（系统分析与集成专业论文）网格环境下信任模型的研究.pdf

摘要 网格技术是近年兴起的一项较为热门的技术，它利用互联网将地理上广泛分布的资 源连成一个虚拟计算机，为用户提供一体化的应用服务。网格的出现可以充分利用网络 上的闲置处理能力，处理大计算量任务。但是，网格所具有的动态性和不确定性等特点 给网格系统的实施带来了一系列的安全问题。网格系统中的用户和资源实体属于不同虚 拟组织，数量庞大且动态变化，不同虚拟组织之间安全机制各不相同，而传统的网络安 全机制侧重于在网络环境下保障交换信息的认证性、私密性、完整性等。由于网格计算 中任务是由多个实体参与并协同完成的，安全威胁来自系统内部，所以彼此之间需要建 立良好的信任关系，这就需要建立一种信任模型，来评价网格用户的行为，反映出该用 户在网格中可信任、可依靠的程度。近年来，网格环境下信任管理方面的研究正在逐步 开展，本论文来源于软件工程国家重点实验室开放基金项目“网格环境下的信任模型研 究 ( 项目编号：s k l s e 2 0 0 8 一0 7 0 9 ) 。 本文阐述了网格环境下的安全需求及现有解决方案，针对网格环境中信任关系的动 态特性提出了一种改进的信任模型。 论文的内容主要包括以下几个方面： 1 ) 介绍了网格的相关知识，分析了网格的安全需求及面临的威胁； 2 ) 给出了信任模型的相关概念，分析了信任模型性能，并讨论了分布式环境下的 几种典型的信任模型； 3 ) 借鉴p 2 p 网络中一种基于向量的信任模型，设计了一种以域为单位、分层次的 信任模型，该模型考虑了网格的特点和时间衰减等因素，并从信任表达、信任度量方面 讨论了模型的实现机制，同时给出了模拟实验及结果分析。 关键词；网格；网格安全；信任；信任模型：向量 a b s t r a c t g r i dc o m p u t i n gi sah o tt e c h n i q u ed e v e l o p e di nr e c e n ty e a r s i tm a k e sg e o g r a p h i c a l l y w i d e l yd i s t r i b u t e dr e s o u r c e si n t oav i r t u a lc o m p u t e rb yi n t e r n e t ，p r o v i d i n gu s e r sas e to f a p p l i c a t i o ns e r v i c e s t h ee m e r g e n c eo fg r i dc a l lt a k ef u l lu s eo fi d l ep r o c e s s i n gp o w e rt o h a n d l el a r g ec o m p u t a t i o n a lt a s k s h o w e v e r , t h ed y n a m i ca n du n c e r t a i n t yc h a r a c t e r i s t i c so f g a db r i n gas e r i e so fs e c u r i t yp r o b l e m s i ng r i ds y s t e m ，u s e r sa n dr e s o u r c e se n t i t i e sb e l o n gt o d i f f e r e n tv i r t u a lo r g a n i z a t i o n s ，t h eq u a n t i t yi s h u g ea n dd y n a m i c sa n dd i f f e r e n tv i r t u a l o r g a n i z a t i o n s h a v ed i f f e r e n t s e c u r i t ym e c h a n i s m t h e t r a d i t i o n a ln e t w o r k s e c u r i t y m e c h a n i s m sf o c u so na u t h e n t i c a t i o n ，p r i v a c y , i n t e g r i t yi nt h en e t w o r k s i n c et h et a s k so fg a d a r ec o m p l e t e db yan u m b e ro fe n t i t i e s ，s e c u r i t yt h r e a t sa r ef r o mt h ei n n e ro fs y s t e m t h u s ，i t i sn e c e s s a r yt oe s t a b l i s hat r u s tm o d e lt oe v a l u a t et h eu s e r sb e h a v i o r , r e f l e c t i n gt h eu s e r s t r u s ti nt h eg a d g r i dt r u s tm a n a g e m e n ts t u d yi sb