（计算机应用技术专业论文）网格环境下的信任模型及基于信任机制的任务调度.pdf

摘要 摘要 本文针对网格环境下实体之间的信任关系存在模糊性的特点，及譬静大多数 信任模型把信任的模糊性等同于随机性的不足，以模糊集理论为基础，利用l 一 模糊集的理论，对网格环境下实体闻的信任关系进行了自然语言的建模，建立了 一种新的网格环境下基于l 一模糊集的信任模型。该模型用语言变量刻画实体间 的信任，利用上下文无关文法进行形式化描述，溺模糊算子刻画信任等级，同时 还给出了基于信任的三i 算法，并对基于信任的多条推荐规则进行了模糊推理， 以达到对多条推荐信任的综合评价。为了评价这种信任模型的性能，给出了性能 评价丞数。仿真实验的结果表明，该信任模型能有效地防止恶意节点的攻击。 在此模型和m i n m i n 算法的基础上，提出了基于信任的网格调度算法 l f s t m m i n - m i n ( l - f u z z ys e tt r u s tm o d e l m i n m i m ，该算法以模糊逻辑为基础， 使用三i 算法对多条推荐信任规则进行模糊推理，达到对信任的综合评价。 g r i d s i m 网格模拟器仿真实验结果表明，在同等条件下该算法与m i n m i n 算法相 比较，任务最后完成时闻明显地降低、失效服务数大大地减少。 关键词：信任模型模糊集语言交量调度算法三l 算法 a b s t r a c t a b s t r a c t s i n c et h ef u z z i n e s so ft r u s t r e l a t i o n s h i p sb e t w e e ng r i ds u b j e c t s i ng r i d e n v i r o n m e n t ，a n dt h ed i s a d v a n t a g e so fam a j o r i t yo ft r u s tm o d e l st h a tt r e a tt h e f u z z i n e s sa sr a n d o m i c i t ya tp r e s e n t ，an o v e lt r u s tm o d e lo fg r i ds u b j e c t sb a s e do nt h e l - f u z z ys e tt h e o r yi sp r o p o s e d a tt h es a m et i m e ，i td e s c r i b e st r u s tb e t w e e ne n t i t i e sb y l i n g u i s t i cv a r i a b l e s ，p r e s e n t saf o r m a l i z e dd e p i c t i o nb a s e do nc o n t e x t f r e eg r a m m a r a n du s e sf u z z yo p e r a t o r st od i s p o s et r u s tl e v e l s t r i p l eim e t h o do ft r u s ti sp r e s e n t e df o r f u z z yr e a s o n i n gb a s e do nt h em u l t i r e c o m m e n d a t i o nr u l e si no r d e rt og e tg o o d c o m p r e h e n s i v ee v a l u a t i o n sf o rr e c o m m e n d a t i o no ft r u s t f o rt h es a k eo fp e r f o r m a n c e o ft h i st r u s tm o d e l ，af u n c t i o no fe v a l u a t i o ni sb r o u g h to u t t h er e s u l t so fs i m u l a t i o n e x p e r i m e n ts h o wt h a tt h ep e r f o r m a n c ei si m p r o v e dd i s t i n c t l y an e wt a s ks c h e d u l i n g a l g o r i t h ml - f s t m m i n - m i i l ( l - f u z z y s e tt r u s t m o d e l - m i n - m i n ) b a s e do nt h i sm o d e la n dm i n m i na l g o r i t h mi sb r o u g h to u t t h i s a l g o r i t h mu s e st r i p l eim e t h o dt om a k ef u z z yr e a s o n n i n gf o rm u l t i r e c o m m e n