基于信任的動態(tài)訪問控制模型研究

文檔控制是實現(xiàn)網(wǎng)絡(luò)安全的一項關(guān)鍵技術(shù)。用戶提出的訪問請求可以根據(jù)預(yù)定義的安全策略進(jìn)行批準(zhǔn)并有效控制。基于用戶身份或服務(wù)的傳統(tǒng)文檔控制方法適用于固定用戶群體和明確用戶身份的系統(tǒng)，以便在集中環(huán)境下解決文檔控制問題。隨著計算機(jī)網(wǎng)絡(luò)技術(shù)和通信技術(shù)(寬帶技術(shù)、無線技術(shù)等)的高速發(fā)展以及廣泛應(yīng)用,當(dāng)前的網(wǎng)絡(luò)環(huán)境已經(jīng)從早期相對靜態(tài)的、面向機(jī)構(gòu)內(nèi)部或者特定用戶群體的封閉式網(wǎng)絡(luò)發(fā)展成為面向大量外部用戶的、可共享的動態(tài)開放式網(wǎng)絡(luò).在開放式網(wǎng)絡(luò)環(huán)境中,用戶頻繁地加入或離開,用戶身份無法預(yù)先確定,并且沒有中心化的管理權(quán)威可以依賴,傳統(tǒng)訪問控制方法難以將合適的角色分配給用戶,這對訪問控制技術(shù)提出了新的挑戰(zhàn).Blaze等在1996年首次提出了“信任管理”的概念,作為解釋安全策略、信任和實體間關(guān)系的一種方法,用于對涉及安全的網(wǎng)絡(luò)行為進(jìn)行直接和間接的評估.近年來,國內(nèi)外一些學(xué)者在訪問控制研究中開始引入信任工具,提出了一些新的訪問控制模型,取得了一些初步的研究成果.針對開放式網(wǎng)絡(luò)環(huán)境基于信任的訪問控制中信任評估量化和信任與權(quán)限間動態(tài)映射問題,本文應(yīng)用經(jīng)濟(jì)學(xué)中的博弈論方法———支付和收益的相關(guān)理論和模型,引入信任和博弈約束機(jī)制,研究訪問主體和被訪問客體之間反映在時間和空間上的博弈關(guān)系,提出基于信任的動態(tài)訪問控制總體方案.1相關(guān)知識1.1信用次數(shù)的計算c由文獻(xiàn)可知,信任、信用和信譽(yù)三者的關(guān)系如圖1所示.假定一次訪問過程:客體對主體的信任為T,根據(jù)行為反饋結(jié)果,客體對主體的行為進(jìn)行評定,即主體的信用為C,經(jīng)本次訪問后,對主體的信譽(yù)值改變?yōu)镽.式中:S為主體對客體的本次行為滿意程度,S∈[0,1];n為最近計算所得的信用次數(shù);Ci為第i次的信用值;si為第i次的信用值在本次信譽(yù)計算的權(quán)重.利用歷史的信用和信譽(yù)等進(jìn)行當(dāng)前主體的信任量化,并通過精細(xì)化的量化信任來控制網(wǎng)絡(luò)環(huán)境中的資源訪問.定義1信任量化:訪問客體對訪問主體的信任進(jìn)行準(zhǔn)確量化表示的過程.定義2靜態(tài)信任:根據(jù)主體節(jié)點訪問所發(fā)生的時間和地點等與主體自身無法改變的客觀外部環(huán)境因素,客體對其進(jìn)行的信任評估.定義3動態(tài)信任:根據(jù)主體節(jié)點自身的歷史訪問行為的誠信綜合評價,客體對其進(jìn)行的信任評估.從時間、地址(IP屬性)和風(fēng)險控制能力等方面,對開放式網(wǎng)絡(luò)環(huán)境中的節(jié)點間的靜態(tài)信任進(jìn)行描述;從節(jié)點自身的歷史行為和信譽(yù)等方面對節(jié)點進(jìn)行動態(tài)信任描述;應(yīng)用合理的信任量化方法,把靜態(tài)信任和動態(tài)信任進(jìn)行量化,使得主體和客體間的信任博弈具體化和有形化,節(jié)點的信任描述如圖2所示.1.2節(jié)點的策略空間開放式網(wǎng)絡(luò)環(huán)境中基于信任的訪問控制是一種客體和主體間的動態(tài)博弈問題.