SOA環(huán)境中的跨域認證方案研究

郭晶晶，馬建峰,2，郭鑫鑫，張濤

（1. 西安電子科技大學網(wǎng)絡(luò)與信息安全學院，陜西 西安 710071；2. 通信信息控制和安全技術(shù)重點實驗室，浙江 嘉興 314033；3. 西安郵電大學計算機學院，陜西 西安 710121；4. 西安電子科技大學計算機學院，陜西 西安 710071 ）

SOA環(huán)境中的跨域認證方案研究

郭晶晶1，馬建峰1,2，郭鑫鑫3，張濤4

（1. 西安電子科技大學網(wǎng)絡(luò)與信息安全學院，陜西 西安 710071；2. 通信信息控制和安全技術(shù)重點實驗室，浙江 嘉興 314033；3. 西安郵電大學計算機學院，陜西 西安 710121；4. 西安電子科技大學計算機學院，陜西 西安 710071 ）

鑒于現(xiàn)在的網(wǎng)絡(luò)越來越復雜，其中，用戶數(shù)量大、服務(wù)類型多、安全機制不統(tǒng)一的特點決定了SOA環(huán)境中異構(gòu)多域的情況，給出了一種基于模糊理論的信任管理方法，并將該方法與證書轉(zhuǎn)換服務(wù)結(jié)合起來提出了一種 SOA環(huán)境中的跨域認證方案，在該方案中，用戶域使用信任管理方法來保證安全性，服務(wù)域結(jié)合信任管理與證書認證來保證安全性，并且用戶可以透明地訪問采用不同底層安全機制的域中服務(wù)，實現(xiàn)安全跨域認證。分析表明，該方案具有安全與普適的優(yōu)勢，可以滿足SOA環(huán)境下身份認證的需求。

SOA；跨域；身份認證；信任管理；模糊理論；證書轉(zhuǎn)換

1 引言

面向服務(wù)的體系結(jié)構(gòu)（SOA, service-oriented architecture）是一種用于根據(jù)需要對資源進行關(guān)聯(lián)的企業(yè)級IT體系結(jié)構(gòu)。這些資源被表示為與業(yè)務(wù)一致的服務(wù)，這些服務(wù)可以參與并包含到價值網(wǎng)、企業(yè)或業(yè)務(wù)線中，以滿足業(yè)務(wù)需求[1]。SOA以服務(wù)作為基本要素，實現(xiàn)分布應(yīng)用的快速、低成本、易于組合的開發(fā)，為了滿足分布應(yīng)用的要求，SOA必須具有技術(shù)的通用性、松耦合及服務(wù)可以組合和重用的特性[2]。在SOA環(huán)境下，由于服務(wù)通常分布在不同的安全域中，因此，為了防止未授權(quán)客戶訪問和使用這些服務(wù)，不僅要對請求者的身份進行認證，而且還涉及跨域身份認證（cross domain authentication）的問題。當用戶跨域訪問資源時，由于和訪問域的認證服務(wù)器之間不存在事先的信任關(guān)系，因此訪問域的認證服務(wù)器需要聯(lián)合用戶家鄉(xiāng)域的認證服務(wù)器對用戶進行認證[3～6]。SOA環(huán)境中服務(wù)的分散性以及用戶請求的動態(tài)性和頻發(fā)性，決定了SOA中的跨域認證應(yīng)該安全、透明、高效。目前，關(guān)于跨域認證的技術(shù)有很多種，其中有利用聯(lián)盟身份來實現(xiàn)單點登錄，為了建立跨安全域的身份認證系統(tǒng)，參與的安全域之間需要建立信任關(guān)系，構(gòu)成一個聯(lián)盟（federation），由此建立聯(lián)盟身份（federated identity），如WS-Federation[7]和Liberty Alliance[8]；SAML[9]在基于標準的單點登錄基礎(chǔ)設(shè)施方面也有舉足輕重的地位，業(yè)內(nèi)主要廠商使用它來支持單點登錄和安全基礎(chǔ)設(shè)施之間的互操作性；傳統(tǒng)的身份認證協(xié)議Kerberos[10]等也具有跨域身份認證的能力。

然而，上文提到的這些技術(shù)或協(xié)議完成跨域身份認證的前提都是它們只為具有相同的底層安全機制的安全域提供服務(wù)。為了在盡可能大的范圍內(nèi)使用戶可以無障礙地訪問服務(wù)，采用不同底層安全機制的安全域間的互操作性就變得非常重要。

