網構軟件信任機制的形式化研究

董宇欣，印桂生，謝新強，馬志強

(哈爾濱工程大學 計算機科學與技術學院，黑龍江 哈爾濱 150001)

網構軟件是一種新型軟件形態，它具有自主適應性、協同性、反應性、在線演化性、多態性等形態特征，是傳統軟件在開放、動態、多變的網絡環境下的延伸［1］.與傳統軟件形態不同，網構軟件的出現使得Internet平臺上存在著大量的可重復利用的構件資源.如何能夠充分利用這些構件資源使其形成一個具有全面共享、自主協同的統一計算平臺，從而解決大規?？茖W和工程計算問題［2］已成為網構軟件技術面臨的重要挑戰之一.此外，由于網構軟件系統的自組織特性，各類復雜系統中應用不同的信任管理機制，使得不同的應用系統中對信任的形式化定義和理解也存在著不一致性.例如，Lampson等［3］提出的訪問控制演算邏輯以及BAN邏輯給出了安全認證協議的邏輯模型.Blaze等［4］提出了基于功能的靜態概念信任模型PolicyMaker.Maurer等［5］提出的PKI信任模型［6］.信任是主體間的一種關系，目前還沒有一個被廣泛接受的嚴格定義［7］.對于信任的理解和定義大多局限于自然語言的描述，缺乏嚴密的數學模型及形式化方法對信任關系進行推導和量化.J?sang［8］認為信任是主體間的一種信念，信念表達了對信任實體行為和表現的期望，信任實體具有感性和理性之分，因此信念的背后必然存在著某種推理.本文基于信念邏輯給出信念公式和信任關系的形式化定義、分析、邏輯推理及證明過程，并給出了信任鏈建立以及多路徑信任聚合的相關算法.

1 信念邏輯

假設信任關系模型采用五元組σ(ρ，α，η，κ，ν)表示，其中ρ表示構件主體集合，α表示假設的屬性和不變量的集合，η表示主體的信念公式全集，信念強調的是主體根據自身知識和經驗對外部環境的一種邏輯判斷能力.κ表示主體ρ在α×η上的映射集合，表示主體的一個推理.ν是置信函數，ν(Qi，Qj)∈［0，1］，表示Qi對Qj的信任程度.φ表示命題符號，命題包含對信任主體的信任屬性、權限、性能指標等特征的斷言.邏輯連接詞┐、∧、∨、?、∪、∩、→、|?優先級依次遞減.|?表示信念關系推理符號.

定義1(信念公式)對于?Q∈ρ，?R?κ，如果主體Q在集合R上可以推導出一個真命題φ，則稱存在信念公式(Q，R)|?φ.下面給出公式(Q，R)|?φ的如下遞歸定義:

1)如果φ是一個命題符號，則φ是原子公式.

2)如果φ是一個命題符號，則(Q，R)|?φ是一個信念公式.

3)如果η1、η2是信念公式，則邏輯運算η1∧η2，η1∨η2，η1→η2，┐η也是信念公式.

定理1 對于主體Q在條件R上的一條信任斷言φi，如果(Q，R)|?φi成立，則必有φi∈κ成立，反之，如果φi∈κ，則(Q，R)|?φi成立.

證明:∵主體Q在條件R上存在信念φi，即(Q，R)|?φi成立，∴φi必然是Q的信念集合κ映射的一個子集.反之，當φi∈κ成立時，∵κ表示主體ρ×α×η上的一個映射子集，∴主體Q必然能夠通過信念公式η推導出命題φi，顯然定理1成立.證畢.

推理1 對于一個命題φi∈κ，(Q，R)|?φi與κ(Q，R)?φi相互等價，即主體Q在條件R上存在信念φi，當且僅當從相應的理論κ(Q，R)能夠推導出命題φi，κ(Q，R)表示主體Q的一個理論.

由推理1，對于φi∈κ，φj∈κ，可以得出如下推理的等價關系:

其中，?表示信念公式組合算子.

