（计算机应用技术专业论文）网格中信任管理模型的研究.pdf

南京邮i 乜人学侦l ：研究生学位论文 摘要 摘要 网格是继i n t e m e t 之后出现的一种新型分布式计算平台，目的是为用户提供一种全面 共享各种资源的基础设施。但其大规模、分布、异构和动态等特性使得网格计算环境非常 复杂，提出了比传统网络环境更高更广泛的安全需求。网格安全是网格计算环境正常运行 的保证，而信任机制是一切安全体系的支撑基础，是人们在解决网格安全问题中所必须面 对的核心问题。因此，进行信任问题研究，提出网格环境下的有效的信任管理模型是十分 必要的。 本文探讨了网格坏境下的安全需求，给出了网格信任的相关定义，并对现有的网格信 任管理模型进行了归纳、分析和比较，明确了它们各自的优越性、局限性，为提出新的信 任管理模型奠定了基础。 针对现有模型存在的缺点，本文提出了一个基于声誉的多代理的网格信任管理模型， 以有效避免单一代理导致的单点失败及服务热点现象。论文从信任的描述机制、评估机制 和更新机制三个方面，完整地阐述了信任管理模型的具体实现。在信任的描述方面，采用 包含实体各方面属性信任信息的向量形式，使之成为一种适应性强、全面合理的通用信任 描述机制；在信任的评估方面，提出了一种基于客户信任策略的信任评估机制c t p b e ，从 而能灵活地满足交易特性和客户实体对交易的个性化需求；在对资源实体的信任更新方 面，提出了一种基于预评估集的信任更新机制p s b t u ，通过对客户评价进行过滤、调整和 综合等步骤，使之成为一种既能抵抗恶意实体干扰，又能减小实体主观偏差的健壮准确的 信任更新机制。 模拟实验分析表明，本文的信任管理模型与以往的计算模型相比，能够更加灵活和准 确地管理网格中的信任关系，从而更好地适应高度丌放的网格计算真实环境，为网格的f 常运作提供良好的安全保障。 关键词：网格，安全，信任管理，代理， 交易 南京邮i u 人学硕i j 研究生学位论文 a b s t r a c t a b s t r a c t g r i di sak i n do fn e wd i s t r i b u t e dc o m p u t i n gt e c h n o l o g ye m e r g i n ga f t e rt h ei n t e r n e t ，w h i c h a i m sa tp r o v i d i n gac o m p r e h e n s i v ei n f r a s t r u c t u r eo fl a r g e s c a l er e s o u r c es h a r i n gf o ru s e r s i t s p r o p e r t i e sl i k el a r g e s c a l e ，d i s t r i b u t i v e n e s s ，h e t e r o g e n e i t ya n db e i n gd y n a m i ch a v ei n c r e a s e di t s c o m p l e x i t ya n dt h u sp r o p o s eh i g h e ra n dg r e a t e rs e c u r i t yr e q u i r e m e n t s g r i ds e c u r i t yp r o v i d e st h e g u a r a n t e eo fn o r m a lo p e r a t i o no fg r i dc o m p u t i n g ，a n dt r u s tm e c h a n i s mi st h ef o u n d a t i o no fa l l s e c u r i t ys y s t e m s t h e r e f o r e ，i ti sn e c e s s a r yt or e s e a r c hi n t ot h et r u s tp r o b l e ma n dp u tf o r w a r da t r u s tm a n a g e m e n tm o d e li ng r i d i nt h i sp a p e r ，t h es e c u r i t yr e q u i r e m e n t si ng r i de n v i r o n m e n ta r ed i s c u s s e da n dt h er e l a t i v e d e f i n i t i o n so ft r u s ti n g r i d a r eg i v e n f u r t h e r m o r e ，s e v e r a lc u r r e n tt r u s tm o d e l si n g r i d a r e a n a l y z e da n dc o m p a r e d ，w i t ht h e i ra d v a n t a g e sa n dd i s a d v a n t a g e sp o i