邵旻暉， 張琳

(上海海事大學(xué) 信息工程學(xué)院， 上海 201306)

0 引言

云計(jì)算通過(guò)將各種互聯(lián)的計(jì)算資源進(jìn)行有效整合并實(shí)現(xiàn)多層次的虛擬化與抽象，以可靠服務(wù)的形式提供給用戶(hù)，依靠低成本、超大規(guī)模、高可擴(kuò)展性等獨(dú)特優(yōu)勢(shì)引發(fā)了IT產(chǎn)業(yè)界的技術(shù)革命[1]。盡管云計(jì)算正在越來(lái)越受歡迎，但日漸增加的云計(jì)算安全問(wèn)題已經(jīng)成為云計(jì)算推廣與發(fā)展的重要阻礙。

云計(jì)算環(huán)境中包含兩類(lèi)主體和兩類(lèi)客體，分別是云服務(wù)提供商、云租戶(hù)、云端數(shù)據(jù)、云基礎(chǔ)設(shè)施，它們之間不僅存在著服務(wù)與被服務(wù)關(guān)系、支撐與被支撐關(guān)系，還存在著復(fù)雜的攻擊與被攻擊關(guān)系[2]。云安全需要研究的問(wèn)題主要集中在3個(gè)方面：信任問(wèn)題(Trust)，網(wǎng)絡(luò)與系統(tǒng)安全問(wèn)題(Security)，隱私保護(hù)問(wèn)題(Privacy)[3]。首先，云計(jì)算中普遍存在數(shù)據(jù)安全性與隱私性的憂(yōu)慮；其次，云計(jì)算用戶(hù)需求和云計(jì)算提供商的服務(wù)模式出現(xiàn)了明顯的信任危機(jī)[1]。信任問(wèn)題包括信任建模和可信管理問(wèn)題，是云計(jì)算模式中保障節(jié)點(diǎn)間安全交互的基礎(chǔ)[4]。未來(lái)云安全的焦點(diǎn)會(huì)進(jìn)一步轉(zhuǎn)移到信任管理上來(lái)，傳統(tǒng)的信息安全將會(huì)進(jìn)一步發(fā)展為服務(wù)方和被服務(wù)方之間的信任和信任管理問(wèn)題。

現(xiàn)實(shí)社會(huì)中，常采用信任協(xié)商與評(píng)價(jià)機(jī)制來(lái)解決信任問(wèn)題。在云計(jì)算中，增強(qiáng)用戶(hù)和服務(wù)商之間的相互信任成為云安全中需要迫切解決的問(wèn)題。針對(duì)這一問(wèn)題，國(guó)內(nèi)外學(xué)者對(duì)云計(jì)算的信任評(píng)估做了大量的研究，建立了許多有效的信任模型。文獻(xiàn)[6]提出了一種基于D-S證據(jù)理論和滑動(dòng)窗口的云計(jì)算信任模型；文獻(xiàn)[8]提出了一種云計(jì)算環(huán)境下多維信任和信譽(yù)度計(jì)算模型；文獻(xiàn)[10]提出了一種結(jié)合云模型和貝葉斯網(wǎng)絡(luò)的不確定信任模。本文針對(duì)現(xiàn)存的云計(jì)算安全問(wèn)題，描述了信任在云計(jì)算安全領(lǐng)域的具體應(yīng)用，并分析了參考文獻(xiàn)中各信任模型的優(yōu)缺點(diǎn)。

1 信任和信任管理

1.1 信任的定義和性質(zhì)

信任是一個(gè)多學(xué)科的概念，在計(jì)算機(jī)領(lǐng)域中，最早關(guān)于信任的定義是由D.Gambetta給出的信任定義：信任(或與之相對(duì)應(yīng)的，即不信任)是指一個(gè)Agent執(zhí)行某一特定行為的主觀可能性的特定層次，它出現(xiàn)在行為被監(jiān)控前(與Agent原本能否監(jiān)控這一行為無(wú)關(guān))，并且該行為對(duì)其自身行為產(chǎn)生影響的情況下進(jìn)行[5]。

