多方自动信任协商的心得体会

1、多方自动信任协商的心得体会 论文名:多方自动信任协商(n） 专 业：0网络工程1班 姓 名：王金燕 学 号:081032212 指导老师：陈宏伟 起始日期:22X-1-3 多方自动信任协商:一种新的分布式授权方法 自动信任协商(at)是一个有前景的方法,它在没有任何事先了解对方的两个实体之间建立信任。然而，现实世界中的授权过程往往涉及atn不支持的第三方在线输入。在本文中,我们引入一个新的分布式授权方法，多方信任协商(tn）。 我们定义一个以数据记录为基础的政策语言,分布式授权和版本控制逻辑(darcl）,来同时指定授权和版本控制政策。drl适合t的需求,也可以为一个功能强大的通用授权策略语言服务。要协调多方之间没有一个集中的主持人的谈判进程,我们建议扩散谈判的协议，即允许当事人在一个分布式的方式中开展谈判的消息传递约定。扩散谈判协议上,我们提出了两个谈判策略来驱动tn在隐私和谈判速度之间的不同权衡。我们还表明，这些战略是安全和完整的。为了更好地说明以上观点我们来看看an有哪些弊端。 常规授权系统在以下情况下是封闭的,即一个用户的所有重要的属性在用户请求授权时已事先知道。然而，在开放的

2、分布式系统,如eb,陌生人之间往往彼此交互,来接收或提供服务。当双方互动,以达成一项授权决定，自动信任协商（atn）是在没有任何事先了解对方的情况下建立信任的有效途径。在an中，每一方有基于数字证书的授权政策，来限制外来者访问敏感资源。当外来者请求访问敏感的资源时,随之而来的信任协商包括双边凭证披露序列。首先披露较不敏感的凭据，以建立足够的信任来披露更敏感的凭据。当访问资源所有者的授权政策是满意的时，谈判结束,它让我们更清楚的知道,信任将不会被建立,或任何一方会中断谈判。如果信任已经是被建立的，资源请求者就被授权访问拥有者（业主)的资源。 现实世界中的授权决策往往涉及两个以上当事人。例如,当一个人提交网上申请购买汽车保险时,保险公司需要评估买方的驾驶记录和信用评分，以减少销售风险。授权过程可以被分解成许多两方的谈判,即，一个谈判是保险公司和买方之间的购买谈判，另一个谈判是保险公司和汽车部（dm)为买方的驾驶记录的谈判,第三个谈判是保险公司和信用局为买方的信用评分之间的谈判。然而，减少自动化的多方授权成为独立的两方的信任谈判的分解是不充足的，因此，为了整体的谈判取得成功需要按一定的顺序交

3、错进行。例如，保险公司和买方之间的谈判无法完成,直到保险公司得到保险公司和信用局之间信用报告的谈判结果，这反过来要求保险公司获得买方的信用检查的授权。 对于这样一个多方授权,我们需要一个政策语言表现,足以说明与会各方和他们的要求之间的依赖关系，以及一个系统化和自动化的方式，将授权分解成多个两方的谈判和使他们按一定的秩序交错,遵守他们的依赖关系。我们也需要一个检测依赖关系的周期和在适当的运行时间处理他们的方法。整体而言，我们需要一个新的授权模式,多方信任协商（mtn）,即按照每一方的授权政策，多方之间可自动进行谈判。 版权,隐私和安全方面的考虑，往往会导致用户限制敏感信息的流动。例如，健康保险流通和责任法案（ia)要求医院做出合理的努力，为了如诊断和支付的目的，去向第三方披露只有最低限度的必要的健康信息。不适当的披露可能会导致侵犯隐私和更严重损害例如身份盗窃。在这种情况下，释放控制政策被用来指定下一条信息可以披露(发送）给另一方的条件。发行政策与授权政策有关, 在“拉”模式下政府可以访问任意资源。例如，授权策略决定lic是否可以访问高度机密的数据库，同时版本控制政策决定谁会被告知aic有

