（计算机应用技术专业论文）网格环境下信任模型及其应用研究.pdf

摘要 网格是继万维网之后出现的一种新型网络计算平台，目的是为用 户提供一种全面共享各种资源的基础设施。但因其大规模、分布、异 构和动态等特性使得网格计算环境非常复杂，提出了比传统网络环境 更高更广泛的安全需求。安全问题是网格计算技术的关键问题。而信 任问题是人们在解决网格安全问题中所必须面对的核心问题。因此， 进行信任问题研究，提出有效的信任模型是十分必要的。 本文在研究现有信任模型的基础上提出了一种新的信任模型一 具有奖惩机制的双层信任模型来处理网格环境中实体之间的信任关 系。该模型将身份认证加入信任初始化过程中，对信任值的评估综合 考虑了直接信任和推荐信任，从而能更加精确地评估实体问的信任关 系，在推荐信任路径的搜索中，本文通过改进的蚁群算法对推荐信任 路径进行筛选，防止了域的联合欺诈行为；在信任关系的更新中，本 文引入奖惩机制更新实体间信任关系及域内节点的信任值，很好地解 决了节点恶意行为带来的安全问题，在利用推荐信任值建立域间信任 关系的过程中，结合域间实体交往经验给出了一种可行的域间信任值 调整算法，能够很好地预先识别恶意行为。 通过仿真实验，从有效性、准确性、安全性三个方面对模型进行 了量化评估，同时对改进的蚁群算法进行了有效性和收敛性的验证， 实验结果和分析表明本文的信任模型能有效地解决网格环境中存在 的安全问题。 ， 最后，将信任模型应用于访问控制中，提出了一个网格环境下基 于信任的实体访问控制决策框架。 关键词奖惩机制，双层信任模型，改进的蚁群算法，域间信任值调 整算法，访问控制 a b s t r a c t g r i di sab r a n d n e wn e t w o r kc o m p u t i n gp l a t f o r ma f t e rt h ew o r l d w i d ew e b i ta i m st op r o v i d ea no v e r a l ls h a r i n go fr e s o u r c e sf o ru s e r s h o w e v e r , b e c a u s eo fi t sl a r g e - s c a l e ，d i s t r i b u t e d ，h e t e r o g e n e i t ya n d d y n a m i co fg r i dr e s o u r c e s ，班dc o m p u t i n gb e c o m e sq u i t ec o m p l e xa n d c a l l sf o rh i g h e ra n dl a r g e r s e c u r i t yn e e d st h a n t r a d i t i o n a ln e t w o r k e n v i r o n m e n t s e c u r i t yi st h ek e yp r o b l e mo fg r i dc o m p u t i n g ，a n dt r u s t p r o b l e mi st h ec o r ei s s u ew h i c hw em u s tf a c ei nt h es o l u t i o no fs e c u r i t y p r o b l e m s or e s e a r c h e so nt r u s ta n dt r u s tm o d e l ss e e mq u i t en e c e s s a r y b a s e do nt h es t u d yo fe x i s t i n gt r u s tm o d e l s ，t h i sp a p e rp r o p o s e da n e wt r u s tm o d e l - - - a d o u b l e l a y e r st r u s tm o d e lw i t hr e w a r d sa n d p u n i s h m e n t sm e c h a n i s m t od e a lw i t ht r u s tr e l a t i o n s h i p sa m o n ge n t i t i e si n g r i de n v i r o n m e n t t h em o d e lj o i n e di d e n t i t ya u t h e n t i c a t i o ni n t ot r u s t i n i t i a l i z a t i o np r o c e s s i tc o n s i d e r e dd i r e c tt r u s ta n dr e c o m m e n d a t i o nt r u s t t oa s s e s so v e r a l lt r u s tv a l u e ，s ot h a ti tc a na s s e s sm o r ea c c u r a