平震宇， 李培峰

(1.江蘇信息職業(yè)技術(shù)學院， 江蘇 無錫　214101； 2.蘇州大學 計算機科學與技術(shù)學院， 江蘇 蘇州　215006)

?

一種基于WS系列規(guī)范的自動信任協(xié)商模型

平震宇1， 李培峰2

(1.江蘇信息職業(yè)技術(shù)學院， 江蘇 無錫214101； 2.蘇州大學 計算機科學與技術(shù)學院， 江蘇 蘇州215006)

摘要：自動信任協(xié)商技術(shù)可以應(yīng)用于Web服務(wù)中作為其認證授權(quán)模式.討論了根據(jù)WS-Policy規(guī)范基于令牌的模式描述信任協(xié)商策略，擴展WS-Trust的質(zhì)詢/響應(yīng)框架，構(gòu)建符合WS系列規(guī)范的信任協(xié)商會話，提出了自動信任協(xié)商的軟件系統(tǒng)實現(xiàn)框架.

關(guān)鍵詞：自動信任協(xié)商；認證；授權(quán)；Web服務(wù)

0引言

在基于服務(wù)為中心的Web服務(wù)環(huán)境，例如現(xiàn)在流行的SaaS模式與SOA模式等，資源的提供者和請求者往往隸屬于不同的安全域，交互主體間的生疏性以及共享資源的敏感性成為跨安全域信任建立的屏障，特別是陌生方之間很難協(xié)定出彼此信任的第三方，來協(xié)助它們建立信任關(guān)系.Winsborough等[1]提出了自動信任協(xié)商(Automated Trust Negotiation,ATN)概念，提出通過逐步向?qū)Ψ脚稊?shù)字證書以在陌生者之間建立信任關(guān)系的一種訪問控制方法，并且定義了ATN的抽象模型，將雙方實體間的信任建立抽象為構(gòu)造一條信任證披露序列.Yu等[2-3]提出了披露樹模型表述ATN的狀態(tài)，并證明了信任協(xié)商的目標是構(gòu)造一棵信任證書完全披露樹.這些關(guān)鍵理論研究工作奠定了ATN應(yīng)用基礎(chǔ).ATN提供了在陌生者之間建立信任關(guān)系的一種訪問控制方法，可以為合法用戶訪問資源提供安全保障,防止非法用戶的非授權(quán)訪問.

當前比較成熟的ATN項目有：Seamons和Winslett等[3]聯(lián)合承擔的ATN研究項目——TrustBuilder系統(tǒng)，其對ATN理論的各個部分都提供了比較完善的實現(xiàn)；Bertino等[4]提出的Trust-X模型，其為網(wǎng)絡(luò)環(huán)境下互不相識的實體之間建立信任提供一種有效模型,從而使得互不認識的實體通過逐步建立起來的信任獲取敏感性資源；IBM Haifa研究院的Trust Establishment項目[5]與德國Hannover大學的PeerTrust項目[6]，都在積極從事相關(guān)的研究和應(yīng)用工作.

本研究的重點是基于WS系列安全規(guī)范和安全技術(shù)來構(gòu)造適用于SaaS等Web服務(wù)的自動信任協(xié)商系統(tǒng)模型，主要內(nèi)容為：基于WS-SecurityPolicy規(guī)范擴展聲明元素(Claim)用于描述信任協(xié)商策略；擴展WS-Trust的請求/響應(yīng)框架，從而構(gòu)建符合WS系列規(guī)范的信任協(xié)商會話；提出了ATN模型的軟件系統(tǒng)實現(xiàn)構(gòu)架.

1擴展Web服務(wù)安全相關(guān)規(guī)范

IBM、Microsoft和VeriSign于2002年4月聯(lián)合發(fā)布了一個關(guān)于Web服務(wù)安全性(Web Services Security，WS-Security)的規(guī)范，規(guī)定如何將現(xiàn)有的XML安全機制應(yīng)用于SOAP消息環(huán)境，并開發(fā)了一系列的Web服務(wù)安全規(guī)范，包括WS-Policy、WS-Trust、WS-Privacy、WS-SecureConversation、WS-Federation和WS-Authorization.

