基于简单对象访问协议的网格主观信任处理方法

摘要

基于简单对象访问协议的网格主观信任处理方法是一种针对主观信任进行综合计算的安全处理方法，主要用于解决网格计算环境下资源节点可信性的安全问题，该处理方法为：用户在进行网格系统登录后，系统首先对其身份信息进行认证，通过后生成断言凭证以实现用户的单点登录；在实施访问控制模块进行网格节点的策略匹配之前，先从主观因素方面借助信任模块筛选出可以信赖的节点，其中包括了两个信任处理模块：其目标是排除怀有欺骗意图的恶意网格节点，辅助认证和访问控制等客观安全技术，在网格计算的分布式环境下建立可信网络。

说明书

技术领域

本发明是一种针对主观信任进行综合计算的安全处理方法，主要用于解决网格计算环境下资源节点可信性的安全问题，属于分布式计算软件安全技术领域。

背景技术

近年来，网格环境下的商务以及科学实验活动逐渐兴起，它通过高速网络把分散在各处的硬件、软件、信息资源连结成一个巨大的整体，从而使得人们能够利用地理上分散于各处的资源，完成各种大规模的、复杂的计算和数据处理的任务。其中，安全问题是制约网格技术得以迅速发展的关键问题之一。

传统的一些安全技术如访问控制主要基于请求方的身份进行授权，需要设定统一的安全管理域。然而，在开放的网格中，由于参与主体数量的规模大、运行环境的异构性、活动目标的动态性以及自主性等特点，各资源主体往往隶属于不同的权威管理机构，使得基于身份的访问控制技术在跨多安全域进行授权及访问控制时显得力不从心，暴露出许多弱点。

网格安全基础设施(Grid Security Infrastructure，GSI)是网格项目Globus的安全基础构件包，是保证网格计算安全性的核心。针对外部的威胁，它可以提供身份认证、通信加密等安全措施，但是，并不能保证加入网格的实体都是善意的实体，即不能对实体在网格中的行为进行评判。因此，对信任的研究逐渐被提到日程上来，现已成为各应用领域(网格、P2P和网构软件等)中对安全机制研究的热点。

“信任(Trust)”，也可以称之为“可信赖性(Trustworthiness)”，是指可以专心致志于完成他人的合法期望的一种能力，信任既是道德的组成部分，也是任何社会存在的关键前提条件。它是一个对象从自身角度出发对另一对象行为的合作程度(提供高质量服务、无恶意性)的主观度量，另外，它独立于对合作过程的监控。

1996年，AT&T实验室的Blaze等人首先提出信任管理(Trust Management，简称TM)的概念，为解决分布式环境中新应用形式的安全问题提供了新思路，Winsborough等人称这类信任管理系统为基于能力(capability-based)的授权系统。与此同时，A.Abdul-Rahman等学者则从信任的概念出发，对信任内容和信任程度进行划分，并从信任的主观性入手给出了信任的数学模型用于信任的综合计算。

国内的网格计算环境的信任机制的研究还处于理论探索的起步阶段，到目前为止，还没有比较成熟的网格计算环境的信任机制和模型。当前建立和完善网格计算环境的信任机制和模型成为信息安全研究的一个前沿问题。为了实现多个资源节点间的资源共享和协作计算，需要通过一种快速、有效的机制为数目庞大、动态分散的个体和组织间建立信任关系。

发明内容

技术问题：本发明的目的是提供一种基于简单对象访问协议的网格主观信任处理方法，通过在网格服务器和各资源节点上部署信任综合计算系统，借助简单对象访问协议(Simple Object Access Protocol，SOAP)建立消息体间的安全传输，实现节点间信任信息的传播与共享，进而找到可信的节点并与之进行作业的交互。利用本发明提供的方案可以有效避免节点间的恶意和欺骗攻击，从主观方面进一步补充了网格对安全的需求。

技术方案：本发明的方法是一种创新性的方法，与现有的网格认证和访问控制等安全技术不同，该方法是从主观性出发，根据各网格节点自身存储的和其他节点交互的信任历史经验信息，并在相应的综合计算策略下选择出可以信赖的资源节点进行作业的交互，其目标是排除怀有欺骗意图的恶意网格节点，辅助认证和访问控制等客观安全技术，在网格计算的分布式环境下建立可信网络。

目前，国内外安全领域的专家对信任还处于理论研究的阶段，对于具体的实施还没有成熟的产品，网格安全基础设施GSI也不例外，本发明则给出了一种网格信任综合计算的实施方案，下面将针对方案细节作进一步的阐述。

