CN101257386A - 基于信任模型的动态访问控制方法 - Google Patents

Abstract

基于信任模型的动态访问控制方法，是一种动态访问控制的安全解决方案，主要用于解决用户如何筛选出网格中可信任节点的问题，进而把用户提交的任务按照各个资源节点的能力优化分配，满足用户海量作业的需求。并且利用信任模型和信任评估控制机制对网格社区中的资源提供者和资源消费者实施安全保护以及对其提交任务的质量保证。该方法将信任模型运用到访问控制机制中，利用信任评估模型解决如何筛选出符合网格用户要求的资源节点，来完成用户提交的作业任务问题，解决在网格计算环境下，网格用户与本虚拟组织内的网格实体以及其他虚拟组织的实体间的协同合作、共享资源的安全性和动态性问题，构建网格计算环境中对用户进行授权的安全体系结构。

Description

基于信任模型的动态访问控制方法

技术领域

本发明是一种对开放网格环境下信任实体进行信任评估的解决方案，主要用于解决用户如何筛选出网格中可信任节点的问题，进而提交任务。属于分布式计算安全技术领域。

背景技术

网格计算已经发展成为计算机工业的一个重要领域，该领域与分布式计算的不同之处在于，网格计算更加集中于资源共享和协同工作以及高性能的定位，致力于解决多个个体或组织之间有关资源共享的问题。网格计算的出现和兴起，使得软件系统正从面向封闭的、熟识用户群体和相对静态的形式向更加开放的、公共可访问的和高度动态的服务模式的转变。这种转变使得网格计算系统的安全分析复杂化，同时由于网格计算环境的大规模性，异构性，分布性，动态性和开放性等特点，传统的安全技术或者措施已经不能很好的满足网格应用的需要。基于传统软件系统形态的安全技术和手段，尤其是安全认证和授权机制，如访问控制列表(Access ControlList，简称ACL)、一些传统的公钥证书体系等，不再适用于解决网格计算安全问题。

传统的基于公钥系统的证书体系，如X.509，PGP等，不能很好地满足网格计算安全的需求：

(1)认证中心仅担保一般意义上的个体标识，并不去证实个体的能力或赋予其权限，也就是只是对用户的身份进行鉴别，而并不知道该用户是否有能力或权限来进行操作，这同样无法保证系统的安全性；

(2)完全依靠认证中心，弱化了个体的自我信任，而盲目信任大范围内的认证中心，则往往无法解决个体间的利益冲突；

(3)难以集中维护证书撤消列表，证书很可能被滥用。另外，依靠个体进行身份认证和推荐的公钥证书体系，虽然具有很大的灵活性，但是没有集中的信任代理，将使其很难适用于一个较大规模的用户群体。

因此，人们迫切需要通过对网格计算的安全策略进行专门系统的研究，提出一种全新的能够适应网格计算等开放网络环境的安全模型，并针对网格计算新的需求提出新的方法和思路。1996年，M.Blaze等人为解决Internet网络服务的安全问题首次使用了“信任管理(trust management)”的概念，其基本思想是承认开放系统中安全信息的不完整性，系统的安全决策需要依靠信任第三方提供附加的安全信息。信任管理将传统安全研究中，尤其是安全授权机制研究中隐含的信任概念抽取出来，并以此为中心加以研究，为解决网格计算环境中新的应用形式的安全问题提供了新的思路。与此同时，A.Adul-Rahman等学者则从信任的概念出发，对信任内容和信任程度进行划分，并从信任的主观性入手给出信任的数学模型用于信任评估。“信任(Trust)”，也可以称之为“信任赖性(Trustworthiness)”，是指可以专心致于完成他人的合法期望的一种能力，信任既是道德的组成部分，也是任何社会存在的关键前提条件。信任区别传统的认证机制，传统的认证主要用于证明身份，说明拥有该证书或令牌的实体是合法实体，而这并不等同于说明该实体就是信任的(有能力进行交互并且交互过程中不会出现欺诈行为)。但是信任和认证模型是紧密相连的，对于一般的交互过程，通常先进行身份认证，再结合信任模型来评判交互对方的信任度，然后根据对方的信任程度给对方相应的授权。这种类似于社会网络中的信任关系能够很好的适应开放网络环境，而研究网格计算环境的信任模型已经成为网格安全研究的热点。

