基于模糊信任的網格訪問控制模型

劉思鳳， 謝仕義

(廣東海洋大學信息學院，廣東湛江524005)

0 引 言

信任是一個復雜概念，是簡化復雜系統的一種有效方法。信任可以分為兩類[1-2]：身份信任和行為信任，身份信任涉及鑒別實體之間的授權真偽，但難以很好地解決網格資源和站點的動態變化問題，網格資源是動態加入和動態撤離的，使相互之間的信任關系比較難以預先確定。模糊邏輯非常適合量化資源之間的不確定性及信任對等群組，但模糊理論沒有被充分利用網絡安全的訪問控制，是當前研究的一個熱點問題。

本文提出了一種基于模糊信任的訪問控制模型(trust access control model of fuzzy，TACMF)，基于直接和聲譽(或行為信任)兩者結合的信任計算模式，應用模糊理論來處理模糊性和不確定性動態資源的信任屬性，旨在更好地解決網格資源動態變化的信任關系問題。TACMF以評估本地安全條件為宗旨，基于模糊推理量化資源域的信任為基礎，用信任索引(trust index，TI)量化站點和資源域的可信度，以實現動態資源的安全訪問控制要求。根據以往作業的執行經驗及站點自身評價資源的防御能力，進行資源訪問控制的權限管理，用信任管理強制執行信任安全策略，以保證安全的資源分配。

1 模糊信任的相關問題

信任關系可以用期望值對信任進行度量，本系統用TI描述信任度量，用于定義站點及資源域的信任度，用來約束及實現正確的信任關系。當進行信任為基礎的決策時，實體之間可以依照代理之間的信任評價，選擇能滿足其執行條件的信任合作者，協同進行資源的安全訪問。

1.1 信任與代理

凡是涉及合作與交互的場合都需要引入信任，同人類社會關系類似，信任來源于直接信任和聲譽[1-4]。前者強調Agent自身評價，而后者是流傳于社會的聲譽。聲譽是一個關于Agent的期望基于行為信息(通過觀察其過去的行為表現)。在形成信任時，前者也比后者更加可靠。但是，在開放的網格多代理系統(multi-agentsystems，MAS)中，前者不易得到，有時需要依靠后者完成評價。例如，假設實施信任評價的主體稱為評價Agent a，被評價的合作者稱為目標Agent。如果a與b之前沒有交互過，它們之間沒有任何信息來計算其相應的信任評價。在這種情況下，若b有其它Agent的推薦或以往行為表現證明信息提供給a，則Agenta將可以做出關于Agentb可信度相關的評價。

1.2 信任和聲譽

兩個域之間的信任關系，有兩種情況需要定義[5-10]：①直接關系(直接信任)；②聲譽(間接推薦為基礎的信任)。假設兩個域分別為Di和Dj，為了定義它們之間的信任關系，每個域的信任Agent定義和維護兩張表如表1及表2所示，描述了Di和Dj上下文c(指許可和權限的集合)在時間t的信任評估。從直接信任關系表2中看到，對一個特定上下文ci在時刻t，Dk能在兩個域之間利用Dj資源部署服務。因此，這兩個域之間存在著直接的信任關系，并且這種關系可以不對稱，既關系中涉及的兩個域相互的信任評價可能不同，每個域各自擁有定義(如表1所示)。當Di希望與Dj交互，除了依據直接的信任評價，Di也可以依靠其它域Agent對Dj的推薦。因此，每個域的信任Agent將依照直接以及推薦信任評估方式。

信任是一個動態值，是建立在特定時間及具體上下文的以往交互經驗的基礎上，當實體之間長時間沒有直接或間接的接觸行為發生時，其信任關系會隨著時間的推移而衰減弱化，可能從非常值得信任的評價到非常不可靠的跨越。所以，交互時刻在計算當前聲譽時對歷史評價進行衰減，距離當前時刻近的交互評價更能反映站點的近期行為。故交互時間距離計算聲譽值的時間越遠，交互評價對聲譽值的影響應該越小。

1.2.1 直接信任

網格站點的直接交互，是指兩個域Agent之間的直接相互作用。Agent在交互前需要通過評估系統，選擇能滿足其交互目的合作者，決定何時、同誰以及如何進行交互。

定義1 直接信任：設Di和Dj兩個域Agent分別為a和b，如果Agenta相信與之交互的另一個Agentb，交互的特定上下文c在時刻t，用TI表示信任度，則直接信任表示為t(a,b,c,TI)，TI∈{vh,h,m,l,vl}，其中的語義由表1和表2所示定義。

表1 直接信任

TACMF將TI劃分為5個級別，以準確刻畫站點的可信度，Agent根據TI選擇交互者，滿足不同層次資源訪問的需要。評估信任等級和主體屬性的參數可以根據應用需求來動態地定義，增強了適應網格動態復雜環境的變化。

表2中，Di與Dj信任TI，基于交互的特定上下文c在時刻t，直接信任關系表示為TI(tij,c)，同樣方式Dj與Di的直接信任關系可以表示為TI(tji,c)。

表2 直接信任關系

1.2.2 基于聲譽的信任

對于任意一個站點n，信任機制根據n執行過的交互情況和其它域對其交互行為的評估，為該域分配一個信任值，使得其它站點可以根據n的信任級別做出是否與其交互的決策。故行為信任度量反映了節點歷史交易行為的可信度。

