張昌宏， 李 鵬

(1海軍工程大學信息安全系，湖北，武漢，430033;2中國人民解放軍92886部隊，山東，膠州，266300)

0 引言

隨著網(wǎng)絡環(huán)境由相對集中的靜態(tài)形式向開放靈活的動態(tài)形式演變，網(wǎng)格計算、普適計算、Ad Hoc網(wǎng)絡等大規(guī)模分布式應用系統(tǒng)不斷發(fā)展，各種新興的云計算模式得到了越來越廣泛的關注。云計算是對網(wǎng)絡、互聯(lián)網(wǎng)的一種比喻，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴展且經(jīng)常是虛擬化的資源。在云計算中，用戶通過進入可配置的計算資源共享池，只需投入很少的管理，或與服務供應商進行很少的交互，即可作為終端用戶享受便捷的按需網(wǎng)絡訪問，具體涵蓋網(wǎng)絡、服務器、存儲、應用軟件、服務等云資源。目前，IBM、Google、Microsoft等著名IT廠商均在大力研究和推廣云計算的應用。但由于安全授權機制、公鑰證書體系等新興的鑒權技術并不能在開放的云計算中加以高效運用，因此，可信性問題成為了束縛推廣云計算應用的短板，由此展開的研究也成為了當前學術界的熱點問題。

根據(jù)ITU－T推薦標準X.509規(guī)范，當實體A假設實體B能夠嚴格按照A所期望的那樣行動，則A信任B。信任作為一個主觀概念，其信任程度既決定于客體的行為，又受主體對客體行為所作反映的影響。目前，信任評估模型傾向于采用概率論或模糊數(shù)學理論來度量信任，但這并不能很好地刻畫信任的主觀特性，為此，諸多學者通過新興理論對主觀信任這一抽象概念進行擬合。基于普適環(huán)境的動態(tài)信任模型(Pervasive Trust Management model，PTM)［1］是歐洲安全普適計算項目中基于D－S證據(jù)理論的一種信任評估方法，但其信任度的計算公式并無迭代，且對信任評估是收斂的。Jameel等［2］將向量機制引入信任評估模型，將時間因素、歷史因素和可靠性程度納入了計算公式，但其無法抵抗實體間的聯(lián)合欺騙。Sun等［3］將熵理論引入信任評估模型，表現(xiàn)出了信任的不確定性，同時也能與云計算應用相匹配，但其多層級信任鏈的運算方式計算功耗過大。Josang提出的主觀邏輯(Subjective Logic)［4］，通過事實空間和觀念空間的雙重概念描述信任，較好地刻畫了信任的主觀性和具體的信任度。本文基于主觀邏輯的方法，將其應用于云計算下的信任評估，為解決云計算下網(wǎng)絡交互節(jié)點的可信性問題提供了有效方法。

1 主觀邏輯信任表達

1.1 事實空間和觀念空間

事實空間是一種建立在二項事件(binary event)后驗概率思想下的評估模型，其概率密度可以用beta概率密度函數(shù)beta(α，β)來描述，并以此計算網(wǎng)絡節(jié)點產(chǎn)生某個事件的概率的可信度。用r和s分別表示肯定事件數(shù)和否定事件數(shù)，a表示基率，那么α和β滿足:

由式(2)可以計算原子態(tài)的觀念期望值E，從而更精確地描述不確定值對期望值的貢獻程度。圖1為信任觀念ω=(0.2，0.5，0.3，0.7)在信任觀念三角形中的表示。

圖1 信任觀念三角形

在信任觀念三角形中，基率點與ux軸頂點的連線為指導線(Director)。可以看到，該指導線平行于ωx點與期望值E點的連線。

1.2 信任傳遞與信任合并

在信任評估模型中，通常存在直接信任(direct trust)和推薦信任(recommend trust)兩種形式。直接信任，是指實體A可以認證實體B的身份，并信任實體B的各類屬性信息。推薦信任是指實體A信任實體B具有向A推薦另一實體C的能力，是一種經(jīng)由第三方的推薦而建立的信任關系。