Web服務(wù)安全模型以WS-Security為基礎(chǔ)，包括了安全策略、信任關(guān)系、隱密性、聲明、安全會話、WS聯(lián)合和WS授權(quán)等幾個方面.WS-Security規(guī)范[7]為Web服務(wù)提供了一種保障服務(wù)安全性的語言，保證SOAP消息的隱密性、完整性.通過使用數(shù)字簽名，將訪問限制為經(jīng)過授權(quán)的實體，并驗證信息沒有在傳輸過程中被更改；通過加密機制，防止數(shù)據(jù)泄密；通過添加時間戳，可以防止消息被捕獲和重發(fā).WS-Policy指定Web服務(wù)使用者必須遵循的策略信息，描述了服務(wù)提供者如何定義用戶的安全要求，以及用戶如何說明他的聲明，例如，所需的安全性令牌、所支持的加密算法和隱私權(quán)規(guī)則.WS-Trust描述使Web服務(wù)能夠安全地進行互操作的信任模型的框架，構(gòu)建于WS-Security基礎(chǔ)上，提供了一種交換安全令牌的方式，其核心是一組用來發(fā)出、更換、取消以及驗證安全令牌的消息.

1.1信任協(xié)商策略描述

在信任協(xié)商過程中，以參與決策的相關(guān)實體的屬性策略為基礎(chǔ)進行授權(quán)決策，實體使用憑證來滿足相關(guān)的屬性策略.WS-Policy描述[8]發(fā)送者和接收者如何指定其要求和能力，是完全可擴展的.不限制可以描述的要求和能力的類型，規(guī)范識別幾個基本的服務(wù)屬性，包括隱私權(quán)屬性、編碼格式、安全性令牌要求和支持的算法.WS-SecurityPolicy是WS-Policy的子集，定義了基于令牌來安全地交換消息的基本機制，對哪些實體被允許訪問某個服務(wù)以及訪問方式做出規(guī)定，并對認證方式的類型或所需要的加密等級做出限制，為通用的方式對服務(wù)的能力和限制進行描述.安全令牌(Security Token)用于表示與安全性相關(guān)的信息，例如，X.509證書、Kerberos票據(jù)、用戶名等，在消息處理的參與者實體之間實現(xiàn)直接或間接披露.WS-SecurityPolicy使用策略斷言來表示要求或能力，例如，

C=CN/O=Soochow University/CN=suda.edu.cn

此策略斷言表示W(wǎng)eb服務(wù)對于與其進行事務(wù)處理的實體有一個要求：采用X509類型的安全令牌，證書頒發(fā)者是Soochow University.

WS-Policy定義了wsp:Policy、wsp:All和wsp:ExactlyOne策略運算符，通過3個構(gòu)造彼此進行嵌套，可以編寫適用于信任協(xié)商的復雜策略.

C=CN/O=Soochow University/CN=suda.edu.cn

C=CN/O=Bank of Commuications/CN=pbank.95559.com.cn

例如，蘇州大學的在校學生需要訪問學校的Web服務(wù)為其校園卡充值，則必須提供學生的數(shù)字證書以及交通銀行的數(shù)字證書.如果嚴格按照規(guī)范現(xiàn)有的信息來描述信任協(xié)商策略顯然是不能滿足要求的，信任協(xié)商策略包含豐富的屬性約束，例如對于學生，還有入學時間、院系及班級等信息，如果僅使用數(shù)字證書，只能夠證明他是合法的在校學生，無法表示其他需要的屬性約束.