n t e do u t t h i sp r o v i d e sa s o u n db a s i sf o rf u r t h e rr e s e a r c hw o r k b a s e do nt h ea n a l y s i so ft h ee x i s t i n gm o d e l s ，ar e p u t a t i o n b a s e dt r u s tm a n a g e m e n tm o d e l w i t hm u l t i p l eb r o k e r si sp r o p o s e d i ts u c c e s s f u l l ya v o i d st h ep r o b l e mo fs i n g l e p o i n tf a i l u r ea n d h o t s p o tp h e n o m e n o n 。a f t e r w a r d s ，t h ei m p l e m e n t a t i o no fac o m p l e t em o d e lo ft r u s tm a n a g e m e n t i ng r i di sp u tf o r w a r df r o mt h ea s p e c t so ft r u s td e s c r i p t i o n ，t r u s te v a l u a t i o na n dt r u s tu p d a t e w i t h r e s p e c tt ot r u s td e s c r i p t i o n ，af o r mo fv e c t o ri n c l u d i n gt r u s ti n f o r m a t i o no fv a r i o u sa t t r i b u t e so f g r i de n t i t i e si sa d o p t e d ，w h i c hm a k e si taw i d e l ya d a p t e d ，c o m p r e h e n s i v ea n du n i v e r s a lt r u s t d e s c r i p t i o nm e c h a n i s m r e g a r d i n gt r u s te v a l u a t i o n ，ac l i e n tt r u s tp o l i c yb a s e de v a l u a t i o n ( c t p b e ) m e c h a n i s mi sp r o p o s e d i tc a ns a t i s f yt h ei n d i v i d u a ln e e d so fc l i e n te n t i t ya sw e l la s t h ei n n e rr e q u i r e m e n t so ft h et r a d e a sf o rt r u s tu p d a t eo fr e s o u r c ee n t i t i e s ，ap r e e v a l u a t i n gs e t b a s e dt r u s tu p d a t e ( p s b t u ) m e c h a n i s mi sp u tf o r w a r d t h es t e p so ff i l t e r i n g ，a d j u s t i n ga n d i n t e g r a t i n go fc l i e n tf e e d b a c k sc o n t r i b u t et oar o b u s ta n da c c u r a t et r u s tu p d a t i n gm e c h a n i s m r e s i s t a n tt om a l i c i o u si n t e r f e r e n c ea n ds u b j e c t i v eb i a s s i m u l a t i o na n de x p e r i m e n t ss h o wt h a t ，i nc o m p a r i s o nw i t he x i s t i n gt r u s t m a n a g e m e n t m o d e l s ，t h em o d e lp r o p o s e di nt h i sp a p e ri sm o r ef l e x i b l ea n da c c u r a t ei nm a n a g i n gt r u s ti ng r i d ， t h u si sm o r ea d a p t i v et ot h er e a l o p e ng r i de n v i r o n m e n ta n dc a np r o v i d eas o l i d s e c u r i t y g u a r a n t e ef o rt h en o r m a lf u n c t i o n i n go fg r i d k e y w o r d s ：g r i d ，s e c u r i t y ，t r u s tm a n a g e m e n t ，b r o k e r ，t r a d e t t 堕盟i l 坠【1 大学颂i j 型塑兰兰篁笙竺 丝堕塑 - - _ - - _ _ ，_ _ _ _ _ _ - _ _ _ _ _ _ - _ - _ ，_ _ - - _ - ，- _ - i _ _ _ - - _ _ - 。