管軍，朱穎

（1.南京電子技術(shù)研究所，南京 210013；2.南京航空航天大學(xué)，南京 211106）

0 引言

云計(jì)算是一種滿足共享訪問計(jì)算資源的模式。通過在云端部署云服務(wù)器實(shí)現(xiàn)軟件和硬件資源的共享，借助云計(jì)算技術(shù)將分布在網(wǎng)絡(luò)中的計(jì)算機(jī)設(shè)備整合起來，形成一個虛擬的計(jì)算機(jī)系統(tǒng)。在這種環(huán)境下，光有用戶的信心不足以甄別確定可信的云服務(wù)提供商。信任評估是云計(jì)算中的重要挑戰(zhàn)。

信任評估機(jī)制是一種新興的安全模式，通過從不同系統(tǒng)的安全機(jī)制中轉(zhuǎn)換和提取檢測結(jié)果，識別惡意實(shí)體，并不斷收集反饋評估。信任機(jī)制針對某個參與方的所有評價信息，計(jì)算其信任度，為網(wǎng)絡(luò)中其他參與者未來的交互提供參考，其中包括信任建模和數(shù)據(jù)管理兩個關(guān)鍵步驟。信任建模通過建立合理的信任模型，采用恰當(dāng)?shù)亩攘繕?biāo)準(zhǔn)，描述實(shí)體間的信任關(guān)系。數(shù)據(jù)管理包括數(shù)據(jù)存儲和信任訪問，以及數(shù)據(jù)在分布式環(huán)境中的管理，尤其是在缺乏集中式控制的環(huán)境下。云計(jì)算模式中的信任建模和可信管理方面的研究尚有很多問題有待解決。

云環(huán)境中的信任問題可以分為四個子類，包括:①如何根據(jù)云環(huán)境的獨(dú)特特征給出信任的定義和評估；②如何管理惡意推薦信息，因?yàn)樵频奶匦砸笮湃侮P(guān)系是動態(tài)的；③如何根據(jù)信任度計(jì)算來針對不同場景提供不同的服務(wù)安全級別；④如何處理信任度隨交互時間和上下文的變化，以及如何讓信任度適應(yīng)時間和空間的動態(tài)變化。

1 云環(huán)境下用戶與服務(wù)提供商的信任問題

信任作為一個實(shí)體對另一個實(shí)體行為及能力的主觀評價量度，可以運(yùn)用在對象的交互中，根據(jù)交互過程中雙方評價，獲取證據(jù)，完成決策，同時對未來的決策產(chǎn)生影響，提高系統(tǒng)的安全性。

云服務(wù)信任評估有幾類方法獲取數(shù)據(jù)，分別是主觀推薦、主客觀結(jié)合推薦與QoS指標(biāo)的云服務(wù)信任評估方法?；谥饔^推薦是分析云租戶與CSP的歷史交互，但是這類方法影響滯后，無法達(dá)到預(yù)警，傷害往往已經(jīng)發(fā)生了，且易受影響。基于主客觀結(jié)合的信任評估方法不止參考了前一類方法中云租戶與CSP的交互，還考慮了云服務(wù)的QoS指標(biāo)，進(jìn)行綜合評估，但是“用戶惡意評價”和“滯后效應(yīng)”依舊存在。基于QoS指標(biāo)的評價方法加入了云服務(wù)的QoS指標(biāo)，動態(tài)選擇推薦云服務(wù)，這類方法避免了以上問題。

1.1 服務(wù)器可信問題

云服務(wù)提供商（cloud computing service provid?er，CSP）從用戶手中承載了處理和存儲數(shù)據(jù)的任務(wù)。出于保護(hù)隱私的目的，用戶需要匿名使用云資源，這需要云服務(wù)器的保障，防止CSP管理人員超越權(quán)限竊取用戶資料，避免用戶信息暴露在危險之下。數(shù)據(jù)處理方面，無法確保CSP不會竊取及分析用戶行為習(xí)慣；數(shù)據(jù)存儲方面，無法確保云服務(wù)器會保障用戶的所有云數(shù)據(jù)免受竊取攻擊。

1.2 用戶實(shí)體可信問題

云環(huán)境下，服務(wù)提供者（service provider，SP）實(shí)體通常只能被動接受服務(wù)消費(fèi)者（service consumption，SC）實(shí)體的訪問請求，而SP實(shí)體如果缺失對SC實(shí)體的信任評估，欺騙或攻擊就會常常發(fā)生，為不可信的SC實(shí)體提供服務(wù)，造成計(jì)算資源的浪費(fèi)和濫用。CSP既需要為SC實(shí)體盡量提供有效服務(wù)，同時也需要區(qū)分SC實(shí)體提供服務(wù)。

