（信号与信息处理专业论文）网格环境下信任的研究与应用.pdf

网格环境下信任的研究与应用 摘要 网格技术是继i n t e r n e t 之后的又一次重大科技进步，它的目标是通过 互联网提供包括计算资源、存储资源、通信资源、软件资源、知识资源等 所有资源的全面共享，实现大规模协作计算和海量数据存储。网格安全是 4 网格计算环境正常运行的保证，而信任机制是一切安全体系的支撑基础。网 格有其所特有的不同于传统网络的安全与信任需求。但是目前，尚未有一 个综合的信任机制解决方案来满足这些安全与信任需求。 基于这样的前提，本文从基本的背景知识入手，总结了网格环境的特 点，分析了网格的安全需求，并指出了信任机制在网格安全中的重要性。 本文依据面向不同应用的网格系统对网格信任机制侧重点的不同，提出了 一个比较综合的网格信任问题的解决方案。总体上该方案按照静态信任和 动态信任分别来阐述。 ， 首先，静态信任，即主要是指身份信任。本文提出了一种可改变证书 信任深度的代理证书链结构。这是在目前最成熟的网格安全框架g s i ( g r i d s e c u f i 锣i n f r a s u u a u r e ) 中的代理证书委托机制进行了详细分析的基础上提出 的。该方案解决了g s i 中多级代理证书链的结构导致证书链过长、用户代 理对证书链的维护开销过大和认证效率不高的问题，从而提高了代理证书 链的可靠性。 其次，动态信任，是指以身份信任为基础的行为信任，它更多地关注对通 过了身份验证后的信任实体的行为监管。网格环境中实体的信任值作为网格实 体间交易判断的主要参考值，它的求解方法是非常关键的。本文详细阐述了两 种动态信任值求解方法在网格环境下的应用。 第一种，是以人类社会学为基础的基于推荐信任的信任值求解算法，它允 许网格实体有偶尔的失信行为。这也是目前研究较多的信任值计算方法，本文 选取其中一种较为合理的方法，并就其在网格中的应用作了详细阐述。 第二种，是基于时间帧的信任值的计算方法，这是借鉴p 2 p 网络中的一 种信任值算法研究，并在其基础上做了改进，使之符合网格环境下的应用。该 方法针对基于推荐信任的信任值算法中的某些不足，加大了对用策略性行为改 变和复杂的合伙欺骗方式对系统中其他节点进行攻击的恶意节点的惩罚力度， 有效地提高了网格实体的稳定性和可靠性。 然后，提出一种较为综合的网格环境下的信任机制解决方案。即依据网 格面向具体问题和应用的特点，提出：面向不同应用、对网格信任机制侧 重点不同的网格系统，综合静态信任和不同的动态信任值的计算方法，选择 适合自身特点的信任机制作为网格主体之间协作的信任基础。 文章的最后指出了今后研究工作的方向。 关键词：网格安全信任静态信任动态信任 r e s e a r c h & a p p l i c a t i o n o nt r u s ti ng r i de n v i r o n m e n t g r i dt e c h n o l o g yi sa n o t h e rg r e a tt e c h n o l o g i c a lp r o g r e s sa f t e rt h ee m e r g e n c eo f i n t e m e t ，1 1 l eg o a lo fg r i di st op r o v i d el a r g e - s c a l ec o l l a b o r a t e dc o m p u t a t i o n sa n d s t o r a g eo fh u g ed a t at h r o u g hc o m p l e t e l yr e s o u r c es h a r i n ga m o n gt h er e s o u r c eo f c o m p u t i n g ，s t o r a g e ，c o m m u n i c a t i o n ，s o f t w a r e ，a n dk n o w l e d g ea n ds oo n i ni n t e m e t g r i ds e c u r i 哆g u a r a n t e e st h en o r m a lm n n i n go f g r i ds y s t e m , a n dt r u s tm e c h a n i s mi s t h eb a s i cs n s t e n t a t i o no fe v e r ys e c u r i t ys y s t e m g r i dh a si t so w ns e c u r i t ya n dt r u s t r e q u i r e m e n t s w h i c hd i f f e rf r o mt r a d i t i o n a ln e t w o r k t h e r ei ss t i l l l a c ko fi n t e g r a t e d t r u s tm e c h a n i s ms o l u t i o nt os a t i s f yt h o s es e c u r i t ya