應(yīng)用博弈理論對其描述分析,將博弈模型的4個因素分別定義如下.定義4參與者Vsando:開放式環(huán)境中訪問控制的主體和客體.定義5策略集合:在訪問控制過程中,主體節(jié)點的策略空間為S_s={誠信,欺詐};客體的策略空間為S_o={授權(quán),拒絕}.定義6博弈的次序:根據(jù)訪問控制過程,客體依據(jù)訪問控制策略對主體授予訪問權(quán)限,然后主體再實施訪問行為.因此,客體是先行動者,主體是后行動者.定義7收益函數(shù)u:節(jié)點實施誠實或欺詐策略后,從中獲得的利益或成本損失.收益函數(shù)是構(gòu)成博弈的重要要素之一,對開放式網(wǎng)絡(luò)環(huán)境中的節(jié)點收益進(jìn)行假設(shè),客體得到主體的誠信訪問,客體收益為O_u.Inco,主體收益為S_u.Inco;客體遭到欺詐訪問時,主體收益為Sc_u.Inco,客體損失為O_u.Loss;當(dāng)客體選擇拒絕策略時,客體收益與主體收益均為0,訪問控制博弈如圖3所示.2基于可靠的動態(tài)采訪控制體系2.1信任的度量與信任的博弈開放式網(wǎng)絡(luò)環(huán)境中的訪問控制屬于主體和客體之間的非完全信息動態(tài)博弈,在動態(tài)訪問博弈中,各個參與者的選擇和博弈結(jié)果與它們的各種行為可信度有很大的關(guān)系,因此,可信性問題是動態(tài)博弈的核心問題.同樣,信任準(zhǔn)確度量對基于信任的訪問控制效果也至關(guān)重要,客體對主體的信任度量主要取決于客體對主體的當(dāng)前訪問信息和歷史訪問信息的掌握程度.應(yīng)用博弈理論對基于信任的訪問控制進(jìn)行分析,用于計算信任的信譽(yù)和歷史信任等信息屬于客體對主體的先驗信息.訪問反饋評價等屬于后驗信息.在基于信任的訪問控制中,信任的度量結(jié)果直接影響主體的訪問權(quán)限分配,因此,信任度量與權(quán)限間的映射規(guī)則或策略屬于博弈理論的收益信息.一般情況下,在一個基于信任的訪問控制模型中存在的博弈信息如圖4所示.2.1.1客觀主義的信任評估由于客體是博弈中的先行動者,對于主體提出的訪問控制要求,需要根據(jù)主體的先驗信息,做出授權(quán)或者拒絕的策略選擇.如果主體是首次訪問,本文假設(shè)主體的直接先驗信息是信任評估值,應(yīng)用信任評估策略,評估該客體的信任值為T∈[0,1],當(dāng)客體對主體的信任評估值T>θ時,客體選擇授權(quán)策略,否則拒絕主體的訪問;其中,θ∈[0,1]是客體根據(jù)統(tǒng)計分析或關(guān)聯(lián)規(guī)則分析等評估策略而設(shè)定的訪問權(quán)限信任閾值.如果主體上次誠信訪問,那么本次不必做信任評估,直接授權(quán)訪問,直到主體實施欺詐訪問后,將其永遠(yuǎn)拒絕訪問.得到訪問許可的主體是后行動者,它的策略選擇是理性的,追求收益最大化,但其遵守觸發(fā)策略,當(dāng)一次欺詐訪問后,該主體將永遠(yuǎn)得不到客體的訪問授權(quán),即應(yīng)用訪問反饋等后驗信息,修正對該主體的信任評估值T=0或者提高該主體的訪問信任閾值θ=1.2.1.2主體前后誠信訪問對于得到訪問授權(quán)的主體,為引導(dǎo)其誠信訪問,設(shè)計如下約束機(jī)制:如果主體采取欺詐訪問,將永遠(yuǎn)得不到該客體的訪問許可;當(dāng)主體誠信訪問時,應(yīng)用貼現(xiàn)因子σ∈(0,1]表示由于本次的誠信訪問,下次誠信訪問時,收益將提高的幅度用以激勵主體.