士学位论文
(2)AComprehensiveandRobustGeneralTrustModelforReputationEvaluationReputation-basedtrustmanagementisingincreasinglyimportantindistributedsystems.Althoughreputationisapredictionaboutthetrustprobability,mostexistingworkcannotassessthereputationpredictionvariance.Moreover,thesummationmethodiswidelyusedforfeedbackaggregation,butitisvulnerabletomaliciousfeedbacksanddifficulttobeprotected.ThispaperpresentsageneraltrustmodelRLM,whosehighlightistheuseofreputationpredicationvariancetogiveaprehensiveandrobustreputationevaluation.Concretely,wedefinethereputationbytwoattributes:reputationvalueandreputationpredictionvariance.Forfeedbackaggregation,weintroducethenovelKalmanaggregationmethod,whichcansupportrobusttrustevaluation.Tomakethemodelrobust,wedesigntheExpectationMaximizationalgorithmtomitigatetheinfluenceofamaliciousfeedback,andfurtherapplythehypothesistestmethodtoresistthemaliciousfeedback.Throughtheoryanalysis,wedemonstratetherobustnessofourdesign.OurexperimentsshowthatRLMmodelcaneffectivelycapturethereputationanditspredictionvariance.Comparedwithsomeothertypicaltrustmodels,RLMcangiveamoreuratereputationprediction.Moreover,ithasahighrobustnessundertheattackofmaliciousfeedbacks.
(3)ACombinedTrustManagementwithPoliciesandReputationValueMostexistingrole-basedpolicylanguagesdefinetrustasaBoolean-rolerelationship[0,1],whichcannotsupportfinegranularityesscontrol.Inaddition,thecurrentstaticrolemanagementsystemcannottracktheauthorizedroleusagetodefendthemaliciousrolebehavior.Inthispaper,weproposeatrustmanagementsystemRTEwhichbinetheadvantagesofboththepolicy-basedandreputation-basedtrustmanagement.ThepolicylanguageofRTEcansupportthetrustvaluemanagementthroughaddingtheparameterofreputationvalue.putethereputationvaluebythetrustexperienceandtrustmadetion,sothatRTEcangiveafinegranularityesscontrol.Inaddition,throughdefiningatrustaggregationoperatorforthework,RTEcantracktherolebehavior,hence,itcandynamicallymanagetheroleanddefendthemaliciousrolebehavior.BoththesynaxandtheinferencerulesofthepolicylanguageinRTEareintroduced,andwegiveademonstratingexapleofhowtomanagethetrustwithRTE.
(4)Reliability-orientedReputationandItsApplicationinWorkflowOptimizationMostexistingworkusedthereputationtomakeadecisionforasimpleapplicationwithonlyonetransactioninvolved.Foraworkflowapplication,whichposedofmanysequentialorparemeralltasks,providingareliableschedulingbasedonresourcereliabilityevaluationisingincreasinglyimportant.Mostexistingreputationmodelsusedforreliabilityevaluationignorethetaskruntimeinfluence.Moreover,tooptimizemakespanandreliabilityforworkflowapplications,mostexistingworksuselistheuristicsratherthanicalgorithms(GAs)whichcanusuallygivebetter 第iv页 国防科学技术大学研究生院博士学位论文 solutions.Hence,inthispaper,weproposethereliability-driven(RD)reputation,whichistimedependentandcanbeusedtoevaluateatask’sreliabilitydirectlyusingtheexponentialfailuremodel.BasedonRDreputation,weproposealook-aheadicalgorithm(LAGA)tooptimizebothtimeandreliabilityforaworkflowapplication.LAGAusesanovelevolutionandevaluationmechanism:theevolutionoperatorsevolvethetask-resourcemappingforaschedulingsolution,whilethesolution’staskorderisdeterminedintheevaluationstepusingourproposedmax-minstrategy,whichisthefirsttwophasestrategythatcanworkwithGAs.TheexperimentsshowthattheRDreputationcanimprovethereliabilityforanapplicationwithmoreuratereputation,whileLAGAcanprovidebettersolutionsthanexistinglistheuristicsandevolvetobettersolutionsmorequicklythanatraditionalicalgorithm. Keywords:trustmanagement,policy,credential,reputation,robustness,dynamicrole,reliability,workflowscheduling 第v页 国防科学技术大学研究生院博士学位论文 第vi页 国防科学技术大学研究生院博士学位论文 第一章绪论 本章首先介绍我们进行互联网环境下信任问题研究的背景,然后针对当前网络应用的信任需求,陈述本文关注的四个信任研究问题,以及我们的解决方案和论文贡献,最后给出全文的组织结构。