i - 。_ 。_ - - _ _ - - 。_ - _ - - 。- _ _ - 。_ _ _ 。- 。一一一 缩略词 a p i b t t c a c e t t c r l g g f g g g g s i l d a p n h p c e o g s a o g s i p 2 p p k i r e t t s d k s h a r p s o a p s s l s s o 弱 v o w s r f 缩略词 英文全称 a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e b r o k e rt 】m s t1 a b l e c e r t i f i c a t ea u t h o r i t y c l i e n te n t i t yt r u s tt a b l e c e r t i f i c m er e v o c a t i o nl i s t g l o b a lg r i df o r u m g r e a tg l o b a lg r i d g r i ds e c u r i t yi n f r a s t r u c t u r e l i g h t w e i g h td i r e c t o r ya c c e s sp r o t o c o l n a t i o n a lh i g hp e r f o r m a n c ec o m p u t i n g e n v i r o n m e n t o p e ng r i ds e r v i c e sa r c h i t e c t u r e o p e ng r i ds e r v i c e si n f r a s t r u c t u r e p e e r t op e e r p u b l i ck e yi n f r a s t r u c t u r e r e s o u r c ee n t i t yt r u s tt a b l e s o f t w a r ed e s i g nk i t s s e c u r eh i g h l ya v a i l a b l er e s o u r c ep e e r i n g s i m p l eo b j e c ta c c e s sp r o t o c o l s e c u r es o c k e t sl a y e r s i g n a ls i g no n t r u s ta g e n t v i r t u a lo r g a n i z a t i o n 鞭e bs e r v i c er e s o u r c ef r a m e w o r k v 中文全称 应用编程接口 代理信任表 认证机构 客户实体信任表 证书注销列表 全球网格论坛 全球巨大网格 网格安全基础设施 轻量级目录访问协议 国家高性能计算环境 丌放网格服务体系结构 丌放网格服务基础架构 点对点 公共密钥基础 资源实体信任表 软件丌发包 安全高可用资源直连 简单对象访问协议 安全套接层 单点登录 信任代理服务器 虚拟组织 网络服务资源管理框架 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了中文特另 d f i 以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获 得南京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并 表示了谢意。 研究生签名：姓 日期： 塑1 2 ：坚丝 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其他 复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除 在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括刊 登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权南京邮电大 学研究生部办理。 研究生签名：必导师签名：荔量窒丝日期! 竺兰z ：! ：， 南京邮i 【1 人学硕i j 研究生学位论文 第一章绪论 1 1 研究背景和意义 第一章绪论 网格技术是近年来国际上兴起的一种重要的信息技术。