e i n gc a r r i e do u tg r a d u a l l y t h i sp a p e ri s f r o mt h eo p e nf u n dp r o je c t s ”r e s e a r c ho nt r u s tm o d e li nt h eg r i d ”o fs t a t ek e yl a b o r a t o r y o fs o f t w a r ee n g i n e e r i n g ( p r o j e c tn o ：s k l s e 2 0 0 8 - 0 7 - 0 9 ) t h i sp a p e re l a b o r a t e ss e c u r i t yn e e d sa n ds o l u t i o ni ng a de n v i r o n m e n t b a s e do nt h e d y n a m i cc h a r a c t e r i s t i c so fg a d ，a ni m p r o v e dt r u s tm o d e li sp r o p o s e d t h em a i nc o n t e n t so f p a p e ra r ea sf o l l o w ： 1 ) i n t r o d u c eg a d ，g r i ds e c u r i t yn e e d sa n dt h r e a t s ； 2 ) g i v et h ec o n c e p to ft r u s tm o d e l ，a n a l y z et h ep e r f o r m a n c eo ft h et r u s tm o d e l ，a n d d i s c u s ss e v e r a lt y p i c a lt r u s tm o d e l su n d e rt h ed i s t r i b u t e ds y s t e m ； 3 ) t h i sp a p e rd e s i g n sah i e r a r c h i c a lt r u s tm o d e lb a s e do nd o m a i n ，w h i c hr e f e r r i n gt oa v e c t o r - b a s e dt r u s tm o d e li np 2 pn e t w o r k s t l l i sm o d e lt a k e si n t oa c c o u n tt h ec h a r a c t e r i s t i c s o fg r i da n dt i m e a t t e n u a t i o nf a c t o r , a n dd i s c u s s e st h ee x p r e s s i o no ft r u s t ，c a l c u l a t i o no ft r u s t v a l u e ，m e a n w h i l eg i v e st h er e s u l t so fs i m u l a t i o ne x p e r i m e n t sa n da n a l y s i s k e yw o r d s ： g r i d ；g r i ds e c u r i t y ；t r u s t gt r u s tm o d e l ；v e c t o r l i 湖北大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研 究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文 不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研 究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完 全意识到本声明的法律后果由本人承担。 论文作者签名：飘蜴钞 醐：1 月日 学位论文使用授权说明 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即： 按照学校要求提交学位论文的印刷本和电子版本；学校有权保存并向国家 有关部门或机构送交论文的复印件和电子版，并提供目录检索与阅览服务；学校 可以允许采用影印、缩印、数字化或其它复制手段保存学位论文；在不以赢利为 目的的前提下，学校可以公开学位论文的部分或全部内容。( 保密论文在解密后 遵守此规定) 作者签名： 阌汤否衫 指导教师签名： l r 叶刁 瓤 飙 日 日 1 绪论 1 1 课题研究背景及意义 1 绪论 近年来，随着信息技术的迅猛发展，分布式网络也正经历着一场深刻的变革，网格、 普适计算、p 2 p 技术、a dh o c 网络等相继出现。然而在众多分布式网络架构中，网格计 算( g r i dc o m p u t i n g ) 作为分布式计算的新兴研究方向，已经成为分布式计算领域中的一 个重要分支【l 】。