Mello等在文獻[11]中提出了一種SOA環(huán)境下的基于證書翻譯（credential translation service）的身份認證模型，該模型允許身份認證在不同的安全機制之間進行，可以為一個包含了不同類型的證書的聯(lián)合環(huán)境提供認證。其中指出一個服務(wù)域的安全令牌服務(wù)（STS，security token service）接收到一個SAML認證斷言后，它會請求客戶域的STS為這個認證提供附加消息，使它可以評估該斷言的信任級別，然而由于文中只考慮了用戶域所提交的附加消息作為直接信任，而沒有考慮到推薦信任等因素，因此并不能全面地評估認證的信任級別；同時，在客戶域的 STS向服務(wù)域的STS發(fā)送附加消息時也沒有考慮到服務(wù)域的可信性。

為此，本文在文獻[11]的基礎(chǔ)上結(jié)合了信任管理機制，即在每一個安全域中都有一個信任代理，其作用就是通過對安全域之間直接的交互行為歷史和間接的經(jīng)驗推薦等信息來建立各個域之間的信任關(guān)系，并提供信任監(jiān)測、評估、存儲、查詢和更新等服務(wù)。新模型將用戶身份信息與行為信息結(jié)合起來，使認證結(jié)果具有更高的可信性；同時，它比完全基于信任理論的模型計算量更少、更簡潔。因此更能滿足SOA環(huán)境的實際需要。

2 基于證書翻譯的身份認證模型

文獻[11]中介紹了一種證書翻譯的思想，提出了一個主體的身份認證證書可以在采取不同安全技術(shù)（如X.509、SPKI/SDSI）的多個域之間透明地進行翻譯。該模型還支持用戶屬性的傳遞。該模型的整體框架如圖1所示。由于本文的討論范圍只是身份認證，因此，授權(quán)服務(wù)模塊的細節(jié)并未給出。

在圖1中，安全令牌服務(wù)、身份提供者（IDP, identity provider）、屬性/假名服務(wù)（APS, attribute/pseudonym service）以及證書翻譯服務(wù)（CTS, credential translation service）是完成跨信任域身份認證的主要實體，這些實體的主要功能如下。

1) 安全令牌服務(wù)及身份提供者。STS/IDP用于建立信任關(guān)系，進而形成一個聯(lián)合環(huán)境。STS之間存在的信任關(guān)系，使一個域發(fā)布的斷言可以在其他域中得到有效使用。為了達到該目的，STS接收到一個SAML認證斷言，它會請求客戶域的認證權(quán)威為這個認證提供附加消息，使它可以評估該斷言的信任級別。

圖1 基于證書翻譯的跨域認證框架

2) 證書翻譯服務(wù)。CTS的目的在于從一個SAML認證斷言中抽取信息，來組成一個新的認證證書使其可以被CTS所在域內(nèi)的實體理解。該功能確保用戶和服務(wù)提供者保持自己的安全特性，CTS將一種機制的屬性翻譯為另一種機制的屬性。

3) 屬性/假名服務(wù)。APS用于為用戶提供屬性與假名，每一個信任域中的APS都應(yīng)該提供一個屬性標準，在一個聯(lián)合環(huán)境中使用。目前許多研究工作已經(jīng)著眼于為一個聯(lián)合環(huán)境定義一個標準的屬性集。目前，大約有40個屬性已經(jīng)被定義了并且作為普通身份屬性（commonidentity attributes）。假名服務(wù)是為用戶提供假名，實現(xiàn)匿名認證，保證用戶的隱私。

該模型通過以下的工作流程來完成跨域身份認證。在圖1中，假設(shè)有客戶域P1和服務(wù)域P2，當P1中的客戶U需要訪問P2中的某服務(wù)S時：①客戶U首先向P1中的STS服務(wù)發(fā)送認證請求；②如果有需要，STS向假名服務(wù)索取用戶假名；③STS為客戶U生成證書并將證書發(fā)給客戶U；④客戶U發(fā)出訪問外域服務(wù)提供商SP2的請求并將自己的證書轉(zhuǎn)發(fā)至 P2；⑤請求被授權(quán)服務(wù)截獲，授權(quán)服務(wù)將用戶的證書傳遞給P2的安全令牌服務(wù)STS2，STS2對用戶的證書進行認證；⑥如果該登錄憑證與域P2采用的是不同的認證機制，則需要進行證書翻譯；⑦由于在證書翻譯過程中，證書翻譯服務(wù)還需要一些關(guān)于客戶的其他屬性以便生成完整的證書，此時STS2需要向STS1索取用戶的其他屬性信息；⑧STS2對其可以理解的用戶證書進行認證并將結(jié)果用SAML斷言的形式發(fā)送給授權(quán)服務(wù)模塊進行后續(xù)的處理。

