（计算机系统结构专业论文）网格环境下基于动态角色的跨域访问控制系统的研究.pdf

摘要 网格技术是近年来从广域网络计算，特别是广域网的高性能计算发展而来的种技术。 网格被认为是信息技术发展的下一波大浪潮，它使用户能够协同地使用地理上分布的各种资 源，达到资源的全面共享，因而也被称作下一代互联网。网格有如下性质：资源的地理分布 极广，资源之间、资源和用户以及用户之间往往通过广域网( 如i n t e m e t ) 连接：资源的类 型和数量巨大，而且要求一定程度的协同工作；资源是动态变化的，包括资源属性的变化以 及在网格内的复制和迁移等；资源工作在异构平台上，并且由不同的管理策略控制。 网格环境的这些特殊性质引发了很多安全问题，这些安全问题正受到越来越多的关注。 网格环境下的安全问题研究除了传统的访问控制和通信安全方面的研究外，还包括信任模型 的研究。本文尤其注重其中的访问控制和信任模型的研究。访问控制主要是从认证，授权以 及用户管理策略等等授权管理方面解决安全问题的；而信任模型则是将传统安全研究中隐含 的信任概念抽取出来，应用到网格环境中，为实体建立信誉，以便更好地制定访问控制的策 略。本文的工作主要是研究在网格环境下如何通过结合信任模型来解决虚拟组织中多个域的 访问控制问题。 针对传统的访问控制方式具有的可扩放性和欺骗等问题，本文提出“动态角色”的概念， 将实体的行为和权限动态灵活地连接到了一起。把“动态角色”的概念应用到访问控制系统 中，结合信任模型，为实体设计适当的信誉值计算算法，解决了传统方式存在的可扩放性和 欺骗性等问题。考虑到虚拟组织中通常包含多个域的特点，提出转换因子的概念，有效的解 决了多个域之间实体信誉值的换算问题。本文所做的仿真工作证明了系统的有效性。 此外，本文还利用网格环境中常用的安全工具g l o b u s t o o l k i t s 部署实验床，模拟了该系 统的实现。仿真系统采用j a v a 开发。使用了s e r v l e t 、r m i 、j d b c 等技术，数据库采用m c k o i 实现。 本文的主要贡献和创新体现在以下几个方面： 1 提出了基于“动态角色”的新型访问控制方式。 在传统的基于角色的访问控制方式中，认证授权中心服务器容易成为瓶颈，可扩放 性差；而且在结点之间存在欺骗行为的情况下，采用传统的基于角色的访问控制方式未 能有很好的机制来遏制这种行为。基于“动态角色”的访问控制方式通过让实体的角色 根据行为自动进行更改既消除了认证授权中心服务器的瓶颈，又可以让用户的角色与他 的行为自动的对应起来，达到遏制欺骗的作用，更好地解决了网格环境下的访问控制问 题。 2 把基于“蓟态角色”的访问控制方式与信任模型结合起来，设计了基于“动态角 色”的跨建访问控制系统。 虚拟组织中通常都有多个域，如何在多个域中进行访问控制策略的协商以及到本域 角色的映射成为一个跨越多个域的访问控制方式的重要问题。这个系统除了可以解决同 一个域中的认证授权和信任管理问题，更可以通过转换因子的引入有效解决了虚拟组织 中多个域之间的认证授权和信任管理。仿真结果证明了这种跨越多个域系统在性能上的 可靠性和有效性。 3 搭建实验床，实现了这种基于“动态角色”的跨缱访问控制系统。 根据基于动态角色的跨域访问控制系统的设计，我们完成了系统实现的模块图，并 在中国科学技术大学的瀚海网格平台上搭建实验床，采用g l o b u s 等相关工具完成了这 个有意义的尝试。结果表明，该系统能够在一定程度上激励网格中的用户表现良好，遏 制欺骗，同时也能减轻认证授权中心服务器的负载。 关键词：网格，动态角色，访问控制，域，虚拟组织 i i a b s t r a c t g r i dt e c h n o l o g yh a sb e e nd e v e l o p e df r o mw i d ea r e an e t w o r kc o m p u t i n g ，e s p e c i a l l yt h eh i g h p e r f o r m a n c ec o m p u t i n gr e c e n t l y g r i di sc o n s i d e r e da so n eo ft h eh o n e s ts p o t si nt h ei n f o r m a t i o n t e c h n o l o g yd e v e l o p m e n t , w h i c hc a nc o m b i n ea l lt h er e s o u r c e sg e o g r a p h i c a l l yd i s t r i b u t e df o ra s e s t or e a l i z et h et o t a ls h a r eo f r e s o u r c e s s oi ti sa l s oc a l l e dt h en e x tg e n e r a t i o ni n t e m e t g r i dh a s 山e c h a r a c t