WS-SecurityPolicy與WS-Trust規(guī)范設(shè)計了Claim(聲明)元素，用來區(qū)別一個主體和其他主體的陳述信息.陳述信息可以是對消息進行簽名或加密的密鑰，表明發(fā)送者的身份或者一個被授權(quán)角色等.聲明要么是一條關(guān)于主題的陳述，要么是由主題或者把主題與聲明關(guān)聯(lián)起來的依賴方做出的陳述.規(guī)范不限制可以做出的聲明的類型，也不試圖限制如何表達這些聲明.因此可以通過定義聲明的子元素來表述信任協(xié)商中所需要的屬性約束，如表1所示.

表1　聲明擴展屬性、運算符、值、所有權(quán)子元素

例如，學生校園卡在線充值時，屬性約束條件為(Student Type，EQ，Registered Student)以及(Web bank Status，EQ，Registered User).Ownership元素用來指示訪問者是否對安全令牌的所有權(quán)證明.

C=CN/O=Soochow University/CN=suda.edu.cn

Student Type

EQ

Registered Student

C=CN/O=Bank of Commuications/CN=pbank.95559.com.cn

Web bank Status

EQ

Registered User

1.2擴展WS-Trust規(guī)范

WS-Security 規(guī)范定義了通過使用安全令牌來安全地交換消息的基本機制.WS-Trust規(guī)范[9]規(guī)定了服務(wù)請求者和服務(wù)提供者之間的信任，是通過雙方以一種預(yù)期且可理解的方式交換信息來建立的，信任關(guān)系以安全令牌的形式呈現(xiàn).例如Alice擁有一個Web服務(wù)，Bob的朋友需要訪問其服務(wù)，Alice設(shè)置的訪問策略為需要Bob頒發(fā)的安全令牌，這個安全令牌用來證明其是Bob朋友這個事實，信任關(guān)系以安全令牌的交換為基礎(chǔ)，并存在于已經(jīng)確定的支持信任策略中.WS-Trust定義了用來發(fā)出、更換、取消以及驗證安全令牌的消息，這些消息可以由訪問者通過調(diào)用安全令牌服務(wù)(STS，例如KDC或CA)的特點類型的SOAP Web服務(wù)進行交換.

圖1給出了Bob的朋友Charlice如何訪問Alice的Web服務(wù).Charlice向Alice的Web服務(wù)發(fā)送訪問

圖1Charlice訪問Alice的Web服務(wù)

請求，Alice告訴Charlice需要Bob's Friend安全令牌.Charlice向Bob的安全令牌服務(wù)發(fā)出 SOAP請求〈RequestSecurityToken〉.Bob收到請求后發(fā)送〈RequestSecurityTokenResponse〉消息給Charlice，即將包裝在〈BinarySecurityToken〉內(nèi)部的憑證發(fā)布給Charlice，Charlice向Alice提交Bob's Friend安全令牌.這種交互依賴于2個元素：〈RequestSecurityToken〉和〈RequestSecurityTokenResponse〉，發(fā)送包含〈RequestSecurityToken〉作為其正文的SOAP消息，然后獲得包含〈RequestSecurityTokenResponse〉的SOAP消息以及新的安全令牌.WS-Security標頭包含了一個〈UsernameToken〉，以便對這個請求進行身份驗證.以明文形式發(fā)送這個請求，可能要求同時包含數(shù)字簽名和時間戳的更健壯的安全令牌.消息正文包含請求頒發(fā)憑證的〈RequestSecurityToken〉元素.請求的證書被返回，它包裝在由WS-Security定義的〈BinarySecurityToken〉元素中.

WS-Trust定義向安全令牌服務(wù)請求安全令牌時，可以選擇使用的質(zhì)詢/響應(yīng)機制，盡管直接的身份驗證機制可能很好，但是安全令牌服務(wù)可能會需要更多證據(jù)，需要多次請求和響應(yīng).當請求者發(fā)布〈RequestSecurityToken〉消息后，規(guī)范允許請求者與STS之間交互多次〈RequestSecurityTokenResponse〉消息，直至安全令牌成功發(fā)布或者失敗.但是已有的擴展功能只能支持基本的質(zhì)詢/響應(yīng)機制和傳統(tǒng)的密鑰交換機制，還不能滿足信任協(xié)商的要求，如表2所示，擴展其協(xié)議內(nèi)容從而實現(xiàn)信任協(xié)商協(xié)議.

