邵旻晖， 张琳

(上海海事大学 信息工程学院， 上海 201306)

0 引言

云计算通过将各种互联的计算资源进行有效整合并实现多层次的虚拟化与抽象，以可靠服务的形式提供给用户，依靠低成本、超大规模、高可扩展性等独特优势引发了IT产业界的技术革命[1]。尽管云计算正在越来越受欢迎，但日渐增加的云计算安全问题已经成为云计算推广与发展的重要阻碍。

云计算环境中包含两类主体和两类客体，分别是云服务提供商、云租户、云端数据、云基础设施，它们之间不仅存在着服务与被服务关系、支撑与被支撑关系，还存在着复杂的攻击与被攻击关系[2]。云安全需要研究的问题主要集中在3个方面：信任问题(Trust)，网络与系统安全问题(Security)，隐私保护问题(Privacy)[3]。首先，云计算中普遍存在数据安全性与隐私性的忧虑；其次，云计算用户需求和云计算提供商的服务模式出现了明显的信任危机[1]。信任问题包括信任建模和可信管理问题，是云计算模式中保障节点间安全交互的基础[4]。未来云安全的焦点会进一步转移到信任管理上来，传统的信息安全将会进一步发展为服务方和被服务方之间的信任和信任管理问题。

现实社会中，常采用信任协商与评价机制来解决信任问题。在云计算中，增强用户和服务商之间的相互信任成为云安全中需要迫切解决的问题。针对这一问题，国内外学者对云计算的信任评估做了大量的研究，建立了许多有效的信任模型。文献[6]提出了一种基于D-S证据理论和滑动窗口的云计算信任模型；文献[8]提出了一种云计算环境下多维信任和信誉度计算模型；文献[10]提出了一种结合云模型和贝叶斯网络的不确定信任模。本文针对现存的云计算安全问题，描述了信任在云计算安全领域的具体应用，并分析了参考文献中各信任模型的优缺点。

1 信任和信任管理

1.1 信任的定义和性质

信任是一个多学科的概念，在计算机领域中，最早关于信任的定义是由D.Gambetta给出的信任定义：信任(或与之相对应的，即不信任)是指一个Agent执行某一特定行为的主观可能性的特定层次，它出现在行为被监控前(与Agent原本能否监控这一行为无关)，并且该行为对其自身行为产生影响的情况下进行[5]。

根据以上定义，得知信任具有以下性质:(1) 主观性：不同用户对同一服务的评价因主观喜好的不同而不同。(2) 上下文相关性：任与上下文环境紧密相关，信任值是针对特定的上下文环境而言的。(3) 动态性：实体之间的信任会随着时间、交互次数等不断变化而变化，每一次交互都会影响它们之间的信任关系。(4) 可度量性：信任可以根据一些外在特征加以量化和度量，其结果的精确程度与信任评估的方法有直接关系。(5) 传递性：在一定条件的约束下，信任是可传递的，通常信任会随着传递链路的增长而衰减。

根据获取方式的不同，信任可分为直接信任和推荐信任。直接信任是用户实体与服务供应实体之间，通过直接的服务交互建立的一种信任关系；推荐信任是用户实体根据其他用户实体的推荐，与服务供应实体之间建立的一种信任关系[5]。

1.2 信任管理

信任管理是信任的延伸，根据主体之间信任关系描述和获取方法，信任管理分为基于策略的信任管理和基于声誉的信任管理。基于策略的信任管理适用于大规模分布式计算系统中的授权和访问控制，可以保护敏感资源或服务，但不能为请求者提供安全保护。基于声誉的信任管理主要用于隔离恶意的服务或服务提供者，能保证请求者的安全，但不适合保护敏感服务。

信任管理涉及的关键技术主要有信任表述、信任度量和信任度评估等。当前的信任评估模型中，出现了多种信任值表示方法。比较常见的有以下五种方法:(1) 离散值表示实体的信任值；(2) 取值在[0，1]之间的概率值表示信任值；(3) 模糊理论中的特征向量和隶属度等概念定量化描述实体的信任值；(4) 基于灰色系统理论用灰关联度描述实体间的信任关系；(5) 根据信任关系及其描述方式的特点，用云模型表述信任值。根据信任的主观性特征，实体之间可以依据历史交往经验建立信任关系，通过信任评估技术可以对实体之间的信任值进行评估。

