（计算机应用技术专业论文）网格环境下基于行为的信任模型研究.pdf

l i i 东人学硕十学侮论文 摘要 网格技术是基于i n t e r n e t 的分布式计算技术发展起来的一组新兴技术，网格 也被认为是下一代互联网和未来的计算基础设施。它把分散在不同地理位置的资 源虚拟成为一个强大的信息系统，以实现计算资源、存储资源、数据资源等资源 的全面共享。计算机网络是网格系统的载体，但网格系统面对的安全问题远比网 络系统的安全问题复杂。因为网格系统除了需要网络通信技术支持之外，在其资 源上还要运行用户程序，当应用程序在网格资源上运行时，需要占用一定计算资 源，要使用资源上的c p u 计算能力、内存空间和磁盘空间，而且还要使用操作系 统的系统调用，在这种情况下，一个合法注册用户如果是恶意用户的话，它可以 通过在网格环境上执行应用程序来攻击系统，所以，网格需要更好的安全技术来 保障系统的安全。 信任是网格安全问题的一个重要方面，在网格计算环境中，用户、应用、网 络和资源之间应该建立良好的信任关系，现有高性能计算系统基本是基于信任机 制而开放给用户使用的，经验表明，在一个管理得当的网格计算环境中，信任是 保证安全的重要手段，信任的研究己成为网格安全中的研究热点。 自m b l a z e 等人提出了信任管理的概念以来，一些学者又陆续提出了各自 的信任度评估模型，信任度模型对安全信息进行度量和评估，能较好的反映出网 格环境的动态性和不稳定性。因此信任评估模型与实际的安全策略相结合是一种 服务于网格系统安全的有意义且有使用价值的途径。目前，一些学者提出的一些 信任在完整性、合理性和可操作性方面还存在一些问题，在应对网格环境中的一 些突发事件时，如恶意节点和联合欺骗等行为时还不够完善。 本文基于对网格信任的深入研究，提出了一个基于实体行为的信任值动态量 化模型，在网格域划分的基础上，把网格中的信任管理转换成网格域间的信任管 理，同时兼顾服务的上下文和信任的时衰性，给出了域间直接信任值计算公式和 更新方法；基于网格推荐信任层次，给出了推荐信任的产生和计算公式，保证了 推荐信任的可靠性；针对网格环境中的恶意节点和恶意推荐行为，提出了相应的 惩罚机制，有效地解决了网格环境中信任评估问题。最后通过实验模拟证明了该 模型切实可行，能够有效地解决网格环境的信任问题。 l i j 尔大学硕十学侍论文 2 关键词：网格，信任，模型，信任评估，推荐信任 i i 东人学硕卜学何论文 a b s t r a c t g r i di st h ee m e r g i n gt e c h n o l o g i e sb a s e do nt h ed e v e l o p m e n to fd i s t r i b u t e d c a l c u l a t i n gt e c h n o l o g y , a n di ti sa l s oc o n s i d e r e da si n f r a s t r u c t u r ef o rn e x tg e n e r a t i o n s i n t e m e ta n dt h eb a s i cf a c i l i t yo ff u t u r ec a l c u l a t i n g ，w h i c h ，i no r d e rt oa c h i e v ef u l l s h a r eo fr e s o u r c e si nc o m p u t i n g ，s t o r a g ea n dd a t a ，m a k e st h er e s o u r c ed i s p e r s e di na l l l o c a t i o nb e c o m ev i r t u a la sap o w e r f u li n f o r m a t i o ns y s t e m c o m p u t e rn e t w o r ki st h e c a r r i e ro fg r i ds y s t e m ，b u ts e c u r i t yi s s u e sg r i ds y s t e mf a c e di sm u c hm o r es e r i o u s t h a nn e t w o r ks y s t e mf a c e d g r i ds y s t e mn o to n l yn e e d st h es u p p o r to fn e t w o r k c o m m u n i c a t i o nt e c h n o l o g y , b u ta l s oo c c u p i e sac e r t a i nc o m p u t i n gr e s o u r c ew h e n a p p l i c a t i o np r o g r a mi sr u n n i n go ng r i dr e s o u r c e s ，a n di td o e sn o to n l ym a k eu s eo f c o m p u t i n gp