（计算机应用技术专业论文）基于行为的网格信任模型研究.pdf

摘要 摘要 网格技术的出现，使得对用户管理已经不再是集中的、封闭的、可控的管理 方式。网格系统面对各种威胁，包括来自系统外部的威胁和系统内部的威胁。传 统计算机安全研究的主要内容都是针对外部威胁，即通过密码技术抵御外部入 侵，提高系统安全性。然而，针对内部威胁，传统方法却显得束手无策。这样就 需要对用户在网格环境下行为进行评价，反映出该用户网络行为的可信程度。 本文研究如何在网格中建立基于行为的信任模型，排除内部恶意节点，提高 系统的安全可靠程度。本文所作的主要工作是： ( 1 ) 本文提出了一种新型的基于行为的信任计算模型来处理网格环境中实 体之间的信任关系，该模型对域内信任关系和域间信任关系分别采取不同的方法 进行处理，能够更加精确地评估实体与实体之间的信任关系，从而能更加有效的 解决网格环境中存在的安全问题： ( 2 ) 给出信任计算模型的信任值更新函数，根据网格实体的交易行为特征 适当增加或减少其信任值，确保实体的行为能够通过信任值体现出来，并更加准 确合理，减少了信任值的主观性； ( 3 ) 通过哈希函数，对域管理节点迸行随机选择，由k 个域管理节点同时 管理整个域的信任值，最大程度上的减少了恶意节点对域管理节点的攻击，防止 了域节点的作弊； ( 4 ) 给出基于信任值的开放式网格体系结构模型，初步验证了该信任计算 模型在网格系统中的合理性、可行性和精准性。 关键词：网格，域，信任值，行为 a b s t r a c t a l o n gw i t he m e r g e n c eo fg a dt e c h n o l o g y , t h eu s e rm a n a g e m e n ti s n tc e n t r a l ， c l o s e da n dc o n t r o l l a b l e g r i ds y s t e mi sf a c i n ga l lk i n d so ft h r e a t st h a ti n c l u d et h r e a t s f r o mt h ei n n e ro fs y s t e ma n dt h r e a t sf r o mt h eo u t e ro fs y s t e m t r a d i t i o n a lc o m p u t e r s e c u r i t ym a i n l yr e s e a r c h e s0 1 1p r e v e n t i n gi n t r u s i o nf r o mt h eo u t e ro f s y s t e m h o w e v e r , t r a d i t i o n a lm e t h o dh a sn o t h i n gt od ow i t ht h r e a d sf r o mt h ei n n e ro fs y s t e m s o ，i ti s n e c e s s a r yt oe v a l u a t et h en e t w o r kb e h a v i o ro fu s e r si ng r i dc o m p u t i n g t h u s ， e v a l u a t i o no f t h ei i s e r l sb e h a v i o rc a nr e f l e c th i sr e l i a b i l i t y t h i sd i s s e r t a t i o ns t u d i e sh o wt ob u i l dt r u s tm o d e lf o r 面dc o m p u t i n gi no r d e rt o f i n do u tm a l i c i o u su s e 岱a n di m p r o v es e c u r i t ya n dr e l i a b i l i t yo fs y s t e m t h e c o n t r i b u t i o n so f t h i sd i s s e r t a t i o na r ea sf o l l o w s ： ( 1 ) i nt h i sd i s s e r t a t i o n , an e w t r u s tc a l c u l a t e sm o d e lt h a ti sb a s e do nb e h a v i o ri s p r e s e n t e d t h i sm o d e li su s e dt od e a lw i t ht r u s tr e l a t i o nw i t he a c he n t i t yi ng r i d e n v i r o n m e n t t h em o d e lt a k e sd i f f e r e n tw a y st od e a l 谢t l lt r u s tr e l a t i o ni na n d b e t w e e nr e g i o