3 信任管理方案

信任是一個常見但相當復雜的現(xiàn)象，其內(nèi)涵十分豐富。它最初為心理學概念，但近年來信任逐步被用于安全技術(shù)中，目前，信任管理已經(jīng)成為國內(nèi)外研究的熱點。例如由歐盟贊助的SECURE（secure environment for collaboration among ubiquitous roaming entities）[12]項目、斯坦福大學Kamvar等[13]提出的P2P全局信譽系統(tǒng)Eigentrust等?；谛湃味鹊男湃喂芾砟Ｐ蛷男湃蔚闹饔^性入手，使用數(shù)學的方法評估信任意向。實體根據(jù)收集到的所有相關(guān)信息，包括對被評估實體的行為觀察、與被評估實體的交互記錄以及其他個體的意見等，利用適當?shù)挠嬎隳Ｐ屯茖С鲂湃味取?/p>

眾多研究者已經(jīng)開展了關(guān)于信任建模、推理等問題的研究，并取得了一定成果。Beth模型[14]將信任問題分為了直接信任與推薦信任兩類，使用了概率論描述和評估信任度，并給出了信任度的計算方法，但他沒有考慮到惡意推薦的情況。

Song等[15]提出了用模糊邏輯表示信任度，建立了信任的模糊推理規(guī)則。相對精確的數(shù)學模型，模糊邏輯可以更好地體現(xiàn)出信任的模糊性與不確定性。但該模型僅考慮了任務(wù)成功率和入侵防御能力這2個因素，忽略了第三方的推薦等因素，因此也具有一定局限性。本文在分析上述方案的基礎(chǔ)上，建立了一種基于模糊理論的信任管理方案。

3.1 信任的定量描述

Zadeh[16]首先提出了模糊理論。模糊理論將數(shù)學研究的對象擴大到質(zhì)與量統(tǒng)一的對象和具有模糊性的概念。

定義1 設(shè)論域為非空集合X，x為X中的元素，對任意的x∈X給定了如下映射

則稱由序偶組成的集合 A={(x|μA(x))},?x∈X為X上的模糊子集合（簡稱模糊集合）。稱μA(x)為x對A的隸屬函數(shù)（也可表示為A(x)）。對某個具體的x而言，稱μA(x)為x對A的隸屬度。

X上的一切模糊集的集合記為A(X)。

用主體對各 Tj的隸屬度所構(gòu)成的向量來描述主體的信任度更符合主體信任的實際情況。所以，本文中x0對xi的信任度可以用信任向量V={v0, v1,…,vm}來表示，其中vj表示xi對Tj的隸屬度。

本文在論域U=[0,1]上定義4個模糊子集，分別是模糊集T1表示“不信任”、模糊集T2表示“有點信任”、模糊集 T3表示“比較信任”和模糊集T4表示“非常信任”。下面設(shè)計了這4個模糊子集的隸屬函數(shù)。其中，T1與T4采用Z型隸屬函數(shù)，T2與T3采用梯形隸屬函數(shù)。

3.2 信任關(guān)系的表示及傳遞

本文同時考慮了2種信任方式：直接信任和推薦信任。文獻[17]提出了一種比較直觀的信任關(guān)系的表示及傳遞方法。本文以此為基礎(chǔ)，定義了直接信任和推薦信任的表示及傳遞方法。如果Alice信任Bob，那么Alice與Bob之間存在一個直接信任關(guān)系；如果Alice信任Bob給她的關(guān)于其他對象的信任值（trustworthiness），那么Alice與Bob之間存在一個間接信任關(guān)系。本文提出的信任度模型中假設(shè)信任關(guān)系是有向的，即在2個實體間互相存在信任關(guān)系，但這2個信任關(guān)系被看作2個獨立的信任關(guān)系。