e r i s t i c sl i k ed i s t r i b u t e d ，l i n k e dw i t hw a n ( w i d ea r e an e t w o r k ) i nr e s o u r c e sa n du s e r s ，l a r g e s c a l e ，c o l l a b o r a t e dw o r k i n gt o5 0 n ee x t e n t ，h a v i n gd y n a m i cr e s o u r c e sa n dh e t e r o g e n e o u s p l a t f o r m s ： m a n ys e c u r i t y p r o b l e m sa l ec a u s e d b y t h e s ec h a r a c t e r i s t i c s o f g r i da n dc a r e d m o r e a n d m o r e ， r e s e a r c h e so ns e c u r i t yp r o b l e m si ng r i de n v i r o n m e n ti n c l u d et h er e s e a r c ho ft r u s tm o d e la sw e l l a st h et r a d i t i o n a lr e s e a r c h a c c e s sc o n t r o la n dc o n m a u n i c a t i o ns e c u r l t y t h ef i r s tt w oa s p e c t sa r e d i s c u s s e di nt h i st h e s i s a c c e s sc o n t r o lr e s o l v e ss e c u r i t yp r o b l e m sf r o mt h ea s p e c t so f a u t h e n t i c a t i o na n da u t h o r i z a t i o n w h i l et r u s tm o d e le x t r a c t st h en o t i o no f 仃u s tf r o mt r a d i t i e n a l s e c u r i t yr e s e a r c ha n da p p l i e si ti n t og r i de n v i r o n m e n tt o s e tr e p u t a t i o nf o re a c he n t i t y , s ot h a t s e r v e sf o rt h ea c c e s sc o n t r 0 1 t h er e s e a r c ha s p e c to ft h i sa r t i c l ei sm a i n l yf o c u s e do nc o m b i n i n g t r u s tm o d e lt or e s o l v et h ea c c e s sc o n t r o la c r o s sm u l t id o m a i n si nv i r t u a lo r g a n i z a t i o n s ( v o ) l h en o t i o no f d y n a m i cr o l e ，b yw h i c ha l le n t i t y sb e h a v i o ra n dp r i v i l e g ec a nd y n a m i c a l l y a n df l e x i b l yl i n k e d ，i sp r o p o s e dt os o l v et h ep r o b l e m so fs c a l a b i i i t ya n dm a l i c i o u sb e h a v i o ri n t r a d i t i o n a la c c e s sc o n t r o ls c h e m e a n dt h ea p p l i c a t i o no f “d y n a m i cr o l e i na c c e s sc o n t r o ls y s t e m , c o m b i n i n gw i t ht r u s tm o d e lb yd e s i g n i n gp r o p e rr e p u t a t i o nc o m p u t i n ga l g o r i t h m s ，s o l v e st h e s e p r o b l e m s s i n c eav ou s u a l l yi n c l u d e sal o to fd o m a i n s ，c o n v