（计算机应用技术专业论文）基于agent的网格主机安全防护.pdf

南京理工大学硕士学位论文基于a g e n t 的网格主机安全防护 摘要 网格把整个互联网整合成一台超级计算机，实现各种资源的全面共享。但资源 菇享的前提，是必须能够保证这些参与共享的主机安全。因此，怎样使网格中资源 得到安全的访问控制，使共享资源得到安全保证，在网格计算中显得格为重要。 由于传统的访问控制机制m a c 和d a c 是对系统中的所有用户进行一维的权限管 理，既不能有效适应安全性需求，也不能快速实现，跟不上应用需求的提升。基于 角色的访问控制是当前最成熟、最有效的访问控制机制，我们在此将r b a c 引入网 格，利用它来控制管理网格资源。 a g e n t 是具有自治性、社会性、主动性和适应性的智能实体。在此，我们将a g e n t 技术引入网格，利用其的智能性来维护r b a c 中的角色关系，使两格中的访问控制 管理更加智能、方便。 本文探讨了在网格环境下，如何将a g e n t 技术和r b a c 技术结合，从而达到方 便、高效的访问控制管理。在现有的访问控制模型基础上，提出了新的访问控制方 案，引进了基于角色的访问控制模型，并对其进行了扩展，同时，本文运用a g e n t 的智能性等特点，对网格中的角色进行维护，使其能够自主地判断改动的授权是否 符合规范，是否存在安全性问题。 最后，对上面的方案进行了简单的实现。在简单的网格平台下对其进行了模拟 实验并对系统进行了简单评测。 【关键词】网格，安全，访问控制，a g e n t 技术，r b a c ，g l o b u s a b s a c t 硕士论文 a b s t r a c t n eg r i di n t e g r a t e st h ew h o l ei n t e r n e ti n t oas u p e r c o m p u t e r , i tm a k e st h er e a l i z a t i o n o ft h es h a r i n gv a r i o u so fr e s o u r c e s b u tt h ep r e c o n d i t i o no fs h a r i n gt h er e s o u r c ei st h a tt h e r e s o u r c em u s tb es a f e s o ，h o wt om a k et h er e s o u r c eo f t h eg r i ds a f ei sv e r yi m p o r t a n t 1 1 1 er o l eb a s e da c c e s sc o n t r o lm o d e li st h em a i nw a yo ft h ea c c e s sc o n t r o ls y s t e m w ei n t r o d u c ei ti n t ot h eg r i d a g e n th a st h ea d v a n t a g eo fs e l f - d e t e r m i n a t i o n ，s o c i a l i t y , g o - a h e a d i s ma n da d a p t a b i l i t y h e r e ，w eg i v ei t ，u s i n gi t si n t e l l i g e n c et om a i n t a i nt h er o l e si nt h eg r i d i nt h i sp a p e rw ed i s c u s sh o wt o 扭s ea g e n tt om a k et h ea c c e s sc o n t r o lm o r ee f f e c t i v e a st h er e f e r e n c et ot h ec u r r e n tr c c e s sc o n t r o l ，w eb r i n gf o r w a r dt h en e wf r a m eo fa c c e s s c o n t r o ls y s t r mi nt h eg r i d w ei n t r o d u c ei tt ot h eg r i da n dw ee x p a n di t , m e a n w h i l ew eu s e t h ei n t e l l i g e n tc h a r a c t e r i s t i co f t h ea g e n tt om a i n t a i nt h er o l e si nt h eg r i d i nt h ee n d ，w em a k et h ea b e v ef r a m er e a l i z ea n ds i m u l a t ei ti nt h eb a s i cg r i d p l a t f o r m i i k e yw o r d s g r i d ，s e c u ：1 i t y ，a