张 迪，丁 箐

(中国科学技术大学 软件学院，安徽 合肥 230051)

0 引言

近年来，云环境的信任问题一直是学术界和工业界讨论的热点问题[1-4]。由于云环境的安全性无法得到保障，许多用户仍然不敢将自己的产品部署在云平台上。当用户将自己的产品部署到云上时，CSP需要确保自己提供的服务是可信赖的，即具有稳定性、安全性和可伸缩性。然而现今用户与CSP之间的信任关系主要是CSP单方面对用户做出的承诺，没有一种机制可以确保这种承诺一定会按照约定执行。另外用户在选择CSP时，主要是根据以往用过此CSP的客户的反馈评价来进行选择，其中不可避免会出现不公正的评价。

为了解决云环境的信任问题并提高用户对云环境的信任度，需要建立完善的第三方云服务信任评估系统，同时对CSP和用户建立信任评估体系，实时收集并计算CSP和用户的信任值，在此信任评估系统作用下，用户可以根据自身需求选择值得信任的CSP，同时信任评估系统也能保证CSP按约提供服务。

本文提出了云环境下主客观协同的信任模型SOCTM。该模型提取了主观与客观特征属性，使用模糊集将特征属性中的语言术语描述转化为具体的数值，并构建特征矩阵。通过应用TOPSIS，计算信任值向量。SOCTM使用用户主观赋权重的方法，可以根据不同用户需求，构建合适的特征矩阵，从而选择出符合用户需求的CSP。

1 相关工作

近年来，学术界提出了多种可信计算模型，并尝试将可信计算模型应用到实际工业中。但由于提出的可信计算模型都有某些方面的缺陷，因而在实际工业中的应用非常少。本节将讨论几种典型的可信计算模型，总结它们的优点与不足。

Li Xiaoyong和Du Junping[7]提出了一种自适应的可信计算模型。该模型在SLA的基础上考虑了时间和权重问题。模型以一个时间槽为测量单位，在n个时间槽内测量m个SLA属性值，首先假定m个属性的权重为(w1,w2,…,wn)，n个时间槽的权重为(a1,a2,…,an)。通过矩阵向量相乘得出最后的信任值。模型使用了粗糙集理论和IOWA算子的方法自适应的计算权重，使得最终的信任结果更加准确。但是该模型仅仅计算了客观信任值，没有结合用户的主观信任值，使得信任值的表达不够全面。

MUCHAHARI M K和SINHA S K[8]使用用户反馈的方法来建立信任模型。服务提供商的信任值由3部分组成：历史信任值、其他服务提供商对其评价得出的信任值以及当前用户反馈得出的信任值。取这三个值的平均值得出最终的信任值。能够对该服务提供商进行评价的其他服务提供商和用户都必须是可信的，也即其可信值在平均值之上。该模型每计算一次信任值，需要系统中所有服务提供商和用户对其进行评价，代价太高。

Zhao Kang和Pan Li[9]提出了一种基于机器学习的方式计算信任值的方法并将其应用在社交网络领域。他们使用SVM方法对节点进行分类，将其分为可信和不可信。该模型对应于云计算领域还是有一些不足：仅仅将节点分为可信和不可信只能提供给用户一个参考依据，不能帮助用户进行选择；由于模型需要大量的训练数据，在初期是不适用的。

2 模型的计算机制

本文提出的模型综合了客观和主观信任值。客观信任通过机器监测而得，主观信任通过用户反馈而得。将这两者结合在一起可以弥补主观或客观单一描述信任值不够准确的问题。下面具体介绍模型的计算机制。

2.1 特征属性的获取

将属性值分为两类，分别为客观特征属性和主观特征属性。客观特征属性反映了CSP在与用户交互过程中SLA协议的完成程度，属性值由机器监测得到；主观特征属性反映了用户在使用CSP提供的服务过程中的满意程度，属性值由用户反馈得到。下面分别介绍这两部分的特征属性。

客观特征属性：根据SLA协议的相关[6]概念，本文主要关心服务的可靠性、安全性和可获得性。可靠性代表了CSP提供稳定服务的能力，使用用户请求成功率来表示CSP的这一能力。CSP的安全直接关系到用户部署在其上的数据是否能够稳定存储或者是否被第三方窃取。因而CSP的安全性对用户来说是至关重要的。使用单位时间内非法请求数和数据加密等级来衡量CSP的这一特征。可获得性表示用户在使用CSP提供的服务时CSP的整体性能，用CSP平均响应时间来衡量这一特征。综上，使用4个属性来描述CSP的客观信任值，分别为：用户请求成功率、单位时间非法请求数、数据加密等级和平均响应时间。将测量的时间单位设为t，CSP与用户交互的总时间为m，对于第i个特征属性，我们取其在m个时间单位内测量值的平均值作为最终的属性测量值。

