科學數據網格中資源節點信任評價系統的設計與實現

摘要：給出了信任的定義，并分析了信任屬性。然后根據科學數據網格的特點，設計了域間直接、推薦信任度的計算和域間推薦信任關系的通信協議，并介紹了資源節點信任評價系統在域間訪問控制系統中的應用。

關鍵詞：科學數據網格；信任關系；基于屬性的訪問控制

中圖分類號：TP393文獻標志碼：A

文章編號：1001－3695(2007)07－0154－03

網格技術已經廣泛地應用到科研工作者日常的科研生活中。數據網格以數據資源的協同調用為核心，具有分布式、異構的海量數據資源的共享與訪問等特點。在數據網格環境中，網格實體之間存在著信任關系，需要進行信任抉擇。由于網格環境的動態性和不確定性，當網格實體進行交易時需要知道它們之間的信任關系、信任不僅僅包括對實體身份的信任，還包括對實體行為的信任。目前還沒有一種可以廣泛接受的規范或技術來評價這種信任關系。其基本原因在于評價信任的復雜性和它更依賴于具體的評價環境。

科學數據網格是以中國科學院“十五”信息化建設重大項目“科學數據庫及其應用系統”[1]為背景而建設的一個數據網格。它為研究工作者提供了一個共享、協同處理數據資源的基本平臺。在眾多的數據資源提供節點中，如何讓用戶知道哪些節點提供的服務更可信。這就需要構架一種符合科學數據網格本身特點的資源節點信任評價系統。這也是本文所要研究和解決的問題。

1信任的定義及其屬性

1．1信任的定義

信任是一個非常復雜的主觀概念，它與被信任對象的真實（Truthfulness）、能力（Competence）和可靠性（Reliability）相關。信任是建立信任關系、管理信任關系和安全策略的關鍵概念。目前并沒有一致的信任的定義。在科學數據網格環境中，信任首先表現為對被信任對象的身份信任，然后根據以往它的交易歷史對其行為的信任，而這種行為信任是隨著實體間的多次交易而動態變化。本文對信任的定義[2]如下：

信任是在特定的環境中，信任者對被信任者具有完成某一特定任務能力可能性的主觀判斷，其程度依賴于實體對被信任對象的直接經驗和推薦信息。

信任關系通常分為兩類，即直接信任關系與推薦信任關系(簡稱直接信任與推薦信任)。直接信任是指實體與協作者之間的信任關系；推薦信任是指實體與推薦者之間的信任關系，體現了實體認為其所提供信任信息為真的程度。

1．2信任屬性

身份信任是信任的基礎，也是行為信任的前提。在科學數據網格環境中，可采用用戶密碼對方式，也可采用GSI（Grid Security Infrastructure）實現的身份認證方式。

信任是與內容相關的。當一個實體在某種程度上信任其他實體時，總是針對某一特定內容的。

信任在兩個實體之間是一對一的關系，但不對稱。A信任B的程度不一定等同于B信任A的程度。一般來說，涉及信任關系的實體是分散的，可能不知道相互的直接信息，所以信任管理是在分散的實體之間建立信任關系。

信任關系是動態變化的。A信任B是在某一指定范圍內執行的操作或提供服務的能力。隨著與B的多次協作，如果B每次協作均如期地完成任務，A會逐漸提高對B的信任度；反之，A會降低對B的信任度。

信任不是簡單的信與不信，一個主體對另一個主體的信任是有程度的，如不信任、一般信任、較信任、很信任、非常信任。因此，信任是在一定取值范圍內連續變化的。為了計算、表示方便，本文對信任度的取值范圍定在[0， 1]內。越接近1表示越信任，越接近0表示越不信任。

信任存在推薦關系，當某個實體沒有直接與其他實體交往時，若想要了解其他實體，只能靠其他實體提供推薦信息來參考，根據自己的策略判斷推薦信息。

2科學數據網格中資源節點信任評價系統的設計與實現

根據網格實體所屬組織的不同，可將網格劃分成若干個自治域，每個自治域均有自己的管理策略、安全策略。這樣分擔了整個網格管理的負擔，并利用了已有的資源。因為科學數據資源由各個研究所管理，可將每個研究所作為其自治域。這樣域內的信任管理由本地實施和管理。目前科學數據網格的數據訪問服務系統（DAS）已經在各個院所實施和應用，這樣就可以將域的代理服務器（Agent）架設在DAS服務器中。本文重點設計與實現域間的信任評價系統。由第一章可知，信任關系的建立主要根據以往的交易歷史和其他節點的推薦。在科學數據網格中，筆者采用了第三方推薦信任服務器（即全局推薦信任評價節點）的方式實現推薦信任關系。這種方式根據各個域之間的交易歷史，計算出全局節點間信任關系，從而為第一次交易的雙方提供信任推薦，還可以避免其他節點的自私推薦行為。

2．1信任度的基本計算

根據第1章中對信任定義與其屬性的分析，信任可分為直接信任和推薦信任。直接信任度是建立信任關系、進行全局推薦信任計算的基礎。直接信任關系是根據數據網格域內實體本身的交易歷史獲得的；推薦信任關系則是由全局信任評價服務器提供的，而全局信任評價是根據數據網格內所有節點的交易歷史計算得出的。