n dt r u s tr e q u i r e m e n t ss of a r 1 n h et h e s i ss t a r t sf r o mt h eb a s i cb a c k g r o u n dk n o w l e d g ea n da n a l y s e st h e c h a r a c t e r i s t i c sa n ds t r u c t u r e so fg r i de n v i r o n m e n t ，w h i c hb r i n gc h a l l e n g e st o s e c u r i t ya n dt r u s tm e c h a n i s mo ft h eg r i d s oi ti sp o i n t e dt h a tt h et r u s tm e c h a n i s m i nt h es e c u r i t yo fg r i de n v i r o n m e n ti sv e r yi m p o r t a n t d u et og r i ds y s t e m s ，w h i c h f a c et od i f f e r e n ta p p l i c a t i o n s ，t a k ed i f f e r e n ta t t e n t i o nt ot r u s tm e c h a n i s m s ，t h et h e s i s p r o p o s e sac o m p r e h e n s i v es o l u t i o nf o rs o l v i n gt r u s tp r o b l e m s i ng r i d o nt h ew h o l e ， t h es o l u t i o nc o n s i s t so ft w op a r t sa ss t a t i ct r u s ta n dd y n a m i ct r u s t f i r s t l y , t h es t a t i c t r u s ti s m o s t l yi d e n t i t yt r u s t t h et h e s i sp r o p o s e san e w s t r u c t u r eo fp r o x yc e r t i f i c a t ec h a i n , w h i c hc a nc h a n g ei t so w nt r u s td e p t h , b y a n a l y z i n gt h em e c h a n i s mo fl o n gp r o x yc e r t i f i c a t ed l a i l li n ( 迟i ( g r i ds e c u r i t y i n f r a s t r u c t u r e ) g s ii st h eg r i ds e c u r i 哆a r c h i t e c t u r eo f t h eg l o b n sp r o j e c t ，w h i c hi s t h em o s tf a m o u sp r o j e c ti ng r i da r e a 1 1 1 en e ws o l u t i o ns o l v e ss e v e r a lp r o b l e m so f t h el o n gp r o x yc e r t i f i c a t ed l a i l ls u c ha si t sh i g hm a i n t e n a n c eb u tl o we f f i c i e n c yo f a u t h e n t i c a t i o n ，a n di m p r o v e sr e l i a b i l i t yo fc e r t i f i c a t ec h a i n s e c o n d l y , t h ed y n a m i c t r u s ti sm o s t l yb e h a v i o rt r u s t , w h i c hi sb a s e do ni d e n t i t y t r u s ta n dt a k e sm o r ea t t e n t i o nt ob e h a v i o rc o n t r o lo fe n t i t i e sp a s s e db yi d e n t i t y a u t h e n t i c a t i o n t r u s tv a l u ei st h em o s ti m p o r t a n tr e f e r e n c eb e t w e e ne n t i t i e si ng r i d w h e nt h e yb a d ee a c ho t h e r s oi ti sa l s ov e r yi m p o r t a n th o