定義2 推薦信任：設Di和Dj兩個域Agent分別為a和b，如果Agenta認為另一個Agentb值得信賴，特定的上下文c在時刻t，推薦至其它域信任索引為RTI(recommender trust index)，則推薦信任表示為rt(a,b,c,RTI)，其中的語義見表3定義。

表3 推薦信任

然而，對于Agent本身可能存在與推薦Agent不一致的信任評價問題。

1.2.3 信任和聲譽權重

基于直接信任和聲譽相結合的基礎上[6-10]，權衡兩個不同組成部分的權重，以解決上述Agent之間信任評價不一致的問題。設域Di和Dj直接和聲譽權重分別為 和 (且 ∈[0,1],∈[0,1],+=1)。若權重賦值由個人域定義，那么Di可能更多信任業務合作伙伴或盟友比其它域：①Di將給其合作伙伴和盟友的推薦或直接交互關系域更大的權重 (>0.7或 >0.7)；②Di可以通過策略指定只接受從哪個域的推薦或直接的信任關系，Di對不信任的推薦或與推薦人沒有相互作用關系將分配一個比較小的權重 (<0.3或 =0)。將直接信任t(a,b,c,TI)及推薦信任rt(a,b,c,RTI)的權重表示為

2 模糊信任訪問控制模型

2.1 體系結構

TACMF體系結構設計如圖1所示，是一個基于模糊推理量化的信任評估模型[5,9-13]。系統架構基于VPN(virtual private network)隧道技術。

當前系統建有4個資源站點{R1,R2,R3,R4}的模擬環境，用戶提交請求到Agent域R4，第一次交互Agent之間需要雙向認證，所要求的資源和計算能力在提交時提供，認證通過后Agent將請求廣播到其它域中的Agent，Agent之間通過直接及推薦信任(如2.2所述)進行安全的資源分配，資源域之間協同完成作業的執行。

圖1 TACMF體系結構

2.2 模糊信任管理

TACMF主要包含兩部分功能：資源管理和信任管理，資源管理用于資源調度、監測資源狀態和維護作業的執行，信任管理通過模糊推理評估系統，評估站點的信任索引。

系統在每個資源域定義上下文c在時間t，整個網格環境的信任增量更新，以及跨邊界資源定期信任傳播，對分布式模糊推理信任策略強制執行。該模型考慮了交互時間對信任度的影響，當進行信任為基礎的決策時，實體之間可以參考推薦代理的信任評價。用戶在提交作業前通過評估系統，選擇能滿足其執行條件的信任TI等級的合作者，系統執行過程如下：

(1)用戶提交請求到Agent域R4；

(2)用戶和TACMF Agent之間雙向認證并提交作業；

(3)Agent將資源請求廣播；

(4)資源管理應答請求；

(5)Agent生成資源分配方案；

(6)用戶確認；

(7)調度資源并執行作業；

(8)執行結果報告用戶。

每個資源域維護自身的信任向量，定期更新，信任交換通過信任之間的傳播。

3 模糊信任量化

3.1 信任知陣

TACMF在每個資源域的信任Agent通過模糊推理系統，評估量化站點的TI，定期進行信任更新和信任傳播的信任集成一體化[5,9-13]。可信資源域依據以前作業的執行經驗，每個資源域Agent維持自身信任向量。對于K資源站點，tij(1≤i,j≤k)代表 Ri訪問資源域 Rj的 TI，資源域 Rj信任向量定義列向量如下

當資源分配管理將作業提交到Ri時，信任向量Vi計算其性/價比。綜合所有信任向量，對 k站點資源域定義信任矩陣如下

其中，與 不一定相等。

例如，若圖1中的R1，R2，R3這3個站點對應信任向量為V1，V2，V3，信任矩陣 M，設 TI∈{vh，h，m，l，vl}{vh∈([0,0.2]，h∈(0.2,0.4]，m∈(0.4,0.6]，l∈(0.6,0.8]，vl∈(0.8,1]}，展示了一個信任向量實例如圖2所示。

圖2 信任向量及信任知陣

信任集成過程：

(1)模糊推理判斷的信任量化在每個資源域；

(2)每個資源域信任增量更新；

(3)定期對所有資源域信任傳播和集成一體化。

3.2 信任更新

資源域Ri的信任向量Vi在以下兩種情況下改變：

(1)大量作業提交到Rj已執行，執行狀態(無論成功或失敗)報告 TACMF AgentRi。

(2)信任管理在每一個資源域報告信任和防御能力的變化。

AgentRi對站點Rj監測所有作業的執行，分析站點作業執行的成功率和防御能力。令 tij代表新的安全和執行信息，計算從舊的TI到當前新的TI，用加權平均更新信任如下

