0 引言

    傳統的安全機制被用來提供授權和認證，雖然解決了身份信任的問題，但不能解決云服務提供商行為可信的問題。云計算的信任評估模型的研究已經初步展開，并迅速成為云計算安全領域中的研究熱點。

    目前國內外學者基于不同的方法和數學工具提出了多種解決云計算安全的方案。文獻[1]提出了一種私有虛擬基礎設施，這是一個云計算安全架構，使用信任模型使提供商和用戶共同承擔安全責任。文獻[2]提出了一種基于硬件的認證機制，為用戶在云計算環境下進行數據處理提供安全保證。文獻[3]提出了一種基于TPM虛擬化的研究方法，該方法確保用戶能夠在云環境中使用身份認證來保障云平臺的安全性。但這些研究沒有給出具體的評估方法，用戶很難對云平臺的安全能力進行評估。

    此外還有一個關鍵的問題是如何對云服務商進行信任評估，文獻[4]提出了一個基于貝葉斯網絡的信任模型；文獻[5]提出了一個基于全局信任信息的信任模型EigenRep；文獻[6]提出了一種基于模糊集合理論的信任評估模型，該模型通過引入中間推薦節點的直接交互經驗，來體現主觀因素方面的重要性；文獻[7]在信任云的基礎上提出了一種基于云模型的主觀信任量化評價方法，設計了一種信任變化云來刻畫信任客體信用度的變化情況，為進一步的信任決策提供依據。

    但是現有模型仍然存在一些問題：(1)用戶很難獲得云平臺真實的安全能力信息并進行安全評估。(2)現有模型沒有針對云計算的具體特點對云服務提供商進行信任評估的方法。

    針對以上問題，本文將云服務提供商的安全能力要求進行屬性劃分，為云服務商提供安全能力自我評估的方法。此外，文中利用“硬”信任機制對服務商的安全服務能力進行評估，利用“軟”信任機制對云服務商的行為進行信任評估，最后進行實例分析。

1 混合信任評估模型

1.1 模型的相關定義

    定義1 云服務商安全能力即信任屬性集合TA={CO，DG，RS，HR，IS，LG，OP，RI，RM，RS，SA}，集合TA是根據云計算服務安全能力要求標準按語義進行分類(合規性，數據管理，設施安全，人員安全，信息安全，合法性，操作管理，風險管理，發布管理，彈性操作)，CO={CO-01，CO-02…}，DG={DG-01，DG-02…}，TA中每一項都有子類，每個子類對應一個或幾個評估項，如CO-01={CO-01.1，CO-01.2，…}。

1.2 模型的架構圖

    用戶根據自己的業務需求對云服務商提出安全要求，云服務商進行自我評估并向用戶提供評估結果，用戶對云服務商進行可信評估。圖1給出了具體的評估模型框架，具體的評估流程如圖2所示。

    (1)云服務商提供安全能力的自我評估結果，用戶依據評估結果來初步選擇符合自己安全需求的云服務商，之后向屬性認證服務模塊PVS提交所要驗證的屬性。

    (2)PVS向認證服務模塊VS發送屬性認證信息，VS通過′ALOPA′策略逐一認證每個屬性。

    (3)如果用戶提交的所有信任屬性都通過了′ALOPA′策略的驗證，VS就會向PVS發送一個反饋信息。

    (4)所有的信任屬性經過認證后就會進行信任狀態檢查，PVS要求信任服務模塊TS根據屬性集合來判斷當前云平臺的信任狀態。

    (5)根據信任屬性的語義TS使用信任運算符來判斷云平臺的信任狀態。

    (6)對所有信任屬性的綜合信任值和用戶的信任期望值進行比較，PVS要求決策模塊DM給出最終的評估結果。

    (7)DM對計算出的綜合信任值和用戶信任值進行比較，將比較結果反饋給PVS。

    (8)PVS將最終結果發給用戶。

1.3 硬信任評估模塊

    利用簡單邏輯語言′ALOPA′[8]來描述云平臺屬性之間的依賴關系，判斷云平臺的安全能力是否滿足用戶的要求。

    定義2 ′ALOPA′策略：′HasC′，′HasPF′，′SatC′和′SatPF′為′ALOPA′策略的四個術語符號，′Has′表示兩個實體之間的層次結構關系，′Sat′表示實體與屬性之間的符合關系，實體可以是平臺或平臺組件。