wt og e tt h e i rt r u s tv a l u e t h et h e s i se x p o u n d st h ea p p l i c a t i o no ft o wa l g o r i t h m so fd y n a m i ct r u s tv a l u ei n g r i de n v i r o n m e n t t h ef i r s to n ei st h ea l g o r i t h mo fr e c o m m e n d a t i o nb a s e dd y n a m i ct r u s tv a l u e ， r e f e r r i n gt os o c i a lp e o p l et r u s tr e l a t i o n s h i pm o d e l t h i sk i n do fa l g o r i t h mt h a ti s r e s e a r c h e dm o s t l ys of a rc a na c c e p tt h a tg r i dn o s eh a v eb r e a kf a i t hb e h a v i o ro n c ea w h i l e t h et h e s i se x p o u n d st h ea p p l i c a t i o no fa na l g o r i t h mi ng r i de n v i r o n m e n t t h es e c o n do n ei st h ea l g o r i t h mo ft i m e f r a m eb a s e dd y n a m mt r u s tv a l u e ， r e f e r r i n gt oak i n d o ft r u s tv a l u ea l g o r i t h mi np 2 pn e t w o r k i ti si m p r o v e dt of i tt h e a p p l i c a t i o ni ng r i de n v i r o n m e n t d u et ot h ed e f e c t si nt h ef i r s ta l g o r i t h ma b o v e ，t h i s a l g o r i t h me n h a n c e se f f e c t i v i t yi nc o u n t e r i n gm a l i c i o u se n t i t i e sr e g a r d i n gs t r a t e g i c a l t e r i n g b e h a v i o ra n d c o o p e r a t e - d e c e i v i n g s o i t i m p r o v e ss t a b i l i t y a n d d e p e n d a b i l i t yo f e n t i t i e si ng r i d a n dt h e n ，t h et h e s i sp r o p o s e sac o m p r e h e n s i v es o l u t i o nf o r s o | v i n gt r u s t p r o b l e m si ng r i de n v i r o n m e n t g r i ds y s t e m st h a tf a c et od i f f e r e n ta p p l i c a t i o n sa n d t a k ed i f f e r e n ta t t e n t i o nt ot r u s tm e c h a n i s m s ，c o n s i d e r i n gs t a t i ct r u s ta n dd i f f e r e n t a l g o r i t h m so ft r u s tv a l u e ，c h o o s er i g h tt r u s tm e c h a n i s m a st r u s tb a s eo fc o o p e r a t i o n b e t w e e ne n t i t i e s a tl a s t ，i tp o i n t so u tf u t u r er e s e a r c ht o p i c so ft h i si d e a k e y w o r d s ：g a ds e c u r i t y t r u s ts t a t i ct r u s t d y n a m i ct n l s t 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽 我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经 发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：肇；鹁日期：兰翌1 