（信号与信息处理专业论文）网格环境下基于信任管理系统的可信业务改造.pdf

誓一 ” ”1 。一一 ” 一 y 1 7 5 91 3 4 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：臣垄二屋 日期： 型! ：主：4 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：p 盎凌 日期：婴! ! ：呈：! z 导师签名：日期：垒坐：三：12 网格环境下基于信任管理系统的可信业务改造 摘要 在网格环境下，用户的管理方式是开放的、分布式的。用户程序 可能包含恶意代码，危害网格资源。共享的网格资源一旦受到恶意代 码的侵害可能会威胁到运行在网格平台上的应用程序。同时在资源共 享的网格环境中，会存在一些自私节点，只是利用或占用其他节点的 资源，而不提供任何资源。还可能存在一些恶意节点提供虚假资源， 试图扰乱系统的正常运行。网格中的恶意节点还可能通过提供不诚实 的反馈、合谋欺诈以及实施具有策略的恶意攻击等方式扰乱和影响网 格正常运行环境。在网格计算中，作业完成是通过多个实体参与，协 同完成的，而其前提是彼此之间建立良好的信任关系。信任关系对于 协作伙伴的选择尤为重要，选择信任度高的协作伙伴可以提高网格作 业完成的成功率。， 本文提出并实现了一种基于网格信任管理系统的可信存储业务 流程，在该流程中提出了一种基于信任值的资源选择和分配的作业调 度方法。该方法可以排除具有攻击历史的恶意节点。通过对比基于信 任和随机选择调度方法的业务失败率评价了信任在调度方法中的有 效影响。仿真结果表明基于信任的调度方法具有更低的业务失败率。 并且该可信存储业务流程已在网格信任管理系统中实现测试验证。 关键词：信任管理资源选择信任证书 r e n o 、厂a t i o no ft h et r u s t e db u s i n e ssb a s e do n t r u s t 【a n a g e 匝n ts y s t e mi ng r i d a b s t r a c t i ng r i d ，t h em a n a g e m e n tm o d e so fu s e r sa r eo p e na n dd i s t r i b u t e d t h eu s e r s p r o g r a m m a yc o n t a i nv i c i o u sc o d e ，w h i c he n d a n g e r s r e s o u r c e so f 鲥dg r e a t l y t h ea p p l i c a t i o np r o g r a mo p e r a t e so nt h e p l a t f o r mo fg r i dw o u l db et h r e a t e n e do n c es h a r a b l er e s o u r c e si ng r i da r e d a m a g e db y v i c i o u sc o d e s i m u l t a n e o u s l y , i ng r i dw h i c hs u p p o r t s r e s o u r c es h a r i n gt h e r ea r es o m ep r i v a t en o d e s t h e s en o d e s j u s tu s eo r o c c u p yo t h e rn o d e s r e s o u r c e sb u td on o tp r o v i d ea n yr e s o u r c e s o m e v i c i o u sn o d em a ye x i s tt op r o v i d ef a k er e s o u r c e sa n de n d e a v o rt od i s t u r b t h es y s t e m sn o r m a lp e r f o r m a n c e t h ev i c i o u sn o d e sm a ya sw e l la f f e c t t h en o r m a le n v i r o n m e n to fg r i d b yp r o v i d i n gd i s h o n e s tf e e d b a c k ， c h e a t i n gw i t ho t h e rn o d e sa n dm a k i n gm a l i g na t t a c k ss t r a t e g i c a l l y i n g r i dc o m p u t i n g ，t oa c c o m p l i s hat a s kn