云安全中信任模型研究綜述

邵旻暉， 張琳

(上海海事大學 信息工程學院， 上海 201306)

0 引言

云計算通過將各種互聯的計算資源進行有效整合并實現多層次的虛擬化與抽象，以可靠服務的形式提供給用戶，依靠低成本、超大規模、高可擴展性等獨特優勢引發了IT產業界的技術革命[1]。盡管云計算正在越來越受歡迎，但日漸增加的云計算安全問題已經成為云計算推廣與發展的重要阻礙。

云計算環境中包含兩類主體和兩類客體，分別是云服務提供商、云租戶、云端數據、云基礎設施，它們之間不僅存在著服務與被服務關系、支撐與被支撐關系，還存在著復雜的攻擊與被攻擊關系[2]。云安全需要研究的問題主要集中在3個方面：信任問題(Trust)，網絡與系統安全問題(Security)，隱私保護問題(Privacy)[3]。首先，云計算中普遍存在數據安全性與隱私性的憂慮；其次，云計算用戶需求和云計算提供商的服務模式出現了明顯的信任危機[1]。信任問題包括信任建模和可信管理問題，是云計算模式中保障節點間安全交互的基礎[4]。未來云安全的焦點會進一步轉移到信任管理上來，傳統的信息安全將會進一步發展為服務方和被服務方之間的信任和信任管理問題。

現實社會中，常采用信任協商與評價機制來解決信任問題。在云計算中，增強用戶和服務商之間的相互信任成為云安全中需要迫切解決的問題。針對這一問題，國內外學者對云計算的信任評估做了大量的研究，建立了許多有效的信任模型。文獻[6]提出了一種基于D-S證據理論和滑動窗口的云計算信任模型；文獻[8]提出了一種云計算環境下多維信任和信譽度計算模型；文獻[10]提出了一種結合云模型和貝葉斯網絡的不確定信任模。本文針對現存的云計算安全問題，描述了信任在云計算安全領域的具體應用，并分析了參考文獻中各信任模型的優缺點。

1 信任和信任管理

1.1 信任的定義和性質

信任是一個多學科的概念，在計算機領域中，最早關于信任的定義是由D.Gambetta給出的信任定義：信任(或與之相對應的，即不信任)是指一個Agent執行某一特定行為的主觀可能性的特定層次，它出現在行為被監控前(與Agent原本能否監控這一行為無關)，并且該行為對其自身行為產生影響的情況下進行[5]。

根據以上定義，得知信任具有以下性質:(1) 主觀性：不同用戶對同一服務的評價因主觀喜好的不同而不同。(2) 上下文相關性：任與上下文環境緊密相關，信任值是針對特定的上下文環境而言的。(3) 動態性：實體之間的信任會隨著時間、交互次數等不斷變化而變化，每一次交互都會影響它們之間的信任關系。(4) 可度量性：信任可以根據一些外在特征加以量化和度量，其結果的精確程度與信任評估的方法有直接關系。(5) 傳遞性：在一定條件的約束下，信任是可傳遞的，通常信任會隨著傳遞鏈路的增長而衰減。

根據獲取方式的不同，信任可分為直接信任和推薦信任。直接信任是用戶實體與服務供應實體之間，通過直接的服務交互建立的一種信任關系；推薦信任是用戶實體根據其他用戶實體的推薦，與服務供應實體之間建立的一種信任關系[5]。

1.2 信任管理

信任管理是信任的延伸，根據主體之間信任關系描述和獲取方法，信任管理分為基于策略的信任管理和基于聲譽的信任管理。基于策略的信任管理適用于大規模分布式計算系統中的授權和訪問控制，可以保護敏感資源或服務，但不能為請求者提供安全保護。基于聲譽的信任管理主要用于隔離惡意的服務或服務提供者，能保證請求者的安全，但不適合保護敏感服務。

信任管理涉及的關鍵技術主要有信任表述、信任度量和信任度評估等。當前的信任評估模型中，出現了多種信任值表示方法。比較常見的有以下五種方法:(1) 離散值表示實體的信任值；(2) 取值在[0，1]之間的概率值表示信任值；(3) 模糊理論中的特征向量和隸屬度等概念定量化描述實體的信任值；(4) 基于灰色系統理論用灰關聯度描述實體間的信任關系；(5) 根據信任關系及其描述方式的特點，用云模型表述信任值。根據信任的主觀性特征，實體之間可以依據歷史交往經驗建立信任關系，通過信任評估技術可以對實體之間的信任值進行評估。