t e l yt h et r u s t r e l a t i o n s h i p sa m o n ge n t i t i e s i nt h es e a r c h i n go fr e c o m m e n d a t i o nt r u s t p a t h s ，t h et r u s t m o d e ls c r e e n e dt h er e c o m m e n d a t i o nt r u s t p a t h sb y i m p r o v e da n tc o l o n ya l g o r i t h m ( i a c a ) t op r e v e n tt h ej o i n tf r a u do f d o m a i n s i nt h ep r o c e s so fu p d a t i n gt r u s tr e l a t i o n s h i p s ，i tu s e dr e w a r d s a n dp u n i s h m e n t sm e c h a n i s mt ou p d a t et r u s tr e l a t i o n s h i p sa m o n ge n t i t i e s a n dt r u s tv a l u e so fn o d e s ，t h i si sag o o ds o l u t i o nt os e c u r i t yi s s u e sa r i s i n g f r o mn o d e s m a l i c i o u sa c t s i nt h ep r o c e s s e so fu t i l i z a t i o nr e c o m m e n d e d t r u s tt oe s t a b l i s ht r u s tr e l a t i o n s h i p sa m o n gd o m a i n s ，t h ep a p e rp r o p o s e da f e a s i b l ed o m a i nt r u s t a d j u s t i n ga l g o r i t h m ( d t a a ) w i t h c o n t a c t e x p e r i e n c e sa m o n ge n t i t i e sf r o md i f f e r e n td o m a i n s ，s ot h a ti ti sa b l et o i d e n t i f yi na d v a n c em a l i c i o u sa c t s t h e n ，s e r i e so fs i m u l a t i o ne x p e r i m e n t sw e r ec a r r i e do nf r o mv a l i d i t y , a c c u r a c ya n ds e c u r i t yt h r e ea s p e c t st oa s s e s st h et r u s tm o d e l ，a n dv e r i f i e d e f f e c t i v e n e s sa n dc o n v e r g e n c eo fi m p r o v e da n t c o l o n ya l g o r i t h m e x p e r i m e n t a la n da n a l y t i c a lr e s u l t ss h o wt h a tt h em o d e lc a ne f f e c t i v e l y s o l v es e c u r i t yi s s u e si ng r i de n v i r o n m e n t f i n a l l y , i ta p p l i e dt h et r u s tm o d e lt oa c c e s sc o n t r o l ，p u tf o r w a r da t r u s t b a s e da c c e s sc o n t r o l d e c i s i o n m a k i n g f r a m e w o r ki n g r i d e n v i r o n m e n t k e yw o r d sr e w a r d sa n dp u n i s h m e n t sm e c h a n i s m ，d o u b l e l a y e r s t r u s t m o d e l ，i m p r o v e da n tc o l o n ya l g o r i t h m ( i a c a ) ，d o m a i nt r u s t a d j u s t i n ga l g o r i t h m ( d t a a ) ，a c c e s sc o n t r o l i i i 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：孕盏一 日期：旦年月幺日 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 日期：出三月近日 硕士学位论文 第一章绪论 1 1 课题背景 第一章绪论 网格技术是近年来国内外计算机业研究的热点。