專利名稱:一種基于歷史角色的信任協(xié)商構(gòu)建方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全訪問控制方面的信任協(xié)商領(lǐng)域,具體涉及一種基于歷史角色 的信任協(xié)商構(gòu)建方法和系統(tǒng)��,本發(fā)明為開放網(wǎng)絡(luò)環(huán)境下的用戶提供安全的跨域資源共享服 務(wù)����。
背景技術(shù):
信任協(xié)商是網(wǎng)絡(luò)安全訪問控制方面的一個新領(lǐng)域,旨在為分布在各安全域的用戶 提供資源共享與安全互操作��。目前�����,單一安全域中的訪問控制系統(tǒng)(包括自主訪問控制系 統(tǒng)��、強制訪問控制系統(tǒng)��、基于角色的訪問控制系統(tǒng)等)并不適用于分布式環(huán)境下的多安全 域����。信任協(xié)商則彌補了單域訪問控制系統(tǒng)的不足����,能有效控制與約束用戶跨域資源訪問行 為�����。在開放式環(huán)境下�����,出于對多域身份聯(lián)合互操作的需求�,自動信任協(xié)商對系統(tǒng)的要 求主要體現(xiàn)在信任協(xié)商系統(tǒng)必須提供相關(guān)協(xié)議�,保證信任協(xié)商的順利進行,這要求協(xié)議必 須支持(1)證書所有權(quán)在協(xié)商過程中���,當(dāng)接收到遠程證書時���,系統(tǒng)要求發(fā)送者證明其擁 有與提交證書公鑰相對應(yīng)私鑰,以證明其對證書的所有權(quán)���,防止攻擊者竊取他人證書實現(xiàn) 對資源的非法訪問����。系統(tǒng)可以提供不同的安全協(xié)議來實現(xiàn)����,但必須對交換的數(shù)據(jù)進行最大 的安全控制����,支持對證書所有權(quán)的檢查����。(2)證書有效性交換證書的有效性,是保證協(xié)商成功的關(guān)鍵�。在系統(tǒng)收到證書 時,通過數(shù)字簽名來檢查證書內(nèi)容的完整性���,以防止攻擊者篡改證書內(nèi)容來騙取資源的訪 問權(quán)����。而且還要檢查證書是否過期與吊銷�����,以防止攻擊者利用失效的證書來達到非法訪問 資源的目的�。(3)證書鏈發(fā)現(xiàn)在協(xié)商過程中����,有些證書并不是保存在本地,系統(tǒng)應(yīng)該提供額外 的機制和工具來實時發(fā)現(xiàn)與查找這些證書,以保證信任協(xié)商的成功���。(4)隱私保護機制保護資源與證書的暴露����,是保護用戶隱私的前提�。而訪問控制 策略也會泄漏用戶的某些隱私,因此保護用戶的隱私還要保護敏感策略�。自動信任協(xié)商系 統(tǒng)充分考慮自動信任協(xié)商過程中的每個要素,提供合理的機制和解決方案�,以充分保護用 戶的隱私。(5)支持多種協(xié)商策略設(shè)計良好的協(xié)商系統(tǒng)���,應(yīng)提供多種協(xié)商策略��。例如���,最大 化的保護信息,還是把系統(tǒng)的計算量放在首位��。自動信任協(xié)商系統(tǒng)應(yīng)允許用戶自主的選擇 協(xié)商策略����,并提供某種機制,使得協(xié)商順利進行,即使協(xié)商雙方采用不同的協(xié)商策略���。這也 是支持多種應(yīng)用的基本需求��。(6)快速協(xié)商策略在開放式環(huán)境中�,很多資源的訪問控制策略是標(biāo)準(zhǔn)的�,例如, 信用卡的申請��。而且���,在很多情況下����,協(xié)商的過程是類似的����,例如不同的學(xué)生訪問圖書館的 在線資源。甚至�����,同一實體會多次訪問同一資源��。自動信任協(xié)商系統(tǒng)應(yīng)采取適當(dāng)?shù)臋C制�,合 理利用以前計算的證書暴露序列,以加速后續(xù)的協(xié)商�。
5
在自動信任協(xié)商中,某些實體之間存在著經(jīng)常性的資源共享和訪問���,如何加速經(jīng) 常進行協(xié)商的實體之間的協(xié)商過程是一個值得研究的問題��。目前已有多種自動信任協(xié)商系 統(tǒng)用來實現(xiàn)跨域的資源共享�,但沒有一種系統(tǒng)能完全滿足自動信任協(xié)商的需求����,尤其是對 快速協(xié)商的支持。Trust-X在支持快速協(xié)商策略方面邁出了一大步���。Trust-X利用信任票來加速了 協(xié)商雙方后續(xù)的協(xié)商過程����。然而該模型存在以下的不足�。第一,在開放式環(huán)境中�,參與交易的實體在不停的變化中。如何判斷所請求的資源 的控制者為信任票據(jù)中的資源控制者���?在Trust-X中是靠協(xié)商者的主觀臆斷��,因此����,在協(xié) 商者判斷錯誤的情況下,信任票據(jù)并不能使用���。第二�,信任票據(jù)的使用范圍有限�����。信任票據(jù)說明了協(xié)商的雙方曾經(jīng)對某一資源R 進行過成功的協(xié)商�,因此,信任票據(jù)只能在再次申請資源R時才有用���。然而�����,在很多情況下�, 兩個不同的資源R和R'的暴露策略基本相同�����,甚至完全相同�����。但是擁有R的信任票據(jù)的請 求者在請求資源R'時卻不得不重復(fù)證書的暴露����。