楊墨，王麗娜,

（1. 武漢大學(xué) 計(jì)算機(jī)學(xué)院，湖北 武漢 430072；2. 武漢大學(xué) 空天信息安全與可信計(jì)算教育部重點(diǎn)實(shí)驗(yàn)室，湖北 武漢 430072）

1 引言

隨著 Internet的應(yīng)用，系統(tǒng)表現(xiàn)為由多個(gè)軟件服務(wù)組成的動(dòng)態(tài)協(xié)作網(wǎng)絡(luò)，開始呈現(xiàn)出一種柔性可演化、連續(xù)反應(yīng)式、多目標(biāo)適應(yīng)的新形態(tài)。軟件實(shí)體以基本（原子）服務(wù)的形式存在，并通過協(xié)同機(jī)制進(jìn)行跨網(wǎng)絡(luò)的互連、互通、協(xié)作和聯(lián)盟，進(jìn)而構(gòu)成更復(fù)雜的組合服務(wù)[1,2]。在服務(wù)交互協(xié)同中，請(qǐng)求服務(wù)的主體（以下簡(jiǎn)稱請(qǐng)求者）和提供服務(wù)的主體(以下簡(jiǎn)稱提供者)[3]之間并不存在確定的信任關(guān)系。因此，如何確保應(yīng)用系統(tǒng)的可靠性成為一個(gè)需要解決的問題。

另一方面，網(wǎng)絡(luò)中大量存在功能相同或相似而平臺(tái)和實(shí)現(xiàn)相異的服務(wù)。換而言之，冗余和多樣性是現(xiàn)有服務(wù)的固有屬性[4,5]。據(jù)此，學(xué)者們提出了各種容錯(cuò)的算法，試圖利用冗余避免單個(gè)服務(wù)錯(cuò)誤導(dǎo)致的整個(gè)系統(tǒng)的失效和故障[6,7]。

FAWS提供了 Web平臺(tái)失效檢測(cè)及日志等容錯(cuò)機(jī)制，采用主副服務(wù)的方法實(shí)現(xiàn)用戶透明的服務(wù)訪問機(jī)制，但沒有機(jī)制保證服務(wù)的可用性[8]。

Transparent Fault-Tolerant Web Service修改操作系統(tǒng)及服務(wù)器內(nèi)核建立客戶透明的服務(wù)訪問機(jī)制，但該方法需要修改操作系統(tǒng)，通用性較差[9]。

FTWeb服務(wù)容錯(cuò)平臺(tái)通過擴(kuò)展基本的Web服務(wù)運(yùn)行環(huán)境實(shí)現(xiàn)容錯(cuò)。但它沒有針對(duì)服務(wù)可用性的特點(diǎn)組合服務(wù)，失效檢測(cè)通過超時(shí)機(jī)制實(shí)現(xiàn)[10]。

FT-SOAP通過擴(kuò)展WSDL，引入服務(wù)組，采用被動(dòng)復(fù)制模式實(shí)現(xiàn)容錯(cuò)功能。但沒有考慮到服務(wù)實(shí)現(xiàn)的自治性，失效檢測(cè)也是通過超時(shí)機(jī)制實(shí)現(xiàn)[11]。

服務(wù)網(wǎng)絡(luò)是一個(gè)動(dòng)態(tài)變化、相互聯(lián)系卻又難以精確預(yù)測(cè)的復(fù)雜信息環(huán)境[12]。以上的研究很少考慮到網(wǎng)絡(luò)的動(dòng)態(tài)特點(diǎn)，失效檢測(cè)機(jī)制簡(jiǎn)單，沒有根據(jù)領(lǐng)域特點(diǎn)對(duì)容錯(cuò)實(shí)施動(dòng)態(tài)調(diào)節(jié)。

本文針對(duì)以上特點(diǎn)，提出一種基于信任容錯(cuò)的服務(wù)可靠性增強(qiáng)方法，利用選舉協(xié)議(voting protocol)[13]設(shè)計(jì)服務(wù)失效檢測(cè)，提出了服務(wù)信任輪詢檢測(cè)機(jī)制；建立信任機(jī)制度量提供者的可靠性；依據(jù)提供者的領(lǐng)域特點(diǎn)和請(qǐng)求者的可靠性需求設(shè)計(jì)信任感知的容錯(cuò)服務(wù)個(gè)數(shù)計(jì)算方法和冗余服務(wù)選擇算法；實(shí)驗(yàn)驗(yàn)證本文的方法比單純使用信任或容錯(cuò)更能抵御網(wǎng)絡(luò)中存在的3類惡意攻擊[14]。