它是构筑在互联网上的一组 新兴技术，将地理上广泛分布、系统上异构的各种计算资源如高速互联网、高性 能计算机、大型数据库、传感器、远程设备等融为一体，实现网络虚拟环境上的 高性能资源共享和协同工作，为科技人员和普通老百姓提供更多的资源、功能和 交互性。 网格计算构架在互联网平台之上，因此，互联网的不安全因素同样是网格计 算的不安全因素。如：电磁泄露、雷击等环境安全构成的威胁，软硬件故障和工 作人员误操作等人为或偶然事故构成的威胁，利用计算机实施盗窃、诈骗等违法 犯罪活动的威胁，网络攻击和计算机病毒构成的威胁，以及信息战的威胁等。而 与传统网络环境相比，网格计算环境由于具有大规模、高速、分布、异构、动态 和可扩展等特点，因此提出了更高更广泛的安全需求。特别是随着网格计算技术 从传统的科学计算进入商业应用领域，安全问题的解决更是迫在眉睫。人们迫切 需要对网格计算的安全策略进行专门的系统的研究，并且针对新的网格计算的需 要提出新的方法和思路。其中在认证和授权方面，要求实现单点登录、身份鉴别、 信任委托、信任转移和访问授权等。 j 近几年，信任已被认为是实现网格安全的一个核心要素，信任模型业已成为 网格技术研究的热点问题。网格业界也有不少学者提出了自己的信任模型。然而 由于网格环境的特殊性，实体间的信任关系的建立，不仅包括对实体身份的信任， 还包括对实体行为的信任。传统的安全机制如加密、数字签名、认证协议以及存 储控制等虽然可在一定层面上解决身份信任问题，但却不能成为处理行为信任问 题的有效手段。因为行为信任关注是更现实、更广泛意义上的可信赖性问题，用 户实体间可根据过去相互间直接的或间接的行为接触经验而及时动态地调整更 新彼此间的信任关系，从而最大程度地保证网格行为的安全可靠。研究证明，信 任和声誉系统能够处理这类问题，两者的区别首先是被r a s m u s s e n 和j a n s s o n 提 出来，并使用术语“硬安全 来表示传统的机制如认证和访问控制，“软安全 来表示普通意义上的社会控制机制如信任和声誉强1 。因此，信任机制也被称为软 安全( s o f ts e c u r i t y ) 机制。 现有的一些基于行为的信任模型主要是根据以往的交易经验和其他实体的 评估来衡量实体之间的信任关系，其主要的理论依据大都是模糊理论。另外，网 硕士学位论文 第一章绪论 格环境中的信任关系还需要支持动态的、可配置和瞬间服务的管理。所以很有必 要建立一种更加普遍便捷，能处理网格交易中基于身份和行为的双重信任关系的 信任模型。本文提出的信任模型即是在综合比较和深入分析现有的一些网格信任 模型的基础上，通过继承优点、抛弃局限性，并通过进一步的研究和发展得到的。 1 2 课题意义 在目前的情况下研究网格信任模型有着重大而深远的意义，主要体现在以下 四个方面： ( 1 ) 信任模型是网格的重要研究领域 人类的应用需求正朝着高性能、多样性、多功能方向迅速发展。这些应用要 求将地理上分布的、异构的多种计算资源通过高速网络连接起来，共同完成计算 问题。网格的最大优点之一是对地理上分布的各种计算资源和数据资源进行共 享，但这些共享必须建立在安全访问的基础上。 网格技术的出现，使得网格安全呈现独有的特性：用户群体数目庞大且动态 变化；资源和服务提供者数目庞大且动态变化；动态使用关系；应用层通信协议 不相同；各种不同的安全机制和安全策略。这样对网格系统的安全分析更加复杂。 传统的安全技术和手段不能够完全解决网格安全问题。信任模型能够动态的描述 网格实体之间的信任关系，使网格系统变得更加健壮、安全。 网格服务跨越多个安全域，这些域中的信任关系在点对点的跨越中起着重要 的作用。每一种服务要将它的访问要求阐述清楚，就可以安全地访问这些服务的 实体。信任的建立过程对每个会话来说或许是一次性的活动，也有可能对于每 次请求都要动态地进行评估。由于网格的动态特性，在应用程序执行前，预先在 这些域中建立信任关系变得很困难。总之，网格环境中的信任关系非常复杂，它 需要支持信任关系的动态变化。通过在网格系统内部建立信任关系，来评价实体 的安全性和可靠程度，进而提高计算的成功率，及其整个系统的安全性。这将是 网格发展的重要基础研究领域，也是推动网格应用的重要因素。 ： ( 2 ) 信任模型本身的研究需要一 信任分为身份信任和行为信任。传统的安全所考虑的只是身份信任，只涉及 到用户或服务器的身份认证，以及通过授权的资源访问控制。所谓行为信任，是 指在两个或多个实体之间交易时，根据实体在交易过程中所表现的行为做出评 价。对实体的行为信任进行建模的目的是为了形式化地研究在开放网络中如何对 实体的信任值进行定义、评价和推导。所以信任模型的研究内容应当包括信任的 定义、信任的评价、信任关系的形式化表示和推导、信任值的计算和存储。 ( 3 ) 当前信任模型研究尚未成熟 2 硕士学位论文第一章绪论 虽然在分布式环境下已经对信任模型有了深入研究，但是并不完全适合网格 环境。因此，需要深入研究如何在网格环境下建立信任模型。 ( 4 ) 网格环境下基于信任值的应用 信任模型作为网格系统的重要组成部分，能够动态的计算实体的信任值，为 安全决策提供重要的参考依据，可以在网格系统的很多方面得到应用，如：协同 工作、资源分配、访问控制、作业调度。 1 3 研究目标 、提出一种适合网格环境的信任模型。这种信任模型包括：信任模型的框架、 信任数据存储和管理、信任关系的描述、信任关系的评价、信任关系的推导、信 任的更新。与实际应用相结合，设计基于信任度的访问控制机制。这样通过信任 模型的建立，使得网格系统达到：安全性、可扩展性、健壮性。 1 4 本文的主要工作内容 对网格信任进行建模的目的是为了研究在网格的开放环境中，如何对网格实 体的信任度进行定义、评价和综合计算。因此网格环境下的信任管理研究的内容 应当包括信任的定量描述机制、信任的评价机制。 本文在研究信任关系和现有网格安全技术的基础上，从网格的结构特点出 发，构造了一个完整的网格环境下的行为信任模型，以此来建立、管理和评估网 格实体间的信任关系，为动态变化的网格环境提供信任服务支持。通过引入行为 信任管理模型，进一步完善了网格安全服务体系。主要做了以下工作： ( 1 ) 详细介绍了网格中的信任机制，信任以及相关的概念，重点分析了现有 几种典型的网格信任模型的优缺点。 ( 2 ) 针对目前网格信任模型中存在的问题进行了深入的分析，提出若干改进 建议和手段，设计了一种新的网格信任模型，有效地增强了现有网格信任模型的 安全性。 。 ( 3 ) 将信任模型应用于访问控制中，提出了一个网格环境下基于信任的实体 访问控制决策框架，并结合r b a c 给出了一个信任强化的角色分配方案，以实 现网格环境下实体的访问控制决策。 1 5 本文的组织结构 本文组织结构如下： 3 硕士学位论文第一章绪论 t 第一章是绪论。简要介绍了课题提出的背景，课题的研究意义和本文要进行 的工作。 ， ， 第二章是网格安全与信任。主要介绍了网格的理论背景，由网格环境下特殊 的安全需求引出信任模型建立的必要性，介绍了信任的相关知识，明确了信任的 定义，重点研究了网格信任模型涉及的问题。 第三章是具有奖惩机制的双层信任模型。在分析现有信任模型优缺点的基础 上提出一种新的网格信任模型，对模型中的关键机制：信任初始化，信任评估， 信任更新等问题进行了详细的阐述。 _ 第四章是模型的仿真和性能分析。详细叙述了信任决策的具体流程，对第四 章提出的信任模型从有效性、准确性和安全性进行了仿真验证，并对改进的蚁群 算法的有效性和收敛性进行了验证，最后分析了模型的优点。 第五章是基于信任的访问控制研究。将信任模型应用于访问控制中，提出了 一个网格环境下基于信任的实体访问控制决策框架。 第六章是总结和展望。总结了本文所作的工作，并对该课题进一步研究的重 点方向进行了展望。 4 硕士学位论文第二章网格安全与信任 第二章网格安全与信任 网格计算( g r i dc o m p u t i n g ) 概念来源于电力网( e l e c t r i c a lp o w e r ) 3 ，人们 试图实现：类似于家用电器能够极为方便的从电网中使用电力资源，计算应用也 能够便利地从一个大范围的分布的资源池中获取所需的各种资源。 网络飞速发展促进了人之间的交互，i n t e r n e t 环境中电子商务、。资源共享等 行为发展迅速。用户试图通过网络获得购买商品和交易对象的详细信息，以此作 为电子商务决策的依据；或者用户根据得到共享资源具体情况，选择更安全和方 便的服务，这些行为促进了网络信息的传播。由于网格环境中存在大量的未知实 体，安全问题变得更加重要。解决此问题的有效方法是建立信任机s 0 ( w e bo f t r u s t ) ，通过信任的传递和传播，用户可以获得目标实体先前的历史经验，据此 选择可靠的交易对象，或选择更安全的资源服务对象。 本章由网格环境下特殊的安全需求引出信任模型建立的必要性，介绍了信任 的相关知识，明确了信任的定义，重点研究了网格信任模型涉及的问题，为下一 步的工作奠定了基础。 2 1 网格基础概述 网格这一术语于2 0 世纪9 0 年代中期提出，用来表述一种适用于高端科学和 工程的分布式计算体系结构。当前在建设这种基础设施以及它的扩展和将其应用 于商业计算方面等都取得了很大的进展。网格的概念和相关技术最初是为实现科 研协作中的资源共享而提出来的，首先是在早期的g b s 实验台一然后规模日益 扩大。在讨论网格安全之前，必须先说明究竟什么是网格，以及有哪些具体的体 系结构。 2 1 1 网格的定义 狭义的网格被称为计算网格，就是主要用于解决科学与工程计算问题的网 格。i a nf o s t e r 给出了网格的狭义定义：网格是构筑在互联网上的一组新的技术， 它将高速互联网、高性能计算机、大型数据库、传感器、远程设备等融为一体， 为科技人员和普通百姓提供更多的资源、功能和交互性。 