4、这样的特权。一些政策语言明确区分这两种政策,并在他们如何可以一起使用施加了限制;例如，一个人不能基于一个版本控制条件下的授权决定。在本文提出在acl政策语言中，授权和版本控制是自然结合：授权可基于释放条件，反之亦然。此外，drl允许政策作家来同时指定来源和每个披露的目标,因此,一个授权决定可以不仅仅根据收到的信息内容，而且也可以根据其来源。此功能允许acl指定其他语言不能的有用政策，也使得darcl对于mn来说是一个合适的策略语言。例如,drl可以很容易地说，在alic给bob访问某个资源之前,bob必须透露了他确切的资历给aice并且第三方cl必须为b担保。 一个信任的谈判协议规定高层次公约，为了在谈判各方之间进行通讯，包括允许的消息类型。在两方谈判协议的最常见形式,各方轮流发送邮件,直到谈判成功或失败。很难界定为两个以上当事方工作的协议，这是。如果我们允许一个同行承担作为谈判主持人的角色,主持人可以组织成多轮谈判。在每一轮中,同行将请求发送给他人和回复他已经接收了前几轮的请求。谈判继续进行,直到在某一轮中，主持人宣布谈判成功或失败了。不幸的是,主持人集中控制的做法,直接违背了开放的

5、分布式系统的自主性。例如，我们需要能够允许谈判双方离开并重新加入谈判的行列,这样使主持人的工作复杂而难以扩展。理想情况下,mtn协议应该是分布式而免于集中控制的。下面我将来具体讲讲drcl政策语言。 我们构造一个分布式系统作为一个对等的有限集的，即每个拥有有限的知识基础的系统通过交换关于他们的资源和服务的信息来相互沟通。在图1中给出了drcl的语法。一个对等的为了访问资源或服务的授权政策，由一系列darcl规则组成,即在服务的访问可以被授予之前，指定必须被满足的条件。 在drcl语言中，凭据是签署了的述语，它可以用来表示访问资源和服务的主体和授权的属性。darcl抽象了几个现实世界凭据的属性,如x.509证书,只保留那些需要有关分布式授权的原因。在universi.ireiseredstudent(alc)凭证中,大学是签署凭证的发行人，alice是主体，而isregsteedstudnt是凭证名称。证书可以有一个以上的主题。在本文中,acl凭证名称和节点名称的值，一两句话是说不清的,如通过x和y变量来区分他们,并且对等名称不会被用作为字符串值的条件。在一个drc公式中,通过取代所有出

6、现的变量，我们可以实例化一个常数。如果dcl公式不包含任何变量，那么它是有根据的。 我们使用perpeer1来表示从一个节点发送消息到另一个节点的披露，peer是消息的起源，pe1是消息的目的地，c则是它的内容。每个darcl规则的头包含了披露。规则的身体可以是空的,在这种情况下,规则的头是一个 事实。直观地说,alice0bb在规则的头部意味着lice授权给bob0的披露，bobc1lice在规则的身体部位意味着ic已收到来自bob的c1。 darcl规则还必须满足三个额外的限制,简化规则规范和防止某些荒谬的政策。让s0c0d0s1c1d1,.，nc在lice的授权策略下成为规则。 1.对于每一个,n,不管是si或者是d,都必须属于alc；当规则的身体部位不是空时,在规则的头部,披露的源0必须属于alice。这是因为alce仅仅只能将她的授权决定建立在她的本地本地状态之上,也就是说，她自己的政策加上已发送给她的凭据。另一方o发送给carl的凭证是什么样的超出了alice的知识；类似地,aie不能强迫bb透露凭证。 2.如果在规则的头部凭证c0的发行者不是alice并且规则的身体部位不

