专利名称:网格中的自动信任协商系统及消息处理方法
技术领域:
本发明涉及一种网格中的信任协商系统及消息处理方法,尤其涉及一种能够为网格提供信任协商功能和对敏感属性的保护机制的网格中的自动信任协商系统及协商方法。
背景技术:
网格计算是近年来新兴的一个研究领域,将计算机、网络、软件、数据库、大型计算设施和人通过公共的分布式服务连接起来,使得资源充分共享,协作有效进行。传统的集中式安全管理域属于一个具有集中管理权威和安全策略的封闭域,活动中的每个实体都可以映射为域内控制的一种或多种主体身份。然而,在网格环境中,服务的请求方和提供方可能来源于各自独立的安全域,而且它们之间信任关系是动态频繁变化的,很难依赖一套集中权威中心进行管理,如何在这种动态无中心的开放网络中,采取一种有效的机制为数目庞大、动态分散的服务部署方和容器建立信任关系成为现在面临的又一挑战性问题。
“信任管理”是1996首次提出的旨在解决Internet服务安全问题的概念。通过制定本地信任策略、签发安全凭证以及严格的策略匹配验证机制来描述和管理网络实体之间的信任关系。但信任管理系统中,所依赖的资源访问请求方和服务提供方提供的信任证和访问控制策略都可能存在敏感信息,所以在建立信任的同时,需要有效保障各方信息的隐私需求和披露自治性。针对该问题,国际相关研究人员提出了自动信任协商(Automated TrustNegotiation,简称ATN)的概念,并成为当前的一个重要研究方向。信任协商是“通过信任证、访问控制策略的交互披露,资源的请求方和提供方自动地建立信任关系”。其应用场景目前已经涉及到网格计算、语义Web和移动通信等多个应用领域。
从独立的信任协商系统来说,目前唯一的信任协商引擎TrustBuilder是基于IBM研究院设计的TPL(Trust Policy Language,信任策略语言),TPL相对其他信任管理语言来说相对比较简单,功能比较单一。该系统的不足之处包括■TrustBuilder仅仅提供一种基于属性的访问规则,规则不能被应用于信任委托,缺乏基于属性的权限委托信任证。
■信任协商通过访问控制策略和信任证交互披露建立信任关系,虽然TrustBuilder提供了对信任证的保护机制,但没有考虑对访问控制策略中涉及的敏感信息提供保护;从目前网格系统的安全系统和技术方面来看,网格中间件GlobusToolkit已经发展到4.x版,从OGSA/OGSI架构过渡到OGSA/WSRF架构。安全方面,GT4.x继承了GSI3的主要内容,并不断增加对新的技术标准,如安全断言标记语言(Security Assertion Markup Language,简称SAML)和可扩展的访问控制标记语言(Extensible Access Control Markup Language,简称XACML)的支持。
且现有信任协商系统在网格应用中存在的不足包括■缺乏一种基于属性进行权限委托的授权机制和相应的访问控制技术;虽然GT已经在寻求集成新的授权系统,但这些授权系统都缺乏信任协商功能;■XACML和SAML规范提供了一种基于属性的细粒度访问控制技术,但缺乏对敏感属性的保护机制;从根本上,在目前网格环境中,缺乏一种自动信任协商系统,提供在开放、动态网格环境中建立信任并保护主体隐私信息。
发明内容
本发明的目的在于针对上述现有技术存在的不足提出一种网格中的自动信任协商系统及消息处理方法,为网格技术提供信任协商功能和对敏感属性的保护机制。
为实现上述目的,本发明提供了一种网格中的自动信任协商系统包括协商策略模块,其用于根据配置敏感信任证和策略判定如何披露访问控制策略或信任证;信任目标图模块,与所述协商策略模块连接,其用于确定一个策略的处理状态;会话管理模块,与所述协商策略模块连接,其用于维护协商状态、记录信任证、策略等披露的历史信息,以及策略对应信任目标图表示;以及协商协议模块,与所述协商策略模块连接,其用于包装和传输协商中的信息。
上述方案中,述协商策略模块包括不具备角色处理模块,其演化协商方披露的策略对应的信任目标图;信任证处理模块,与所述不具备角色处理模块连接,其用于根据收到的信任证演化披露的策略对应的信任目标图;策略处理模块,与所述信任证处理模块连接,其用于确定要披露的信任证集合;以及消息披露模块,与所述策略处理模块连接,其用于决定披露的协商消息。