o w e ro fc p u ，m e m o r ya n dd i s k ，b u tt h es y s t e mc a l lo fa p p l i c a t i o n p r o g r a m ，i nt h ec a s ea b o v e ，al e g a lr e g i s t e r e du s e rc a na t t a c kt h es y s t e mb yr u n n i n g a p p l i c a t i o np r o g r a mo ng r i de n v i r o n m e n ti ft h eu s e ri sm a l i c i o u s , s og r i dn e e db e t t e r s e c u r i t yt e c h n o l o g i e st og u a r a n t e et h es a f e t yo fs y s t e m t r u s ti sa l li m p o r t a n ta s p e c to fg r i de n v i r o n m e n t ，i nc o m p u t i n ge n v i r o n m e n to f g r i d ，r e l a t i o n s h i po ft r u s ts h o u l db ee s t a b l i s h e da m o n gu s e r s ，a p p l i c a t i o n s ，n e t w o r k a n dr e s o u r c e s c u r r e n t l yt h eh i g h p e r f o r m a n c ec o m p u t i n gs y s t e mi s o p e nt ou s e r b a s e do nt r u s tm o d e l ，p e rt h ee x p e r i e n c e ，t r u s ti sa ni m p o r t a n tm e t h o dt og u a r a n t e e s a f e t yi naw e l l - m a n a g e dc o m p u t i n ge n v i r o n m e n to fg r i d ，a n da l s ot h er e s e a r c ho f t r u s th a sb e e nt h em o s tp o p u l a r t o p i ci ng r i ds e c u r i t y s i n c em b l a z ep u tf o r w a r dt h ec o n c e p to ft r u s tm a n a g e m e n t ，s c h o l a r sh a db e e n d e v e l o p e dt h e i ro w nt r u s te v a l u a t i o nm o d e l ，w h i c hc a nw e l lr e f l e c t st h es t a t eo f d y n a m i ca n di n s t a b i l i t yo fg r i de n v i r o n m e n tb ye v a l u a t i o na n dm e a s u r e m e n tt o i n f o r m a t i o ns e c u r i t y , s ot h ec o m b i n eo ft r u s te v a l u a t i o nm o d e la n ds e c u r i t ys t r a t e g yi s a l lu s e f u la n dm e a n i n g f u lm e t h o dt os e r v es y s t e ms e c u r i t yo fg r i d a tp r e s e n t ，t h e r e a r ep r o b l e m se x i s t e di ni n t e g r a l i t y , r a t i o n a l i t ya n do p e r a t i o ni nt r u s to fs o m es c h o l a r s ， w h e nu n e x p e c t e da c c i d e n th a p p e n si ng r i de n v i r o n m e n t ，s u c ha sm a l i c i o u sn o d ea n d j o i n td e c e p t i o n ，t h e s et r u s td o e sn o tp e r f o r mp e r f e c t l y t h i sp a p e rp u tf o r w a r dat r u s td y n a m i cq u a n t i t a