    定義3 利用′ALOPA′策略的四個術語符號定義了兩個運算規則：組件屬性規則CP和平臺屬性規則PP，具體的形式如下：

    pf和c分別表示平臺和組件，p表示屬性，規則1表示將組件的屬性與平臺的屬性相關聯，規則2表示將一種類型的屬性與另一種屬性相關聯。

1.4 軟信任評估模塊

    “軟”信任模型TM對含有不確定性的信任用評價意見o表示^[9]，每個評價意見都是由一個二元數組o=(t，c)∈{[0，1]，[0，1]}表示，t表示平均評級（積極評價和消極評價的相對次數），c表示平均評級的確定性。

    定義4 信任模型：TM=(E，TR，OP)，E表示實體集，TR表示實體間的信任關系，OP表示一系列管理信任關系的操作。實體E包括用戶U、云服務提供商CP、認證機構CA。信任關系TR表示對于給定的屬性兩個實體之間的信任關系。

    定義5 信任關系TR：TR.1是指一個屬性被第三方評估機構評估或云服務提供商自己進行評估；TR.2是指一個屬性只能被第三方機構進行評估；TR.3是指云服務提供商對因為有組件c而擁有相應的屬性進行聲明。具體表示如下：

    TR.1=(A，B，C，P，K，θ，M，p，n，u)

    TR.2=(A，B，P，K，θ，M，p，n，u)

    TR.3=(A，B，C，P，K，θ，M，p，n，u)

    以上表示的含義是由于實體B有組件C，所以實體A信任實體B，組件C滿足屬性P，K是一個信任集，這種信任是在時間?茲測出的，p代表積極的評價，n代表不好的評價，u代表不確定，M表示對服務提供商的意見也就是數組o。TR.2和TR.3的區別就是TR.3中實體B中包含了特定組件C，所以擁有屬性P。上述表示中的每個參數的取值范圍如下：實體A，B∈(U，CP，CA)；C表示實體B中所有組件的子集；P表示組件C滿足的屬性的子集；K∈{satisfaction，certification}，satisfaction表示B中一個服務平臺的組件滿足某個給定的屬性，certification表示相信CA所認證的組件屬性；θ表示更新提供商o值的時間；p、n、u分別表示積極評價、不好的評價、不確定性評價的次數。

    定義6 信任衰減：信任隨著時間動態變化，衰減運算函數Ψ_k，Δ表示根據以前的評價o_old來計算現在的評價o_new。計算方程如下：

    k表示衰減率取值范圍，為0<k≤1，如果衰減率為1%，則k=0.01，如果衰減率為10%，則k=0.1。用Δ的值來表示兩個不同時間對信任評估的不同評價，如果Δ=0，則o_new與o_old一樣，如果Δ=∞，則o_new=0，文中選取的Δ為兩次給出評價的年數，最小值為0/365（0天），最大值為730/365（2年）。

    定義7 信任操作OP是對云服務商可信度評估的基礎，包括收集證據、信任評估、信任比較三部分。

1.4.1 收集證據

    用戶可以根據自己直接評價得出證據也可以通過其他人的建議得出，這些證據分為積極的評價、消極的評價和不確定評價，根據不同評價的次數分別得出p、n、u的值。

1.4.2 信任評估

    文中利用評價的表示方法以及確定性信任和確定性邏輯運算符^[11]來進行信任評估。

    定義8 直接信任：用戶A與提供商B之間的直接信任關系是通過符合性和認證評價來計算的。針對TR.1、TR.2和TR.3直接信任的計算方程如下：

    定義10 綜合信任是利用直接信任和間接信任計算出來的。計算方程如下：

1.4.3 信任比較

    O₁和O₂是兩個給定的評價建議，評價建議操作符為≥o，如果t₁>t₂，c₁>c₂，則O₁≥O₂，DM輸出1，O₁比O₂好，否則DM輸出0。

    定義11 決策模型DM：用戶在部署服務之前根據自己要求的屬性集{P_U}=P₁，P₂，…，P_n選出可信的云服務提供商。用戶針對服務商所提供的屬性設置自己可接受的信任值的域，如果每個屬性都符合′ALOPA′策略且評價水平o(t，c)≥τ(τ是用戶自己定義的信任值的域)，就認為該提供商是可信賴的，且提供的服務滿足用戶的要求。