2 ：主：兰z 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究生 在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有 关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以公布学 位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编学位论 文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论文注释： 本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 日期：望1 2 ：! ：! 呈 日期：丛田：i ：錾 韭室叠垫盘茎塑茎焦逾圭笙= 芏缝 第一章绪论 1 1 课题研究背景与意义 随着i n t e r n e t 应用和大规模动态结盟应用的飞速发展，在开放式环境下，通过 i n t e m e t 进行数据和服务交换不仅是可能的，而且是最基本的要求。在这种情况下，2 0 世 纪9 0 年代中期，第三代互联网技术一网格( g r i d l l l l 2 h 3 1 ) 诞生了。网格技术通过i n t e r n e t 连接地理上分布的各类计算机、系统软件、存储系统、数据资源和特殊设备，形成对用 户相对透明的虚拟计算环境，以统一的形式发布服务等等。网格的目的是提供人们通过 网络上分布的资源来解决问题的机制( o n l i n ep r o b l e ms o l v i n g 3 1 ) 。它的出现，为世人提 供了建设信息系统的新视角、新理念和新技术。 网格技术的研究近年来得到了很好的发展，其应用已经从最初的高性能科学计算发 展到现今的商业、教育、天文、医学等各个领域。网格安全【1 3 】是网格计算环境正常运 行的保证，而信任机制是一切安全体系的支撑基础。网格有其不同于传统网络所特有的 安全与信任需求，目前，尚未有一个综合的信任解决方案来满足这些需求 网格安全与信任问题的解决对于网格应用来说是至关重要的。在网格环境中，各种 资源都动态连接到i n t e r n e t 上，所有的主体也都可以动态加入或撤离网格中的虚拟组织， 在这种没有集中控制机制的情况下，还要对资源进行大规模共享，并且这种共享是动态 的、柔性的、安全的、协作式的，所以网格环境中的安全与信任问题比一般意义上的网 络安全问题的覆盖面更广，解决方案也更加复杂。正是由于网格环境中动态主体特性， 所以在设计网格安全机制时，网格环境中不同主体之间的相互鉴别、主体之间的信任关 系问题就显得尤为重要。在网格分布式体系结构下，只有实施合理的信任策略，才能保 障信息的安全交互、施行安全的访问控制，进而体现网格在高性能分布式计算、提供高 质量服务等方面的优势。 网格环境中的主体之间的信任关系从表现形式上大体上分为两种，一种是基于数字 证书的身份信任，即静态信任；另一种是以身份信任为基础的行为信任，即动态信任。 目前国内外对静态信任研究的比较多，已经有明确的应用形式并在g l o b u s 4 1 试验床上得 以实现，但是对动态信任则研究的比较少，目前还没有一个成熟的表达形式。 在这样的前提下，本文的主要目的有四个：一是总结网格特点，提出信任研究分为 静态信任、动态信任两个大的方面；二是介绍并分析当前g l o b u s 项目中的网格安全基础 设施( g r i ds e c u r i t yi n f r a s t r u c t u r e ，g s 一【1 2 1 ) 中运用到的安全技术，并在现有的代理证 书链结构的基础上改进并提出一种可改变信任深度的代理证书链结构，以提高其认证效 率；三是详细阐述两种动态信任的信任值的计算方法，以满足对网格节点的稳定性各有 i k 室竖垫盘鲎塑兰焦垒圭笠= 童超 偏重的网格系统的需要；四是针对目前网格面向问题的特点提出种较为综合的网格环 境下的信任解决方案，即综合静态信任和不同的动态信任的算法特点，提出对安全要求 不同侧重点的网格系统选择不同的信任机制作为网格主体之间协作的信任基础。 1 2 研究现状 1 2 1 网格的研究现状 国外的网格研究最早从2 0 世纪9 0 年代初开始，从美国、欧洲、日本等发达国家到 印度等一些发展中国家，都启动了大型网格研究计划，并得到了业界的大力支持。英国 政府已投资l 亿英镑，研发“英国国家网格”。美国政府用于网格技术的基础研究经费 达5 亿美元。美国军方正规划实施一个巨型网格计划“全球信息网格”，预计2 0 2 0 年完成。 在我国，国家对网格研究也投入了大力的支持。织女星信息网格就是我国的科研项 目。中国科学院计算机技术研究所从1 9 6 6 年开始了网格技术的研究开发工作。2 0 0 0 年 开发了连接国内8 个曙光计算中心的网格。中国科学院计算技术研究所把网格研究当作 一个长期、重要、具有发展潜力的研究方向。2 0 0 1 年提出了织女星网格计划。该计划包 括从低到高的网格操作系统、信息网格、知识网格三个层次，都取得了很好的研究成果。 