e r t i n gp a r a m e t e r ( c p ) i sd e s i g n e dt o r e a l i z et h er e p u t a t i o nc o n v e r s i o na m o n gm u l t id o m a i n s ，s i m u l a t i o n sh a v e b e e nm a d et ot e s t i f yt h e s y s t e m sp e r f o r m a n c e w h a t sm o r e ，ac o m m o nu s e ds e c u r i t yt o o l k i t si ng r i de n v i r o n m e n tg l o b u st o o l k i t si su s e d t od e p l o yo u rt e s tb e da n ds i m u l a t et h es y s t e m si m p l e m e n t a t i o n j a v al a n g u a g ea n ds k i l l sl i k e s e r v l e t ，r m i ，j d b ca n dm c k o ia r eu s e di nt h ei m p l e m e n t a t i o n t h ei n n o v a t i o n so f t h i st h e s i sa r em a i n l yf o c u s e do n ： 1 p r o p o s i n gan e w “d y n a m i c r o l eb a s e da c c e s sc o n t r o ls c h e m e ” i nt h et r a d i t i o n a lr o l eb a s e da c c e s sc o n t r o ls c h e m e ，t h ea n t h o r i z a t i o na n da u t h e n t i c a t i o n c e n t e rs e r v e rb e c o m e sb o t t l e n e c ke a s i l ys ot h a ti th a sap o o rs c a l a b i l i t y b e s i d e s ，t h e t r a d i t i o n a lr o l e - b a s e da c c e s sc o n t r o lh a sn og o o ds c h e m et op r o h i b i tc h e a t i n gi ne n t i t i e s w h i l et h ed y n a m i c - r o l eb a s e da c c e s sc o n t r o ls c h e m en o to n l ya v o i d st h ep r o b l e mo f b o t t l e n e c kb ym o d i f y i n ge n t i t y sr o l ea c c o r d i n gt oi t sb e h a v i o r b u ta l s os e t su pa i l l 3 c o r r e s p o n d e n c eb e t w e e na ne n t i t y sr o l ea n dh i sb e h a v i o rt op r o h i b i tc h e a t i n g d e s i g n i n gt h ed y n a m i c r o l eb a s e da c c e s sc o n t r o ls y s t e ma c r o s sm u l t i - d o m a i n sb y c o m b i n i n gt h ed y n a m i c r o l eb a s e da c c e s sc o n t r o ls c h e m e w i t ht h et r u s tm o d e l h o wt on e g o t i a t et h er o l em a p p i n ga n da c c e s sc o n t r o lp o l i c yh a sb e e na l li m p o r t a n t p r o b l e mo fa c c e s sc o n t r o li n m u l t id o m a i n ss i n c et h e r ea r eu s u a l l ym u l t id o m a i n si n v o s c o n v e r t i n gp a r a m e t e r si m p o r t r e s o l v e st h ep r