（计算机系统结构专业论文）网格计算中信任模型及其应用研究.pdf

摘要 网格技术的出现，使得对用户管理已经不再足集中的、封闭的、可控的管理方式。 网格系统面对各种威胁，包括来自系统外部的威胁和内部的威胁。传统计算机安全研究 的主要内容郡是针对外部威胁，即通过密码技术抵御外部入侵，提高系统安全性。然而， 针对内部威胁，传统方法却显得束手无策。这样就需要对用户在网格环境下行为进行评 价，反映出该用户网络行为的可信程度。本文研究如何在网格计算中建立信任模型，来 排除内部恶意节点，提高系统的安全可靠程度。 本论文的主要研究成果如下： 1 1 提出以自治管理域为单位的层次式的信任模型。该模型给出网格环境下信任的 定义。根据信任定义，详细分析了信任具有不对称、传递、动态变化等属性。以自治域 为单位的层次式信任模型满足网格环境对信任的需求，符合信任关系计算。同时详细描 述了信任模型的行为信任和身份信任，形式化表达了信任关系网络。该模型具有计算复 杂度低，可扩充性强，各个管理域自治的特点。 2 ) 提出了一种信任评估模型来描述域间直接信任关系及对域内成员信任评估。针 对域间直接信任关系，提出了基于b a y e s i a n 理论的直接信任度计算算法( b a y e s i a n t h e o r y b a s e dd i r e c tt r u s te v a l u a t i o na l g o r i t h m ，b t b d t e 算法) 。b t b d t e 算法具有以 下特点：当达到较高信任度时，增加缓慢；当有负面评价时，与同样情况下获得的正面 评价相比，信任度的降低幅度大于信任度增加幅度。b t b d t e 算法比较符合信任的变化 规律。但是b t b d t e 算法的缺点是不能够即时的反映当前主体信任变化情况。对此， 本文又改进了b t b d t e 算法。改进后的算法不仅能够具有b t b d t e 算法的特点，同时 更能够反映当前主体可信程度针对域内成员信任评估，给出计算域内成员的信任度方 法。 3 ) 提出一种信誉度模型来计算域节点可信程度的相对排名。信誉度的计算过程也 是信任关系的推导过程。首先基丁| “信誉高的域所推荐的域具有较高的信誉；以及皱多 个域推荐的域也具有较高的信誉”这一思想，给出了从赢接信任关系到推荐信任关系的 转换公式。根据推荐信任关系，给出域节点信誉度的计算方法，即求推荐信任关系矩阵 最大特征值的特征向量，并计明了计算信誉度收敛的必然性。给出了计算信誉度的分布 工t 算法，亓对其进行改进，加速了计算收敛速度。另外，对分布式算法的安全性进行分 析，设计了牲丁- c h o r d 蚓络结构的安全分布式算法。针对协同作弊问题，设计了评价数 据传输防议( e d t p ) ，有效地抑止了夸大和诋毁的威胁。 4 ) 提出j r 牲丁信任度的访i u 】控制机制。摹丁信任度的访问控韦：机制包含服务选择 策略和请水竞予策略曲类访1 u 】拧引策略。服务选择策略和请求竞争策略使 【) 格用户合理 使用资源，排除：良费资源的牝意用户。同时这种策略的应用为那些信誉好的资源提供者 提供了更多使用资源的机会。提出具有软硬两种状态的t i c k e t 机制以便合理使用资源 通过实验，验证了该信任模型的有效性。 关键词：网格计算；网络安全；信任模型；信任许估：信任关系推导；访问控制 i i a b s t r a c t r e s e a r c ho nt r u s tm o d e la n dt r u s t - b a s e da p p l i c a t i o nf o rg r i dc o m p u t i n g w a n gd o n g a n ( c o m p u t e ra r c h i t e c t u r e ) d i r e c t e db yy a nb a o p i n g a l o n gw i t he m e r g e n c eo f g r i dt e c h n o l o g y , t h eu s e rm a n a g e m e n ti s n tc e n t r a l ，c l o s e da n d c o n t r o l l a b l e g r i ds y s t e mi sf a c i n ga l lk i n d so ft h r e a t st h a ti n c l u d et h r e a t sf r o mt h ei n n e ro f s y s t e ma n dt h r e a t sf r o mt h eo u t e ro fs y s t e m t r a d i t i o n a lc o m p u t e rs e c u r i t ym a i n l yr e s e a r c h e s o np r e v e n t i n gi n t r u s i o nf r o mt h eo u t e ro fs y s t