主观特征属性：用户在使用CSP的过程中主要关心CSP的性价比和稳定性，因而这两个属性可以用来刻画CSP的主观信任值。另外，CSP是否为用户提供了满意的服务也是一个重要的衡量指标。综上，使用3个属性来描述CSP的客观信任值，分别为：性价比、稳定性和满意度。用户在完成与CSP的交互后需要填写一份满意度调查，用于收集主观信任部分的信任值。

2.2 属性值的度量

一共提取了7个特征属性，其中客观特征属性有4个，主观特征属性有3个。其中用户请求成功率、单位时间非法请求数和平均响应时间这3个属性可以用数值来表示，记为X1,X2和X3；其余4个属性需要用语言术语来表示，分别是数据加密等级、性价比、稳定性和满意度，记为X4,X5,X6和X7。表1总结了这4个属性的描述术语。

从表1中可以看出数据加密等级有4个术语等级，性价比和稳定性有3个术语等级，满意度有5个术语等级。使用语言术语描述属性值，虽然表达了用户的主观感受，但具有很强的模糊性，也不能将语言术语应用到具体的公式进行计算，因而需要将语言术语转化为模糊数[10]，最终转化为具体的数值。文献[11]中介绍了一种将语言术语转化为模糊数的方法。该文献中定义了8个等级转换表，本文选取其中第三等级转换表。该等级转换表有5个等级尺度，分别为差、很差、中等、好、非常好。将属性和对应的语言描述术语转化为相应等级尺度，如表2所示。第三等级转化表对应的模糊数如图1所示。

图1 第三等级转化表

X4(数据加密等级)一级、二级、三级、四级X5(性价比)高、一般、低X6(稳定性)高、一般、低X7(满意度)非常满意、满意、一般、不满意、非常不满意

表2 语言术语与等级尺度转化表

接下来将模糊数转化为具体的数值。我们使用文献 [12]提出的左右分值法来确定模糊数的数值。具体步骤如下：

有n个模糊数，每个模糊数表示为Mi，i=1,2,…，n。分别定义模糊数的最大值和最小值：

(1)

(2)

对于模糊数Mi其左右分数值的计算方法如下：

μL(i)=supx[μmin(x)ΛμMi(x)]

(3)

μR(i)=supx[μmax(x)ΛμMi(x)]

(4)

那么，μL(i)和μR(i)都是在[0,1]之间的具体数值。

获得了左右分数值后，使用公式(5)计算模糊数Mi的具体数值：

根据上述步骤计算出了X4,X5,X6和X7各个等级尺度所表示的具体数值，如表3所示。

对于有多个用户评价同一CSP的情况，取多个评价值得平均值(评价值均转换成具体的数值)。

表3 等级尺度与数值转化表

2.3 信任值计算

使用TOPSIS来计算CSP的信任值。假设系统中有m个CSP，每个CSP提取出了n个特征属性。我们需要根据特征属性的数值计算m个CSP的信任值。假设第i个CSP的第j个属性的测量值为rij，则可用如下数值矩阵表示m个CSP的属性值：

(6)

由于每个属性值的维度不同，需要将其归一化到同一个维度上，使用公式(7)进行归一化处理：

(7)

新的数值矩阵表示为：

(8)

对于n个属性，设其权重为w=(w1,w2,…,wn)，其中wi(i=1,2,…,n)表示第i个属性的权重。那么每个属性值乘以权重后的值表示为：

(9)

其中vij=Xij*wj，i=1,2,…,m;j=1,2,…,n。

w1,w2,…,wn反映了每个属性对最终信任值的影响程度。传统方法一般使用计算者主观赋权重的方法，这种方法由于计算者的主观性太强，并不能准确表示CSP实际属性间的权重关系。为了改进这一问题，将权重的指定权交给用户，用户在选择CSP时可以根据自身需求，赋予特征矩阵合适的权重值。

根据TOPSIS，需要确定每个属性在m个CSP中对应的理想值和最不理想值。

理想值和最不理想值的定义为:

A*= {(maxivij|j∈J),(minivij|j∈J′)

|i=1,2,…,m}={v1*,v2*,…,vn*}

(10)

A-= {(minivij|j∈J),(maxivij|j∈J′)

|i=1,2,…,m}= {v1-,v2-,…,vn-}

(11)