对信任的研究包括：信任类型的定义，信任初始值的设定，信任值的传递，信任值的综合计算及信任的更新。我们用(0，1)之间的数表示实体的信任度；当资源节点新加入网格虚拟组织VO时，由于对其他的节点没有任何的交互信息，则默认网格节点均是可信节点，初始值设为0.5。本发明着重介绍信任的传递、综合综合计算和更新，下面给出几个基本概念：

直接信任：在信任网络中，存在有三个实体：评估者、推荐者和评估对象。当评估者与评估对象之间存在有历史交互经验时，我们说，二者有直接信任关系。

推荐信任：当评估者与评估对象之间没有历史交互经验时，评估者需要从熟人集合(推荐者集合)中选择自己认为信任度比较高的实体作为推荐者(其对评估对象有直接信任关系或推荐信任关系)，从而间接得到对评估对象的信任值，我们称其为推荐信任关系。

谈到推荐信任时，我们要对节点的准确度和诚实度作出区分。

准确度(accuacy)：反映了节点完成作业的能力。如果节点是评估对象，那么不管其与评估者是直接信任关系还是推荐信任关系，我们只考虑它作为评估对象节点完成任务的能力，并用准确度来衡量，其中，accuacy∈[0，1]。

诚实度(honesty)：反映了节点作为中间推荐者向评估者提供有关评估对象推荐信任信息的推荐能力。在此，不考虑该节点作为评估对象完成作业的能力，只考虑其推荐能力，用诚实度来衡量，其中，honesty∈[0，1]。当推荐节点有意要夸大或贬低评估对象完成作业的能力时，我们称其为恶意节点，并将其honesty值设定为一个较低的值以示惩罚。

基于简单对象访问协议的网格主观信任处理方法为：用户在进行网格系统登录后，系统首先对其身份信息进行认证，通过后生成断言凭证以实现用户的单点登录；在实施访问控制模块进行网格节点的策略匹配之前，先从主观因素方面借助信任模块筛选出可以信赖的节点，其中包括了两个信任处理模块：信任传递模块和信任综合计算模块；即，系统根据用户提交的对信任的需求展开有效信任推荐路径的搜索工作，此过程称为信任的传递；针对搜索返回的各有效推荐路径提供的关于评估对象的推荐信任值需要进行整合，并和直接信任值进行加权求和以筛选出符合信任要求的可信节点，此过程称为信任的综合计算；接着，系统将和可信节点进行作业交互，对每个参与任务协作的节点进行信任值的打分，通过相应的更新算法来实时更新系统存储的信任信息，此过程称为信任更新模块；等下次有信任请求时，信任传递模块和信任综合计算模块则根据信任更新模块更新后的系统所存储的信任信息再进行相应操作，三个信任模块依次构成了一个循环的过程。

信任传递模块的信任传递方法为：

步骤21)用户从自身角度出发向网格服务器提交对信任的安全需求，包括提交相应参数值：推荐路径最大长度、推荐因子最低限值、直接信任权重、推荐信任权重和最终信任度阈值，

步骤22)当服务器收到请求后，以该用户为源头，利用数据库信息分别以已注册的节点作为评估对象展开推荐路径的搜索，

步骤23)查看评估者已存储的信任历史信息，考察其中的已交互节点是否为评估对象，若是，则说明存在直接信任，并将信任值记录下来；否则，检查该节点是否可作为有效推荐者，即：诚实度是否大于等于推荐因子最低限值？路径长度是否小于等于推荐路径的最大长度？是否不曾在推荐路径中出现？

步骤24)如果满足这三个条件，则将该节点作为有效推荐节点纳入推荐路径中，通过设计消息体的内容来传播信任传递中的有用信息，在推荐路径搜索阶段，路径搜索消息体，用SOAP₁表示，其内容设计为：

SOAP₁<flag，requestor，objector，next-reco，threshold-honesty，threshold-length，length，reco-path，valid>

其中，用flag表示消息标志，当其为0时，表示该消息为搜索消息；反之，当其为1时，表示返回消息；requestor表示信任的请求者或称评估者；objector表示评估对象；next-reco表示该消息的下一个转发节点，只有被考察为有效推荐节点的资源才可胜任；threshold-honesty表示推荐因子的最低限值；threshold-length表示推荐路径的最大长度；length表示推荐路径的长度；reco-path表示推荐路径；valid表示消息的有效性，用0和1来赋值；如果无效，即为0，那么丢弃该消息，不做出任何返回信息。确定该节点为有效推荐节点后，需要对消息体作相应处理：将该节点更新为下一个转发节点；推荐路径长度增加1个单位；将该节点通过字符串链接操作纳入至推荐路径的尾部；消息的有效性赋值为1；否则，该推荐无效，置消息的有效性为0，