n s ，t h em o d e lg e t sam o r ea c c u r a t e l yw a yt oe v a l u a t et h et r u s tr e l a t i o n b e t w e e ne n t i t i e s t h u s ，t h em o d e lc a ns o l v et h es e c u r i t yp r o b l e mi ng r i de n v i r o n m e n t m o r ee f f e c t i v e ( 2 ) t r u s t c a l c u l a t e sm o d e lg i v e st h eu p d a t i n gf u n c t i o nw i t hm l s tv a l u e b a s i n g o ng r i de n t i t i e s u a d i n ga c t i o n , t h em o d e la d d so rr e d u c e st h et r u s tv a l u ep r o p r i e t y , m a k es u r et h a te n t i t i e s a c t i o ni nt h ep e r s o no ft r u s tv a l u e ，a n dm o r en i c e t ya n di n m a s o n , r e d u c i n gt h es u b j e c t i v i t yi nt r u s tv a l u e ( 3 ) b a s i n go nh a s hf u n c t i o n , t h em o d e lc a l lc h o o s er e g i o nm a n a g en o d ei n r a n d o m t h e r ea l ekr e g i o nm a n a g en o d e sm a n a g et h ew h o l er e g i o n st r u s tv a l u ea t t h es a m et i m e , r e d u c i n gt h eh o s t i l i t yn o d e sa t t a c kt h er e g i o nm a n a g en o d e sa tw h o l e h o g ，p r e v e n t i n gc h e a tf r o mt h en o d e si nr e g i o n ( 4 ) g i v i n gt h eo p e n i n gg r i ds y s t e ms t r u c t u r e m o d e lb a s e do nt r u s tv a l u e ， v a l i d a t i n gt h i s t r u s tc a l c u l a t em o d e l sr a t i o n a l i t y , f e a s i b i l i t ya n da c c u r a c yi ng r i d a b s t r a c t k e y w o r d s ：g r i d ，d o m a i n , t r u s tv a l u e ，b e h a v i o r i l l 西北大学学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定，即：研究生在校攻 读学位期间论文工作的知识产权单位属于西北大学。学校有权保留并 向国家有关部门或机构送交论文的复印件和电子版。本人允许论文被 查阅和借阅。学校可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学 位论文。同时，本人保证，毕业后结合学位论文研究课题再撰写的文 章一律注明作者单位为西北大学。 保密论文待解密后适用本声明。 西北大学学位论文独创性声明 本人声明：所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，本论文不包含其他人已经发表或撰写过的研究成果，也不包含 为获得西北大学或其它教育机构的学位或证书而使用过的材料。与我 一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 学位论文作者签名：袜磊昂 目年6 月 1 第一章绪论 1 1 课题背景 第一章绪论 网格技术是近年来国际上兴起的一种重要的信息技术。它的目标是将地理上 广泛分布、系统上异构的各种计算资源全面整合在一起，实现网络虚拟环境上的 高性能资源共享和协同工作。 正如传统网络安全问题带给人们的启示，网格需要解决的一个重要问题也是 安全问题。而与传统网络环境相比，网格计算环境由于具有大规模、高速、分布、 异构、动态和可扩展等特点，因此提出了更高更广泛的安全需求。特别是随着网 格计算技术从传统的科学计算进入商业应用领域，安全问题的解决更是迫在眉 睫。