o b l e m so fa u t h e n t i c a t i o n ， a u t h o r i z a t i o na n dt r u s tm a n a g e m e n ta c r o s sm u l t id o m a i n sa sw e l la si no n ed o m a i n a n d t h es i m u l a t i o n sp r o v et h es y s t e m sp e r f o r m a n c ea n dr e l i a b i l i t y t e s tb e di ss e tu pt or e a l i z et h ed y n a m i c - r o l eb a s e da c c e s sc o n t r o ls y s t e ma c r o s s m u l t id o m a i n s w eh a v ef i n i s h e dt h em o d u l ef r a m e w o r ko ft h ed y n a m i c - r o l eb a s e da c c e s sc o n t r o l a c r o s sm u l t id o m a i n ss y s t e ma n ds e tu pt e s tb e di no l l fu s t ch a n h a ig r i dp l a t f o r m u s i n gg l o b u st o o l k i t st oc o m p l e t et h i sm e a n i n g f u lr e a l i z a t i o n r e s u l ts h o w st h a ti t c a n s t i m u l a t et os o m ee x t e n tu s e r si nf i l es y s t e mt ob e h a v ew e l l ，r e s t r a i n tc h e a t i n g ，a n da tt h e s a m et i m er e l i e v et h ec e n t e rs e r v e r sl o a d k e y w o r d s ：g r i d ，d y n a m i c - r o l eb a s e d ，a c c e s sc o n t r o l ，d o m a i n ，v i r t u a lo r g a n i z a t i o n i v 图表目录 图1 - 1 分层的网格体系结构3 图l - 2 网格计算系统涉及的安全问题4 图i - 3 论文组织结构图6 图3 1 传统的访问控制方式与基于角色的访问控制方式1 5 图3 - 2 大规模分布式计算举例1 6 图3 3g l o b u s 五层体系结构模型1 9 图3 - 4g l o b u s 体系结构的沙漏形状2 0 表3 - 1 g l o b u st o o l k i t 软件提供的服务2 1 图4 1 基于动态角色的访问控制方式2 4 图4 2 访问控制系统的原型2 5 图4 3 基于动态角色的域内访问控制系统2 6 图4 4 采用了诋毁机制的算法与没有采用诋毁机制算法的比较2 8 图4 - 5 最近提交的打分对结点满意度的影响2 9 图5 - 1 域间认证授权系统3 1 图5 - 2 打分机制一3 1 图5 - 3a l i c e 的打分对j a c k 信誉值的影响3 4 图6 - 1 跨域访问认证流程3 5 图6 - 2 基于动态角色访问控制的实现模块3 6 图6 3 认证授权中心结构图4 0 图6 - 4 系统登录界面一4 l 图6 - 5 作业提交界面4 1 中国科学技术太学硕士学位论文 第一章网格环境简介 第一章网格环境简介 网格是近些年出现的一个新名词。i n t e m e t 的出现使得人们能够大范围地共享各种信息， 也使得人们比以往任何时候都更加渴望能够更广泛的共享各种资源。适用i n t e m e t 作为底层， 研究人员可以将很大范围上地理分布的异构计算机系统集合在一起形成一个大规模的计算 平台。该领域的研究产生了个新的软件体系结构，我们称之为网格( g r i d ) i l l 。对于网格的 研究是当前计算机学科研究方向的一个热点。在本章中，我们对网格及网格计算环境作一个 描述，以便读者进行以后的阅读。 1 1 网格的概念 我们可以这样认为：网格就是在缺少中央控制、没有全知者( o m n i s c i e n c e ) 以及强的信任 关系的情况下能够协同使用地理分布的各种资源。将地理上分布、系统异构的各种高性能计 算机、数据服务器、大型检索存储系统和可视化、虚拟现实系统等，通过高速互连网络连接 并集成起来，形成对用户相对透明的虚拟的高性能计算环境，即网格计算系统( g r i d c o m p u t i n gs y s t e m ) 2 】。 