步骤25)将更改后的消息体通过转发器发送到下一个节点上，

步骤26)下一个节点接收到消息体后，先对消息体进行解密，提取出路径长度等有用信息，然后查看自己存储的信任历史信息，考察其中的已交互节点是否为评估对象，若是，则说明找到一条有效的推荐路径，将消息标志置为1，表示该路径搜索完毕，等待路径返回；否则，依然检查该节点是否可作为有效推荐者，即：诚实度是否大于等于推荐因子最低限值？路径长度是否小于等于推荐路径的最大长度？是否不曾在推荐路径中出现？转步骤24)，

步骤27)当所有的路径搜索工作完成后，需对各有效消息按原路返回，所做的工作是计算该路径的推荐信任值，在此阶段，构造推荐值返回消息体，用SOAP₂表示，

SOAP₂<flag，requestor，objector，next-reco，reco-path，reco-value，en-value-serial>其中，reco-value表示推荐信任值；en-value-serial表示加密串值；其他符号如步骤24)中所述；以某个中间推荐者为例，接收到由上个节点发过来的消息后，将其解密得到推荐信任值，在此基础上根据本节点对上个节点的信任程度进行乘法运算得出本节点对评估对象的推荐值，并用该推荐值更改消息体中的推荐信任值这一项内容；然后将本推荐信任值用评估者的公钥进行加密，作为新加密字符串的首部与收到消息中的加密串值进行字符串链接操作，并用这个新字符串更新消息体中的加密串值这一项内容；另外，按照原路返回的思想，参照推荐路径将消息体中的下一个转发节点进行更新，

步骤28)由转发器将修改过的消息体发送给下一个节点，进行步骤27)相同的操作，直到消息返回至评估者，该路径的返回工作才算完成。

信任综合计算模块的信任综合计算方法为：

步骤31)对所有已返回的推荐值先进行考察，即查看加密串值解密后数据的波动情况，排除存在恶意欺骗攻击的路径，

步骤32)将剩下的有效推荐路径依照各推荐路径长度的倒数进行加权整合，得整合后的总的推荐信任值，

步骤33)对直接信任和推荐信任进行加权整合为最终综合信任值，选出综合信任值大于等于最终信任度阈值的节点作为可信节点，其他则为不可信节点。

信任更新模块的信任更新方法为：

步骤41)对推荐返回路径中所查到的恶意欺骗节点进行惩罚，措施是将其诚实度降低，如果波动较大，可将其诚实度定为诚实下限；对出现联合欺骗的节点分别用两个集合进行记录，以备下次信任值的计算时进行参考，

步骤42)评估者对参与本次交互的各节点关于完成任务的情况分别进行打分，利用打分结果对评估者存储的两个重要参数：该交互节点的准确度和离交互节点最近的第一个中间推荐者的诚实度进行更新，

准确度更新算法为：$\mathrm{new}-\mathrm{accuracy}=\frac{\underset{k=1}{\overset{m}{\Sigma }}k*{\mathrm{accuracy}}_k}{1+2+...+(m-1)+m};$其中，new-accuracy表示更新后的交互能力；m表示存储信任信息的历史窗口数；k表示窗口编号变量；accuracy_k表示第k个窗口存储的信任信息，当k＝m时，accuracy_k＝accuracy_m表示最近的一次交互信任值，

诚实度更新算法为：

$\mathrm{new}-\mathrm{honesty}=\left(\begin{array}{cc}\mathrm{high}-\mathrm{honesty},& \mathrm{diffe}\le ϵ\\ (1-\frac{\mathrm{diffe}}{{\mathrm{accuracy}}_m})*\mathrm{old}-\mathrm{honesty}+\frac{\mathrm{diffe}}{{\mathrm{accuracy}}_m}*\mathrm{low}-\mathrm{honesty},& ϵ\le \mathrm{diffe}\le C_0\\ \mathrm{low}-\mathrm{honesty},& \mathrm{diffe}\ge C_0\end{array}\right)$

其中，new-honesty表示更新后的诚实度；high-honesty表示诚实上限值；low-honesty表示诚实下限值；Old-honesty表示更新前的信任度；ε表示任意小的一个正数；diffe表示第一个推荐者所推荐的关于评估对象的推荐信任信息与最近一次得到的评估对象的交互能力之间的差异；C₀表示差异限值。