1.1问题背景 随着网络技术和计算机技术的快速融合,基于互联网的应用呈现出爆炸式的发展态势。
政府、企业和各科研机构纷纷将自己的应用系统部署到互联网上,以便于信息共享和提高工作效率;而各种新型分布式计算技术也使得基于互联网的应用更加简单高效,典型技术包括云计算、Grid以及P2P技术等。
所有这一切都促使互联网成为世界上最大的人造信息系统,并构成了一个分布协同的虚拟信息社会。
互联网信息社会在给人们带来方便的同时,也给系统和应用的信任关系带来了巨大的挑战。
正如PeterSteiner所说“在世界里,没人知道你是一条狗”;DavidNicol则说“在世界里,每个人都可以说你是一条狗,但没人知道你会不会咬人”[2]。
这实际说明了网络世界中的身份信任和行为信任两个问题。
因此,如何在互联网环境中,对用户的身份信任和行为信任进行有效管理成为互联网应用拓展的重要基础。
而这一挑战已经超出了传统网络安全处理的范畴,为此,人们提出了各种信任管理技术。
本节首先介绍分布协同的互联网计算环境的基本特点;然后阐述新的计算环境下一些典型的信任挑战以及技术难点;最后论述目前被广泛关注的信任管理技术。
1.1.1互联网与信任 作为计算机技术与通信技术融合的产物,互联网正从传统的计算机通信平台演变为无处不在的分布式网络计算平台。
过去,人们努力使计算机具有联网功能,现在则是强调网络具有计算能力。
尤其随着各种移动个人计算PC(PersonalComputing)设备的广泛部署和应用,互联网已成为人们生活工作的必备工具和载体。
人们将更多的带有隐私和安全要求的个人信息交由互联网存储或处理,如公共邮件系统以及各种社会网络平台(Facebook,校内网等);原先服务于单个组织、政府或科研机构的应用系统正快速转变为面向互联网的开放式系统,电子商务、电子政务以及电子科学(e-science)等应运而生,以便能更好地处理和共享服务。
受到需求的驱动,工业界和学术界提出了多种网络计算技术(如网格计算、 第1页 国防科学技术大学研究生院博士学位论文 对等计算和云计算)。
随着面向服务体系架构SOA(ServiceOrientedArchitecture)和软件即服务SaaS(SoftwareasaService)等理念的日益成熟,软件系统应用模式凸显出网络化和服务化的趋势。
无论网格计算,对等计算还是云计算均是从不同侧面对面向网络的分布计算模式进行积极探索,它们的共同之处是如何基于开放、动态的网络计算环境,实现可信、协同的资源(包括计算资源、数据资源、软件资源以及服务资源等)共享和有效利用[16]。
由于互联网上各类分布异构资源缺乏有效的安全控制和组织管理机制,可协同、可管理和可信任成为互联网应用系统的三个基本问题。
具体地,可协同性问题是指如何跨自治域进行资源共享和协同工作;可管理性问题是指如何将异构、庞大的网络资源进行有效地聚合与管理;可信任性问题是指面对大量不可控和缺乏信任基础的服务资源,如何保证共享和协同资源之间可靠和相互信赖的信任关系[16]。
可信任作为基于互联网应用系统的基本要求,它在新的计算环境和应用模式中面临诸多新的挑战。
如何在互联网环境下对信任进行有效管理,以适应计算环境和应用模式发展的需要,已经成为当前的热点问题。
互联网环境下,信任管理的需求主要根源于互联网资源的一些自然特性。
1.分布无中心性 互联网作为一种分布式计算系统,用户可以从任何地方简单动态地访问并处理数据,这给安全管理带来了极大的挑战。
为了管理分布的用户访问,一个重要的解决方案就是通过安全架构对用户进行等级划分。
在集中式管理系统中,解决该问题只需维护一个安全服务器就可以完成用户安全等级的分配和认证问题。
但是在分布式计算环境中,由于存在多个安全域,安全等级的管理机制与集中环境相比有着更大的复杂性。
需要一个有效的安全框架通过标准的安全协议来屏蔽不同安全域之间的差异,同时保证不同的安全域仍可以有效地保护内部的各种资源。
分布式安全框架及协议首先需要一个有效的用户身份管理机制。
传统的解决方案是把各个安全域中的用户映射到一个统一的环境中。
在网络规模和用户数量有限的情况下,该机制还可以对用户身份进行静态分配。
但是,随着网络用户数量的不断增加,这种静态分配用户身份的可操作性就变得越来越低。
而系统的无安全控制中心特性,使得难以形成集中的资源授权和信任关系定义。
这需要多域联盟、推荐及委托等信任机制的支持,使得信任的网络传递管理成为互联网环境下信任管理的一个重要问题。
2.自治性 自治性是指互联网资源具有局部自治、自主决策的特性,用户节点作为资源的所有者,基于“自愿参与、自主协同”的原则自发构造系统的行为。
例如,互 第2页 国防科学技术大学研究生院博士学位论文 联网上很多资源是面向特定组织和个人的,资源提供方既可以根据资源请求方的要求向它提供资源,也可以拒绝提供资源。
在P2P和Grid为代表的互联网自治系统中,节点作为用户的代理,一个基本的特征是其在参与系统过程中的自主性。
在自治系统中,无论节点的加入、退出,还是系统内部节点间的相互通信和服务,都是由节点自身发起和唯一决定的,节点的行为不受系统本身的直接控制。
互联网资源的自治性使得系统中的节点行为只取决于其自身的利益或准则,无集中控制。
正因为如此,相对于传统的分布式计算系统,基于互联网的应用系统在运行特征和运行轨迹上通常都表现出更大的不确定性和动态特征[21],资源的行为更加无法控制,而这对资源的信任问题带来无比挑战。
3.协同性 互联网系统中,系统应用通常都会涉及到多自治域间的服务调用和组合。
为此,一个首先需要解决的问题是如何在陌生的来源于不同自治域的实体间促成协同活动。
所谓协同是指多个资源为完成共同任务而进行的交互、同步和计算的过程。
由于互联网资源具有分布自治性,各个管理域在互联网环境下广泛分布,可能跨越多个国家;每个管理域都有各自的资源访问控制规则以及协商策略,不同的管理域会使用不同的规则。
这些都使得如何在互联网资源间协同地建立信任成为跨域协作的瓶颈性难题。
它意味着需要在大量的机器上,根据不同自治域的各种要求,同时同步一个统一的信任策略集合,并根据这个策略集合,对来自不同自治域的用户进行统一管理。
4.异构动态性 异构性是指互联网资源属性存在广泛差异的特性。
这些差异增加了资源统一建模和管理的难度。
动态性是指互联网资源规模不断膨胀、资源关联关系不断变化的动态特性。
互联网是一个不断成长的开放系统,其覆盖地域不断扩大,大量的分布异构资源不断更新与扩展。
随着互联网应用的扩展与深入,资源及其关联关系也在不断动态演化,相应的资源特征信息也必将不断的扩充和变化。
其次,系统的动态演化特性,体现为主体的加入退出行为频繁,导致协作环境及信任关系随需而变,对有效的信任管理需求增强。
1.1.2信任关系的挑战 互联网计算环境的分布无中心性、自治协同性和异构动态性对信任管理提出了新的要求。
下面通过分析三个典型的信任关系挑战问题,进一步具体介绍互联网环境下信任管理需解决的问题。
第3页 国防科学技术大学研究生院博士学位论文
1.跨域访问控制的信任问题跨安全域的资源访问控制是分布协同系统首先需要解决的问题,下面我们引用文献[62]中的一个例子简要说明跨域进行访问控制信任建立的问题。
图1.1医疗急救中的访问控制信任 实例1(医疗紧急救助):如图1.1所示,在对Alice实施的一次医疗急救中,急救中心FirstAid需要向Alice曾就医的医院Hospital请求访问其电子病历
R,然而,R涉及到Alice的个人隐私信息,属于敏感资源,所以,Hospital制定了相应的保护资源R的访问控制策略:只有Alice本人及急救中心才能调阅
R。
在协议消息交互过程中,各方会根据其独立的协商策略披露相应的消息项,如,FirstAid只要提交当地卫生署为其签发的急救中心信任证书,就能快速地访问到病历
R。
因此,建立跨安全域之间的信任通常面临着如下几项本质问题:
(1)当隶属类似于实例1中的机构FirstAid和Hospital两个独立安全域的陌生主体进行资源访问时,如何提供一种有效的方法和机制,以动态地建立两者的信任关系?
(2)当开放网络中的协商主体在维护其自治性和隐私性时,需要什么样的访问控制策略和信任证书(如实例1中Hospital制定的访问控制策略和FirstAid拥有的信任证书)?
(3)对资源的访问控制结论,不再是单纯的Yes或No,需要根据各自的协商策略给出相应的提议,以支持进一步的协商:既要实施信息保护,又要达成联合协作。