本文的組織結(jié)構(gòu)為：第2節(jié)簡(jiǎn)要描述基于信任容錯(cuò)的服務(wù)可靠性增強(qiáng)框架。第3節(jié)設(shè)計(jì)了服務(wù)失效檢測(cè)機(jī)制。第4節(jié)闡述了容錯(cuò)服務(wù)選擇算法。第5節(jié)做出了實(shí)驗(yàn)設(shè)計(jì)和結(jié)果分析。最后是結(jié)束語(yǔ)。

2 基于信任容錯(cuò)的服務(wù)可靠性增強(qiáng)框架

圖1是基于信任容錯(cuò)的服務(wù)可靠性增強(qiáng)框架。其包含4個(gè)角色（提供者、請(qǐng)求者、服務(wù)選擇模塊和信任管理模塊）和2個(gè)主要流程（容錯(cuò)服務(wù)選擇流程——附加輪詢和獨(dú)立輪詢流程）。

圖1 基于信任的容錯(cuò)服務(wù)可靠性增強(qiáng)框架

服務(wù)選擇流程如下。

step1 當(dāng)請(qǐng)求者需要使用某種服務(wù)時(shí)，詢問容錯(cuò)服務(wù)選擇模塊RSSM，給出其功能需求f和希望達(dá)到的可靠性指標(biāo)（置信度λ）。

step2 RSSM根據(jù)f查找到相應(yīng)的領(lǐng)域，綜合考慮置信度λ和領(lǐng)域信任狀況推選出適量的提供者和待測(cè)者，將列表返回給請(qǐng)求者。

step3 請(qǐng)求者連接各提供者，獲取服務(wù)。

step4 在服務(wù)交互進(jìn)行時(shí)或完成后，請(qǐng)求者根據(jù)選舉協(xié)議獲得服務(wù)的最終結(jié)果，并檢測(cè)各個(gè)提供者的可靠性。

step5 請(qǐng)求者將檢測(cè)結(jié)果作為反饋發(fā)還給信任管理模塊TMM。

step6 信任管理模塊更新提供者的信任信息。

請(qǐng)求者需要在請(qǐng)求階段付出一部分虛擬貨幣，并在反饋時(shí)獲得略多的虛擬貨幣。具體虛擬貨幣的實(shí)現(xiàn)機(jī)制在本文中不做過多描述。

本方法構(gòu)架了輪詢機(jī)制以實(shí)現(xiàn)服務(wù)可靠性信息的更新，分為附加輪詢和獨(dú)立輪詢。附加輪詢整合到容錯(cuò)服務(wù)獲取過程中，而獨(dú)立輪詢?yōu)樾湃文Ｐ椭鲃?dòng)發(fā)起的一次服務(wù)請(qǐng)求，用于刷新提供者的信任狀態(tài)。輪詢的具體算法見第3節(jié)。

本文的方法具有以下功能特點(diǎn)。

顧及所有領(lǐng)域和提供者。通過輪詢機(jī)制能保證冷僻和低信任的提供者可靠性信息的新鮮性。

面向領(lǐng)域，用戶偏好敏感的信任機(jī)制。當(dāng)請(qǐng)求者對(duì)某一特定領(lǐng)域的查詢?cè)黾訒r(shí)，該領(lǐng)域下所有提供者的可靠性信息的準(zhǔn)確度也會(huì)相應(yīng)的提高。

面向領(lǐng)域，需求驅(qū)動(dòng)的選擇算法。不同于已往的容錯(cuò)算法在設(shè)計(jì)階段固定容錯(cuò)個(gè)數(shù)的策略，本方法在服務(wù)選擇時(shí)，綜合考慮請(qǐng)求者的非功能需求和領(lǐng)域當(dāng)前的信任狀態(tài)，能夠較為準(zhǔn)確的計(jì)算出完成當(dāng)前服務(wù)任務(wù)所需容錯(cuò)服務(wù)的個(gè)數(shù)。

3 服務(wù)檢測(cè)機(jī)制

3.1 非功能性需求

在Web環(huán)境中，請(qǐng)求者的非功能屬性，一般包括系統(tǒng)的性能、可靠性、可維護(hù)性、可擴(kuò)充性和對(duì)技術(shù)和對(duì)業(yè)務(wù)的適應(yīng)性等。其中，提供者的可靠性最為重要。

