開放系統(tǒng)中自動信任協商的研究與實現.pdf

1、隨著網絡技術的持續(xù)發(fā)展，基于網絡的開放式應用不斷涌現，這類應用的用戶群體呈開放和動態(tài)的特點，且通常與應用系統(tǒng)不屬于一個信任域，這對應用實施訪問控制和授權提出了挑戰(zhàn)。解決網絡中訪問控制和授權等信息安全問題的關鍵是實體間信任關系的判定，信任管理為非集中式、多信任域間信任關系管理提供了方法。本文關注陌生實體間通過披露屬性證書而進行自動信任協商的過程。由于屬性證書往往可能包含主體的敏感信息，不加限制地披露屬性證書將對用戶信息的安全性和隱私性構成

2、威脅。自動信任協商模型支持用戶對屬性證書定義訪問政策，交互雙方通過逐步地向對方披露屬性證書最終達成信任關系。
　　 為解決開放系統(tǒng)中信任關系建立機制在可擴展性、多信任域支持、用戶屬性信息的安全和隱私保護方面的問題，本文將信任管理框架與自動信任協商系統(tǒng)有機融合，設計了一個以基于角色的信任管理系統(tǒng)為支撐、輔以屬性一角色映射機制和支持屬性可選擇性披露證書描述方案的自動信任協商系統(tǒng)框架。本文工作主要體現在以下幾個方面：
　　 （

3、1）分析開放系統(tǒng)的特點，探討其對信任關系建立機制在可擴展性、多信任域支持和屬性信息安全和隱私保護方面提出的挑戰(zhàn)。
　　 （2）研究非集中式信任管理的概念、基于角色的信任管理框架及其應用，分析在應用于開放系統(tǒng)時可能面臨的問題。
　　 （3）對自動信任協商模型、協商策略和協商協議進行調研，研究信任目標圖協商協議及其實現方法。
　　 （4）分析自動信任協商系統(tǒng)中證書交換過程的屬性披露粒度問題，設計并實現了一個基于XML

4、描述、支持屬性可選擇性披露的屬性證書描述方案，方案利用內容抽取簽名方法、XML簽名和加密標準，通過將不必要或者不該披露的屬性信息元素從證書文件中移除或加密達到選擇性披露屬性的目標，可用于自動信任協商系統(tǒng)。
　　 （5）通過集成基于角色的信任管理系統(tǒng)、輔以屬性一角色映射模塊，設計了一個功能完善、架構靈活的自動信任協商系統(tǒng)框架，基于此框架的自動信任協商系統(tǒng)能夠應用于開放系統(tǒng)，實現基于實體屬性建立信任關系：研究構成此框架的主要組件及相