d a t i o n t r u s tr u l e sb a s e do nf u z z yl o g i ca n da c h i e v e sc o m p r e h e n s i v et r u s te v a l u a t i o n t h r o u g h t h ee x p e r i m e n tb yg r i d s i ms i m u l a t o r , t h er e s u l t ss h o wt h a tt a s kc o m p l e t i n gt i m ei s o b v i o u s l yr e d u c e da n dt h a t t h en u m b e ro ff a i l e d s e r v i c e si s g r e a t l y d e c r e a s e d c o m p a r i n gw i t hm i n - m i na l g o r i t h mi nt h es a m ec o n d i t i o n k e y w o r d s ：t r u s tm o d e lf u z z ys e tt h e o r yl i n g u i s t i c v a r i a b l e s s c h e d u l i n g a l g o r i t h mt r i p l eim e t h o d 西安电子科技大学 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容外，论文中不包 含其它人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或其 它教育机构的学位或证书使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：2 昝幽蔓囟 日期： 关于论文使用权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果署名单位仍然为西安电子科技大学，学 校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部 或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文在 解密后遵守此规定) 本学位论文属于保密，在年解密后使用本授权书。 本人签名： 导师签名： 书子 r 期： 同期：短b 滹 第一章绪论 7 第一章绪论 i n t e r n e t 的流行和高性能计算机的利用以及低消耗高速网络的发展，不但改变 了人们的思想观念和生活方式，也改变了人们今天使用计算机的方式。特别是近 十几年的计算机硬件和软件的发展，使计算机网络成为单个统一强大的计算机资 源的梦想正在逐步成为现实。人们希望更迸一步地共享互联网上的一切资源，包 括处理能力、存储容量、数据库、应用软件、文件等。实现这一梦想的途径就是 建立各种“网格”，诸如计算网格、信息网格、知识网格、服务网格等。 网格概念提出于9 0 年代中期，用于表达在高端科学和工程上分布式计算的一 种基础构造形式。从那以后，在相关基础的构建上，取得了相当大的成就。简单 地讲，网格就是把整个因特网整合成一台巨大的超级计算机，实现计算资源、存 储资源、数据资源、信息资源、知识资源、专家资源等的全面共享。这种计算模 式是利用互联网将分散在不同地理位置的计算机组织成一个“虚拟的超级计算机”， 其中每一台参与计算的计算机就是一个“节点”，而整个计算系统是由成千上万个 “节点”组成的“一张网格”，所以这种计算方式叫网格计算【l 巧】。这种构建在互联网 上的一组新兴技术，为科技人员和普通百姓使用各种计算机资源提供了方便。 2 0 0 0 年，i a nf o s t e r 【卜5 j 把网格进一步描述为“在动态变化的多个虚拟机构间共 享资源和协同解决问题。”因为网格资源是分布的，因此基于网格的计算一定是 分布式计算而不是集中式计算。在网格这一分布式环境下，需要解决资源与任务 的分配和调度问题，安全传输与通信问题，人与系统以及人与人之间的交互问题 等等。网格资源虽然是分布的，但是它们却是可以充分共享的。即网格上的任何 资源都可以提供给网格上的任何使用者。共享是网格的目的，共享是有条件的， 必须符合一定的约束，如信任关系、策略等。 网格计算技术从最初希望能够将超级计算机连接成为一个可远程控制的元计 算机系统( m e t a c o m p u t e r s ) ，到目前试图提供一种能够聚集网络上广泛分布的各种 资源，进行大规模计算和数据处理的通用基础支撑结构，为各种应用开发提供底 层技术支撑，将i n t e m e t 变为一个功能强大、无处不在的计算设施。人们预言，网 格计算技术和应用将成为i n t e m e t 信息技术的下一个浪潮。 1 1 课题来源及研究意义 网格是以i n t e m e t 作为通信支持平台。而i n t e m e t 是一个开放性、异构性极大的 网格环境卜的信任模型及基r 信任机制的任务凋度 公共网络，这使得在i n t e m e t 上运行的网格任务面临各种各样的威胁，即存在各种 安全问题。 ( 1 ) 数据被截取； ( 2 ) 信息的内容被篡改或删除； ( 3 ) 虚假、恶意的节点提供虚假的服务； ( 4 ) 存在自私节点，它们只消耗资源，而不提供资源； ( 5 ) 实体可信赖、可依靠的程度。 对于这些威胁，有些来自系统外部，如：数据被截取，信息的内容被篡改或 删除；有些来自系统内部，如：虚假、恶意的节点提供虚假服务，存在自私节点， 它们只消耗资源，而不提供资源。不可靠的实体会降低协同工作的效率，甚至造 成协同工作的失败。 同时，在网格环境下，资源的管理方式已经不再是集中的、封闭的，可控的， 而是开放的、分布式的。共享的网格资源一旦收到恶意代码的侵害可能会威胁到 运行在网格平台上的应用程序。在资源共享的网格环境中，会存在一些自私的节 点，只是利用或占用其他节点的资源，而不是提供任何资源。还可能存在一些恶 意节点提供虚假资源，试图扰乱系统的正常运行。 以上种种情况使得网格环境的信任问题显得尤为突出。所以需要建立一种信 任模型，来评价网格资源可信任、可依靠的程度。 同时，现在是网格发展的初期阶段，网格其实可以看作一个超大的分布式集 群计算环境。不同的单处理机具有不同的计算能力，合理有效的利用并行机的各 种资源，我们必须进行用户应用程序的任务调度，使得每个机器都能够有适当的 任务负载量，充分发挥其作用。而在网格计算中，任务完成是通过多个实体参与 协同完成的。既然多个实体需要协同工作，那么要进行协同的前提是彼此建立良 好的信任关系。信任关系对于协作伙伴的选择尤为重要，选择信任度高的协作伙 伴可以提高网格任务完成的成功率。 人类的应用需求正迅速朝着高性能、多样性、多功能方向发展。许多大规模 科学计算应用不仅仅需要一台高性能计算机，它还更需要有多种机器组成、多个 系统合作、多台科学仪器相连的网络虚拟超级计算机。这些应用要求将地理上分 布的、异构的多种计算资源通过高速网络连接起来，共同完成计算问题。网格的 最大优点之一是对地理上分布的各种计算资源和数据资源进行共享，但这些共享 必须建立在安全访问的基础上。 网格技术的出现，使得网格安全呈现独有的特性：用户群体数目庞大且动态 变化；资源和服务提供者数目庞大且动态变化；动态使用关系；应用层通信协议 不相同；各种不同的安全机制和安全策略。这样对网格系统的安全分析更加复杂。 传统的安全技术和手段不能够安全解决网格安全问题。信任模型能够动态的描述 第一章绪论 9 网格实体之间的信任关系，使得网格系统变得更加健壮、安全。 网格服务跨越多个安全域，这些域中的信任关系在点对点的跨越中起着重要 的作用。每一种服务要将它的访问要求阐述清楚，就可以安全地访问这些服务的 实体。信任的建立过程对每个会话来说或许是一次性的活动，也有可能对于每一 次请求都要动态地进行评估。由于网格的动态特性，在应用程序执行前，预先在 这些域中建立信任关系变得很困难。总之，网格环境中的信任关系非常复杂，它 需要支持信任的动态变化。通过在网格系统内部建立信任关系，来评价实体的安 全性和可靠程度，进而提高计算的成功率，及其整个系统的安全性。 信任分为身份信任和行为信任。传统的安全所考虑的只是身份信任，涉及到 用户或服务器的身份认证，以及通过授权的资源访问控制。所谓行为信任，是指 在两个或多个实体之间交易时，根据实体在交易过程中所表现的行为做出评价。 对实体的行为信任进行建模的目的是为了形式化地研究在开放网络中符合对实体 的信任度进行定义、评价和推导。目前像网格这样大的分布式系统，资源和用户 密集，而且它们之间的关系高度动态变化，这样就需要一种准确高效的信任模型 来描述这种信任关系，实时地计算实体可信程度。 同时信任模型作为网格系统的重要组成部分，为安全决策提供重要的参考依 据，在协同工作、资源分配、访问控制、作业调度中已经得到了应用。 因此，网格环境下的信任模型以及基于信任机制的网格任务调度算法的研究 成为很活跃的区域。本课题正是来源于这一研究领域，通过对网格环境下信任模 型的研究，并在信任模型的基础上，对任务调度算法进行了深入的讨论，进而提 高网格的整体性能。 1 2 研究背景 网格技术有自己特定的需求背景和所解决问题的领域。i a nf o s t e r 认为，网格 技术所针对的是“网格问题”。“网格问题”的定义是：“网格概念是在动态的、多个 单位参与的虚拟组织之间进行协同工作和资源共享( t h eg r i di sc o o r d i n a t e dr e s o u r c e s h a r i n ga n dp r o b l e ms o l v i n g i nd y n a m i c ，m u l t i i n s t i t u t i o n a lv i r t u a lo r g a n i z a t i o n ) ”从定 义可以看出，网格问题的三个关键点是：其一。资源共享。共享是有条件的，必 须符合一定的约束，如信任关系、策略等。其二，协同工作。g r i d 不仅能够为使 用者提供资源，而且能够支持在资源共享的基础上进行的协同工作。为了满足这 个要求，传统的c s 模式是不够的，而更多是一种p 2 p 的模式。