但是更多人却倾向于广义的网格定义，称它为巨大全球网格g g g ( g r e a t g l o b a lg r i d ) ，它不仅包括计算网格、信息网格、知识网格、商业网格，还包括 5 硕士学位论文第二章网格安全与信任 已有的一些网络计算模式，例如对等计算、寄生计算等。 总之，网格就是利用互联网把分散在不同地理位置的计算机组织成为一台 “虚拟的超级计算机，实现计算资源、存储资源、数据资源、信息资源、软件 资源、通信资源、知识资源、专家资源等的全面共享。因此，我们可以更形象的 描述网格：作为网格节点的每台计算机就是“虚拟的超级计算机 的计算单元， 而互联网则是“虚拟的超级计算机 系统总线。在这样的硬件基础之上，网格计 算软件( 如g l o b u s 等) 就是“虚拟的超级计算机 的操作系统，它管理和分配 计算资源，为用户屏蔽底层实现，并提供方便的应用接口。用户只需连上就可以 访问“虚拟的超级计算机，完成现在所认为的“不可能完成的任务 。 2 1 2 网格体系结构 网格体系结构标识出了网格的基本组成部分，并描述了各组成部分的关系以 及它们集成的方式，刻画了支持网格有效运转的机制h 1 到目前为止，比较重要 的网格体系结构有两个：f o s t e r 等在早些时候g l o b u s 工程中提出的五层沙漏结 构1 ，以及后来全球网格论坛( g g f ) 于2 0 0 2 年6 月公布的开放式网格服务体系 ( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ，o g s a ) 6 】o 1 五层沙漏结构 五层沙漏结构的重要思想是以“协议”为中心，同时也十分强调服务与应用 编程接口和软件开发工具包的重要性。 在五层沙漏结构中，共享的概念不仅仅是交换文件，而是更强调对计算机、 软件、数据以及其他资源的直接访问。该结构中的共享关系存在三种基本形式， 即客户端与服务器的共享( c s ) 、端到端的共享( p 2 p ) 以及代理共享( p r o x y ) 。 五层沙漏结构中另一个重要的概念是“互操作 ，要实现互操作就必须有一 个统一的协议。五层沙漏结构首先是“协议结构 ，通过协议可以实现一种机制。 使得虚拟组织的用户和资源之间可以进行资源使用的协商，并建立共享关系，还 可以进一步管理和开发新的共享关系。这一标准化的开放式结构对网格的扩展、 互操作、一致性以及代码共享都很有利。 五层沙漏结构口1 从上自下划分为应用层、汇聚层、资源层、连接层和构造层。 由于各层协议数量的不同，特别是核心的部分，既要实现上层各种协议向自身协 议的映射，同时又要实现自身协议向下层协议的映射，并且核心协议在所有支持 网格计算的地方都应该得到支持，因此核心协议的数量不能太多，由于这个原因， 造成了沙漏式的结构，其中资源层和连接层共同组成了瓶颈部分。 五层沙漏结构并不提供严格的规范，它不是对全部所需协议的完整罗列，而 是对该结构中各部分组件的通用要求进行定义，并且将这些组件形成一定的层次 6 硕士学位论文第二章网格安全与信任 关系，每一层的组件具有相同的特征，上层组件可以构建在任何一个低层组件的 基础之上 2 开放网格服务体系结构( o g s a ) 在过去几年里，以开放网格服务体系结构o g s a 疆3 为标志，网格技术变得明 显成熟和标准化了，是五层沙漏结构之后最重要的网格体系结构。 o g s a 是以服务为中心的服务结构，这里的服务是指具有特定功能的网络化 实体。在o g s a 中，服务概念更广泛，包括各种计算资源、存储资源、网络、 程序、数据库等等。简而言之，一切都是服务。为了使服务的思想更加明确和具 体，o g s a 定义了网格服务这一概念，网格服务是一种实现了标准接口、行为和 约定的w e bs e r v i c e 呻1 ，该服务提供了一组接口，这些接口的定义明确并且遵守特 定的惯例，解决服务发现、动态服务创建、生命周期管理、通知等问题。简单的 说，网格服务= 接e l 行为+ 服务数据。 ， 建造o g s a 的两大支撑技术是网格技术( 比如g l o b u st o o l k i t ) 和w e b s e r v i c e 。g l o b u s 是已经被科学和工程计算领域广泛接受的网格技术解决方案， w 曲s e r v i c e 是一种标准的存取网络应用的框架。 o g s a 主要由资源层、w e b 服务层、基于o g s a 架构的网格服务层、网格 应用程序层四层组成。与五层模型一样，在o g s a 中也非常重视互操作性，但 是从服务的观点，o g s a 将互操作性问题转化为两个子问题，即定义服务的接口 和识别激活特定接口的协议，而且o g s a 更强调与协议消息对应的服务，侧重 于实体表现出来的行为特征，即特定对象的生理机能。 2 2 网格安全 实现网格计算需要各种动态的资源和有效的通信，因此，对安全提出了更高 的需求，网格安全问题正是网格环境中的一个核心。正如电网的首要问题是安全 一样，网格的安全问题也是最为重要的。 2 2 1 网格面临的安全问题 网格的目标不仅仅是支持科学计算，还支持其他服务，包括通信服务、数据 服务、计算服务、交易服务等。