c c e s sc o n t r o l ，a g e n t ，r b a c ，g l o b u s 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生躲弛 澍年占月夕曰 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的全部或部分内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的全部或部分内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名 矽叮年月乡日 南京理工大学硕士学位论文基于a g e n t 的网格主机安全防护 1 绪论 “网格”是一个新出现的概念，代表了一种先进的技术和基础设施，是继 i n t e r n e t 之后又次重大的科技进步。7 0 年代对i n t e m e t 的研究导致了今天网络的繁 荣，i n t e m e t 的作用是将各种计算机连接起来，而网格是将各种资源整合起来，为用 户提供服务。网格的重要分支有计算网格、信息网格和知识网格，网格的思想来源 于电力网，目的是将计算能力和信息资源像今天的电力一样方便地提供给用户。概 括来说，传统的因特网实现了计算机硬件的连通，w e b 实现了网页的连通，而网格 正试图实现互联网上所有资源的全面连通，包括计算、存储、通信和软件等，把它 们都连接成一个整体。整个网格如同一台巨大无比的计算机，向用户提供一体化的 服务。 1 1 网格技术研究的背景 在互联网广泛应用于电子商务并不断发展的今天，在与高性能计算有关的科学 合作领域，正在涌现出另个具有划时代的新生事物一网格( g r i d ) 。网格的出现， 掀起继传统互联网( i n t e r n e t ) 、万维网( w w w ) 之后的第三次浪潮，并将为信息产业 带来无限商机。 美国网格计算项目的领导人i n n f o s t e r 这样描述网格：“网格是构筑在互联网上 的一组新兴技术，它将高速互联网、高性能计算机、大型数据库、传感器、远程设 备等融为一体，为科技人员和普通老百姓提供更多的资源、功能和更好的交互性”【2 1 。 互联网主要为人们提供电子邮件、网页浏览等通信服务，而网格能让人们透明地使 用计算、存储和设备等其它资源。由此可见，网格试图实现互联网上所有资源的全 面连通。它要把整个互联网整合成一台巨大的超级计算机，实现计算资源、存储资 源、通信资源、软件资源、信息资源、知识资源的全面共享。 网格作为下一代的i n t e m e t ，其特点在于：网格要求计算环境不影响各结点自主 管理，不改变原有的操作系统、网络协议和服务，保证用户和远程结点的安全性， 并能提供可靠的容错机制，允许远程结点选择加入或退出系统，尽量使用已存在的 标准技术，以便和已有应用兼掣”。 1 2 工作的意义 本课题所研究的内容属于计算机应用领域，目标是将作为网络发展方向的网格 技术与a g e n t 技术相结合，实现对网格的智能访问控制管理，加强对网格结点主机 的安全防护。因为要实现网格的强大功能，必须要保证结点主机的安全，如果安全 1 绪论 硕士论文 得不到保证，即使再强大的功能也不能够得到广泛应用。因此，我们有必要对网格 中资源站点的安全问题进行研究，从而为网格应用提供安全保障。 目前网格中的访问控制系统还不够完善，主要表现在：1 由于现有的网格访 问控制模型中由虚拟组织授权中心负责给用户授权，用户的访问权限由c a ss e r v e r 决定，而资源站点放弃了对本地资源的控制管理权，这对于对安全性要求极高的资 源站点来说是不可接受的。2 为了能够为更多用户弓黾供优质的服务，当有用户非 法使用资源，或者用户的使用不当影响系统的稳定，则需要对用户的权限进行变更， 限制用户的继续使用，而目前这一问题没有得到足够的重视，对更改用户权限时的 一致性问题未能得到很好地解决。 本文针对以上提出的网格中存在的安全问题进行了研究，对现有的框架进行了 改进，后文将进行详细的设计和实现。 1 3 研究的出发点、主要内容和所作的工作 1 3 1 本文的研究出发点 g l o b u st o o l k i t 是网格计算领域比较著名的网格平台。它定义了构建计算网格的 一组基本服务，包括安全管理、资源管理、通信、目录管理等基本服务。g l o b u s 系 统借鉴了因特网和u n i x 的开发路线，没有构造一个完整的系统，而只是构造一套 底层的开发工具，采用模块化设计方式，可升级或替换，是一个中间件系统。目前 大多数网格项目都是基于g l o b u st o o l k i t 所提供的协议及服务构建的，例如美国 n a s a i p g 、欧洲数据网格、美国国家技术网格n t g 、g r i p h y n 、p p d g 、a s c ig r i d 等。g l o b u s 项目组在网格协议制定上有很大的发言权，迄今为止，g l o b u st o o l k i t 已经成为事实上的网格标准。 a g e n t 是具有自治性、社会性、主动性和适应性的智能主体。