t i v em o d e lb a s e do na c t i v i t y c o n t e x tt h r o u g hi n - d e p t hs t u d yt og r i dt r u s t b a s e do ng r i dr e g i o n ，t h es a i dm o d e l t r a n s f e r st r u s tm a n a g e m e n ti ng r i di n t ot h ef o r m so ft r u s tm a n a g e m e n tb e t w e e ng r i d 3 l ij 东人学硕十学位论文 r e g i o n ，a n do f f e r sd i r e c tt r u s tc a l c u l a t i n gf o r m u l aa n d m o r eu p d a t em e t h o d ，w h i c h b o t hc o n s i d e r sc o n t e x to fs e r v i c ea n dt h ed e c l i n eo ft r u s t a c c o r d i n gt ot h e r e c o m m e n d e dt r u s tg r a d a t i o n ，t h em o d e lp u t sf o r w a r dt h ep r o d u c eo fr e c o m m e n d e d t r u s ta n dc a l c u l a t i n gf o r m u l a ，w h i c hc a ng u a r a n t e es e c u r i t yo fr e c o m m e n d e dt r u s t ；i t a l s os o l v e st r u s te v a l u a t i o np r o b l e m si n 酣de n v i r o n m e n te f f e c t i v e l yb ym a k i n gt h e p u n i s h m e n ts y s t e mt o m a l i c i o u sn o d ea n dr e c o m m e n d e da c t i o n b ys i m u l a t i n g e x p e r i m e n t a t i o nt h em o d e li sp r o v e dt ob ep r a c t i c a l ，a n dw h i c hc a ns e t t l ed o w nt h e t r u s ti s s u e si ng r i de n v i r o n m e n te f f i c i e n t l y 4 k e yw o r d s ：g r i d ；t r u s t ；m o d e l ；t r u s tv a l u a t i o n ；r e c o m m e n dt r u s t 山东人学硕十学何论文 符号说明 a p i - a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e c o r b a ：c o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e d s r l ： d t v ： e t c ： g s i ： i p ： j v m ： m c t ： m d s ： n w s ： o g s a ： o g s i ： o l b ： o s ： p k i ： s d k ： s o a p ： s s l ： t c p ： u d d i ： w s d l ： w s f l ： d y n a m i cs e l f - a d a p t i v ed i s t r i b u t e dr e p l i c al o c a t i o n d i r e c tt l 飞l s tv a l u e e x p e c t e dt i m et oc o m p u t e e x p e c t e dt i m et oc o m p u t e i n t e r n e tp r o t o c o l j a v av i r t u em a c h i n e m i n i m u mc o m p l e t i o nt i m e m o n i t o r i n ga n dd i s c o v e r ys e r v i c e n e t w o r kw e a t h e rs e r v i c e o p e ng r i ds e r v i c e sa r c h i t e c t u r e o p e ng r i ds e r v i c e si n f r a s t r u c t u r e o p p o r t u n i s t