所述信任目标图模块包括策略构造模块,其用于构造信任目标图;信任目标图转换模块,与所述策略构造模块连接,其用于将证明图(ProofGraph)转换为信任目标图;以及信任目标图处理模块,与所述信任目标图转换模块连接,其用于演化信任目标图的处理状态及将信任目标图的末结点形成策略。
本发明还提供了一种网格中的自动信任协商的消息处理方法,收到请求方的请求后执行以下步骤步骤11.在收到请求方的披露消息后,判断是否收到不具备的角色消息,若是,则执行步骤12;若否,则执行步骤13;步骤12.不具备角色处理模块将不具备的角色消息加入到会话管理模块相应的数据结构中,并根据所述请求方当前的所有不具备的角色消息按照预先设定的规则演化所有提供方披露的访问控制策略消息所对应的信任目标图;步骤13.判断是否收到请求方的信任证消息,若是,则执行步骤14;若否,则执行步骤15;步骤14.信任证处理模块将信任证消息导入信任证库,并根据所有收到的信任证消息确定请求方当前具备的角色消息集合,根据这个角色消息集合按照预先设定的规则演化所有提供方披露的访问控制策略消息对应的信任目标图;步骤15.判断是否收到请求方的访问控制策略消息,若是,则执行步骤16;若否,则执行步骤17;步骤16.策略处理模块根据收到的所述访问控制策略消息获得该访问控制策略消息对应的信任目标图,根据优化处理原则确定要披露的信任证消息集合以及提供方不具备的角色消息集合;步骤17.消息披露模块对于仍然处于敏感状态的信任证消息,披露其访问控制策略消息,对于已经满足或无法满足的访问控制策略消息不重复披露;步骤18.协商协议模块将所述要披露的消息包装并披露给请求方;步骤19.结束。
通过上述方案,为网格技术提供了信任协商功能和对敏感属性的保护机制。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明自动信任协商技术的原理示意图;图2为本发明信任协商子系统功能原理图;
图3为本发明中的自动信任协商系统结构图;图4为本发明中自动信任协商的消息处理方法实施例一的流程图;图5为本发明中自动信任协商的消息处理方法实施例二中处理信任证消息的流程图;图6为本发明中自动信任协商的消息处理方法实施例三中处理访问控制策略消息实施例的流程图;图7为本发明中自动信任协商的消息处理方法实施例四中决定披露消息内容实施例的流程图。
具体实施例方式
图1为本发明自动信任协商技术的原理示意图,通过发送服务请求5,以及信任证7、访问控制策略6的交互披露,获得协商结果8,从而实现安全域1中的服务的请求方的自动信任协商系统3和安全域2中的提供方的自动信任协商系统4自动地建立信任关系。实际上,信任协商的目的在于解决开放网络中陌生方信任的建立问题,探讨在无法依赖可信第三方情况下进行系统安全决策的机制,试图建立一套服务于主体自治性和隐私信息保护的理论和技术体系。
在信任协商子系统的概念结构中,表示了信任证和访问控制策略交互披露的过程,包括处理对方披露的信任证和访问控制策略两个子过程。如图2所示,信任协商子系统包含三项核心功能协商策略引擎01主要是协商策略的强制点,通过信任管理引擎01操作一致性验证器02接口,根据配置敏感信息配置04指定在什么条件、什么时刻披露什么样的访问控制策略或信任证等。
策略一致性验证器02属于信任管理核心,它担负着双重功能一方面是根据请求方的访问控制策略,计算出满足策略的信任证集;另一方面,要判定请求方披露的信任证集是否能够满足其访问控制策略。
信任链构造03主要是信任管理引擎01对委托关系的信任证和访问控制策略进行信任链构造,建立间接的信任关系。当信任证在本地不能获取,需要调用远程信任证服务获取相应信任证,并支持信任链的构造以及相应约束关系的检查。
图3为本发明网格中的自动信任协商系统结构图,其包括协商策略模块10,为ATN引擎的核心功能模块,其根据配置敏感信任证和策略判定什么条件、什么时刻披露什么样的访问控制策略或信任证等。协商策略模块包含以下4个子模块1)不具备角色处理模块11,根据请求方不具备的角色对应的结点的处理状态演化协商方披露的策略对应的信任目标图;2)信任证处理模块12,与所述不具备角色处理模块11连接,根据收到的信任证,调用信任管理引擎,得到请求方当前具备的所有角色,其用于根据收到的信任证演化披露的策略对应的信任目标图;3)策略处理模块13,与所述信任证处理模块12连接,根据收到的策略对应的信任目标图的末结点集合确定要披露的信任证集合;以及4)消息披露模块14,与所述策略处理模块13连接,其用于决定披露的协商消息,披露其访问控制策略。对于已经满足或无法满足的策略不重复披露;信任目标图模块20,与所述协商策略模块10连接,其用于确定一个策略的处理状态;会话管理模块30,与所述协商策略模块10连接,其在多个协商会话中,维护协商状态、记录信任证、策略等披露的历史信息,以及策略对应信任目标图表示;以及协商协议模块40,与所述协商策略模块10连接,其用于包装和传输协商中的信息。
