（计算机软件与理论专业论文）有盟主的服务虚拟组织的信任关系模型研究.pdf

摘要 服务网格将网格技术与面向服务的思想相结合，目的在于为网格环境提供全面共享 各种服务资源的基础设施。由于服务网格具有大规模性、动态性、异构性以及资源自主 性等特征，它在安全方面提出了更高更广泛的需求。网格环境中的信任问题是网格安全 问题的核心，信任关系模型是服务网格基础设施的必要组件。 本文在当前网格环境信任模型的基础上提出了一种新的信任关系模型，即有盟主的 信任关系模型。针对有盟主的服务虚拟组织，该模型将盟主管理和基于域的信任管理相 结合，基于实体行为建立起具有奖惩机制的信任关系模型。在有盟主的信任关系模型中， 信任关系分为直接信任关系和基于信誉值的信任关系，为实体间的可信交互提供全面的 信任信息。盟主是服务虚拟组织的信任关系管理者，在服务虚拟组织内实施管理功能， 信任域是网格环境中的信任管理单位。在信任关系的演化计算中，引入时间衰减机制和 基于上下文的思想，以表示时间和空间对信任关系带来的影响；对于服务虚拟组织中的 恶意节点，使用惩罚机制以有效遏制恶意节点的恶意行为。信任关系的发生总是伴随风 险的产生，有盟主的信任关系模型采用风险评估方法对服务的可信度风险进行评估，从 而为可信节点的有效发现提供了双重保证。最后，在选择可信节点时，信任关系模型引 入随机选择法，从而避免服务热点现象。 通过仿真实验，对信任关系模型的有效性和正确性进行量化评估。另外，通过实验， 对服务热点解决方案的效果进行了评估和验证。 对实验结果分析表明，有盟主的信任关系模型能有效地解决服务网格的信任问题， 与其它信任模型相比，本模型在恶意节点发现率和任务执行的成功率上取得了一定的改 进，同时，也在一定程度上避免了服务热点现象。 关键词：服务虚拟组织，信任，信誉，盟主，信任域 a b s t r a c t t h es e r v i c eg r i di st h ec o m b i n a t i o no ft h eg r i da n dt h es e r v i c e o r i e n t e da r c h i t e c t u r e i t a i m sa tp r o v i d i n ga no v e r f l ls h a r i n go fs e r v i c er e s o u r c e sf o rt h eu s e r si n 面d s h o w e v e r , t h e s e c u r i t yr e q u i r e m e n t so ft h es e r v i c e - o r i e n t e dg r i da r eh i g h e ra n dm o r ee x t e n s i v eb e c a u s eo fi t s c h a r a c t e r i s t i c s ，s u c ha sl a r g es c a l e ，d y n a m i c s ，h e t e r o g e n e i t y , a n dt h er e s o u r c e sa u t o n o m y a n dt h et r u s tp r o b l e mi st h ek e yo ft h e 鲥d ss e c u r i t y t h et r u s tr e l a t i o n s h i pm o d e li sa r e q u i r e dc o m p o n e n to ft h es e r v i c e 鲥d sb a s i ci n f r a s t r u c t u r e an e wt r u s tm o d e l ，n a m e dt h et r u s tr e l a t i o n s h i pm o d e lw i t ht h es t a k e h o l d e r - c e n t r i c ，i s p r o p o s e di nt h i sp a p e rb a s e do ns o m ee x i s t i n gt r u s tm o d e l s 硼1 et r u s tm o d e li sd e s i g n e df o r t h es e r v i c ev i r t u a lo r g a n i z a t i o n i tc o m b i n e st h es t a k e h o l d e rm a n a g e m e n ti nt h ev i r t u a l o r g a n i z a t i o na n dt h et r u s tm a n a g e m e n tb a s e do nd o m a i n s a l s ot h et r u s tm o d e li sb a s e do n e n t i t i e s b e h a v i o r b o t hr e w a r d sa n dp u n i s h m e n t sm e c h a n i s m