第三,在Trust-X中���,信任票據(jù)的生命周期有兩種定義方式由信任票據(jù)的發(fā)布者 定義一個時間��,或雙方根據(jù)暴露的證書序列中有效期最短的證書來定義信任票據(jù)的生命周 期�。然而�,每個證書都有可能因為種種原因隨時被吊銷。因此�,在第一種定義方式中,生命周 期定義的過長���,則存在著一定的安全隱患�����;定義的太短�,則信任票據(jù)起不到應(yīng)有的作用。在 第二種定義方式中���,如果在再次協(xié)商時信任票據(jù)失效�,則在有效期內(nèi)的證書也不得不再次 向?qū)Ψ奖┞?��。第四�����,在Trust-X中�,只要擁有合法的信任票據(jù)����,資源的控制者就向資源的請求者 暴露資源,而沒有考慮到頒發(fā)信任票據(jù)后資源的訪問控制策略是否發(fā)生了改變����。這對于資 源的控制者來說,存在這一定的安全隱患�����。通過以上的分析可以看出,在開放式環(huán)境中��,Trust-X根本無法真正的利用信任票 據(jù)來加速后續(xù)的協(xié)商過程����。
發(fā)明內(nèi)容
本發(fā)明的目的在于根據(jù)自動信任協(xié)商對系統(tǒng)的需求�,提出一種基于歷史角色的信 任協(xié)商構(gòu)建方法,該方法能夠解決自動信任協(xié)商系統(tǒng)跨域資源共享的快速協(xié)商效率問題���, 并具有保護隱私安全和協(xié)商效率高的特點��;本發(fā)明還提供了實現(xiàn)該方法的系統(tǒng)��。本發(fā)明提供的一種基于歷史角色的信任協(xié)商構(gòu)建方法��,其步驟包括(1)當(dāng)請求方向資源方提交對某一資源的請求時�����,首先觸發(fā)信任協(xié)商的寒暄階段�, 確認雙方身份并判斷雙方是否有歷史協(xié)商成功記錄信息���。(2)寒暄階段結(jié)束之后雙方進入信任發(fā)展階段����,通過互相披露訪問控制策略和證 書,找出一個安全的證書暴露序列以訪問請求的資源���。(3)雙方在信任協(xié)商成功后進入信任維護階段�,保存在本次協(xié)商中協(xié)商對方的相 關(guān)信息�����,以加快雙方的后續(xù)協(xié)商過程����。實現(xiàn)上述信任協(xié)商構(gòu)建方法的系統(tǒng),其特征在于�����,該系統(tǒng)包括訪問控制策略庫����、證 書庫、角色庫�����、證書收集器、歷史信息庫�、角色分配策略庫、角色分配器����、協(xié)商策略模塊、證書 驗證器����、一致性檢驗器和證書暴露序列構(gòu)造器�;訪問控制策略庫用于存放所有資源的訪問控制策略;證書庫用來存放所有的本地證書���;歷史信息庫用來存放所有協(xié)商對方的歷史信 息的數(shù)據(jù)庫���;角色庫用于保存本地所設(shè)的所有角色,以及該角色所擁有的權(quán)限�;角色分配 策略庫用于存放角色分配策略的數(shù)據(jù)庫;協(xié)商策略模塊用來定義什么時候向協(xié)商對方披露什么信息��,用于指導(dǎo)信任關(guān)系的 合理建立���,控制協(xié)商暴露的消息內(nèi)容���。其操作依賴于策略一致性驗證器的執(zhí)行結(jié)果���。協(xié)商策 略模塊接收來自協(xié)商對方的訪問控制策略、協(xié)商對方的證書以及協(xié)商對方所提供的消息���, 并結(jié)合自己的協(xié)商策略��,將其提交給一致性驗證器��,并由一致性驗證器驗證的結(jié)果來決定 向協(xié)商對方提交本地的訪問控制策略�、本地證書或向協(xié)商對方披露相關(guān)的消息����;證書驗證器模塊用來驗證對方所提交的證書是否被篡改、是否已失效���,以及是否 已被吊銷����;證書驗證器模塊從協(xié)商策略模塊接收協(xié)商對方所提交的證書��,并提交給證書權(quán) 威,由證書權(quán)威判斷該證書是否有效�����,并將證書權(quán)威所驗證的結(jié)果提交給協(xié)商策略�;一致性檢驗器接收訪問控制策略庫提交的訪問控制策略、證書庫提交的本地證 書����、角色提交的本地角色和權(quán)限之間的關(guān)系、證書收集器收集到的存放于網(wǎng)絡(luò)的證書�、歷史 信息庫提交的協(xié)商對方的歷史信息記錄,以及協(xié)商策略所傳遞過來的協(xié)商對方的訪問控制 策略�����、協(xié)商對方的證書或者協(xié)商對方的消息��,進行綜合的分析和驗證��,決定向協(xié)商對手傳遞 什么樣的協(xié)商結(jié)果��,并將該決定提交給協(xié)商策略模塊���,由協(xié)商策略模塊構(gòu)造出適當(dāng)?shù)姆答?并送達協(xié)商對方;證書暴露序列構(gòu)造器通過收集雙方在協(xié)商過程中所有和協(xié)商相關(guān)的而且可能被 暴露的證書,構(gòu)成一個安全的證書暴露序列��,協(xié)商雙方按照證書暴露序列的順序交互的向 對方披露相關(guān)的證書集�����,以滿足被請求資源的訪問控制策略�����,使服務(wù)器能夠安全的向請求 方暴露被請求資源����;角色分配器接收來自證書暴露序列構(gòu)造器所提供的證書暴露序列,確定在協(xié)商過 程中����,協(xié)商對方所暴露的證書,并根據(jù)角色分配策略庫所提供的角色分配策略�����,為協(xié)商對方 分配適當(dāng)?shù)慕巧?