上述实施例中,所述信任目标图模块20包括
策略构造模块21,由策略的XML表示构造信任目标图实例;信任目标图转换模块22,与所述策略构造模块21连接,将信任管理引擎提供的ProofGraph转换为信任目标图;以及信任目标图处理模块23,与所述信任目标图转换模块22连接,对信任目标图进行一系列操作,包括处理状态的演化、由信任目标图的末结点形成策略等。
其中ProofGraph表示一组信任证及它们之间的关系的有向图。图中的每个点代表出现在信任证集合中的某个信任证中的一个角色表达式。图中的边区分为普通边和派生边。普通边对应着信任证集合中的某个信任证,派生边是来自于图中其它的、语义相关的路径。ProofGraph是协商策略引擎乃至整个自动信任协商管理系统的重要的数据结构。
图4为本发明中的自动信任协商的消息处理方法的流程图。在基础的信任管理基础上,实现自动信任协商的功能。本发明的具体实现方法是根据收到的协商消息内容确定要披露的消息内容。披露的消息内容包括信任证、访问控制策略以及不具备的角色。这里不具备的角色是指发出消息的协商主体无法满足的角色。具体包括以下步骤步骤101.解析收到的披露消息并获得披露消息内容,判断是否收到不具备的角色,若是,则所执行步骤102;若否,则执行步骤103;步骤102.由不具备角色处理模块将不具备的角色加入到会话管理模块相应的数据结构中,并根据所述请求方当前的所有不具备的角色按照预先设定的规则演化所有提供方披露的策略对应的信任目标图;步骤103判断是否收到请求方的信任证,若是,则执行步骤104;若否,则执行步骤105;步骤104由信任证处理模块将信任证导入信任证库,并根据所有收到的信任证通过调用信任管理引擎提供的一致性验证功能接口确定请求方当前具备的角色集合,根据这个角色集合按照预先设定的规则演化所有提供方披露的策略对应的信任目标图;步骤105判断是否收到请求方的策略,若是,则执行步骤106;若否,则执行步骤107;步骤106由策略处理模块首先根据收到的所述访问控制策略消息获得该策略对应的信任目标图,调用信任管理引擎,根据优化处理原则确定要披露的信任证集合以及提供方不具备的角色集合;步骤107消息披露模块消息披露模块对于仍然处于敏感状态的信任证消息,披露其访问控制策略消息,对于已经满足或无法满足的访问控制策略消息不重复披露;消息披露模块获得所有可披露的信任证,并获得敏感信任证的角色对应的信任目标图以及该信任目标图对应的,披露该策略,获得所有提供方不具备的角色,披露不具备的角色中未披露过的角色;对于可披露的信任证,一并披露其相关信息。对于已经披露的信任证和相关信息,不再重复披露;对于已经披露过的策略,如果已经处于满足状态或无法满足状态,则不予披露;步骤108将所述要披露的消息经协商协议模块包装并披露给请求方;步骤109结束。
上述实施过程中,步骤102和步骤104中演化所依照的预先设定的规则为信任目标图中的每个点都存放着处理状态和操作算子信息。结点的处理状态分为unknown、sensitive、failure和satisfied。其中,satisfied表示可以通过不披露敏感信任证来满足结点所代表的角色;sensitive表示满足结点所代表的角色需要披露敏感信任证;failure表示无法满足结点所代表的角色;unknown为初始处理状态。结点的操作算子指出了结点的孩子结点之间的关系,包括交关系(操作算子为and),或关系(操作算子为or),以及无兄弟结点(操作算子为nothing)。在根据孩子结点的状态演化双亲结点状态时,需要遵守以下规则A如果孩子结点的处理状态为sensitiveI)父亲结点的操作算子为and,则父亲结点的处理状态也为sensitive。
II)父亲结点的操作算子为nothing,则父亲结点的处理状态也为sensitive。
III)父亲结点的操作算子为or,不能确定父亲结点的处理状态。
B如果孩子结点的处理状态为failureI)父亲结点的操作算子为and,则父亲结点的处理状态也为failure。
