基于模糊信任的网格访问控制模型

刘思凤， 谢仕义

(广东海洋大学信息学院，广东湛江524005)

0 引 言

信任是一个复杂概念，是简化复杂系统的一种有效方法。信任可以分为两类[1-2]：身份信任和行为信任，身份信任涉及鉴别实体之间的授权真伪，但难以很好地解决网格资源和站点的动态变化问题，网格资源是动态加入和动态撤离的，使相互之间的信任关系比较难以预先确定。模糊逻辑非常适合量化资源之间的不确定性及信任对等群组，但模糊理论没有被充分利用网络安全的访问控制，是当前研究的一个热点问题。

本文提出了一种基于模糊信任的访问控制模型(trust access control model of fuzzy，TACMF)，基于直接和声誉(或行为信任)两者结合的信任计算模式，应用模糊理论来处理模糊性和不确定性动态资源的信任属性，旨在更好地解决网格资源动态变化的信任关系问题。TACMF以评估本地安全条件为宗旨，基于模糊推理量化资源域的信任为基础，用信任索引(trust index，TI)量化站点和资源域的可信度，以实现动态资源的安全访问控制要求。根据以往作业的执行经验及站点自身评价资源的防御能力，进行资源访问控制的权限管理，用信任管理强制执行信任安全策略，以保证安全的资源分配。

1 模糊信任的相关问题

信任关系可以用期望值对信任进行度量，本系统用TI描述信任度量，用于定义站点及资源域的信任度，用来约束及实现正确的信任关系。当进行信任为基础的决策时，实体之间可以依照代理之间的信任评价，选择能满足其执行条件的信任合作者，协同进行资源的安全访问。

1.1 信任与代理

凡是涉及合作与交互的场合都需要引入信任，同人类社会关系类似，信任来源于直接信任和声誉[1-4]。前者强调Agent自身评价，而后者是流传于社会的声誉。声誉是一个关于Agent的期望基于行为信息(通过观察其过去的行为表现)。在形成信任时，前者也比后者更加可靠。但是，在开放的网格多代理系统(multi-agentsystems，MAS)中，前者不易得到，有时需要依靠后者完成评价。例如，假设实施信任评价的主体称为评价Agent a，被评价的合作者称为目标Agent。如果a与b之前没有交互过，它们之间没有任何信息来计算其相应的信任评价。在这种情况下，若b有其它Agent的推荐或以往行为表现证明信息提供给a，则Agenta将可以做出关于Agentb可信度相关的评价。

1.2 信任和声誉

两个域之间的信任关系，有两种情况需要定义[5-10]：①直接关系(直接信任)；②声誉(间接推荐为基础的信任)。假设两个域分别为Di和Dj，为了定义它们之间的信任关系，每个域的信任Agent定义和维护两张表如表1及表2所示，描述了Di和Dj上下文c(指许可和权限的集合)在时间t的信任评估。从直接信任关系表2中看到，对一个特定上下文ci在时刻t，Dk能在两个域之间利用Dj资源部署服务。因此，这两个域之间存在着直接的信任关系，并且这种关系可以不对称，既关系中涉及的两个域相互的信任评价可能不同，每个域各自拥有定义(如表1所示)。当Di希望与Dj交互，除了依据直接的信任评价，Di也可以依靠其它域Agent对Dj的推荐。因此，每个域的信任Agent将依照直接以及推荐信任评估方式。

信任是一个动态值，是建立在特定时间及具体上下文的以往交互经验的基础上，当实体之间长时间没有直接或间接的接触行为发生时，其信任关系会随着时间的推移而衰减弱化，可能从非常值得信任的评价到非常不可靠的跨越。所以，交互时刻在计算当前声誉时对历史评价进行衰减，距离当前时刻近的交互评价更能反映站点的近期行为。故交互时间距离计算声誉值的时间越远，交互评价对声誉值的影响应该越小。

1.2.1 直接信任

网格站点的直接交互，是指两个域Agent之间的直接相互作用。Agent在交互前需要通过评估系统，选择能满足其交互目的合作者，决定何时、同谁以及如何进行交互。

定义1 直接信任：设Di和Dj两个域Agent分别为a和b，如果Agenta相信与之交互的另一个Agentb，交互的特定上下文c在时刻t，用TI表示信任度，则直接信任表示为t(a,b,c,TI)，TI∈{vh,h,m,l,vl}，其中的语义由表1和表2所示定义。

表1 直接信任

TACMF将TI划分为5个级别，以准确刻画站点的可信度，Agent根据TI选择交互者，满足不同层次资源访问的需要。评估信任等级和主体属性的参数可以根据应用需求来动态地定义，增强了适应网格动态复杂环境的变化。

表2中，Di与Dj信任TI，基于交互的特定上下文c在时刻t，直接信任关系表示为TI(tij,c)，同样方式Dj与Di的直接信任关系可以表示为TI(tji,c)。

表2 直接信任关系

1.2.2 基于声誉的信任

对于任意一个站点n，信任机制根据n执行过的交互情况和其它域对其交互行为的评估，为该域分配一个信任值，使得其它站点可以根据n的信任级别做出是否与其交互的决策。故行为信任度量反映了节点历史交易行为的可信度。

