（计算机应用技术专业论文）bayes信任模型及其在网格任务分配中的应用.pdf

摘要 摘要 今天随着互联网和计算机在全世界范围内的广泛使用，网络在人们日常生活 中的作用变得越来越重要。很难想象如果缺少了网络和计算机，经济的发展和人 们的生活将会变成什么样子。随着网络应用不断增多的同时，危害信息安全的事 件不断发生，传统的信息安全系统例如防火墙，病毒防范，入侵检测已经不足以 应付此类事件的发生。其原因在于当前微机的安全结构过于简单。信息技术的发 展使计算机变成网络中的一部份，信息的i o 遍及整个网络世界，网络协议的设 计存在安全缺陷；操作系统过于庞大，软件故障与安全缺陷不可避免。 随着大规模分布式网络应用不断增多的同时，尤其是网格计算领域，可信计 算环境显得尤为重要，如何构建网格中的信任模型已经成为热门课题之一。由于 网格环境的动态性、异构性、地理分布性、开放性、不确定性和欺骗性，彼此之 间建立良好的动态信任关系就变成了实体交互和协作的前提。网格环境中，建立 良好的信任模型对于提高任务调度的成功率和安全性起到重要的作用。由于网格 系统和人际关系中的信任关系有很大相似之处，所以很多信任模型的建立都是借 鉴社会学中的人际关系理论。 在网格环境中，网格节点之间具备一定的信任程度是网格节点得以成功交互 并保证安全性的标志之一。鉴于目前用于动态信任模型的任务调度算法对于任务 类型的支持不够广泛，本文在b a y e s 信任模型的基础上，结合网格中的经典 t r u s t d l s 算法，提出了适用于复合任务序列的应用框架。通过仿真实验表明， 本文提出的应用框架能够在复合任务调度中取得较高的任务执行成功率。该框架 能够充分考虑到网格节点的信任度，对于拥有复合任务有较好的执行策略和执行 成功率，扩展了可执行任务的类型，有较广泛的应用范围。 关键词b a y e s 方法：信任模型；t r u s t d l s a b s t r a c t a b s t r a c t w i t l lt h er a p i dd e v e l o p m e n to fc o m p u t e rt e c h n o l o g ya l lo v e rt h ew o r l d i n t e r n e t b e c a m em o r ea n dm o r ei m p o r t a n td u r i n gt h ed a i l yl i f e i ti sh a r dt oi m a g i n et h el a c k o fn e t w o r k sa n dc o m p u t e r s ，w h a te c o n o m i cd e v e l o p m e n ta n dp e o p l e sl i v e sw i l l b e c o m e w i t ht h ei n c r e a s i n gn u m b e ro fn e t w o r ka p p l i c a t i o n sa tt h es a m et i m e ， s e c u r i t yi n c i d e n t st h a te n d a n g e rt h ei n f o r m a t i o n a l w a y sh a p p e n t r a d i t i o n a l i n f o r m a t i o ns e c u r i t ys y s t e m ss u c ha sf i r e w a l l s ，v i r u sp r e v e n t i o n ，i n t r u s i o nd e t e c t i o n h a sb e e ni n s u f f i c i e n tt oc o p ew i t ht h eo c c u r r e n c eo fs u c hi n c i d e n t s t h er e a s o ni st h a t t h es a f e t yo ft h es t r u c t u r eo ft h ec u r r e n tc o m p u t e ri st o os i m p l e t h ed e v e l o p m e n to f i n f o r m a t i o nt e c h n o l o g ym a k e sc o m p u t e r sb e c o m eap a r to ft h en e t w o r ka n d i n f o r m a t i o na c r o s st h ee n t i r en e t w o r ko ft h ew o r l d t h ed e s i g no fn e t w o r kp r o t o c o l s h a ss o m eb u g s b e c a u s eo ft h eb i go p e r a t i o ns y s t e m ，s o f t w a r ed e