有益效果：本发明方法提出了一种基于SOAP消息的适用于网格环境的主观信任综合计算的新方法，主要用于解决如何在动态网格环境下筛选出善意的可以信赖的节点来参与作业交互的问题。通过使用本发明提出的方法可以筛选出有效的推荐路径，避免循环路径的出现，提高了系统的路径搜索效率；SOAP消息体的合理设计可在一定程度上排除中间推荐者实施恶意欺骗的念头，并能发现联合欺骗攻击；信任的更新算法给出了节点的奖励与惩罚政策，符合网格安全对动态性的需求。具体说明如下：

1)在SOAP消息的搜索阶段，即，有效推荐路径的寻找阶段，针对判断下一个节点是否为有效节点之前，我们先对目前的推荐路径进行考察，如果下一个节点曾经出现在本推荐路径中，则说明如果再将该节点继续纳入推荐路径中将会出现循环路径的现象，即死锁现象。因此，我们称该路径为无效路径，将其抛弃，不再进行任何操作。本方法避免了死锁的发生，从而提高了系统的执行效率。

2)在SOAP消息的返回阶段，我们设计了一个加密串en-value-serial来记录每个中间推荐者提供的关于评估对象的推荐信息，这个串只能由评估者的私钥才能解密，对其他任一个推荐者保密，因此，本方法使得推荐者不敢轻易修改推荐信任值来恶意抬高或贬低评估对象的信誉值，即提高了系统的安全程度。

3)当评估者通过接收并解密SOAP消息得到某推荐路径中各中间推荐信任值时，若发现某些节点提供的值有了大幅的上升或下降(常理说，信任值会随路径的推移而逐渐)，则说明这些节点发起了联合欺骗攻击，该路径不能作为有效路径参与信任的综合计算工作。能够发现联合攻击也是本发明方法的一大优势。

4)对于已检测到的联合攻击，系统利用两个集合H和L进行记录，以供下次参考。另外，利用最近一次的作业交互情况对相应节点的准确度accuracy和诚实度honesty进行了不同程度的更新，该方法极大地满足了网格安全对动态性和实时性的需求，具有较好的实用价值。

5)以往的安全技术大多从客观因素出发来提供系统防御攻击的能力，本方明试图从主观因素出发，利用节点自身存储的信任历史经验筛选出可以信赖的节点，单独依靠客观因素或者主观因素不能完全解决目前的安全问题，因此，需要两方面因素互相扶持，互相协作，进而共同提高系统抵御攻击的能力。本发明方法将成为现有安全技术最有力的补充，其带来的经济效益将瞩目以待。

附图说明

图1是网格环境下信任传播过程框架图。

图2是每个节点上部署的信任综合计算器的结构图。

图3是信任传播过程中出现的循环路径示意图。

图4是信任机制与其他安全技术的协作体系结构图。

图5是推荐路径搜索流程图。

图6是推荐路径值返回流程图。

具体实施方式

1.信任的传递

信任是一种主观意识，我们在每个节点上都放置一个数据库，来存放对自我作出决策有用的有关其他节点的信任历史信息，包括相关节点的诚实度honesty值和准确度accuracy值，并由各节点的信任处理模块执行系统的信任综合计算过程。

图1描述了网格信任的传播过程。在本方案中，节点间所有信息的传播均采用SOAP消息加密传输的形式，以保证传输过程中的机密性。

1)网格用户首先向网格服务器提交信任的请求，包括推荐路径的最大长度(用threshold-length表示)：由于信任随着推荐路径的增长而有不同程度的衰减，所以路径中中间推荐者的个数必须小于等于该长度，否则，该推荐路径无效；推荐因子最低限值(用threshold-honesty表示)：用户提出的对推荐能力的限制，如果节点的honesty值小于该限值，则该节点不可作为中间推荐节点；直接信任权重值(用W_d表示)和推荐信任权重值(用W_r表示)：在对信任进行综合计算时，需对得到的直接信任值和各推荐信任值进行整合，权重值则各自体现了直接信任和推荐信任在信任综合过程中所占的比重；最终信任度阈值(用threshold-trust表示)：系统对已注册的所有节点均作为评估对象评估一遍，得出每个节点的最终信任值，如果该值大于等于最终信任度阈值，则视为可信节点，否则视为不可信节点，并取消与之进行作业交互的机会。这些因素视用户个人对信任的需求而定，充分体现了主观能动性的发挥。

2)网格用户可以从域内登录也可以从域外登录，因其动态性，我们利用网格服务器统一管理已注册用户的信任信息，即将用户作为一个信任评估者，存储与之有过交互关系的节点的信任情况。当用户从域内登录时，还需要登记本次登录使用到的资源节点的信息。当服务器收到请求后，以该用户为源头，利用数据库信息分别以已注册的节点作为评估对象展开推荐路径的搜索。

