基于角色的移动设备信任管理：权重扩展和评估库的实施

理论计算机科学电子笔记244（2009）53-65www.elsevier.com/locate/entcs一种基于权重的角色信任管理在移动设备莫里奇奥·科伦坡2Istituto di Informatica eTelematica Consiglio Nazionaledelle Ricerche Pisa，ItalyAliaksandr Lazouski3比萨大学信息学院意大利比萨摘要本文介绍了一个基于角色的信任管理（RT）的凭据和RTML编写的政策，还扩展了权重，在移动设备中的管理和评估库的实现。特别是，它描述了在J2ME中的库的实现。值得注意的是，RTML凭证是类似XML的文档，因此在移动设备上移植这些功能的能力使得整个框架与其他RT框架（如GRID系统）具有很好的互操作性。作为策略语言，我们实际上使用RTML的变体，其策略添加了权重，并且能够表达基于量化经验的信任概念。它还允许对某些声誉和推荐模型进行编码。所得到的结果表明如何在移动设备上的实施是可行的，几个应用程序的运行时间可以接受。关键词：基于角色的信任管理，信誉，移动设备，策略语言，计算机安全。1介绍信任管理是在开放、分布式、异构的计算机环境中对实体进行授权的一种很有前途的方法实体的可信度决定访问权限。信任值被分配给每个实体，并且基于对等体拥有的凭证和/或通过与对等体的先前交互而积累的经验。1电子邮件：davide. iit.cnr.it2电子邮件：maurizio. iit.cnr.it3电子邮件地址：lazouski@di.unipi.it1571-0661 © 2009 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2009.07.03854D. Fais等人/理论计算机科学电子笔记244（2009）53同行。凭证证明由属性权威机构颁发给对等体的某些属性（例如角色）。配置对等体通常需要呈现的资源由多个分散的授权机构签名的一组凭证。基于角色的信任管理（RT）框架[8，7，6]特别适用于具有分散属性权限的大规模分布式系统中基于属性的RT利用角色的概念作为可以委托的对等体的属性。我们扩展了RT，为对等角色分配信任度量或权重原型，RT的凭证和政策增强与信任权重和评估引擎，本文所近年来，已经提出了几种支持基于属性的授权的信任管理框架，例如RT，PolicyMaker [1]，KeyNote [2]，SPKI [3]等。 RT构成了一个声明性的、基于逻辑的语义基础，支持词汇协议、强类型的凭证和策略，以及更灵活的权限委托结构[7]。RT是一种理论上和实际上都可以实现的方法，它包含了基于角色的访问控制（RBAC）和信任管理。RT框架的灵活性和表现力基于角色的概念，在向角色持有者分配访问权限RT承担委托、链接和参数化的角色。异构的计算机环境将各种类型的设备组合在一起，它们相互作用以实现特定的目标.为了使用RT授权框架并允许对等点无缝地互操作，我们需要在不同的设备和平台上实现RTRT框架已经成功地在几个环境中实现和部署[4，7]。本文重点研究了RT框架在支持J2ME的移动设备上的实现。用RTML策略语言编写的RT策略和凭证的原始语义[5]通过与角色相关联的信任权重进行了扩展。我们还介绍了一个算法来计算信任权值的角色。事实上，原型在一个框架中集成了基于凭证和基于经验的信任模型我们优化了框架，并在实现过程中考虑到移动设备的功率和计算限制做了一些假设最终的原型能够验证，验证RTML与重量凭证推到或拉由移动终端。通过将推理规则应用于RT凭证和本地访问规则，演绎引擎返回了完整的请求者属性集，其中包含签名的信任值以及相应的访问权限。我们做了一些性能测试来衡量框架的适用性。本文的结构如下。在第2节中，我们回顾了基于角色的信任管理框架。在第3节中，我们展示了它的带权重的可伸缩扩展和相应的评估算法。然后，我们将在第4节中展示移动设备上的原型实现。第5节给出了凭证、策略声明和一些性能评估的示例。最后，第6节包含了我们的结论和未来的工作。D. Fais等人/理论计算机科学电子笔记244（2009）53552基于角色的信任管理用于访问控制的RT基于角色的信任管理框架提供策略语言、语义、推理引擎和具体工具，例如应用程序域规范文档，其帮助分布式用户保持策略术语的一致使用（例如，见[7，11]）。