它的目标是将地理上广泛分 布、系统上异构的各种计算资源全面整合在一起，实现网络虚拟环境上的高性能资源共享 和协同工作。而与传统网络环境相比，网格计算环境由于具有大规模、高速、分佰、异构、 动态和可扩展等特点，因此提出了更高更广泛的安全需求。网格建立在一个开放的网络环 境中( 如i n t e m e t ) ，这种环境可能会遭受来自内部或外部的安全威胁。这些威胁可能是用户 的偶然失误，也可能是故意的针对系统安全脆弱的非法攻击，它们往往会带来严重的后果。 尤其在最近，网格技术的研究方向已经转向商业服务，那么如何解决网格环境的安全问题 显得尤为重要。 信任( t r u s t ) 是网格安全问题的一个重要方面。信任机制是硬安全技术的补充【lj ，也被 称为软安全( s o f ts e c u r i t y ) 机制。网格是一种分布式系统，它的威胁分别来自系统外部和系 统内部。以往计算机安全研究的主要内容都是针对外部威胁的，即通过密码技术提高系统 的抵御外部入侵的安全性。然而在网格环境下，对于用户的管理已经不再是那种集中的、 封闭的、可控的，而是丌放的、分布式的。g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) 针对外部威 胁，提供身份认证、通信加密等安全措施，它们只保证了认证和授权，并不能保证按用户 需要的方式进行授权( 比如限制性授权) ，即不能对实体在网格中的行为进行评价【2 1 。网格 中，共享的网格资源一旦受到恶意代码的侵害可能会威胁到网格平台的f 常运行。这样就 需要对实体在网格环境下的行为进行评价，反映出该实体在网格中的可信任、可依靠的程 度。因此，通过对实体以往行为的评价建立一种信任管理模型来满足网格的需求。这样可 以提高交易完成的成功率，促进资源共享，降低恶意攻击者攻击的几率，排斥自私实体， 从而维护网格系统的安全运行。 传统的授权机制没有信任管理，它们不能为多种多样的应用提供足够的健壮性，扩展 性也不好，不能适应现在同益扩展的系统。它们有以下的限制：首先，传统的安全方法把 认证和访问控制分离成两个过程，也就是说，系统先解析发出请求的用户的身份，然后决 定是否授权用户访问请求的资源。这种方法的弊端就是不牢靠的认证会导致整个授权过程 的失败。其次，很多安全策略并不能直接体现在访问控制中，它必须被固化到应用中，当 l 南京邮i 【1 人学顾i ：t i j d f , 生学位论义 第一币绪论 安全策略改变时，就要对应用重新配置、重建或者重写。这使得系统的扩展性不好，很难 适应现今世界的动态性。另外，在分布式系统中，对于不同的用户，不同的管理域和实体 的信任策略也不同，所以安全机制不应该是统一的，也不应该对信任关系做某些假设【3 】。 传统安全技术( 口令、密码系统、数字证书等) 侧重于在网络环境下保障交换信息的认 证性、私密性、完整性等。但在网格应用中，即便一个陌生的参与者通过了身份认证，其 业务请求也未被篡改，仍不能证明此参与者就是可信的。这罩的信任关系的主体是网络终 端的用户或有定主管活动能力的个体，这种信任关系存在很强的主观性、不确定性，有 信任程度高低之分，受主观意识的影响。因此，在安全研究中迫切需要引入新的理论和技 术处理参与者间的信任。由于良好的声誉能够为参与者带来优势，而不良声誉却将导致参 与者从应用中被排除出去，所以信任系统提供了一种鼓励参与者间合作的控制机制。信任 通过鼓励信息交换及对其他成员的影响可以推动问题的解决，具有吸收知识，形成自我认 同等作用。由于在满足信任的条件下可以忽略信息的不完全性和不确定性，直接为行为提 供内在支持，因此信任还是简化复杂性的有力工具。在网格的分布式应用中采用信任系统 有助于降低业务的安全风险，促进参与者间的信息交换与合作，推动应用的良性发展。 因此，建立科学合理的网格信任管理模型，是解决网格安全问题的重要途径。网格实 体问的信任问题是一个很复杂的问题，涉及的方面也很多，如信任的描述，信任的评估， 信任的更新等等，很多方面都有待进一步深入研究，这也使得网格环境中的信任问题成为 当日订网格研究的一个热点问题。 1 2 网格及其安全问题 1 2 1 网格及其体系结构 1 网格概念和特点 网格是继万维网之后出现的一种新型网络计算平台，它是把地理位置分散的资源集成 起来的一种基础设施。通过这种基础设施，用户不需要了解它的具体细节就可以使用自己 需要的资源。分布式资源和通信网络是网格的物理基础，网格上的资源包括计算、集群、 计算机池、仪器、设备、传感器、存储设备、数据、软件等实体，另外，这些实体工作时 需要的相关软件和数据也属于网格资源【4 1 。 网格之父i a nf o s t e r 在网格：一种未来计算基础设施蓝图 5 1 书把网格描述为：“网 堕京i i | l jr u 人学硕i ? 研究生兰垡笙苎 笙二至! i j 生 ，- _ - - - - _ - _ ，- _ _ _ _ i _ _ - - - _ - _ - _ _ _ _ _ _ _ _ _ - - _ 一一一 格是构筑在互联网上的一组新兴技术，它将高速互联网、计算机、大型数据库、传感器、 远程设备等融为一体，为科技人员和普通老百姓提供更多的资源、功能和服务。