定义2 推荐信任：设Di和Dj两个域Agent分别为a和b，如果Agenta认为另一个Agentb值得信赖，特定的上下文c在时刻t，推荐至其它域信任索引为RTI(recommender trust index)，则推荐信任表示为rt(a,b,c,RTI)，其中的语义见表3定义。

表3 推荐信任

然而，对于Agent本身可能存在与推荐Agent不一致的信任评价问题。

1.2.3 信任和声誉权重

基于直接信任和声誉相结合的基础上[6-10]，权衡两个不同组成部分的权重，以解决上述Agent之间信任评价不一致的问题。设域Di和Dj直接和声誉权重分别为 和 (且 ∈[0,1],∈[0,1],+=1)。若权重赋值由个人域定义，那么Di可能更多信任业务合作伙伴或盟友比其它域：①Di将给其合作伙伴和盟友的推荐或直接交互关系域更大的权重 (>0.7或 >0.7)；②Di可以通过策略指定只接受从哪个域的推荐或直接的信任关系，Di对不信任的推荐或与推荐人没有相互作用关系将分配一个比较小的权重 (<0.3或 =0)。将直接信任t(a,b,c,TI)及推荐信任rt(a,b,c,RTI)的权重表示为

2 模糊信任访问控制模型

2.1 体系结构

TACMF体系结构设计如图1所示，是一个基于模糊推理量化的信任评估模型[5,9-13]。系统架构基于VPN(virtual private network)隧道技术。

当前系统建有4个资源站点{R1,R2,R3,R4}的模拟环境，用户提交请求到Agent域R4，第一次交互Agent之间需要双向认证，所要求的资源和计算能力在提交时提供，认证通过后Agent将请求广播到其它域中的Agent，Agent之间通过直接及推荐信任(如2.2所述)进行安全的资源分配，资源域之间协同完成作业的执行。

图1 TACMF体系结构

2.2 模糊信任管理

TACMF主要包含两部分功能：资源管理和信任管理，资源管理用于资源调度、监测资源状态和维护作业的执行，信任管理通过模糊推理评估系统，评估站点的信任索引。

系统在每个资源域定义上下文c在时间t，整个网格环境的信任增量更新，以及跨边界资源定期信任传播，对分布式模糊推理信任策略强制执行。该模型考虑了交互时间对信任度的影响，当进行信任为基础的决策时，实体之间可以参考推荐代理的信任评价。用户在提交作业前通过评估系统，选择能满足其执行条件的信任TI等级的合作者，系统执行过程如下：

(1)用户提交请求到Agent域R4；

(2)用户和TACMF Agent之间双向认证并提交作业；

(3)Agent将资源请求广播；

(4)资源管理应答请求；

(5)Agent生成资源分配方案；

(6)用户确认；

(7)调度资源并执行作业；

(8)执行结果报告用户。

每个资源域维护自身的信任向量，定期更新，信任交换通过信任之间的传播。

3 模糊信任量化

3.1 信任知阵

TACMF在每个资源域的信任Agent通过模糊推理系统，评估量化站点的TI，定期进行信任更新和信任传播的信任集成一体化[5,9-13]。可信资源域依据以前作业的执行经验，每个资源域Agent维持自身信任向量。对于K资源站点，tij(1≤i,j≤k)代表 Ri访问资源域 Rj的 TI，资源域 Rj信任向量定义列向量如下

当资源分配管理将作业提交到Ri时，信任向量Vi计算其性/价比。综合所有信任向量，对 k站点资源域定义信任矩阵如下

其中，与 不一定相等。

例如，若图1中的R1，R2，R3这3个站点对应信任向量为V1，V2，V3，信任矩阵 M，设 TI∈{vh，h，m，l，vl}{vh∈([0,0.2]，h∈(0.2,0.4]，m∈(0.4,0.6]，l∈(0.6,0.8]，vl∈(0.8,1]}，展示了一个信任向量实例如图2所示。

图2 信任向量及信任知阵

信任集成过程：

(1)模糊推理判断的信任量化在每个资源域；

(2)每个资源域信任增量更新；

(3)定期对所有资源域信任传播和集成一体化。

3.2 信任更新

资源域Ri的信任向量Vi在以下两种情况下改变：

(1)大量作业提交到Rj已执行，执行状态(无论成功或失败)报告 TACMF AgentRi。

(2)信任管理在每一个资源域报告信任和防御能力的变化。

AgentRi对站点Rj监测所有作业的执行，分析站点作业执行的成功率和防御能力。令 tij代表新的安全和执行信息，计算从旧的TI到当前新的TI，用加权平均更新信任如下

