《一种基于契约和协商的授权方法.doc》由会员分享,可在线阅读,更多相关《一种基于契约和协商的授权方法.doc(8页珍藏版)》请在三一文库上搜索。
1、一种基于契约和协商的授权方法网格通常以虚拟组织(VO)的形式构成。在VO内部,通常有专门部件来协调用户与资源的需求,如CAS1。由于各VO的安全策略通常是独立的,不同VO的实体之间通常是陌生的。VO内部可使用的基于身份的访问控制策略,在陌生环境中遇到了困难。一种有效的解决方法是将基于属性的访问控制策略2移植到网格环境中。资源提供者为资源制定一套基于属性的访问控制策略,请求者只要递交能证明其拥有某资源的访问控制策略要求的属性的信任证,就可访问资源,因此资源提供者无须知道资源请求者是VO内部的还是外部的,而只要通过协商建立两者之间的信任关系3即可。请求者向某资源发出访问请求时,通常不知道资源的访问
2、控制策略,因而也无法携带相应的信任证。可由资源提供者根据访问请求生成资源的访问控制策略并披露给请求者,然后请求者根据资源的访问控制策略收集信任证,并将所需的信任证连同对资源的访问请求发送给资源提供者,从而获得对资源的访问?谌? 本文关注的问题是在资源提供者面对一个陌生者的访问请求时,有什么激励机制使得他愿意如实提供其资源的访问控制策略以及提供合适的访问控制策略。对资源请求者来说,如何让他提出恰当的请求。现有的信任协商机制均建立在协商双方都有协商成功的愿望的设定上,这在实际环境中未必可行。因此,本文借鉴博弈论中契约理论的思想来解决这个问题。 1基于契约和协商的授权方法 11契约理论 在契约理论中
3、,典型的委托代理模型4是一个三阶段不完全信息博弈。在第一阶段,委托人设计一个契约;在第二阶段,代理人选择接受或不接受委托人设计的契约;在第三阶段,接受契约的代理人根据契约的规定选择一个行动。委托人在设计契约时,面临两个约束:a)个人理性约束(IR)。如果让一个理性的代理人有兴趣接受委托人设计的契约的话,代理人在该契约下得到的预期效用必须不小于他在不接受这个契约时能得到的最大预期效用,即保留效用。b)激励相容约束(IC),即给定委托人不知道代理人类型的情况,代理人在所设计的契约下必须有积极性选择委托人希望他选择的行动。 12解决方案 在本文的方案中,委托人是资源提供者,代理人是资源请求者。主要协
4、商授权过程如图1所示。 请求者向资源提供者发送访问资源的请求;资源提供者根据访问请求以及资源的安全要求生成资源的访问控制策略并发送给请求者;请求者和资源提供者进行契约协商,若协商成功,则再协商一个公正的法庭并完成公证事宜,否则终止授权过程;资源提供者和请求者进行信任协商,即相互披露访问控制策略和信任证,若协商成功,则进入,否则终止授权过程;请求者将满足资源访问控制策略的所有信任证并连同对资源的请求一起发送给资源提供者;资源提供者验证接收到的信任证和请求,若符合资源的访问控制策略,则授权给请求者并成功结束授权过程。这里的关键在于如何制订契约。终止授权使得双方收益均为负,而成功结束授权过程则双方收
5、益均为正。 资源提供者若能够获利,就会有为资源请求者提供方便的动机。但它需要对资源加以必要的约束,否则就可能非但不能获利反而遭受损失。因此,本文给出资源定价时需要考虑的因素以及定价原则如下:a)资源被请求的数目M,可用实例化的网格服务数目来度量(通常资源被封装成网格服务),请求越多,资源定价越高,这有利于均衡负载;b)资源的可靠性Rr,可靠性越高,资源定价越高,符合优质优价原则;c)访问控制策略对资源的约束Rc,约束越多,资源定价越低,这是因为约束越多,给请求者带来的不便越多,通过降低定价方可提高利用率。本文设定资源不被他人使用,资源所有者的收益为0,若被滥用或误用,收益为负,否则为正。因此,
6、资源所有者有让资源被合理利用的动机。根据以上原则,资源代理的要价Cr表示为 理想情况下,构造一条信任证链的查询次数是其信任证链的长度。使用广度优先算法查找时,查找的时间复杂度为O(k2),空间复杂度为O(k),k为信任证的总数目。通常构造每条信任证链的查询次数存在差异。文献5给出了信任证链发现的向前构造算法、向后构造算法以及双向构造算法,对其稍加改进,可在信任证链发现过程中实现对查找次数的计数以及对每次查找所用时间量进行统计。若信任证为集中式储存,则信任证链的构造代价主要与信任证的查找次数有关,本文称之为本地搜索代价,用Clocq表示;若为分布式储存,则还要考虑信任证搜索的通信代价,本文称之为
