一種多異構(gòu)域認(rèn)證的域間信任關(guān)系動(dòng)態(tài)模型

0跨域認(rèn)證協(xié)議在大型網(wǎng)絡(luò)化網(wǎng)絡(luò)環(huán)境中，異構(gòu)域中使用的身份驗(yàn)證機(jī)制通常不同。區(qū)域之間的信任關(guān)系隨著交易活動(dòng)的動(dòng)態(tài)變化。由于不同可靠域之間經(jīng)常發(fā)生訪問(wèn)，如何在大型網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)非構(gòu)建區(qū)域的動(dòng)態(tài)認(rèn)證是必須解決的問(wèn)題?，F(xiàn)有的跨域認(rèn)證方法有許多。文獻(xiàn)提出了一種基于公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)的Kerberos跨域認(rèn)證協(xié)議,它通過(guò)將兩個(gè)域中的票證發(fā)放服務(wù)器(TicketGrantingServer,TGS)互相注冊(cè)為對(duì)方域中的用戶來(lái)實(shí)現(xiàn)跨域認(rèn)證,但前提是任意兩個(gè)域必須都采用Kerberos認(rèn)證機(jī)制,并且通過(guò)互相注冊(cè)是一種靜態(tài)建立域間信任關(guān)系的方法。文獻(xiàn)解決了分別使用PKI和Kerberos作為鑒別機(jī)制的異構(gòu)域之間的身份認(rèn)證問(wèn)題,但在大規(guī)模異構(gòu)網(wǎng)絡(luò)環(huán)境中,各信任域的認(rèn)證機(jī)制可能有多種,僅解決幾種已有認(rèn)證機(jī)制的異構(gòu)域間的認(rèn)證問(wèn)題不能從根本上實(shí)現(xiàn)大規(guī)模分布式環(huán)境下多異構(gòu)域的跨域認(rèn)證。此外,也有些跨域認(rèn)證方法如文獻(xiàn),它們采用靜態(tài)建立域間信任關(guān)系的方法來(lái)解決跨域認(rèn)證問(wèn)題,這種靜態(tài)建立的信任關(guān)系不能跟隨企業(yè)活動(dòng)的變化而發(fā)生改變。由此可見(jiàn),已有的跨域認(rèn)證方法或者與域內(nèi)認(rèn)證機(jī)制相關(guān),或者把域間信任關(guān)系靜態(tài)化,不能很好地適應(yīng)大規(guī)模網(wǎng)絡(luò)環(huán)境的特點(diǎn)。為了更好地適應(yīng)大規(guī)模分布式環(huán)境下異構(gòu)域認(rèn)證機(jī)制不一致,域間信任關(guān)系動(dòng)態(tài)變化的特點(diǎn),本文提出了一種基于信任度的跨異構(gòu)域的動(dòng)態(tài)認(rèn)證方法,該方法引入域間信任度的計(jì)算,根據(jù)信任域之間信任度的變化來(lái)建立信任關(guān)系,與域內(nèi)采取的認(rèn)證機(jī)制無(wú)關(guān),實(shí)現(xiàn)了跨異構(gòu)域的動(dòng)態(tài)認(rèn)證。1基于可靠性的交叉認(rèn)證方法1.1域間信任度的建立跨域認(rèn)證問(wèn)題最重要的就是建立域與域之間的信任關(guān)系,本文通過(guò)計(jì)算域間的信任度來(lái)建立與遠(yuǎn)程域的信任關(guān)系。這里的信任度反映的是一個(gè)域?qū)α硪粋€(gè)域的信任程度。如果域B對(duì)域A的信任度在域B可接受的范圍內(nèi),則域B可與域A建立信任關(guān)系,此時(shí)域B信任經(jīng)過(guò)域A認(rèn)證的用戶身份。這種信任關(guān)系是單向的,即域A并不一定信任經(jīng)過(guò)域B認(rèn)證的用戶身份,要通過(guò)計(jì)算域A對(duì)域B的信任度從而建立信任關(guān)系才能確定。用戶首先要通過(guò)本域認(rèn)證服務(wù)器的認(rèn)證,然后通過(guò)和遠(yuǎn)程域的信任關(guān)系來(lái)實(shí)現(xiàn)用戶的跨域認(rèn)證。信任度由可信第三方SA(信任度計(jì)算機(jī)構(gòu))負(fù)責(zé)計(jì)算,本文中假設(shè)各個(gè)域的認(rèn)證服務(wù)器都無(wú)條件地信任由可信第三方SA所計(jì)算出的信任度。