邵旻暉， 張琳

(上海海事大學(xué) 信息工程學(xué)院， 上海 201306)

0 引言

云計算通過將各種互聯(lián)的計算資源進行有效整合并實現(xiàn)多層次的虛擬化與抽象，以可靠服務(wù)的形式提供給用戶，依靠低成本、超大規(guī)模、高可擴展性等獨特優(yōu)勢引發(fā)了IT產(chǎn)業(yè)界的技術(shù)革命[1]。盡管云計算正在越來越受歡迎，但日漸增加的云計算安全問題已經(jīng)成為云計算推廣與發(fā)展的重要阻礙。

云計算環(huán)境中包含兩類主體和兩類客體，分別是云服務(wù)提供商、云租戶、云端數(shù)據(jù)、云基礎(chǔ)設(shè)施，它們之間不僅存在著服務(wù)與被服務(wù)關(guān)系、支撐與被支撐關(guān)系，還存在著復(fù)雜的攻擊與被攻擊關(guān)系[2]。云安全需要研究的問題主要集中在3個方面：信任問題(Trust)，網(wǎng)絡(luò)與系統(tǒng)安全問題(Security)，隱私保護問題(Privacy)[3]。首先，云計算中普遍存在數(shù)據(jù)安全性與隱私性的憂慮；其次，云計算用戶需求和云計算提供商的服務(wù)模式出現(xiàn)了明顯的信任危機[1]。信任問題包括信任建模和可信管理問題，是云計算模式中保障節(jié)點間安全交互的基礎(chǔ)[4]。未來云安全的焦點會進一步轉(zhuǎn)移到信任管理上來，傳統(tǒng)的信息安全將會進一步發(fā)展為服務(wù)方和被服務(wù)方之間的信任和信任管理問題。

現(xiàn)實社會中，常采用信任協(xié)商與評價機制來解決信任問題。在云計算中，增強用戶和服務(wù)商之間的相互信任成為云安全中需要迫切解決的問題。針對這一問題，國內(nèi)外學(xué)者對云計算的信任評估做了大量的研究，建立了許多有效的信任模型。文獻[6]提出了一種基于D-S證據(jù)理論和滑動窗口的云計算信任模型；文獻[8]提出了一種云計算環(huán)境下多維信任和信譽度計算模型；文獻[10]提出了一種結(jié)合云模型和貝葉斯網(wǎng)絡(luò)的不確定信任模。本文針對現(xiàn)存的云計算安全問題，描述了信任在云計算安全領(lǐng)域的具體應(yīng)用，并分析了參考文獻中各信任模型的優(yōu)缺點。

1 信任和信任管理

1.1 信任的定義和性質(zhì)

信任是一個多學(xué)科的概念，在計算機領(lǐng)域中，最早關(guān)于信任的定義是由D.Gambetta給出的信任定義：信任(或與之相對應(yīng)的，即不信任)是指一個Agent執(zhí)行某一特定行為的主觀可能性的特定層次，它出現(xiàn)在行為被監(jiān)控前(與Agent原本能否監(jiān)控這一行為無關(guān))，并且該行為對其自身行為產(chǎn)生影響的情況下進行[5]。

根據(jù)以上定義，得知信任具有以下性質(zhì):(1) 主觀性：不同用戶對同一服務(wù)的評價因主觀喜好的不同而不同。(2) 上下文相關(guān)性：任與上下文環(huán)境緊密相關(guān)，信任值是針對特定的上下文環(huán)境而言的。(3) 動態(tài)性：實體之間的信任會隨著時間、交互次數(shù)等不斷變化而變化，每一次交互都會影響它們之間的信任關(guān)系。(4) 可度量性：信任可以根據(jù)一些外在特征加以量化和度量，其結(jié)果的精確程度與信任評估的方法有直接關(guān)系。(5) 傳遞性：在一定條件的約束下，信任是可傳遞的，通常信任會隨著傳遞鏈路的增長而衰減。

根據(jù)獲取方式的不同，信任可分為直接信任和推薦信任。直接信任是用戶實體與服務(wù)供應(yīng)實體之間，通過直接的服務(wù)交互建立的一種信任關(guān)系；推薦信任是用戶實體根據(jù)其他用戶實體的推薦，與服務(wù)供應(yīng)實體之間建立的一種信任關(guān)系[5]。