II)父亲结点的操作算子为nothing,则父亲结点的处理状态也为failure。
III)父亲结点的操作算子为or,不能确定父亲结点的处理状态。
C如果孩子结点的处理状态为satisfiedI)父亲结点的操作算子为and,不能确定父亲结点的处理状态。
II)父亲结点的操作算子为nothing,在对应的信任证经过属性检查的情况下,父亲结点的处理状态也为satisfied。
III)父亲结点的操作算子为or,在对应的信任证经过属性检查的情况下,父亲结点的处理状态也为satisfied。
IV)父亲结点的操作算子为andV)父亲结点的所有孩子结点的处理状态都为satistified,则父亲结点的处理状态为satisfied。
VI)父亲结点的操作算子为orVII)父亲结点的所有孩子结点的处理状态都为failure,则父亲结点的处理状态为failure。
VIII)父亲结点的所有孩子结点的处理状态都为sensitive,则父亲结点的处理状态为sensitive。
末结点的处理优先级规则A按结点类型划分简单结点最高,交结点次之,特殊结点最低。
B按结点处理状态划分处理状态为satisfied的结点最高,处理状态为unknown的结点次之,处理状态为sensitive的结点最低。
图5为本发明中自动信任协商的消息处理方法实施例二中处理信任证消息的流程图,本实施例中,步骤104还可以为步骤401将收到的信任证消息导入到本地信任证库中;步骤402.调用信任管理引擎,根据本地信任证库得到请求方具备的角色消息集合roles;步骤403.保存请求方已经具备的角色;步骤404.判断是否满足访问控制策略,若是,执行步骤409,否则,执行步骤405;步骤405判断所述访问控制策略对应的信任目标图是否有未处理过的,若是,执行步骤406,否则,执行步骤409;步骤406用对方具备的角色根据预先设定的规则演化信任目标图;步骤407保存由演化得到的所述信任目标图得到的满足的角色;步骤408判断所有得到的角色是否满足所述信任目标图,若是,执行步骤409,否则,执行步骤405;步骤409结束。
图6为本发明中自动信任协商的消息处理方法实施例三中处理访问控制策略消息实施例的流程图,本实施例中,步骤106还可以为步骤601.判断是否收到过当前所收到的访问控制策略消息policy,若是,则执行步骤602;若否,则执行步骤603;步骤602.从会话管理模块获得对应的信任目标图TGG,执行步骤604;步骤603.构造所述访问控制策略消息对应的信任目标图TGG;步骤604.处理该信任目标图TGG获得要披露的信任证消息集合。
图7为本发明中自动信任协商的消息处理方法实施例四中决定披露消息内容实施例的流程图,本实施例中,步骤107还可以为步骤701.获得所有可披露的信任证消息satisfiedCreds;步骤702.披露信任证消息satisfiedCreds中没披露过的信任证消息;
步骤703.获得所有处于敏感状态的信任证消息sensitiveCreds;步骤704.获得保护敏感信任证消息sensitiveCreds的角色消息所对应的信任目标图graphs;步骤705.获得该信任目标图graphs所对应的访问控制策略,并披露这些访问控制策略消息;步骤706.获得所有提供方不具备的角色消息selfFailedRoles;步骤707.披露不具备的角色消息selfFailedRoles中未被披露过的角色消息。
本发明中对于信任目标图,处理过程中需要遵循以下两个规则本发明对于访问控制策略的处理是对于策略披露方,披露的是该策略对应的信任目标图的末结点构成的策略的XML表示。使用末节点构成策略是为了隐藏策略的细节,不影响协商过程的进行;对于策略接收方,需要根据收到策略的XML表示构造对应的信任目标图。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
权利要求
1.一种网格中的自动信任协商系统,其特征在于包括协商策略模块,用于根据配置敏感信任证消息和策略消息,判定如何披露访问控制策略消息或信任证消息;信任目标图模块,与所述协商策略模块连接,用于确定访问控制策略消息的处理状态;会话管理模块,与所述协商策略模块连接,用于维护协商状态、记录信任证消息、访问控制策略消息披露的历史信息,以及访问控制策略消息所对应的信任目标图;协商协议模块,与所述协商策略模块连接,用于包装和传输协商中的信息。