sa r ei n t r o d u c e dt ot h en e wt r u s t r e l a t i o n s h i pm o d e l t h et r u s tr e l a t i o n s h i pi sc l a s s i f i e dt ot h ed i r e c tt r u s tr e l a t i o n s h i pa n d r e p u t a t i o n - b a s e dt r u s tr e l a t i o n s h i p ，s ot h a tt h ec o m p l e t et r u s ti n f o r m a t i o ni sp r o v i d e df o r t h e t r u s t a b l ei n t e r o p e r a t i o nb e t w e e ne n t i t i e si ns e r v i c eg r i d s i nt h es e r v i c ev i r t u a lo r g a n i z a t i o nf o r ac e r t a i nt a s k ，t h es t a k e h o l d e rm a n a g e st h et r u s tr e l a t i o n s h i p ，w h i l et r u s td o m a i n si ns e r v i c e 酊d sa r et r u s tm a n a g e m e n tu n i t si nt h e 鲥d ，n o tr e l a t e dt os o m ec e r t a i nt a s k i nt h et r u s t r e l a t i o n s h i pe v o l u t i o n ，t h em e c h a n i s mo ft r u s tr e c e s s i o n 谢t l lt i m ei si n t r o d u c e da n dt h et r u s t r e l a t i o n s h i pi sc o n s i d e r e dt ob ec l o s e l yr e l a t e dt ot h ec o n t e x t m a l i c i o u sn o d e s b e h a v i o ri s k e p td o w nw i t ht r u s tp u n i s h m e n tm e c h a n i s m w h a t sm o r e ，t h er i s ke v a l u a t i o nm e t h o di s d e s i g n e d ，s ot h a tt h es e r v i c ev i r t u a lo r g a n i z a t i o nh a sd o u b l et r u s ti n s u r a n c e f i n a l l y , r a n d o m s e l e c t i o nf o rt h et r u s t a b l es e r v i c e si su t i l i z e di nt h et r u s tr e l a t i o n s h i pm o d e lt ow e a k e nt h eo f t h ep h e n o m e n o no fh o ts p o t so ns e r v i c e s i nt h ee n d ，s i m u l a t i o ne x p e r i m e n t sa r ed e s i g n e da n df i n i s h e dt ov a l i d a t et h ea c c u r a c ya n d e f f i c i e n c yo ft h et r u s tr e l a t i o n s h i pm o d e l 、析mt h es t a k e h o l d e r - c e n t r i c a n da ne x p e r i m e n ti s m a d et oe v a l u a t et h ee f f e c t i v e n e s so ft h er a n d o ms e l e c t i o nm e t h o df o rt h eo ft h ep h e n o m e n o n o fh o ts p o t so ns e r v i c e s m a n a l y s i so fe x p e r i m e n tr e s u l t ss h o w st h a tt h et r u s tp r o b l e mo fs e r v i c e 鲥dc a nb e r e s o l v e de f f e c t i v e l y 、析mt h et r u s tr e l a t i o