其三，g r i d 所面 对的是一种特殊的用户群体，即动态的、 出就是为了解决如何在多个动念建立的、 样的资源综合、协同使用的问题。 多单位参与的虚拟组织。网格技术的提 分布式的、异构的虚拟组织中将各种各 l o 网格环境f 的信任模型及基丁信任机制的任务调度 以前的i n t e m e t 只是给一定的用户主要是学者和科学家提供有限的服务。现在， 它已经发展成为一个流行的工具，用来提供大范围的服务。将来，它可以被任何 人用来在任何地方进行商业交易，这也将带来越来越多的不确定性和安全隐患( 比 如恶意攻击或者由于在线实体的疏忽而引发的安全问题) 。现有的一些安全问题有： 病毒、特洛伊木马、嵌入到文档中的a p p l e t s 和m a c r o s 破坏含有敏感财政信息的 数据库等。普通的用户不具有专门的技术和经验来识别在线交易中潜在的安全隐 患。这就需要给用户提供一种信任评估机制，使得用户能够评估一个实体的可信 度。 现有的安全技术使我们能在通信中建立一定程度的信任。例如，加密算法用 来提供保密性和数字签名，认证协议提供认证，访问控制方法用来管理授权。然 而，这些方法都不能管理更多的关于可信度的内容，不能有效的管理信任。比如， 通过加密算法，我们不能判断一段数字签名的代码是否是经过合法的程序员授权： 一个签名的公钥证书也不能排除它的所有者不是一个工业间谍，也就是说通过数 字签名只能找到签名者，而不能判断该签名者是否值得信任。加密算法和防火墙 是硬安全( h a r d s e c u r i t y ) 机制的例子，它们有通用的性质，即允许安全访问或者安 全不允许访问。硬安全机制还假定安全的确定性。 信任机制是硬安全技术的补充，也被称为软安全( s o f t s e c u r i t y ) 机制。口令和 数字证书，它们只保证了认证和授权，并不能保证按用户需求的方式进行授权( 比 如限制性授权) ，也不能有效的根据用户需求来提供服务。换句话说，硬安全机制 仅仅提供了对合法性的低层检验，而信任管理使得用户要为它的行为负责，即使 是合法行为。当信任的第三方不存在时，信任机制就显得更为重要了。 在网络时代，全球因特网上的分布式计算变得越来越重要。由于到处都可能 存在潜在的攻击者，为了提供安全保障，授权机制在分布式系统中是非常必要的。 然而，传统的授权机制没有信任管理，它们不能为多种多样的应用提供健壮性， 扩展性也不好，不能适应现在同益扩展的系统。它们有以下限制：首先，传统的 安全方法把对认证和访问控制分离成两个过程，也就是说，系统先解析发出请求 的用户的身份，然后决定是否授权用户访问请求的资源。这种方法的弊端就是不 牢靠的认证会导致整个授权过程的失败。其次，很多安全策略并不能直接体现在 访问控制中，它们必须被固化到应用中，当安全策略改变时就要求对应用重新配 置、重建或者重写。这使得系统的扩展性不好，很难适应现今世界的动态性。另 外，在分布式系统中，对于不同的用户，不同的管理域和实体的信任策略也不同， 所以安全机制不应该是统一的，也不应该对信任关系作某些假定。 由此可见，信任机制作为硬安全技术的补充，在网格安全中尤为显得重要。 第一章绪论 1 2 1 网格安全现状 网格计算( g r i dc o m p u t i n g ) 环境的出现使得大规模跨组织、跨区域的数据共享 和分布式应用程序发布成为可能，其核心内容是以基础设施( i n f r a s t r u c t u r e ) 的方式 对“虚拟组织”( v i r t u a lo r g a n i z a t i o n ，简称v o ) 的创建和维护进行支持。网格计算系 统要求不影响节点的本地管理和自主性，不改变原有的操作系统、网络协议和服 务方式，保证用户主机和远程节点的安全性，允许远程节点选择加入或退出系统， 尽量使用已存在的标准技术，以便与已有的应用兼容，并提供可靠的容错机制。 网格计算系统的这些要求对传统的计算机技术提出了巨大挑战。 由于网格的跨组织性，使得安全性支持在其中显得尤为重要。缺乏有效的安 全机制将会限制网格技术的进一步发展和网格应用的进一步推广，因此网格计算 系统的安全问题是网格计算系统的基本问题，网格计算系统的安全研究成为网格 计算系统研究中的热点和难点。 从本质上讲，i n t e m e t 的安全保障一般提供下面两个方面的安全服务；一方面 是访问控制服务，用来保护各种资源不被非法用户使用或者合法用户越权使用， 也就是保护各种资源不被非授权用户使用；另一方面是通信安全服务，用来提供 通信端的双向认证、通信数据的保密性和完整性( 防止对通信数据的窃听和篡改) ， 以及通信端的不可否认性服务。但是这两方面的安全服务不能安全解决网格计算 系统的安全问题。网格计算系统必须能够满足用户安全高效的使用资源的需求。 同时为了用户使用的方便，网格计算系统必须连接到i n t e m e t 上，这就要求网格 计算系统必须具有抗拒各种非法攻击和入侵的能力，并且在受到攻击和入侵的时 候能够采取某些措施以维持系统的正常高效运行和保证系统的各种信息安全。网 格计算系统中的安全问题比一般意义上的网络安全问题的覆盖面更广，解决方案 也将更加复杂。 网格计算系统涉及的安全问题包括以下这些情况：防止伪装用户、防止伪装 服务器、防止对用户数据的窃听和篡改、防止用户否认、防止远程攻击和入侵、 防止非法用户使用资源、防止合法用户越权使用资源、保证进程间的通信安全、 防止恶意程序运行、保证系统的安整性。