表2　協(xié)商協(xié)議內(nèi)容的擴展

使用TNInit與 TNExchange元素用于封裝信任協(xié)商會話的信息.TNInit元素用于信任協(xié)商第一輪會話時，用來確定后續(xù)協(xié)商的相關(guān)參數(shù).TNExchange元素用于后續(xù)協(xié)商會話，描述信任協(xié)商中的策略信息(PolicyCollection)以及安全令牌(TokenCollection).協(xié)商策略編碼后，安全令牌包含在一個Token元素中，包括令牌類型描述、令牌本身(編碼按照WS- Trust規(guī)范)和一個可選的所有權(quán)證明.

由于參與協(xié)商實體使用TNInit對象交換信息，從而選擇相應(yīng)的協(xié)商策略和安全性令牌格式，后續(xù)協(xié)商過程中所需的安全令牌和策略交互可以在初始化時協(xié)商一致.另外擴展定義的TNInit和TNExchange元素本身可以很容易被擴展用于支持交換所需的數(shù)據(jù)項，例如策略信息、安全令牌.上述2個元素可以在WS-Trust框架下實現(xiàn)信任協(xié)商協(xié)議.

如圖2所示，Alice試圖訪問將使用信任協(xié)商授

圖2Alice訪問蘇州大學Web服務(wù)協(xié)商流程

權(quán)控制蘇州大學Web服務(wù).當請求訪問的服務(wù)，Web服務(wù)告知必須出示由蘇州大學的STS發(fā)布的安全令牌.Alice向STS發(fā)送SOAP消息，其中包含〈RequestSecurityToken〉元素，表示需要一個安全令牌用于訪問受保護的網(wǎng)絡(luò)服務(wù).STS返回一個包含〈RequestSecurityTokenResponse〉元素SOAP消息發(fā)起信任協(xié)商，該元素包含一個TNInit元素(包含初始化信息的信任協(xié)商策略)，以及TNExchange元素(包含PolicyCollection元素).該策略要求Alice是在校學生以及是交通銀行的網(wǎng)上銀行簽約客戶.收到此消息，Alice創(chuàng)建一個新的SOAP消息發(fā)送到STS，RequestSecurityTokenResponse包含一個TNInit元素來確定協(xié)商參數(shù)，以及一個TNExchange元素，其中包含TokenCollection元素，該客戶的交通銀行網(wǎng)銀簽約客戶的安全令牌副本(及其相應(yīng)的所有權(quán)證明)和PolicyCollection元素包含一個策略，要求該STS證明其為蘇州大學的認證服務(wù).STS收到該消息后返回一個SOAP消息，Alice接收到一個〈RequestSecurityTokenResponse〉包含STS提供的安全令牌(包含在TokenCollection元素中)，及其相應(yīng)的所有權(quán)證明，此消息滿足Alice披露其學生證明的安全策略.Alice向STS透露其學生憑證，STS收到學生憑證后返回一個SOAP消息，包含最后RequestSecurityTokenResp-onse元素，將Alice所需要的安全令牌發(fā)送給他.最后，Alice向Web服務(wù)提供的安全令牌，Web將授予其訪問權(quán)限.

2自動信任協(xié)商系統(tǒng)框架

ATN-Framework是一個設(shè)置自動信任協(xié)商的框架，該框架為中間件信任代理，能夠管理密鑰、信任憑證和訪問策略，并能決定在協(xié)商過程中向?qū)Ψ斤@示哪個信任憑證和訪問策略.ATN-Framework不僅實現(xiàn)特定的信任協(xié)商協(xié)議，還使得各種信任協(xié)商技術(shù)可以在此構(gòu)建下實施.