n s h i pm o d e l 、析ms t a k e h o l d e r - c e n t r i c c o m p a r e dt o o t h e rt r u s tm o d e l s ，t h em a l i c i o u sd i s c o v e r yr a t i oa n dt h es u c c e s sr a t i oo ft a s k sa r ei m p r o v e dt o s o m ed e g r e e ，a n dt h ep h e n o m e n o no fh o ts p o t so ns e r v i c e si ss u c c e s s f u l l yw e a k e n e d k e y w o r d s ：s e r v i c ex r m u a lo r g a n i z a t i o n ，t r u s t ，r e p u t a t i o n , t r u s td o m a i n s 西北大学学位论文知识产权声明书 本人完全了解西北大学关于收集、保存、使用学位论文的规定。学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版。本人允许 论文被查阅和借阅。本人授权西北大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。同时授权中国科学技术信息研究所等机构将本学位论 文收录到中国学位论文全文数据库或其它相关数据库。 保密论文待解密后适用本声明。 学位论文作者签名： 啪硷 j 指导教师签名 砂移年6 月卅日伽年易月4 日 西北大学学位论文独创性声明 ， 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，本 论文不包含其他人已经发表或撰写过的研究成果，也不包含为获得西北大 学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名： 讹年6 月刀日 西北大学硕士学位论文 第一章绪论 1 1 研究背景 近十年，网格计算已经成为信息技术领域的热门话题之一。最早的网格定义由f o s t e r 和k e s s e l m a n 给出，即网格是一个硬件和软件的基础设施，它提供了可靠、一致、普遍 和廉价的方法来获得高端的计算能力【1 1 。早期的网格研究主要集中于计算能力、数据访 问、存储资源这些领域，并被应用在科研项目中，而对其商业应用的探索比较少【2 】。 虚拟组织是网格计算中的核心概念，因此，研究网格计算技术，需要紧扣“虚拟组 织 这一概念。f o s t e r 、k e s s e l m a n 和t u e c k e 三人给出了虚拟组织的定义，虚拟组织是 一个动态集合，它包含多个围绕一定资源共享规则和限定条件定义的个体或机构。虚 拟组织的主要特征是动态性、资源自主性和资源共享性。针对虚拟组织的这些特性，研 究人员提出了相应的网格体系结构，用于在虚拟组织内建立、管理及跨组织地共享资源 【2 1 o 随着研究人员对网格技术研究的不断深入以及对网格应用的探索，网格技术已经被 应用于教育、科研、国防等领域，同时，研究人员在努力推动网格技术在商业领域的应 用。m m 公司的b u s i n e s so nd e m a n d 计划为网格计算在商业领域的应用提供了有效的 运作模式圈，当前，许多公司都在研究这一运作模式的实现和应用，人们积极将网格计 算应用于各个业务部门。网格计算在商业领域的应用使得研究人员开始考虑将面向服务 的思想应用于网格计算，称之为服务网格计算，服务网格计算中的虚拟组织被称为服务 虚拟组织。在服务网格计算中，服务是某个接口的实现，该接口为客户应用提供了必要 的绑定和消息交换模式信息；资源是能够被共享或者以逻辑或物理实体表示的事物。它 拥有大量的接口，应用提供的接口，用于管理、访问和监控资源。图1 1 显示了服务和 资源的关系。 第 绪论 客户 、， ，一， 一 j k 务 v 雎i 务 一 ：一j 面丽丽1 e 现。 * 现 访问资源+ 图l _ i 服务和资源的关系 开放网格服务体系结构( o g s a ) 融合rw e b 服务体系结构的特点，是一种分层体 系结构，其核心体系结构层是o g s i 和o g s a 核心平台服务。o g s i 是一项网格软件基 础设施标准化计划，基丁w e b 服务标准，这些w e b 服务标准的目的是在o g s a 的软件 组件之间提供最大程度的协同工作的能力口i 。 文献【4 豫出了一种有盟丰的服务虚拟组织模型，这一模型定义了如何有效地构建和 管理服务虚拟组织。该模型中的盟主和传统f i 勺集中式资源管理的服务器有着本质不同， 它具有有戳的生命周期，其目标是使得分布式汁算能更有效地进行。在中国科学院的研 究成果中，有盟主的服务虚拟组织已经基本成熟，并且被应用在电子政务系统中h 。但 是，该模型没有解决服务虚拟组织的安全问题。 网格基础设施的构建是网格计算得以广泛应用的前提。在网格中间件基础设旌构建 中有四个重要研究领域：安全、资源管理、信息服务和数据管理【“。