因此,如何建立协商策略机制以兼顾二者的要求?
(4)此外,信任的建立将依赖于一套完整的协议,例如,在实例1中体现为机构FirstAid和Hospital的消息交互过程。
第4页 国防科学技术大学研究生院博士学位论文
2.不可信甚至危害性服务问题 在分布协同的计算环境中,没有集中控制的服务器。
每个参与节点可能具有不同的动机,并且不同的节点具有不同的能力,由此导致系统可能存在不可靠甚至危害性的服务资源。
不可靠服务的具体表现是提供不真实(例如虚假的文件下载)或与所声明服务质量不符的服务,其目的通常是降低系统整体服务的可靠程度,使得用户难以获得真实可信的服务,从而降低或破坏其对于系统本身的信任,影响系统的健康运行以及进一步的扩充和发展。
仅就P2P文件共享系统而言,以不可信文件为代表的不可靠甚至危害性服务问题已成为影响其整体应用价值的关键问题之一[25]。
2005年学者对KazAa中最流行的100个文件的统计发现,其中不可信文件的比例平均超过了50%以上[26];而Gnutella系统内部不可信文件的泛滥已使之作为一个具有应用价值系统的地位基本丧失。
3.网络节点自私性问题 分布自治的计算环境存在另一个主要问题,即节点的自私问题。
系统的每个节点只追求节点本身的利益最大化,而忽视整个系统的性能。
P2P网络中,典型的自私问题包括搭便车(Free-Rider)和资源无节制使用(TragedyoftheCommons)问题。
搭便车特指那些加入系统后总是使用其它节点共享的资源,却很少或从不提供资源共享的节点。
搭便车现象的泛滥,直接导致了以Gnutella为代表的很多P2P文件共享系统内部可用资源的不足。
资源无节制使用问题是指网络带宽作为一种非排他占有的公共资源,被各种P2P节点无节制使用的现象。
研究表明,P2P节点无节制使用网络带宽的行为已经成为影响互联网应用价值[36]的重要问题。
节点的自私问题主要源于节点对其它节点成为“优秀公民”的不信任,以及系统缺乏监督和激励机制。
如何建立节点对其它节点以及系统惩罚和激励机制的信任,成为一个分布自治系统能够吸引资源,稳定发展的基本要求。
以上三个问题基本反映了互联网环境所面临的信任建立问题。
第一个挑战涉及如何根据用户身份的不同进行资源访问控制,我们将它称为基于身份的信任问题。
后面两个问题不同于传统的系统安全性[39,40]问题,它们是自治节点参与系统过程中产生的对系统造成不良影响的行为,我们称之为基于行为的信任问题。
信任是人类社会的重要基石之
一,在社会科学、技术科学、商业等诸多领域中都发挥着关键作用。
它长期以来被认为是主观的、不精确的、不可靠的、甚至不可信的,缺乏科学的系统的研究,尤其是缺乏形式化的定量研究。
随着互联网的出现和发展,人们对信任进行形式化研究的要求变得越来越迫切。
作为当前计算机科学中仍处于探索阶段的领域,信任管理技术的研究面临着诸多挑战。
1.1.3信任管理的提出 第5页 国防科学技术大学研究生院博士学位论文 在互联网计算环境中,为了应对各种新的信任建立挑战,信任管理逐渐成为一个重要的安全技术。
下面从技术演化的角度,简要概述基于身份的访问控制信任管理和基于信誉评价的信任管理技术。
1.基于身份访问控制的信任管理 基于身份访问控制的信任管理主要通过身份进行资源访问信任关系的管理。
计算机安全是一个具有30多年历史的研究领域,以认证(authentication)、授权(authorization)和审计(audit)为基础的AAA安全是实现系统安全性的主要安全技术[25]。
认证是访问控制的基础,是分布系统安全的重要基础设施。
授权管理是一类具有服务质量保证和管理性质的技术。
审计是对授权行为的监控,是计算机安全的必备要素。
基于AAA技术的资源访问控制是计算机安全的核心内容,其研究范围涵盖访问控制策略、访问控制模型和安全管理等诸多研究分支,核心任务是确保资源访问限于具有合法权限的主体,同时保证具有合法权限的主体能够访问到相应资源[26]。
计算机系统形态经历了集中式主机系统、客户/服务器系统和基于互联网的系统三个主要阶段[129]。
相应的,计算机资源访问控制也从传统的访问控制、分布式访问控制、逐步发展到面向互联网的信任管理技术阶段。
早期的访问控制技术主要关注多用户主机系统的资源共享问题。
针对操作系统和军事信息系统的不同安全需求,人们提出了自主访问控制(DiscretionaryessControl,DAC)[27]和强制访问控制(MandatoryessControl,MAC)[29]两类具有代表性的访问控制策略。
由于DAC和MAC在解决商业组织安全问题时存在局限性,自1992年起,人们提出多种基于角色的访问控制(RoleBasedessControl,RBAC)模型[33,34,35,36]。
早期的访问控制技术主要采取集中方式进行管理,在可伸缩性和灵活性等方面存在局限性,由此人们提出分布式访问控制技术。
它的一个重要特点是将传统访问控制技术与密码技术结合,访问能力和主体身份的分布化是这个阶段研究工作的主要特点。
上世纪80年代末至90年代初,出现了大量研究多级访问请求、多级认证和特权委派的研究工作[64,65,66],这类系统的主要目标是实现信任链中的分布式身份推演和委派机制。
分布式访问控制技术适用于以身份集中管理方式进行的分布式应用系统。
但是基于PKI的安全技术依赖于全局命名体系,在实践中面临诸多难题[13];此外,在域间授权活动中,主体身份对服务方可能是陌生的,身份不足以作为授权的依据。
为此学者们提出信任管理(TrustManagement)的概念[18],它被定义为:“采用一种统一的方法描述和解释安全策略、安全凭证和用于直接授权关键性安全操作的信任关系”[9]。
信任管理系统把授权决策转换为一种满足性验证(ProofOf 第6页 国防科学技术大学研究生院博士学位论文 Compliance)问题:“凭证集C是否能证明操作A满足本地策略P”,其中C是请求方和授权方收集的凭证,A是请求方希望执行的操作,P是授权方的本地策略。
信任管理是一种面向分治系统的访问控制方法,基于委派实现灵活可伸缩的授权,能够有效解决陌生人授权问题。
2.基于行为信誉评价的信任管理 访问控制和授权管理关注的是用户的身份可信问题,信任管理还需解决用户的行为可信问题。
用户的行为可信是指终端用户的行为是否可以评估、可预期、可管理、对网络设备和数据是否会造成破坏或毁坏。
传统的安全机制可以解决用户的身份信任问题,但并不能处理用户的行为信任问题。
例如在数字化电子资源的订购方面,大学生通过合法可信的身份(学校的IP地址或帐号)可以登录到学校定购的数字资源服务器上,但他的行为却有可能是不可信的。
例如,某些学生在校内使用网络下载工具大批量下载学校购买的电子资源,再通过私设代理服务器牟取非法所得等,即用户的身份是可信的,但用户的行为不一定可信。
用户行为信任的研究最初来源于社会学、经济学和心理学等领域。
在计算科学领域,信誉作为对用户行为信任的管理技术,它在很多研究方向中得到关注。
在文献[8]中,Jøsang是这样定义信誉的:信誉是关于某个人或某件事的特征或者立场的大众观点。
由于信誉系统能够提供信任信息的聚合、过滤以及排序的功能,它在很多领域都被广泛应用,如分布式系统和应用[85,86,87,88,95],多Agent系统[90,91],基于Web的服务[92,93]和推荐系统[84,106,110]等。
1.2本文研究的信任问题 针对分布协同的互联网环境,本课题把信任管理按可信系统的需求层次进行划分,并对部分重要且相关的信任问题进行研究。
如图1.2所示,我们根据互联网系统的需求层次将信任分为四个层次:
1.基于身份的信任(IDTrust)。
可信系统首先需要保证服务资源只能被使用真实身份且已被授权的用户访问,即保证合法的用户和合法的访问。
该层次信任主要用于解决系统的资源访问控制,因此也称系统访问控制的信任。
2.服务属性信任(UtilityTrust)。
在身份信任的基础上,即当用户使用适当的身份获取具有某些属性的服务后,可信系统还必须确保该用户正确使用该服务属性,即保证用户的服务操作行为合法。
例如,在云存储计算环境中,如果某些合法的存储服务商被允许出售保密数据存储服务,那么可信存储环境就必须确保该服务商能够提供保密存储的服务属性。
服务属性信任主要依靠服务的信誉来管理,因此也称为基于行为信誉的信任。
第7页 国防科学技术大学研究生院博士学位论文
3.面向可靠性的信任(ReliabilityTrust)。