它是继传统因特网、w e b 之后的第三次互联网浪潮，可以称之为第三次 因特网的应用。传统因特网实现了计算机硬件的连通，w e b 实现了网页的连通，而网格 则试图实现互联网上所有资源的全面连通。 随着网格技术的进步，一些原有的问题将迎刃而解，包括资源的大量闲置问题、 计算资源的存储和共享问题、跨平台的管理和无缝的服务质量问题等等。网格正试图实 现互联网上所有资源的全面连通与共享，这些资源包括计算资源、存储资源、通信资源、 软件资源、信息资源、知识资源等。 正如传统网络安全问题带给人们的启示，网格需要解决的一个重要问题也是其安全 问题。然而与传统网络环境相比，网格的用户群体、资源提供者数目庞大，安全机制各 不相同，比一般网络环境要复杂得多，这对网格提出了更高更广泛的安全需求。 在传统的电子商务、数据通信和网络安全等应用系统中，“信任( t r u s t ) 是个基础 性的概念。传统安全技术( 口令、密码系统、数字证书等) 侧重于在网络环境下保障交换 信息的认证性、私密性、完整性等。但在网格这种分布式应用中，即便一个陌生的参与 者通过了身份认证，其业务请求也未被篡改，仍不能证明此参与者就是可信的。实际上， 网格中也使用了加密、哈希、单点登录等技术，但这些传统安全机制的实现通常依赖于 参与节点进行正确的安全操作，这导致了传统安全机制的不可靠。因此，网格中不适合 采用绝对的、精确的标准来衡量其安全性，系统的安全度量应该采用相对的量化指标， 为此在网格环境中建立信任机制可实现灵活的安全需求。 网格安全体系的任务就是对分散在各个异构环境下并分别具有一定自治性的安全 策略进行整合，从而为应用建立起统一可靠的安全策略空间。 网格环境中用户的管理方式已经不再是那种集中的、封闭的、可控的，而是开放的、 分布式的。用户程序可能包含恶意代码，危害网格资源。共享的网格资源一旦受到恶意 代码的侵害可能会威胁到运行在网格平台上的应用程序。同样在资源共享的网格环境 湖北大学硕士学位论文 中，会存在一些自私节点，只是利用或占用其他节点的资源，而不提供任何资源。还可 能存在一些恶意节点提供虚假资源，试图扰乱系统的正常运行。在网格计算中，作业的 完成是通过多个实体参与并协同完成的，而要进行协同工作的前提是彼此之间建立良好 的信任关系。 以上种种情况使得网格环境的信任问题显得尤为突出。这样需要建立一种信任模 型，来评价网格用户的网络行为，反映出该用户在网格中可信任、可依靠的程度。虽然 在分布式环境下( 如：p e e r - t o - p e e r 网络、a dh o c 网络) 已经对信任模型有了较为深 入研究，但是并不完全适合网格计算环境。因此，需要深入研究如何在网格计算环境下 建立信任模型。本论文来源于软件工程国家重点实验室开放基金项目“网格环境下的信 任模型研究 ( 项目编号：s k l s e 2 0 0 8 0 7 - 0 9 ) 。 1 2 研究现状 国外的网格研究最早从2 0 世纪9 0 年代初开始，美国、欧洲、日本等发达国家及印 度等一些发展中国家都启动了大型网格研究计划：英国政府已投资1 亿英镑，研发“英 国国家网格 ；美国政府用于网格技术的基础研究经费达5 亿美元。美国军方正规划实 施“全球信息网格”，预计2 0 2 0 年完成【2 1 。同样，我国对网格研究也投入了大力的支持： 从1 9 9 5 年开始，中国科学院计算机研究所就建立了专门的网格研究队伍，开始研究相 关技术，2 0 0 0 年开发了连接国内8 个曙光计算中心的网格，所开发的织女星信息网格在 国内网格系统软件的研究方面处于领先地位，我国政府对于网格建设也十分关注，在 8 6 3 专项中提出建设“中国国家高性能计算环境( 中国国家网格) ”，2 0 0 3 年，华中科技 大学计算机学院院长金海教授领衔，清华大学、北京大学等全国1 2 所知名高校联合承 担的教育部一期“中国教育科研网格c h i n a g r i d 工程正式启动。目前国内外在网格方 面的研究十分活跃，研究范围跨度很大，其应用已经由最初的单纯高性能科学计算发展 到如今金融、教育、天文、生物、医学等领域，走向实用与市场结合。 网格安全目前主要研究网格环境中的安全认证、访问控制、数据完整性、通信机密 性、用户行为的不可否认性、以及单一登录等。在网格安全研究中，为了建立起网格安 全的标准和规范，世界上许多研究机构和组织( 如o a s i s ) 都已经参与到g g f ( g l o b a lg r i d f o r u m ) ( 3 1 中来，共同制定网格安全中的相关技术，机制和策略等。目前影响最大的网格 安全解决方案是由美国a r g o n n e 国家实验室和南加州大学等联合研制的g l o b u s 系统中 的安全功能组件g s i ( g r i ds e c u r it yi n f r a s t r u c t u r e ) 【4 】1 5 】f 6 j f 7 1 。国内的许多网格研究也 2 1 绪论 都是基于g l o b u s 开展的。