�,并將該角色以及證書暴露序列一起提交給歷史信息庫����。本發(fā)明使協(xié)商成功的雙方在自己的歷史信息庫中為對方更新角色��,并記錄得到該 角色雙方的證書暴露序列���。具體而言,本發(fā)明具有如下特征及優(yōu)點(1)顯著提高協(xié)商效率本發(fā)明在協(xié)商成功時�����,協(xié)商雙方進行信任維護的工作���,分別在自己的歷史信息庫 中為對方更新角色����,以及得到該角色所需的雙方的證書暴露序列�。在雙方再次進行協(xié)商時, 只要歷史信息庫中記錄的角色有權(quán)訪問被請求的資源�����,則無需再次進行協(xié)商���,直接按照該 角色的證書暴露序列暴露證書即可��。因此大大的縮短了雙方的后續(xù)協(xié)商�,尤其是協(xié)商策略 很復(fù)雜的時候��。(2)提供更高的安全性首先�����,在本發(fā)明中���,利用名片來唯一的識別開放環(huán)境下的每一個實體����。因為即使攻 擊者竊取了雙方的名片��,沒有對應(yīng)的密鑰��,他仍然無法解密他所竊取到的信息����。其次,在協(xié) 商的過程中向?qū)Ψ桨l(fā)送消息的時候�,所發(fā)送的消息是由自己的名片的私鑰進行簽名,如果 攻擊者對劫取的信息篡改之后再發(fā)給接受方�����,則在接收方進行簽名驗證算法時被發(fā)現(xiàn)。因 此有效地抵抗了入侵者的攻擊���。最后�����,在該方法中如果資源的提供者修改了某一資源的暴 露策略�,則針對該資源進行的協(xié)商都會按照新的暴露策略進行���。因為協(xié)商是根據(jù)資源的暴露策略以及對方已經(jīng)暴露的證書進行的��,而不是簡單的檢查對方以前是否成功的訪問過該 資源����。(3)有效地防止信息泄露在本發(fā)明中���,效率的提高并不是建立在收集協(xié)商對方證書的基礎(chǔ)之上�����,而是保存 對方可以得到的角色���,以及得到該角色的證書暴露序列。因此�����,本發(fā)明可以很好的保護個人 的隱私�,避免惡意的協(xié)商對手的證書收集活動。
圖1為本發(fā)明基于歷史角色信任協(xié)商構(gòu)建方法的一種具體實施方式
的流程圖�����;圖2為本發(fā)明的寒暄階段協(xié)商協(xié)議��;圖3為本發(fā)明基于歷史角色信任協(xié)商構(gòu)建方法的全局結(jié)構(gòu)圖�����。
具體實施例方式下面結(jié)合附圖和實例對本發(fā)明作進一步詳細的說明�。定義1名片(visiting card)是一個由其主體定義的不包含任何敏感信息的用于 自我身份介紹的數(shù)字證書,該證書可在任何情況下向其他實體暴露�����。定義2角色(role)指一個或一群用戶在組織內(nèi)可執(zhí)行的操作的集合���。一個實體 可經(jīng)授權(quán)擁有多個角色����,一個角色可授權(quán)給多個實體。每個角色可訪問多種資源����,每個資源 也可由不同的角色訪問。在本發(fā)明中����,協(xié)商者在一次成功的信任協(xié)商后,根據(jù)協(xié)商對方在協(xié)商過程中所暴 露的數(shù)字證書���,為協(xié)商對方分配一定的角色(每個角色擁有一定的權(quán)限)��,并在歷史信息庫 中記錄該實體得到的角色集�,以及得到該角色的證書暴露序列��。在雙方再次進行協(xié)商時����,協(xié) 商雙方都可以根據(jù)對方所擁有的角色,以及該角色的權(quán)限來進行協(xié)商,以加快協(xié)商雙方的 后續(xù)協(xié)商過程��。本發(fā)明的協(xié)商過程可以分為三個階段寒暄階段�����、信任發(fā)展階段和信任維護階段���, 其流程圖如圖1所示。(1)寒暄階段當(dāng)請求方提交對某一資源的請求時�����,首先觸發(fā)信任協(xié)商的寒暄階段�。寒暄階段的目的在于協(xié)商雙方都向?qū)Ψ竭M行自我介紹,并回憶雙方此前是否發(fā)生 過成功的協(xié)商��。寒暄階段的關(guān)鍵問題在于根據(jù)對方提交的名片來判斷協(xié)商對方是否是一個 完全的陌生人����,而且還要判斷對方是否是該名片的證書持有人。如果協(xié)商對方不是完全的 陌生人����,則協(xié)商雙方開始清理對方的歷史信息記錄,即查看協(xié)商對方在過去的協(xié)商中曾被 賦予的角色,刪除過期的角色�。如果協(xié)商對方是一個完全的陌生人,則本地的歷史信息庫中 不存在對方的記錄���,直接進入信任發(fā)展階段����,雙方按照傳統(tǒng)的信任協(xié)商的方法進行交互��,力 求找出一個安全的證書暴露序列或者證明協(xié)商失敗��。寒暄階段協(xié)商協(xié)議如圖2所示�����。(2)信任發(fā)展階段信任發(fā)展階段的目的是為了找出一個安全的證書暴露序列��,使得雙方可以按序安 全的暴露自己的證書��,從而建立起信任關(guān)系��,使得資源的請求方可以訪問他所請求的資源�����。在本發(fā)明中,進入信任發(fā)展階段之后���,服務(wù)器首先查看協(xié)商對方在過去的協(xié)商中被賦予了哪些角色���,以及這些角色允許訪問的資源。如果被請求的資源R包含于協(xié)商對方的某個角色允許訪問的資源集中����,則協(xié)商雙 方根據(jù)記錄在歷史信息庫中的該角色所對應(yīng)的證書暴露序列�,開始進行雙邊的數(shù)字證書暴 露和驗證。