1.2 相关技术及研究现状
1.2.1 云计算的可信度量
可信计算技术,将硬件安全芯片嵌入云平台,尝试建立一个包含信任根的可信云环境,成为研究云安全的一个发展趋势。
Terra[10]是最早把虚拟化技术与可信计算技术相结合的,提出了一种基于可信计算技术的可信虚拟机监视器(Trust Virtual Monitor Machine,TVMM)模型。该模型提供了“OpenBox”和“CloseBox”两个虚拟机,分别执行普通安全等级和敏感安全等级的应用,达到不同安全等级的应用共同运行的效果。对于“CloseBox”虚拟机平台,Terra采用安全启动与安全认证等方式保证执行的安全性,另外,采用TVMM严格控制虚拟机间的数据通信。BERGER等[11]提出了一种基于Xen虚拟机的虚拟可信平台模块(virtual Trusted Platform Module,vTPM)模型。这种模型在Terra的基础上开辟了多个虚拟机单元,每个虚拟机单元都有一个vTPM,并由vTPM控制虚拟机间的数据通信。物理TPM通过证书链对vTPM进行控制。基于Xen的vTPM模型较Terra的TVMM模型,安全性能更强、资源利用率更高。BERGER等[12]在原vTPM架构基础上进行改进,提出了一种TVDc(Trusted Virtual Data center)架构,定义了虚拟机可以进行通信的实体和允许访问的资源。TVDc架构相比vTPM架构增加了一个软件访问控制模块(Access Control Module,ACM)。虚拟机间的数据通信和资源的共享,以及虚拟机对物理资源的访问均由ACM控制。
此外,PEARSON等[13]强调使用基于物理硬件的密码学技术与TPM的抗攻击特性相结合的方法,保护云平台数据加密密钥,同时将产生的密钥绑定于指定云平台,使该密钥在其他平台上失效,能够达到保护云平台数据机密性的目的。NARUCHITPARAMES等[14]通过TPM、vTPM及vTPM Manager之间的协调配合,保证云计算平台中数据、进程和系统的完整性,并通过数据迁移和远程验证,确保数据在其他云计算平台上可用。YANG等[15]提出了一个基于TPM的云计算平台存储模型,该模型先让对称密钥对平台数据进行加密,然后将对称密钥利用非对称密钥进行加密,最后通过TPM保证非对称密钥的安全性,采用这种方法实现了密钥存储、备份和共享的有效管理。
KRAUTHEIM等[16]设计了—种针对云平台的PVI(Private Virtual Infrastructure)架构,在该架构中云服务提供商与用户会共享安全信息和安全策略,同时需要共同承担安全相关的风险和责任,以这样一种利益捆绑的方式来减少云计算平台带来的威胁。在PVI架构中,用户负责管理和控制数据中心,用户承担数据中心的安全责任;云服务提供商不仅对云平台有着管理权和控制权,还需要提供相应的计算资源,云服务提供商承担云平台的安全责任。在PVI的研究基础上,KRAUTHEIM等[17]又提出了一种可信虚拟环境模型(Trusted Virtual Environment Module,TVEM)。TVEM在对现有TPM虚拟化的研究基础上,定义了一种可信环境密钥和创建双重可信根的方法,不仅考虑了用户和云服务提供商两方的可信性,还实现了云计算平台可信与虚拟环境可信的独立。这两种模型基于TPM来保证云计算平台和虚拟环境的可信,但未考虑虚拟机自身的安全问题,一旦虚拟机受到破坏或攻击,仍可能导致严重的安全问题。
SANTOS等[18]设计了一种IaaS云模式的可信云平台(Trusted Cloud Computing Platform,TCCP)。TCCP设计的目的是开辟一个封闭的运行环境给用户的虚拟机,防止用户虚拟机的内容被云服务提供商的特权管理员篡改,保证用户虚拟机的安全;在启动虚拟机前,用户可以通过远程认证云服务提供商的方式来判断服务的可信性。TCCP提供了一种可信云计算平台的研究思路,从宏观上解决了IaaS的可信问题,但它也有一定的局限性。因为云计算平台上不同节点担任的角色不同,执行的任务也不尽相同,TCCP将云平台上所有的节点同一化,进行同样的可信认证有失妥当。在SANTOS的研究基础上,KHAN等[19]利用可信计算技术设计并部署了一个Eucalyptus,这个Eucalyptus利用TPM的远程证明功能,并引入可信完整性验证作为可信第三方发挥CA证书的作用,确保在物理节点上启动用户的虚拟机时已通过完整性验证。