RT的目的是管理大规模和分散系统中的访问控制和授权问题。当独立和自治的组织，其成员变化非常迅速，希望分享其资源时，就会出现这些问题。 RT结合了基于角色的访问控制（RBAC）和信任管理（TM）的优点。RBAC是为单个组织中的访问控制而开发的，在这种组织中，角色成员和角色权限的控制相对集中在少数用户身上，RT从角色的概念中汲取了角色作为向用户分配权限的工具的概念。TM是一种分布式访问控制和授权的方法，其中访问控制决策基于多个主体的策略声明。RT从TM中获得了通过使用凭证管理分布式权限的原则，以及表示这些权限之间关系的一些符号。RT中的主要概念是角色的概念，每个RT主体都有自己的角色名称空间，每个角色都由主体名称和角色术语组成。例如，如果KA是一个主体，R是一个角色术语，那么KA.R是由主体KA定义的角色R，可以读作KA只有KA有权发布政策声明，定义哪些成员是KA.R的角色。RBAC中的角色可以看作是一组属于该角色的主体。向主体授予权限意味着使主体成为与该权限对应的集合的成员，向角色授予权限意味着断言与该权限对应的集合包括与该角色对应的集合作 为 子 集 。2.1参数角色RBAC中的角色是原子字符串，有时这一事实应该受到太多限制。可能需要对大量角色使用相同的名称，而这些角色之间几乎没有差异。为了解决这个问题，RT引入了参数化角色的概念，并使用了以下数据类型：• 你这是什么人。整数类型是有序的。• 封闭枚举类型。 既可以是有序的也可以是无序的。• 打开枚举类型。Open枚举类型是无序的。• 浮点型。订购了一种带垫圈的类型• 日期和时间类型。 有预定义的类型，它们是有序的。角色项采用形式r（p1，...，p n），其中r是角色名称，并且每个p j采用以下三种形式之一：name = c，name = X和name∈S，其中name是r的参数的名称，c是适当类型的常数，X是变量，S是适当类型的值集。 变量使等于256D. Fais等人/理论计算机科学电子笔记244（2009）53在相同的角色定义中。2.2RTML凭证RT凭证具有头部和主体。凭证的头部具有A.r（p1，.，pn），其中A是实体，并且r（p1，...，p n）是一个角色名。 对于每一个i在1…n，pi是具有r的第i个参数的类型的数据项。数据项可以是常量或变量。具有头部A.r（h1，. h n）定义角色A.r（h1，.h n）。A是凭证的颁发者。在下文中，以抽象语法呈现六种类型的凭证，每种凭证具有不同的与定义角色成员资格的不同方式相对应的机构形式。• 简单成员A.r（p=J值J）←D凭证颁发者是A，角色成员资格包括D主体（A和D可能相同）。一般来说，一个简单成员代表了一个关于用户已经获得了哪些角色的证书，它由释放这些角色的实体签名。身体部分是主要的标识符。• 简单遏制A.r←B.r1ExternalRole是凭据的主体部分。A定义角色成员包括B主体发布的外部r1角色A.r的尺寸应不小于B.r1的尺寸。• 链接遏制A.r←A.r1.r2主体部分由一个LinkedRole元素组成，该元素包含两个或多个元素。凭证颁发者为A，角色成员资格包括所有实体从P主体发布的外部r2角色，其中P是默认主体A的r1成员。 A.r的尺寸应不小于P.r2• 交叉口安全壳A.r←A.r1<$B.r2主体部分由Intersection元素组成，它包含两个或多个角色;如果引用的角色由外部实体发布，则它可以是外部角色，或者它可以由A本身发布。角色成员资格包括同时是B主体发布的内部r1角色和外部r2下面两个定义可以用前面的规则来表达：• 简单委托rB[：r2]证书颁发者是A，它将其对r的权限委托给B，换句话说，A信任B当r2存在时，它作为一种控制;B只能将A.r2的成员分配给A.r.一个简单的委托可以用一个简单的包容和一个交叉包容来表达：A.r←B.rA.r2• A.临时授权rr1[：B. r2]证书颁发者是A，它将其对r的权限委托给A的成员。当B.r2存在时，它作为一种控制工作;A.r1的每个成员都可以D. Fais等人/理论计算机科学电子笔记244（2009）5357仅将B.r2的成员分配给A.r。一个先进的代表团可以使用链接包容和交叉包容来表示：A.r←A.r.r1→B.r22.3凭据的XML语法RTML是实现RT框架的RT策略和凭证的基于XML的数据表示。