CN101541005A - 一种无线自组织网络环境下面向服务的访问控制方法 - Google Patents

Abstract

无线自组织网络环境下面向服务的访问控制方法是为了更好地解决行为异常节点对服务访问控制体制的干扰，特别是针对节点的自私和不合作等异常行为，提出了一种具有节点信任评估的访问控制模型，特别适用于Ad hoc网络环境的保障应用层资源或服务能够被安全访问的控制方法。在网络由于无线链路质量恶化、节点资源匮乏或人为破坏因素等情况而存在故障节点、自私节点、不合作节点和恶意节点时，本发明可以显著提高整个网络访问控制系统的可靠性和稳定性，同时节省网络的能量消耗。相比dRBAC模型，本模型在Ad hoc网络环境下表现出更好的适应能力和自我调控能力。

Description

一种无线自组织网络环境下面向服务的访问控制方法

技术领域

本发明是一种适用于移动Ad hoc网络环境的保障业务层服务或资源能够被安全访问的控制方法。

背景技术

移动Ad hoc网络(Mobile Ad hoc Network，简称MANET)是一种临时自治的分布式系统，具有无中心、自组织、动态拓扑结构变化频繁、节点能源有限、无线信道带宽有限等特征，不依赖于固定主干网或基站便能够快速部署到位，建立起一套完整、强大、高抗毁的网络通信系统，提供有效的数据和多媒体通信服务。Ad hoc网络技术最早起源于20世纪70年代初的美国军事通信领域，但此后Ad hoc网络也受到了学术界和产业界的不断关注，其在民用方面也具有广泛的应用前景。目前Ad hoc网络主要应用在移动会议、家庭网关、紧急服务、传感器网络、个人域网络、军事无线通信以及其他商业应用等领域。随着人们对信息需求的迅猛发展和学术、产业两界的不断钻研创新，Ad hoc网络必将给军、民用产品的开发带来巨大的经济和社会效益。

相对于有固定基础设施的传统无线网络和有线网络，Ad hoc网络具有无中心、自组织、动态拓扑结构变化频繁、有限的无线通信带宽、有限的节点能源以及无线信道完全开放、网络缺乏自稳定性等显著特征。因此，无线移动Ad hoc网络，相对于有线网络和传统无线网络，更易遭受各种攻击和安全威胁。传统的基于密码体系的安全体制主要用于抵抗外部攻击，当Ad hoc网络内部节点被俘获而发生内部攻击时很容易发生信息泄露和资源欺骗，从而整个网络将被控制。这就需要有效机制及时识别被俘获节点，有针对性地采取相应措施以减小整个Ad hoc网络系统的损失。

访问控制技术被认为是对传统的基于密码体制安全措施的有效补充，它的主要任务是保证网络资源不被非法使用和访问，是保证网络安全最重要的核心策略之一。目前主要存在以下几种类型的访问控制技术：

(1)自主访问控制(Discretionary Access Control，DAC)：由客体自主地确定各个主体对它的直接访问权限，通过访问矩阵来描述。自主访问控制有一个明显的缺点就是这种控制是自主的，它能够控制主体对客体的直接访问，但不能控制主体对客体的间接访问(利用访问的传递性，即A可访问B，B可访问C，于是A可访问C)。虽然这种自主性为用户提供了很大的灵活性，但同时也带来了严重的安全问题。

(2)强制访问控制(Mandatory Access Control，MAC)：由授权机构为主体和客体分别定义固定的访问属性，且这些访问权限不能由用户修改。强制访问控制常用于军队和国家等重要机构的网络系统中，例如将数据分为绝密、机密、秘密和一般等几类。它的缺点在于访问级别的划分不够细致，在同级间缺乏控制机制，集中控制力太强，灵活性太差不便管理。

(3)基于角色的访问控制技术(Role-Based Access Control，RBAC)：是对自主控制和强制控制的改进，如图1所示在用户和访问许可权之间引入角色的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系，角色可以根据实际的工作需要生成或取消，而用户可以根据自己的需要动态地激活自己拥有的角色，避免了用户无意中危害系统安全。目前已经出现了一系列的RBAC模型，这些模型的提出在访问控制发展史上具有十分重大的意义。