MCCUNE等[20]提出了一种可信安全执行架构(Trusted Security Execution Architecture,TSEA),在完全隔离的硬件条件下运行代码以达到保证其可信的目的;指出利用向应用程序的TCB添加代码的方式来为敏感代码数据通信建立安全通路,同时提供细粒度的远程证明,这样开发者不需要担心底层的安全性,只需要关注自身代码的安全性即可。Flicker[21]对这种思想进行了实现,亮点之处在于将可信执行的TCB最小化了,但是由于频繁地调用动态可信根和较高的硬件要求,给系统造成了较大的开销负担。TrustVisor[22]从系统开销和系统性能两方面对Flicker的设计进行了改进,与Flicker相比,TrustVisor系统的开销非常小,系统性能也得到了极大的改善。
Certicloud[23]从用户的角度出发,来定义和保护用户虚拟机的可信,针对基础设施云平台的安全性和完整性问题,利用TPM实现对远程物理系统的完整性验证,完成由用户定义的对称密钥的分发,允许用户按虚拟可信的方式检测虚拟机是否有异常行为。JOSHUA等[24]设计了CV(Cloud Verifier)服务,为用户提供完整性证据,来验证基础设施云平台虚拟机应用的完整性。CV实现了整个云计算平台的可信验证,与此同时系统的验证开销也得到了有效的缓解,为规避系统的瓶颈问题提供了不小的帮助。RepCloud[25]构建了一个云平台验证过程管理系统,该系统能够有效地将云计算平台分散的验证过程进行统一管理,把云计算平台看作一个P2P的网络类型,评价其中的每一个节点的可信性,并计算出每个节点的可信置信度结果,用来描述每个节点的可信程度。另外,云计算平台的每个节点还可以依靠连接形式相互验证并计算可信置信度。
在国内,EMC中国实验室与清华大学、复旦大学、武汉大学和华中科技大学等多所国内顶尖高校合作,实施了一个可信云计算平台基础设施重大项目,该研究成果将可信计算技术与虚拟化技术相结合,来增强云计算平台的安全性,以虚拟私有云计算的服务形式,在应用程序的层面上为用户提供安全隔离,确保用户代码的安全性及数据的完整性。北京交通大学国防技术国家重点实验室设计的MTCEM(Multitenancy Trusted Computing Environment Model)[26]指出应该将用户的安全责任与云服务提供商的安全责任进行细腻划分,指明清晰的责任边界来约束二者的行为。该模型能够很好地保证云计算平台从物理层到虚拟层的可信,有一定的参考作用,但同时也为用户增添了不少麻烦,通过划分安全边界的方式,将虚拟机的可信划归给了用户,提高了用户的使用门槛。陈文智等[27]利用虚拟化技术来提高嵌入式设备的安全特性,从而避免了基于硬件方法带来的生产成本高、设备复杂度高和灵活性差的缺点,同时降低了实施风险,节约了时间成本。
1.2.2 云计算环境下信任链动态维护与验证
(1)云计算环境下信任链动态维护研究现状
随着云计算的发展与广泛应用,云计算安全越来越受到业界的关注。云计算借助虚拟化技术实现对底层硬件的封装,以虚拟机的形式为用户提供服务,这样虚拟机就成了入侵者的攻击目标。
为了向用户提供可信服务,保障各虚拟机是安全运行、可控的。可信计算为云环境中虚拟机的安全保障提供了新思路。在技术层面,可信计算提出了在系统中构建信任根和信任链的基本思路,将系统的安全性置于管理和技术相结合的基础之上,从软硬件底层做起,综合采取措施,能够有效解决信息系统安全问题。所以,可信计算应用到云环境下成了研究热点[28]。
SANTOS等[29]最先讨论了可信云计算的思路,并且制定了满足信任需求的云平台TCCP,通过逐级度量的方式保证虚拟机的安全。WEI等[30]讨论了基于授权的可信计算模型,其信任的建立由信任根传递所有虚拟组件,这样就实现了对私有模型的安全管理。高陆百慧[31]结合Xen虚拟机技术和TPM(Trusted Platform Module)虚拟化技术,建立以TPM芯片为可信根的云节点平台,以此为基础研究信任链的构建和验证。