“信任”概念的提出引起了学术界和企业界的极大兴趣，在学术界，人们纷纷展开对信任模型的研究，提出了各种信任模型，其中影响较大的有两类：BBK-Scheme和

信任模型。

发明内容

技术问题：本发明的目的是提出一种基于信任模型的动态访问控制方法，解决在网格计算环境下，网格用户与本虚拟组织内的网格实体以及其他虚拟组织的实体间的协同合作、共享资源的安全性和动态性问题，构建网格计算环境中对用户进行授权的安全体系结构。利用信任模型和信任评估控制机制对网格社区中的资源提供者和资源消费者实施安全保护以及对其提交任务的质量保证。

技术方案：本发明的方法是一个能广泛适用并具有高效率的网格等开放网络环境中的方法。从使用推荐信任的历史窗口的角度来设计研究网格计算环境中的信任模型，根据信任模型算法算出实体的信任度，进而当实体作为网格虚拟组织中的资源节点时，组织授权服务机制能依据实体信任度动态为其调度和分配子任务，并对其执行过程进行监测。其目标是解决如何筛选出符合网格用户要求的资源节点，来完成用户提交的作业任务问题。

下面给出该模型中的几个概念：

信任(Trust)：是对一个实体身份和行为的可信度的评估，与这个实体的可靠性、诚信和性能有关，信任是一个主观概念，取决于经验，我们用信任值来表示信任等级的高低，信任值随实体的行为而动态变化。

直接信任(Direct Trust)：是指两个实体之间曾经有过直接的交易，他们之间建立了一种直接信任关系，信任值来源于根据双方的交易情况得出的直接经验。

推荐信任(Recommended Trust)：是指两个实体之间没有进行过直接的交易，而是根据其他实体的推荐建立的一种信任关系，他们之间的信任值是根据其他实体的评估得出的结果。

直接信任和推荐信任如图4显示。

自治域(Autonomous Domain)：把网格划分成若干个独立的自治域，每个自治域包含若干个网格实体，有自己的管理策略、安全策略，自治域之间通过网络连接

信任模型算法(Algorithm of Trust Model)：对实体得到的评价反馈进行统计计算所使用的算法。

评价主体(Subject of Evaluation)：即需要对其他实体进行信任度评价的实体，也是信任模型的使用者。

评价客体(Object of Evaluation)：即评价主体准备进行信任度评价的评价客体，评价客体n为第n个评价客体。

本发明的基于信任模型的动态访问控制方法是将信任模型运用到访问控制机制中，利用信任模型解决动态分配网格用户提交作业的问题，具体如下：

一、体系结构

图2是某个用户实体的网格自治域模型树状图，此树状图分为4层，实际的结构要比此例复杂的多，cycle表示树的高度。用户处在第一层即树根(cycle＝1)以此类推，直到cycle＝4为子叶。用户如果想要找到网格中所有符合自己要求的资源节点来为自己提供服务，则要以所有节点作为目标节点进行一一遍历，然后筛选出可用节点。

为了更加精确的筛选出符合用户要求的可靠的资源节点，本模型引入了几个参数，它们是：传递路径限长、推荐因子限值、直接信任权重值、推荐信任权重值、可信度限值、历史窗口大小，下面给出具体的说明：

传递路径限长：当一个实体需要知道他对域内另一个实体的信任值时，若两个实体有直接信任关系则直接采用这个信任值，若没有直接信任关系，则按推荐等级的高低逐次寻找推荐者直到找到一个与之有直接信任关系的实体获得推荐的信任值，根据社会网络经验，当信任链路越长，则得到的最终推荐信任越不可靠，假设中间推荐节点的推荐信任值都为0.9，则经过8次推荐之后，得到的链路推荐值为0.9⁸＝0.43，这样的推荐值就难以使请求者相信最终结果，因而需要对链路长度进行限制。本模型的传递路径限长由用户在提交作业之前传送给服务器。

推荐因子(限值)：在交互双方没有接触过的前提下，实体都倾向于使用一些自己比较信任的中间实体作为推荐者来评判交互对方，而这些推荐者的推荐能力则可以通过他们的声望来表示，声望(Reputation)定义为一个实体对另一个实体能够行使推荐活动的能力、诚实性和可靠性的一种主观评判。声望的大小用推荐因子表示，通常推荐因子越大，则越容易取得信任。在一定时期内，实体的推荐因子通常体现为相对稳定的，因而能够用数学公式表示。