互联网主 要为人们提供电子邮件、网页浏览等通信功能，而网格的功能则更多更强，它能让人们共 享计算、存储和其他资源。 网格的终极目标是实现网络虚拟坏境上的高性能资源共享和协同工作，消除信息孤 岛，将分散在网络上的信息及信息存储、处理能力以合理的方式“粘合”起来，形成有机 整体，提供比任何单台高性能计算机都强大得多的处理能力，实现信息的高度融合和共享。 网格计算技术是高性能计算技术与分伟式计算技术相结合的产物，它除了具备分布式 系统的基本特性分布性和共享性之外，还具有自相似性、多层次上的异构性、结构和 系统行为的动念与不可预测性及自治与管理的多重性【剐。 2 网格的体系结构 网格体系结构是关于如何建构网格的技术。它给出了网格的基本组成与功能，描述了 网格各组成部分的关系以及它们集成的方式或方法，刻画了支持网格有效运转的机制【6 1 。 目前比较重要的网格体系结构有：i a nf o s t e r 等在早些时候提出的五层沙漏结构【4 】【6 j ； 在以i b m 为代表的工业界影响下，在考虑到w e b 技术的发展与影响后，f o s t e r 等结合w e b s e r v i c e 提出的开放网格服务体系结构o g s a ( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ) ；以及基于 网格服务与w e bs e r v i c e 融合的全新的网格体系结构w e b 服务资源框架( w s r f ，w e b s e i c er e s o u r c ef r a m e w o r k ) 【7 】【引，g t 4 ( g l o b u s 的第四个版本) 即是基于该框架的。 五层沙漏网格协议建立在互联网协议之上，其体系结构分为构造层、连接层、资源层、 汇集层和应用层共五层。它的一个重要特点就是沙漏形状，如图卜1 所示，显然各层协议 数量是不均等的。其中资源层和连接层共同组成沙漏的瓶颈部分，亦即核心部分。这部分 不仅要实现上层各种协议向自身协议的映射，同时也要实现自身协议向下层其它各种协议 的映射。 丌放网格服务结构o g s a 是g l o b a lg r i df o r u m4 的重要标准建议。如果说五层沙漏结 构是以协议为中心的“协议结构”，那么o g s a 则是以服务为中心的“服务结构”。在 o g s a 中计算资源、存储资源、信息等一切都是。网格就是可扩展的网格服务的集合，网 格服务可以以不同的方式聚集起来满足虚拟组织的需要，虚拟组织自身也可以部分地根据 它们操作和共享的服务来定义。 3 南京i | l | j i u 人学倾l ：研究生学位论义 第一幸绪论 应用 应用层 诊黜等 汇聚层 资源与服务 资源与 的安全访问 连接层 ji 鬻磊， 构造层 图卜1 沙漏形状的丙层结构 在2 0 0 4 年1 月，w e b 服务资源框架( w s r e s o u r c ef r a m e w o r k ，w s r f ) 被提议作为 o g s i ( o p e ng r i ds e r v i c e si n f r a s t r u c t u r e ) 的重构和发展。w s r f 基本保留了o g s i 中的所 有功能性能力，而同时更改了一些语法，并且还在其表示中采用了不同的技术。w s r f 使得 程序员能够声明和实现w e b 服务与一个或多个具有名称的类型化状念组件之间的关联集， 这些状态组件称为w e b 服务资源( w s r e s o u r c e ) 。此外，w s r f 还描述了一些定义w e b 服务资源( w s r e s o u r c e ) 以及将w e b 服务资源( w s r e s o u r c e ) 与w e b 服务接口的描述 相关联的方式1 9 1 。 3 网格的研究现状 目前，网格计算的研究主要集中在【旧1 ：一、网格的体系结构的研究，其内容包括网格 系统组成部分的研究、组成部分之问的关系以及如何协同工作的研究：二、网格操作系统 的研究，其内容是研究如何更高效、更合理地使用广域分布、动态、异构的资源；三、网 格使用模式的研究，主要是解决如何使用网格高。t 1 4 工4 - 厶匕日匕计算环境的问题。 在这些研究内容中，需要解决的关键技术1 包括： ( 1 ) 网格资源管理问题：( 2 ) 宽 带网络系统问题；( 3 ) 任务的调度与管理问题； ( 4 ) 能监视系统运行状态，并提供性能 分析的网格监测工具的开发问题；( 5 ) 网格安全技术研究；( 6 ) 应用层的可视化工具和 友好用户界面的丌发问题。 在国外，最著名的网格计算研究是美国的g l o b u s l l 2 - 1 4 项目。该项目的主要研究目标有 两个：一是网格技术的研究：二是相应软件的丌发和标准的制定。同时，g l o b u s 项目还涉 及到网格应用的开发及试验床的建立。 4 南京邮i 也人学硕l ：研究生学位论义 第一章绪论 我国对网格计算的研究起步较晚，相关工作丌始于1 9 9 8 年。