網格環境下基于信任度的資源訪問控制研究

摘要：首先給出了網格計算中訪問控制的特點和需求。現有的訪問控制技術以及分布式授權模型，均不能滿足網格計算中對訪問控制的需求。通過建立實體間的信任關系，在CAS基礎上，提出了基于信任度的訪問控制機制。為了提高資源的利用率，提出了Ticket機制。最后給出模擬實驗結果，驗證有效性。

關鍵詞：網格計算； 信任； 訪問控制； Ticket

中圖分類號：TP393文獻標志碼：A

文章編號：1001-3695(2007)12-0179-04

0引言

網格是將分布在廣域網上的資源整合起來，提供大規模的分布式計算，在動態的、多個單位參與的虛擬組織之間協同資源共享和解決問題。網格具有如下特性：用戶、資源和服務提供者數目龐大、經常變化；通信協議不盡相同；安全機制和策略不盡相同。網格面臨各種威脅，如數據被截取；信息的內容被竄改或刪除；假冒合法用戶和服務器；虛假、惡意的節點提供虛假服務；存在自私節點，它們只是消耗資源，而不提供資源；實體可信賴、可依靠的程度。因此，必須為網格計算系統及其構件提供新的安全措施，來解決認證（authentication）、授權（authorization）和記賬（audit）問題。本文主要解決網格環境下的授權問題（即資源訪問控制問題）。

建立在PKI基礎上的GSI（grid security infrastructure）提供了網格環境的實體身份認證，但是這并不能提供任何關于實體網絡行為的信息。由于網格內的成員或組織可能是動態地加入與退出，這種動態性使得參與的實體在協同工作時，彼此之間可能事先完全不了解對方，或無法獲取對方的相關信息。資源擁有者或資源管理者如何將資源分配給資源請求者，以及根據什么策略，授予什么權限，這是網格計算中授權的首要問題，也是關鍵問題。本文使用實體的信任度來作為決策依據，進而動態地授權給資源請求者。這種機制能夠提高資源共享程度，有效地保護資源。

1訪問控制技術和模型

1．1傳統訪問控制技術^[1，2]

a）DAC（discretionary access control，自主訪問控制）。基本思想是：系統中的主體（用戶或用戶進程）可以自主地將其擁有的對客體的訪問權限（全部或部分地）授予其他主體。其實現方法一般是建立系統訪問控制矩陣。矩陣的行對應系統的主體；列對應系統的客體；元素表示主體對客體的訪問權限。DAC的弱點是：在大型系統中主、客體的數量巨大，無論使用哪一種形式的DAC，所帶來的系統開銷都是難以支付的，效率低下，難以滿足大型應用特別是網格應用的需要。

b）MAC（mandatory access control，強制訪問控制）。系統中的主/客體均被分配一個固定的安全屬性，利用安全屬性決定一個主體是否可以訪問某個客體。安全屬性是強制性的，由SO（security officer，安全管理員）分配，用戶或用戶進程不能改變自身或其他主/客體的安全屬性。MAC本質是基于格的非循環單項信息流政策。系統中每個主體均被授予一個安全證書，而每個客體被指定為一定的敏感級別。訪問控制的兩個關鍵規則是不向上讀和不向下寫，即信息流只能從低安全級向高安全級流動。但由于MAC增加了不能回避的訪問限制，可能影響系統的靈活性；另一方面，雖然MAC增加了信息的機密行，但不能實施完整行控制，而一些完整性控制策略卻可以實現機密行的功能；另外，網上信息更需要完整性，這影響了MAC在大型分布式環境下的應用。

c）RBAC（role－based access control，基于角色的訪問控制）。網絡的發展，特別是Internet的廣泛應用，使網上信息的完整性要求超過了機密性。傳統的DAC/MAC策略難以提供這方面的支持。RBAC的基本思想是將訪問權限分配給角色，系統的用戶擔任一定的角色。與用戶相比，角色是相對穩定的。角色實際上是與特定工作崗位相關的一個權限集，當用戶改變時只需進行角色的撤銷和重新分配即可。

在網格系統中，用戶的角色不是靜態的，而動態地給用戶分配角色成為網格系統授權的問題。

1．2分布式訪問控制模型

在分布式環境中，對資源的控制不僅能夠保護資源，而且還能夠使資源有效地利用。在授權模型中，有以下三種普遍使用的模型：

a）推模型，如圖1(a)所示。資源請求者首先向授權中心請求權限訪問，從授權中心獲取權限憑證；然后持權限憑證訪問資源，資源根據用戶的權限憑證返回相應的資源。

b）拉模型，如圖1(b)所示。資源請求者直接向資源提出請求，資源根據用戶的請求向授權中心查詢用戶的請求是否合法。如果合法，允許用戶訪問資源；否則拒絕用戶訪問。

c）代理模型，如圖1(c)所示。資源請求者直接把請求給授權代理，授權代理根據用戶的請求訪問資源。

2信任關系計算

網格中的資源是由資源所在的域的管理者來管理。無論采用上述哪種訪問控制技術和授權模型，資源管理者都不可能將網格中所有的用戶一一賦予權限。因此本文根據用戶在網格中的網絡行為成功或失敗，來計算用戶的信任度，并根據用戶的信任度這一屬性，動態地授予訪問資源的權限。

