基于信任的网格授权关键技术研究
Research on Key Technologies of Trust Based Grid Authorization
网格环境动态、分布、异构的特点提出了网格动态授权的安全需求,要求能够根据实体动态变化的属性信息如实体的行为信任实时调整其访问权限.传统的基于身份的授权机制预先授予实体访问权限,属于静态的授权方式,不能满足网格环境的动态授权需求.基于属性的访问控制ABAC模型可依据实体的职务、访问位置等属性信息实现对实体的动态授权,但是对实体的信任这一重要属性考虑不足,无法根据实体动态变化的行为调整其访问权限,难以对实体的行为进行有效控制.针对上述问题,本文对网格环境下基于信任实施动态授权的关键技术进行了深入研究,主要工作如下:1.提出了一种基于信任的网格授权模型TBGAM.针对网格动态授权需求及ABAC模型对实体的行为信任考虑不足的问题,引入反映实体行为的信任元素,提出了基于信任的网格授权模型TBGAM.该模型将主客体相关属性和主体的信任度作为授权判决的重要依据,从身份信任和行为信任两个角度深入研究网格动态授权问题.给出了模型的基本元素、关系、约束、规则和操作的形式化定义,并对模型进行了安全性分析.模型能支持最小特权和职责分离等安全原则,能够有效支持动态授权,并具有较好的灵活性和可扩展性等特点.2.设计了基于TBGAM的网格授权服务框架TBGAF.针对网格授权管理在灵活性、松耦合性和可扩展性等方面的需求,设计了基于TBGAM的网格授权服务框架TBGAF.给出了框架实现所需的授权服务组合技术、基于属性的策略合成技术和基于集对分析理论的状态监控技术等关键技术.TBGAF能够提供属性服务、策略服务、上下文服务、信任服务和权限服务等网格授权关键服务.3.提出了面向授权的信任度评估方法.在TBGAM模型及TBGAF框架研究的基础上,分析了信任评估与授权的关系,指出了现有信任评估方法存在的动态适应能力较弱、时间衰减性刻画不足等问题,提出了面向授权的信任度评估方法.包括基于历史交互门限和推荐门限的实体综合信任度评估方法、基于IOWA算子的直接信任度评估方法和基于OSPF协议思想快速收集推荐信息的推荐信任度评估方法.这些评估方法可为网格授权提供重要的信任支持和决策依据.模拟实验验证了评估方法的有效性和动态适应性.4.提出了基于授权反馈的直接信任度更新方法.为有效控制实体的行为,引入服务权值的概念,提出了基于授权反馈的直接信任度更新方法,能够从多个评价指标对实体的行为进行满意度评价.该方法通过对交互后实体的行为进行反馈并加以评价,能够有效地惩罚实体的非法行为并能在一定程度上激励合法操作,有效提高资源访问的安全性.5.设计实现了网格环境下基于信任的授权服务关键模块,具有可复用和松耦合等特性,能够满足网格环境下的动态授权需求.
- 作者:
- 熊厚仁
- 学位授予单位:
- 解放军信息工程大学
- 专业名称:
- 军事通信学
- 授予学位:
- 硕士
- 学位年度:
- 2011年
- 导师姓名:
- 张斌
- 中图分类号:
- TP393.08
- 关键词:
- 网格授权模型;信任;动态授权;网格授权服务框架;服务组合;策略合成;信任评估
- Grid Authorization Model;Trust;Dynamic Authorization;Grid Authorization Service Framework;Service Combination;Policy Composition;Trust Evaluation
- 基金项目:
- 863项目