由于网格计算是一项刚 起步的研究，因此我们在网格计算关键技术的研究方面与国外差距不大，基本处于相同的 起跑线上。目前，我国的网格计算研究主要集中于中科院计算所、国防科大、江南计算所、 清华大学等几家在高性能计算方面有较强实力的研究单位。这些单位在高性能计算研究方 面有很好的技术积累和很强的科研能力。其中，中科院计算所在高性能计算领域的主要成 果是曙光3 0 0 0 超级服务器，其他单位的主要成果有银河巨型机、同方探索机群系统等。 从1 9 9 9 年底到2 0 0 1 年初，中科院计算所联合国内十几家科研单位，共同承担了“8 6 3 ” 重点项目“国家高性能计算环境( n a t i o n a lh i g hp e r f o r m a n c ec o m p u t i n ge n v i r o n m e n t ， 简称n h p c e ) ”的研发任务。? 该项目的目标是建立一个计算资源广域分行、支持异构特 性的计算网格示范系统，它把我国的8 个高性能计算中心通过i n t e m e t 连接起来，进行统 的资源管理、信息管理和用户管理，并在此基础上丌发了多个需要高性能计算能力的网 格应用系统，取得了一系列研究成果。 1 2 2 网格的安全问题 1 网格的安全需求 在网格计算环境中，各种资源都动态地连接到i n t e m e t 上，而且不同网格结点之间的 通信是通过i n t e m e t 连接的，而用户向网格计算环境提交任务和监控管理任务也是通过 i n t e m e t 来完成的。从本质上讲，i n t e m e t 的安全保障一般提供下面两方面的安全服务：( 1 ) 访问控制服务，用来保护各种资源不被非授权使用；( 2 ) 通信安全服务，用来提供认证、 数据保密性与完整性和各通信端的不可否认服务。但这两方面的安全服务不能完全解决网 格计算环境下的安全问题。因为与一般网络相比，网格计算环境还具有如下特点： ( 1 ) 用户数量很大，且动态可变；资源数量很大，且动态可变； ( 2 ) 计算过程可在其执行过程中动态地请求、启动进程和申请、释放资源： ( 3 ) 一个计算过程可由多个进程组成，进程间存在不同的通信机制，底层的通信连接 在程序的执行过程可动态地创建并执行： ( 4 ) 资源可支持不同的认证和授权机制：用户在不同的资源上可以有不同的标识； ( 5 ) 资源和用户可属于多个组织【4 1 。 因此，网格所具有的大规模、动态、异构、可扩展、高任务、多样化、大粒度、并行 等特性，使之较传统网络环境复杂得多，从而提出了更高更广泛的安全需求。 南京邮i u 人学硕i j 研究生学位论义 网格的安全需求包括1 5 。1 7 】； ( 1 ) 认证需求( 包括：站式认证、代理、 系) ； 第一章绪论 协同认证、资源认证、基于用户的信任关 ( 2 ) 通信保护需求( 包括：灵活的信息保护策略、支持各种可靠的通信协议、支持独 立数据单元的安全通信) ； ( 3 ) 授权需求( 包括：资源所有者授权、限制代理) ； ( 4 ) 活的安全策略( 包括：互操作性、名称映射、用户可选的安全策略、证书安全策 略等) ： ( 5 ) 支持安全的组通信( 包括：动态的组密钥更新、组成员认证和安全通信等【1 8 】； ( 6 ) 记账和审计【侈1 ( 将资源的用途映射给使用资源的用户，定义合理的使用资源的方 案和资源之间的互换方案，描述资源调度的执行标准) ； ( 7 ) 控制管理、机密性、完整性、不可否认性。 根据上述网格的安全需求得到的网格安全总体结构如图1 2 所示。 图卜2 网格安全总体结构 网格安全技术的研究现状 目前，网格安全的研究主要还处于理论研究水平，国内在网格安全方面还处于理论探 索的起步阶段，到目前为止，还没有比较成熟的网格安全的体系架构，尚未形成系统成熟 的解决方案。国外已经开展了很多网格计算系统方面的研究工作，以下是网格中的现有的 6 南京邮电人学颀i ：_ f o f 究生学位论文 几种安全技术。 ( 1 ) 安全认证与鉴别 第一章绪论 认证证书是认证( c e r t i f i c a t e s ) 的一个关键技术。在网格计算环境中的每个用户和服务都 要通过认证证书来验明正身。为了防止对认证证书的假冒和破坏，认证证书主要包含以下 4 个部分信息： 主体名称( s u b j e c tn a m e ) ：用来明确认证证书所表示的对象； 属于特定主体的公钥( p u b l i ck e y ) 用于x 5 0 9 认证： 签署证书的认证中心的标识：记录了认证中心的名称； 签署证书的认证中心的数字签名：用来确认认证中心的合法性。 如果双方主体都有证书，而且都信任彼此的认证中心，则双方可相互明确彼此的身份， 这实际上是相互鉴；j i ( m u t u a la u t h e n t i c a t i o n ) i h 题。在相互认证可以进行之自 ，双方首先要相 信彼此的认证中心。在实现上，要求双方都有彼此认证中心自身的证书，认证中心自身的 证书中包含认证中心的公钥。这样彳能确保双方由认证中心签署的证书具有合法性。 ( 2 ) 通信加密 在网格安全技术中，缺省情况下，通信双方之间不建立加密通道。一旦相互认证成功 后，这样通信双方在进行通信时不会有额外的加解密丌销。