如果被請求的資源R并不包含于協(xié)商對方的任意一個角色允許訪問的資源集中���, 則服務(wù)器向?qū)Ψ教峤凰埱筚Y源的訪問控制策略���。客戶端根據(jù)服務(wù)器提交的訪問控制策 略���,本地證書以及本地證書的訪問控制策略���,以及服務(wù)器端的歷史信息記錄中所記錄的服 務(wù)器曾被賦予的角色,計算出應(yīng)該向服務(wù)器提交的證書集或相應(yīng)的訪問控制策略或相應(yīng)的 消息���。服務(wù)器的協(xié)商策略模塊將客戶端提供的訪問控制策略�、證書或消息,提交給服務(wù)器的 一致性驗證器�����。服務(wù)器的一致性驗證器根據(jù)協(xié)商策略模塊提交的訪問控制策略�����、證書����,結(jié)及 消息,結(jié)合本地資源的訪問控制策略����,再次計算協(xié)商對方是否滿足R的訪問控制策略。如果 滿足���,則生成一個安全的證書暴露序列����。否則���,一致性驗證器通過協(xié)商策略模塊結(jié)合本地的 協(xié)商策略向?qū)Ψ教峤幌鄳?yīng)的訪問控制策略����、證書或消息。雙方重復(fù)以上過程��,直到協(xié)商雙方 找到一個安全的證書暴露序列或肯定不存在安全的證書暴露序列�。如果不存在安全的證書 暴露序列,則協(xié)商失敗����,協(xié)商過程結(jié)束�。當(dāng)協(xié)商雙方找到一個安全的證書暴露序列之后,協(xié) 商雙方開始根據(jù)該證書暴露序列進行雙邊的數(shù)字證書暴露和驗證����。雙方交互暴露的證書由證書驗證模塊提交給證書權(quán)威進行驗證。如果所有證書都 沒有篡改����、假冒、過期或吊銷�,則雙方建立起信任關(guān)系,服務(wù)器方將向?qū)Ψ脚秾Ψ秸埱蟮?資源�,并進入信任維護階段�。否則��,協(xié)商失敗�����,整個協(xié)商過程結(jié)束�����。(3)信任維護階段信任維護階段的目的在于保存在本次協(xié)商中協(xié)商對方的相關(guān)信息����,以加快雙方的 后續(xù)協(xié)商過程。在信任發(fā)展階段����,如果協(xié)商雙方協(xié)商成功,建立起信任關(guān)系�����,則觸發(fā)信任維 護階段���。否則��,雙方協(xié)商失敗��,協(xié)商終止���,不再執(zhí)行信任維護�����。在信任維護階段��,無論是資源的請求方還是資源的提供方�����,在達成成功的協(xié)商之 后���,都要進行信任維護的工作�����。如果協(xié)商雙方是第一次進行協(xié)商�����,或曾經(jīng)有過協(xié)商但對方歷 史信息記錄已過期,則需要在自己的歷史信息庫中為對方增加一條歷史信息記錄�,根據(jù)本 次協(xié)商中所暴露的證書,為協(xié)商對方賦予一定的角色����,并記錄該角色對應(yīng)的證書暴露序列。 如果雙方不是初次協(xié)商����,而且本地的歷史信息庫中保存了協(xié)商對方的歷史信息記錄,則只 需要在協(xié)商對方的歷史信息中加入?yún)f(xié)商對方在本次協(xié)商后為協(xié)商對方賦予的新的角色�����,以 及得到該角色雙方的證書暴露序列�。下面結(jié)合圖1和圖2,進一步舉例說明本發(fā)明方法的具體實現(xiàn)過程�,其步驟如下(1)當(dāng)請求方A向資源方B提交對某一資源的請求時,首先觸發(fā)信任協(xié)商的寒暄階 段����。(1. 1)請求方A提出一個請求,并提交自己的名片VCardA�����。(1. 2)資源方B用VCardA&公鑰HfeyA加密的隨機生成的字符串Sb,生成密文CTB��。 資源方B向請求方A返回CTB����,并提交自己的名片VCardB。(1. 3)請求方A用VCardA的私鑰SKeyA解密CTB���,得到字符串S’B���,然后用SKeyA對 S’ B進行簽名,得到簽名后的消息STB�����。同時��,請求方A用VCardB的公鑰加密的隨機 生成的字符串SA�����,生成密文CTA�����。請求方A向資源方B返回STb和CTA����。
(1. 4)資源方B用VCardB的私鑰SKeyB解密CTA,得到字符串S’A����,然后用SKeyB對 S’ 4進行簽名,得到簽名后的消息STA�。資源方B向請求方A返回STA。(1. 5)在請求方A—方���,用其私鑰SKeyA來驗證STA�。如果驗證通過而且S’A = SA, 則充分說明資源方B為VCardB的主體�。請求方A在其歷史信息庫中查找有關(guān)VCardB的記 錄。如果存在該記錄�����,則說明請求方A和資源方B曾經(jīng)有過成功的協(xié)商��,如果沒有這樣的記 錄�,則說明請求方A和資源方B以前沒有進行過協(xié)商,或曾經(jīng)進行過成功的協(xié)商但以前的記 錄已經(jīng)過期而被從歷史信息庫中刪除了,則在協(xié)商成功之后再在歷史信息庫中增加有關(guān)資 源方B的記錄�����。此外�,如果驗證STa返回false或S’A興Sa,則說明資源方B不是VCardB的 主體。同樣的�,資源方B也進行同樣的工作。因為只有數(shù)字證書的證書持有人才能解密由該數(shù)字證書的公鑰所加密的信息����。為 了防止攻擊者竊取他人名片實現(xiàn)非授權(quán)的訪問,在本發(fā)明中���,每個協(xié)商者要協(xié)商對方解密 由其提交的名片的公鑰加密的一個隨機的字符串����。