摘要：研究在開放環(huán)境下利用Linda-like數(shù)據(jù)驅(qū)動協(xié)調(diào)模型所帶來的安全問題。為了對數(shù)據(jù)協(xié)調(diào)空間的安全進(jìn)行控制，提出了一種具有時(shí)間約束的安全協(xié)調(diào)模型。此協(xié)調(diào)模型通過對元組數(shù)據(jù)增加特定信息，并運(yùn)用混合密鑰機(jī)制實(shí)現(xiàn)對協(xié)調(diào)元組空間的安全訪問控制。
關(guān)鍵詞：訪問控制協(xié)調(diào)混合密鑰 協(xié)調(diào)模型提供了一種描述軟件實(shí)體之間的交互框架。目前開放系統(tǒng)中的協(xié)調(diào)技術(shù)主要考慮如何促使軟件實(shí)體之間能夠順利地進(jìn)行交互。但事實(shí)上，在開放系統(tǒng)下不能保證每個軟件實(shí)體都是可信的，基于系統(tǒng)安全方面的考慮，必須要有一定的安全訪問控制機(jī)制來限制軟件實(shí)體之間的交互。

目前僅有KLAIM和SecSOS協(xié)調(diào)語言提供了一定的安全訪問控制機(jī)制。KLAIM協(xié)調(diào)語言利用類型來描述軟件實(shí)體的訪問權(quán)限，在軟件實(shí)體和元組數(shù)據(jù)之間采用典型的訪問控制策略，使得軟件實(shí)體和數(shù)據(jù)形成一種一一對應(yīng)的關(guān)系。這種方法不能很好地滿足開放系統(tǒng)動態(tài)性的要求，并且不支持對元組數(shù)據(jù)細(xì)粒度的安全控制。SecSOS通過只對空問元組數(shù)據(jù)增加一定的附加信息來控制數(shù)據(jù)的訪問。這種對字段的加鎖方法不但能對整個元組數(shù)據(jù)進(jìn)行控制，還支持?jǐn)?shù)據(jù)細(xì)粒度的安全控制。但SecSOS的缺陷是不能區(qū)分兩種不同類型的讀操作，并且數(shù)據(jù)的讀取者能夠向元組數(shù)據(jù)空間寫入同樣的數(shù)據(jù)。Nadia Busi，Roberto Gorrieri等人在KLAIM和SeeSOS基礎(chǔ)上進(jìn)行了擴(kuò)展．提出了SecSpaces安全協(xié)調(diào)模型。但是．SecSpaces每次都是運(yùn)用非對稱密鑰進(jìn)行匹配，計(jì)算復(fù)雜度高，而且沒有提供時(shí)效控制，從而降低了系統(tǒng)的安全性。本文首先介紹了用于開放系統(tǒng)下數(shù)據(jù)驅(qū)動的協(xié)調(diào)模型Linda模型，然后簡單地介紹了SecSpaces安全協(xié)調(diào)模型，最后提出了一種新的具有時(shí)間約束的安全數(shù)據(jù)驅(qū)動協(xié)調(diào)模型。
1 Linda數(shù)據(jù)驅(qū)動協(xié)調(diào)模型
在開放系統(tǒng)下，運(yùn)用協(xié)調(diào)技術(shù)進(jìn)行軟件實(shí)體間的通信是一種非常有效的方法，能夠滿足開放系統(tǒng)互操作性、可移植性、伸縮性要求。Linda在1985年提出了基于數(shù)據(jù)驅(qū)動的協(xié)調(diào)模型體系結(jié)構(gòu)，Sun Microsystem和IBM公司在此基礎(chǔ)上開發(fā)了各自的商業(yè)產(chǎn)品JavaSpaces和TSpaces。這些都是利用一種被稱為再生通信(genera-tire commtmication)的模式：數(shù)據(jù)的發(fā)送方和接收方通過一個共享的數(shù)據(jù)元組空間進(jìn)行通信，發(fā)送方將數(shù)據(jù)送入這個共享空間。接收方從共享空間讀取數(shù)據(jù)。數(shù)據(jù)共享空間獨(dú)立于任何一方而存在，即一旦發(fā)送方將數(shù)據(jù)寫入共享空間，數(shù)據(jù)將不屬于數(shù)據(jù)的提供者。任何接收方都可以從中提取相應(yīng)的數(shù)據(jù)。Linda模型定義了out(e)、int(t)和rd(t)三種基本操作。輸入操作out(e)是將數(shù)據(jù)項(xiàng)e寫入共享元組空間；int(t)是用模板t和共享空間中的數(shù)據(jù)項(xiàng)e匹配，如果發(fā)現(xiàn)匹配數(shù)據(jù)項(xiàng)e，然后讀e并將共享空間中的e刪除。rd(t)和im(t)類似，僅僅是讀取而不刪除。Linda模型定義的匹配規(guī)則如定義1.1。