i cl o a db a l a n c i n g p u b l i ck e yi n f r a s t r u c t u r e s o f t w a r ed e v e l o p m e n tk i t s s i m p l eo b j e c ta c c e s sp r o t o c o l s e c u r i t ys o c k e tl a y e r t r a n s m i s s i o nc o n t r o lp r o t o c o l u n i v e r s a ld e s c r i p t i o nd i s c o v e r ya n di n t e g r a t i o n w e bs e r v i c ed e s c r i p t i o nl a n g u a g e w e bs e r v i c e sf l o wl a n g u a g e w s r f ：w e bs e r v i c er e s o u r c ef r a m e w o r k x m l ：l a n g u a g e e x t e n s i b l em a r k u p 5 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体己经发表或撰写过的科研成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律责任由本人承担。 论文作者签名：三雌 目 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 一：虹新硌拖e t 期： 山东 人学硕 ：学f 7 ：论文 1 1 研究工作的背景和意义 第1 章绪论 网格是为了解决广域网络资源全面共享而提出的一种全新的基于i n t e r n e t 的 应用技术，它已成为继i n t e m e t 、w e b 之后的第三次信息技术的浪潮，继w e b 应 用之后的信息技术革命的主角，国家信息服务的战略性基础设施。i n t e r n e t 实现 了计算机硬件之间的互连，w e b 实现了网页资源的连通，而网格则试图实现 i n t e r a c t 上所有资源的全面连通，其中包括计算资源、存储资源、通信资源、软 件资源、信息资源和知识资源的全面共享。这些资源形成一个整体后，用户可以 从中享受一体化的、动态变化的、可灵活控制的、智能的、协作式的信息服务， 获得前所未有的使用方便性和超强能力。 近年来，网格研究取得了很大的进展。网格计算( g r i dc o m p u t i n g ) 作为一种 新的计算模式，其低廉的造价和超强的数据处理能力倍受青睐。网格计算是伴随 着互联网而迅速发展起来的，专门针对复杂科学计算的新型计算模式。这种计算 模式是利用互联网把分散在不同地理位置的电脑组织成一个“虚拟的超级计算 机”，每一台参与计算的计算机就是一个“节点”，而整个计算是由成千上万个“节 点 组成的“一张网格 ，这样组织起来的“虚拟的超级计算机”有两个优势， 一个是数据处理能力超强；另一个是能充分利用网上的闲置处理能力。目前，关 于网格计算的研究和实验得到世界各国政府和科研机构的高度重视和大力支持。 网格计算不仅在学术界、研究领域进行着深入的研究与实验，同时也得到了来自 产业界诸如i b m 、h p 、m i c r o s o f t 、n t t 、i n t e l 、s g i 等各大公司的巨资支持与商 业应用开发。 由于网格计算环境的开放性，所以无论用它进行大规模并行计算，还是进行 信息的共享与互操作，都会出现各种各样的安全问题。在网格计算系统中，网格 用户通过注册后，就可以使用网格资源进行应用求解。某些经过注册的用户也许 会恶意地运行木马程序、非法使用未许可的网格资源，并可能企图非法获取其他 用户的应用数据，也许会通过假意共享资源来破坏网格的其他资源，侵害或影响 网格应用程序的运行结果等。可见，网格安全问题渗透到了网格的每个实体，包 i l i 尔入硕卜掌位论文 括应用、用户、计算资源和通信网络上，网格安全必须在这四个方面来体现。在 这四个方面中，用户安全与网络通信安全相对成熟，可以采用现有技术来实现， 而资源安全与应用安全是网格计算环境的安全核心。网络资源安全包括用户认证 技术、资源监测技术、访问控制技术、入侵检测技术、信任管理技术等。应用程 序的安全需要使用数据隐藏技术来实现，包括程序加密传输、应用程序隔离技术 和数据加密传输等。网格安全体系结构需要综合考虑用户、资源、通信网络和应 用程序四个方面的安全问题，并且把信任关系引入其中，这将能够增强网格安全 的自适应性。i l 】 由上可知，信任( t r u s t ) 是网格安全问题的一个重要方面，在网格计算环境 中，用户、应用、网络和资源之间应该建立良好的信任关系。一个应用程序总是 与某个用户关联，基于信任委托关系，应用总是通过用户提交到网格计算坏境中。 一个安全的网格计算环境需要在各个实体间建立信任，现有高性能计算系统基本 是基于信任机制而开放给用户使用的。