e e d ss e v e r a le n t i t i e st op a r t i c i p a t e a n dc o o p e r a t e ，s oe s t a b l i s h i n gat r u s t w o r t h yr e l a t i o n s h i pw i t he a c ho t h e r i sn e c e s s a r y t h et r u s t w o r t h yr e l a t i o n s h i pp l a y sg r e a ti m p o r t a n tr o l ei n c h o o s i n gc o o p e r a t i v ep a r t n e r s t oc h o o s eah i g hc r e d i tp a r t n e rc a n i i a n d v e r i f y t h e b u s i n e s s p r o c e s sm a n a g e m e n t m e t h o d o nt r u s t m a n a g e m e n ts y s t e m k e yw o r d s ：t r u s t m a n a g e m e n t ，r e s o u r c es e l e c t i o n ，t r u s tc e r t i f i c a t e i i i 目录 第一章引言1 1 1 研究背景及意义1 1 2 主要工作和创新点1 1 3 论文结构2 第二章网格中的信任管理3 2 1 网格概述3 2 1 1 网格的概念3 2 1 2 网格的特点5 2 1 3 网格的体系结构7 2 2 信任管理概述9 2 2 1 信任管理引言9 2 2 2 信任管理概念1 1 2 3 网格中的信任管理1 3 2 3 1 网格中的信任1 3 2 3 2 网格中的信任管理1 4 2 3 3 当前研究存在的问题1 6 2 4 小结1 7 第三章网格信任管理系统g t m s ：1 8 3 1 信任管理系统架构1 8 3 2 信任代理功能。1 9 3 2 1 信任策略：1 9 3 2 2 信任信息收集2 l 3 2 3 信任信息形式化2 2 3 2 4 信任值计算2 3 3 2 5 信任证书维护2 5 3 2 6 信任协商2 7 3 3 业务节点功能2 7 3 4 小结2 8 第四章基于信任管理系统的可信业务改造2 9 4 1 可信业务流程改造2 9 4 2 可信业务流程实现：3 2 4 2 1 业务初始化模块3 3 4 2 2 业务分配模块3 3 4 2 3 业务调度模块3 5 4 2 4 异常监控模块3 6 4 2 5 结果上报模块3 7 4 2 6 通信协商模块3 7 4 3 小结3 9 第五章理论仿真及测试结果4 0 5 1 理论仿真结果及讨论4 0 i v 系统实现以及测试结果4 1 5 2 1 系统实现截图4 1 5 2 2 测试方案及结果4 7 小结5 0 总结与展望5 1 6 1 总结5 l 6 2 不足与展望5 1 参考文献5 2 致谢5 4 攻读硕士学位期间发表的学术论文5 5 v 北京邮电人学硕士学位论文网格环境下基于信任管理系统的可信业务改造 1 1 研究背景及意义 第一章引言 在网格环境下，用户的管理方式已经不再是那种集中的、封闭的、可控的， 而是开放的、分布式的。用户程序可能包含恶意代码，危害网格资源。共享的 网格资源一旦受到恶意代码的侵害可能会威胁到运行在网格平台上的应用程 序。 同时在资源共享的网格环境中，会存在一些自私节点，只是利用或占用其 他节点的资源，而不提供任何资源。还可能存在一些恶意节点提供虚假资源， 试图扰乱系统的正常运行。网格中的恶意节点还可能通过提供不诚实的反馈、 合谋欺诈以及实施具有策略的恶意攻击等方式扰乱和影响网格正常运行环境。 在网格计算中，作业完成是通过多个实体参与，协同完成的。既然多个实 体需要协同工作，那么要进行协同工作的前提是彼此之间建立良好的信任关系。 信任关系对于协作伙伴的选择尤为重要，选择信任度高的协作伙伴可以提高网 格作业完成的成功率。 1 2 主要工作和创新点 本课题来源于实验室项目：基于信息网格环境下的信任管理系统。本课题 的目的是提出网格环境下的信任管理系统架构，基于该信任管理系统对网格业 务中资源的分配和调度方式进行优化。 本论文的研究内容主要是网格域内信任管理系统体系结构，以及在该系统 基础上对网格业务的可信改造。 本课题研究过程中，作者对网格环境下信任管理系统现状进行分析和研究， 参照已有的几种方案参与设计了适合域内网格业务的信任管理系统的体系结 构，设计并实现了基于该信任管理系统的网格数据存储业务。 主要完成的工作包括以下几个方面： 1 参与提出网格域内信任管理系统的体系结构以及其功能模块。 2 提出基于信任证书的网格可信存储业务流程，设计并实现网格业务点功 能模块。 