对于防止伪装用户和防止伪装服务器， 可以使用双向认证的方式加以解决；对于防止对用户数据的窃听和篡改，可以采 用加密传输和签名传输的方式加以解决； 对于防止用户否认，可以采用对摘要进行签名的方式加以解决；对于防止远 程攻击和入侵，可以采用防火墙和入侵检测系统加以解决；对于防止非法用户使 用资源和防止合法用户越权使用资源，可以采用对用户进行限制性授权的方式加 以解决，这就需要确定系统中的用户和资源的安全级别，制定对用户的限制性授 权策略，以及相应的用户权限管理机制；对于保证进程问的通信安全，可以采用 1 2 网格环境。卜的信任模型及基丁信任机制的任务调度 双向认证、加密传输和签名传输的方式加以解决；对于防止恶意程序的运行，可 以采用基于主机的入侵检测系统加以解决；对于保证系统的完整性，可以采用完 整性检查机制加以解决。 对于网格计算系统涉及的大部分安全问题，可以采用目f j i 已有的安全技术加 以解决。但是在网格计算系统中这样一个复杂的、动态的、广域的范围内，对用 户进行限制性授权等无法使用目前已有的安全技术加以解决，这就是网格计算系 统安全研究领域一个具有挑战性的研究方向。 国内外已经开展了很多网格计算系统安全方面的研究工作，试图解决网格计 算系统中的安全问题。针对网格的特点及安全问题g c f ( g l o b a lg r i df o r u m ) 铝l j 定 了网格安全体系g s i ( g l o b u ss e c u r i t yi n f r a s t r u c t u r e ) 。g s i 主要是通过公钥体系 ( p u b l i ck e yi n f r a s t r u c t u r e ) 及建立于其上的分布式信任模型( d i s t r i b u t e dt r u s tm o d e l ) 来实现。 g s i 采用基于公钥基础设施p k i 的x 5 0 9 证书和t l s s s l 通信协议，并且扩 展了一次登录( s i n g l es i g n o n ) 和代理功能。目前g s i 基础能满足身份认证、授权、 完整性和机密性的功能，能够抵御来自系统外部的威胁。针对内部攻击，g s i 提 供第三方c a 作为可信机构来给用户签发证书，对实体身份进行认证。虽然身份 认证保证了身份的信任，但是这种信任关系是静态的，不能反映实体在网格环境 中由于多次交互而产生的动态信任关系。这样就需要一种准确高效的信任模型来 描述这种信任关系，实时地计算实体可信程度。 目f j 关于信任的研究已经很多，下面着重介绍一下当前信任管理存在的一些 问题。 1 2 2 网格信任管理 信任管理提供了一个适宜解决分布式系统下的安全问题的框架。基于凭证的 信任管理实质上是基于凭证，存在着一些不足： ( 1 ) 安全度量绝对化，采用策略一致性证明验证的方法进行安全度量和决策， 该方法过于精确，不能很好地适应分布式环境下的多变性和不确定性。 ( 2 ) 无法实时地满足动态的安全环境的变化，安全策略验证的能力和效率有 限，并且大部分信任管理系统在策略一致性证明验证前必须收集足够的安全凭证。 ( 3 ) 难以处理不确定的安全信息。 ( 4 ) 安全策略的制定过程较为繁复，也阻碍了这些信任管理系统的应用。基 于信誉的信任管理提出的信任度量和评估，其实质是采用一种相对的方法对安全 信息进行度量和评估，能够较好地反映出分布式环境下的的多变性和不确定性， 并且该方法较适合信任信息收集评估的自动化实现。但当前几个代表性的信任度 第一章绪论 评估模型还存在一些问题： ( 1 ) 信任的表述和度量的合理性有待于进一步解释，现有的模型倾向于采用 事件概率的方式来表述和度量信任关系，都是基于一定的概率分布假设。 ( 2 ) 不能很好地解决恶意推荐对信任度评估的影响，现有的模型大多采用求 简单算术平均的方法综合多个不同推荐路径的信任度。 ( 3 ) 当前的信任度评估模型缺少灵活的机制，如参数设置，以反映不同主体 进行信任评估时所具有的个性特点。 ( 4 ) 有些模型虽有信任的推导和综合公式，但没有解决初始信任值如何获得 的问题。 在基于凭证的信任管理系统中，实体通过使用凭证验证来建立同其他实体的 信任关系，此类系统的主要的目标是实施访问控制，其信任管理概念仅限于凭证 验证，并根据具体应用的安全策略来对资源访问实施控制，只有资源所有者验证 请求实体的凭证才能提供其访问权限。基于凭证的信任管理技术将信任视作一个 静态的概念，应用开发人员需要使用代码来评价信任，不能充分地模拟信任的动 态性、主观性，以及可度量性。随着分布式计算技术的发展，如网格，p 2 p 等开 放系统的广泛应用，系统环境更趋向于开放、动态，其中的节点具有更大的自主 性，节点间的协作具有更大的动态性，仅使用策略的方式来表达节点间的信任关 系具有明显的不足，在此类开放系统中节点间的相互信任关系通常受到对方的行 为表现所影响，各个节点有自身的主观倾向，这些都无法使用静态的策略进行表 达，因此基于凭证的信任管理技术不可能为所有的分布式应用提供完整的、通用 的信任管理方案。