圖2所示的是信任代理中的存儲信息。每個信任域中的信任代理都存儲著3個表，分別是交易信息表、待考察列表與黑名單。交易信息表中存儲著該信任域最近t次交易的對象域的標識以及對其的信任度；待考察列表中存儲著該信任代理懷疑其有惡意行為的對象的標識；黑名單中存儲著信任代理認為是完全不可信的域的標識。

每個信任代理都可以發(fā)出信任請求消息，也可以生成信任響應(yīng)消息，還可以生成惡意實體通知消息。這些消息的結(jié)構(gòu)如下所示。

信任請求消息結(jié)構(gòu)為：[RequesterID, TargetID, RequestID, Expiry]，其中，RequesterID為該消息發(fā)出者的標識；TargetID為將要對其進行信任評

估的信任域的標識；RequestID為該消息生成的唯一的標號；Expiry為該消息的有效期，每一個信任請求消息都有一個有效期，當時間超過該有效期后，該信任請求消息將失效。

圖2 信任代理中的存儲信息

信任響應(yīng)消息結(jié)構(gòu)如下。

1) 直接推薦（即A向B請求其對C的信任評估，B將其對C的信任評估告訴A）

該信任方式下的消息結(jié)構(gòu)為：[RecommenderID, requested, TrustValue, Time]，其中，RecommenderID為該消息的產(chǎn)生者的標識；requestID為該響應(yīng)消息對應(yīng)的請求中的 requestID；TrustValue表示RecommenderID對與該響應(yīng)對應(yīng)的信任請求消息中TargetID的信任度，在3.1節(jié)中已經(jīng)說明信任度用信任向量來表示，因此 TrustValue為一個信任向量；Time表示 TrustValue的生成時間，如果TrustValue生成的時間太久，那么該TrustValue將被視為無效。

2) 間接推薦（即推薦的推薦，B把其他實體對C的信任評估告訴A）

該結(jié)構(gòu)是一個嵌套結(jié)構(gòu)，下面的消息為一層嵌套的格式

[RecommenderID, requestID, [RecommenderID',requestID', TrustValue',Time'], TrustValue, Time]其中，[RecommenderID', requestID', TrustValue', Time']為RecommenderID'對消息標號為requestID’的信任請求消息中的TargetID發(fā)送的信任響應(yīng)。

惡意實體通知消息結(jié)構(gòu)為：[RecommenderID, TargetID,Time]，其中，RecommenderID為該消息生成者的標識；TargetID為惡意實體的標識；Time為該通知生成的時間。

圖3 推薦信任網(wǎng)絡(luò)結(jié)構(gòu)

下面給出信任傳遞算法與一個簡單的例子，如圖3所示，該算法考慮了實際情況下的各種信

任類型，包括直接信任與推薦信任，并給出一個防止惡意推薦行為與減少某些安全域提供惡意服務(wù)的機制。

算法 信任傳遞算法

初始條件：信任域T1的信任代理Agent.T1需要對信任域T2進行信任評估。

輸出：Agent.T1得到關(guān)于T2的直接信任與間接信任消息。

1) Agent.T1查找自己的交易信息表，如果Agent.T1的交易信息表中有T2的信息，那么取出其對T2的直接信任值。

2) Agent.T1向在其交易信息表中除了T2以外的（如果該表中存在T2）其他信任域的信任代理發(fā)送請求消息[Agent.T1, T2, requestid, expiry]。

3) 當某一信任域Tk收到信任請求消息后，查看該信息的有效期，若該消息未過期：

①如果Agent.Tk的交易信息表中存在T2（即Tk對T2有直接信任關(guān)系），那么向其前驅(qū)信任域返回響應(yīng)消息[Agent.Tk, requestid, TrustValue, Time]；

②Agent.Tk向其交易信息表中除 T2以外的信任域發(fā)送信任請求消息[Agent.Tk, T2, requestid',expiry]，請求其返回對T2的信任度。

4) 當某一信任域Ts（s不等于1）收到其他域?qū)ζ浒l(fā)出的信任請求的響應(yīng)[Agent.Tx, requestid',TrustValue']后，Agent.Ts將響應(yīng)[Agent.Ts, requestid, [Agent.Tx, requestid', TrustValue', Time'], TrustValue,Time]發(fā)送給其前驅(qū)信任域。