f e c t sa n d s e c u r i t y f a i l u r ei si n e v i t a b l e f o rt h e l a r g e - s c a l e d i s t r i b u t e dn e t w o r k a p p l i c a t i o n s ，t r u s t e dc o m p u t i n g e n v i r o n m e n ti si m p o r t a n tt o 鲥dc o m p u t i n g h o wt oc o n s t r u c tt r u s tm o d e li nt h ea r e a o fg r i dc o m p u t i n gw h i c hi sb e c o m i n go n eo fm o s t p o p u l a rt o p i c s b e c a u s eo fd y n a m i c ， h e t e r o g e n e i t y , d i s t r i b u t i o n ，o p e n n e s s ，v o l u n t a r i e s ，u n c e r t a i n t ya n dd e c e p t i o n ，d y n a m i c t r u s tr e l a t i o ni st h eb e g i n n i n go fi n t e r a c t i o na n dc o o p e r a t i o na m o n ge n t i t i e su n d e r l a r g es c a l ed i s t r i b u t e de n v i r o n m e n t i nt h ea r e ao fg r i dc o m p u t i n g ，c o n s t r u c t i n gg o o d d y n a m i ct r u s tr e l a t i o nd u r i n ge n t i t i e si si m p o r t a n tf o ri m p r o v i n gt h es u c c e s sr a t ea n d s e c u r i t yo ft a s ks c h e d u l i n g t h e r ea r es i m i l a r i t ya b o u tt r u s tr e l a t i o nb e t w e e n 鲥d s y s t e ma n ds o c i a ln e t w o r k s ，s oc o n s t r u c t i o no fm a n yt r u s tm o d e l sr e f e r r e dt ot h et r u s t r e l a t i o n s h i pm o d e l so fs o c i o l o g y i n 鲥de n v i r o n m e n t ，g o o dt r u s tw o r t h i n e s sa m o n gg r i dn o d e sc a ni m p r o v et h es u c c e s s r a t e sa n dt h es e c u r i t y t o d a y sd y n a m i ct r u s tm o d e l so n l yr e s e a r c ht h es c h e d u l i n g a l g o r i t h m sw h i c hc a n ts u p p o r te n o u g ht a s kt y p e s t h i sp a p e rp r e s e n t e dad y n a m i c t r u s tm o d e lw h i c hs u p p o r t sc o m p o s i t et a s k sa n db a s e so nb a y e sa n dt r u s t d l s s c h e d u l i n ga l g o r i t h m t h r o u g ht h es i m u l a t i o n ，t h et r u s tm o d e lc a na c h i e v eah i g h e r s u c c e s sr a t eo fi m p l e m e n t a t i o ni nc o m p o s i t et a s k ss c h e d u l i n g t h et r u s tm o d e l c o n s i d e r st h et r u s to fg r i dn o d e s ，w h i c hh a sg o o ds t r a t e g yi m p l e m e n t a t i o na n d s u c c e s sr a