7、远程搜索代价,用Cremq表示。下面分别给出这两种情况的计算方法。 在实际中,对每步信任证搜索所用时间量进行度量比较好操作(尽管也可采用其他方式),因此本文通过测量的时间值间接求出每步信任证搜索的代价,即通过某种映射规则转换为网格货币值,映射规则可能存在多种选择。为便于讨论,本文不考虑其具体形式,使用一个函数f(?)抽象地表示。通过对每步搜索进行计时,得出每步搜索所用时间量,用tlocij或tremij表示之,意思是构造第i条信任证链的第j步搜索所用时间量。若为本地搜索,则用tlocij;若为远程搜索,则用tremij。使用如下公式转换成网格货币值: 13方法描述与设计 基于契约和协商的授权方
8、法描述如下: a)资源请求者向资源提供者发送访问请求。 b)提供者根据访问请求生成资源的访问控制策略并发送给请求者。 c)请求者根据资源的访问控制策略构造所需信任证链。若构造成功,则根据式(15)(17)计算出信任证链构造代价(Clinkq)并发送给提供者;否则终止授权过程。 d)提供者根据式(21)(23)得出满足两个约束条件的(Clinkq)。其的取值范围取决于经验系数、的取值范围。 e)提供者参考Clinkq的值确定一个自己认为对双方都有利的(Clinkq)值,并向请求者返回(Clinkq)以及利用其计算的请求者收益Oq和提供者的要价Cr。 f)若请求者验证满足式(19),则同意提供者建
9、议的(Clinkq)值以及提供者的要价Cr并给提供者以确认。若不满足式(19)并且协商轮回数不超过上限,则向提供者递交一个新Clinkq值并返回e),否则终止授权过程。 g)提供者向请求者发送可选的“公正法庭列表”,通常由可信的第三方担任。 h)若列表中有请求者信任的“公正法庭”,则选取并给提供者以确认并转j);否则,若协商轮回数不超过上限,则请求者反建议一个可选的“公正法庭列表”并发送给提供者,若超过,则终止授权过程。 i)若列表中有提供者信任的“公正法庭”,则选取并给请求者以确认;否则,若协商轮回数不超过上限,则提供者反建议一个可选的“公正法庭列表”并发送给请求者,返回h),若超过,则终止
10、授权过程。 j)提供者向协商好的“公正法庭”提交契约;请求者向协商好的“公正法庭”提交契约和网格货币Cr。k)“公正法庭”验证双方提交的契约,若一致,则向协商双方发确认表示契约生效。若不一致并且契约提交轮回数不超过上限,则返回j)重新进行契约提交;否则终止授权过程。 l)资源提供者和资源请求者进行信任协商以建立信任关系。 m)若在契约有效期内信任协商成功,则提供者将授权凭证提交“公正法庭”, “公正法庭”询问请求者以验证授权凭证后将Cr支付给提供者,并成功结束授权;否则“公正法庭”会在契约过期后将请求者提交的网格货币Cr退回给请求者,并终止授权过程。 契约格式如下所示: 2分析与评价 在本文方
11、法中,信任证链构造是契约协商阶段较费时的部分,但笔者是将信任协商阶段的必做工作放到了这个阶段,而使信任协商阶段专注于隐私信息的保护。同时,若信任证链构造不成功,则不会进入到信任协商阶段,因此避免了不必要的信任协商。在构造信任证链时,本文是在已有构造算法上增加必要的顺序执行语句实现对所用时间量和查找次数的统计,所增语句的时间复杂度和空间复杂度都不超过线性级,不会增加原来算法的复杂度。“公正法庭”的协商可能因轮回数的增多而增加开销进而有可能不成功。这需要资源提供方做出一些妥协以降低开销和增加成功率,理由是即使资源请求者不守信用,他也可通过中断服务而予以回应。在网格环境中已有不少基于经济机制进行资源管理的研究工作,但在信任协商研究中,尚未见利用经济学思想激励真诚协商动机的研究报道。本文通过引入契约理论的思想,为陌生者之间真诚的信任协商提供了保障,是对信任协商机制的有益补充。 3结束语 本文引入了博弈论中契约理论的思想来解决陌生环境中的资源授权管理问题。现实社会是趋利的,网络世界的各个自治域通常为不同的利益集团所拥有或经营,也具有类似的一面,因此,依据契约理论的思想所设计的方法具有合理性。但引入契约协商机制需要付出一定的代价,通过对方法的性能分析,笔者认为这些代价是可以接受的。