王淑平， 陈宏伟， 熊 磊

(湖北工业大学计算机学院， 湖北 武汉 430068)

在互联网日益扩大及复杂的同时，如何在陌生网络实体之间建立跨安全域的信任关系是一个值得研究的领域．自动信任协商(Automation Trust Negotiation，ATN)的提出为解决该问题提供了一种较为有效的方法．

1 自动信任协商

自动信任协商是指通过迭代地交互披露信任证、访问规则，使得资源的请求方和提供方自动地建立信任关系[1-2]．在一般的自动协商模型中，存在两个对等实体，其中一方称之为Server方，是资源拥有方或服务提供方；另一方被称之为Client方，是资源的请求方或服务请求方．由于在陌生域，协商双方都认为对方不是完全可信的，敏感的服务或信息需要经过一定的协商建立信任后才能访问．在研究自动信任协商的过程中，基于信任证书属性的信任协商和基于信任证可信度的信任协商是其两种研究方法[3-4]．

2 基于着色Petri网的ATN模型

基于信任证书属性的信任协商交互性直观，但在证书敏感属性上的保护不足，效率不高．基于信任证书可信度的信任协商隐藏了证书的相关属性，采用证书可信度指数，使得模型交互直观度降低，但模型简单，保护证书敏感属性和效率方面相对较好[5]．本文将两者结合起来，构成一个<证书集，可信度>二元组，结合着色Petri网中colored这一概念，将着色Petri网引入到自动信任协商中来，提出一种新的模型:着色协商Petri网．

2.1 着色协商Petri网

着色协商Petri网是一个6元组Σ=(P,T;A,C,F,M0)，其中P表示协商双方Server和Client各自持有的证书及其可信度元组；T表示信任证之间的运算关系；A表示信任双方协商机制对应的P和T之间的流关系；C称为颜色集；F是个阙值函数；M0表示网Σ的初始标识．网系统中只存在库所和变迁或者变迁和库所之间的流关系，库所到变迁之间的流关系表示∧运算，变迁到库所之间的流关系表示∨运算．

对于p∈P，若M(p)=k，表示库所p中有k个托肯，当且仅当∀p∈*t有M(p)F(p,t)，其中F(p,t)是库所p到变迁t的有向弧上的阙值函数，则成变迁t∈T在标识M下是使能的，记做M[t>；若t∈T在标识M下是使能的，则变迁t可以触发，在标识M下触发以后，演变到新的标识M′，记作M[t>M′．

2.2 证书披露序列

基于着色Petri网的自动信任协商过程可以认为是找到这样一个安全序列δ=为一个变迁序列，使得若存在M0[t1>M1[t2>,…,Mn-1[tn>Mn，使初始标识M0经过变迁到达标识Mn，则称δ为一个披露序列，记δmin为最优披露序列．如果双方不能建立信任，即不存在披露序列，记做δΦ．

3 构建着色协商Petri网

3.1 析取范式映射到着色协商Petri网

协商过程中的信任证Ci相互披露给对方的过程中，找出一个协商序列使Client方从Server方请求到所需资源或服务．在着色协商Petri网中，需要将协商序列转换成库所与变迁之间的流关系，映射关系见图1．

图 1 析取范式到petri网的映射

2)对于访问的未受到保护的信任证，可以在初始时就直接将TRUE变迁到该库所，即c，见图1(b)；

3.2 着色协商Petri网构建过程

Client方对资源R提供者Server方发出请求后，在基于双方各自访问控制规则的基础上，协商开始进行，即构建着色协商Petri网开始．然后按照如下步骤进行：

Step1：初始网为空网，记做ΣΦ；

Step2：将资源R作为库所加入到网ΣΦ中，作为库所R，将其输出集加入到变迁集中；

Step3：依据对资源R的访问控制规则R←Tk∨Tk+1∨...∨Tm，将此处Tj(k

Step4：对于变迁Tj(k

Step5：重复步骤Step4：，迭代的扩展着色协商Petri网，直至没有新的的访问规则作为库所和变迁加入进来；

Step6：着色协商Petri网构建结束．

4 基于实例的建模与分析

4.1 构建实例模型

基于自动信任协商实例的着色协商Petri网建模，首先要有合理的实例并对其进行形式化处理，然后通过相应的映射规则将信任证件集及资源构建出相应的Petri网模型，最后通过相关的分析工具来对模型进行仿真和修改直到模型完成．