1.3 租戶間可信問題

云計(jì)算是一種滿足共享訪問計(jì)算資源的模式。分布的多租戶可以高效地共享服務(wù)資源，但同時也帶來了不少安全問題。一方面，共享系統(tǒng)可能導(dǎo)致安全風(fēng)險擴(kuò)大。另一方面，多租戶共享給惡意租戶創(chuàng)造了條件，可以攻擊其他租戶竊取云上信息或者搶占資源。常見威脅包括：惡意租戶攻擊運(yùn)行在同一主機(jī)上的其他租戶并竊取其他租戶的數(shù)據(jù)；搶占大量服務(wù)資源致使CSP無法給其他租戶提供正常服務(wù)等。導(dǎo)致的后果就是其他正常租戶對CSP不滿意，傷害租戶與CSP之間的信任關(guān)系。

2 云計(jì)算環(huán)境下的信任評估

2.1 云服務(wù)可信評價

云服務(wù)信任評估目前還沒有一個標(biāo)準(zhǔn)的評估模型，信任評估也一直是一個難以量化的問題。大部分的云計(jì)算服務(wù)信任評估模型基于租戶對過去服務(wù)的評價，但是有些歷史信息往往不能提供有價值的參考。同時，需要找出惡意節(jié)點(diǎn)，防止惡意節(jié)點(diǎn)惡意推薦導(dǎo)致信任計(jì)算度出現(xiàn)問題，對最后的服務(wù)推薦結(jié)果造成惡劣影響。除此之外，云計(jì)算環(huán)境下，動態(tài)的服務(wù)和滯后的評價也會影響信任評估。

文獻(xiàn)［1］基于凸函數(shù)證據(jù)理論，將CSP、云服務(wù)和租戶之間的信任關(guān)系進(jìn)行量化，將租戶與云服務(wù)交互后的信任評價結(jié)果作為直接信任值；將全體用戶的信任評價結(jié)果、CSP信任評價結(jié)果和第三方機(jī)構(gòu)信任評價結(jié)果作為間接信任值；融合兩種信任值向用戶推薦信任度高的云服務(wù)。創(chuàng)建信任辨別框架，對所有用戶進(jìn)行等級分類，等級為1的用戶視為惡意用戶，其他用戶視為友好用戶，信任模型可以根據(jù)用戶的等級更好地完成用戶的云服務(wù)請求。

用戶同CSP簽定的服務(wù)水平合約（servicelevel agreement，SLA），以書面合同的方式保障用戶與CSP的權(quán)益。一方面，保障租戶獲得約定的服務(wù)性能；另一方面，明確了雙方的利益關(guān)系，有效保障了雙方的利益。文獻(xiàn)［2］對CSP與租戶的可信級別進(jìn)行識別，通過分析各自的可信級別規(guī)范租戶的行為，為租戶與CSP之間的交互提供可信環(huán)境。但是這種方法只有當(dāng)違反了SLA時才調(diào)整記錄，之后再反映到信任值計(jì)算，這無疑損害了用戶的利益。文獻(xiàn)［3］利用馬爾可夫模型的預(yù)測功能，監(jiān)測CSP履行SLA來動態(tài)評估CSP的信任值，實(shí)現(xiàn)了對CSP的甄別。

文獻(xiàn)［4］提出了一個框架來評估云系統(tǒng)中的信任，他們建議將管理用戶應(yīng)用數(shù)據(jù)的權(quán)力從CSP手中轉(zhuǎn)移到租戶手中。文獻(xiàn)［5］提出了一種基于貝葉斯方法的認(rèn)知信任模型，然后結(jié)合現(xiàn)有的DLS算法提出了一種信任動態(tài)等級調(diào)度算法。

可以通過檢測CSP提供云服務(wù)時的服務(wù)質(zhì)量（QoS）來客觀評價云服務(wù)的質(zhì)量。文獻(xiàn)［6］從四個方面評估云服務(wù)：區(qū)分服務(wù)層次、采集實(shí)時QoS數(shù)據(jù)并用區(qū)間數(shù)表示、構(gòu)造模糊層次分析法的權(quán)重體系并計(jì)算、服務(wù)綜合評價評估服務(wù)質(zhì)量優(yōu)劣。該方法避免了信任評估中常見的串謀和惡意評價問題。

文獻(xiàn)［7］提出了基于QoS的云計(jì)算評估模型，展示了如何通過評價特征評估信任值，評價特征包括效率、數(shù)據(jù)完整性、可用性和可靠性。實(shí)驗(yàn)證明，QoS評估模型比傳統(tǒng)的FIFO模型效果更好。文獻(xiàn)［8］提出了移動云環(huán)境中針對數(shù)據(jù)融合、管理和應(yīng)用的可靠信任管理方法。他們建立一維信任，并通過分析移動設(shè)備的電話信息來量化信任，試圖通過交換的可信信息來分析移動環(huán)境中的用戶交互。文獻(xiàn)［9］提出了基于信任的云服務(wù)選擇框架，提出了一種結(jié)合客觀信任評估和主觀信任評估的綜合信任評估方法?？陀^信任評估基于QoS監(jiān)控，主觀信任評估基于用戶的反饋分?jǐn)?shù)。