定義1.1：設(shè)e=<d1；……；dn>為一數(shù)據(jù)項(xiàng)，t=<dt；……；dtm>為匹配模板，若要t和e匹配需滿足下列條件：
(1)m≤n
(2)dti=di or dti=null,1≤i≤m

從定義1.1可以看出最初的Linch協(xié)調(diào)模型并沒有提供相應(yīng)的安全訪問控制機(jī)制對讀寫操作進(jìn)行控制，也不能區(qū)分int(t)和帶有破壞性的rd(t)操作。

2 SOCSpaces安全數(shù)據(jù)驅(qū)動協(xié)調(diào)模型
目前僅有KLAIM和SeeSOS協(xié)調(diào)語言提供了一定的安全訪問控制機(jī)制。2002年Nadia Busi、Roberto Gomeri等人對KLMM和SecSOS兩種協(xié)調(diào)語言的安全訪問控制機(jī)制進(jìn)行了擴(kuò)展和修改，提出了SecSpaces模型(支持在開放環(huán)境下安全的數(shù)據(jù)驅(qū)動協(xié)調(diào)模型)。SecSpaces不但能夠區(qū)分讀寫操作，還能夠區(qū)分非破壞性的讀int(t)和具有破壞性的讀rd(t)操作。SecSpaces對元組空間數(shù)據(jù)附加特定的控制信息。一個邏輯分區(qū)字段。Partition，另一個非對稱邏輯分區(qū)字段Asymmetric Partition。前者用于對元組空間進(jìn)行邏輯上的分區(qū)，通過這個字段不但可以快速的索引到相應(yīng)的數(shù)據(jù)也增加了數(shù)據(jù)的安全性。后者利用密碼學(xué)非對稱密鑰對數(shù)據(jù)的讀和寫操作進(jìn)行認(rèn)證，能夠嚴(yán)格區(qū)分讀和寫。同時(shí)又將后者分為int(t)和rd(t)區(qū)域，能將這兩種讀取操作區(qū)別開。
3 具有時(shí)間約束的安全數(shù)據(jù)驅(qū)動協(xié)調(diào)模型
從上述SecSpaces模型所提供的安全訪問控制機(jī)制可以看出：(1)數(shù)據(jù)每次讀取操作都會進(jìn)行非對稱的解密操作．計(jì)算復(fù)雜；(2)一旦某個軟件實(shí)體得到了讀取某數(shù)據(jù)的密鑰，它將獲得永久的讀取權(quán)，SecSpaces沒有提供時(shí)效控制。這對于動態(tài)的開放系統(tǒng)是不安全的，例如一個Agent實(shí)體用密鑰讀取數(shù)據(jù)后離開，相隔一定的時(shí)間再次訪問相應(yīng)的數(shù)據(jù)，而此時(shí)的Agent可能已經(jīng)變得不安全，但依靠先前的密鑰仍能讀取。

針對SecSpaces存在的安全問題本文提出了一種具有時(shí)間約束的安全數(shù)據(jù)驅(qū)動協(xié)調(diào)模型。本文對匹配模板增加時(shí)限控制字段來控制軟件實(shí)體訪問共享數(shù)據(jù)空間的時(shí)間，使協(xié)調(diào)模型具有時(shí)間約束性。同時(shí)運(yùn)用混合密鑰認(rèn)證機(jī)制來代替非對稱認(rèn)證來減輕SecSpaces的計(jì)算復(fù)雜度。

模型安全控制規(guī)則描述如下：項(xiàng)目e和模板t

APartion,dt表示模板數(shù)據(jù)(通常用附