我们用Trust_a(b)来表示a对b的信任值，dir_a(b)表示a对b的直接信任值，rec_x(y)是x对y的推荐因子，表示x对y提供的推荐信息的信任程度，其中y是x的推荐者。

由于推荐因子取值是介于[0，1]之间的，并且关系到a对b的最终信任值，所以推荐因子应当满足一定的限值才能达到用户要求的最终信任实体，筛选出可信任的资源节点。

直接信任权重值(推荐信任权重值)：在我们的模型中，把每个网格实体抽象成一个网格节点。每个节点维护一张信任关系表，表中包含了所有与之发生过直接联系的域内节点，还包含了他的所有推荐节点。我们在搜索目标节点时可能会通过不止一条路径到达，在这些路径中，有直接信任路径也有推荐信任路径，但最终结果是用户实体对目标节点要有一个信任值，这就需要直接信任权重值和推荐信任权重值对这些路径进行合并，得到一个节点的最终信任值。

$\mathrm{Trus}{t}_a\left(b\right)=M\×{\mathrm{dir}}_a\left(b\right)+N\×\underset{i=1}{\overset{w}{\mathrm{\Σ}}}({\mathrm{rec}}_a\left(i_1\right)\×{\mathrm{rec}}_{i_1}\left(i_2\right)\×\·\·\·\×{\mathrm{rec}}_{i_{n-1}}\left(i_n\right)\×{\mathrm{dir}}_{i_n}\left(b\right))$

M表示直接信任权重值，dir_a(b)表示a对b的直接信任值，N表示推荐信任权重值，i表示第i条推荐路径，rec_x(y)是x对y的推荐因子。

可信度限值：评估实体在获得对于评估对象的最终信任之后需要对其进行评估和筛选。该系统采用的方法是为每一次要完成任务的实体设定一个可信度限值t.对于经过合并运算获得的信任 $t_b^a={\mathrm{Trust}}_a\left(b\right)$ 若 $t_b^a>t,$ 则实体认为评估对象符合协同需求，可以参与协作活动；否则，实体将拒绝评估对象进行协同。可信度限值大小反映了用户对于协同对象可信性需求的严格程度。在Internet软件协同环境中，软件实体必须具有感知环境的能力和对协同操作作出评价的能力。当一个软件实体由于可信度限值过低而受到威胁时，必须及时提高限值；反之，如果限值过高，软件实体拒绝了大部分实体的协同请求，则应该相应下调限值，尽可能地使合法的协同请求者能够调用服务。t值的大小与软件实体参与协同的意愿成反比。t越小，实体越容易参与协同，同时其可信性保障越低；反之亦然。选取合适的限值是软件实体正常工作的重要因素之一。限值与具体的应用相关，需视具体情况而定。

历史窗口大小：更新推荐信任，不能仅依赖于推荐者在当前协作活动中所提供的信息，对推荐者进行推荐活动的历史信息也应当加以使用。不同的历史信息对于推荐信任更新过程所产生的影响是不同的，越近的历史信息所产生的影响应该越大，本模型使用滑动窗口来模拟该过程.实体为某类协作过程ω中的每一个推荐者引入一个滑动窗口来记录最近n次ω类协作过程中其提供推荐信息的情况，采用FIFO先进先出的原则。如图5，本系统取各窗口的权值分别为

二、方法流程

该方法将信任模型运用到访问控制机制中，利用信任评估模型解决如何筛选出符合网格用户要求的资源节点，来完成用户提交的作业任务问题，具体如下：

步骤1).客户首先在本地生成一个待签发的本地证书，然后向认证中心提交证书，请求授权；

步骤2).认证中心判断客户有无权限访问网格资源，若有权限则认证中心用其私钥签署从客户端发来的本地证书，若客户无权限认证中心则拒绝为其私钥签名，并把判断结果返还给用户；