可靠性：指在給定的時(shí)間內(nèi)以及規(guī)定的環(huán)境條件下，系統(tǒng)能完成所要求功能的概率。

而不可靠主要是由錯(cuò)誤引起的。服務(wù)主要包含2個(gè)類型的錯(cuò)誤：1) 顯式的錯(cuò)誤，并引發(fā)異常信息，解決方式為延時(shí)發(fā)送請(qǐng)求或者更改可替代的提供者；2) 隱式的錯(cuò)誤，提供者返回錯(cuò)誤的數(shù)據(jù)，不會(huì)立刻引發(fā)程序異常信息，但會(huì)導(dǎo)致程序產(chǎn)生不可預(yù)期的行為和結(jié)果。

3.2 基于選舉協(xié)議的服務(wù)檢測(cè)

基于選舉協(xié)議的服務(wù)檢測(cè)用于發(fā)現(xiàn)提供者的隱式錯(cuò)誤。請(qǐng)求者從多個(gè)提供者處獲取結(jié)果，只要它獲得的正確結(jié)果足夠多，則仍可以發(fā)現(xiàn)有效的服務(wù)結(jié)果。基于選舉協(xié)議的檢測(cè)算法如下。

step1 請(qǐng)求者和同一領(lǐng)域中的若干個(gè)提供者交互。

step2 請(qǐng)求者在一段時(shí)間t內(nèi)獲得的提供者有效返回?cái)?shù)據(jù)集為D。 D = { d1, d2,… ,dl},l∈ N+,l≤rn其中rn為容錯(cuò)提供者個(gè)數(shù)。當(dāng)滿足超過 r n / 2的返回?cái)?shù)據(jù)值相同或相似時(shí)請(qǐng)求者可以獲得正確的服務(wù)任務(wù)結(jié)果 r e sult。ε為允許最大誤差。

step3 逐一比較最終結(jié)果result和各提供者的結(jié)果value，按照相識(shí)程度記為不同程度的正確。

step4 請(qǐng)求者將標(biāo)記值作為反饋返回給信任管理模塊。

3.3 輪詢檢測(cè)機(jī)制

本文使用信任度表示提供者的可靠性。而系統(tǒng)中實(shí)體的信任屬性具有易失性，長(zhǎng)時(shí)間不進(jìn)行檢測(cè)，其值可能不準(zhǔn)確。

本文借鑒內(nèi)存的輪詢思路，提出了一套基于輪詢機(jī)制的服務(wù)失效檢測(cè)機(jī)制，并將實(shí)體信任的檢測(cè)過程和對(duì)其的使用過程分離開來(lái)。假設(shè)在一個(gè)周期內(nèi)，實(shí)體的信任程度不會(huì)有很大程度的改變。對(duì)信任程度高的實(shí)體的申請(qǐng)相當(dāng)于CPU對(duì)內(nèi)存的訪問，訪問過程可以作為刷新過程。而信任度低和長(zhǎng)期得不到訪問信任度的不確定性高的節(jié)點(diǎn)，類似于內(nèi)存電容漏電導(dǎo)致的數(shù)據(jù)消失，需要輪詢過程更新其信任狀況。

本文設(shè)定3種信任狀態(tài)，在服務(wù)和檢測(cè)中分配2種不同的職能。

未知狀態(tài)：處于未知狀態(tài)的提供者（未知者）的信任度不確定或很低，因此需要對(duì)其進(jìn)行檢測(cè)。未知者只具有待測(cè)者職能。

可信狀態(tài)：處于可信狀態(tài)的提供者（可信者）必須長(zhǎng)期保持很高的信任度?？尚耪咧痪哂袡z測(cè)者職能。

混合狀態(tài)：信任度大于未知者小于可信者的提供者處于混合狀態(tài)（混合者）?；旌险咄瑫r(shí)具有待測(cè)者和檢測(cè)者職能。

檢測(cè)者：檢測(cè)者在輪詢檢測(cè)中提供服務(wù)，結(jié)果用于產(chǎn)生服務(wù)任務(wù)最終結(jié)果和檢測(cè)待測(cè)者。

待測(cè)者：待測(cè)者在輪詢檢測(cè)中提供服務(wù)，但是其結(jié)果并不被用于產(chǎn)生服務(wù)任務(wù)最終結(jié)果，而是作為評(píng)判其信任狀態(tài)的依據(jù)。