7、为空,然后c0必须是在身体的部位，凭证ci中的一个，1n。换句话说,在alie可以透露由别人签署的凭证之前,她必须已经接受了它。 3.每一个在规则身体部位的变量也必须出现在规则的首部。在这种束缚下,如果变量实例化后披露在规则的头部,那么披露也会在规则的身体部位。正如在我们的推理规则展示之后,强制执行,在运行时每个披露的凭证将是为了打基础的。 当披露的源和目的是相同的一方时，例如，alecali，我们把它称为一个单一披露。我们利用单一披露alcecali来呈现alic拥有凭证c的事实。如果的发起者不是ale，iccalic意味着alice已经收到c。如果alice是c的发起者,iceaic意味着alie愿意去签署c或者已经签署了,这取决于它是在规则的头部还是身体部位。为了简化，我们缩写单一披露aliecalice仅仅为c。这种简化不会造成混乱,因为第一条限制告诉我们c在lie的知识库必须代表alieclice,而不是bbcbb。如果披露的源和目标是不同的，我们把它称为远程披露。如果授权规则的头部为远程披露，那么它是一个版本控制规则。对等方所有政策和凭证的集合是它的知识库。 在实践中,凭据

8、往往跟他们的发行者或者主体一起存储。在这种情况下,披露的源可以被限制成为凭证的发行者或者其主体之一。这种限制很容易使用rcl语言表达但不内置到语言，因为我们想要支持额外的脚本，例如当凭据的分配外包给第三方时的情况。 下一步我将介绍基于dac政策，如何做出授权决定。有时对等方可以仅仅根据本地授权政策作出授权决定。其他的时候，授权决定是集体的,它基于对等方本地政策以及从其他对等方接收的信息。因此，darcl有两种类型的推理规则,即局部推理和全局推理。从逻辑的角度来看，局部的推理规则是用来派生新的对等方的知识库内的事实或规则，而全局的推理规则,连同局部的推理规则，可用于推导基于多个对等方知识库新的事实。局部推理规则peea可以使用以下的局部推导规则。 -实例：在的知识库中从规则r中推导出r的实例 通过另一个变量或文字取代所有r中相同的变量的出现。 -知识：从中，得出ad。-假言推理手法:从规则d0d1d和事实d,n在的知识库中，得出d。 全局推理规则： 在的知识库中,从ab,其中d是基础,在的知识库中派生出ab。 接下来介绍披露序列,如果d已经在alice的知识库中,或者使用局部推理规则d可

9、以从ace的知识库中得出,我们说披露d=cebo被解锁，否则,d就被锁定。假设d是锁定的并且如果alic收到来自其他对等方的披露d1，.,dn,则d将被解锁；我们说被d1,.,n锁定。我们说披露是与有关的披露，如果通过知识规则e派生出e,或者存在一个实例规则r的r,d作为他的头部并且在的身体部位e是一个披露,如果e是与d有关的披露，那么每一个与e有关的披露也是与d有关的披露。如果发生的时候它是被解锁的，则披露是安全的。例如，如果在lie的知识库中，alcbo是解锁的,alce就可以放心地向bo披露c。我们定义披露序列seq为d1，.,dn，每一个diii是一个远程披露代表si向披露ci，并且每一个d在di之后发生。如果每一个di在它产生时是安全的,那么seq对dn是安全披露序列。更具体地说，在首次披露发生前,每一个di必须解除锁定,或者一旦d-1发生就解锁。当seq是安全的，对给我们提供以下命题的di来说,d1,.，i是一个安全的披露序列。 命题1。如果d1，.,dn是安全披露序列，然后为di有一个安全披露序列，与大多数i披露,i的范围1i。 存在安全披露序列,对d=bocale意味着如果在s中给定的顺序进行披露，在不违反任何对等方的授权策略情况下，资源的拥有者bob

《多方自动信任协商的心得体会》由会员汽***分享，可在线阅读，更多相关《多方自动信任协商的心得体会》请在金锄头文库上搜索。