其中，安全问题 是首要问题。 在网格中间件基础设施研究中，安全方案必须着眼于本地安全集成、安全身份映射、 安全访问、安全联盟以及信任管理方面的问题l “。由于虚拟组织的成员之间交互和协作 行为频繁协作行为是具有自卡性，所以，虚拟组织的成员之问的交互和协作必须建立 在彼此信任的基础上。因此，信任管理是针对服务虚拟组织安全问题的重要且有效的解 决方案。 典型的虚拟组织信任模型有e i g e n t r u s t 模型、j s a n g 模型、b e t h 模型以及p a t h t r u s t 模型等。对网格环境中信任模型的研究，是建立在前人对分布式计算中信任模型的研究 2 西北大学硕士学位论文 成果的基础之上的。 在服务网格环境中，信任关系模型的主要任务如下：为实体之间定义信任关系，包 括直接信任关系和间接信任关系；更新和维护信任关系表；查询信任关系表，选择可信 服务并提出服务申请；有效发现和避免恶意节点和恶意服务等等。信任关系模型的目标 是为服务网格建立一个有效的可信度评估机制，从而确保服务网格环境下的资源共享和 协作的安全性。 针对有盟主的服务虚拟组织模型，建立相应的信任关系模型，为服务虚拟组织的建 立提供可靠的可信度评估机制，从而确保服务虚拟组织有效且安全执行任务。 1 2 研究的目的和意义 根据文献【4 】的描述，有盟主的服务虚拟组织具有一定的生命周期，在这一生命周期 中，由组织内的成员协作执行盟主定义的任务。有盟主的服务虚拟组织的生命周期由五 个阶段组成：原始状态、虚拟组织构建、虚拟组织运行、虚拟组织解体和结束状态【4 】。 当盟主在选择网格实体以构建虚拟组织时，要求网格实体具备提供所需的资源的能力， 并且要求网格实体具备身份安全性和行为可信性。 必须选择能够提供任务所需的资源或者服务的节点来参与任务的执行，在构建有盟 主的服务虚拟组织时，邀请实体加入虚拟组织，不仅要求该实体具备提供所需服务的能 力，还必须考察实体的安全性和可信度，选择可信任的实体来提供服务。而在虚拟组织 的运行中，可能会有实体不能完成任务，甚至带来恶意服务等，对于这些状况，必须设 置相应的机制进行处理。当虚拟组织执行任务完成后，进行解体前，盟主会对每个节点 进行信任的评估，以获得最新信任值。因此，设计一种信任管理模型，为服务虚拟组织 的高效且安全运行提供支撑，具有重要意义。 盟主在服务虚拟组织中发挥着重大作用。建立一个有盟主的信任关系模型，可以为 盟主在构建和管理为服务虚拟组织时提供信任保证。 因此，本文研究工作的目的就在于为网格环境下有盟主的服务虚拟组织建立相应的 信任评估机制，以满足盟主、虚拟组织成员以及网格中实体的信任关系的管理需求，在 此基础上，可以尽量保证虚拟组织的有效工作，避免恶意节点的攻击。 1 3 研究现状 网格计算环境中的信任模型是网格计算研究领域的热点主题之一。网格环境分布性 强，很多研究工作都建立在以往的分布式计算或者虚拟组织的信任模型基础上。 第一章绪论 a z z e d i n 和m a h e s w a r a n 关于网格计算环境的信任演化和管理的研究取得了较大的 进展。其核心是将网格环境中的实体的历史行为作为评估可信度的标准，并提出了信誉 这一概念。在该模型中，信任关系的确定可以由直接交互经验获取，当两个实体之间没 有交易历史时，获取信誉值来确定其可信度【5 】。 b e t h 模型将信任关系分为直接信任关系和推荐信任关系，以交互经验为可信度的评 判素材，提出了相应的信任计算机制【6 】。 j c , s a n g 模型则是考虑到实体的信任评估既基于客观经验又具有主观性这一事实， 引入了事实空间和观念空间来表达信任关系 7 1 1 8 1 。 同时，北京大学的研究者提出了基于模糊集合理论的主观信任管理模型。该信任模 型将信任的评估重点放在了信任评估的主观性上，认为这主要表现为模糊性。并引入了 模糊集合论中隶属度来描述模糊性，可信度量机制选用信任向量【9 】。 以上的研究成果对于信任关系的考虑各有侧重点的，而且统计方法也不同，有许多 值得借鉴之处。但是这些信任模型的研究都处在较为纯粹的理论研究阶段，没有很好地 与网格环境的实际运行相结合，也没有研究信任关系模型在具体的虚拟组织模型和虚拟 组织的生命周期内的应用。 1 4 论文主要工作 本文在对有盟主的服务虚拟组织模型和网格计算信任机制进行研究的基础上，提出 了适用于有盟主的服务虚拟组织模型的信任关系模型。该信任模型借鉴了经典的基于域 的信任管理模型的思想，将服务虚拟组织作为信任评估机制的任务执行单元，并定义了 盟主的信任管理功能。在本文提出的信任关系模型中，同时考虑到了信任的主观性和基 于交易经验的特征，引入了上下文机制。实体之间的信任关系是由实体之间在一定上下 文环境中进行交易的成功或者失败经验来度量的。同时，与服务虚拟组织的生命周期相 适应，定义了相应的信任演化机制。在信任演化过程中，不仅使用激励机制，也引入了 惩罚机制，对于恶意节点的恶意行为可以起到惩治和预防作用。另外，本模型对时间衰 减机制【3 】进行了补充，以避免由时间衰减机制产生的负面效果。最后，在依据信任值选 择节点时，提出了随机选择可信节点的思想，使得盟主在选择节点时，不是直接选择信 任值最大的节点，而是在满足一定信任条件的节点集合中随机选择节点提供服务。