36、基于Petri网的网格系统安全建模

会议雕塑

于 2025-11-12 12:07:48 发布

阅读量11

点赞数

CC 4.0 BY-SA版权

分类专栏：网络安全前沿方法探析文章标签：网格系统安全威胁 Petri网

本文链接：https://blog.youkuaiyun.com/pandas7gardener/article/details/154773589

网络安全前沿方法探析专栏收录该内容

37 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

基于Petri网的网格系统安全建模

1. 网格系统面临的安全威胁

网格系统在运行过程中面临着多种安全威胁，这些威胁严重影响了系统的正常运行和用户数据的安全。具体威胁如下：
- 拒绝服务攻击 ：
- 强制授权组件与网格系统断开连接，使相关服务无法正常使用。
- 使网格系统过载，导致用户和服务的工作难以开展。
- 恶意软件传播 ：由于网格系统为恶意软件的传播提供了理想环境，存在“作业”迁移的开放途径，可能被恶意利用，所以恶意软件传播成为网格系统面临的重要安全问题。
- 未经授权访问计算资源 ：攻击可能来自授权用户、网格系统组件以及外部入侵者。具体可分为以下几种亚型：
- 未经授权的用户或组件连接到系统（若组件没有可信认证中心颁发的证书，则被视为未经授权）。
- 主机环境中的用户进程试图访问用户数据。
- 试图超越网格系统中用户、应用程序或服务的权限。

2. 现有保护方法

为了应对上述安全威胁，网格系统采用了多种保护方法：

2.1 硬件和软件组件

网格系统实施了特殊的硬件和软件组件（安全管理器），并安装了入侵检测系统（IDS）、防火墙和防病毒代理。安全管理器与专用通信通道集成，当检测到入侵时会广播警报。每个主机收到通知后会将其复制给所有与之连接的资源提供者，从而隔离有问题的主机，防止攻击在网格系统中传播。

2.2 模糊信任逻辑

部分网格系统使用模糊信任逻辑。每个主机最初都会被标记，该标记显示了网格系统其他组件赋予它的信任级别。如果检测到来自该主机的攻击，信任级别会降低。在为用户定义的作业寻找合适的主机时，会选择信任级别最高的主机来运行这些作业。

2.3 授权和认证机制

当代网格系统（如Globus Toolkit、UNICORE、gLite、Gridbus和BOINC）主要采用两种安全机制：授权和认证。用户授权有两种方法：
- 基于GRAM服务 ：用户可以通过GRAM（网格资源分配和管理）服务将其应用程序委托给资源提供者，然后从提供者处获取结果。
- 基于Web服务 ：借鉴云计算系统，资源提供者上运行着一些服务，每个服务都“附加”有操作，用户可以访问所需服务附加的操作。

2.4 用户数据保护

由于网格系统的平台是一组个人计算机，确保用户数据的机密性和完整性至关重要。为此，主机上使用了可信的软件和硬件平台，用户数据在主机环境的特殊加密存储库中受到保护。

3. 基于Petri网的安全建模

3.1 传统安全模型的局限性

访问控制可确保信息安全政策规则的遵守，但网格系统的高度异构性、多种用户认证机制以及缺乏集中式安全服务器，使得传统安全模型难以应用。虽然有统一模型可以考虑不同的用户认证机制来逻辑规范网格系统的安全政策，但该模型将网格系统视为静态的系统状态集合，无法有效解决未经授权访问的问题。

3.2 基于Petri网的方法

为了保护网格系统资源免受未经授权的访问，提出了一种基于安全作业提交的方法，该方法依据安全政策的要求，采用功能彩色Petri网的数学工具。与将时间和状态变化描述为连续变量的访问控制模型不同，Petri网是动态离散系统的数学表示之一，其优势在于能够描述网格系统状态中的预定义访问关系。

3.3 Petri网表示网格系统

网格系统可以用Petri网表示，图的有限顶点集({m_i}=M)是网格系统的节点（如主机、资源管理器等），({t_i}=T)是顶点之间的转换集合。标记表示对特定类型网格系统资源的请求，转换由考虑队列标签中花费时间（即作业处理等待时间）的函数实现。