世界上一些其它的网格项目中也有相关安全方面的研究成果， 如在欧洲网格( e u r o g r i d ) 生物应用项目开发的u n i c o r e ( u n i f o r mi n t e r f a c et o c o m p u t i n gr e s o u r c e s ) 1 8 】，提出了自己的安全模型，还有许多网格工程如p p d g ( p a r t i c l e p h y s i c sd a t ag r i d ) ，s d s c ( s a nd i e g os u p e r c o m p u t e rc e n t e r ) 的s r b ( s t o r a g er e s o u r c e b r o k e r ) 等，均是在g s i 的基础上进行了扩展构建自己的安全系统。 但是，现阶段网格安全仍然存在一些问题需要研究【9 1 ： 1 ) 现有系统和技术的集成：现有系统与技术的集成需要网格安全体系结构对现有 安全体系结构和跨平台、跨主机模式进行集成。 2 ) 不同主机环境之间协同工作：一个网格作业，往往需要访问多个不同的网格实体 才能获得所需的资源。这需要域和主机环境的服务能够交互，协同工作。协同工作需要 域间有严格的用户身份认证机制，以及安全的通信通道等来保证。 3 ) 相互交互的主机环境之间的信任关系：网格作业需要跨越多个安全域，这些域中 的信任关系在点对点的跨越中起着重要的作用。端点间的信任关系需要用策略清楚地进 行描述。网格的动态特性，使得信任关系很难预先取得，它需要支持动态的建立。 4 ) 资源互相访问时权限的授予和管理：不同域有不同的访问控制策略，多域协同作 业时，相同域内和不同域间的资源相互访问时需要安全稳定的权限授予操作，资源的拥 有者有权制定、修改资源的访问权限，域的管理者有权调整本域的访问策略。 与信任相关的研究工作一直都是社会科学领域中的研究重点，但这些研究工作侧 重于在人文科学中对信任进行定性的研究。从总体上来看，信任长期以来被认为是主观 的、不精确的、不可靠的、甚至是不可信的，因此缺乏科学的系统的研究，尤其是缺乏 形式化的定量研究。1 9 9 6 年，m b l a z e 等人为了解决i n t e r n e t 网络服务的安全问题， 首次提出了“信任管理( t r u s tm a n a g e m e n t ) ”的概念，其基本思想是承认开放系统中安 全信息的不完整性，提出系统的安全决策需要附加的安全信息。在此之后，不同的学者 又从不同角度、不同应用环境中对信任模型和信任管理技术展开了深入的研究。目前， 信任模型和信任管理技术己经成为支撑基于i n t e r n e t 的电子商务、分布式应用和系统 安全的关键性技术，并且随着i n t e r n e t 规模的扩大以及新的网络和应用技术的迅猛发 展，信任将扮演越来越重要的角色，但是在以下方面还有待进一步深入研究： 1 ) 缺乏统一明确的信任定义标准、统一的信任表示与度量机制，信任模型的推理机 制还缺乏合理的解释： 2 ) 目前的网格的信任模型中信任度量和推理机制对信任的主观性和不确定性特点 3 湖北大学硕士学位论文 的关注不够，还缺乏相应的合理语义解释； 3 ) 目前的网格信任模型采用根据服务请求方对服务提供方的历史行为评价来判断 和预测服务提供方在下一次服务中能否或在多大程度上提供可靠、可信的服务，在这一 过程中服务提供方是被动的； 4 ) 目前的信任模型均需耗费计算和通信开销。 1 3 论文组织结构与内容 针对网格的特性和网格面临的安全威胁，如何建立相应的信任模型来对网格中各实 体资源共享合作进行管理己经成为当前网格安全研究的重点。本文分析了现有网格环境 下的安全需求及解决方案，讨论了网格环境中信任关系，并介绍了几种典型的信任模型， 在此基础上设计了一种新型的信任模型来处理网格环境中实体之间的信任关系，论文共 五章，各章内容如下： 第一章阐述了本文的研究背景、研究意义以及研究现状：并给出了本文的整体组织 结构。 第二章介绍了网格的基本概念、特点、体系结构：分析了网格的安全需求以及网格 面临的威胁，对网格安全现有解决方案进行了分析。 第三章阐述信任和信任模型的有关概念及相关知识，并对典型的分布式环境下的信 任模型进行了介绍。 第四章在前面研究分析的基础上并结合网格的特点，提出了一种以域为单位、分层 次的信任模型，并从信任表述、信任度量等方面讨论了模型的实现机制，并给出了模拟 实验以及实验结果分析。 第五章对本文工作进行了总结，并对下一步工作进行了展望。 4 2 网格及其安全问题 2 网格及其安全问题 本章介绍网格的概念、特点、体系结构以及与p 2 p 网络的区别，分析网格的安全需 求及讨论目前网格安全的解决方案。 2 1 网格概述 2 1 1 网格的基本概念 网格概念是借鉴电力网提出来的【l o 】。人们在用电的时候，只要插上插头就能源源不 断地获得电力，不用去在意是水力发的电，火力发的电，还是核能发的电，也不用在意 这些电站位于何处。而网格技术的最终目标，也就是让网格用户在使用网络资源的时候 就如同使用电力一样，给最终的使用者提供的是与地理位置无关、与具体计算设施无关 的通用计算能力。电力网络构成和计算网格组成的简单比对如图2 - 1 所示。 ( a ) 电力网络构成示意图 ( b ) 网格构成示意图 图2 - 1 电力网络和计算网格组成的简单对比示意图 美国a r g o n n e 国家实验室资深科学家、美国网格项目领导人i a nf o s t e r 对网格的 定义是：网格是构筑在i n t e r n e t 上的一组新型技术，它将高速互联网、高性能计算机、 湖北大学硕士学位论文 大型数据库、传感器、远程设备等融为一体，为科技人员和普通用户提供更多的资源、 功能和交互【l l 】。