1.2 信任管理

信任管理是信任的延伸，根據(jù)主體之間信任關(guān)系描述和獲取方法，信任管理分為基于策略的信任管理和基于聲譽的信任管理?；诓呗缘男湃喂芾磉m用于大規(guī)模分布式計算系統(tǒng)中的授權(quán)和訪問控制，可以保護敏感資源或服務(wù)，但不能為請求者提供安全保護?；诼曌u的信任管理主要用于隔離惡意的服務(wù)或服務(wù)提供者，能保證請求者的安全，但不適合保護敏感服務(wù)。

信任管理涉及的關(guān)鍵技術(shù)主要有信任表述、信任度量和信任度評估等。當前的信任評估模型中，出現(xiàn)了多種信任值表示方法。比較常見的有以下五種方法:(1) 離散值表示實體的信任值；(2) 取值在[0，1]之間的概率值表示信任值；(3) 模糊理論中的特征向量和隸屬度等概念定量化描述實體的信任值；(4) 基于灰色系統(tǒng)理論用灰關(guān)聯(lián)度描述實體間的信任關(guān)系；(5) 根據(jù)信任關(guān)系及其描述方式的特點，用云模型表述信任值。根據(jù)信任的主觀性特征，實體之間可以依據(jù)歷史交往經(jīng)驗建立信任關(guān)系，通過信任評估技術(shù)可以對實體之間的信任值進行評估。

2 信任模型

2.1 基于概率的信任模型

此類模型的基本思想是: 實體間歷史交往經(jīng)驗中成功與失敗的活動次數(shù)符合某種概率統(tǒng)計規(guī)律，根據(jù)這種規(guī)律構(gòu)建實體間的信任關(guān)系模型，典型代表為Beth模型。Beth 模型將實體間歷史交往經(jīng)驗分為肯定經(jīng)驗和否定經(jīng)驗，根據(jù)信任是否由經(jīng)驗推薦將信任分為直接信任和推薦信任，并給出了信任度推導(dǎo)和綜合計算公式，計算實體能夠完成任務(wù)的概率，此概率即為實體的信任度。

文獻[6]提出了一種基于D-S證據(jù)理論和滑動窗口的云計算信任模型，用于評估實體的可信度，并檢測出用于云計算的惡意實體[6]。模型中，實體之間的交互證據(jù)作為第一手證據(jù)，利用滑動窗口評估交互證據(jù)的及時性，根據(jù)基于D-S證據(jù)理論的交互證據(jù)計算實體的直接信任。來自不同實體的推薦信任值被視為二手證據(jù)，推薦信任作為二手證據(jù)的沖突被通過改進的融合方法盡可能地消除。最后，通過實驗驗證了該模型的有效性和抗攻擊性。

隨著時間的推移，交互證據(jù)會不斷增加。但是，證據(jù)信息的重要性會隨時間而衰減，并且消極證據(jù)的重要性比積極證據(jù)的衰減更慢。為了合理評價基于證據(jù)信息的實體信任，采用滑動窗口描述證據(jù)信息的時效性。引入滑動窗口后，僅在窗口內(nèi)的交互證據(jù)是有效的，只有有效的交互證據(jù)會影響實體的信任度。這樣，實體間的信任度就不會因過度的交互證據(jù)而增加或減少。該模型利用D-S證據(jù)理論計算實體之間的直接信任，因為D-S證據(jù)理論可以用概率范圍表達實際問題的不確定性。在信任網(wǎng)絡(luò)中，存在來自不同實體的多個推薦信息，如果建議之間存在嚴重沖突，結(jié)論可能與證據(jù)不一致。參考關(guān)于沖突證據(jù)的融合方法，通過調(diào)整權(quán)重因子來控制過去相互作用的影響，計算每一個建議的權(quán)重。最后，所有推薦信任的組合形成實體的聲譽，根據(jù)Dempster法則計算。

該模型的優(yōu)點是: (1) 執(zhí)行簡單，如果系統(tǒng)中有n個云服務(wù)商和m個云用戶，算法的時間復(fù)雜度為O(n×m)。(2) 在滑動窗口機制中，交互被劃分為有效交互和無效交互。只有有效交互才能影響實體的信任度，從而反映了交互的及時性。(3) 基于D-S證據(jù)理論，實體的信任度根據(jù)實體的行為動態(tài)變化，同時評估云服務(wù)商和云用戶的信任。(4) 該模型可以在一定程度上幫助系統(tǒng)識別惡意實體，提高成功的交互率。增強了系統(tǒng)的抗攻擊性。