信任的傳遞與合并，是信任評估過程中的基本運算。對于節(jié)點較多的信任網(wǎng)絡，需通過信任的串、并聯(lián)關系進行復雜的計算［5］，甚至還需處理更為復雜的非獨立信任混聯(lián)傳遞的情況。Josang提出的主觀邏輯的方法信任衰減程度低，并具有魯棒性，可以很好地仿真動態(tài)信任。因此，本文通過主觀邏輯的方法對云計算下的信任傳遞進行評估。

2 信任云

2.1 云模型與信任云

云模型通過把定性概念的模糊性和隨機性結合到一起，構成可信性和信任度相互間的映射，從而表示信任關系中存在的不確定現(xiàn)象。

信任云是以一維正態(tài)云形式描述的實體之間信任關系的一種云模型，其整體特性可以通過三個特征參數(shù)反映，包括期望Ex(expected value)、熵En(entropy)和超熵He(hyper entropy)。期望值Ex是論域的中心值，最能代表信任云定性概念。熵En反映了能夠代表信任云的云滴的離散程度。超熵He，反映了數(shù)域空間所有點的不確定度的凝聚性，一般情況下，He對信任云的影響力沒有前兩個參數(shù)直觀。信任云可形式化表示為:TC ( Ex，En，He)，其中，三個特征參數(shù)的取值范圍均為［0，1］。

2.2 云生成器

通過軟件或硬件實現(xiàn)云生成的算法，稱為云生成器(cloud generator，CG)。正向云生成器(forward cloud generator)和逆向云生成器(backward cloud generator)是云模型中兩個最重要的算法。

正向云生成器在已知三個特征參數(shù)的情況下，用來生成所需數(shù)量的云滴，實現(xiàn)概念從定性到定量的映射。正向云生成器工作原理如圖2所示。

圖2 正向云生成器工作原理

逆向云生成器用以實現(xiàn)定量數(shù)值到定性特征的提取，也就是基于統(tǒng)計學原理將一定數(shù)量的數(shù)據(jù)還原為三個特征參數(shù)。本文采用的一維逆向云生成算法具體步驟如下:

(1)根據(jù)樣本數(shù)據(jù)xi，計算均值，樣本方差S2和一階樣本絕對中心距B。

(2)經(jīng)計算可得:

該算法的合理性在文獻［6］中已予證明，本文不再贅述。

3 基于主觀邏輯的云信任評估模型設計

3.1 云信任串聯(lián)傳遞

信任信息依靠信任網(wǎng)絡進行傳遞，實體間的信任傳遞主要表現(xiàn)為對推薦信息的傳遞和采納。在一個完整的信任模型中，授信實體在對其它實體進行信任評估時，往往需要收集多個推薦實體的推薦信息，因此，信任評估必須支持信任信息的串聯(lián)傳遞與并聯(lián)合意。這一特性與電路中電流的串并聯(lián)計算有所相似，區(qū)別在于節(jié)點實體的信任評估并非簡單的加減計算，而需進行較為復雜的運算才能實現(xiàn)更好的數(shù)據(jù)擬合。

實體A接受實體B的推薦，建立對實體X的信任，其串聯(lián)信任傳遞的過程如圖3所示。

圖3 信任串聯(lián)傳遞

定義3 設⊕為m個連續(xù)實體的云信任串聯(lián)傳遞運算符，那么目標實體M的信任評估值為:

式(6)中，三個信任云特征參數(shù)滿足:

需要指出的是，推薦信任需建立在直接信任的基礎上，因此，在計算實體推薦信任時，模型預先判斷兩個交互實體之間是否已建立直接信任關系，若兩者不存在直接信任，則該實體無法相信另一實體的推薦能力，這也是一種防范惡意欺騙的安全性措施。理論上，信任信息可以通過任意長度的信任鏈進行傳播，但實際應用中，信任信息會隨信任鏈的增長而衰減，并且，隨著推薦實體數(shù)量的增多，所獲取的信息也越來越不確定。在上述信任信息傳遞公式中，代表信任中心值的信任云期望值隨著信任路徑的增加而減少，度量信任不確定性屬性的熵和超熵也隨著信任路徑中推薦實體數(shù)量的增加而減少，因此上述算法體現(xiàn)了推薦信息隨著信任鏈的增長而出現(xiàn)信任值衰減、不確定性增加的特點。

