可信服务关键技术研究课件.ppt

基于CPK标识认证和现代信任理论的可信服务关键技术研究Research on the Key Technology of Trusted Service Based on CPK Identity Certification & Modern Trust Theory2011.1-2013.12,1,基于CPK标识认证和现代信任理论的可信服务1,内 容,一、项目情况简介二、立项依据（背景及意义）三、研究目标、内容四、技术路线五、预期研究成果六、项目需要掌握的相关知识七、科学研究方法探讨,2,内 容 一、项目情况简介2,一、项目情况简介,项目类别：国家自然科学基金青年科学基金项目 负责人：许光全 在Pro. Feng & Li Supervision下研究范畴：可信软件（1） 可信计算（0.9） 信息安全（0.9） 软件安全（0.8） 网络安全、QoS（0.6）信息系统安全（0.5）研究属性：应用基础研究关键词：服务计算 可信服务 CPK 快速信任 自动信任协商 可信性预测,3,一、项目情况简介项目类别：国家自然科学基金青年科学基金项目3,二、立项依据,第一部分 从质量到可信从与软件相关的一些重大事故谈起,4,二、立项依据第一部分 从质量到可信4,1.软件事故典型案例,2007年10月30日，奥运门票第二阶段阶段预售首日,科技奥运？,5,1.软件事故典型案例2007年10月30日，奥运门票第二阶段,2007年8月14日14时，美国洛杉矶国际机场电脑发生故障，60个航班的2万旅客无法入关。直至次日凌晨时分，所有滞留旅客才全部入关。 原因分析： 包含旅客姓名和犯罪记录的部分数据系统(海关和边境保护系统：决定旅客是否可以进入美国领土)瘫痪 2004年9月发生过类似问题,6,2007年8月14日14时，美国洛杉矶国际机场电脑发生故障，,2006年3月2日14点10分，沪深大盘忽然发生罕见大跳水，7分钟之内上证指数跌去近 20 点。原因分析： 当日下午刚上市的招商银行认股权证成交量巨大，导致其行情显示时总成交量字段溢出，使其价格在股票分析软件上成为一条不再波动的直线，让市场产生了恐慌。,7,2006年3月2日14点10分，沪深大盘忽然发生罕见大跳水，,2005年4月20日上午10时56分，中国银联系统通信网络和主机出现故障，造成辖内跨行交易全部中断。这是2002年中国银联成立以来，首次全国性因系统故障造成的跨行交易全面瘫痪。 原因：银联新近准备上线的某外围设备的隐性缺陷诱发了跨行交易系统主机的缺陷，使主机发生故障 软件能否提供支持?,8,2005年4月20日上午10时56分，中国银联系统通信网络和,2003年8月14日下午4时10分，美国及加拿大部分地区发生历史上最大的停电事故。15日晚逐步恢复后果：经济损失250亿到300亿之间原因分析 俄亥俄州的第一能源（FirstEnergy）公司x下属的电力监测与控制管理系统软件 XA/21 出现错误，系统中重要的预警部分出现严重故障，负责预警服务的主服务器与备份服务器连接失控，错误没有得到及时通报和处理，最终多个重要设备出现故障，导致大规模停电新华社2003年国际十大新闻,9,2003年8月14日下午4时10分，美国及加拿大部分地区发生,1996年6月4日，欧洲空间局的阿丽亚娜火箭，发射后37秒爆炸。损失6亿美元原因分析： ADA语言编写的一段程序，将一个64位浮点整数转换为16位有符号整数时，产生溢出，导致系统惯性参考系统完全崩溃,10,1996年6月4日，欧洲空间局的阿丽亚娜火箭，发射后37秒爆,1994年12月3日，美国弗吉尼亚州 Lynchburg 大学的T.R.Nicely博士使用装有 Pentium 芯片的计算机时发现错误： （4195835/3145727)*3145727-4195835=0?后果： Intel 花费4亿多美元更换缺陷芯片原因： Pentium 刻录了一个软件缺陷（浮点除法）,11,1994年12月3日，美国弗吉尼亚州 Lynchburg 大,2002年6月28日美国商务部的国家标准技术研究所（NIST）发布报告：,“据推测，（美国）由于软件缺陷而引起的损失额每年高达 595 亿美元。这一数字相当于美国国内生产总值的 0.6%”。,12,2002年6月28日“据推测，（美国）由于软件缺陷而引起的损,2、问题分析,从质量谈起,1、什么是软件质量？2、为什么软件质量保障困难？,13,2、问题分析从质量谈起1、什么是软件质量？13,1、什么是软件质量？