下面分別給出具體證明過程:

1)由推理1可知，(Q，R)|?φi?κ(Q，R)?φi，又∵(Q，R)|?(φi→φj)?κ(Q，R)?(φi→φj)，而κ(Q，R)?(φi→φj)?(κ(Q，R)?φi)→(κ(Q，R)?φj)?((Q，R)|?φi)→((Q，R)|?φj).證畢.

2)由推理1可知(Q，R)|?┐φi?κ(Q，R)?┐φi，而κ(Q，R)?┐φi?┐(κ(Q，R)?φi)?┐((Q，R)|?φi)，所以式(2)得證.

3)∵(Q，R)|?(φi∧φj)?κ(Q，R)?(φi∧φj)，κ(Q，R)?(φi∧φj)?(κ(Q，R)?φi)∧(κ(Q，R)?φj).又由推理1可得((κ(Q，R)?φi)∧(κ(Q，R)?φj)?((Q，R)|?φi)∧((Q，R)|?φj)，∴式(3)得證，同理式(4)、(5)、(6)可證.

2 信任關系形式化

根據ITU X.509對信任的自然語言描述為:“當主體A假設主體B將嚴格按照其所期望的那樣行動時，則稱A信任B”，也就是說對于主體B在條件R下推導出的命題，即信念ηi為真，則主體A在條件R下推導出的ηi也為真，即A對于B的斷言是信任的，下面給出信任關系的形式化描述.

定義2 對于主體Qi在信念集合R上的一條斷言φi，如果主體Qj在信念集合R上推導出的斷言也是φi，則認為主體Qj在信念集合R上對φi的斷言被主體Qi所信任，即如果(Qj，R)|?φi→(Qi，R) |?φi為真，則稱主體Qi信任主體Qj，記作Qi(R，φ)?Qj，其中?表示信任關系推導符號.

信念強調的是主體的一種邏輯判斷，是從主觀上依據充分的證據得出的判斷，不同的主體由于所處的環境、自身的條件差異，往往一個主體對事物的判斷并不一定能被另一個主體所接受，因此信任鏈傳遞過程中必然存在著不同程度的損失.下面給出信任關系傳播過程的形式化描述:

推理2 如果?μ1?R，?μ2?R，使得Qi(μ1，φ)?Qj，并且Qi(μ2，φ)?Qj同時成立，則可以推出Qi(μ1?μ2，φ)?Qj，其中?為信念邏輯組合算子.推理2表明如果環境不變量對μ1、μ2同時成立，那么環境不變量對它們的組合也成立，μ1?μ2表示2個信任策略的組合，下面給出證明.

證明:由條件Qi(μ1，φ)?Qj，并根據定義2得: (Qj，μ1)|?φ→(Qi，μ1)|?φ，同理由Qi(μ2，φ)?Qj得:(Qj，μ2)|?φ→(Qi，μ2)|?φ，又由推理1的等價關系(6)可得:(Qj，μ1?μ2)|?φ→(Qi，μ1?μ2)|?φ，∴Qi(μ1?μ2，φ)?Qj成立.證畢.

推理2提供了一個對復雜信任策略分解和進一步評估的途徑，構件從外部獲得的信任存在組合與分解關系，而信任評估所面對的對象大多是具有復雜結構的協議，不同的信任策略之間往往存在著多層次、多粒度的依賴和交互關系.

推理3 如果?φ1?R，?φ2?R，對于Qi、Qj、Qk，假設它們為不同的構件主體，如果存在Qi(μ，φ1)?Qj，Qj(μ，φ2)?Qk同時成立，則可以推出Qi(μ，φ1∧φ2)?Qk成立.

證明:由條件Qi(μ，φ1)?Qj，并根據定義2可知:對?ε∈φ1，式(1):(Qj，μ)|?ε→(Qi，μ)|?ε成立，從而對于?ε∈(φ1∧φ2)，亦滿足公式1):(Qj，μ)|?ε→(Qi，μ)|?ε，同理，對于?~ω∈φ2，(Qk，μ) |?~ω→(Qj，μ)|?~ω成立，則?~ω(φ1∧φ2)，式(2): (Qk，μ)|?~ω→(Qj，μ)|?~ω顯然成立.∴由式(1)、(2)可知，?λ∈(~ω∧ε)?(φ1∧φ2)，使得(Qk，μ) |?λ→(Qi，μ)|?λ成立.又由定義2可知Qi(μ，λ)?Qk成立，即Qi(μ，φ1∧φ2)?Qk成立.證畢.