t eo fi m p l e m e n t a t i o n t h em o d e le x p a n d st h es c o p eo ft a s kt a p e sa n dh a sa b r o a d e rr a n g eo fa p p l i c a t i o n s k e y w o r d sb a y e s ；t r u s tm o d e l ；t r u s t d l s i i i 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名： 缝瑰 关于论文使用授权的说明 日期：幽 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 躲椎妒导师 沙口只莎j 第1 帝绪论 1 1 可信计算技术简介 第1 章绪论 2 1 世纪的经济浪潮带动了信息产业和技术的蓬勃发展。如今互联网和计算 机已经在全世界的范围内被广泛的使用，很难想象如果缺少了网络和计算机，经 济的发展和人们的生活将会变成什么样子。随着网络应用不断增多的同时，危害 信息安全的事件不断发生，传统的信息安全系统例如防火墙，病毒防范，入侵检 测已经不足以应付此类事件的发生【l 】。其原因在于当前微机的安全结构过于简 单；信息技术的发展使计算机变成网络中的一部份，信息的i o 遍及整个网络世 界，网络协议的设计存在安全缺陷；操作系统过于庞大，软件故障与安全缺陷不 可避免。在这种情况下，如何构建新一代适应信息发展需求的可信计算环境已经 成为信息科学技术领域最重要的课题之一。 1 1 1 可信计算的概念 关于上述我们提到的当今信息网络的安全问题，可信计算的提出为解决此问 题提供了思路，为当今网络信息安全领域的发展开辟了新的道路。 可信计算是可信计算平台联盟( t c p a ) 提出的，但并没有个明确的定义， 其主要思路是在计算机硬件平台上引入安全芯片架构，通过提供的安全特性来提 高终端系统的安全性。可信计算的基本思想是在计算机系统中首先建立一个信任 根，再建立一条信任链，一级测量认证一级，一级信任一级，把信任关系扩大到 整个计算机系统，从而确保计算机系统的可信1 2 】。 可信计算可以从以下几个方面来理解： 幸用户的身份认证：对使用者的信任 掌平台软硬件配置的正确性：体现使用者对平台运行环境的信任 幸应用程序的完整性和合法性：体现了应用程序运行的可信 幸平台之间的可验证性：指网络环境下平台之间的相互信任j 说到可信计算，首先必须准确地把握信任这个概念在计算机应用环境中的含 义。信任是一个复杂的概念，当某一件东西为了达到某种目的总是按照人们所期 望的方式运转，我们就说我们信任它。在i s o i e c l 5 4 0 8 标准中给出了以下定义： 一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地 抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。 所以一个可信的计算机系统所提供的服务认为它是可依赖的。系统所提供的 北京t 业人学t 学硕f ：学f 节论文 服务是用户可以感知的一种行为，其中用户是指是可以与之交互的另一个系统 ( 人或者物理的系统) 。计算机系统的可信性应包括：可用性、可靠性、安全性、 健壮性、可测试性、可维护性等1 4 。 1 1 2 可信计算的发展及相关技术 可信计算经历了从初级到高级的发展过程：1 9 8 3 年，美国国防部推出了“可 信计算机系统评价标准( t c s e c ) ”，其中对可信计算基( t c b ) 进行了定义。1 9 9 1 年，两欧四国( 英、法、德、荷) 提出了信息技术安全评价准贝j j ( i t s e c ) ，首次提出 了信息安伞的保密性，完整性，可用性概念，把可信计算机的概念提高到可信信 息技术的高度上。1 9 9 3 年1 月，美国公布了融合i t s e c 的可信计算机安全评价 准则之联邦准则。1 9 9 9 年，由国际几大i t 巨头i n t e l 、h p 、i b m 以及m i c r o s o f t 等发起成立了一个“可信计算平台联盟t c p a ， 该组织致力于促成新一代具有 安全、信任能力的硬件运算平台，并于2 0 0 1 年1 月发布了基于硬件系统的可信 计算平台规范v 1 0 1 5 j 。2 0 0 3 年，t c p a 改组为可信计算组织t c g ，成员扩大到 2 0 0 多家厂商，并于同年发布t p m ( t r u s t e dp l a t f 0 1 1 1 1m o d u l e ) 主规范v 1 2 。欧 洲于2 0 0 6 年1 月启动了名为“丌放式可信计算( o p e n t r u s t e dc o m p u t i n g ) ”的 研究计划【4 j 。可信计算的含义不断地拓展，由侧重于硬件的可靠性、可用性到针 对硬件平台、软件系统、服务的综合可信，适应了i n t e m e t 上应用不断拓展的发 展需要。 