一種使服務(wù)請求通過防火墻的網(wǎng)格信任模型研究.pdf

1、網(wǎng)格是繼萬維網(wǎng)之后出現(xiàn)的一種新型網(wǎng)絡(luò)計算平臺，目的是為用戶提供一種全面共享資源的基礎(chǔ)設(shè)施。但因其大規(guī)模、分布異構(gòu)和動態(tài)等特性使得網(wǎng)格計算環(huán)境非常復(fù)雜，提出了比傳統(tǒng)網(wǎng)絡(luò)環(huán)境更高更廣泛的安全需求。安全問題是網(wǎng)格計算技術(shù)的關(guān)鍵問題，而信任問題是人們在解決網(wǎng)格安全問題中所必須面對的核心問題。本文從基本的背景知識入手，總結(jié)了網(wǎng)格環(huán)境的特點(diǎn)，分析了網(wǎng)格的安全需求，并指出信任機(jī)制在網(wǎng)格安全中的重要性，進(jìn)而提出一種比較綜合的網(wǎng)格信任模型。 今天

2、的動態(tài)跨域網(wǎng)格計算的一個主要障礙就是防火墻的存在，防火墻不會一下子消失，它在域間執(zhí)行邊界訪問規(guī)則。因此，網(wǎng)格安全模型必須考慮防火墻的存在，而且提供一種能夠穿透防火墻而不破壞本地防火墻控制策略的機(jī)制。解決該問題的一種方法是通過服務(wù)綁定技術(shù)來使網(wǎng)格服務(wù)請求無障礙穿越防火墻等系統(tǒng)設(shè)置的屏障，但是綁定的安全性基于相關(guān)協(xié)議和消息格式的安全特性，而指定Web服務(wù)訪問的安全需求是基于參與端點(diǎn)的相關(guān)策略集合定義和實(shí)現(xiàn)的。針對上述問題，本文對現(xiàn)有信任模型

3、及防火墻技術(shù)進(jìn)行研究，提出一種可以使請求通過防火墻的網(wǎng)格信任模型。該模型具有諸多優(yōu)點(diǎn)：首先是不同的域可以有不同的安全策略；其次是模型考慮了交易上下文，實(shí)體的歷史數(shù)據(jù)動態(tài)影響對其信任度的測量；第三是與防火墻的兼容，又不破壞本地防火墻控制策略。 網(wǎng)格項(xiàng)目的共同特點(diǎn)是它們都跨越多個管理域而且都要處理特殊的信任和訪問權(quán)限的協(xié)商過程。因此，本文在信任模型的設(shè)計中采用了基于域的信任模型的思想。按域劃分網(wǎng)格成員，將成員之間的信任關(guān)系分為域內(nèi)信

4、任關(guān)系和域間信任關(guān)系，設(shè)置不同的策略來處理這兩種不同的信任關(guān)系。因?yàn)楦髯匀唤M織具有統(tǒng)一的安全策略的傳統(tǒng)設(shè)計，不同的域根據(jù)自然組織來劃分；域間的信任通過為每個域設(shè)置一個域代理來建立。防火墻的通過問題存在于新成員加入網(wǎng)格和網(wǎng)格成員退出網(wǎng)格階段。新成員加入階段，本文采用域代理考察新成員身份設(shè)置成員信任值之后通知域間信任表中的異域域代理的策略，相應(yīng)域代理與防火墻聯(lián)動，更新設(shè)置，使來自新成員的服務(wù)請求可以跨越域邊界；網(wǎng)格成員退出網(wǎng)格，與其有過交易

5、歷史的異域代理再次與防火墻聯(lián)動，取消退出成員跨越域邊界的權(quán)利。與防火墻聯(lián)動是本論文的一部分重要工作，它通過引入代理發(fā)送XML格式的消息驅(qū)動防火墻。本文另一部分重要工作是對模型中信任關(guān)系的表示、量化和更新都給出了具體的策略，并且給出了信任決擇算法。在信任值的度量上，借鑒基于主觀邏輯信任模型的思想，綜合了身份信任和行為信任，能更接近現(xiàn)實(shí)地對實(shí)體的信任進(jìn)行度量。 最后，使用網(wǎng)格模擬器GridSim對論文提出的模型進(jìn)行了仿真，并且對其性