但是，在实际的分布式应用系统开发中，特别是在像Ad hoc网络这样具有异样特点的分布式系统中，RBAC模型仍面临很多问题，其明显缺陷如下：

(1)由于访问控制信息使用的频率非常高，集中式的用户认证和权限检查，必然加重服务器的负担；

(2)安全性受到服务器本身的安全性的限制，一旦服务器的安全失效，则整个访问控制系统将处于瘫痪之中。

为了减轻分布式环境下角色服务器的负担，同时提高访问控制系统的执行效率，学者们提出了能够适应动态分布式结盟环境的RBAC模型，其中最突出的就是由Freudenthal等人提出的基于角色的分布式访问控制模型(Distributed Role-Based Access Control，dRBAC)。dRBAC模型是特别适用于动态结盟环境的分布式信任管理和访问控制模型，该模型利用公开密钥体系识别服务请求实体的身份和验证代理证书，从而在跨多个实体域的动态结盟环境中实现资源的安全访问控制问题。但直接作为移动Ad hoc网络的访问控制模型方案是有缺陷的。Ad hoc网络具有节点资源有限、无线通信带宽有限、动态拓扑结构变化频繁等特点，所以必须继续采纳dRBAC的思想，针对Ad hoc网络的特别之处，专门设计出适用于Ad hoc网络的分布式RBAC模型。

在dRBAC模型中，授权过程就是证书颁发的过程，授权证书是节点间信任关系的凭证。dRBAC模型具有三种基本的授权形式：

(1)自授权：[subject→A.a]A，颁发节点A把自己定义的角色A.a授权给实体subject，其中subject是一个节点或角色。

(2)委托授权：[subject→A.a]X，颁发节点X把节点A中角色A.a的授权权限授予给实体subject，这样subject就可以通过第三方授权把角色A.a委托给其他实体。其中节点X可以是节点A本身，也可以是其他节点。

(3)第三方授权：[subject→A.a]B，颁发节点B把节点A定义的角色A.a授权给实体subject，其中A和B是不同的节点实体。

在dRBAC的扩展模型中，授权过程增加了约束条件或称为值属性(如委托深度、最大授权节点数等)，只有当约束条件或值属性满足时，授权过程才会成功。

信任链是基于角色的信任管理系统进行服务访问控制的基础，当在网络中建立起dRBAC信任管理系统时，服务访问控制过程就是依据上述三种授权证书在网络中发现一条能够证明某种信任关系的信任链，即信任链发现，以此作为资源所有节点对请求节点进行安全决策的依据。

尽管dRBAC模型提供了一个适用于动态分布式网络环境的信任管理和访问控制机制，且具有用户操作方便、第三方代理、值属性和证书预定等优点，但直接应用于Ad hoc网络中会存在一些缺点和安全隐患。

(1)委托链深度没有控制、委托链会出现循环

dRBAC模型对委托授权的深度没有进行控制，只要实体拥有某个角色的委托权，该实体不仅可以把该角色授权给其他实体，而且可以继续将该角色委托给其他实体。在Ad hoc网络中，这样会带来一些弊端：一是委托链长度无法控制，增加了查找授权证书的复杂性；二是容易产生委托链循环，如图2所示，在信任链查找过程中会出现死循环的安全隐患。

(2)Ad hoc网络中委托节点容易发生协作不可靠，影响访问控制系统的正常运转

由于没有固定的网络基础设施、网络拓扑结构频繁动态变化、无线信道完全开放、网络缺乏自稳定性、节点能源受限等原因，移动Ad hoc网络中的委托授权节点相对于传统网络更易遭受各种攻击，出现链路中断，信息丢失，或为了保存自身能量而做出的自私和不合作等异常行为，从而将会影响到由该委托节点授权的合法节点对服务节点的正常访问。

(3)Ad hoc网络中恶意节点频繁进行非授权访问，进行消耗资源攻击

在Ad hoc网络中节点大都采用电池方式供电，网络的正常运转要受到电源的强大限制。由于节点每次访问服务节点，服务节点都要进行一次信任链的查询操作，如果恶意服务请求节点频繁地访问没有访问权限的服务，那么服务提供节点和其委托授权节点将要消耗大量电能、系统带宽和处理进程用来信任链查询操作，从而干扰到合法节点对服务节点的正常访问，影响整个访问控制系统的性能。

缩略语和关键字

Ad hoc        无线自组织网络

MANET         移动自组织网络            Mobile Ad hoc Network

DAC           自主访问控制              Discretionary Access Control

MAC           强制访问控制              Mandatory Access Control

RBAC          基于角色的访问控制模型    Role-Based Access Control

dRBAC         基于角色的分布式访问控制模型

              Distributed Role-Based Access Control

AATV_RBAC     基于授权代理和信任评估的RBAC访问控制模型

              RBAC based on Authorization Agents and Trust Valuation

发明内容

技术问题：本发明的目的就是为了更好地解决行为异常节点对服务访问控制体制的干扰，特别是针对节点的自私和不合作等异常行为，提出了一种具有节点信任评估的访问控制模型，即一种无线自组织网络环境下面向服务的访问控制方法。