对这些模型的研究中,采取的思路大都是将TCG信任链构建技术应用到云环境中,但TCG是一种静态度量方法,仅对程序代码和数据进行完整性度量。这种信任链静态度量方法虽然简单可行,但是并不适用于云计算这种多任务、多租户的动态环境中。
虚拟机并不是孤立存在的,云提供商为了充分利用硬件资源,不同的客户虚拟机很可能会被调配到同一个物理服务器,也就是虚拟机同驻(Co-Residency)。美国加州大学圣迭戈分校的RISTENPART等[32]在2009年首次指出了云计算环境中虚拟机同驻安全问题。近年来,人们研究发现多种同驻安全威胁[33],包括资源干扰、隐蔽通道/侧信道、拒绝服务与虚拟机负载监听等,虚拟机动态可信性受到巨大挑战。
因此,要使信任有效传递,除了对客户虚拟机进行完整性度量,保障其不被篡改外,还需要相应的信任链维护措施使云环境的可信性维持下去。罗东俊提出基于BIBA-BLP强制访问控制的模型构建一个平台动态完整性保护框架,用特定安全策略使平台虚拟域之间的信息时刻在非传递无干扰安全策略控制下传递。武少杰[34]在2012年从云基础设施安全角度出发,提出一种基于非传递无干扰的可信模型和动态完整性保护TCTVM模型。JIANG[35]建议在虚拟机监视器中设计一个验证模块IAMV,验证输入者及输入数据的完整性,保证了虚拟机之间在传输数据或指令时的动态完整性,但是该模型没有对虚拟机中的恶意软件进行动态监测,而且无法消除虚拟机在运行期间可能存在的对其他虚拟机的干扰。
(2)云计算环境下信任链动态验证的研究现状
为了向云用户证明提供服务的基础设施云平台的可信性,需要对信任链进行动态验证,将采集的可信证据反馈给云用户。如果由云用户直接验证云平台可信性,则云平台采集可信证据,并向用户提供信任链信息。这种用户直接验证云平台配置的方式,其验证过程难免带来暴露物理服务或者虚拟机软硬件配置信息、IP地址等风险。如果由云平台自己管理信任链验证过程中涉及的各类证书,那么云用户难以信任平台的可信性。因此,需要引入可信第三方,避免单方面可信验证的问题,即由可信的第三方验证云平台信任链,并向用户证明基础设施云的可信性。
2009年SANTOS首次提出引入可信第三方。为了防止虚拟机被管理员窥探或控制,由可信第三方代替云用户验证基础设施云配置信息的完整性,降低云平台中敏感数据泄露的概率。2011年,KHAN等[36]通过可信第三方验证云平台的物理设施可信后,才允许虚拟机在其上启动。这两种机制仅在云平台启动时提供可信验证。
针对可信第三方验证的不足,王小亮考虑现有研究成果中的验证协议只是针对虚拟机生命周期中的个别时刻,而云平台可信性是动态变化的,提出虚拟机整个生命周期的验证协议。RepCloud从另一个角度提出解决方案,借助其他参考机制来判断可信性,即在利用可信计算验证服务器的基础上,借鉴信誉系统的评价和汇聚机制,通过将验证结果设为介于0和1的可信置信度区间,来综合评估宿主服务器以及相邻服务器的信任链。梁元[37]在基于属性的远程证明的基础上,增加了基于平台身份的认证,通过双层认证,来增加用户平台的可信性。
增加可信第三方验证机制,在一定程度上克服了云平台信息泄露的问题,提高了安全性,但也要充分考虑云平台的特点,解决云环境下信任链验证机制的静态性带来的不足。
在信任链的动态维护和动态验证方面还存在较多的挑战,可通过增加审计模块并结合可信计算,以动态维护和动态验证信任链的方法来保证云环境的实时可信性。在相关研究的基础上,改进云计算环境中信任传递模型IAMV和传统信任链静态验证机制,本书进行以下两方面的研究:(1)信任链的动态维护,针对静态信任链不足,用动态策略保证信任链的实时可信;(2)信任链的动态验证,利用可信第三方平台验证和审计信任链,并向用户提供信任链实时的列表和状态信息。
1.2.3 云计算访问控制与无干扰理论
(1)云计算中的访问控制
访问控制起源于20世纪70年代,其基本概念是由LAMPSON提出的,目标是防止非法用户访问资源、保证合法用户使用资源和防止用户非法操作[38]。访问控制是保证系统安全的核心技术[39-40],该技术自提出以来在国内外研究成果众多,但传统的访问控制模型并不能满足云计算环境开放性、共享性的要求。相比传统访问控制,云计算环境下的访问控制体系更为复杂,不仅包括从网络基础环境设施到用户(租户)这个自底向上的主体模块,还包含云计算监控与审计以及可信云平台计算模块,如图1-1所示。