附加輪詢算法如下。

step1 服務(wù)選擇模塊將stn個(gè)信任情況最久未更新的待測(cè)者加入檢測(cè)列表返回給請(qǐng)求者。stn為附加輪詢待測(cè)者個(gè)數(shù)，其值根據(jù)領(lǐng)域的特點(diǎn)和請(qǐng)求頻率按下面公式得到：

其中，T imei表示領(lǐng)域i中，提供者允許未被使用的最長(zhǎng)時(shí)間。F reqi表示領(lǐng)域i的查詢頻率。hn和tn為領(lǐng)域中混合者和未知者個(gè)數(shù)。MaxStn為每次服務(wù)選擇允許的最大輪詢提供者個(gè)數(shù)

step2 請(qǐng)求者和所有提供者交互。利用基于選舉協(xié)議的服務(wù)檢測(cè)或得評(píng)測(cè)結(jié)果，并反饋給信任管理模塊TMM。

step3 信任模型使用檢測(cè)結(jié)果更新待測(cè)者信任度。

對(duì)于長(zhǎng)時(shí)間沒有任何請(qǐng)求的冷僻的領(lǐng)域，信任管理模塊需要發(fā)起一次獨(dú)立輪詢。算法如下。

step1 信任管理模塊保持一個(gè)計(jì)數(shù)器。當(dāng)TimeD（領(lǐng)域允許未使用的最長(zhǎng)時(shí)間）內(nèi)沒有任何對(duì)該領(lǐng)域的查詢時(shí)，由TMM發(fā)出一個(gè)獨(dú)立的輪詢發(fā)起信號(hào)給服務(wù)選擇模塊，要求產(chǎn)生一個(gè)置信度為領(lǐng)域缺省值的服務(wù)選擇過程。TimeD由以下公式獲得

step2 服務(wù)選擇模塊用虛擬貨幣招募請(qǐng)求者進(jìn)行一次服務(wù)交互過程，待測(cè)者個(gè)數(shù)為MaxStn。

step3 請(qǐng)求者和所有提供者交互。利用基于選舉協(xié)議的服務(wù)檢測(cè)或得評(píng)測(cè)結(jié)果，并反饋給信任管理模塊TMM。

step4 信任模型使用檢測(cè)結(jié)果更新待測(cè)者信任度。

3.4 惡意攻擊

服務(wù)檢測(cè)機(jī)制用于發(fā)現(xiàn)和排除網(wǎng)絡(luò)中的惡意提供者。

網(wǎng)絡(luò)實(shí)體分為2類：善意實(shí)體和惡意實(shí)體。善意實(shí)體大部分時(shí)間能提供正確的服務(wù)結(jié)果。惡意實(shí)體提供虛假或惡意的服務(wù),并且設(shè)法詆毀正常實(shí)體。本文假設(shè)客戶的反饋大部分是正確的，討論提供者的惡意行為。

獨(dú)立惡意攻擊：此類惡意提供者彼此沒有聯(lián)系，在與請(qǐng)求者的交互中提供虛假的結(jié)果或在結(jié)果中插入惡意代碼。發(fā)生故障而提供錯(cuò)誤結(jié)果的提供者具有以上的特點(diǎn)，同樣視為惡意提供者。

復(fù)雜策略攻擊：此類惡意提供者知曉一部分系統(tǒng)的信任機(jī)制信息，施展一套復(fù)雜的策略偽裝為善意提供者：交替提供正確服務(wù)和施展惡意攻擊，通過控制兩者的比例使得自身的信任度在請(qǐng)求者可以接受的范圍內(nèi)波動(dòng)，從而繼續(xù)產(chǎn)生惡意行為。

協(xié)同惡意攻擊：此類惡意攻擊者可以看做獨(dú)立惡意攻擊者間形成了協(xié)同作弊的團(tuán)體，通過策略上的合作，試圖極力夸大同一團(tuán)體中的同伙，并試圖詆毀其他提供者。

以上3類惡意攻擊具有代表性。事實(shí)上，惡意提供者可以實(shí)施同時(shí)實(shí)施以上多種惡意行為。

4 信任感知的容錯(cuò)服務(wù)選擇

現(xiàn)有的容錯(cuò)算法一般在系統(tǒng)設(shè)計(jì)中設(shè)定容錯(cuò)服務(wù)個(gè)數(shù)為一個(gè)固定值。信任感知的容錯(cuò)服務(wù)選擇算法針對(duì)動(dòng)態(tài)變化的Web網(wǎng)絡(luò)環(huán)境，考慮領(lǐng)域當(dāng)前的信任狀態(tài)，能夠計(jì)算出保證請(qǐng)求者非功能需求的最小的容錯(cuò)數(shù)量和容錯(cuò)提供者列表。