e m h o w e v e r , t r a d i t i o n a lm e t h o dh a sn o t h i n gt o d ow i t ht h r e a d sf r o mt h ei n n e ro fs y s t e m s o ，i ti sn e c e s s a r yt oe v a l u a t et h en e t w o r kb e h a v i o r o f u s e r si ng r i dc o m p u t i n g t h u s ，e v a l u a t i o no f t h eu s e r sb e h a v i o rc a nr e f l e c th i sr e l i a b i l i t y t h i sd i s s e r t a t i o ns t u d i e sh o wt ob u i l dt r u s tm o d e lf o rg r i dc o m p u t i n gi no r d e rt of i n do u t m a l i c i o u su s e r sa n di m p r o v es e c u r i t ya n dr e l i a b i l i t yo f s y s t e m t h ec o n t r i b u t i o n so f t h i sd i s s e r t a t i o na r ea sf o l l o w s ： 1 ) at r u s tm o d e lt h a tt a k e sd o m a i na su n i ta n dh a st w ol a y e r si sp r e s e n t e df o rg r i d c o m p u t i n g t h i st r u s tm o d e ld e f i n i t e l yg i v e sd e f i n i t i o no ft r u s tf o r 鲥dc o m p u t i n g , a n d a n a l y z e st h a tt r u s th a sa t t r i b u t e so fa s y m m e t r y , t r a n s i t i v i t ya n dd y n a m i c s t h i st r s u tm o d e l s a t i s f i e sr e q u i r e m e n t so ft r s u ti ng r i de n v i r o n m e n t t h i st r u s tm o d e ld e s c r i b e sb e h a v i o rt r u s t a n di d e n t i t yt r u s ti nd e t a i la n df o n n a l i z e sr e p r e s e n t a t i o no ft r u s tr e l a t i o n s h i pn e t w o r k t h e t r u s tm o d e li sl o wc o m p l e x i t yo f c o m p u t i n g ，s c a l a b l ea n da u t o n o m o u s 2 ) at r u s te n v a l u a t i o nm o d e lt h a ti so n eo fs u b m o d e l so ft r d s tm o d e li sp r e s e n t e d t h i s t r u s te n v a l u a t i o nm o d e ld e s c r i b e st h ed i r e c tt r u s tr e l a t i o n s h i po fd o m a i n sa n de n v a l u a t i o no f m e m b e ri nad o m a i n i no r d e rt or e s o l v et h e p r o b l e mo fd i r e c tt r u s tr e l a t i o n s h i p ，t h i s d i s s e r t a t i o n d e v e l o p s t h e b a y e s i a n - t h e o r y b a s e dd i r e c tt r u s te v a l u a t i o na l g o r i t h m ( b t b d t ea l g o r i t h m ) t h ec h a r a c t e r so fb t b d t ea l g o r i t h ma r ea sf o l l o w s ：w h e nt h et