图1-1 云计算环境下访问控制体系框架
对云计算中访问控制模型的研究处于蓬勃发展阶段,由于云环境下访问控制要求的功能不尽相同,因此对其的研究方法也有所差别。目前,针对云计算访问控制的研究方法主要包括:基于任务的访问控制模型(Task-Based Access Control,TBAC)、基于角色的访问控制模型(Role-Based Access Control,RBAC)、基于UCON的访问控制模型、基于BLP的访问控制模型和基于属性的访问控制模型(Attribute-Based Access Control,ABAC)等。THOMAS等[41]提出了基于任务的动态多点访问控制模型(TBAC),从任务和授权管理的角度对安全模型与安全机制予以建立和实现。赵明斌等[42]在分析了云计算环境虚拟化和弹性化的特性后,提出一种基于角色的云计算访问控制模型。ANASTASI等[43]通过持续监测和重新评估用户对资源的权限,利用UCON概念建立了云联邦的原型。周向军[44]则根据信息安全等级保护技术的保密性和完整性要求,在BLP模型和Biba模型的基础上构建了一个形式化描述的混合安全模型。杨庚等[45]提出了一种基于属性的访问控制方法(ABAC),该方法在提高系统计算效率的同时降低了单一权威授权的负担,增强了云计算环境的安全性。
(2)无干扰理论
1982年GOGEUN和MESEGUER最早提出无干扰思想[46]。他们通过用户、状态、命令、输出等元素建立了一个系统模型,并给出了无干扰定义:在安全系统中,一个用户不能发现任何不由他所支配的其他用户的操作。HAIGH和YOUNG则对无干扰进行了新的应用,HAIGH等[47]首先提出用无干扰的语义对访问控制以及MLS进行解释,并研究了其在SAT系统中的实现。1992年,RUSHBY[48]提出了基于状态机的无干扰模型,在“域”概念的基础上给出安全策略中传递无干扰和非传递无干扰的定义,并确认“参考监视器假设”在实现健全的访问控制中发挥的关键作用。
定义1.1 在无干扰模型中,系统
包含7个元素。
① 系统状态集合S,其中s, t等小写字母表示状态。初始状态s0∈S。
② 系统安全域(即模型中的虚拟机)集合D。
③ 系统操作集合A,包括系统执行的输入、输出、命令、指令等。具体符号表示见表1-1。
表1-1 操作表示
④ 系统输出集合O。
⑤ 系统进程集合P,其中p表示进程。
⑥ 系统函数F={step, output, run, proc, purge},5个子函数组成如下。
·状态单步转移函数step:S×A→S,表示系统在操作A的作用下由一个状态向另一个状态转换。
·系统输出函数output:S×A→O,表示状态S和操作A同时决定输出O。
·状态多步转移函数run:S×A*→S,其中A*为操作序列,该式表示在状态S下执行操作序列A*后的状态转换。同时,该函数满足
和
。
·映射函数proc表示动作与进程间的映射A→P,其中proc(a)=p表示动作a由进程p发出。
·清除函数purge:A*×P→A*,满足
⑦ 定义进程间安全策略
,其中p,q∈P,表示p可以干扰q。其补关系为
,表示无干扰。
定义1.2 一个系统M对于安全策略
是安全的,如果下式成立。
定义1.3 系统的初始状态s0=(p, a),若其中的p是可信进程,a是合法操作,则称s0为系统的可信根。
可信根是一种无条件可信,它的可信性是由系统设计者通过密码技术和物理方法实现的而不能从进程可信和动作序列中推出。
定理1 对于安全策略和系统M,如果满足输出一致性、单步一致性、局部遵从性,那么,系统M对于安全策略是安全的。其中,3个性质的具体内容如下。
①输出一致性,即
②单步一致性,即
③局部遵从性,即
设进程p满足上述性质,要证明系统M对于安全策略
是安全的,则先证明式(1-5)成立。
式(1-5)中α代表的是一个操作序列,长度可以采用数学归纳法对其进行证明。