若Server拥有证书集Cs=(S1,S2,S3)及资源R，策略为

PServer={

R←(C1∧C3)∨(C2∧C4)∧(QR=70),

S1←C4∨(C2∧C3)∧(QS2=30),

S2←C2∧(QS2=30),

S3←TRUE

}

Client拥有证书集Cc=(C1,C2,C3,C4)，策略为

PClient={

C1←S1∨S2∧(QC1=25),

C2←S3,

C3←TRUE,

C4←S1∧S3

}

这里，策略中的S3和C3表示这两个信任证是未受保护的信任证，属于公开性的，协商双方可以在协商过程中随时被披露．Qi的值表示访问该信任证所需要达到的阙值，通过同时满足信任证披露及阙值最小值，可以得到最优披露序列．映射如图2所示．

图 2 映射得到的着色协商Petri网模型

4.2 模型实例分析

若有Q(S1,S2,S3)=(25,15,0)和Q(C1,C2,C3,C4)=(25,10,0,35)，同时M0=C3，则有协商序列：1)C3→S1→C1→S3→C2→S2→(C1)→R，其中信任证拥有的可信度总和为：Σq1=85;2)C3→S1→C4→R,其中，Σq2=70;3)C3→S1→C4→S3→C2→R，其中信任证拥有的可信度总和为Σq3=80．

通过上述三种披露信任的方式都可以最终请求到资源R，分析可知，除去未受保护的信任证后，在序列C3→S1→C1→S3→C2→S2→(C1)→R中，协商双方共披露了5个信任证，C1重复披露，且信任拥有的可信度总和达到85．同理，序列C3→S1→C4→R中披露了两个信任证，可信度为70；序列C3→S1→C4→S3→C2→R中披露了3个信任证，可信度为80．从协商效率上来说，显然序列C3→S1→C3→R为本次协商的最佳序列，即最优披露序列．事实上，若从安全性角度出发，序列C3→S1→C1→S3→C2→S2→R虽然要多次披露信任证，但是每个信任证的可信度较低，这在一定程度上也保证了协商中相互披露的安全性．

5 结束语

本文将着色Petri网引入信任策略研究中，提出了一个基于着色Petri网的自动信任协商模型，并给予实例进行合理的建模及分析．文中所做工作可以归结为以下几点：提出着色Petri网的ATN模型，给出了将析取范式映射到着色协商Petri网映射规则，并给出了构建着色协商Petri网的具体步骤；实例建模并加以分析检验．通过实例分析可以看出，将Petri网应用于自动信任协商是可行的，在一定策略中，可以找到最优披露序列．本文后续工作设想将着色协商Petri网模型与博弈思想相结合探讨高效安全的协商策略．

[参考文献]

[1] Anna C. Squicciarini, Federica Paci, Elisa Bertino.Trust establishment in the formation of Virtual Organizations[J].Computer Standards & Interfaces,2011,33(1): 13-23, 2011.

[2] Hemalatha Chandrashekhar, Bharat Bhasker.Quickly locating efficient, equitable deals in automated negotiations under two-sided information uncertainty[J]. Decision Support Systems, 2011, 52(1):157-168.

[3] 李建欣, 怀进鹏, 李先贤. 自动信任协商研究[J]. 软件学报, 2006,17(1):124-133.

[4] 廖振松,金 海,李赤松,等.自动信任协商及其发展趋势[J]. 软件学报, 2006,17(9): 1 933-1 948.

[5] Deqing Zou, Shangxin Du, Weide Zheng, Hai Jin. Building Automated Trust Negotiation architecture in virtual computing environment[J].The Journal of Supercomputing,2011,55(1): 69-85.