这样， 可以解决服务热点问题，均衡负载，也可以有效避免由时间衰减机制和传统的选取拥有 最大信任值的节点所共同产生的“马太效应现象。 4 西北大学硕士学位论文 为了验证本模型的有效性，进行了仿真实验，用来测试在该信任评估机制作用下的 虚拟组织的完成任务的效率、对恶意节点的发现率和避免能力以及负载均衡的效果等。 1 5 本文的创新点 有盟主的信任关系模型主要是针对有盟主的服务虚拟组织提出的，可以更好地满足 有盟主的服务虚拟组织所处的网格环境对信任关系的需求。本文提出的有盟主的信任关 系模型，主要有如下创新点。 第一，本文的信任模型为盟主在服务虚拟组织中的管理功能增加了信任管理功能， 同时，盟主这一角色的功能是建立在网格的信任域基础上，形成了盟主和域内代理双重 管理机制。 第二，在信任关系的演化过程中，引入了时间衰减机制，并且在仿真实验中应用时 间衰减机制。 第三，采用奖励和惩处两重信任关系更新方案，既有效促进了信任关系中的可靠协 作，也可以对恶意节点形成遏制作用。 第四，信任模型中引入了简单的风险评估机制，从另一方面来保证信任关系的可靠 性。 第五，对于根据信任关系确定服务提供者这一机制产生的服务热点和由此带来的服 务的“马太效应 现象，应用随机生成算法对可信服务进行随机选择，这样可以有效削 弱甚至可以避免服务热点现象和“马太效应”现象。 1 6 论文组织结构 本论文一共分为六章来介绍研究和实现工作。具体安排如下： 第一章绪论。 本章首先论述了研究工作的背景和目的，并对当前的研究现状进行了介绍，以此为 基础，概述了本文研究工作的主要内容和创新点。最后，对论文的组织结构和各章内容 进行论述。 第二章网格技术和信任技术。 这一章论述本文研究工作的理论基础，包括网格技术和信任技术两个方面。主要对 网格的关键技术进行介绍，并分析了网格技术待解决的主要问题。在此基础上，分析网 格环境中的安全体系结构和安全问题，最后，对于网格安全中的信任管理进行简单论述， 并剖析网格环境中的信任问题，为后续章节的内容做铺垫。 5 第一章绪论 第三章有盟主的服务虚拟组织模型及信任管理相关研究。 本章对本课题研究的对象即有盟主的服务虚拟组织模型做了详细介绍和分析，并重 点分析信任管理的概念和信任管理模型，对典型的信任管理模型的主要特点进行了介 绍。最后，基于上述分析研究工作，给出了本课题研究对象的信任需求。 第四章有盟主的服务虚拟组织的信任关系模型。 这是本文的核心部分，主要对有盟主的服务虚拟组织的信任需求进行细致分析，在 此基础上，给出了有盟主的服务虚拟组织的信任关系模型的架构。接下来，详细说明了 基于域和实体行为的有盟主的信任模型的工作流程和信任演化计算。最后，引入了风险 评估策略，并设计了相应的方案解决信任模型中的服务热点和“马太效应”问题。 第五章信任模型的仿真实验和结果分析。 本章针对有盟主的服务虚拟组织的信任关系模型的性能目标，进行了仿真程序设计 和仿真实验，并对仿真结果进行了比较和分析。在本章的开头，介绍了网格环境的仿真 工具g r i d s i m ，并以g r i d s i m 为基础设计信任仿真程序。使用这一仿真工具，对本文的 信任关系模型的几个方面进行仿真实验设计和仿真结果分析，通过比较，验证信任模型 的优越性，并对其中的不足进行分析，为下一步工作确定目标。 最后，对本文的研究工作进行总结，并分析下一步研究工作重点和工作目标。 6 西北大学硕士学位论文 第二章网格技术和信任技术 在网格环境中，信任关系模型建立实体间的信任关系，给出实体的信任评估方法， 目的在于通过对参与协作的实体的可信度的衡量，来确保网格计算的安全。因此，网格 技术和信任技术是本文研究工作的理论基础。本章重点论述网格技术和信任技术，分析 网格环境中的安全问题以及信任管理的核心问题，为本文研究工作起到铺垫作用。 2 1 网格技术 研究网格环境的信任关系模型，首先必须研究网格基础技术。目前，对网格技术的 理论研究已经取得了一定的成果。研究人员设计出了网格体系结构，并对网格体系结构 中的组件进行定义和实现。网格技术与面向服务的体系架构的结合，使得网格技术具有 更好的应用性。本节将对网格体系结构、服务网格和网格技术的关键问题进行论述。 2 1 1 网格概念和网格体系结构 1 9 9 8 年，f o s t e r 和k e s s d m a n 对网格进行了定义：计算网格是一个硬件和软件的基 础设施，它提供了可靠的、一致的、普遍的以及廉价的方法来获得高端的计算能力。网 格计算是动态的、多机构虚拟组织之间的受控协同资源共享以及问题解决【1 1 。 网格以虚拟组织的形式实现其协作功能，因此，虚拟组织是网格技术的核心和重点 研究对象【l o 】。虚拟组织是一个动态集合，包含多个围绕一定资源共享规则和限定条件定 义的个体和( 或) 机构，其目标是完成个体分组定义中的动态计算任纠1 1 。虚拟组织具 有动态性、异构性以及资源共享性等特征，因此，需要为虚拟组织设计和实现管理机制， 以实现感知和处理虚拟组织内的动态变化、发现有效且安全的资源以及确保虚拟组织的 成员能够按照共享规则协作等功能。 虚拟组织中成员之间的关系是对等的，每个成员既是资源的请求者，同时也是资源 的供应者【2 】。