基于模糊信任的網(wǎng)格訪問(wèn)控制模型

劉思鳳， 謝仕義

(廣東海洋大學(xué)信息學(xué)院，廣東湛江524005)

0 引 言

信任是一個(gè)復(fù)雜概念，是簡(jiǎn)化復(fù)雜系統(tǒng)的一種有效方法。信任可以分為兩類[1-2]：身份信任和行為信任，身份信任涉及鑒別實(shí)體之間的授權(quán)真?zhèn)?，但難以很好地解決網(wǎng)格資源和站點(diǎn)的動(dòng)態(tài)變化問(wèn)題，網(wǎng)格資源是動(dòng)態(tài)加入和動(dòng)態(tài)撤離的，使相互之間的信任關(guān)系比較難以預(yù)先確定。模糊邏輯非常適合量化資源之間的不確定性及信任對(duì)等群組，但模糊理論沒(méi)有被充分利用網(wǎng)絡(luò)安全的訪問(wèn)控制，是當(dāng)前研究的一個(gè)熱點(diǎn)問(wèn)題。

本文提出了一種基于模糊信任的訪問(wèn)控制模型(trust access control model of fuzzy，TACMF)，基于直接和聲譽(yù)(或行為信任)兩者結(jié)合的信任計(jì)算模式，應(yīng)用模糊理論來(lái)處理模糊性和不確定性動(dòng)態(tài)資源的信任屬性，旨在更好地解決網(wǎng)格資源動(dòng)態(tài)變化的信任關(guān)系問(wèn)題。TACMF以評(píng)估本地安全條件為宗旨，基于模糊推理量化資源域的信任為基礎(chǔ)，用信任索引(trust index，TI)量化站點(diǎn)和資源域的可信度，以實(shí)現(xiàn)動(dòng)態(tài)資源的安全訪問(wèn)控制要求。根據(jù)以往作業(yè)的執(zhí)行經(jīng)驗(yàn)及站點(diǎn)自身評(píng)價(jià)資源的防御能力，進(jìn)行資源訪問(wèn)控制的權(quán)限管理，用信任管理強(qiáng)制執(zhí)行信任安全策略，以保證安全的資源分配。

1 模糊信任的相關(guān)問(wèn)題

信任關(guān)系可以用期望值對(duì)信任進(jìn)行度量，本系統(tǒng)用TI描述信任度量，用于定義站點(diǎn)及資源域的信任度，用來(lái)約束及實(shí)現(xiàn)正確的信任關(guān)系。當(dāng)進(jìn)行信任為基礎(chǔ)的決策時(shí)，實(shí)體之間可以依照代理之間的信任評(píng)價(jià)，選擇能滿足其執(zhí)行條件的信任合作者，協(xié)同進(jìn)行資源的安全訪問(wèn)。

1.1 信任與代理

凡是涉及合作與交互的場(chǎng)合都需要引入信任，同人類社會(huì)關(guān)系類似，信任來(lái)源于直接信任和聲譽(yù)[1-4]。前者強(qiáng)調(diào)Agent自身評(píng)價(jià)，而后者是流傳于社會(huì)的聲譽(yù)。聲譽(yù)是一個(gè)關(guān)于Agent的期望基于行為信息(通過(guò)觀察其過(guò)去的行為表現(xiàn))。在形成信任時(shí)，前者也比后者更加可靠。但是，在開(kāi)放的網(wǎng)格多代理系統(tǒng)(multi-agentsystems，MAS)中，前者不易得到，有時(shí)需要依靠后者完成評(píng)價(jià)。例如，假設(shè)實(shí)施信任評(píng)價(jià)的主體稱為評(píng)價(jià)Agent a，被評(píng)價(jià)的合作者稱為目標(biāo)Agent。如果a與b之前沒(méi)有交互過(guò)，它們之間沒(méi)有任何信息來(lái)計(jì)算其相應(yīng)的信任評(píng)價(jià)。在這種情況下，若b有其它Agent的推薦或以往行為表現(xiàn)證明信息提供給a，則Agenta將可以做出關(guān)于Agentb可信度相關(guān)的評(píng)價(jià)。

1.2 信任和聲譽(yù)

