基于D-S证据理论的多维度信任评估方法∗

吴旭王 杨袁耀

（西安邮电大学计算机科学与技术系 西安 710121）

1 引言

随着云计算的快速发展，用户对云计算的安全、性能、可靠性持怀疑态度［14～16］。要想消除用户在选择云服务时产生的顾虑和担忧，就需要采取有效的机制和手段管理云中用户和云服务商的信任关系［8，10］。

信任涉及许多因素，如假设、期望、行为、风险等。因此，可信度具有多维属性［12～13］。研究适用于云计算环境的信任关系建模和评估方法，是动态信任管理必须解决的核心问题［1～5］。

文献［2］从云服务的操作性能、QoS、安全隐私等方面考虑，将云服务的适用性、可扩展性、可持续性、可靠性等属性作为信任维度建立属性选择空间，并提出一种用于各信念度属性的证据推理算法，融合多个等级的评价。文献［8］在信任证据模型中引入滑动窗口来评估用户和云服务商的信任关系，但却不能有效地反映云服务商的服务行为变化。

由于D-S证据理论具有处理“不精确”和“不确定”的能力，因此，现有的信任模型大多采用D-S证据理论来融合多维信任证据［7，9］。但是，当前国内外学者提出的信任证据模型仍然存在着不足：1）由于各证据的不确定性，不一定具有相同的重要程度，所以在实际应用中不能将多维证据直接利用D-S合成规则进行合成。2）评估云服务商的信任度通常只考虑基本信任函数m(T )或信任函数Bel(T)，而忽略了不确定部分的基本信任函数值。

针对以上问题，提出一个新的多维度信任评估方法来评估云服务商的信任值。在该方法中，用信任、不信任和不确定性这三者来表示实体间的信任关系，依据云服务商相关的属性证据进行直接信任度计算，并引入证据权重和归一化算法得到更为真实直观的直接信任值；根据第三方用户的推荐计算间接信任度；最后以实体间的交互次数为权重综合直接信任和推荐信任得到实体的综合信任值。实验分析表明，该信任模型能够较为准确地对实体做出信任评估，同时将D-S证据理论引入到实体的直接信任度评估中，较好地解决了证据不确定性的问题。

2 改进的D-S证据理论

2.1 D-S证据理论的基本原理

D-S证据理论由Dempster于1967年提出，其学生Shafer在1976年将其进一步推广［6，11］。D-S证据理论的数学模型要先定义识别框架，然后确定证据对每个命题的支持程度，再利用证据合成公式算出对所有命题的支持度。

在D-S证据理论中，用识别框架Θ表示所研究对象的全集，Θ中的元素之间相互排斥且为离散值。基于识别框架Θ的所有子集的集合称为Θ的幂集，记作2Θ。

定义1概率分配函数m：若存在函数m:2Θ→[0 ,1]，且满足：

则称m(A)称为A的基本概率分配函数，函数m(A) 反映了证据体对事件A的相信程度。

定义2信任函数Bel：设函数Bel:2Θ→[0 ,1]，且

Bel又称为下限函数，Bel(A)表明对事件A的真实信任度。

定义3似然函数Pl：设函数Pl:2Θ→[0 ,1]，且

Pl(A)又称为上限函数，表明对事件A的非假信任度。

根据以上相关定义，Dempster合成规则如下：

定义4合成规则：对于∀A⊆2Θ，识别框架上的有限个mass函数m1，m2，…mn的合成规则为

K称为归一化因子，1-K则为矛盾因子，反映证据间的冲突程度，矛盾因子K与两条证据之间的冲突程度有关，当K的值越接近1时，证据体之间的冲突程度越大，融合结果越不准确；当K的值越接近0，证据体之间的冲突程度越小，融合结果越准确；当K=1时，证据体之间相互矛盾，不能对其进行有效融合。