它包括用于编码权限的数据类型、用于识别主体的机制、用于定义公共词汇表的数据结构以及用于确定在给定一组策略语句和一组用户凭证的情况下查询何时为真的语义关系。RTML使用三种类型的文档：• 应用程序域规范定义一套相关的数据类型和角色名称，称为词汇表。角色名称的使用需要引用声明角色名称的ADSD• 全权证书定义由实体颁发的一个或多个凭据，本文档应由发布这些凭据的实体签名。• 简体中文定义控制对角色或组的访问的规则。在下文中，我们将介绍这些文件。2.3.1应用领域规范文档（ADSD）如前所述，共享词汇表的使用构成了将权限表示为属性的那些系统（诸如网格环境）中的关键点。要委派对资源的权限，链中涉及的所有主体都需要使用一致的如果它们中的一些使用不兼容的方案，则它们的凭据无法有意义地组合，并且无法授予某些预期的权限角色的定义只有在所有涉及的部分都被允许访问角色结构以及可能授予它的权限时才有意义。ADSD定义了一个词汇表，该词汇表使用标准数据类型或定义新的数据类型来实现此结构，此文档必须是公共的。这就允许RT拥有强类型的凭证和策略。使用角色术语的凭证需要引用特定的ADSD，该ADSD定义了角色名称及其所有数据类型。2.3.2证件在“信任管理”方法中请求者向请求添加一组凭证，授权者通过回答以下问题来决定是否授权此请求：Credential 和 Credential Rules 具 有 相 同 的 结 构 ; 它 们 定 义 了 包 含 在 名 为CredentialStore标记的根元素58D. Fais等人/理论计算机科学电子笔记244（2009）53<证书商店><凭证id='#1'>。. .和lt;/Credential>. . .<凭证ID='#n'>。. .和lt;/Credential>每个规则定义都是由三个元素组成的。(i) 序幕它包含文档中后面使用的所有信息，它计算DefaultDomain和零个或多个ImportDomain，ImportDomain引用恢复所涉及的所有角色的结构所需的所有ADSD，一个或多个包含凭证中实体的公钥的Principal以及指向发布角色的Principal 的 IssuerStringValue ， 但 它 必 须 是 XML 签 名 标 准 中 定 义 的KeyValue，以确保安全性。(ii) 凭证RTML 定 义 了 一 组 Credential/Credential Rule 定 义 ， 每 个 定 义 包 含 一 个HeadRoleTerm和一个Body。不同种类的定义包含不同的元素作为身体的一部分。我们采用一种抽象的语法来描述这些定义;r表示HeadRoleTerm，r1和r2表示其他角色术语，我们假设A为凭证颁发者，而B和D表示通用发行人(iii) 验证数据它包含一个ValidityTime元素和一个可选的签名部分，该部分由XML签名标准中指定的Signature元素2.3.3规则文件正如2.3.2节中所述，凭证和安全规则文档具有相同的主要区别在于，Issuer值不存在于策略规则文档中;它定义策略，这些规则的发布者是策略发布者本身。此外，签名元素也丢失了，发行者不需要验证其策略。3带权在我们的框架中，用户的声誉可以计算根据属性，用户拥有的服务，而不是一个角色，他/她涵盖。作为示例，可以基于用户的过去经验来计算用户的信誉。D. Fais等人/理论计算机科学电子笔记244（2009）5359与该用户相关的其他服务。用户对该服务表现得越好，该服务就越积极地推荐与该用户的交互。因此，通过重新表述上述内容，简单的成员凭证A.r（v）←D可以被读作A断言 D具有度（权重）为 v的属性r。服务发出两种凭证，要么表示对用户的良好行为者的信任，要么推荐能够表示用户具有良好行为的人。第一种凭证表示对功能的信任（例如，我们将其定义为A.f（v）←D，即，A信任D执行度为v的函数f。后者是推荐的凭证，表示为A.rf（v）←D，它们表示A信任D作为一个推荐人能够推荐某人执行f.建议可以是可传递的。传递性步骤通过A.rf←A.rf.rf形式的链接包含编码到RT中。 这个陈述说，如果A定义B具有属性A.rf，B定义D具有属性B.rf，那么A定义D具有角色A.rf，即，D被信任作为根据A的推荐者。间接功能信任步骤被编码为A.f←A.rf.f。这个语句说，如果B有角色A.rf，C有角色B.f，那么C有角色A.f。 