未来网格中，资源将完全虚拟化，而且实体、请 求者、服务提供者的身份完全隐藏在那些发现、中介、协商、调度等服务的背后。 同时在网格环境中，各种资源动态地连接到i n t e r n e t 上，不同的网格节点之 间通过i n t e r a c t 通信，用户也是通过i n t e m e t 向网格提交任务和监控管理任务， 并且网格中的所有实体都可以动态的加入或撤离。因此，网格安全是建立在 7 硕士学位论文第二章网格安全与信任 i n t e r n e t 安全基础上的，而i n t e m e t 是一个开放性、异构性极大的公共网络，这使 得i n t e r n e t 上运行的网格作业面临各种各样的安全威胁。如信息被截取、内容篡 改和删除以及假冒合法用户和服务器等。目前i n t e m e t 一般提供两种安全保障机 制访问控制和安全通信。访问控制来保护各种资源不被非授权使用，而安全通信 保证数据的保密性和完整性，以及各通信端的不可否认性，但是这两种机制只能 部分解决网格系统的安全问题。 网格环境与一般的网络有如下不同之处：大量动态可变的用户和资源群体； 计算可在执行过程中动态地请求、启动进程和申请、释放资源；不同的资源可能 需要不同的认证和授权机制，而这些机制和策略的改变是受限的；多种通信机制； 不同的本地安全解决方案和信任机制；多样的跨国界用户和资源的组织形式。这 就使得网格安全与传统的i n t e r n e t 安全相比，所涉及的范围更广，解决方案也更 加复杂。 网格的这些特点所引发的安全问题迫切需要解决。比如，并行计算需要多个 计算资源，这就要求在成百上千的分布在不同管理域中的进程之间建立安全信任 关系，而不是简单的像c s 模式那样。另外，网格的动态特性使得在通信站点之 间不能建立固定不变的安全信任关系，因为网格应用在执行时可能又要申请其他 资源，从而安全信任关系也必须在动态中建立。最后网格以及每个管理域的内部 安全机制大多各不相同，网格使用的安全机制必须能与每个管理域内部安全机制 进行交互，而不是要求每个管理域改用统一的安全机制。现有安全技术已经不能 胜任这种更高的共享化要求，我们需要一种新的安全体系结构。 2 2 2 网格安全需求 网格是通过开放的网络环境向用户提供服务的，因此它不可避免地要涉及到 网络安全问题。与传统网络环境相比，网格计算环境极其复杂，它具有大规模、 分布、异构、动态、可扩展等特性，因此其安全所涉及的范围更广，解决方案也 更加复杂。通过对网格安全问题的特点的分析，我们认为网格应用系统具有如下 的安全需求。 首先网格技术也属于开放系统互联( o p e ns y s t e mi n t e r c o n n e c t ，o s i ) 的技术范 畴，因此网格环境也需要提供o s i 定义的5 组安全服务n 叫： 。 ( 1 ) 认证( a l l t h e n t i c a t i o n ) 服务：主体、客体的标识与认证； ( 2 ) 访问控n ( a c c e s sc o n t r 0 1 ) 艮务：主体的授权与访问控制； ( 3 ) 数据完整性( i n t e g r i t y ) j 报务：数据存储与传输的完整性； ( 4 ) 数据保密性( c o n f i d e n t i a l i t y ) 服务：数据存储与传输的保密性；4 ( 5 ) 抗抵赖( n o n r e p u d i a t i o n ) j 畏务：防止主体否认自己进行的操作。 硕士学位论文 第二章网格安全与信任 另外，针对网格安全问题的特殊性，网格环境还应该具有以下安全需求n 纠： 1 认证要求 ( 1 ) 单点登录( s i n g l es i g no n ) 。用户只需在启动计算时进行一次身份认证， 就可以在无需进一步干预的情况下访问任何被授权可访问的资源，即在计算过程 中获得资源、使用资源、释放资源及进行内部通信时无需再次认证。 ( 2 ) 认证保护。用户认证( 密码、密钥) 等受到保护。 ( 3 ) 委托( d e l e g a t i o n ) 。用户能够将身份权授予一个程序，以使该程序可以访 问用户被授权的资源。另外，该程序还可以进二步委托另一个程序。 ( 4 ) 可兼容不同的本地安全方案。网格环境中的不同站点或资源提供者可能 实施了不同的本地安全方案，而整体的网格安全解决方案应能兼容这些不同的本 地解决方案，并且不能要求改变本地安全方案。 ( 5 ) 本地安全解决方案的互用性。当安全解决方案能提供域间访问控制机制 时，对局部资源的访问应由本地安全机制决定。 ( 6 ) 基于用户的信任关系。为使用户在计算过程中同时使用多个资源提供者 提供的资源，网格安全方案在配置安全环境时不应该要求各个资源提供者彼此之 间两两交互和协商的过程。 。 ( 7 ) 统一的认证机构。域间访问用最小的、通用的方法表示安全主体，如用 x 5 0 9 v 3 作为标准。 2 通信保护要求 ( 1 ) 灵活的消息保护机制。一个应用可动态地配置服务协议，可灵活地选用 不同级别的消息保护机制。选用的根据是消息的敏感性、性能要求、通信的参与 者等因素。 ( 2 ) 支持安全组通信。