步骤3).客户收到已签发的证书后，向本自治域服务器进行注册，并附加自己的数字证书给服务器；

步骤4).自治域服务器验证数字证书，通过后会将客户ID和密码保存在自治域服务数据库中，客户就成为网格用户；

步骤5).网格用户有任务提交时，先登陆自治域服务器；

步骤6).单点登陆，避免用户在跨域服务请求时再次登陆其他自治域服务器；

步骤7).用户提交对网格资源节点的信任要求，包括信任等级、历史窗口、传递路径限长、直接信任的权重值、推荐信任的权重值、推荐因子限值、可信任度限值；

步骤8).将上述参数提交到自治域服务数据库，在数据库中打开本用户节点的信任记录，以自治域所有资源节点为目标，以用户为源头，搜索信任路径；

步骤9).找到所有符合要求的节点后按权重合并直接信任和推荐信任，计算得到所有节点的最终信任值；对于同一节点可能会多条路径有直接信任的，也有推荐信任的，

步骤10).根据用户提交的可信任度限值参数筛选出符合用户要求的所有可信节点，只有信任度大于等于可信度限值的节点才满足要求，并将此结果返还给用户；

步骤11).用户选择只可读、只可写、可以修改等服务操作选项，服务起始时间、终止时间，IP地址匹配与否，根据用户提交的这些服务要求生成策略文档；

步骤12).生成策略文档，进行策略匹配，用户将声明提交给自治域服务器，通过本地策略，自治域服务器判断是否提供服务给用户；

步骤13).用户将任务请求提交给自治域服务器；

步骤14).服务器根据可信节点的性能即CPU性能，将作业分成若干个子作业分配给各个可信节点完成；

步骤15).将结果返回给用户，任务完成；

步骤16).用户在与每个资源节点进行交互之后，会产生一个对此节点相应的评价，所有的评价都被提交到自治域服务数据库；

步骤17).依据信任等级和历史窗口参数，评价计算资源节点的最终信任值，并更新用户对该节点信任关系记录，供下次任务请求时使用；

步骤18).更新自治域服务数据库中推荐节点的评价准确度，即推荐因子；至此，一个基于信任评估模型的访问控制方法的具体实施过程结束。

步骤7中用户把对网格资源节点的信任要求，包括信任等级、历史窗口、传递路径限长、直接信任的权重值、推荐信任的权重值、推荐因子限值、可信任度限值提交到自治域服务数据库，在数据库中打开本用户节点的信任记录，以自治域所有资源节点为目标，以用户为源头，搜索信任路径，具体步骤如下：

步骤71.打开用户节点的信任记录，设用户对其它资源节点的直接信任个数＝num，从记录中找以用户为源头的所有资源节点目标，搜索信任路径，此时位于搜索树的第一层，用cycle表示树的层次，此时cycle＝1；

步骤72.查找所有与之有关联的资源节点，如果num＝0此节点没有记录则默认它对网格中所有节点的信任值为0.5，推荐因子也为0.5，遍历结束；

步骤73.如果numi＝0，则有信任记录，用i表示是记录中的第几个节点，要求i＜＝num，从记录的第i＝1个节点开始判断此节点是否是目标节点；如果是，把推荐路径和推荐信任值或直接信任值记录下来，继续遍历其他路径的本目标节点；

步骤74.如果不是目标节点，则判断该节点有无进一步信任对象，如果有，进入下步判断；

步骤75.该节点的推荐因子是否大于推荐限值，如果是，进入下步判断；如果否，则进一步判断此节点的i是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

步骤76.传递路径长度是否大于路径限长，如果否，进入下步判断；如果是则进一步判断此节点的i值是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

步骤77.该节点是否已经出现在传递路径中，如果否，进入下步判断；如果是则进一步判断此节点的i值是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

步骤78.该节点可以作为中间推荐节点，查找所有与之有关联的资源节点，进入下层遍历，cycle＝cycle+1；

步骤79.如果步骤74～步骤77中有任何一个条件不能满足都返回到上层后，进入下个记录节点的继续遍历；直到网格中所有节点都遍历一遍，程序结束；

步骤710.针对网格中的每个节点可能会多条路径，有直接信任的，也有推荐信任的，对其进行整合，按直接信任权重值和推荐信任权重值合并直接信任和推荐信任路径，加权平均后得出用户对此节点的最终信任值；

