網(wǎng)格環(huán)境下基于信任度的資源訪問(wèn)控制研究

摘要：首先給出了網(wǎng)格計(jì)算中訪問(wèn)控制的特點(diǎn)和需求?，F(xiàn)有的訪問(wèn)控制技術(shù)以及分布式授權(quán)模型，均不能滿足網(wǎng)格計(jì)算中對(duì)訪問(wèn)控制的需求。通過(guò)建立實(shí)體間的信任關(guān)系，在CAS基礎(chǔ)上，提出了基于信任度的訪問(wèn)控制機(jī)制。為了提高資源的利用率，提出了Ticket機(jī)制。最后給出模擬實(shí)驗(yàn)結(jié)果，驗(yàn)證有效性。

關(guān)鍵詞：網(wǎng)格計(jì)算； 信任； 訪問(wèn)控制； Ticket

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2007)12-0179-04

0引言

網(wǎng)格是將分布在廣域網(wǎng)上的資源整合起來(lái)，提供大規(guī)模的分布式計(jì)算，在動(dòng)態(tài)的、多個(gè)單位參與的虛擬組織之間協(xié)同資源共享和解決問(wèn)題。網(wǎng)格具有如下特性：用戶、資源和服務(wù)提供者數(shù)目龐大、經(jīng)常變化；通信協(xié)議不盡相同；安全機(jī)制和策略不盡相同。網(wǎng)格面臨各種威脅，如數(shù)據(jù)被截取；信息的內(nèi)容被竄改或刪除；假冒合法用戶和服務(wù)器；虛假、惡意的節(jié)點(diǎn)提供虛假服務(wù)；存在自私節(jié)點(diǎn)，它們只是消耗資源，而不提供資源；實(shí)體可信賴、可依靠的程度。因此，必須為網(wǎng)格計(jì)算系統(tǒng)及其構(gòu)件提供新的安全措施，來(lái)解決認(rèn)證（authentication）、授權(quán)（authorization）和記賬（audit）問(wèn)題。本文主要解決網(wǎng)格環(huán)境下的授權(quán)問(wèn)題（即資源訪問(wèn)控制問(wèn)題）。

建立在PKI基礎(chǔ)上的GSI（grid security infrastructure）提供了網(wǎng)格環(huán)境的實(shí)體身份認(rèn)證，但是這并不能提供任何關(guān)于實(shí)體網(wǎng)絡(luò)行為的信息。由于網(wǎng)格內(nèi)的成員或組織可能是動(dòng)態(tài)地加入與退出，這種動(dòng)態(tài)性使得參與的實(shí)體在協(xié)同工作時(shí)，彼此之間可能事先完全不了解對(duì)方，或無(wú)法獲取對(duì)方的相關(guān)信息。資源擁有者或資源管理者如何將資源分配給資源請(qǐng)求者，以及根據(jù)什么策略，授予什么權(quán)限，這是網(wǎng)格計(jì)算中授權(quán)的首要問(wèn)題，也是關(guān)鍵問(wèn)題。本文使用實(shí)體的信任度來(lái)作為決策依據(jù)，進(jìn)而動(dòng)態(tài)地授權(quán)給資源請(qǐng)求者。這種機(jī)制能夠提高資源共享程度，有效地保護(hù)資源。

1訪問(wèn)控制技術(shù)和模型

1．1傳統(tǒng)訪問(wèn)控制技術(shù)^[1，2]

a）DAC（discretionary access control，自主訪問(wèn)控制）?；舅枷胧牵合到y(tǒng)中的主體（用戶或用戶進(jìn)程）可以自主地將其擁有的對(duì)客體的訪問(wèn)權(quán)限（全部或部分地）授予其他主體。其實(shí)現(xiàn)方法一般是建立系統(tǒng)訪問(wèn)控制矩陣。矩陣的行對(duì)應(yīng)系統(tǒng)的主體；列對(duì)應(yīng)系統(tǒng)的客體；元素表示主體對(duì)客體的訪問(wèn)權(quán)限。DAC的弱點(diǎn)是：在大型系統(tǒng)中主、客體的數(shù)量巨大，無(wú)論使用哪一種形式的DAC，所帶來(lái)的系統(tǒng)開(kāi)銷都是難以支付的，效率低下，難以滿足大型應(yīng)用特別是網(wǎng)格應(yīng)用的需要。