推理3細化了信任關系的分析粒度，給出了信任傳遞性成立的語義解釋和約束條件.例如，A信任B是針對命題q，B信任C是針對命題p，顯然不能認為A信任C.下面給出信任傳遞的進一步推導關系.

推理4 如果?φ?κ，?μ?R，對于公式Qi(μ，φ)?Qj，Qj(μ，φ)?Qk都成立，則Qi(μ，φ)?Qk成立.推理4表明當Qi與Qj的信念公式集合μ及φ等價時，Qi對Qj的任何斷言都認為是可信的，而Qi對Qk的信任則是通過Qj的直接推薦得到的.對推理4進一步推廣可以得出信任鏈的定義.

推理5(信任鏈) 如果對于?φ?κ，?μ?R，Qi(μ，φ)?Qi+1，Qi+1(μ，φ)?Qi+2，…，Qn－1(μ，φ)?Qn同時成立，則可以推導出Qi(μ，φ)?Qn成立.

如圖1所示序列Qi，Qi+1，…，Qn－1，Qn為從主體Qi到Qn的一條信任鏈，虛線顯示了通過信任傳遞使得互不相連的主體間也能夠建立信任關系.構件間信任關系的建立過程實際上也是信任鏈建立和傳播的過程，2個構件節點之間往往存在著若干條信任鏈，如何選擇一條置信度較高的信任鏈作為構件之間交互的通道顯得尤為重要，因此本文3.3節給出了一種基于貪心策略的最優信任鏈計算方法的形式化描述.

圖1 信任鏈Fig.1 The trust chain

推理 6(信任聚合)如果?φ1，?φ2，?φ3，?φ4?κ，公式 Qi(μ，φ1)?Qj，Qj(μ，φ2)?Qk，Qi(μ，φ3)?Qt，Qt(μ，φ4)?Qk都成立，則可以得出Qi(μ，(φ1∧φ2)?(φ3∧φ4))?Qk，其中?表示多路徑信任聚合算子.

如圖2所示，虛線描述了從Qi到Qk所有可以選擇的路徑.Qi與Qk間存在著多條可達的信任路徑，通過多個路徑的聚合來計算Qi與Qk之間的置信度，3.3節將進一步研究多路徑聚合問題并給出了一種基于約束條件的多路徑聚合算法.

圖2 多路徑信任聚合Fig.2 The multiple path trust aggregation

3 信任關系建立的形式化描述

本節通過信任關系的形式化定義對PKI［9］信任模型進行形式化描述和推演.

如圖3所示為橋CA結構模型，采用BCA橋接方式互通3個不同的PKI域，即嚴格等級CA域、獨立CA域和網狀CA域，其中圓形為CA實體，箭頭表示證書，雙向箭頭為交叉證書，長方形表示構件實體，橋BCA用三角形表示，虛線描述了其中的一條信任鏈傳遞過程.不同的信任域采用的信任策略不同，各種信任域之間通過BCA互通形成更大規模的信任域.假設＜G＞是信任網絡的無負權有向圖，且不存在環路，下面給出在PKI模型中信任關系建立的過程.