2 0 0 0 年，i a nf o s t e r 把网格进一步描述为“在动态变化的多个虚拟机 构间共享资源和协同解决问题【l2 j 。 i a nf o s t e r 限定网格必须同时满足三个条件：在非集中控制的环境中协同使用资 源；使用标准的、开放的和通用的协议与接口；提供非平凡的服务质量。 网格计算( g r i dc o m p u t i n g ) 则是基于网格的问题求解，也就是将广泛分布的计算机 组织起来协同解决复杂的科学与工程计算问题。网格计算模式首先把要计算的数据分割 成若干“小片”，而计算这些“小片的软件通常是一个预先编制好的程序，然后处于 不同节点的计算机可根据自己的处理能力下载一个或多个数据片断和程序。当位于某个 节点的计算机用户不使用计算机时，就会调动其闲置的计算能力，程序就会工作。 根据求解问题的特点，人们又提出了多种名称的网格，比如以数据密集型问题的处 理为核心的数据网格，以解决科学问题为核心的科学网格，以全球地球系统模型问题求 解为主要目的的地球系统网格等等。此外还有地震网格、军事网格、服务网格、计算网 格、商业应用网格等。 2 1 2 网格的特点 网格作为一种新出现的网络架构，和其他的系统相比，主要有以下特点【1 3 】： 1 ) 分布与共享 分布性是网格的一个最主要的特点。网格设备是地理上广泛分布的，网格资源也是 分布在不同网格设备上的，因此只能是分布式的计算模式。所以，一般涉及的网格跨越 的地理范围较广、规模较大、资源类型复杂。虽然网格资源是分布的，但它们却是可以 充分共享的，即网格上的任何资源都可以提供给网格上的任何使用者。这里共享的含义 是非常广泛的，可以指一个地方的计算机本身，还可以指中间结果、数据库以及人才资 源等各方面的内容。 分布是网格硬件在物理上的特征，而共享是在网格软件支持下实现的逻辑上的特 征，这两者对于网格来说都是十分重要的。 2 ) 动态与多样性 对于某一网格实体，有可能下一时刻所拥有的资源突然出现故障或不可用，或者 下一时刻网格环境中又新增一些原来没有的资源，所以就需要网格资源的增加与减少不 影响网格其它部分的功能与性能，网格可以自动迁徙相关资源或服务到其它部分，而不 6 2 网格及其安全问题 影响网格的应用性能，这就是网格的动态性。这就要求网格具有极高的扩展性和收缩性， 主要体现在规模、能力、兼容性等几个方面。 网格资源是异构和多样的，它可以包含多种异构资源，包括跨越地理分布的多个 管理域。构成网格计算系统的超级计算机有多种类型，不同类型的超级计算机在体系结 构、操作系统及应用软件等多个层次上都可能具有不同的结构。 3 ) 自相似性与整体性 网格的局部和整体之间存在一定的相似性，局部往往在许多地方具有整体的某些特 征，而整体的特征在局部也有一定的体现。网格局部也是网格，局部组合成整体时，功 能与性能超线性增加，体现出“整体远大于部分之和 的特性。 4 ) 自治性与管理的多重性 网格资源是属于资源所有者的，因此网格资源所有者对该资源有最高级别的管理权 限，网格应该允许资源所有者对他的资源有自主的管理能力，资源所有者有权决定资源 是否向网格开放，以及向谁、怎么开放，同时用户也有权决定自己使用谁的网格资源。 这就是网格的自治性。但是，网格资源也必须接受网格的统一管理，否则不同的资源就 无法建立相互之间的联系，无法实现共享和互相操作。因此，网格的管理具有多重性， 一方面它允许网格资源的拥有者对网格资源具有自主性的管理，另一方面又要求网格资 源必须接受网格的统一管理。 2 1 3 网格的体系结构 到目前为止，主要有两个网格体系结构，一个是i a nf o s t e r 等人在早些时候提出 的五层沙漏结构，另一个是在以i b m 为代表的工业界的影响下，在考虑到w e b 技术的发 展与影响后，f o s t e r 等人结合w e bs e r v i c e 提出的开放网格服务结构o g s a ( o p e ng r i d s e r v i c e sa r c h i t e c t u r e ) 。 1 ) 五层沙漏结构【1 4 】 7 湖北大学硕士学位论文 网 格 五 层 沙 漏 结 构 芝 一 跚 受 c r ， 一 协 议 结 构 图2 - 2 五层沙漏结构与i n t e r n e t 协议的对比 五层沙漏结构是一种层次式的协议体系结构，参考图2 2 ，五层结构按照自底向上 的顺序分别为： 构造层：物理或逻辑实体，作用是向上提供可共享的资源： 连接层：网络事务处理通信和授权控制的核心协议，基础结构层提交的各种资源问 的数据交换都在这一层的控制下实现，并实现各资源间的授权验证、安全控制。 资源层：共享单独的资源。定义在个别资源上的共享操作的安全协议、创始、监控、 控制、记账和付费方面的协议。这些协议的实现通过调用基础结构层的功能来访问和控 制本地的资源。 汇集层：协调多个资源。定义全局的、跨所有资源来捕捉相互作用的协议和服务等， 不与任何一个专门的资源关联。实现资源的汇集和各种共享行为。 应用层：由在v o 环境中操作的应用组成。