技术方案：移动Ad hoc网络没有固定的网络基础设施、网络拓扑结构频繁动态变化、无线信道完全开放、网络缺乏自稳定性。在这样的网络中，节点之间的相互信任对网络的服务访问控制与安全保障均具有重要的意义。

本发明继续采纳了dRBAC模型关于角色授权的基本思想，但考虑到Ad hoc网络与传统网络的不同以及dRBAC在Ad hoc网络环境中的明显缺陷，本发明对dRBAC模型进行了简化和改进。同时增加了对网络节点的信任评估模块并设计了相应的信任链搜索算法，改善了系统的安全性和稳定性。

在这个模型的信任评估模块中，信任被定义成服务提供节点对活动节点的某个角度的动态评价，同时模型提供了一个合理的方法用于综合直接经验和间接经验。然后服务提供节点将根据若干个信任评估节点提供的关于某个网络节点的信任水平，进行各种相应的授权或除权操作，从而将行为异常节点(故障节点、自私节点、不合作节点和恶意节点等)从网络中孤立起来以鼓励和引导节点执行正常操作。

本发明是一种适用于Ad hoc网络环境保障业务层资源或服务能够被安全访问的控制方法。在网络由于无线链路质量恶化、节点资源匮乏和人为破坏因素等情况而存在异常节点时，本发明可以显著提高整个网络访问控制系统的可靠性和稳定性。

为了达到上述目的，本专利提出了基于授权代理和信任评估的RBAC访问控制模型(RBACbased on Authorization Agents and Trust Valuation，AATV_RBAC)，该模型的技术方案通过以下概念和步骤实现。

安全凭证定义：

安全凭证主要用于授权操作，可分为以下三种形式：

(1)自授权<A→B：A.r>：该凭证表示节点A将自己的角色A.r授权给节点B，A称为凭证签发节点。

(2)代理授权 $<A\&DoubleRightArrow;B:A.r>:$ 该凭证表示节点A将自己的角色A.r代理给节点B，这样节点B不仅可以访问角色A.r定义的服务，而且节点B可以将角色A.r授权给其他节点，A是凭证签发节点，B称为角色代理节点。

(3)第三方授权<B→C：A.r>：该凭证表示节点B作为节点A的代理节点，将角色A.r授权给节点C，B称为凭证签发代理节点。这里第三方授权是在授权(2)的基础上完成的。

(4)惩罚授权<A→B：Ω>：该凭证表示节点A对频繁地访问没有访问权限服务的节点做出的判刑，Ω表示撤销所有角色。

对于上述前三种授权，凭证签发节点将在本地存储器保存授权凭证。在服务或资源被访问过程中，服务提供节点将查询存储在本地和代理节点处的凭证，即信任链查询，来判断访问节点是否具有访问权限，从而保证服务或资源的安全性。对于恶意服务请求节点的频繁非授权访问攻击，服务提供节点将对该节点进行惩罚授权，屏蔽该节点的所有角色，该节点将失去一切访问权限，并从应用层隔离该节点，即该恶意请求节点将成为该服务节点的外部节点。

在AATV_RBAC模型中，有两种类型的信任链：本地信任链(由授权形式1和2产生)和代理信任链(由授权形式3产生)。服务提供节点在处理服务请求之时，就是通过在网络上查找一条本地信任链或代理信任链来实现Ad hoc网络各节点服务或资源的安全访问控制。

信任评估体系

对于某个特定的服务提供节点，AATV_RBAC模型将Ad hoc网络节点分为3类：服务提供节点、授权代理节点和服务请求节点。AATV_RBAC模型中的信任评估体系主要用于评估授权代理节点的代理授权行为和服务请求节点的服务请求行为，其包括信息收集模块、信任评估模块、行为指引模块。信息收集模块主要负责收集节点的一系列动作行为，然后由信任评估模块就这些行为进行量化分析，同时和其他节点的信任系统进行交互，最后得到对应的信任值，由网络行为指引模块分析使用，作出相应的网络行为。

设服务提供节点A定义的角色为a₁、…、a_p，节点A的关于角色a_i(1≤i≤p)的某个代理授权节点记为X。在服务请求的信任链查询操作过程中，服务提供节点A将授权代理节点X的代理授权行为量化为信任链查询总次数RS_A(X)(Request for Search)和成功代理次数SS_A(X)(Success inSearch)。成功代理的含义是节点A在向代理节点X发送信任链查询请求时，在最大时限T_m内，代理节点能够成功返回查询结果供服务请求节点使用，其中失败是由于多方面的原因代理节点未能在T_m内顺利返回查询信息。在节点A中用LRR_A(X)(Local Reputation Record，LRR_A(X)＝SS_A(X)/RS_A(X)∈[0，1])来评价代理节点的代理信誉，当然RS_A(X)值越大，其可信度越高。