a g e n t 在协同环境 中能够持续完成自治的、面向目标的行为。自治性说明a g e n t 具有自我控制能力， 不需要用户的干预，可以自主地作出决定采取何种行为进行处理。a g e n t 不仅仅能 够作用于自身，而且可以作用于环境，井能根据感知到的环境状态或环境的反馈信 息，重新评估自己的行为并改变自身状态，推断进程的结果，改变它的行为。同时， 它能与其它a g e n t 协同工作，一个a g e n t 实现的目标往往是目标集的一部分，它能 够与环境中的其它a g e n t 进行交互来完成复杂的任务。 论文设计的出发点是：将r b a c 引入网格，进行访问控制管理。结合g l o b u s 所提供的g l o b u s 基础服务所带来的方便性、开放性及其作为网格标准的优势，在 此基础上引入a g e n t ，发挥a g e n t 的智能性、自治性和灵活性的优势，对角色进行 维护和管理，从而有效地实现对网格主机的访问控制管理，实现对网格中主机的安 2 南京理工大学硕士学位论文 基于a g e n t 的网格主机安全防护 全防护。 1 3 2 研究的主要内容和所作的工作 本论文所做的主要工作是探讨在网格平台g l o b u s 系统下，如何利用a g e n t 技术， 调用g l o b u s 所提供的核心服务进行二次开发，对g l o b u s 架构下的资源站点进行访 问控制管理，提高网格中结点主机的安全性、稳定性。 本文研究的内容主要集中在以下几方面： 1 在分析研究现有的网格访问控制系统( c a s 、v o m s ) 的基础上，对其存在 的不足进行优化设计，提出适合网格环境的访问控制模型。 2 引入基于角色的访问控制技术，结合网格特点，对其进行扩展，用于实现 网格的访问控制管理。 3 引入智能a g e n t 技术，将其与扩展的r b a c 进行结合，用于r b a c 的角色 维护。 4 配置网格实验环境，并在此基础上进行程序的开发，在网格平台上实现基 于a g e n t 的访问控制技术。 1 4 论文结构 本篇论文的全文共分五章：第一章根据当前网格中的的安全状况，提出了网格 环境下对于资源站点进行安全管理的研究意义，提出了本文研究工作的出发点、研 究的主要内容，并阐述了本文所做的工作；第二章介绍了网格的一些基本概念以及 网格平台g l o b u s ，并对r b a c 知识以及a g e n t 的基本知识做了一些简单的介绍；第 三章在现有网格访问控制模型的基础上，提出了改进模型，并且对其进行了设计； 第四章对本文所设计的系统进行了实现，并介绍了相关数据结构和数据库的设计： 第五章介绍了网格实验平台g l o b u s 的安装配置，并介绍了在此平台上进行程序开 发的详细步骤，最后进行了实验模拟。 1 5 本章小结 本章介绍了网格的定义、发展背景，以及当前网格系统中存在的安全问题，提 出了本篇论文研究工作的出发点、主要内容，并概括了本文所做的工作。最后，介 绍了本篇论文所采用的结构和各章节的研究内容。 2 知识概述 硕士论文 2 知识概述 2 1 网格的基本原理 在进行研究之前，我们首先介绍一下网格的基本原理，使我们对网格的体系结 构、网格技术分类等基本原理有清晰透彻的理解。 2 1 1 网格的概念 网格概念最早于9 0 年代中期提出，用于表述在高端科学和工程上分布式计算 的一种基础构造形式。 g l o b u s 项目的领导人f a nf e s t e r 2 0 0 0 年在网格的剖析这篇论文中把网格描述 为“在动态变化的多个虚拟机构间共享资源和协同解决问题。”但是，人们仍然就什 么是网格这个问题而争论不休。同年7 月，f a nf o s t e r 在什么是网格? 判断是否网 格的三个标准一文中，限定网格必须同时满足三个条件：( 1 ) 在非集中控制的环境 中协同使用资源；( 2 ) 使用标准的、开放的和通用的协议和接口( 1 a nf o s t e r 认为目 前只有g l o b u s 刁。算得上标准协议) ；( 3 ) 提供非平凡的服务。这三个条件非常严格， 象p 2 p 、s u ng r i de n g i n e 、c o n d o r 、e l ；t r o p i a 、m u l t i c l u s t e r 等都被排除在网格之外。 i a nf o s t e r 用上面的三个标准把他头脑中的网格概念清楚地描绘出来，但并不是 所有入都同意他的观点，例如，有许多人赞同广义的网格概念，把它称作巨大全球网 格g g g ( g r e a tg l o b a lg r i d ) ，它不仅包括计算网格、数据网格、信息网格、知识网 格、商业网格，还包括一些已有的网络计算模式，例如对等计算p 2 p ( p e e rt op e e r ) 、 寄生计算等。可以这样认为，f a nf o s t e r 赞成狭义的“网格观”，而g g g 是一种广义 的“网格观”。 不管是狭义还是广义的网格，其目的不外乎是要利用互联网把分散在不同地理位 置的电脑组织成一台“虚拟的超级计算机”，实现计算资源、存储资源、数据资源、 信息资源、软件资源、存储资源、通信资源、知识资源、专家资源等的全面共享。 