4.1 置信度

可靠性置信度λ（簡(jiǎn)稱置信度）是請(qǐng)求者對(duì)服務(wù)任務(wù)能達(dá)到的可靠性的量化值的期望。

置信度的等級(jí)同服務(wù)領(lǐng)域相關(guān)。表1為服務(wù)可靠性和置信度等級(jí)的對(duì)應(yīng)關(guān)系。容錯(cuò)服務(wù)選擇模塊中保持了一個(gè)服務(wù)類型和置信度取值的對(duì)應(yīng)列表。表2為各個(gè)服務(wù)置信度的缺省設(shè)定，如果請(qǐng)求者沒有提出置信度要求，則在容錯(cuò)個(gè)數(shù)計(jì)算時(shí)使用缺省值。而缺省值會(huì)隨著請(qǐng)求者的置信度請(qǐng)求而動(dòng)態(tài)改變。

表1 服務(wù)可靠性和置信度等級(jí)的對(duì)應(yīng)關(guān)系

表2 服務(wù)置信度缺省值

4.2 容錯(cuò)提供者個(gè)數(shù)計(jì)算

為了在選舉協(xié)議中請(qǐng)求者能獲得正確的服務(wù)任務(wù)結(jié)果并能對(duì)檢測(cè)各個(gè)提供者的正確性，提供者的服務(wù)結(jié)果必須有一半以上為正確。即

這個(gè)取值需要大于等于此次服務(wù)選擇請(qǐng)求的置信度，并且rn應(yīng)該設(shè)置得盡可能的小。因此rn的取值應(yīng)該滿足下面的公式：

4.3 信任感知容錯(cuò)服務(wù)選擇算法

以往的容錯(cuò)方法對(duì)服務(wù)的選取具有盲目性。而信任感知的容錯(cuò)服務(wù)選擇方法根據(jù)領(lǐng)域的信任特點(diǎn)，優(yōu)先從可信者中選取提供者。在可信者數(shù)目不足的情況下，仍然可以通過使用混合者達(dá)請(qǐng)求者的置信度要求。已下是信任感知容錯(cuò)服務(wù)選擇算法。

step1 嘗試在可信者中選擇提供者。由于rn數(shù)量不會(huì)太大，使用窮舉法獲得容錯(cuò)數(shù)rn，使其滿足式(1)。

step2 如果容錯(cuò)數(shù)小于可信者個(gè)數(shù)rnan≤，即可信者足夠滿足用戶非功能需求。則隨機(jī)選取rn個(gè)可信者加入選擇列表，轉(zhuǎn)到step 5。

step3 可信者不夠，需要降低標(biāo)準(zhǔn)，容忍一部分錯(cuò)誤，同時(shí)使用可信者和混合者提供服務(wù)。使用窮舉法獲得所需混合者數(shù)量shn，使其滿足式(2)其中，an和hn分別為可信者和混合者的個(gè)數(shù)。iPHt為信任度第i高的混合者。式(2)和式(1)的原理類似，這里就不做具體推導(dǎo)。

step4 將全部可信者和信任度最高的shn個(gè)混合者加入選擇列表。

step5 將選擇列表返回給請(qǐng)求者。

5 實(shí)驗(yàn)及結(jié)果分析

本節(jié)測(cè)試3種方法對(duì)惡意攻擊的抵抗能力。第1種方法是基于Beta信任模型的方法，閾值設(shè)定為0.5。并假設(shè)該能夠使用某種其他機(jī)制能立即無(wú)誤的獲知服務(wù)結(jié)果的正確性。第2種方法是容錯(cuò)方法。第3種方法是基于信任容錯(cuò)的方法。實(shí)驗(yàn)檢測(cè)指標(biāo)為給定置信度的容錯(cuò)數(shù)和服務(wù)成功率。

5.1 獨(dú)立惡意攻擊

實(shí)驗(yàn)1 原子實(shí)驗(yàn)。

實(shí)驗(yàn)1為原子實(shí)驗(yàn)，仿真一個(gè)領(lǐng)域的200個(gè)提供者的運(yùn)行過程。實(shí)驗(yàn)設(shè)定如表3所示。

