云服务可信性量化模型研究

朱茗，汪京培

（工业和信息化部电子第五研究所，广东 广州 510610）

0 引言

云计算平台依赖资源租用模式为租户提供资源和能力。租户把个人数据、程序存储到云端。在这种模式下，租户失去了对云平台资源的强制控制权。同时，云服务提供商甚少透露云端内部信息与处理过程，租户对于自己的数据与程序是如何被处理的毫不知情。在安全事件发生后，也难以通过安全审计对云环境中的恶意行为进行追责。由此，导致了租户对云服务提供商缺乏信任。另一方面，云计算平台本质上也是一种信息系统，因此其和大部分信息系统一样存在共性安全问题，在提供服务的同时不可避免地会出现诸如安全漏洞、病毒入侵、恶意攻击和木马后门等安全问题，这些问题将导致云平台有可能被恶意地利用，使租户的权益受到损失、公共基础服务遭到破坏。

针对目前云计算平台有可能被恶意利用和云服务提供商不被信任的问题，迫切地需要建立一个客观、科学和有效的方法来判断和评估云平台是否可信。而评估方法是依赖于评估模型的，因此，需要先研究建立云服务可信性评估模型。可信性包括安全性、可靠性、生存性和可用性等质量属性，这些属性结合云平台结构和云服务行为元素会生成一些新的特性，每一个特性都需要进行指标提取和量化分析，因此，迫切地需要建立一个针对云平台可信性的指标体系和对应的评估模型。本文针对典型的云服务应用，通过对可信性质量属性建模，建立云服务可信性量化评估模型，从而指导云服务可信性评估方法的建立。

1 国内外研究现状和趋势

云计算广泛地应用于诸多领域，由于具有虚拟化、资源池化、共享、弹性伸缩、第三方租赁和泛网络访问等特点，因此，其在信息安全方面面临着巨大的冲击和挑战[1]。云计算安全可信是度量云租户安全目标与云服务商安全服务能力的尺度。目前针对普通信息系统的评估研究得较多，对于云平台可信评估的研究仅仅局限于信任评估模型和基于可信性计算的管理框架上[2]，评估的细粒度不足。而且目前业界尚未提出一种从理论角度来证明云平台可信性的方法论，仅仅在可验证计算协议上进行了一些有益的初步探索[3]。冯登国将云计算安全技术框架分为两个部分：云计算服务体系和云计算安全标准及其测评体系[4]，对云安全测评体系的建立具有指导意义，但在测评模型、体系结构和关键技术方法等细节方面未做描述。

在云平台的可信性模型方面，国内外学者已经做了一些研究。Undercoffer[5]等定义了一个本体描述语言，用于识别、报告和相关性分析，并使用DARPA Agent Markup语言进行了实现，并应用于攻击描述。余小军[6]等也提出了一种基于本体的概念建模方法，在可信性概念上进行了有益的探索，但缺乏具体的实施方案。Rountree[7]等人提出了一个技术框架来描述云安全标准和评估体系，能够协助建立云安全评估系统，但仍然缺乏具体的评估方法。赵波[8]等利用标记变迁系统建立了云平台可信性分析模型，可验证云服务组件交互和系统状态变迁过程的可信性，但可信性质量属性提取有待完善。为了从租户角度对云服务的可信性进行评估，有些学者[9]将服务等级协议 （SLA：Service Layer Agreement）引入可信评估中，通过对SLA各个属性的参数进行实时监测，将客观监测值作为信任评估的一个重要因素对服务进行信任评估。Wang[10]等人提出了一个基于SLA的第三方概念化平台，在此平台上收集租户评价并进行信任评估，但是此评估模型与一般信誉评估机制类似，只对租户评价收集，忽略了SLA参数在评估服务水平中的重要性。

总之，已有的研究缺乏完善的云计算可信性指标评估模型。因此，本文将针对上述不足，基于云服务可信性指标体系，建立云服务可信性评估量化模型，以指导云服务可信性评估方法的建立。