以一个简单的网格系统为例，有四个资源提供者（M1、M2、M3和M4）。假设所有用户请求都通过资源提供者M2，且任何作业只能由用户U1在资源提供者M1上发起，该作业可由主机系统M3和M4执行。设(t_i)为标记从一个节点转移到另一个节点的转移概率，在这个例子中(t_0 = 0)，因为系统中只有一个连接到资源提供者M2的连接，且所有作业请求都通过它。(t_1)和(t_2)分别是M3和M4节点的计算资源用于执行作业的概率，(t_3)是M3和M4的计算资源都用于执行指定作业的概率，(t_4)和(t_5)是任务在相应资源提供者上成功解决并将结果返回给用户U1的概率。网的初始标记用向量(\mu = (\mu(M_1), \cdots, \mu(M_n)))表示，对于该示例，(\mu = (1, 0, 0, 0))。

3.4 实际网格系统的复杂性

实际的网格系统架构更为复杂，有多个资源提供者，每个资源提供者都有特定的连接主机集合。资源提供者之间可以移动作业请求，主要发生在以下两种情况：
- 资源提供者达到活动作业请求的限制，需要进行负载均衡，将部分请求转移到其他资源提供者。
- 指定资源提供者没有可用的、具有适当类型或数量计算资源的连接主机，因此将部分作业请求转移到更合适的资源提供者。

3.5 定义访问限制和关系

为了考虑安全政策要求的限制，定义了访问权限集合Rights（信息安全方面的访问权利）和预定义关系集合（即当前在指定节点上的标记集合，标记表示用户的作业请求）。标记类型定义为(T = )，其中(F)是用户作业请求的资源类别（如计算资源、存储资源等），(A)是用于验证是否符合安全政策规定的安全属性。例如，在图中，顶点M1和M5上分别呈现了对应两类用户请求的标记，安全属性包括发起指定请求的网格系统用户的访问ID。

3.6 可信作业提交条件

用户作业请求从节点(m_i)移动到节点(m_j)意味着触发转移(t_{ij})的条件已经满足。可信作业提交的条件如下：
- 用户和资源提供者相互信任，即成功通过认证程序。
- 指定主机上有与发起作业的用户对应的预定义用户账户，所有计算将以该用户账户的权限执行。
- 所请求的资源提供者可用且类型合适。
- 考虑指定资源提供者上的预定义访问关系：
- 请求的访问类型等于指定资源提供者上所有现有的访问类型。
- 或者指定资源提供者上至少有一种现有访问类型与请求的访问类型不同，但授予请求的访问类型不会违反安全政策。

3.7 定义操作符

定义一个作用于转移集合({t_{ij}})的操作符(\Psi)：
(\Psi : \to {True, False})
其中：
- (J)是网格中所有作业的集合（每个作业唯一对应发起该作业的用户）。
- (M)是网格系统中资源提供者的集合。
- (Rights)是信息安全政策方面的访问权限。
- (Relations)是预定义访问关系的集合。

在为指定作业选择合适的资源提供者时，不仅要考虑资源提供者的可用性和类型，还要考虑信息安全政策的要求，这些要求决定了发起请求的用户是否可以使用指定节点上的资源。

3.8 操作符的实际应用

应用谓词逻辑可以将定义操作符域的参数视为可变的。操作符(\Psi)的形式化以及其参数的存在与否和取值范围，产生了一系列旨在增强网格系统安全性的实际任务：
- 可信作业请求分配 ：定义集合(U)、(M)、(Rights)和(Relations)后，可以构建算法来搜索适合运行用户指定查询的主机系统，同时考虑安全政策的要求，确保网格系统的每个状态都符合安全政策的约束。
- 安全政策验证 ：定义集合(U)、(M)、(Rights)和操作符(\Psi)的取值范围后，可以解决识别导致违反安全要求的预定义关系的问题。
- 创建安全模板设置 ：定义集合(U)、(M)、(Relations)和操作符(\Psi)的取值范围后，可以创建安全设置，用于根据安全政策的要求自动设置网格系统的安全配置。
- 查找入侵者 ：定义集合(M)、(Rights)和(Relations)后，可以识别执行导致违反安全规则行为的用户。