当α的长度为0,即α=Λ时,式(1-5)成立。若α的长度不为0,则考虑操作序列
,则式(1-5)左边有
对式(1-5)右边的
,分两种情况讨论。
第一种情况如下。
proc(a)对p无干扰,即
。由purge函数可知
由于进程p局部服从无干扰属性,即
根据等价关系
。
根据归纳假设有
再根据式(1-6)、式(1-7)可得
第二种情况如下。
Proc(a)对p存在干扰,即
由purge函数可知
由于进程p满足单步一致性,即
根据归纳假设有
再根据式(1-6)、式(1-3)可得
综上所述,条件①在
时成立。若令s=t=s0,则由式(1-5)可得
由上述归纳总结可知,进程p满足定理1中的条件①,所以系统M对于安全策略
是安全的。
根据以上无干扰的相关定义与定理可知,对于系统而言,只要确保进程间的通信是无干扰的,就可以说明整个系统是安全的。RUSHBY的传递无干扰模型成功解释了BLP模型和Biba模型并验证了多级安全系统的安全策略[49-50]。因此,可以将该思想应用到云计算环境中。对于云计算环境而言,为了确保整个系统环境的安全性,可以将这个复杂的系统进行层次划分,并对系统中的各层进行安全等级划分;根据划分的层次与设定的安全等级分析进程间的通信,若在程序通信的过程中,云系统中各层之间的通信是无干扰的,则说明整个云系统是安全的。
1.2.4 云服务质量评价
(1)QoS模型
基于QoS属性的服务评价方法是现今服务评价的主要手段,该类方法通过确定QoS评价指标集来建立服务评价模型,为服务提供多样化的非功能属性描述。所以,如何对云服务QoS属性建模以及如何选取各个属性下的测量指标是基于QoS对云服务进行评价之前需要考虑的关键问题,更是云用户选择云服务的重要依据。无论是在Web服务评价领域还是云服务评价领域,国内外一些学者从不同角度对服务质量属性进行了建模研究。
① Web服务QoS模型
Web服务(Web Services,WS)是采用面向服务架构(Service-Oriented Architecture,SOA)的分布式计算技术[51],是通过Internet实现远程访问并获取资源这一类服务的总称。Web服务建立在XML标准上,具有低耦合性、高互操作性、高可重用性、编程语言和平台独立性等特性。Microsoft 对其定义为[52]:Web服务是用于为其他应用或者服务进行数据传输的逻辑单元,在Internet端到端之间实现互操作性,Web服务通过标准Web服务描述语言(Web Services Description Language,WSDL)对所提供的服务进行功能描述,然后将描述发布在独立的第三方平台通用描述、发现与集成服务(Universal Description,Discovery and Integration,UDDI)注册中心中,用户可以通过交换简单对象访问协议(Simple Object Access Protocol,SOAP)消息来发现公开的Web服务并与之交互。
目前,各个组织和学术界研究者根据对Web服务的不同理解,从多个角度定义了一系列Web服务QoS属性并对QoS属性进行建模,建立了各类Web服务QoS模型,见表1-2,表中忽略了各个质量属性的测量指标。通过分析表1-2,可以发现Web服务的通用QoS模型主要包括服务安全、可用性、可靠性、服务价格以及信誉度等质量属性。
表1-2 国内外Web服务QoS建模情况
②云服务QoS模型
在云服务评价领域,国内外诸多学者对QoS属性建模同样开展了大量有意义的工作,主要从参照Web服务通用QoS模型、结合云服务特点、针对具体云服务类型、不同应用领域以及服务质量保障等多个角度进行云服务QoS建模研究。
王泽[59]在Web服务通用QoS模型基础上进行改进,建立包括云服务使用周期、可扩展性、实用性、安全性、稳定性、服务性能等质量属性在内的云服务QoS模型,并基于QoS模型结合历史数据特征修正局部最佳评价结果,重点评价云服务实时质量数据。ABDO等[60]针对云计算移动服务进行QoS属性建模,建立了包括服务价格、服务特性、服务性能的3维云服务QoS模型,各个质量属性下包括声誉度、价格、可用性、响应时间、可扩展性、资源利用率等12个测量指标。HEYDARI等[61]主要考虑了云用户所处特定领域对服务性能的需求,建立的云服务QoS模型包括可靠性、灵敏性、易用性、安全等级、响应时间等质量属性以及相应的若干测量指标。ZHANG等[62]从云服务质量保障角度建立了包括云服务安全性、可靠性、正确性、资源利用率、服务价格等质量属性在内的5维云服务QoS模型,旨在保障云服务商提供高质量云服务。