3)信任信息在各节点间进行传播，分别由各节点的信任综合计算器中的SOAP接收器(下文简称：接收器)接收前一个节点发送过来的SOAP消息，经过本节点时由消息处理器根据本地信任信息对SOAP消息重新加以处理，然后由SOAP转发器(下文简称：转发器)传到下一个节点上，见图2。

我们将消息的传播分为两个步骤：

步骤一、有效推荐路径搜索阶段

如果用户对评估对象存在直接信任，则取其准确度accuracy值作为直接信任值。然后，以用户为源头搜索所有的有关评估对象的有效推荐路径。在此过程中，需要考虑以下几个因素：

推荐因子：在搜索下一个中间推荐者时，该节点需要查看本地存储的信任信息，选出诚实度honesty≥threshold-honesty的那些节点作为备选的推荐路径中的下一个中间推荐者。

路径长度：对于目前的推荐路径长度(用length表示)，该值可以从收到的SOAP消息体中获得，关于SOAP消息体的具体设计见下文。若length+1≤threshold-length，则该节点备选。

循环路径：针对目前的推荐路径(用reco-path表示)，例如A←B←C←D，即节点A信任节点B，节点B信任节点C，节点C信任节点D。如果正在被搜索的节点已经出现在reco-path中，如节点B，若节点D还信任节点B，那么新的推荐路径即为A←B←C←D←B，此刻出现了循环路径，或者说搜索策略发生了“死锁”，该节点不可再次被选为推荐节点，见图3。排除此种情况后，该节点备选。

在路径的搜索过程中，必须同时考虑以上三个因素，如果有其中一条不满足，则该推荐路径为无效路径。当某节点满足以上条件时，我们则把该节点作为一个有效中间推荐节点纳入推荐路径中，消息处理器需对收到的SOAP消息作相应修改，最后由转发器将其发送给已找到的下一个有效推荐者，然后重复步骤一。

由于两个步骤完成的功能不同，因此，我们将SOAP消息体的设计区分为两种类型。在路径的搜索阶段，我们定义路径搜索消息体(用SOAP₁表示)的内容如下：

SOAP₁<flag，requestor，objector，next-reco，threshold-honesty，threshold-length，length，reco-path，valid>

其中，当消息标志(用flag表示)为0时，表示该SOAP消息为搜索消息；反之，当flag为1时，表示返回消息。requestor(评估者)表示信任的请求者或称评估者，比如为某个网格用户；objector(评估对象)表示需要被评估的对象，注意：系统中已注册的网格资源都要作为评估对象被系统评估一次；对于该消息的下一个转发节点(用next-reco表示)，只有被考察为有效推荐节点的资源才可胜任；至于消息的有效性(用valid来表示)用0和1来赋值。如果无效，即为0，那么丢弃该消息，不做出任何返回信息。另外，其他标志元素如上文所述。

当接收器收到消息后，先解密然后查看flag值，如果为0，则表示下一步要做相应的搜索操作。根据本地的交互信息找出所有的有效推荐节点，然后消息处理器需对消息作如下更改：

●更新next-reco值为下一个有效推荐节点，即将本消息继续传递给它；

●length＝length+1；

●reco-path＝reco-path+”←”+”下一个有效推荐节点”；

●valid＝1；

然后，由转发器将其继续转发给next-reco所表示的节点，直到next-reco表示为评估对象为止。此刻，将flag标志为1，表示该路径搜索完毕，进入步骤二。

步骤二、推荐信任值返回阶段

当所有的路径搜索工作完成后，需对各有效消息按原路返回，附加的工作就是计算该路径的推荐信任值，并加强对各中间推荐节点推荐信息的机密性的保护，即提供对各节点隐私权的保护。在推荐信任值返回阶段，我们定义推荐值返回消息体(用SOAP₂表示)的内容如下：

SOAP₂<flag，requestor，objector，next-reco，reco-path，reco-value，en-value-serial>

此时，reco-path即表示搜索得到的一条有效推荐路径，以A←B←C←D为例，节点A为评估者，节点D为评估对象，节点B和节点C为两个中间推荐节点；消息返回的下一个转发节点用next-reco(下一转发节点)表示；推荐信任值(用reco-value表示)随着消息的传播过程而不断更新；加密串值(用en-value-serial表示)是用来保护每个中间推荐者所推荐信息的私密性，具体所采用的加密算法由网格系统统一设定，其内容是由每个中间推荐节点提供的关于评估对象的推荐信任信息经信任请求者requestor的公钥加密后的密文依次连接而构成的序列串值，即，系统借助SOAP消息将每个推荐者提供的信息都保存下来，由于用requestor的公钥进行加密，因此，只有requestor能用自己的私钥解密en-value-serial，来查看每个推荐者提供的推荐信息，各推荐者互相之间可以保密。通过该方法，可在一定程度上打消推荐者实施恶意欺骗的目的，因为系统会记录下每个推荐者的推荐信息，如果前后节点提供的推荐信息上下波动太大，则说明出现了欺骗行为，在信任更新过程中要对这些欺骗节点做出相应惩罚。

