论文部分内容阅读
【摘 要】针对可信网络连接过程中所定义的访问控制粒度粗、以及没有明确给出访问请求者信任级别评估方法等问题,本文提出了一种综合考虑多个可信性影响因素的信任度评估方案,依据终端平台计算环境特征及接入后的用户历史行为等因素来评定其信任级别,实现了从终端入网验证到接入后控制、动态调整的细粒度信任评估过程。
【关键词】可信性影响因素;信任度评估;接入控制
1.引言
可信网络连接TNC[1]技术是在传统访问控制基于用户身份认证的基础上增加了对其所在终端平台进行可信性验证的要5\求,通过验证通信主体身份的真实性和平台信息的完整性,来确保主体间的信任关系。但是在可信网络连接过程中所定义的访问控制粒度粗,如何在通信访问请求者接入网络的过程中对其信任级别进行综合评估以便实施细粒度的授权控制等问题尚未在TNC标准规范中明确给出具体的执行策略。基于以上考虑,本文在可信接入过程中提出了一种综合多种因素的信任度评估方案,评估得到的用户当前信任度成为对其在可信网络[2]中实施授权的主要依据,该方案同时也将主体信任与行为[3]信任相结合,实现了从终端入网验证到接入后控制、动态调整的细粒度信任评估过程。
2.信任度评估方案
本文提出的信任度评估方案,综合了三方面影响因素来评估用户当前信任度:对用户身份信息进行认证的用户基本信任度;对终端平台可信性进行验证的平台完整性信任度;对用户接入系统后操作行为进行评估的历史行为信任度。
信任度评估方案的算法描述形式如下:
T(u)=w1×TUB+w2×TPI+w3×THB (1)
在公式(1)中,T(u)是用户当前信任度,TUB是用户基本信任度,TPI是平台完整性信任度,THB是历史行为信任度。在计算用户当前信任度时,要考虑各影响因素在其中所占的权重比值,设用户基本信任度、平台完整性信任度和历史行为信任度的权重比值分别为w1,w2,w3,,。
2.1 用户基本信任度TUB
用户在接入系统时,需要提供一些必要的身份认证信息,如用户ID、口令、数字证书等。在制定安全策略和安全规则时可以依据这些信息在认证过程中的重要程度,分解为n个认证的因子,并确定各自的认证安全度aus,ausk∈[0,1](k=1,2,……,n),以及它们对应的权重值wk∈[0,1],;以各
种信息的认证安全度的加权之和作为用户基本信任度TUB的最终评估结果。
用户基本信任度的计算公式为:
TUB= (2)
2.2 平台完整性信任度TPI
平台完整性信任度评估是建立在可信平台完整性度量[4-5]的基础上。在平台完整性度量机制中,影响度量可信性的主要因素包括:主体的度量能力以及委托执行链的长度。在信任的传递过程中,用来执行完整性度量任务的主体其度量能力将会对度量的结果产生影响,即执行主体的度量能力越强则得到的度量结果也就越可信;此外,委托执行链的长度对度量的可信性也起着制约的作用,即委托执行链越长,则信任损失的可能性也就越大。
被度量的主体对象完整性信任度计算公式(3)如下:
(3)
式(3)中,TI(o0,oj+1)为初始度量的执行者o0委托oj对被度量的对象oj+1进行完整性度量后得到的信任度。委托度量的执行者oj对oj+1的度量测试结果为λ,其中λ会受oj度量能力以及委托信任链长度h的影响;是指o0对oj度量能力的信任值,取值为[0,1]之间;α则是每一级受委托度量所带来的信任损失值,可以在系统初始化时对其进行相应设置,取值为[0,1)之间,α会因为信任链上主体的度量能力增加而减少,若值为0则认为没有信任损失。假设o0是o1的直接度量执行者,则被度量的对象o1其完整性信任度为o0的直接度量结果λ,即TI(o0,o1)=λ。
整个信任链O的完整性信任度即平台的完整性信任度为所有被度量主体对象的完整性信任度的最小值。公式(4)如下:
(4)
(是O中被度量的主体对象的总个数)
在信任链传递的过程中,被度量的主体对象其信任度值还可能会受到其他诸多因素的影响。这里只是讨论了静态度量时的情形,而没有将类似于度量测评过程中信任损失及主体度量能力等的动态变化问题涉及进来。
依据信任链上各主体对象的特性,为它们赋予不同的初始度量能力信任值,同时设定每一级由于委托度量可能造成的信任损失值,如α为0.05;并假定度量的执行者对于被度量对象进行的完整性度量测评结果与先前预期的完整性值相一致,即λ=1。使用公式(3)计算得到信任链上每一个主体对象的完整性信任度如表1所示。