人们迫切需要对网格计算的安全策略进行专门的系统的研究，并且针对新的 网格计算的需要提出新的方法和思路其中在认证和授权方面，要求实现单点登 录、身份鉴别、信任委托、信任转移和访问授权等 近两年，信任已被认为是实现网格安全的一个核心要素，信任模型研究业已 成为网格技术研究的热点问题。网格业界已有不少学者提出自己的信任模型 然而由于网格环境的特殊性，实体问的信任关系的建立，不仅包括对实体身 份的信任，还包括对实体行为的信任传统的安全机制如加密技术、访问控制等 虽然可在一定层面上解决身份信任问题，但却并非处理行为信任的有效手段现 有的一些基于行为的信任模型主要是根据以往的交易经验和其他实体的评估来 衡量实体之间的信任关系，其主要的理论依据大都是模糊理论。另外，网格环境 中的信任关系还需要支持动态的、可配置和瞬间服务的管理所以很有必要建立 一种更加普遍便捷，能处理网格交易中基于角色和行为的双重信任关系的信任模 型本文提出的信任模型即是在综合比较和深入分析现有的一些网格信任模型的 基础上，通过继承优点、抛弃局限性，并通过迸一步的研究和发展得到的。 第一章绪论 1 2 课题意义 在目前的情况下研究信任模型有着重大而深远的意义，主要体现在以下四个 方面： ( 1 ) 信任模型是网格的重要研究领域 人类的应用需求正迅速朝着高性能、多样性、多功能方向发展。这些应用要 求将地理上分布的、异构的多种计算资源通过高速网络连接起来，共同完成计算 问题。网格的最大优点之一是对地理上分布的各种计算资源和数据资源进行共 享，但这些共享必须建立在安全访问的基础上 网格技术的出现，使得网格安全呈现独有的特性：用户群体数目庞大且动态 变化；资源和服务提供者数目庞大且动态变化；动态使用关系；应用层通信协议 不相同；各种不同的安全机制和安全策略。这样对网格系统的安全分析更加复杂。 传统的安全技术和手段不能够完全解决网格安全问题。信任模型能够动态的描述 网格实体之间的信任关系，使网格系统变得更加健壮、安全 网格服务跨越多个安全域，这些域中的信任关系在点对点的跨越中起着重要 的作用。每一种服务要将它的访问要求阐述清楚，就可以安全地访问这些服务的 实体。信任的建立过程对每个会话来说或许是一次性的活动，也有可能对于每一 次请求都要动态地进行评估由于网格的动态特性，在应用程序执行前，预先在 这些域中建立信任关系变得很困难。总之，网格环境中的信任关系非常复杂，它 需要支持信任关系的动态变化。通过在网格系统内部建立信任关系，来评价实体 的安全性和可靠程度，进而提高计算的成功率，及其整个系统的安全性这将是 网格发展的重要基础研究领域，也是推动网格应用的重要因素 ( 2 ) 信任模型本身的研究需要 信任分为身份信任和行为信任传统的网络安全所考虑的只是身份信任，只 涉及到用户或服务器的身份认证，以及通过授权的资源访问控制。所谓行为信任， 是指在两个或多个实体之间交易时，根据实体在交易过程中所表现的行为做出评 价。对实体的行为信任进行建模的目的是为了形式化地研究在开放网络中如何对。 实体的信任值进行定义、评价和推导。所以信任模型的研究内容应当包括信任的 定义、信任的评价、信任关系的形式化表示和推导、信誉值的计算和存储。 2 第一章绪论 ( 3 ) 当前信任模型研究还没成熟 虽然在分布式环境下( 如：p e e r - t o p c c r 网络、a dh o e 网络) 已经对信任模 型有了深入研究，但是并不完全适合网格环境。因此，需要深入研究如何在网格 环境下建立信任模型。 ( 4 ) 网格环境下基于信任值的应用 信任模型作为网格系统的重要组成部分，能够动态的计算实体的信任值，为 安全决策提供重要的参考依据，可以在网格系统的很多方面得到应用，如： 协同工作 资源分配 访问控制 作业调度 1 3 研究目标 提出一种适合网格环境的信任模型。主要包括：基于行为的分层信任模型， 用以解决处于不同管理域的实体之问协同工作的安全问题。模型上层建立和维护 具有不同安全策略的管理域之间的推荐信任关系，下层负责处理管理者对域内实 体的信任评估问题。在利用推荐信任值建立管理域间关系的过程中，给出了一种 根据实际交往经验调整管理域间推荐信任值和直接信任值的算法，同时，给出了 一种可行的推荐信任值综合处理更新方法。 l 。4 本文的组织结构 本文主要由六章组成。 第一章是绪论。简要介绍了课题提出的背景，网格信任模型的研究现状和本 文要进行的工作 第二章是网格安全的发展及现状主要介绍了网格和网格安全问题的相关概 念，以及由此引发的网格环境下的特殊的安全需求，了解网格和网格安全的基本 知识。 第三章是现有的几种网格信任模型的研究。定义了网格信任与信任模型的有 第一章绪论 关概念，并做出详细说明；详细分析了现有的几种网格信任模型，提出了模型各 自的优缺点，并进行比较分析。 第四章是域与自主性相结合的网格信任模型。详细介绍了本文设计的新型网 格信任模型的基本框架、模型中各组成成员；本文用公式详细的讨论了模型中节 点之间、域之间、域和节点之间的信任值的计算，并简要的讨论了这些信任值的 更新。 第五章是模型的仿真和性能分析。本文将第四章中的算法加入到具体的体系 结构中，并详细叙述了信任值的计算流程，讨论了公式中参数的取值，最后分析 了模型优点。 第六章总结了本文所作的工作，并对该课题进一步研究的重点方向进行了展 望。 