當1≤i，j≤k對應k資源域，加權因子 ∈(0,1)為隨機變量，如果歷史安全記錄或舊的TI更有意義，應設置為較高值。相反，如果新的信任占主導，則 設置一個較小值。對安全敏感的應用，系統應適應信任值迅速改變，以反映最新信任更新變化，故 應取比較小的值(如 <0.3)。但對于穩定和相對低的安全敏感應用，可取值 >0.9。一般情況下，可以設置 ∈[0.8,0.9]。

Agents之間定期相互廣播信任向量，更新周期依賴于網格應用。作為高度敏感的應用，采納小的更新周期。否則，可以更長的更新周期。對于n個資源站點，每個站點的影響大約取1/n，從另一個資源站點Rj的影響，計算新的站點Ri的信任向量如下

為了從過去經驗計算TI，信任和聲譽在數據庫中各自的Agents需要記錄對方以前交易，數據庫存儲最新Agents的評估，并保存歷史記錄H，使系統動態信任更新。

4 實驗與分析

系統節點包括資源提供、信任管理、訪問控制、調度管理等。我們模擬了200個作業的執行，資源調度采用符合泊松分布的隨機函數，為了取得更多的數據，控制調度在高頻率范圍進行。每100個作業為一組，以便分析和發現TACMF對系統的影響，200個作業在各個站點并行調度執行。對原系統(沒有建立TACMF)與TACMF系統執行比較，作業失效率和平均等待時間如表4所示。

由表4分析得出，TACMF的信任集成，能夠修復信任。200個作業調度失敗率從原55/200=27.5%下降到6/200=3%，調度失敗率降低了24.5%。作業平均等待時間由原系統23～18分左右，降到當前5～1分左右。

表4 系統性能分析

實驗反映推薦節點在成功推薦及惡意推薦狀態下，推薦因子更新結果對系統執行的影響。實驗中將30%評價定義為惡意推薦，TI給予一個區間[0,1]的隨機數，將TI>0.5平均值的資源稱為可信資源。基于TI信任調度算法取得了較大的吞吐量，比之前者提高了25.3%；調度失敗率則從原22.5%降到2.3%；可信資源調度率從原65.2%提高到當前90.8%，提高了25.6個百分點，系統中一些惡意評價或非常規評價被修正。顯然，TACMF一定程度上避免了良好資源被惡意評價而導致的調度率下降問題，使系統維持了一個較高的資源匹配率，因此吞吐量有一定提高。

5 結束語

TACMF基于模糊信任一體化，每個資源域維護自身的信任向量，定期進行信任更新，信任交換通過信任之間的傳播，由信任域對模型傳播信任TI。

TACMF信任集成評估方法降低了平臺的脆弱性。通過模糊推理量化信任關系，促使更多的資源按照實際服務水平得到評價，從而作業可以按照實際需求獲得更優的資源，使系統調度失敗率下降，用戶應用程序執行大大地縮短了等待時間。實驗分析結果清楚表明，模糊信任集成量化信任的有效性，較好地解決了網格動態資源不確定性的安全訪問問題，該信任模型的評估方式能夠有效評估網格站點的可信性和可靠性。

[1]查禮,李偉,余海燕,等.面向服務的織女星網格系統軟件設計與評測[J].計算機學報,2005,28(4):495-504.

[2]姚慧,高承實,戴青,等.一種基于動態規劃的自動信任協商策略[J].計算機應用,2008,28(4):892-895.

[3]Kwok Y K,Song S,Hwang K.Selfish grid computing:game-theoretic modeling and NAS performance results[C].Cardiff,UK:Proceedings of CCGrid,2005.

[4]李小勇,桂小林.大規模分布式環境下動態信任模型研究[J].軟件學報,2007,18(6):1510-1521.

[5]Zhou RF,Hwang K.Power-trust:A robust andscalablereputation system for trusted peer-to-peer computing[J].IEEE Trans on and Distributed Systems,2007,18(4):460-473.

[6]張煥國,羅捷,金剛.可信計算研究進展[J].武漢大學,2006,52(5):513-518.

[7]Li X Y,Gui X L,Zhao J,et al.Engineering trusted P2P system with fast reputation aggregating mechanism[C].Proc of the IEEE Int'l Conf on Robotics and Biomimetics.Washington:IEEE Press,2007:2007-2012.

[8]Theodorakopoulos G,Baras JS.On trust models and trust evaluation metrics for ad-hoc networks[J].IEEE Journal on Selected Areas in Communications,2006,24(2):318-328.

[9]Liang ZQ,Shi WS.Analysis of recommendations on trust inference in open environment[J].Journal of Performance Evaluation,2008,65(2):99-128.

[10]Ji M,Orgun MA.Trust management and trust theory revision[J].IEEE Trans on Systems,Man and Cybernetics,2006,36(3):451-460.

[11]Josang A,Ismail R,Boyd C.A survey of trust and reputation systems for online service provision[J].Decision Support Systems,2007,43(2):618-644.

[12]Huynh TD.Trust andreputation inopenmulti-agentsystems[D].Southampton:Electronics and Computer Scfence,University of Southampton,2006.

[13]Jr Gardner ES.Automatic monitoring of forecast errors[J].Journal of Forecasting,2006,2(1):1-21.