表1 终端平台上各主体对象的可信度
度量执行者Oj O0 O1 O2 O3
度量能力信任值 1 0.95 0.92 0.9
被度量对象Oj+1 O1 O2 O3 O4
委托执行链长度h 0 1 2 3
对象完整性信任度TI(o0,oj+1) 1 0.9025 0.8303 0.7716
根据公式(4)信任链上所有被度量的主体对象的完整性信任度的最小值决定了当前平台的完整性信任度,在表1中,平台的完整性信任度即为被度量对象O4的完整性信任度0.7716,即TPI=0.7716。
2.3 历史行为信任度THB
用户在可信网络中与系统资源的交互历史是反映其行为的客观依据,根据交互历史所记录的请求事件是否符合系统安全规则,将用户的当前访问行为划分为对资源有效的访问行为和非法的访问行为。用户在网络中对系统资源发起地访问事件行为性质将会对用户当前信任度产生直接影响,使其发生动态变化。比如,用户在初始认证时的当前信任度值较高,系统依据授权策略将为其分配可信级别较高的操作权限,但是该用户在与系统资源的交互访问过程中执行了非法访问操作,违反了系统安全规则,那么其违规行为也势必成为历史记录而被统计下来,作为重新评估信任度的主要依据之一。利用相应算法,在规定时间之后,需要对用户的当前信任度进行再一次的评估,由于信任度值降低而无法重新激活先前被授予的操作权限,致使当前的操作权限也随之失效。用户的有效访问行为可以提升用户的当前信任度,而非法访问行为则会使其当前信任度值降低。用户历史行为信任度计算公式(5)如下: (5)
公式(5)中BE是用户在系统中执行资源访问事件的行为记录,若执行的是有效访问行为则BE=1;若执行的是非法访问行为则BE=-1;式中ic是行为的影响系数,它的取值为[0,1],为了体现信任度“慢升快降”的原则,避免用户的行为欺骗风险,在为ic取值时,有效访问行为的行为影响系数应小于非法访问访问行为的行为影响系数;是用户在执行了不同性质的行
为访问事件后所得出的实际行为数值之和;是用户执行了所有历史访问事件
后得到的行为数值之和;那么实际行为数值和与所有历史访问事件的行为数值和之间的比值即为当前用户在系统中的历史行为信任度THB,其取值为[-1,1]。
综上所述,由用户基本信任度公式(2)、平台完整性信任度公式(4)和历史行为信任度公式(5),构成了用户当前信任度计算公式为:
(6)
3.评估方案综合分析
(1)本文提出的可信接入过程中信任度评估方案是一种综合了多种因素、适用于多种情况的评估方案,利用确定性的可检测的用户身份认证信息、平台完整性信息及用户历史行为等证据来解决具有不确定性和模糊性的信任度评估问题;
(2)该评估方案是在综合考察了接入用户相关原始证据的基础之上来完成的认证评估,而非直接根据第三方主观信任的评定结果来执行的简单判定,这让整个评估过程更为客观;
(3)该评估方案通过对接入用户历史行为信任度THB的测评实现了用户接入网络后的行为控制,同时也使操作权限的动态调整成为可能,能够降低因接入用户执行违规操作而给系统资源造成的危害和损失。
(4)该评估方案能够在不同的情形下对用户的当前信任度做出微观细粒度的认证评估而非宏观粗粒度认证评估,使得评估结果更为真实可信,该评估方案具有良好的可扩展性。
4.总结
本文在深入分析了用户当前信任度可信性影响因素的基础上,提出了针对可信接入过程中的信任度评估方案。分析结果表明,利用所提出的方法能够较好地在多种情况下实现对终端用户的可信性评定。
参考文献:
[1]Trusted Computing Group.TCG specification trusted network connect-TNC architecture for interoperability revision1.2[EB/OL].2009-12-12.http://www.trustedcomputinggroup.org.
[2]马卓,马建峰,李兴华等.可证明安全的可信网络连接协议模型[J].计算机学报,2011,34(9):1669-1678.
[3]刘巍伟,韩臻,沈昌祥.基于终端行为的可信网络连接控制方案[J].通信学报,2009,30(11):127-133.
[4]金园园,吴振强,种惠芳.基于模糊集合的完整性信任度评估模型[J].计算机工程与应用,2010,46(24):77-80.