应用通过在任意层定义的服务以及在这些 服务上的调用的形式而构成。 2 ) 开放网格服务体系结构 开放网格服务结构o g s a e l 5 】【1 6 】( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ) 是继五层沙漏 结构之后的一种网格体系结构，被称为下一代的网格结构。 建造o g s a 的两大支撑技术是g l o b u s 软件包和w e bs e r v i c e l l 7 】。g l o b u s 是己经被科 学和工程计算广泛接受的网格技术求解方案，w e bs e r v i c e 是一种标准的存取网格应用 | 圈 2 网格及其安全问题 的框架。在充分考虑网格的异构分布式特性的基础上，o g s a 对w e bs e r v i c e 进行了扩 展，提出动态服务的概念。 0 g s a 以服务为中心，实现的是对服务的共享。这些服务包括计算资源、存储资源、 网络、程序、数据库等等。这种从资源到服务的抽象，将资源、信息、数据等统一起来， 十分有利于灵活、一致、动态的共享机制的实现，使得分布式系统管理有了标准的接口 和行为。这些接口的定义明确并且遵守特定的惯例，解决服务发现、动态服务创建、生 命周期管理、通知等问题，把服务实现、资源所在地、物力资源等问题屏蔽掉，它不仅 解决了异构网络环境的互操作问题，而且真正实现了服务的虚拟化。 2 1 4 网格与p 2 p 网络的区别 网格与p 2 p 1 8 1 ( p e e r - t o p e e r ) 技术都是近几年来分布式系统研究的热点，它们之间 有相似的地方，但是也有区别： 1 ) 资源构成以及运作方式不同。一 网格定义的资源是一个稳定的、层次结构明显的资源体系，涉及一些固定的软件 和硬件资源；而p 2 p 资源是动态的，如软件、书籍、音乐、视频等等。网格对计算资源、 软件资源、数据资源等采取的是直接存储的方式，是基于服务器端的；而p 2 p 则采取的 是随机存储的方式，是基于客户端的。 2 ) 面向的用户不同。 网格计算的出现是为了处理复杂程度高、数据量庞大的科学运算，为了实现大规 模的、灵活的、安全的以及协同的资源共享，构成网格系统的节点一般都是高性能的计 算机节点。而p 2 p 主要面向的是普通用户的桌面p c 机，通过大量节点之间的直接通信 来共享包括存储、带宽、计算能力等在内的各种计算机资源。 3 ) 可靠程度不同。 网格资源一般都集中在部分实体，一般采用了集中、分层的结构，稳定性较高。 而p 2 p 的结构比较分散，其中的资源加入和离开比较具有随意性。所以，网格的可靠程 度较高，而p 2 p 的可靠性较差。 网格和p 2 p 各有优势，互为补充，虽然彼此有差别，但是，p 2 p 环境下安全问题的 研究也可以借鉴到网格环境中，起到一定的参考作用。 9 湖北大学硕士学位论文 2 2 网格安全问题 2 2 1 网格环境下的安全需求 网格是以i n t e r n e t 作为通信支撑平台，而i n t e r n e t 是一个开放性的公共网络，这 使得在i n t e r n e t 上运行的网格作业面临着各种各样的安全威胁。这些安全威胁，有些 来自系统外部，如：数据被截取；信息的内容被篡改或删除；假冒合法用户和服务器。 也有些来自系统内部，如：虚假、恶意的节点提供虚假服务；存在自私节点，他们只是 消耗资源而不提供资源；不可靠的实体会降低协同工作的效率，甚至造成协同工作的失 败。 网格是通过开放的网络环境向用户提供服务的，因此网格也需要提供以下五种基本 的安全服务【1 9 】： 1 ) 机密性服务：保护信息不被泄露或暴露给非授权的实体； 2 ) 完整性服务：保护数据以防止未经授权的篡改； 3 ) 不可否认服务：防止主体否认自己进行过的操作； 4 ) 认证服务：提供某个实体的身份的保证； 5 ) 访问控制服务：制定一个策略限定访问者的行为并规定他访问的权限。 另外，根据网格的特性，其特有的安全需求如下： 1 ) 认证需求，包括一站式认证、代理、协同认证、资源认证、基于用户的信任关 系； 2 ) 通信保护需求，包括灵活的信息保护策略、支持各种可靠的通信协议、支持独 立数据单元的安全通信； 3 ) 授权需求，包括资源所有者授权、限制代理： 4 ) 灵活的安全策略，包括互操作性、名称映射、用户可选的安全策略、证书安全 策略等； 5 ) 信任模型，用来评价网格用户的网络行为，反映该用户在网格中可信任、可依 靠的程度 从用户的角度出发，最基本的问题就是如何在网格这样的复杂环境中提供给用户简 单易用的安全功能。比如单点登陆，一个用户只需要在提交网格计算任务前进行一次认 证，以后在任务运行时，安全机制就可以在任务申请其它资源时进行自动的认证，不需 l o 2 网格及其安全问题 要用户再次参与认证过程。还有用户证书和私有密钥必须得到安全而灵活的保护，使用 户在任何地方都可以使用自己的证书和密钥，而证书和密钥存放在安全的地方。并且， 不应该直接地使用自己的证书或密钥，而是通过代理的方式由代理证书来进行认证，这 样有利于保护用户的密钥和个人信息。最后，网格安全机制对用户应该是透明的。 资源提供者则更关心如何控制和保护自己的资源。比如，虽然资源是提供给网格虚 拟组织共享的，但是资源提供者有能力决定资源的本地访问控制，从而改变资源在虚拟 组织中的访问控制策略。