2.2 改进的D-S证据理论

由于云环境中信任具有不确定性，而实际应用中参与合成的证据的重要性一般是不同的，但是D-S证据理论并没有区分原始证据的重要性，所以会产生证据间的冲突K。针对证据合成过程中的证据冲突问题，引入证据权的概念，本文提出证据的“有效性”来表示证据的重要性并作为证据权重对已有的基本可信度分配函数进行修正。证据有效性越高，则代表证据对于信任结果越重要，反之，则越不重要。

综上，本文分析证据的“可信度”和“确定性”，来定义证据的有效性，继而判断证据的重要性。

定义5假定识别框架Θ下的信任证据E1和E2，A⊆{Ø ,{T},{- T},{T ,-T }}E1和E2的证据距离即为m1，m2的距离，计算方式如下：

式中M1=[m11,m12,m13]T，M2=[m21,m22,m23]T。D=Dij为一个i×j的矩阵，其中，

定义6设m1,m2,…,mn为同一识别框架下的n个证据，证据mi被其他证据的支持程度为

其中sim(mi,mj)为证据mi与mj的相似度，且满足sim(mi,mj)=1-d(mi,mj)。

定义7将所得到的s( mi)进行排序，可以得到s(mf)：

根据信任证据权重的评定原则和证据距离的度量方法，已知被支持程度最高的信任证据mf，以mf的s(mf)为基数，则证据mj的相对可信度如下：

由信息熵理论，定义证据的确定性。

定义8 m(A)为识别框架下任意证据E的基本可信度函数，|Θ |=I，证据E提供的信息的相对确定性为

上式中，V(E)为信任证据E所包含信息不确定性的信息熵。信息熵具体的计算公式为

上式中ρ为熵值系数且满足ρ＞0。

综上可得证据的有效性，即识别框架下证据的重要性权重：

信任证据有效性U(mj)是由信任证据的可信度和确定性共同决定，并且满足0≤U(mj)≤1。

由上述分析，本文依据信任证据重要性加权的方法对原来的基本概率分配进行改进，即可以得到新的概率分配函数（BPA）：

修改后的D-S证据理论合成规则对证据的重要性进行了区分，可以有效地缓解证据合成时由于证据重要性不同而引起的冲突。

3 信任模型

3.1 信任模型框架

云计算环境中的实体身份很多，本文主要评估云服务商（SP）和用户（SU）之间的信任关系，用户根据关于云服务商的直接信任度和推荐实体（SR）的间接信任度来计算云服务商的综合信任值。信任模型如图1所示。

如图1，由于云服务商和用户间的信任关系具有模糊性和不确定性问题，而D-S证据理论能够很好地处理这种不确定性，因而提出基于D-S证据理论的多维度信任评估方法来计算实体间的直接信任度，用信任，不信任和不确定组成的三元组表示实体间的信任关系；该方法从保证QoS的角度来计算云服务商SP的直接信任度，主要关注其所提供云服务的四种可信属性，其中包括节点规范，平均资源使用率，平均响应时间，平均任务成功率。节点规范和平均资源使用率都包括四个可信赖的证据：CPU频率，内存大小，硬盘容量，网络带宽。我们利用以下两种类型的软件传感器并采用基于推送的方法来获取这些QoS指标：1）监控传感器负责收集计算资源的直接性能指标。例如CPU频率，内存大小，硬盘容量，网络带宽，扫描敏感端口次数等。2）计算传感器负责收集和计算需要实时计算和统计的间接QoS指标。例如CPU利用率，内存利用率，硬盘利用率，带宽利用率，平均响应时间和平均任务成功率。

图1 信任模型框架

依据采集的属性证据对云服务商进行基本概率分配（BPA）；并根据重要性权重对原始的BPA函数进行加权修正；最后利用D-S证据合成规则融合信任证据；再对信任关系三元组进行归一化计算，得到更贴近真实值的直接信任度；接下来根据其他用户的推荐信任计算出间接信任度即可综合得到云服务商的综合信任值，为用户的下一步交互活动提供依据。

