云环境下动态信任模型研究综述-嵌入式与网络计算湖南重点室

云环境下动态信任模型研究综述袁 璐（湖南大学 计算机与通信学院，长沙 湖南 417000）摘要：随着网格计算，普适计算，P2P计算，AdHoc网络等大规模的分布式应用系统的不断深入研究，一种新型的计算模式-云计算随之诞生。在这种动态和不确定的超大规模的分布式环境下，信任模型是新的研究热点。本文首先对云计算的定义以及组成做了简单的介绍，再分析了云计算环境中存在的安全问题，最后对分布式环境中的一些信任模型进行了分析，提出了当前信任模型研究存在的不足和今后研究的方向。关键词：云计算；动态信任模型；信息安全；Reasearch on Trust Model for Cloud EnviornmentAbstract:With the in-depth researches of large scale distributed systems,such as Grid computing,Ubiquitous computings,P2P computing,AdHoc networks.tec. Some researchers propose a new computing model-cloud computing.Under these large scale environments with dynamic and uncertainty,Trust model is a new and hot topic of security research.In this paper, firstly, this paper presents some concepts and structure of cloud computing.Secondly, describes some security problems need to be solved in the cloud environment.Finally,analyses some trust model in the distributed systems .presents the current problems and the challenges of this field for future reaserch.Key words: cloud computing;dynamic trust model;information security;引言随着互联网的迅速发展，实时数据流、连接设备的多样化发展，SOA的采用以及搜索服务、社会网络、移动商务和开放协作等需求的推动，云计算这样一种商业计算模式迅速发展起来。目前，Google、IBM、Amazon、Microsoft等IT厂商均在大力研究和推广云计算应用1。云计算是分布式计算发展的重要里程碑。他使用成熟的虚拟化技术通过互联网将数据中心的各种资源打包成服务，是一种商业实现，有着良好的发展前景。正如传统网络安全问题带给人们的启示一样，云环境需要解决的一个重要问题也是安全问题。由于云计算架构在互联网之上，互联网的不安全因素同样是云环境里的不安全因素，如用户利用计算机进行盗窃，诈骗等。然而与传统的网络环境相比，云环境里的用户群体，服务提供商数目庞大，用户和服务提供商可以动态的加入或退出，且安全机制各不相同，这对云计算环境提出了更高更广泛的安全要求。由于云计算面向是的商业应用领域，安全问题的解决更是迫在眉睫。信任作为一个人工学的概念被引入计算机安全领域，被认为是实现云环境安全的一个核心要素。在云环境里，由于虚拟化技术的使用，提供商的资源和用户的管理方式是开放的，完全分布式的。由于商业利润的驱使，用户会存在一些欺诈行为，影响云平台上运行的应用程序。另外由于完全开放的环境，没有权威的管理中心可以依赖，会存在一些自私的服务提供商，只是利用或者占用其他的资源，而不提供任何资源，或者提供一些虚假资源，扰乱整个系统的运行。另外，面向用户的多样性需求，用户申请的服务有可能需要多个资源之间进行协作，而进行协作的前提是彼此之间具有良好的信任关系。以上的种种问题使得云环境里的信任问题显得尤其重要，甚至有学者指出，在云安全问题中，信任问题是最主要的问题2。近几年来，一些学者在分布式网络，普适计算，P2P计算，自组织网络中开展了信任方面的研究，提出了众多的信任模型，但是并不完全适合云环境。因此需要深入研究云环境里服务参与者之间的信任关系以及基于信任的安全机制来保证云服务的安全运转。1.云安全问题云计算(Cloud Computing)是在2007年年底开始发展并被逐渐关注的技术，由于在各大云计算厂商持续投资和金融风暴造成的企业压缩成本的影响下，云计算具有良好的发展前景。云计算是一种动态的、易扩展的且通常是通过互联网提供虚拟化资源的计算方式。用户不需要了解云内部的细节，也不必具有云内部的专业知识或直接控制基础设施，便能使用的相关资源。云计算包括基础设施即服务(Infrastructure as a Service，简称IaaS)，平台即服务(Platform as a Service，简称PaaS)和软件即服务(Software as a Service简称SaaS)以及其他依赖于互联网满足客户计算需求的技术趋势。云计算服务通常提供通用的通过浏览器访问的在线商业应用，而软件和数据则存储在服务器上3。