网格就是一个集成的计算与资源环境，或者说是一个计算资源池【3 。网格能够充分吸纳 各种计算资源，并将它们转化成一种随处可得的，可靠的，标准的同时还是经济的计算能力。 除了各种类型的计算机，这里的计算资源还包括网络通信能力、数据资料、仪器设备、甚至 是人等各种相关的资源。 1 1 1 网格的目标 从最终用户的角度看来，网格在使用上将类似电力网一样可靠易用。我们在使用电力时， 不需要知道它是从哪个发电站输送出来的，也不需要知道该电力是通过什么样的发电机产生 的，不管是火力发电，还是水力发电，我们要做的是“即插即用”，将各种用电设备插头插 入到电源插座上就可以使用统一形式的电能。网格也希望给最终用户提供与地理位置无关， 与具体的计算设施无关的计算能力，最终用户可以将网格看作一台单一的自主管理的强大的 虚拟计算机。 从技术的角度来看，网格计算是分布式计算的个新的阶段，网格需要解决的主要问题 是在动态的异构的虚拟组织( v i r t u a lo r g a n i z a t i o n ，v o ) 中如何控制和协调对资源的共享。这一 问题可以从以下几方面进行理解：1 ) 虚拟组织由遵守资源共享规则的一组个体和机构组成。 虚拟组织具有分布性、动态性、异构性。虚拟组织的成员可以在地理上分布，其成员数目、 组织结构、管理模式和业务模式等随时间变化，各成员在目标、结构、规模、管理庭行模 式等方面各不相同。2 ) 资源包括的范围很广，计算机、设备( 如天文望远镜、雷达、家用电 中国科学技术大学硕士学位论文第一章网格环境简介 器) ，软件、服务、数据、知识等等都可以是资源。资源具有面向用户和透明性的特点，用 户可以在不考虑资源物理位置的情况下，方便的使用资源。3 ) 网格的目的是共享，这种共 享已经不再是简单的资源互连和单使用，而是通过资源互连、资源组合和资源协作来解决 用户需要解决的问题，产生具有附加值的新服务、数据、知识等资源，满足用户的新需求。 总之，网格具有分布、异构、动态和自主等特性，它不仅仅强调资源的互连互通，还非常强 调资源的互操作能力，以支持虚拟组织基础上的协同工作。 网格技术现在已经发展到了“第三代” 4 。第一代网格的主要的目的是将些地理上分 布的超级计算中心连接起来，共享这些超级计算中心的计算资源。这个时期的网格计算也被 称作元计算，代表性的研究项目有f a f n e r 和i - w a y 。第二代网格采用具有标准化接口的 中间件来处理规模和异构带来的问题，可以支持需要进行大规模计算和海量数据处理的高性 能应用程序。这个时期的核心研究项目有g l n b u s 和l e m o n 等等。人们通常将侧重提供大规 模计算能力的网格称作计算网格，而将具有海量数据处理能力的网格称作数据网格。进入本 世纪以后，展开了对第三代网格的研究，这一代网格采用面向服务的方法，具有自主计算的 特性。 1 1 2 网格的基本组成 要构建一个网格，需要以下一些步骤： 1 单个软件及硬件整合进一个混台的网络资源； 2 以下中间件的部署： i ， 低层次中问件，用来提供对资源安全和透明的访问； i i 用户层中间件和工具，用来实现应用开发和对分散资源实现聚集： i i ， 对利用可获得资源和架构的分布式应用的开发和优化。 网格由一组从驱使资源到终结用户应用的成分组成。图1 1 显示了一个网格的架构，其 主要成分包括： 网格构造：这里包括了所有地理上分布的资源，它们可以从互联网上被访问。这些资源 可以是运行着多样操作系统( 如u n i x 或w i n d o w s ) 的计算机( 如p c 机，s m p 和机群) ， 也可以是资源管理系统，如l s f ( l o a ds h a r i n g f a c i l i t y ) ，c o n d o r ，p b s ( p o r t a b l eb a t c hs y s t e m ) 或s g e ( s u ng r i de n g i n e ) ，存储设备，数据库和特殊的科学工具如无线电天文望远镜或特 定的热感应器。 核心网格中间件：这部分提供核心服务，如远程进程管理，资源协作，存储访问，信息 注册和发现，安全和服务质量保障方面( 如资源保留和贸易) 等。 用户层网格中间件：这部分包括应用开发环境，编程工具和负责管理资源和调度应用服 务的资源掮客。 网格应用和p o r t a l ：网格应用主要使用网格驱动的语言和工具如m p i ( m e s s a g e p a s 幽g i n t e r f a c e ) 或n i m r o d 参数化语言开发。 2 中国科学技术大学硕士学位论文第一章网格环境简介 i ：哟卿闭麟。嘲n c o a 汹鲕咄萌| 迎盏盎避 厂习蕊司同同同冈 l $ e c l r i t y l a y f g 睚妨m r 哪蔓锄凶如一习必照醚 i 喊啪| | 蛐啪| i 嘶应 p p 舢| 厣 一如i 幽黼时硝描弛酗鳓国d 一。l | 洳卿| | 黼 is i o 哗s 撺一id a t a s o m c t * i ls 蛐蛐l 1 1 3 网格的特点 图1 - 1 分层的网格体系结构 网格的特点包括分布性、自治性、动态多样性( 不可预测性) 以及异构性等。 