可信计算平台t c p ( t r u s t e dc o m p u t i n gp l a t f o r m ) 是能够提供可信计算服务 的计算机软硬件实体，它能够提供系统的可靠性、可用性和信息的安全性。可信 计算平台基于可信平台模块t p m ，以密码技术为支持，安全操作系统为核心。 安全操作系统是可信计算平台的核心和基础，没有安全的操作系统就没有安全的 应用，也无法使t p m 发挥应有的作用 可信计算平台t c p ( t r u s t e dc o m p u t i n gp l a t f o r m ) 的体系结构由三大部分构 成，即安全硬件层、安全基础平台层和安全应用层。从可信计算平台的体系结构 的模块构成来，看安全硬件层主要由安全芯t p m 、可信赖b i o s 、l t 技术模块 和安全v o 构成。安全基础平台层主要包括计算域安全管理器、w i n d o w s 安全 加固、安全支撑软件与接口、安全数据库等。安全应用层主要包括关键安全应用。 通过各层次安全模块的相互支撑构建统一的可信计算平台安全体系结构。 t c g 中可信计算平台的核心是t p m ，它是整个平台的信任基础，而无论从 l t 技术还是从微软的n g s c b 计划来看都离不开安全硬件的支持。t c p a 规范所 定义的可信计算平台是通过信任链的方式来实现的，信任链的传递是体现可信的 重要手段，它是可信计算平台的核心机n t 5 1 。 2 第1 章绪论 总体来看，可信计算平台就是在整个计算设施中建立起一个验证体系，通过 确保每个终端的安全性来提升整个计算体系的安全性。可信计算平台将加密、解 密、认证等基本的安全功能写入硬件芯片，并确保芯片中的信息不能在外部通过 软件随意获取。综合来看，可信计算平台的应用可以为建设安全体系提供更加完 善的底层基础设施，并为需要高安全级别的用户提供更强有力的解决方案。 可信计算也为网格技术的发展提供了很大的支持。网格就是把整个因特网整 合成一台巨大的虚拟超级计算机，以实现计算资源、高级仪器资源、数据资源、 信息资源、知识资源乃至专家资源的全面共享【5 】。但是由于网络的动态性，异构 性，开放性，不确定性，欺骗性等特点，如何获得可信的网格资源就成为了网格 技术中急需解决的问题之一，而可信计算技术j 下是为应对计算机安全问题而提出 的一种整体的解决方案。 网格环境中的信任问题是网格计算发展过程中必须解决的一个重要问题。建 立合理的信任模型对减少任务执行时间，降低任务执行失败的概率，提高重要数 据执行安全性都有重要的意义【6 】。但是当今信任模型还有很多需要改进的地方， 比如虽然有很多方法用于度量信任关系，但是都各有缺点，尚需要改进；比如对 信任关系传递方面的研究还不够等等。总之，研究基于网格的信任模型对于网格 技术的发展具有很重要的意义。 1 2 信任模型相关技术 介绍了关于可信计算的相关技术，我们引入网格信任模型。网格将是今后因 特网技术发展的一个方向，网格环境中的信任问题以及信任模型自然也就成为热 门研究方向之一。 1 2 1 信任关系 要进一步了解基于网格的信任模型，就要首先了解什么是信任。由于信任是 一个非常复杂的主观的概念，目前没有统一的定义【7 】。在普遍情况下对信任的定 义为：指对实体身份的认可及对实体能够按照预想完成其行为的能力的信赖，或 者说是对一个实体身份和行为的可信度的评估。这与实体的可靠性，诚信有关， 信任是一个主观概念，取决于经验f 8 】【9 】1 1 0 。 信任用信任值来度量。信任值并不是一个与实体身份绑定的固定值而是以实 体身份为参照，并依赖于特定时间段及特定上下文环境的变量。我们指的信任， 既包含身份信任也包含行为信任。 信任关系是这样一种情形，如果主体能够符合客体所假定的期望值，那么称 客体对主体是信任的。信任关系可以使用期望值来衡量，我们用信任度表示。一 北京t 业人学t 学硕i j 学位论文 般来说，信任关系不是绝对的，而是动态变化的【1 1 1 【1 2 l 。随着实体之间交互次数 的增多，信任度会不断调整。另外，实体之间的信任度也是有程度的，如从不信 任到一般信任，再到比较信任，到非常信任是一个连续变化的过程。 按照不同的分类标准可将信任关系划分成不同的种类： ( 1 ) 按信任属性不同可以分成：身份信任和行为信任； ( 2 ) 按信任获得方式不同可以分成：直接信任和推荐信任( 问接信任) ； ( 3 ) 按信任在网格应用全生命周期中扮演的角色的不同可以分成：代码信 任、权威信任( 第三方信任) 、执行信任等； ( 4 ) 按信任模型构建的理论基础不同可以分成：基于主观逻辑的信任和基 于模糊逻辑的信任； 通过对信任关系的研究，得出信任有如下性质： ( 1 ) 信任是一个主观概念； ( 2 ) 信任是随时问推移和节点行为的变化而动念变化的： ( 3 ) 信任是附属于某个特定节点或特定域的，需要一个承载体； ( 4 ) 信任是非对称的，即产生信任的两个节点的信任评估未必是等值的。 