在另一方面，基于信誉的信任管理技术，如s p o r a s h i s t o s ， b e t a , e i g e n t r u s t 等，更贴切地模拟了人类社会中信任机制，实体可以搜集、处理、 扩散其他实体在系统中多方面的信息，并建立与其的信任关系，相应地也可以评 估其所提供资源或服务的信任。 这两种信任管理技术不可能分出孰优孰劣，前者建立了稳定的、可验证的信 任关系，而后者建立了动态的、主观的信任关系。t g r a n d i s o n 统一了这两种信任 管理技术的定义：信任管理是在i n t e m e t 应用的信任关系评价和判断中，抽集、 整理、分析、评估与能力、诚实、安全或可靠性相关的信誉的活动。p o v e y 也给 出了一个更具一般性的信任管理定义：信任管理是信任意向( t r u s t i n gi n t e n t i o n ) 的 获取、评估和实施。当前的信任管理技术研究中也引入了其他决策因素，如风险、 开销、收益等。 由此可见，信任管理研究仍是以后网格安全研究的热点。 1 4 网格环境f 的信任模型及基丁信任机制的任务调度 1 2 3 网格任务调度 网格的出现，对分布式任务调度研究提出了新的挑战。如何有效的对网格上 的任务进行调度是影响网格计算是否成功的重要因素之一。从本质上来讲，网格 就是一个基于广域网构建的分布式计算系统，它与传统的分布式系统的主要区别 在于它具有广域性、异构性、动态性三个特点。它主要应用于解决科学、工程、 商业领域中规模庞大、计算复杂、需要使用多种异构资源的计算问题。在传统的 并行和分布式调度问题中，所涉及的计算资源是同构的、集中的，不用过多的考 虑资源的异构问题和通讯开销。但是由于网格资源所具有的这些特点以及网格应 用的复杂性，以前针对传统的分布式计算的调度方法己经不适用于网格环境中的 任务调度。 目前，已有许多科研组织对网格任务调度进行了研究，其中包括将传统的分 布式计算中的任务调度算法应用到网格计算中来，常用的调度算法f 2 5 】包括： m i n m i n 算法、m a x m i n 算法、贪婪算法、遗传算法、s u f f e r a g e 算法、x s u f f e r a g e 算法、蚂蚁算法等。 本文对基于信任机制的网格任务调度算法进行了研究，并对算法的性能进行 了比较分析。 1 3 论文创新之处 目前，信任的研究中所讨论的信任实际上包含两种相互关联的信任关系。一 种是对客体( 如标识、证书等) 的信任，这种信任是基于证据的，所以可以精确地描 述、推理和验证。另一种信任是主体之间的信任，本文称其为主观信任。主体是 指由人或由人和客体的混合体所构成的个体或群体。主观信任是一种人类的认知 现象，是对主体的特定特征或行为的特定级别的主观判断，而这种判断是独立于 对主体特征和行为监控的。它本质上是基于信念的，具有很大的主观性、模糊性， 无法精确地加以描述和验证。 对主体信任进行研究，远比对客体之间的信任关系进行研究要复杂得多，主 体间的信任由于涉及到对其他主体的主观认识，具有模糊性，因而无法用常规的 精确逻辑来描述和处理。所以，在信任研究中需要寻求一种既能反映主体信任的 模糊性，又具有直观、简洁语义的机制来满足要求。而对主体信任进行自然语言 建模的目的是为了形式化地研究在开放的网格环境中人们是如何对其他主体的信 任度进行定义、评价的。 自从z a d e h 提出模糊集理论之后，为描述模糊性现象提供了有利的工具，而l 一 模糊集不仅具有描述模糊性的优势，而且它又是一个广义的模糊集，其隶属度不 第一章绪论 再局限于f 0 ，1 1 区间，而是扩展到整个格上，因此，为刻画模糊性现象提供了更加 宽广的空间。 如果把模糊集合和实体问的信任关系进行类比，普通集合对应实体问的最简 单信任关系，o 表示不信任，l 表示信任。普通模糊集合则可以表示以【o ，1 】中一个 值来衡量实体间信任关系的程度，越接近1 表示信任程度越高；相反，越接近o 表 示信任度越低。不过这些都是以一个具体数值大小来表示实体问信任的程度。现 实中信任是想当复杂的，大多是类似“非常相信、一般相信、有点相信、不相信” 等基于自然语言的信任度。 语言变量的值不是数而是自然语言或人工语言中的字或句。一般来说，字没 有数那么精确，故语言变量的概念用于提供一种近似的表征方法，以表征那些太 复杂或定义太不完善而不适于用通常的量化术语加以描述的现象。更准确地说， 代表和一个语言变量的值相结合的限制的模糊集合，可以看作为论域中元素各个 子类的概括。这和自然语言中的字和句所起的所用相似。 语言变量的概念一个重要的方面是，在语言变量取模糊集合作为它的值的意 义上，语言变量比起模糊变量是一个更高级的变量。另一个重要的方面是，一般 而言，一个语言变量有两个规则与之相结合：句法规则，它可能具有一种文法 的形式用于产生变量的值的名称；语义规则，它定义一个算法过程，用于计算 每个值的辞义( m e a l l i n g s ) 【1 2 - 13 1 ，这两个规则组成构成式语言变量的主要特征。 由于网格实体间的信任关系具有很大的主观性、模糊性，无法精确地加以描 述和验证等特点，正是因为l 广一模糊集在描述模糊性的优势，同时它是一个广义的 模糊集，其隶属度不再局限于【o ，1 】区间，而是扩展到整个格上，因此为用l 模糊 集理论来描述信任提供了方便；同时，语言变量的优势在于提供一种系统化的方 法，以近似刻画复杂而没有明确的现象的特征，即除去量词变元、仅存语言描述 的类型。 