3.2 多维度信任评估方法

3.2.1 直接信任

直接信任值用D( SR,SP)表示，它反映了云服务商最直接的信任度，用户根据与云服务提供商的直接交易等因素来判断是否可信。本文中的直接信任值计算考虑了影响信任的多维属性证据。

在本文的信任模型中，将Θ定义为{T ,-T}，实体间的关系分为信任{T}、不信任{- T}、不确定{T ,-T}，从这三个方面对直接信任度进行评估，其步骤如下：

1）首先依据证据采集阶段采集的属性证据：节点规范（E1），平均资源使用情况（E2），平均响应时间（E3），平均任务成功率（E4），对实体进行基本概率分配，如表1所示。

表1 基本概率分配表

识别框架Θ下的4个信任证据{ E1,E2,E3,E4}对应的基本概率分配函数分别为m1,m2,m3,m4。

2）基于各证据对应的基本概率分配，运用式（5）～（12）计算证据的重要性权重U( mj)(j=1,2,、3,4)。

3）将重要性权重代入式（13）即可得到修正后的BPA函数，即{m'i(T)，m'i( -T)，mi'(T ,-T)}(i=1,2,3,4)。

4）最后根据式（2）对属性证据进行合成，从而得到表示云服务商直接信任的信任三元组{m({ - T })，m({ - T })，m({ T ,-T })}。

5）利用基于类概率函数的归一化方法计算直接信任值。

由上文所得的信任函数Bel(A)和似然函数Pl(A)来定义信任的类概率函数，作为信任的非精确性度量。根据可信和不可信事件发生的概率拆分不确定事件的基本可信度，并分配给可信和不可信两种事件，该方法综合考虑了信任关系的可信部分、不可信部分和不确定部分。

定义9 SU和SP之间的直接信任度D( SU,SP)计算如下：

其中，P1、P2分别为可信和不可信事件发生的概率，且满足P1+P2=1，a、b分别是可信和不可信门限值。

该改进方法可以有效地处理证据合成产生的冲突问题，提高了证据冲突时合成结果的可靠性和合理性，可以准确地评估用户间的信任关系；既考虑了信任关系三元组中的每种事件，还能更直观，更贴近信任的真实性。

3.2.2 间接信任

对于云环境中的一些用户，可能没有足够的交互信息来进行直接可信度的评估。因此，用户需要来自其信任的第三方用户的推荐建议。有了这些建议，可以计算云服务商SP的可信度。

定义10推荐信任：用户SU根据第三方用户SR提供的对实体SP的评价而做出的信任判断。推荐信任也称为间接信任。

用户SU收集其他用户对云服务商SP的评价并且融合这些评价生成推荐信任值。在完成与SP的交易之后，用户将提供它对SP的评价作为其他用户在未来交易中的参考。

R( SU，SP)为用户SU对云服务商SP的间接信任度，第三方推荐实体的集合为RU={S R1,SR2,…,SRm}，则间接信任度计算方法如下：

3.2.3 综合信任度评估

本文中用户SU对云服务商SP的综合信任度由直接信任度和推荐信任度综合得出，合理分配两者的权重也是综合信任度计算准确性的关键。

因此，综合信任度定义如下：

定义11设T( SU,SP)表示用户SU对SP的综合信任度：

T( SU,SP)=αD( SU,SP)+βR( SU,SP)（17）其中α、β分别表示直接信任D( SU,SP)和间接信任R(SU，SP)的权重，α、β∈[0,1]且α+β=1。

α、β值计算方法如下：

其中，n1代表用户SU与SP的直接交互次数，n2代表推荐实体SR对实体SP的推荐次数。

本文提出的信任评估方法很好地解决了信任的不确定性和模糊性问题。

4 仿真实验

本节通过仿真实验来考察信任模型信任评估的准确性和抵抗恶意攻击的能力。我们将基于两种不同的指标，即云服务商的信任值和模型的服务失败率来评估本文信任模型的表现。为了方便比较，同时实现了基于贝叶斯的信任模型和YuBin信任模型。