r u s t v a l u ei sh i g h e r , t h et r u s tv a l u ei n c r e a s es l o w l y ；i nt h ec a s eo ft h es a m et r u s tv a l u e ，w h e n e v a l u a t i o no f t h et r a n s a c t i o ni sn e g a t i v e ，t h er a n g eo f t r u s tv a l u ed e c r e a s i n gi sb i g g e rt h a nt h a t o ft r u s tv a l u ei n c r e a s i n gw h e nt r a n s a c t i o ni sp o s i t i v e b t b d t ea l g o r i t h mf o l l o w st h er u l eo f t r u s tv a l u ec h a n g i n g b u tb t b d t e a l g o r i t h mh a st h ed r a w b a c kt h a tc a n ti n s t a n t l yr e f l e c tt h e c u r r e n tv i b r a t i o no fe n t i t y sr c h a b i l i t y s o ，a ni m p r o v e db t b d t e a l g o r i t h mw a sd e v e l o p e d t h ei b t b d t ea l g o r i t l n nn o to n l yh a sc h a r a c t e r so fb t b d t ea l g o r i t h m ，b u ta l s oc a n i n s t a n t l yr e f l e c tt h ec u r r e n tr e l i a b i l i t yo fe n t i t y i no r d e rt or e s o l v et h ep r o b l e mo fm e m b e r e n v a l u a t t o ni no n ed o m a i n am e t h o dt h a tc o m p u t et h et r u s tv a l u eo ft h em e m b e ri no o e 1 1 1 d o m a i ni sp u tf o r w a r d 3 ) ar e p u t a t i o nm o d e lt h a tc o m p u t e st h er a n ko fr e p u t a t i o nf o rad o m a i n i sp r e s e n t e d t h i sd i s s e r t a t i o nt h i n k st h a tt h ed o m a i nw a sr e c o m m e n d e db yh i g ht r u s tv a l u ed o m a i na l s o h a sh i g ht r u s tv a l u e ，t h ed o m a i nr e c o m m e n d e db ym a n yh i g ht r u s tv a l u ed o m a i n sa l s oh a s h i g ht r u s tv a l u e a c c o r d i n gt ot h i si d e a ，t r a n s i t i o nf o r m u l a t i o nf r o ml o c a lt r u s tr e l a t i o n s h i pt o r e c o m m e n d a t i o nt r u s tr e l a t i o n s h i pw a sp u tf o r w a r d b a s i n go nr e c o m m e n d a t i o nr e l a t i o n s h i p a n dm a t r i xc o m p u t i n gt h e o r y , t h i sd i s s e r t a t i o nr e a s o n st h ec o m p u t i n gm e t h o do fd o m a i n s r e p u t a t i o nt h a ti sc o m p u t i n gt h ee i g e n v e c t o ro ft h em a xe i g e n v a l u eo ft h er e c o m m e n d a t i o n r e l a t i o n s h i pm a t r i x t