兩個(gè)域之間的信任關(guān)系，有兩種情況需要定義[5-10]：①直接關(guān)系(直接信任)；②聲譽(yù)(間接推薦為基礎(chǔ)的信任)。假設(shè)兩個(gè)域分別為Di和Dj，為了定義它們之間的信任關(guān)系，每個(gè)域的信任Agent定義和維護(hù)兩張表如表1及表2所示，描述了Di和Dj上下文c(指許可和權(quán)限的集合)在時(shí)間t的信任評(píng)估。從直接信任關(guān)系表2中看到，對(duì)一個(gè)特定上下文ci在時(shí)刻t，Dk能在兩個(gè)域之間利用Dj資源部署服務(wù)。因此，這兩個(gè)域之間存在著直接的信任關(guān)系，并且這種關(guān)系可以不對(duì)稱，既關(guān)系中涉及的兩個(gè)域相互的信任評(píng)價(jià)可能不同，每個(gè)域各自擁有定義(如表1所示)。當(dāng)Di希望與Dj交互，除了依據(jù)直接的信任評(píng)價(jià)，Di也可以依靠其它域Agent對(duì)Dj的推薦。因此，每個(gè)域的信任Agent將依照直接以及推薦信任評(píng)估方式。

信任是一個(gè)動(dòng)態(tài)值，是建立在特定時(shí)間及具體上下文的以往交互經(jīng)驗(yàn)的基礎(chǔ)上，當(dāng)實(shí)體之間長(zhǎng)時(shí)間沒(méi)有直接或間接的接觸行為發(fā)生時(shí)，其信任關(guān)系會(huì)隨著時(shí)間的推移而衰減弱化，可能從非常值得信任的評(píng)價(jià)到非常不可靠的跨越。所以，交互時(shí)刻在計(jì)算當(dāng)前聲譽(yù)時(shí)對(duì)歷史評(píng)價(jià)進(jìn)行衰減，距離當(dāng)前時(shí)刻近的交互評(píng)價(jià)更能反映站點(diǎn)的近期行為。故交互時(shí)間距離計(jì)算聲譽(yù)值的時(shí)間越遠(yuǎn)，交互評(píng)價(jià)對(duì)聲譽(yù)值的影響應(yīng)該越小。

1.2.1 直接信任

網(wǎng)格站點(diǎn)的直接交互，是指兩個(gè)域Agent之間的直接相互作用。Agent在交互前需要通過(guò)評(píng)估系統(tǒng)，選擇能滿足其交互目的合作者，決定何時(shí)、同誰(shuí)以及如何進(jìn)行交互。

定義1 直接信任：設(shè)Di和Dj兩個(gè)域Agent分別為a和b，如果Agenta相信與之交互的另一個(gè)Agentb，交互的特定上下文c在時(shí)刻t，用TI表示信任度，則直接信任表示為t(a,b,c,TI)，TI∈{vh,h,m,l,vl}，其中的語(yǔ)義由表1和表2所示定義。

表1 直接信任

TACMF將TI劃分為5個(gè)級(jí)別，以準(zhǔn)確刻畫(huà)站點(diǎn)的可信度，Agent根據(jù)TI選擇交互者，滿足不同層次資源訪問(wèn)的需要。評(píng)估信任等級(jí)和主體屬性的參數(shù)可以根據(jù)應(yīng)用需求來(lái)動(dòng)態(tài)地定義，增強(qiáng)了適應(yīng)網(wǎng)格動(dòng)態(tài)復(fù)雜環(huán)境的變化。

表2中，Di與Dj信任TI，基于交互的特定上下文c在時(shí)刻t，直接信任關(guān)系表示為T(mén)I(tij,c)，同樣方式Dj與Di的直接信任關(guān)系可以表示為T(mén)I(tji,c)。

表2 直接信任關(guān)系

1.2.2 基于聲譽(yù)的信任

對(duì)于任意一個(gè)站點(diǎn)n，信任機(jī)制根據(jù)n執(zhí)行過(guò)的交互情況和其它域?qū)ζ浣换バ袨榈脑u(píng)估，為該域分配一個(gè)信任值，使得其它站點(diǎn)可以根據(jù)n的信任級(jí)別做出是否與其交互的決策。故行為信任度量反映了節(jié)點(diǎn)歷史交易行為的可信度。

定義2 推薦信任：設(shè)Di和Dj兩個(gè)域Agent分別為a和b，如果Agenta認(rèn)為另一個(gè)Agentb值得信賴，特定的上下文c在時(shí)刻t，推薦至其它域信任索引為RTI(recommender trust index)，則推薦信任表示為rt(a,b,c,RTI)，其中的語(yǔ)義見(jiàn)表3定義。

