一種基于契約和協商的授權方法

摘要：針對目前信任協商研究中缺乏激勵真誠協商動機的研究工作，通過引入博弈論中契約理論的思想，提出了一種基于契約和協商的授權方法，為陌生者之間真誠的信任協商提供了保障，是對信任協商機制的有益補充。通過對方法的性能分析，表明由契約協商引入的代價是可以接受的。這種方法為解決陌生環境下的資源授權管理問題提供了一種新的有效手段。

關鍵詞：信息安全;授權;契約理論;協商

中圖分類號：TP393．08文獻標志碼：A

文章編號：1001-3695(2008)05-1540-03

網格通常以虛擬組織(VO)的形式構成。在VO內部，通常有專門部件來協調用戶與資源的需求，如CAS[1]。由于各VO的安全策略通常是獨立的，不同VO的實體之間通常是陌生的。VO內部可使用的基于身份的訪問控制策略，在陌生環境中遇到了困難。一種有效的解決方法是將基于屬性的訪問控制策略[2]移植到網格環境中。資源提供者為資源制定一套基于屬性的訪問控制策略，請求者只要遞交能證明其擁有某資源的訪問控制策略要求的屬性的信任證，就可訪問資源，因此資源提供者無須知道資源請求者是VO內部的還是外部的，而只要通過協商建立兩者之間的信任關系[3]即可。請求者向某資源發出訪問請求時，通常不知道資源的訪問控制策略，因而也無法攜帶相應的信任證。可由資源提供者根據訪問請求生成資源的訪問控制策略并披露給請求者，然后請求者根據資源的訪問控制策略收集信任證，并將所需的信任證連同對資源的訪問請求發送給資源提供者，從而獲得對資源的訪問授權。

本文關注的問題是在資源提供者面對一個陌生者的訪問請求時，有什么激勵機制使得他愿意如實提供其資源的訪問控制策略以及提供合適的訪問控制策略。對資源請求者來說，如何讓他提出恰當的請求。現有的信任協商機制均建立在協商雙方都有協商成功的愿望的設定上，這在實際環境中未必可行。因此，本文借鑒博弈論中契約理論的思想來解決這個問題。

1基于契約和協商的授權方法

1．1契約理論

在契約理論中，典型的委托—代理模型[4]是一個三階段不完全信息博弈。在第一階段，委托人設計一個契約；在第二階段，代理人選擇接受或不接受委托人設計的契約；在第三階段，接受契約的代理人根據契約的規定選擇一個行動。委托人在設計契約時，面臨兩個約束：a）個人理性約束(IR)。如果讓一個理性的代理人有興趣接受委托人設計的契約的話，代理人在該契約下得到的預期效用必須不小于他在不接受這個契約時能得到的最大預期效用，即保留效用。b）激勵相容約束(IC)，即給定委托人不知道代理人類型的情況，代理人在所設計的契約下必須有積極性選擇委托人希望他選擇的行動。

1．2解決方案

在本文的方案中，委托人是資源提供者，代理人是資源請求者。主要協商授權過程如圖1所示。

①請求者向資源提供者發送訪問資源的請求；②資源提供者根據訪問請求以及資源的安全要求生成資源的訪問控制策略并發送給請求者；③請求者和資源提供者進行契約協商，若協商成功，則再協商一個公正的法庭并完成公證事宜，否則終止授權過程；④資源提供者和請求者進行信任協商，即相互披露訪問控制策略和信任證，若協商成功，則進入⑤，否則終止授權過程；⑤請求者將滿足資源訪問控制策略的所有信任證并連同對資源的請求一起發送給資源提供者；⑥資源提供者驗證接收到的信任證和請求，若符合資源的訪問控制策略，則授權給請求者并成功結束授權過程。這里的關鍵在于如何制訂契約。終止授權使得雙方收益均為負，而成功結束授權過程則雙方收益均為正。

資源提供者若能夠獲利，就會有為資源請求者提供方便的動機。但它需要對資源加以必要的約束，否則就可能非但不能獲利反而遭受損失。因此，本文給出資源定價時需要考慮的因素以及定價原則如下：a)資源被請求的數目M，可用實例化的網格服務數目來度量(通常資源被封裝成網格服務)，請求越多，資源定價越高，這有利于均衡負載；b)資源的可靠性Rr，可靠性越高，資源定價越高，符合優質優價原則；c)訪問控制策略對資源的約束Rc，約束越多，資源定價越低，這是因為約束越多，給請求者帶來的不便越多，通過降低定價方可提高利用率。本文設定資源不被他人使用，資源所有者的收益為0，若被濫用或誤用，收益為負，否則為正。因此，資源所有者有讓資源被合理利用的動機。根據以上原則，資源代理的要價Cr表示為

理想情況下，構造一條信任證鏈的查詢次數是其信任證鏈的長度。使用廣度優先算法查找時，查找的時間復雜度為O(k2)，空間復雜度為O(k)，k為信任證的總數目。通常構造每條信任證鏈的查詢次數存在差異。文獻[5]給出了信任證鏈發現的向前構造算法、向后構造算法以及雙向構造算法，對其稍加改進，可在信任證鏈發現過程中實現對查找次數的計數以及對每次查找所用時間量進行統計。若信任證為集中式儲存，則信任證鏈的構造代價主要與信任證的查找次數有關，本文稱之為本地搜索代價，用Clocq表示；若為分布式儲存，則還要考慮信任證搜索的通信代價，本文稱之為遠程搜索代價，用Cremq表示。下面分別給出這兩種情況的計算方法。