該模型的不足是: (1) 基于概率的信任評估模型將信任完全建立在精確的數(shù)學(xué)模型之上，將信任的模糊性等同于隨機性，不能很好地反映信任的本質(zhì)。(2) 僅采用肯定經(jīng)驗度量信任關(guān)系，采用簡單的算術(shù)平均綜合多個推薦信任，無法很好地消除惡意推薦所帶來的影響。(3) 對直接信任的定義比較嚴格,但模型中僅采用肯定經(jīng)驗對信任關(guān)系進行度量,過于片面,不能完整刻畫實際信任關(guān)系[6]。

2.2 基于信譽的信任模型

基于信譽的信任模型認為，信任是主體對客體特定行為的主觀可能性預(yù)期，取決于經(jīng)驗并隨著客體行為的結(jié)果變化而不斷修正。在基于信譽的信任模型中，實體之間的信任關(guān)系分為直接信任關(guān)系和推薦信任關(guān)系，分別用于描述主體與客體、主體與客體經(jīng)驗推薦者之間的信任關(guān)系[7]。

文獻[8]提出了一種云計算環(huán)境下多維信任和信譽度計算模型[8]。在云計算環(huán)境中，信任包含多個因素，如風(fēng)險、聲譽、行為、動機、可用性等。文獻中主要考慮兩方面的信任和聲譽云服務(wù)。第一方面，云數(shù)據(jù)的信譽包含不同的參數(shù)，如數(shù)據(jù)處理、數(shù)據(jù)保密、數(shù)據(jù)存儲、數(shù)據(jù)傳輸和數(shù)據(jù)安全。第二方面，云服務(wù)的聲譽取決于服務(wù)的可用性、可靠性、周轉(zhuǎn)時間和服務(wù)使用因素。文獻中提出了一個基于信息融合理論的自適應(yīng)權(quán)重分配算法，每個因子有一定的權(quán)重，由WMA-OWA的組合算法進行動態(tài)分配。最后整合所有的信任和聲譽因素來評價整體的信任和信譽值。

計算云服務(wù)的聲譽采用以下步驟：(1) 分別計算數(shù)據(jù)處理因子、數(shù)據(jù)傳輸因子、數(shù)據(jù)隱私因子和數(shù)據(jù)安全系數(shù)。(2) 為每個數(shù)據(jù)因子使用WMA-OWA組合算法的權(quán)重分配。(3) 結(jié)合所有的數(shù)據(jù)因素，計算數(shù)據(jù)信任值。(4) 分別計算服務(wù)可用性因子、服務(wù)可靠性因子、服務(wù)周轉(zhuǎn)時間和服務(wù)使用因子。(5) 使用WMA-OWA組合算法對每個聲譽因素進行權(quán)重分配。(6) 結(jié)合所有聲譽因子。(7) 得到服務(wù)的數(shù)據(jù)信任值和信譽度。最后把這兩個值結(jié)合起來，得到了總的信任值。

該模型的優(yōu)點是: (1) 云數(shù)據(jù)信任引入了五個信任因子，云服務(wù)的聲譽引進了四個信任因子，WMA-OWA組合算法可以動態(tài)分配上述參數(shù)的權(quán)重，能比較全面的計算準確可靠的信任值。(2) 多維信任體系可以客觀的描述出云服務(wù)的可信程度，支持個性化服務(wù)提供，防止惡意評價、隨意評價等攻擊問題。(3) 該模型是一個自適應(yīng)系統(tǒng)，可以讓服務(wù)提供者提供更高期望的服務(wù)和更安全的方式，達到足夠的信任閾值，從而滿足云服務(wù)提供者和用戶之間的信任關(guān)系。

該模型的不足是: (1) 在現(xiàn)實應(yīng)用中，信任值往往只包括其中幾維的數(shù)據(jù)，而且每個用戶側(cè)重的數(shù)據(jù)維度是不同的。在某些維度缺失的情況下如何進行信譽度計算是需要考慮的。(2) 用WMA-OWA組合算法動態(tài)分配權(quán)重，雖有利于提高安全性，但這也增加了信譽管理復(fù)雜性，需要較高的計算效率與更高的時空成本。(3) 在進行信譽度計算時，信任數(shù)據(jù)僅用于選擇服務(wù)提供者。