这些都说明了我国现在对网格研究的重视，相信通过努力，我国的网格基础设施就 会发挥作用，为科研、教育、生产服务。 目前，网格研究不仅在学术界和研究领域中进行着深入的研究与实验，同时也得到了 来自产业界诸如i b m 、h p 、m i c r o s o f t 、n r r 、h l t e l 、s g i 和s u n 等各大公司的巨资支持与 商业应用开发。 由以上不难看出，目前国内外在网格方面的研究十分活跃，研究范围跨度很大。目前 呈现这样的趋势：一是网格计算标准化的呼声越来越高，目的就是为了防范和统一现在大 量的网格计算研究，g l o b u s 在一定程度上成为事实上的标准；二是专用网格的研究与开发 成为一个重要的方向，因为网格是面向具体问题应用的，而专用网格在这一方面具有独特 的优势，可以为通用网格技术提出最直接最具体的需求；三是开放的面向w c bs e r v i c e 的框 架结构和与工商业界应用的结合是网格技术研究的一个重要趋势，原来的网格计算主要集 中在科学计算等学术领域，而目前正在走向实用并与市场结合，直接服务于生产和各种商 业活动。 1 2 2g l o b u s 项目简介 g l o b u s 发起于九十年代中期，是美国a r g o n n e 国家实验室与南加州大学信息科学学院 i s i 合作开发的项目。它是一种研究网格环境中互操作的中间件技术，为科学和工程上的网 格计算应用程序提供基本的支撑环境，g l o b u s 对信息安全、资源管理、信息服务、数据管 2 i 立竖垫叁兰亟芏焦迨塞笙二圭：! 超 理以及应用开发环境等网格计算的关键理论和技术进行了广泛的研究。开发出能在多种平 台上运行的网格计算工具包软件( g l o t m st o o l k i t ) 。能够用来帮助规划和组建大型的网格 应用平台。 g l o b u s 项目中的网格安全基础设施( g r i d s e c u r i t y t m c t u r e ，g s i ) 主要集中在网络 中的传输层和应用层，它强调与现有的分布式安全技术相融合，并根据网格自身的特点作 了相应的扩展。 1 2 3 信任管理系统的组成 在开放网络环境中一个实际的信任管理系统一般由信任信息收集、信任信息综合处理 和行为评价与决策三部分组成，如图1 1 所示： 信任管理系统 图i i 信任管理系统的般纽茂 ( 1 ) 信任信息收集 即在每次事务完成后，要对事务的历史及行为评价的结果进行记录。在信息收集步骤 主要完成参与网络事务实体的身份识别，收集信任信息来源，并对信息进行处理。考虑到 网格环境中，用户可以随意退出，然后再用新身份登录的情况，这样在信任信息收集过程 中就必须面对参与网络中新实体的加入问题。 ( 2 ) 信任信息综合处理 就是信任管理系统的信任计算引擎( t n l s tc o m p u t ee n g i ，慨) ，对信任信息收集过 程中收集的信任原始信息进行综合处理，最后给出备选实体的信任信息计算结果。根据计 算结果，采用相应的策略选择某一实体作为服务实体进行事务交互。 ( 3 ) 行为评价与决策 即在每次事务完成后如何对该次事务的结果是否符合双方的预期进行评价，目前关于 行为评价方面比较复杂，不同的系统对此的处理方法并不一致，其中大部分信任模型采用 简单的二项事件( 成功或失败) 来表示，有的系统则可能采用多级划分。现在，在行为评价方 面面临的主要困难是行为评价能否自动化、智能化，减少用户的参与( 目前很多用户嫌麻烦， 3 韭室竖垫盘芏塑生焦逢圭签= 童超 而不愿在事务结束后提交对事务的行为评价) ，只有这样信任模型才能在更大范围、更多领 域中得到广泛的应用在行为评价结束，一般信任管理系统都会给出相应的应对措施，激励 或惩罚，从而可以起到抑制网络中的不良或恶意行为的影响，提高网络整体可靠性的目的。 1 2 4 信任系统的研究现状 在信任研究领域，从总体网络架构上来说可以分为集中式的信任系统和分布式的信任系 统，不同的网络架构决定了信任系统的通信机制、度量方法、处理模型、应用场景、系统 特性都各不相同。在分布式的信任系统中，根据信任信息来源的范围不同又可以分成局部 信任和全局信任两类信任系统。信任系统的研究目前可以分为以下几类： 1 1 集中式信任系统 在集中信任系统中，存在少数中心实体负责收集网络参与实体的历史事务记录信 息，然后再把所有实体的信誉评分的结果公布出来。在下次的实体事务前，请求实体即 可以通过参考备选服务实体的最新信誉信息来加以选择。这样拥有良好信誉的服务实体 会获得更多的提供服务机会和回报，与此同时诚实可信的实体也会获得更高的信誉，从 而抑制网络中的不良行为，最终会促进网络的良性发展。 集中式信任系统的一般结构如图卜2 所示，实体a 和b 在历史事务记录的基础上， 在信任系统的支撑下相互选择对方，因为双方均认为对方的行为最可靠，从而开始一次 新的事务交互。在每次事务结束后，实体之间会对对方在事务中的行为给出评价，信誉 中心会不断地收集每个实体的评价信息并更新每个实体的信誉信息，更新后的实体信誉 信息会在信誉中心公布。 集中式信任系统需解决下面两个基本问题： ( 1 ) 集中式的通讯协议。