王 颖，彭新光，边 婧，2，付东来

(1.太原理工大学计算机科学与技术学院，山西太原030024;2.山西职工医学院网络信息中心，山西太原030012)

0 引言

云服务提供商 (cloud service provider，CSP)和云服务用户 (cloud service customer，CSC)之间的信任危机仍是其发展所面临的一个重大挑战［1，2］。文献 ［3］提出一种感知安全的云体系结构，采用信任协商和数据着色技术保障云服务提供商安全;云服务用户端安全则采用信任覆盖网络，实现基于名誉的信任管理。文献［4］从云服务用户的角度，提出一种可帮助用户选择合适云服务的集中信任管理结构。文献［5］提出一种基于服务质量参数的分布式名誉评估技术，引入可信性评级、历史评级以及个人评估经验作为评估度量策略。文献［6］从云服务提供商角度提出一种面向服务的分布式信任管理架构，可通过多种信任评估度量方法客制化评估云用户，防止云用户越权存取云资源。文献［7］提出一个云计算下基于信任的防御系统模型，实时监控用户的行为证据，使用模糊层次分析法确定行为证据的权重，实现行为信任的量化评估。

因此，将现有信任管理方法引入云计算中，可有效提升云环境的安全性。针对当前信任管理模型采用集中式体系结构，评估时需要大量概率计算及信任参与者协作的缺陷，建立云计算信任反馈可信性评估模型，在云服务用户选择云服务前，结合可信性评估因子确定信任反馈的信任值，评估目标云服务的可信性。

1 云计算信任反馈可信性评估模型

典型的云计算服务模式有3种:基础设施即服务 (infrastructure as a service，IaaS)、平台即服务 (platform as a service，PaaS)、 软件即服务(software as a service，SaaS)［8］。本文从云服务用户的角度评估云服务的可信性，建立一种云计算下信任反馈可信性评估模型，主要针对云环境中信任管理的3个关键问题:

(1)信任反馈的准确性:由于云服务提供商和用户之间的动态交叠交互方式，评估信任反馈的可信性具有一定的难度。如某一云服务用户可能会与同一云服务提供商发生多次交互，因此同一云服务可能会收到多重信任反馈。此外知晓一个云用户的经验程度以及恶意信任反馈的来源可能需要大量的概率计算［5］;

(2)信任反馈的有效性:在云计算环境中，参与云服务的用户数量是不可预知的，而且云环境自身也具备高动态性。因此，通过传统相似性度量［9］来确定用户兴趣及能力的方法并不适用于云环境，云中的信任管理方法应当更具可扩展性和适应性。

(3)信任反馈的评估和存储:现存云服务信任评估技术考虑到可扩展和安全因素通常采用集中式体系结构，而现实中的信任反馈则来自于分布式信任参与者［10］。

信任反馈可信性评估模型 (trust feedbacks credibility evaluationmodel，TFCEM)采用面向服务的体系结构 (service oriented architecture，SOA)，将信任看作是一种服务。

TFCEM利用网络服务覆盖若干分布式信任管理服务(trustmanagement service，TMS)节点，由云服务提供商层、信任管理服务层和云服务用户层3层构成，如图1所示。

图1 信任反馈可信性评估模型

(1)云服务提供商层:这一层由提供不同云服务的提供商组成。对每一个云服务提供商的要求是至少应当提供IaaS，例如具备数据中心用于数据存储、处理和通信。

(2)信任管理服务层:这一层由若干分布式TMS节点构成。云服务用户通过各个节点开放的接口提交信任反馈以及查询信任结果。

(3)云服务用户层:这一层由使用不同云服务的云用户组成。云服务用户可以通过调用TMS提交针对某一种云服务的信任反馈。

TFCEM中还包含注册服务，主要功能是:服务广告:云服务提供商和TMS均可以借助于服务注册中心发布服务广告;服务搜索:TMS和云服务用户均可以访问服务注册中心搜索所需服务。

1.1 攻击模型

我们假设通信是安全的，且云服务用户都具有唯一的身份标识。因此假定不会发生诸如中间人攻击、女巫攻击以及洗白攻击［11］。本文仅针对包含伪造攻击和诽谤攻击的恶意反馈行为。

(1)伪造攻击:当恶意云服务用户为了个人利益企图提高自己或盟友的信任值时会发起伪造攻击。如图1所示的模型中这种攻击会通过下列2种方式实现:第一种称为个体勾结指的是某一特定云服务用户针对某一特定云服务提交大量伪造或误导性的信任反馈;而通过联合勾结方式，多个云服务用户可勾结共谋伪造信任反馈。

(2)诽谤攻击:与伪造攻击相反，恶意云服务用户发起诽谤攻击的目的是为了降低特定云服务的信任值。通常这种攻击产生于竞争对手之间，并可通过个体或联合勾结实现。

1.2 信任反馈采集与评估

TFCEM中，云服务信任行为可用一个历史调用记录集合表示，记为H。每一个云服务用户c对于一个云服务s的可信性由指定TMS负责管理。H是由云用户身份C、云服务身份S、信任反馈集F和可信性聚合信任反馈集Fc组成的式 (1)一元组