根據(jù)以上定義，得知信任具有以下性質(zhì):(1) 主觀性：不同用戶(hù)對(duì)同一服務(wù)的評(píng)價(jià)因主觀喜好的不同而不同。(2) 上下文相關(guān)性：任與上下文環(huán)境緊密相關(guān)，信任值是針對(duì)特定的上下文環(huán)境而言的。(3) 動(dòng)態(tài)性：實(shí)體之間的信任會(huì)隨著時(shí)間、交互次數(shù)等不斷變化而變化，每一次交互都會(huì)影響它們之間的信任關(guān)系。(4) 可度量性：信任可以根據(jù)一些外在特征加以量化和度量，其結(jié)果的精確程度與信任評(píng)估的方法有直接關(guān)系。(5) 傳遞性：在一定條件的約束下，信任是可傳遞的，通常信任會(huì)隨著傳遞鏈路的增長(zhǎng)而衰減。

根據(jù)獲取方式的不同，信任可分為直接信任和推薦信任。直接信任是用戶(hù)實(shí)體與服務(wù)供應(yīng)實(shí)體之間，通過(guò)直接的服務(wù)交互建立的一種信任關(guān)系；推薦信任是用戶(hù)實(shí)體根據(jù)其他用戶(hù)實(shí)體的推薦，與服務(wù)供應(yīng)實(shí)體之間建立的一種信任關(guān)系[5]。

1.2 信任管理

信任管理是信任的延伸，根據(jù)主體之間信任關(guān)系描述和獲取方法，信任管理分為基于策略的信任管理和基于聲譽(yù)的信任管理。基于策略的信任管理適用于大規(guī)模分布式計(jì)算系統(tǒng)中的授權(quán)和訪(fǎng)問(wèn)控制，可以保護(hù)敏感資源或服務(wù)，但不能為請(qǐng)求者提供安全保護(hù)?；诼曌u(yù)的信任管理主要用于隔離惡意的服務(wù)或服務(wù)提供者，能保證請(qǐng)求者的安全，但不適合保護(hù)敏感服務(wù)。

信任管理涉及的關(guān)鍵技術(shù)主要有信任表述、信任度量和信任度評(píng)估等。當(dāng)前的信任評(píng)估模型中，出現(xiàn)了多種信任值表示方法。比較常見(jiàn)的有以下五種方法:(1) 離散值表示實(shí)體的信任值；(2) 取值在[0，1]之間的概率值表示信任值；(3) 模糊理論中的特征向量和隸屬度等概念定量化描述實(shí)體的信任值；(4) 基于灰色系統(tǒng)理論用灰關(guān)聯(lián)度描述實(shí)體間的信任關(guān)系；(5) 根據(jù)信任關(guān)系及其描述方式的特點(diǎn)，用云模型表述信任值。根據(jù)信任的主觀性特征，實(shí)體之間可以依據(jù)歷史交往經(jīng)驗(yàn)建立信任關(guān)系，通過(guò)信任評(píng)估技術(shù)可以對(duì)實(shí)體之間的信任值進(jìn)行評(píng)估。

2 信任模型

2.1 基于概率的信任模型

此類(lèi)模型的基本思想是: 實(shí)體間歷史交往經(jīng)驗(yàn)中成功與失敗的活動(dòng)次數(shù)符合某種概率統(tǒng)計(jì)規(guī)律，根據(jù)這種規(guī)律構(gòu)建實(shí)體間的信任關(guān)系模型，典型代表為Beth模型。Beth 模型將實(shí)體間歷史交往經(jīng)驗(yàn)分為肯定經(jīng)驗(yàn)和否定經(jīng)驗(yàn)，根據(jù)信任是否由經(jīng)驗(yàn)推薦將信任分為直接信任和推薦信任，并給出了信任度推導(dǎo)和綜合計(jì)算公式，計(jì)算實(shí)體能夠完成任務(wù)的概率，此概率即為實(shí)體的信任度。

文獻(xiàn)[6]提出了一種基于D-S證據(jù)理論和滑動(dòng)窗口的云計(jì)算信任模型，用于評(píng)估實(shí)體的可信度，并檢測(cè)出用于云計(jì)算的惡意實(shí)體[6]。模型中，實(shí)體之間的交互證據(jù)作為第一手證據(jù)，利用滑動(dòng)窗口評(píng)估交互證據(jù)的及時(shí)性，根據(jù)基于D-S證據(jù)理論的交互證據(jù)計(jì)算實(shí)體的直接信任。來(lái)自不同實(shí)體的推薦信任值被視為二手證據(jù)，推薦信任作為二手證據(jù)的沖突被通過(guò)改進(jìn)的融合方法盡可能地消除。最后，通過(guò)實(shí)驗(yàn)驗(yàn)證了該模型的有效性和抗攻擊性。