在服务属性信任的基础上,可信系统还必须保证某种属性服务的可靠性,即用户提交的任务能够在保证服务属性的前提下,顺利完成。
例如,在上例中,系统需保证用户的保密数据存储不会在用户撤销之前,因物理故障等原因而丢失。
4.面向健壮性的信任(RobustnessTrust)。
在面向可靠性信任的基础上,可信系统还可进一步提供面向健壮性的信任。
也就是说,即使系统发生了一些故障,系统仍可以完成某些属性的服务。
图1.2互联网系统的信任层次划分 上面四种信任关系逐层叠进,最终完成可信系统的建设。
基于身份的信任作为系统访问控制的信任,是信任管理的基础;服务属性信任、面向可靠性和健壮性的信任都是对系统行为的管理,因此它们构成了系统行为信任的管理。
另外,基于身份和信誉的信任是对信任概念和内涵本身的管理;而面向可靠性和健壮性的信任乃是利用身份和信誉信任来提高系统的性能,因此它们属于对信任本体的进一步应用。
本文将对紧密相关的前三个层次的信任进行研究,如图1.2中蓝色标注的四个部分所示,本课题研究的四个问题如下: 1.2.1基于身份策略的信任描述身份策略即是基于身份的访问控制策略。
在基于身份策略的信任管理中,如何对分布式环境中跨安全域的资源进行访问授权管理成为当前的研究热点。
其中一个主要研究方向为自动信任协商(ATN,AutomatedTrustNegotiation)。
与传统基 第8页 国防科学技术大学研究生院博士学位论文 于访问控制列表的方法相比,它的特点是通过信任证书和访问控制策略的交互披露,资源的请求方和提供方自动地建立信任关系[51]。
目前对ATN的研究主要有两方面:信任证书的分布式放置收集方法以及策略语言的形式化描述分析。
信任证书分布式放置收集方法包括传统的信任协商和分布式证明两种方法[53],Bauer[54]分析认为分布式证明方法比传统信任协商方法更高效并能克服后者的一些缺点,如信任求证节点负载过大。
ATN策略语言的内容可分为资源访问控制策略和信任协商策略,一般情况下策略语言将两者分离并分别进行描述[52]。
策略语言的资源访问控制策略利用角色对权限的授权和委托信息进行定义,角色的描述能力越强对应用的支持就越大。
协商策略需提供对信任证书敏感信息的保护并避免信任证书的盲目搜索。
综合自动信任协商系统的上述特点,一个好的信任管理策略语言必须具有强大的资源访问控制描述能力,能够保护信任证书敏感信息,避免信任证书的盲目搜索并能支持信任分布式证明。
目前一些研究工作都只是对我们目标的某个方面提出解决办法,如[54]通过定义say谓词提出了一个信任分布式证明算法,但该算法不支持复杂的资源访问控制和信任证书信息保护;
N.Li在文献[55]中提出一种资源访问控制策略RT(Role-basedTrust-management)语言,支持参数化和连接两种复杂角色,但不能支持敏感信息保护;
J.Li[56]在RT语言的基础上通过加密信任证书技术支持敏感信息保护,但这两者都不能支持信任的分布式证明方法。
以上语言和方法之所以不能对信任分布式证明方法以及复杂的资源访问和信任协商策略提供全面支持,主要是缺少一个功能全面的策略描述语言。
1.2.2基于行为信誉的信任模型 建立健壮的信誉机制,实现可靠的信任评价,是基于信誉的信任管理系统成功的基础。
信誉是从历史行为记录中得到的一个关于信任概率的统计值。
通常情况下,信誉值可以通过两种途径进行计算:根据评估者自身经历的直接信任和根据信誉反馈的间接信任[8]。
为了能够计算直接信任,研究者提出了很多信誉模型,包括简单平均模型[83]、Bayesian模型[94]以及基于证据的信念模型[90,91]等,他们将信任量化成一个或几个确定性的估计值。
虽然信誉本质上是一个概率的估计值,但现有的这些信任模型大多忽略了概率估计值的另一个重要属性:概率估计方差。
信誉(可信概率)估计方差可以评估信誉估计值和真实信誉值之间的偏差,它在信誉系统中可以起到很重要的作用。
例如,一个服务资源真实的事务成功率是90%,一个服务消费者A与该服务资源进行了少量的事务交互,并根据自己的记录将该资源的信誉值确定为70%。
现有的信誉模型将不能支持评估者A对该信誉估计值的偏差进行评估,这将带来两个后果:
(1)评估者不能确定自己给出的信誉 第9页 国防科学技术大学研究生院博士学位论文 估计值的准确性,因而也就不能确定该多大程度的依靠该信誉评估做出决策。
(2)当评估者A将该信誉估计值作为反馈发送给其它信誉评估者B时,A无法通告B应如何聚合该信誉反馈从而能得到更准确的信誉评估。
为了能够聚合信誉反馈,一个很重要的问题是如何处理恶意推荐问题。
恶意节点对具有良好行为的节点进行诋毁提交负面的评价,对恶意行为的节点进行夸大提交正面评价,这将严重扰乱系统的资源配置,进而降低系统的性能。
目前的大多数工作采用相加的聚合方法[85,86,88,108],但是该方法很容易被恶意信誉反馈攻击[96]。
为了解决这个问题,很多研究工作通过计算信誉反馈的可信度来检测恶意反馈[96,103,108]。
这些反馈可信度计算方法一般都假设评估者知道整个信誉系统的一些全局信任知识[85,96,108],或者需要一些人为设定的感性参数[89,91],这种强假设条件在实际应用中可能是无法实现的。
这些基于相加方法的可信度检测技术之所以难以应用,原因在于相加的聚合方法缺乏对健壮性推测技术的支持。
虽然相加的方法容易进行反馈聚合,但这种感性的聚合方法没有统计推测理论的基础,容易被恶意节点控制。
综合上面的分析,为了能够得到更全面和健壮的信誉评估,我们需要研究如下问题:
1.如何在信任模型中考虑信任评估的方差,并同时给出信誉值及其评估偏差的估计,从而给出更全面地信誉评估;
2.如何用模型预测的方法来聚合信任反馈,从而能够避免使用感性的相加聚合方法,以支持对恶意反馈的抵抗;
3.如何能够自主的对信任模型进行健壮性的较准,从而能够在不需要全局信任知识及人为参与的情况下,模型能够自主准确地抵御恶意推荐攻击。
1.2.3基于策略和信誉的混合信任管理 基于策略的信任是一种理性信任,可以用布尔值表示。
基于信誉的信任是一种感性信,是主体对客体特定行为的主观可能性预期,取决于经验并随着客体行为的结果变化而不断修正。
基于策略和基于信誉的两种信任关系具有很强的互补性。
一方面在计算机的安全技术发展中,认证和授权、访问控制等都可以看作是基于策略的信任。
这种理性信任关系在安全控制领域一直发挥着重要的作用,它们是感性信任的基础。
另一方面,基于信誉的信任关系是一种感性信任关系,更符合人类对信任基本性质的认识,并弥补理性信任的不足。
感性信任试图通过模拟人类社会中的交互和信任关系,在计算机世界中建立起一种量化的互信关系,从而可以辅助决策制定。
另外,感性信任关系还可以表示信任关系的历史、现状和将来的发展趋势,可以应用于某些复杂领域的信任问题。
因此,感性信任关系在某种程度上弥补了理性信任的不足。
目前的大多数的信任管理都将两者分离开,单独进行信任关系处理。
对于理第10页 国防科学技术大学研究生院博士学位论文 性信任模型而言,它们将信任定义为一个客观的逻辑关系,可以抽象为0或
1。
但在实际的应用中,大多数情况下用户希望能够实现更细粒度的信任管理,比如该多大程度地相信一个经济分析师的投资推荐,而不仅仅是相信或者不相信。
另外,目前大多数基于角色的凭证管理技术是一种静态的信任管理技术,它不能跟踪角色的授权行为并动态管理角色关系,这将导致角色域内的用户行为无法被跟踪控制,并为角色域内的恶意行为提供了条件。
因此如何结合基于策略和基于信誉的两种信任,设计出一种混合的信任管理机制,成为我们的目标。
为此主要的研究问题包括:1.如何在基于角色的凭证管理中引入信誉属性,从而拓展普通意义上的角色描述能力;2.如何利用带信誉的角色关系进行更细粒度的授权管理。
3.如何通过角色的信誉值,自动探测角色域内的恶意行为,设计出健壮的角色管理技术,增强系统抵御内鬼攻击的能力。
1.2.4面向可靠性的信任模型及其优化 目前对信任本身的研究工作很多,但对基于信任关系的应用研究相对较少。
例如,学者们在P2P及社会网络中提出了很多信誉系统,但只有很少的研究工作[87]采用信誉来增强复杂系统的可靠性和健壮性,且大多数基于信誉的应用都比较简单如ebay等,都是一次事件交互应用。
另外,目前的大多数基于信誉的信任模型难以支持复杂应用系统的可靠性量化评估。
例如为了评估资源的可靠性,很多分布式和多agent应用[8,91,86,109]采用信誉系统来跟踪资源的历史行为。
然而这些信誉系统存在两个问题:
1.大多数信誉模型[8,108,121,86]将资源的信誉定义为该资源成功完成作业的概率,在信誉计算过程中,他们忽略了作业运行时间(大小)的影响。
