一種基於信任證書的網格業務資源分配和調度方法

2023-10-06 13:14:14 2

專利名稱：一種基於信任證書的網格業務資源分配和調度方法
技術領域：
本發明涉及一種網格環境下基於信任證書的可信業務流程。屬於網格 信任管理領域。
背景技術：
在網格環境下，用戶的管理方式是開放的、分布式的。用戶程序可能包 含惡意代碼，危害網格資源。共享的網格資源一旦受到惡意代碼的侵害可能會威脅到運行 在網格平臺上的應用程式。同時在資源共享的網格環境中，會存在一些自私節點，只是利用 或佔用其他節點的資源，而不提供任何資源。還可能存在一些惡意節點提供虛假資源，試圖 擾亂系統的正常運行。網格中的惡意節點還可能通過提供不誠實的反饋、合謀欺詐以及實 施具有策略的惡意攻擊等方式擾亂和影響網格正常運行環境。在網格計算中，作業完成是 通過多個實體參與，協同完成的，其前提是彼此之間建立良好的信任關係。信任關係對於協 作夥伴的選擇尤為重要，選擇信任度高的協作夥伴可以提高網格作業完成的成功率。發明內容本發明的目的是採用網格信任管理系統環境下的信任證書對網格業務 中資源分配和調度方式進行優化。在網格信任管理系統中為了解決傳輸信任值的問題，本發明採用使用信任證書作 為其載體。信任證書由信任管理系統中的信任管理中心發布和管理。各個域中信任管理中 心只能負責本域實體信任證書的審核和籤發，不能籤發其它域中實體的信任證書。對於域 內和域間信任證書的籤發問題均提出了有效的解決方法。信任證書是數字證書的一種，它不僅包含了主體的信任值，也包含了其它一些豐 富的信任信息，這些信任信息可作為各個主體之間交互前強有力的參考依據。本發明採用 的信任證書具體內容如下版本(Version)用於識別該證書的標準的版本號。序列號(Serial Number)發放證書的機構有責任為證書指定序列號，以使其區別 於該機構發放的其它證書。籤名算法標識符(Signature Algorithm)用於識別TA籤寫證書時所用的算法。發證單位(Issuer)發放證書的機構名稱，通常為一個ΤΑ。信任有效期(Validity)每個證書均只能在一個有限的時間段內有效。該有效期 以起始日期和時間及終止日期和時間表示，時間長短由TA指定。所選有效期取決於許多因 素，例如用於籤寫證書的私鑰的使用頻率及願為證書支付的金錢等。主體名(Subject)證書擁有者的實體名。此名稱使用X.500標準，因此在 Internet中應是唯一的。主體信任值(Trust Value)這是信任證書中最主要的內容，主體的信任值由這一 項表示。信任證書的應用類型(Types)定義信任證書的應用類型，如金融、IT、日常等等， 這主要有資源實體所擁有的資源類型有關。擴展域(Extension):可以在擴展域定義一些附加信息或者證書管理的能力。在網格業務中使用信任證書對資源分配和資源選擇起到關鍵性的輔助作用，有效 地提高了業務成功率。本發明提出了網格域內環境下一種基於信任管理系統的資源選擇和分配方法。其中節點間的信任協商過程，使用信任證書來保證節點信任值的真實有效。並 在資源選擇和資源分配過程中，參考節點信任值和本地信任策略做出決定，有效地屏蔽了 惡意節點的攻擊，提高了業務的成功率。目前國內外提到的信任證書解決的是信任和不信任的問題，亦即有證書說明是信 任的，沒有證書是不信任的。因此其證書內容較為簡單，在實際應用中參考價值有限。而本 發明採用的信任證書，其重要作用是保證節點信任值的有效性。其中信任值是一個數值，不 僅僅是信任與否的體現，而是信任程度的體現，因此具有更高的參考價值。由權威的信任管理中心頒發信任證書，保證信任值的真實有效，本發明基於該信 任管理系統提出了一種在網格業務中資源選擇和資源分配流程中的應用。在資源選擇和 分配中，參考真實有效的資源提供者的信任值，制定本地信任策略，並且結合本地的信任歷 史，米決定資源的選擇和分配方法。在每次網格業務完成後，對資源提供者的表現進行反饋 和存儲歷史記錄，用以更新資源提供者的信任值。