[5]Jaeger T,Sailer R,Shankar U.PRIMA:Policy-reduced integrity measurement architecture[C].//Proceedings of the 11th ACM Symposium on Access Control Models and Technologies.California:ACM Press,2006:19-28.
【关键词】可信性影响因素;信任度评估;接入控制
1.引言
可信网络连接TNC[1]技术是在传统访问控制基于用户身份认证的基础上增加了对其所在终端平台进行可信性验证的要5\求,通过验证通信主体身份的真实性和平台信息的完整性,来确保主体间的信任关系。但是在可信网络连接过程中所定义的访问控制粒度粗,如何在通信访问请求者接入网络的过程中对其信任级别进行综合评估以便实施细粒度的授权控制等问题尚未在TNC标准规范中明确给出具体的执行策略。基于以上考虑,本文在可信接入过程中提出了一种综合多种因素的信任度评估方案,评估得到的用户当前信任度成为对其在可信网络[2]中实施授权的主要依据,该方案同时也将主体信任与行为[3]信任相结合,实现了从终端入网验证到接入后控制、动态调整的细粒度信任评估过程。
2.信任度评估方案
本文提出的信任度评估方案,综合了三方面影响因素来评估用户当前信任度:对用户身份信息进行认证的用户基本信任度;对终端平台可信性进行验证的平台完整性信任度;对用户接入系统后操作行为进行评估的历史行为信任度。
信任度评估方案的算法描述形式如下:
T(u)=w1×TUB+w2×TPI+w3×THB (1)
在公式(1)中,T(u)是用户当前信任度,TUB是用户基本信任度,TPI是平台完整性信任度,THB是历史行为信任度。在计算用户当前信任度时,要考虑各影响因素在其中所占的权重比值,设用户基本信任度、平台完整性信任度和历史行为信任度的权重比值分别为w1,w2,w3,,。
2.1 用户基本信任度TUB
用户在接入系统时,需要提供一些必要的身份认证信息,如用户ID、口令、数字证书等。在制定安全策略和安全规则时可以依据这些信息在认证过程中的重要程度,分解为n个认证的因子,并确定各自的认证安全度aus,ausk∈[0,1](k=1,2,……,n),以及它们对应的权重值wk∈[0,1],;以各
种信息的认证安全度的加权之和作为用户基本信任度TUB的最终评估结果。
用户基本信任度的计算公式为:
TUB= (2)
2.2 平台完整性信任度TPI
平台完整性信任度评估是建立在可信平台完整性度量[4-5]的基础上。在平台完整性度量机制中,影响度量可信性的主要因素包括:主体的度量能力以及委托执行链的长度。在信任的传递过程中,用来执行完整性度量任务的主体其度量能力将会对度量的结果产生影响,即执行主体的度量能力越强则得到的度量结果也就越可信;此外,委托执行链的长度对度量的可信性也起着制约的作用,即委托执行链越长,则信任损失的可能性也就越大。
被度量的主体对象完整性信任度计算公式(3)如下:
(3)
式(3)中,TI(o0,oj+1)为初始度量的执行者o0委托oj对被度量的对象oj+1进行完整性度量后得到的信任度。委托度量的执行者oj对oj+1的度量测试结果为λ,其中λ会受oj度量能力以及委托信任链长度h的影响;是指o0对oj度量能力的信任值,取值为[0,1]之间;α则是每一级受委托度量所带来的信任损失值,可以在系统初始化时对其进行相应设置,取值为[0,1)之间,α会因为信任链上主体的度量能力增加而减少,若值为0则认为没有信任损失。假设o0是o1的直接度量执行者,则被度量的对象o1其完整性信任度为o0的直接度量结果λ,即TI(o0,o1)=λ。
整个信任链O的完整性信任度即平台的完整性信任度为所有被度量主体对象的完整性信任度的最小值。公式(4)如下:
(4)
(是O中被度量的主体对象的总个数)
在信任链传递的过程中,被度量的主体对象其信任度值还可能会受到其他诸多因素的影响。这里只是讨论了静态度量时的情形,而没有将类似于度量测评过程中信任损失及主体度量能力等的动态变化问题涉及进来。
依据信任链上各主体对象的特性,为它们赋予不同的初始度量能力信任值,同时设定每一级由于委托度量可能造成的信任损失值,如α为0.05;并假定度量的执行者对于被度量对象进行的完整性度量测评结果与先前预期的完整性值相一致,即λ=1。使用公式(3)计算得到信任链上每一个主体对象的完整性信任度如表1所示。
表1 终端平台上各主体对象的可信度
度量执行者Oj O0 O1 O2 O3
度量能力信任值 1 0.95 0.92 0.9