3 提出并实现了一种基于信任值的资源选择和分配的作业调度方法。业 务点使用资源时同时参考资源信任值和用户本地策略，为资源使用者 提供了一种基于信任值的资源选择和分配的作业调度方法。该方法可 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 以排除具有攻击历史的恶意节点。 4 通过对比基于信任和随机选择调度方法的任务失败率评价了信任在 调度方法中的有效影响。仿真结果表明基于信任的调度方法具有更低 的任务失败率。 5 实现了基于网格信任管理系统的可信数据存储业务，并给出了实现结 果和测试方案以及测试结果。 目前，基于信任管理系统的可信业务流程改造还是一个比较新的研究内容， 如何保障信任值的正确有效传递，如何在业务中使用信任值指导资源分配和调 度等多方面的研究都具有创新意义。 本论文的主要创新点在于： ( 1 ) 提出基于信任证书的网格可信存储业务流程。权威机构颁发的信任证 书保障了信任值的真实有效性。而只有保障了信任值的正确参考价值，才有效 的保证了基于该信任值的业务资源分配与调度更加可靠、高效。 ( 2 ) 提出基于资源信任值和用户本地策略为参考的资源选择和调度方法。 信任证书保障了资源信任值的可靠性，信任值保障了资源的可靠性，而用户本 地策略体现了用户对资源分配和调度的自主性和灵活性。基于资源信任值和用 户本地策略，实现了用户对资源有参考的自主选择。 1 3 论文结构 本论文共分五章，各章节结构如下： 第一章是引言。叙述论文研究背景与意义，本课题主要工作和创新点。 第二章是网格中的信任管理。分别介绍了网格和信任管理的概念及特点，阐 述了信任管理在网格中的研究及发展现状。 第三章是网格信任管理系统g t m s 。提出了一种以网格域为单位的信任管理 系统架构，以及网格域内信任管理系统架构。并说明了系统各模块的功能。 第四章是基于信任管理系统的可信业务改造。基于第三章提出的信任管理系 统，对网格数据存储业务流程进行了方案设计和功能实现设计。 第五章是基于信任管理系统的可信业务实现结果。本章给出了可信业务改造 的理论仿真结果并进行了讨论。并给出了系统实现截图和测试方案及结果。 第六章是总结与展望，总结论文的成果，并结合现存问题提出进一步研究的 方向。 2 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 2 1 网格概述 2 1 1 网格的概念 第二章网格中的信任管理 网格是借鉴电力网( e l e c t r i cp o w e rg r i d ) 的概念提出来的，网格的最终目 的是希望用户在使用网格计算能力时，就如同现在使用电力一样方便【1 6 】。在使 用电力时，不需要知道它是从哪个地点的发电站输送出来的，也不需要知道该 电力是通过什么样的发电机产生的，不管是水力发电，还是通过核反应发电， 所使用的都是一种统一形式的“电能 。网格也希望给最终的使用者提供的是与 地理位置无关、与具体的计算设施无关的通用的计算能力。图2 1 是电力网与 网格组成的简单对比示意图。 回，回 固。圜 电力网构成示意图 3 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 叵卜- 、圈 网格构成示意图 图2 - 1 电力网与网格组成的对比 网格和电力网都有各自资源的消费者和资源提供者，对于电力网来说资源 提供者就是发电站，对于网格来说资源提供者是计算机等；对于电力网来说资 源消费者就是各种消耗电能的设备，对于网格来说资源消费者就是使用网格计 算能力求解问题的用户。 到目前为止，关于什么是网格和网格计算，还没有一个受到普遍认可的定 义。其原因是：第一，由于网格还处在一个发展阶段，并没有完全定型；第二， 网格是面向问题和应用的，问题不同对网格的要求也就不同；第三，网格具有 多方面的特点，网格功能具有多面性。所以，就出现了各种各样的关于网格的 定义，这也从一个侧面表明了当前网格研究的热烈程度。 i a nf o s t e r 曾这样描述：“网格是构筑在互联网上的一组新兴技术，它将高 速互联网、计算机、大型数据库、传感器、远程设备等融为一体，为科技人员 和普通老百姓提供更多的资源、功能和服务。互联网主要为人们提供电子邮件、 网页浏览等通信功能，而网格的功能则更多更强，它能让人们共享计算、存储 和其他资源。 1 8 - 2 1 】 广义上来讲，网格可以理解为一个集成的计算与资源环境，或者说是一个 计算资源池。网格能够充分吸纳各种计算资源，并将它们转化成有效的、可靠 的、标准的同时还是经济的计算能力。除了各种类型的计算机，这里的计算资 源还包括网络通信能力、数据资料、仪器设备、甚至是人等各种相关的资源； 而基于网格问题的求解就是网格计算。 狭义来讲，网格定义中的网格资源主要是指分布的计算机资源，网格一般 被看成为计算机网格，即主要用于解决科学与工程计算问题的网格；网格计算 就是指将分别的计算机组织起来协同解决复杂的科学与工程的计算问题。 