2.1通訊協(xié)議與數(shù)據(jù)結(jié)構(gòu)

由于自動信任協(xié)商理論還在不斷的完善中，因此在設(shè)計ATN-Framework的體系結(jié)構(gòu)時考慮到其可擴展性，定義其與協(xié)商協(xié)議無關(guān)的通訊協(xié)議，提供通過擴展而后可以解析各種協(xié)商協(xié)議的框架.例如，在協(xié)商會話中，不止需要交換憑證和策略，還需要在框架中支持Trust-X的信任票.為此，ATN-Framework使用一個非常簡單的通信協(xié)議以及具有可擴展的數(shù)據(jù)類型層次結(jié)構(gòu)，便于適應(yīng)廣泛的信任協(xié)商協(xié)議.

ATN-Framework通信協(xié)議由TrustMessage實現(xiàn)，管理協(xié)商實體包含一個或多個TrustModel對象.第一條消息的信任協(xié)商會議的發(fā)起者發(fā)送InitModel對象，描述信任協(xié)商配置信息(即策略類型，憑證格式和策略語言等)，可以擴展配置信息.如果響應(yīng)者支持的系統(tǒng)配置與發(fā)起者建議的系統(tǒng)配置之一兼容，即返回一個包含另一個 TrustMessage，同樣使用InitModel描述即將進行的信任協(xié)商的配置信息.發(fā)起者收到確認的配置信息后，回應(yīng)一個包含TrustMessage，其中包含 NegotiationTarget指明希望訪問的資源，最后開始憑證的交換與策略的檢查直至協(xié)商成功或者宣布失敗.

信任協(xié)商會話是協(xié)商雙方交換消息的過程，包含憑證、策略、聲明和其他信息.為了支持盡可能廣泛的信任協(xié)商協(xié)議，ATN-Framework框架的核心組件很大程度上依賴于一個可擴展的數(shù)據(jù)類型層次結(jié)構(gòu).所有信任協(xié)商會話中協(xié)商方之間交換的信息使用TrustModel類表示，作為信任協(xié)商進程的基本模塊.用戶可以無需修改每個組件的數(shù)據(jù)進行擴展.TrustMessage實體對象包含一個或多個TrustModel.InitTrustModel，NegotiationTarget和StatusModel類用于提供信任協(xié)商高層次的信息.InitTrustModel用于設(shè)置信任協(xié)商的參數(shù)，NegotiationTarget是用于表示特定信任協(xié)商發(fā)起者希望訪問的資源，StatusModel用于存放協(xié)商過程中的狀態(tài)信息，例如協(xié)商是否成功.在信任協(xié)商會話中所有的數(shù)據(jù)交換都需要協(xié)商策略的保護，由ResourceModel子類實現(xiàn)，可以確保ATN-Framework正確執(zhí)行披露需求而不必了解數(shù)據(jù)項本身的含義.

AbstractCredentialClass和AbstractPolicyClass類用于表示抽象的屬性證書和策略，使TrustModel處理憑證和各種格式的策略時無需了解各種格式的細節(jié).細節(jié)的處理由X509CredentialClass、RTCredentialClass類完成，或者根據(jù)需要擴展成相應(yīng)的處理類.X509CredentialClass用于解析有關(guān)X.509證書的信息，RTCredentialClass類解析RT憑據(jù)的詳細信息、PolicyClass類用于策略檢查.

2.2軟件系統(tǒng)框架

圖3為ATN-Framework軟件系統(tǒng)框架圖.ATN-Framework類提供外部訪問接口，系統(tǒng)在信任協(xié)商會話期間通過調(diào)用這個類提供方法來完成信任協(xié)商，當一個新的信任協(xié)商會話開始后，ATNFramework類創(chuàng)建和管理一個Session對象，即保持協(xié)商實體之間談判過程中所有必要的狀態(tài).例如，在完成協(xié)商系統(tǒng)配置信息的交換(InitModel)后，Session對象將包含本次協(xié)商將使用的配置信息.任何組件系統(tǒng)可以將自己的私有狀態(tài)存放在Session對象中.