表3 推薦信任

然而，對(duì)于Agent本身可能存在與推薦Agent不一致的信任評(píng)價(jià)問(wèn)題。

1.2.3 信任和聲譽(yù)權(quán)重

基于直接信任和聲譽(yù)相結(jié)合的基礎(chǔ)上[6-10]，權(quán)衡兩個(gè)不同組成部分的權(quán)重，以解決上述Agent之間信任評(píng)價(jià)不一致的問(wèn)題。設(shè)域Di和Dj直接和聲譽(yù)權(quán)重分別為 和 (且 ∈[0,1],∈[0,1],+=1)。若權(quán)重賦值由個(gè)人域定義，那么Di可能更多信任業(yè)務(wù)合作伙伴或盟友比其它域：①Di將給其合作伙伴和盟友的推薦或直接交互關(guān)系域更大的權(quán)重 (>0.7或 >0.7)；②Di可以通過(guò)策略指定只接受從哪個(gè)域的推薦或直接的信任關(guān)系，Di對(duì)不信任的推薦或與推薦人沒(méi)有相互作用關(guān)系將分配一個(gè)比較小的權(quán)重 (<0.3或 =0)。將直接信任t(a,b,c,TI)及推薦信任rt(a,b,c,RTI)的權(quán)重表示為

2 模糊信任訪問(wèn)控制模型

2.1 體系結(jié)構(gòu)

TACMF體系結(jié)構(gòu)設(shè)計(jì)如圖1所示，是一個(gè)基于模糊推理量化的信任評(píng)估模型[5,9-13]。系統(tǒng)架構(gòu)基于VPN(virtual private network)隧道技術(shù)。

當(dāng)前系統(tǒng)建有4個(gè)資源站點(diǎn){R1,R2,R3,R4}的模擬環(huán)境，用戶提交請(qǐng)求到Agent域R4，第一次交互Agent之間需要雙向認(rèn)證，所要求的資源和計(jì)算能力在提交時(shí)提供，認(rèn)證通過(guò)后Agent將請(qǐng)求廣播到其它域中的Agent，Agent之間通過(guò)直接及推薦信任(如2.2所述)進(jìn)行安全的資源分配，資源域之間協(xié)同完成作業(yè)的執(zhí)行。

圖1 TACMF體系結(jié)構(gòu)

2.2 模糊信任管理

TACMF主要包含兩部分功能：資源管理和信任管理，資源管理用于資源調(diào)度、監(jiān)測(cè)資源狀態(tài)和維護(hù)作業(yè)的執(zhí)行，信任管理通過(guò)模糊推理評(píng)估系統(tǒng)，評(píng)估站點(diǎn)的信任索引。

系統(tǒng)在每個(gè)資源域定義上下文c在時(shí)間t，整個(gè)網(wǎng)格環(huán)境的信任增量更新，以及跨邊界資源定期信任傳播，對(duì)分布式模糊推理信任策略強(qiáng)制執(zhí)行。該模型考慮了交互時(shí)間對(duì)信任度的影響，當(dāng)進(jìn)行信任為基礎(chǔ)的決策時(shí)，實(shí)體之間可以參考推薦代理的信任評(píng)價(jià)。用戶在提交作業(yè)前通過(guò)評(píng)估系統(tǒng)，選擇能滿足其執(zhí)行條件的信任TI等級(jí)的合作者，系統(tǒng)執(zhí)行過(guò)程如下：

(1)用戶提交請(qǐng)求到Agent域R4；

(2)用戶和TACMF Agent之間雙向認(rèn)證并提交作業(yè)；

(3)Agent將資源請(qǐng)求廣播；

(4)資源管理應(yīng)答請(qǐng)求；

(5)Agent生成資源分配方案；

(6)用戶確認(rèn)；

(7)調(diào)度資源并執(zhí)行作業(yè)；

(8)執(zhí)行結(jié)果報(bào)告用戶。

每個(gè)資源域維護(hù)自身的信任向量，定期更新，信任交換通過(guò)信任之間的傳播。

3 模糊信任量化

3.1 信任知陣

TACMF在每個(gè)資源域的信任Agent通過(guò)模糊推理系統(tǒng)，評(píng)估量化站點(diǎn)的TI，定期進(jìn)行信任更新和信任傳播的信任集成一體化[5,9-13]?？尚刨Y源域依據(jù)以前作業(yè)的執(zhí)行經(jīng)驗(yàn)，每個(gè)資源域Agent維持自身信任向量。對(duì)于K資源站點(diǎn)，tij(1≤i,j≤k)代表 Ri訪問(wèn)資源域 Rj的 TI，資源域 Rj信任向量定義列向量如下

當(dāng)資源分配管理將作業(yè)提交到Ri時(shí)，信任向量Vi計(jì)算其性/價(jià)比。綜合所有信任向量，對(duì) k站點(diǎn)資源域定義信任矩陣如下