4 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 根据求解问题的特点，人们又不断提出多种名称的网格，比如以解决科学 问题为核心的科学网格，以全球地球系统模型问题求解为主要目的的地球系统 网格，以数据密集型问题的处理为核心的数据网格等等。此外还有计算网格、 地震网格、服务网格、军事网格、商业应用网格等。 网格打破了传统的共享或协作方面的限制，以前对资源的共享往往停留在 数据文件传输的层次上，而网格资源的共享允许直接控制其他资源，通过网络 连接因特网上的各种资源，包括大规模存储系统、个人计算机、超级计算机、 各种设备等，形成对用户相对透明的虚拟的高性能计算环境，可以实现高吞吐 量计算、数据密集型计算、分布式计算、协同工程和数据查询等诸多功能。网 格计算被定义为一个广域范围的“无缝的集成和协同计算环境 ，成为连接和统 一各类不同远程资源的一种基础结构。 网格概念的提出将从根本上改变人们对“计算 的看法。网格概念的核心 就是突破了以往强加在计算资源之上的诸如地理位置、计算能力以及传统的共 享或者协作方面的种种限制，使人们可以以一种全新的更方便、更自由的方式 使用计算资源，解决更复杂的问题。网格中的实体分布在不同的地理和行政区 域，形成所谓的虚拟组织圆】( v i r t u a lo r g a n i z a t i o n ，v o ) 。网格所指的实际和专 门的问题即是在动态的、多机构的虚拟组织中可调整的资源共享和问题求解。 v o 是由分布式节点构成的问题处理环境。存储资源的所有提供者、某种应用 服务的所有提供者、某个合作项目的所有成员等都可以构成一个虚拟组织。每 一个虚拟组织实际上代表了一种基于协作计算和海量数据存储计算和问题求解 的途径。 网格是一种面向问题和应用的技术，具有很大的发展潜力，开发网格技术、 建设网格、发展网格，已经成为学术界、工业界以及政府部门的共识。网格有 着非常广泛的应用领域，尤其是科学计算领域，网格可以在高吞吐率计算、分 布式超级计算、数据密集型计算等方面得到应用，另外在社会经济生活领域， 网格也可以在基于广泛信息共享的人与人交互、更广泛的资源贸易等领域得到 应用。 2 1 2 网格的特点 和其它的系统相比，网格作为一种新出现的重要的基础性设施具有如下几 个重要的特点【1 6 】：分布与共享、自相似性、动态性与多样性以及自治性与管理 的多重性。 分布性是网格一个最主要的特点。网格的分布性首先是指网格的资源是分 布的。组成网格计算能力的不同的计算机，各种类型的数据库乃至电子图书馆， 5 进一步在d 处通过实验进行验证，并利用e 处的高级可视化设备进行结果显示， 而问题最终得到的结果可能是在f 处进行公布。这一问题求解过程涉及到了a 、 b 、c 、d 、e 、f 六个不同的地方，这些地方有可能相聚千万里之遥，甚至有些 时候还需要一些移动设备的介入，这些都说明了网格的分布性特征。 共享性是指网格资源虽然是分布的，但是它们却是可以充分共享的。即网 格上的任何资源都可以提供给网格上的任何使用者。共享是网格的目的，没有 共享便没有网格。解决分部资源的共享问题是网格的核心内容。这里共享的含 义是非常广泛的，不仅指一个地方的计算机可以用来完成其它地方的任务，还 可以指中间结果、数据库、专业模型库以及人才资源等各方面的内容。分布是 网格硬件在物理上的特征，而共享是在网格软件支持下实现的逻辑上的特征， 这两者对于网格来说都是十分重要的。 自相似性在许多自然和社会现象中大量存在，一些复杂系统都具有这种特 征。网格也如此。网格的局部和整体之间存在着一定的相似性，局部往往在许 多地方具有全局的某些特征，而全局的特征在局部也有一定的体现。比如在一 个实验楼里建立一个小规模的实验网格，然后可以把整个学校的多个实验网格 联系起来形成一个全校的教学科研网格，不同学校之间的内部网格可以互相连 接起来形成一个高效的网格联盟，这一网格联盟又可以成为全国网格的一个部 分。这种整体和部分之间的相似性可以在多个阶段看到。网格的自相似性在网 格的建造和研究过程中有重要的意义。 动态性是指对于网格来说，原来拥有的资源或者功能在下一时刻可能就会 6 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 出现故障或者不可用。而原来没有的资源可能会随着时间的推移不断地加入。 网格的动态性包括动态增加和动态减少两个方面的含义。网格资源的动态变化 特点要求网格管理必须充分考虑并解决好这一问题，对于网格资源的动态减少 或者资源出现故障的情况，要求网格能够及时采取措施，实现任务的自动迁移， 做到对高层用户透明或者尽可能减少用户的损失。 多样性是指网格资源是异构和多样的。在网格环境中可以有不同体系结构 的计算机系统和类别不同的资源，因此网格系统必须能够解决这些不同结构、 不同类别资源之间的通信和互操作问题。