通过该协议每个实体可以向信誉中心提供与之完成事务的 实体的行为评价信息和获取其可能要与之进行事务交互实体的信誉信息。 ( 2 ) 信誉计算引擎。信誉中心根据每个实体提供的行为评价信息以及其他信息来计 算网络中每个实体的信誉。 4 a 室竖垫盘生塑茎焦迨圭星= 至睑 ， 历史事务记录 ，一 ( a 纠h ) 历史情况现在情况 图l - 2 集中式信任系统的殷结构 这类系统中，中心实体负责整个网络的监督，定期通告违规的实体，中心实体的合 法性通过c a 颁发的证书加以保证。这类系统往往是中心依赖的，具有可扩展性差、单 点失效等问题。 集中式信任系统主要应用于电子商务领域，在实际应用中大都采用基于p k i 的信任 模型，简单地采用给参与者评价打分的方法来描述信誉度，采用简单的数值计算方式来 实现信任的聚合。 劲分布式信任系统 在分布式信任模型刚中，所有实体间的关系是对等自治的，没有中心控制实体，不 再存在某一中心实体负责收集信任评价信息和提供每一实体的信誉信息，取而代之的是 每一实体会记录每一次历史事务，这样每个实体的信誉信息就会分布在每一实体上 分布式信任系统的一般结构如图卜3 所示，每个实体需将历史事务信息记录下来， 当下一次可能要发生时，实体a 会向网络中的其他实体发出查询实体b 信誉信息请求， 此时，与实体b 有过直接历史事务记录的实体d 和e 就会给出相应的实体b 的信誉信 息，同样实体h 、c 和f 也会根据直接历史事务记录给出实体a 的信誉信息，实体a 和实体b 在分别计算出对方的信誉信息后，可能会做出进行一次事务交互的决定 5 韭室坚垫盘鲎塑堂焦逢圭差= 主女醴 历史事务记录 可能事务 a _ _ _ h a _ _ 卜b d - - b ：a - _ cj 、e - _ b ， a 。- f ) 一 一 d e 一 历史情况现在情况 图1 3 分布式信任系统的一般结构 分布式信任系统需解决下面两个问题： ( 1 ) 分布式的通讯协议。通过该协议每个实体可以获取其他实体的信誉信息。 ( 2 ) 信誉计算模型。每个实体根据其他实体提供的行为评价信息以及其他信息来计 算网络中每个实体的信誉度。 分布式信任模型更符合网格环境中开放性、分布性的应用要求。根据信誉计算模型 中信任信息来源的范围不同又可分为局部和全局两类分布式信任系统。关于网格中的信 任模型，本文在4 4 章节中会有较为详细的描述。 1 2 5 当前网格信任研究工作中存在的问题 网格信任研究的实质是在网格环境中采用恰当的方法对网格节点参与者间的信任进 行度量、评估和推理，为用户提供有效的信任知识表达、逻辑推理和决策支持的自动工 具。但当前的信任研究工作还存在着一些不足之处： ( 1 ) 目前还缺乏统一明确的信任定义，缺乏对信任特征的全面概括，缺乏统一的信 任表示与度量机制，信任模型的推理机制还缺乏合理的解释； ( 2 ) 信任具有主观性和不确定性( 具体分析参见4 1 2 章节) ，目前的网格的信任模 型中信任度量和推理机制对这方面的关注不够，而且缺乏相应的合理语义解释。 ( 3 ) 目前的网格信任模型都采用事前估计，事后调整的处理机制，都采用根据服务 请求方对服务提供方的历史行为评价来判断和预测服务提供方在下一次服务中 能否或在多大程度上提供可靠，可信的服务，在这一过程中服务提供方是被动 的，是不公平的，而且目前的信任模型均需耗费计算和通信开销。 ( 4 ) 没有一个较为综合的网格环境下的信任问题的解决方法。 6 些室坚垫盘茎亟茎垡垒圭星= 芏醴 1 3 本文研究内容 本文就网格安全中的一个方面，即网格的信任关系进行了较为细致的研究，通过在 网格环境中建立并维护信任关系，以达到降低服务的安全风险，促进参与者间的信息交 换与合作，抑止和消除网格环境中的欺诈行为，提高服务质量和可靠性( 不追求绝对可 靠的服务) ，提高整个系统的可用性，从而推动应用的良性发展的目的。 针对1 2 5 节中提出的当前研究工作存在的问题，本文首先分析了网格的特点和体 系结构以及由此给网格的安全和信任问题带来的挑战。其次，本文对网格环境下信任机 制分静态信任和动态信任两个方面进行了阐述。 在静态信任方面，本文对当前较为成熟也是目前应用最广的网格安全基础设施g s i 进 行了分析，重点研究了其中所应用到的基础安全技术以及对它们的扩展应用，并介绍了实 际应用过程；另外还研究了现有代理证书链的结构，指出了其存在的不足，并提出一种新 的可改变信任深度的代理证书链结构，讨论了若干可能遇到的问题和相应的解决方法。 在动态信任方面，在总结了计算机科学领域对信任的研究成果基础上，给出了信任的一 种定义，归纳总结了信任的主要特征、性质与分类，分析了与信任相关或相近的概念与信 任的关系，并就网格中的几种典型的信任模型进行了分析对比，分别指出了他们的优缺点。 另外，详细阐述了两种网格环境下动态信任值的计算方法，并分别总结了其特点以及适用 的网格系统。 最后，提出一种较为综合的网格环境下的信任解决方案，即综合静态信任和不同的 动态信任的算法特点，针对目前网格面向问题的特点提出对安全要求有不同侧重点的网 格系统选择不同的信任机制作为网格主体之间协作的信任基础。 