被度量对象Oj+1 O1 O2 O3 O4
委托执行链长度h 0 1 2 3
对象完整性信任度TI(o0,oj+1) 1 0.9025 0.8303 0.7716
根据公式(4)信任链上所有被度量的主体对象的完整性信任度的最小值决定了当前平台的完整性信任度,在表1中,平台的完整性信任度即为被度量对象O4的完整性信任度0.7716,即TPI=0.7716。
2.3 历史行为信任度THB
用户在可信网络中与系统资源的交互历史是反映其行为的客观依据,根据交互历史所记录的请求事件是否符合系统安全规则,将用户的当前访问行为划分为对资源有效的访问行为和非法的访问行为。用户在网络中对系统资源发起地访问事件行为性质将会对用户当前信任度产生直接影响,使其发生动态变化。比如,用户在初始认证时的当前信任度值较高,系统依据授权策略将为其分配可信级别较高的操作权限,但是该用户在与系统资源的交互访问过程中执行了非法访问操作,违反了系统安全规则,那么其违规行为也势必成为历史记录而被统计下来,作为重新评估信任度的主要依据之一。利用相应算法,在规定时间之后,需要对用户的当前信任度进行再一次的评估,由于信任度值降低而无法重新激活先前被授予的操作权限,致使当前的操作权限也随之失效。用户的有效访问行为可以提升用户的当前信任度,而非法访问行为则会使其当前信任度值降低。用户历史行为信任度计算公式(5)如下: (5)
公式(5)中BE是用户在系统中执行资源访问事件的行为记录,若执行的是有效访问行为则BE=1;若执行的是非法访问行为则BE=-1;式中ic是行为的影响系数,它的取值为[0,1],为了体现信任度“慢升快降”的原则,避免用户的行为欺骗风险,在为ic取值时,有效访问行为的行为影响系数应小于非法访问访问行为的行为影响系数;是用户在执行了不同性质的行
为访问事件后所得出的实际行为数值之和;是用户执行了所有历史访问事件
后得到的行为数值之和;那么实际行为数值和与所有历史访问事件的行为数值和之间的比值即为当前用户在系统中的历史行为信任度THB,其取值为[-1,1]。
综上所述,由用户基本信任度公式(2)、平台完整性信任度公式(4)和历史行为信任度公式(5),构成了用户当前信任度计算公式为:
(6)
3.评估方案综合分析
(1)本文提出的可信接入过程中信任度评估方案是一种综合了多种因素、适用于多种情况的评估方案,利用确定性的可检测的用户身份认证信息、平台完整性信息及用户历史行为等证据来解决具有不确定性和模糊性的信任度评估问题;
(2)该评估方案是在综合考察了接入用户相关原始证据的基础之上来完成的认证评估,而非直接根据第三方主观信任的评定结果来执行的简单判定,这让整个评估过程更为客观;
(3)该评估方案通过对接入用户历史行为信任度THB的测评实现了用户接入网络后的行为控制,同时也使操作权限的动态调整成为可能,能够降低因接入用户执行违规操作而给系统资源造成的危害和损失。
(4)该评估方案能够在不同的情形下对用户的当前信任度做出微观细粒度的认证评估而非宏观粗粒度认证评估,使得评估结果更为真实可信,该评估方案具有良好的可扩展性。
4.总结
本文在深入分析了用户当前信任度可信性影响因素的基础上,提出了针对可信接入过程中的信任度评估方案。分析结果表明,利用所提出的方法能够较好地在多种情况下实现对终端用户的可信性评定。
参考文献:
[1]Trusted Computing Group.TCG specification trusted network connect-TNC architecture for interoperability revision1.2[EB/OL].2009-12-12.http://www.trustedcomputinggroup.org.
[2]马卓,马建峰,李兴华等.可证明安全的可信网络连接协议模型[J].计算机学报,2011,34(9):1669-1678.
[3]刘巍伟,韩臻,沈昌祥.基于终端行为的可信网络连接控制方案[J].通信学报,2009,30(11):127-133.
[4]金园园,吴振强,种惠芳.基于模糊集合的完整性信任度评估模型[J].计算机工程与应用,2010,46(24):77-80.
[5]Jaeger T,Sailer R,Shankar U.PRIMA:Policy-reduced integrity measurement architecture[C].//Proceedings of the 11th ACM Symposium on Access Control Models and Technologies.California:ACM Press,2006:19-28.