2 云可信性质量属性建模

首先，给出一个典型的云服务应用场景：为了推动电子政务系统工作的互联互通，提高其工作效率而租用云服务平台，现有的百度、Google、Amazon、腾讯、华为和阿里等各种云服务平台都宣称能够提供高效、安全的云服务。那么选择哪家云服务平台更合适呢？这就需要评估哪家的云服务更安全、可靠、与业务需求更匹配，此外还需要建立评估指标体系和评估模型来量化云服务的可信性。

定义1可信性：参与计算的组件、操作或过程在任意条件下是可预测的，在出现人为和系统错误、恶意攻击，以及设计和实现缺陷的情况下，系统仍可以按预期完成任务。可信性包括许多方面，例如：安全性、可靠性和可生存性等。

这些质量属性结合云计算平台的结构组件和服务特征将生成一系列的评估项，具体的内容包括以下几个方面。

a）安全性

强调云服务抵御恶意攻击的能力，常从机密性、完整性和可用性等几个特性的角度来衡量。其中，机密性指云服务系统在遭受攻击的情况下其信息不被未授权用户获知的能力；完整性指云服务系统在遭受攻击的情况下其信息不被篡改或替换的能力；可用性强调云服务在出现故障时还能正常使用的能力。此外，扩展的安全性还包括可追溯性和不可否认性。

b）可靠性

强调云系统提供正确服务的连续性，与云服务的可维护性、可用性和鲁棒性相关。其中，可维护性指云资源支持调整、修复和容错的能力；可用性指云服务出故障后还能提供正常服务的能力；鲁棒性指云服务在内外攻击下不出故障/故障可控的能力。

c）可生存性

强调抵御非正常操作的能力，可以用在遭受攻击、故障或意外事故时，仍能提供关键服务的能力，主要包括自治愈、保险性。

d）信用度

云服务提供者的历史可信度。

e）可扩展性、可移植性和可审计性等其他相关属性

云服务可信性评估主要针对云提供商、云服务及云资源、租户这3类实体，从云服务提供商可信度量、云服务资源/过程可信度量、SLA承诺可信度量和租户感知可信度量等评估项进行综合的评估。针对上述评估项，建立每个评估项的指标集合，研究指标体系的映射关系，建立层次化的质量属性体系架构；研究质量指标的建模方法和提取手段，建立质量指标模糊量化方法和融合算法，最终建立一个基于指标体系的云平台可信性质量综合评估模型。

结合可信质量属性及其子属性，将每一个质量属性与云平台元素结合而生成评估项集合。指标筛选过程中需要综合地考虑云平台可信性评估指标的完备性、针对性、综合性和独立性，将可信性分解为安全性、可靠性和可用性等多个指标属性，每一个指标属性下面再分子属性，之后提出云平台可信性的分层质量模型，构建可信性指标评价体系，如图1所示。

图1 可信性指标评价体系与层次化模型

图1描述了可信性指标模型的层次化参考结构，子质量属性、可信性指标和可信评估对象依次非线性映射，针对不同的云应用需求，形成不同的映射子集。

针对前述电子政务迁移云平台的应用需求可知，重点需要通过评估不同的云服务商的可信性、验证SLA承诺的可信性来选择合适的云服务商。在可信性指标上，需要考察未来云服务的安全性、可靠性和可扩展性。安全性主要考虑敏感的、重要的政务数据防泄露问题，子属性包括机密性、完整性和可追溯性；可靠性考虑系统不崩溃的持续时间，子属性包括可用性、鲁棒性和容错性；可扩展性考虑不同电子政务的后续部署，子属性包括可移植性。

可信性综合评估结果由可信性指标，以及子质量属性的量化和融合计算得出。

3 云可信性质量属性模型量化方法

每一个选定的评估项都需要进行具体的指标提取和量化分析，云平台可信测评模型需要汇总各个量化指标，进而给出平台可信性的评价结果。

质量指标体系建模与量化的难点在于对不同标度和维度的指标进行统一量化。针对提出的综合测评模型，从应用场景的角度来研究各个测评项的可信评估的指标体系，挖掘指标度量因子，参照模糊量化方法对指标进行分层量化；对于动态指标或行为指标，从可信属性出发，采用云平台可信属性的形式化描述方法和可信属性的动态检测方法。