2.3 基于云模型的信任模型

云模型理論是在對概率理論和模糊集合理論進行交叉滲透的基礎(chǔ)上，通過特定的構(gòu)造函數(shù)形成定性概念和定量描述之間的轉(zhuǎn)換模型。經(jīng)典的信任模型分別基于概率論或模糊集理論，分別具有隨機性或模糊性，而云模型是一個很好的解決不確定性問題的方法。信任云是一種特殊的云模型，它根據(jù)信任關(guān)系及其描述方式的特點，把對信任的表達用云模型的方式反映出來，表現(xiàn)為一個三元組(Ex，En，He)[9]。其中Ex是信任期望，作為基本信任度；En是信任熵，代表信任關(guān)系的不確定度；He是信任超熵，代表信任熵的不確定度。

雖然云模型很適合表示信任度，但是對于上下文感知的信任評估和動態(tài)更新是無效的。相比之下，貝葉斯網(wǎng)絡(luò)作為一種不確定推理工具，對動態(tài)信任評估更有效。文獻[10]提出了一種結(jié)合云模型和貝葉斯網(wǎng)絡(luò)的不確定信任模型[10]。

文獻中用云來表示主觀信任，稱為信任云。一個服務(wù)實體的總體信任用一個元組T(Ex，En，He)來表示。在評級系統(tǒng)中，每一級代表滿意的程度，第一級是“非常不滿意”，最后一級是“非常滿意”。使用貝葉斯網(wǎng)絡(luò)計算前，需要所有云滴結(jié)合上下文信息作為證據(jù)，云滴的期望是Ex，采用了時間衰減機制使新的評級影響更強?，F(xiàn)有的基于云模型的信任模型都沒有明確地考慮上下文信息，主要原因是要將上下文信息集成到云中并不容易。貝葉斯網(wǎng)絡(luò)可以用來集成上下文信息的信任評估，以提高準確性。信任云與貝葉斯網(wǎng)絡(luò)結(jié)合起來可以形成上下文感知的信任模型。事實上，信任度的確定程度可以代表信任值的變化，因為實體改變行為越多，當前評價值與信任期望值之間的差異越大。文獻中將衰減系數(shù)設(shè)為貝葉斯網(wǎng)絡(luò)所取的最新評級的確定程度，計算數(shù)字特征(Ex，En，He)和每個等級的確定度。對于每一個評分者，其可靠性可以由其所有評分的平均確定度來估計，平均確定度越大，評分者越可靠。用信任云作為決策的標準，顯然，信任度高、不確定性低的實體更可信。

該模型的優(yōu)點是：(1) 信任的不確定性是使用不確定推理的合理理論來明確表示和評估的，即使實體的行為發(fā)生動態(tài)變化，評估也會更加準確。(2) 上下文信息被明確地集成到信任評估中，使得服務(wù)提供者的選擇是上下文工具。(3) 信任云模型與貝葉斯網(wǎng)絡(luò)結(jié)合實現(xiàn)了對信任概念的完整描述，能夠?qū)⒅黧w主觀信任的模糊性、隨機性和不確定性有機結(jié)合起來，獲取的信任信息包含更多的語意內(nèi)容，增加了信任相關(guān)決策的依據(jù)[9]。

該模型的不足是：(1) 文獻中針對不法分子的攻擊行為沒有提出相應(yīng)的懲罰機制，沒有起到對攻擊行為的抑制作用。(2) 針對用戶偏好屬性權(quán)重算法的設(shè)計具有較強的主觀性，沒有設(shè)置相應(yīng)的控制因子以確保算法的穩(wěn)定性。(3) 有許多實驗條件都是在理想狀態(tài)下，不公平的評價過濾和信任聚合在文中未較好討論。

3 總結(jié)

隨著云計算的迅速發(fā)展，云服務(wù)改變了人們的生活，人們享受著“云”帶來的便捷。云計算的核心模式是服務(wù)，服務(wù)的前提是用戶和服務(wù)提供方建立信任。信任本身存在著不確定性，所以在信任模型的構(gòu)建中，信任的描述是關(guān)鍵也是最困難的。本文對信任管理和信任評估技術(shù)的研究現(xiàn)狀進行了分析和總結(jié)，分析了三種基于不同方法的信任模型，指出了它們的優(yōu)勢與不足，希望讓讀者對云計算安全問題有所認識。