一種使服務(wù)請求通過防火墻的網(wǎng)格信任模型研究.pdf

1、網(wǎng)格是繼萬維網(wǎng)之后出現(xiàn)的一種新型網(wǎng)絡(luò)計算平臺，目的是為用戶提供一種全面共享資源的基礎(chǔ)設(shè)施。但因其大規(guī)模、分布異構(gòu)和動態(tài)等特性使得網(wǎng)格計算環(huán)境非常復雜，提出了比傳統(tǒng)網(wǎng)絡(luò)環(huán)境更高更廣泛的安全需求。安全問題是網(wǎng)格計算技術(shù)的關(guān)鍵問題，而信任問題是人們在解決網(wǎng)格安全問題中所必須面對的核心問題。本文從基本的背景知識入手，總結(jié)了網(wǎng)格環(huán)境的特點，分析了網(wǎng)格的安全需求，并指出信任機制在網(wǎng)格安全中的重要性，進而提出一種比較綜合的網(wǎng)格信任模型。 今天

2、的動態(tài)跨域網(wǎng)格計算的一個主要障礙就是防火墻的存在，防火墻不會一下子消失，它在域間執(zhí)行邊界訪問規(guī)則。因此，網(wǎng)格安全模型必須考慮防火墻的存在，而且提供一種能夠穿透防火墻而不破壞本地防火墻控制策略的機制。解決該問題的一種方法是通過服務(wù)綁定技術(shù)來使網(wǎng)格服務(wù)請求無障礙穿越防火墻等系統(tǒng)設(shè)置的屏障，但是綁定的安全性基于相關(guān)協(xié)議和消息格式的安全特性，而指定Web服務(wù)訪問的安全需求是基于參與端點的相關(guān)策略集合定義和實現(xiàn)的。針對上述問題，本文對現(xiàn)有信任模型

3、及防火墻技術(shù)進行研究，提出一種可以使請求通過防火墻的網(wǎng)格信任模型。該模型具有諸多優(yōu)點：首先是不同的域可以有不同的安全策略；其次是模型考慮了交易上下文，實體的歷史數(shù)據(jù)動態(tài)影響對其信任度的測量；第三是與防火墻的兼容，又不破壞本地防火墻控制策略。 網(wǎng)格項目的共同特點是它們都跨越多個管理域而且都要處理特殊的信任和訪問權(quán)限的協(xié)商過程。因此，本文在信任模型的設(shè)計中采用了基于域的信任模型的思想。按域劃分網(wǎng)格成員，將成員之間的信任關(guān)系分為域內(nèi)信

4、任關(guān)系和域間信任關(guān)系，設(shè)置不同的策略來處理這兩種不同的信任關(guān)系。因為各自然組織具有統(tǒng)一的安全策略的傳統(tǒng)設(shè)計，不同的域根據(jù)自然組織來劃分；域間的信任通過為每個域設(shè)置一個域代理來建立。防火墻的通過問題存在于新成員加入網(wǎng)格和網(wǎng)格成員退出網(wǎng)格階段。新成員加入階段，本文采用域代理考察新成員身份設(shè)置成員信任值之后通知域間信任表中的異域域代理的策略，相應(yīng)域代理與防火墻聯(lián)動，更新設(shè)置，使來自新成員的服務(wù)請求可以跨越域邊界；網(wǎng)格成員退出網(wǎng)格，與其有過交易

5、歷史的異域代理再次與防火墻聯(lián)動，取消退出成員跨越域邊界的權(quán)利。與防火墻聯(lián)動是本論文的一部分重要工作，它通過引入代理發(fā)送XML格式的消息驅(qū)動防火墻。本文另一部分重要工作是對模型中信任關(guān)系的表示、量化和更新都給出了具體的策略，并且給出了信任決擇算法。在信任值的度量上，借鑒基于主觀邏輯信任模型的思想，綜合了身份信任和行為信任，能更接近現(xiàn)實地對實體的信任進行度量。 最后，使用網(wǎng)格模擬器GridSim對論文提出的模型進行了仿真，并且對其性