0 引言

    传统的安全机制被用来提供授权和认证，虽然解决了身份信任的问题，但不能解决云服务提供商行为可信的问题。云计算的信任评估模型的研究已经初步展开，并迅速成为云计算安全领域中的研究热点。

    目前国内外学者基于不同的方法和数学工具提出了多种解决云计算安全的方案。文献[1]提出了一种私有虚拟基础设施，这是一个云计算安全架构，使用信任模型使提供商和用户共同承担安全责任。文献[2]提出了一种基于硬件的认证机制，为用户在云计算环境下进行数据处理提供安全保证。文献[3]提出了一种基于TPM虚拟化的研究方法，该方法确保用户能够在云环境中使用身份认证来保障云平台的安全性。但这些研究没有给出具体的评估方法，用户很难对云平台的安全能力进行评估。

    此外还有一个关键的问题是如何对云服务商进行信任评估，文献[4]提出了一个基于贝叶斯网络的信任模型；文献[5]提出了一个基于全局信任信息的信任模型EigenRep；文献[6]提出了一种基于模糊集合理论的信任评估模型，该模型通过引入中间推荐节点的直接交互经验，来体现主观因素方面的重要性；文献[7]在信任云的基础上提出了一种基于云模型的主观信任量化评价方法，设计了一种信任变化云来刻画信任客体信用度的变化情况，为进一步的信任决策提供依据。

    但是现有模型仍然存在一些问题：(1)用户很难获得云平台真实的安全能力信息并进行安全评估。(2)现有模型没有针对云计算的具体特点对云服务提供商进行信任评估的方法。

    针对以上问题，本文将云服务提供商的安全能力要求进行属性划分，为云服务商提供安全能力自我评估的方法。此外，文中利用“硬”信任机制对服务商的安全服务能力进行评估，利用“软”信任机制对云服务商的行为进行信任评估，最后进行实例分析。

1 混合信任评估模型

1.1 模型的相关定义

    定义1 云服务商安全能力即信任属性集合TA={CO，DG，RS，HR，IS，LG，OP，RI，RM，RS，SA}，集合TA是根据云计算服务安全能力要求标准按语义进行分类(合规性，数据管理，设施安全，人员安全，信息安全，合法性，操作管理，风险管理，发布管理，弹性操作)，CO={CO-01，CO-02…}，DG={DG-01，DG-02…}，TA中每一项都有子类，每个子类对应一个或几个评估项，如CO-01={CO-01.1，CO-01.2，…}。

1.2 模型的架构图

    用户根据自己的业务需求对云服务商提出安全要求，云服务商进行自我评估并向用户提供评估结果，用户对云服务商进行可信评估。图1给出了具体的评估模型框架，具体的评估流程如图2所示。

    (1)云服务商提供安全能力的自我评估结果，用户依据评估结果来初步选择符合自己安全需求的云服务商，之后向属性认证服务模块PVS提交所要验证的属性。

    (2)PVS向认证服务模块VS发送属性认证信息，VS通过′ALOPA′策略逐一认证每个属性。

    (3)如果用户提交的所有信任属性都通过了′ALOPA′策略的验证，VS就会向PVS发送一个反馈信息。

    (4)所有的信任属性经过认证后就会进行信任状态检查，PVS要求信任服务模块TS根据属性集合来判断当前云平台的信任状态。

    (5)根据信任属性的语义TS使用信任运算符来判断云平台的信任状态。

    (6)对所有信任属性的综合信任值和用户的信任期望值进行比较，PVS要求决策模块DM给出最终的评估结果。

    (7)DM对计算出的综合信任值和用户信任值进行比较，将比较结果反馈给PVS。

    (8)PVS将最终结果发给用户。

1.3 硬信任评估模块

    利用简单逻辑语言′ALOPA′[8]来描述云平台属性之间的依赖关系，判断云平台的安全能力是否满足用户的要求。

    定义2 ′ALOPA′策略：′HasC′，′HasPF′，′SatC′和′SatPF′为′ALOPA′策略的四个术语符号，′Has′表示两个实体之间的层次结构关系，′Sat′表示实体与属性之间的符合关系，实体可以是平台或平台组件。