4 第二二章网格安全的发展及现状 第二章网格安全的发展及现状 本章主要介绍了网格和网格安全问题的相关概念，重点分析了网格的特性， 以及由此引发的网格环境下的特殊的安全需求。了解网格和网格安全的基本知识 是我们分析和解决网格其他问题的基础。 在本章中，我们将介绍下列内容： 网格概念 网格体系结构 网格安全问题概述 2 1 网格概念 网格这一术语于2 0 世纪9 0 年代中期提出，用来表述一种适用于高端科学和 工程的分布式计算体系结构当前在建设这种基础设施一级它的扩展和将其应用 于商业计算方面等都取得了很大的进展网格的概念和相关技术最初是为实现科 研协作中的资源共享而提出来的，首先是在早期的g b s 实验台【l - 2 ，然后规模日 益扩大 3 - 4 1 2 i i 网格的定义 狭义的网格概念被称为计算网格，就是主要用于解决科学与工程计算问题的 网格i a nf o s t e r 曾给出网格的狭义定义【5 i ：“网格是构筑在互联网上的一组新的 技术，它将高速互联网、高性能计算机、大型数据库、传感器、远程设备等融为 一体，为科技人员和普通百姓提供更多的资源、功能和交互性。互联网主要为人 们提供电子邮件、网页浏览等通信功能。而网格功能则更多更强，让人们透明的 使用计算、存储等其他资源。” 但是仍有许多人赞同广义的网格定义，称他为巨大全球网格g g g ( g r e a t g l o b a lg r i d ) ，它不仅包括计算网格、信息网格、知识网格、商业网格，还包括 己有的一些网络计算模式，例如对等计算f i t ( p e e rt op e e r ) 、寄生计算等。 5 第二章同格安全的发展及现状 总之，网格就是利用互联网把分散在不同地理位置的计算机组织成为一台 “虚拟的超级计算机”，实现计算资源、存储资源、数据资源、信息资源、软件资 源、通信资源、知识资源、专家资源等的全面共享图2 1 给出了网格与传统计 算机系统的比较，与现在技术的区别在于，传统互联网实现了硬件的连通，w e b 实现了网页的连通，而网格试图实现全部资源的连通。 镀帆 微机系统 命专行h v hc o m 笱 u n i 蚋l j 响“w 嘶d 口孵 处理嚣等 同倍 同播系统 丹播界面 同格摄作累统( 中向侔 同格资潭硬侔) 图2 1 网格与传统计算机系统的比较 我们可以更形象的描述网格：作为网格节点的每台计算机就是“虚拟的超级 计算机”的计算单元，而互联网则是虚拟的超级计算机”系统总线。在这样的硬 件基础之上，网格计算软件( 如g l o b u s 等) 就是“虚拟的超级计算机”的操作系统， 它管理和分配计算资源，为用户屏蔽底层实现，并提供方便的应用接口用户只 需连上i n t e r n e t 就可以访问“虚拟的超级计算机，完成现在所认为的“不可能完成 的任务” 2 1 2 网格的特点 网格技术作为一种新型的并在将来将起到重要作用的技术，拥有复杂的内在 机制和实现方法，它相对于现在的网络技术有其鲜明的技术特点【6 j ，比如分布性， 共享性、自相似性、异构性等特点。 分布性：分布性是网格的一个最主要的特点。网格的分布性首先是指网格的 资源是分布的。组成网格的计算能力不同的计算机，各种类型的数据库乃至电子 图书馆，以及其他的各种设备和资源，是分布在地理位置互不相同的多个地方， 6 第二章网格安全的发展及现状 而不是集中在一起的。分布的网格一般涉及的资源类型复杂、规模较大、跨越的 地理范围较广。因为网格资源是分布的，因此基于网络的计算一定是分布式计算 而不是集中式计算。在网格这一分布环境下，需要解决资源与任务的分配和调度 问题、安全传输与通信问题、实时性保障问题、人与系统以及人与人之间的交互 问题等等。 共享性：网格资源虽然是分布的，但是它们却是可以充分共享的。即网格上 的任何资源都是可以提供给网格上的任何使用者。共享是网格的目的，没有共享 便没有网格，解决分布资源的共享问题，是网格的核心内容。这里共享的含义是 非常广泛的，不仅指一个地方的计算机可以用来完成其他地方的任务，还可以指 中间结果、数据库、专业模型库以及人才资源等各方面的资源。 自相似性：网格的局部和整体之间存在着一定的相似性，局部往往有许多地 方具有全局的某些特征，而全局的特征在局部也有一定的体现。可以认为国家级 的网格是在省一级的网格基础之上建造起来的，国家级主干网要有更大的带宽， 只有这样才可以将不同省份的子网格连接起来提供满足的通信服务 动态性：对于网格来说，网格不是一成不变的。网格的动态性包括动态增加 和动态减少两个方面的含义。原来拥有的资源或者功能，在下一时刻可能就会出 现故障或者不可用；而原来没有的资源，可能随着时间的推移会不断的加入进来 这种动态变化的特点就要求网格管理者充分考虑并解决好这一问题，对于网格资 源的动态减少或者资源出现故障的情况，要求网格能够及时采取措施，实现任务 的自动迁移，做到对高层用户透明或者尽可能减少用户的损失。 多样性：网格资源是异构的和多样的在网格环境中有不同体系结构的计算 机系统和不同类别的资源，因此网格系统必须能够解决这些不同结构、不同类别 资源之间通信和互操作问题正是因为异构性或者说多样性的存在，为网格软件 的设计提出了更大的挑战，只有解决好这一问题，才会使网格更有吸引力 自治性：网格上的资源，首先是属于某一个组织或者个人的，因此网格资源 的拥有者对该资源具有最高级别的管理权限，网格应该允许资源拥有者对他的资 源有自主的管理能力，这就是网格的自治性。 