图1 云计算概观 在云环境中，各种资源动态地连接到Internet上,通过Internet通信，用户也是通过Internet向云申请服务，并且在云环境里所有实服务参与者都可以动态的加入或退出。因此，云的安全是建立在Internet基础之上的，而Internet是一个开放的网络环境，因此，它不可避免的要涉及到网络安全问题。这些安全威胁有的来自外部，如：数据被截取；信息的内容被篡改或删除；假冒合法用户和服务提供商。也有些来自系统内部，如：虚假、恶意的节点提供虚假服务；存在自私节点，他们只是消耗资源而不提供资源；不可靠的实体会降低协同工作的效率，甚至造成协同工作的失败。目前Internet一般提供两种安全保障机制:访问控制和安全通信。访问控制用来保护各种资源不被非授权使用，而安全通信保证数据的保密性和完整性，以及各通信端的不可否认性，但是这两种机制只能解决云环境里部分安全问题。云计算环境由于自身的特性，跟传统网络相比，具有如下不同之处：1）大量动态可变的用户和服务提供者；2）计算可在执行过程中动态地请求、启动进程和申请、释放资源；不同的资源可能需要不同的认证和授权机制，而这些机制和策略的改变是受限的；3）不同的本地安全解决方案和信任机制。由上可以看出，云安全与传统的Internet安全相比，所涉及的范围更广，解决方案也更加复杂。云的这些特点所引发的安全问题迫切需要解决。比如，并行计算需要多个计算资源，这就要求在成百上千的分布在不同管理域中的进程之间建立安全信任关系，而不是简单的像C/S模式那样。另外，云环境中的动态特性使得各个服务参与者之间不能建立固定不变的安全信任关系，因为云服务应用在执行时可能又要申请其他资源，从而安全信任关系也必须在动态中建立。因此有必要对信任机制进行更深入的研究。2.信任模型信任模型是一种用来提供建立和管理信任关系的框架，它描述了实体之间的信任关系，并且把信任关系数字化。随着大规模的分布式系统的深入研究，以及开放式分布式环境里无中心权威管理的特点，产生了信任管理的问题。信任管理5-12技术作为一种访问控制技术，在分布式环境里得到了广泛应用。信任管理的基本思想是承认系统中安全信息的不完整性，系统的安全决策需要依靠可信任第三方提供附加的安全信息。从社会学角度来看，信任关系是最复杂的社会关系之一，是一个很难度量的抽象关系，当实体之间的信任关系不能明确定义的时候，它也是不稳定的，给它的管理和评估带来困难。信任也是一个与上下文相关的一个动态过程，随着时间的变化，实体之间可能会上下文动态的变化,并且具有时间滞后性的特点。2.1 信任的定义和分类定义1信任就是相信对方，是一种建立在自身知识和经验基础上的判断，是一种实体与实体之间的主观行为信任不同于人们对客观事物的“相信(believe)”，而是一种主观判断，所有的信任本质上都是主观的，信任本身并不是事实或者证据，而是关于所观察到的事实的知识。定义2信任度(trust degree)就是信任的定量表示，也可以称为信任程度、信任值、信任级别、可信度等。定义3直接信任度(direct trust degree)表示在给定的上下文中，一个实体根据直接接触行为的历史记录而得出的对另外一个实体的信任程度。定义4间接信任度(indirect trust degree)，表示实体间通过第三者的间接推荐形成的信任度，也叫声誉(reputation)、推荐信任度、反馈信任度等。定义5总体信任度(overall trust degree)是直接信任度和间接信任度的加权平均。根据不同的标准，信任能够被分为不同的类型1）按照属性来分，信任可以被分为身份信任和行为信任；2）按照获得方式来分，信任可以分为直接信任和推荐信任；3）按照角色来分，信任可以分为节点信任，第三方信任等等；4）按照基本理论来分，信任可以分为主观信任和客观信任；2.2 分布式系统环境中的信任模型13-17随着大规模的分布式系统，如网格计算、普适计算、P2P计算、Ad Hoc网络等应用的不断深入，信任模型的研究得到不断深入的研究，在这一段，主要介绍一些分布式系统环境下的信任模型。1） 基于PKI的信任模型该信任模型主要依赖于系统中的头节点来保证整个系统的安全，头节点的身份确认机制由CA来签发,Globus网格项目中的网格安全基础设施（GSI）也是基于PKI技术的。在GSI中提出了用户代理的概念。因为过分的依赖头节点，PKI信任模型可能会引起负载不均衡和单个节点的失效。2） 基于网络拓扑的信任模型该信任模型的建立是基于网络拓扑结构的，每个实体的信任通过它在系统拓扑结构图中的位置来评价。它通常使用树或图的遍历算法。在这个模型中的信任管理机制相对而言比较简单。但是由于极度复杂的网络环境，该模型中节点的信任度不是很精确，并且可能会引起系统的安全风险。3） 基于行为的信任模型 该模型使用实体的历史操作记录来计算信任度。在模型中，实体的信任度通过历史操作记录和其他实体的推荐来获得。该模型中实体的信任度相对而言比较可靠。4） 基于域的信任模型该模型广泛用于网络计算环境中，它把网格环境分成一些信任域，并且划分两种不同信任关系：域间信任关系和域内信任关系。该模型为不同的信任关系建立了不同的策略，模型的机制比较合理，相同域间的节点比较相似，彼此之间有很高的信任度。该模型另一个主要的特点就是：算法的计算复杂度较低。基于域的信任模型能被看做是基于PKI和基于网络拓扑模型的一个混合体，因此，该信任模型也可能会引起网络瓶颈，会造成单个节点的实效，会忽视独立实体间的信任决策。 5） 主观信任模型分布式的应用通常会面临两种大的安全场景：首先，用户程序可能包含会危害用户资源的恶意节点。