P2P網絡中基于級別的訪問控制

陶青 栗勇兵

【中圖分類號】 G250.72【文獻標識碼】 A【文章編號】1672-5158（2013）07-0003-01

當前的P2P網絡在訪問控制方面面臨以下問題：無中心點的網絡環境需要分布式的訪問控制；高動態性的網絡環境必須支持對資源的多級授權和對陌生用戶的臨時授權；所建的信任關系的有效期必須得到有效的管理；必須能及時動態地引入申請加入的用戶。但是現存的訪問控制體制都不能很好地解決這些問題。ACL這種體制不易管理，且不容易擴展，也不允許臨時的權限傳遞，又由于P2P網絡的用戶的高動態性，IP不固定，所以不太適于P2P網絡；傳統的基于Cap的體制在文獻中被證明與ACL等價，同樣也不適于P2P網絡；基于角色的體制必須依賴于一個安全的信任中心，因而也不適合于P2P網絡。文獻提出了一種分布式系統的基于級別的訪問控制方案，具有無中心點、支持資源的多級授權和對陌生用戶的臨時授權的特點，比較適合P2P網絡。但是如果將文獻所提出的基于級別的訪問控制應用于P2P網絡，還存在以下問題：方案中只有強制訪問控制策略；方案中沒有對訪問權限加以具體區分，因而缺乏靈活性和訪問控制粒度不夠細。

本文針對P2P網絡自身的特點，給出了基于級別的訪問控制在P2P網絡中的具體實現方案。該方案采用證書模型，并根據小費馬定理構造了一套級別密鑰對證書進行監管。將訪問權限分為只讀（r）、讀寫（w）、只寫（a）、執行（e）四級，結合了強制訪問控制策略和自主訪問控制策略，彌補了文獻在靈活性和控制粒度方面的不足。另外本方案繼承了文獻無中心點、支持資源的多級授權與臨時授權的特點，對證書的有效期進行了有效的管理，證書能被及時動態的發放給申請加入的用戶，解決了前面所提到當前的P2P網絡在訪問控制方面面臨的問題。

一、基于級別的訪問控制簡介

基于級別的訪問控制的基本思想是：將用戶和共享資源分別分成n級，當用戶的級別大廠或等于資源的級別時，訪問允許，否則拒絕訪問。將用戶的級別和資源的級別映射到一個統—的偏序集里，并且證明了這樣的偏序集的存在性，給出了構造該偏序集的方法。

今U={u1，u2，…un}表示用戶的集合，R={r1，r2，…，rn}表示資源的集合，U（ri）表示可以訪問資源ri的用戶的集合，R（ui）表示用戶ui可以訪問的資源的集合，則用戶的級別和資源的級別滿足以下幾條基本原則：

1） ui≤t·uj，當且僅當R（ui） R（uj）。2）ri≤Rrj，當且僅當U（ri）R（rj）

3）ui≡t·uj，當且僅當R（ui）=R（uj）。

ri≡Rrj，當且僅當U（ri）=U（rj）

其中“≤”和“≡”是以對級別高低的比較。

二、基于級別的訪問控制在P2P網絡中的實現

1、級別劃分

根據用戶信譽的高低將用戶分為n級。信譽值t∈[0，1]，將[0，1）區間分為n段，每一段對應一個級別。為了表達方便，記第i級用戶的集合為Ci，最高級別的用戶集合記為Cn。Cn中的信譽最高的用戶記為U。

2、訪問控制策略的制定（1）強制訪問控制策略

各個用戶根據共享資源的重要度和敏感度將自己的共享資源分為n級，記第i級資源的集臺為Ri，規定每一級用戶對每一級資源的訪問權限。強制訪問控制策略分為基于完整性和基于機密性兩種。本文以基于秘密性的強制訪問控制策略為例來說明強制訪問控制策略的制定?；跈C密性的強制訪問控制策略滿足兩條原則：NO-READ-UP（不向上讀）和NOWRITE-DOWN（不向下寫）。