h i sd i s s e r t a t i o na l s oi n t e r p r e t st h er e p u t a t i o nc o m p u t i n gf r o mp r o b a b i l i t y p o i n to fv i e wa n dp r o v e st h a tt h ec o m p u t i n gm e t h o di sc o n v e r g e n t ad i s t r i b u t e dc o m p u t i n g a l g o r i t h mi sd e v e l o p e d i no r d e rt os p e e du pc o m p u t i n gt h er e p u t a t i o n , t h i sd i s s e r t a t i o n d e v e l o p saf a s tc o n v e r g e n ta l g o r i t h ma n dt e s t i f i e st h ee f f i c i e n c yo ft h ef a s tc o n v e r g e n t a l g o r i t h m i na d d i t i o n , t h i sd i s s e r t a t i o na n a l y s e st h es e c u r i t yo fa l g o r i t h ma n dd e s i g n sa c h o r d n e t w o r k - b a s e d s e c u r ed i s t r i b u t e da l g o r i t h m f a c i n g c o m p l i c i t yp r o b l e m ，t h i s d i s s e r t a t i o nd e s i g n se v a l u a t i o nd a t at r a n s p o r t a t i o np r o t o c o lt h a tc a nr e s t r a i nt h ec o m p l i c i t y t h r e a t 4 ) at r u s t - b a s e da c c e s sc o n t r o lm e c h a n i s mt h a te m b e d sc o m m u n i t ya u t h o r i t ys e r v i c ei s p r e s e n t e d t h et r u s t b a s e da c c e s sc o n t r o lh a st w ok i n d so fa c c e s sc o n t r o lp o l i c i e s ：o n ei s s e r v i c es e l e c t i o np o l i c y ；a n o t h e ri sr e q u e s tc o n t e n t i o np o l i c y t h et r u s t b a s e da c c e s sc o n t r o l m a k e sg r i du s e r sr a t i o n a l l yu s er e s o u r c ea n de x c l u d em a l i c i o u su s e r s t h et r u s t b a s e da c c e s s c o n t r o lp o l i c yg i v e st h eh i g ht r u s tv a l u eu s e rm o r eo p p o r t u n i t i e st ou s er e s o u r c e i no r d e rt o m a k er e s o u r c eu s e de f f e c t i v e l y , t h i sd i s s e r t a t i o nd e v e l o p st h et i c k e tm e c h a n i s mt h a th a ss o f t a n dh a r ds t a t e s e x p e r i m e n tt e s t i f i e st h a tt r u s tm o d e lc a ni n c r e a s et h er a t eo f j o ba c c o m p l i s h e d s u c c e s s f u l l ya n dp r o m o t er e l i a b i l i t yo f s y s t e m k e y w o r d s ：g r i dc o m p u t i n g ；n e t w o r ks e c u r i t y ；t r u s tm