,软件质量是：软件产品满足规定的和隐含的与需求能力有关的全部特征和特性,14,1、什么是软件质量？软件质量是：14,来源于 Barry Boehm的软件质量模型形成了 ISO-9126的软件质量模型框架影响了 软件生存周期中的不同阶段 ,区分不同的软件!,15,来源于 Barry Boehm的软件质量模型区分不同的软件!,Barry Boehm的软件质量模型,阐述性,互用性,数据公开性,正确性,可靠性,效率,完整性,可用性,可维护性,可测试性,灵活性,可移植性,重复性,连贯性,容错性,执行效率/储存效率,存取控制/存取检查,可训练,沟通良好,简单性,易操作的,工具,自我操作性,扩展性,一般性,模块性,软件系统独立性,机器独立性,通讯公开性,正确性,可操作性,16,Barry Boehm的软件质量模型阐述性互用性数据公开性正,ISO-9126的软件质量模型框架,过程质量 有助于提高 产品质量产品质量 有助于提高 使用质量,17,ISO-9126的软件质量模型框架外部内部外部使用过程过程过,2、为什么软件质量保障困难？,（1）软件产品与需求符合的程度（2）软件的本质（3）软件度量困难,18,2、为什么软件质量保障困难？（1）软件产品与需求符合的程度1,（1）软件产品与需求符合的程度需求与成本之间的矛盾需求是永无止境的成本是永远有限的微软：质量只要好到能使大量的产品卖给客户NASA：可靠性要达到 99.999%Motorola：6 ,软件产品属性完全满足用户需求是不现实的 ,19,（1）软件产品与需求符合的程度软件产品属性完全满足用户需求是,（2）软件的本质规模、复杂性、演化性网络环境软件研发过程缺乏基础理论支撑软件产品的验证缺乏基础理论支持,20,（2）软件的本质20,（3）软件度量困难 “You cant control what you dont measure” Tom DeMarco, 1982对比物理属性：尺子、秤、时钟、温度计、测速仪 它们的发展过程!代码、过程、组织,度量无处不在！,21,（3）软件度量困难度量无处不在！21,3、从质量到可信,1、什么是可信？2、什么样的软件是可信的？,Compaq、HP、IBM、Intel和Microsoft等发起(1999): Trusted Computing Platform Alliance 后来增加软件： Trusted Computing Group （2003）微软倡导(2002): Trustworthy Computing,22,3、从质量到可信1、什么是可信？Compaq、HP、IBM、,1、什么是可信？,TrustedTrustworthyDependabilityConfidenceAssurance,一个实体在实现给定目标时，其行为与结果总是可以预期的,23,1、什么是可信？Trusted一个实体在实现给定目标时，其行,可信软件,软件是可信的, 如果: 其服务总是与用户的预期相符(质量?) 即使在运行过程中出现一些特殊情况,24,可信软件软件是可信的, 如果:24,1、硬件环境（计算机、网络）发生故障2、低层软件（操作系统、数据库）出现错误 3、其它软件（病毒软件、流氓软件）对其产生影响4、出现有意（攻击）、无意（误操作）的错误操作,什么特殊情况?,25,1、硬件环境（计算机、网络）发生故障什么特殊情况?25,2、什么样的软件是可信的？,可用功能：正确、不少、不多可靠性（容错）：高安全性（机密性、完整性）：高响应时间（从输入到输出）：小维护费用（监测、演化）：小,26,2、什么样的软件是可信的？可用26,质量与可信（1）,可信更多关主体与客体的关系是系统“承诺”与实际表现的符合程度。存在这样一种情形，质量不是很高，但有具体的说明，仍然有高的可信性。同一个系统的质量是确定的，但对不同主体的可信度可能不一样：一个受侵害的系统，对于实际用户是不可信的，对于黑客是可信的对于同一个系统，当用户对其信息掌握得有限时，可信度低，掌握了较多的正面信息时，可信度提升,27,质量与可信（1）可信更多关主体与客体的关系27,质量与可信（2）,质量主要是针对客体自身而言的,质量与可信之间的关系 类似于 软件与服务之间的关系,服务、可信 更多地关注 主体：最终用户,软件、质量 更多地关注 客体：软件自身,28,质量与可信（2）质量主要是针对客体自身而言的质量与可信之间的,第二部分 从安全到可信从信息安全发展之路谈起,29,第二部分 从安全到可信从信息安全发展之路谈起29,信息安全发展的三个阶段,计算机世界发生了重大的改变！