其中，與 不一定相等。

例如，若圖1中的R1，R2，R3這3個(gè)站點(diǎn)對(duì)應(yīng)信任向量為V1，V2，V3，信任矩陣 M，設(shè) TI∈{vh，h，m，l，vl}{vh∈([0,0.2]，h∈(0.2,0.4]，m∈(0.4,0.6]，l∈(0.6,0.8]，vl∈(0.8,1]}，展示了一個(gè)信任向量實(shí)例如圖2所示。

圖2 信任向量及信任知陣

信任集成過(guò)程：

(1)模糊推理判斷的信任量化在每個(gè)資源域；

(2)每個(gè)資源域信任增量更新；

(3)定期對(duì)所有資源域信任傳播和集成一體化。

3.2 信任更新

資源域Ri的信任向量Vi在以下兩種情況下改變：

(1)大量作業(yè)提交到Rj已執(zhí)行，執(zhí)行狀態(tài)(無(wú)論成功或失敗)報(bào)告 TACMF AgentRi。

(2)信任管理在每一個(gè)資源域報(bào)告信任和防御能力的變化。

AgentRi對(duì)站點(diǎn)Rj監(jiān)測(cè)所有作業(yè)的執(zhí)行，分析站點(diǎn)作業(yè)執(zhí)行的成功率和防御能力。令 tij代表新的安全和執(zhí)行信息，計(jì)算從舊的TI到當(dāng)前新的TI，用加權(quán)平均更新信任如下

當(dāng)1≤i，j≤k對(duì)應(yīng)k資源域，加權(quán)因子 ∈(0,1)為隨機(jī)變量，如果歷史安全記錄或舊的TI更有意義，應(yīng)設(shè)置為較高值。相反，如果新的信任占主導(dǎo)，則 設(shè)置一個(gè)較小值。對(duì)安全敏感的應(yīng)用，系統(tǒng)應(yīng)適應(yīng)信任值迅速改變，以反映最新信任更新變化，故 應(yīng)取比較小的值(如 <0.3)。但對(duì)于穩(wěn)定和相對(duì)低的安全敏感應(yīng)用，可取值 >0.9。一般情況下，可以設(shè)置 ∈[0.8,0.9]。

Agents之間定期相互廣播信任向量，更新周期依賴于網(wǎng)格應(yīng)用。作為高度敏感的應(yīng)用，采納小的更新周期。否則，可以更長(zhǎng)的更新周期。對(duì)于n個(gè)資源站點(diǎn)，每個(gè)站點(diǎn)的影響大約取1/n，從另一個(gè)資源站點(diǎn)Rj的影響，計(jì)算新的站點(diǎn)Ri的信任向量如下

為了從過(guò)去經(jīng)驗(yàn)計(jì)算TI，信任和聲譽(yù)在數(shù)據(jù)庫(kù)中各自的Agents需要記錄對(duì)方以前交易，數(shù)據(jù)庫(kù)存儲(chǔ)最新Agents的評(píng)估，并保存歷史記錄H，使系統(tǒng)動(dòng)態(tài)信任更新。

4 實(shí)驗(yàn)與分析

系統(tǒng)節(jié)點(diǎn)包括資源提供、信任管理、訪問(wèn)控制、調(diào)度管理等。我們模擬了200個(gè)作業(yè)的執(zhí)行，資源調(diào)度采用符合泊松分布的隨機(jī)函數(shù)，為了取得更多的數(shù)據(jù)，控制調(diào)度在高頻率范圍進(jìn)行。每100個(gè)作業(yè)為一組，以便分析和發(fā)現(xiàn)TACMF對(duì)系統(tǒng)的影響，200個(gè)作業(yè)在各個(gè)站點(diǎn)并行調(diào)度執(zhí)行。對(duì)原系統(tǒng)(沒(méi)有建立TACMF)與TACMF系統(tǒng)執(zhí)行比較，作業(yè)失效率和平均等待時(shí)間如表4所示。

由表4分析得出，TACMF的信任集成，能夠修復(fù)信任。200個(gè)作業(yè)調(diào)度失敗率從原55/200=27.5%下降到6/200=3%，調(diào)度失敗率降低了24.5%。作業(yè)平均等待時(shí)間由原系統(tǒng)23～18分左右，降到當(dāng)前5～1分左右。