经验表明，在一个管理得当的网格计算环 境中，信任是保证安全的重要手段。 通过在网格环境中引入信任机制，可以在很大程度上保证用户、应用程序对 资源的非恶意性，从而保护网格资源不被破坏。但随着时间的推移，用户和应用 的信任程度会发生变化，当一个原来可信的用户或应用变成不可信时，网格系统 管理员应该适时地发现，否则会对网格系统造成很大破坏。自从1 9 9 6 年m b l a z e 等人提出“信任管理的概念以来，对信任的研究逐渐成为网格安全中的热点。 信任管理采用统一的机制来描述安全证书、安全策略和信任关系，希望以精确、 理性的方式来处理复杂的信任关系，而此后，一些学者又提出了各自的信任度评 估模型，信任度模型对安全信息进行度量和评估，能较好的反映出网格环境的动 态性和不稳定性，因此该方法与实际的安全策略相结合是一种服务于网格系统安 全的有意义且有使用价值的途径。 1 2 国内外的研究现状 目前，在网格环境下建立起合理可靠的信任评估机制，使资源共享的安全性 得到保证，已成为网格研究的一个核心内容。在网格环境的信任机制研究中，通 常分为基于实体身份的信任机制和基于实体行为的信任机制两类。基于实体身份 2 i | i 东人学硕卜。仿论文 ! ! ! 曼! ! ! ! ! ! ! 曼! 曼! ! ! ! ! 曼! ! ! ! 曼! ! ! ! ! 曼! 曼曼_ ：1i ! ! 曼! 曼! 寰! 曼曼曼曼! ! 曼曼曼! 曼曼! 皇曼曼曼曼! 曼曼曼蔓 的信任机制关注于对网格环境中实体的身份的真实性进行认证，以判定是否授权 实体进行访问，主要通过密码技术中的加密、数据隐藏、数字签名、认证协议和 访问机制来完成。尽管这些技术的使用解决了信任评估中一些亟待解决的问题， 但同时又引入了一些新的问题，例如，利用数字签名无法防止非法者的重放攻击。 基于实体行为的信任机制可以更好地解决网格实体间可信属性，其一段时间的行 为数据从实质上反映了该实体域的信任值。 基于上述两种信任机制，在国际上已经提出了一些信任模型。a b d u l r a h m a n 等人提出了一个分布式信任模型口翔，将信任关系分为直接信任和推荐信任两类， 并用一系列离散值对信任关系进行度量。模型强调了信任度的有条件传递性，并 给出了具体的传递协议和计算公式，但没有给出具体的信任度综合计算公式，另 外，模型也没有解释直接信任值的实际意义及获取方法。t b e t h 等人提出了一个 基于经验和概率统计解释的信任评估模型【4 】，并将其应用于开放网络的安全认证 问题的研究。模型引入经验的概念来表述和度量信任关系，并给出了信任合成的 方法。但该模型对直接信任的定义过于严格，采取简单的算术平均的方法综合多 个不同推荐路径的信任度，具有缺乏激励与惩罚机制的特剧5 1 。j p s a n g 等人在安 全认证和系统安全度量等问题的研究中，提出了一个安全系统的信任模型。模型 引入了事实空间和观念空间的概念来描述和度量信任关系【6 】。在模型的实际应用 中，需要对考察的系统的属性进行分类，并给出观念值，虽然模型中给出了一些 指导原则，但该过程的处理仍较为复杂和困难。 此外，还有一些主观信任模型提出的信任度量和评估，其实质是采用一种相 对的方法对安全信息进行度量和评估，能够较好地反映出网格环境的多变性和不 确定性，并且较适合信任信息收集、评估的自动化实现。信任度量和评估与实际 的安全策略的实施相结合将是信任管理实现的新途径。但是应当看到，当前几个 有代表性的信任度评估模型还存在一些问题：( 1 ) 信任的表述和度量的合理性有 待于进一步解释，现有的模型倾向于采用事件概率的方式来表述和度量信任关 系，都是基于一定的概率分布假设；( 2 ) 不能很好地解决恶意推荐对信任度评估 的影响，现有的模型大多采用求简单算术平均的方法综合多个不同推荐路径的信 任度。 总之，现有的信任模型在完整性、合理性和可操作性方面还存在一些问题， 3 l i j 东大学硕十学传论文 并且不能很好地应对网格中的一些突发事件，如网格实体的恶意推荐和实体问的 联合欺骗行为等。 1 3 论文的主要工作 本文的主要工作是基于对网格信任的深入研究，提出了一个基于网格域划分 的信任值动态量化模型，考虑到了服务的上下文以及信任的时衰性，引入了网格 推荐信任层次的概念，保证了推荐信任值的可靠性；针对网格环境中的突发事件 如恶意节点和恶意推荐问题，提出了相应的惩罚机制，有效地解决了网格环境中 的信任评估问题。本文的主要工作包括以下几个方面： ( 1 ) 提出了基于网格域划分的信任模型，将信任管理分成网格域问的信任 管理和网格域内的信任管理，简化了信任管理。 ( 2 ) 给出了网格域间的直接信任值的计算公式以及直接信任值更新算法。 ( 3 ) 针对网格域间的推荐信任，引入了推荐信任层次概念，给出了推荐信 任值的计算模型，保证了推荐信任值的可靠性。 ( 4 ) 给出了计算总体信任值的公式。 ( 5 ) 给出了应付网格中恶意节点和恶意推荐问题的惩罚机制。 ( 6 ) 根据网格环境的真实特点，进行了仿真模拟实验。实验结果表明，本 文所提出的信任模型切实可行，能够有效地解决网格环境中的信任评估问题。 1 4 全文的组织安排 本文结构安排如下： 第l 章，主要介绍了本文研究工作的背景、研究现状、意义，以及本文要进 行研究的内容。 