2 信任模型

2.1 基于概率的信任模型

此类模型的基本思想是: 实体间历史交往经验中成功与失败的活动次数符合某种概率统计规律，根据这种规律构建实体间的信任关系模型，典型代表为Beth模型。Beth 模型将实体间历史交往经验分为肯定经验和否定经验，根据信任是否由经验推荐将信任分为直接信任和推荐信任，并给出了信任度推导和综合计算公式，计算实体能够完成任务的概率，此概率即为实体的信任度。

文献[6]提出了一种基于D-S证据理论和滑动窗口的云计算信任模型，用于评估实体的可信度，并检测出用于云计算的恶意实体[6]。模型中，实体之间的交互证据作为第一手证据，利用滑动窗口评估交互证据的及时性，根据基于D-S证据理论的交互证据计算实体的直接信任。来自不同实体的推荐信任值被视为二手证据，推荐信任作为二手证据的冲突被通过改进的融合方法尽可能地消除。最后，通过实验验证了该模型的有效性和抗攻击性。

随着时间的推移，交互证据会不断增加。但是，证据信息的重要性会随时间而衰减，并且消极证据的重要性比积极证据的衰减更慢。为了合理评价基于证据信息的实体信任，采用滑动窗口描述证据信息的时效性。引入滑动窗口后，仅在窗口内的交互证据是有效的，只有有效的交互证据会影响实体的信任度。这样，实体间的信任度就不会因过度的交互证据而增加或减少。该模型利用D-S证据理论计算实体之间的直接信任，因为D-S证据理论可以用概率范围表达实际问题的不确定性。在信任网络中，存在来自不同实体的多个推荐信息，如果建议之间存在严重冲突，结论可能与证据不一致。参考关于冲突证据的融合方法，通过调整权重因子来控制过去相互作用的影响，计算每一个建议的权重。最后，所有推荐信任的组合形成实体的声誉，根据Dempster法则计算。

该模型的优点是: (1) 执行简单，如果系统中有n个云服务商和m个云用户，算法的时间复杂度为O(n×m)。(2) 在滑动窗口机制中，交互被划分为有效交互和无效交互。只有有效交互才能影响实体的信任度，从而反映了交互的及时性。(3) 基于D-S证据理论，实体的信任度根据实体的行为动态变化，同时评估云服务商和云用户的信任。(4) 该模型可以在一定程度上帮助系统识别恶意实体，提高成功的交互率。增强了系统的抗攻击性。

该模型的不足是: (1) 基于概率的信任评估模型将信任完全建立在精确的数学模型之上，将信任的模糊性等同于随机性，不能很好地反映信任的本质。(2) 仅采用肯定经验度量信任关系，采用简单的算术平均综合多个推荐信任，无法很好地消除恶意推荐所带来的影响。(3) 对直接信任的定义比较严格,但模型中仅采用肯定经验对信任关系进行度量,过于片面,不能完整刻画实际信任关系[6]。

2.2 基于信誉的信任模型

基于信誉的信任模型认为，信任是主体对客体特定行为的主观可能性预期，取决于经验并随着客体行为的结果变化而不断修正。在基于信誉的信任模型中，实体之间的信任关系分为直接信任关系和推荐信任关系，分别用于描述主体与客体、主体与客体经验推荐者之间的信任关系[7]。

文献[8]提出了一种云计算环境下多维信任和信誉度计算模型[8]。在云计算环境中，信任包含多个因素，如风险、声誉、行为、动机、可用性等。文献中主要考虑两方面的信任和声誉云服务。第一方面，云数据的信誉包含不同的参数，如数据处理、数据保密、数据存储、数据传输和数据安全。第二方面，云服务的声誉取决于服务的可用性、可靠性、周转时间和服务使用因素。文献中提出了一个基于信息融合理论的自适应权重分配算法，每个因子有一定的权重，由WMA-OWA的组合算法进行动态分配。最后整合所有的信任和声誉因素来评价整体的信任和信誉值。

计算云服务的声誉采用以下步骤：(1) 分别计算数据处理因子、数据传输因子、数据隐私因子和数据安全系数。(2) 为每个数据因子使用WMA-OWA组合算法的权重分配。(3) 结合所有的数据因素，计算数据信任值。(4) 分别计算服务可用性因子、服务可靠性因子、服务周转时间和服务使用因子。(5) 使用WMA-OWA组合算法对每个声誉因素进行权重分配。(6) 结合所有声誉因子。(7) 得到服务的数据信任值和信誉度。最后把这两个值结合起来，得到了总的信任值。