简单说，若a 与b 发生信任关系，则a 对b 的信任值与b 对a 的信任值不一 定相等； ( 5 ) 信任是有条件传递的，即节点a 对b 的最终信任值不一定等于a 的推 荐者c 提供给a 的b 的信任推荐值( 通常要乘以一个推荐因子，其值取决于a 对 c 的推荐信任度) ； 1 2 2 网格环境下信任模型的定义和特点 下面我们引入信任模型的概念，信任模型( t r u s tm o d e l ) 就是指建立和管理信 任关系的框架。信任模型描述了如何建立不同认证机构之问的认证路径以及构建 和寻找信任路径的规则。 因为网格是一个资源共享的复杂的异构平台，所以设计的信任模型，必须要 具有健壮性、标识唯一性、可扩展性、冗余性、简单性等特点。 1 健壮性r o b u s t 信任模型应该有一定的容错性。为了避免错误提供信任数据，需要一种机制 来验证信任数据的准确性。对于新加入者，模型在计算信任值时，不应该给予任 何偏爱。对于协同作弊，模型能够在很大程度上给予抵制。对于信任数据的存储， 模型能够避免数据遭到破坏或篡改。 2 标识唯一性u n i q u ei d e n t i t y 信任模型中主体的身份标识必须唯一，否则的话同一主体很容易利用多个身 4 第1 章绪论 份进行恶意破坏活动，影响网格资源共享。 3 可扩展性s c a l a b i l i t y 可扩展性包括两个方面。一个是指网格系统的服务、用户或资源在数量上的 扩展；另一个是指计算和存储等不同特长方面的扩展。 网格计算把计算系统、机群、数据存储、网络、以及科学仪器等资源进行无 缝的整合。每种资源在不同的特长方面提供了不同的服务。维护和评价各种内容 方面的服务是一件繁琐的事情。模型应该能够支持在任何时候加入新的内容或服 务。 可扩展性的另一方面是当网络容量增加时计算负载的增加情况。可以通过数 学模型来量化分析计算。在存储方面，分布式存储能够很好的解决可扩充性问题。 模型设计应该遵循简单的原则，在计算、存储等需求上尽量达到最低负载。当模 型扩充到很大的网络上时，计算应该是分布式进行，这样达到最小的计算负载。 4 冗余性r e d u n d a n c y 由于网格用户众多，动态加入或退出，因此在计算和存储信任数据时需要考 虑冗余性，使得网格在线用户能够即时得到其他用户的信任信息。 5 简单性s i m p l i c i t y 模型设计在计算量、基础结构、存储、以及信息复杂度上尽量简洁明了，使 系统在这些方面负载上达到最小化【1 3 j 。 1 2 3 信任模型的分类 信任模型根据不同的标准有不同的分类。 ( 1 ) 根据获取信任途径的不同分为：理性信任模型，感性信任模型。二者的 区别在于理性信任可被抽象为o 或1 的关系，也可以用布尔值表示。这种信任关 系本身就决定了信任或者不信任的条件。而感性信任通过经验、信誉或者风险分 析来给出可信的概率。信任关系本身并不是一种非此即彼的概念。感性信任往往 用 o ，l 】之间的实数或者不连续值来表剥1 4 】。 ( 2 ) 根据模型组成结构的不同可分为：层次信任模型、对等信任模型和网状 信任模型和混合信任模型。层次信任模型是实现最简单的模型，类似于树形结构， 有一个根节点r 作为信任的起点，从根节点到叶子节点的通路构成简单的信任 路径；对等信任模型是指两个或两个以上对等的信任域间建立的信任关系。相对 而言，对等信任关系灵活一些，他可以解决任意已经建立信任关系的两个信任模 型之间的交互信任；网状信任模型可以看成是对等信任模型的扩充；混合信任模 型结构，即桥形结构。它是信任结构中常见的结构，它综合了层次、网状等不同 信任模型的一种整合结构，它具有很多的优势，应用比较普遍。 5 北京t q k 大学t 学硕i j 学位论丈 信任模型j 下在被广泛的应用到越来越多的领域，其中分布式系统就是重要的 应用领域之一。以i n t e r a c t 为平台的各种分布式系统包括网格系统、p e e r - t o p e e r 网络、a dh o c 网络、普适计算、电子商务等，虽然这些系统的信任问题略有不 同，但是信任模型的引入同样都起到了重要的作用。 1 3 国内外研究现状 因为网格系统是一种分布式系统，所以在网格计算中建立信任模型需要解决 很多的问题，比如信任定义、信任的属性、信任关系的粒度、信任关系的评估和 度量等等。其中信任关系的评估和度量是建立信任模型的热点研究方削”】。 另外对于现有的多种信任模型中，动态信任模型同样也是一个研究热点。 1 3 1 信任关系的评估和度量 1 9 9 8 年，r a h m a n 等人提出的信任评估模型，将信任分为直接信任和推荐信 任，给出了信任度的传递协议和计算公式，但没有给出信任度综合计算公式【l6 1 。 1 9 9 9 年，b e t h 等人首先提出了信任量化的概念和方法，同样将信任分为直接信 任和推荐信任，根据肯定和否定经验数计算实体完成任务的概率，以此表示信任， 并给出信任合成方法【1 7 】。2 0 0 2 年，麻省理工大学的m u i 等人从社会学和进化论 的角度给出了一个信誉和信任的模型。同时其他学者也采用不同的方法来度量和 推理信任关系，比如模糊理论等【l 引。 分析现有的信任模型，对信任关系的传递都借鉴了人工智能中的不确定推理 的方法，主要方法有贝叶斯网络，基于权重的合成，证据理论( ds ) 。信任模型 的引入对于分布式系统的发展有着重要的意义。