因为节点X可以同时是多个服务提供节点的代理授权节点，为了更好地衡量节点X的代理信誉以保障访问控制系统的正常运转，节点A需要向服务提供节点列表SNL(Service Nodes List)中的其他服务提供节点发送信誉信息请求。在得到其他服务提供节点对节点X的信誉评价SS_j(X)和RS_j(X)时，节点A将计算代理节点X的综合信誉ORR_A(X)(Overall Reputation Record)，其公式如下：

${\mathrm{ORR}}_A\left(X\right)=\frac{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{SS}}_j\left(X\right)}{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{RS}}_j\left(X\right)}\&Element;\left[\mathrm{0,1}\right]$ (公式1)

为了防止在SNL中存在提供虚假或片面信誉信息的服务提供节点，引入信任系数TC_A(j)(Trust Coefficient)来衡量节点A对服务节点j的信任水平，公式1应该调整为：

${\mathrm{ORR}}_A\left(X\right)=\frac{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{TC}}_A\left(j\right)*{\mathrm{SS}}_j\left(X\right)}{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{TC}}_A\left(j\right)*{\mathrm{RS}}_j\left(X\right)}$ (公式2)

用TC′_A(j)表示在收到服务提供节点j的新的关于代理节点X的信誉信息前节点A对节点j的信任水平，其中在最初阶段设置TC_A(j)＝1。记μ＝SF(ORR_A(X)，LRR_j(X))(0≤μ≤1)表示节点j对X的推荐信誉和节点A关于X的综合信誉的相似度(similarity factor)，μ可以简单取为1-|ORR_A(X)-LRR_j(X)|或1-(ORR_A(X)-LRR_j(X))²。这样在收到新的节点j对X的推荐信誉时，A对j的信任系数TC_A(j)可表述为：

TC_A(j)＝TC′_A(j)+RS_j(X)*SF(ORR_A(X)，LRR_j(X))    (公式3)

由此可见，信任系数TC_A(j)反映了节点A在计算综合信誉ORR_A(X)时节点j所占的权重。

在得到信任链查询结果后，服务提供节点A将某个服务请求节点u的服务请求行为量化为服务接受次数SA_A(u)(Service Admission)和服务拒绝次数SF_A(u)(Service Failure)，其意义是服务请求节点u向服务提供节点A发送服务请求时，A收集到的关于服务请求节点的成功请求次数和失败请求次数，其中服务拒绝是由于多方面的原因服务节点未能搜索到相关的安全凭证，或是非授权节点的偶然操作，或是恶意节点对服务提供节点进行的消耗能源攻击。在节点A中用非法访问频率VB_A(u)∈[0，1](Vicious Behavior，VB_A(u)＝SF_A(u)/(SA_A(u)+SF_A(u)))来评价服务请求节点的非法访问频率，当然总请求次数(SA_A(u)+SF_A(u))越大，其真实水平越高。

该方法包括如下步骤：

初始化I001：服务提供节点进行初始化，包括填写角色-服务对象映射表、建立″→″授权凭证表和″

″授权凭证表，注册服务节点列表SNL和代理节点列表ANL；

初始化I002：服务提供节点在代理节点列表ANL中选择角色授权代理节点并验证其安全身份；

初始化I003：服务请求节点通过服务提供节点或其代理节点的身份认证后，被授予相应的具有一定访问权限的角色；

步骤S001：某服务请求节点u向某服务提供节点A发起服务请求信息<u，o，authorizer>，其中o表示请求的服务，authorizer是节点u的角色授权节点；

步骤S002：服务提供节点A针对请求信息<u，o，authorizer>发起信任链查询操作，当信任链存在提供服务，否则拒绝服务，同时对代理节点和请求节点的行为进行信任跟踪记录；