多重性：多个资源必须接受网格的统一管理，否则不同的资源就无法建立相 互之间的联系，无法实现共享和操作，无法作为一个整体为更多的用户提供方便 7 第二章网格安全的发展及现状 的服务。 2 2 网格体系结构 网格体系结构标识出了网格的基本组成部分，并描述了各个部分的功能、目 的、特点等。到目前为止，比较重要的网格体系结构有两个：一个是由i a n f o s t e r 等人提出的五层沙漏体系结构；另一个是以m m 为代表的工业晃的影响下，考 虑到w 曲技术的影响发展后，由i a nf o s t e r 等人【5 l 结合w 如s e r v i c e 提出的开放 网格服务体系结构o g s a ( o p e i lg r i ds e r v i c e a r c h i t e c t u r e ) 2 2 1 五层沙漏结构 五层沙漏结构【7 1 根据该结构中各组成部分与共享资源的距离，将对共享资源 进行操作、管理和使用的功能分散在五个不同的层次，越向下层就越接近于物理 的共享资源，因此该层与特定资源相关的成分就比较多；越向上层就越感觉不到 共享资源的细节特征，也就是说上层是更加抽象的共享资源的表示，因此就不需 要关心与底层相关的具体实现问题。 如图2 2 所示为五层结构及其与t c p i p 网络协议的比较。五层结构由下向上 依次是：构造层( f a b r i c ) 、连接层( c o n n e c t i v i t y ) 、资源层( r e s o u r c e ) 、汇聚层 ( c o l l e c t i v e ) 、应用层( a p p l i c a t i o n ) 同 i 一 图2 2 五层结构及其与t c p i p 网络协议的对比 构造层：它的基本功能就是控制局部的资源，向上提供访问这些资源的接口。 8 器圈 第二章同格安全的发展及现状 构造层资源是非常广泛的，可以是计算资源、存储系统、目录、网络资源以及传 感器等。构造层应该实现的基本功能包括：查询机制、控制服务质量的资源管理 能力等。 连接层：基本功能是实现相互的通信。定义了核心的通信和认证协议，用于 网格的网络事务处理。通信协议允许在构造层资源之间交换数据，要求包括传输、 路由、命名等功能。实际中这些协议大部分是从t c p i p 协议栈中抽出的建立 在通信服务之上的认证协议提供加密的安全机制，用于识别用户和资源。 资源层：主要功能就是实现对单个资源的共享。资源层建立在连接层的通信 和认证协议之上，定义的协议包括安全初始化、监视、控制单个资源的共享操作、 审计、以及付费等。值得注意的是，资源层协议考虑的完全是单个的局部资源， 因此忽略了全局状态和跨越分布资源集合的原子操作 汇聚层：主要功能是协调“多种”资源的共享。汇聚层协议和服务描述的是 资源的共性，并不涉及资源的具体特征，说明不同资源集合之间是如何相互作用 的由于汇聚层建立在资源和连接层形成的协议瓶颈之上，因此不需要在资源上 强加其他新的要求 应用层：应用层是在虚拟组织环境中存在的从应用程序员的角度来看网格 结构，应用是根据在任一层定义的服务来构造的。这里的应用可以调用更高级的 框架和库。这些框架自身可以定义协议、服务和a p i ，这里只是提出网格中要求 的基本服务与协议 将这样的五层结构称为沙漏形状，内在含义是因为各部分协议的数量是不同 的，对于核心的部分，要能够实现上层各种协议向核心协议的映射，同时实现核 心协议向其它各种协议的映射在五层结构中，资源层和连接层共同组成这一核 心的瓶颈部分如图2 3 所示： 2 2 2 开放网格服务体系结构 在过去几年里，以开放网格服务体系结构o ( ；s a t s l 为标志，网格技术变得明 显成熟和标准化了，o g s a 是五层沙漏结构之后最重要的网格体系结构。 9 第二章网格安全的发展及现状 、工具与应用厂应用层 目我理、诊断与监控等 汇聚层 资埤与服务的安全访产 资源与连接层 质、k 等 构造层 图2 3 沙漏形状的五层结构 o g s a 网格技术是基于面向服务体系结构的。服务就是一种通过信息交换来 提供给客户某种能力的实体。服务可定义为导致服务执行某些操作的特定信息交 换的序列。只按照信息交换来定义服务操作，给如何实现服务以及防治服务带来 了极大的灵活性。在面向服务体系结构中，内部实体都是服务，因此任何对体系 结构来说可见的操作都是消息交换的结果。 下面三个特征强调了服务概念的一般性和应用的广泛性。服务也包括从低级 的资源管理功能到高级的系统监控功能 ( 1 ) 存储服务可以提供操作来存储和检索数据，预留空间，监控存储服务的 状况，并查询和定义服务访问政策，以决定谁能够访问服务 ( 2 ) 数据传输服务提供操作将数据从一个存储服务迁移到另一个存储服务， 对传输状况进行管理和监控，并查询和定义传输请求优先级排序的策略。 ( 3 ) 故障处理服务可以监控其他各种服务的状况，例如存储服务和数据传输 服务，并提供操作使得其他实体获得与错误有关的通知， ：王及查询和定义通知策 略，即谁能够接受通知 设计o g s a 的一个目标是使得服务能以标准方式表示而不依赖于上下文，这 样可以简化应用设计并有利于代码重用。