正是因为异构性和资源多样性的存在， 为网格软件的设计提出了更大的挑战，只有解决好这一问题，才会使网格更有 吸引力。 自治性是指网格上的资源首先是属于某一个组织或个人的，因此网格资源 的拥有者对该资源具有最高级别的管理权限。网格应该允许资源拥有者对他的 资源有自主的管理能力。但是网格资源也必须接受网格的统一管理，否则不同 的资源就无法建立相互之间的联系，无法实现共享和互操作，无法作为一个整 体为更多的用户提供方便的服务。因此网格的管理具有多重性，一方面它允许 网格资源的拥有者对网格资源具有自主性的管理，另一方面又要求网格资源必 须接受网格的统一管理。 2 1 3 网格的体系结构 一 _ 到目前为止，比较重要的网格体系结构有两个，一个就是l a nf o s t 0 1 8 ，2 0 】等 人在早些时候提出的五层沙漏结构【1 6 】，然后就是在以i b m 为代表的工业界的影 响下，在考虑到w e b 技术的发展与影响后，f o s t e r 等人结合w e bs e r v i c e 提出的 开放网格服务结构o g s a 2 1 】( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ) 。本文将重点介 绍这两种结构。 1 五层沙漏结构 五层沙漏结构是一种影响十分广泛的结构，是i a nf o s t e r 等人在早期提出的 网格体系结构，是一种层次式的协议体系结构。 在五层沙漏结构中，一个最重要的思想就是以“协议 为中心，也十分强 调服务与a p i ( a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e s ) 和s d k ( s o f t w a r e d e v e l o p m e n tk i t s ) 的重要性。但它并不提供严格的规范，不是对全部所需协议 的完整罗列，而是对该结构中各部分组建的通用要求进行定义，而且将这些组 件形成一定的层次关系，每一层的组件具有相同的特征，上层组件可以在任何 一个底层组件的基础上建造。五层结构的沙漏形状，其内在的含义是各部分协 议的数量是不同的，对于最核心的部分，要能够实现上层各种协议向核心协议 7 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 的映射，同时实现核心协议向下层其它各种协议的映射，核心协议在所有支持 网格计算的地点都应该得到支持，因此核心协议的数量不应该太多。沙漏核心 的思想可以和微内核的操作系统进行类比，即操作系统只实现一些关键的基本 功能，而把大量与特定设备有关和与应用有关的部分交给其他部分来完成。一 个小的核心是有利于移植的，也可以比较容易地实现和得到支持。资源是多种 多样的，应用需求更是复杂多变，因此定义好一个核心部分的意义是很大的。 这样，核心协议就形成了协议层次结构中的一个瓶颈，在五层结构中，这一核 心的瓶颈部分是由资源层和连接层共同组成的，如图2 3 所示： ： 工具与应用j 应用层 ；j 诊晶霉篮嚣等，；汇聚层； 诊断与监控等：扎泵层 ： 资源与服务：。资源与连 ： ： 的安全访问： 接层 ： j 各种资源、比如计 ：j 算机、存储介质、j ：构造层： j 网络、传感器等： 图2 - 3网格体系五层沙漏模型及其与t c p i p 网络协议的对比 参考图2 3 ，五层结构按照自底向上的顺序分别为： 构造层：它们是物理或逻辑实体，作用是向上提供可共享的资源： 连接层：是网络事务处理通信和授权控制的核心协议，基础结构层提交的 各种资源间的数据交换都在这一层的控制下实现，并实现各资源间的授权验证、 安全控制。 资源层：共享单独的资源。定义在个别资源上的共享操作的安全协议、创 始、监控、控制、记账和付费方面的协议。这些协议的实现通过调用基础结构 层的功能来访问和控制本地的资源。资源层只关心单独的资源，不考虑分布收 集的全局性和原子性( 如事务) 问题。 汇聚层：协调多个资源。定义全局的、跨所有资源来捕捉相互作用的协议 和服务等，不与任何一个专门的资源关联。实现资源的汇聚和各种共享行为。 8 回固日 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 应用层：由在v o 环境中操作的应用组成。应用通过在任意层定义的服务 以及在这些服务上的调用的形式而构成。在体系结构的每一层，有定义良好的 提供访问某些有用服务的协议，如：资源管理、数据访问、资源发现等。 2 开放网格服务体系结构 开放网格服务结构o g s a ( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ) 是继五层沙漏 结构之后最重要也是目前最新的网格体系结构，被称为下一代网格结构【】。 建造o g s a 的两大支撑技术是网格技术( g l o b u s l 2 2 】软件包) 和w e bs e r v i c e 。 