o d e l ；t r u s te v a l u a t i o n ；t r u s t r e l a t i o n s h i pr e a s o n i n g ；a c c e s sc o n t r o l 图目录 图1 1 网格协议层次的体系结构及对应i r t t e m e t 协议层次的关系2 图1 2 网络存在潜在的恶意节点 图2 1 简单的p 2 p 查询路径 图2 2m c h e n 信任模型 图2 3j a s a n g 信任模型的观念三角图示 图2 , 4a l i c e 推荐信任b o b ，b o b 推荐信任c a t h y 图2 5a l i c e 推荐信任b o b ，b o b 直接信任c a t h y 图2 , 6 较复杂的推荐图，虚线表示推荐信任关系， 图3 1 网格的五层沙漏模型 2 l 2 4 2 4 实线表示直接信任关系2 4 图3 2g s i 中证书链 图3 3 信任不对称性 图3 4 信任关系形式 图3 5 直接信任关系和推荐信任关系 图3 6 网格计算的信任模型3 9 图3 7 更改后的证书链 图3 8 信任关系网络 图3 9 综合实力信任评价 图4 1 主体a 更新对b 的信任向量，其中脚标表示有效位数 图4 2 通过信任向量计算信任度和不信任度 图4 3b e t a 分布的概率密度 信任向量长度取8 4 8 一4 8 图4 4p 用b t b d t e 算法计算对d ，和砬的直接信任度 图4 5 p 用i b t b d t e 算法计算对q 和q 的直接信任度 6 4 ，6 4 州格引算中信任模型以及应用研究：图目录 图4 6 d ，用b t b d t e 算法和1 1 3 t b d t e 算法计算比较d l 对d j 评价结果 图4 7 用b t b d t e 算法和i b t b d t e 算法计算比较p 对b 评价结果6 5 图5 1p a g e r a n k 概念图 图5 2 信任路径的信任合并7 3 图5 3 不同节点数对应不同2 ( 1 a m b d a ) 值时计算收敛时次数8 6 图5 4 加速算法与幂法算法在计算收敛时迭代次数的比较。8 7 图5 5 在计算1 0 0 个节点时，加速幂法和幂法每次迭代计算后的误差比较。8 8 图5 6 映射到逻辑空间的示意图 图6 1 分布式环境下授权模型 图6 2 改进的c a s 授权模型 图6 3 随着恶意节点数比率增大，两种策略成功下载变化1 0 4 图6 4 两种服务选择策略比较 图6 5 采用不同服务选择策略时从恶意节点下载数据的次数1 0 5 图6 6 随机选择服务下载策略中信誉度与提供下载次数1 0 6 图6 7 设置信任度阈值策略中信誉度与提供下载次数1 0 7 图6 8 相近信任度策略中信誉度与提供下载次数1 0 7 x 表目录 表2 1 计算机科学中与信任相关的模型或系统。l o 表2 2 已有信任模型中涉及到的与信任相关的属性一1 4 表2 3 信任模型对d i s t r u s t 、m i s t r u s t 、i g n o r a n c e 的支持i7 表2 4 二值逻辑的信任表示。1 8 表2 5 离散级别的信任表示 表2 6 连续的信任表示 表2 7 信任值的计算方式 表4 1 信任级别及语义 表4 2b t b d t e 算法的评价结果 表4 , 3i b t b d t e 算法的评价结果 表5 1e d t p 协议的符号解释 表6 1t 1 3 a c p 中的符号解释 6 2 声明 我声明本论文是我本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，本论文中不包含 其他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了谢意。 作者签名：寺孚吼矽舛，z 闷6 目 论文版权使用授权书 本人授权中国科学院计算技术研究所可以保留并向国家有关部门或机 构送交本论文的复印件和电子文档，允许本论文被查阅和借阅，可以将本 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编本论文。 ( 保密论文在解密后适用本授权书。) 名：姑铈签名啊v 刚肌乒 第一章引言 本章主要介绍论文的研究背景和意义，研究的目标和任务，研究的主要工作和创新 成果，以及论文的组织结构。 1 1 研究背景 1 1 1 课题背景科学数据网格简介 网格的概念出现于9 0 年代初，经过十多年的研究与发展，现已成为国际上的一个 研究热点。l a n f o s t e r ( 网格技术的先驱之一) 在网格：2 l 世纪信息技术基础设施的蓝 图【l 】一书中这样描述网格：。网格是构筑在互联网上的一组新兴技术。它将高速互联 网、计算机、大型数据库、传感器、远程设备等融为一体，为科技人员和普通用户提供 更多的资源、功能和服务。互联网主要为人们提供电子邮件、网页浏览等通信功能，而 网格的功能则更多更强，它能让人们共享计算、存储和其他资源。” 