b）MAC（mandatory access control，強(qiáng)制訪問(wèn)控制）。系統(tǒng)中的主/客體均被分配一個(gè)固定的安全屬性，利用安全屬性決定一個(gè)主體是否可以訪問(wèn)某個(gè)客體。安全屬性是強(qiáng)制性的，由SO（security officer，安全管理員）分配，用戶或用戶進(jìn)程不能改變自身或其他主/客體的安全屬性。MAC本質(zhì)是基于格的非循環(huán)單項(xiàng)信息流政策。系統(tǒng)中每個(gè)主體均被授予一個(gè)安全證書，而每個(gè)客體被指定為一定的敏感級(jí)別。訪問(wèn)控制的兩個(gè)關(guān)鍵規(guī)則是不向上讀和不向下寫，即信息流只能從低安全級(jí)向高安全級(jí)流動(dòng)。但由于MAC增加了不能回避的訪問(wèn)限制，可能影響系統(tǒng)的靈活性；另一方面，雖然MAC增加了信息的機(jī)密行，但不能實(shí)施完整行控制，而一些完整性控制策略卻可以實(shí)現(xiàn)機(jī)密行的功能；另外，網(wǎng)上信息更需要完整性，這影響了MAC在大型分布式環(huán)境下的應(yīng)用。

c）RBAC（role－based access control，基于角色的訪問(wèn)控制）。網(wǎng)絡(luò)的發(fā)展，特別是Internet的廣泛應(yīng)用，使網(wǎng)上信息的完整性要求超過(guò)了機(jī)密性。傳統(tǒng)的DAC/MAC策略難以提供這方面的支持。RBAC的基本思想是將訪問(wèn)權(quán)限分配給角色，系統(tǒng)的用戶擔(dān)任一定的角色。與用戶相比，角色是相對(duì)穩(wěn)定的。角色實(shí)際上是與特定工作崗位相關(guān)的一個(gè)權(quán)限集，當(dāng)用戶改變時(shí)只需進(jìn)行角色的撤銷和重新分配即可。

在網(wǎng)格系統(tǒng)中，用戶的角色不是靜態(tài)的，而動(dòng)態(tài)地給用戶分配角色成為網(wǎng)格系統(tǒng)授權(quán)的問(wèn)題。

1．2分布式訪問(wèn)控制模型

在分布式環(huán)境中，對(duì)資源的控制不僅能夠保護(hù)資源，而且還能夠使資源有效地利用。在授權(quán)模型中，有以下三種普遍使用的模型：

a）推模型，如圖1(a)所示。資源請(qǐng)求者首先向授權(quán)中心請(qǐng)求權(quán)限訪問(wèn)，從授權(quán)中心獲取權(quán)限憑證；然后持權(quán)限憑證訪問(wèn)資源，資源根據(jù)用戶的權(quán)限憑證返回相應(yīng)的資源。

b）拉模型，如圖1(b)所示。資源請(qǐng)求者直接向資源提出請(qǐng)求，資源根據(jù)用戶的請(qǐng)求向授權(quán)中心查詢用戶的請(qǐng)求是否合法。如果合法，允許用戶訪問(wèn)資源；否則拒絕用戶訪問(wèn)。

c）代理模型，如圖1(c)所示。資源請(qǐng)求者直接把請(qǐng)求給授權(quán)代理，授權(quán)代理根據(jù)用戶的請(qǐng)求訪問(wèn)資源。

2信任關(guān)系計(jì)算

網(wǎng)格中的資源是由資源所在的域的管理者來(lái)管理。無(wú)論采用上述哪種訪問(wèn)控制技術(shù)和授權(quán)模型，資源管理者都不可能將網(wǎng)格中所有的用戶一一賦予權(quán)限。因此本文根據(jù)用戶在網(wǎng)格中的網(wǎng)絡(luò)行為成功或失敗，來(lái)計(jì)算用戶的信任度，并根據(jù)用戶的信任度這一屬性，動(dòng)態(tài)地授予訪問(wèn)資源的權(quán)限。