当某一分组定义一项任务时，会邀请可提供所需资源的成员协作执行任务。 虚拟组织的目标就是完成分组定义的任务，任务的执行是由虚拟组织的成员协作完成， 此时，需要为该虚拟组织的成员定义共享规则，进行资源的调用管理，实现成员身份验 证和可信度评估等。当以任务的完成为目标时，可以认为虚拟组织是随任务的定义构建， 任务的执行而运行，任务的结束而解体，具有一定的生命周期。 网格体系结构为虚拟组织内部协同的、高度自主和动态的资源共享提供基础技术的 支撑，其核心在于定义虚拟组织内可互操作且可扩展的资源共享解决方案1 3 】。 需要研究新技术以实现对动态的、跨机构的虚拟组织的构建、管理和运行，研究人 7 第二章网格技术和信任技术 员设计出了网格体系结构，它采用分层的方法来组织所需组件，并对这些组件进行定义 和实现。 网格体系架构定义了网格系统的基本组件，给出了各个组件的目标和功能，并且约 定了组件之间的交互方式 1 1 】。图2 1 是g l o b u s 的网格分层体系架构，建立在i n t e m e t 协 议之上。该体系架构分为五层：构造层、连接层、资源层、汇集层和应用层f 2 】。为了实 现虚拟组织中实体之间的互操作性，体系结构的每一层都有供实体遵守的协议。 网格体系结构主要关注资源和服务的提供者和请求者之间的互操作性，从而建立共 享关系。分层体系结构每一层都定义了公共机制、接口、模式以及协议等。图2 l 给出了 网格的分层体系结构，并与i n t e m e t 的协议层进行了对比。下边简要分析各层的功能和 特点。 构造层是网格体系结构的最低层，该层定义了可被共享的资源，包括物理资源和逻 辑资源。对于网格环境中可被共享的资源，需要有“询问 机制和“资源管理能力。 构造层之上的连接层定义了核心通信和认证协议，认证协议在网格实体和网格资源 之间提供安全认证和数据交换，而核心的通信协议包括网络传输、路由和命名。 资源层调用构造层，信息协议和管理协议是其主要的协议，对于单一资源的操作和 完整性很重要。 与资源层不同的是，汇聚层用来协调多种资源，而非单一资源，负责全局资源管理 和资源集合的交互。通过汇聚层的a p i 可以访问资源，汇聚层提供很多网格服务。 应用层能够对资源进行直接访问，这些应用是通过底层定义的服务来构建。 网格体系结构的各层都为更高层提供a p i 和s d k ( s o t t w a r ed e v e l o p e rk i t ) 。 8 m n 大学碰十 位论i 应用层 仨 连接层 构造层 _ _ i _ i 图2 1 网格分层体系结构及与i n t e r n e t 协议件系结构的对比 21 2 网格技术的发展和服务网格 r o u t e 、b a k e r 、j e r m i n g s 以及s h a d b o l t 等人将网格技术的发展大致分为三个阶段 如图2 2 所示。 图2 0 根据分代的方法倚要说明爵学计算技术的路绞图 第一阶段，二十世纪九十年代中期，是网格技术的萌芽期，现在的网格技术正是源 于这一阶段的元计算。元计算的目标是将分布的多台超级计算机连接成一个可远程控制 和访问的元计算系统，代表项目是f a f n e r 和i - w a y 。 在网格技术发展的第二阶段，相关的重要项目有g l o b u s 和l e g i o n ，核心的技术依 托为c o r b a 、j i n i 等。这一阶段的网格技术是与面向对象技术和中间件技术紧密相连 的。 第二章网格技术和信任技术 这两个阶段的网格研究主要关注的是大规模的资源发现、资源使用和虚拟组织范围 内的资源共享，不足在于不能满足虚拟组织实体间的互操作性需求。 网格技术发展到现在，进入了第三阶段。在这一阶段，网格计算领域专家研究出了 网格的分层体系架构，为网格技术提供了基础设施和编程规范。并且，将面向服务的思 想引入了网格计算，使网格环境中的共享资源的能力增强，并方便了网格资源的统一管 理和操作。语义w e b 被定义为下一代的w e b 服务，语义网格技术会在开发中使用语义 w e b 技术，目标在于从网格体系结构发展到网格应用，将会成为网格计算发展的一个主 要趋势【2 1 【1 2 1 。 从网格计算的发展过程可以看出，网格技术的核心目标在于资源共享，同时，这种 新概念和技术的提出不意味着要代替已经成熟的共享资源的技术，而是要在其基础上形 成更高层次的资源共享方案。g l o b u s 项目建立的开放网格服务体系结构( o g s a ) ，就是 结合了现有的网格标准、面向服务的体系结构和w e b 的结果。所以，网格计算不是一 个全新的概念，而是对分布式计算技术和应用的进一步探索和发展。 2 1 3 网格技术的关键问题 网格技术的研究领域非常广泛，如网格体系结构、资源管理、网格性能分析、任务 调度、网格安全、网格信息服务、移动网格、网格模拟器等。网格的基础设施建设是实 现网格应用的前提，包括如下几个方面：安全、资源管理、数据管理、信息服务。 网格安全是网格技术的重要问题。网格环境的动态协作性和参与实体的异构性对安 全技术和信任技术提出了更高的要求。网格环境是由异构的机构或者个体组成的，其不 同的安全策略使得网格环境的安全问题更加复杂。在网格计算中，如何在本地建立安全 机制? 