为了实现行为重用，需要把操作组合起 来形成服务接口，然后接口也可以组合起来规定期望行为的服务。o g s a 的第二 个主要设计目标是使服务组合更容易。 i o 第二章网格安全的发展及现状 2 3 网格研究现状 2 3 1 国外研究现状 美国对网格的研究始于九十年代中期。由美国自然科学基金会( n f s ) 资助的 网格项目n c s a t 瑚，n p a c i 2 9 1 和t c r a g r i d 【3 们，美国国家航空航天局( n a s a ) 构造 的网格计划i p g ( i n f o r m a t i o np o w e rg r i d ) t 3 ”，美国国防部( d o d ) 的h p c m p 网格， 美国能源部( d o e ) 的d o es c i e n c eg r i d 网格和连接三大国家实验室( l l n l ， l a n l ，s n l ) 的a s c ig r i d 网格，欧洲的d a t a g r i d ，日本的n i n f 等，都是有影响 的网格研究计划。国际上的网格研究采用开放源码、公开合作的模式。全球网格 论坛g g f ( g l o b a lg r i df o r u m ) 是目前主要的合作组织【3 舶 g l o b u s l 3 3 1 是最有影响的网格研究计划，主要成员是美国a r g o n n e 国家实验 室、芝加哥大学、南加州大学m m 公司现在也参与其中。主要研究任务分4 个方面：网格基础理论和关键技术研究；软件及工具的开发；试验平台的建立； 网格应用的开发g l o b u s t o o l k i t ( t 具包) 是其最重要的成果，提出了开放网格服 务体系结构o g s a ( o f 吼g r i ds e r v i c a r c h i t e c t u r e ) 的详细框架o g s a 将提交 g g f 讨论、细化，并最终成为网格标准。 从各国的投资来看，美国军方正规划实施一个宏大的网格计划，叫做“全球 信息网格g i g ( g l o b a li n f o r m a t i o ng r i d ) ，预计在2 0 2 0 年完成。作为这个计划 的一部分，美国海军和海军陆战队己启动了一个耗资1 6 0 亿美元历时8 年的项目， 包括系统的研制、建设、维护和升级英国政府已投资l 亿英镑，用来研制“英 国国家网格( o kn a t i o n a lg r i d ) ” 随着网格研究在学术界的加速，信息产业界的大公司也相继公布了与网格目 标一致的研究开发计划h p ，m m ，m i c r o s o f t ，s u n 等公司最近取得共识，支持 x m l ，s o a p ，u d d i 等标准，从而更有利于开发新一代的网格应用其目的是 将因特网上的资源和信息汇聚在一起，组合成企业和消费者所需要的服务 2 3 2 国内研究现状 近年来。网格研究在我国也得到了迅速发展，在网格研究上的投入也连年增 l i 第二章网格安全的发展及现状 长。目前，正在进行的比较大的网格项目有以下几个： 中国国家网格专项，由国家8 6 3 高技术研究发展计划资助，旨在建立面向企 业、高等院校、科研机构、政府部门的国家高性能计算坏境。主节点采用自行研 制的、面向网格的高性能计算机。若干工业、服务业、科学研究以及资源环境领 域的网格应用投入运行，实现资源共享、协同工作。该项目己于2 0 0 5 年1 2 月 2 1 日正式开通运行，在高性能计算机、网格软件、网格环境和应用等方面取得 了四大创新性成果：建成了一个具有1 8 万亿次聚合计算能力、支持网格研究和 网格应用的网格试验床中国国家网格；研制出两台面向网格的高性能计算 机，峰值性能每秒1 1 2 万亿次浮点运算的曙光4 0 0 0 a 和峰值性能每秒5 3 万亿 次浮点运算的联想深腾6 8 0 0 ；研制出一套支持网格运行和网格应用开发的网格 软件c n g mg o s ；开发出资源环境、科学研究、服务业和制造业四个领域的1 1 个应用网格，为提升我国的信息化建设水平进行了开创性研究工作刚。 由1 2 所大学联合推出的中国教育网格期望成为“世界上最大的教育网格”， 其目标是实现全国至少1 0 0 所2 1 1 大学的资源共享。应用将涵盖生命科学、图像 处理、远程教育等众多领域 中国空间信息网格是国家投资2 0 0 0 万建立的又一大型网格项目空问信息 网格( s p a t i a li n f o r m a t i o ng r i d , s m ) 是一种汇集和共享地理上分布的海量空问信 息资源，对其进行一体化组织与处理，从而具有按需服务能力的、强大的空间数 据管理和信息处理能力的空间信息基础设施空间信息网格是一个分布的网络化 环境，连接空伺数据资源、计算资源、存储资源、处理工具和软件以及用户，能 够协同组合各种空间信息资源，完成空间信息的应用与服务。