第2 章，介绍了网格、网格安全和信任关系。首先介绍了网格的概念以及开 放网格服务体系结构( o g s a ) ；分析了网格环境的安全需求，介绍了网格安全体系 结构中的主要技术；然后介绍了信任的相关概念和信任评估模型。介绍了信任的 定义，信任的属性和分类；介绍了网格环境下几种经典的网格信任计算模型，并 进行总结分析。 4 i i j 尔人学硕卜传论文 第3 章，提出了一种新的基于行为的信任评估模型，基于网格域划分模型的 基础上，结合服务的上下文以及信任的时衰性，给出了计算域问直接信任值和推 荐信任值的公式，并对恶意节点和恶意推荐问题，提出了惩罚机制。 第4 章，设计了仿真实验来验证本文中提出的信任模型的性能，并对实验结 果进行了总结分析。 第5 章，结束语，总结了本文的主要工作和特点，展望了下一步的研究方向。 5 l i i 东人学硕十学侍论文 2 1 网格概述 第2 章网格和信任 网格的概念是在1 9 9 8 年由i a nf o s t e r 和c a r lk e s s e l m a n 第一次提出。在他俩 编著的书t h eg r i d ：b l u e p r i n tf o ra n e wc o m p u t i n gi n f r a s t r u c t u r e 中给出了最初的 网格定义：“计算网格是一个提供可靠的、一致的、无所不在的、便宜的硬件和 软件基础结构，用来进行高端计算。”网格技术有自己特定的需求背景和所解决 问题的领域。2 0 0 2 年i a nf o s t e r 进一步提出了能够帮助确切理解用于标识网格系 统的核对一览表，他建议的一览表有三个部分： 7 - 9 ( 1 ) 在非集中控制的环境中 协同使用资源；( 2 ) 使用标准的、开放的和通用的协议和接h ( f o s t e r 认为目前只 有g l o b u s 才算得上标准协议) ；( 3 ) 提供非平凡的服务。尽管，这三个条件非常 严格，但是，它的根本目的是把用通用手段连接起来的资源无缝集成为一个有机 的整体。也就是说，资源共享是网格的根本特征，消除资源孤岛是网格的奋斗目 标。0 0 网格要做的是把整个互联网整合成一台巨大的超级计算机，实现计算资源、 存储资源、数据资源、信息资源等的全面共享。网格系统提供的资源是增强和放 大后可以动态任意组合的资源，利用网格，可以实现较为充分的资源优化组合， 为用户提供更强大、更便捷、更廉价、更可靠的服务。 网格作为一种新出现的重要的基础性设施，和其他的系统相比，具有以下特 点【1 0 】： ( 1 ) 分布与共享 分布性是网格的一个最主要的特点。网格的分布性首先是指网格的资源是分 布的。组成网格的计算能力不同的计算机，各种类型的数据库乃至电子图书馆， 以及其它的各种设备与资源，是分布在地理位置互不相同的多个地方，而不是集 中在一起的。分布的网格一般涉及的资源类型复杂，规模较大，跨越的地理范围 较广。 网格资源虽然是分布的，但是他们却可以充分共享。即网格上的任何资源都 可以供给网格上的任何使用者。共享是网格的目的，没有共享便没有网格，解决 6 i j i 东人。学硕 j ：何论文 、 分布资源的共享问题，是网格的核心内容。这里共享的含义是非常广泛的，不仅 指一个地方的计算机可以用来完成其他地方的任务，还可以指中问结果，数据库， 专业模型库等，以及人才资源等各方面的内容。 ( 2 ) 自相似性 自相似性在许多自然和社会现象中大量存在，一些复杂系统都具有这种特 性，网格也是这样。网格的局部和整体之间存在着一定的自相似性，局部往往在 许多地方具有全局的某些特征，而全局的特征在局部也有一定的体现。可以认为 国家级的网格是在省一级的网格基础之上建造起来的，国家级主干网要有更大的 带宽，只有这样才可以将不同省份的子网格连接起来提供满意的通信服务；国家 级和省级网格都会有各自的计算中心，只不过在计算能力上有差异而已；他们也 都需要管理节点，只不过国家级的管理节点管理功能需要更多、更强大而己。网 格的自相似性在网格的建造和研究过程中有重要的意义。 ( 3 ) 动态性与多样性 对于网格来说，决不能假设它是一成不变的。原来拥有的资源或者功能，在 下一时刻可能就会出现故障或者不可用；而原来没有的资源，可能随着时间的推 移会不断地加入进来。网格的动态性包含动态增加和动态减少两个方面的含义。 网格资源的动态增加需要提高网格的扩展性问题，也就是说在网格的设计与实现 时，必须考虑到新的资源能否很自然地加入到网格中来，并且可以和原来的资源 融合在一起，共同发挥作用。 网格资源是异构和多样的。在网格环境中可以有不同体系结构的计算机系统 和类别不同的资源，因此网格系统必须能够解决这些不同结构、不同类别资源之 间的通信和和互操作问题。 ( 4 ) 自治性与管理的多重性 网格上的资源，首先是属于某一个组织或个人的，因此网格资源的拥有者对 该资源具有最高级别的管理权限，网格应该允许资源拥有者对他的资源有自主的 管理能力，这就是网格的自治性。 但是网格资源也必须接受网格的统一管理，否则不同的资源就无法建立相互 之间的联系，无法实现共享和互操作，无法作为一个整体为更多的用户提供方便 的服务。 