該跨域認(rèn)證架構(gòu)如圖1所示。這里域A對(duì)域B的信任度與域A對(duì)域B用戶的信任度相關(guān),其中用戶的可信程度隨著用戶的行為而變化,如圖1,用戶在跨域訪問(wèn)結(jié)束后,遠(yuǎn)程域會(huì)對(duì)用戶行為做一個(gè)評(píng)測(cè)(即打分),并提交給SA來(lái)計(jì)算其信任度,從而使用戶的可信程度根據(jù)用戶行為的評(píng)測(cè)來(lái)動(dòng)態(tài)調(diào)整,如果多次評(píng)測(cè)均為良好,用戶的可信度會(huì)上升,反之,用戶的可信度下降。用戶的可信度直接影響到域間信任度的計(jì)算,從而間接影響域間信任關(guān)系的建立。這樣,基于信任度的動(dòng)態(tài)跨異構(gòu)域認(rèn)證能夠在一定程度上遏制惡意行為的發(fā)生。1.2域b對(duì)域b認(rèn)證服務(wù)器的信任度廣義上的信任是指Trustor在特定上下文中對(duì)于Trustee的能力、誠(chéng)實(shí)度、安全和可靠性的相信程度的量化表示。在本文中的信任是指某域的認(rèn)證服務(wù)器對(duì)另一個(gè)域的認(rèn)證服務(wù)器所提供的聲稱(chēng)其域內(nèi)某用戶為合法用戶的相信程度的量化表示,即某域?qū)α硪粋€(gè)域的認(rèn)證服務(wù)器的誠(chéng)實(shí)度、安全性和可靠性的相信程度。如果域B對(duì)域A認(rèn)證服務(wù)器的信任度在域B可接受的范圍內(nèi),則它與域A建立暫時(shí)的信任關(guān)系,并認(rèn)可經(jīng)過(guò)域A認(rèn)證的用戶。這里域B對(duì)域A的信任程度是動(dòng)態(tài)變化的,它的變化取決于三個(gè)方面的因素:域B對(duì)域A的原始信任度、域B對(duì)域A用戶的信任度、其他域?qū)τ駻的信任度。在初始狀態(tài)下,由各域的認(rèn)證服務(wù)器指定對(duì)其他域的信任初始值,其中域B對(duì)域A的信任度和對(duì)域A中任意用戶的信任度相同。這個(gè)初始值的高低直接影響到將來(lái)域B對(duì)域A的信任度的變化,初始值可以根據(jù)域B了解的域A的情況做出主觀評(píng)估。域B對(duì)域A用戶的信任度是對(duì)域A所有已知用戶的信任度的均值,域B對(duì)域A內(nèi)某用戶的信任度即域B對(duì)該用戶在域B內(nèi)訪問(wèn)過(guò)程的滿意程度,它的變化直接影響到域B對(duì)域A認(rèn)證服務(wù)器的信任程度。其他域?qū)τ駻的信任度反映了其他域?qū)τ駻的誠(chéng)實(shí)度、安全、可靠性的評(píng)估水平,如果其他域?qū)τ駻認(rèn)證服務(wù)器的信任度有所變化,那么域B對(duì)域A認(rèn)證服務(wù)器的信任度也會(huì)隨之變化。如果將某次訪問(wèn)事件發(fā)生之前域B對(duì)域A的信任度記為C(B→A)i-1,那么通過(guò)該次訪問(wèn)過(guò)程,域B對(duì)域A的信任度可用式(1)計(jì)算:C(B→A)i=∑s=1ncred(B,usA)in×50%+∑j=1且j≠B,j≠AmC(j→A)im?2×25%+C(B→A)i?1×25%(1)C(B→A)i=∑s=1ncred(B,uAs)in×50%+∑j=1且j≠B,j≠AmC(j→A)im-2×25%+C(B→A)i-1×25%(1)其中n為已知的域A用戶數(shù),usAAs表示A域第s個(gè)用戶,cred(B,usAAs)i表示B域認(rèn)證服務(wù)器對(duì)A域第s個(gè)用戶的當(dāng)前信任度,Dj表示網(wǎng)絡(luò)環(huán)境下第j個(gè)信任域。上式中第一項(xiàng)即為域B認(rèn)證服務(wù)器對(duì)域A中所有已知用戶的當(dāng)前信任度的均值,為了使信任值能反映用戶最近的行為,我們讓該項(xiàng)在信任度計(jì)算中占有較大比例(50%)。第二項(xiàng)為除域B外其他域?qū)τ駻信任度的均值,第三項(xiàng)為域B對(duì)域A在此次交易之前的原始信任值,這兩項(xiàng)在信任度計(jì)算中各占25%的比例。