2.在大多数基于信誉的资源调度系统中,运行在某个资源之上的所有作业具有相同的可靠性(成功率),它被定义为资源的信誉[87,121],也忽略了作业运行时间的影响。
针对上面提到的阻碍信任关系应用的两个问题,我们将研究适用于复杂应用可靠性评估的信誉模型,并研究利用该信誉对网络作业流的可靠性进行优化的算法和机制。
具体的研究问题包括:1.如何对分布式系统中资源的运行失败进行模拟,并提出一个基于可靠性的信誉模型,它能够实时的跟踪资源的失败率,并能提供作业可靠性的定量度量;2.如何利用我们的信誉评估结果,提出适用于复杂作业流的启发式规则;
3.如何根据资源的信誉评估结果,对系统的资源调度和管理进行优化以便达到最佳的稳定性和可靠性。
1.3论文的主要贡献 第11页 国防科学技术大学研究生院博士学位论文 针对上小节中我们提出的四个有关信任的研究问题,本文将分别提出我们的解决方案。
论文的主要贡献如下:
1.提出一种支持分布式证明和协商的信任策略语言和方法 现有的大多数信任策略描述语言无法对信任协商的需求提供全面的支持。
为此我们的目标是设计出一个功能全面的信任管理策略语言,它具有强大的资源访问控制描述能力,能够保护信任证书敏感信息,避免信任证书的盲目搜索并能支持信任分布式证明。
本文提出一种面向信任分布式证明和协商的策略语言RTP(Role-basedTrustProving)。
RTP语言的主要特点如下:1)对RT语言进行改进和功能拓展,从而使RTP语言的访问控制策略能够延续RT语言描述能力强的优点,可以定义复杂的角色如连接角色和带参数的角色。
2)语言中增加lsign语法,可以定义逻辑推导角色,且该新增类型角色是对传统角色定义的放松,能够支持信任分布式证明。
3)语言的信任协商策略增加release谓词,从而可以限制信任证书信息的传播,提供对信任证书保护技术的支持。
4)信任协商策略中增加prove和find谓词,可以定义信任协商启发式规则,从而避免信任证书的盲目搜索。
文章详细介绍了RTP语言的语法构成,定义了RTP语言的推理证明规则,给出了语言的语义解释并证明了语言的可靠性和完全性。
为了体现RTP语言的全面功能,本文还提出一个基于RTP语言的信任分布式证明协商算法DPN(distributedprovingandnegotiation)。
DPN算法通过本地信任协商和远程信任证明,可以高效地完成信任分布式证明任务。
另外通过信任证书限制策略和启发式规则,算法可以有效地保护信任证书敏感信息,并避免信任证书盲目搜索。
文章通过信任图的概念分析了算法的正确性和完整性。
我们的实验表明,跟传统的信任协商方法相比,DPN算法能够有效地减少信任建立时间和交互次数。
2.设计一个全面健壮的通用信誉模型 尽管信誉是信任概率的一个统计估计值,但现有的大多数信任模型没有考虑信誉估计偏差,因此无法估计信誉评估本身的准确性。
另外大多数现有工作采用相加的方法聚合信誉反馈,该感性方法容易遭受恶意反馈的攻击,且很难被拓展以增强健壮性。
为了能够得到一个全面和健壮的信誉评估,本文介绍了一种健壮的线性马尔科夫RLM(RobustLinearMarkov)信誉模型。
该模型的主要贡献包括:
(1)RLM模型将信誉评估表示成由信誉估计值和信誉估计方差组成的二维元组,从而能够得到更全面地信誉评估。
采用线性自回归方程定义信誉状态空间的 第12页 国防科学技术大学研究生院博士学位论文 演化,从而构成了一个隐马尔科夫过程。
(2)模型采用卡尔曼滤波方法聚合信誉反馈,通过反馈噪音方差这个模型参 数,卡尔曼聚合方法可以控制一个不正确反馈信誉值对模型的影响。
该性质能够支持模型进一步采用健壮性的统计推测技术以抵御恶意反馈攻击。
(3)设计了一个健壮性的模型校准方法。
为了计算模型中的动态参数,模型首先采用EM(ExpectationMaximization)参数估计方法,它能自动产生适当的反馈噪音方差从而减轻一个恶意反馈信誉值的影响;在EM基础上,模型进一步采用基于假设检验的反馈检测方法,可以抵抗恶意反馈的攻击。
文章通过理论分析,证明了模型的健壮性。
RLM信誉模型及卡尔曼反馈聚合方法完全基于统计推测理论。
据我们所知,RLM是第一个可以评估信誉估计方差的信誉模型,它能够给出更全面准确的信誉评估。
我们的卡尔曼反馈聚合方法以及模型校准方法能够抵御恶意反馈的攻击,并能自主地通过局部信任知识计算模型参数,无需人为设定参数。
另外,文章同时给出理论分析和实验结果,证明RLM信誉模型的有效性、准确性和健壮性。
3.设计一种基于策略和信誉的混合信任管理系统 基于策略(理性)和基于信誉(感性)的两种信任关系具有很强的互补性。
理性信任的静态安全机制是感性信任的基础,而感性信任的动态变化性则可以弥补理性信任的不足。
然而,目前大多数信任管理系统将两者分离,单独进行信任关系处理,它们无法提供全面的信任评估功能。
因此我们的目标是结合基于策略和基于信誉的两种信任,设计出一种混合的信任管理机制,它能够支持如下特性:1)信任管理语言能够支持带信誉属性的角色定义;2)支持细粒度的资源访问控制;3)信任管理语言能够支持信誉的网络计算;4)实现角色的动态管理,通过跟踪角色的授权行为,抵御角色域内恶意行为。
针对上文提出的目标,本文介绍了一个基于角色策略和信誉的混合信任管理系统RTE(Role-basedTrustEvaluation)。
RTE的信任策略语言通过在基于角色的信任关系语言中增加信誉值参数,从而能够在信任策略语言中支持信誉的管理。
RTE的信誉值计算包括信任经验和信任推荐,能够实现资源的细粒度访问控制授权。
另外,RTE的策略语言通过定义信任合成算子,能够支持信誉值的网络传递和计算,进而可以根据角色的跟踪记录,动态管理角色授权,抗击角色域内的恶意行为。
文章给出了RTE策略语言的语法和推演规则,介绍了RTE系统的信任值计算,并给出了一个RTE系统进行混合信任管理的示例。
4.提出一种面向可靠性的信誉模型及其在工作流优化中的应用 当前基于信任的应用都比较简单,大多是一次交互作业,缺少大规模的应用 第13页 国防科学技术大学研究生院博士学位论文 示范。
另外目前的信任模型难以支持复杂应用系统的可靠性信任量化评估。
为此,本文的目标是对信任的关键网络应用进行研究。
由于一个网络作业流是多个作业的顺序或者并序的结合,它具有大规模网络服务应用的典型特点。
因此,本文将通过对网格作业流的分析,提出一种基于信任的面向可靠性的作业流的调度系统。
另外,由于目前的基于信誉的信任系统大多忽略了事务交互的时间因素,无法支持复杂作业流的可靠性评估。
因此,本文还将研究如何量化信任以便在作业流应用中对作业的可靠性进行评估。
针对上文提出的关键信任应用的研究目标,本文首先提出一种可靠性驱动RD(Reliability-Driven)资源信誉模型,RD信誉模型采用与时间相关的作业失败率来定义资源的信誉,从而在信誉模型中考虑作业运行时间的影响。
此外,文章给出的RD信誉算法能够实时地跟踪信誉的变化,并可被用来直接评估作业的可靠性。
基于RD信誉,文章提出了一种前瞻的工作流遗传调度算法LAGA(Look-AheadicAlgorithm),它可对工作流的时间和可靠性信任同时进行智能的优化。
LAGA具有两个重要特点:
1.基于本文提出的资源优先级启发式,LAGA的遗传算子可智能地变异调度方案,避免传统的随机变异带来的问题;
2.使用一种新颖的演化和评估机制:遗传算子(交叉和变异)只负责演化调度方案的作业资源映射,而调度方案的作业顺序由算法的评估步骤采用本文提出的max-min策略进行智能决策。
本文提出的max-min策略是第一个能在遗传算法中运行的两阶段工作流启发式。
依赖该策略,LAGA能够避免BGA算法中的无效调度方案问题[137],且能够通过智能的演化方法达到更好的收敛性。
1.4本文组织结构 本文共分为七章,第一章为绪论,第二章介绍相关工作,我们提出的四个问题的解决方案将在第
三、四、五和六章中分别介绍,文章最后一章是总结。
各章节的主要内容安排如下: 第一章为绪论,首先介绍课题的背景:分析了分布协同的互联网环境对信任的需求,介绍了互联网环境下信任建立的挑战,并得出信任管理概念的由来。
然后详细阐述了本文关注的三个层次的四个递进信任管理问题。
针对四个信任问题,简要介绍了本文提出的解决方案以及理论和实验贡献。
本章最后是论文的组织情况。
第二章对信任管理的相关概念和工作进行了介绍。
陈述了信任的定义,以及它的基本性质和分类方法;介绍了网络系统信任的定义和内涵;分析了信任管理的需求及其种类。