圖3 BCA信任模型拓撲結構Fig.3 The topology structure for BCA trust model

3.1 信任鏈隨機搜索算法RSTC的形式化與推演

構件節點間信任關系的建立過程也是信任鏈搜索和計算的過程.一種思路是通過考察G中所有可能的路徑來確定是否存在從Qi到Qj的信任鏈，一條最長的路徑就是＜G＞中長度最多為n的節點序列(假定不存在環路)，n是＜G＞中的節點數(如果從Qi到Qj存在有向路徑，那么就存在長度不超過n的有向路徑，因為路徑上不需要重復節點)，但是這些路徑數最壞情況下有nn條，即＜G＞中節點數的指數倍.顯然，當構件集群規模足夠大時，算法時間復雜度是NP類的.下面給出一種基于標記的隨機搜索算法(random searching for trust chain，RSTC)的形式化描述如下:

1)對于輸入＜G＞，Qi，Qj;

2)在節點Qi上做標記;

3)重復下面步驟4)～6)，直到不再有節點被標記;

4)掃描＜G＞的所有邊.非確定性的選擇一條邊(a，b)，并且滿足a被標記而b沒有被標記，并轉向5);

5)如果a使用公鑰驗證b的證書成立，則a的信任策略集合為ηQa=ηQa∪ηQb;

6)計算置信函數ν(a，b)，如果置信度ν(a，b)≥νmin，νmin為最小置信度閾值，那么標記b;

7)若Qj被標記，則接受;否則拒絕;

下面進一步分析算法的可行性，顯然步驟1)、7)只執行1次，步驟4)、5)、6)最多執行n次，其中n為節點總數，用到的總步數是1+1+3n，所以時間復雜度為O(n)，因此RSTC屬于P類問題.以圖3構件Q1對Q2建立信任關系的過程為例，假定Q1隨機選擇的路徑為圖中虛線所示的路徑，即 p1: Q1→Qk→Qc→QB→Qg→Qf→Q2.根據上述算法描述，對構件Q1與Q2信任機制的建立過程進行形式化推演.

根據定義2的形式化定義，對p1上相關構件主體的初始信任策略集合作如下形式化描述:

其中:{Qk}key_Qk表示構件主體Qk的密鑰綁定為key _Qk，Q1(Rk，{Qk}key_Qk)?Qk表示構件主體Q1信任Qk的密鑰為key_Qk.路徑上相關節點的數字證書語義表述為

假設Rij=Ri?Rj，表示Qi與Qj不同信任策略及約束條件Ri、Rj的合成運算.Φij=φi∧φj表示Qi與Qj的信任斷言φi、φj的合取運算.下面給出p1路徑上信任關系建立的推演過程:

1)構件 Q1使用公鑰 key_Qc驗證證書{ηQc}key_Qc－1，如果驗證成功，則計算置信度 ν(Q1， Qc)，如果(Q1，Qc)≥νmin則對Qc做標記，否則選擇其他節點.Q1的信任策略集合為ηQ1=ηQ1∪ηQc.構件Q1根據Q1(Rkc，φkc)?Qc;Qc(RB，φB)?QB應用推理2、3可得Q1(RkcB，φkcB)?QB;Q1(RkcB，{QB}key_QB)?QB}.其中RkcB=Rkc?RB，φkcB=φkc∧φB.

2)構件Q1驗證Q1(RkcB，{QB}key_QB)?QB是否正確，如果QB的密鑰在策略組合及約條件RkcB= Rkc?RB，φkcB=φkc∧φB下滿足key_QB?RkcB則轉向下一步驗證，否則認證失敗.

3)依次類推，經過圖3虛線上各節點直到構件Q1根據Q1(RkcBgf，φkcBgf)?Qf，Qf(R2，φ2)?Q2應用推理2、3可得Q1(RkcBgf2，φkcBgf2)?Q2;如果ν(Q1，Q2)≥νmin，則Q1與Q2成功建立起信任關系，并對Q2做標記，其中RkcBgf=RkcBg?Rf，φkcBgf=φkcBg∧φf.

4)判斷Q2是否被標記，如果已被標記則接受;否則拒絕.

由于構件之間可能存在多條信任路徑，信任關系的建立要考慮多條信任路徑的綜合情況，如圖3所示，Qk與Qc存在著不同的信任路徑Qk→Qc與Qk→QW→Qc，如果Qk對Qc不存在直接信任關系，而Qk信任Qw，Qw信任Qc顯然不能說Qk不信任Qc.因此，3.2節將提出一種新的信任鏈搜索算法.