下面結合附圖和具體實施方式
，對本發明做進一步的詳細說明。圖1是本發明採用的網格環境下以域為單位的信任管理系統架構；圖2是本發明提出的域內信任管理系統框架。圖3是本發明提出的基於信任證書的網格業務流程。
具體實施例方式圖1表示了本發明研究採用的網格環境下以域為單位的信任管理系統架構。根據 組織結構、地域或者所持有的資源種類等因素，可以將網格劃分為各個域。每個域包括一定 數目的節點(根據負載、響應時間以及通信量的要求，規模龐大的域可以繼續劃分為子域， 並設置信任子代理)，每個域分別設置信任代理。信任代理即為該域的信任管理核心，負責 為域內全部節點進行信任建模、實施信任計算、發放並維護信任證書，並協同域內、域間的 信任交流。各域內節點間交互既可以通過各個域的信任代理進行，也可以直接交互。節點 直接交互首先表現為相互驗證對方的信任證書，交互雙方可以針對有疑問的證書向信任代 理查詢。域間節點交互需要通過兩個域的信任代理進行。圖2是本發明提出的域內信任管理系統框架。信任管理系統中信任代理或其子 代理，在網格中採集信任信息，並對其進行數據形式化處理，根據選定的數學模型計算信任 值，並存儲在資料庫中。其中信任策略對信任值的計算起指導作用。此外信任代理還提供 信任值查詢等服務。因此對信任服務使用者提供信任協商接口。信任代理下屬的業務點在 選擇資源時使用信任服務，與信任代理協商得到信任值列表。並且根據信任值和本地策略 選擇資源。並與選定的資源進行信任協商，確認是否可以使用資源。在信任管理系統中將節點通稱為業務點OPkperation point)，請求資源的節點 稱為業務主控點CP(Control point)，提供資源的節點稱為業務參與點PP (participate point)。所有的實體註冊到信任管理系統。與此同時實體應該誠實的上報其自我保護能力 到信任代理，信任代理根據其能力計算初始信任值。請求資源的節點，首先發送業務請求到TA，請求資源信任值列表。TA根據請求處 理後，返回本次業務可用資源列表及其信任值和相關信息。OP點可根據得到的資源列表，結 合自己的業務和本地策略，對業務進行資源分配，並與資源協商，確認參與本次業務的參與點PP。並將分配結果上報給TA，由TA對PP點統一監控業務執行狀態。業務結束後，CP點 和PP點分別上報業務執行結果，由TA進行信任值更新。網格信任管理系統中，業務主控點所需業務控制功能模塊有如下幾個部分1、業務初始化發起業務，向TA提交資源請求。2、業務分配根據本地信任策略和業務策略對業務進行預分配。3、業務調度將預計分配的業務發送給PP點，讀取PP回復，管理文件開始存儲和 取回時間，若期間有PP點異常，則調用分配模塊重新分配調度。4、異常監控在文件存儲開始後，取回之前這段時間內監控PP是否異常，若有異 常通知業務調度模塊。5、業務結果上報業務結束後，讀取PP點代理上報的業務執行結果，結合本地業 務日誌對本次業務進行評價，然後調用通信模塊接口向TA進行上報。 圖3
6、信任協商通信模塊。與TA進行通信協商，也與PP點進行通信協商。 考慮實際的業務流程，以數據存儲業務為例，以上功能模塊在業務流程中應用如
1資源請求
CP點向信任代理提交請求資源信任值。信任代理查找資料庫得到資源信任值列表 並籤名後回復給CP點。CP點驗證籤名有效，得到資源信任值列表。2資源選擇CP點首先參考得到的資源列表，根據信任值高低進行排序。此外，每個CP點本地 都有自己的信任資源列表和不信任資源列表和本地策略。CP點在資源選擇時，將參考本地 策略和本地資源列表以及從TA得到的資源列表進行自己的資源選擇。根據不同的業務類型，本地策略將有不同的內容。以數據存儲業務為例。CP點本 地策略描述如下