本文定義網(wǎng)格的信任模型是以域(domain)為單位、分層次的信任計(jì)算模型。網(wǎng)格系統(tǒng)的信任關(guān)系粒度分兩個(gè)層次，即以域?yàn)閱挝坏挠蜷g信任關(guān)系和域內(nèi)信任關(guān)系。

a)在域間信任關(guān)系中，信任雙方是域與域之間的，信任評(píng)價(jià)的對(duì)象也是以域?yàn)閱挝弧Ｓ虻氖苄湃纬潭仁怯善渌蜻M(jìn)行評(píng)價(jià)的，評(píng)價(jià)依據(jù)是根據(jù)該域內(nèi)所有用戶在網(wǎng)格中的行為以及該域提供的服務(wù)。因此域的信任度是該域所有用戶在網(wǎng)格中網(wǎng)絡(luò)行為的綜合體現(xiàn)，不代表任何具體的用戶。

(e)用戶使用Hard_Ticket訪問(wèn)資源。資源提供者驗(yàn)證Hard_Ticket的有效性；然后使用自己資源調(diào)度算法，向請(qǐng)求者提供服務(wù)。

當(dāng)資源提供者提供服務(wù)之后，服務(wù)方和請(qǐng)求者分別給對(duì)方評(píng)價(jià)；然后根據(jù)第2章中信任關(guān)系的計(jì)算方式，將評(píng)價(jià)結(jié)果發(fā)到相應(yīng)信任度存儲(chǔ)/計(jì)算節(jié)點(diǎn)，進(jìn)而更新信任關(guān)系。

d）實(shí)驗(yàn)結(jié)果分析。實(shí)驗(yàn)?zāi)康模候?yàn)證信任模型能夠在選擇資源提供者方面，幫助節(jié)點(diǎn)選擇信任度好的服務(wù)提供者，從而提高任務(wù)完成的成功率，提高系統(tǒng)的可靠性。

實(shí)驗(yàn)?zāi)M文件下載服務(wù)，節(jié)點(diǎn)之間是對(duì)等關(guān)系，即提供文件下載又向其他節(jié)點(diǎn)請(qǐng)求下載?？偣?00個(gè)節(jié)點(diǎn)。還有一個(gè)中心服務(wù)節(jié)點(diǎn)計(jì)算全局推薦信任度。惡意節(jié)點(diǎn)分別10、20、30、40、50個(gè)，即分別占總節(jié)點(diǎn)數(shù)的10%、20%、30%、40%、50%。惡意節(jié)點(diǎn)提供正確文件下載的概率是50%。最初其他節(jié)點(diǎn)提供正確文件下載的概率是95%。實(shí)驗(yàn)中對(duì)于全局推薦信任度的計(jì)算沒(méi)有采用分布式計(jì)算方式，而是采用集中計(jì)算全局推薦信任度，直接信任度由各個(gè)節(jié)點(diǎn)自己計(jì)算。

實(shí)驗(yàn)過(guò)程：100個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)下載100次數(shù)據(jù)，每個(gè)節(jié)點(diǎn)每次下載數(shù)據(jù)后把每次交易評(píng)價(jià)記錄下來(lái)。下載10次后，將10次下載的評(píng)價(jià)序列發(fā)送給計(jì)算全局推薦信任度的節(jié)點(diǎn)。計(jì)算全局推薦信任度的節(jié)點(diǎn)計(jì)算所有節(jié)點(diǎn)的全局推薦信任度；然后再將全局推薦信任度發(fā)送給各個(gè)節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)接收到全局推薦信任度后，計(jì)算節(jié)點(diǎn)的綜合信任度。根據(jù)綜合信任度，按照不同的服務(wù)選擇策略，選擇服務(wù)節(jié)點(diǎn)下載數(shù)據(jù)。下載10次后，再向信譽(yù)度節(jié)點(diǎn)發(fā)送評(píng)價(jià)序列。這樣，在實(shí)驗(yàn)過(guò)程中信譽(yù)度計(jì)算10次。不必在某個(gè)節(jié)點(diǎn)下載完數(shù)據(jù)后就更新信譽(yù)度，可以減少計(jì)算量。實(shí)驗(yàn)中沒(méi)有采用請(qǐng)求競(jìng)爭(zhēng)策略。因?yàn)檎?qǐng)求競(jìng)爭(zhēng)策略只是在資源有限的情況下限定請(qǐng)求者使用資源，不能直接反映對(duì)下載成功率的影響。