步骤711.然后再根据可信度限值筛选出满足要求的节点，根据用户提交的可信任度限值参数筛选出符合用户要求的所有可信节点，只有资源节点的可信度大于等于可信度限值才满足要求，并将此结果返还给用户。

有益效果：本发明方法提出了一种把信任评估理念应用到访问控制中的新方法，主要用于解决网格社区中用户对网格资源节点访问控制的问题，通过使用本发明提出的方法可以避免实体欺骗行为和实现动态性，可以有效的达到网格社区中对资源节点的访问控制的目的，是一种高效便捷的新方法。下面我们给出具体的说明。

可靠性：本发明方法中使用的信任模型是可靠的，可以防止实体欺骗行为。在网格计算环境中，存在一种伪造实体行为，实体自己注册一些实体与自己进行交互，并对这些行为给予很高的评价，借此提高自己的信任度评价。在本模型中，只有来自信任度高的实体的正面评价才能提高对端实体的信任度，因为客户在提交作业之前先提交一推荐限值，只有实体的推荐因子大于这个限值时才可以作为中间推荐者，并且用户与资源节点交互完成后要对这些中间推荐者做评价准确度，准确度一般的实体对对端实体的信任度几乎没有影响，而准确度很低的实体对对端实体的正面评价甚至会降低端实体的信任度。在本模型中，注册实体的初始信任度设置为0.5，推荐因子也为0.5，这意味着这些实体的评价对于其他实体的影响不大，并且随着节点之间交互次数的增多而差距逐渐拉大，越可靠的节点信任值会越来越高，带有恶意欺骗行为的节点信任值会越来越低，因此通过注册实体并伪造实体行为在本信任模型中是无效的。

动态性：根据网格用户与资源节点交互的结果，用户会对每个节点做出评价，把资源节点完成任务的情况提交到自治域服务器，服务器依据信任等级和历史窗口参数，计算评价客体n的最终信任值，并更新用户对实体信任关系记录和参考实体的评价准确度(推荐因子)，进而，用户能够动态、及时的掌握网格资源的情况，筛选出合适的资源节点。

合理性：本访问控制方法中在引入反馈信息时，不但将正面评价和负面评价均引入信任模型中，而且考虑到反馈信息提供者的可信任度，使得反馈信息更加合理。随着越来越多的交易，该模型对信任值的评估也越来越准确。

附图说明

图1是自治域授权服务的框架图。

图2是一用户实体的网格自治域模型树状图。

图3是搜索得到的信任链路图。

图4是直接信任和推荐信任。

图5是N次滑动窗口。

图6是本发明全过程流程图。

图7是本发明访问控制方法的流程图。

具体实施方式

1、网格用户请求访问资源

若未注册的客户，首先应在本地生成一个待签发的本地证书，然后向认证中心CA(Certification authority)提交证书，请求授权，认证中心判断客户有无权限访问网格资源，若有则认证中心用其私钥签署从客户端发来的本地证书，并返回给用户，客户收到已签发的证书后，向本自治域服务器进行注册，并其发送自己的数字证书，自治域服务器验证数字证书，通过后会将客户ID和密码保存在自治域服务数据库中，客户就成为网格用户；

网格用户有任务提交时，先登陆自治域服务器，然后单点登陆，目的是避免用户在跨域服务请求时再次登陆其他自治域服务器，用户提交对网格资源节点的信任要求，包括信任等级、历史窗口、传递路径限长、直接信任的权重值、推荐信任的权重值、推荐因子限值、可信任度限值等，网格资源服务器通过验证用户的策略声明来决定是否提供服务即响应用户。

2、筛选网格节点

将上述参数提交到自治域服务数据库，在数据库中打开本用户节点的信任记录，以自治域所有资源节点为目标，一一遍历。以用户为源头，开始搜索信任路径；以图2为例，对此过程进行详细说明：

此树状图分为4层，cycle表示树的高度。用户处在第一层即树根(cycle＝1)以此类推，直到cycle＝4为子叶。用户如果想要找到网格中所有符合自己要求的资源节点来为自己提供服务，则要以所有节点作为目标节点进行一一遍历，然后筛选出可用节点。

1)首先打开用户的信任记录，先查找与用户有直接信任关系的资源节点如果没有直接信任记录则默认网格中所有节点的信任值为0.5，推荐因子也为0.5；此例用户与(1，2，3)三个资源节点存在直接信任关系，先从节点1开始，如果不是目标节点则又以此1节点为源，进行深度遍历；