當(dāng)主體選擇欺詐訪問時,比選擇誠信訪問多得收益為損失有:1)永遠(yuǎn)被禁止訪問客體;2)預(yù)期收益,即當(dāng)W>u時,主體相信在將來能在誠信訪問時獲得更多收益,主體追求收益最大化,選擇誠信訪問,即由式(5)可得根根式(6),分以下3種情況討論:1)當(dāng)Sc_u.Inco≤S_u.Inco時,主體追求收益最大,將永遠(yuǎn)誠信訪問;2)當(dāng)S_u.Inco<Sc_u.Inco≤2S_u.Inco時,不等式W>u成立,因為σ∈(0,1],,即主體永遠(yuǎn)誠信訪問;3)當(dāng)2S_u.Inco<Sc_u.Inco時,設(shè)置合適的貼現(xiàn)因子,滿足式(6)成立,激勵主體自覺選擇誠信訪問.2.2問權(quán)限的動態(tài)映射策略基于信任的動態(tài)訪問控制方案如圖5所示,方案主要包括3部分:信任評估與量化策略、信任值到訪問權(quán)限的動態(tài)映射策略與基于任意因素信任的動態(tài)訪問控制.作為訪問控制中確定訪問權(quán)限的依據(jù),將信任作為博弈過程中分析主體和客體收益和支出的主要參數(shù).以信任作為客體對主體的不規(guī)范甚至惡意訪問請求進(jìn)行懲罰的手段.通過約束機(jī)制與信任量化相結(jié)合,促使主體積極主動地進(jìn)行誠信訪問.2.2.1信任量化算法對信任從信用和信譽(yù)2個關(guān)鍵指標(biāo)進(jìn)行描述,引入灰色模糊綜合評價方法思想,根據(jù)所建立的動態(tài)博弈訪問控制模型對信任的要求,建立信任反饋機(jī)制以及實時評估策略,構(gòu)造了基于灰色模糊綜合評價的信任量化算法.信任評估的參數(shù)集合PTS=[α1,α2,…αn],信任權(quán)重集合PRRS=[γ1,γ2,…γn],信任度T=f(T(α),u→γ).客體O對實體S的信任度為為用戶基本信任度評估值,為用戶行為信任度評估值,為用戶信譽(yù)評估值.信任評估與量化將假設(shè)最初信任的不確定性,采用灰色模糊數(shù)學(xué)的綜合評價方法,根據(jù)條件概率,分別計算各節(jié)點信用和信譽(yù)屬性的灰色度,對主體的信任進(jìn)行評估以及滿足顆粒度要求的量化,對其收斂性進(jìn)行驗證.2.2.2映射評價階段針對開放式網(wǎng)絡(luò)環(huán)境中無法根據(jù)用戶的身份進(jìn)行權(quán)限分配的問題,根據(jù)節(jié)點的信任值為它分配相應(yīng)的權(quán)限.動態(tài)權(quán)限映射算法以馬爾可夫鏈理論作為基礎(chǔ),根據(jù)訪問控制策略所表達(dá)出的要求,將給定[0,1]區(qū)間內(nèi)任意顆粒度的量化信任值映射到唯一的離散權(quán)限集合RSS=[r1,r2…rn].由于信任具有動態(tài)性和訪問行為的可變性,將由信任量化值到權(quán)限集合之間的映射劃分為權(quán)限映射和映射評價2個階段.在權(quán)限映射階段,針對簡單的網(wǎng)絡(luò)環(huán)境,構(gòu)造權(quán)限映射函數(shù)式中:M=2NarcsinT/π,T∈[0,1],M∈[0,N],根據(jù)計算出的F值,分配該主體權(quán)限r(nóng)i,當(dāng)F=0時,拒絕訪問.針對相對復(fù)雜的網(wǎng)絡(luò)環(huán)境,首先確定每個權(quán)限的信任閾值,對它們對應(yīng)的信任閾值進(jìn)行排序:ε0<ε1<ε2<…εn-1,其中,εi對應(yīng)權(quán)限r(nóng)i,給定信任量化值T,查找得到εi-1≤T<ε,i=1,2,3…,那么該主體獲得RSS.