网格环境中基于信任度的动态访问控制模型

裴云霞 时海亮

（郑州轻工业学院数学与信息科学系 河南 450002）

0 引言

网格是构建在互联网上并将其上的资源整合起来，提供大规模的分布式计算,在动态的、多个单位参与的虚拟组织之间进行资源共享和协同计算。由于网格自身的异构、动态和多域的特点，这给网格的安全研究带来新的挑战，只有具有可靠的安全保障后，其大规模的推广和应用才能得以实现。

传统的网格安全基础设施关注的是网格环境下的安全认证与通信问题，但对访问控制没有给予足够的重视。访问控制机制是网格系统必须考虑的问题，它主要通过访问授权约束使获得权限的用户在满足所有约束前提下执行相应的操作。从而为分布式的动态变化的网格系统提供一种高效率、完善的资源访问机制。

目前主流的访问控制模型是基于角色的访问控制RBAC[1]。虽然与传统的自主访问控制和强制访问控制相比，具有更高的扩展性和灵活性。但传统的任何一种访问控制技术包括RBAC都是静态的，无法满足网格系统动态性的安全需求。鉴于此，本文在基于角色的访问控制模型基础上，引入信任度的概念，构建了一种基于信任度的动态访问控制模型。

1 信任关系评估

信任关系是保证网络系统安全的重要手段。在网格访问控制模型中引入信任机制，可以很大程度上避免用户、应用对资源的恶意性访问。本文描述的网格信任模型是以域为单位，分层次的信任计算模型。网格系统的信任关系分为：以域为单位的域间信任关系，域内成员信任关系。

为了管理网格系统的信任关系，每个域设置一个信任度管理单元。信任度管理单元由信任度管理服务器和信任度管理数据库组成。信任度管理服务器负责计算并更新域（实体）的信任度。信任度管理数据库负责存储相互交互的域（实体）之间的所有评价及其当前的信任度。

1.1 域内信任关系

网格环境中，虽然域内成员可以继承域的信任度，但是对于域来说，需要管理内部成员。域中信任度管理数据库维护域内所有交易评价表，交易评价表记录评价节点、被评价节点、对该次交易的评价值。在域内的每个节点维护与它有直接交易的节点的评价值表，该表记录项包括节点、对该节点的总体评价值、对该节点评价的时间。

域内节点a对节点b的信任评价包括直接经验评价和间接交易评价。

直接经验评价Ra(b,dir)在该节点维护的评价值表中查询，该评价值为a与b 所有交易评价的平均值，可以表示为

其中Va(b,i)为节点a与b的第i 次交易评价值，该值通过查询域交易评价表得到。

间接交易评价值可以表示为

其中Cr(a,k)为节点a对k的信任值，通过查询a的评价值表得到；Rk(b,dir)为节点k 对的b直接评价值；M为域内其它提供反馈节点的数量。

定义Ra(b)代表节点b在节点a上的信任度，Ra(b)的计算公式如下：

其中α是直接经验的比例，β是间接经验的比例，α+β=1。将式(1)、(2)带入式(3)即可得到节点b的信任度。

1.2 域间信任关系

在域间信任关系中，信任评价的对象以域为单位，依据域内所有用户在网格中的行为以及该域提供的服务进行评价的。因此域的信任度是该域所有用户在网格中行为的综合体现。域内成员的行为可能会增加或减少该域的信任度。

为管理域间的信任关系，在信任度管理数据库中维护两张表：一张是域间评价表，表中包含了所有与之有过直接交易的域的声望值，记录了交易的域名、评价值；另一张是本域节点评价表，记录了域内节点的评价值。

其中TM(N)表示M域对N域的直接信任值，可以从M域评价值表中查询。 是其它域代理的声望值与其对域N的评价值的加权平均值，α表示域间评价的比例，1-α为域对节点评价的比例，VN(b)表示域N对域内节点b的评价值。

2 基于信任度的动态访问控制模型

CAS( Community Authority Service)[2-3】作为虚拟组织（虚拟社区）中的可信第三方, 主要负责管理组织内资源的访问控制策略以及域中资源的管理策略我们对CAS 模型进行改进,引入信任度管理单元，该单元负责社区内域的信任度的计算和更新。改进后的模型如图1所示。

为了体现网格访问控制模型的动态性，网格的域及其成员的信任度会在每次网格任务完成后进行更新。依据图1，一次动态的访问控制步骤如下：

用户需要得到服务时，首先向CAS 服务器提交所需资源并请求授权；CAS 服务器依据CAS提供的访问控制策略, 确定用户有无权限访问资源；

如果网格用户有权访问资源, 则CAS服务器返回给用户一个用其私钥签署的授权策略声明；

域Dj中的用户将声明和资源请求提交给要使用的域Di的域资源服务器；根据域Di的本地策略判断是否提供资源给域Dj中的用户；

如果域Di的域资源服务器响应用户，分配给用户相应的资源访问权限凭证；

域Dj中的用户使用该凭证，由域资源服务器中的资源调度算法向用户提供服务，从而完成网格任务；

网格任务完成后, 产生过交互的网格实体给对方做相应的评价并将数据传给信任度管理单元，信任度管理单元提取数据, 对评价客体、主体的信任度按照第2节中的方法进行计算并更新其中的实体信任度记录；

实体的信任度被提交到CAS 数据库，CAS 服务器根据实体信任度的级别确定其角色[4]。

图1 动态访问控制模型

3 结语

鉴于目前主流的访问控制模型无法满足网格系统动态性的安全需求，本文在基于角色的访问控制模型基础上，给出域间和域内信任关系的计算，将信任度的概念引入到访问控制模型中，构建了一种基于信任度的动态访问控制模型。使得网格环境下现有的访问控制模型具有更高的扩展性和灵活性，从而使网格资源更合理高效的利用。

[1] Ferraiolo David F, D.Richard Kuhn, Ramaswamy Chandramouli,Role-Based Access Control, Artech House, 2003:368-170.

[2] James C Bezdek.Pattern Recogn ition w ith Fu zzy Ob ject ive Function A lgorithm s[M ].New York: P lenum Press, 1981.

[3]王东安,张方舟,南 凯,阎保平.网格计算中基于信任度的访问控制研究[J].计算机应用研究.2006,6:49-54

[4]邓勇，张琳，王汝传.网格计算中基于信任度的动态角色访问控制的研究[J].计算机科学.2010,1:51-54

[5]窦文，王怀民，贾焰，邹鹏.构造基于推荐的Peer-to-Peer环境下的Trust模型[J].软件学报,Apr.2004, 15(4), pp.571-583.

[6]徐京京，代红雷，查礼等.基于社区的服务网格多粒度授权与访问控制研究[J].计算机应用研究,2006,7: 199-203

[7]王莉苹, 杨寿保.网格环境中的一种信任模型[ J ] .计算机工程与应用, 2004, 40(23) : 50-53