以上面的推荐路径为例，由于节点C存有对评估对象D的直接信任信息(用accuracy_c(D)表示)，因此信任搜索路径到C为止就找到一条有效推荐路径，依据步骤二的思想，推荐值按原路返回，则next-reco＝B。记reco-value_x(y)为节点x提供的关于节点y的推荐信息，如节点C提供的对节点D的推荐信息，用reco-value_C(D)表示；EPK_requestor(z)表示用requestor的公钥对数据(z)进行加密(用EPK表示)。则，节点C要转发的SOAP消息为：

<1，A，D，B，A←B←C←D，reco-value_c(D)，″EPK_requestor(reco-value_c(D))″>

如果节点C不是恶意节点，则reco-value_c(D)＝accuracy_c(D)。

由于next-reco＝B，因此该消息会传给节点B，当B收到该消息后，启动消息处理器对消息做如下修改：

●next-reco＝A

●reco-value＝reco-value_B(D)

●en-value-serial＝″EPK_requestor(reco-value_B(D))″+″EPK_requestor(reco-value_c(D))″

如果B不是恶意节点，则对于节点B提供的关于节点D的推荐信息(用reco-value_B(D)表示)有：reco-value_B(D)＝honesty_B(C)*reco-value_C(D)，其中，用honesty_xx(yy)表示节点xx存储的关于节点yy的诚实度，如节点B存储的关于节点C的诚实度表示为honesty_B(C)。则，由该节点转发器所转发的消息为：

<1，A，D，A，A←B←C←D，reco-value_B(D)，″EPK_requestor(reco-value_B(D))″+″EPK_requestor(reco-value_c(D))″>

仅当该消息传到信任请求者A时，路径返回完毕。A通过计算honesty_A(B)*reco-value_B(D)得整个路径的最终推荐信任值。其中，honesty_A(B)表示节点A存储的关于节点B的诚实度。

4)如果用户提交的作业请求无法在本域内完成时，则需要在多域之间建立信任关系。首先，域服务器之间要通过跨域的认证，具体可以通过安全断言标记语言(Security Assertion Markup Language，SAML)来实现。然后，域服务器以自身作为信任源头在其域内进行信任路径的搜索，方法如前所述。最后，利用下文给的综合计算的方案筛选出可信节点并将跨域的子任务分配给它们进行执行，从而完成基于信任的域间任务的合作。

2.信任的综合计算

当所有的推荐路径信任值都成功返回时，网格服务器将代表用户对所有的推荐信任值和直接信任值进行整合，以得到每个节点的最终综合计算值。以某个资源节点为例，我们将讨论如何对关于它的推荐信任和直接信任进行综合计算。

若评估者对该资源节点没有直接信任信息或没得到任何一条推荐路径，则在综合计算前分别将对应的信任值默认为0.5。

对所有已返回的推荐值先进行考察，因系统用SOAP消息记录了每个中间推荐者提供的信任值，具体可通过requestor的私钥解密en-value-serial得到。仍以路径A←B←C←D为例，正常情况下，随着信任路径的增长，信任值会随从节点D到节点A的传递而逐渐递减。假如中间出现了欺骗行为，节点B有意抬高(贬低)对节点D的信任值，则信任值会在节点B处有明显上升(下降)波动，则系统认为该推荐路径无效，放弃对它实施信任值整合操作。但我们要充分利用该欺骗依据，调用下文的信任更新操作对欺骗节点实施相应的惩罚措施，为下次的信任综合计算提供实时的参考依据，具体参见本发明的第3小节。

接下来分两步进行整合：

1)有效推荐信任的整合

若有效推荐路径为n条，第i条路径的长度用length_i(1≤i≤n)表示，由于路径越长，得到的信任值越不可靠，因此，我们利用各路径的长度对各有效推荐信任值进行加权整合，得出总的推荐信任值(用reco-value-inte表示)。