(2)云服务评价研究
云服务评价是服务选择的重要前提,目前国内外学者在云服务评价领域已经开展了大量研究,这些研究主要集中在根据云服务QoS属性建立服务质量模型,并从不同角度提出多种云服务评价方法。
①参照Web服务评价
HAN等[63]在Web服务QoS基础上考虑到云服务商提供不同的虚拟机性能,在建立的云服务推荐系统中引入协同过滤算法,帮助云用户根据自身需求对云服务商进行排序选择。WANG等[64]认为用于评价面向SOA的Web服务评价选择方法在云服务评价领域同样适用,基于Web服务通用QoS模型对云服务质量属性进行建模从而对云服务评价排序。CHOI等[65]认为Web服务质量和云服务质量在一定程度上具有相关性并指出了二者之间存在的联系,然后在通用质量模型的基础上分析云服务每个质量属性的影响因素构建云服务QoS评价模型,对云服务进行综合评估。鲍冬梅[66]将SOA的思想应用到服务质量测量中,基于传统Web服务常用的服务质量测量技术和评估方法,采用分布式技术建立云资源质量测量框架,实现对云服务质量的测量与评估。
②结合云服务特点评价
孙天昊等[67]考虑到云服务质量历史数据的动态变化性,在基于云服务质量历史数据的评价算法[68]上进行了改进,使用ARIM时间序列预测模型对原QoS数据预测并结合旧质量数据集形成新的数据集,在云服务质量评价中充分发挥了服务质量历史数据的动态变化性。蒋冰婷等[69]提出一种基于时间感知排序对云服务质量进行预测的方法,将特定云用户检测服务的排序作为基于服务质量排序相似度的预测,排序相似度通过分时段按权计算,从而对云服务QoS排序进行预测。周超等[70]在云服务QoS评价问题中引入量子遗传算法,利用量子操作和量子编码的特性对云服务质量进行量化评价,量子遗传算法的引进为云服务质量评价提供了一种新思路。CHEJERLA等[71]将专家意见和云服务的特点相结合,建立了包括安全属性、服务价格、声誉度等在内的云服务QoS评价模型,并通过AHP法确定评价指标权重,最后结合SaaS服务模式的云服务特点进行了实例验证。
③多属性决策评价
云服务质量评价本质上属于多属性决策问题,所以很多学者考虑使用一些常用的多属性决策方法,如逼近理想解排序法(Technique for Order Preference by Similarity to Ideal Solution,TOPSIS)、偏好顺序结构评估法(Preference Ranking Organization Methods for Enrichment Evaluations,PROMETHEE)、优序关系法(ELimination Et Choix Traduisant la REalité,ELECTRE)、层次分析法(The Analytic Hierarchy Process,AHP)等,对云服务进行质量评价。UPADHYAY[72]提出一种基于QoS的云服务评价框架,该框架使用TOPSIS评价方法对候选云服务进行评价排序,并通过实例验证了TOPSIS在云服务评价中的有效性。赵卓[73]提出一个基于QoS的云服务二级评价模型,该模型在帕累托优化的基础上引入PROMETHEE方法得到Top-k帕累托最优解。李小林和张力娜[74]在云服务评价中引入ELECTRE排序方法,对云服务质量属性进行描述,通过建立矛盾性矩阵和一致性矩阵计算各个云服务的优先级别关系,从而得到服务评价排序结果。陈卫卫等[75]将模糊数学和AHP法相结合对云服务质量进行评估,构建包括服务价格、安全性、声誉度、服务性能等在内的云服务QoS指标体系,利用自然语言、布尔类型、实数类型异构数据描述评价指标,使用AHP法对云服务质量进行量化评价。
(3)TOPSIS评价方法研究