具有角色A.rf的B是推荐者，即， 信任B，用于选择被信任执行f的人。具有角色B.f的C被B信任执行f。因此，A间接信任C来执行f。此外，可以定义一组功能，例如，的 可能值范围f，并且相对简单的包含凭证是，例如，如下所示：• A. files（p，v）←D. A信任度为v的用户D来操作文件。• socket（p，v）←D.A信任度为v的用户D来操作套接字。必须有明确的规则来组合信任权重。因此，我们考虑两个运营商，即链接运营商和聚合运营商，用于组合的信任措施。一般来说，前者用于合成信任权重，而后者用于比较、选择或聚合信任权重。我们给出了一些基于半环的信任度量的具体例子。假设我们要考虑具有最大信任的权重，则：• 实数的乘法（例如0和1之间• 2是两个实数之间的最大值。在这里，我们回顾了[10]中给出的语言，用于用信任度量丰富RTML的一部分• A.r（p，v）←D. 角色A.r（p）被权重v覆盖。• A.r（p）←v2A1.r1（p1）. 根据A，角色A1.r1（p1）的所有成员都具有权重v1是角色A.r（p）的成员，权重v=v1<$v2。• A.r（p）←A.r1（p1）.r2（p2）.如果B有角色A1，r1（p1），权重为v1，D有角色B.r2（p2），权重v2，则D有角色A.r（p），权重v=v1<$v2。• A.r（p）← A1.r1（p1）<$A2.r2（p2）. 这个陈述定义了，如果D具有两个角色，60D. Fais等人/理论计算机科学电子笔记244（2009）53A1.r1（p1），权重为v1，A2.r2（p2），权重为v2，则D有角色A.r（p），权重为v=v1<$v2。注意，权重不能显式出现在简单、链接和相交包含语句中实际上，这些语句组合了基本凭证（简单的成员凭证），并且它们还确定了必须如何组合来自基本凭证的权重。3.1一种具有信任度量的RTML我们提出了一个算法来计算一组简单的成员证书与信任措施的RTML。图1显示了算法的细节。它将可用的凭证作为输入，分为两组，基本凭证组和其他凭证组。如果不考虑信任措施，该算法基本上建立简单的成员凭证的最小集合，通过迭代地应用推理规则的每种凭证。如果推断出的凭证还不属于计算出的基本凭证的集合，则将其添加到此集合。这个过程会不断重复，直到没有新的凭证被发现。当算法被应用到一个有限的凭证集合时，它会正确地终止。可以增加重量。实际上，由于我们将要应用的c-半环的特殊性质，它也可以被看作是Floyd算法的一个变体用于计算图中所有节点之间的最小/最大加权路径。实际上，一个简单的成员凭证，比如A.r（v）←C，表明在节点A和节点C之间有一个标记为r的弧，度量为v。如果我们假设order≤w，则算法计算最大加权路径（w.r.t.） 在图中，我们提醒说，在c-半环中，k是一个包含运算。4移动设备本节概述了在支持J2 ME平台和CLDC1.1/MIDP2.0配置文件的移动设备上正在进行的具有信任权重的RT的实现。原型的扩展版本最初是作为GRID服务授权框架的一部分实现的[4]。由于最小化最终应用程序的大小并考虑到J2ME限制，对原型进行了修改。选择Java语言是因为它适合开发和测试移动应用程序。此外，几个模拟环境是免费提供的（例如NetBeans），以及一组广泛的移动设备，如智能手机和PDA能够执行MIDlet。RT框架包括（i）以RTML策略语言格式表示的基于XML的用户(iii) 一个推理引擎演绎引擎发现从访问规则和凭证推断的新用户的属性或角色。将推理规则应用于每个D. Fais等人/理论计算机科学电子笔记244（2009）5361信任计算（基本信用、规则）={结果：=基本信用;更改：= true; While（更改）{=false;对于每个凭据A.r←v2A1.r1in rules and for each credentialA.r1（v1）←基本信用中的C如果A.r←C不在基本信用中，或A.r（v）←C在基本信用中，且v 1不小于v2≤wv然后{从基本信用中移除所有信用，如A.r←C;在基本信用中插入A.r（v1v2）←C;Changed：=true};对于规则中的每个凭据A.r←A.r1.r2，对于每个凭据A.r1（v1）←B，B.r2（v2）←C在基本信用如果A.r←C不在基本信用中，或A.r（v）←C在基本信用中，且v 1不小于v2≤wv然后{从基本信用中移除所有信用，如A.r←C;在基本信用中插入A.r（v1v2）←C;Changed：=true};对于规则中的每个凭据A.r<$A1.r1<$A2.r2，对于每个凭据A1.r1（v1）←C，A.r2（v2）←C在基本信用如果A.r←C不在基本信用中，或A.r（v）←C在基本信用中，且v 1不小于v2≤wv然后{从基本信用中移除所有信用，如A.r←C;在基本信用中插入A.r（v1v2）←C;Changed：=true};}Fig. 1.