网络：封闭的计算机网络开放的互联网物联网、普适网（Ubiquitous Network）业务上：简单的数据通信网上交易或事务处理,30,信息安全发展的三个阶段计算机世界发生了重大的改变！30,31,阶段名称标志安全构件安全策略主要安全技术数据安全1949年S,第三部分 认证技术发展认证技术的核心是密码技术或密钥管理技术，它的发展也经历了三个阶段。,32,第三部分 认证技术发展认证技术的核心是密码技术或密钥管理,33,认证系统年代、标志事件基本部件认证方式优缺点相对成本PKI1,CPK的发展现状,十年的发展，理论已成熟，芯片化也已经实现，已研制出CPKbuiltin芯片和Demon系统；得到了国内很多学者的支持：QNS工作室，北大信息安全实验室、广东省、武汉大学、武汉瑞达公司、北京市科委、中兴微电子；2008年欧洲密码年会上，James Hughes（2004年国际密码年会执行主席）和北大关志介绍了CPK；,34,CPK的发展现状十年的发展，理论已成熟，芯片化也已经实现，已,得到了国家保密局和国家知识产权局等大力支持，国务院信息化办和安标委已将CPK体制作为国家标准的基础项目，正式纳入标准化研究；Sun决定，将CPK体制作为Solaris的一部分，并签署战略合作意向；成立北京易恒信公司，开发了相关产品，在民生银行票据认证系统中得到应用。,35,得到了国家保密局和国家知识产权局等大力支持，国务院信息化办和,第四部分 可信总结,发展历史（国际）1.20世纪70年代 Anderson首次提出可信系统（Trusted System）2.1983年美国国防部推出了“可信计算机系统评价标准(TCSEC，Trusted computer System Evaluation Criteria)”(亦称橙皮书)，其中对可信计算基(TCB，Trusted Computing System)进行了定义。 3. 1999年10月，由Intel、Compaq、HP、IBM以及Microsoft发起成立了一个“可信计算平台联盟TCPA(Trusted Computing Platform Alliance)”。,36,第四部分 可信总结发展历史（国际）36,4.2003年4月8日，TCPA重组为“可信计算组”TCG（Trusted Computing Group）。5. 2002年1月15日，比尔.盖茨在致微软全体员工的一封信中称，公司未来的工作重点将从致力于产品的功能和特性转移为侧重解决安全问题，并进而提出了微软公司的新“可信计算”(Trustworthy computing)战略。,37,4.2003年4月8日，TCPA重组为“可信计算组”TCG（,可信计算的内涵变迁,容错计算故障检测冗余备份技术,Trusted System,可信硬件平台TPM可信软件系统（TSS）可信网络接入（TN）,Trusted Computing,集中式、单机计算网格计算与web服务（分布式）有线网无线网络,38,可信计算的内涵变迁容错计算Trusted System可信硬,国内发展情况,国家信息安全标准技术委员会（TC260）的可信计算标准工作组，组长：卿斯汉， 2005年1月19日国家密码管理局中国可信计算工作组（可信计算密码专项组，2006，2008年12月改成现名），组长：冯登国沈昌祥院士的可信计算标准工作组，2010,39,国内发展情况国家信息安全标准技术委员会（TC260）的可信计,可信概念总结,1系统的可信性： 在ISO/IEC 15408标准中给出了以下定义：一个可信(trusted)的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。,计算机系统的可信性应包括可用性、可靠性、可维护性、安全性、健壮性、可测试性、可维护性等多个方面。,40,可信概念总结1系统的可信性：计算机系统的可信性应包括可用性,2.可信计算,TCG的可信计算概念及相关规范 可信计算的三个属性： 鉴 别：计算机系统的用户可以确定与他们进行通信的对象身份； 完整性：用户确保信息能被正确传输； 私有性：用户相信系统能保证信息的私有性。,41,2.可信计算 TCG的可信计算概念及相关规范 41,TPM与TSS结合的应用系统分层图示,42,TPM与TSS结合的应用系统分层图示 42,3.微软的可信计算概念,目标包括四个方面： 安全性(Security)：即客户希望系统对攻击具有恢复能力，而且系统及其数据的机密性、完整性和可用性得到保护； 私密性(Privacy)：即客户能够控制与自己相关的数据；并按照信息平等原则使用数据； 可靠性(Reliability)：即客户可在任何需要服务的时刻即时得到服务； 商务完整性(Business Integrity)：强调服务提供者以快速响应的方式提供负责任的服务。