网格技术有自己特定的需求背景和所解决问题的领域。l a nf o s t e r 认为，网格技术所 针对的是“网格问题1 2 】”“网格问题”的定义是：“网格概念是在动态的、多个单位参 与的虚拟组织之间进行协同工作和资源共享( t h eg r i dc o n c e p ti sc o o r d i n a t e dr e s o u r c e s h a r i n ga n dp r o b l e ms o l v i n gi nd y n a m i c ，m u l t i i n s t i t u t i o n a lv i r t u a lo r g a n i z a t i o n s ) ”从定义 可以看出，网格问题的三个关键点是：其一，资源共事。共享是有条件的，必须符合一 定的约束，如信任关系、策略、费用、等等。其二，协同工作。g r i d 不仅能够为使用者 提供资源，而且能够支持在资源共享的基础上进行的协同工作。为了满足这个要求，传 统的c l i e n v s e r v e r 模式是不够的，而更多是一种p e e r - t o p e e r 的模式。其三。g r i d 所面对 的是一种特殊的用户群体，即动态的、多单位参与的虚拟组织。网格技术的提出就是为 了解决如何在多个动态建立的、分布式的、异构的虚拟组织中将各种各样的资源综合、 协同使用的问题。文献 2 】给出了网格框架，如图i 1 。 随着技术与应用需求的发展，以及资源共享与协同工作等应用需求的日益迫切，网 格技术受到越来越多的重视，其研究领域越来越广。现在，网格技术所涉及的资源除了 各种计算资源以外，还包括数据资源、网络资源存储资源、高性能科学仪器以及其他 资源。因此网格分为：计算网格、信息网格、数据网格等。数据网格以数据资源共享为 核心，由丁二现代大部分科研工作都涉及到对分布式异构海量数据资源的共享与访问，因 此，数据网格与科研工作的关系 常密切。 作为数据网格的一个应用实例羊 学数据网格( s c i e n t i f i cd a t ag r i d ，s d g ) 。它 建立在中目手 学院f 学数据库的基础之上，足由中固科学院计算机网络信息中，t l , 牵头， 包拓中冈f 学院几十个研究所参与建设的一个数据刚格系统。 中用科学院博士学位论文- - n 格计算中信任模型及其应用研究 科学数据网格所提供的共亭资源有：分布在全国范围内的、涵盖多学科的、数以 t b 计的各种科学数据，目前包括3 8 8 个专业子库；包括每秒峰值运算速度5 3 2 4 万亿次 的“深腾6 8 0 0 ”超级计算机在内的高性能计算资源；海量存储设备；其他一些昂贵的科 学仪器：如天文望远镜、粒子加速器等。 a p p li c a ti o n j c o l l e c t i v e r e s o u r c e c o n n e c t i v i t y 圈i i 网格协议层次的体系结构及对应i n t e r n e t 协议层次的关系 科学数据网格是建设信息化科研环境( e s c i e n c e ) 的一个重要基础。e - s c i e n c e 的 实质是“科学研究信息化”，足信息时代中科院研究环境和科学研究活动的典型体现。 e s c i e n c e 将改变人们从事科研活动的方式和方法，提高科学研究的开放性，提高科研 信息共享的程度，促进科研协作。它给科研活动带来的变化是前所未有的、革命性的。 要达到实现科研信息化之目的，科学数据网格必须对系统内用户和资源的可信、 可靠程度进行评估。本论文针对科学数据网格中信任模型进行研究，主要包括：信任 模型研究；信任评估模型研究：信任关系推导；以及基于信任度的应用研究。 论文的研究工作足以圈家“十五”8 6 3 重大项目“科学数据网格( s c i e n t i f i cd a t a g r i d ts d g ) ”以及中国科学院重大项目“科学数据库及其应用系统 4 】”为基础的。“科 学数据库及其应用系统”项目足国家“七五”、“八五”、“九五”以及“十五”期间投 入大量人力物力，由中科院计算机网络信息中心牵头，在中科院上百个 f 研单位几十 年科研工作所积累下来的海量科学数据的基础上建设起来的一个分布式的丈型数据 _ 车科学数据库将数据网格技术作为“十五”科学数据库建设的核心技术，其目标就 足通过建立 学数据网格实现科研工作的信息化。 虽然本论文研究足以科学数据网格为研究背景。但足本文所研究的信任模型叫样 适用于其他网格环境。 露 第一蕈引言 一。 1 1 2 网格安全研究现状 网格是以i n t e r n e t 作为通信支撑平台。而i n t e m e t 是一个开放性、异构性极大的公共 网络，这使得在i n t e m e t 上运行的网格作业面临各种各样的威胁( 见图1 2 ) ，即存在各 种安全问题。 数据被截取： 。 信息的内容被篡改或删除： 。 假冒合法用户和服务器： 虚假、恶意的节点提供虚假服务； 存在自私节点，他们只是消耗资源，而不提供资源； 实体可信赖、可依靠的程度。 