3.2 一種優化的信任鏈搜索算法的形式化

構件節點之間建立信任關系的過程也就是通過搜索網絡節點尋找信任鏈的過程，2個構件之間可能存在多條信任鏈，某些時候構件節點只需要找到一條置信度最高的信任鏈作為交互的通道.現實信任關系網絡中往往通過搜索一條具有較高置信度的最優信任鏈，通過該信任鏈上節點間的特殊關系和“連帶”效應能夠在一定程度上起到監督和限制節點，使其提供可靠服務減少惡意行為的作用.

基于上述分析并借鑒貪心策略在求解最優化問題的基本思想，提出一種基于貪心策略尋找最優信任鏈的算法(greedy strategy for trust chain，GSTC)算法，對GSTC形式化描述如下:

1)輸入＜G＞，Qi，Qj:

2)初始化S={Qi};V={＜G＞中所有節點}; ν(Qi，Qt)={Qi初始時對 V中節點 Qt的置信度|t∈V－S};

3)若S≠V則重復4)～11)操作:

4)構件Qi使用公鑰key_Qt驗證與其相鄰的各節點Qt的證書{ηQt}key_Qt－1，其中t∈V－S，并且Qt是Qi相鄰節點;

5)如果驗證成功則轉向7)，否則轉向6);

6)將驗證失敗的邊Qi→Qt的置信度置為0，即ν(Qk，Qt)=0;

7)此時構件Qi的信任策略集合ηQi=ηQi∪ηQt;

8)求出與當前節點Qt相鄰節點中置信度最大的邊，即ν(Qt，Qk)=max{ν(Qt，Qx)|x∈V－S};

9)S=S∪{k};

10)對于每一個t∈V－S修改ν(Qi，Qt)=max {ν(Qi，Qt)，ν(Qi，Qk)?(Qk，Qt)}，其中?為信任聚合算子;

11)判斷若S=V則算法結束并返回集合S，否則轉向3);

12)如果Qj∈S，則接受，否則拒絕.

顯然，上述算法的時間復雜度為O(n2)，因此屬于P類問題.當算法成功結束時，集合S中存儲的信任鏈就是從Qi到Qj的置信度最大的一條信任鏈，構件Qi依次經過集合S中的節點與構件Qj進行交互，由于每次交互時選擇的都是最可靠的交互對象，從而有效降低了信任傳播過程中的風險.對于信任鏈置信度的具體計算可以根據路徑上節點的重要程度而分配不同的權重，而對于信任鏈過長的問題，我們也可以進一步修改上述算法，設置信任鏈最大跳數，限制由于信任鏈過長所帶來的風險以及計算過于復雜等問題.此外，當存在多條信任鏈具有相同置信度時，我們應該從中選擇一條抖動系數最小的.雖然上述算法是可行的，但是這種最優化信任鏈也存在著缺點，比如抗干擾能力差，評估帶有片面性等.為此我們可以修改算法，找到k條信任鏈進行信任鏈聚合，其中k∈［1，2n］，當k取1時顯然是GSTC算法的特例，當k=pathn時，是一種信任鏈聚合的綜合評價方式，pathn是2個節點間所有可達的全路徑數.一般取k=0.5pathn，因為通常情況下認為，當網絡規模很大時，網絡中惡意節點數不會超過網絡規模的一半.

3.3 多路徑信任聚合算法MPTA的形式化

單一信任鏈在一些情況下是可以用于評價構件節點信任狀況的，而在一些對信任度要求很高的網絡中，單一信任鏈難以滿足這一要求，為此本節提出一種基于遞歸回溯思想［10］求解多路徑信任聚合的受限問題的方法，并在多路徑信任鏈搜索過程設置了顯示約束條件，通過約束來限定信任鏈的某些屬性，如通過限制信任鏈置信度的最小閾值和信任鏈的最大長度來減小動態解空間樹的規模，同時這種顯示約束也能夠有效的減小信任鏈的“抖動”，限制單個節點波動過大的問題，以及由于信任鏈過長導致風險系數增加等.