隨著時(shí)間的推移，交互證據(jù)會(huì)不斷增加。但是，證據(jù)信息的重要性會(huì)隨時(shí)間而衰減，并且消極證據(jù)的重要性比積極證據(jù)的衰減更慢。為了合理評(píng)價(jià)基于證據(jù)信息的實(shí)體信任，采用滑動(dòng)窗口描述證據(jù)信息的時(shí)效性。引入滑動(dòng)窗口后，僅在窗口內(nèi)的交互證據(jù)是有效的，只有有效的交互證據(jù)會(huì)影響實(shí)體的信任度。這樣，實(shí)體間的信任度就不會(huì)因過(guò)度的交互證據(jù)而增加或減少。該模型利用D-S證據(jù)理論計(jì)算實(shí)體之間的直接信任，因?yàn)镈-S證據(jù)理論可以用概率范圍表達(dá)實(shí)際問(wèn)題的不確定性。在信任網(wǎng)絡(luò)中，存在來(lái)自不同實(shí)體的多個(gè)推薦信息，如果建議之間存在嚴(yán)重沖突，結(jié)論可能與證據(jù)不一致。參考關(guān)于沖突證據(jù)的融合方法，通過(guò)調(diào)整權(quán)重因子來(lái)控制過(guò)去相互作用的影響，計(jì)算每一個(gè)建議的權(quán)重。最后，所有推薦信任的組合形成實(shí)體的聲譽(yù)，根據(jù)Dempster法則計(jì)算。

該模型的優(yōu)點(diǎn)是: (1) 執(zhí)行簡(jiǎn)單，如果系統(tǒng)中有n個(gè)云服務(wù)商和m個(gè)云用戶(hù)，算法的時(shí)間復(fù)雜度為O(n×m)。(2) 在滑動(dòng)窗口機(jī)制中，交互被劃分為有效交互和無(wú)效交互。只有有效交互才能影響實(shí)體的信任度，從而反映了交互的及時(shí)性。(3) 基于D-S證據(jù)理論，實(shí)體的信任度根據(jù)實(shí)體的行為動(dòng)態(tài)變化，同時(shí)評(píng)估云服務(wù)商和云用戶(hù)的信任。(4) 該模型可以在一定程度上幫助系統(tǒng)識(shí)別惡意實(shí)體，提高成功的交互率。增強(qiáng)了系統(tǒng)的抗攻擊性。

該模型的不足是: (1) 基于概率的信任評(píng)估模型將信任完全建立在精確的數(shù)學(xué)模型之上，將信任的模糊性等同于隨機(jī)性，不能很好地反映信任的本質(zhì)。(2) 僅采用肯定經(jīng)驗(yàn)度量信任關(guān)系，采用簡(jiǎn)單的算術(shù)平均綜合多個(gè)推薦信任，無(wú)法很好地消除惡意推薦所帶來(lái)的影響。(3) 對(duì)直接信任的定義比較嚴(yán)格,但模型中僅采用肯定經(jīng)驗(yàn)對(duì)信任關(guān)系進(jìn)行度量,過(guò)于片面,不能完整刻畫(huà)實(shí)際信任關(guān)系[6]。

2.2 基于信譽(yù)的信任模型

基于信譽(yù)的信任模型認(rèn)為，信任是主體對(duì)客體特定行為的主觀可能性預(yù)期，取決于經(jīng)驗(yàn)并隨著客體行為的結(jié)果變化而不斷修正。在基于信譽(yù)的信任模型中，實(shí)體之間的信任關(guān)系分為直接信任關(guān)系和推薦信任關(guān)系，分別用于描述主體與客體、主體與客體經(jīng)驗(yàn)推薦者之間的信任關(guān)系[7]。

文獻(xiàn)[8]提出了一種云計(jì)算環(huán)境下多維信任和信譽(yù)度計(jì)算模型[8]。在云計(jì)算環(huán)境中，信任包含多個(gè)因素，如風(fēng)險(xiǎn)、聲譽(yù)、行為、動(dòng)機(jī)、可用性等。文獻(xiàn)中主要考慮兩方面的信任和聲譽(yù)云服務(wù)。第一方面，云數(shù)據(jù)的信譽(yù)包含不同的參數(shù)，如數(shù)據(jù)處理、數(shù)據(jù)保密、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸和數(shù)據(jù)安全。第二方面，云服務(wù)的聲譽(yù)取決于服務(wù)的可用性、可靠性、周轉(zhuǎn)時(shí)間和服務(wù)使用因素。文獻(xiàn)中提出了一個(gè)基于信息融合理論的自適應(yīng)權(quán)重分配算法，每個(gè)因子有一定的權(quán)重，由WMA-OWA的組合算法進(jìn)行動(dòng)態(tài)分配。最后整合所有的信任和聲譽(yù)因素來(lái)評(píng)價(jià)整體的信任和信譽(yù)值。

