8.1 信任等级协议
云计算环境中信任的动态性不同于其他分布式计算环境。在传统分布式计算环境的信任评估过程中,动态性主要是指实体可以随时进入与退出、信任评估随时间而动态变化等。不同的是,在云计算环境中进行信任评估时,动态性主要表现为:信任管理模型会根据实体的身份不同、服务类型不同等动态计算实体的可信度。所以本章将云环境中可信的动态性归纳为如下三点。
(1)实体身份的界定:不同实体拥有的信息安全敏感度不同,比如组件与租户之间、不同组件之间、不同租户之间的信任度需求不同。
(2)服务类型的界定:不同服务涉及的可信问题不同,比如阅读服务要求的可信度比较低,身份证、银行卡信息存储要求的可信度较高。
(3)信任预期的度量:不同实体对不同服务的安全诉求不同,实体的预期相对应的服务就是可信的云服务。
根据上述分析,本章给出相关定义如下。
定义8-1 信任等级协议(Trust Level Agreement,TLA):从用户的角度出发,将实体身份、服务类型进行分类,根据不同的服务请求动态获取与服务请求相适应的云服务,以满足云环境的动态性。信任等级协议按照实体交互过程分为两种,即消费者信任等级协议和服务提供者信任等级协议。
定义8-2 消费者信任等级协议(Consumer Trust Level Agreement,CTLA):云计算环境中消费者信任等级协议使用3元组来表示:{IDE,CST,ET},其中IDE代表实体身份,CST代表需求交互类型,ET代表预期信任度。
定义8-3 服务提供者信任等级协议(Provider Trust Level Agreement,PTLA):云计算环境中服务提供者信任等级协议使用2元组来表示:{IDE,{PST,AT}},其中IDE代表实体身份,{PST,AT}代表声明可以提供的服务类型与信任度集合,PST代表提供的服务类型,AT代表声明的该服务类型对应的信任度。
在云计算环境中,任何实体都可以选择使用云服务或者提供云服务,实体的身份根据应用上下文不同可以发生转换,因此任何一个实体都同时维护着CTLA与PTLA两种协议。CTLA与PTLA是TLA于不同场景下的不同表现,内容是相互对应的。
如图8-1所示,当1号实体想要使用“阅读普通文本”服务时,假设2号实体为其提供服务。在这种情境下,1号实体作为请求实体维护着CTLA,2号实体作为服务实体维护着PTLA。
图8-1 TLA
CTLA是实体作为请求方时维护的协议,声明了实体本身的请求意愿,即实体想要使用的服务类型及其标准。其中CST代表请求实体需要使用的云服务类型,包含操作类型与信息类型,ET表示请求实体预期的服务实体的最低信任,若达不到则不会发生交互。
PTLA是实体作为服务提供方时维护的协议,表明了实体本身可以提供的服务与可以达到的可信度,即实体可以提供的所有服务类型及其标准。其中PST为服务实体可以提供的服务类型,包含操作类型与信息类型,AT表示服务实体可以达到的可信度,PST与AT成对出现,因为一个服务实体可以同时提供不同的服务。并且,PTLA中的PST与CTLA中的CST是对应关系,PTLA中的AT与CTLA中的ET是对应关系。
由于云计算环境中服务类型以及实体类型的种类很多,为了避免穷举分类扩展性低的缺点,本章将服务类型以及实体类型进行了抽象分类。
服务类型可以分为操作类型与信息类型两类。
(1)操作类型:云服务中的操作类型可以概括为读操作、写操作和读写操作三种,三种操作的信任度需求从低到高依次增加。
(2)信息类型:云环境中的信息类型可以概括为敏感信息与普通信息两种。与用户身份信息、银行卡信息、住址信息等相关的信息被称为敏感信息,对信任度需求较高。其他信息被称为普通信息,对信任度需求较低。比如,用户网上阅读新闻的信任度需求要远远低于网上购物的信任度需求。
云环境中的实体类型可以概括为敏感实体与普通实体两种。常与关键服务接触、敏感信息较多、涉及敏感操作较多的实体被称为敏感实体,往往对信任度需求较高。其他实体被称为普通实体,往往对信任度需求较低。
如表8-1所示,在TLABCTM中执行讨论TLA时,对应于服务请求的不同,将实体身份分为{普通组件,敏感组件,普通租户,敏感租户},其中组件负责提供服务,租户负责使用服务,并且敏感实体相对于普通实体的信任度需求较高。服务类型分为{只读普通信息,只写普通信息,读写普通信息,只读敏感信息,只写敏感信息,读写敏感信息},其中敏感信息相对于普通信息的信任度需求较高,写操作相对于读操作的信任度需求较高。对于云计算中的实体,每个实体都维护着唯一的CTLA与PTLA。
表8-1 实体与服务分类表
