一種使服務(wù)請(qǐng)求通過(guò)防火墻的網(wǎng)格信任模型研究.pdf

1、網(wǎng)格是繼萬(wàn)維網(wǎng)之后出現(xiàn)的一種新型網(wǎng)絡(luò)計(jì)算平臺(tái)，目的是為用戶提供一種全面共享資源的基礎(chǔ)設(shè)施。但因其大規(guī)模、分布異構(gòu)和動(dòng)態(tài)等特性使得網(wǎng)格計(jì)算環(huán)境非常復(fù)雜，提出了比傳統(tǒng)網(wǎng)絡(luò)環(huán)境更高更廣泛的安全需求。安全問(wèn)題是網(wǎng)格計(jì)算技術(shù)的關(guān)鍵問(wèn)題，而信任問(wèn)題是人們?cè)诮鉀Q網(wǎng)格安全問(wèn)題中所必須面對(duì)的核心問(wèn)題。本文從基本的背景知識(shí)入手，總結(jié)了網(wǎng)格環(huán)境的特點(diǎn)，分析了網(wǎng)格的安全需求，并指出信任機(jī)制在網(wǎng)格安全中的重要性，進(jìn)而提出一種比較綜合的網(wǎng)格信任模型。 今天

2、的動(dòng)態(tài)跨域網(wǎng)格計(jì)算的一個(gè)主要障礙就是防火墻的存在，防火墻不會(huì)一下子消失，它在域間執(zhí)行邊界訪問(wèn)規(guī)則。因此，網(wǎng)格安全模型必須考慮防火墻的存在，而且提供一種能夠穿透防火墻而不破壞本地防火墻控制策略的機(jī)制。解決該問(wèn)題的一種方法是通過(guò)服務(wù)綁定技術(shù)來(lái)使網(wǎng)格服務(wù)請(qǐng)求無(wú)障礙穿越防火墻等系統(tǒng)設(shè)置的屏障，但是綁定的安全性基于相關(guān)協(xié)議和消息格式的安全特性，而指定Web服務(wù)訪問(wèn)的安全需求是基于參與端點(diǎn)的相關(guān)策略集合定義和實(shí)現(xiàn)的。針對(duì)上述問(wèn)題，本文對(duì)現(xiàn)有信任模型

3、及防火墻技術(shù)進(jìn)行研究，提出一種可以使請(qǐng)求通過(guò)防火墻的網(wǎng)格信任模型。該模型具有諸多優(yōu)點(diǎn)：首先是不同的域可以有不同的安全策略；其次是模型考慮了交易上下文，實(shí)體的歷史數(shù)據(jù)動(dòng)態(tài)影響對(duì)其信任度的測(cè)量；第三是與防火墻的兼容，又不破壞本地防火墻控制策略。 網(wǎng)格項(xiàng)目的共同特點(diǎn)是它們都跨越多個(gè)管理域而且都要處理特殊的信任和訪問(wèn)權(quán)限的協(xié)商過(guò)程。因此，本文在信任模型的設(shè)計(jì)中采用了基于域的信任模型的思想。按域劃分網(wǎng)格成員，將成員之間的信任關(guān)系分為域內(nèi)信

4、任關(guān)系和域間信任關(guān)系，設(shè)置不同的策略來(lái)處理這兩種不同的信任關(guān)系。因?yàn)楦髯匀唤M織具有統(tǒng)一的安全策略的傳統(tǒng)設(shè)計(jì)，不同的域根據(jù)自然組織來(lái)劃分；域間的信任通過(guò)為每個(gè)域設(shè)置一個(gè)域代理來(lái)建立。防火墻的通過(guò)問(wèn)題存在于新成員加入網(wǎng)格和網(wǎng)格成員退出網(wǎng)格階段。新成員加入階段，本文采用域代理考察新成員身份設(shè)置成員信任值之后通知域間信任表中的異域域代理的策略，相應(yīng)域代理與防火墻聯(lián)動(dòng)，更新設(shè)置，使來(lái)自新成員的服務(wù)請(qǐng)求可以跨越域邊界；網(wǎng)格成員退出網(wǎng)格，與其有過(guò)交易

5、歷史的異域代理再次與防火墻聯(lián)動(dòng)，取消退出成員跨越域邊界的權(quán)利。與防火墻聯(lián)動(dòng)是本論文的一部分重要工作，它通過(guò)引入代理發(fā)送XML格式的消息驅(qū)動(dòng)防火墻。本文另一部分重要工作是對(duì)模型中信任關(guān)系的表示、量化和更新都給出了具體的策略，并且給出了信任決擇算法。在信任值的度量上，借鑒基于主觀邏輯信任模型的思想，綜合了身份信任和行為信任，能更接近現(xiàn)實(shí)地對(duì)實(shí)體的信任進(jìn)行度量。 最后，使用網(wǎng)格模擬器GridSim對(duì)論文提出的模型進(jìn)行了仿真，并且對(duì)其性