在實際中，對每步信任證搜索所用時間量進行度量比較好操作（盡管也可采用其他方式），因此本文通過測量的時間值間接求出每步信任證搜索的代價，即通過某種映射規則轉換為網格貨幣值，映射規則可能存在多種選擇。為便于討論，本文不考慮其具體形式，使用一個函數f(·)抽象地表示。通過對每步搜索進行計時，得出每步搜索所用時間量，用tlocij或tremij表示之，意思是構造第i條信任證鏈的第j步搜索所用時間量。若為本地搜索，則用tlocij；若為遠程搜索，則用tremij。使用如下公式轉換成網格貨幣值：

1．3方法描述與設計

基于契約和協商的授權方法描述如下：

a)資源請求者向資源提供者發送訪問請求。

b)提供者根據訪問請求生成資源的訪問控制策略并發送給請求者。

c)請求者根據資源的訪問控制策略構造所需信任證鏈。若構造成功，則根據式(15)~(17)計算出信任證鏈構造代價(Clinkq)并發送給提供者;否則終止授權過程。

d)提供者根據式(21)(23)得出滿足兩個約束條件的(Clinkq)。其的取值范圍取決于經驗系數α、β、γ、φ、ψ、λ的取值范圍。

e)提供者參考Clinkq的值確定一個自己認為對雙方都有利的(Clinkq)值，并向請求者返回(Clinkq)以及利用其計算的請求者收益φOq和提供者的要價Cr。

f)若請求者驗證滿足式(19)，則同意提供者建議的（Clinkq）值以及提供者的要價Cr并給提供者以確認。若不滿足式(19)并且協商輪回數不超過上限，則向提供者遞交一個新Clinkq值并返回e)，否則終止授權過程。

g)提供者向請求者發送可選的“公正法庭列表”，通常由可信的第三方擔任。

h)若列表中有請求者信任的“公正法庭”，則選取并給提供者以確認并轉j)；否則，若協商輪回數不超過上限，則請求者反建議一個可選的“公正法庭列表”并發送給提供者，若超過，則終止授權過程。

i)若列表中有提供者信任的“公正法庭”，則選取并給請求者以確認；否則，若協商輪回數不超過上限，則提供者反建議一個可選的“公正法庭列表”并發送給請求者，返回h)，若超過，則終止授權過程。

j)提供者向協商好的“公正法庭”提交契約；請求者向協商好的“公正法庭”提交契約和網格貨幣Cr。k)“公正法庭”驗證雙方提交的契約，若一致，則向協商雙方發確認表示契約生效。若不一致并且契約提交輪回數不超過上限，則返回j)重新進行契約提交；否則終止授權過程。

l)資源提供者和資源請求者進行信任協商以建立信任關系。

m)若在契約有效期內信任協商成功，則提供者將授權憑證提交“公正法庭”， “公正法庭”詢問請求者以驗證授權憑證后將Cr支付給提供者，并成功結束授權；否則“公正法庭”會在契約過期后將請求者提交的網格貨幣Cr退回給請求者，并終止授權過程。

契約格式如下所示：

2分析與評價

在本文方法中，信任證鏈構造是契約協商階段較費時的部分，但筆者是將信任協商階段的必做工作放到了這個階段，而使信任協商階段專注于隱私信息的保護。同時，若信任證鏈構造不成功，則不會進入到信任協商階段，因此避免了不必要的信任協商。在構造信任證鏈時，本文是在已有構造算法上增加必要的順序執行語句實現對所用時間量和查找次數的統計，所增語句的時間復雜度和空間復雜度都不超過線性級，不會增加原來算法的復雜度。“公正法庭”的協商可能因輪回數的增多而增加開銷進而有可能不成功。這需要資源提供方做出一些妥協以降低開銷和增加成功率，理由是即使資源請求者不守信用，他也可通過中斷服務而予以回應。在網格環境中已有不少基于經濟機制進行資源管理的研究工作，但在信任協商研究中，尚未見利用經濟學思想激勵真誠協商動機的研究報道。本文通過引入契約理論的思想，為陌生者之間真誠的信任協商提供了保障，是對信任協商機制的有益補充。

3結束語

本文引入了博弈論中契約理論的思想來解決陌生環境中的資源授權管理問題。現實社會是趨利的，網絡世界的各個自治域通常為不同的利益集團所擁有或經營，也具有類似的一面，因此，依據契約理論的思想所設計的方法具有合理性。但引入契約協商機制需要付出一定的代價，通過對方法的性能分析，筆者認為這些代價是可以接受的。

參考文獻：

［1］PEARLMAN L，WELCH V，FOSTER I，et al.A community authorization service for group collaboration[C]//Proc of the 3rd International Workshop on Policies for Distributed Systems and Networks.Washing－ton DC:IEEE Computer Society Press，2002:50-59.

［2］JOHNSON W，MUDUMBAI S，THOMPSON M.Authorization and attribute certificates for widely distributed access control[C]//Proc of the 7th Workshop on Enabling Technologies: Infrastructure for Colla-borative Enterprises.Washington DC: IEEE Computer Society Press，1998:340-345.

［3］WINSBOROUGH W H，SEAMONS K E，JONES V E.Automated trust negotiation[C]//Proc ofDARPA Information Survivability Conf and Exposition.New York:IEEE Press，2000:88－102.

［4］肖條軍.博弈論及其應用[M].上海：上海三聯書店，2004:293-298.

［5］LI N H，WINSBOROUGH W H，MITCHELL J C.Distributed credential chain discovery in trust management[C]//Proc ofIEEE Symp on Computing and Communications Security.New York:ACM Press，2001:156－165.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”