在这个环境中，用 户可以提出多种数据和处理的请求，系统能够联合地理上分布的数据、计算、网 络和处理软件等各种资源，协同完成多个用户的请求，确保来自任何空间信息源 的空间信息经过处理能在任何时候发送并服务于在任何地点任何有需求而且有 相应权限的最终用户嗍。 2 4 网格安全问题概述 1 2 第二章网格安全的发展及现状 2 4 1 网格环境下的安全需求 网格是通过开放的网络环境向用户提供服务的，因此它不可避免地要涉及到 网络安全问题。而与传统网络环境相比，网格计算环境极其复杂，它具有大规模、 分布、异构、动态、可扩展等特性，因此其安全所涉及的范围更广，解决方案也 更加复杂 与传统网络环境下客户，服务器或浏览器服务器的应用模型相比，网格应用 所涉及的安全问题要复杂得多。通过以上对网格安全问题的特点的分析，我们认 为网格应用系统具有如下的安全需求。 首先网格技术也属于开放系统互联( o p e ns y s t e mi n t e r c o n n e c t ，o s i ) 的技 术范畴，因此网格环境也需要提供o s i 定义的5 组安全服务 9 1 ： ( 1 ) 认证( a u t l l t i c a t i o n ) 服务：主体、客体的标识与认证； ( 2 ) 访问控制( a c c e s sc o n t r 0 1 ) 服务：主体的授权与访问控制； ( 3 ) 数据完整性( i n t e g r i t y ) 服务：数据存储与传输的完整性； ( 4 ) 数据保密性( c o n f i d e n f i a l i t y ) ) 匣务：数据存储与传输的保密性； ( 5 ) 抗抵赖( n o n - r e p u d i a t i o n ) 服务：防止主体否认自己进行的操作 另外，针对网格安全问题的特殊性，网格环境还应该具有以下安全需求【9 o l ： l 、认证要求 ( 1 ) 单点登录( s i n g l es i g n o n ) ：用户只需在启动计算时进行一次身份认证， 就可以在无需进一步干预的情况下访问任何被授权可访问的资源，即在计算过程 中获得资源、使用资源、释放资源及进行内部通信时无需再次认证； ( 2 ) 认证保护：用户认证( 密码、密钥等) 受到保护： ( 3 ) 委托( d e l e g a t i o n ) ：用户能够将身份权授予一个程序，以使该程序可以 访问用户被授权的资源另外，该程序还可以进一步委托另一个程序； ( 4 ) 可兼容不同的本地安全方案：网格环境中的不同站点或资源提供者可 能实施了不同的本地安全方案，而整体的网格安全解决方案应能兼容这些不同的 本地解决方案，而不能要求改变本地安全方案； ( 5 ) 本地安全解决方案的互用性：当安全解决方案能提供域间访问控制机 制时，对局部资源的访问应由本地安全机制决定： 第二章舟格安全的发展及现状 ( 6 ) 基于用户的信任关系：为使用户在计算过程中同时使用多个资源提供 者提供的资源，网格安全方案在配置安全环境时不应该要求各个资源提供者彼此 之间两两交互和协商的过程。 ( 7 ) 统一的认证机构：域问访问用最小的、通用的方法表示安全主体，如 用x 5 0 9 v 3 作为标准。 2 、通信保护要求 ( 1 ) 灵活的消息保护机制：一个应用可动态地配置服务协议，可灵活地选 用不同级别的消息保护机制。选用的根据是消息的敏感性、性能要求、通信的参 与者等因素： ( 2 ) 支持安全组通信：通信可能包含许多需要作为一组协调活动的进程， 当前还没有安全解决方案支持该性质，即使是g s s - a p i 也一样。 3 、授权要求 ( 1 ) 由资源所有者或资源所有者代理决定授权：应由资源所有者或其代理 决定允许访问资源的主体，以及访问的条件； ( 2 ) 受限委托：为降低委托凭证带来的安全隐患，应能限制由委托关系继 承来的权利的使用。 2 4 2g l o b u s 网格安全基础设施g s i 简介 g s i ( g r i ds e c u r i t y h l 鼢仃u c t u r e ) i o l 是g l o b u s t o o l k i t 4 ( g t 4 ) 中的安全组 件，用以实现网格实体在开放网络上进行身份验证、授权和安全通信。其主要功 能【i l 】如下： ( 1 ) 保证网格实体之间的通信是安全的、防止篡改的，这些网格实体包括 用户、资源和程序； ( 2 ) 网格用户在使用多个资源时具有单点登录的能力； ( 3 ) 从一个实体到另一个实俸的权限委托，使用类似代理的操作； ( 4 ) 参与组织中安全机制的互操作性。 g s i 既提供了资源端工具，又提供了客户端工具。g s i 的资源端工具包括 用来识别资源的x 5 0 9 证书。客户端工具包括用来创建i 临时证书( 代理( p r o x y ) ) 1 4 第二章网格安全的发展及现状 的工具，以及用来执行单点登录和权限委托的工具。客户机与目标资源使用 x 5 0 9 证书相互进行身份验证，并在第一次握手之后，建立一个安全的加密通信 通道s s l ( s e c u r es o c k e t sl a y e r ) 进行安全通信。 此外，客户机还可将自己的证书委托给资源，让后续的资源访问得以继续， 而不用自己再干预。