其次，资源节点一旦被网络攻击入侵，将会破坏用户的应用程序。所以基于主观逻辑信任模型把信任分为一些信任子集:节点信任，授权信任，直接信任，推荐信任等等。并且针对每一种不同的信任建立了不同的策略，主观信任是关于实体部分特征或行为特定层次的一种主观决策，实体A信任B意味着A相信B在某些特定环境下一定会执行某种动作。可能性理论例如：D-S理论或者模糊理论是定义信任的基本工作。在文献22中提出了一种基于云模型的主观信任模型，它能够很好的对模糊性和随机性进行描述。但是存在一些缺点，它不能区分和集成身份和行为认证，该信任模型的机制相当复杂，很难实现它的原型系统。6） 动态信任模型在分布式系统应用中，动态信任机制是一个新的，热门的安全研究问题。动态信任关系一般需要建立以下数学模型： 信任度空间：首先要定义信任度的取值范围，这个空间一般是一个模糊逻辑定义的集合例如，可以定义信任值为0,1上的值，也可以是-1,1；既可以是连续的量，也可以是离散的整数值。 信任值的获取：一般要考虑两种方式的信任值获取方式：直接(direct)方式和间接(indirect)方式在Direct方式中，信任关系是通过主体对客体自然属性的判断而直接建立的当对另一个实体完全没有了解时，信任度设置成默认值(例如0.5或者0)；在Indirect方式中，通过第三方的推荐(recommend)建立信任关系和获取推荐的信任值，推荐信任值的获取要根据建立的推荐信任度计算的数学模型进行计算。 信任度的评估：根据时间和上下文的动态变化进行信任度的动态更新，在每次交互后，主体A更新信任信息结构表中对主体的信任值，如果一个交互是满意的，稍微调高直接信任值；如果交互不满意，稍微降低直接信任值但在有些模型中，对信任度进行评估时，即使没有发生交互，信任者关于某一被信任者的信任度会随着时间的流逝而改变3.典型动态信任模型3.1 PTM(Pervasive trust management model based on D-S theroy) PTM18-20是欧洲IST FP6支持的UBISEC研究（安全的普适计算）子项目，它定义了基于普适环境的域间动态信任模型。主要采用改进的证据理论进行建模，信任度的评估采用概率加权平均的方法。PTM中两个实体间的信任关系定义为，信任度随着时间和行为上下文的变化而增减。 信任关系的初始化：通过直接和间接两种方式。在直接方式中，信任是通过主体对客体的直接判断而建立的。当对另一个实体完全没了解时，信任度设置为默认值0.5.在间接方式中，通过推荐建立信任关系：（1）A通过B的推荐建立对C的信任：。（2）通过数字证书建立的信任R（A,C）=1。当有n个推荐时，要计算平均信任值 信任度随着时间和行为上下文变化而增减，使用如下模型计算后更新后的信任度值：其中，表示positive actions，表示negative actions, 为事件增量，常数m表示security level. 表示每一次action的权值。严格因子（strictness factor）是一个手工配置的参数。 PTM是最早研究普适环境下动态信任关系的模型，主要的优点是：信任模型很好的体现了信任度随着时间和行为上下的变化而增减的动态性。另外，没有复杂的迭代运算，适合普适环境下能源节约的应用需求，具有较好的计算收敛性。缺点在于信任模型中使用固定信任域；不能处理由于部分信息和新未知实体所引起的不确定性问题，没有分析风险和信任之间的关系；算术平均获得间接信任度，没有考虑到信任的模糊性和不确定性。3.2 Suns model(entropy-based trust model) Sun21,22等人提出了一种基于（entropy）熵理论的信任模型，用表示信任关系，,用表示subjec可能对agent采取action的概率。基于熵的信任值定义如下：其中是熵函数，推荐信任值的计算分两种方式，如下图所示：图2 推荐信任度的融合（1）单路径推荐，推荐信任值 （2）多路径推荐，推荐信任值其中，表示推荐信任。 在该模型中，信任度随着时间和行为上下文变化，信任度的计算采用如下评估模型：其中表示当前时间，表示统计时间。表示在统计时间内，A统计到X执行action的次数；表示要求执行的次数。表示遗忘因子。 该模型的主要优点在于：基于熵理论有效的表达了信任关系不确定性的属性。信任推荐考虑到了多级链路，较为准确的反应了全局信任度。模型可以实现信任值的动态更新，也可以进行可信路由的选择。缺点在于该模型采用多级信任链计算全局信任度，收敛速度慢，可扩展性不强。信任度动态更新的模型，没有给出通用的数学模型。4. 研究与展望近10年来，信任，信任模型，信任管理系统的研究从PKI集中式到分布式信任关系。从静态的信任模型到动态的信任模型，从比较单一的输入因子到多输入因子，从证据理论模型到各种各样的模型的提出，可以说，信任关系的研究是非常活跃的一个方向。而由以上提出的模型可以看出，动态信任模的研究仍处于初始阶段，仍有大量的问题需要解决： 信任关系定义混乱：信任关系是一个实体的主观决定，目前对“信任”没有统一的定义，各种模型各自提出了信任的定义； 信任模型的多样性：各种模型都是基于不同的应用背景提出来的，缺乏普遍性； 模型性能评价困难；目前大多采用模拟实验的办法进行功能评测，而没有进行实际性能的评测； 缺乏现实应用模型；结合以上提出的问题，在分布式环境下动态信任关系的建模中，可以在以下几个方面做一些进一步的工作： 进一步研究信任关系，尤其是动态信任关系的相关性质，信任的表述以及信任度度量的合理性。