记reco-value_i(1≤i≤n)为第i条路径的推荐值，则采用的整合方案为：

$\mathrm{reco}-\mathrm{value}-\mathrm{inte}=\underset{i=1}{\overset{n}{\Sigma }}\frac{1/{\mathrm{length}}_i}{\underset{j=1}{\overset{n}{\Sigma }}1/{\mathrm{length}}_j}*\mathrm{reco}-{\mathrm{value}}_i$

其中，i和j为路径变量，且1≤i≤n、1≤j≤n。这样便避免了对各路径不加任何区分的进行算术加权平均的粗糙操作。

2)直接信任与推荐信任的整合

根据用户提供的直接信任权重W_d和推荐信任权重W_r对两种信任值进行整合，记Trust为节点的综合信任值，dire-value为直接信任值，则：

Trust＝W_d*dire-value+W_r*reco-value-inte

至此为止，我们已得出每个节点的综合信任值，选出Trust≥threshold-trust的节点作为可信节点，其他则为不可信节点。

3.信任的更新

信任会随着不断交互或上下文环境的改变而实时发生变化，这是它的本性，因此，讨论信任机制必定要研究其更新功能。

对于上节提到的由于出现欺骗行为而放弃的SOAP消息，有必要追究其中恶意节点的责任，避免其继续为其他节点提供欺骗推荐。当服务器收到返回的消息后解密en-value-serial，如果发现某个节点提供的推荐信息在信任传递的过程中有大幅地上升(下降)波动，我们就要怀疑该节点的推荐能力，惩罚的措施就是将其诚实度honesty值降低，如果波动较大，可令honesty＝low-honesty，其中low-honesty(诚实下限)为诚实推荐能力的下限，即大幅地降低其推荐能力。

另外，如果在同一条推荐路径中，同时有几处出现了大幅地上升(下降)波动，由于对同一个评估对象向同一评估者同时提供了恶意抬高(贬低)行为，我们称发生了联合欺骗行为。系统会将该重要信息记录下来并加以分类，放入网格服务器的数据库中，以备以后计算信任值时进行参考。我们用集合H存放发生恶意抬高行为的节点集，用集合L存放发生恶意贬低行为的节点集，如：H＝{{B，C}，{F，G，K}，...}表示节点B和节点C发生过恶意抬高节点信任值的行为，同理，节点F、节点G和节点K也是一个欺骗集团。服务器再次进行信任综合计算时，可参考这两个集合来对推荐路径的有效性做出评价。

以上更新发生在信任综合计算的过程中，当我们利用信任系统找到可信节点后，便要将用户提交的任务发送到各可信节点上执行。之后，系统会对参与本次交互的各节点关于完成任务的情况分别进行打分，具体打分策略不在本发明范围之内，我们仅利用打分结果对系统的两个重要参数准确度accuracy和诚实度honesty进行更新。

●准确度accuracy更新

accuracy代表了可信节点执行任务的能力。一次交互能力并不能完全代表该节点的交互能力，因此，有必要结合前几次的交互能力对accuracy进行更新。所采取的策略如下：

若系统采用m个历史窗口存放某节点B离现在最近的m次交互能力，即accuracy值。其中，第m个窗口存放本次的交互能力打分值accuracy_m(本次打分值)，第m-1个窗口存放前一次的交互能力打分值accuracy_m-1(前次打分值)，依次类推。则更新后的交互能力(用new-accuracy表示)为：

$\mathrm{new}-\mathrm{accuracy}=\frac{\underset{k=1}{\overset{m}{\Sigma }}k*{\mathrm{accuracy}}_k}{1+2+...+(m-1)+m}$

其中，k为窗口编号变量。将new-accuracy作为requestor对该节点的最新交互能力存入网格服务器的数据库中，备下次信任值的计算时进行参考。另外，若用户是从域内的某节点A登录访问网格系统，则还需要更新节点A上存储的信任信息，即，用new-accuracy更新节点B对节点A提供的交互能力。

●诚实度honesty更新

借助本次实际交互信任值accuracy_m对某些节点的诚实度honesty作出更新。仍以推荐路径A←B←C←D为例，节点C作为节点D的第一个推荐者，C提供的推荐信息(用reco-value_C(D)表示)与accuracy_m应该相当，如果差别很大，则说明节点C的推荐能力很低，需将其诚实度honesty值降低以示惩罚。其他非直接推荐节点，如节点B，由于其提供的推荐信息包含有前一节点C的主观观念，因此，我们不可能用accuracy_m来评判节点B的推荐能力，这也是本更新方案的核心思想。

节点C提供的推荐信息与直接交互信息之间的差异(用diffe表示)为diffe＝|reco-value_C(D)-accuracy_m|，用new-honesty表示更新后的诚实度，old-honesty表示更新前的诚实度，则：