7 l n 东人学硕十学何论文 因此网格的管理具有多重性，一方面它允许网格资源的拥有者对网格资源具 有自主性的管理，另一方面又要求网格资源必须接受网格的统管理。 2 2 开放网格服务体系结构o g s a 网格体系结构就是关于如何构建网格的技术，包括对网格基本组成部分和各 部分功能的定义和描述，网格各部分相互关系及集成的方式或方法的描述，网格 有效运行机制的刻画。网格技术的权威i a nf o s t e r 将网格体系结构定义为“划分 系统基本组件，指定系统组件的目的与功能，说明组件之间如何相互作用的技 术 。显然，网格体系结构是网格的骨架，只有建立合理的网格体系结构，才能 设计和构建好网格。 到目前，比较有影响力的体系结构主要有3 个，一个是i a nf o s t e r 等在早期 提出的五层沙漏结构】；另一个是在以i b m 为代表的工业界的影响下，考虑到 w e b 技术的发展与影响后，i a nf o s t e r 等结合五层沙漏结构和w e bs e r v i c e 提出的 开放网格服务体系结构o g s a ( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ) ；最后一个是由 g l o b u s 联盟、i b m 和h p 于2 0 0 4 年初共同提出的w e b 服务资源框架( w e bs e r v i c e r e s o u r c ef r a m e w o r k ) 1 1 2 】。w s r f 主要是利用了新的w e b 服务标准，重构和发展 了原有的o g s a 的核心技术规范o g s i ，实现了网格和w e b 服务的融合。 开放网格服务结构o g s a t l 3 1 是g l o b a lg r i df o r u m4 提出的开放式网格服务 基础结构，是继五层沙漏结构之后最重要，也是目前比较流行的一种网格体系结 构，被称为是下一代的网格体系结构。o g s a 包含两大关键技术，即网格技术和 w e bs e r v i c e t l 4 】技术。主要解决了两个主要问题，即标准服务接1 ：3 的定义和协议 的识别。 o g s a 最突出的思想就是以“服务”为中心，是面向服务的体系结构，实现 的是服务的共享。在o g s a 中，将计算资源、存储资源、网络、应用程序等所有 的网格资源都表示为一个遵循一套规范的服务。五层沙漏模型试图实现的是对资 源的共享，而o g s a 实现的则是对服务的共享。o g s a 试图实现网格体系结构的 标准化，采用标准、通用的“服务 模式，对各种类型应用提供统一的支持，这 样也有利于以统一的标准接口来管理和使用网格。 为了使服务的思想更加明确和具体，o g s a 定义了网格服务( g r i ds e r v i c e ) 8 山东人学硕十学何论文 的概念，网格服务是一种w e bs e r v i c e ，该服务提供了一组接口，这些接口的定 义明确并且遵守特定的惯例，解决服务发现、动态服务创建、生命周期管理、通 知等问题。在o g s a 中，将一切都看作网格服务，因此网格就是可扩展的网格服 务的集合。网格服务可以以不同的方式聚集起来满足虚拟组织的需要，虚拟组织 自身也可以部分地根据他们操作和共享的服务来定义。简单地说，网格服务= 接 n 行为+ 服务数据。 o g s a 的结构主要有四层，由下至上分别是资源层包括物理和逻辑资源、 w e b 服务层、基于o g s a 架构的网格服务层和网格应用层。其结构图如图2 1 所示。 圈围困圈回圆 圈困田 图2 一l 基于w e b s e r v i c e s 的o g s a 架构 1 物理和逻辑资源层 资源的概念是o g s a 以及通常意义上的网格计算的中心部分，构成网格的 资源并不仅仅局限于处理器。物理资源包括服务器、存储器和网络。物理资源之 上是逻辑资源，它们通过虚拟化和聚合物理层的资源来提供额外的功能。 2 w e b 服务层 该层还包括了定义网格服务的o g s i ( o p e ng r i ds e r v i c e si n f r a s t r u c t u r e ) 扩 展。w e b 服务层是o g s a 结构中的第二层服务。w e b 服务描述了一种基于标准 技术的新兴分布式计算范例。这些标准技术是用来描述软件组件的接口、通过互 操作协议访问组件的方法。一条重要的o g s a 原则是：所有网格资源都( 包括 逻辑的与物理的) 被建模成网格服务。o g s i 规范定义了网格服务并建立在标准 w e b 服务技术之上。o g s i 【1 5 】利用x m l 与w 曲服务描述语言w s d l ( w e bs e r v i c e s 9 1 1 1 东大学硕十学侍论文 d e s c r i p t i o nl a n g u a g e ) 这样的w e b 服务机制，为所有网格资源指定标准的接e l 、 行为与交互方法。o g s i 还进一步扩展了w e b 服务层的定义，提供了动态的、有 状态的和可管理的w e b 服务能力，这在对网格资源进行建模时都是必需的。 