圖3ATN-Framework軟件系統(tǒng)框架圖

在信任協(xié)商過程中，所有TrustMessages消息都由ATNFramework接口處理，接口處理后產(chǎn)生一個響應(yīng)TrustMessage消息返回給遠程參與者.在處理遠程TrustMessage消息或提交消息給StrategyModuleMediator對象前，ATNFramework接口首先將消息傳遞到IOManipulationModule對象.IOManipulationModule是處理所有輸入和輸出TrustMessage消息的地方.組件允許用戶加載自定義的系統(tǒng)插件，用于檢查和修改所有輸入或者發(fā)出的TrustMessage消息，使得用戶應(yīng)用系統(tǒng)的數(shù)據(jù)格式可以與ATNFramework相兼容.

ATNFramework系統(tǒng)有4個核心組件：策略協(xié)商模塊(StrategyModuleMediator)、策略一致性驗證模塊(ComplianceCheckerMediator)與信任與策略庫(CredentialPolicyStore)、信任憑證檢查模塊(CredentialCheckerMediator).每個模塊收發(fā)、協(xié)調(diào)、處理各模塊間的數(shù)據(jù).StrategyModuleMediator描述當前信任協(xié)商的狀態(tài)(本地信任憑證和策略、前幾輪協(xié)商披露的信任憑證和訪問策略)，并且產(chǎn)生應(yīng)答消息傳送給對方.CredentialCheckerMediator用于檢查收到的憑證的有效性、驗證憑證的簽名及發(fā)現(xiàn)信任憑證鏈等任務(wù).ComplianceCheckerMediator保證資源在其安全策略滿足時才能顯示給對方，并且決定當對方顯示信任憑證后，滿足哪個本地策略，負責檢查哪一個遠方信任憑證滿足本地策略，決定哪個本地信任憑證滿足遠方的策略.另外，由QueryEngineMediator負責訪問本地信任協(xié)商證據(jù)或調(diào)用外部系統(tǒng)查詢服務(wù)，最后生成一個響應(yīng)TrustMessage消息，由ATNFramework接口將其發(fā)送給對方.由于在設(shè)計之初考慮了系統(tǒng)組件框架允許用戶插入定義的插件，其他業(yè)務(wù)系統(tǒng)接入時無需修改系統(tǒng)組件框架本身的功能，只需要在運行時插入與業(yè)務(wù)系統(tǒng)相關(guān)的自定義插件即可.業(yè)務(wù)系統(tǒng)只需編寫和編譯符合ATNFramework接口標準的插件，以動態(tài)庫的形式提供，并且在相應(yīng)的模塊中注冊，而無需修改底層框架.

2.3實驗測試

本研究以在校大學生校園卡在線充值服務(wù)為實驗場景，對基于ATN的訪問控制機制進行性能測試.為了說明信任協(xié)商到底能對一個典型系統(tǒng)增加多少負荷，本研究測試了在線充值的Web 服務(wù)的性能.系統(tǒng)輸入2個參數(shù)，一個是學號字符串，另一個是交易額的整數(shù)，調(diào)用Web服務(wù)后，返回一個表明交易是否成功的文本字符串，實驗結(jié)果主要記錄信任協(xié)商過程中花費的時間.為了說明客戶端、服務(wù)器的策略復雜性對協(xié)商時間的影響，在實驗中改變了協(xié)商的輪數(shù)并進行比較.第一個實驗結(jié)果表明，進行上述信任協(xié)商會話花費平均時間434 ms.第一次信任協(xié)商會話大約1 300 ms.由于系統(tǒng)最初加載ATNFramework框架的成本，這個初始成本被協(xié)商會話分攤，因此一次信任協(xié)商會話花費的實際時間會小于400 ms.在第二個實驗中，發(fā)現(xiàn)系統(tǒng)耗用時間主要花費3個任務(wù)：策略一致性檢查(≈49%)，數(shù)據(jù)I/O操作(≈15%)及數(shù)據(jù)的加密簽名操作(≈14%)，而其他開銷(如需要支持插件加載、處理時間)沒有統(tǒng)計在以上結(jié)果中.