如果對方解密成功�,則說明對方是他所 提交的名片的證書持有人,否則���,則認為對方是盜用他人名片�。因為利用一個數(shù)字證書的私 鑰簽名信息���,可用該證書的公鑰進行驗證����。如上所述��,在本發(fā)明中�����,每個協(xié)商者要向?qū)Ψ阶C 明自己是所提交的名片的持有人���,則必須要將對方加密的信息進行解密���,然后出示給對方。 但是�,解密的信息在傳送的過程中,會遭受到篡改等攻擊�。因此,在本發(fā)明中����,每個協(xié)商者要 將自己傳送給對方的信息用自己的名片的私鑰進行簽名,而且���,協(xié)商對方可以用公鑰來進 行驗證信息的真實性�����?��?偟膩碚f���,在寒暄階段的每一次加密,都是為了要對方證明對方的確是所提交的 名片的主體��,每一次解密則是證明了自己是所提交的名片的主體����。簽名和驗證簽名是為了 要對方判斷自己所發(fā)過去的消息是否被篡改。(2)寒暄階段結(jié)束之后進入信任發(fā)展階段��,找出一個安全的證書暴露序列以訪問 請求的資源�。(2. 1)服務(wù)器首先查看協(xié)商對方在過去的協(xié)商中被賦予了哪些角色,以及這些角 色允許訪問的資源�。(2. 2)如果被請求的資源包含于協(xié)商對方的某個角色允許訪問的資源集中,則協(xié) 商雙方根據(jù)記錄在歷史信息庫中的該角色所對應(yīng)的證書暴露序列����,雙方開始交互的證書暴 露�。否則�,服務(wù)器的策略一致性驗證器向?qū)Ψ教峤幌鄳?yīng)的訪問控制策略。(2. 3)客戶端根據(jù)服務(wù)器提交的訪問控制策略�����,本地證書以及本地證書的訪問控 制策略��,以及服務(wù)器端的歷史信息記錄中所記錄的服務(wù)器曾經(jīng)暴露的數(shù)字證書��,計算出應(yīng) 該向服務(wù)器提交的證書集或相應(yīng)的訪問控制策略��。(2. 4)服務(wù)器的策略一致性驗證器根據(jù)對方提交的訪問控制策略�、證書����、對方的歷 史信息記錄中所記錄的證書、以及本地資源的訪問控制策略�,再次計算協(xié)商對方是否滿足 被請求資源的訪問控制策略。如果滿足��,則生成一個安全的證書暴露序列��。否則��,策略一致 性驗證器通過協(xié)商策略模塊向?qū)Ψ教峤幌鄳?yīng)的訪問控制策略。(2. 5)訪問方A和資源方B重復(fù)(2. 3)和(2. 4)的過程����,直到協(xié)商雙方找到一個安 全的證書暴露序列或肯定不存在安全的證書暴露序列。如果不存在安全的證書暴露序列����, 則協(xié)商失敗。當(dāng)訪問方A和資源方B找到一個安全的證書暴露序列之后��,訪問方A和資源方 B開始交互的證書暴露�。雙方交互暴露的證書由證書驗證模塊交由證書權(quán)威進行驗證,如果
10所有證書都沒有篡改�����、假冒���、過期或吊銷���,則雙方建立起信任關(guān)系,資源方B將向訪問方A披 露對方請求的資源�。否則協(xié)商失敗。(3)信任維護階段的目的在于保存在本次協(xié)商中協(xié)商對方的相關(guān)信息�����,以加快雙 方的后續(xù)協(xié)商過程。(3. 1)在信任發(fā)展階段�����,如果訪問方A和資源方B協(xié)商成功���,則觸發(fā)信任維護階段。 否則�����,雙方協(xié)商失敗��,協(xié)商終止���,不再執(zhí)行信任維護。(3. 2)協(xié)商雙方在達成成功的協(xié)商之后,都進行信任維護的工作��。若無關(guān)于對方的 歷史記錄信息�����,則訪問方A和資源方B都在在自己的歷史信息庫中為對方增加一條歷史信 息記錄,根據(jù)本次協(xié)商中所暴露的證書�,為協(xié)商對方賦予一定的角色,并記錄該角色對應(yīng)的 證書暴露序列����。否則,只需要在協(xié)商對方的歷史信息中加入?yún)f(xié)商對方在本次協(xié)商后為協(xié)商 對方賦予的新的角色��,以及得到該角色雙方的證書暴露序列�����。本發(fā)明還提供了實現(xiàn)該方法的系統(tǒng)�,如圖3所示。在本系統(tǒng)中��,協(xié)商雙方通過協(xié)商 代理進行協(xié)商�,系統(tǒng)包括訪問控制策略庫、證書庫�����、角色庫��、證書收集器、歷史信息庫����、角色 分配策略庫、角色分配器��、協(xié)商策略模塊�、證書驗證器、一致性檢驗器和證書暴露序列構(gòu)造器�。訪問控制策略庫(Access Control Policy Base)。訪問控制策略庫存放所有資源 的訪問控制策略�����。在本發(fā)明中�����,敏感資源包括服務(wù)�、證書�、訪問控制策略等。當(dāng)協(xié)商對方請 求某個資源時�����,系統(tǒng)首先查看該資源是否具有訪問控制策略,如果有���,則查看具體的訪問控 制策略��,并將其提交給一致性驗證器�,作為一致性驗證器決定驗證結(jié)果的依據(jù)�。證書庫(Credential Base)。用來存放所有的本地證書��。但并不是所有的證書都 存在本地��,對于沒有存放在本地的證書���,應(yīng)該記錄存放該證書的位置�����。證書庫將本地所擁有 的證書提交給一致性驗證器��,作為一致性驗證器決定驗證結(jié)果的依據(jù)�����。歷史信息庫(History Information Base)�。歷史信息庫用來存放所有協(xié)商對方的 歷史信息的數(shù)據(jù)庫。