文獻(xiàn)［10］提出了一種基于模糊的云服務(wù)信任評估方案，提出了一種基于證據(jù)的動態(tài)信任模型來定義云環(huán)境下服務(wù)的動態(tài)可信度。它采用模糊邏輯來建立信任，以處理不確定性，并使用有序加權(quán)平均算子來收集信任值，使用QoS參數(shù)作為驗(yàn)證，反饋實(shí)時性能。

伴隨著數(shù)據(jù)量的增大，評估建模過程中的計(jì)算愈發(fā)復(fù)雜，建模誤差愈發(fā)明顯。文獻(xiàn)［11］從博弈論思想出發(fā)，獲取到租戶行為后，利用不完全信息動態(tài)博弈對云計(jì)算環(huán)境下的海量用戶進(jìn)行分類，從多個角度如直接可信度、間接可信度、風(fēng)險系數(shù)、活躍度、獎懲因子對租戶行為的可信關(guān)系進(jìn)行量化，并得出租戶的綜合可信度。仿真證明，建模精確度及適應(yīng)性都有所提高。從理論、動態(tài)性、穩(wěn)定性等方面對云服務(wù)可信評價模型進(jìn)行對比，對比結(jié)果見表1：

表1 云服務(wù)可信評價模型對比

2.2 可信服務(wù)推薦

當(dāng)前云計(jì)算環(huán)境下，服務(wù)推薦技術(shù)尚有不足。QoS的不確定性、對運(yùn)行環(huán)境的不清晰以及CSP的不可信任等因素，是服務(wù)推薦所面臨的最大難題［12］。不同于基于向量的相似度比較方法需要嚴(yán)格匹配屬性，LICM［13］利用云模型在定性、定量知識轉(zhuǎn)換時的作用，在可參考的數(shù)據(jù)量少時仍能保證推薦質(zhì)量。

TSSPR［14］利用Pearson相關(guān)系數(shù)計(jì)算一組偏好相似的用戶的評價相似度，然后基于用戶給出的推薦等級、領(lǐng)域相關(guān)度和評價相似度等，過濾用戶的推薦信息，獲取更可信的信息。但是該方法未考慮惡意推薦和激勵機(jī)制，也沒有考慮云計(jì)算環(huán)境中組合服務(wù)的推薦問題。SILAS等人［15］考慮周轉(zhuǎn)時間、服務(wù)成本、信任、可靠性等因素，結(jié)合多屬性效用理論設(shè)計(jì)了一個云服務(wù)選擇中間件ELECTRE方法，通過對多目標(biāo)決策問題求解實(shí)現(xiàn)服務(wù)推薦。

DRT［16］有效形容包括加權(quán)評級變化、時間演變、記憶平滑處理在內(nèi)的動態(tài)特征；然后進(jìn)一步通過DTAA攻擊檢測算法來檢測Collusion攻擊，有良好的健壯性。該模型的不足之處在于信任的粒度不夠細(xì)致。

文獻(xiàn)［17］通過隨機(jī)分配云服務(wù)可信屬性權(quán)重選擇服務(wù)，綜合響應(yīng)時間、信任度、用戶費(fèi)用等因素提出進(jìn)行個性化服務(wù)推薦方法SPSE。但沒有考慮容錯和服務(wù)調(diào)度問題。

PerReF［18］是一種面向可信云服務(wù)的個性化推薦框架，該框架在云評價中心和云推薦中心架構(gòu)之上，結(jié)合多屬性分析和概率統(tǒng)計(jì)分析，綜合用戶對云服務(wù)可信屬性的評價和潛在用戶的個性化需求，采用模糊綜合方法結(jié)合可信屬性權(quán)重分配、可信度期望、成本期望過濾云服務(wù)，經(jīng)過多次迭代找出最適合用戶個性化特征的云服務(wù)。仿真實(shí)驗(yàn)表明，PerReF效果好，且能適應(yīng)復(fù)雜的云計(jì)算環(huán)境。從理論、粒度、性能等方面對云服務(wù)推薦信任模型進(jìn)行對比，對比結(jié)果見表2：

表2 云服務(wù)推薦信任模型對比

3 結(jié)語

本文針對云計(jì)算環(huán)境中，服務(wù)實(shí)體之間的信任問題，研究并分析了幾種改進(jìn)的可信評價模型與可信服務(wù)推薦模型，在以后的工作中會針對云計(jì)算環(huán)境下的信任評估問題進(jìn)行深入研究。