計(jì)算云服務(wù)的聲譽(yù)采用以下步驟：(1) 分別計(jì)算數(shù)據(jù)處理因子、數(shù)據(jù)傳輸因子、數(shù)據(jù)隱私因子和數(shù)據(jù)安全系數(shù)。(2) 為每個(gè)數(shù)據(jù)因子使用WMA-OWA組合算法的權(quán)重分配。(3) 結(jié)合所有的數(shù)據(jù)因素，計(jì)算數(shù)據(jù)信任值。(4) 分別計(jì)算服務(wù)可用性因子、服務(wù)可靠性因子、服務(wù)周轉(zhuǎn)時(shí)間和服務(wù)使用因子。(5) 使用WMA-OWA組合算法對(duì)每個(gè)聲譽(yù)因素進(jìn)行權(quán)重分配。(6) 結(jié)合所有聲譽(yù)因子。(7) 得到服務(wù)的數(shù)據(jù)信任值和信譽(yù)度。最后把這兩個(gè)值結(jié)合起來(lái)，得到了總的信任值。

該模型的優(yōu)點(diǎn)是: (1) 云數(shù)據(jù)信任引入了五個(gè)信任因子，云服務(wù)的聲譽(yù)引進(jìn)了四個(gè)信任因子，WMA-OWA組合算法可以動(dòng)態(tài)分配上述參數(shù)的權(quán)重，能比較全面的計(jì)算準(zhǔn)確可靠的信任值。(2) 多維信任體系可以客觀的描述出云服務(wù)的可信程度，支持個(gè)性化服務(wù)提供，防止惡意評(píng)價(jià)、隨意評(píng)價(jià)等攻擊問(wèn)題。(3) 該模型是一個(gè)自適應(yīng)系統(tǒng)，可以讓服務(wù)提供者提供更高期望的服務(wù)和更安全的方式，達(dá)到足夠的信任閾值，從而滿(mǎn)足云服務(wù)提供者和用戶(hù)之間的信任關(guān)系。

該模型的不足是: (1) 在現(xiàn)實(shí)應(yīng)用中，信任值往往只包括其中幾維的數(shù)據(jù)，而且每個(gè)用戶(hù)側(cè)重的數(shù)據(jù)維度是不同的。在某些維度缺失的情況下如何進(jìn)行信譽(yù)度計(jì)算是需要考慮的。(2) 用WMA-OWA組合算法動(dòng)態(tài)分配權(quán)重，雖有利于提高安全性，但這也增加了信譽(yù)管理復(fù)雜性，需要較高的計(jì)算效率與更高的時(shí)空成本。(3) 在進(jìn)行信譽(yù)度計(jì)算時(shí)，信任數(shù)據(jù)僅用于選擇服務(wù)提供者。

2.3 基于云模型的信任模型

云模型理論是在對(duì)概率理論和模糊集合理論進(jìn)行交叉滲透的基礎(chǔ)上，通過(guò)特定的構(gòu)造函數(shù)形成定性概念和定量描述之間的轉(zhuǎn)換模型。經(jīng)典的信任模型分別基于概率論或模糊集理論，分別具有隨機(jī)性或模糊性，而云模型是一個(gè)很好的解決不確定性問(wèn)題的方法。信任云是一種特殊的云模型，它根據(jù)信任關(guān)系及其描述方式的特點(diǎn)，把對(duì)信任的表達(dá)用云模型的方式反映出來(lái)，表現(xiàn)為一個(gè)三元組(Ex，En，He)[9]。其中Ex是信任期望，作為基本信任度；En是信任熵，代表信任關(guān)系的不確定度；He是信任超熵，代表信任熵的不確定度。

雖然云模型很適合表示信任度，但是對(duì)于上下文感知的信任評(píng)估和動(dòng)態(tài)更新是無(wú)效的。相比之下，貝葉斯網(wǎng)絡(luò)作為一種不確定推理工具，對(duì)動(dòng)態(tài)信任評(píng)估更有效。文獻(xiàn)[10]提出了一種結(jié)合云模型和貝葉斯網(wǎng)絡(luò)的不確定信任模型[10]。