步骤S003：服务提供节点定时对代理节点的代理协作行为进行信任评估，并根据评估结果执行相应的网络动作。

初始化I002包括如下步骤：

a.服务提供节点和代理节点列表ANL中某代理节点进行相互身份认证；

b.服务提供节点将某个角色的授权权限委托给该代理节点，即将该代理节点添加到服务提供节点的″

″授权凭证表中；同时该代理节点将建立对应该服务提供节点的″→″授权凭证表；

c.令代理查询总次数RS＝0和成功代理次数SS＝0。

初始化I003分为如下2种途径：

a.服务提供节点授权该服务请求节点，将其添加到本地″→″授权凭证表中；

b.代理节点授权将该服务请求节点，将其添加到代理节点的″→″授权凭证表中。

步骤S002包括如下操作：

令查询结果result＝false；

T1：分析服务请求<u，o，authorizer>，获得具有服务o访问权限的相关角色集合ROLE；

T2：若authorizer为本节点A，执行T2.1，否则执行T2.2；

T2.1：在节点A的″→″和″

″凭证授权凭证表中，查询节点A授权节点u的所有角色R_u；若

令{result＝true，SA_A(u)++}，否则SF_A(u)++；执行步骤T5；

T2.2：在节点A的″

″授权凭证表中，查询节点authorizer的所有角色R_authorizer；若

节点A请求代理节点authorizer执行T3，RS_A(X)++，并且在时限T_m内节点A执行T4；否则若

SF_A(u)++，执行T5；

T3：节点authorizer在对应节点A的″→″授权凭证表中查询节点u的所有角色R′_u，若

向节点A发送R′_u，否则发送“NULL”，结束。

T4：若在T_m时间内没收到所需反馈信息，直接执行T5；相反，在T_m时间内收到反馈信息，SS_A(X)++，若

则令result＝true，SA_A(u)++，执行T5；

T5：若result＝true，接受服务请求；若result＝false，拒绝服务，当SF_A(u)＞N时对服务请求节点u进行信任评估。

对服务请求节点u进行信任评估的方法为：

a.计算非法访问频率VB_A(u)＝SF_A(u)/(SA_A(u)+SF_A(u))；

b.当VB_A(u)＜可以忍受的最大服务拒绝率ε₀时，则认为服务请求节点服务请求的成功率达到节点A的要求；相反当VB_A(u)＞ε₀，为了避免该节点对网络的危害和减少本服务节点和其代理节点的能源消耗，将执行惩罚授权<A→u：Ω>，屏蔽节点u的所有角色，u将失去一切访问权限，即u将成为节点A的外部节点。

步骤S003中对代理节点的评估方法为：

a.每隔较长时间段，服务提供节点A向SNL中其他节点j请求关于某个代理节点X的信誉信息；若服务节点j具有代理节点X，向节点A发送成功代理次数SS_j(X)和代理总数RS_j(X)。

b.根据对其他服务节点的信任系数TC_A(j)，服务节点A计算综合信誉ORR_A(X)，如下式

${\mathrm{ORR}}_A\left(X\right)=\frac{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{TC}}_A\left(j\right)*{\mathrm{SS}}_j\left(X\right)}{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{TC}}_A\left(j\right)*{\mathrm{RS}}_j\left(X\right)}$

其中，信任系数TC_A(j)反映了节点A在计算综合信誉ORR_A(X)时节点j所占得权重。

c.当ORR_A(X)＜成功率底线δ₀时，认为代理节点X不可能以≥δ₀的成功率完成授权协作活动；为了保证访问控制系统能够正常运转，节点A将撤销该节点X的″

″凭证并发送撤销代理信息给节点X，同时在代理节点列表ANL中寻找其他代理节点；若ORR_A(X)＞δ₀时，节点X代理活动达到节点A的要求。

d.服务节点A更新对服务节点j的信任系数TC_A(j)。

服务节点A对服务节点j的信任系数TC_A(j)的更新方法为：

a.在网络初始化阶段TC_A(j)＝1；

b.由SS_j(X)和RS_j(X)，得到服务节点j提供的本地信誉LRR_j(X)＝SS_j(X)/RS_j(X)；

c.用SF(ORR_A(X)，LRR_j(X))表示节点j对X的推荐信誉和节点A关于X的综合信誉的相似度，TC′_A(j)表示先前服务节点A对服务节点j的信任系数，TC_A(j)表示更新后的信任系数，如下式：

TC_A(j)＝TC′_A(j)+RS_j(X)*SF(ORR_A(X)，LRR_j(X))

其中SF(ORR_A(X)，LRR_j(X))简单地取为1-|ORR_A(X)-LRR_j(X)|或1-(ORR_A(X)-LRR_j(X))²。

有益效果：本发明提出了一种基于授权代理和信任评估的分布式RBAC访问控制模型，是一种特别适用于Ad hoc网络环境的保障应用层资源或服务能够被安全访问的控制方法。在网络由于无线链路质量恶化、节点资源匮乏或人为破坏因素等情况而存在故障节点、自私节点、不合作节点和恶意节点时，本发明可以显著提高整个网络访问控制系统的可靠性和稳定性，同时节省网络的能量消耗。相比dRBAC模型，本模型在Ad hoc网络环境下表现出更好的适应能力和自我调控能力。