0. 85 0. 65 0. 3 〈/resource value level dataSave>

0. 3 0. 25 0. 15首先根據資源信任值高低將資源分為高中低三個等級。根據本次業務待存儲文件 的具體情況，設置對三個級別分配業務大小的比例。對於信任值較高的資源，對其分配較多 的業務，信任值較低的資源則分配較少的業務或者不分配業務。該本地策略由CP點自由修 改和維護此外，CP點還維護本地的信任資源列表和不信任資源列表。信任資源列表是指，
5在以往的交互過程中，某個資源的服務質量較高，比較滿意的資源，在以後的交互中將會優 先選擇。不信任資源列表是指，在以往的交互過程中，某些資源的服務質量較差，出現文件 損壞等惡劣行為，無論其信任值高低，在以後的交互中將不再選擇。鑑於信任的相互性，CP點在選擇資源的同時，接到資源使用請求的PP點，也可以 根據信任值對提出請求的CP點進行選擇。當同時接到多個資源使用請求時，PP點根據本 地信任策略對CP點的請求作出響應。PP點的本地信任策略同CP點的策略相似，首先根據 信任值高低將CP點分為高中低三個等級，然後根據不同的等級設置響應的優先級。此外，OP點若需要驗證其他OP點的信任值的真實有效，都可以通過TA來查詢.3信任協商在信任管理系統中，與信任值有關的協商通信，均屬於信任協商。CP點與TA的交 互，得到信任值列表，稱為CP與TA之間的信任協商。CP點與PP點交互，確認是否可以使用 資源，稱為OP點之間的信任協商。TA以及各個OP點通過信任協商來建立彼此之間的信任關係。4業務管理基於信任管理系統的業務管理，與其他業務管理不同。在某一次業務期間，資源請 求者CP點，對本次業務進行分配安排。他除了發送資源請求、進行資源選擇以外，還需要完 成業務監控、業務調度等業務管理工作。在業務監控時，若出現某個資源出現離線等異常情 況，需要對已經分配好的資源使用方案進行修改時，則根據相同的資源選擇策略對資源再 分配協商，確保本次業務能夠繼續執行。5結果反饋每一次業務執行完畢，CP點將本次業務的執行結果，以及對資源PP點的執行情況 反饋給TA。PP點在執行業務結束後，也將對CP點的評價反饋給TA。由TA對雙方的信任值 進行更新計算。
權利要求
一種基於信任證書的網格業務資源分配和調度方法，其特徵在於採用信任證書傳遞信任值，資源使用者參考信任值和本地策略對資源分配選擇方法進行優化。
2.如權利要求1所說的基於信任證書的網格業務資源分配和調度方法，其特徵在於使 用權威機構頒發的信任證書確保信任值的有效性。
3.如權利要求1所說的基於信任證書的網格業務資源分配和調度方法，其特徵在於資 源使用者參考真實有效地資源提供者的信任值，制定本地信任策略。
4.如權利要求1所說的基於信任證書的網格業務資源分配和調度方法，其特徵在於資 源使用者在選擇資源時參考本地信任策略和本地的信任歷史。
5.如權利要求1所說的基於信任證書的網格業務資源分配和調度方法，其特徵在於在 每次網格業務完成後，對資源提供者的表現進行反饋和存儲歷史記錄，用以更新資源提供 者的信任值。
全文摘要
提出基於信任證書的網格業務資源分配和調度方法。提出權威的信任管理中心頒發信任證書作為保證信任值的真實有效並作為載體解決傳輸信任值的問題。在資源選擇和分配中，參考真實有效的資源提供者的信任值，制定本地信任策略，結合本地的信任歷史，決定資源的選擇和分配方法。在每次網格業務完成後，對資源提供者的表現進行反饋和存儲歷史記錄，用以更新資源提供者的信任值。該方法可以排除具有攻擊歷史的惡意節點。選擇信任度高的協作夥伴可以提高網格作業完成的成功率。
文檔編號H04L9/32GK101984590SQ20101013417
公開日2011年3月9日 申請日期2010年3月29日 優先權日2010年3月29日
發明者孫斌, 張偉, 楊義先, 楊榆, 梁彬彬, 谷利澤, 鄭世慧, 陳晨 申請人:北京郵電大學