2 信任模型

2.1 基于概率的信任模型

此類模型的基本思想是: 實體間歷史交往經驗中成功與失敗的活動次數符合某種概率統計規律，根據這種規律構建實體間的信任關系模型，典型代表為Beth模型。Beth 模型將實體間歷史交往經驗分為肯定經驗和否定經驗，根據信任是否由經驗推薦將信任分為直接信任和推薦信任，并給出了信任度推導和綜合計算公式，計算實體能夠完成任務的概率，此概率即為實體的信任度。

文獻[6]提出了一種基于D-S證據理論和滑動窗口的云計算信任模型，用于評估實體的可信度，并檢測出用于云計算的惡意實體[6]。模型中，實體之間的交互證據作為第一手證據，利用滑動窗口評估交互證據的及時性，根據基于D-S證據理論的交互證據計算實體的直接信任。來自不同實體的推薦信任值被視為二手證據，推薦信任作為二手證據的沖突被通過改進的融合方法盡可能地消除。最后，通過實驗驗證了該模型的有效性和抗攻擊性。

隨著時間的推移，交互證據會不斷增加。但是，證據信息的重要性會隨時間而衰減，并且消極證據的重要性比積極證據的衰減更慢。為了合理評價基于證據信息的實體信任，采用滑動窗口描述證據信息的時效性。引入滑動窗口后，僅在窗口內的交互證據是有效的，只有有效的交互證據會影響實體的信任度。這樣，實體間的信任度就不會因過度的交互證據而增加或減少。該模型利用D-S證據理論計算實體之間的直接信任，因為D-S證據理論可以用概率范圍表達實際問題的不確定性。在信任網絡中，存在來自不同實體的多個推薦信息，如果建議之間存在嚴重沖突，結論可能與證據不一致。參考關于沖突證據的融合方法，通過調整權重因子來控制過去相互作用的影響，計算每一個建議的權重。最后，所有推薦信任的組合形成實體的聲譽，根據Dempster法則計算。

該模型的優點是: (1) 執行簡單，如果系統中有n個云服務商和m個云用戶，算法的時間復雜度為O(n×m)。(2) 在滑動窗口機制中，交互被劃分為有效交互和無效交互。只有有效交互才能影響實體的信任度，從而反映了交互的及時性。(3) 基于D-S證據理論，實體的信任度根據實體的行為動態變化，同時評估云服務商和云用戶的信任。(4) 該模型可以在一定程度上幫助系統識別惡意實體，提高成功的交互率。增強了系統的抗攻擊性。

該模型的不足是: (1) 基于概率的信任評估模型將信任完全建立在精確的數學模型之上，將信任的模糊性等同于隨機性，不能很好地反映信任的本質。(2) 僅采用肯定經驗度量信任關系，采用簡單的算術平均綜合多個推薦信任，無法很好地消除惡意推薦所帶來的影響。(3) 對直接信任的定義比較嚴格,但模型中僅采用肯定經驗對信任關系進行度量,過于片面,不能完整刻畫實際信任關系[6]。

2.2 基于信譽的信任模型

基于信譽的信任模型認為，信任是主體對客體特定行為的主觀可能性預期，取決于經驗并隨著客體行為的結果變化而不斷修正。在基于信譽的信任模型中，實體之間的信任關系分為直接信任關系和推薦信任關系，分別用于描述主體與客體、主體與客體經驗推薦者之間的信任關系[7]。

文獻[8]提出了一種云計算環境下多維信任和信譽度計算模型[8]。在云計算環境中，信任包含多個因素，如風險、聲譽、行為、動機、可用性等。文獻中主要考慮兩方面的信任和聲譽云服務。第一方面，云數據的信譽包含不同的參數，如數據處理、數據保密、數據存儲、數據傳輸和數據安全。第二方面，云服務的聲譽取決于服務的可用性、可靠性、周轉時間和服務使用因素。文獻中提出了一個基于信息融合理論的自適應權重分配算法，每個因子有一定的權重，由WMA-OWA的組合算法進行動態分配。最后整合所有的信任和聲譽因素來評價整體的信任和信譽值。

計算云服務的聲譽采用以下步驟：(1) 分別計算數據處理因子、數據傳輸因子、數據隱私因子和數據安全系數。(2) 為每個數據因子使用WMA-OWA組合算法的權重分配。(3) 結合所有的數據因素，計算數據信任值。(4) 分別計算服務可用性因子、服務可靠性因子、服務周轉時間和服務使用因子。(5) 使用WMA-OWA組合算法對每個聲譽因素進行權重分配。(6) 結合所有聲譽因子。(7) 得到服務的數據信任值和信譽度。最后把這兩個值結合起來，得到了總的信任值。