3.2 云信任并聯(lián)合意

當授信實體從多條平行路徑獲得信任推薦時，需要將這些信任推薦進行并聯(lián)合意計算，從而聚合不同實體對同一實體的信任觀念。實體A接受實體B和C的推薦，建立對實體X的信任，其并聯(lián)信任合意的過程如圖4所示。

圖4 信任并聯(lián)合意

一般認為，信任路徑合并后，所得信任信息的可信度應大于單個或者部分推薦信任的信任信息。類似于集體決策的過程，由于參考了多個對目標實體有直接信任關系的實體的推薦，所以信任路徑合意后的信任關系的不確定性不會隨著推薦路徑數(shù)量的增加而增加。

定義4 設?為m個平行實體的云信任并聯(lián)合意運算符，那么目標實體M的信任評估值為:

式中，三個信任云特征參數(shù)滿足:

3.3 從觀念空間到信任云的映射

在觀念空間中，信任觀念ω由 ( b ，d，u，a)來表示。在事實空間中，可以通過觀察實體產(chǎn)生的一系列肯定事件r和否定事件s評估信任。兩個空間滿足如下關系:

公式(10)將觀念空間與事實空間進行了統(tǒng)一，進而可以將信任關系帶入云模型的理論范疇。

在評估模型設計上，首先，把信任觀念ωAx作為輸入，通過計算出肯定事件r和否定事件s的數(shù)值，可以得到其beta概率密度函數(shù);隨后，通過逆向云生成器，獲得信任云的三個數(shù)字特征參數(shù);最后，把三個特征參數(shù)作為輸入值，通過正向云生成器即可描繪出信任云圖形，實現(xiàn)信任由量到性的轉(zhuǎn)換。圖5顯示了信任觀念 ω = (0.7，0.2，0.1，a)的信任云描述。

圖5 信任觀念的信任云描述

3.4 基于主觀邏輯的云模型信任等級評估

在傳統(tǒng)的云模型中，通常采用固定的離散標度D［1，0.75，0.5，0.25，0］，將主觀信任劃分為5級，但這種信任評估是固定的，對于不同可信程度的推薦者均采用同樣的評估標準。在信任觀念三角形中，可以根據(jù)指導線，建立對二維信任觀念ωx的信任等級評估?；谥饔^邏輯的信任觀念等級評估表如表1所示。

表1 信任觀念等級評估表

由于指導線的構成與基率函數(shù)ax相關，而不同推薦者的基率函數(shù)有著不同取值，因此，基于主觀邏輯的云信任等級評估是動態(tài)的，并具有一定的主觀性，這也更好地反映了現(xiàn)實中的信任關系。圖6為信任等級評估在a=1/3和a=2/3時的觀念三角形表示。

圖6 觀念三角形信任等級評估

圖6中，橫向座標標度從1到9，代表描述似然程度，縱向度座標標度從A到E，代表確定性程度。由圖6可直觀地判斷出，確定性程度越高，期望值越大，則該信任觀念越可信。

4 實驗仿真及結果分析

本文仿真的軟硬件環(huán)境為:CPUP4 2.93GHz，內(nèi)存2G，操作系統(tǒng)Microsoft Windows XP SP3，Java開發(fā)環(huán)境為IBM My Eclipse 5.5.1 GA。

實驗一預設總節(jié)點數(shù)為20的主觀信任網(wǎng)絡。網(wǎng)絡節(jié)點數(shù)初始值為5，通過陸續(xù)增加節(jié)點數(shù)目，觀察成功建立最優(yōu)信任路徑的系統(tǒng)用時。實驗將Josang提出的基于主觀邏輯的信任評估方法，與本文提出的基于主觀邏輯的云信任評估方法在時間效率上加以比較。