5) 當時間過了expiry，Agent.T1將不再等待信任響應(yīng)消息，它將根據(jù)已經(jīng)得到的對T2的信任消息對其進行信任評估，若它沒有得到任何 T2的信任消息，那么它就暫且認為T2是可信的，同時將其對T2的信任度設(shè)為最具模糊性的0.5，即它對T2的信任向量為＜0,0.78,1,0.46＞。

6) 每次2個信任域Tx與Ty交易完成后，參與方的信任代理都對對方做出一個主觀信任評價，如果Tx對Ty評估的信任向量低于Tx設(shè)定的某一信任下界，那么就將Ty與對其做出高級信任推薦的域都列入待考察列表中，當一個信任代理收到了其他信任代理發(fā)來的惡意實體通知消息后，也會將該消息中的惡意實體加入該表中，如果一個域已經(jīng)在該列表中，那么將其在列表中對應(yīng)的參數(shù)加1，當某個域?qū)?yīng)的參數(shù)達到p時，就將其視為完全不信任對象列入黑名單中，此外，Tx還向其交易信息表中的信任域代理發(fā)送消息通知它們Ty不可信，甚至在一些情況下還可以對Ty的行為訴諸法律作為懲罰。這一機制主要的作用是防止惡意推薦行為，并且當發(fā)現(xiàn)惡意服務(wù)后做出懲罰來減少某些服務(wù)做出惡意行為的可能。

下面針對本文中的信任管理方法給出一個簡單的例子，在本文后面進行信任值計算時也以此為例。在實際環(huán)境中，不同信任代理間的推薦關(guān)系構(gòu)成了一個推薦網(wǎng)絡(luò)，如圖3所示。

在圖3所示的無向圖中，頂點表示信任域Ti的信任代理，2個頂點間有連線表示它們之間存在某種信任關(guān)系，即與某一頂點相連的頂點都在該頂點的交易信息表中。圖3左邊3個表格分別是T1的信任代理的交易信息表、待考察列表和黑名單，上方與右邊的表格分別是T3和T5的信任代理的交易信息表?，F(xiàn)在假設(shè)信任域T1需要對信任域T11進行信任評估，那么根據(jù)信任傳遞算法，整個信任傳遞的過程如下。

1) T1-＞T2、T5、T9

[Agent.T1,T11, rrqT101, 20120428164213]

2) T5-＞T1

[Agent.T5,rrqT101,＜0,0,0,1＞,20120412231343]

3) T5-＞T3

[Agent.T5,T11,rrqT501,20120428164208]

4) T3-＞T5

[Agent.T3,rrqT501,＜0,0.22,0.75,0.85＞,201204 07102309]

5) T5-＞T1

[Agent.T5,rrqT101,[Agent.T3,rrqT501,＜0,0.22, 0.75,0.85＞,20120407102309],＜0,0.56,1,0.62＞,2012 0428164210]

3.3 信任值的計算及信任關(guān)系決策

目前，在有關(guān)的模糊數(shù)學文獻中，多數(shù)都采用 Zadeh算子∧和∨作為模糊算子來進行分析和討論。但這對算子的缺點是比較粗糙，丟失的信息太多。對此，人們相繼提出了多種新的廣義模糊算子[18]。本文選擇Einstein算子作為模糊算子。

定義2 設(shè)模糊集合 A, B ∈ F( x)，則Einstein算子和的定義如下。

其中，A(x)和B(x)分別表示xX∈對模糊集合A、B的隸屬度。

在信任的形式化推導過程中，需要對信任向量進行運算。本文定義了 2種信任向量的運算∶連接運算()?和合并運算()⊕。

定義3 設(shè)有信任向量

則

屬于連接關(guān)系的2個信任向量通過連接運算得到合成信任向量；屬于并聯(lián)關(guān)系的2個信任向量通過合并運算得到合成信任向量。若某信任代理得到了對其他信任域的綜合信任向量，那么最后利用最大隸屬原則決定該信任域的信任度隸屬于論域中的哪個模糊集。

現(xiàn)在以圖3中的例子來說明信任度的計算方法，信任域T1的信任代理Agent.T1收到3.2節(jié)最后列出的消息2)和5)。

[Agent.T5,rrqT101,＜0,0,0,1＞,20120412231343]；

[Agent.T5,rrqT101,[Agent.T3,rrqT501,＜0,0.22, 0.75,0.85＞,20120407102309],＜0,0.56,1,0.62＞,2012 0428164210]。