指标体系建模与量化的过程如图2所示。针对所提出的综合测评模型，挖掘指标度量因子，判断其定性、定量、确定性和非确定性特征，利用模糊量化、形式化分析和是非逻辑量化属性，对各个质量衡量指标进一步地收集、细化和补充。利用分级量化算法对质量属性的可信度进行分级。

图2 指标体系建模与量化

针对前述电子政务迁移云平台的应用需求，安全性主要考察机密性、完整性和可追溯性。机密性的判定：通信传递数据的加密属于定性判定，密码强度和密钥管理可用形式化分析来确定其脆弱性和泄密概率，对业务可用性的影响可用模糊量化方法来确定，分级衡量采用0～4分别表示非常不合理、不合理、一般合理、较合理、非常合理，完整性的判定包括校验方法的定性判别、完整性破坏概率的形式化量化和完整性防护效果模糊量化等过程；可追溯性判定包括溯源的能力和准确度的判定。可以采用模糊融合的方法来量化多个属性，得到指标综合量化值。

指标体系建模与量化需要分步骤融合，并采用算法、机制和协议等多方面的融合方法。基于模糊理论的多属性融合算法建立指标量化模型，并提取可信属性的评估项，用于后续的可信评估。

可信指标的融合计算拟采用层次分析法（AHP： Analytic Hierarchy Process） 来确定每个指标项所对应的权重值，组成权重向量。AHP根据对一定客观现实的主观判断结构把专家意见和分析者的客观判断结果直接而有效地结合起来，将每个层次元素两两比较的重要性进行定量的描述。利用数学方法计算反映每一层次元素的相对重要性次序的权值，通过所有的层次之间的总排序计算所有元素的相对权重并进行排序。所有的单因素评判组合成评判矩阵，评判矩阵与权重向量进行合成以实现对整个被测云平台可信性的量化评价结果。

综上所述，所提出的云服务可信性量化模型的工作模式如下所述。

a）根据云服务应用场景，建立如图2所示的云服务可信性指标体系，从中提取云服务可信性测评项。

b）建立云可信性质量属性模型量化方法，从可信性指标层次出发，假设P={p1，p2，…，pn}表示可信指标集合，n是指标数目。为了得到量化评估值，需要量化指标，同时选择合理的算法来融合这些量化参数值，直接的评估可以建模成一个函数形式： C （M） =fI（f1（p1）， f2（p2）， …， fn（pn））。其中，M是一个云服务对象，I表示融合算法，C是评估结果，fi（pi），i∈ [1，n]表示第i个可信指标的量化值，是一个无量纲变量，fI（）表示融合函数，一个简单的融合可以采用加权平均方式：

c）对于单个可信性指标，挖掘其度量因子，采用如图2所示的指标体系建模与量化，给出影响因子的量化值，模糊融合成可信性指标的量化评分值fi（pi）， i∈ [1，n]， 得到所有的可信性指标量化向量 Q （P） = （f1（p1）， f2（p2）， …， fn（pn））。

d）对于特定的云服务应用场景，服务请求用户根据图2所示的层次化参考模型构造来判断矩阵，按照AHP的步骤，确定可信性指标到评估目标的映射值，即优先权重向量W=（w1，w2，…，wn）T。

e）根据优先权重向量和可信性指标量化评分值，利用公式 （1）计算该云服务的综合评价值，然后根据用户设定的阈值或规则，评估该云服务是否符合要求。

f）选择一组云服务考察对象，分别按照上面的步骤计算出各个云服务的评估值并排序，实现云服务应用的优化选择。

4 云服务可信性模型的分析和应用

质量是产品的本质属性，通过质量属性建模，建立云服务可信性评估模型，从云服务的内在属性和相互联系来描述云服务的可信性，结果具有一定的客观性。另外，随着场景因素的变化，人们对同一产品提出了不同的质量要求，因此质量属性也是动态变化的，针对不同的应用场景，提取不同的质量属性集合及表现形式，可动态地确定云服务的可信性。