圖7 本文模型與Josang模型的時間效率比較

由圖7可知，兩種信任評估方法在成功建立最優(yōu)信任路徑的時間效率上，同樣在每增加5個節(jié)點時，大約增長1個指數(shù)級。Josang模型在10個節(jié)點以下的信任網(wǎng)絡中，由于運算量相對較低而在用時上稍低于本文模型，但在節(jié)點數(shù)量超過10的情形中，本文算法表現(xiàn)出更好的時間效率。此外，在節(jié)點數(shù)為20的條件下，算法時效可以在“秒”級完成運算，因此，后續(xù)實驗預設節(jié)點數(shù)為20。

實驗二預設總節(jié)點數(shù)為20的主觀信任網(wǎng)絡。首先，判定各節(jié)點的信任評估等級。然后，將似然評級高于3、確定性評級高于B的節(jié)點劃分為表現(xiàn)優(yōu)秀的Ⅰ類節(jié)點;將確定性評估低于D的節(jié)點劃分為觀念模糊的Ⅱ類節(jié)點;將似然評級低于8的節(jié)點劃分為帶有惡意的Ⅲ類節(jié)點。實驗通過觀察三類節(jié)點的信任評估隨交互次數(shù)增加的表現(xiàn)。圖8中，橫軸為信任網(wǎng)絡的交互次數(shù)，縱軸為某類節(jié)點被選中為最優(yōu)路徑節(jié)點的占用比(optimal path rate，OPR)。實驗設置各類節(jié)點的OPR初值均0.2。

圖8 三類節(jié)點隨交互次數(shù)增加的最優(yōu)路徑節(jié)點占用比

隨著交互次數(shù)的增加，Ⅰ類節(jié)點OPR曲線隨著交互次數(shù)的增多逐漸上升。Ⅱ類節(jié)點的OPR曲線有微小的起伏，這是因為Ⅱ類節(jié)點的觀念模糊性較大，信任評估時表現(xiàn)出了一定的猶豫性，但曲線總體走向上還是下降的。Ⅲ類節(jié)點的OPR曲線下降很快，并在最優(yōu)路徑的選擇中逐漸被棄用?？梢钥闯觯Ｐ秃芎玫胤从沉巳惞?jié)點實體的最優(yōu)路徑使用率隨交互次數(shù)的變化而變化，符合預期分析。

由于信任具有明顯的主觀特性，因此，信任關系中包含了大量不確定性信息。信任云的三維特征可以很好地描述信任的不確定性。同時，不同于傳統(tǒng)的經(jīng)典概率論、模糊理論等諸多模型，基于主觀邏輯的信任評估方法能夠很好地在云計算中加以運用。未來的研究可以在多維主觀信任向量空間和多維云計算中加以拓展。

［1］ A.Marin，D.Diaz，J.Sanchez.Developing a model for trust management in pervasive devices［C］//.Proceedings of the 3rd IEEE International Workshop on Pervasive Computing and Communication Security，2006:271－276.

［2］ H.Jameel，L.Hung，U.Kalim.A trust model for ubiquitous systems based on vectors of trust values［C］//.Proceedings of the 7th IEEE International Symposium Multimedia，2005:674－679.

［3］ Y.Sun，W.Yu，Z.Han.Information theoretic framework of trust modeling and evaluation for ad hoc networks［J］.IEEE Journal on Selected Areas in Communications，Selected Areas in Communications，2006，249(2):305－319.

［4］ A.Josang.Subjective logic［D］.Oslo:University of Oslo，2012.

［5］ 李鵬，張昌宏，周立兵.基于主觀邏輯的PKI信任評估模型［J］.計算機工程，2012，38(1):10－12.

［6］ 劉常顯，馮芒，戴曉軍等.基于云X信息的逆向云新算法［J］.系統(tǒng)仿真學報，2004，16(11):2417－2421.