本文定義網格的信任模型是以域(domain)為單位、分層次的信任計算模型。網格系統的信任關系粒度分兩個層次，即以域為單位的域間信任關系和域內信任關系。

a)在域間信任關系中，信任雙方是域與域之間的，信任評價的對象也是以域為單位。域的受信任程度是由其他域進行評價的，評價依據是根據該域內所有用戶在網格中的行為以及該域提供的服務。因此域的信任度是該域所有用戶在網格中網絡行為的綜合體現，不代表任何具體的用戶。

(e)用戶使用Hard_Ticket訪問資源。資源提供者驗證Hard_Ticket的有效性；然后使用自己資源調度算法，向請求者提供服務。

當資源提供者提供服務之后，服務方和請求者分別給對方評價；然后根據第2章中信任關系的計算方式，將評價結果發到相應信任度存儲/計算節點，進而更新信任關系。

d）實驗結果分析。實驗目的：驗證信任模型能夠在選擇資源提供者方面，幫助節點選擇信任度好的服務提供者，從而提高任務完成的成功率，提高系統的可靠性。

實驗模擬文件下載服務，節點之間是對等關系，即提供文件下載又向其他節點請求下載。總共100個節點。還有一個中心服務節點計算全局推薦信任度。惡意節點分別10、20、30、40、50個，即分別占總節點數的10%、20%、30%、40%、50%。惡意節點提供正確文件下載的概率是50%。最初其他節點提供正確文件下載的概率是95%。實驗中對于全局推薦信任度的計算沒有采用分布式計算方式，而是采用集中計算全局推薦信任度，直接信任度由各個節點自己計算。

實驗過程：100個節點，每個節點下載100次數據，每個節點每次下載數據后把每次交易評價記錄下來。下載10次后，將10次下載的評價序列發送給計算全局推薦信任度的節點。計算全局推薦信任度的節點計算所有節點的全局推薦信任度；然后再將全局推薦信任度發送給各個節點。每個節點接收到全局推薦信任度后，計算節點的綜合信任度。根據綜合信任度，按照不同的服務選擇策略，選擇服務節點下載數據。下載10次后，再向信譽度節點發送評價序列。這樣，在實驗過程中信譽度計算10次。不必在某個節點下載完數據后就更新信譽度，可以減少計算量。實驗中沒有采用請求競爭策略。因為請求競爭策略只是在資源有限的情況下限定請求者使用資源，不能直接反映對下載成功率的影響。

實驗運行的硬件環境為：PC機，CPU是Intel Pentium 4處理器，其主頻是1．8 GHz；內存512 MB。軟件環境為：操作系統Windows XP SP2；實現語言為Java，JDK為1．4．2。

圖3為實驗結果比較。圖中方塊點組成的線表示采用隨機選擇下載策略（即不參考任何信任度的策略）；圓點組成的線表示采用設置信任度閾值的策略；三角點組成的線表示采用相近信任度策略。從三條曲線可以看出，隨著惡意節點的增加，三種服務選擇策略的下載成功率均有所下降。其中：設置信任度閾值策略的曲線下降最慢，相對比較平滑；隨機選擇下載策略和相近信任度策略下降幅度相差不大。但是相近信任度策略下載成功率大于隨機選擇下載情況。在惡意節點占10%情況下，設定信任度閾值策略和相近信任度策略均能識別出隱藏的惡意節點。

實驗結論：基于信任度的兩種服務選擇策略均能提高交易完成的成功率。相對來說，設置信任度閾值策略優于相近信任度策略。

4結束語

本文描述了網格系統中信任關系的計算。通過對分布式環境下授權模型的研究，在CAS的基礎上提出了基于信任度的訪問控制策略。服務選擇策略和請求競爭策略使得網格用戶合理使用資源，排除惡意使用資源的用戶，同時這種策略的應用為那些信譽好的資源提供者提供了更多使用資源的機會，按照對網格的貢獻多少來使用資源。為了合理地利用資源，防止集中訪問信任度高的節點，冷落信任度低的節點，提出了Ticket機制。通過模擬實驗得出結論：信任度能夠有效提高網格作業完成的成功率和網格系統的安全性。

參考文獻：

[1]PEARLMAN L， WELCH V， FOSTER I， et al. A community authorization service for group collaboration[C]//Proc of the 3rd International Workshop on Policies for Distributed Systems and Networks. Washington DC: IEEE Computer Society， 2002:50-59.

[2]KAMVAR S D， SCHLOSSER M T， MOLINA H G. The eigenTrust algorithm for reputation management in P2P Networks[C]//Proc of the 12th International World Wide Web Conference. New York: ACM Press， 2003:640-651.

[3]FU Y， CHASE J， CHUN B， et al. SHARP: an architecture for secure resource peering[C]//Proc of the 19th ACM Symposium on Operating Systems Principles. Bolton Landing， NY: ACM Press， 2003:133－148.

[4]DAMIANI E， VIMERCATI D C D， PARABOSCHI S， et al. A reputation－based approach for choosing reliable resource in peer－to－peer networks[C]//Proc of the 9th ACM Conference on Computer and Communications Security. Washington DC: ACM Press， 2002:207-216.

[5]WANG Y， VASSILEVA J. Bayesian network－based trust model in peer－to－peer networks[C]//Proc of IEEE/WIC International Confe－rence on Web Intelligence(WI 2003). Halifax:[s.n.]， 2003:372-378.

[6]劉宏月，范九倫，馬建峰.訪問控制技術研究進展[J].小型微型計算機系統， 2002，25(1):56-59.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”