对于这些威胁，有些来自系统外部，如：数据被截取：信息的内容被篡改或删除； 假曰合法用户和服务器。有些来自系统内部，如：虚假、恶意的节点提供虚假服务；斋 套自私节点，他们只是消耗资源，而不提供资源；不可靠的实体会降低协同工作的效率， 珏色造成协同工作的失败。 针对刚格的特点及其安全问题，g l o b a lg r i df o r u m ( g g f ) 制定了网格安全体系 “1 0 b “5 s 。“。i y i n f r a s t r u c t u r e ( g s i ) 【5 。g s i 采用基于公钥基础设施( p k i ) 的 x 5 0 9 证书和t l s s s l 通信协议，并且扩展了一次登录( s i n g l es i g n 一0 n ) 和代理功能。 中用科学院坼士学位跄文科格计算中信任模型及其应用研究 目前g s i 基本能满足身份认证、授权、完整性和机密性的功能，能够抵御来自系统外部 的威胁。针对内部威胁，g s i 提供第三方c a 作为可信机构来给用户签发证书，对实体 身份进行认证。虽然身份认证保证了身份的信任，但是这种信任关系足静态的，不能反 映实体在网格环境中由于多次交互而产生的动态信任关系。 1 1 3 网格计算中的信任问题 在网格环境下，用户的管理方式已经不再是那种集中的、封闭的，可控的，而是开 放的、分布式的。用户程序可能包含恶意代码，危害网格资源。共享的网格资源一旦收 到恶意代码的侵害可能会威胁到运行在网格平台上的应用程序。 同时在资源共享的网格环境中，会存在一些自私节点，只是利用或占用其他节点的 资源，而不提供任何资源还可能存在一些恶意节点提供虚假资源，试图扰乱系统的正 常运行。 在网格计算中，作业完成是通过多个实体参与，协同完成的。既然多个实体需要协 同工作，那么要进行协同工作的前提是彼此之间建立良好的信任关系。信任关系对于协 作伙伴的选择尤为重要，选择信任度高的协作伙伴可以提高网格作业完成的成功率。 以上种种情况使得网格环境的信任问题显得尤为突出。这样需要建立一种信任模 型，来评价网格用户的网络行为，反映出该用户在网格中可信任、可依靠的程度。 1 2 信任模型简介 1 2 1 信任定义 首先回顾一下w e b s t e r 和o x f o r d 两个著名的词典对信任( t r u s t ) 的定义。 w e b s t e r 坷典启卫：对某人或某事的正直、能力或性格的坚定依靠( f i n nr e l i a n c e o nt h ei n t e g r i t y , a b i l i t y , o rc h a r a c t e ro f ap e r s o no rt h i n g ) 。 o x f o r d 刃典詹戈：对一个主体的可靠性或真实性或实力的坚定信心( t h ef i n n b e l i e f i n t h er e l i a b i l i t yo r t r u t ho rs t r e n g t ho f a ne n t i t y ) 。 两个词典的定义简练、抽象地刻画了信任内涵。但足在计算机科学中，这种对信任 的定义显然不够明确。 m a r s h 在【6 】首次形式化定义了信任，并将信任应用在计算机科学中。m a r s h 在1 6 】中 提到“信任是应该受到保护的社会商品，如同人们呼吸的空气和喝的水一样。当信 任收到损坏，整个社会将受到影响：如果信任受到破坏，整个社会将叫崩溃( t r u s ti sa s o c i a lg o o dt ob ep r o t e c t e d j u s ta sm u c ha st h ea i rw eb r e a t h eo rt h ew a t e rw ed r i n k w h e ni t i sd a m a g e d ，t h ec o m m u n i t ya saw h o l es u f i e r s ；a n dw h e ni t i sd e s t r o y e d ，s o c i e t i e sf a h e ra n d c o l l a p s e ) 。”。这句话形象的说明了仁任的重要程度。他的模型足甚f 社会属性的信任， 第一蕈引言 并且试图把从社会学和心理学得出的属性集成到模型中去，但是过于复杂难于实现。 在计算机科学领域，不同的学者对信任的理解也千差万别。一般意义上讲，信任是 指：“对实体在某方面行为的依赖性、安全性、可靠性等，这种能力的坚定依靠。”。2 1 2 2 信任模型概述 i n t e r a c t 的出现，使软件系统的形态发生了根本性的转变。从早期的网络服务到w e b 服务，进而发展到网格计算。软件系统正从面向封闭的、熟识用户群体和相对静态的形 式向开放的，公共可访问的和高度动态的服务模式的转变。这种转变使得分布式软件系 统的安全分析复杂化，同时使许多基于传统软件系统形态的安全技术和手段，尤其是安 全授权机制，如访问控制列表( a c c e s sc o n t r o ll i s t , 简称a c l ) 、一些传统的公钥证书体系等， 不再适用于分布式系统的安全问题。