基于安全等级的自动协商系统摘要：提出了一种基于安全等级的自动协商系统，分析如何防止DoS攻击和敏感信息泄漏，以此来提高系统的安全性。关键词：信任协商；信任状；访问控制策略；安全等级：TP393.08文献标志码：A：1001-3695(2007)12-0196-03随着网络在商务、政务、娱乐等方面的应用越来越深入，原有的网络安全机制将无法满足新的需求，必须设计新的安全机制来满足分布式环境中不同安全域内主体间信任关系的建立。M.Blaze等人[1]首先提出了信任管理（trustmanagement）的概念。与原有集中式访问控制技术基于身份鉴别相比，它使用基于能力的授权系统，但服务方必须预先对请求方进行授权。这样仍旧无法满足开放、动态的环境。为此，Winsborough等人[2]提出了ATN(automatedtrustnegotiation，自动信任协商)的概念。通信双方通过互相披露信任状和信任策略，实现陌生的请求方与服务方之间建立信任关系，进而建立信任连接的功能。但是原有的自动信任协商在安全性方面还很不够。目前对于信任协商的研究均建立在假设协商双方均为诚实的基础上，但现实环境中往往存在着大量欺骗和攻击的情况。为了解决这个问题，笔者发展了基于安全等级的自动信任协商（automatedtrustnegotiationbasedonsecuritylevel）系统。根据当前协商情况、历史信息和资源敏感程度等方面来评估安全等级，通过这种方式来有效抵御来自互联网的攻击和欺骗。1原有系统缺陷集中式环境中，因为使用预先注册的方式，可以确保请求者与服务者互相认识。通过这种方式来防止攻击和欺骗的行为，显然无法满足目前网络上越来越多分布式环境下通信的?┬枨?。自动信任协商技术是近年来刚出现的安全机制。使用这种机制，通信双方通过互相披露信任状和信任策略，实现在陌生的请求方与服务方之间建立信任关系，进而建立信任连接的功能。原有信任协商系统框架中每个协商方均对应一个安全代理，主体发送协商信息到安全代理，而实际的协商操作由安全代理来进行，最后根据安全代理协商的结果来决定是否和怎样建立安全连接。这样就算不同安全域的主体也可以建立安全连接，只要他们各自满足对方的安全策略。对应框架如图1所示。但是以往对于自动信任协商的研究考虑的情况过于理想化，大部分研究均是基于协商双方诚实的前提下。这在现实中显然是不可能的。现实情况中协商双方均有可能受到攻击，而其中最常见的最大的威胁主要是敏感信息泄漏(sensitiveinformationleakage)和DoS(denialofservice)攻击。1．1敏感信息泄漏恶意攻击者可能在信任协商中通过直接请求或者间接推理方式得到敏感信息，这将严重影响信任协商系统的安全性。文献[3]中将目前敏感的信任状主要分为两大类：a）属性敏感信任状(attribute－sensitivecredential)，即信任状中的某些属性值，或者访问控制策略本身，为显式敏感信息；b）拥有敏感信任状(possession－sensitivecredential)，即通过协商方间的响应和通信操作可能会暴露的敏感信息，为隐式敏感信息。对于属性敏感信任状，制订相应访问控制策略即可较好地解决，而对拥有敏感信任状的保护则比较困难。为了解决敏感信息泄漏的问题，已经有很多人进行了研究并各自提出了解决方案：a）积极策略[2，7]。协商方披露满足当前访问控制策略的所有信任状，而不管对方是否需要该信任状。这种情况下无论协商方是否拥有敏感信息，他的反应与没有拥有该敏感信息时始终一致，所以不会有拥有敏感信任状泄漏的问题。该策略简单高效，但是披露了过多并不需要的信任状，将消耗大量资源。b）确认策略[6]（ackpolicy）。一般的访问策略只针对已存在的信任状，而ack策略可以针对不存在的资源。因此当主体A使用ack策略时，另一方主体B将无法知道主体A是否拥有ack策略所对应的信任状。但是ack策略的数量不可控，为了自身不存在的敏感信任状可能需要制订大量的ack策略，占用大量资源。c)策略迁移[8]。设置用于保护拥有敏感信任状的策略，然后将这些策略迁移到其他信任状（可能与要保护的信任状无关）上。这种方法很有新意，但由于将策略设置到本来无关的信任状上，增加了信任协商的复杂度，容易失败。d）通过可信第三方来进行TN[9]。选择一个双方...