此外，还需要解决的一个关键问题是必须为资源提供者提供审 计和计费等功能。 从网格虚拟组织的角度出发，首先需要一个统一的证书证明方式，以一致的方法 表示虚拟组织中的任何实体，比如使用符合x 5 0 9 v 3 标准的证书。其次，可以与不同的 本地管理域进行互操作，对组织中的资源可以进行统一的安全管理，比如实施统一的安 全策略和访问控制。再次，一个网格计算任务通常由来自不同域的进程组成，在任务运 行期间可以动态变化，虚拟组织必须支持动态的安全组通信。最后，网格还要支持不同 的安全实现。 2 2 2 现有网格安全的解决方法 目前，网格安全主要研究网格环境中的安全认证、通信加密、网格授权以及单点登 录等。在这些研究中，g s i 、c a s 等在相应的安全问题中提出了较好的解决方法。g s i 主 要解决网格安全认证问题，c a s 的设计则是为了能够和g s i 协同工作，解决g l o b u s 系 统中的授权问题，提供相应的网格授权方法。 1 g s i ( g r ids e c u r it yi n f r a s t r u c t u r e ) 2 0 】 针对网格的特点及其安全问题，g g f ( g l o b a lg r i df o r u m ) 制定了网格安全体系g s i 。 g s i 属于g l o b u s 项目，是g l o b u s 网格中的安全功能模块，为g l o b u s 网格提供安全支 持。在g l o b u s 中，它是用来允许用户和应用安全地访问网格资源的一组工具、类库和 协议的集合。g s i 基于公钥加密体系，采用x 5 0 9 认证和s s l 协议，并对这些标准进行 了扩展，使其支持单点登陆和委托。g s i 的实现也符合g s s - a p i ，而g s s a p i 是由i e e f 组织所提出的通用安全服务应用程序编程接口。g s i 的主要目标有：支持网格计算环境 的安全通信；支持跨虚拟组织的安全；支持网格计算环境中用户的堆点登陆，包括跨多 个资源和地点的信任委托和信任转移等。 g s i 主要集中在网络的传输层和应用层，很多地方应用了现有的分布式安全技术， 湖北大学硕士学位论文 并对这些技术进行了一定的扩展，以适合网格计算系统的特点。g s i 中的安全功能包括 安全认证、通信加密、私钥保护、委托授权与单点登录等。采用g s i 实现网格安全的过 程如下：网格用户在登录网格系统前，先产生自己的代理证书；然后网格用户以自己的 代理证书与服务端进行安全认证；服务端通过检验网格用户映射文件( g r i d m a p ) 为网格 用户授权，访问本地服务；通信双方之间的通信被加密保护。 2 c a s ( c o m m u n i t ya u t h o r i z a t i o ns e r v i c e ) 2 1 1 c a s 的设计和实现是为了能够和g s i 协同工作，解决g l o b u s 系统中的授权问题。 c a s 由三部分组成：客户端、c a s 服务器、一个能够处理c a s 证书的资源服务器( 如g r i d f t p 服务器，代表资源提供者) 。c a s 的发展经过了三个阶段，最初的c a s 原型在2 0 0 2 年3 月发布，其基本操作过程如下： ( 1 ) 在资源站点上，资源提供者将一个v o 作为一个用户，建立相应的账号，通过建 立映射关系，并根据v o 对资源的访问权限设置所对应的本地用户权限。 ( 2 ) 在一个v o 中，在v o 上建立一个c a s 服务器：y o 建立自己的用户列表：v o 维护对 资源的访问控制策略。这样，当用户需要访问资源时，用户先访问v o 的c a s 服务器， 以自己的代理证书与c a s 服务器进行安全认证，c a s 服务器认证用户并建立相应的权限。 1 2 3 信任及信任模型 3 信任及信任模型 本章首先介绍了信任的概念、性质、分类，随后讨论了信任模型的概念、分类、性 能分析，最后描述了几种分布式环境下的典型信任模型。 3 1 信任的相关知识 3 1 1 信任的概念 m a r s h 首次形式化定义了信任【2 2 1 ，并将信任应用在计算机科学中，他提到“信任 是应该受到保护的社会商品，如同人们呼吸的空气和喝的水一样。当信任收到损坏，整 个社会将受到影响；如果信任受到破坏，整个社会将会崩溃。这句话形象的说明了信 任的重要程度。 在计算机科学领域，不同的学者对信任的理解也千差万别。目前，在计算机科学领 域的研究中，对“信任 的概念还没有形成统一的定义。其中对信任引用最多的定义来 自i t u t 标准x 5 0 9 2 3 规范，该规范给出了信任的定义是：实体a 认定实体b 将严格按a 期望的方式行动，则实体a 信任实体b 。实体a 是信任者，b 是被信任者。信任是信任 者对被信任者行为的一种预期，这种预期可以具有不同的程度，用信任度值可以衡量这 种信任程度。 信任是有程度之分的，信任度是信任的量化表示形式，直接体现了信任程度的高低。 在信任的定义及表示方面，主要有基于概率的表示方法、信任等级表示法、信任评分表 示法以及综合考虑多种因素的表示方法等。信任的评价机制与信任的定义方式密切相 关。 