實(shí)驗(yàn)運(yùn)行的硬件環(huán)境為：PC機(jī)，CPU是Intel Pentium 4處理器，其主頻是1．8 GHz；內(nèi)存512 MB。軟件環(huán)境為：操作系統(tǒng)Windows XP SP2；實(shí)現(xiàn)語(yǔ)言為Java，JDK為1．4．2。

圖3為實(shí)驗(yàn)結(jié)果比較。圖中方塊點(diǎn)組成的線表示采用隨機(jī)選擇下載策略（即不參考任何信任度的策略）；圓點(diǎn)組成的線表示采用設(shè)置信任度閾值的策略；三角點(diǎn)組成的線表示采用相近信任度策略。從三條曲線可以看出，隨著惡意節(jié)點(diǎn)的增加，三種服務(wù)選擇策略的下載成功率均有所下降。其中：設(shè)置信任度閾值策略的曲線下降最慢，相對(duì)比較平滑；隨機(jī)選擇下載策略和相近信任度策略下降幅度相差不大。但是相近信任度策略下載成功率大于隨機(jī)選擇下載情況。在惡意節(jié)點(diǎn)占10%情況下，設(shè)定信任度閾值策略和相近信任度策略均能識(shí)別出隱藏的惡意節(jié)點(diǎn)。

實(shí)驗(yàn)結(jié)論：基于信任度的兩種服務(wù)選擇策略均能提高交易完成的成功率。相對(duì)來(lái)說(shuō)，設(shè)置信任度閾值策略優(yōu)于相近信任度策略。

4結(jié)束語(yǔ)

本文描述了網(wǎng)格系統(tǒng)中信任關(guān)系的計(jì)算。通過(guò)對(duì)分布式環(huán)境下授權(quán)模型的研究，在CAS的基礎(chǔ)上提出了基于信任度的訪問(wèn)控制策略。服務(wù)選擇策略和請(qǐng)求競(jìng)爭(zhēng)策略使得網(wǎng)格用戶合理使用資源，排除惡意使用資源的用戶，同時(shí)這種策略的應(yīng)用為那些信譽(yù)好的資源提供者提供了更多使用資源的機(jī)會(huì)，按照對(duì)網(wǎng)格的貢獻(xiàn)多少來(lái)使用資源。為了合理地利用資源，防止集中訪問(wèn)信任度高的節(jié)點(diǎn)，冷落信任度低的節(jié)點(diǎn)，提出了Ticket機(jī)制。通過(guò)模擬實(shí)驗(yàn)得出結(jié)論：信任度能夠有效提高網(wǎng)格作業(yè)完成的成功率和網(wǎng)格系統(tǒng)的安全性。

參考文獻(xiàn)：

[1]PEARLMAN L， WELCH V， FOSTER I， et al. A community authorization service for group collaboration[C]//Proc of the 3rd International Workshop on Policies for Distributed Systems and Networks. Washington DC: IEEE Computer Society， 2002:50-59.

[2]KAMVAR S D， SCHLOSSER M T， MOLINA H G. The eigenTrust algorithm for reputation management in P2P Networks[C]//Proc of the 12th International World Wide Web Conference. New York: ACM Press， 2003:640-651.

[3]FU Y， CHASE J， CHUN B， et al. SHARP: an architecture for secure resource peering[C]//Proc of the 19th ACM Symposium on Operating Systems Principles. Bolton Landing， NY: ACM Press， 2003:133－148.

[4]DAMIANI E， VIMERCATI D C D， PARABOSCHI S， et al. A reputation－based approach for choosing reliable resource in peer－to－peer networks[C]//Proc of the 9th ACM Conference on Computer and Communications Security. Washington DC: ACM Press， 2002:207-216.

[5]WANG Y， VASSILEVA J. Bayesian network－based trust model in peer－to－peer networks[C]//Proc of IEEE/WIC International Confe－rence on Web Intelligence(WI 2003). Halifax:[s.n.]， 2003:372-378.

[6]劉宏月，范九倫，馬建峰.訪問(wèn)控制技術(shù)研究進(jìn)展[J].小型微型計(jì)算機(jī)系統(tǒng)， 2002，25(1):56-59.

“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”