如何进行身份验证? 如何实现安全联盟? 如何进行信任管理? 这些都是亟待解 决的问题。安全问题得不到解决，网格环境的资源共享和动态协作就无法进行。 在网格计算中，任务的执行以资源共享和实体间的动态协作为主要内容。由于资源 本身种类繁多、数量巨大，加之资源自主性带来的动态性，使得资源管理成为网格计算 的重要挑战。资源管理的主要任务包括资源定义和资源目录、资源发现、资源动态性的 监控以及资源服务能力的管理等。在资源管理过程中，发挥网格实体的自主能力，同时， 配有相应的资源管理代理或者其它方案，可以最大限度发挥资源消费者和资源提供者的 功能，已达到更有效管理资源的目的。例如采用中间件技术的网格资源分配管理器 ( g r a m ) 就是一种有效的资源管理方案。 1 0 西北大学硕：t 学位论文 信息服务为网格计算基础设施资源提供有意义的信息。很显然，资源供应者提供的 信息是这一服务的主要信息来源。 数据是网格计算中的基本财富，设计合适的数据管理机制，对网格基础设施的可行 性是必要的。数据存储方式、存储库大小、数据访问控制、数据安全等是数据管理的主 要问题i 引。 2 2 网格安全 安全问题是网格技术的重要问题，o g s a 给出了服务网格的安全体系结构g i s ，这 一安全体系结构定义了网格安全模型和网格的基本安全服务【2 】。但是，要基本解决网格 的安全问题，还有很多的研究工作要做。当前，网格技术与面向服务的思想和w e b 技 术相结合，形成了服务网格，是网格的最新发展趋势，因此，设计服务网格的安全方案 是必要的。在网格环境中，安全方案的目的之一是为服务虚拟组织中协作的实体之间提 供信任信息。我们将网格实体的信任划分为身份信任和行为信任，身份信任技术已经比 较成熟，如身份认证、授权、访问控制、加密、数字签名等技术均被用于验证实体的身 份可信性1 3 】。而行为信任用来描述网格实体的行为可信度，研究者们已经给出了很多信 任模型，但是仍有不足，在信任模型的建立和管理中，还存在很多问题亟需解决。 2 2 1 网格安全的含义 网格计算是来自异构组织的个体或者机构之间的动态协作计算。当前网格计算中的 安全问题，其实质是服务虚拟组织的安全问题。建立和实现服务虚拟组织的安全模型， 是解决网格安全的主要方案。在服务虚拟组织中，个体或者机构处在异构的分布式环境 中，在各自的环境中，具有不同的安全解决方案，因此，当这些来自异构组织的个体或 者机构进行协作时，安全管理就面临很大的挑战。同时，由于网格环境中，实体之间进 行动态协作，在选择协作实体时，需要考虑实体的可信度，此时，需要建立信任关系管 理模型，用来为实体交互或者协作提供可信度评估机制。最后，确保实体之间的互操作 性也带来了安全领域的挑战，在服务实现的每一层，都需要该层安全的互操作性。 从以上分析可以看出，对于服务虚拟组织的安全问题，可以从三个方面来考虑，即 安全方案的集成和可扩展性的实现、安全的互操作性以及信任策略的建立和实施。很显 然，由于网格环境的异构性、动态性，网格环境的安全问题比其它分布式计算的安全问 题涉及的安全方案比较复杂。图2 3 描述了网格安全的相关分类。 第二章网格技术和信任技术 图2 3 网格安全分类图 在网格环境中，所需要的公共安全性元素包括如下：认证、委托、单一登录、证书 生命周期及续期、授权、隐私、秘密性、消息集成、策略交换、安全登陆、保证、可管 理性、防火墙以及对o g s a 基础设施的安全保证。 o g s a 定义了服务网格的安全体系结构，这一安全体系结构对服务网格环境的安全 组件进行了定义。下一小节重点介绍o g s a 的安全体系结构。 2 2 2 网格安全体系架构 o g s a 是开放服务网格体系结构，解决了网格环境中的集成、安全以及资源共享管 理等问题【1 2 】。它结合了面向服务的思想，使用w e b 技术，用统一的方法来描述网格服 务，并定义了所有网格服务行为的公共模式。o g s a 也是一种分层的体系结构，其核心 体系结构层是o g s i 和o g s a 核心平台服务。o g s i 定义了开放服务网格体系结构的基 础设施，依据w e b 服务规范和描述机制定义。根据o g s i ，网格服务是w e b 服务，但是 并不是每个w e b 服务都是网格服务2 1 。 对于o g s a 中的基础服务组件，需要对其进行定义和实现，目前，已经完成了一些 服务的定义。 图2 4 给出了o g s a 的分层结构，其中主机环境和协议是绑定在一起的。 1 2 两北大学硕士学位论i i 更为专业以及领域特定服务 固2 4o g s a 平台体系结构 o g s a 也定义了网格安全体系结构，目的在于支持、集成和统一常用的安全模型、 机制、协议、平台以及技术。 o g s a 安全体系结构与w e b 服务安全模型相结合，形成了网格环境中的核心安全模 型1 2 1 。如图2 5 所示。 安全对话证书身份映射访问控翻授权实蕾 r 防毒骨理、 厂、，、厂、，、 、 、+ 荒略规则 ( 服务策略) ( 授权镱略 【身份映射规财) 忑 _ 、 、 策略表示及交换 嗤 l 用户管理j 唧s d l , w s - s c p 。l 时，w 孓p 。i i c y ) 鲥 枷 栽 磊a 绑定安宅 d 输缀( 8 8 。