,43,3.微软的可信计算概念 目标包括四个方面：43,4.国内学者的可信观点,武汉大学张焕国：可信可靠（Dependability）安全（Security）清华大学顾明： 软件可信性： 在一定的上下文环境中，通过与用户等主体进行相互作用产生的、体现了依据软件系统历史信息对未来的一种预测。用户视角！,44,4.国内学者的可信观点武汉大学张焕国：44,第五部分 SOC下可信研究现状,SOC环境特征：服务具有开放性、共享性、动态性、异构性、分布式特征；服务需求多变而个性化差异较大、服务需要动态实时组合和 快速服务重组；自动化程度高，部分依赖协商手段；服务实体间信息不完整性和不对称性、概念内涵本质歧义性或理解上的个体差异或时空动态变迁性、响应速度要求高。显然，SOC上述特点致使其可信性面临极大的挑战。,45,第五部分 SOC下可信研究现状SOC环境特征：45,目前解决方案、技术,目前，针对服务安全和可信性问题主要有：一系列的WS，如：WS-Security、WS-Security Policy、WS-Security Conversation、WS-Federation、安全断言标记语言（SAML）、 传达信息策略（XACML）、XML密钥管理规范（XKMS）、XML加密以及XML数字签名等。 WSTrust：定义了如何发出和交换Token，它对WS-Security规范提供了一些扩展，专门处理有关安全tokens的发布、整新和验证，确保各方参与者的互操作处在一个可信任的安全数据交换环境中。它只是从接口上定义了信任关系的开始，并没有指定哪种认证方式来保障可信性。,46,目前解决方案、技术目前，针对服务安全和可信性问题主要有：46,SOC下的可信环境构造,可信底层硬性安全：可信认证体系服务实体自身的信任决策（描述、度量、预测、管理等）,47,SOC下的可信环境构造可信47,图1 “软硬结合”的服务可信性构建体系结构示意,48,图1 “软硬结合”的服务可信性构建体系结构示意48,研究目标：可信服务！ 结合传统的信息安全技术与信任理论为核心的可信保障技术，主要解决可信认证、可信度量、信任协商以及可信预测等关键技术问题，实现可信服务交互各方的服务选择、服务编排、动态服务组合以及快速服务重组等，并最终集成阶段性研究成果，实现可信服务整体解决方案。,三、研究目标、内容,49,研究目标：可信服务！三、研究目标、内容49,研究内容,基于组合公钥CPK标识认证的可信认证 有序化（个人签名和非匿名化等标识认证）服务实体间的可信连接，可信数据传输等，基础是可信认证，核心：可信逻辑和ID证书设计主要包括：,50,研究内容基于组合公钥CPK标识认证的可信认证50,实体的身份认证：注册性Re、一体性Ti、解读性MR实时/离线数据认证：服务数据的合法性、机密性、可靠性、安全性等，主要是对数据传输的弹性监控，实现对客体（传输的数据）完整性（readable）、新鲜性（nonce）、负责性（done-by）的实时在线或脱线验证。服务动态运行的可信性：动态跟踪和缺陷分析与检测，降低实时监控技术所带来的资源消耗,51,实体的身份认证：注册性Re、一体性Ti、解读性MR51,其主要目的在于实现服务请求和服务响应之前，确保每个服务计算环境中的服务实体（包括服务请求者、服务提供者、服务中间人以及其他如网络基础设施等）在服务执行周期内身份是可信的，在服务执行过程中传输的数据等信息是可信的。总之，这部分研究内容将决定整个研究目标从底层和最根本的信任根上是满足可信需求的。,52,其主要目的在于实现服务请求和服务响应之前，确保52,满足临时服务和快速服务重组的快速信任可计算模型 信任源信息的缺乏和信息不完整性非匿名化服务难为了满足部分临时的、匿名服务以及快速服务重组的需要=信任关系的初始化研究快速产生服务信任的机制 主要包括：,53,满足临时服务和快速服务重组的快速信任可计算模型53,信任关系初始化，临时服务和快速重组服务的形式化描述；基于认知逻辑框架的快速信任产生机制研究；基于本体驱动的快速信任概念模型；快速信任量化计算,54,信任关系初始化，临时服务和快速重组服务的形式化描述；54,这部分内容的研究重点是从认知科学的角度出发，根据信任产生的背景、时间域、动机和其他相关要素，有效准确地找出影响快速信任产生的一些主要因子，并采用本体描述的形式化方法对这些因子进行概念清晰化、规约化，然后根据信任关系构建出适应服务计算环境的快速信任可计算模型。