附图说明

图1是典型RBAC模型图，

图2是dRBAC模型中可能出现的委托链循环，

图3是AATV_RBAC模型中服务提供节点及其代理节点分布图，

图4是AATV_RBAC模型中信任链查询和信任评估流程图，

图5是AATV_RBAC模型中代理节点工作流程图，

图6是AATV_RBAC模型中服务提供节点j发送代理节点信誉信息流程图。

具体实施方式

本发明是在dRBAC的基础上对信任管理部分进行了简化，并将信任链查找算法与一个基于经验的信任评估模型有机的结合起来。更好地解决行为异常节点对网络的干扰，特别是针对代理授权节点的自私和不合作以及服务请求节点的非法访问等异常行为，在提高Ad hoc网络资源安全性的同时，也改善了系统的性能。

为了更加具体地说明AATV_RBAC模型在Ad hoc网络中的应用，现在假定一个简单的场景。如图3所示，服务节点列表SNL＝{A，B，C，D}，提供的服务和定义的角色分别记为：

OBJECT_A＝{OA1，OA2，OA3，OA4}，ROLE_A＝{a1，a2，a3，a4}；

OBJECT_B＝{OB1，OB2，OB3，OB4}，ROLE_B＝{b1，b2，b3}；

OBJECT_C＝{OC1，OC2，OC3}，ROLE_C＝{c1，c2}；

OBJECT_D＝{OD1，OD2}，ROLE_D＝{d1}。

节点A，B，C，D中各角色的访问权限，即角色-服务对象映射关系，如表1-4所示。代理节点列表ANL＝{E，F，G，H，I，J，K}，其他节点是普通的服务请求节点。

表1服务节点A的角色-服务对象映射表

角色Role	对象0bject
		a1	OA1，OA2，OA3，OA4
a2	OA1，OA2，OA3
		a3	OA1，OA2
a4	OA1

表2服务节点B的角色-服务对象映射表

角色Role	对象Object
		b1	OB1，OB2，OB3，OB4
b2	OB1，OB2
		b3	OB1

表3服务节点C的角色-服务对象映射表

角色Role	对象Object
		c1	OC1，OC2，OC3
c2	OC1，OC2

表4服务节点D的角色-服务对象映射表

角色Role	对象Object
		d1	OD1，OD2

针对服务提供节点A的访问控制系统由四元组<U，O，R，P>构成。其中U为所有节点的集合，O为节点A中的被访问服务对象的集合，R为节点A中定义的全体角色；P为安全凭证的集合。

为了保证具有某种角色的节点获得相应的访问权限，在服务提供节点A中将建立一种映射表Chart<Role，Object>。 $\&ForAll;\mathrm{item}\&Element;\mathrm{Chart},$ item＝<r，object>，r∈Role＝R， $\mathrm{object}\&Element;\mathrm{Object}=\left\{O_i\right|O_i\&Subset;O\}.$ 也就是说，映射表Chart中限定了角色与服务对象之间的对应关系，是多对多的关系。

$\&ForAll;p\&Element;P,$ p为一个四元组<authorizer，type，role，node>，authorizer，node∈U，role∈R， $\mathrm{type}\&Element;\{\text{'}\&RightArrow;\text{'},\text{'}\&DoubleRightArrow;\text{'}\}.$ Authorizer指明该条凭证的授权节点；node指明该条凭证的被授权节点；role指明node被授权的角色；type指明了授权的类型。在AATV_RBAC模型中，由服务提供节点A授权的“→”凭证和“

”凭证将存储在本地的存储设备中，称为“→”授权凭证表和“

”授权凭证表；由节点A的代理节点授权的“→”凭证将存储在相应的代理节点存储设备中，称为“→”授权凭证表，表头如下：

Node	Assigned Role
		...	...

服务请求节点u在向服务提供节点A发送服务请求消息时，其需提供的请求信息为如下格式<u，o，authorizer>，u∈U表明自己的身份，o∈O为欲请求的服务，authorizer指明凭证的授权节点。服务节点A将根据请求信息<u，o，authorizer>判断请求节点u是否具有访问服务对象o的权限。首先根据映射表Chart<R，Object>，可获得具有访问服务对象o权限的所有角色的集合，记为相关角色集合ROLE，

这样以来，节点u是否具有访问服务对象o权限的问题就转化为判断节点u的角色是否包含在相关角色集合ROLE中。

如图4所示，本发明将信任链查找算法与一个基于经验的信任评估模型有机的结合起来，在提高Ad hoc网络资源安全性的同时，也改善了系统的性能。对于节点的服务请求，服务提供节点A的具体操作如下：