2．1．1域間直接信任的計算

2．2域間推薦信任關系的通信協議設計

根據上面所述，科學數據網格中主要存在兩種信任評價：①直接信任評價。它構建于域內代理服務器。其主要功能有加入科學數據網格信任評價系統，如圖1所示；管理并記錄域內用戶對域外資源的訪問，如圖2所示；根據域內實體交易的歷史記錄生成直接信任關系表，根據上面提供的計算公式更新與其交易的域的直接信任度。在域進行多次交易后，向全局推薦信任評價節點提交直接信任關系表。②推薦信任評價。它由第三方推薦服務器承擔。其主要功能有接收每個域代理服務器提交的直接信任關系表；計算出全局推薦信任關系表；向每個域代理服務器發送全局推薦信任關系表；另外，為了保證全局推薦信任關系數據的冗余性，使用備份的全局推薦信任評價的服務器。每次全局推薦信任表更新時，均作更新備份全局推薦信任評價服務器的數據。

首先，詳細介紹一個新的域加入科學數據網格信任評價系統的過程，如圖1所示。

（1)用戶C查詢所需資源時，域代理服務器顯示資源所屬域的信任度；

（2)用戶根據自己的需求，選擇其中一節點為其服務，Session Management模塊為用戶創建一個Session，監控用戶訪問過程；

（5)用戶接收數據；

（6)用戶對數據進行信任評價，并提交本地信任評價模塊。

在資源節點信任評價系統中，使用XML文件存放直接信任表和全局推薦信任表數據。為了保證協議的安全，本文使用XML簽名[6]標準。

3信任評價系統在科學數據網格中的應用 

信任評價系統不僅為科學數據網格用戶提供域外資源節點信任度參考，而且還可以為科學數據網格系統的域間訪問控制系統提供判斷憑據。域間訪問控制的基本思想是：資源請求者將所屬域的信任度作為其屬性，資源所有者依據請求者的信任度是否達到訪問策略要求的門限值，來判斷是否賦予其訪問權限。這就需要設計新的基于屬性的訪問控制模型[5]（Attribute－Based Access Control，ABAC），而不是傳統上的訪問控制模型，如自主訪問控制、強制訪問控制和基于角色的訪問控制。基于屬性的訪問控制模型比傳統的訪問控制模型具有更細的控制粒度和可擴展性，而且還可以使用謂詞判斷來制定訪問策略。

在域間訪問控制系統中，使用資源描述框架（Resource Description Framework，RDF）[7]來管理用戶屬性和資源屬性。RDF語句使用URI為標示符，來標志Web資源，并將資源與它們的屬性相關聯。RDF語法為subject; property; value或subject; predicate; object的三元組。

本文采用簡化的XACML模型來構建域間訪問控制系統結構，如圖4所示。它使用訪問規則管理工具幫助管理員簡化對策略規則的管理。

它由如下部分組成：

（1）訪問策略決定點（Policy Decision Point，PDP）。它是整個訪問控制模塊的核心部分。包含訪問規則集合。集合中包含若干個規則組。規則組是根據用戶的“所在研究所”屬性值來劃分的，因為這種劃分符合中國科學院的院所體系結構，方便管理。每個規則組包含多條訪問規則，每條規則如下表示：

Rule X:can_access(s，r)←f(ATTR(s)，ATTR(r))

其意義為客體s訪問資源r是個返回Boolean量的函數。例如Rule1:can_access(s，r)←trustLevel(s)≥trustLevelNeeded(r)，表示訪問者訪問資源的必要條件是其信任度大于等于資源所需的信任度。

PDP通過遍歷查找集合中是否存在規則與訪問請求相匹配，來確定是否賦予其訪問權利。

（2）訪問策略執行點（Policy Enforcement Point，PEP）。PEP模塊接收用戶的訪問請求，執行PDP的決定，向PDP提交用戶和資源的屬性文檔。當用戶通過認證后，PEP根據用戶ID或者證書的DN從本地用戶數據庫中獲取屬性證書。

（3）屬性驗證器（Attribute Validator）。此模塊保證屬性文檔的完整性。如果屬性存在于XML/RDF文檔中，可用XML簽名標準對其簽名和驗證這些屬性。

（4）RDF分析器（RDF Parser）。在屬性驗證點確認屬性文檔的完整性和有效性后，此模塊用于從文檔中提取屬性值。

4結束語

描述了網格系統中信任關系的計算。將這種信任計算模型應用到科學數據網格中，設計出它的資源節點信任評價系統。并將信任評價系統提供的域節點信任度作為用戶動態屬性，設計與實現了域間的訪問控制系統。

參考文獻：

［1］

南凱，閻保平．科學數據庫系統平臺建設設想.科學數據庫與信息技術論文集:6集[C].北京：科學出版社，2002．

［2］TYRONE G， MORRIS S. A survey of trust in Internet applications[C].Quarter:IEEE Communications Surveys， 2000.

［3］ALI A S， ERSIN U.Reputation－based trust management for P2P networks:CCGRID 2004:the 4th IEEE/ACM International Symposium on Cluster Computing and the Grid[C].[S.l.]:[s.n.]，2004.

［4］FOSTER I，KESSELMAN C，NICK J M.The physiology of the grid:an open grid services architecture for distributed systems integration.Open Grid Service Infrastructure WG， Global Grid Forum[C].[S.l.]:[s.n.]， 2002.

［5］PRIEBE T， FERNANDEZ E B， MEHLAU J I，et al.A Pattern System for Access Control: proc.of the 18th Annual IFIP WG 11.3 Working Conference on Data and Application Security[C].Sitges，Spain:[s.n.]，2004.

［6］EASTLAKE D， REAGLE J. SOLO D. XML－signature syntax and processing[EB/OL].[2002－02].http://www.w3.org/TR/xmldsigcore/.

［7］BRICKLEY D，GUHA R V.RDF vocabulary description language1.0:RDF schema[EB/OL].[2004－02].http://www.w3.org/TR/rdf－schema/.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”