    定义3 利用′ALOPA′策略的四个术语符号定义了两个运算规则：组件属性规则CP和平台属性规则PP，具体的形式如下：

    pf和c分别表示平台和组件，p表示属性，规则1表示将组件的属性与平台的属性相关联，规则2表示将一种类型的属性与另一种属性相关联。

1.4 软信任评估模块

    “软”信任模型TM对含有不确定性的信任用评价意见o表示^[9]，每个评价意见都是由一个二元数组o=(t，c)∈{[0，1]，[0，1]}表示，t表示平均评级（积极评价和消极评价的相对次数），c表示平均评级的确定性。

    定义4 信任模型：TM=(E，TR，OP)，E表示实体集，TR表示实体间的信任关系，OP表示一系列管理信任关系的操作。实体E包括用户U、云服务提供商CP、认证机构CA。信任关系TR表示对于给定的属性两个实体之间的信任关系。

    定义5 信任关系TR：TR.1是指一个属性被第三方评估机构评估或云服务提供商自己进行评估；TR.2是指一个属性只能被第三方机构进行评估；TR.3是指云服务提供商对因为有组件c而拥有相应的属性进行声明。具体表示如下：

    TR.1=(A，B，C，P，K，θ，M，p，n，u)

    TR.2=(A，B，P，K，θ，M，p，n，u)

    TR.3=(A，B，C，P，K，θ，M，p，n，u)

    以上表示的含义是由于实体B有组件C，所以实体A信任实体B，组件C满足属性P，K是一个信任集，这种信任是在时间?兹测出的，p代表积极的评价，n代表不好的评价，u代表不确定，M表示对服务提供商的意见也就是数组o。TR.2和TR.3的区别就是TR.3中实体B中包含了特定组件C，所以拥有属性P。上述表示中的每个参数的取值范围如下：实体A，B∈(U，CP，CA)；C表示实体B中所有组件的子集；P表示组件C满足的属性的子集；K∈{satisfaction，certification}，satisfaction表示B中一个服务平台的组件满足某个给定的属性，certification表示相信CA所认证的组件属性；θ表示更新提供商o值的时间；p、n、u分别表示积极评价、不好的评价、不确定性评价的次数。

    定义6 信任衰减：信任随着时间动态变化，衰减运算函数Ψ_k，Δ表示根据以前的评价o_old来计算现在的评价o_new。计算方程如下：

    k表示衰减率取值范围，为0<k≤1，如果衰减率为1%，则k=0.01，如果衰减率为10%，则k=0.1。用Δ的值来表示两个不同时间对信任评估的不同评价，如果Δ=0，则o_new与o_old一样，如果Δ=∞，则o_new=0，文中选取的Δ为两次给出评价的年数，最小值为0/365（0天），最大值为730/365（2年）。

    定义7 信任操作OP是对云服务商可信度评估的基础，包括收集证据、信任评估、信任比较三部分。

1.4.1 收集证据

    用户可以根据自己直接评价得出证据也可以通过其他人的建议得出，这些证据分为积极的评价、消极的评价和不确定评价，根据不同评价的次数分别得出p、n、u的值。

1.4.2 信任评估

    文中利用评价的表示方法以及确定性信任和确定性逻辑运算符^[11]来进行信任评估。

    定义8 直接信任：用户A与提供商B之间的直接信任关系是通过符合性和认证评价来计算的。针对TR.1、TR.2和TR.3直接信任的计算方程如下：

    定义10 综合信任是利用直接信任和间接信任计算出来的。计算方程如下：

1.4.3 信任比较

    O₁和O₂是两个给定的评价建议，评价建议操作符为≥o，如果t₁>t₂，c₁>c₂，则O₁≥O₂，DM输出1，O₁比O₂好，否则DM输出0。

    定义11 决策模型DM：用户在部署服务之前根据自己要求的属性集{P_U}=P₁，P₂，…，P_n选出可信的云服务提供商。用户针对服务商所提供的属性设置自己可接受的信任值的域，如果每个属性都符合′ALOPA′策略且评价水平o(t，c)≥τ(τ是用户自己定义的信任值的域)，就认为该提供商是可信赖的，且提供的服务满足用户的要求。