可信性的量化形成可信度，计算形成综合评估值是所提模型的关键。质量属性的量化是难点，存在定性、定量确定和定量不确定的情形，例如：安全性涉及密码类型的使用、信息泄露的概率和信息泄露对可用性的影响对应上述3种情形，应采用不同的数学方法来量化并分级衡量，采用合理算法来融合各个量化结果，才能得到客观的评估结果。所提出的模型采用是非判别、形式化分析和模糊判别等方法量化，并映射到量化区间，采用模糊理论融合，具有一定的通用性。

所提出的方案具有较好的可操作性，建立的可信指标体系层次化模型是一个开放模型，各个层次可增删部分评估要素、可信指标和质量属性；建立的可信指标量化方法具有一定的通用性；采用AHP方法计算层次化指标体系权重，线性加权的方法得到综合评估结果，操作过程清晰，方法简单有效。

提出评估模型的目的是为了指导云服务可信性评估方法的建立，主要体现在以下3个方面。

a）建立的可信性指标体系结合云服务生成一系列的评估项，针对每个评估项都需要采集可信数据、评估资产脆弱性、动态分析计算可信状态，此外还需要建立对应的质量指标评估方法。

b）针对可信性指标的量化，量化的角度、精度和衡量方法的差异会产生不同的结果。需要研究建立信任度计算方法，对多维的可信因素和影响因素进行建模、量化、分级。

c）建立的评估模型给出了综合的可信性计算框架，需要建立具体的可信评估方法以进行细化，比如云租户可信感知评估方法、云平台可信性评估方法、云服务与租户需求的匹配度评估等；云服务可信性评估需要综合上述各个方面的可信评估结果。

在应用环节，基于质量属性建模的测试用例管理建立仿真模拟场景，配置云服务评估应用，部署平台探针和驻留评估服务，收集云可信性证据，传递到评估结果模块，同时租户对云服务可信性进行评估，形成可信报告，作为采集证据部分。评估管理引擎利用可信性评估模型和可信性评估方法，综合计算评估结果，形成可信性分析报告。根据评估结果，对租户提出可信性的建议。

5 结束语

云服务的推广应用能否成功，依赖于租户对云服务的可信任。云服务可信性测评是解决云平台有可能被恶意利用及云服务提供商不被信任问题的有效方法，是云服务推广应用的关键环节。而可信性质量模型的建立，是云服务可信评估的前提。本文提出了云服务可信性指标体系和质量建模量化方法，建立了云服务可信性评估模型，为各种云服务可信性评估方法的应用提供了框架指导。下一步的工作主要是建立配套的云服务可信性评估方法，为云服务应用提供客观、有效的技术支撑。

[1]CHANG V，RAMACHANDRAN M.Towards achieving data security with the cloud computing adoption framework[J].IEEE Transactions on Services Computing， 2016， 9（1）： 138-151.

[2]FERA M Arun， MANIKANDAPRABHU C， NATARAJAN I，et al.Enhancing security in cloud using trusted monitoring framework[C]//International Conference on Intelligent Computing， Communication& Convergence， Elsevier，India， 2015： 198-203.

[3]王佳慧，刘川意，王国峰，等.基于可验证计算的可信云计算研究 [J].计算机学报，2016，39（2）：286-304.

[4]冯国登，张敏，张妍，等.云计算安全研究 [J].软件学报， 2011， 22 （1）： 71-83.

[5]UNDERCOFFER J， JOSHI A， PINKSTON J.Modeling computer attacks：an ontology for intrusion detection[C]//Proceedings of 6th International Symposium， RAID 2003，Pittsburgh， PA， USA， September 8-10， 2003： 113-135.

[6]余小军，温巧燕，张玉清，等.云计算的可信性概念建模 [J].信息网络安全，2016（9）：223-227.