因此，本文参考人际社会关系间的信任机制，以模糊集理论为基础，利用l 一 模糊集的理论，对网格环境下实体间的信任关系进行了自然语言的建模，建立了 一种新的网格环境下基于l 一模糊集的信任模型。该模型用语言变量刻画实体问的 信任，利用上下文无关文法进行形式化描述，并用模糊算子刻画信任等级。同时 还给出了基于信任的三i 算法，并对基于信任的多条推荐规则进行了模糊推理，以 达到对多条推荐信任的综合评价。 而在网格计算中，任务完成是通过多个实体参与协同完成的。既然多个实体 需要协同工作，那么要进行协同的前提是彼此建立良好的信任关系。信任关系对 于协作伙伴的选择尤为重要，选择信任度高的协作伙伴可以提高网格任务完成的 成功率。再者，由于网格环境的动态性、分布性、不确定性等特点，使得网格资 源管理系统中任务调度机制往往忽视了资源可靠性对任务执行结果的影响，任务 1 6 网格环境f 的信任模型及基丁信任机制的任务调度 调度机制与信任机制的分离导致当前的任务调度系统难以在开放、动态、真实的 网格环境中有效运行。目前大多数调度算法，比如基于a p n ( a r b i t r a r yp r o c e s s o r n e t w o r k ) 4 _ 6 ji 拘m h ( m a p p i n gh e u r i s t i c ) 和d s l ( d y n a m i cl e v e ls c h e d u l i n g ) 考虑了通 信时延和执行时问等方面的问题。它们虽然适合大的分布式环境，但没有考虑到 节点的不确定性、欺骗性等特征，从而不能满足对节点的信任需求。 因此，在上述信任模型和m i n m i n 算法的基础上，提出了基于信任的网格调度 算法l f s t m m i n m i n ，该算法以模糊逻辑为基础，使用三i 算法对多条推荐信任规 则进行模糊推理，达到对信任的综合评价。 1 4 论文结构安排 本文分析了现有典型信任模型的优缺点，参考人际社会关系间的信任机制， 以模糊集理论为基础，利用l 一模糊集的理论，对网格环境下实体间的信任关系进 行了自然语言的建模，建立了一种新的网格环境下基于l 一模糊集的信任模型，该 模型用语言变量刻画实体间的信任，利用上下文无关文法进行形式化描述，并用 模糊算子刻画信任等级，同时还给出了基于信任的三i 算法，并对基于信任的多条 推荐规则进行了模糊推理，以达到对多条推荐信任的综合评价。为了评价这种信 任模型的性能，给出了性能评价函数。经仿真实验，结果表明：该信任模型能有 效地防止恶意节点的攻击。 同时，在此模型和m i n m i n 算法的基础上，提出了基于信任的网格调度算法 l f s t m m i n m i n 。该算法以模糊逻辑为基础，使用三i 算法对多条推荐信任规则 进行模糊推理，达到对信任的综合评价。经g r i d s i m 网格模拟器仿真实验表明， 在同等条件下该算法与m i n m i n 算法相比较，任务最后完成时间明显地降低、失 效服务数极大地减少。 全文共分为五章： 第一章：介绍了本文研究网格的背景以及课题来源和研究的意义，同时详细 地描述了论文的创新之处和组织结构。 第二章：首先，介绍了网格的基本概念和网格的安全；再者，详细讨论了目 前一些经典信任模型与网格任务调度算法。 第三章：提出了基于l 模糊集的网格信任模型，该模型用语言变量刻画实体 间的信任，利用上下文无关文法进行形式化描述，并用模糊算子刻画信任等级， 同时还给出了基于信任的三i 算法，并对基于信任的多条推荐规则进行了模糊推理， 以达到对多条推荐信任的综合评价。为了评价这种信任模型的性能，给出了性能 评价函数。经仿真实验，结果表明：该信任模型能有效地防止恶意节点的攻击。 第四章：在本文的信任模型与m i n m i n 算法的基础上，提出了基于l 模糊集 第一章绪论 1 7 信任机制的网格任务调度算法l f s t m m i n m i n ，该算法以模糊逻辑为基础，使 用三i 算法对多条推荐信任规则进行模糊推理，以达到对信任的综合评价。经 g r i d s i m 网格模拟器仿真实验表明，在同等条件下该算法与m i n ，m i n 算法相比较， 任务最后完成时间明显地降低、失效服务数极大地减少。 第五章：结束语，对本文提出的信任模型与调度算法优缺点进行了分析总结， 并指出了下一步工作研究的方向。 第二章网格信任模型与任务调度算法概述 1 9 第二章网格信任模型与任务调度算法概述 2 1 网格的信任模型 在网络世界中，主体之间的信任是对主体的特定特征或行为的特定级别的主 观判断，而这种主观判断是独立于对主体特征和行为监控的。主观信任本质上是 基于信念的，具有很大的主观性、模糊性，无法精确地加以描述和验证。而对主 观信任进行形式化研究的主要困难也在于如何对这种模糊性进行建模。文献【”。5 刀 对主观信任进行了有益的探索，但均简单地用概率模型对主观信任进行建模，实 际上将信任的主观性和不确定性等同于随机性。