表4 系統(tǒng)性能分析

實(shí)驗(yàn)反映推薦節(jié)點(diǎn)在成功推薦及惡意推薦狀態(tài)下，推薦因子更新結(jié)果對(duì)系統(tǒng)執(zhí)行的影響。實(shí)驗(yàn)中將30%評(píng)價(jià)定義為惡意推薦，TI給予一個(gè)區(qū)間[0,1]的隨機(jī)數(shù)，將TI>0.5平均值的資源稱為可信資源?；赥I信任調(diào)度算法取得了較大的吞吐量，比之前者提高了25.3%；調(diào)度失敗率則從原22.5%降到2.3%；可信資源調(diào)度率從原65.2%提高到當(dāng)前90.8%，提高了25.6個(gè)百分點(diǎn)，系統(tǒng)中一些惡意評(píng)價(jià)或非常規(guī)評(píng)價(jià)被修正。顯然，TACMF一定程度上避免了良好資源被惡意評(píng)價(jià)而導(dǎo)致的調(diào)度率下降問(wèn)題，使系統(tǒng)維持了一個(gè)較高的資源匹配率，因此吞吐量有一定提高。

5 結(jié)束語(yǔ)

TACMF基于模糊信任一體化，每個(gè)資源域維護(hù)自身的信任向量，定期進(jìn)行信任更新，信任交換通過(guò)信任之間的傳播，由信任域?qū)δＰ蛡鞑バ湃蜹I。

TACMF信任集成評(píng)估方法降低了平臺(tái)的脆弱性。通過(guò)模糊推理量化信任關(guān)系，促使更多的資源按照實(shí)際服務(wù)水平得到評(píng)價(jià)，從而作業(yè)可以按照實(shí)際需求獲得更優(yōu)的資源，使系統(tǒng)調(diào)度失敗率下降，用戶應(yīng)用程序執(zhí)行大大地縮短了等待時(shí)間。實(shí)驗(yàn)分析結(jié)果清楚表明，模糊信任集成量化信任的有效性，較好地解決了網(wǎng)格動(dòng)態(tài)資源不確定性的安全訪問(wèn)問(wèn)題，該信任模型的評(píng)估方式能夠有效評(píng)估網(wǎng)格站點(diǎn)的可信性和可靠性。

[1]查禮,李偉,余海燕,等.面向服務(wù)的織女星網(wǎng)格系統(tǒng)軟件設(shè)計(jì)與評(píng)測(cè)[J].計(jì)算機(jī)學(xué)報(bào),2005,28(4):495-504.

[2]姚慧,高承實(shí),戴青,等.一種基于動(dòng)態(tài)規(guī)劃的自動(dòng)信任協(xié)商策略[J].計(jì)算機(jī)應(yīng)用,2008,28(4):892-895.

[3]Kwok Y K,Song S,Hwang K.Selfish grid computing:game-theoretic modeling and NAS performance results[C].Cardiff,UK:Proceedings of CCGrid,2005.

[4]李小勇,桂小林.大規(guī)模分布式環(huán)境下動(dòng)態(tài)信任模型研究[J].軟件學(xué)報(bào),2007,18(6):1510-1521.

[5]Zhou RF,Hwang K.Power-trust:A robust andscalablereputation system for trusted peer-to-peer computing[J].IEEE Trans on and Distributed Systems,2007,18(4):460-473.

[6]張煥國(guó),羅捷,金剛.可信計(jì)算研究進(jìn)展[J].武漢大學(xué),2006,52(5):513-518.

[7]Li X Y,Gui X L,Zhao J,et al.Engineering trusted P2P system with fast reputation aggregating mechanism[C].Proc of the IEEE Int'l Conf on Robotics and Biomimetics.Washington:IEEE Press,2007:2007-2012.

[8]Theodorakopoulos G,Baras JS.On trust models and trust evaluation metrics for ad-hoc networks[J].IEEE Journal on Selected Areas in Communications,2006,24(2):318-328.

[9]Liang ZQ,Shi WS.Analysis of recommendations on trust inference in open environment[J].Journal of Performance Evaluation,2008,65(2):99-128.

[10]Ji M,Orgun MA.Trust management and trust theory revision[J].IEEE Trans on Systems,Man and Cybernetics,2006,36(3):451-460.

[11]Josang A,Ismail R,Boyd C.A survey of trust and reputation systems for online service provision[J].Decision Support Systems,2007,43(2):618-644.

[12]Huynh TD.Trust andreputation inopenmulti-agentsystems[D].Southampton:Electronics and Computer Scfence,University of Southampton,2006.

[13]Jr Gardner ES.Automatic monitoring of forecast errors[J].Journal of Forecasting,2006,2(1):1-21.