2)判断节点1有无进一步信任关系，若无则返回上一层进行广度遍历，(即cycle＝2，返回上一层cycle＝1)。此例中，节点1有进一步信任关系；

3)判断节点1的推荐因子是否大于推荐限值，若小于限值则该节点不可作为中间推荐者，排除此路径，返回上层继续遍历，否则进入下一步；

4)判断节点1是否已经出现在传递路径中，如果是则取消此路径，避免死锁；如果没有则可以作为中间推荐节点，继续查找与之有关联的资源节点，进入下层遍历，cycle++；

5)直到深度遍历结束后(查到cycle＝4的9为止)才进行广度，即横向遍历，返回到cycle＝2层，查找节点2，如果不是目标节点，并且没有信任记录，则转到同层的下一节点3；

6)再进行深度遍历，直到所有节点都遍历一遍，程序结束。

7)针对网格中的每个节点可能会多条路径，有直接信任的，也有推荐信任的，对其进行整合，按直接信任权重值和推荐信任权重值合并直接信任和推荐信任路径，加权平均后得出用户对此节点的最终信任值。

8)然后再根据可信度限值筛选出满足要求的节点。根据用户提交的可信任度限值参数筛选出符合用户要求的所有可信节点(大于等于参数值)，将此结果返还给用户。

3、提交任务请求和结果返回

用户选择服务选项，包括服务权利如：读、写、修改操作，服务时间如：起始时间、终止时间，IP地址匹配与否，从而生成策略文档，进行策略匹配，用户将策略声明提交给自治域服务器，通过本地策略，自治域服务器判断是否提供服务给用户，如果通过则响应用户的请求，用户将任务请求提交给自治域服务器，服务器根据可信节点的性能(如CPU性能)，将作业分成若干个子作业分配给各个可信节点完成，任务完成后，所有资源节点将结果返回给自治域服务器，服务器把各个子结果整合之后发送给用户一个完整的结果。

具体如下：

步骤1).客户首先在本地生成一个待签发的本地证书，然后向认证中心CA(Certification authority)提交证书，请求授权；

步骤2).认证中心判断客户有无权限访问网格资源，若有则认证中心用其私钥签署从客户端发来的本地证书，并返回给用户；

步骤3).客户收到已签发的证书后，向本自治域服务器进行注册，并其发送自己的数字证书；

步骤4).自治域服务器验证数字证书，通过后会将客户ID和密码保存在自治域服务数据库中，客户就成为网格用户；

步骤5).网格用户有任务提交时，先登陆自治域服务器；

步骤6).单点登陆，避免用户在跨域服务请求时再次登陆其他自治域服务器；

步骤7).用户提交对网格资源节点的信任要求，包括信任等级、历史窗口、传递路径限长、直接信任的权重值、推荐信任的权重值、推荐因子限值、可信任度限值等；

步骤8).将上述参数提交到自治域服务数据库，在数据库中打开本用户节点的信任记录，以自治域所有资源节点为目标，以用户为源头，搜索信任路径；

步骤9).找到所有符合要求的节点后(对于同一节点可能会多条路径如图3所示，有直接信任的，也有推荐信任的)，按权重合并直接信任和推荐信任，计算得到所有节点的最终信任值；

步骤10).根据用户提交的可信任度限值参数筛选出符合用户要求的所有可信节点(大于等于参数值)，将此结果返还给用户；

步骤11).用户选择服务选项，包括服务权利如：读、写、修改操作，服务时间如：起始时间、终止时间，IP地址匹配与否；

步骤12).生成策略文档，进行策略匹配，用户将声明提交给自治域服务器，通过本地策略，自治域服务器判断是否提供服务给用户；

步骤13).用户将任务请求提交给自治域服务器；

步骤14).服务器根据可信节点的性能(如CPU性能)，将作业分成若干个子作业分配给各个可信节点完成；

步骤15).将结果返回给用户，任务完成；

步骤16).用户在与每个资源节点进行交互之后，会产生一个对此节点相应的评价，所有的评价都被提交到自治域服务数据库；

步骤17).依据信任等级和历史窗口参数，计算评价客体n的最终信任值，并更新用户对实体信任关系记录，供下次任务请求时使用；

步骤18).更新自治域服务数据库中参考实体的评价准确度(推荐因子)；至此，一个基于信任评估模型的访问控制方法的具体实施过程结束。

步骤7)中用户把对网格资源节点的信任要求，包括信任等级、历史窗口、传递路径限长、直接信任的权重值、推荐信任的权重值、推荐因子限值、可信任度限值等提交到自治域服务数据库，在数据库中打开本用户节点的信任记录，以自治域所有资源节点为目标，以用户为源头，搜索信任路径，具体步骤如下：