每個協(xié)商對方通過其名片對應(yīng)一條歷史信息記錄����。歷史信息庫將協(xié)商 對方的歷史信息記錄提交給一致性驗證器,作為一致性驗證器決定驗證結(jié)果的依據(jù)���。角色庫(Role Base)�。保存本地所設(shè)的所有角色�,以及該角色所擁有的權(quán)限。本地 所設(shè)的角色以及每個角色所擁有的權(quán)限由用戶定義�����。角色庫將所有的角色及其所擁有的權(quán) 限提交給一致性驗證器�����,作為一致性驗證器決定驗證結(jié)果的依據(jù)�。角色分配策略庫(Role Assign Policy Base)�。存放角色分配策略的數(shù)據(jù)庫,角色 分配策略由用戶定義���。角色分配策略庫作為角色分配的依據(jù)�,將角色分配策略提交給角色 分配器,幫助角色分配器為協(xié)商對方分配角色����。協(xié)商策略模塊(Negotiation Strategy)。協(xié)商策略定義了什么時候向?qū)Ψ脚妒?么信息�,用于指導(dǎo)信任關(guān)系的合理建立,控制協(xié)商暴露的消息內(nèi)容��。協(xié)商策略是協(xié)商代理的 核心模塊����,其操作依賴于策略一致性驗證器的執(zhí)行結(jié)果。協(xié)商策略模塊接收來自協(xié)商對方 的訪問控制策略���、協(xié)商對方的證書以及協(xié)商對方所提供的消息�,并結(jié)合自己的協(xié)商策略�,將 其提交給一致性驗證器,并由一致性驗證器驗證的結(jié)果來決定向協(xié)商對方提交本地的訪問 控制策略或本地證書或向協(xié)商對方披露相關(guān)的消息���。證書驗證器(Credential Verifier)模塊���。證書驗證器用來驗證對方所提交的證 書是否被篡改、是否已失效�����,以及是否已被吊銷。證書驗證器模塊從協(xié)商策略接收協(xié)商對方所提交的證書��,并提交給證書權(quán)威��,由證書權(quán)威判斷該證書是否有效�����,并將證書權(quán)威所驗證 的結(jié)果提交給協(xié)商策略�。一致性檢驗器(Compliance Checker)。其作用有兩個�����。第一�,根據(jù)協(xié)商對方的訪 問控制策略和自己擁有的證書,計算出滿足對方訪問控制策略的數(shù)字證書集����。第二,根據(jù)協(xié) 商對方暴露的數(shù)字證書集判斷是否滿足對方請求資源的訪問控制策略���。一致性驗證器接收 訪問控制策略庫提交的訪問控制策略���、證書庫提交的本地證書、角色提交的本地角色和權(quán) 限之間的關(guān)系�、證書收集器收集到的存放于網(wǎng)絡(luò)的證書、歷史信息庫提交的協(xié)商對方的歷 史信息記錄�,以及協(xié)商策略所傳遞過來的協(xié)商對方的訪問控制策略、協(xié)商對方的證書或者 協(xié)商對方的消息���,進行綜合的分析和驗證�����,決定向協(xié)商對手傳遞什么樣的協(xié)商結(jié)果����,并將該 決定提交給協(xié)商策略模塊�����,由協(xié)商策略模塊構(gòu)造出適當(dāng)?shù)姆答伈⑺瓦_協(xié)商對方�����。iiE-zP^Mii^iJl^jit^l (Credential Disclosure Sequence Constructor) iiE-^^ 露序列構(gòu)造器是用來構(gòu)造一個安全的證書暴露序列���。證書暴露序列構(gòu)造器通過收集雙方在 協(xié)商過程中所有和協(xié)商相關(guān)的而且可能被暴露的證書��,構(gòu)成一個安全的證書暴露序列���,協(xié) 商雙方按照證書暴露序列的順列交互的向?qū)Ψ脚断嚓P(guān)的證書集�����,則可最終滿足被請求資 源的訪問控制策略�����,從而服務(wù)器可安全的向請求方暴露被請求資源����。角色分配器(Role Assigner)���。角色分配器用來為一個實體分配角色�,從而獲得該 角色所擁有的權(quán)限���。在本發(fā)明中��,角色分配器接收來自證書暴露序列構(gòu)造器所提供的證書 暴露序列���,來確定在協(xié)商過程中,協(xié)商對方所暴露的證書�����,并根據(jù)角色分配策略庫所提供的 角色分配策略��,為協(xié)商對方分配適當(dāng)?shù)慕巧?�,并將該角色以及證書暴露序列一起提交給歷 史信息庫�。在本發(fā)明中,在雙方再次進行協(xié)商時�����,只要歷史信息記錄中的角色有權(quán)訪問被請 求的資源���,則無需再次進行協(xié)商�����,直接按照該角色的證書暴露序列暴露即可��,因此大大的加 快了雙方的后續(xù)協(xié)商過程��。本發(fā)明適合所有的協(xié)商環(huán)境�,它并不要求所有的用戶都會采用本發(fā)明所闡述的方 法。如果請求方(或資源的提供者)在寒暄階段沒有向?qū)Ψ教峤蛔约旱拿?����,則說明請求 方(或資源的提供者)沒有采用本發(fā)明的方法��。在這種情況下�����,協(xié)商只執(zhí)行信任發(fā)展階段���, 而且在信任發(fā)展階段��,雙方在協(xié)商的過程中��,均不需查看歷史信息庫中的歷史信息記錄���。本發(fā)明不僅局限于上述具體實施方式
,本領(lǐng)域一般技術(shù)人員根據(jù)本發(fā)明公開的內(nèi) 容����,可以采用其它多種具體實施方式