其中J表示正向属性的集合，正向属性是指属性值越大效果越好的属性；J′是负向属性的集合，负向属性是指属性值越小效果越好的属性。

下面计算m个CSP到其理想值和最不理想值的欧几里得距离：

(12)

(13)

最后根据如下公式计算每个CSP的信任值:

(14)

对于m个CSP的信任值，选择信任值最大的CSP作为最优CSP。

3 实验模拟与分析

为了模拟云计算环境，使用云计算仿真工具CloudSim[13]进行模拟实验，下面具体介绍实验设置。

3.1 实验准确度分析

使用平均绝对百分误差(MAPE)[14]来衡量计算结果的准确度。MAPE的定义为：

(15)

其中，M表示信任值计算的准确度，Ti+1表示第i+1个时间窗内测得的信任值，Ti表示第i个时间窗内测得的信任值，n表示总的测量次数。

在本次实验中，一个时间窗表示用户与CSP的一次交互，将时间设定为20 min，总共进行20次交互。同时请来4人作为用户，每人检测与CSP的5次交互，给出主观反馈值，特征属性的属性权重也由用户给出。设置3组对比实验:第一组实验中，CSP性能优秀，CPU、RAM和带宽都较高，同时数据加密等级也达到了四级，但是价格较贵；第二组实验中，CPU、RAM和带宽在三组实验中处于中等配置，数据加密等级为三级，但是性价比高；第三组实验中，CPU、RAM和带宽配置都较低，数据加密等级也较低。每组实验中有30%的CSP不能提供承诺的服务，也就是说达不到承诺的服务标准，其余70%的CSP可达到承诺的服务标准。实验配置如表4所示。

表4 实验参数配置表

另外在每组实验中设置了3组对比条件，分别为只计算客观信任值、只计算主观信任值、主客观结合方式计算信任值。图2显示了3组实验的实验结果。第一组实验CSP的配置最高，性能最好，测得的MAPE最低；第三组实验CSP的配置最低，性能最差，测得的MAPE最高；第二组介于第一和第三组实验之间。CSP的配置高、性能好时，用户给出的反馈值也会较好，但由于配置高必然会使价格高，因而性价比不会很高，这导致第一组实验中客观信任值高于主观信任值，而主客观结合的信任值介于两者之间，因而更真实地反映了CSP的信任情况。注意到第三组实验中，主观信任值测得的结果是在客观信任值之上的，这是因为当CSP的配置较低时，其性价比相对来说是较高的，使得测得的主观信任值高于客观信任值。

图2 实验准确度分析

综上，可以得出使用主客观结合的信任模型比单独使用主观或客观信任模型计算出的信任值更加准确、可靠。

3.2 模型主观偏好分析

在2.3小节中指出SOCTM是通过用户主观赋权重的方式确定各个特征属性的重要程度的。本小节通过实验验证该方法能否帮助用户选择符合自身需求的CSP。

实验中设置4个CSP，每个CSP都有一个特征属性值高于其他组，其余特征属性值相同。CSP1性价比较高，CSP2数据加密等级较高，CSP3用户请求成功率较高，CSP4平均响应时间短(更好)。设置4组属性权重，代表用户的主观偏好，如表5所示。

表5 属性权重表

将4组属性权重分别应用到CSP的信任值计算中，结果如图3所示。

图3 不同属性权重对应的信任值

从图3可以看出，当某一特征属性的权重较大时，本文的计算模型会将该特征属性值较大的CSP挑选出来。如第一组实验，特征属性的权重值为0.1，0.1，0.1，0.1，0.3，0.1，0.1，也就是说用户比较关心性价比这一特征，从实验结果可以看出，计算出CSP1的信任值最高，而CSP1的性价比是在4个CSP中最高的，因而挑选出了符合用户需求的CSP。

3.3 与其他模型比较

将SOCTM(模型1)与文献[5]中提出的基于SLA的信任模型(模型2)进行比较。为了公平起见，将各个特征属性权重都设为相等的值，则模型1每个特征属性的权重为0.142，模型2每个特征属性的权重为0.25。模型1中主观信任值由5名用户给出；模型2中不包含主观信任值。实验均在5个CSP，20个时间窗内进行。图4是实验结果。从图中可以看出模型1的准确性要高于模型2。这也说明了本文的模型要优于模型2。