针对基于身份策略的信任管理,介绍了策略信任证书的描述语 第14页 国防科学技术大学研究生院博士学位论文 言和分布式管理方法,给出了典型示例。
针对基于信誉的信任管理,总结了信任信息的存储和收集方法,介绍了信誉的多种数学模型。
第三章提出一种支持分布式证明和协商的信任策略语言RTP。
首先描述了RTP语言的语法结构和一个知识库示例,定义了语言的推理证明规则。
然后介绍了RTP语言的语义解释,并证明了语言的可靠性和完全性。
在RTP语言的基础上,本章提出一个信任分布式证明协商算法DPN,并分析了该算法的正确性和完整性。
最后本章通过实验说明了RTP语言及DPN算法给信任协商带来的性能提升。
第四章设计了一个全面健壮的通用信誉模型RLM。
首先描述了RLM信誉模型的各数学要素以及它们之间的关系。
然后介绍了模型的卡尔曼信誉反馈聚合方法,并证明了它对健壮性信誉评估技术的支持。
为了使模型能够抵御恶意反馈的攻击,本章描述了EM参数自主校准算法以及基于假设检验的反馈检测方法,并证明了模型的健壮性。
最后,本章给出了充分的实验过程,证明RLM模型的有效性、准确性和健壮性。
第五章陈述了一种支持信誉值的基于策略语言的混合信任管理系统RTE。
首先提出带参数信誉值的基于角色的信任关系语言,介绍了语言的语法和语义,并给出了带信誉计算的推导规则。
然后介绍了RTE系统中的信任计算方法,包括信任经验计算和信任推荐计算以及两者的合成方法。
最后,本章介绍一个基于RTE系统进行的资源访问控制实例。
第六章提出一种可靠性驱动的RD资源信誉模型,并在此基础上设计一种工作流调度算法。
首先介绍采用作业失败率定义的RD信誉模型,并给出能够实时跟踪信誉变化的RD信誉算法。
基于RD信誉,定义了面向可靠性和时间的工作流调度问题。
然后,本章提出了前瞻的遗传调度算法LAGA,介绍了算法的各个操作步骤,并分析了算法的时间复杂性。
最后,本章通过实验分析了RD信誉模型对信誉评估以及资源调度带来的影响、LAGA算法的性能以及我们提出的优先级启发式的效能。
第七章总结了本文的主要工作,并对下一步的工作进行了展望。
第15页 国防科学技术大学研究生院博士学位论文 第16页 国防科学技术大学研究生院博士学位论文 第二章信任管理的相关研究工作 可信作为系统能够稳定发展的基本要求,近年来在学术界和工业界都得到了广泛关注。
本章首先对信任及信任管理的概念进行总结和分析,然后介绍两种基本的信任管理技术:基于身份策略和基于行为信誉的信任管理。
2.1信任及信任管理 2.1.1信任 为了能够更好的理解信任概念的内涵,本小节将从信任的定义、性质以及分类三个方面对信任进行解释。
1.信任的定义信任作为人类社会的一个基本因素,它在社会组织中起到了决定性的作用。
例如在一个交通十字路口时,我们总会相信另一个方向的汽车会遵守信号灯的指示,从而做出我们的决策并得以顺利出行。
正是由于信任的重要性,信任研究得到了各个领域的关注,包括心理学、社会学、哲学等,随着时代的发展,又融入了商业管理、经济理论、工程学、计算机科学等应用领域知识。
由于信任具有复杂性和多面性的特点,目前学术界和工业界对于信任还没有一个精确的、广泛可被接受的定义,它通常被作为一种直觉上的概念加以理解。
围绕着信任,目前存在着各种定义。
牛津大辞典中信任被定义为“对某人或某物在可靠性、真实性、能力和实力方面的一种信念”。
Mayer[1]将信任定义为“基于对被信者某个行为的预测,信任方愿意接受相信对方的风险,而不管能否监视或者控制被信方”。
该定义着重强调了信任的风险,说明信任本质上是对接受风险的一种评估。
图2.1信任要素构成 如图2.1所示,Huang[2]等人给出定义“信任是一种心理状态,它包括三个方面:
(1)期望:信任者希望从被信任者获得的服务;
(2)信念:基于对被信任者能力 第17页 国防科学技术大学研究生院博士学位论文 和意愿的判断,信任者相信期望是正确的;
(3)风险意愿:信任者愿意承担信念可能的失败”。
D.Gambetta[3]给出如下定义:“信任(或不信任)是一方评价另一方或另一团体实际行为的主观可能性程度,评价是在对该行为进行监控(或根本不可能监控该行为)之前和与该行为对其自身行为产生影响的情况下进行”。
该定义给出了信任的几个重要特征:
(1)主观性,不同的个体对同一事物的看法会受个体喜好等因素影响而不同;
(2)可能性预期,信任的程度可表示为对事件发生概率的可能性估计;
(3)上下文相关,信任是对事物的某个方面而言的。
综合上面各种信任定义对信任属性的理解,我们将信任定义为: 定义2.1信任(Trust):信任是在特定时间段和特定上下文环境中,授信方(Trustor)对受信方(Trustee)的某种服务属性(serviceutility)在诚实性(honesty)、安全性(security)、可靠性(reliablity)以及可依赖性(dependability)方面的一种主观肯定。
信任也称为可信。
我们的定义限定了信任作用的时间(特定时间段)和条件(特定上下文环境),考虑了信任的本体构成(授信方,受信方及某种服务属性),明确了信任的关注因素(诚实性、安全性、可靠性以及可依赖性)。
服务属性的诚实性关注受信方是否真正拥有它所宣称的服务能力;安全性关注受信方是否能安全(保密和完整等)地提供服务;可靠性关注受信方提供服务的失败率;可依赖性关注依赖受信方的风险。
信任本身并不是事实或者证据,而是对于所观察到的事实的知识,而且它往往和一定的信任等级相联系[5]。
信任等级是对一个实体相信程度的度量。
信任等级可以是连续的,也可以是离散的,本文用信任度的概念加以描述。
定义2.2信任度(Trustworthiness):信任度是授信方对受信方信任程度的量化表示,也可以称为可信度、信任值、信任级别等。
2.信任的性质 信任的动态性是信任评估和可信赖性预测的最大挑战,它是由信任关系中的实体的自然属性决定的。
在现实世界中,信任的动态性(变化)既可以由实体的内因(endogenousfactors,例如实体的心理、性格、知识、能力、意愿等)引起,也可以由实体的外因(exogenousfactors,例如实体表现出的行为、策略、协议等)引起。
信任主体的内因很难由其他主体来判断和量化(即使非常有经验的心理学家也很难做到),而外因可以直接观察到,是可以进行预测、量化和推理的,也可以管理它们。
在信任关系中,某一时刻采样到的外因特征值是一个相对静态和稳定的量,采样的时间粒度决定了推理的准确程度。
外因是内因的外部表现形式,可以间接地根据外因去评估内因。
因此,信任的动态性是可以量化的,信任与各种因素的关系 第18页 国防科学技术大学研究生院博士学位论文 可用图2.2进行说明[6]。
图2.2信任的动态性关系 总结各种文献对信任性质的认识,综合考虑影响信任动态性的各种因素,本文将信任的性质归纳如下:
(1)主观不确定性:指随着上下文和时间的变化,授信方(trustor)不能清楚地判断受信方(trustee)的动态变化,只能根据以前的交互历史对信任进行评估;信任是授信方对受信方的一种主观判断,不同的实体会具有不同的判定标准。
即便对于同一受信方,相同上下文环境,相同时段以及相同行为,授信方的不同,给出的量化判断也很可能不同。
(2)上下文相关性:信任的具体状况与上下文环境紧密相关,离开具体上下文环境讨论信任问题是毫无意义的。
(3)不对称性:也就是信任关系是单向的,A信任
B,不表示B也信任
A。
(4)不完全传递性:信任关系一般不具有完全传递性,即A信任
B,B信任
C,不一定能得出结论A信任
C。
只有在某些特定的约束条件下,信任才具有一定的传递性。
推荐是比较典型的信任传播方式,是信任传递性的一种体现。
文献[2]通过形式化的描述说明关于能力的信任不具有传递性,而基于观念的信任具有传递性。
(5)时间异步性:指实体之间的对信任关系的评估结果具有时间异步性,解决问题的办法是对时间槽进行平均;信任会随着时间的推移而衰减,最为直接的表现是:越久远的信任评价,其说服力越差。
(6)多客面性:信任往往和受信方的多种属性相联系,受到多种属性的影响,是一个多属性作用融合的概念。
以在线购物为例,顾客对卖家的评价可能包括对其产品的质量、价格、服务态度和快递的速度等多个方面的评价。
3.信任的分类根据不同的标准,信任可以有不同的分类方法。
Zucker[7]在对美国经济领域的信任演化机制进行研究后,将信任分为三类:
(1)基于过程的信任,它来自于用户行为的历史记录;
(2)基于特征属性的信任,它来自于用户之间特征属性的相似性;
(3)基于机构的信任,它来自于用户所在机构的组成及法规等。