實施本發(fā)明�����,因此����,凡是采用本發(fā)明的設(shè)計結(jié)構(gòu)和思 路�����,做一些簡單的變化或更改的設(shè)計���,都落入本發(fā)明保護的范圍。
權(quán)利要求
1.一種基于歷史角色的信任協(xié)商構(gòu)建方法����,其特征在于,其步驟包括(1)寒暄階段當(dāng)請求方向資源方提交對某一資源的請求時��,首先觸發(fā)信任協(xié)商的寒暄階段����,確認雙 方身份及是否有歷史協(xié)商成功記錄信息;(2)信任發(fā)展階段寒暄階段結(jié)束之后雙方進入信任發(fā)展階段,通過互相披露訪問控制策略和證書�����,找出 一個安全的證書暴露序列以訪問請求的資源��;如果找到����,觸發(fā)信任維護階段;否則����,雙方協(xié) 商失敗,協(xié)商終止�,不再執(zhí)行信任維護;(3)信任維護階段在信任維護階段����,無論是資源的請求方還是資源的提供方,在達成成功的協(xié)商之后���,都 要進行信任維護的工作��。如果協(xié)商雙方是第一次進行協(xié)商����,或曾經(jīng)有過協(xié)商但對方歷史信 息記錄已過期,則需要在自己的歷史信息庫中為對方增加一條歷史信息記錄�����,根據(jù)本次協(xié) 商中所暴露的證書�,為協(xié)商對方賦予一定的角色,并記錄該角色對應(yīng)的證書暴露序列�;如果 雙方不是初次協(xié)商,而且本地的歷史信息庫中保存了協(xié)商對方的歷史信息記錄�,則只需要 在協(xié)商對方的歷史信息中加入?yún)f(xié)商對方在本次協(xié)商后為協(xié)商對方賦予的新的角色�����,以及得 到該角色雙方的證書暴露序列���。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于在寒暄階段����,請求方進行下述步驟(1. 1)請求方提出一個請求�����,并提交自己的名片VCardA ;(1. 2)資源方用VCardA的公鑰PKeyA加密的隨機生成的字符串SB�,生成密文CTb ;資源 方向請求方返回CTB����,并提交自己的名片VCardB ;(1. 3)請求方用VCardA的私鑰SKeyA解密CTB�����,得到字符串S’ B��,然后用SKeyA對S’ B進 行簽名����,得到簽名后的消息STb ;同時�����,請求方用VCardB的公鑰PKeyBW密的隨機生成的字符 串SA�����,生成密文CTa ;請求方向資源方返回STb和CTa �;(1. 4)資源方用VCardB的私鑰SKeyB解密CTA,得到字符串S’ A����,然后用SKeyB對S’ A進 行簽名,得到簽名后的消息STa ��;資源方向請求方返回STa �����;(1.5)在請求方一方�,用其私鑰SKeyA來驗證STA;如果驗證通過而且S’ A = \,則充分 說明資源方為VCardB的主體���;請求方在其歷史信息庫中查找有關(guān)VCardB的記錄;如果存在 該記錄�,則說明請求方和資源方曾經(jīng)有過成功的協(xié)商;如果驗證STa返回false或S’A興Sa, 則說明資源方不是VCardB的主體�;資源方按照步驟(1. 1)至(1. 5)的流程,將請求方與資源方的角色互換后�,完成同樣的 工作。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于信任發(fā)展階段包括以下過程(2. 1)服務(wù)器首先查看協(xié)商對方在過去的協(xié)商中被賦予了哪些角色�����,以及這些角色允 許訪問的資源��;(2. 2)如果被請求的資源包含于協(xié)商對方的某個角色處理的資源集中����,則協(xié)商雙方根 據(jù)記錄在歷史信息庫中的該角色所對應(yīng)的證書暴露序列�,雙方開始證書暴露;否則�,服務(wù)器 向?qū)Ψ教峤幌鄳?yīng)的訪問控制策略;(2. 3)客戶端根據(jù)服務(wù)器提交的訪問控制策略����,本地證書以及本地證書的訪問控制策 略,以及服務(wù)器端的歷史信息記錄中所記錄的服務(wù)器曾經(jīng)暴露的數(shù)字證書�,計算出應(yīng)該向服務(wù)器提交的證書集或相應(yīng)的訪問控制策略;(2. 4)服務(wù)器根據(jù)對方提交的訪問控制策略�、證書、對方的歷史信息記錄中所記錄的證 書����、以及本地資源的訪問控制策略,再次計算協(xié)商對方是否滿足被請求資源的訪問控制策 略��;如果滿足,則生成一個安全的證書暴露序列�����;否則���,服務(wù)器向?qū)Ψ教峤幌鄳?yīng)的訪問控制 策略�;(2. 5)雙方重復(fù)(2. 3)和(2. 4)的過程��,直到協(xié)商雙方找到一個安全的證書暴露序列或 肯定不存在安全的證書暴露序列�;如果不存在安全的證書暴露序列,則協(xié)商失?��?�;當(dāng)協(xié)商 雙方找到一個安全的證書暴露序列之后���,協(xié)商雙方開始交換證書�����;如果雙方交換的證書通 過驗證���,即所有證書都沒有篡改��、假冒���、過期或吊銷��,則雙方建立起信任關(guān)系�,服務(wù)方將向?qū)?方披露對方請求的資源�����;否則協(xié)商失敗���。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于信任維護階段包括下述過程(3. 1)在信任發(fā)展階段,如果協(xié)商雙方協(xié)商成功����,則觸發(fā)信任維護階段;否則��,雙方協(xié) 商失敗�,協(xié)商終止����,不再執(zhí)行信任維護�����;(3. 2)協(xié)商雙方在達成成功的協(xié)商之后���,進行信任維護的工作�����;若無關(guān)于對方的歷史 記錄信息�����,則在自己的歷史信息庫中為對方增加一條歷史信息記錄�����,根據(jù)本次協(xié)商中所暴 露的證書����,為協(xié)商對方賦予一定的角色�,并記錄該角色對應(yīng)的證書暴露序列;否則����,只需要 在協(xié)商對方的歷史信息中加入?yún)f(xié)商對方在本次協(xié)商后為協(xié)商對方賦予的新的角色,以及得 到該角色雙方的證書暴露序列�。
