云计算环境下的信任评估研究

管军，朱颖

（1.南京电子技术研究所，南京 210013；2.南京航空航天大学，南京 211106）

0 引言

云计算是一种满足共享访问计算资源的模式。通过在云端部署云服务器实现软件和硬件资源的共享，借助云计算技术将分布在网络中的计算机设备整合起来，形成一个虚拟的计算机系统。在这种环境下，光有用户的信心不足以甄别确定可信的云服务提供商。信任评估是云计算中的重要挑战。

信任评估机制是一种新兴的安全模式，通过从不同系统的安全机制中转换和提取检测结果，识别恶意实体，并不断收集反馈评估。信任机制针对某个参与方的所有评价信息，计算其信任度，为网络中其他参与者未来的交互提供参考，其中包括信任建模和数据管理两个关键步骤。信任建模通过建立合理的信任模型，采用恰当的度量标准，描述实体间的信任关系。数据管理包括数据存储和信任访问，以及数据在分布式环境中的管理，尤其是在缺乏集中式控制的环境下。云计算模式中的信任建模和可信管理方面的研究尚有很多问题有待解决。

云环境中的信任问题可以分为四个子类，包括:①如何根据云环境的独特特征给出信任的定义和评估；②如何管理恶意推荐信息，因为云的特性要求信任关系是动态的；③如何根据信任度计算来针对不同场景提供不同的服务安全级别；④如何处理信任度随交互时间和上下文的变化，以及如何让信任度适应时间和空间的动态变化。

1 云环境下用户与服务提供商的信任问题

信任作为一个实体对另一个实体行为及能力的主观评价量度，可以运用在对象的交互中，根据交互过程中双方评价，获取证据，完成决策，同时对未来的决策产生影响，提高系统的安全性。

云服务信任评估有几类方法获取数据，分别是主观推荐、主客观结合推荐与QoS指标的云服务信任评估方法。基于主观推荐是分析云租户与CSP的历史交互，但是这类方法影响滞后，无法达到预警，伤害往往已经发生了，且易受影响。基于主客观结合的信任评估方法不止参考了前一类方法中云租户与CSP的交互，还考虑了云服务的QoS指标，进行综合评估，但是“用户恶意评价”和“滞后效应”依旧存在。基于QoS指标的评价方法加入了云服务的QoS指标，动态选择推荐云服务，这类方法避免了以上问题。

1.1 服务器可信问题

云服务提供商（cloud computing service provid⁃er，CSP）从用户手中承载了处理和存储数据的任务。出于保护隐私的目的，用户需要匿名使用云资源，这需要云服务器的保障，防止CSP管理人员超越权限窃取用户资料，避免用户信息暴露在危险之下。数据处理方面，无法确保CSP不会窃取及分析用户行为习惯；数据存储方面，无法确保云服务器会保障用户的所有云数据免受窃取攻击。

1.2 用户实体可信问题

云环境下，服务提供者（service provider，SP）实体通常只能被动接受服务消费者（service consumption，SC）实体的访问请求，而SP实体如果缺失对SC实体的信任评估，欺骗或攻击就会常常发生，为不可信的SC实体提供服务，造成计算资源的浪费和滥用。CSP既需要为SC实体尽量提供有效服务，同时也需要区分SC实体提供服务。

1.3 租户间可信问题

云计算是一种满足共享访问计算资源的模式。分布的多租户可以高效地共享服务资源，但同时也带来了不少安全问题。一方面，共享系统可能导致安全风险扩大。另一方面，多租户共享给恶意租户创造了条件，可以攻击其他租户窃取云上信息或者抢占资源。常见威胁包括：恶意租户攻击运行在同一主机上的其他租户并窃取其他租户的数据；抢占大量服务资源致使CSP无法给其他租户提供正常服务等。导致的后果就是其他正常租户对CSP不满意，伤害租户与CSP之间的信任关系。

2 云计算环境下的信任评估

2.1 云服务可信评价

云服务信任评估目前还没有一个标准的评估模型，信任评估也一直是一个难以量化的问题。大部分的云计算服务信任评估模型基于租户对过去服务的评价，但是有些历史信息往往不能提供有价值的参考。同时，需要找出恶意节点，防止恶意节点恶意推荐导致信任计算度出现问题，对最后的服务推荐结果造成恶劣影响。除此之外，云计算环境下，动态的服务和滞后的评价也会影响信任评估。

文献［1］基于凸函数证据理论，将CSP、云服务和租户之间的信任关系进行量化，将租户与云服务交互后的信任评价结果作为直接信任值；将全体用户的信任评价结果、CSP信任评价结果和第三方机构信任评价结果作为间接信任值；融合两种信任值向用户推荐信任度高的云服务。创建信任辨别框架，对所有用户进行等级分类，等级为1的用户视为恶意用户，其他用户视为友好用户，信任模型可以根据用户的等级更好地完成用户的云服务请求。

