软件服务协同中信任评估模型的设计(1)

Vol.14,No.6©2003JournalofSoftware软件学报1000-9825/2003/14(06)1043一个软件服务协同中信任评估模型的设计∗徐锋,吕建+,郑玮,曹春(南京大学计算机软件新技术国家重点实验室,江苏南京210093)(南京大学计算机软件研究所,江苏南京210093)DesignofaTrustValuationModelinSoftwareServiceCoordinationXUFeng,LÜJian+,ZHENGWei,CAOChun(StateKeyLaboratoryforNovelSoftwareTechnology,NanjingUniversity,Nanjing210093,China)(InstituteofComputerSoftware,NanjingUniversity,Nanjing210093,China)+Correspondingauthor:Phn:86-25-3593670,E-mail:lj@nju.edu.cnüJ,ZhengW,CaoC.Designofatrustvaluationmodelinsoftwareservicecoordination.JournalofSoftware,2003,14(6):1043~1051.:Internet-BasedWebapplicationsystemsaregraduallybuiltassoftwareservicecoordinationsystems.Inanopen,dynamicandchangefulapplicationenvironment,trustisanimportantthingforsecurityandreliabilityofsoftwareservicesandsystems.Inthispaper,firstanAgent-basedsoftwareservicecoordinationmodelispresented.Thenatrustvaluationmodelisgiventovaluetrustrelationshipsbetweensoftwareservices.Trustisabstractedasafunctionofsubjectiveexpectationandobjectiveexperience,andareasonablemethodisprovidedtocombinethedirectexperienceandtheindirectexperiencefromothers.Incomparisonwithanother’swork,acompletetrustvaluationmodelisdesigned,anditsreasonabilityandoperabilityisemphasized.Thismodelcanbeusedincoordinationandsecuritydecisionbetweensoftwareservices.Keywords:softwareservice;trust;trustvaluation摘要:基于Internet的Web应用系统逐步表现为由多个软件服务组成的软件服务协同系统,面向开放、动态和多变的应用环境,软件服务之间的相互信任对软件服务个体和应用系统的安全保障与可靠运行均具有重要的意义.首先给出一个基于Agent的软件服务协同模型,随后针对该软件服务协同模型提出一个用于度量软件服务间信任关系的信任评估模型.信任被抽象成一个由信任评估主体对客体的主观期望和客观经验共同作用的函数,模型还提供了一个合理的方法用于综合直接经验和第三方推荐经验.与几个现有的工作相比,设计了较完∗SupportedbytheNationalNaturalScienceFoundationofChinaunderGrantNo.60273034(国家自然科学基金);theNationalHigh-TechResearchandDevelopmentPlanofChinaunderGrantNos.2001AA113110,2002AA116010(国家高技术研究发展计划(863));theFoundationofNatureScienceandHigh-TechofJiangsuProvinceofChinaunderGrantNos.BG2001012,BK2002203,BK2002409(江苏省自然科学基金和高技术项目)第一作者简介:徐锋(1975－),男,江苏张家港人,博士生,主要研究领域为分布对象技术,系统安全,电子商务应用.1044JournalofSoftware软件学报2003,14(6)整的信任评估模型,并强调其合理性和可操作性.信任评估模型可为软件服务之间的协同与安全决策提供依据.关键词:软件服务;信任;信任评估中图法分类号:TP311文献标识码:A目前,以Web服务为代表的软件服务及软件服务协同已成为一种新兴的Web应用形态.应用系统表现为由多个软件服务组成的动态协作系统,而软件服务本身也可由其他软件服务动态组合而成.系统形态正从面向封闭的、熟识用户群体和相对静态的形式向开放的、公共可访问的和动态协作的服务模式转变.新的软件应用形态打破了传统的安全技术假设,软件系统的开放性、分布性和协作性与系统安全的内在要求:封闭、集中和独立相抵触,应用系统的安全问题变得愈来愈复杂和难以处理.为了解决开放环境下的系统安全问题,多个公钥证书认证体系,如X.509,PGP被提了出来,并与访问控制列表(ACL)结合用于建立应用系统的安全授权机制[1].其本质是依靠可信任第三方提供认证信息来进行安全决策.然而,在一个开放、动态和多变的Web环境中,存在完全可信的第三方是不现实的.