通信可能包含许多需要作为一组协调活动的进程，当 前还没有安全解决方案支持该性质，即使是g s s a p i 也一样。 3 授权要求 ( 1 ) 由资源所有者或资源所有者代理决定授权。应由资源所有者或其代理决 定允许访问资源的主体，以及访问的条件； ( 2 ) 受限委托。为降低委托凭证带来的安全隐患，应能限制由委托关系继承 来的权利的使用。 2 3 网格信任 现有的安全技术使我们能够在通信过程中建立一定程度的信任。例如加密算 法用来提供保密性和数字签名，认证协议提供认证，访问控制方法用来管理授权。 但这些方法都是对实体身份进行认证，无法管理更多的可信度的内容，也无法根 9 硕士学位论文第二章网格安全与信任 据实体的行为来判断可信度，不能有效地管理信任。如加密算法和防火墙都是硬 安全机制的例子。 信任机制是硬安全技术的补充，也被称为软安全机制。硬安全机制仅仅提供 了对用户合法性的底层检验，而信任管理机制使得用户要为它们的行为负责，即 使是合法行为。 信任是一种人类社会的认知现象。在社会网络中，信任关系是人际关系的核 心，这种相互依赖的信任关系组成了一个所谓的信任网络。虚拟社会同现实社会 一样，信任发挥着同样重要的作用，在网格环境中信任是一个个体与系统相融合 的概念，个体与个体、系统与个体以及系统与系统之间都存在信任关系。正是因 为如此，可以在网格环境中建立实体间的信任模型来解决由网格环境动态性和不 确定性带来的安全问题。 。 2 3 1 信任的定义 给信任下定义是很困难的事情，因为不同的分布式系统对信任研究所关心的 内容是不同的。但是，基于信任的应用又需要对信任概念给出清晰、明确的阐述。 否则对于信任的错误、模糊的理解可能会使系统变得更加脆弱。在研究中发现， 并不是所有信任模型都明确给出信任定义。但是对信任的表示却都采用某种明确 方法。 d h a r r i s o nm c k n i g h t 在文献 1 2 中把信任分为四类：信任倾( d i s p o s i t i o nt o t r u s t ) ，组织信任( i n s t i t u t i o nb a s e dt r u s t ) ，信任信一t , ( t r u s t i n gb e l i e f s ) ，信任意象 ( t r u s t i n gi n t e n t i o n ) 。 a l f a r e za b d u l r a h m a n 在文献 1 3 对信任的定义：“信任是对a g e n t 执行某种 动作的概率的特殊反映，这种反映不能事先监视a g e n t 的动作，也不能知道动作 的内容，尽管动作的内容会影响我们的行为 。 f a r a g a z z e d i n 在文献 1 4 对信任在网络环境的定义：“信任是对一个实体能 力的坚定信念。这种坚定信念对于实体来说并不是固定不变的，它是在给定的时 间内，在某些方面，随着实体行为变化而变化、 可以看出，在计算机科学领域，不同的学者对信任的理解也千差万别。通过 对信任定义的研究，本文发现：无论对信任给出怎样的定义，都蕴涵着对实体过 去的行为进行评价，这种评价是随着实体行为能力的改变而动态变化的。因此本 文对信任和声誉定义如下： 定义l ：信任( t r u s t ) 包括身份信任和行为信任，是指对节点身份的认可及 对节点能够按照预想完成其行为的能力的信赖。信任用信任值来度量。信任值并 不是一个与节点身份绑定的固定值，而是以节点身份为参照，并依赖于特定时间 1 0 硕士学位论文第二章网格安全与信任 段及特定上下文环境的变量。简言之，网格环境下的信任就是在证实主体身份的 基础上对以往行为的一种评价。 定义2 ：声誉( c r e d i t ) 是指通过对节点过去交易行为的综合考察并依据其 他节点对该节点的信任评估而得出的综合期望值。声誉同样也依赖于特定时间段 及特定上下文环境。 2 3 2 信任关系的属性 通过对信任关系的研究，我们认为信任有如下属性： ( 1 ) 信任是一个主观概念，不同的观察者对同一个实体的可信性有不同的理 解； ， ( 2 ) 信任有程度之分，如可以使用模糊的语义变量，或使用o 1 的实数来表 达，甚至可以使用一个概率； ( 3 ) 信任是随时间推移和节点行为的变化而动态变化的； ( 4 ) 信任是附属于某个特定节点或特定域的，需要一个承载体；一 ( 5 ) 信任是非对称的，即产生信任的两个节点的信任评估未必是等值的。简 单说，若a 与b 发生信任关系，则a 对b 的信任值与b 对a 的信任值不一定 相等； ( 6 ) 信任是有条件传递的，即节点a 对b 的最终信任值不一定等于a 的推 荐者c 提供给a 的b 的信任推荐值( 通常要乘以一个推荐因子，其值取决于a 对c 的推荐信任值) ； ( 7 ) 信任是上下文相关的，即网格节点之间的信任值不仅依赖于节点身份而 且是与特定的网格交易类型或应用相关的。 2 3 3 信任关系的分类 按照不同的分类标准可将信任关系划分成不同的种类： ( 1 ) 按信任属性不同可以分成身份信任和行为信任。 ( 2 ) 按信任获得方式不同可以分成直接信任和推荐信任( 间接信任) 。 ： ( 3 ) 按信任在网格应用全生命周期中扮演的角色的不同可以分成代码信任、 权威信任( 第三方信任) 、执行信任等。 ( 4 ) 按信任模型构建的理论基础不同可以分成基于主观逻辑的信任和基于 模糊逻辑的信任。 硕士学位论文 第二章网格安全与信任 2 4 网格信任模型概述 一 信任模型是建立和管理信任关系的框架，是进行平台框架设计的前提和指导 原则。建立在信任模型基础上的网格安全系统可以在特定的条件下减小风险，因 为信任一体化能减少平台攻击，通过网格站点的安全索引、信任更新、信任传播 能提高安全部署和防御能力。 2 4 1 网格信任模型的基本需求 在异构平台上资源共享是网格的基本特征。由于网格是一种特有的分布式系 统，因此建立网格信任模型，必须要满足健壮性、可扩充性、异构平台兼容性、 冗余性和简单性n 6 1 。 ( 1 ) 健壮性 信任模型应该有一定的容错性。为了避免错误提供信任数据，需要一种机制 来验证信任数据的准确性。对于新加入者，模型在计算信任值时，不应该给予任 何偏爱。对于协同作弊，模型能够在很大程度上给予抵制。对于信任数据的存储， 模型能够避免数据遭到破坏或篡改。 ( 2 ) 标识唯一性 信任模型中主体的身份标识必须唯一，否则同一主体很容易利用多个身份进 行恶意破坏活动，影响网格资源共享。g s i 已经很好地解决了身份标识唯一性问 题。 ( 3 ) 可扩充性 一 可扩充性包括两个方面。一个是指网格系统的服务、用户或资源在数量上的 扩充另个是指计算和存储等不同特长方面的扩充。 网格计算把计算系统、机群、数据存储、网络、以及科学仪器等资源进行无 缝的整合。每种资源在不同的特长方面提供了不同的服务。维护和评价各种内容 方面的服务是一件繁琐的事情。模型应该能够支持在任何时候加入新的内容或服 务。服务或资源以域为单位的组织形式进行共享时，信任问题变得更加复杂。 可扩充性的另一方面是当网络容量增加时计算负载的增加情况。可以通过数 学模型来量化分析计算。在存储方面，分布式存储能够很好的解决可扩充性问题。 模型设计应该遵循简单的原则，在计算、存储等需求上尽量达到最低负载。当模 型扩充到很大的网络上时，计算应该是分布式进行，这样达到最小的计算负载。 ( 4 ) 冗余性 由于网格用户众多，动态加入或退出，因此在计算和存储信任数据时需要考 虑冗余性，使得网格在线用户能够即时得到其他用户的信任信息。 1 2 硕士学位论文第二章网格安全与信任 ( 5 ) 简单性 模型设计在计算量、基础结构、存储、以及信息复杂度上尽量简洁明了，使 系统在这些方面负载上达到最小化。 2 4 2 网格信任模型涉及的问题 网格信任模型涉及的问题很多，概括起来主要有以下七个方面。 ( 1 ) 信任的定义。信任模型研究的首要问题就是信任定义。有了明确的定义， 就能采取相应方法来评估信任关系，推导信任关系。 ( 2 ) 信任关系的属性。说明信任关系体现在那些方面，有什么特点。信任属 性的分析对信任评估，信任关系推导起着决定性作用。 ( 3 ) 信任关系的粒度。在网格环境中，资源是以域或组织为单位加入网格系 统的。那么在用户之间建立信任关系，抑或在域之间建立信任关系，这将影响到 信任模型的可扩充性。 ( 4 ) 信任数据的存储。信任数据的存储方式决定了信任度计算的复杂度。分 布式计算方式可以分担计算任务和存储空间，但是却因数据传输增加网络负载。 集中式计算方式虽然可以减少网络负载，便于查找，但是当网络用户增加时却容 易成为计算瓶颈。 ( 5 ) 信任的评估。建立信任关系最重要的部分是如何正确评估信任度。好的 信任评估算法能够正确的反映主体当前可信赖程度，排除恶意主体或组织。 ( 6 ) 信任关系的推导。在以信任关系为纽带形成的信任关系网络中，直接协 作的主体间存在直接信任关系；没有直接协作的主体之间，通过推荐或介绍，主 体之间也存在着间接的信任关系。 ( 7 ) 信任关系的更新。信任模型的核心部分。信任关系的变化决定了需要定 时对信任关系进行更新。通过信任关系的更新不仅使信任关系网络发生变化，同 时对发现恶意实体起到了重要作用。 本章的2 3 节已经详细介绍了信任的定义及信任关系的属性，在第三章中将 重点讨论信任模型的核心机制。 2 4 3 网格信任模型的研究现状 在网格环境的信任研究中，通常将信任分为基于实体身份的信任和基于实体 行为的信任两类。 基于实体身份的信任机制关注于对网格环境中实体身份的真实性进行认证， 以判定是否允许授权实体进行访问。实现基于实体身份的信任机制主要通过密码 1 3 硕士学位论文第二章网格安全与信任 技术中的加密、数据隐藏、数字签名、认证协议和访问控制来完成。证书体系的 安全策略总体上来说是静态的，尽管这些技术的使用解决了信任评估中一些亟待 解决的问题，然而网格环境中的信任具有动态性、主观性，使得完全依靠证书体 系为动态变化的网络环境提供信任支持存在许多局限性。 基于实体行为的信任机制可以更好地解决网格实体间可信性问题，在网格环 境中网格实体的行为实时反映了其可信属性，其一段时期的行为数据从实质上反 映了该实体的信任值。己经有一些文献提出利用基于行为的信任来解决网格不同 、管理域之间协同工作的安全问题。然而，他们仅仅提出了一个简单的框架，并没 有很好地将网格本身的