g l o b u s 是已经被科学和工程计算广泛接受的网格技术求解方案，w e bs e r v i c e 是 一种标准的存取网格应用的框架。在充分考虑网格的异构分布式特性的基础上， o g s a 对w e bs e r v i c e 进行了扩展，提出动态服务的概念。 o g s a 以服务为中心，实现对服务的共享。这里所说的服务包括网络、程 序、计算资源、存储资源、数据库等等。这种从资源到服务的抽象，将数据、 资源、信息等统一起来，十分有利于灵活、一致、动态的共享机制的实现，使 得分布式系统管理有了标准的接口和行为。这些接口的定义明确并且遵守特定 的惯例，解决服务发现、动态服务创建、生命周期管理、通知等问题，把资源 所在地、服务实现、物力资源等问题屏蔽掉，它不仅解决了异构网络环境的互 操作问题，而且真正实现了服务的虚拟化。 2 2 信任管理概述 2 2 1 信任管理引言 随着计算机和通信技术的迅猛发展，大量的敏感信息常通过信道或计算机网 络进行传输，特别是随着互连网的广泛应用、电子商务及电子政务的迅速发展， 为满足信息的机密性，加解密技术的广泛应用起到了至关重要的作用。但是加解 密技术主要以研究秘密通信为目的，即对所要传送的信息采取一种秘密保护，以 防止第三者对信息的窃听。而对于需要用户的身份的确认，则更要依靠p k i 技术 来解决【1 2 , 1 5 】。 p k i ( 公钥基础设施) 似乎可以解决绝大多数网络安全问题，并初步形成了 一套完整的解决方案，它是基于公开密钥理论和技术建立起来的安全体系，是提 供信息安全服务的具有普适性的安全基础设施。该体系在统一的安全认证标准和 规范基础上提供在线身份认证，是c a 认证、数字证书、数字签名以及相关安全 应用组件模块的集合。作为一种技术体系，p k i 可以作为支持认证、完整性、机 密性和不可否认性的技术基础，从技术上解决网上身份认证、信息完整性和抗抵 赖等安全问题，为网络应用提供可靠的安全保障。p k i 的核心是要解决信息网络 9 统一的授权管理功能、属性证书管理功能、访问控制决策支撑功能和安全审计功 能。而这种传统的安全机制是由服务器来完全实现访问控制，加重了服务器的负 担，而且安全性受到服务器本身的安全性的限制。一旦服务器的安全失效，则整 个访问控制策略将无法实施。 为此虽然有一些改进的方法，如将p m i 与a c l 结合起来使用，但仍然无法 从根本上解决所有的问题。在现今这种规模庞大的、开放的i n t e r n e t 中，传统的 安全机制明显不再适用。若使用授权( a u t h o r i z a t i o n ) 来表示这一“认证+ 访问 控制 过程。在大规模、开放的、分散的分布式系统( 如i n t e r n e t ) 中应用的授 权，与传统的单主机系统或中央控制的分布式系统中的授权是有很大区别的。基 本区别包括： 谁需要保护? 在传统的客户机, i l l 务器计算环境中，有价值的资源通常属于 服务器，当客户请求访问有价值的资源时，服务器才使用授权过程保护它的资源。 在大规模、开放的、分散式的系统中，用户访问许多服务器，用户也有他们自己 的有价值的资源( 如个人信息，电子现金) ；实际上，“客户 不再是正确的称 呼，这样一个用户不可能信任它所接触的所有服务器，授权机制必须同时保护用 户的资源和服务器的资源。 1 0 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 要防止谁? 在大规模、广泛的网络中，有着比小规模、同机种( 尽管分布式) 系统中更多潜在的请求者。一些服务，如网络供应商，不能预先知道谁是潜在的 请求者。类似的，用户也不能预先知道它们将需要使用哪些服务，它们将发出哪 些请求。因此，授权机制必须比以前更加依靠委托和第三方证书发布者谁来存 储授权信息? 传统地授权信息，如访问控制列表，由服务器存储和管理。i n t e m e t 服务飞快发展，因此潜在的行动集合和可能提出请求的用户无法预先知道；这表 明授权信息将以动态的、分布式的方式创建，存储和管理。用户经常被期望收集 授权一个行动所需要的证书，把它们同请求一起提交上来。因为这些证书并不总 在做授权决定的服务的控制之下，它们有被篡改和偷窃的危险。因此，公钥签名 ( 或更一般的，证实证书出处的机制) 必须是授权框架的一部分。 在传统的认证和访问控制中，身份的概念起了很重要的作用。但在i n t e r n c t 应用中，身份的概念变得问题重重。身份最初意味着唯一。当我们第一次遇见一 个以前不认识的人，我们无法真正将那个人同任何事情等同对待。如果在一个方 案中，授权者和请求者以前没有任何关系，知道请求者的名字或身份( 即问答了 “谁签署了这一请求 的问题) 并不能帮助授权者做出决定。人们需要身份具有 的真正特性是人们能够证实请求或证书由一个特定的身份发布，人们能够将特定 的身份同它的证书连接起来。