F中信任反馈使用数值形式表示，正常反馈范围为［0，1］，其中0、+1和+0.5分别代表负面、正面和中立反馈。当一个云用户向TMS查询某一云服务的可信性时，使用式 (2)计算信任结果Tr(s)

TMS通过设定的云用户可信性聚合权重Cr(l，s)计算信任反馈 Fc(l，s)，并用于区分可信反馈和恶意反馈，Fc(l，s)保存在历史调用记录h中，并由指定TMS更新，其计算公式见式 (3)

2 可信性模型

TFCEM中，TMS采集到的信任反馈可能存在下面2种情况:外行云服务用户由于缺乏经验提交的错误信任反馈;恶意云服务用户发起的伪造或诽谤攻击，如针对某一云服务的大量虚假正面或负面反馈。针对上述问题，本文提出一种可信性模型，引入反馈共识评估因子区分内行云服务用户和外行云服务用户，引入反馈密度评估因子检测恶意反馈行为。

2.1 反馈共识

通常情况下，大多数人与专家的评定意见相一致;同理我们认为大多数的云服务用户与内行云服务用户的意见相一致。内行云服务用户 (expert cloud service consumer，ECSC)的确定原则为任何信任反馈接近于大多数信任反馈的云服务用户，反之则是外行云服务用户 (amateur cloud service consumer，ACSC)。为了度量云服务用户信任反馈与大多数信任反馈的接近程度，模型中引入反馈共识因子J(c)，其计算公式见式 (4)

式中分子的第一部分计算云用户c对云服务s信任反馈均值，分子的第二部分计算其余云用户对云服务s信任反馈均值。因此，反馈共识因子值越大，信任反馈的可信性越高。

2.2 反馈密度

有些恶意云用户为了个人利益伪造大量误导性的信任反馈。目前一些电子商务网站针对这种现象，在提供信任反馈数量的同时允许用户浏览反馈内容。因此，评估云服务可信性时，仅仅注重信任反馈的数量显然存在不足，例如:图2所示为2个不同的云服务a和b，假设二者的聚合信任反馈评价都比较高 (在100个信任反馈中，a的正面反馈率为90%，b的为93%)。通常情况下，云用户会直观地选择高正面反馈率的云服务 (云服务b)，而事实上云服务b的大量正面反馈可能并非真实可信，如云服务提供商与恶意云用户联合勾结，误导云用户做出错误选择。

图2 信任反馈密度

针对这一问题，模型在评估信任反馈可信性时引入反馈密度因子。具体地，所有给予云服务s信任反馈的云用户总数记为M(s);云服务s收到的所有信任反馈总数记为受到反馈共谋因子影响，并由反馈上限值ev(s)约束，如果ev(s)设定为5，则任何提交超过5个信任反馈的云用户都被认定为可疑恶意对象，有共谋倾向。云服务s的反馈密度D(s)计算公式见式 (5)

式中分母的第二部分计算反馈共谋因子，具体的计算方法为可疑用户 (提交超过ev(s)设定值)信任反馈数量与

图2 (a)表格中，第1行表示5个云用户每人分别对云服务a做出2个信任反馈，则这行信任反馈总数为10。表中最后一行显示对云服务a做出信任反馈的云用户总数M(a)=20，云服务a收到的所有信任反馈总数100。图2(b)表格中最后一行显示云服务b收到的所有信任反馈总数相等。

然而，图2(b)表格中最后一行显示对云服务b做出信任反馈的云用户总数M(b)=5，对比图2(a)发现，M(b)＜M(a)。如果设定ev(s)=5，则图2(a)中有10个云用户被认定为可疑恶意用户，他们给予云服务a的信任反馈长度而图2(b)中有3个云用户被认定为可疑恶意用户，他们给予云服务b的信任反馈长根据式 (5)可计算得到，云服务a的反馈密度D(a)=0.114，而D(b)=0.026，可见D(a)＞D(b)。换言之，反馈密度因子值越大，信任反馈的可信性越高，反之则有较高可能性存在伪造的信任反馈。

结合反馈共识因子J(c)和反馈密度因子D(s)，信任反馈可信性聚合权重Cr(c，s)计算见式 (6)

式中:β和μ——反馈共识因子和反馈密度因子的标准权重。λ——因子的个数，若在计算Cr(c，s)时只引入反馈密度因子，则λ的值为1;若计算时需要同时引入2个因子，则λ的值为2。

3 实验结果与分析

本文在NetLogo平台［12］上对可信性模型进行性能分析与评估。实验数据选用Massa and Avesani收集的Epinions评级数据集［13］，其数据内容为用户对特定商品及服务的评级意见，其数据结构与云服务用户信任反馈数据类似。Epinions评级数据集中包括49290个用户，139738个评级条目以及664824条信任反馈。在实验设计中，将Epinions数据集中的用户标识设定为云用户身份C，评级条目标识设定为云服务身份S，并且将标准化后的评级值设定为云用户信任反馈F(F∈［0，1］)。