收到服务请求消息：<u，o，authorizer>；

令result＝false(记录查询结果)；

步骤1.分析节点请求<u，o，authorizer>，获得相关角色集合ROLE。

步骤2.若authorizer为本节点A，执行步骤2.1，否则执行步骤2.2。

步骤2.1在节点A的授权凭证表(包括“→”凭证和“

”凭证)中，查询节点A授权节点u的所有角色R_u；若令result＝true，SA_A(u)++，否则SF_A(u)++；执行步骤5。

步骤2.2在节点A的“

”授权凭证表中，查询节点A授权节点authorizer的所有角色R_authorizer。若

节点A向代理节点authorizer发送信任链查询请求(如图5所示，代理节点将执行步骤3)，RS_A(X)++，并且在时限T_m内节点A执行步骤4；否则若SF_A(u)++，执行步骤5。

步骤3.节点authorizer在自己的“→”凭证库Library中，查询节点authorizer授权节点u的所有角色R′_u，若

向节点A发送R′_u，否则发送“NULL”。

步骤4.若Tm时间内没收到节点authorizer的反馈信息，直接执行步骤5；若收到所需反馈信息，SS_A(X)++，若

则令result＝true，SA_A(u)++；否则若

SF_A(u)++，执行步骤5。

步骤5.若result＝false，拒绝服务，若服务拒绝次数SF_A(u)＞N(较大整数)执行下面的操作：

a.计算非法访问频率VB_A(u)＝SF_A(u)/(SA_A(u)+SF_A(u))；

b.当VB_A(u)＜ε₀(可以忍受的最大服务拒绝率)时，则认为服务请求节点服务请求的成功率达到节点A的要求；相反当VB_A(u)＞ε₀，为了避免该节点对网络的危害和减少本服务节点和其代理节点的能源消耗，将执行惩罚授权<A→u：Ω>，屏蔽节点u的所有角色，u将失去一切访问权限，从应用层隔离节点u，即u将成为节点A的外部节点。

若result＝true，接受服务请求，结束。

服务提供节点A为了保证访问控制系统的安全、高效、稳定地运行，将定时对网络中的代理授权节点进行信任评估，其具体评估方法如下：

设定服务提供节点A要求代理节点完成代理协作活动的最小成功率为δ₀，即A希望代理节点成功完成代理操作的概率≥δ₀。

步骤a.每隔较长时间段，服务提供节点A向SNL中其他节点j请求关于某个代理节点X的信誉信息，如图6所示；

步骤b.若代理节点X是服务提供节点j的一个代理授权节点，节点j向节点A发送成功代理次数SS_j(X)和代理总数RS_j(X)；

步骤c.根据对其他服务节点的信任系数TC_A(j)，服务节点A计算综合信誉ORR_A(X)，如下式

${\mathrm{ORR}}_A\left(X\right)=\frac{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{TC}}_A\left(j\right)*{\mathrm{SS}}_j\left(X\right)}{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{TC}}_A\left(j\right)*{\mathrm{RS}}_j\left(X\right)}$

步骤d.若ORR_A(X)＞δ₀，节点X代理活动达到节点A的要求；

当ORR_A(X)＜δ₀，认为代理节点X不可能以≥δ₀的成功率完成授权协作活动；为了保证访问控制系统能够正常运转，节点A将撤销该节点X的″

″凭证并发送撤销代理信息给节点X，同时在ANL中寻找其他代理授权节点代理节点A的角色。

Claims (7)

1.一种无线自组织网络环境下面向服务的访问控制方法，其特征在于该方法包括如下步骤：

初始化I001：服务提供节点进行初始化，包括填写角色-服务对象映射表、建立″→″授权凭证表和授权凭证表，注册服务节点列表SNL和代理节点列表ANL；

初始化I002：服务提供节点在代理节点列表ANL中选择角色授权代理节点并验证其安全身份；

初始化I003：服务请求节点通过服务提供节点或其代理节点的身份认证后，被授予相应的具有一定访问权限的角色；

步骤S001：某服务请求节点u向某服务提供节点A发起服务请求信息<u，o，authorizer>，其中o表示请求的服务，authorizer是节点u的角色授权节点；

步骤S002：服务提供节点A针对请求信息<u，o，authorizer>发起信任链查询操作，当信任链存在提供服务，否则拒绝服务，同时对代理节点和请求节点的行为进行信任跟踪记录；