3結(jié)論

自動信任協(xié)商代表著一種新型的安全技術(shù),為實現(xiàn)跨域資源共享與互訪提供安全保障，目前已引起了業(yè)界的足夠重視.Web服務(wù)請求者與提供者之間可以采用基于安全令牌的方法來建立信任關(guān)系，但這種方法通常是靜態(tài)的，因為安全令牌是事先確定的.如果需要建立動態(tài)信任關(guān)系，則可以采用自動信任協(xié)商機制.本研究主要討論自動信任協(xié)商系統(tǒng)框架的實現(xiàn)過程，并在WS系列規(guī)范的基礎(chǔ)上擴展了WS-Policy用于描述自信信任協(xié)商的策略，擴展了WS-Trust規(guī)范用于實現(xiàn)自動信任協(xié)商協(xié)議，提出了一種自動信任協(xié)商框架，充分考慮了其可擴展性以適應(yīng)研究的不斷發(fā)展.

參考文獻：

[1]Winsborough W H,Seamons K E,Jones V E.Automatedtrustnegotiation[C]//DARPAInformationSurvivabilityConferenceandExposition2000.New York:IEEE Press,2000.

[2]Yu T,Winslett M,Seamons K E.Supportingstructuredcredentialsandsensitivepoliciesthroughinteroperablestrategiesforautomatedtrustnegotiation[J].ACM Trans Inf Syst Sec,2003，6(1)：1-42.

[3]Yu T,Winslett M.Policymigrationforsensitivecredentialsintrustnegotiation[C]//Proceedingsofthe2003ACMworkshoponprivacyintheelectronicsociety.New York:USA:ACM Press,2003：9-20.

[4]Bertino E，F(xiàn)errari E，Squicciarini A C.Trust-X：apeertopeerframeworkfortrustnegotiations[J]．IEEE Trans Knowl Data Eng，2004，16(1)：827-842.

[5]Herzberg A,Mass Y,Mihaeli J,et al.Accesscontrolmeetspublickeyinfrastructure,or:assigningrolestostrangers[C]//SecurityandPrivacy,2000.Berkeley,CA:IEEE Press,2000:2-14.

[6]Xiong L,Liu L.PeerTrust:supportingreputation-basedtrustforpeer-to-peerelectroniccommunities[J]．IEEE Knowl Data Eng,2004，16(7)：843-857.

[7]Bob A,Giovanni D.WebServicesSecurity(WS-Security)version1.0[EB/OL].[2002-04-01].http://msdn.microsoft.com/ws/2002/04/Security/.

[8]Bajaj S,Box D,Chappell D,et al.WebServicesPolicyFramework(WS-Policy),Version1.2[EB/OL].[2006-04-01].http://www.w3.org/Submission/WS-Policy/.

[9]Anderson S,Bohren J,Boubez T,et al.WebServicesTrustlanguage(WS-Trust),Version1.1[EB/OL].[2004-05-01].http://msdn.microsoft.com/ws/2004/04/ws-trust/.

Automated Trust Negotiation Model Based on Web Services Standards

PINGZhenyu1，LIPeifeng2

(1.Jiangsu Vocational College of Information Technology, Wuxi 214101, China;2.School of Computer Science and Technology, Soochow University, Suzhou 215006, China)

Abstract:Automated Trust Negotiation(ATN) has previously been proposed as an appropriate authorization model for use in a web services context.In this paper,we show how the existing token based security model described by the WS-Policy standard can be used to specify ATN policies;we also propose extensions to WS-Trust’s challenge/response framework that can be used to facilitate ATN sessions in a fully standards-compliant manner;we present an ATN Framework for prototyping and evaluating trust negotiation systems.

Key words:Automated Trust Negotiation;authentication;authorization;web service

中圖分類號：TP393.08

文獻標志碼：A

作者簡介：平震宇(1975 — )， 男， 碩士， 副教授， 從事計算機信息處理與信息安全研究.

收稿日期：2016-01-13.

文章編號：1004-5422(2016)01-0058-06