[7]ROUNTREE D， CASTRILLO I.Evaluating cloud security：an information security framework[C]//The Basics of Cloud Computing， Elsevier B.V.， USA， 2014： 101-121.

[8]赵波，戴中华，向騻，等.一种云平台可信性分析模型建立方法 [J].软件学报，2016，27（6）：1349-1365.

[9]ZHANG H L， LI P P， ZHOU Z G.Performance difference prediction in cloud services for SLA-based auditing[C]//2015 IEEE Symposium on Service-Oriented System Engineering （SOSE）， San Francisco Bay， CA， IEEE， 2015：253-258.

[10]WANG M C， WU X， ZHANG W， et al.A conceptual platform of SLA in cloud computing[C]//Proc.of 2011 IEEE 9th International Conference on Dependable，Autonomic and Secure Computing （DASC） .Sydney， NSW.2011：1131-1135.

继无人驾驶地铁后中国正试验验证无人驾驶高铁

中国的无人驾驶地铁已经在去年底于香港特区启用，而据中国工程院院士、中国科学技术协会副主席、中国铁路总公司 （简称中铁总）总经理特别技术顾问何华武透露，中国正在试验验证无人驾驶高速列车。

何华武在10月26日的第十四届中国国际现代化铁路技术装备展览会上对媒体表示，目前中国高铁已经走到世界先进水平，作为具有自主知识产权的中国标准动车组列车 “复兴号”，就有84%的重要标准是中国标准，而下一步中国高铁或将实现的就是无人驾驶。

何华武表示，目前中国无人驾驶高速列车已在试验验证阶段，该种模式列车正在北京到张家口的路段进行试验验证，争取在北京冬奥会和残运会上向世界展现。

中国的无人驾驶地铁已经启动运行。2016年12月，香港铁路有限公司南港岛线举行开通仪式，由中车长客股份公司自行研发制造的香港南港岛线地铁车辆是中国第一个正式运营的GOA4（Grades of Automation 4）等级的全自动无人驾驶地铁车辆，列车完全拥有自主知识产权。列车可实现真正意义上的自动控制，包括自动唤醒、自动运营、自动故障诊断及自动清洗功能。车厢最大特点是没有驾驶室，增加列车两端开放式空间。

公开资料显示，国产无人驾驶地铁技术还应用在目前在建的北京燕房线等地铁线路，另有中车四方车辆有限公司所造的无人驾驶列车已经出口新加坡。

相比无人驾驶地铁，无人驾驶高铁的驾驶环境更加复杂，并且里程更长，同时面临不可测的天气情况。何华武对此观点回应称，中国的无人驾驶高铁可以实现 “无人驾驶、有人值守”，从现在人控为主改变为机控为主的模式，实现更安全、更准时。

就无人驾驶铁路技术来说，中国和澳大利亚都已经在应用。今年6月，由中国铁路通信信号股份有限公司参建的国内首条自动驾驶城际铁路，莞惠城际即将全线贯通运营。其列车运行控制系统是中国通号为城际铁路量身打造的 “高铁+地铁”列控系统，可实现最高时速200 km动车组自动驾驶、精准停车。今年10月，总部位于英国的力拓集团（Rio Tinto）宣布其第一辆全自动无人驾驶列车已经在澳大利亚完成了首个无人驾驶任务，实现近100 km无人驾驶。

法国已经在进行无人驾驶高铁的研发。无人驾驶技术能帮助法国高铁增加班次、减少人力成本。据法国媒体今年6月报道，由法国国家铁路局SNCF运营的高速铁路线TGV，计划在2019年开始测试无人驾驶的列车。这些列车配备侦测障碍物的感应器，随时探测并判断危险，进行紧急煞车，同时测试期间列车上仍会配备值守的司机应付突发情况。法国国家铁路计划能在2023年之前将无人驾驶高铁投放运营。

何华武并未透露中国无人驾驶高铁的时间表，他概括未来中国铁路的发展方向，将会 “更安全、更经济、更高效、更环保、更绿色、更可持续发展”。

（摘自新浪科技）