求解多路徑信任聚合算法的基本思路是:對于節點Qi與Qj，搜索從Qi到Qj滿足約束條件的所有可達路徑，并對這些路徑進行分類，分別賦予相應的權重，通過加權求和的方法對節點Qj進行多路徑聚合評價.設path［n］用于暫存遍歷過程中的當前路徑，visited［n］為節點訪問標志，visited［i］=1表示節點Qi已被遍歷過，visited［i］=0表示節點Qi未被遍歷過.value用于存儲節點Qi對Qj的多路徑信任聚合值，初值為0，設置計數器count用于記錄符合約束條件的信任鏈的條數，初值為0.下面給出多路徑聚合算法MPTA(multiple path trust aggregation)的形式化描述如下:

MPTA(＜G＞，Qi，Qj，len):

1)初始化向量path［len］={Qi}，len記錄當前信任鏈的長度，初始值為0，標記當前節點Qi即visited［Qi］=1;

2)如果已經找到一條信任鏈，即當前節Qi等于Qj，則執行以下3)～7)，否則轉向8);

3)判斷此信任鏈的長度，如果不大于最長信任鏈限定的閾值，則轉向4)，否則，放棄此信任鏈;

4)判斷此信任鏈的置信度 是否大于最低信任閾值，如果是，則轉向5)，否則，放棄此信任鏈;

5)判斷此信任鏈抖動因子是否小于最小閾值，如果是，則轉向6)，否則，放棄該信任鏈;

6)根據此信任鏈上節點序列的重要程度或者權威性對此信任鏈的相關數據進行分類和挖掘，并賦予相應的權重μi，其中μi∈［0，1］，∑μi=1，i=1，2，3…n;

7)計算:value=value+μi*ν，count=count+1;

8)查找當前構件節點Qi的所有鄰節點p，當visited［p］=0時遞歸執行MPTA(＜G＞，p，Qj，len+ 1);

9)將當前節點Qi的訪問標志visited［Qi］置為0，path［len］置為0以便進入回溯過程;

算法執行結束返回從Qi到Qj滿足約束條件的所有信任鏈的置信度之和value，取value的平均值即value/count作為多路徑信任聚合的置信度.分析上述算法的時間復雜度，假設采用鄰接表作為圖＜G＞的存儲結構，可知每次遞歸回溯的最大深度為O(e)，其中e為＜G＞弧數，e的最大值為n(n－1)/2，又由8)可知執行遞歸的可能鄰節點為n個，其中n為＜G＞重節點總數，因此時間復雜度為O (n3).多路徑信任聚合算法提出能夠解決了當存在多條信任鏈時的聚合問題，這一算法同樣可以用于求解多個節點對某一個節點的綜合推薦問題，第4節將進一步通過實驗給出多路徑信任聚合算法的分析.

4 對GSTC和MPTA算法的實驗分析

以圖3的拓撲結構圖為實驗配置模型，模擬構件Q1與Q2建立信任關系的過程，對于圖3中Q1搜索Q2的信任路徑所經過的所有可能的弧有:(f，2)，(g，f)，(B，g)，(c，B)，(1，k)，(k，w)，(k，c)，(k，n)，(w，c)，(n，w)，(m，c)，(w，m)，(n，m).基于統計學理論可以認為網絡中節點的信任狀況是服從正態分布的，即服從N(μ，σ2)的分布，因此，采用正態隨機數模擬上述所有弧的權值即節點間的置信度ν，實驗基于C++平臺分別實現了 RSTC算法、GSTC算法和MPTA算法，每次對所有弧的權值采用正態隨機數賦值，分別輸出單一信任鏈和多路徑信任聚合情況下節點Q1到Q2的置信度.實驗共模擬了100次，分別對 μ=0.95，σ2=0.005和 μ= 0.5，σ2=0.005兩種情況進行了實驗對比.