表3 獨(dú)立惡意攻擊原子實(shí)驗(yàn)的參數(shù)設(shè)置

圖2～圖4表明的是經(jīng)過3 000次服務(wù)請(qǐng)求后，3種方法的結(jié)果。其中橫坐標(biāo)是提供者序號(hào)，1～100號(hào)為惡意提供者?？v坐標(biāo)表示的是各提供者的正確率、信任度和負(fù)載。

圖 2為容錯(cuò)方法對(duì)于獨(dú)立惡意攻擊的抵御情況。為了和基于信任容錯(cuò)的可靠性增強(qiáng)方法比較，在實(shí)驗(yàn)中容錯(cuò)數(shù)設(shè)為 6。大部分提供者的負(fù)載在80～110隨機(jī)分布。由于沒有機(jī)制辨認(rèn)惡意提供者，提供者服務(wù)的準(zhǔn)確率和負(fù)載沒有任何相關(guān)性，服務(wù)可靠性沒有得到很好的保障。

圖2 容錯(cuò)方法負(fù)載和正確率的關(guān)系

圖3 基于信任的方法負(fù)載和成功率同正確率的關(guān)系

從圖3中可以看到，基于信任的方法可以較好檢測(cè)出惡意提供者。幾乎所有的惡意提供者信任度為0，而剩余的大部分不到閾值0.5；而大部分善意提供者被認(rèn)定為可信。大部分惡意提供者的負(fù)載大于8；而善意提供者的負(fù)載在10～35之間?；谛湃蔚姆椒梢栽谝欢ǔ潭壬献R(shí)別善意和惡意提供者。其缺點(diǎn)為惡意提供者也有很高的負(fù)載，這意味著該方法對(duì)惡意攻擊抵御較差。

圖4是使用基于信任感知容錯(cuò)的方法，提供者的信任度和負(fù)載同正確服務(wù)比率具有相同的趨勢(shì)。幾乎所有惡意提供者的信任度都為 0，其負(fù)載幾乎為0；而善意提供者的信任度一般高于閾值0.3，并且負(fù)載比較大。其中負(fù)載的最高值是 300。而理論上如果所有善意提供者的具有相同的訪問量，其負(fù)載為180，兩者差距不大。

圖4 基于信任容錯(cuò)的方法負(fù)載和成功率同正確率的關(guān)系

實(shí)驗(yàn)2 惡意節(jié)點(diǎn)率對(duì)容錯(cuò)數(shù)以及成功率的影響。

本組實(shí)驗(yàn)中，惡意提供者的比率為[0,90%]，每增加10%進(jìn)行100次原子實(shí)驗(yàn)，計(jì)算平均的容錯(cuò)數(shù)和服務(wù)任務(wù)成功率。

表4顯示的是容錯(cuò)方法和基于信任容錯(cuò)的方法所需的容錯(cuò)數(shù)。前者是由理論計(jì)算獲得。當(dāng)惡意提供者比率增加時(shí)基于信任容錯(cuò)的方法的平均容錯(cuò)數(shù)增速平緩，說(shuō)明其對(duì)于善意和惡意的環(huán)境有平穩(wěn)的性能。而容錯(cuò)方法在無(wú)惡意提供者的環(huán)境中都需要5個(gè)提供者。而且其容錯(cuò)數(shù)增速很快，當(dāng)領(lǐng)域有超過30%的惡意提供者時(shí)，已不具有實(shí)現(xiàn)性。

表4 容錯(cuò)數(shù)和惡意提供者比率的關(guān)系

圖5顯示的是使用3種方法的提供者比率和成功率的關(guān)系。當(dāng)惡意提供者比率增長(zhǎng)時(shí)，容錯(cuò)和基于信任的方法成功率下降的幅度較大，即該方法不能有效地防御獨(dú)立惡意攻擊?；谛湃稳蒎e(cuò)的方法在所有情況下都能達(dá)到高于0.96的成功率。

圖5 惡意攻擊提供者比率和成功率的關(guān)系

通過實(shí)驗(yàn) 2，可以看到基于信任容錯(cuò)的方法在錯(cuò)誤容忍和環(huán)境的適應(yīng)方面都比基于信任的和容錯(cuò)方法要好。