分布式系统由于其丌放性等原因 而不得不面临着安全问题，而信任模型的研究可以为改善分布式系统安全状况发 挥作用。 1 3 2 信任模型的研究现状 很多学者在研究各种分布式应用中的动态的信任关系，并使用不同的数学工 具和方法建立信任模型。1 9 9 6 年c l a u d i u1 1 9 】【2 0 】等人提出了一种p 2 p 环境下的基 于机器学习中强化学习方法的动态信任模型。该模型引入了近期信任，长期信任， 惩罚因子和推荐信任等参数反映节点信任度。2 0 0 5 年h a s s a n l 2 1 1 等人提出了一种 普适环境下引入向量运算机制来描述信任关系的信任模型，模型由于没有采取复 杂的迭代计算，具有较快的收敛速度和较好的可扩展性。2 0 0 5 年h e 2 2 乃】等人 提出了一种普适环境下基于云( c l o u dm o d e l ) 模型的信任模型c b t m 。该模型以云 6 第1 章绪论 的形式，将实体之间信任关系的信任程度描述和不确定性描述统一起来，并给出 了信任云的传播和合成算法。2 0 0 5 年d i m i t r i l 2 4 】基于b a y e s i a n 网络模型提出了一 种使用k a l m a n 信息过滤方法的动态随机估计模型。无论有无上下文被检测到， 模型都会自动进化，这非常适合于动态信任模型的需求。2 0 0 5 年s o n 9 1 2 5 】等人提 出了一种网格环境下的实体基于模糊逻辑的动态信任模型，在众多基于网格的信 任模型中，该模型是比较典型的。2 0 0 6 年s u n l 2 6 l1 2 7 1 等人提出了一种基于信息论 中熵理论的信任模型，该模型可以实现信任值动态更新，有较好的动态适应能力， 可以进行路由选择，有效地检测和抵御恶意节点的攻击行为。2 0 0 6 年p t m l 2 6 1 【2 7 1 p o j 是欧洲i s tf p 6 支持的u b i s e c ( 安全的普适计算) 研究子项目，它定义了基于 普适环境的域间的动态信任模型，主要采用改进的证据理论( ds ) 的方法进行建 模，信任度的评价采用概率加权平均的方法。2 0 0 6 年g e o r g e l 3 1 】t 3 2 1 等人提出了一 种基于半环代数理论的信任模型。将信任问题定义为一个有向图的路径问题，用 节点代表实体，有向边代表信任关系，然后使用半环代数理论计算两个节点的信 任值。 尽管现在国内外学者对于动态信任模型的研究完成了很多工作，但是动态信 任模型目前的研究毕竟还处于起始阶段，存在一些明显的问题： ( 1 ) 信任关系定义的混乱性。信任关系是最复杂的社会关系之一，也是一个 非常主观化的心理认知，是一个实体的主观决定。对“信任”也还没有统一的定义， 各种模型各自提出了信任的定义，甚至它们所使用的语言词汇也各不相同。虽然 一些学者也努力提出一些所谓u n i v e r s a ld e f i n i t i o n ，但都还没有被广泛接受。 ( 2 ) 信任模型的多样性。各种模型都是基于不同的应用背景提出来的，例如， 分布式环境下的信任模型强调动态性和不确定性；而电子商务中的信任模型强调 交互双方的互信。所以，不同的应用提出了不同的信任模型。 ( 3 ) 模型性能的评价困难。对于一个模型的性能优于其他模型的评价是一个 非常困难的工作，以上介绍的信任模型性能的评价大多采用模拟实验的办法进行 功能的评价，而没有进行实际性能的评测。 ( 4 ) 模型的实现问题。在以上介绍的动态信任模型中，仅有极少数实现了原 形模型，在访问控制和服务发现中进行了一些应用，其他模型都没有说明实现问 题。 ( 5 ) 介绍的模型大多没有综合考虑各种可能的输入因子。例如，大多数模型 没有风险机制，没有考虑服务者的声誉，不能很好地消除恶意推荐对信任评估的 影响，没有解决初始信任值如何获得的问题等等【3 3 】。 7 北京t 业人学t 学硕l ：学位论文 1 4 主要研究内容 目前，信任模型在网格计算中的应用已经成为可信计算领域的一个热门研究 方向，尽管很多研究者引入经典数学理论来改进当前现有的信任模型，但是当前 针对信任模型研究过程中还存在一些问题： ( 1 ) 当前还缺乏准确的刻画信任模型以及节点问信任度的表示； ( 2 ) 尽管基于典型b a y e s 方法的信任模型可以支持网格计算中动态任务分配 【3 引，f h 是其对于任务类型的支持范围不够广泛。 针对上述两个问题，本论文做了如下工作： ( 1 ) 本文借助于有向图的方法来更准确的刻画信任模型并且借助可信矩阵 更直观的描述和存储实体之间的信任程度； ( 2 ) 在基于b a y e s 方法的可信动态级调度算法的基础上，提出考虑复合任务 序列的可信动态级调度算法，并提出一个可信调度算法应用框架，最后对其进行 了仿真实验，验证框架的有效性。 1 5 本论文的组织形式 本论文的共分为四章，其组织结构如下： 第一章为本文的绪论，简要介绍了可信计算相关知识背景；并详细介绍了 信任模型的定义、特点以及分类等相关理论。其次，通过介绍信任关系以及信任 模型的国内外研究现状提出本文的研究问题和研究方向。 