凭证推断算法。图二.用于移动设备的凭证和访问规则，演绎引擎返回用户属性的完整集合我们对集中式证书库做了假设实现的原型的完整软件包结构如图2所示。这些包通过验证、验证、解析基于XML的签名用户凭证和访问规则，并通过演绎引擎评估新凭证，来提供RT框架功能任何用户以确保-62D. Fais等人/理论计算机科学电子笔记244（2009）53所有凭证都经过数字签名。带有某些扩展的XML数字签名标准4J2ME的加密算法是从bouncy castle project5导入的。签名保存在XML编码凭证表示的Signature Value标记中。凭证持有者的公钥已在KeyInfo标记处设置Xerces-jme6、xalan- jme7、bc-jme和signit-mobile-xml包通过验证凭证签名和过期时间、提取相关XML来准备rtml-parser的输入代码，并将凭据保存在本地KeyStore中，该KeyStore包含访问规则并受密码保护。rtml解析器是一个基于DOM的解析器，它将接收到的XML格式的证书和访问规则转换为复杂的数据结构，并将其传递给由链发现权重包实现的推理引擎。Chain-discovery-weight基于首字母credential- tials和访问规则评估新凭据它还实现了第3.1节中描述的算法，为每个新凭证正确分配信任权重Chain-discovery-weight使用信任度量维护最终的凭证集。最初，在发送到推理引擎之前，通过随机值将权重分配给凭证和访问规则。我们这样做是为了保持证书的原始RTML格式。新用户的凭据表示用户在移动终端上拥有的完整角色集。此信息可用于授予用户某些访问权限。5绩效评价我们在诺基亚E-61智能手机上进行了一些实验来测量原型的性能如前所述，原型的工作算法包括几个步骤，如下：（i）将一组用户的凭证上传通过蓝牙;（ii）确认和验证移动终端上的每个凭证的签名和时间到期;（iii）将凭证和相应的访问规则从基于XML的格式解析为推导引擎可理解的逻辑结构;（iv）将凭证和访问规则推送到推导引擎以评估所有用户的凭证和分配给它的信任权重的集合。我们测量了步骤（ii）到（iv）的时间消耗，改变了凭证和访问规则的数量。我们使用4个用户凭证和3个策略规则的组合由于篇幅限制，我们在这里不介绍XML版本的证书，其定义和分配的权重。我们请读者参考[5]，其中详细考虑了类似的例子。原型中使用的凭据和访问规则如下：全权证书：4 http://www.ietf.org/rfc/rfc3275.txt5http://www.bouncycastle.org/6 http://xerces.apache.org/xerces-j/7http://xml.apache.org/xalan-j/D. Fais等人/理论计算机科学电子笔记244（2009）5363图三. 凭据管理性能(0) KStateU.stagist（JBobSmithJ，JStateUJ）←KBob(1)KStateU.student（JStateUJ，JInformaticScienceJ，J123456789J，JBobSmithJ）←K鲍勃(2) KAcm.acmmember（JBobSmithJ，JProfessionalJ，JUJ11111J）←KBob(3) KAbu.university（JStateUJ）←KStateU访问规则：(4)KEPub.epubRole1（）←KAcm.acmmember（name，−，−）KEPub.student（−，JInformaticScienceJ，−，name）(5) KEPub.university（uniN ame）(6)KEPub.student（uniN ame，JInformaticScienceJ，J123456789J，−）KEPUb.university（uniN ame）例如，传递（3）和（5），演绎引擎生成新凭证：(7) KEPub.university（JStateUJ）←KStateU进行了一组实验来评估凭证验证和验证以及解析的时间成本1和7个证书的结果见图3。