实验设计模拟恶意实体在两种行为策略模式下的有效性：1）实体先建立信任，然后开始提供恶意服务，称之为静态行为策略模式；2）实体在诚实和欺骗行为之间振荡，称之为动态行为策略模式。

三种信任模型的实验场景：系统中有100个云服务商，用户将在每个周期中发送四个服务请求；参数设置：a=0.65,b=0.8。

4.1 信任值的变化分析

我们模拟上述两种行为策略模式下恶意实体的综合信任值。对于动态行为策略模式，该实体在每个周期内改变其行为3次。在每个周期中完成所有交互之后，选择和恶意实体有交互经验的诚实实体作为评估实体来计算恶意实体的信任值。信任值变化如图2、图3所示。

静态行为策略模式下恶意实体的信任值变化如图2所示。当恶意实体经过一段时间的信任积累后进行恶意欺骗，三种模型的信任值都呈下降趋势。但是与YuBin模型和贝叶斯模型相比，我们提出的信任模型可以快速反应实体行为的变化，如果实体的服务资源是恶意的将会很快被发现，但不能通过在短时间内表现良好来提高其信任值。

图2 静态行为策略模式下的信任值变化

图3 动态行为策略模式下的信任值变化

动态行为策略模式下恶意实体的信任值变化如图3所示。贝叶斯模型对实体服务行为的变化不是很敏感。相比之下，YuBin模型和我们的信任模型可以快速反应实体服务的变化，但是YuBin模型在信任度的下降和提高方面都很敏感。本文模型能够有效地处理实体行为的动态变化。

4.2 抵抗恶意攻击能力分析

服务失败率是指实体获得的恶意服务数量与其获得的所有服务数量的比例。

分析三种信任模型的服务失败率，来比较模型的抗恶意攻击能力。同样，在每个周期中的所有交互完成之后，我们计算信任模型的服务失败率。其中，静态或动态行为策略模式下的恶意实体所占比例为20%，三种信任模型的服务失败率变化如图4、5所示。

考察静态行为策略模式下的恶意实体，三种模型的服务失败率变化如图4所示。这些恶意实体在前期交互建立了声誉，并在随后的交互中对其声誉进行损耗。随着交互次数的增加，可以逐步识别出恶意实体，因此服务失败率也相应的减小。贝叶斯模型中的信任变化相对快速提升和缓慢下降，不能很好地检测恶意实体的不良行为，因此声誉值会很快的下降，则服务失败率最大。YuBin模型的信任度提高相对缓慢，因此YuBin模型的服务失败率相对较小。本文信任模型对实体行为的变化很敏感，能够快速检测出具有恶意行为的实体并做出一定的惩罚，所以我们的模型的服务失败率是最小的。

图4 静态行为策略模式下服务失败率变化

图5 动态行为策略模式下服务失败率变化

考察动态行为策略模式下的恶意实体，三种模型的服务失败率变化如图5所示。贝叶斯模型不能准确有效地检测出恶意实体的不良行为，因此它的服务失败率波动最大，YuBin模型和本文的模型对实体的恶意服务行为较为敏感，因此可以有效地发现恶意实体的恶意行为，服务失败率的波动相对较小。与YuBin模型相比，我们的模型能够有效地处理实体行为的动态变化，因此服务失败率最小，波动越来越小。

5 结语

本文提出了应用于云环境下的基于D-S证据理论的多维度信任评估模型，从信任、不信任和不确定三个方面对云服务商的直接信任度进行评估，很好地解决了云计算环境中信任的不确定性和模糊性问题；对传统的证据理论进行改进，并引入归一化算法，得到更为直观真实的直接信任值，同时也给出了简化的间接信任度和综合信任度计算方法，减轻系统负载。仿真实验结果表明，该信任模型能够较为准确有效地对云服务商的信任度做出评估。下一步的研究重点是改善现有的信任模型，扩充证据的维度以及第三方反馈的有效性，并将模型实际应用到云环境中实现其真正的价值。