實(shí)驗(yàn)3 置信度對(duì)容錯(cuò)數(shù)及成功率的影響。

本組實(shí)驗(yàn)研究特定的惡意提供者比率下，基于信任容錯(cuò)方法的容錯(cuò)數(shù)、置信度和成功率的關(guān)系。本組實(shí)驗(yàn)中，惡意提供者比率設(shè)置為0.7、0.8和0.9。而置信度為[0.9,0.99]，每增加0.01，運(yùn)行100次原子實(shí)驗(yàn)，并計(jì)算容錯(cuò)數(shù)和成功率的平均值。

從圖6看到，隨著置信度的增加，容錯(cuò)數(shù)緩慢增加到大約 8.3，說(shuō)明該方法能夠根據(jù)請(qǐng)求者需求動(dòng)態(tài)調(diào)配資源，并且開銷在系統(tǒng)能夠接受的范圍之內(nèi)。從圖7可以看到，在3種惡意提供者比率下，超過96%的任務(wù)達(dá)到了置信度要求。

圖6 容錯(cuò)數(shù)和置信度的關(guān)系

圖7 成功率和置信度的關(guān)系

5.2 復(fù)雜策略攻擊

本組實(shí)驗(yàn)比較3種方法對(duì)于復(fù)雜策略攻擊的抵抗能力。惡意提供者行為策略設(shè)定為交替提供CN次正確服務(wù)和MN次惡意服務(wù)。惡意提供者比率為[0,90%]，每10%運(yùn)行100次原子實(shí)驗(yàn)。分別測(cè)試3種策略：(C N, M N) =(2, 1), (1, 1), (1, 2)。完成后計(jì)算平均成功率。

從圖8中可以看到，不論是善意還是惡意的環(huán)境，基于信任容錯(cuò)的方法都有很好的抵抗能力。相對(duì)而言，容錯(cuò)方法適用于惡意提供者較少的環(huán)境，而基于信任的方法適用于惡意提供者較多和惡意提供者產(chǎn)生惡意服務(wù)較多的環(huán)境。

5.3 合謀攻擊

在本組實(shí)驗(yàn)測(cè)試了3種方法對(duì)合謀攻擊的抵抗能力。實(shí)驗(yàn)中采取對(duì)而謀者最有利的設(shè)定：即所有的惡意提供者都屬于一個(gè)合謀的集團(tuán)。惡意提供者比率為[0.4,0.5]。惡意提供者比率每增加 0.01運(yùn)行120次原子實(shí)驗(yàn)后，計(jì)算平均成功率。

從圖9可以看到，隨著惡意節(jié)點(diǎn)率的增加，其他2種方法的成功率緩慢的下降。其原因是基于信任的方法沒有考慮到提供者之間的聯(lián)系，所以不受合謀攻擊的影響。而基于信任容錯(cuò)的方法在惡意節(jié)點(diǎn)率在0.4～0.46都具有高于0.85的成功率。

表5為單次實(shí)驗(yàn)的服務(wù)成功率的部分?jǐn)?shù)據(jù)。

可以看到，成功率的取值處于2個(gè)極端——大于0.96或接近于0.02。當(dāng)惡意提供者比率增大時(shí)，取0.02的次數(shù)也在緩慢增大。其原因是當(dāng)惡意節(jié)點(diǎn)較少時(shí)，系統(tǒng)在初始階段取善意節(jié)點(diǎn)的概率較大，而選舉協(xié)議中的多數(shù)獲勝原則可以將惡意提供在清除出可以狀態(tài)，所以成功率很大。當(dāng)惡意節(jié)點(diǎn)增加時(shí)，共謀的惡意節(jié)點(diǎn)可能會(huì)處于可用或混合狀態(tài)，同樣由于選舉協(xié)議的多數(shù)獲勝原則，惡意提供者可以提升共謀者的信任度，并貶低善意提供者的信任度，從而使得共謀惡意提供者占據(jù)信任度較高的位置。由于算法的自驅(qū)動(dòng)機(jī)制，使得之后的服務(wù)提供模塊會(huì)更可能選擇惡意的提供者，造成成功率很低。

圖8 復(fù)雜策略攻擊下成功率和惡意提供者比率的關(guān)系

圖9 合謀攻擊下成功率對(duì)比

表5 單次實(shí)驗(yàn)的成功率

從實(shí)驗(yàn)可以看到，在較善意的環(huán)境中，基于信任容錯(cuò)的方法對(duì)共謀攻擊的抵抗能力最好。

6 結(jié)束語(yǔ)