5.一種實現(xiàn)權(quán)利要求1所述信任協(xié)商構(gòu)建方法的系統(tǒng),其特征在于�����,該系統(tǒng)包括訪問 控制策略庫���、證書庫����、角色庫����、證書收集器、歷史信息庫���、角色分配策略庫����、角色分配器、協(xié)商 策略模塊�����、證書驗證器�、一致性檢驗器和證書暴露序列構(gòu)造器;訪問控制策略庫用于存放所有資源的訪問控制策略�����; 證書庫用來存放所有的本地證書����; 歷史信息庫用來存放所有協(xié)商對方的歷史信息的數(shù)據(jù)庫; 角色庫用于保存本地所設(shè)的所有角色���,以及該角色所擁有的權(quán)限�����; 角色分配策略庫用于存放角色分配策略的數(shù)據(jù)庫�����;協(xié)商策略模塊用于定義什么時候向協(xié)商對方披露什么信息���,用于指導(dǎo)信任關(guān)系的合理 建立,控制協(xié)商暴露的消息內(nèi)容���。其操作依賴于策略一致性驗證器的執(zhí)行結(jié)果�����。協(xié)商策略 模塊接收來自協(xié)商對方的訪問控制策略��、協(xié)商對方的證書以及協(xié)商對方所提供的消息�����,并 結(jié)合自己的協(xié)商策略�����,將其提交給一致性驗證器���,并由一致性驗證器驗證的結(jié)果來決定向 協(xié)商對方提交本地的訪問控制策略或本地證書或向協(xié)商對方披露相關(guān)的消息;證書驗證器模塊用來驗證對方所提交的證書是否被篡改�����、是否已失效,以及是否已被 吊銷���;證書驗證器模塊從協(xié)商策略模塊接收協(xié)商對方所提交的證書��,并提交給證書權(quán)威�����,由 證書權(quán)威判斷該證書是否有效�,并將證書權(quán)威所驗證的結(jié)果提交給協(xié)商策略�;一致性檢驗器接收訪問控制策略庫提交的訪問控制策略、證書庫提交的本地證書�、角 色提交的本地角色和權(quán)限之間的關(guān)系、證書收集器收集到的存放于網(wǎng)絡(luò)的證書���、歷史信息 庫提交的協(xié)商對方的歷史信息記錄�,以及協(xié)商策略所傳遞過來的協(xié)商對方的訪問控制策 略��、協(xié)商對方的證書或者協(xié)商對方的消息�,進行綜合的分析和驗證,決定向協(xié)商對手傳遞什 么樣的協(xié)商結(jié)果��,并將該決定提交給協(xié)商策略模塊,由協(xié)商策略模塊構(gòu)造出適當(dāng)?shù)姆答伈⑺瓦_協(xié)商對方�;證書暴露序列構(gòu)造器通過收集雙方在協(xié)商過程中所有和協(xié)商相關(guān)的而且可能被暴露 的證書,構(gòu)成一個安全的證書暴露序列���,協(xié)商雙方按照證書暴露序列的順序交互的向?qū)Ψ?披露相關(guān)的證書集��,以滿足被請求資源的訪問控制策略,使服務(wù)器能夠安全的向請求方暴 露被請求資源�����;角色分配器接收來自證書暴露序列構(gòu)造器所提供的證書暴露序列��,確定在協(xié)商過程 中�,協(xié)商對方所暴露的證書,并根據(jù)角色分配策略庫所提供的角色分配策略��,為協(xié)商對方分 配適當(dāng)?shù)慕巧?�,并將該角色以及證書暴露序列一起提交給歷史信息庫����。
全文摘要
本發(fā)明公開了一種基于歷史角色的信任協(xié)商構(gòu)建方法,步驟為①當(dāng)請求方向資源方提交對某一資源的請求時��,首先觸發(fā)信任協(xié)商的寒暄階段,確認雙方身份及是否有歷史協(xié)商成功記錄信息�����。②寒暄階段結(jié)束之后雙方進入信任發(fā)展階段,通過互相披露訪問控制策略和證書����,找出一個安全的證書暴露序列以訪問請求的資源。③雙方在信任協(xié)商成功后進入信任維護階段��,保存在本次協(xié)商中協(xié)商對方的相關(guān)信息��,以加快雙方的后續(xù)協(xié)商過程���。本發(fā)明使協(xié)商成功的雙方在自己的歷史信息庫中為對方更新角色����,并記錄得到該角色雙方的證書暴露序列�����。在雙方再次進行協(xié)商時�����,無需再次進行協(xié)商,直接按照該角色的證書暴露序列暴露即可�,縮短了雙方的后續(xù)協(xié)商,避免了惡意協(xié)商對手的證書收集活動�。
文檔編號H04L29/06GK102075518SQ201010573679
公開日2011年5月25日 申請日期2010年12月6日 優(yōu)先權(quán)日2010年12月6日
發(fā)明者趙貽竹, 馬堯, 魏濤, 魯宏偉 申請人:華中科技大學(xué)