2 1 2 网格的体系结构 当前应用广泛的网格体系结构主要有两个：一个是f o s t e r 等在早些时候提出的 五层沙漏结构3 】；另一个是在以i b m 为代表的工业界的影响下，在考虑到w e b 技 术的发展与影响后，i a nf o s t e r 等结合w e bs e r v i c e 提出的开放式网格服务结构 o g s a ( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ) 3 6 】。 南京理工大学硕士学位论文 基于a g e n t 的网格主机安全防护 在五层沙漏结构中，按功能把其划分成构造层、连接层、资源层、汇聚层和应 用层五层。如图2 ，1 2 1 所示： 工具与应用 应用层 汇聚层 ) 资源茎嚣蔷的安7 资源与连 接层 各种资源 构造层 图2 。l2 ，1 五层沙漏结构图 网格构造层的基本功能就是控制局部的资源，通过对这些局部资源的管理，向 上层提供对这些资源的管理和控制的接口。 连接层主要是为下层的物理资源提供安全的数据通信能力这是资源之间进行 互操作的前提，连接层使得孤立的资源之间建立了联系。 资源层建立在连接层的通信和认证协议之上，它反映的是抽象的局部资源的特 征，资源层着眼于和“单个”资源进行交互。 。汇聚层不仅仅和某种特定的资源交互，它的功能是如何将下层以单个资源形式 表现出来的资源集中起来，协调解决多个资源之间的问题，协调“多种”资源的共 享。 应用层是在虚拟组织环境中存在的。从应用程序员的观点来看网格结构，应用 是根据在任一层次上定义的服务来构造的。 开放网格服务结构o g s a 是继五层沙漏结构之后最重要的，也是目前应用最广 泛的一种网格体系结构，被称为下一代的网格结构。 五层沙漏结构以“协议”为中心，而o g s a 则以“服务”为中心。o g s a 定义了 “网格服务”( g r i ds e r v i c e ) 的概念。网格服务是一种w e bs e r v i c e ，该服务提 供一组接口，这些接口定义明确并且遵守特定的惯例，解决服务发现、动态服务创 建、生命周期管理、通知等问题。在o g s a 中，一切都被看成网格服务i 因此网格 就是可扩展的网格服务的集合，即网格= 网格服务) 。网格服务= 接口行为+ 服务 数据，是对网格服务的简单描述。4 2 知识概述硕士论文 2 2 网格环境g l o b u s 简介 2 2 1 发展背景 g l o b u s 是目前国际上最有影响的网格计算项目之一，其项目组在网格协议的制定 上有很大的发言权，迄今为止，g l o b u st o o l k i t 已经成为事实上的网格标准。 g l o b u s 由美i n a r g o n n e n i 家实验室数学与计算机分部、南加州大学信息科学学院 和芝加哥大学分布式系统实验室合作开发，并与美国国家计算科学联盟、n a s ai p g 项目( i n f o r m a t i o np o w e rg r i d ) 、美国国家先进计算基础设旖同盟n p a c i ( n a t i o n a l p a r t n e r s h i pf o ra d v a n c e dc o m p u t a t i o n a li n f r a s t r u c t u r e ) 等建立了伙伴关系。 g l o b u s 最初的目的是希望把美国境内的各个高性能计算中心通过高性能网络连 接起来，方便美国的大学和研究机构使用，提高高性能计算机的使用频率。当时建立 了一个实验环境i w a y ，它把位于美国1 7 个不同地点的6 0 多个组织的超级计算机和资 源通过商陛能网络联系起来，进行大规模仿真模拟、协同工作、并行计算等科学的研 究，这实际是6 1 0 b u s 项目的前身。随着对g l o b u s 项目的深入研究，它的研究目标也进 步扩展，发展为希望通i 丑i g l o b u s 项目可以方便对地理上分散的研究人员建立虚拟组 织，进行跨地域的虚拟合作。目前，g l o b u s 项目把在商业计算领域中w e bs e r v i c e 技 术融合在一起，希望不仅局限于科学计算领域，还能够对各种商业应用进行广泛的、 基础性的网格环境支持，实现更万便的信息共享和互操作，从而对商业模式、人员的 工作方式和生活方式产生深远的影响。 目前大多数网格项目都是基于g l o b u st o o k i t 历提供的协议及服务建设的，一些 重要的公司，包括i b m 、m i c r o s o f t 、c o m p a q 、c r a y 、s g i 、s u n 、f u j i t s u 、h i t a c m 、 n e c 等公开宣布支持g l o b u st o o l k i t 。例如，美国的物理网格g r i p h y n 、欧洲的数据网 格d a t a g r i d 、荷兰的集群计算机网格d a s - 2 、美国能源部的科学网格和d i s c o m 网格和 美国学术是的t e r a g r i d 等。 