3 基于o g s a 架构的网格服务层 w e b 服务层及其o g s i 扩展为下一层提供了基础设施，即基于o g s a 架构的 网格服务。g g f 正在致力于在诸如程序执行、数据服务和核心服务等领域中定 义基于网格架构的服务。随着这些新服务的出现，o g s a 将变成更加有用的面向 服务的架构( s o a ) 。 4 网格应用程序层 随着时间的推移，一组丰富的基于网格架构的服务不断被开发出来，使用一 个或者多个基于网格结构的服务的新网格应用程序也将出现。这些应用程序构成 了o g s a 架构的第四层。 由于目前比较流行的网格体系结构是o g s a ，因此本文的主要研究工作是在 开放网格服务体系结构下进行的。 2 3 网格安全 2 3 1 安全需求 网格需要为用户提供可靠、安全的应用执行环境和信息共享服务，作为在网 络环境下构建的应用系统，其面对的安全问题比网络安全更加复杂。这是因为： ( 1 ) 在网格计算环境中，各种资源动态地通过网络互连，互连设备与协议可以 是专用的，也可以是通用的；( 2 ) 现有网格系统中，节点大多基于 i n t e r n e t i n t r a n e t 协议互连，不同节点间的通信一般是基于t c p i p 协议来完 成；( 3 ) 为了给用户提供一个友好的交互接口，网格系统支持用户通过w e b 、t e l n e t 等i n t e r n e t 方式向系统提交任务获得运行结果；( 4 ) 网格计算环境中的所有实 体都可以动态地通过网络加入或撤离网格中的虚拟组织；( 5 ) 网格计算系统除了 需要网络通信技术支持外，在其资源上还要运行用户程序，当应用程序在网格计 算资源上运行时，需要占用一定的计算资源，不但要使用计算机资源上的c p u 计 算能力、内存空间和磁盘空间，还要使用操作系统的系统调用。在这种情况下， 1 0 山东人0 ：硕十学位论文 曼! 曼曼曼舅曼曼曼曼o i =ii= 一；一一一一i o 皇! ! 曼皇曼曼 一个合法注册用户如果是恶意用户的话，其完全可以通过在网格环境上执行应用 程序来破坏系统。因此，我们说，网格会遇到计算机网络同样的安全问题，如用 户认证、访问控制、非法入侵、数据完整性、保密性和不可否认性；同时，网格 还要面对其独有特征带来的、更加严峻的安全问题。尽管使用现有的网络安全技 术可以在一定程度上缓解这些威胁，但网格系统作为一个开放的公共计算环境， 任何用户只要经过注册认证就可以向网格系统提交自己的计算任务，威胁比传统 网络更迸一步，所以，网格需要提供更好的安全技术来防止这些威胁。 从本质上讲，网络安全保障一般提供下面两方面的安全服务：【l o 】( 1 ) 访问 控制服务，用来保护各种资源不被非法授权使用；( 2 ) 通信安全服务，用来提供 认证，数据保密性与完整性和各通信段的不可否认性服务。但这两方面的安全服 务不能完全解决网格计算环境下的安全问题。网格计算环境不仅要满足用户安 全、高效地使用其提供的各种资源的要求，同时，为了用户使用的方便，网格计 算环境必须连接在网络上并提供方便使用的服务供用户使用。为此，网格计算环 境必须具有抗拒各种非法攻击和入侵的能力，并且在受到攻击和入侵时采取某些 措施以维持系统的正常高效运行和保证系统中各种信息的安全。 2 3 2 网格中的安全层次 由于网格系统自身的特点，使得网格需要面对前所未有的安全挑战。根据网 格系统的特征和体系结构，可以将网格中的安全问题分成四个层次，即用户安全、 通信安全、资源安全和应用安全。【l 】 1 用户安全 网格用户是一个动态的群体，他们通过身份认证后获得对网格资源的使用 权。传统地，一个用户只有获得系统管理员的信任才能为其分配账户，而网格系 统规模很大，要求系统在信任模式下才能分配网格计算账号，制约了网格计算环 境的利用率。在现行网格计算用户中，尽管专业用户使用网格计算环境的频率较 高，但是很多临时用户也有使用大规模计算环境的需求，基于信任关系在许可注 册虽然增加了网格系统的安全，但却将很多普通用户挡在外面，不能提高网格环 境的用户规模和应用规模。 2 应用安全 乃：人学硕十学位论文 应用是与用户和资源相关联的网格实体。应用是由用户提交并使用网格资源 才完成事先设计的功能，并获得运行结果。在用户将应用提交给网格后，一方面， 用户希望其提交的应用不会被其他用户破坏；另一方面，用户希望其提交的应用 程序的运行结果是保密的。通过信息加密和分级访问控制技术，可以隐藏应用代 码和结果数据，保证应用安全。 3 资源安全 在网格系统中，资源是跨管理域的，来自不同的所有者。对于资源所有者来 说，所关心的是其资源的安全是否可以得到保障。当一个用户希望贡献其资源给 网格系统时，基于信任关系来确定是否可以加入，可以再一定程度上保证网格中 其他资源的安全，但这样会限制网格环境的规模扩张。而且，信任程度会随着时 间推移而发生变化，往日的好友，而今可能成为敌人。因此，资源扩张带来的安 全隐患是网格中的一个重要问题。保证应用的可信赖性是防止应用程序破坏网格 资源的完整性的有效手段之一。可以通过多种途径实现，比如设计一个可以信赖 的专门软件开发环境，基于该环境开发的程序是值得信赖的，或者确保应用程序 来自可信赖的源，还可以通过在用户代码中加入安全检测点来保证。保证资源安 全除了需要保证应用安全意外