第二章主要介绍了基于b a y e s 方法的动态信任模型以及可信动态级调度， 并对该模型的优点和缺点进行了系统的阐述。 第三章在b a y e s 方法的动态信任模型的基础上，对该模型进行改进，引进 有向图和可信矩阵来更准确的刻画信任模型，提出复合任务序列的表述方法，引 入任务分解图以清晰明确的表示任务的执行情况，最后给出了基于b a y e s 信任模 型的网格任务分配应用框架，并对其相关适用范围进行阐述。 第四章通过仿真实验来验证基于b a y e s 信任模型的复合任务分配应用框架 的有效性，并对结果数据进行分析和相关讨论。 最后部分归纳了本文的研究工作，总结了文章的内容，提出了论文所做的工 作，并对今后的工作进行了展望。 8 第2 章网格环境下基于b a y e s 方法的动态信任模型 第2 章网格环境下基于b a y e s 方法的动态信任模型 本章将介绍一种网格环境下基于典型b a y s e 方法的动态信任模型，该模型在 经典的调度算法d l s 算法的基础上，引入节点间信任度的概念，发展形成 t r u s t d l s 算法，提高网格任务调度的安全性和执行成功率。 2 1 网格环境中的信任关系 首先我们先介绍一下网格环境中的信任关系。网格利用互联网把分散在不同 地理位置的计算机组织成一个“虚拟的超级计算机 ，其中每一台参与计算的计 算机就是一个“节点 ，成千上万个这种节点纵横交织成“一张网格”，相当于一 部超级计算机。 网格系统和人际关系中的信任关系有很大相似之处，都具有不确定性，传递 性等特点，为此我们借鉴社会学中的人际关系理论来建立信任模型。信任是一个 很复杂的主观概念，目前还没有统一的定义，通常意义上认为信任是对一个节点 身份和行为的可信度的评估，这与节点的可靠性，诚信有关，信任是一个主观概 念，取决于经验。 在信任的定义中，表达了信任最重要的一个特性：主观性。信任不是一个实 体的客观属性，而是其它实体对它的主观评价。只有和其它实体联系在一起，信 任才有意义，信任对一个孤立的实体毫无意义。 网格环境中实体之间的信任关系有以下性质： ( 1 ) 信任关系总是存在于两个实体之问的。 ( 2 ) 主观性：不同的实体对同一个实体可能有不同的信任度，取决于实体间 的交互历史。 ( 3 ) 非对称性：a 信任b 并不表示b 就信任a ，即使a 和b 之间存在相互的 信任关系，它们信任对方的程度通常也是不同的，即a 对b 的信任度不一定等 于b 对a 的信任度。因此，使用a 到b ，a 对b 这样的说法来表示信任的方向。 ( 4 ) 有条件的传递性：即传递性只是在一定条件下满足。例! z h ( a t r u s t sb ) & ( b t r u s t sc ) 一at r u s t sc 只有在a 信任b 作为一个推荐者时成立，并且a 对c 的信 任度可能小于b 对c 的信任度。最终a 是否信任c 仍然要由a 自己决定，这也 再次反映了信任的主观性。 ( 5 ) 传播性：实体之间信任关系的变化会影响其他实体之间的信任关系。因 为推荐信任关系是根据其他实体的评估而建立起来的一种信任关系。例如当一个 实体有不诚信行为时，跟他有过交易的实体对其评估就会很差，这样与该实体有 9 北京t 业人学t 学硕f j 学位论文 关的信任度都会降低，类似于现实社会中的恶名昭著。 ( 6 ) 动态性：实体之间的信任关系不是持久不变的，受实体行为的影响，随 之动态变化。合法诚信的行为将会提高信任度，反之则降低信任度。对于一个结 果不叮预知的行为，只要被认为将会产生正面的结果，它就更有可能被接受。这 不同于盲目的猜测。一个信任决定是基于本身相关的经历和知识。这些经历和知 识形成了在一个熟悉的环境中的信任基础。在这种感知下，信任的理由是一种感 性的形式而不是理性的形式。这也使得信任是动态的、非单调的，以后的经历和 有关的事件将会增加或者降低我们自身在其它实体上的信任等级。而且，最近发 生的事件往往对信任等级的影响更大。 网格实体间的信任可以分为身份信任和行为信任两种。身份信任所关注的是 实体身份以及实体权限的验证问题，主要通过加密、数字签名以及认证协议等 手段来实现；而行为信任则根据实体彼此之间的交互经验动态更新实体问的信任 关系，具有动态性和不确定性等特点【1 2 1 。行为信任目前已成为网格信任模型研究 中的热点问题。 b e t h 等人在1 9 9 9 年首先提出了信任量化的概念和方法，把行为信任关系可 以分为直接信任和推荐信任两种【l 列：直接信任是一个节点根据过去相互| 、日j 的直接 交互经验而确定的对另一个节点的信任程度；推荐信任是一个节点根据过去的推 荐结果而确定的对另一个节点所推荐的经验信息的信任程度。 我们可以通过图2 1 描述一下直接信任和推荐信任的概念。 图2 - 1 节点间信任关系图 f i g 2 - 1t h et r u s tr e l a t i o n s h i p sa m o n gn o d e s 如图1 1 所示，我们使用a b c d 表示网格中的四个节点，节点可以完成网格 任务并且之间可以交互，我们使用双向箭头表示节点间存在交互。