分布性是网格的一个最主要的特点。网格的分布性首先是指网格的资源是分布的。网格 资源在地理上分布于多个管理域，并属于不同的组织。组成网格的计算能力不同的计算机， 各种类型的数据库乃至电子图书馆，以及其他的各种设备与资源，是分布在地理位置互不相 同的多个地方，而不是集中在一起的。分布的网格一般涉及的资源类型复杂规模较大，跨 越的地理范围较广。因为网格资源是分布的，因此基于网格的计算一定是分布式计算而不是 集中式计算。然而在网格环境里，资源虽然在地理上是分布的，其在逻辑上却是共享的。也 就是说，网格中的资源可以提供给所有网格上的使用者，使网格中分布的资源实现充分的共 享，便是网格存在的目的。如何解决地理上分布资源的共享问题，也是网格环境中的核心问 题。因此在网格这一分布式环境下，需要解决的一个重要问题就是资源的访问控制。 既然网格中的资源来自多个管理域，那么域中的管理者对本域的资源拥有最高级别的管 理权限就是理所当然的。这就是网格的自治性。然而由于域本身处在网格环境中，所以域中 的资源还必须接受网格的统一管理，否则就不能称为网格。如何解决网格自治性导致的管理 多样化的问题也是网格中的一个研究热点。 网格的动态性是指在网格中，随着时间的推移会不断的有用户加入进来，同时也会有用 1 中国科学技术大学硕士学位论文第一章网格环境简介 户离开。因此，网格中既可以只有一部分资源，也可以拥有成千上万的资源。这个特性导致 了潜在的性能上的可扩放性。在设计网格时，必须考虑到网格自身的扩展既能接受新资源 的加入，又能忍受旧资源的退出。 网格的异构性体现在网格包括多样化的资源，它们本质上是异构的，并且囊括了大量不 同的技术，在网格环境中，可能有大量完全不同体系结构的计算机和不同类型的资源，网格 将这些计算机和资源整合在一起，必须解决这些异构资源间的通信和互操作问题。 1 2 网格安全问题的提出 由于上述的网格的一些特性，使得安全性支持在其中显得尤为重要。缺乏有效的安全机 制将会限制网格技术的进一步发展和网格应用的进一步推广，因此网格计算系统的安全问题 是网格计算系统的基本问题，网格计算系统的安全研究成为网格计算系统研究中的热点和难 点。 从本质上讲，i n t e r n e t 的安全保障一般提供下面两方面的安全服务：一方面是访问控制 服务，用来保护各种资源不被非法用户使用或者合法用户越权使用，也就是保护各种资源不 被非授权用户使用；另一方面是通信安全服务，用来提供通信端的双向认证、通信数据的保 密性和完整性( 防止对通信数据的窃听和篡改) ，以及通信端的不可否认性服务。但是在网 格环境下这两个方面的安全服务不能完全解决网格计算系统的安全问题。 网格计算系统涉及的安全问题包括以下这些情况：防止伪装用户、防止伪装服务器、防 止对用户数据的窃听和篡改、防止用户否认、防止远程攻击和入侵、防止非法用户使用资源、 防止合法用户越权使用资源、保证进程间的通信安全、防止恶意程序运行、保证系统的完整 性。如图1 - 2 所示 5 】。 图1 - 2网格计算系统涉及的安全问题 对于防止伪装用户和防止伪装服务器，可以使用双向认证的方式加以解决：对于防止对 用户数据的窃听和篡改，可以采用加密传输和签名传输的方式加以解决；对于防止用户否认， 4 中国科学技术大学硕士学位论文第一章网格环境简介 可以采用对摘要进行签名的方式加以解决；对于防止远程攻击和入侵，可以采用防火墙和入 侵检测系统( 基于网络或基于主机) 加以解决；对于防止非法用户使用资源和防止合法用户 越权使用资源，可以采用对用户进行限制性授权的方式加以解决，这就需要确定系统中的用 户和资源的安全级别，制定对用户的限制性授权策略，以及相应的用户权限管理机制；对于 保证进程间的通信安全，可以采用双向认证、加密传输和签名传输的方式加以解决；对于防 止恶意程序的运行，可以采用基于主机的入侵检测系统加以解决；对于保证系统的完整性， 可以采用完整性检查机制加以解决。 我们看到，对于网格计算系统涉及的大部分安全问题，可以采用目前已有的安全技术加 以解决。但是在网格计算系统这样一个复杂的、动态的、广域的范围内，如何对用户进行限 制性授权等无法使用目前已有的安全技术加以解决，这是网格计算系统的安全研究领域一个 具有挑战性的研究方向。 在网络时代，全球因特网上的分布式计算变得越来越重要。由于到处都可能存在潜在的 攻击者，为了提供安全保障，授权机伟q 在分布式系统中是非常必要的。然而，传统的授权机 制没有信任管理，它们不能为多种多样的应用提供足够的健壮性，扩展性也不好，不能适应 现在日益扩展的系统。它们有以下限制：很多安全策略并不能直接体现在访问控制中，它们 必须被固化到应用中，当安全策略改变时就要求对应用重新配置、重建或者重写。这使得系 统的扩展性不好，很难适应现今世界的动态性。另外，在分布式系统中，对于不同的用户 不同的管理域和实体的信任策略也不同，所以安全机制不应该是统一的，也不应该对信任关 系做某些假设 9 1 。 国内外已经开展了很多网格计算系统安全方面的研究工作，试图解决网格计算系统中的 安全问题。