域B對(duì)域A認(rèn)證服務(wù)器的信任度計(jì)算是建立在域B對(duì)域A用戶的信任度計(jì)算的基礎(chǔ)上的。域B對(duì)域A內(nèi)某用戶的信任度取決于該用戶在訪問(wèn)域B資源時(shí),域B對(duì)用戶身份、行為的滿意程度。當(dāng)域A用戶完成對(duì)域B資源的訪問(wèn)后,域B會(huì)對(duì)該次訪問(wèn)過(guò)程進(jìn)行滿意度打分,并將該打分提交給SA,由SA根據(jù)域B提交的打分,結(jié)合域B對(duì)該用戶的原始信任度,計(jì)算域B對(duì)域A該用戶的新信任度。假設(shè)域A用戶uA第i次訪問(wèn)域B某資源后,域B對(duì)該次訪問(wèn)過(guò)程的滿意度打分記為rank(B,uA)i,其中-1≤rank(B,uA)i≤1,負(fù)值表示對(duì)本次訪問(wèn)過(guò)程不滿意,反之,正值表示滿意。經(jīng)過(guò)該次滿意度打分后,域B對(duì)該用戶的信任度記為cred(B,uA)i,其中-1≤cred(B,uA)i≤1,則域B在該次訪問(wèn)后對(duì)用戶uA的新的信任值可用式(2)來(lái)計(jì)算:cred(B,uA)i=rank(B,uA)i×50%+cred(B,uA)i-1×50%(2)為了使信任值能反映用戶最近的行為,我們讓最近一次訪問(wèn)的打分在信任值計(jì)算中占有50%的比例。1.3域b認(rèn)證服務(wù)器跨域認(rèn)證是實(shí)現(xiàn)跨域訪問(wèn)的前提,當(dāng)用戶有跨域訪問(wèn)需求時(shí),才會(huì)產(chǎn)生跨域認(rèn)證問(wèn)題。在本文提出的跨域認(rèn)證方法中,當(dāng)用戶要訪問(wèn)遠(yuǎn)程域的資源時(shí),首先需要通過(guò)本地域認(rèn)證服務(wù)器的認(rèn)證,認(rèn)證通過(guò)后由本地認(rèn)證服務(wù)器代表用戶向遠(yuǎn)程認(rèn)證服務(wù)器提交遠(yuǎn)程訪問(wèn)請(qǐng)求,遠(yuǎn)程認(rèn)證服務(wù)器向第三方查詢此刻它對(duì)該請(qǐng)求域認(rèn)證服務(wù)器的信任度,如果該值在它可接受的范圍內(nèi),則與該域建立信任關(guān)系,該信任關(guān)系意味著它認(rèn)可該域用戶的合法身份,并為用戶頒發(fā)臨時(shí)允許訪問(wèn)票據(jù),同意其進(jìn)入該域進(jìn)行資源訪問(wèn),但該用戶在域內(nèi)的訪問(wèn)權(quán)限由域內(nèi)資源的訪問(wèn)規(guī)則進(jìn)一步約束,至此一次成功的跨域認(rèn)證過(guò)程結(jié)束。設(shè)域A認(rèn)證服務(wù)器的公私鑰分別為KPubA、KPrivA。設(shè)經(jīng)過(guò)會(huì)話密鑰的協(xié)商,A、域B認(rèn)證服務(wù)器之間的會(huì)話密鑰為KS,可信第三方SA與域B認(rèn)證服務(wù)器的共享密鑰為KB′。則域A用戶u跨域訪問(wèn)域B資源的認(rèn)證過(guò)程描述如下:1)用戶u向本域認(rèn)證服務(wù)器提交自己的身份憑證,并向其提出訪問(wèn)域B資源R的請(qǐng)求。U:M=KPubA(Id(u),B,R,Times)→A用戶將要訪問(wèn)資源的所在域的標(biāo)識(shí)、資源標(biāo)識(shí)及自己的身份憑證用本域認(rèn)證服務(wù)器的公鑰加密發(fā)送給域A認(rèn)證服務(wù)器,其中Times表示用戶提出訪問(wèn)請(qǐng)求的時(shí)間。2)域A認(rèn)證服務(wù)器收到用戶u的請(qǐng)求后,驗(yàn)證Id(u)的有效性,驗(yàn)證通過(guò)后,向域B認(rèn)證服務(wù)器發(fā)送用戶u的訪問(wèn)請(qǐng)求。A:M=KS(KPrivA(Id(u),R,Times,Ts(1),Nonce(1)))→B域B認(rèn)證服務(wù)器將用戶的身份憑證、要訪問(wèn)的資源標(biāo)識(shí)R、用戶發(fā)出請(qǐng)求的時(shí)間(Times)、隨機(jī)數(shù)(Nonce(1))及時(shí)間戳(Ts(1))用自己的私鑰簽名再用KS加密發(fā)送給域B認(rèn)證服務(wù)器,認(rèn)證服務(wù)器通過(guò)檢查時(shí)間戳來(lái)防止重發(fā)攻擊。