8 v 2 ) 以及消息级( w 8 。8 “钳竹 匿2 5 网格环境的核心安全模型 2 2 3 服务网格的安全问题 网格技术是对已有的分布式计算技术的一种补充而币是替代，服务网格成为当前 网格的存在形式，有其必然性，它是网格技术已经与面向服务的思想以及w e b 技术的 结合体，是网格技术的最新发展成果。因此，需要研究服务网格的安全问题，以使得服 务网格技术更加成熟。 第二章网格技术和信任技术 在w 曲技术中，w s s e c u r i t y 是基本的安全标准，给出了安全证书交换、签名以及 加密等规范【1 4 1 。但是，w e b 服务的安全标准显然无法直接解决服务网格的安全问题。 o g s a 将w r e b 服务的安全模型纳入其安全体系中，形成了服务网格的安全体系结构【2 】。 但是，在服务网格中，较多具体的安全问题的解决方案还有待研究。 服务网格需要解决的安全问题还很多，例如，构建服务虚拟组织安全标准的确定； 虚拟组织的安全管理机制的建立和实现；对网格实体的隐私保护方式；服务虚拟组织信 任管理模型的建立和实现；在判断可信度时，实体身份信任和行为信任的合作方式等。 在服务网格环境中，开放性、资源自主性、动态性和互操作性是其主要特征，在这 样的分布式计算环境中，仅仪依靠身份信任来确保服务虚拟组织的安全，是远远不够的。 我们需要更加关注实体或者组织的行为信任关系的建立和管理。本文主要研究服务虚拟 组织中基于行为的信任关系模型，主要建立和管理服务网格环境中的信任关系，由于网 格环境是由若干自治域组成的，基于这一思想，本文的信任模型的静态单元为信任域【1 3 1 。 同时，对于服务网格环境的安全问题，从其动态性和以执行分组定义的任务为目标出发， 以服务虚拟组织作为研究的基本单位，来完成信任关系的建立、管理和演化更新。 2 3 信任技术 在社会科学中，信任被认为是一种依赖关系。它具有如下六个特征：相互依赖性、 心理概念、风险性、善意、理性决策和情感成分。网格计算中的信任关系，继承了社会 科学中的信任概念和特征，同时，也具有其独特性和专业性。在网格计算中，实体之间 或者机构之间的信任是其协作完成任务的前提，因此，需要给出网格环境中的信任关系 的定义和管理机制。本节对网格环境中的信任概念和信任管理技术进行简单论述。 2 3 1 信任概念 人类科学中的信任概念已经在上边给出，从信任的特征可以看出，信任本身具有主 观性、随机性，但同时又建立在客观事实分析或者理性决策的基础上。而风险是信任关 系的必然结果。由此可见，信任本身是很复杂的。 信任是对对象的可靠性、诚实性、以及可信实体的能力的坚定信念。对于网格环境 的信任，本文选择如下概念，信任是对实体提供被期望的服务的能力的一种坚定信念， 这一坚定信念不是一个与实体联系的确定的值，而是取决于实体的行为，并且仅仅被用 于特定时间的具体上下文中【1 3 】【1 5 】。由此可见，这种坚定的信念是一个动态值，而且跨越 非常值得信任与非常不值得信任之间的一组值【1 3 1 。同时，当信任关系发生时，就伴有由 1 4 西北大学硕七学位论文 此带来的风险【1 6 1 。 当一个实体基于对其它实体的信任值做出相关决策时，信任值的高低是判断可信度 的依据。此时，如果两个实体曾经发生过交互，且没有受到时间衰减因子的严重影响， 信任值的获得来自实体的信任关系表；如果两个实体之间的信任值无法从信任关系表直 接获得，就需要借用其它实体对待判定实体的信任信息来判断其可信度。我们把这一信 任信息称为信誉，即待判定实体在全局范围内的声誉【1 7 1 。例如，如果实体工的信任关系 表中不能查到实体y 的信任信息，当实体x 判定实体y 的服务是否可信时，就可以依赖 实体y 的信誉值。本文中的信任关系模型将实体的信誉作为判断其可信度的一个候选标 准，实体的信誉是对实体未来行为的可信度的期望，该期望是以与之有过交互的实体对 某一给定时间段该实体的行为的观察结果和相关信息为度量基础的。 在服务网格环境中，实体间的信任关系可以是直接交易获得的信任关系，也可以是 基于信誉值。而且，实体之间的信任关系依赖于具体的环境和时间，均以过去的行为为 基础，是一种期望值。此处的具体环境也被称为具体上下文。 同时，实体之间的信任关系具有主观性。因此不同实体在某一特定时间的同一上下 文中，对同一实体的信任关系评价是不同的。 另外，与人类科学中的信任特征相似，网格环境的实体间的信任关系也存在风险。 因此，风险评估是对服务网格环境的信任关系模型的一个完善。 2 3 2 网格环境中的信任问题 在网格环境中，虚拟组织的每个成员都想拥有一个安全基础设施，包括认证服务、 授权引擎、防火墙等安全服务。这些安全策略都是为成员所处的安全域而定义的。而这 种自包含的安全性模型需要虚拟组织成员之间的相互信任。服务网格信任模型基于 w s t r u s t 规范，但是，w s t r u s t 并没有给出具体的信任管理方案 2 1 。 在服务网格环境中，虚拟组织成员之间的信任如何定义? 成员之间的信任关系如何 建立? 网格的动态性在信任关系中如何处理? 如何尽量避免实体在评价可信度时的主 观性的影响? 如何较为有效地判断恶意节点? 如何判断恶意节点的评价? 信任关系受 哪些因素的