,55,这部分内容的研究重点是从认知科学的角度出发，55,自动信任协商算法 服务组合的自动化程度要求高、部分依赖协商手段用于信任协商的智能主体(agent)信任的形式化描述预动的（proacitve）信息交换委托agent自动信任协商 主要包括：,56,自动信任协商算法56,确定自动化模块以及需要依赖信任协商的部分：功能进行模块化分割采用本体形式化描述整合推理模块设计；可信智能代理体设计和实现：智能体功能和可信需求分析BDI+本体推理的可信智能代理体；自动信任协商算法：基于预动的信息交换,57,确定自动化模块以及需要依赖信任协商的部分：功能进行模块化分割,研究重点是如何根据不同的服务需求和业务流程，确定整个服务编排和动态服务组合生命周期内各自的自动化模块以及依赖信任协商的部分，并据此设计出满足功能性和可信性需求的、适用于自动信任协商的智能代理体。,58,研究重点是如何根据不同的服务需求和业务流程，确定整个服务,服务可信性预测 信誉的综合评价可能具有时效性和背景局限性欺骗性(竞争、自身利益、技术) 统计性的趋势性、季节性以及随机性 基于随机过程的服务可信性预测是较为可行的方法。主要包括：,59,服务可信性预测59,研究基于信任和信誉的时间序列分析，确定模糊非齐次马尔科夫系统的状态转移矩阵；求解与精化可信性与IF的关系：搜集统计序列多元回归分析确定函数关系；整合前述两种结果：模糊推理和凸组合；预测验证，回溯修正：误差极小化。,60,研究基于信任和信誉的时间序列分析，确定模糊非齐次马尔科夫系统,四、技术路线,整体架构：可信认证（身份、数据）为底层和信任根（基）快速信任度量、自动信任协商、可信预测可信服务（服务选择、编排、组合以及动态服务重组）,61,四、技术路线整体架构：61,基于CPK标识认证和现代信任理论为核心的先进可信技术的可信服务构建,62,基于CPK标识认证和现代信任理论为核心的62,面向服务计算网络环境下的快速信任概念模型,63,面向服务计算网络环境下的快速信任概念模型 63,面向服务计算网络环境的自动信任协商实现,64,面向服务计算网络环境的自动信任协商实现 64,服务可信性预测的初步技术路线,65,服务可信性预测的初步技术路线 65,五、预期研究成果,理论上：一种满足服务计算环境的基于CPK标识认证和智能代理技术的可信认证体系结构；一种面向临时服务和快速服务重组的快速信任可计算模型；一种基于认知和智能代理技术的自动信任协商算法；一种能够有效规避趋势性、季节性和随机性等的服务可信性预测模型；,66,五、预期研究成果理论上：66,可度量成果,在国内外高水平学术刊物和国际会议上发表不少于8-12 篇学术论文，其中高水平的学术论文不少于6 篇，国外高水平SCI源期刊文章3 篇，国际高水平会议3 篇以上；申请专利2 项，获得软件著作权2 项；协助培养博士生2 名，硕士生3 名。,67,可度量成果在国内外高水平学术刊物和国际会议上发表不少于8-1,六、项目需要掌握的相关知识,1.服务计算的相关概念和对安全方面的需求分析；2.密码管理技术的基础知识，侧重于CPK标识认证技术的具体研究；3.基于认知角度的信任机制研究，包括服务信任和本体相关知识；4.智能代理即agent技术，以及自动信任协商的研究现状；5.模糊数学，回归分析等数学工具理论。,68,六、项目需要掌握的相关知识1.服务计算的相关概念和对安全方面,七、科研方法总结与探讨,当前计算机科学界正在涌现出来的模式：学科交叉性（生物信息学、系统科学）回归基础设施与基础理论研究,69,七、科研方法总结与探讨当前计算机科学界正在涌现出来的模式：6,学而时思之,论语为政的第15句， “学而不思则罔，思而不学殆 ”,70,学而时思之论语为政的第15句， 70,模型化方法,随机（Petri网）模型：认知世界的第一步；量化计算：各种数学工具，包括计算和推理，有数值上的、逻辑上的区分；优化控制：试验或逻辑验证，反复回溯修正；成果整理，形成文字或实践成果。,71,模型化方法随机（Petri网）模型：认知世界的第一步；71,有序化与确定化方法,自然世界、物理世界是无序的，杂乱无章的有序化方法实现无序世界的管理；未知的世界或知识大多数是不确定的：形式化：规格语言，数学模型；量化计算与逻辑推理：寻找一种合适的数学工具，数值或逻辑上的；试验设计，试验验证：包括仿真和实践。,72,有序化与确定化方法自然世界、物理世界是无序的，杂乱无章的,