如果通信双方需要进行加密通 信，则可以很容易地建立一个共享的密钥用于对信息进行加解密，这旱一般采用公钥技术 与对称加密技术结合的加密方式，在保证安全性的同时减少加解密的开销。另一个需要考 虑的是通信的完整性。通信完整性的意思是窃听者可能会了解到通信双方的通信内容，但 不能对通信的内容进行修改。在缺省情况下总是保证通信的完整性，这虽然会带来一定的 开销，但比加解密开销要小得多。 ( 3 ) 私钥加密 在一般情况下，要求用户的私钥保存在本地计算机的一个文件中。为了防止本地计算 机的其它用户窃取私钥，此文件必须经过一个用户口令( p a s s w o r d ) 进行加密保护。这样用户 在使用认证证书时，必须输入口令来解密包含私钥的加密文件。 ( 4 ) 安全委托与单点登录 在通常情况下，用户之i 白j 或用户与资源管理者之| 日j 在建立联系之日订，都必须通过相互 鉴别的过程。这样，如果一个用户要与多个资源管理者进行联系的话，就必须多次访问保 7 垦! 型b - 也人兰f ! 生研究生堂垡笙苎 笙二翌笙堡 _ - _ _ _ 一一一 存私钥的文件，即需要多次输入密码，而且在代表用户的程序运行基于虚拟域的层级式网 格信任模型研究过程中，也可能进行相互认证，使得相互认证的过程很繁琐。网格安全技 术对标准的s s l ( s e c u r es o c k e t sl a y e r ) 仂、议进行了扩展，使之具有安全委托能力，减少了用 户必须输入口令来得到私钥的次数。如果一个网格运算需要用多个网格资源，这就需要一 个代表用户的代理来请求资源，通过创建用户代理( p r o x y ) 来避免多次输入口令，这样可以 在不同的节点之间形成一个安全信任链，如图1 3 所示。 图1 3 安全代理的安全信任链 一个代理包含一个新的证书，这个新的证书由用户来签署，而不是认证中心。新的证 书中有新的公钥和私钥、用户的标识、代理标记和时i 刨戳，时间戳表示在一定时间范围内， 这个代理是有效的。代理的私钥必须保证安全，但由于代理的有效性是有时间限制的，所 以限制了代理的私钥不可能像用户的私钥那样安全。一个比较简单的处理方法是把代理的 私钥保存在本地的文件系统中，对私钥不进行加密，但不允许其它用户对其进行访问。一 旦代理被创建并存储，则使用代理证书进行相互鉴别，并且不需要输入口令。当采用代理 进行相互鉴别时，鉴别过程与用户和代理之间的鉴别过程有所不同。被请求方将会收到用 户的证书和代理的证书( l h 用户签署) 。因为在鉴别过程中，用户证书中用户的公钥用来确 认代理证书中数字签名的合法性，这样实际上形成了一个从认证中，心到用户再到用户代理 的信任链。 ( 5 ) 其他最新网格安全技术 g l o b u st o o l k i t t 2 0 l ：是由g l o b u sp r o j e c t 开发的一组用于构建网格的组件，它通过其 中的网格安全基础设施( g s i ，g r i ds e c u r i t yi n f r a s t r u c t u r e ) ，提供认证、授权和安全通信。 g s i 通过使用公钥密码系统，特别是公钥私钥和x 5 0 9 证书，为创建安全网格提供了基础。 g s i 为多个网格系统和应用程序提供单点登录；可在多个组织之间使用而无须集中管理授 权；在同一网格中的多个不同元素之间提供安全通信。 南京邮l 乜人学硕1 ：0 1 5 t 生学位论义 第一辛绪论 x 5 0 9 与k e r b e r o s 2 1 ，2 2 1 集成。g l o b u s 的安全策略己成为丌展网格应用的坚实基础， 特别是对于金融服务以及医药行业而言更是如此。但是，g s i 并不与k e r b e r o s 认证机制直 接兼容，而后者的应用十分广泛且与已有的x 5 0 9 机制有很大区别。因此，出现了一种试 图将k e r b e r o s 基础设施与x 5 0 9 证书相融合的安全技术。美国密歇根大学丌发的k x 5 0 9 ， 其设计目标是在k e r b e r o s 和p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 之间架起一座桥梁。k x 5 0 9 是一种“k e r b e r o s 化”的客户端程序，它用现有的k e r b e r o s 票据获取x 5 0 9 证书。 s h a r p 2 3 】：安全资源共享s h a r p ( s e c u r eh i g h l ya v a i l a b l er e s o u r c ep e e r i n g ，安全 高可用资源直连) 是杜克大学- 丌发的，它致力于安全的网格资源管理，以便在网格中更高 效地共享系统，为共享网格资源和委托授权使用这些资源定义了新的方法。s h a r p ：提出 了一种新的称为“策略服务器( p o l i c ys e r v e r ) ”的网格安全基础设施，它无需创建集中的认 证机构管理资源请求，也能实现安全共享。网格内的有效主站通过获取“声明”来控制对 资源的共享；不同的主站可以相互交换声明。 