2 0 0 2 年2 月，在加拿大多伦多市召开的全球网格论坛g g f 会议上，g l o b u s 项目组和 i b m 共同倡议了一个全新的闵格标准o g s a 。o g s a 把g l o b u s 标准与以商用为主的w e b s e r v i c e s 的标准结合起来，网格服务统以s e r v i c e 的方式对外界提供。o g s a 的诞生， 标志着网格已经从学术界的象牙塔延伸到了商业世界中，而且从一个封闭的世界走向 了开放的环境中。 o g s a 从一诞生，就得至4 业界的广泛支持，像微软、p l a t f o r mc o m p u t i n g ( 一家分 布式计算软件公司) 、a v a k i ( 商用网格解决方案提供商) 、e n t r o p i a ( 基于p c 的分 布式计算网格技术提供商) 等从一开始就宣传支持o g s a 。到目前为止，o g s a 已经广为 接受，几乎所有的业界同仁都认为它就是网格的未来。由于o g s a 是在g g f 会议上提出 南京理工大学硕士学位论文基于a g e n t 的网格主机安全防护 来的，g g f 也就顺理成章地成为o g s a 标准化进程的领头羊。目前，g g f 有4 个研究组负 责与o g s a 相关的标准制定工作：开放网格服务体系结构工作组0 g s a w g 、开放网格服 务基础设施工作组o g s i w g 、开放网格服务体系结构安全工作组o g s a - s e c - w g 和数据库 访问和集成服务工作组d a i s w g 。 符合o g s a 规范的g l o b u st o o l k i t3 0 已经在第一届g l o b u s w o r l d 会议上发布， 这标志着o g s a 已经从一种理念、种体系结构，走到付诸实践的阶段了。 2 2 2g l o b u s 的体系结构 g l o b u st o o l k i t3 0 采取的是开放网格服务结构( 0 g s a ) 的结构形式。o g s a 结合了w e bs e r v i c e s 技术，在充分考虑网格的异构分布式特性的基础上，o g s a 对 w e bs e r v i c e s 进行了扩展，提出动态服务( 即网格服务) 的概念。o g s a 将一切( 计算 资源、存储资源、网络、程序、数据库等) 都看作服务( s e r v i c e ) 。o g s a 对网格服务 的标准定义是：提供一组定义好的接口，遵循明确约定的w e b 服务【3 】。通过定义标 准的服务接口把服务实现、资源所在地、物理资源屏蔽，不仅解决了异构网格环境 的互操作问题，雨且真正实现了服务的虚拟化。与w e b - s e r v i c e s 一致，o o s a 服务 用w s d l ( w e bs e r v i c e sd e f i n i t i o nl a n g u a g e ) 来描述。 o g s a 只是一个框架，它不涉及网格服务如何实现等具体的问题。g g f 组织的 o g s i ( 开放网格服务基础设施) 工作组制定了o g s i 标准来实现o g s a 中提出的 各种概念，它是一个正式的技术规格说明书。g l o b u st o o l k i t 是一个基于o g s i 标准 而实现的用于开发网格应用的工具包，目前它基于j a v a 语言1 3 9 。 g l o b u st o o l k i t3 , 0 是g l o b u s 开发工具的较新版本，g l o b u st o o l k i t3 0 的体系结 构如图2 2 2 1 所示。这个架构为开发者提供了更多的服务。 i 一一一一一一一一一一一+ 一一一h o s t i n g e 一一n v i r o n m e n t 一一一一一一一一一一一。j 图2 2 2 1o l o b u st o o l k i t3 0 的体系结构示意图 2 知识概述硕士论文 g t 3c o r c ：图中间白色的部分是g t 3c o r e 提供的。它们是建立网格服务的基 础。o g s i 实现了o g s i 规范1 0 所定义的接口，以a p i 和工具的形式提供给用户 以方便开发和o g s i 兼容的网格服务。 g r i ds e c l 】r i t yi n f r a s t u c t u r e ( g s i ) ：网格安全基础设施，g s i 负责在广域网络下的 安全认证和加密通信，提供单点登录功能、远地身份鉴别功能、数据传输加密功能、 包括跨多个资源和地点的信任委托和信任转移等，提供了基于g s i 协议的g s s - a p i 接口。g l o b u s 项目通过提供网格安全基础设施来提供在网格计算环境中的安全认证 和安全通信等能力。g s i 是保证网格计算环境安全性的核心部分。 g i o h u s 项目中的g s i l 4 ，j 主要集中在网络的传输层和应用层，并强调与现有的分 布式安全技术相融合。g s i 基于公钥加密体系，采用x 5 0 9 认证和s e c u r es o c k e t s l a y e r ( s s l ) 通信协议，并对它们进行了一定的扩展，使得g s i 可以支持单点登录。 