这是信任关系建模的基础。 通用信任模型的研究。在某些相似的应用系统中，信任关系具有很大的相似性，可以将单一的系统信任模型扩展到这一系列的信任模型。 信任模型的评价。如何对多个信任模型进行客观的性能评价也值得做进一步的研究。 多个信任模型提出了复杂的计算过程，这些模型在实现时，复杂度问题也值得探讨。参考文献1 互动百科 云计算/wiki/%E4%BA%91%E8%AE%A1%E7%AE%97 2Urquhart J:The Biggest Cloud-Computing Issue of 2009 is Trust(2009)/8301-19413_3-10133487-240.html3 维基百科 云计算/wiki/%E9%9B%B2%E7%AB%AF%E9%81%8B%E7%AE%974 IBM虚拟化与云计算小组.虚拟化与云计算.北京：电子工业出版社，2009.10.ISBN 978-7-12109678-55 Blaze M,Feigenbaum J,Lacy J.Decentralized trust management.In:Proc.of the 1996 IEEE Symp.on Security and PrivacyWashington:IEEE Computer Society Press1996164-173/10.1 109/SECPRI.1996.5026796 Weeks S.Understanding trust management systems.In:Proc.of the 2001 IEEE Symp.on Secutity and PrivacyW ashington:IEEE Computer Society Press，2001.94-105.7 Xu F,Lu J.Research and development of trust management in Web security.Journal of Software，2002，13(11)：2057-2064(in Chinese with English abstract)/1000-9825/13/2057.pdf8 Yuan SJ.The research on key technologies of trust managementPh.D.ThesisShanghai:Fudan University,2004(in Chinese with English abstract)9 Chang E,Thomson P,Dillon T,Hussain F.The fuzzy and dynamic nature of trust.LNCS 3592.Berlin:Springer-Verlag,2005.161-17410 Koutrouli E,Tsalgatidou A.Reputation-Based trust systems for P2P applications:design issues and comparison framework.LNCS 4083,2006.152-16111 Ruohomaa S,Kutvonen L.Trust management surveyLNCS 3477.Berlin:Sptinger-Verlag,2005.77-9212Song S,Hwang K,Zhou R,Kwok YK.Trusted P2P transactions with fuzzy reputation aggregation.IEEE Internet Computing.2005 9(6):24-3413 Li W,Wang,XFu,Y.Fu,Z:Study on Several Trust Models in Grid Environment.Journal of FuZhou University Natural Science Edition 34(2),2006189-19314Blaze M.loannidis.J.Keromytis,A,D:Experience with the KeyNote Trust Management System. Applications and Future Directions.In:iTrust 2008.pp.284-300,200315Meng.X.Zhang,G.:A New Subjective Trust Model Based on Cloud Model.In:ICNSC 2008,5th IEEE International Conference on Networking,Sensing and Control Sanya China,April 6-8.pp.1125-113016Xiao-Yong Li,Xiao-Lin,Gui.:Research on Dynamic Trust Model for Large Scale Distributed Environment.Journal of Software 18(6). 20071510-152117Song S,Hwang K,Macwan M:Fuzzy Trust Intergration for Security Enforcement in Grid Computing.200418Almenarez