1)打开用户节点的信任记录，设用户对其它资源节点的直接信任个数＝num，从记录中找以用户为源头的所有资源节点目标，搜索信任路径，此时位于搜索树的第一层，用cycle表示树的层次，此时cycle＝1；

2)查找所有与之有关联的资源节点，如果num＝0此节点没有记录则默认它对网格中所有节点的信任值为0.5，推荐因子也为0.5，遍历结束；

3)如果num！＝0，则有信任记录，用i表示是记录中的第几个节点，要求i＜＝num，从记录的第i＝1个节点开始判断，此节点是否是目标节点；如果是，把推荐路径和推荐信任值或直接信任值记录下来，继续遍历其他路径的本目标节点；

4)如果不是目标节点，则判断该节点有无进一步信任对象，如果有，进入下步判断；

5)该节点的推荐因子是否大于推荐限值，如果是，进入下步判断；如果否，则进一步判断此节点的i是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

6)传递路径长度是否大于路径限长，如果否，进入下步判断；如果是则进一步判断此节点的i值是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

7)该节点是否已经出现在传递路径中，如果否，进入下步判断；如果是则进一步判断此节点的i值是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

8)该节点可以作为中间推荐节点，查找所有与之有关联的资源节点，进入下层遍历，cycle＝cycle+1；

9)如果步骤4)～7)中有任何一个条件不能满足都返回到上层后，进入下个记录节点的继续遍历；直到网格中所有节点都遍历一遍，程序结束；

10)针对网格中的每个节点可能会多条路径，有直接信任的，也有推荐信任的，对其进行整合，按直接信任权重值和推荐信任权重值合并直接信任和推荐信任路径，加权平均后得出用户对此节点的最终信任值；

11)然后再根据可信度限值筛选出满足要求的节点，根据用户提交的可信任度限值参数筛选出符合用户要求的所有可信节点，只有资源节点的可信度大于等于可信度限值才满足要求，并将此结果返还给用户。

在这个过程中，用户可能和几十个甚至上百个资源进行了交互，每个资源实体带有恶意的概率是不一样的，每个交互结束后，两个交互的实体对对方会有个相应的评价，所有的评价都被提交到自治域服务数据库，依据信任等级和历史窗口参数，由自治域服务器根据相应的评价计算评价客体n的最终信任值，并更新用户对实体信任关系记录，供下次任务请求时使用；还要更新自治域服务数据库中参考实体的评价准确度(推荐因子)；至此，一个基于信任评估模型的访问控制方法的具体实施过程结束。

Claims (2)

1.一种基于信任模型的动态访问控制方法，其特征在于该方法将信任模型运用到访问控制机制中，利用信任评估模型解决如何筛选出符合网格用户要求的资源节点，来完成用户提交的作业任务问题，具体如下：

步骤1.客户首先在本地生成一个待签发的本地证书，然后向认证中心提交证书，请求授权；

步骤2.认证中心判断客户有无权限访问网格资源，若有权限，则认证中心用其私钥签署从客户端发来的本地证书，若客户无权限，认证中心则拒绝为其私钥签名，并把判断结果返还给用户；