1 4 本人完成的工作 该课题属于软课题预研项目，在该课题的研究过程中，本人独立完成的工作包括： 网格信任机制的研究，分静态信任和动态信任来阐述； 静态信任的研究，特别是对目前最成熟的网格项目g l o b u s 中的网格安全框架 g s i 的安全技术的研究，并对g s i 证书链结构提出改进方案，使代理证书可 以灵活改变信任深度，提高了代理证书链的认证效率和可靠性； 针对目前研究的比较多的基于推荐信任值的求解方法中对的某些不足，借鉴 p 2 p 网络中的基于时间帧的动态信任值计算方法，并对此算法进行了部分改进， 使之适用于网格环境。该算法能够有效处理用策略性行为改变和复杂的合伙欺 骗方式对系统中其他节点进行攻击的恶意节点，适用于对网格节点的稳定性和 可靠性要求较高的网格系统，比如计算网格系统等； 7 韭盏竖垫盘芏塑圭芏堡垒塞筮二童逾 提出一种较为综合的网格环境下的信任解决方案，即综合静态信任和不同的 动态信任的算法特点，提出面向不同问题不同应用，也即对安全要求有不同 侧重点的网格系统选择不同的信任机制作为网格主体之间协作的信任基础。 根据研究过程所涉及的内容，本论文分为以下几个部分： 第一章：阐述了网格环境下信任问题的研究背景，简述了本课题的研究内容以及本人 研究的工作。 第二章：介绍网格的概念、特点及其体系结构，并由此提出网格环境下信任研究的重 要性以及信任研究中的问题。 第三章：详细阐述静态信任，对当前较为成熟也是目前应用最广的网格安全基础设施 g s i 进行了分析，并在对g s i 代理证书链结构研究的基础上提出改进方案，使代理证书 可以灵活改变信任深度，从而提高了证书链的认证效率和可靠性。 第四章：介绍动态信任的概念、性质以及分类，分析了与信任相关或相近的概念与信 任的关系，并就网格中的几种典型的信任模型进行了分析对比，分别指出了他们的优缺点。 第五章：详细阐述了两种动态信任值的计算方法及其在网格环境下的应用，并分别总 结了其特点以及适用的网格系统。 第六章：总结了本文的主要内容，并就本课题的后续工作进行了展望。 8 a t 室竖垫盘鲎塑堂垡迨妻差三主圈整缒量 第二章网格概述 2 1 网格的概念 网格是借鉴电力网( e l e c t r i cp o w e rc , r i d 邳的概念提出来的，网格的最终目的是希望 用户在使用网格计算能力时，就如同现在使用电力一样方便。我们在使用电力时，不需要 知道它是从哪个地点的发电站输送出来的，也不需要知道该电力是通过什么样的发电机产 生的，不管是水力发电，还是通过核反应发电，我们使用的是一种统一形式的“电能”。 网格也希望给最终的使用者提供的是与地理位置无关、与具体的计算设施无关的通用的计 算能力。图2 1 是电力网与网格组成的简单对比示意图。 电力网构成示意图 网格构成示意图 9 a 室塑垫盘茔塑生焦造塞筮三童旦整趣鲨 图2 1 电力网与网格组成的对比 网格和电力网都有各自资源的消费者和资源提供者，对于电力网来说资源提供者就是 发电站，对于网格来说资源提供者是计算机等；对于电力网来说资源消费者就是各种消耗 电能的设备，对于网格来说资源消费者就是使用网格计算能力求解问题的用户。 到目前为止，关于什么是网格和网格计算，还没有一个受到普遍认可的定义。其原因是： 第一，由于网格还处在一个发展阶段，并没有完全定型：第二，网格是面向问题和应用的， 问题不同对网格的要求也就不同；第三，网格具有多方面的特点，网格功能具有多面性。 所以，就出现了各种各样的关于网格的定义，这也从一个侧面表明了当前网格研究的热烈 程度。 f a nf o s t e r 曾这样描述：“网格是构筑在互联网上的一组新兴技术，它将高速互联网、 计算机、大型数据库、传感器、远程设备等融为一体，为科技人员和普通老百姓提供更多 的资源、功能和服务。互联网主要为人们提供电子邮件、网页浏览等通信功能，而网格的 功能则更多更强，它能让人们共享计算、存储和其他资源。” 我们认为，广义上来讲，网格可以理解为一个集成的计算与资源环境，或者说是一个计 算资源池。网格能够充分吸纳各种计算资源，并将它们转化成有效的、可靠的、标准的同 时还是经济的计算能力。除了各种类型的计算机，这里的计算资源还包括网络通信能力、 数据资料、仪器设备、甚至是人等各种相关的资源；而基于网格问题的求解就是网格计算。 狭义来讲，网格定义中的网格资源主要是指分布的计算机资源，网格一般被看成为计算 机网格，即主要用于解决科学与工程计算问题的网格；网格计算就是指将分别的计算机组 织起来协同解决复杂的科学与工程的计算问题。 根据求解问题的特点，人们又提出了多种名称的网格，比如以数据密集型问题的处理为 核心的数据网格，以解决科学问题为核心的科学网格，以全球地球系统模型问题求解为主 要目的的地球系统网格等等。此外还有地震网格、军事网格、服务网格、计算网格、商业 应用网格等。 网格打破了传统的共享或协作方面的限制，以前对资源的共享往往停留在数据文件传 输的层次上，而网格资源的共享允许直接控制其他资源，通过网络连接因特网上的各种资 源，包括超级计算机、大规模存储系统、个人计算机、各种设备等，形成对用户相对透明 的虚拟的高性能计算环境，可以实现分布式计算、高吞吐量计算、数据密集型计算、协同 工程和数据查询等诸多功能。网格计算被定义为一个广域范围的“无缝的集成和协同计算 环境”，成为连接和统一各类不同远程资源的一种基础结构。 