云服务评价实际上是多属性决策问题,多属性决策的本质是利用已有的方案信息选择特定的评价算法对一组或几组候选方案进行评价排序。其中,TOPSIS方法是典型的多属性决策方法,该方法是由HWANG和YOON在1981年提出的[76],主要思想是根据各个待评价方案到理想化目标的相对贴近度,对有限目标进行相对优劣排序,其中理想化目标包含两个概念:正理想解(Positive-Ideal Solution)和负理想解(Negative-Ideal Solution)。正理想解是相对最优解,它表示各个评价指标都达到了待评价方案在该指标下的最优值;负理想解则是相对最劣解,它表示各个评价指标都达到了待评价方案在该指标下的最劣值。
TOPSIS方法具有计算方便、易于理解、应用广泛等特点,该方法自提出后,就广受国内外社会、经济、工程等各个领域学者的青睐。但该方法在具体应用时也存在一定的局限性,如评价指标的权重由专家根据经验直接赋值导致主观性太强以及当指标之间存在线性相关时欧几里得距离失效等,另一点不足是在AHP、ELECTRE、PROMETHEE等经典多属性决策方法普遍存在的逆序现象。目前为止,国内外诸多专家学者对这些不足进行了不断的改进。
①评价指标赋权方式的改进
针对评价指标权重无法准确定量且指标较为模糊的决策问题,王应明等[77]提出将前景理论与TOPSIS相结合的方法,使用模糊犹豫熵理论计算评价指标权重,引入了决策者的风险心理因素,用前景价值函数计算收益损失比代替相对贴近度对候选方案进行排序,从而使决策结果更符合决策者意图。KUMAR等[78]使用熵值法计算评价指标的权重来减少决策过程中主观性的影响,但却忽略了决策者的个人偏好。TORFI等[79]提出将AHP与TOPSIS相结合进行改进,使用AHP法计算各个评价指标权重,AHP法是基于主观意愿的权重赋值法,评价结果仍然会存在主观性太强的问题。张欣等[80]采用熵值、专家打分、标准离差法融合计算评价指标主客观权重,调整个性偏好与客观分析下的权值,但在如何融合专家群的意见和客观权值上还有待进一步完善和改进。
②理想化目标距离计算方式的拓展
张目等[81]将正理想解与负理想解看作确定不确定系统中相互对立的集合,考察候选方案与正负理想解之间的联系度,使用联系向量距离替代欧几里得距离计算各个方案的贴近度对方案进行优劣排序。王先甲等[82]针对TOPSIS应用评价指标间存在相关性导致欧几里得距离失效的问题,基于马哈拉谱比斯距离(简称马氏距离)具有消除变量之间相关性的特性,提出使用马氏距离代替欧几里得距离,计算各个方案相对贴近度。KIM等[83]使用灰色关联度对TOPSIS进行改进,利用熵值法计算指标权重,结合欧几里得距离和灰色关联度计算相对贴近度进行方案的优劣排序。
③逆序问题的解决
李艳凯等[84]提出使用参照标准对正负理想解方案的确定进行改进,解决了由于正负理想解的变动导致TOPSIS产生的逆序问题,但忽略了标准化法对指标无量纲化处理导致决策矩阵变化同样可能导致逆序的问题。BROUMI[85]对TOPSIS进行了拓展,使用闵可夫斯基距离对欧几里得距离进行改进,闵可夫斯基距离不是一种距离而是一组距离的定义,随着调节参数p的变化(当p=1时,就是曼哈顿距离;当p=2时,就是欧几里得距离;当p→∞时,就是切比雪夫距离)动态计算各个方案到正负理想解的距离以及各个方案的相对贴近度,但没有考虑各个分量的分布(期望、方差等)可能是不同的。
综上所述,目前对云服务评价的研究工作主要集中在两方面:一方面基于传统的Web服务评价;另一方面是结合云服务特有质量属性来开展工作。虽然已有的研究一定程度上可以完成对云服务的评价,但是仍然存在以下3点不足。
·云服务质量评价指标的选取缺乏科学性、合理性、全面性,对评价指标的参数化测量不够精确,且已有研究针对不同类型的云服务评价问题多数根据主观判断选取相适应的评价指标,缺乏完善的指标筛选机制。
·诸多研究未能充分结合云服务特点构建云服务QoS模型,大部分云服务评价只是笼统地套用Web服务QoS模型,忽略了不同应用场景下云服务特点以及用户偏好,因此使云服务评价缺乏针对性。
·在TOPSIS评价方法与具体领域相结合时,现有研究更多关注指标赋权对评价结果产生的影响,对TOPSIS可能带来的逆序现象关注较少,尚未提出相对有效的方法解决逆序问题。