因此,安全授权往往需要收集尽可能多的可信第三方提供的认证信息,以期作出正确的安全决策.这就需要提供一种合理的方法用于量化、推导和综合评估这些可信第三方以及目标对象的信任程度.Beth等人提出了几个信任评估模型[2~4],Herrmann等人则将信任评估与安全策略的实施相结合用于保障分布构件结构的应用系统安全[5].然而,上述工作在完整性、合理性和可操作性方面还存在一些问题.为此,我们结合软件服务协同的应用背景,提出一个用于协同和安全决策的信任评估模型.本文首先介绍一个基于协同Agent的软件服务协同模型,随后针对该模型提出一个基于概率统计解释的信任评估模型,并进行模拟实验以初步验证模型的合理性,最后比较相关工作并作总结.1软件服务协同模型软件服务是指具有自描述、自包含和模块化特征的软件实体,通过网络媒介向外发布,用于构造新的软件服务或应用系统.一些较早出现并且现今仍广泛使用的网络服务,如telnet,ftp等均可看做是软件服务的雏形.随着Internet的普及和Web应用需求的增加,功能更为复杂和专业的Web服务出现并得到迅速发展.基于XML的Web服务体系结构,从一定程度上统一了Web服务的描述格式和交互协议,而SUN提出的智能Web服务概念则强调为不同的服务调用者提供个性化的服务,软件服务逐渐从简单的功能封装向能够自主适应服务调用对象和网络应用环境的方向发展.随着软件服务朝着智能化方向的发展,由多个软件服务构造而成的应用系统(软件服务)更多地表现为软件服务实体间主动的协作活动.为完成某项任务或实现某个功能,满足应用需求(包括功能、性能、安全等方面)的多个软件服务实体结成协作联盟,并分别担任相应的组织角色.协作联盟能够随应用环境、协同目标以及联盟成员的变化而动态地加以调整,已完成特定任务或不可用的软件服务可能被联盟排除,而新的软件服务也可能应某种需求而被联盟吸收.一个较为抽象的软件协同模型如图1所示,软件服务是一个相对独立的实体,通常由应用逻辑和协同逻辑两部分组成,前者描述软件服务的功能,后者描述与其他软件服务之间的协同.其中,软件服务的协同逻辑被抽象为一个相对独立的协同Agent,代表软件服务处理所有协同相关事务,多个软件服务之间的协同实际上是各自Agent之间的协同.协同Agent在与其他软件服务结成联盟时,负责寻找、评价协作伙伴,并进行结盟前的协商.当联盟建立之后,协同Agent用于完成软件服务之间应用语义相关的协作活动.在模型中,软件服务的功能体并不直接与其他软件服务进行交互,所有交互和协同均由相应的协同Agent完成.其优点在于:(1)软件服务的功能独立于软件服务间的交互协议和协同方式,有利于软件服务的实现;(2)协同Agent将功能体与外界隔离,能够有效地保障软件服务功能体的安全.对于后者,协同Agent实际上承担了整个软件服务的协同和安全决策任务,根据自身的经验和可信任第三方提供的信息,判断候选协作对象的可信任程度,拒绝与有潜在危险或不可靠的软件服务交互,而一个合理的信任评估模型则是指导协同Agent作出正确的安全决策的关键.徐锋等:1045一个软件服务协同中信任评估模型的设计SoftwareervicesSoftwareserviceCoordinationCoordinationAgentSoftwaresrviceeCoordinationallianceFig.1Softwareservicecoordinationmodel图1软件服务协同模型2信任评估模型目前,对于信任还没有一个精确的、广泛可接受的定义.但多数学者[2,3,6~8]认为,信任是一种主观信念.其中,Gambetta给出了一个比较完整的信任定义,“信任(或不信任)是一个Agent评价其他Agent或Agent团体实际行为的主观可能性程度,评价在对该行为进行监控(或根本不可能监控该行为)之前和与该行为对其自身行为产生影响的情况下进行”[8].定义给出了信任的几个重要特征:(1)主观性,不同的个体对同一事物的看法会受个体喜好等因素影响而有所不同;(2)可能性预期,信任的程度可表示为对事件发生概率的可能性估计;(3)内容相关,信任是对事物的某个方面(如完成某项任务的能力)而言的.我们认为,在软件服务协同系统中,信任是指一个协同Agent对其他软件实体是否能够正确地、非破坏性地进行某项(类)协作活动的主观可能性预期,预测的依据来源于此前该Agent所观察到(包括其他可信任第三方提供)的目标服务的行为,预测结果受该Agent对此项协作活动的重要程度评价(如关键协作活动、次要协作活动等等)的影响.为了能够使信任评估模型对服务之间的信任关系进行度量,我们将所有该Agent的观察结果和第三方提供的观察结果定义为客观经验,前者称为直接经验,后者称为推荐经验(间接经验).对应于目标服务活动的成败,经验简单地分为成功经验和失败经验,其计数定义为经验值.2.1实体信任评估模型的实体对应于软件服务协同模型中的协同Agent,在信任评估中可能担任的角色为:评估主体、经验推荐者、评估客体.Agent能够自主记录、分类和收集来自经验推荐者(可信任第三方)所提供的客体经验值,并根据推荐者的可信程度决定取舍或进行相关处理,最终给出对客体的信任评估.另外,Agent也能够将收集到的经验值推荐给其他Agent使用.2.2信任分类信任评估模型中信任是内容相关的,即一个实体对另一个实体的信任是就其能完成某项(类)协作活动而言的.信任应按其内容进行分类,并对应于相应的经验分类.但实际的分类视信任的应用需求而定,如Yahalom等人在考察了一些认证协议之后,将与认证协议有关的信任内容分为密钥生成、实体标识、保密、抗干扰、时钟同步和算法步执行[9].而在软件服务协同系统中,信任不仅用于处理服务个体和系统的安全问题,还用于解决其运行的可靠性问题.另外,服务的功能呈现出