当1≤i，j≤k对应k资源域，加权因子 ∈(0,1)为随机变量，如果历史安全记录或旧的TI更有意义，应设置为较高值。相反，如果新的信任占主导，则 设置一个较小值。对安全敏感的应用，系统应适应信任值迅速改变，以反映最新信任更新变化，故 应取比较小的值(如 <0.3)。但对于稳定和相对低的安全敏感应用，可取值 >0.9。一般情况下，可以设置 ∈[0.8,0.9]。

Agents之间定期相互广播信任向量，更新周期依赖于网格应用。作为高度敏感的应用，采纳小的更新周期。否则，可以更长的更新周期。对于n个资源站点，每个站点的影响大约取1/n，从另一个资源站点Rj的影响，计算新的站点Ri的信任向量如下

为了从过去经验计算TI，信任和声誉在数据库中各自的Agents需要记录对方以前交易，数据库存储最新Agents的评估，并保存历史记录H，使系统动态信任更新。

4 实验与分析

系统节点包括资源提供、信任管理、访问控制、调度管理等。我们模拟了200个作业的执行，资源调度采用符合泊松分布的随机函数，为了取得更多的数据，控制调度在高频率范围进行。每100个作业为一组，以便分析和发现TACMF对系统的影响，200个作业在各个站点并行调度执行。对原系统(没有建立TACMF)与TACMF系统执行比较，作业失效率和平均等待时间如表4所示。

由表4分析得出，TACMF的信任集成，能够修复信任。200个作业调度失败率从原55/200=27.5%下降到6/200=3%，调度失败率降低了24.5%。作业平均等待时间由原系统23～18分左右，降到当前5～1分左右。

表4 系统性能分析

实验反映推荐节点在成功推荐及恶意推荐状态下，推荐因子更新结果对系统执行的影响。实验中将30%评价定义为恶意推荐，TI给予一个区间[0,1]的随机数，将TI>0.5平均值的资源称为可信资源。基于TI信任调度算法取得了较大的吞吐量，比之前者提高了25.3%；调度失败率则从原22.5%降到2.3%；可信资源调度率从原65.2%提高到当前90.8%，提高了25.6个百分点，系统中一些恶意评价或非常规评价被修正。显然，TACMF一定程度上避免了良好资源被恶意评价而导致的调度率下降问题，使系统维持了一个较高的资源匹配率，因此吞吐量有一定提高。

5 结束语

TACMF基于模糊信任一体化，每个资源域维护自身的信任向量，定期进行信任更新，信任交换通过信任之间的传播，由信任域对模型传播信任TI。

TACMF信任集成评估方法降低了平台的脆弱性。通过模糊推理量化信任关系，促使更多的资源按照实际服务水平得到评价，从而作业可以按照实际需求获得更优的资源，使系统调度失败率下降，用户应用程序执行大大地缩短了等待时间。实验分析结果清楚表明，模糊信任集成量化信任的有效性，较好地解决了网格动态资源不确定性的安全访问问题，该信任模型的评估方式能够有效评估网格站点的可信性和可靠性。

[1]查礼,李伟,余海燕,等.面向服务的织女星网格系统软件设计与评测[J].计算机学报,2005,28(4):495-504.

[2]姚慧,高承实,戴青,等.一种基于动态规划的自动信任协商策略[J].计算机应用,2008,28(4):892-895.

[3]Kwok Y K,Song S,Hwang K.Selfish grid computing:game-theoretic modeling and NAS performance results[C].Cardiff,UK:Proceedings of CCGrid,2005.

[4]李小勇,桂小林.大规模分布式环境下动态信任模型研究[J].软件学报,2007,18(6):1510-1521.

[5]Zhou RF,Hwang K.Power-trust:A robust andscalablereputation system for trusted peer-to-peer computing[J].IEEE Trans on and Distributed Systems,2007,18(4):460-473.

[6]张焕国,罗捷,金刚.可信计算研究进展[J].武汉大学,2006,52(5):513-518.

[7]Li X Y,Gui X L,Zhao J,et al.Engineering trusted P2P system with fast reputation aggregating mechanism[C].Proc of the IEEE Int'l Conf on Robotics and Biomimetics.Washington:IEEE Press,2007:2007-2012.

[8]Theodorakopoulos G,Baras JS.On trust models and trust evaluation metrics for ad-hoc networks[J].IEEE Journal on Selected Areas in Communications,2006,24(2):318-328.

[9]Liang ZQ,Shi WS.Analysis of recommendations on trust inference in open environment[J].Journal of Performance Evaluation,2008,65(2):99-128.

[10]Ji M,Orgun MA.Trust management and trust theory revision[J].IEEE Trans on Systems,Man and Cybernetics,2006,36(3):451-460.

[11]Josang A,Ismail R,Boyd C.A survey of trust and reputation systems for online service provision[J].Decision Support Systems,2007,43(2):618-644.

[12]Huynh TD.Trust andreputation inopenmulti-agentsystems[D].Southampton:Electronics and Computer Scfence,University of Southampton,2006.

[13]Jr Gardner ES.Automatic monitoring of forecast errors[J].Journal of Forecasting,2006,2(1):1-21.