步骤S003：服务提供节点定时对代理节点的代理协作行为进行信任评估，并根据评估结果执行相应的网络动作。

2.根据权利要求1所述的无线自组织网络环境下面向服务的访问控制方法，其特征在于初始化I002包括如下步骤：

a.服务提供节点和代理节点列表ANL中某代理节点进行相互身份认证；

b.服务提供节点将某个角色的授权权限委托给该代理节点，即将该代理节点添加到服务提供节点的

授权凭证表中；同时该代理节点将建立对应该服务提供节点的″→″授权凭证表；

c.令代理查询总次数RS＝0和成功代理次数SS＝0。

3.根据权利要求1所述的无线自组织网络环境下面向服务的访问控制方法，其特征在于初始化I003分为如下2种途径：

a.服务提供节点授权该服务请求节点，将其添加到本地″→″授权凭证表中；

b.代理节点授权将该服务请求节点，将其添加到代理节点的″→″授权凭证表中。

4.根据权利要求1所述的无线自组织网络环境下面向服务的访问控制方法，其特征在于步骤S002包括如下操作：

令查询结果result＝false；

T1：分析服务请求<u，o，authorizer>，获得具有服务o访问权限的相关角色集合ROLE；

T2：若authorizer为本节点A，执行T2.1，否则执行T2.2；

T2.1：在节点A的″→″和

凭证授权凭证表中，查询节点A授权节点u的所有角色R_u；若令{result＝true，SA_A(u)++}，否则SF_A(u)++；执行步骤T5；

T2.2：在节点A的

授权凭证表中，查询节点authorizer的所有角色R_authorizer；若

节点A请求代理节点authorizer执行T3，RS_A(X)++，并且在时限T_m内节点A执行T4；否则若

SF_A(u)++，执行T5；

T3：节点authorizer在对应节点A的″→″授权凭证表中查询节点u的所有角色R′_u，若

向节点A发送R′_u，否则发送“NULL”，结束。

T4：若在Tm时间内没收到所需反馈信息，直接执行T5；相反，在T_m时间内收到反馈信息，SS_A(X)++，若

则令result＝true，SA_A(u)++，执行T5；

T5：若result＝true，接受服务请求；若result＝false，拒绝服务，当SF_A(u)＞N时对服务请求节点u进行信任评估。

5.根据权利要求4所述的无线自组织网络环境下面向服务的访问控制方法，其特征在于对服务请求节点u进行信任评估的方法为：

a.计算非法访问频率VB_A(u)＝SF_A(u)/(SA_A(u)+SF_A(u))；

b.当VB_A(u)＜可以忍受的最大服务拒绝率ε₀时，则认为服务请求节点服务请求的成功率达到节点A的要求；相反当VB_A(u)＞ε₀，为了避免该节点对网络的危害和减少本服务节点和其代理节点的能源消耗，将执行惩罚授权<A→u：Ω>，屏蔽节点u的所有角色，u将失去一切访问权限，即u将成为节点A的外部节点。

6.根据权利要求1所述的无线自组织网络环境下面向服务的访问控制方法，其特征在于步骤S003中对代理节点的评估方法为：

a.每隔较长时间段，服务提供节点A向SNL中其他节点j请求关于某个代理节点X的信誉信息；若服务节点j具有代理节点X，向节点A发送成功代理次数SS_j(X)和代理总数RS_j(X)。

b.根据对其他服务节点的信任系数TC_A(j)，服务节点A计算综合信誉ORR_A(X)，如下式

${\mathrm{ORR}}_A\left(X\right)=\frac{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{TC}}_A\left(j\right)*{\mathrm{SS}}_j\left(X\right)}{{\mathrm{\&Sigma;}}_{j\&Element;\mathrm{SNL}}{\mathrm{TC}}_A\left(j\right)*{\mathrm{RS}}_j\left(X\right)}$

其中，信任系数TC_A(j)反映了节点A在计算综合信誉ORR_A(X)时节点j所占得权重。

c.当ORR_A(X)＜成功率底线δ₀时，认为代理节点X不可能以≥δ₀的成功率完成授权协作活动；为了保证访问控制系统能够正常运转，节点A将撤销该节点X的

凭证并发送撤销代理信息给节点X，同时在代理节点列表ANL中寻找其他代理节点；若ORR_A(X)＞δ₀时，节点X代理活动达到节点A的要求。

d.服务节点A更新对服务节点j的信任系数TC_A(j)。

7.根据权利要求6所述的无线自组织网络环境下面向服务的访问控制方法，其特征在于服务节点A对服务节点j的信任系数TC_A(j)的更新方法为：

a.在网络初始化阶段TC_A(j)＝1；

b.由SS_j(X)和RS_j(X)，得到服务节点j提供的本地信誉LRR_j(X)＝SS_j(X)/RS_j(X)；

c.用SF(ORR_A(X)，LRR_j(X))表示节点j对X的推荐信誉和节点A关于X的综合信誉的相似度，TC′_A(j)表示先前服务节点A对服务节点j的信任系数，TC_A(j)表示更新后的信任系数，如下式：

TC_A(j)＝TC′_A(j)+RS_j(X)*SF(ORR_A(X)，LRR_j(X))

其中SF(ORR_A(X)，LRR_j(X))简单地取为1-|ORR_A(X)-LRR_j(X)|或1-(ORR_A(X)-LRR_j(X))²。

Images