步骤3.客户收到已签发的证书后，向本自治域服务器进行注册，并附加自己的数字证书给服务器；

步骤4.自治域服务器验证数字证书，通过后会将客户ID和密码保存在自治域服务数据库中，客户就成为网格用户；

步骤5.网格用户有任务提交时，先登陆自治域服务器；

步骤6.单点登陆，避免用户在跨域服务请求时再次登陆其他自治域服务器；

步骤7.用户提交对网格资源节点的信任要求，包括信任等级、历史窗口、传递路径限长、直接信任的权重值、推荐信任的权重值、推荐因子限值、可信任度限值；

步骤8.将上述参数提交到自治域服务数据库，在数据库中打开本用户节点的信任记录，以自治域所有资源节点为目标，以用户为源头，搜索信任路径；

步骤9.找到所有符合要求的节点后按权重合并直接信任和推荐信任，计算得到所有节点的最终信任值；对于同一节点可能会多条路径有直接信任的，也有推荐信任的，

步骤10.根据用户提交的可信任度限值参数筛选出符合用户要求的所有可信节点，只有信任度大于等于可信度限值的节点才满足要求，并将此结果返还给用户；

步骤11.用户选择只可读、只可写、可以修改等服务操作选项，服务起始时间、终止时间，IP地址匹配与否，根据用户提交的这些服务要求生成策略文档；

步骤12.生成策略文档，进行策略匹配，用户将声明提交给自治域服务器，通过本地策略，自治域服务器判断是否提供服务给用户；

步骤13.用户将任务请求提交给自治域服务器；

步骤14.服务器根据可信节点的性能即CPU性能，将作业分成若干个子作业分配给各个可信节点完成；

步骤15.将结果返回给用户，任务完成；

步骤16.用户在与每个资源节点进行交互之后，会产生一个对此节点相应的评价，所有的评价都被提交到自治域服务数据库；

步骤17.依据信任等级和历史窗口参数，评价计算资源节点的最终信任值，并更新用户对该节点信任关系记录，供下次任务请求时使用；

步骤18.更新自治域服务数据库中推荐节点的评价准确度，即推荐因子；至此，一个基于信任评估模型的访问控制方法的具体实施过程结束。

2、根据权利要求1所述的基于信任模型的动态访问控制方法，其特征在于步骤7中用户把对网格资源节点的信任要求，包括信任等级、历史窗口、传递路径限长、直接信任的权重值、推荐信任的权重值、推荐因子限值、可信任度限值提交到自治域服务数据库，在数据库中打开本用户节点的信任记录，以自治域所有资源节点为目标，以用户为源头，搜索信任路径，具体步骤如下：

步骤71.打开用户节点的信任记录，设用户对其它资源节点的直接信任个数＝num，从记录中找以用户为源头的所有资源节点目标，搜索信任路径，此时位于搜索树的第一层，用cycle表示树的层次，此时cycle＝1；

步骤72.查找所有与之有关联的资源节点，如果num＝0此节点没有记录则默认它对网格中所有节点的信任值为0.5，推荐因子也为0.5，遍历结束；

步骤73.如果numi＝0，则有信任记录，用i表示是记录中的第几个节点，要求i＜＝num，从记录的第i＝1个节点开始判断此节点是否是目标节点；如果是，把推荐路径和推荐信任值或直接信任值记录下来，继续遍历其他路径的本目标节点；

步骤74.如果不是目标节点，则判断该节点有无进一步信任对象，如果有，进入下步判断；

步骤75.该节点的推荐因子是否大于推荐限值，如果是，进入下步判断；如果否，则进一步判断此节点的i是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

步骤76.传递路径长度是否大于路径限长，如果否，进入下步判断；如果是则进一步判断此节点的i值是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

步骤77.该节点是否已经出现在传递路径中，如果否，进入下步判断；如果是则进一步判断此节点的i值是否等于num，如果不等就对第i+1个节点进行搜索，如果等于说明本层广度遍历结束，返回上层节点继续遍历；

步骤78.该节点可以作为中间推荐节点，查找所有与之有关联的资源节点，进入下层遍历，cycle＝cycle+1；

步骤79.如果步骤74～步骤77中有任何一个条件不能满足都返回到上层后，进入下个记录节点的继续遍历；直到网格中所有节点都遍历一遍，程序结束；

步骤710.针对网格中的每个节点可能会多条路径，有直接信任的，也有推荐信任的，对其进行整合，按直接信任权重值和推荐信任权重值合并直接信任和推荐信任路径，加权平均后得出用户对此节点的最终信任值；

步骤711.然后再根据可信度限值筛选出满足要求的节点，根据用户提交的可信任度限值参数筛选出符合用户要求的所有可信节点，只有资源节点的可信度大于等于可信度限值才满足要求，并将此结果返还给用户。

Images