本文分别从解析性分析和经验性分析角度对可信性模型评估。解析性分析侧重于衡量恶意行为情况下引入可信性模型后信任结果的鲁棒性。解析模型中在计算信任结果时没有加权，所有信任反馈的Cr(c，s)均置1。经验性分析则侧重于衡量可信性模型中反馈共识因子和反馈密度因子分别对信任结果值的影响。实验中各因子参数设置见表1。

图3 为对某一云服务信任结果的解析性分析。从图中可以看出，若在计算信任结果时引入所有可信性因子，恶意行为率越高，信任结果值越低;反之，恶意行为率对信任结果值几乎没有影响。实验结果表明，可信性模型在检测恶意行为方面更加敏感有效。图4为对同一云服务信任结果的经验性分析。从图中可以看出，在恶意行为率低的情况下，如恶意行为率=0.1时，反馈共识因子影响下的Tr(s)=0.59，而反馈密度因子影响下的Tr(s)=0.73;另一方面，在恶意行为率高的情况下，如恶意行为率=0.9时，反馈共识因子影响下的Tr(s)=0.61，而反馈密度因子影响下的Tr(s)=0.13;结果表明若恶意用户数量相对较多时，反馈密度因子影响下的信任结果显现出强烈响应，其值更精确。

表1 实验因子及参数设置

图3 解析性分析结果

图4 经验性分析结果

4 结束语

本文针对现有信任管理模型缺陷，将信任看做一种服务，提出云计算下分布式信任反馈可信性评估模型。评估云服务可信性时引入反馈共识因子和反馈密度因子，可有效区分内行及外行信任反馈，识别有共谋倾向的恶意信任反馈，获得准确的云服务信任值，实验结果进一步验证了可信性模型的可行性和合理性。下一步研究的重点是改良模型，扩展评估因子以更好地量化信任，并降低资源消耗。

［1］Armbrust M，Fox A，Griffit R，et al.A view of cloud computing［J］.Communication of the ACM，2011，53(4):50-58.

［2］TIAN Liye，ZHAN Jing，JIANGWei，et al.Research on quantified cloud computing trustmodel［J］.Computing Engineering and Design，2013，34(1):13-17(in Chinese).［田立业，詹静，姜伟，等.量化的云计算信任模型研究［J］.计算机工程与设计，2013，34(1):13-17.］

［3］Hwang K，LiD.Trusted cloud computingwith secure resources and data coloring［J］.IEEE Internet Computing，2010，14(5):14-22.

［4］Brandic I，Dustdar S，Anstett T，et al.Compliant cloud computing(C3):Architecture and language support for user-driven compliance management in clouds［C］//Proceedings of the IEEE Cloud Computing，2010:244-251.

［5］Malik Z，Bouguettaya A.RATEWeb:Reputation assessment for trust establishment among web services ［J］.The VLDB Journal，2012，18(4):885-911.

［6］Conner W，Iyengar A，Mikalsen T，et al.A trust management framework for service-oriented environments［C］//Procee-dings of the InternationalWorld WideWeb Conference，2012:891-900.

［7］ZHOU Qian，YU Jiong.Defense system model based on trust for cloud computing ［J］.Journal of Computer Applications，2011，21(6):1531-1535(in Chinese).［周茜，于炯.云计算下基于信任的防御系统模型 ［J］.计算机应用，2011，21(6):1531-1535.］

［8］SHEN Changxiang.Cloud computing security［J］.Information Security and Communications Privacy，2010(12):12-15(in Chinese).［沈昌祥.云计算安全［J］.信息安全与通信保密，2010(12):12-15.］

［9］LIQishen，QU Xiqin，GUAN Jun.Research on similarity of association rules and clustering［J］.Computer Engineering and Design，2012，33(2):745-749(in Chinese).［李其申，屈喜琴，管俊.关联规则的相似性度量与聚类研究［J］.计算机工程与设计，2012，33(2):745-749.］

［10］Hoffman K，Zage D，Nita Rotaru C.A survey of attack and defense techniques for reputation systems［J］.ACM Computing Surveys，2009，42(1):1-31.

［11］SUN Yuxing，HUANG Songhua，HUANGHao，et al.Research on security of trust and reputationmodel in autonomous networks ［J］.Computer Science，2009，36(4):5-11(in Chinese).［孙玉星，黄松华，黄皓，等.自治网络中信任信誉模型的安全现状研究［J］.计算机科学，2009，36(4):5-11.］

［12］WANG Yanhui，XIAO Xuemei，JIA Limin.Dynamic and comprehensive evaluation mothod for interoperability trust based on fuzzy variable weighting［J］.Journal of Computer Research and Development，2012，49(6):1235-1242(in Chinese).［王艳辉，肖雪梅，贾利民.互操作信任的模糊变权动态综合评价方法［J］.计算机研究与发展，2012，49(6):1235-1242.］

［13］Massa P，Avesani P.Trust metrics in recommender systems［C］//Computing with Social Trust.Human-Computer Interaction Series，2011:259-285.