那么，Agent.T1就可以利用前面提到的2種運算得到其對T11的綜合信任值，T1與T11之間的信任網(wǎng)絡(luò)如圖4所示，信任度向量V1、V2、V3以及V4分別表示其對應(yīng)信任關(guān)系（圖4中對應(yīng)的有向邊）中信任評估者對被評估者的信任度。例如，V1表示Agent.T1對T5的信任度，可以看出，V3與V4屬于連接關(guān)系，V2與V3、V4屬于并聯(lián)關(guān)系，以此類推。下文中出現(xiàn)的V5與V6都是計算信任度過程中的中間量，V7表示Agent.T1對T11的信任向量。

圖4 T1與T11之間的信任網(wǎng)絡(luò)

Agent.T1計算其對T11的綜合信任向量的步驟如下。

最后得到的V7就是Agent.T1對T11的信任向量，根據(jù)最大隸屬原則得出Agent.T1對T11的信任度隸屬于模糊集T4，即非常信任。Agent.T1就可以根據(jù)其設(shè)置可信界限來判斷其對T11的信任決策是否屬于可信范圍，若是，則雙方可以繼續(xù)進行交互。

4 基于證書翻譯與信任管理的跨域身份認證方案

4.1 系統(tǒng)結(jié)構(gòu)

如圖5所示，系統(tǒng)包括2個安全域P1和P2，相較于第2節(jié)中Mello等提出的身份認證模型，該模型中的每個域中多了一個信任代理服務(wù)，通過對實體之間直接的交互行為歷史和間接的經(jīng)驗推薦等信息來建立各個域之間的信任關(guān)系，同時STS服務(wù)只需要完成認證權(quán)威的功能即可，不需要再根據(jù)客戶域發(fā)來的附加消息來主觀判斷客戶域的信任級別。

基于已建立的信任關(guān)系，域之間的認證權(quán)威基于標準的認證斷言協(xié)議實現(xiàn)訪問者身份的傳遞，將源信任域內(nèi)的身份信息映射到本地信任域，同時獲取必要的主體屬性信息供授權(quán)服務(wù)使用，最終實現(xiàn)跨域安全互操作。

4.2 方案設(shè)計

每個安全域中的用戶U都事先在STS/IDP處進行注冊，STS/IDP中為用戶建立身份信息。當用戶需要訪問某域內(nèi)的資源時，用戶所在域的

STS/IDP服務(wù)直接驗證用戶的身份。當用戶需要訪問的資源與用戶不在同一個域時，就需要進行跨域身份認證。加入了信任管理的基于證書轉(zhuǎn)換服務(wù)的跨域身份認證流程主要包括：用戶域?qū)Ψ?wù)域的信任評估、用戶域內(nèi)身份認證、服務(wù)域?qū)τ脩粲虻男湃卧u估、服務(wù)域?qū)τ脩羯矸葸M行認證。

當P1中的用戶U需要訪問P2中的服務(wù)時，P1的信任代理首先需要對 P2進行信任評估，Agent.P1采用第3節(jié)中的信任計算方法計算其對P2的綜合信任向量，并判斷對P2的信任度隸屬于哪個模糊集，如果Agent.P1認為該模糊集中的對象是可信的，可以與其進行交易，那么就開始進行域內(nèi)身份認證，否則，Agent.P1會阻止用戶訪問該服務(wù)。

用戶向其所在域的STS1/IDP1提出身份認證請求（圖5中第1步），如果有需要的話STS1向假名服務(wù)索取用戶假名（圖5中第2步），STS1為客戶U生成證書并將證書發(fā)給客戶U，完成域內(nèi)身份認證后，用戶將證書發(fā)送至服務(wù)所在域P2請求訪問P2中的服務(wù)（圖5中第4步）。

P2收到U的請求后，Agent.P2需要對P1進行信任評估，步驟與Agent.P1對P2的評估步驟相同，如果P2最終認為P1可信，那么P2中的授權(quán)服務(wù)截獲該用戶的證書將其轉(zhuǎn)發(fā)給 P2的 STS2/IDP2，如果該登錄憑證與域P2采用的是不同的認證機制，則進行證書翻譯，之后的認證流程與第2節(jié)中描述的流程相同。