而且g s i 的实现符合g e n e r i cs e c u r i t ya p i ( g s s a p i ) 。g s s a p i 是由i n t e r a c t e n g i n e e r i n g t a s kf o r c e ( m t v ) 提出的用于安全系统的标准a p i 。1 3 1 2 3 基于角色的访问控制模型 随着对网络系统安全需求的提高，由于传统的访问控制机制m a c 和d a c 是对系 统中的所有用户进行一维的权限管理，既不能有效适应安全性需求，也不能快速实 现，因此跟不上应用需求的提升。为了解决这一问题，信息安全学术界进行了许多 研究，提出了一些有用的概念、思想和方法。现在研究最多、思想最成熟的就是基 于角色的访问控制模型( r b a cm o d e l ，r o l e b a s e da c c e s sm o d e l ) 。 在r b a c 系统中，根据业务要求和管理要求在系统中设置若干称之为“角色”的对 象，角色也就是一般业务系统中的岗位或者职位。系统掌管资源的访问控制权限， 将不同类别和级别的权限赋予不同的角色，并随时根据业务需求对这些权限进行管 理。在r b a c 系统中，将特定用户的集合和与业务分工相联系的授权联结在一起， 这种授权管理比针对个体的授权管理有更好的可操作性和可管理性。 r b a c 的基本特征就是根据安全策略划分出不同的角色，对每个角色分配不同 的操作许可，同时为用户指派不同的角色，用户通过角色间接地对信息资源进行访 问 5 1 。因为在实际应用中，一般用户并不是可以访问的客体信息资源的所有者( 这 些信息属于企业或公司) ，所以，访问控制应该基于员工的职务而不是基于员工在 哪个组或是谁信息的所有者，即访问控制是由各个用户在部门中所担任的角色来确 定的。例如：一个学校可咀有教工、老师、学生和其他管理人员等角色。 r b a c 从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色， 将访问权限与角色相联系，这点与传统的m a c 和d a c 将权限直接授予用户的方 式不同；通过给用户分配合适的角色，让用户与访问权限相联系。角色成为访问控 南京理工大学硕士学位论文基于a g e n t 的刚格主机安全防护 制中访问主体和受控对象之间的一座桥梁。 r b a c 。是最基本r b a c 模型，它的基本要素是用户集( u ) 、角色集( r ) 、会话集( s ) 和 权限集( p ) 。r b a c 。模型的数学表示如下p 0 】： u 、r 、p 和s 分别表示用户集、角色集、权限集和会话集； p a c p r ，表示资源访问权限与角色之间的多对多关系； u a c _ u r ，表示用户与角色之间的多对多关系； t l s e r ：s - u ，将每个会话s ；映射到单个用户的函数，如u s e r ( s 。) ； r o l e s ：s - 2 2 ，将每个会话s ，映射到一个角色集合的函数，r o l e s ( s i ) rl ( u s e r ( s ；) ， r ) u a ) ，这随着时间的变化而变化，且会话s 。拥有的权限为 p ( p ，r ) p a ， r r o l e s ( s i ) 授权就是将访问客体的权限在可靠的控制下连带角色所需要的操作一起提供给 角色所代表的用户。可以给予一个角色多个授权，一个授权也可以给多个角色，一个 用户可以扮演多个角色，一个角色也可以接纳多个用户。一个会话可以激活该用户全 部角色的一个子集，用户可以获得全部被激活角色的所有授权。在r b a c 。系统中，每 个角色至少具备一个授权，每个用户至少扮演一个角色。 r b a c 。 图2 。3 。ir b a c 模型关系图 如图2 3 1 所示，r b a c 。为基本模型，规定了任何r b a c 系统所必需的最小需求，r b a c ， 的层次结构反映了职权的线性关系，可以实现多级安全系统所要求的保密级别的要 求。r b a c 。的另一个增强方向是约束模型r b a c 。，整体上确定对角色分配的约束条件。 最常见的约束条件就是角色的互斥状态，另外还有授权的互斥机制、对角色数量的约 束和对角色前提的约束。r b a c 。包含t r b a c ，和r b a c ：。 相比较而畜，r b a c 是实施面向企业的安全策略的种有效的访问控制方式，其具 有灵活性、方便性和安全性的特点，目前在大型数据库系统的权限管理中得到普遍应 用。角色由系统管理员定义，角色成员的增减也只能由系统管理员来执行，即只有系 统管理员有权定义和分配角色。用户与客体无直接联系，用户只有通过角色才享有该 角色所对应的权限，从而访问相应的客体。 9 2 知识概述硕士论文 2 4a g e n t 相关知识 2 4 1a g e n t 的定义及特征 一般来说a g e n t 可以理解为代理，但是学术界更倾向于把a g e n t 理解为智能体、 主体或智能代理。从广义上来说，a g e n t 可以指具有智能的任何实体，包括硬件和 软件，如人、机器人、智能软件等。 