本文提出了一種基于信任容錯(cuò)的服務(wù)可靠性增強(qiáng)方法，利用選舉協(xié)議設(shè)計(jì)服務(wù)失效輪詢檢測(cè)機(jī)制；建立信任機(jī)制度量提供者的可靠性；依據(jù)提供者的領(lǐng)域特點(diǎn)和請(qǐng)求者的可靠性需求設(shè)計(jì)信任感知的容錯(cuò)服務(wù)冗余數(shù)計(jì)算方法和冗余服務(wù)選擇算法，具有面向領(lǐng)域，用戶偏好敏感的特點(diǎn)。實(shí)驗(yàn)驗(yàn)證本方法比容錯(cuò)和基于信任的方法更能抵御獨(dú)立節(jié)點(diǎn)攻擊、復(fù)雜策略攻擊和合謀攻擊。

在今后的工作中，將試圖提升高置信度下服務(wù)的成功率，并且考慮來(lái)自請(qǐng)求者的攻擊以及完善和設(shè)計(jì)虛擬貨幣機(jī)制保障有效的反饋。

[1] 懷進(jìn)鵬.對(duì)未來(lái)網(wǎng)絡(luò)化軟件技術(shù)的幾點(diǎn)認(rèn)識(shí)[R].中國(guó)計(jì)算機(jī)大會(huì)CNCC07特邀報(bào)告, 2007.HUAI J P. Understandings about Future Networked Software Techniques[R]. China National Computer Conference 2007, 2007.

[2] 王遠(yuǎn), 呂建, 徐鋒等. 一種適用于網(wǎng)構(gòu)軟件的信任度量與演化模型[J]. 軟件學(xué)報(bào),2006,17(4)∶ 682-690.WANG Y, LV J, XU F, et al. A trust measurement and evolution model for internetware[J]. Journal of Software, 2006, 17(4)∶ 682-690.

[3] ANATOLIY G, VYACHESLAV K, ALEXANDER R, et al. Using inherent service redundancy and diversity to ensure Web services dependability[A]. Workshop on Methods, Models and Tools for Fault Tolerance[C]. 2007. 324-341.

[4] CHANDRA S, CHEN P M, WHITHER G. Recovery from application faults? a fault study using open-source software[A]. International Conference on Dependable Systems and Networks[C]. New York,USA, 2000. 97-106.

[5] GORBENKO A, KHARCHENKO V, POPOV P, et al. Dependable composite Web services with components upgraded online[A]. International Conference on Dependable Systems and Networks[C].2004.92-121.

[6] DESWARTE Y, KANOUN K, LAPRIE J. Diversity against accidental and deliberate faults computer security[A]. Computer Security, Dependability and Assurance∶ from Needs to Solutions[C]. 1998. 171- 181.

[7] 劉玲霞，武兆雪，錢淵等. Web服務(wù)容錯(cuò)技術(shù)研究[J]. 計(jì)算機(jī)科學(xué),2009,36(1)∶24-28.LIU L X, WU Z X, QIAN Y, et al. Fault-tolerant Web services[J].Computer Science, 2009, 36(1)∶24-28.

[8] JAYASINGHE D. FAWS - a client transparent fault tolerance system for SOAP-based Web services[EB/OL]. http∶//www-128.ibm.com/developerworks/webservices/library/ws-faws/,2005.

[9] AGHDAIE N, TAMIR Y. Implementation and evaluation of transparent fault-tolerant Web service with kernel-level support[A]. The IEEE International Conference on Computer Communications and Networks[C]. Miami ,Florida , 2002. 63-68.

[10] SANTOS G T, LUNG L C, MONTEZ C. FTWeb∶ a fault tolerant infrastructure for Web services[A]. The 2005 Ninth IEEE International EDOC Enterprise Computing Conference ( EDOC’05)[C]. Enscheda,the Netherlands, 2005.95-105.

[11] DERON L, FANG C L, CHEN C, et al. Fault-tolerant web service[A].The 10th Asia-Pacific Software Engineering Conference[C]. Taipei,Taiwan, China, 2003. 310-319.

[12] SUNGKEUN P, LING L, CALTON P, et al. Resilient trust management for Web service integration[A]. IEEE International Conference on Web Services[C]. Atlanta, USA, 2005. 11-15.

[13] XIN Y Z, YI N C, XIAO Y B. On testing and evaluating service-oriented software[J]. Computer Volume, 2008, 41(8)∶ 40-46.

[14] ZAKI M, ATHMAN B. Reputation bootstrapping for trust establishment among Web services[J]. IEEE Internet Computing, 2009, 13(1)∶ 40-47.