圖5 跨域認證模型

5 方案分析

5.1 安全性分析

1) 雙向安全

文獻[11]中服務(wù)域只依賴證書來認證客戶，沒有考慮到用戶的安全性，如果用戶在不知情的情況下訪問了惡意實體，那么用戶的安全就得不到保證。該方案在每個域中都設(shè)計了信任代理，客戶所在域與服務(wù)所在域的信任代理都會在與對方交互前對對方進行信任評估，如果信任代理認為信任評估結(jié)果是不可信的，那么信任代理會終止認證過程，因此，用戶域與服務(wù)域會在信任對方的前提下進行交易，從而保證了雙方的安全性。

2) 信任管理與證書認證雙重安全

從服務(wù)域的角度來看，首先服務(wù)域的信任代理會對客戶域做信任評估，在評估結(jié)果允許雙方繼續(xù)交互的情況下才繼續(xù)交互，接下來才根據(jù)用戶證書對用戶進行身份認證，而信任評估是根據(jù)用戶域的歷史行為等因素進行的，因此該方案中同時考慮了用戶的身份信息（證書）與行為信息

（信任評估），使服務(wù)域的安全得到了雙重保障。

3) 減少惡意實體提高安全性

文中提出的信任管理方案中惡意實體通知消息使信任代理可以將其發(fā)現(xiàn)的惡意實體告知其他實體，當某實體被發(fā)現(xiàn)的惡意行為達到某一上限時，該實體就會被列為黑名單，甚至訴諸法律來懲罰惡意實體，這一懲罰機制可以在一定程度上減少實體進行惡意行為的意愿，從而提高了整個環(huán)境的安全性。

5.2 通用性分析

由于第4節(jié)提出的方案結(jié)合了信任管理與證書轉(zhuǎn)換機制，而每個信任代理采取的是相同的信任管理方案，因此信任管理機制可以在各個信任代理之間通用，證書轉(zhuǎn)換機制使采用不同安全機制的域之間可以完成身份認證，因此最大程度地擴大了用戶訪問服務(wù)的范圍，因此該方案不會降低文獻[11]中方案的通用性。

6 結(jié)束語

在多安全域的SOA環(huán)境下，跨域認證面臨更多的安全問題。本文設(shè)計了一種信任管理方法，并將該方法與證書轉(zhuǎn)換機制結(jié)合起來形成了一種新的SOA環(huán)境下的跨域認證模型。該模型結(jié)合了信任管理與證書轉(zhuǎn)換的優(yōu)勢，使跨域身份認證在保證了最大范圍內(nèi)成功的基礎(chǔ)上，具有了現(xiàn)實世界中人與人交互的模糊性與動態(tài)性，并且同時考慮了用戶的身份信息與行為信息，提高了認證安全性與可信性。

[1] [EB/OL].http://www.ibm.com/developerworks/cn/webservices/ws-soaenterprise1/.

[2] 蔡希堯.信息系統(tǒng)的發(fā)展與創(chuàng)新[M]. 西安：西安電子科技大學出版社, 2011. CAI X Y. Development and innovations of information systems[M].Xi’an: Xidian University Press, 2011.

[3] YAO L, WANG L, KONG X W, et al. An inter-domain authentication scheme for pervasive computing environment[J]. Computers and Mathematics with Applications, 2010, 59(2):811-821.

[4] SINGH N, CHHABRA G, SINGH K P, et al. A secure authentication scheme in multi-operator domain (SAMD) for wireless mesh network[C]//The International Conference on Data Engineering and Communication Technology. 2016: 343-357.

[5] KHEDR W I, ABDALLA M I, ELSHEIKH A A. Enhanced inter-access service network handover authentication scheme for IEEE 802.16m network[J]. IET Information Security, 2015, 9(6): 334-343.

[6] YAN J, LU Y, LIU Y, et al. Research on beidou-based inter-domain identity authentication for mobile object[C]// 2014 IEEE Workshop on Advanced Research and Technology in Industry Applications (WARTIA). 2014: 923-926.

[7] Web service federation language (WS-Federation) version1.0 [EB/OL].http://www.pdfdrive.net/web-services-federation-language -ws-federation-version-1-e3427173.html.

[8] Liberty alliance project. Liberty architecture overview v1.1[EB/OL]. http://www.projectliberty.org/specs/liberty-architecture-overview-v 1.0.pdf.