如图所示，1个凭证的验证-验证时间几乎为11.0秒，而解析时间仅为1.6秒。时间与要处理的证书数量成线性关系。图4显示了在有2个策略语句（1个凭据和1个访问规则）和7个策略语句（4个凭据和3个访问规则）的情况下，演绎引擎的性能。结果表明，评估时间几乎保持在同一值，并形成了28秒的延迟7个政策声明。64D. Fais等人/理论计算机科学电子笔记244（2009）53见图4。 演绎引擎性能在真实设备上运行几个实验，我们推断凭证验证和验证时间开销非常敏感。总时间开销仅适用于特定应用程序，但不能用于监视运行时执行等。6结论和今后的工作本文介绍了RT框架在移动设备上的实现。信任权重被嵌入到RT凭证中，以提供特定的声誉和推荐模型。我们提出了计算权重的算法，并进行了一些实验来测试原型的性能。结果表明，与凭证和访问规则解析和评估相比我们计划通过使用轻型加密签名算法和开发用于凭证验证和确认的采用缓存模型来减少时间开销最后，我们关注一个复杂的案例研究，用权重表达RT的好处。我们怀疑一个网格场景来检查部署在各种设备上的RT框架的互操作性。引用[1] 布拉兹，M.， J. Feigenbaum和M. Strauss，政策制定者信任管理系统中的合规性检查，载：金融密码学，1998年，pp. 254-274。URLciteseer.ist.psu.edu/blaze98compliance.html[2] 布拉兹，M.，J.Ioanneland和A. D. Keromytis，基调信任管理系统的经验：应用和未来的方向。网址citeseer.ist.psu.edu/641873.htmlD. Fais等人/理论计算机科学电子笔记244（2009）5365[3] Clarke，D.E、Spki/sdsi http server/certificate chain discovery in spki/sdsi（2001）.网址citeseer.ist.psu.edu/clarke01spkisdsi.html[4] 科伦坡，M.，F. Martinelli，P. Mori，M. Petrocchi和A. Vaccarelli，Fine grainedaccesscontrol withtrust and reputationmanagementfor globus，in：OTMConferences（2），2007，pp.1505-1515。[5] 等，N.L.，Rtml：一种基于角色的信任管理标记语言，技术报告，普渡大学，cERIAS TR2004-03。[6] Li，N.和j.Mitchell，Rt：基于角色的信任管理框架（2003）。URLciteseer.ist.psu.edu/li03rt.html[7] Li，N.，J. C. Mitchell和W.H. 陈文，一种基于角色的信任管理框架的设计，载于：IEEE安全与隐私研讨会论文集，奥克兰，2002年。网址citeseer.ist.psu.edu/533810.html[8] Li ， N. ， W. H. 温 斯 伯 勒 和 J.C.Mitchell ， DistributedCredential Chain Discovery inTrustManagement：Extended Abstract，in：ACM Conference on Computer and CommunicationsSecurity，2001，pp. 156-165。URLciteseer.ist.psu.edu/article/li01distributed.html[9] 刘，J. 和v. Issarny，移动ad hoc网络的增强信誉机制，in：iTrust，2004，pp.48比62[10] Martinelli，F. 和M.Petrocchi，关于关联和集成两个信任管理框架，电子笔记理论。Comput. Sci. 168（2007），pp. 191-205.[11] Winsborough，W. H.和N. Li，自动信任协商中的安全性，in：S P，IEEE，2004。