2.根据权利要求1所述的网格中的自动信任协商系统,其特征在于所述协商策略模块包括不具备角色处理模块,演化提供方披露的访问控制策略消息所对应的信任目标图;信任证处理模块,与所述不具备角色处理模块连接,用于根据收到的信任证消息演化披露的访问控制策略消息所对应的信任目标图;策略处理模块,与所述信任证处理模块连接,用于确定要披露的信任证消息集合;以及消息披露模块,与所述策略处理模块连接,用于决定披露的协商消息。
3.根据权利要求1或2所述的网格中的自动信任协商系统,其特征在于所述信任目标图模块包括策略构造模块,其用于构造信任目标图;信任目标图转换模块,与所述策略构造模块连接,其用于将证明图转换为信任目标图;以及信任目标图处理模块,与所述信任目标图转换模块连接,其用于演化信任目标图的处理状态及将信任目标图的末结点形成访问控制策略消息。
4.一种网格中的自动信任协商的消息处理方法,其特征在于,执行以下步骤步骤1.在收到请求方的披露消息后,判断是否收到不具备的角色消息,若是,则执行步骤2;若否,则执行步骤3;步骤2.不具备角色处理模块将不具备的角色消息加入到会话管理模块相应的数据结构中,并根据所述请求方当前的所有不具备的角色消息按照预先设定的规则演化所有提供方披露的访问控制策略消息所对应的信任目标图;步骤3.判断是否收到请求方的信任证消息,若是,则执行步骤4;若否,则执行步骤5;步骤4.信任证处理模块将信任证消息导入信任证库,并根据所有收到的信任证消息确定请求方当前具备的角色消息集合,根据所述角色消息集合按照预先设定的规则演化所有提供方披露的访问控制策略消息对应的信任目标图;步骤5.判断是否收到请求方的访问控制策略消息,若是,则执行步骤6;若否,则执行步骤7;步骤6.策略处理模块根据收到的所述访问控制策略消息获得该访问控制策略消息对应的信任目标图,根据优化处理原则确定要披露的信任证消息集合以及提供方不具备的角色消息集合;步骤7.消息披露模块对于仍然处于敏感状态的信任证消息,披露其访问控制策略消息,对于已经满足或无法满足的访问控制策略消息不重复披露;步骤8.协商协议模块将所述要披露的消息包装并披露给请求方;步骤9.结束。
5.根据权利要求4所述的方法,其特征在于所述步骤4具体包括以下步骤步骤41.将收到的信任证消息导入到本地信任证库中;步骤42.根据本地信任证库得到请求方具备的角色消息集合;步骤43.保存请求方已经具备的角色;步骤44.判断是否满足访问控制策略,若是,执行步骤49,否则,执行步骤45;步骤45判断所述访问控制策略对应的信任目标图是否有未处理过的,若是,执行步骤46,否则,执行步骤49;步骤46用对方具备的角色根据预先设定的规则演化信任目标图;步骤47保存由演化得到的所述信任目标图得到的满足的角色;步骤48判断所有得到的角色是否满足所述信任目标图,若是,执行步骤49,否则,执行步骤45;步骤49结束。
6.根据权利要求4或5所述的方法,其特征在于所述步骤6具体包括以下步骤步骤61.判断是否收到过当前所收到的访问控制策略消息,若是,则执行步骤62;若否,则执行步骤63;步骤62.从会话管理模块获得对应的信任目标图,执行步骤64;步骤63.构造所述访问控制策略消息对应的信任目标图;步骤64.处理该信任目标图获得要披露的信任证消息集合。
7.根据权利要求4或5所述的方法,其特征在于所述步骤7具体包括以下步骤步骤71.获得所有可披露的信任证消息;步骤72.披露信任证消息中没披露过的信任证消息;步骤73.获得所有处于敏感状态的信任证消息;步骤74.获得保护信任证消息的角色消息所对应的信任目标图;步骤75.获得该信任目标图所对应的访问控制策略,并披露这些访问控制策略消息;步骤76.获得所有提供方不具备的角色消息;步骤77.披露不具备的角色消息中未被披露过的角色消息。
全文摘要
本发明涉及一种网格中的自动信任协商系统及消息处理方法,该系统包括协商策略模块,以及与该模块连接的信任目标图模块、会话管理模块和协商协议模块;该方法分别对请求方的披露的消息内容如不具备的角色、信任证和访问控制策略等进行处理,得到提供方所决定披露的消息如不具备的角色、信任证和访问控制策略等消息。本发明为网格技术提供了信任协商功能和对敏感属性的保护机制。
文档编号H04L29/06GK1791118SQ200510132550
公开日2006年6月21日 申请日期2005年12月26日 优先权日2005年12月26日
发明者怀进鹏, 胡春明, 李建欣, 张荣清, 王方, 薛伟 申请人:北京航空航天大学