其中一个重要的方面就是信任机制的应用。现有的网格安全体系o s i ( g r i d s e c u r i t yi i l 缸s 仃u c n j r e ) 6 主要是通过公钥体系( p u b l i ck e yi n f r a s t r u c t u r e ，简称p k i ) 及建 立于其上的分布式信任模型( d i s t r i b u t e d t r u s t m o d e l ，主要采用x 5 0 9 协议) 来实现。这些 解决方案多数采用基于中心服务器的方法，对实体采用显示授予权限的形式，通常可扩放性 不好；另一方面，实体之间的欺骗问题也是内中的痼疾之一。 在本文中，我们针对这两个方面，把信任模型应用到访问控制中，提出一种新型的访问 控制系统，即基于动态角色的跨域访问控制系统，并且搭建实验床实现了该系统。实验结果 证明这个系统可以有效地解决系统的可扩放性和欺骗问题，完成网格环境下的认证授权，从 而达到保障资源共享的目的。 1 3 本文的主要贡献 本文的主要贡献和创新体现在以下几个方面： 针对传统访问控制方式的缺陷提出了基于“动态角色”的新型访问控制方式。 在传统的基于角色的访问控制方式中，认证授权中心服务器容易成为瓶颈，可扩放 性差；而且在结点之间存在欺骗行为的情况下，采用传统的基于角色的访问控制方式未 5 中国科学技术大学硕士学位论文第一章网格环境简介 能有很好的机制来遏制这种行为。基于“动态角色”的访问控制方式通过让实体的角色 根据行为自动进行更改既消除了认证授权中心服务器的瓶颈，又可以让用户的角色与他 的行为自动的对应起来达到遏制欺骗的作用，更好地解决了网格环境下的访问控制问 题。 把基于“动态角色”的访问控制方式与信任模型结合起来，设计了基于“动态角色” 的跨域访问控制系统。 虚拟组织中通常都有多个域，如何在多个域中进行访问控制策略的协商以及到本域 角色的映射成为个跨越多个域的访问控制方式的重要问题。这个系统除了可以解决同 一个域中的认证授权和信任管理问题，更可以通过转换因子的引入有效解决了虚拟组织 中多个域之间的认证授权和信任管理。仿真结果证明了这种跨越多个域系统在性能上的 可靠性和有效性。 搭建实验床，实现了这种基于“动态角色”的跨越访问控制系统。 根据基于动态角色的跨域访问控制系统的设计，我们完成了系统实现的模块图，并 在中国科学技术大学的瀚海网格平台上搭建实验床，采用g l o b u s 等相关工具完成了这 个有意义的尝试。结果表明，该系统能够在一定程度上激励网格中的用户表现良好，遏 制欺骗，同时也能减轻认证授权中心服务器的负载。 1 4 本文的组织结构 本文分为七章，组织结构图如图1 - 3 所示 第一章网格环境简介，安 全问题 第二章信任模型 第三章常用访问控制方式 及网格安全实现工具 第四章基于动态角色的域 内访问控制机制 第五章基于动态角色的跨 域访问控制机制 第六章系统的实现 第七章结束语 图1 - 3 论文组织结构图 6 中国科学技术大学硕士学位论文第一章网格环境简介 第一章网格环境简介 首先介绍了网格的概念，网格环境，以及网格计算环境等等背景知识，然后对网格中的 安全问题进行了比较详细的阐述，说明了用来解决网格环境中安全问题的两种常用途径一访 问控制和信任模型，其中信任模型常常用于访问控制中为其服务。 第二章信任模型 介绍了信任模型的背景知识，信任和信誉的概念以及常用的信任模型和信任管理方法。 第三章常用的访问控制方式及网格安全的实现工具 介绍了常用的访问控制机制，重点介绍了基于角色的访问控制机制：由此引入了网格环 境下的安全机制，介绍了实现网格安全的常用工具g l o b u s 和g l o b u st o o l k i t s 。 第四章基于动态角色的域内访问控制机制 在以上基础上，本文分析了传统基于角色的访问控制机制可能遇到的问题，并提出了相 应的解决方案一基于动态角色的域内访问控制机制。将此机制结合信任模型，就彤成了基于 动态角色的跨域访问控制系统。仿真可以证明该系统的可靠性和有效性。 第五章基于动态角色的跨域访问控制机制 把上一章提出的基于动态角色的域内访问控制机制扩展到虚拟组织的多个域中，针对跨 越多个域常见的访问控制策略协商及角色映射问题提出了转换因子的概念，形成基于动态角 色的跨域访问控制机制。将此机制结合信任模型，就形成了基于动态角色的跨域访问控制系 统。仿真可以证明该系统的可靠性和有效性。 第六章跨域访问控制系统的实现 该系统的实现在本章中作了详细介绍。包括实验床的搭建，系统的模块图，中心服务器 的设置以及部分实现代码等等。 第七章结束语 总结本文的工作，贡献和创新点，并提出将来的研究方向。 中国科学技术大学硕士学位论文第二章信任模型 一- -! 曼蔓! 曼! 曼苎! 曼! 曼蔓笪曼! 曼曼量! 岂曼鼍s 皇曼曼曼曼曼曼曼寡璺 第二章信任模型 本章我们将详细介绍安全机制中一个重要的方面一一信任模型，包括什么是信任、信任 的分类和性质、信任管理以及目前世界上几个有代表性的信任模型，最后给出了应用信任模 型的具体实例。 2 1 信任简介 信任这个词来源于人类社会。