文獻(xiàn)中用云來(lái)表示主觀信任，稱(chēng)為信任云。一個(gè)服務(wù)實(shí)體的總體信任用一個(gè)元組T(Ex，En，He)來(lái)表示。在評(píng)級(jí)系統(tǒng)中，每一級(jí)代表滿(mǎn)意的程度，第一級(jí)是“非常不滿(mǎn)意”，最后一級(jí)是“非常滿(mǎn)意”。使用貝葉斯網(wǎng)絡(luò)計(jì)算前，需要所有云滴結(jié)合上下文信息作為證據(jù)，云滴的期望是Ex，采用了時(shí)間衰減機(jī)制使新的評(píng)級(jí)影響更強(qiáng)?，F(xiàn)有的基于云模型的信任模型都沒(méi)有明確地考慮上下文信息，主要原因是要將上下文信息集成到云中并不容易。貝葉斯網(wǎng)絡(luò)可以用來(lái)集成上下文信息的信任評(píng)估，以提高準(zhǔn)確性。信任云與貝葉斯網(wǎng)絡(luò)結(jié)合起來(lái)可以形成上下文感知的信任模型。事實(shí)上，信任度的確定程度可以代表信任值的變化，因?yàn)閷?shí)體改變行為越多，當(dāng)前評(píng)價(jià)值與信任期望值之間的差異越大。文獻(xiàn)中將衰減系數(shù)設(shè)為貝葉斯網(wǎng)絡(luò)所取的最新評(píng)級(jí)的確定程度，計(jì)算數(shù)字特征(Ex，En，He)和每個(gè)等級(jí)的確定度。對(duì)于每一個(gè)評(píng)分者，其可靠性可以由其所有評(píng)分的平均確定度來(lái)估計(jì)，平均確定度越大，評(píng)分者越可靠。用信任云作為決策的標(biāo)準(zhǔn)，顯然，信任度高、不確定性低的實(shí)體更可信。

該模型的優(yōu)點(diǎn)是：(1) 信任的不確定性是使用不確定推理的合理理論來(lái)明確表示和評(píng)估的，即使實(shí)體的行為發(fā)生動(dòng)態(tài)變化，評(píng)估也會(huì)更加準(zhǔn)確。(2) 上下文信息被明確地集成到信任評(píng)估中，使得服務(wù)提供者的選擇是上下文工具。(3) 信任云模型與貝葉斯網(wǎng)絡(luò)結(jié)合實(shí)現(xiàn)了對(duì)信任概念的完整描述，能夠?qū)⒅黧w主觀信任的模糊性、隨機(jī)性和不確定性有機(jī)結(jié)合起來(lái)，獲取的信任信息包含更多的語(yǔ)意內(nèi)容，增加了信任相關(guān)決策的依據(jù)[9]。

該模型的不足是：(1) 文獻(xiàn)中針對(duì)不法分子的攻擊行為沒(méi)有提出相應(yīng)的懲罰機(jī)制，沒(méi)有起到對(duì)攻擊行為的抑制作用。(2) 針對(duì)用戶(hù)偏好屬性權(quán)重算法的設(shè)計(jì)具有較強(qiáng)的主觀性，沒(méi)有設(shè)置相應(yīng)的控制因子以確保算法的穩(wěn)定性。(3) 有許多實(shí)驗(yàn)條件都是在理想狀態(tài)下，不公平的評(píng)價(jià)過(guò)濾和信任聚合在文中未較好討論。

3 總結(jié)

隨著云計(jì)算的迅速發(fā)展，云服務(wù)改變了人們的生活，人們享受著“云”帶來(lái)的便捷。云計(jì)算的核心模式是服務(wù)，服務(wù)的前提是用戶(hù)和服務(wù)提供方建立信任。信任本身存在著不確定性，所以在信任模型的構(gòu)建中，信任的描述是關(guān)鍵也是最困難的。本文對(duì)信任管理和信任評(píng)估技術(shù)的研究現(xiàn)狀進(jìn)行了分析和總結(jié)，分析了三種基于不同方法的信任模型，指出了它們的優(yōu)勢(shì)與不足，希望讓讀者對(duì)云計(jì)算安全問(wèn)題有所認(rèn)識(shí)。