因此，这些信任模型存在诸多不 足之处，比如：使用经典的数学模型对主体的信任度进行度量，可能导致无法反 映信任的真实情况；通常采用策略一致性验证方法进行安全度量和决策( 安全度量 的绝对化) ，但该方法过于精确，无法处理主观信任本身所具有的模糊性，因而不 能很好地适应网格环境中的模糊性，即所谓多变性、主观性和不确定性等。此外， 由于网格环境的动态变化，各主体( 资源或用户) 在动态地进出，主体之间的信任关 系是随机建立的。一些信任管理系统都只解决的是静态信任管理，而忽略了信任 管理的动态性。为了处理信任的动态性，作为信任管理的系统应根据网络环境的 动态变化来动态地对各主体的信任关系做出评估，并且还需要有效的机制来评价 各主体之间的信任，以对相应的信任决策做出及时调整。 2 1 1 信任模型的分类 目前存在若干个基于网格环境下的信任模型静7 2 1 ，总的来讲，可以归为以下 4 类： ( 1 ) 基于p k i 的信任模型。在这类系统中，存在少数领袖节点( l e a d e rp e e r s ) ， 领袖节点负责整个网络的监督，定期通告违规的节点。这些领袖节点的合法性通 过c a 颁发的证书加以保证。这类系统往往是中心依赖的，具有可扩展性、单点 失效等问题。 ( 2 ) 基于局部推荐。在这类系统中，节点通过询问有限的其他节点以获取某 个节点的可信度在这类系统中，往往采取简单的局部广播的手段，其获取的节 点可信度也往往是局部的和片面的。 ( 3 ) 数据签名。这种方法不追求节点的可信度，而是强调数据的可信度。以 文件共享应用为例，在每次下载完成时，用户对数据的真实性进行判定，如果认 2 0 网格环境下的信任模型及基丁信任机制的任务调度 可数据的真实性，则对该数据进行签名，获取签名越多的数据( 文件) ，其真实性 越高。然而，该方法仅针对数据共享应用( 如文件共享) ，同时无法防止集体欺诈 行为，即恶意的群体对某不真实的数据集体签名。 ( 4 ) 全局可信度模型。为获取全局的节点可信度，该类模型通过邻居节点间 相互满意度的迭代，从而获取节点全局的可信度。 2 1 2 信任模型的研究热点 近年来网格信任模型以及评估算法已经成为网格安全领域一个热点，随着可 信赖计算组织( t r u s t e dc o m p u t i n gg r o u p ，t c g ) 技术不断成熟与推广，信任模型也 在不断的成熟与完善。近年来一些主流的研究领域包括： ( 1 ) 信任以及非信任的传播。g u b a 叫主要是面向电子商务系统，提出了一套 完整的算法，文中使用t r u s tg r a p h 进行了传递方法研究，算法针对个体之间的部 分信任表达来精确预测任意两个对象之问的信任。 ( 2 ) 基于声望( r e p u t a t i o n ) 的直接信任模型。目前国际上大部分直接信任模型 都是基于声望的，文【6 5 j 提出了5 种信任模型参数，并且开发了一个“一致信任度 量( ac o h e r e n tt r u s tm e t r i c ) ”算法，这种算法使用5 种参数来定量和比较一些信任 实体。文【6 6 j 提出了一种基于声望信任的模型：t r u m m a r 。基于声望的信任模型 可以分成两类：集中信任( c e n t r a l ) 年1 个性化信任( p e r s o n a l i z e d ) 。集中信任模型基于 客体的完整行为样本。个性化信任使用部分行为样本进行提取，并使用一定的算 法【6 7 t6 8 1 。文叫提出了一种能够管理客体全部行为的信任模型。 ( 3 ) 使用模糊集的方法来研究直接信任。由于信任在某种程度上的不确定性， 再进行决策的时候又需要确定的策略，可以使用模糊方法来研究。文【_ 7 0 l 提出了一 种基于模糊逻辑的算法，支持信任的度量和量化。 ( 4 ) 基于推荐代理( r e c o m m e n d a t i o nd e l e g a t e ) 的直接信任模型。文【7 1j 提出了一 种信任代理树( t r u s td e l e g a t i o nt r e e ，t d t ) ，并开发了一种动态分布式信任协议 ( d y n a m i cd i s t r i b u t e dt r u s tp r o t o c 0 1 ) 。 ( 5 ) 基于行为的信任模型。文1 7 2 l 提出一种基于行为的信任模型，根据用户的 历史行为来分配资源。 2 1 3m b l a z e 信任管理模型 目前比较经典的信任模型均对信任本身所具有的模糊性的刻画，存在着诸多 不足。比如，m b l a z e 1 8 j 信任管理模型是用一种精确的、理性的方式来描述和处理 复杂的信任关系，而信任其实是一种认知现象，是一种感性的认识。b e t h l l 9 1 模型 则简单地用概率模型对主观信任进行建模，实际上是将信任的主观性和不确定性 第二章网格信任模巫! 与任务调度算法概述 2 l 等同于随机性，a j o s a n g 模型【2 0 1 实际上也认为信任的主观性和不确定性与随机性是 等同的。 m b l a z e 等人在1 9 9 6 年第一次提出了信任管理( t r u s tm a n a g e m e n t ，t m ) 的概 念并在此