对信任的最简单、最般的定义是这样的：信任f 咖s 0 就 是相信他人未来的可能行动的赌博。它有两个主要的组成元素：信心( b e l i e f ) 与承诺 ( c o m m i t m e n t ) 。作为社会的成员，我们依靠信任来处理这些复杂性和不确定性，信任是所有 社会活动的基础。信任无时无刻不存在：我们从商店买东西时，可能会选择某一品牌，因为 根据过去的经验或者该品牌的信誉我们认为它是值得信任的；我们信任大商场卖的货物没有 假货或者赝品：在买卖过程中，通过一个收款员信任的电子交易系统进行信用卡交易，如果 机器拒绝该卡，说明顾客是值得怀疑的；同样，也存在对用于现金交易的货币系统合理性的 信任。 社会交互跨越多个地理的、政治的、文化的边界，虚拟社会同现实社会一样，信任发挥 着重要作用。这样就需要给虚拟社会提供一个令人满意的信任模型，这样，日益复杂的大型 分布式系统能够被有效的管理；电子商务能够平稳的进行；自治代理能够更加健壮、有效的 提供信任推理能力。 计算机科学中大多数关于信任的工作都集中在安全领域。主要是以形式的逻辑学来分析 加密协议，用来设计f l a w ( 错误范例) 和c o r r e c m e s s ( i e 确范例) 。然而它们不适合作为通用的 信任模型，因为它们的应用是面向某一特定的领域，没有被设计成自动化的，而且没有给出 信任的具体定义作者假定信任的直觉定义是普遍存在的。然而这并不能让人满意，因为 虽然信任是一个很难定义的、难以捉摸的概念，但缺乏信任的定义使得信任模型有不同的主 观解释，协议实现不兼容。 2 2 信任和信誉 信任是一个难懂的概念，很难定义，因为它包含很多方面并且被主观解释【】。信任是 多维的，在不同的领域有不同的定义。研究者没有对信任的定义达成致，一个原因就是不 同的领域( 比如人工智能领域和安全领域) 对信任有不同的观点。 信任的一些定义如下： 信任( 或者不信任) 是一个特定的主观概率的等级，主观概率是关于一个代理完成 中国科学技术大学硕士学位论文第二章信任模型 一项特定工作的可能性，在此之前我们不能监控这一行为，并且信任在一定的上下 文中影响我们的行为。信任的等级在不信任信任之间，还有一种可能情况就是 一个代理不知道关于另一个代理的可信度。 信任是认为一个实体能够按预期的那样完成某项任务。一个实体的信任值并不是固 定的，它受实体行为的影响，并且在给定的时间内有一定的上下文。信任级别( t r u s t l e v e l ) 是建立在过去的经验之上的，并且有给定的上下文。例如，实体y 可能信 任实体x 使用它的存储资源而不是使用它的资源执行程序。1 1 。有一个有效时间限 制，因为两个实体问今天的t l 不一定和一年前相同。 对于一个实体，我们首先要确定实体的身份以及该实体被允许的行为范围，然后是监控 和管理实体的行为并在此基础上建立信任等级。可根据信任的范围把信任划分为两类【1 2 】： 身份信任：确定实体的身份并决定实体的授权。这方面的技术有加密、数据隐藏、 数字签名、授权协议以及访问控制等。 行为信任：范围更广，看一个实体是否值得信任。例如，如果证书的发行者是一个 工业间谍，那么它签发的证书将不被传送，同样，一个数字签名的代码也不被传送 如果代码是由非法的编程人员写成。 不做特别说明，我们的信任模型研究的主要是行为信任。 用概率值来表示信任等级是没有意义的，除非它是基于充分定义的可重复试验的基础上 的，在处理大多数的日常生活经验时，这是不大可能的。另一个问题是概率并没有考虑观察 者，而只是它们的观察结果。这样，概率本质是传递性的而信任却不一定是。概率论不适合 处理不确定性。信任行为不一定要遵守理性选择理论。除了对危险性和效用的评估，一个代 理可能还有其他的理由信任决策可能不是基于对将来成果的考虑而是此时此刻的考虑 1 0 。 那么，信誉又是什么昵? 信誉指基于历史的信任给特定实体赋予的值。这些实体包括网 格中的代理，服务和人群。它反映了一个实体对另一个实体意图和目的的理解。资源的信誉 提供了一种关于个资源的分配质量和价值的方式。假如一个资源在很长的一段时间都能保 证一定的服务质量，那么就假定它有好的信誉。 实体x 在决定是否与一个不了解的实体y 进行交易时，可以依赖y 的信誉来做评判。信任和信誉是紧密联系的。 2 3 信任的性质 在不同的模型中定义的信任可能会有不同的性质。大致上，信任有如下性质： 主观的：不同的实体对同一个实体的可信度可能不同，我们对一个实体的信任可能 超过对另一个实体的信任，这表明了不同的信任等级。 上下文相关的：也就是说实体之间的信任是有一定的上下文的。例如，我们信任汽 车机械工可以提供满意的汽车服务，但不能信任他处理我们的家庭制造要求。我们 可以使用信任种类来表示信任的上下文，用信任值来表示每个信任种类的不同信任 q 中国科学技术大学硕士学位论文 第二章信任模型 等级。 在同一时刻信任关系并不是双向的，也就是非对称的，或者单向的( u n i d i r e c t i o n a l ) 。 最终的对称性：经过不断的交互，实体之间最终趋近于相互信任或者相互不信任。 信任总是存在