用户同CSP签定的服务水平合约（servicelevel agreement，SLA），以书面合同的方式保障用户与CSP的权益。一方面，保障租户获得约定的服务性能；另一方面，明确了双方的利益关系，有效保障了双方的利益。文献［2］对CSP与租户的可信级别进行识别，通过分析各自的可信级别规范租户的行为，为租户与CSP之间的交互提供可信环境。但是这种方法只有当违反了SLA时才调整记录，之后再反映到信任值计算，这无疑损害了用户的利益。文献［3］利用马尔可夫模型的预测功能，监测CSP履行SLA来动态评估CSP的信任值，实现了对CSP的甄别。

文献［4］提出了一个框架来评估云系统中的信任，他们建议将管理用户应用数据的权力从CSP手中转移到租户手中。文献［5］提出了一种基于贝叶斯方法的认知信任模型，然后结合现有的DLS算法提出了一种信任动态等级调度算法。

可以通过检测CSP提供云服务时的服务质量（QoS）来客观评价云服务的质量。文献［6］从四个方面评估云服务：区分服务层次、采集实时QoS数据并用区间数表示、构造模糊层次分析法的权重体系并计算、服务综合评价评估服务质量优劣。该方法避免了信任评估中常见的串谋和恶意评价问题。

文献［7］提出了基于QoS的云计算评估模型，展示了如何通过评价特征评估信任值，评价特征包括效率、数据完整性、可用性和可靠性。实验证明，QoS评估模型比传统的FIFO模型效果更好。文献［8］提出了移动云环境中针对数据融合、管理和应用的可靠信任管理方法。他们建立一维信任，并通过分析移动设备的电话信息来量化信任，试图通过交换的可信信息来分析移动环境中的用户交互。文献［9］提出了基于信任的云服务选择框架，提出了一种结合客观信任评估和主观信任评估的综合信任评估方法。客观信任评估基于QoS监控，主观信任评估基于用户的反馈分数。

文献［10］提出了一种基于模糊的云服务信任评估方案，提出了一种基于证据的动态信任模型来定义云环境下服务的动态可信度。它采用模糊逻辑来建立信任，以处理不确定性，并使用有序加权平均算子来收集信任值，使用QoS参数作为验证，反馈实时性能。

伴随着数据量的增大，评估建模过程中的计算愈发复杂，建模误差愈发明显。文献［11］从博弈论思想出发，获取到租户行为后，利用不完全信息动态博弈对云计算环境下的海量用户进行分类，从多个角度如直接可信度、间接可信度、风险系数、活跃度、奖惩因子对租户行为的可信关系进行量化，并得出租户的综合可信度。仿真证明，建模精确度及适应性都有所提高。从理论、动态性、稳定性等方面对云服务可信评价模型进行对比，对比结果见表1：

表1 云服务可信评价模型对比

2.2 可信服务推荐

当前云计算环境下，服务推荐技术尚有不足。QoS的不确定性、对运行环境的不清晰以及CSP的不可信任等因素，是服务推荐所面临的最大难题［12］。不同于基于向量的相似度比较方法需要严格匹配属性，LICM［13］利用云模型在定性、定量知识转换时的作用，在可参考的数据量少时仍能保证推荐质量。

TSSPR［14］利用Pearson相关系数计算一组偏好相似的用户的评价相似度，然后基于用户给出的推荐等级、领域相关度和评价相似度等，过滤用户的推荐信息，获取更可信的信息。但是该方法未考虑恶意推荐和激励机制，也没有考虑云计算环境中组合服务的推荐问题。SILAS等人［15］考虑周转时间、服务成本、信任、可靠性等因素，结合多属性效用理论设计了一个云服务选择中间件ELECTRE方法，通过对多目标决策问题求解实现服务推荐。

DRT［16］有效形容包括加权评级变化、时间演变、记忆平滑处理在内的动态特征；然后进一步通过DTAA攻击检测算法来检测Collusion攻击，有良好的健壮性。该模型的不足之处在于信任的粒度不够细致。

文献［17］通过随机分配云服务可信属性权重选择服务，综合响应时间、信任度、用户费用等因素提出进行个性化服务推荐方法SPSE。但没有考虑容错和服务调度问题。

PerReF［18］是一种面向可信云服务的个性化推荐框架，该框架在云评价中心和云推荐中心架构之上，结合多属性分析和概率统计分析，综合用户对云服务可信属性的评价和潜在用户的个性化需求，采用模糊综合方法结合可信属性权重分配、可信度期望、成本期望过滤云服务，经过多次迭代找出最适合用户个性化特征的云服务。仿真实验表明，PerReF效果好，且能适应复杂的云计算环境。从理论、粒度、性能等方面对云服务推荐信任模型进行对比，对比结果见表2：

表2 云服务推荐信任模型对比

3 结语

本文针对云计算环境中，服务实体之间的信任问题，研究并分析了几种改进的可信评价模型与可信服务推荐模型，在以后的工作中会针对云计算环境下的信任评估问题进行深入研究。