根据信任 第19页 国防科学技术大学研究生院博士学位论文 的内容、主体和客体的不同信任可被分为:服务提供信任、资源访问信任、代理信任、证书信任和架构信任(上下文信任)[8]。
文献[9]提出了另外一种信任划分:身份信任(IdentityTrust)和行为信任(BehaviorTrust),身份信任与实体身份认证的真实性有关,而行为信任与实体的声誉有关。
这种划分与基于证书和策略的信任机制和基于信誉的信任机制这两种信任管理技术形成了对应关系。
根据DonovanArtz[10]等人的观点,信任根据获取途径可分为:基于凭证的信任和基于信誉的信任。
前者又称为理性信任或者客观信任,后者又称为感性信任或者主观信任。
理性信任,指授信方在一定环境中相信受信方会以一定的方式执行或者不执行某项活动。
它的特点是相对精确、客观,表达为信任或不信任的两种选择,信任与活动没有直接的关系。
理性信任可以抽象为0或1的关系,也可以用布尔值表示。
这种信任关系本身就决定了信任或者不信任的条件,信任管理则根据信任关系判断“是”或者“否”。
感性信任,则主要从信任的定义出发,使用数学的方法来描述信任意向的获取和评估。
感性信任模型认为,信任是主体对客体特定行为的主观可能性预期,取决于经验并随着客体行为的结果变化而不断修正[3]。
在感性信任模型中,实体之间的信任关系分为直接信任关系和推荐信任,分别用于描述主体与客体、主体与客体经验推荐者之间的信任关系。
也就是说,主体对客体的经验既可以直接获得,也可以通过推荐者获得,而推荐者提供的经验同样可以通过其他推荐者获得。
感性信任模型放弃了实体间的固定关系,认为信任是一种经验的体现。
它对信任进行量化或者分级,通过经验、信誉或者风险分析来给出可信的概率,往往用[0,1]之间的实数或者不连续值来表示。
感性信任模型所关注的内容主要有信任表述、信任证据过滤、信任度量和信誉评估。
信誉评估是整个信任模型的核心,因此感性信任模型也称信誉评估模型。
理性信任和感性信任是信任管理在实际应用中的具体体现,并不存在矛盾[130]。
单纯地把信任限定为某一种类型的观点是存在局限性的[48,49,50],也不能因为某种信任否定另一种信任,两种关系决定了不同的信任方面,在信任系统中是可以并存的。
而且,通过这种并存关系可以把确定因素的和不确定因素相结合,实现更加有效的信任管理。
我们所需要考虑的,更多的是根据特定的信任场景,决定采用何种信任关系和何种形式的信任模型。
2.1.2网络系统信任 关于可信,以前的大多数研究工作只是对两个实体之间的信任关系进行研究。
但是随着人类社会的发展,人们需要更多地与经济社会中的陌生人交往,这就对 第20页 国防科学技术大学研究生院博士学位论文 系统的信任提出了要求。
计算机互联网络系统作为人类活动的反映,网络系统的信任正变得越来越重要。
现实的发展对网络安全提出了更高的要求,希望在保障信息私密性、完整性和可用性的同时,保障网络系统的安全性、可生存性和可控性。
然而,目前互联网中普遍存在的脆弱性导致了它是不可完全信任的。
尽管人们提出可信系统的概念已经有一段历史,但是国际上对可信网络系统的探索才刚刚开始,基本概念和科学问题的认识还不深入。
自上世纪70年代初期,AndersonJ.P.首次提出可信系统(TrustedSystem)的概念以来[11],IT系统的可信性问题就一直受到学术界和工业界的广泛关注。
目前国际上对系统可信性比较有代表性的阐述主要有:ISO/IEC154O8[12]标准中指出,一个可信的组件、操作或过程的行为在任意操作条件下是可预测的,并能很好地抵抗应用程序软件、病毒以及一定物理干扰所造成的破坏;Microsoft、Intel、IBM和HP等公司组成的可信计算组织(TrustedComputingGroup)[13]认为:如果一个实体总是按照其设定目标所期望的方式行事,则称这个实体为可信的;从用户体验的角度,微软公司比尔盖茨认为可信计算是一种可以随时获得的可靠安全的计算,并包括人类信任计算机的程度,就像使用电力系统、电话那样自由、安全[14];Algridas和Laprie等人则将系统可信性表述为系统提供的服务可以被论证为可信任的,系统能够避免出现不能接受的频繁或严重的服务失效[15]。
从网络行为的角度,林闯等人认为可信的网络意味着网络系统的行为及其结果是可以预期的,能够做到行为状态可监测,行为结果可评估,异常行为可控制[16]。
具体而言,网络的可信性应该包括一组属性,从用户的角度需要保障服务的安全性和可生存性,从设计的角度则需要提供网络的可控性。
不同于安全性、可生存性和可控性在传统意义上分散、孤立的概念内涵,可信网络将在网络可信的目标下融合这三个基本属性,围绕网络组件间信任的维护和行为控制形成一个有机整体。
如图2.3所示,系统信任信息的维护过程可以分为信任信息输入、信任信息处理和信任等级或策略输出三个部分[16]。
信任信息采集提供具体的输入方式,主要包括:集中式安全检测,即通过在网络中设置专门的服务器,对某个范围内的网络节点进行脆弱性检测等信任信息的采集;分布式节点自检,即将部分监测功能交由网络节点中的代理完成,网络只负责接收检测结果;第三方通告,即由于不能直接对被测节点进行检测等原因,而间接地获得有关信息。
信任信息经过存储、传播和分析后,通过信任等级和策略输出用于驱动和协调需要采取的行为控制。
典型的行为控制方式有:访问控制,即开放或禁止网络节点对被防护网络资源的全部或部分访问权限,从而能够对抗那些具有传播性的网络攻击;攻击预警,即向被监控对象通知其潜在的易于被攻击和破坏的脆弱性,并在网络上发布可信性 第21页 国防科学技术大学研究生院博士学位论文 评估结果,报告正在遭受破坏的节点或服务;生存行为,即在网络设施上调度服务资源,根据系统工作状态进行服务能力的自适应调整以及故障的恢复等;免疫隔离,即根据被保护对象可信性的分析结果,提供到网络不同级别的接纳服务。
图2.3信任信息处理过程 文献[17]中,软件系统的可信被定义为“如果一个软件系统参与某应用环境的行为总是与预期相一致的,则称其在该应用环境中为可信(Trustworthy)的”。
它们关注的焦点包括1)身份可信问题:从安全的角度,要求资源的访问和利用总是处于规则允许的范围之内,其核心是基于身份确认的访问授权与控制;2)能力可信问题:从可依赖的角度,要求软件系统的功能是稳定和可靠的,对于客观失效(如网络故障、系统部件失效)造成的系统故障具有较好的承受能力,其核心是软件系统运行的可靠和可用性;3)行为可信问题:要求软件系统的行为总是处于系统限定的范围之内,或者系统对其的行为评价总是与对其承诺相一致。
总结上面对系统可信的理解,我们将网络系统可信定义为:定义2.3(网络系统的可信)如果一个分布协同的网络系统能够确保其系统行为是负责任的(ountable)、可预期的(predictable)以及错误容忍的(endurable),则称该系统是可信(trustworthy)的。
在我们的定义中,系统的可信首先表示的是系统的行为是负责任的,即系统中各要素对自己的行为结果负责,这主要包括要素实体身份和行为记录的真实、恶意行为的自动监测和系统通告。
其次,系统的可信要求系统行为具有可预测性,即系统可以提供满足用户QoS(时间、开销、满意度等)期望的服务。
另外,可信的系统还需保证一定的健壮性,即在系统的某些元素发生错误后,系统服务仍然能够保证一定质量的QoS服务。
2.1.3信任管理 为了能够在分布协同的网络环境中对信任关系进行有效处理,信任管理(TrustManagement)[18,19]的概念被提出。
它的基本思想是承认系统中信任信息的不完整性,系统的安全决策需要依靠可信第三方提供附加的安全信息。
信任管理的概念 第22页 国防科学技术大学研究生院博士学位论文 最初由AT&T实验室的
M.Blaze等人于1996年提出[18],旨在“采用一种统一的方法描述和解释安全策略、安全凭证和用于直接授权关键性安全操作的信任关系”。
基于该定义,信任管理的内容包括:制定安全策略、获取安全凭证、和判断安全凭证集是否满足相关的安全策略等。
信任管理要回答的问题可以表述为“安全凭证集C是否能够证明请求r满足本地策略集P”。
在一个典型的Web服务访问授权中,服务方的安全策略形成了本地的信任权威,服务方既可使用安全策略对特定的服务请求进行直接授权,也可将这种授权委托给可信任第三方。
可信任第三方则根据其具有的领域专业知识或与潜在的服务请求者之间的关系判断委托请求,并以签发安全凭证的形式返回委托请求方。
最后,服务方判断收集的安全凭证是否满足本地安全策略,并做出相应的安全决策。