一种更合理的考虑是参考人际网络中信任关系的建 立方法，在分布式系统中建立信任模型。 在以i n t e r n e t 为平台的各种分布式系统有：网格系统，p e e r - t o - p e e r 网络，a dh o e 网络，普式计算，电子商务等。它们存在各自所特有的信任问题。无论在那种环境下， 信任模型3 都是描述实体之间的信任关系，把信任关系数字化。建立信任模型会涉及到 如下问题4 ： 信任定义：各个系统是如何给信任定义的。 信任的属性：信任关系主要体现哪几方面。 处理非信任：非信任包括不信任、未知。模型是否对这些问题进行处理了 信任表示和信任的语义：信任关系值的确切语义。 信任关系的变化：什么因素能够影响信任关系。 信任数据存储与管理：与信任相关的信息在网络中存储与管理方式 1 3 研究意义 在科学数据网格环境下研究信任模型有着重大而深远的意义，主要体现在以下四个 方面： 1 ) 信任模型是网格计算的重要研究领域 人类的应用需求正迅速钥着高性能、多样性、多功能方向发展，许多大规模科学计 算应用不仅仅需要一台高性能计算机，它还更需要由多种机器组成、多个系统合作、多 台科学仪器相连的网络虚拟超级计算机。这些应用要求将地理上分布的、异构的多种计 算资源通过高速网络连接起来其m 完成计算问题。网格的最大优点之一是对地理上分 。蛮体是指用广或代表用户操作的进程资踩或代表资探的进程 2 术文将夺第二事岸铘介镏币m 乍任唉犁时忙f 的定义，存第三亭给出存州 各环境中对信任的定义。 本文将存f ，仟馍掣研究述一事洋讯介镏信任 羹型研究状况 本文将存信任 荽型研究钉述一事洋鲫介绍这此口j 题的解决方珐 5 中同科学院博士学位论文网格计算中信任模型及其应用研究 布的各种汁算资源和数据资源进行共享，但这些共享必须建立在安全访问的基础上。 网格技术的出现，使得网格安全呈现独有的特性：用户群体数目庞大且动态变化： 资源和服务提供者数目庞大且动态变化；动态使用关系；应用层通信协议不相同；各种 不同的安全机制和安全策略。这样对网格系统的安全分析更加复杂。传统的安全技术和 手段不能够完全解决网格安全问题。信任模型能够动态的描述网格实体之间的信任关 系，使网格系统变得更加健壮、安全。 网格服务跨越多个安全域，这些域中的信任关系在点对点的跨越中起着重要的作 用。每一种服务要将它的访问要求阐述清楚，就可以安全地访问这些服务的实体。信任 的建立过程对每个会话来说或许是一次性的活动，也有可能对于每一次请求都要动态地 进行评估。由于网格的动态特性，在应用程序执行前，预先在这些域中建立信任关系变 得很困难。总之，网格环境中的信任关系非常复杂，它需要支持信任关系的动态变化。 通过在网格系统内部建立信任关系，来评价实体的安全性和可靠程度，进而提高计算的 成功率，及其整个系统的安全性。这将是网格发展的重要基础研究领域，也是推动网格 应用的重要因素。 2 ) 信任模型本身的研究需要 信任分为身份信任和行为信任。传统的安全所考虑的只是身份信任，涉及到用户或 服务器的身份认证，以及通过授权的资源访问控制。所谓行为信任，是指在两个或多个 实体之间交易时，根据实体在交易过程中所表现的行为做出评价。对实体的行为信任进 行建模的目的是为了形式化地研究在开放网络中如何对实体的信任度进行定义、评价和 推导。所以信任模型的研究内容应当包括信任的定义、信任的评价，信任关系的形式化 表示和推导、信誉度的计算和存储。尤其像在科学数据网格这种大规模的分布式系统， 资源和用户密集，而且它们之问的关系高度动态变化，这样就需要一种准确高效的信任 模型来描述这种信任关系，实时地计算实体可信程度。 3 ) 当前信任模型研究还没成熟 虽然在分布式环境下( 如：p e e r t o p e e r 网络、a dh o c 网络) 已经对信任模型有 了深入研究，但是并不完全适合网格计算环境。因此，需要深入研究如何在网格计算环 境下建立信任模型。 4 ) 网格环境下基于信任度的应用 信任模型作为网格系统的秀要组成部分，能够动态的计算实体的信任度。为安全决 策提供尊要的参考依据，b ，以在网格系统的很多方面得到应用，如： 协同工作 资源分配 访问控制 作业调度 第一辜引言 1 4 研究目标 提出一种适合网格环境的信任模型。这种信任模型包括：信任模型的框架，信任关 系的描述、信任关系的评价、信任关系的推导、信任数据存储和管理。根据科学数据网 格的特点，与实际应用相结合，设计基于信任度的访问控制机制。这样通过信任模型的 建立，使得网格系统达到：可扩展性、健壮性、异构平台的兼容性。 1 5 本文主要工作内容和创新成果 本文主要研究在网格计算中建立信任模型，以及基于信任度的应用。本文的主要工 作内容和创新成果体现如下： 信任的定义与属性分析：通过研究，给出了信任的定义同时根据信任的定义， 详细分析了信任的属性。为信任度评估、信任关系的更新、信任度的计算提供 了依据和基础。 网格计算中信任模型：通过对网格安全需求分析，以及结合信任关