該模型的優點是: (1) 云數據信任引入了五個信任因子，云服務的聲譽引進了四個信任因子，WMA-OWA組合算法可以動態分配上述參數的權重，能比較全面的計算準確可靠的信任值。(2) 多維信任體系可以客觀的描述出云服務的可信程度，支持個性化服務提供，防止惡意評價、隨意評價等攻擊問題。(3) 該模型是一個自適應系統，可以讓服務提供者提供更高期望的服務和更安全的方式，達到足夠的信任閾值，從而滿足云服務提供者和用戶之間的信任關系。

該模型的不足是: (1) 在現實應用中，信任值往往只包括其中幾維的數據，而且每個用戶側重的數據維度是不同的。在某些維度缺失的情況下如何進行信譽度計算是需要考慮的。(2) 用WMA-OWA組合算法動態分配權重，雖有利于提高安全性，但這也增加了信譽管理復雜性，需要較高的計算效率與更高的時空成本。(3) 在進行信譽度計算時，信任數據僅用于選擇服務提供者。

2.3 基于云模型的信任模型

云模型理論是在對概率理論和模糊集合理論進行交叉滲透的基礎上，通過特定的構造函數形成定性概念和定量描述之間的轉換模型。經典的信任模型分別基于概率論或模糊集理論，分別具有隨機性或模糊性，而云模型是一個很好的解決不確定性問題的方法。信任云是一種特殊的云模型，它根據信任關系及其描述方式的特點，把對信任的表達用云模型的方式反映出來，表現為一個三元組(Ex，En，He)[9]。其中Ex是信任期望，作為基本信任度；En是信任熵，代表信任關系的不確定度；He是信任超熵，代表信任熵的不確定度。

雖然云模型很適合表示信任度，但是對于上下文感知的信任評估和動態更新是無效的。相比之下，貝葉斯網絡作為一種不確定推理工具，對動態信任評估更有效。文獻[10]提出了一種結合云模型和貝葉斯網絡的不確定信任模型[10]。

文獻中用云來表示主觀信任，稱為信任云。一個服務實體的總體信任用一個元組T(Ex，En，He)來表示。在評級系統中，每一級代表滿意的程度，第一級是“非常不滿意”，最后一級是“非常滿意”。使用貝葉斯網絡計算前，需要所有云滴結合上下文信息作為證據，云滴的期望是Ex，采用了時間衰減機制使新的評級影響更強。現有的基于云模型的信任模型都沒有明確地考慮上下文信息，主要原因是要將上下文信息集成到云中并不容易。貝葉斯網絡可以用來集成上下文信息的信任評估，以提高準確性。信任云與貝葉斯網絡結合起來可以形成上下文感知的信任模型。事實上，信任度的確定程度可以代表信任值的變化，因為實體改變行為越多，當前評價值與信任期望值之間的差異越大。文獻中將衰減系數設為貝葉斯網絡所取的最新評級的確定程度，計算數字特征(Ex，En，He)和每個等級的確定度。對于每一個評分者，其可靠性可以由其所有評分的平均確定度來估計，平均確定度越大，評分者越可靠。用信任云作為決策的標準，顯然，信任度高、不確定性低的實體更可信。

該模型的優點是：(1) 信任的不確定性是使用不確定推理的合理理論來明確表示和評估的，即使實體的行為發生動態變化，評估也會更加準確。(2) 上下文信息被明確地集成到信任評估中，使得服務提供者的選擇是上下文工具。(3) 信任云模型與貝葉斯網絡結合實現了對信任概念的完整描述，能夠將主體主觀信任的模糊性、隨機性和不確定性有機結合起來，獲取的信任信息包含更多的語意內容，增加了信任相關決策的依據[9]。

該模型的不足是：(1) 文獻中針對不法分子的攻擊行為沒有提出相應的懲罰機制，沒有起到對攻擊行為的抑制作用。(2) 針對用戶偏好屬性權重算法的設計具有較強的主觀性，沒有設置相應的控制因子以確保算法的穩定性。(3) 有許多實驗條件都是在理想狀態下，不公平的評價過濾和信任聚合在文中未較好討論。

3 總結

隨著云計算的迅速發展，云服務改變了人們的生活，人們享受著“云”帶來的便捷。云計算的核心模式是服務，服務的前提是用戶和服務提供方建立信任。信任本身存在著不確定性，所以在信任模型的構建中，信任的描述是關鍵也是最困難的。本文對信任管理和信任評估技術的研究現狀進行了分析和總結，分析了三種基于不同方法的信任模型，指出了它們的優勢與不足，希望讓讀者對云計算安全問題有所認識。