网格概念的提出将从根本上改变人们对“计算”的看法网格概念的核心就是突破了 以往强加在计算资源之上的诸如计算能力、地理位置以及传统的共享或者协作方面的种种 限制，使人们可以以一种全新的更自由、更方便的方式使用计算资源，解决更复杂的问题。 网格中的实体分布在不同的地理和行政区域，形成所谓的虚拟组织( v i r t u a lo r g a n i z a t i o n ， j 室坚垫盘堂塑兰鱼鱼塞笠三主旦整抵堡 v o s 1 ) 。网格所指的实际和专门的问题即是在动态的、多机构的虚拟组织中可调整的资源 共享和问题求解。v o 是由分布式节点构成的问题处理环境。存储资源的所有提供者、某种 应用服务的所有提供者、某个合作项目的所有成员等都可以构成一个虚拟组织。每一个虚 拟组织实际上代表了一种基于协作计算和海量数据存储的计算和问题求解的途径i 硐。 网格是一种面向问题和应用的技术，具有很大的发展潜力，开发网格技术、建设网格、 发展网格，已经成为学术界、工业界以及政府部门的共识。网格有着非常广泛的应用领域， 首先是科学计算领域，网格可以在分布式超级计算、高吞吐率计算、数据密集型计算等方 面得到应用，另外在社会经济生活领域，网格也可以在基于广泛信息共享的人与人交互、 更广泛的资源贸易等领域得到应用。 2 2 网格的特点 网格作为一种新出现的重要的基础性设施，和其他的系统相比，主要有分布性、自相 似性、动态多样性( 不可预测性) 以及管理的多重性等特点同。 2 2 1 分布与共享 分布性是网格的一个最主要的特点。网格的分布性【堋，首先是指网格的资源是分布的。 分布的网格一般涉及的资源类型复杂、规模较大、跨越的地理范围较广基于网格的计算 一定是分布式计算而不是集中式计算。在网格这一分布式环境下，需要解决资源与任务的 分配和调度问题、安全传输与通信问题、实时性保障问题、人与系统以及人与人之间的交 互问题等等 图2 2 网格的分布性 如图2 2 所示，一个问题的求解需要从a 和b 两个不同的地方获取得到数据，然后 将这些数据送到专门的机构c 进行数据的分析和处理，对于处理后的结果，需要进一步在 d 处通过试验进行验证，并利用e 处的高级可视化设备进行结果显示，而问题最终得到的 结果可能是在f 处进行公布。这一问题求解过程涉及到了a 、b 、c 、d 、e 、f 六个不同的 1 l ! 室竖塾叁生亟茔焦迨塞签三主旦整拯望! 地方，这些地方有可能相距千万里之遥，甚至有些时候还需要一些移动设备的介入，这些 都说明了网格的分布性特征。 网格资源虽然是分布的，但是他们却是可以充分共享的，即网格上的任何资源都可以 提供给网格上的任何使用者。共享是网格的目的，解决分布资源的共享问题是网格的核心 内容。这里共享的含义是非常广泛的，不仅指一个地方的计算机可以用来完成其他地方的 任务，还可以指中间结果、数据库、专业模型库以及人才资源等各方面的内容。 分布是网格硬件在物理上的特征，而共享是在网格软件支持下实现的逻辑上的特征， 这两者对于网格来说都是十分重要的。 2 2 2 自相似性 分形模型有一个非常重要的特征就是自相似性，这在一些分形图形中体现得十分直观 和醒目，如图2 3 所示。自相似性在许多自然和社会现象中大量存在，一些复杂系统都具 有这种特征，网格就是这样。网格的局部和整体之间存在着一定的相似性，局部往往在许 多地方具有全局的某些特性，而全局的特性在局部也有一定的体现。 图2 3 分形图形 2 2 3 动态与多样性 对于网格来说，决不能假设它是一成不变的。原来拥有的资源或者功能，在下一时刻 可能就会出现故障或者不可用；而原来没有的资源，可能随着时间的推移会不断地加入进 来。网格的动态性包括动态增加和动态减少两个方面，这就要求网格具有极高的扩展性和 收缩性，主要体现在规模、能力、兼容性等几个方面。网格资源的动态增加需要提高网格 的扩展性问题；网格资源的动态减少或者资源出现故障的情况，要求网格能够及时采取措 施，实现任务的自动迁移，做到对高层用户透明或者尽可能减少用户的损失。 网格资源是异构和多样的。在网格环境中可以有不同体系结构的计算机系统和类别不 同的资源，因此网格系统必须能够解决这些不同结构、不同类别资源之间的通信和互操作 问题。 韭室坚垫盘耋塑生鱼垒叁笠三童旦整筮蕉 2 2 4 自治性与管理的多重性 网格上的资源，首先是属于某一个组织或者个人的，因此网格资源的拥有者对该资源 具有最高级别的管理权限，网格应该允许资源拥有者对他的资源有自主的管理能力，这就 是网格的自治性。但是，网格资源也必须接受网格的统一管理，否则不同的资源就无法建 立相互之间的联系，无法实现共享和互操作，无法作为一个整体为更多的用户提供方便的 服务。 因此，网格的管理具有多重性，一方面它允许网格资源的拥有者对网格资源具有自主 性的管理，另一方面又要求网格资源必须接受网格的统一管理。 2 3 网格与f 2 p 网络 网格与p 2 p ( p e e r - t o - p e e r ，p 2 p 2 9 ) 技术都是近几年来网络研究的热点，它们之间有相 似的地方，又有明显的区别，也有紧密的联系。 p 2 p 的思想起源其实是在i n t e m e t 之前，互联网中最基本的协议贰珊口中也并没有客 户机和服务器的概念，所有的设备都是通讯的平等的一端。而且直至今日，在大量的分布 服