当前对a g e n t 的典型定义大致有两种：( 1 ) a g e n t 是驻留于环境中的实体，它可 以解释环境中所发生事件的数据，并执行对环境产生影响的行为。这是 f i p a ( f o u n d a t i o n f o ri n t e l l i g e n tp h y s i c a la g e n t ) 对a g e n t 的定义。 ( 2 ) a g e n t 是能为用户执行特定任务的、具有一定智能的、能自主执行任务的并能与环境相互 作用的软件程序。这是软件a g e n t 研究者对a g e n t 的定义。 w o o l d r i d g e 和j e n n i n g s 认为可以从狭义和广义两个方面去理解a g e n t ，提出 了a g e n t 的弱概念和强概念【4 ”，他们关于a g e n t 的定义得n t 广泛的认同。 l ，a g e n t 的弱概念 这是从广义的角度来规定a g e n t 的特性，几乎所有被称为a g e n t 的软件或硬件 系统都具有以下的特性： 自主性( a u t o n o m y ) ：个a g e n t 应该是一个独立自主的计算实体，它应能在无法 事先建模，动态变化的信息环境中，独立解决实际问题，在用户不参与的情况 下，独立自主地为用户提供一些服务 社交能力( s o c i a la b i l i t y ) ：也称交流能力( c o m m u n i c a t i o na b i l i t y ) ：a g e n t 可 以和其他的a g e n t 通过某种语言进行交互。 - 反应能力( r e a c t i v i t y ) ：a g e n t 对周围环境有感知能力，并能通过自身行为改变 环境。 自发行为( p r o a c t i v e n e s s ) ：a g e n t 不仅能够对环境做出反应，而且能够通过接 受某些启示信息，做出基于目标的行为。 在这种定义下，最简单的a g e n t 可以认为是一个具胥以上特性的具有智能的予 程序。a g e n t 的弱概念使a g e n t 不仅仅应用于人工智能，而且广泛地用于i n t e r n e t 的电子商务、信息搜索、人机界面、分布式计算、软件工程等领域。 2 a g e n t 的强概念 a g e n t 的强概念是指a g e n t 除了具有弱定义的特性外，还应具人类的某些特性， 如：知识、信念、意图、目的、承诺等心智状态。当前对a g e n t 的强概念的研究主 要集中在理论方面。在a g e n t 的强概念下，除了具有a g e n t 的般特性外，还具有 以下特性： 南京理工大学硕士学位论文 基于a g e n t 的网格主机安全防护 长寿性( 1 0 n g e v i t y ) ：与传统的程序相比，a g e n t 可以脱离用户并应该在相当长的 时间内连续运行。 移动性( m o b i l i t y ) ：a g e n t 可以从一个地方移动到另一个地方而保持其内部状态 不变，a g e n t 可以携带数据和能够运行的指令。 推理能力( r e a s o n i n g ) ：a g e n t 可以根据其当前的知识和经验，进行对未来的预测。 规划能力( p l a n n i n g ) ：a g e n t 能根据目标、环境的要求，对自己的短期行为做出 规划。 学习和规划能力( 1 e a r n i n ga n da d a p t a b i l i t y ) ：a g e n t 可以根据过去的经验积累 知识，并且修正自身的行为，以适应环境。 真实性( v e r a c i t y ) ：a g e n t 不应故意提供错误信息。 善意( b e n e v o l e n c e ) ：假设a g e n t 没有冲突的目标，因此每个a g e n t 总是有求必 应，帮助其他的a g e n t 。 - 理性( r a t i o n a l i t y ) ：假设a g e n t 总是为实现目标而努力，而不阻碍目标的获得。 a g e n t 的强概念定义了高层次的智能a g e n t 的特性，但是相对a g e n t 的目g 概念 增加了a g e n t 的建模难度，也使a g e n t 用程序语言来实现的难度进一步加大。 2 5a g e n t 技术在网格领域的应用 a g e n t 技术在网格领域的比较有代表性的应用主要有m a n o l a 和t h o m p s o n 的 d a r p a sc o n t r o lo fa g e n t - b a s e ds y s t e m s ( c o a b s ) a g e n t 网格，以及o v e r e i n d e r 和w ij n g a r d s 等提出的a g e n t s c a p e 等。我们将分别进行简单介绍。 1 9 9 9 年，m a n o l a 和t h o m p s o n 提出了另一种网格的发展前景：d a r p a sc o n t r o l o fa g e n t - b a s e ds y s t e m s ( c o a b s ) a g e n t 网格。