Winsborough等人[51]称这类信任管理系统为基于能力(capability-based)的授权系统,它们仍需要服务方预先为请求方颁发指定操作权限的信任证书,无法与陌生方建立动态的信任关系。
Li等人提出了一种基于角色的信任管理框架(role-basedtrust-managementframework,简称RT)[55,65],代表了信任管理的最新研究水平。
由于信息安全的隐患源于多个方面,在利用属性信任证书和访问控制策略进行信任建立的过程中,可能泄露交互主体的敏感信息。
另外在具有多个安全管理自治域的应用中,为了实现多个虚拟组织间的资源共享和协作计算,需要通过一种快速、有效的机制为数目庞大、动态分散的个体和组织间建立信任关系。
而这种信任关系常常需要动态地建立、调整,并依靠协商方式达成信任关系。
为了解决上述问题,Winsborough等人[51]提出了自动信任协商(automatedtrustnegotiation,简称ATN)的概念,并成为当前的一个重要研究方向,它通过信任证书、访问控制策略的交互披露,资源的请求方和提供方自动地建立信任关系[27,51]。
上面介绍的基于凭证的信任管理系统本质是使用一种精确的、理性的方式来描述和处理复杂的信任关系。
但在信任管理思想提出之前和之后,都有一些学者,如
D.Gambetta,
A.Adul-Rahman等人,认为信任是非理性的[3,20],是一种经验的体现,不仅要有具体的内容,还应有程度的划分,并提出了一些基于此观点的信任模型。
Povey在
M.Blaze定义的基础上,结合
A.Adul-Rahman等人提出的主观信任模型思想[21],给出了一个更具一般性的信任管理定义,即信任管理是信任意向的获取、评估和实施[22]。
授权委托和安全凭证实际上是一种信任意向的具体表现。
在后续的研究中[19][20],信任管理被扩展定义为:以评估和决策制定为目的的、对应用中信任关系的完整性、安全性或者可靠性相关的证据进行收集、编码、分析和表示的行为。
证据可能包括凭证、风险评估、使用经验或者推荐信息。
分析过程是根据信任需求进行信任评估或计算的过程。
从上面的分析可以发现,目前的信任管理研究主要有两方面:
(1)基于策略和 第23页 国防科学技术大学研究生院博士学位论文 信任证书的信任管理,它对应的是理性信任或者客观信任关系的管理;
(2)基于信誉的信任管理,对应的是一种主观或感性信任关系管理。
下面两小节将分别介绍这两种信任管理技术的相关研究工作。
2.2基于身份策略的信任管理 基于策略的信任管理技术依赖于客观的“强安全(strongsecurity)”机制诸如签名证书和可信证书权威,目的是为了规范用户对服务的访问。
基于信任证书的访问决策通常基于具有良好语义定义的机制,该机制提供了强大的验证和分析支持。
下面简要阐述基于策略和信任证书的信任管理中的基本概念。
1.信任证书 信任证书(Credential):经过签名的信息或策略称为信任证书(也称为凭证),可简单示例为
信任证书必须具有可证实性和不可伪造性。
按照用途的不同,信任证书可分为身份信任证书和属性信任证书。
身份信任证书主要应用于对安全级别要求高的系统,如军事系统和邮件系统。
其主要代表为基于PKI身份认证系统的X.509[28]。
属性信任证书则主要应用于方便管理和易于操作的系统,如图书资源共享管理系统和投票系统等,其典型代表为SPKI/SDSI[41]。
2.满足性检查算法 满足性检查算法(ComplianceCheckingAlgorithm,CCA)是信任管理系统的统一授权决策引擎,信任管理系统的授权模型语义由CCA实现。
如何构造CCA算法并对CCA计算复杂性与语言表达能力进行适当权衡是信任管理的核心问题。
3.授权授权(authorization)[30]是指分析用户提交的证书,根据证书上的属性值,为用户分配访问资源的权限。
用户对资源具有什么样的操作权限,或者能够享受到什么样的服务,都体现在系统对用户的授权上。
在基于身份认证的信任管理系统中,对用户的授权主要是激活用户对资源的相应控制操作。
例如,在MAC[31]系统中,用户身份直接对应着权限,系统对用户的授权则直接为其分配操作权限。
在基于属性认证的信任管理系统中,对用户的授权则是激活用户在系统中的角色。
例如,在RBAC[32]系统中,系统对用户的授权,则表现在将其关联到一定的角色。
4.委托 第24页 国防科学技术大学研究生院博士学位论文 委托(delegation)[33,34]是一种重要的安全策略,主要思想是系统中的主动实体将权限委托给其他主动实体,以便以前者的名义执行一些工作。
委托具有临时性,即角色的委托只是在某个时间段内有效。
在这个时间段内,使用角色的次数可能是有限的,并且可能仅在该时间段的一些周期性时间片内可用。
委托管理的一个重要问题是委托角色权限的传播问题。
为便于管理,必须限制权限的传播。
5.访问控制策略 访问控制策略(esscontrolpolicy)[35,51]是用来保护资源不被合法用户非授权访问,从而规范合法用户对资源的操作。
访问控制策略决定了在自动信任协商中暴露哪些证书以及这些证书暴露的先后顺序。
根据描述的复杂程度,访问控制策略可分为简单策略(元策略)与复合策略。
简单策略是组成复合策略的基本元素,它们的关系类似于元数据与数据的关系。
6.信任协商模型 信任协商模型(trustnegotiationmodel)[36,37,51]是协商双方在建立信任关系中所采取的暴露证书和访问控制策略的方式。
信任协商模型的选择,决定了协商双方将采用什么样的方式来释放证书和访问控制策略信息,对敏感信息个人隐私保护具有极大的影响。
本小节下面首先介绍信任策略和信任证书的描述语言,然后介绍信任证书的分布式系统管理,最后给出几个相关的例子。
2.2.1策略及信任证书描述语言 信任管理系统一般采用统一的信任管理语言描述策略和信任证书。
委派策略是信任管理系统的核心策略,能够极大的提高分布式授权的灵活性和可伸缩性。
对委派策略和其它典型访问控制策略的支持程度是衡量信任管理语言表达能力的重要标准。
访问控制策略[23,36,37]规定了访问受保护资源所需提供的信任证书集。
Seamons等人[36]通过分析四类访问控制策略语言,总结出信任协商策略语言需要满足的要求。
其中一项关键特征是强调单调性,因为在分布式广域协作环境中,很难判断某实体不拥有某种信任证书。
例如,某策略定义:如果你不是ACM的会员,就可以访问某类服务。
在分布式环境中,用户只要不提供ACM颁发的信任证书就能访问该服务,这就违背了策略定义的本意。
换言之,单调性就是保证在披露信任证书减少的条件下,不会导致最终授权集的增加。
对于访问控制策略的规范和管理,Leithead等人[25]基于本体论来研究如何在避免敏感信息泄漏的同时,简化 第25页 国防科学技术大学研究生院博士学位论文 策略的管理工作;而Skogsrud等人[59]借助状态机描述了ATN中访问控制策略的结构,并探讨了策略的生命周期管理等问题。
RT语言是基于角色信任管理(role-basedtrust-management)语言的简写。
RT定义了两类实体:主体(principal)与角色(role)。
主体是指由个体程序公钥等唯一证明的实体。
在信任管理系统里,RT语言[55,66]是一类语言的集合,包括:RT0,RT1,RTT与RTD。
RT0是RT的基础,它主要用来定义角色。
一个角色定义由两部分组成:头部与主体,用谓词连接起来。
根据处理类型来划分,可分为如下四种: 类型1:A.r←
B,定义主体B是角色A.r的成员,即B∈members(A.r)。
类型2:A.r←B.r1,定义角色B.r1的成员是角色A.r的成员,即members(B.r1)⊆members(A.r)。
类型3:A.r←A.r1.r2,定义角色A.r包含所有的角色B.r2,即members(A.r1.r2)=∪B∈members(A.r1)members(B.r2)⊆members(A.r);其中B是角色A.r1的成员;A.r1.r2是一个链接角色(linkedrole)。
类型4:A.r←B1.r1∩…∩Bk.rk,定义角色A.r的成员包含了角色集{Bi.ri}交集的所有成员,即(members(B1.r1)∩…∩members(Bk.rk))⊆members(A.r)。
此外,RT0还支持简单的委托,如A.r⇐B
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。