2 實際場景應用分析

    本文利用某政府部門（用戶H）在市場上選擇安全可信的云服務商為實例進行分析，政府用戶主要關注云服務商合規性、數據管理和信息安全方面的安全能力。假設用戶H要求的安全屬性集為{P_H}={CO-01，DG-01，IS-21}，云服務提供商CP自我評估的信任屬性為{P_CP}，且{P_H}{P_CP}。用戶將云服務商提供的屬性集提交給PVS，利用′ALOPA′策略進行驗證。如果所有的屬性都通過了定義3中的驗證規則，則VS就會給PVS一個反饋值證明云服務商所宣稱的安全能力能夠滿足用戶的需求，之后PVS就會將每個經過驗證的屬性向TS提出信任狀態檢查，TS利用邏輯運算符計算云平臺的綜合信任值，最終的評估結果為CO-01(t，c)=(0.4525，0.9230)，IS-21(t，c)=(0.3690，0.9178)，DG-01(t，c)=(0.6048，0.8994)，這里選取Δ=0，則o_new=o_old，計算出每一種信任關系中o_new的值，實例中用戶的期望信任值分別為τ={(0.70，0.80)，(0.60，0.80)，(0.80，0.90)}，然后將每一個屬性的綜合信任值與用戶的信任期望值進行比較：DG-01(t，c)≥oτ(t，c)，則DM向PVS輸出1，PVS將信任評估結果反饋給用戶。

3 總結與展望

    本文提出了一種基于信任屬性的混合信任評估模型，解決了用戶對云服務商安全可信的評估問題，最后進行實例分析。實驗結果表明該模型簡單有效、易于操作。由于云計算環境的復雜性，目前很多信任評估模型還處于理論研究階段，本文提出的模型為建立用戶與云服務商之間的信任關系提供了一定的參考，但有很多推薦用戶的實際情況是不同的，推薦意見的信任度根據推薦者不同的業務能力也是不一樣的，針對這個問題還需要進一步深入研究。

參考文獻

[1] KRAUTHEIM F J.Private virtual infrastructure for cloud computing[C].Proceedings of the HotCloud’09.USA：USENIX Association，2009：5-5.

[2] SCHIFFMAN J，MOYER T，VIJAYAKUMAR H，et al.Seeding clouds with trust anchors[C].Proceedings of the ACM CCSW’10.USA：ACM，2010：43-46.

[3] SADEGHI A R，STBLE C，WINANDY M.Property-based tpm virtualization[C].Information Security，ser.Lecture Notes in Computer Science.Springer Berlin/Heidelberg，2008.

[4] WANG Y，VASSILEVA J.Trust and reputation model in peer-to-peer networks[C].Proceedings of the 3rd International Conference on Peer-to-Peer Computing，USA：2003：150-157.

[5] KAMVAR S D，SEHLOSSER M T，MOLINA H G.The eigentrust algorithm for reputation management in P2P networks[C].Proceedings of the 12th International Conference on World Wide Web ACM，Budapest：ACM Press，2003：640-651.

[6] ZHANG L，WANG R C，ZHANG Y P.A trust evaluation model based on fuzzy set for grid environment[J].Acta Electronica Sinica，2008，36(5)：862-868.

[7] WANG S X，ZHANG L，LI H S.Evaluation approach of subjective trust based on cloud model[J].Journal of Software，2010，21(6)：1341-1352.

[8] NAGARAJAN A.Techniques for trust enhanced distributed authorization using trusted platforms[D].Macquarie Universtiy，2010.

[9] RIES S，HABIB S M.Certainlogic：a logic for modeling trust and uncertainty[C].Trust and Trustworthy Computing.Springer Berlin/Heidelberg，2011：254-261.

[10] NAGARAJAN A.Trust enhanced distributed authorisation for web services[D].Macquarie Universtiy，2014.