在广泛的、高速变化的网络中，正确的问题变成了 “签署这一请求的密钥被授权采取这一行动了吗? 因为名字密钥映射和预 计算的访问控制矩阵是不够的，人们需要一个更灵活、更分布式的授权方法。 信任管理方法正是为了解决上述问题而提出的一种分布式访问控制机制。由 a l a z c 【1 7 l 等人提出的信任管理方法，将问题表示为：。证书集合c 证明了请求r 与 本地策略p 一致吗? 。“信任管理方法采纳密钥中心的授权观点，把公 钥看作实体直接授权。“信任管理方法 也采纳授权的“对等模型”，每个实体 可以是一个授权者，第三方证书发布者，或者请求者。一个实体可以在一个授权 方案中充当请求者，而在另一个方案中充当授权者( 或第三方证书发布者) 。 2 2 2 信任管理概念 信任管理是说明和解释安全策略、信任状和实体间信任关系的一种统一方法， 它允许对涉及安全的行为进行直接授权。信任管理系统为说明应用的安全策略和 信任状提供标准、通用的机制【2 3 乃】。信任管理系统有以下五个基本部件： ( 1 ) 一种描述“行为的语言，“行为 指受系统控制的与安全相关的操作； ( 2 ) 一个鉴别“主体 的机制，“主体 指能够被授权去执行“行为 的实体； ( 3 ) 一种定义“安全策略”的语言，“策略 用来控制主体能被授权执行哪些 行为； 个机制，与p k i 中的研究论题很类似。 上述所给出的部件包括了b l a z e 等人所给出的部件，将一致性证明分解为语 义和实现两个方面，并增加了基础设施这一与实现非常相关的部件。在推演部件 中，证书链发现引擎和一致性证明引擎都实现了语言的语义，证书链发现的目的 是找到一个证书集，使它们在给定策略下，使主体所请求的动作能够获得许可， 即证书链发现是尽量找到一个能通过一致性验证的证书集。因此，证书链发现算 法通常包含了一致性证明算法。但证书链发现和一致性证明通常仍由不同的部件 实现和控制。一致性证明引擎必须由验证者实现和控制，而证书链发现引擎可以 由请求者、验证者或两者协同实现和控制。 、 信任管理系统一般有以下优点： ( 1 ) 支持系统不认知的主体访问系统。基于证书集( 证书链) 和本地安全策 略判定用户是否有权在系统中执行某项操作，用户不需要在系统中注册帐号即可 访问系统。 ( 2 ) 资源的控制者能够以受控的形式，将某些权限委托给其他域中的某些用 户，从而支持多域间的授权。 ( 3 ) 策略和证书使用通用的、标准的语言进行编写，并由所有的应用程序使用。 这种语言有足够的表现力并且是可扩展的，能描述各种不同类型应用的安全策 略。一种应用与另外一种应用，即使应用本身的语义完全不同，但其安全配置机 制在语法和语义上完全相同。从而解决了多域环境下访问控制机制的异构问题。 北京邮电大学硕士学位论文网格环境下基于信任管理系统的可信业务改造 ( 4 ) 支持委托的机制。实现分散式授权的模式，可伸缩性强。 2 3 网格中的信任管理 2 3 1 网格中的信任 在传统的电子商务、数据通信和网络安全等应用系统中，“信任( t r u s t ) 是个基础性的概念。例如，在传统的基于可信第三方的安全技术中，任何实体都 需要对c a ( c e r t i f i c a t ea u t h o r i t y ) 具有绝对的信任：这种基于凭证的信任关系类 似于社会中的契约和合同，是一种受法律保护的明确约定，是一种基于特定客体 ( 身份证书、数字签名等) 的相互承诺。但是这些方法已经不能适应网格这种开 放性网络越来越明显的动态变化特征，对于网格规模的扩大也难于部署和实施， 已经不能适应网格的安全需求。 从以上我们对网格的了解中不难看出，在网格环境中，各种资源都动态连接 到i n t e m e t 上，而且不同网格节点之间的通信也是通过i n t e r n e t 连接的，而用户 向网格环境提交的任务和监控管理任务也是通过i n t e r n e t 来完成的【1 6 , 1 7 l 。同时网 格环境中的所有主体都可以动态加入或撤离网格中的虚拟组织，从而使得网格环 境对安全的要求更加复杂，它的安全体系必须要考虑如下特性： 1 ) 参与网格的用户与资源数量非常巨大，且经常动态变化其参与状态； 2 ) 每个网格节点( g r i dp o i n t ) 甚至每个资源或资源组都会有各自的访问控 制策略( 即自治性) ，而外界或者应用方很难也不应对其进行过多的干扰； 3 1 网格环境中的资源可支持不同的认证和授权机制； 铆用户在不同的资源上可有不同的标识； 5 1 资源和用户可隶属于多个组织。 网格安全体系的任务就是对分散在各个异构环境下并分别具有一定自治性 的安全策略进行整合，从而为应用建立起统一可靠的安全策略空间。 传统安全技术( 口令、密码系统、数字证书等) 侧重于在网络环境下保障交 换信息的认证性、私密性、完整性等。但在网格这种分布式应用中，即便一个陌 生的参与者通过了身份认证，其业务请求也未被篡改，仍不能证明此参与者就是 可信的。