2 实际场景应用分析

    本文利用某政府部门（用户H）在市场上选择安全可信的云服务商为实例进行分析，政府用户主要关注云服务商合规性、数据管理和信息安全方面的安全能力。假设用户H要求的安全属性集为{P_H}={CO-01，DG-01，IS-21}，云服务提供商CP自我评估的信任属性为{P_CP}，且{P_H}{P_CP}。用户将云服务商提供的属性集提交给PVS，利用′ALOPA′策略进行验证。如果所有的属性都通过了定义3中的验证规则，则VS就会给PVS一个反馈值证明云服务商所宣称的安全能力能够满足用户的需求，之后PVS就会将每个经过验证的属性向TS提出信任状态检查，TS利用逻辑运算符计算云平台的综合信任值，最终的评估结果为CO-01(t，c)=(0.4525，0.9230)，IS-21(t，c)=(0.3690，0.9178)，DG-01(t，c)=(0.6048，0.8994)，这里选取Δ=0，则o_new=o_old，计算出每一种信任关系中o_new的值，实例中用户的期望信任值分别为τ={(0.70，0.80)，(0.60，0.80)，(0.80，0.90)}，然后将每一个属性的综合信任值与用户的信任期望值进行比较：DG-01(t，c)≥oτ(t，c)，则DM向PVS输出1，PVS将信任评估结果反馈给用户。

3 总结与展望

    本文提出了一种基于信任属性的混合信任评估模型，解决了用户对云服务商安全可信的评估问题，最后进行实例分析。实验结果表明该模型简单有效、易于操作。由于云计算环境的复杂性，目前很多信任评估模型还处于理论研究阶段，本文提出的模型为建立用户与云服务商之间的信任关系提供了一定的参考，但有很多推荐用户的实际情况是不同的，推荐意见的信任度根据推荐者不同的业务能力也是不一样的，针对这个问题还需要进一步深入研究。

参考文献

[1] KRAUTHEIM F J.Private virtual infrastructure for cloud computing[C].Proceedings of the HotCloud’09.USA：USENIX Association，2009：5-5.

[2] SCHIFFMAN J，MOYER T，VIJAYAKUMAR H，et al.Seeding clouds with trust anchors[C].Proceedings of the ACM CCSW’10.USA：ACM，2010：43-46.

[3] SADEGHI A R，STBLE C，WINANDY M.Property-based tpm virtualization[C].Information Security，ser.Lecture Notes in Computer Science.Springer Berlin/Heidelberg，2008.

[4] WANG Y，VASSILEVA J.Trust and reputation model in peer-to-peer networks[C].Proceedings of the 3rd International Conference on Peer-to-Peer Computing，USA：2003：150-157.

[5] KAMVAR S D，SEHLOSSER M T，MOLINA H G.The eigentrust algorithm for reputation management in P2P networks[C].Proceedings of the 12th International Conference on World Wide Web ACM，Budapest：ACM Press，2003：640-651.

[6] ZHANG L，WANG R C，ZHANG Y P.A trust evaluation model based on fuzzy set for grid environment[J].Acta Electronica Sinica，2008，36(5)：862-868.

[7] WANG S X，ZHANG L，LI H S.Evaluation approach of subjective trust based on cloud model[J].Journal of Software，2010，21(6)：1341-1352.

[8] NAGARAJAN A.Techniques for trust enhanced distributed authorization using trusted platforms[D].Macquarie Universtiy，2010.

[9] RIES S，HABIB S M.Certainlogic：a logic for modeling trust and uncertainty[C].Trust and Trustworthy Computing.Springer Berlin/Heidelberg，2011：254-261.

[10] NAGARAJAN A.Trust enhanced distributed authorisation for web services[D].Macquarie Universtiy，2014.