资源利用网格映像文件将目前的证书与一个本地用户账号关 联在一起，并使用这个本地账号的权限派生一些进程。另外，它可以利用诸如社 区授权服务c a s ( c o m m u n i t y a u t h o r i z a t i o ns e r v i c e ) 之类的工具进行更细粒度的 身份验证操作。由于g t 4 消息是基于简单对象访问协议s o a p ( s i m p l eo b j e c t a c c e s sp r o t o c 0 1 ) 的，因此也可以启用消息级的安全性来为这些消息提供保护， 并确保这些消息的完整性。 g s i 使用w e bs e r v i c e 社区中的各种标准和规范实现了一系列的标准，从而 满足了基本安全性的需求。g s i 所有的功能都是基于公钥加密( 也称为不对称 密钥加密) 的。它使用了x 5 0 9 终端实体证书e e c 来建立持久性的实体身份， 引入了x 5 0 9 代理证书，支持委托，并为临时和短期存在的实体建立身份。g s i 同 时支持传输层的安全性和消息级的安全性传输层的安全实现可以在网格实体之 间使用t l s 和x 5 0 9 证书进行身份验证消息级的安全性实现了对w s s e c u r i t y 和w s s e c u r c c o n v c r s a t i o n 规范的支持 1 5 第三章几种同格信任模型研究 第三章几种网格信任模型研究 网格环境中的信任关系非常复杂，它需要支持动态的、可配置和瞬间服务的 管理。本章首先对信任和信任模型的有关概念进行了详细的定义和说明，在此基 础上，对现有的几种典型的信任模型进行比较分析，并指出模型的优缺点。 在本章中，我们将介绍下列内容 信任问题概述 设计信任模型的需求 网格计算中信任模型研究现状 3 1 信任问题概述 3 1 1 信任与信任模型的相关概念 信任的定义： 目前网格业界并未就信任的定义达成共识。本文对信任及文中所涉及的主要 概念定义如下： ( 1 ) 信任( t r u s 0 ：指对节点身份的认可及对节点能够按照预想完成其行为 的能力的信赖信任用信任值来度量。信任值并不是一个与节点身份绑定的固定 值而是以节点身份为参照，并依赖于特定时间段及特定上下文环境的变量从上 述定义可以看出，我们指的信任既包含身份信任也包含行为信任。 ( 2 ) 信任值( t r u s tv a l u e ) ：信任的量化，用以表示信任的程度。信任值可 以是抽象的也可以是具体的，可以是离散的也可以是连续的 ( 3 ) 直接信任( d i r e c t t r u s t ) ：指已发生过直接交易的节点之问的信任。 ( 4 ) 间接信任( r e c o m m e n d e dt r u s t ) ：指从未发生过直接交易的节点之间的 信任，或者节点的信任关系是以第三方为桥梁得到的，而第三方与二者均有直接 信任关系。另外，需要指出的是在实际交易中，此第三方可能为单个节点也可能 是信任关系链，即节点信任关系的取得不一定是单步的 ( 5 ) 直接信任值( d i r e c tt r u s tv a l u e ) ：节点因直接交易行为而生成的信任 l 第三章几种同格信任模型研究 评估值。通常在交易结束后生成，大小依赖于交易节点对交易的满意程度 ( 6 ) 间接信任值( r e c o m m e n d e dt r u s tv a l u e ) ：节点对欲交易节点声誉计算 或通过第三方传递得到的关于交易节点的信任值。 ( 7 ) 信任模型( t r u s tm o d e l ) ：指建立和管理信任关系的框架，是进行平 台框架设计的前提和指导原则。 ( 8 ) 信任域( t r u s td o m a i n ) ：指一个组织内的个体或在服从一组公共安全 策略的系统集。个体可以是个人、服务器以及具体的应用程序等。 ( 9 ) 信任管理( t r u s tm a n a g e m e n t ) ：包含了两个方面，一个是对于信任链 的维护与管理，一个是对信任域问信任关系的管理与维护。用户是信任的主要参 与者，因此应主要由用户自己来判断是否该相信谁和该相信什么。 信任关系的分类： 按照不同的分类标准可将信任关系划分成不同的种类： ( 1 ) 按信任属性不同可以分成：身份信任和行为信任 ( 2 ) 按信任获得方式不同可以分成：直接信任和推荐信任( 间接信任) ( 3 ) 按信任在网格应用全生命周期中扮演的角色的不同f 1 2 1 可以分成：代 码信任、权威信任( 第三方信任) 、执行信任等 ( 4 ) 按信任模型构建的理论基础不同可以分成：基于主观逻辑【1 3 。6 】的信任 和基于模糊逻辑17 】的信任 信任关系值的性质： 通过对信任关系的研究，我们认为信任有如下性质： ( 1 ) 信任是一个主观概念： ( 2 ) 信任是随时间推移和节点行为的变化而动态变化的： ( 3 ) 信任是附属于某个特定节点或特定域的，需要一个承载体； ( 4 ) 信任是非对称的，即产生信任的两个节点的信任评估未必是等值的。 简单说，若a 与b 发生信任关系，则a 对b 的信任值与b 对a 的信任值不一 定相等； ( 5 ) 信任是有条件传递的，即节点a 对b 的最终信任值不一定等于a 的 推