在映射評價階段,將訪問行為的變化抽象為馬爾可夫鏈過程應(yīng)用其他客體對主體的訪問反饋信息,對主體的訪問行為進(jìn)行預(yù)測判定,當(dāng)預(yù)測訪問行為可信時,授予主體映射的訪問權(quán)限;否則,拒絕訪問.2.2.3因素信任的訪問控制利用基于信息熵的模糊聚類方法對信任的各因素權(quán)重進(jìn)行合理分配,在信任評估與量化和信任值到訪問權(quán)限的動態(tài)映射策略等關(guān)鍵問題的研究基礎(chǔ)上,提出基于任意因素信任的訪問控制,如圖6所示,它主要包括先驗信息管理(FIM)、訪問控制策略(ACT)和訪問反饋機(jī)制(AFM)等.先驗信息管理主要是對主體的歷史訪問行為及反饋評價、信譽(yù)等信息進(jìn)行管理,客體掌握這些信息可以對主體下次的信任量化提供依據(jù).訪問反饋機(jī)制是客體對主體的訪問行為進(jìn)行反饋,豐富對主體進(jìn)行信任量化的先驗信息.訪問控制策略包括信任管理權(quán)限映射和博弈機(jī)制.根據(jù)訪問反饋的結(jié)果和約束機(jī)制,對訪問后的節(jié)點進(jìn)行收益或損失分析.3試驗評估和安全分析3.1分布式環(huán)境仿真結(jié)合開放式網(wǎng)絡(luò)環(huán)境中的訪問控制流程,基于信任的動態(tài)訪問控制方案的應(yīng)用步驟如圖7所示.為了驗證該方案的有效性、動態(tài)性對欺詐行為的良好控制性能,基于開源軟件包QueryCycleSimulatior和PeerSim,應(yīng)用Java語言編程模擬實驗.在開放的分布式環(huán)境中模擬仿真:客體O,,RSS=[r1,r2,r3,r4],訪問時期每個權(quán)限閾值的初始值分別設(shè)置為ε1=0.4,ε2=0.55,ε3=0.75,ε4=0.85;主體S被客體授權(quán)訪問后,如可信,則反饋;如是惡意訪問,則隨機(jī)生成,客體O賦予主體S一定權(quán)限,如繼續(xù)可信訪問5次,則權(quán)限閾值進(jìn)行減小調(diào)整,當(dāng)遭到欺詐時,權(quán)限閾值進(jìn)行增大性調(diào)整.選取訪問主體S連續(xù)訪問12次,前6次誠信訪問,后6次惡意訪問.該主體的TO→S和r變化如圖8所示,當(dāng)主體誠信訪問時,TO→S值會逐漸上升,訪問權(quán)限r(nóng)值上升,連續(xù)授權(quán)達(dá)到一定次數(shù)后,主體的信譽(yù)達(dá)到一定值,權(quán)限閾值ε做相應(yīng)的向下調(diào)整;當(dāng)主體變?yōu)閻阂庠L問,TO→S值會迅速下降,權(quán)限閾值ε做相應(yīng)的向上調(diào)整,就會造成主體因信任值的急劇降低而得不到相應(yīng)權(quán)限許可.由此可見,該方案是有效的.3.2主體的信任度基于信任的博弈訪問控制方案中信任評估結(jié)果三部分組成,因此對于單次訪問事件,將會涉及訪問主體的靜態(tài)、動態(tài)信任評估和訪問主體信譽(yù)值,實現(xiàn)了對TO→S的精確評估與量化.主體一直有良好的誠信訪問行為,信任量化值就會呈上升趨勢,權(quán)限閾值會下降,將會獲得理想的權(quán)限;反之,一旦有惡意的訪問行為,主體的信任量化值就迅速下降,權(quán)限閾值就會上升.客體采用細(xì)粒度式的分段權(quán)限動態(tài)映射管理,降低了權(quán)限授予風(fēng)險,對主體的訪問行為預(yù)測判定增加了賦權(quán)的安全性,對節(jié)點間的訪問行為進(jìn)行博弈約束,對欺詐節(jié)點主動“驅(qū)逐”,