[9] OASIS. Security assertion markup language v2.0[S]. 2005.

[10] RFC 1510. The kerberos network authentication service(V5)[S].

[11] MELLO D E R, WANGHAM M S, SILVA DF J. Model for authentication credentials translation in service oriented architecture[J]. Transactions on Computational Sciences Journal, 2009, 5430: 68-86.

[12] CAHILL V, GRAY E, SEIGNEUR J M, et al. Using trust for secure collaboration in uncertain environment[J]. Pervasive Computing, IEEE 2003, 2:52-61.

[13] KAMVAR S, SCHLOSSER M, GARCIA-MOLINA H. The eigentrust algorithm for reputation management in P2P networks[C]//The 12th International Conference on World Wide Web. 2003:640-651.

[14] BETH T, BORCHERDING M, KLEIN B. Valuation of trust in open networks[C]//The European Symposium on Research in Security (ESORICS). 1994: 3-18.

[15] SONG S, HWANG K, MACWAN M. Fuzzy trust integration for security enforcement in grid computing[J]. Network and Parallel Computing, 2004, 3222:9-21.

[16] ZADEH L A. 模糊集合、語言變量及模糊邏輯[M]. 北京:科學出版社, 1982:23-33. ZADEH L A. Linguistic variable and fuzzy logic[M]. Beijing: Science Press, 1982:23-33.

[17] ALFAREZ A R, HALLES S. A distributed trust model[C]//New Security Paradigms Workshop Langdale. 1997.

[18] 汪培莊, 李洪興. 模糊系統(tǒng)理論與模糊計算機[M].北京:科學出版社,1996:219-243. WANG P Z, LI H X, Fuzzy system theory and fuzzy computer[M]. Beijing: Science Press, 1996:219-243.

郭晶晶（1988-），女，陜西榆林人，博士，西安電子科技大學講師，主要研究方向為網(wǎng)絡(luò)安全、身份認證、信任管理。

馬建峰（1963-），男，陜西西安人，博士，西安電子科技大學教授、博士生導師，主要研究方向為信息安全、編碼理論以及密碼學。

郭鑫鑫（1995-），女，陜西榆林人，西安郵電大學本科生，主要研究方向為信息安全。

張濤（1986-），男，陜西西安人，博士，西安電子科技大學講師，主要研究方向為信任管理、社交網(wǎng)絡(luò)、Web服務(wù)以及信息安全。

Study of cross-domain identity authentication in SOA environment

GUO Jing-jing1, MA Jian-feng1,2, GUO Xin-xin3, ZHANG Tao4
(1. School of Cyber Engineering, Xidian University, Xi’an 710071, China; 2. Science and Technology on Communication Information Security Control Laboratory, Jiaxing 314033, China; 3. School of Computer, Xian University of Posts and Telecommunications, Xi’an 710121, China; 4. School of Computer, Xidian University, Xi’an 710071, China)

For the network nowadays becoming more and more complex, the SOA environment has the properties of heterogeneous and multiple domain. A trust management scheme was proposed based on the fuzzy theory, and a cross-domain identity authentication in SOA was constructed by the combining of the trust management scheme with the credential transform service. During the authentication, a user’domain used the trust management scheme to guarantee its security, and the service provider’s domain used both the trust management and credential to ensure its security. Furthermore, the credential transform made users can access services in the domains whose security mechanism was different from the users’. It is shown that the proposed authentication scheme has superiority in both security and pervasive, and is suitable for the SOA environment.

SOA, cross-domain, identity authentication, trust management, fuzzy theory, credential transform

TP309

A

10.11959/j.issn.2096-109x.2016.00111

2016-09-16；

2016-10-20。通信作者：郭晶晶，jjguo@xidian.edu.cn

國家自然科學基金資助項目（No.61602360, No.61602365）；國家高技術(shù)研究發(fā)展計劃（“863”計劃）基金資助項目（No.2015AA017203, No.2015AA016007）；促進海峽兩岸科技合作聯(lián)合基金資助項目（No.U1405255）

Foundation Items: The National Natural Science Foundation of China (No. 61602360, No.61602365), The National High Technology Research and Development Program (863 Program) (No. 2015AA017203, No.2015AA016007),The Key Program of NSFC (No. U1405255)