图4 两种模型对比

4 模型的应用

SOCTM可应用在实际的云环境中，应用场景如图5所示。典型的云环境会有多个CSP，用户需要从多个CSP中选取符合自己需求的CSP。传统的选择方法是根据以往的口碑、价格、服务类型等因素，用户自己去判断哪一个CSP更好，这种判断带有很强的主观性。另外，影响用户判断的因素往往不是公正、客观的。图5中使用信任服务提供商(Trust Service Provider, TSP)作为中间信任代理，用户在选取CSP时将直接与TSP进行沟通，根据TSP提供的信任数据，选取合适的CSP。SLA Monitor Module 和 User Feedback Module用于收集用户数据，Trust Value Computing Module用于计算CSP的信任值，信任值计算使用了SOCTM提出的计算方法。其余模块负责数据存储、CSP注册、用户协商与推荐等相关工作。

SOCTM在云环境中的应用将提高用户选择CSP的效率，使用户选择出性价比更高、更符合自身需求的CSP。

图5 SOCTM模型应用场景示意图

5 结论

本文提出了主客观协同的信任模型。该模型选取了4个客观特征属性以及3个主观特征属性来计算信任值。在信任值的计算中，将主客观特征属性结合在一起，使用TOPSIS计算多个CSP的信任值。同时，应用模糊集将语言术语转化为具体的数值，方便了信任值的计算。在特征属性权重方面，使用用户赋权重的方法，可以满足不同用户的特殊需求。从实验结果可以看出本文提出的模型可以挑选出符合用户需求的CSP，同时在准确性方面，本文的模型也要优于其他模型。

虽然本文的模型取得了不错的效果，但仍然有许多需要改进的地方。客观特征属性的选取过程中只选取了4个关键属性，在实际应用中，可能不能完全描述CSP的服务情况。另外，可以将CSP的历史信任值作为用户选择CSP时的参考值，如果计算CSP信任值时的属性权重符合用户需求，那么用户在选择CSP时，系统就不必重新计算信任值了，这样可以大大提升模型的效率。

[1] KAPIL D, TYAGI P, KUMAR S， TAMTA V P. Cloud computing: overview and research issues[J]. 2017 International Conference on Green Informatics，ICGI, Fuzhou, China, 2017：71-76.

[2] HARBAJANKA S， SAXENA P. Survey paper on trust management and security issues in cloud computing[J]. 2016 CDAN, Indore, 2016：1-3.

[3] 沈昌祥,张焕国.可信计算的研究与发展[J].中国科学，2010,40(2):139-166.

[4] 丁滟,王怀民. 可信云服务[J].计算机学报，2005,38(1):133-149.

[5] CHAKRABORTY S， ROY K. An SLA-based Framework for Estimating Trustworthiness of a Cloud[J]. 2012 IEEE 11th International Conference on Trust, Security and Privacy in Computing and Communications, Liverpool, 2012：937-942.

[6] ALHAMAD M, DILLON T， CHANG E. Conceptual SLA framework for cloud computing[J]. 4th IEEE International Conference on Digital Ecosystems and Technologies, Dubai, 2010：606-610.

[7] Li Xiaoyong，Du Junping. Adaptive and attribute-based trust model for service level agreement guarantee in cloud computing[J]. IET Information Security, v2013,7(1)：39-50.

[8] MUCHAHARI M K， SINHA S K.A new trust management architecture for Cloud computing environment[J]. 2012 International Symposium on Cloud and Services Computing, Mangalore, 2012：136-140.

[9] Zhao Kang， Pan Li. A machine learning based trust evaluation framework for online social networks[J].2014 IEEE 13th International Conference on Trust, Security and Privacy in Computing and Communications, Beijing, 2014: 69-74.

[10] DUBOIS D, PRADE H. Fuzzy sets and systems: theory and applications[M]. New York：Academic Press, 1980.

[11] CHEN S J， HWANG C L. Fuzzy multiple attribute decision making[M]. Lecture Notes in Economics and Mathematical Systems，Springer, 1992,375 (1) :289-486.

[12] Chen Shanhuo. Ranking fuzzy numbers with maximizing set and minimizing set[J]. Fuzzy Sets and Systems, 1985，17(2)：113-129.

[13] CALHEIROS R N, RANJAN R, BELOGLAZOV A, et al. CloudSim: a toolkit for modeling and simulation of cloud computing environments and evaluation of resource provisioning algorithms[J]. Software: Practice and Experience, 2011,41 (1) :23-50.

[14] SWANSON D A, TAYMAN J, BRYAN T M. MAPE-R: a rescaled measure of accuracy for cross-sectional subnational population forecasts[J]. Journal of Population Research, 2011，28(2-3):225-243.