3.9 作业提交示例

以基于Globus Toolkit实现的网格为例，假设有七个资源提供者，每个资源提供者定义了不同的资源类型，同时定义了包含存储访问和计算访问的安全政策，以及相应的访问约束。

假设用户U1在主机M1上创建作业J1，其标记类型为(T = <’Storage resources’, U1>)。J1通过转移弧(t_{10})到达资源提供者M2，转移(t_{10})无条件触发，因为J1来自创建该作业的主机，且主机U1显然无法处理该作业。M2收到J1后，开始寻找最适合处理该作业的主机。它发现主机M3处于“就绪”状态，且具有J1处理所需的“存储资源”类型，同时检查到安全政策允许U1在主机M3上存储数据，因此J1被分配到M3。

接着，假设作业J2（标记类型为(T = <’Computing resources’, U2>)）出现在网格系统中。J2从主机M5移动到资源提供者M6，由于M6没有连接具有合适类型的主机，M6将J2转移到M2。最终，J2被分配到M4，因为M4支持“计算资源”类型，且没有安全约束禁止用户U2在M4上“执行应用程序”的访问。

然而，详细检查发现，传统作业提交过程可能违反安全政策。在作业提交结束时，用户U1和U2都可以访问主机M3，用户U2的应用程序在主机M3上运行，而用户U1在该主机上存储数据，这意味着用户U2可以访问用户U1的数据，违反了安全政策。

使用基于Petri网的可信作业提交方法，当J2到达M2时，尽管M3是最适合处理J2的主机，但由于主机M3上的预定义关系（用户U1已经可以访问M3），转移(t_{11})不会触发。因此，J2最终被分配到主机M4，M4可用、类型合适且没有预定义关系。

网格系统的安全建模是一个复杂而重要的问题。现有保护方法在一定程度上可以应对安全威胁，但基于Petri网的安全建模方法提供了一种更有效的解决方案。通过考虑系统的动态特性和预定义访问关系，该方法能够确保可信作业提交，从而提高网格系统的安全性。在实际应用中，将操作符(\Psi)集成到网格系统的特殊服务中，可以在选择合适的主机时综合考虑资源可用性、类型以及安全政策要求，实现更安全的作业分配。

以下是一个简单的mermaid流程图，展示了可信作业提交的基本流程：

graph LR
    A[用户创建作业] --> B[作业发送到资源提供者]
    B --> C{资源提供者检查条件}
    C -- 条件满足 --> D[作业分配到合适主机]
    C -- 条件不满足 --> E[继续寻找合适主机]
    E --> C

表格展示不同资源提供者的资源类型：
| 资源提供者 | 资源类型 |
| — | — |
| M1 | 存储资源 |
| M2 | - |
| M3 | 计算资源、存储资源 |
| M4 | 计算资源 |
| M5 | 存储资源 |
| M6 | - |
| M7 | 存储资源 |

列表总结作业提交过程中的关键步骤：
1. 用户创建作业并发送到资源提供者。
2. 资源提供者检查作业提交条件，包括用户与提供者的信任关系、主机上的用户账户、资源提供者的可用性和类型以及预定义访问关系。
3. 如果条件满足，作业分配到合适主机；否则，继续寻找合适主机。

4. 可信作业提交的优势与挑战

4.1 优势

基于Petri网的可信作业提交方法具有显著优势，主要体现在以下几个方面：
- 增强安全性 ：通过考虑预定义访问关系和安全政策要求，该方法能够有效防止未经授权的访问，避免用户数据泄露和系统被攻击的风险，确保网格系统的安全性。
- 提高资源利用率 ：在选择合适的资源提供者时，不仅考虑资源的可用性和类型，还结合安全政策进行综合评估，使得资源能够得到更合理的分配和利用，提高了整个网格系统的运行效率。
- 支持动态系统 ：Petri网作为动态离散系统的数学表示，能够很好地描述网格系统中时间和状态的变化，适应网格系统的动态特性，保证作业提交过程的灵活性和可靠性。