在图1 中，如 箭头所示，节点a 和b ，c 两个节点之间都存在直接交互，所以它们之间为直接 信任的关系；而节点a 和节点d 之间没有存在双向箭头，也就是不存在直接交 互，但是节点c 和节点d 之间存在直接交互，节点c 和节点a 之间也存在直接 交互，那么节点就a 可以通过节点c 获得对节点d 的评价，这样节点a 和节点 d 之间就是推荐信任的关系。 对信任关系的评价主要依据来源于相关的经验信息。实体间的信任传递主要 是信任值的传递，判断一个实体是否成功地完成某项协作活动与判断一个实体是 1 0 第2 章网格环境下桀fb a y e s 方法的动态信任模掣 否诚实地提供信任信息相比，要涉及到较少的主观判断。因此，直接信任比推荐信 任具有更多的理性成分，较易建立合理的数学模型加以处理，而推荐信任的处理则 要具有更多的个性化要求。 2 2 基于b a y e s 方法的信任度定义 2 2 1 信任度定义 信任度( t r u s td e g r e e ) 就是信任的定量表示，也可以称为信任程度、信任值、 信任级别、可信度等。 在建立起一定的信任关系的基础上，实体之间可以通过信任计算方法来评价 彼此的信任度。信任度是指一个实体对于另一个实体的信任的量化描述。因为信 任是一个主观的概念，所以不存在一个统一的信任度量化标准。但是，为了互操 作性必须对信任度进行统一的量化，即使是基于纯粹的、直观上的语义定义。 基于b a y e s 方法的信任模型中信任度的划分标准包括两种类型的信任度：直 接信任度和推荐信任度。用“直接信任度”量化实体间的直接信任关系，用“推 荐信任度 来量化推荐实体的推荐者信任关系。由于不同实体的信任评价尺度会 不同，对于来自推荐实体的推荐信任，信任主体要结合对该实体的推荐者信任关 系来进行校正。最后计算出的信任值，作为信任主体对客体实体的更新后的直接 信任度。同时信任主体会依据该结果对推荐实体的推荐信任度作出修正的更新计 算。每个实体都有一个信任关系数据库，旱面存在着对其他实体的推荐信任度和 直接信任度，每个实体随时在维护它。 2 2 2 基于b a y e s 方法的直接信任度 b a y e s 方法是建立在主观概率的基础上，主观概率是一种见解，是合理信念 的一种猜测，是某人对特定时间会发生的可能性的信念的度量，它既是主观的， 有是根据经验，对客观情况了解以及各方面知识，分析相关信息并综合判断得到 的。对于两个节点问交互的直接信任度，可以运用b a y e s 方法直接估计其值。 定义1 ( 直接信任度的估计) 。设网格中的两个节点x 和y ，如果用二次事件 ( 成功失败) 来描述它们之间的交互结果，当石和y 之间发生刀次交互后，成 功次数为甜，失败次数为1 ，且将直接信任度比( 工，y ) 定义为第n + 1 次交互成功的 概率，则节点x 和y 之间交互成功的后验概率服从b e t a 分布，则其密度函数为： 直接信任度可以估计为： 北京t q k 人学t 学硕i ：学位论文 b 嘲( 秒旧v ) ：j 塑蔓丛塑型盟0 “( 卜秒) v、。7 r ( u ( x ，少) + 1 ) r ( v ( x ，少) + 1 ) 、 其中0 0 o 由公式1 推导出节点x 和y 直接信任度钆( x ，y ) 的表达式为： 却小川姐( 础l u + l , v + 1 ) ) - 意黩 其中0 0 o 2 。2 。3 基于b a y e s 方法的推荐信任度 ( 2 1 ) ( 2 2 ) 对于推荐信任，由于是又两类或者多类节点直接交互形成的，因此对它的 评估仍然可以借鉴直接信任的方法，但是不同的是，需要选择推荐节点来参与评 估。推荐节点的选择可以通过直接信任度进行判定，即将自己信任的节点作为推 荐节点。下面我们来看推荐信任的评估： 定义2 ( 推荐信任度的估计) 。设网格中节点x 和j ，之间，y 与z 之间的交互 独立，交互次数为1 1 和n 2 ，其中成功交互的次数分别为u ，和u 2 ，失败交互的次 数分别为1 ，和v 2 ，则节点x 通过节点z 对节点y 的推荐信任度的可以估计为： t r e c o m m e n d = 秒r t 亿训) = e ( b e m ( 0iu ，+ u 2 + l , v t + v 2 + 1 ) ) = 鬻黼 其中0 o( 2 4 ) 其中n 1 和u 1 分别代表x 节点和z 之间交互的总次数和成功次数，u 和v 分 别表示节点集合z 和节点y 交互时成功和失败的总次数。 在获得节点间直接信任和推荐信任的评估以后，需要对综合信任度进行评 估。综合信任度就是对节点问直接信任和推荐信任进行整合获得的信任度评估， 在这里我们可以引入一个信任度合并函数厂( 巳，吼) ，其中眈和吼就是前面已经 1 2 第2 章网格环境下基于b a y e s 方泫的动态信仟模型 得出的直接信任度和推荐信任，该函数定义以某种方式整合二者。一般来说是以 简单的线性关系把直接信任度和推荐信任度合并为综合信任度，作为两个节点之 间的综合信任度，例如综合信任度可以下列公式4 表示： 厂( 免，以) = 五乞+ ( 1 一五) 幺， 五( o ，1 )( 2 5 ) 公式4 以线性关系合并了直接信任度和推荐信任度，可以通过调整名