这里的信任关系的主体是网络终端的用户或有一定主管活动能力的个 体，这种信任关系存在很强的主观性、不确定性，有信任程度高低之分，受主观 意识的影响。因此，在安全研究中迫切需要引入新的理论和技术处理参与者间的 信任。由于良好的信誉能够为参与者带来优势，而不良信誉却将导致参与者被从 应用中排除出去，所以信任系统提供了一种鼓励参与者间合作的控制机制。信任 通过鼓励信息交换及对其他成员的影响可以推动问题的解决，具有吸收知识，形 成自我认同等作用。由于在满足信任的条件下可以忽略信息的不完全性和不确定 性，直接为行为提供内在支持，因此信任还是简化复杂性的有力工具。在上述新 1 3 基础上，在信任系统的支撑下相互选择对方，因为双方均认为对方的行为最可靠， 从而开始一次新的事务交互。在每次事务结束后，实体之间会对对方在事务中的 行为给出评价，信誉中心会不断地收集每个实体的评价信息并更新每个实体的信 誉信息，更新后的实体信誉信息会在信誉中心公布。 集中式信任系统需解决下面两个基本问题： ( 1 ) 集中式的通讯协议。通过该协议每个实体可以向信誉中心提供与之完成 事务的实体的行为评价信息和获取其可能要与之进行事务交互实体的信誉信息。 ( 2 ) 信誉计算引擎。信誉中心根据每个实体提供的行为评价信息以及其他信 息来计算网络中每个实体的信誉。 历史情况现在情况 图2 - 4 集中式信任系统的一般结构 这类系统中，中心实体负责整个网络的监督，定期通告违规的实体，中心实 体的合法性通过c a 颁发的证书加以保证。这类系统往往是中心依赖的，具有可 扩展性差、单点失效等问题。 集中式信任系统主要应用于电子商务领域，在实际应用中大都采用基于p k i 的信任模型，简单地采用给参与者评价打分的方法来描述信誉度，采用简单的数 值计算方式来实现信任的聚合。 一 2 ) 分布式信任系统 在分布式信任模型中，所有实体间的关系是对等自治的，没有中心控制实体， 不再存在某一中心实体负责收集信任评价信息和提供每一实体的信誉信息，取而 代之的是每一实体会记录每一次历史事务，这样每个实体的信誉信息就会分布在 每一实体上。 分布式信任系统的一般结构如图2 5 所示，每个实体需将历史事务信息记录 下来，当下一次可能要发生时，实体a 会向网络中的其他实体发出查询实体b 信誉信息请求，此时，与实体b 有过直接历史事务记录的实体d 和e 就会给出 相应的实体b 的信誉信息，同样实体h 、c 和f 也会根据直接历史事务记录给 出实体a 的信誉信息，实体a 和实体b 在分别计算出对方的信誉信息后，可能 会做出进行一次事务交互的决定。 1 5 北京邮电大学硕士学位论文 网格环境下基于信任管理系统的可信业务改造 ( 至川 ( 三卜 ( i ( 三 o 历史情况现在情况 图2 5 分布式信任系统的一般结构 在分布式信任系统需解决下面两个问题： ( 1 ) 分布式的通讯协议。通过该协议每个实体可以获取其他实体的信誉信 息。 ， ( 2 ) 信誉计算模型。每个实体根据其他实体提供的行为评价信息以及其他信 息来计算网络中每个实体的信誉度。 分布式信任模型更符合网格环境中开放性、分布性的应用要求。根据信誉计 算模型中信任信息来源的范围不同又可分为局部和全局两类分布式信任系统。 2 3 3 当前研究存在的问题 网格信任研究的实质是在网格环境中采用恰当的方法对网格节点参与者间 的信任进行度量、评估和推理，为用户提供有效的信任知识表达、逻辑推理和决 策支持的自动工具。但当前的信任研究工作还存在着一些不足之处： ( 1 ) 目前缺乏统一明确的信任定义，缺乏对信任特征的全面概括，缺乏统一 的信任表示与度量机制，信任模型的推理机制还缺乏合理的解释。 ( 2 ) 信任具有主观性和不确定性，目前的网格的信任模型中信任度量和推理 机制对这方面的关注不够，而且缺乏相应的合理语义解释。 ( 3 ) 目前网格信任模型都采用事前估计，事后调整的处理机制，都采用根据 服务请求方对服务提供方的历史行为评价来判断和预测服务提供方在下一次服 务中能否或在多大程度上提供可靠、可信的服务，在这一过程中服务提供方是被 动的，是不公平的，而且目前的信任模型均需耗费计算和通信开销。 ( 4 ) 没有较为综合的网格环境下的信任问题的解决方法。 1 6 北京邮电大学硕士学位论文 网格环境下基于信任管理系统的可信业务改造 2 4 小结 本章介绍了网格以及信任管理的相关概念和研究现状。本章首先介绍了网格 的概念以及特点、体系结构等内容。其次介绍了信任管理相关概念。最后介绍了 信任管理在网格中的研究以及当前研究存在的问题。 1 7 图3 - 1 以域为单位的信任管理架构 域内信任管理系统框架如图3 2 。信任管理系统中信任代理或其子代理，在 网格中采集信任信息，并对其进行数据形式化处理，根据选定的数学模型计算信 北京邮电大学硕上学位论文网格环境下基于信任管理系统的可信业务改造 表。并且根据信任值和本地策略选择资源。并与选定的资源进行信任协