3 1 2 信任的性质 网格实体之间的信任关系具有如下的性质： 1 ) 主观性 信任是主观的，是一个实体对另一个实体将来行为预期的主观判断。同时信任亦是 自主的，源实体对目标实体的信任级别依赖于源实体的行为是如何受目标实体行为影响 的，即源实体可以自主地判断目标实体的行为是否符合源实体的预期判断。而且，不同 的实体对于同一个实体可能有不同的信任值；即实体a 对实体c 的信任值不一定等于实 1 3 湖北大学硕士学位论文 体b 对实体c 的信任值。 2 ) 不确定性 信任受到那些无法监控的( 对方实体) 行为的影响，具有很强的不确定性，是模糊和 随机的结合体，不可能利用精确的方式对未来行为进行准确描述。在网格环境中，由于 网格的开放性和应用的复杂性，一个实体对另一实体将来行为预期的主观判断必然带有 不确定性、主观性和模糊性。 3 ) 风险性 在基于信任评价与管理的系统中，无法保证一次事务的行为准确结果，只能对事务 行为的结果做出主观上的预期和判断，因此在这类系统中都无法追求绝对的安全，即每 次事务行为都具有一定的风险性，这里的风险可能是受客观因素的影响。例如在提供文 件下载的服务中，某一实体在一直提供诚实服务的基础上积累了很高的信誉，但仍无法 保证其提供的下一次服务一定是诚实的，而非恶意的。 4 ) 条件相关性 信任关系是发生在主体和客体之间的二元关系，并且和特定的属性、应用上下文和 应用领域相关。信任从来不是脱离具体的应用环境和内容存在的，具有上下文相关特性 ( c o n t e x ts p e c i f i c 2 4 】) ，这些因素影响着实体的主观判断。信任的条件相关性说明，信 任不是针对客体本身，而是针对特定上下文中客体的某个或某些属性，评价信任关系时， 不仅要考虑主观意识的影响，而且要计算信任条件对信任的影响。 5 ) 多面性 即使在同一个应用环境中，对于给定的实体b 提供某一服务的信任程度也包含不同 的方面，即信任具有多面性( m u l t i - f a c e d ) 的特征。例如实体a 对实体b 提供的视频文 件下载服务的信任评价可能包含了多个方面，例如视频文件格式、文件的质量、下载的 速度、文件的安全性( 是否隐含病毒文件) 等，对于每个方面实体a 对实体都有不同的信 任评价，在此基础之上实体a 会形成对实体b 的综合评价。 6 ) 可度量性 信任关系通常是有程度的，主观信任评价的目的，就是要比较准确地刻画这种程度， 信任的程度可以根据历史事务经验推理得到。它反映的是源实体对目的实体能力、诚实 度、可靠度的认识，对目标实体未来行为的判断。如前所述，目前的信任评价模型中， 信任程度表示方法有离散数值表示和连续数值表示，实际上，离散的表示方法可以看作 是连续数值表示的一种特例。 1 4 3 信任及信任模型 7 ) 动态性 实体之间的信任关系不是持久不变的，是随着时间的推移和节点行为的变化而动态 变化的。合法诚信的行为将会提高信任值，反之则会降低信任值。因此信任是随经验积 累和时间而动态变化，动态性( d y n a m i c ) 是信任的本质特征之一。 8 ) 非对称性 信任关系是单向的、非对称的，产生信任的两个实体相互之间的信任评估未必是等 值的，即实体a 对实体b 的信任值不一定等于实体b 对实体a 的信任值。 9 ) 弱传递性 正如社会中的信任关系一样，信任具有传递性，可以通过中间推荐将信任关系一次 传递。但是主观信任的传递不同于基于身份证书等凭证的信任传递，主观信任的传递对 信任有衰减作用。一般，传递所经过的中间推荐实体越多，其衰减程度就越大。另外， 信任的传递性是有条件的：即传递性只是在一定条件下满足。如实体a 信任实体b ，并 且实体b 信任实体c ，则实体a 信任实体c 只有在实体a 信任实体b 作为一个推荐者时 成立。 1 0 ) 社会网络相似性 在社会网络中，信任关系是通过个体间的相互推荐而形成的，某一个体的信誉度一 般取决于其他个体的推荐，与此同时推荐者的信誉度也决定了其推荐个体的信誉度。这 种互相依赖的信任关系构成了信任网络( w e bo ft r u s t ) 。在该网络中，任何个体的信誉 度都不是绝对可靠的，带有主观性、不确定性和模糊性【2 5 1 ，但可以作为其他个体决定其 事务行为的依据。 3 1 3 信任的分类 根据信任关系的获得方式，网格环境中的信任关系有如下分类： ( 1 ) 直接信任 直接信任是指两个实体之间曾经有过直接的交易，他们之间建立了一种直接信任关 系。 直接信任建立在源实体对目标实体经验的基础上，随着双方事务的不断深入，源实 体对目标实体的信任关系更加明晰。相对于其他来源的信任关系，源实体会更倾向于根 据直接经验来对目标实体作信任评价，故称之为直接信任。 ( 2 ) 推荐信任 ls 湖北大学硕士学位论文 推荐信任是指两个实体之间没有进行过直接的交易，而是根据其他实体的推荐建立 的一种信任关系，推荐信任也称声誉。 推荐信任建立在中间推荐实体的推荐信息基础上，根据源实体对这些推荐实体信任 程度的不同，会对推荐信任有不同程度的取舍。但是由于中间推荐实体的不稳定性，或 者有伪装的恶意推荐实体的存在，使推荐信任的可靠性难以度量。在推荐信任中，根据 推荐路径的长度不同可以分为直接推荐信任( 推荐路径长度等于1 ) 和间接推荐信任雌荐 路径长度大于1 ) 。 ( 3 )