$\mathrm{new}-\mathrm{honesty}=\left(\begin{array}{cc}\mathrm{high}-\mathrm{honesty},& \mathrm{diffe}\le ϵ\\ (1-\frac{\mathrm{diffe}}{{\mathrm{accuracy}}_m})*\mathrm{old}-\mathrm{honesty}+\frac{\mathrm{diffe}}{{\mathrm{accuracy}}_m}*\mathrm{low}-\mathrm{honesty},& ϵ\le \mathrm{diffe}\le C_0\\ \mathrm{low}-\mathrm{honesty},& \mathrm{diffe}\ge C_0\end{array}\right)$

用ε表示任意小的一个正数，当差异很小，即diffe≤ε时，我们称该节点是诚实的，更改其诚实度honesty为诚实上限值(用high-honesty表示)；用C₀表示差异限值，则当差异很大，即diffe≥C₀时，该节点被断定为恶意节点，并将其诚实度honesty更新为诚实下限值(用low-honesty表示)；否则，会根据差异的具体情况在old-honesty的基础之上进行动态调整。

最后，用new-honesty来更新网格服务器上存储的用户对节点C的诚实度honesty，同时更新节点B上存储的对节点C的诚实度honesty。

结合现有的认证及访问控制等安全技术，我们将主观信任综合计算的方案部署到网格环境中，借助体系结构图4给出信任评估的具体实施方式：

1)已注册的网格用户通过用户名和密码登录网格系统；

2)服务器验证用户名和密码，如果通过，则继续顺次验证用户提交的证书和安全断言，即进行身份和单点登录凭证的检查；

3)如果通过了上述检查，则进入本发明设计的主观信任综合计算模块。在对用户进行访问授权之间先从主观方面选出可以信赖的节点，可进一步提高系统抵御攻击的能力；

4)首先，用户从自身角度出发向网格服务器提交对信任的安全需求，包括提交相应参数值：推荐路径最大长度、推荐因子最低限值、直接信任权重、推荐信任权重和最终信任度阈值；

5)当服务器收到请求后，以该用户为源头，利用数据库信息分别以已注册的节点作为评估对象展开推荐路径的搜索；

6)查看评估者已存储的信任历史信息，考察其中的已交互节点是否为评估对象，若是，则说明存在直接信任，并将信任值记录下来；否则，检查该节点是否可作为有效推荐者，即：诚实度是否大于等于推荐因子最低限值？路径长度是否小于等于推荐路径的最大长度？是否不曾在推荐路径中出现？

7)如果满足以上三个条件，则将该节点作为有效推荐节点纳入推荐路径中，即对消息体作相应处理：将该节点更新为下一个转发节点；推荐路径长度增加1个单位；将该节点通过字符串链接操作纳入至推荐路径的尾部；消息的有效性赋值为1。否则，该推荐无效，置消息的有效性为0；

8)将有效的推荐消息通过转发器发送到下一个节点上，直到下一个转发节点为评估对象为止。此刻，将消息标志赋值为1，表示该路径搜索完毕；

9)当所有的路径搜索工作完成后，需对各有效消息按原路返回，所做的工作是计算该路径的推荐信任值。以某个中间推荐者为例，接收到由上个节点发过来的消息后，将其解密得到推荐信任值，在此基础上根据本节点对上个节点的信任程度进行乘法运算得出本节点对评估对象的推荐值，并用该推荐值更改消息体中的推荐信任值这一项内容。然后将本推荐信任值用评估者的公钥进行加密，作为新加密字符串的首部与收到消息中的加密串值进行字符串链接操作，并用这个新字符串更新消息体中的加密串值这一项内容。另外，按照原路返回的思想，将消息体中的下一个转发节点进行更新。

10)由转发器将修改过的消息发送给下一个节点，进行步骤9)相同的操作。直到消息返回至评估者，该路径的返回工作才算完成；

11)对所有已返回的推荐值先进行考察，排除出现恶意欺骗攻击的路径，将剩下的有效推荐路径依照各路径长度的倒数进行加权整合，得出总的推荐信任值；

12)对直接信任和推荐信任进行加权整合为最终的综合信任值，选出综合信任值大于等于最终信任度阈值的节点作为可信节点，其他则为不可信节点。

13)找到可信节点后，系统要在此基础上利用访问控制策略对用户进行授权，然后将任务按照授权策略发送给可信节点执行；

14)系统会对参与本次交互的各节点关于完成任务的情况分别进行打分，利用打分结果对系统的两个重要参数准确度和诚实度进行更新，已供下次参考。