4.2 挑战

尽管该方法具有诸多优势，但在实际应用中也面临一些挑战：
- 模型复杂度 ：随着网格系统规模的扩大和资源的增加，Petri网模型的复杂度会显著提高，包括节点数量、转移关系和标记类型等都会变得更加复杂，这增加了模型构建和分析的难度。
- 计算开销 ：在作业提交过程中，需要对大量的条件进行检查和验证，包括用户认证、资源可用性、安全政策合规性等，这会带来一定的计算开销，可能影响系统的响应速度和性能。
- 安全政策更新 ：安全政策需要根据系统的变化和新的安全威胁进行及时更新，而如何确保模型能够快速适应这些变化，保证作业提交过程始终符合最新的安全政策要求，是一个需要解决的问题。

5. 未来发展方向

5.1 模型优化

为了应对上述挑战，未来可以对基于Petri网的安全模型进行优化。例如，采用更高效的算法来简化模型的复杂度，减少计算开销；引入机器学习和人工智能技术，实现对安全政策的自动更新和调整，提高模型的适应性和智能性。

5.2 与其他技术融合

可以将基于Petri网的安全建模方法与其他安全技术进行融合，如区块链技术、零信任架构等。区块链技术的去中心化和不可篡改特性可以增强网格系统的安全性和数据完整性；零信任架构则可以进一步强化对用户和资源的认证和授权，实现更细粒度的访问控制。

5.3 跨领域应用

随着网格技术的不断发展，其应用领域也在不断扩大。未来可以将基于Petri网的安全建模方法应用到更多的领域，如物联网、云计算、大数据等，为这些领域的安全问题提供有效的解决方案。

6. 总结

本文围绕网格系统的安全问题展开，详细介绍了网格系统面临的安全威胁，包括拒绝服务攻击、恶意软件传播和未经授权访问计算资源等。针对这些威胁，阐述了现有保护方法，如硬件和软件组件、模糊信任逻辑、授权和认证机制以及用户数据保护措施。

重点介绍了基于Petri网的安全建模方法，该方法通过功能彩色Petri网的数学工具，实现了可信作业提交，能够有效解决传统安全模型在网格系统中应用的局限性。通过定义访问限制和关系、可信作业提交条件以及操作符，确保了作业提交过程符合安全政策要求。

通过具体的作业提交示例，对比了传统作业提交过程和基于Petri网的可信作业提交方法，展示了该方法在提高安全性方面的优势。同时，分析了该方法在实际应用中面临的挑战，并对未来的发展方向进行了展望。

在实际应用中，为了确保网格系统的安全性和可靠性，建议将操作符(\Psi)集成到网格系统的特殊服务中，在选择合适的主机时综合考虑资源可用性、类型以及安全政策要求。同时，不断对模型进行优化和改进，结合其他安全技术，以适应不断变化的安全环境。

以下是一个mermaid流程图，展示了未来基于Petri网安全模型的发展方向：

graph LR
    A[基于Petri网的安全模型] --> B[模型优化]
    A --> C[与其他技术融合]
    A --> D[跨领域应用]
    B --> E[简化复杂度]
    B --> F[引入智能技术]
    C --> G[结合区块链]
    C --> H[融合零信任架构]
    D --> I[物联网应用]
    D --> J[云计算应用]
    D --> K[大数据应用]

表格展示基于Petri网安全建模方法的优势与挑战：
| 类别 | 具体内容 |
| — | — |
| 优势 | 增强安全性、提高资源利用率、支持动态系统 |
| 挑战 | 模型复杂度高、计算开销大、安全政策更新难 |

列表总结本文的关键要点：
1. 网格系统面临多种安全威胁，现有保护方法有一定作用。
2. 基于Petri网的安全建模方法可实现可信作业提交，解决传统模型局限性。
3. 该方法通过定义相关条件和操作符确保作业提交符合安全政策。
4. 实际应用中面临挑战，未来可从模型优化、技术融合和跨领域应用等方向发展。