（2）自主訪問控制策略

本方案中，自主訪問控制策略主要針對訪問客體（被訪問的對象）已知的訪問主體（發起訪問請求的用戶）。如果訪問客體對訪問主體沒有任何了解，訪問客體只能根據訪問者的級別和強制訪問控制策略來限制其訪問權限。而對已知的訪問主體（包括可信用戶和惡意用戶），訪問客體就可以根據自己的意愿放大或縮小其訪問權限。

3、證書的頒發

1）證書的結構，如下所示。

級別一—證書的等級，用整數i表示，1≤i≤n。

用戶名——該證書要發放的用戶的名稱。

發行者一—發行該證書的用戶的名稱，該項需經發行者簽字。

有效期——證書的發行時間和到期時間，不同級別對應不同長度的有效期。

Check=f（級別，用戶名，有效期，種子），其中種子為比證書級別高一級的級別密鑰，最高級別的證書例外，f是一個單向Hash函數。

2）最高級別的用戶自己產生自己的證書，種子用自己的級別密鑰，然后再頒發次級用戶的證書，次級用戶頒發再次級用戶的證書，這樣遞歸下去。

4、訪問控制的實現

1）訪問主體Si向訪問客體（）j發出訪問請求：request（c，r，o）；

其中，c為證書；r為請求的權限；o為訪問的目標文件；i為證書的級別。

2） 訪問客體（）j接到請求后，對訪問主體Si的證書進行認證；

如果i

1）檢驗證書的有效期。

2）計算Check=f（級別，用戶名，有效期，種子）值，并與請求中的證書的Check值比較，看是否相等，如果相等視為有效證書，否則視為無效，直接駁回請求。

如果i≥j，即訪問主體Si的級別不低于訪問客體（）j的級別，則（）j向i級別以上的用戶發出認證請求，即請求高級別用戶計算Check值，被請求的用戶計算后將結果返回。

5、系統管理

1）臨時授權。當陌生用戶需要使用資源時，或低級別用戶需要以高級別用戶的權限使用資源時，就需要對這些用戶進行臨時授權。臨時授權的方法就是頒發有效期限很短的證書，使這些證書在本次使用以后就失效。

2）添加新用戶。從前述可以看出，第二級以上的所有用戶都可以頒發證書，因而也就可以引入新用戶。為安全起見，引入的新用戶應授予最低級別的證書。

3）用戶的升級。當某個用戶的信譽值達到更高級別用戶的要求時，可以向比自己級別高的用戶申請升級自己的證書。被請求的用戶計算申請者的信譽值，然后判斷是否滿足升級條件。如果滿足升級條件，則更改證書的級別為升級后的級別；將自己的用戶名經簽字替換原證書的發行者；計算Check值替換原證書的Check值，升級完成。

4）權限的撤銷。一般情況下利用證書的有效期就可實現權限的撤銷。對于低級別、動態性高的用戶，把證書的有效期設得短一些；對級別高的、比較固定的用戶的證書的有效期就設得長一些。如果在證書的有效期期間撤銷用戶，可以公布該證書的Check值，當驗證證書的時候，如果發現該證書的Check值被公布撤銷，則拒絕訪問。對于級別比較高的用戶的撤銷，最好更換系統密鑰，因為被撤銷的用戶知道系統的級別比較高的密鑰，對系統的管理會造成很大的麻煩。

三、性能分析

1）級別密鑰的安全性。

2）簡捷的認證證書的方法。

3）訪問控制粒度與訪問速度的折中。

4）無中心點。

5）證書的及時動態的發放。

6）對證書的有效期的管理。

結論：本文提出的基于級別的訪問控制在P2P網絡的實現方案采用證書模型，結合了強制訪問控制策略和自主訪問控制策略，無中心點，支持資源的多級授權和臨時授權，對證書的有效期進行了有效的管理，證書能被及時動態地發放給申請加入的用戶，解決；了前面所提到當前P2P網絡在訪問控制方面面臨的問題。具體動態性、靈活性和訪問控制粒度小等特點，適用于P2P網絡發展的需求。

參考文獻

[1] 侯孟書，盧顯良，周旭，詹川. P2P系統的信任研究[J]. 計算機科學. 2005（04）

[2] 謝鈞，許峰，黃皓. 基于可信級別的多級安全策略及其狀態機模型[J].軟件學報.2004（11）