網(wǎng)格環(huán)境下主動式安全系統(tǒng)的通信機制研究.pdf

1、作為分布式的異構(gòu)系統(tǒng)，網(wǎng)格系統(tǒng)的安全問題涉及到資源主體所在的本地網(wǎng)絡(luò)和網(wǎng)格系統(tǒng)，并直接影響網(wǎng)格服務的性能。尤其在網(wǎng)絡(luò)安全問題日益嚴重的情況下，目前以信任策略和資源管理為核心的安全研究無法為網(wǎng)格系統(tǒng)提供全面的保護。網(wǎng)格安全問題應該作為一個獨立的研究內(nèi)容，從安全系統(tǒng)的體系結(jié)構(gòu)、功能模型到資源協(xié)作機制逐步深入，才能構(gòu)建完善的網(wǎng)格安全系統(tǒng)，甚至真正實現(xiàn)主動式的安全策略。 為了建立主動式網(wǎng)格安全體系，本文以面向資源個體的主動式安全系統(tǒng)的功

2、能模型為平臺，深入研究了網(wǎng)格安全系統(tǒng)的通信機制以及相關(guān)算法。文章的主要創(chuàng)新內(nèi)容如下： 通過分析網(wǎng)格及安全技術(shù)的研究現(xiàn)狀，指出了網(wǎng)格安全體系研究的必要性，提出了以安全節(jié)點為單位、具備攻擊定位能力的主動式安全系統(tǒng)的功能模型，具體內(nèi)容包括：在計算機軟件體系中，網(wǎng)格安全系統(tǒng)是網(wǎng)格構(gòu)件中一個獨立的核心組件；主動式安全系統(tǒng)由認證授權(quán)、訪問控制、監(jiān)視、安全信息倉庫、消息中心和分析模塊組成，針對安全節(jié)點上的網(wǎng)格資源實現(xiàn)安全保護；在安全系統(tǒng)的功能

3、模塊之間、不同的安全節(jié)點間建立統(tǒng)一的消息傳遞接口。 為了使安全節(jié)點具備協(xié)調(diào)能力，必須建立可靠的網(wǎng)格安全系統(tǒng)內(nèi)的信息共享和更新機制，而已有的面向?qū)Ｓ芯W(wǎng)絡(luò)的通信系統(tǒng)無法滿足網(wǎng)格安全系統(tǒng)的要求，因此提出了層次的、分布的、動態(tài)可更新的、高擴展性的安全系統(tǒng)通信結(jié)構(gòu)，它利用網(wǎng)格跨組織的資源共享特性，為實現(xiàn)主動式的安全策略、發(fā)現(xiàn)和追蹤攻擊來源提供良好的通信機制：通過具有可變長、多類型、自描述性質(zhì)的消息傳遞技術(shù)，實現(xiàn)安全節(jié)點間的信息交換和協(xié)調(diào)；

4、樹狀的通信系統(tǒng)邏輯結(jié)構(gòu)以通信域為核心單元，具有良好的擴展性，支持節(jié)點的動態(tài)加入；能夠以常數(shù)階時間復雜度實現(xiàn)中心節(jié)點選舉算法，并且降低了算法的消息復雜度，對網(wǎng)絡(luò)的依賴性小；支持點對點、組播和廣播的通信模式；通過周期性通信，在整個安全體系內(nèi)實現(xiàn)了安全信息的復制和更新。 進一步地，為了保證周期性通信的同步并降低終止判斷問題的消息復雜度，提出了安全節(jié)點標識分配算法和周期終止探測算法。節(jié)點標識分配算法保證了通信域內(nèi)節(jié)點的標識具有連續(xù)性；而

5、利用連續(xù)的節(jié)點標識，分布式周期終止探測算法能夠根據(jù)簡單的求和比較公式，正確判斷一次通信是否終止，其算法的時間復雜度僅為O(n)。 本文還提出了完善的通信容錯處理機制，針對網(wǎng)絡(luò)阻塞、節(jié)點失效等通信異常提出了相應的處理辦法。尤其是針對錯誤消息的驗證難題，提出了團組容錯方法，有效地解決了惡意主機的判斷問題，為系統(tǒng)確定可疑資源的數(shù)量和目標提供了有力的依據(jù)。 本文利用VMware的仿真試驗，驗證了安全系統(tǒng)的選舉算法、周期終止算法和