具体来说，该系统被考虑成有多年 的生存期、能够自适应的去进化、具有可伸缩性、允许系统无需监视所有组件的运 行。c o a b s 系统采用层次化、分布式的a g e n t 结构来进行资源管理。 2 0 0 2 年，o v e r e i n d e r 和w i j n g a a r d s 等人提出的a g e n t s c a p e 是一个支持大范 围a g e n t 系统的中间层“”。目前主要研究方向有：如何在系统中协调处理性能、安 全、容错、计费等各个要素，a g e n t 服务的伸缩性，以a g e n t 为基础的调度和资源 协调算法。总体的设计思想是：用最精简的方式提供对a g e n t 应用的充足支持。伸 缩性、异构和互操作是h g e n t s c a p e 设计的重要思想。 2 知识概述 硕士论文 2 6 本章小结 本章介绍了本文的背景知识。首先介绍了网格及g l o b u s 技术的相关知识，随 后对基于角色的访问控制进行了简单介绍，接着介绍了a g e n t 技术的基础知识和 a g e n t 技术在网格领域的应用状况。 南京理工大学硕士学位论文 基于a g e n t 的网格主机安全防护 3 访问控制模型提出 3 1 网格中现有的访问控制模型 g l o b u st o o l k i t 最初采用分布式授权方法，分布式授权系统是一种集中式授权模 型，用户访问资源的权限由资源本地控制管理。其的主要思想是通过一个代理负责 将请求服务的用户的全局证书转换为本地证书，资源站点保存有用户账户的本地映 射，代理的作用就是通过转换，将用户的全局账户映射为资源站点本地账户，再由 本地策略来进行访问控制管理。因此，网格中的每个用户都必须在各个管理域中有 其帐户映射，这样用户才可以请求所有资源站点的服务，用户的访问权限完全由资 源站点本她管理。 当用户映射到本地标识后，g l o b u s t o o l k i t 将根据本地策略来管理和实施策略， 限制用户的行为，达到访问控制的目的。 这种g l o b u st o o l k i t 授权系统采用本地的管理策略和实施机制，因此易于本地 站点的管理员管理和维护资源，资源站点的安全性得到了保证。但是，随着网格用 户的增加，其缺点也暴露出来： 首先是扩展性问题，由于用户在各个管理域均有一个映射到资源本地的帐户， 因此任一用户权限的改变都必须通知所有相关站点，更改所有管理域上相应的记 录。 其次是一致性问题，为了通过虚拟组织( v o ) 维护用户权限的一致性，每个管 理域中用户策略的改变必须通知所有站点，所有管理域中相应的策略都需更改，任 何管理域修改失败将导致用户策略的不一致。 针对分布式授权中存在的问题，g l o b u s 采用了一种集中式授权模型 c a s ( c o m m u n i t y a u t h o r i t ys e r v i c e ) ”，其特征如下： 1 虚拟组织将权限授予一组用户，而不是针对用户个人进行授予授权，方便了 授权工作的进行。 2 c a ss e r v e r 本身也存在访问控制策略，如：规定哪个用户有管理虚拟组织的 权利。 尽管c a s 解决了分布式授权系统中存在扩展性和致性的问蹶，但是还是在 以下两方面存在不足： 1 首先由于c a s 是整个授权认证体系的中心，如果c a s 服务器失败，用户 3 访问控制模型提出 硕士论文 将不能够从c a s 服务器得到认证证书，从而项目资源将不能够被访问， 那么整个网格体系将停止工作【9 】。 2 其次因为本地站点放弃了对资源的直接控制，将对资源的控制权利交给虚拟 组织的授权中心，这种放弃本地控制来换取一致性的方案对于安全性要求 严格的公司来说是不可接受的1 8 。 v o m s ( v i r t u a lo r g a n i z a t i o nm a n a g e m e n ts e r v i c e ) ”1 和c a s 采用了相类似的体系 结构，它们都给用户发布权限证书，然后用户凭此证书和其身份标识请求相应资源 站点提供服务，与c a s 所不同的是，v o m s 发布的证书中包含的是用户角色和组 关系，资源站点保存有组、角色和权限的对应列表，将两部分结合起来的权限为用 户的实际访问权限，从而在本地实现对本地资源的访问控制。 由于用户的访问权限是在各资源站点进行维护，当用户的访问权限发生变化时， 没有完善的检测机制来维护用户权限的更改，不利于用户访问权限的一致性维护1 7 】。 3 2 改进模型的结构 本文针对目前访问控制系统存在的缺陷，结合它们的优点，提出了改进的访阃 控制模型，此模型将访问策略放在本地进行维护，并且引入了智能a g e n t ，用于智 能维护用户角色，实现授权端和资源站点用户权限的一致性。 3 2 1 体系结构 本系统由客户端、授权中心和资源站点( r p ，r e s o u r c ep r o v i d e r ) 组成。资 源站点提供资源共享服务，授权中心的主要作用是管理和维护用户