该模型的优点是: (1) 云数据信任引入了五个信任因子，云服务的声誉引进了四个信任因子，WMA-OWA组合算法可以动态分配上述参数的权重，能比较全面的计算准确可靠的信任值。(2) 多维信任体系可以客观的描述出云服务的可信程度，支持个性化服务提供，防止恶意评价、随意评价等攻击问题。(3) 该模型是一个自适应系统，可以让服务提供者提供更高期望的服务和更安全的方式，达到足够的信任阈值，从而满足云服务提供者和用户之间的信任关系。

该模型的不足是: (1) 在现实应用中，信任值往往只包括其中几维的数据，而且每个用户侧重的数据维度是不同的。在某些维度缺失的情况下如何进行信誉度计算是需要考虑的。(2) 用WMA-OWA组合算法动态分配权重，虽有利于提高安全性，但这也增加了信誉管理复杂性，需要较高的计算效率与更高的时空成本。(3) 在进行信誉度计算时，信任数据仅用于选择服务提供者。

2.3 基于云模型的信任模型

云模型理论是在对概率理论和模糊集合理论进行交叉渗透的基础上，通过特定的构造函数形成定性概念和定量描述之间的转换模型。经典的信任模型分别基于概率论或模糊集理论，分别具有随机性或模糊性，而云模型是一个很好的解决不确定性问题的方法。信任云是一种特殊的云模型，它根据信任关系及其描述方式的特点，把对信任的表达用云模型的方式反映出来，表现为一个三元组(Ex，En，He)[9]。其中Ex是信任期望，作为基本信任度；En是信任熵，代表信任关系的不确定度；He是信任超熵，代表信任熵的不确定度。

虽然云模型很适合表示信任度，但是对于上下文感知的信任评估和动态更新是无效的。相比之下，贝叶斯网络作为一种不确定推理工具，对动态信任评估更有效。文献[10]提出了一种结合云模型和贝叶斯网络的不确定信任模型[10]。

文献中用云来表示主观信任，称为信任云。一个服务实体的总体信任用一个元组T(Ex，En，He)来表示。在评级系统中，每一级代表满意的程度，第一级是“非常不满意”，最后一级是“非常满意”。使用贝叶斯网络计算前，需要所有云滴结合上下文信息作为证据，云滴的期望是Ex，采用了时间衰减机制使新的评级影响更强。现有的基于云模型的信任模型都没有明确地考虑上下文信息，主要原因是要将上下文信息集成到云中并不容易。贝叶斯网络可以用来集成上下文信息的信任评估，以提高准确性。信任云与贝叶斯网络结合起来可以形成上下文感知的信任模型。事实上，信任度的确定程度可以代表信任值的变化，因为实体改变行为越多，当前评价值与信任期望值之间的差异越大。文献中将衰减系数设为贝叶斯网络所取的最新评级的确定程度，计算数字特征(Ex，En，He)和每个等级的确定度。对于每一个评分者，其可靠性可以由其所有评分的平均确定度来估计，平均确定度越大，评分者越可靠。用信任云作为决策的标准，显然，信任度高、不确定性低的实体更可信。

该模型的优点是：(1) 信任的不确定性是使用不确定推理的合理理论来明确表示和评估的，即使实体的行为发生动态变化，评估也会更加准确。(2) 上下文信息被明确地集成到信任评估中，使得服务提供者的选择是上下文工具。(3) 信任云模型与贝叶斯网络结合实现了对信任概念的完整描述，能够将主体主观信任的模糊性、随机性和不确定性有机结合起来，获取的信任信息包含更多的语意内容，增加了信任相关决策的依据[9]。

该模型的不足是：(1) 文献中针对不法分子的攻击行为没有提出相应的惩罚机制，没有起到对攻击行为的抑制作用。(2) 针对用户偏好属性权重算法的设计具有较强的主观性，没有设置相应的控制因子以确保算法的稳定性。(3) 有许多实验条件都是在理想状态下，不公平的评价过滤和信任聚合在文中未较好讨论。

3 总结

随着云计算的迅速发展，云服务改变了人们的生活，人们享受着“云”带来的便捷。云计算的核心模式是服务，服务的前提是用户和服务提供方建立信任。信任本身存在着不确定性，所以在信任模型的构建中，信任的描述是关键也是最困难的。本文对信任管理和信任评估技术的研究现状进行了分析和总结，分析了三种基于不同方法的信任模型，指出了它们的优势与不足，希望让读者对云计算安全问题有所认识。