构建沙盒【2 4 】：另外一类网格安全技术是用来保护网格免受恶意代码、病毒以及其 他基于网格基础设施之上的攻击。其中之一就是得克萨斯州奥斯汀的商业网格计算公司 u d ( u n i t e dd e v i c e s ) 。u d 一直致力于创建安全的共享环境，不仅能保护用户设备不受网 格代理的干扰，而且能保护网格设备不受用户应用程序的干扰，保证用户和网格应用程序 都只能访问一组适当的系统资源。 这些解决方案注重于解决可操作性和策略管理等某些方面的问题，不能全面的保护网 格服务。现有的网格安全体系g s i 【2 5 】主要是通过公钥体系( p u b l i ck e yi n f r a s t r u c t u r e ，简称 p k i ) 及建立于其上的分御式信任模型( d i s t r i b u t e dt r u s tm o d e ，主要采用x 5 0 9 协议) 来实现。 最近，g l o b a lg r i df o r u m ( g g f ) 已经开始尝试把w e b 服务安全规范融入到网格安全体系 结构中【2 6 1 ，其提出的丌放网格服务架构( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ，o g s a ) 便意在 结合网格和w e b 服务的概念与技术【1 4 】。 目自订g s i 基本能满足身份认证、授权、完整性和机密性的功能，能够抵御来自系统外 部的威胁。针对内部威胁，g s i 提供第三方c a 作为可信机构来给用户签发证书，对实体 身份进行认证。虽然身份认证保证了身份的信任，但是这种信任关系是静态的，不能反映 实体在网格环境中由于多次交互而产生的基于行为的动态信任关系。而信任机制则是解决 这些安全问题的有效手段。因此，以下本文将针对网格中的信任问题进行研究。 南京邮i 乜人学顾十研究生学位论文 1 3 信任的概念和相关理论 第一章绪论 在网格环境下，用户的管理方式已经不再是那种集中的、封闭的、可控的，而是开放 的、分布式的。用户程序可能包含恶意代码，危害网格资源。共享的网格资源一旦受到恶 意代码的侵害可能会威胁到运行在网格平台上的应用程序。 同时，在资源共享的网格环境中，会存在一些自私实体，只是利用或占用其他实体的 资源，而不提供任何资源。还可能存在一些恶意实体提供虚假资源，试图扰乱系统的正常 运行。在网格计算中，作业完成是通过多个实体参与，协同完成的。既然多个实体需要协 同工作，那么要进行协同工作的前提是彼此之间建立良好的信任关系。信任关系对于协作 伙伴的选择尤为重要，选择信任度高的协作伙伴可以提高网格作业完成的成功率。 1 3 1 信任的定义 目前，在计算机科学领域的研究中，对“信任”的概念还没有形成统一的定网格信任 机制研究义。虽然“信任”这一概念已经长期存在于人类社会中，但是计算机科学研究领 域对信任的研究刚刚兴起，大都借鉴了心理学、社会学和经济学等其他科学研究领域的成 果，不同的研究者面向不同的研究领域其研究的侧重点也不相同，有些着重信任的形式化 描述，有些着重信任的特征研究，有些着重信任在实际系统中应用研究，这样必然会造成 信任研究的多样化。 信任是心理学、社会学和经济学等学科长期研究的内容，其定义也纷繁复杂。韦编词 典把信任( t r u s t ) 定义为：“对人或事物的设定依赖程度，对于某人或某个事物特征、能力、 力度或真实性的确定信心”，或者“关于信念或信心的一种确定或者一种相互关系”，或者 “对某个实体的信心”，这个定义说明了信任的一般社会含义。 目前有很多学者都对信任进行了定义，但基本上没有广泛的且可被接受的标准。那是 由于信任是无形的，因此很难对它进行严格精确的定义。在文献“s u p p o r t i n gt r u s ti nv i r t u a l c o m m u n i t i e s ” 2 7 】中给出了几个心理学和社会学学者对信任的定义：“信任( 或不信任) 是一 个代t 里- ( a g e n t ) 评价其他代理或代理团体实际行为的主观可能性程度，评价在对该行为进行 监控( 或根本不可能监控该行为) 之前和该行为对其自身行为产生影响的情况下进行。” j o a n g 2 8 1 认为，g a m b e t t a 对信任的定义不足以表达信任的复杂性。他把信任定义为包 含可靠性信任( r e l i a b i l i t yt r u s t ) 幂e 决策信任( d e c i s i o nt r u s t ) 的二维向量，并且用g a m b e t t a 的定义表示可靠性信任，用m c k n i g h t 的定义【2 9 1 表示决策信任：信任是个体在感觉相对安 1 n 南京t l l l l i l i 大学顾i ：研究生学位论义 全的情况下( 可能存在风险) ，愿意依赖目标实体的程度。 第一章绪论 x 5 0 9 的2 0 0 0 年版对信任的定义为( x 5 0 9 ，3 3 5 4 ) ：“一般说来，如果一个实体假定另 一个实体会严格地像它期望的那样行动，那么就称它信任那个实体。”其中的实体是指在 网络或分布式环境中具有独且, - x 状、采r u l a