3)域B認(rèn)證服務(wù)器向可信第三方請(qǐng)求當(dāng)前狀態(tài)下域B對(duì)域A的信任度,同時(shí)產(chǎn)生隨機(jī)數(shù)Nonce(1),并用自己的私鑰簽名再用共享密鑰KB′加密發(fā)送給SA。B:M=KB′(KPrivB(B,A),Nonce(2))→SA4)可信第三方SA返回域B對(duì)域A的信任值到域B認(rèn)證服務(wù)器。SA:M=KB′(KPrivSA(C(B→A)i),Nonce(2))→B可信第三方用自己的私鑰對(duì)信任度簽名再用共享密鑰KB′加密后發(fā)送給域B。域B認(rèn)證服務(wù)器中記錄了自己可以接受的對(duì)外域認(rèn)證服務(wù)器的信任值范圍,它用共享密鑰及可信第三方的公鑰解密收到的消息,驗(yàn)證隨機(jī)數(shù)的正確性,以保證是自己先前發(fā)送請(qǐng)求對(duì)應(yīng)得回復(fù),驗(yàn)證通過(guò)后判斷信任度是否在自己所接受的范圍內(nèi),如果在,則與域A建立暫時(shí)的信任關(guān)系,否則拒絕。5)域B認(rèn)證服務(wù)器根據(jù)自己可接受的信任值范圍向A返回允許/拒絕票據(jù)。向A返回允許訪問(wèn)票據(jù):B:M=KS(KPrivB(Id(u),A,R,TS(2),Times,VaildTimes,Nonce(1)))→A向A返回拒絕訪問(wèn)票據(jù):B:M′=KS(KPrivB(Id(u),Nonce(1)))→A域B認(rèn)證服務(wù)器在與域A建立了信任關(guān)系之后,為域A返回允許/拒絕用戶u訪問(wèn)的票據(jù),其中允許票據(jù)中包含了用戶u的身份憑證(Id(u))、用戶所屬的域標(biāo)識(shí)A、用戶要訪問(wèn)的資源標(biāo)識(shí)R,時(shí)間戳(Ts(2))、用戶提交訪問(wèn)請(qǐng)求的時(shí)間(Times)、隨機(jī)數(shù)(Nonce(1))、票據(jù)的有效期(VaildTimes)等信息。該信息用域B認(rèn)證服務(wù)器的私鑰簽名成為允許票據(jù),用會(huì)話密鑰KS加密發(fā)送給域A認(rèn)證服務(wù)器。6)域A認(rèn)證服務(wù)器收到域B認(rèn)證服務(wù)器返回的消息后,驗(yàn)證票據(jù)中請(qǐng)求時(shí)間(Times)和隨機(jī)數(shù)(Nonce(1))的有效性,驗(yàn)證通過(guò)后將票據(jù)回復(fù)給用戶u。7)用戶收到回復(fù)后,持允許訪問(wèn)票據(jù)訪問(wèn)域B資源R。由于域與域之間的信任關(guān)系會(huì)動(dòng)態(tài)變化,因此允許票據(jù)的有效期一般較短。允許票據(jù)表明票據(jù)的擁有者通過(guò)票據(jù)頒發(fā)者的認(rèn)證,可以對(duì)該域進(jìn)行資源訪問(wèn),但仍受到該域訪問(wèn)控制策略的進(jìn)一步約束。2域b對(duì)域b信任度下降設(shè)某分布式環(huán)境下有三個(gè)信任域,分別為A、B、C,它們當(dāng)前狀態(tài)下的信任度取值如表1所示。假設(shè)域A某用戶想要訪問(wèn)域B某資源,前幾次表現(xiàn)良好以獲得好的信任度,然后開(kāi)始惡意行為,如圖3所示,淺色柱是域B對(duì)域A該用戶的打分,深色柱是域B對(duì)域A的信任度。從圖中可以看出,前幾次用戶表現(xiàn)良好獲得了較好的信任值,域B與域A保持信任關(guān)系,但是用戶一旦開(kāi)始惡意操作,打分降低,信任值會(huì)隨之驟然下降,域B與域A建立的原有信任關(guān)系會(huì)隨之消失。從表2可知域B對(duì)域A的信任度可接收的范圍為[0.5,1],因此當(dāng)?shù)?次訪問(wèn)用戶開(kāi)始惡意行為時(shí),域B對(duì)域A的信任度下降到0.5以下,從該次惡意行為開(kāi)始,域B對(duì)域A的信任關(guān)系就消失了。圖3反映了滿意度打分對(duì)信任度的影響,在本文提出的方法中,如