實驗結果分析如下:如圖4、5所示當μ=0.95，σ2=0.005，μ=0.5，σ2=0.005時，采用GSTC算法每次得到的置信度都是最大的，但從曲線的波動幅度不難看出GSTC算法抖動現象比RSTC算法的抖動現象明顯.如圖5所示，當網絡信任狀況較差時RSTC與GSTC曲線的波動幅度更大，這表明當網絡信任狀況較差時抖動會更加明顯.RSTC每次得到的信任鏈的置信度相對于GSTC較低.此外，RSTC與GSTC曲線的整體抖動性都比MPTA較大，顯然對于穩定性而言MPTA要優于RSTC和GSTC，這也是之所以采用MPTA信任聚合算法原因之一.雖然一次交互過程中選擇最優信任鏈并不一定意味著受益一定是最大的，但是如果每次都選擇一條最佳的信任路徑，那么從概率上講當交互次數n達到一定數量時，采用最優信任鏈獲到可靠服務的機會要遠大于采用隨機搜索算法.

圖4 當μ=0.95，σ2=0.005，n=100時的置信度Fig.4 Confidence curves when μ=0.95，σ2=0.005，n=100

如圖6、7所示為μ=0.95和0.5，方差σ2= 0.005的情況，虛線為非約束條件下MPTA的置信度變化曲線，所謂非約束條件即是指不對信任鏈的長度、抖動系數、和最低置信度閾值加以限制.實線為約束條件下的MPTA的置信度變化曲線，假定限制信任鏈的長度不超過0.5n，其中n為網絡構件節點總數，抖動系數最大為σ2.通過圖6、7可以看出，多路徑信任聚合過程中對于信任鏈的顯示約束能夠有效減少抖動現象，使網絡整體信任狀況趨于相對穩定，避免置信度較差的節點通過信任鏈傳播到整個網絡，能夠有效控制惡意信任鏈的傳播，同時減少了信任評估過程中的計算開銷和網絡負載.對于某些置信度較低的惡意信任鏈，如果不能及時的加以限制很可能導致對其他可信度較高的節點的評估出現較大偏差.

圖5 當μ=0.5，σ2=0.005，n=100時的置信度Fig.5 Confidence curves when=0.5，σ2=0.005，n=100

圖6 當μ=0.95，σ2=0.005，n=100時的置信度Fig.6 Confidence curves when μ=0.95，σ2=0.005，n=100

圖7 當μ=0.5，σ2=0.005，n=100時的置信度Fig.7 Confidence curves when μ=0.5，σ2=0.005，n=100

5 結束語

由于構件集群環境是一個涉及多層次、多粒度、錯綜交織的動態環境，在這種環境中信任關系的定義、推理和建立過程是一個極其復雜的過程，本文基于信念邏輯，給出了信任關系的形式化描述，對信任關系的建立過程進行了推演，對于信任鏈、多路徑信任聚合算法的提出有利于網構軟件信任機制的進一步深入研究.目前，對于多路徑、全路徑信任聚合方法的研究不多，解決多路徑、全路徑信任聚合問題的關鍵是尋找一種時間復雜度較低的多路徑搜索方法，本文尚有不足之處需要改進，比如對信任鏈上各節點的分析，對惡意節點的發現和預警、惡意信任鏈的傳播缺乏有效的應對機制，此外，對于存在環路的信任鏈的信任傳播過程中可能造成死鎖的情況沒有加以考慮.下一步工作將深入研究網構軟件信任系統的形式化、自動化驗證的方法，在此基礎上開展信任策略自動評估工作.

［1］YANG F Q.Thinking on the development of software engineering technology［J］.Journal of Software，2005，16(1):1－7.

［2］袁祿來，曾國蓀，王偉.基于Pi－演算的信任網絡形式化建模［J］.系統仿真學報，2008，20(1):57－61.

YUAN Lulai，ZENG Guosun，WANG Wei.Formal modeling of trust networks using Pi－calculus［J］.Journal of System Simulation，2008，20(1):57－61.

［3］LAMPSON B，ABADI M，BURROWS M，WOBBERE.Authentication in distributed systems:theory and practice［J］.ACM Transactions on Computer Systems，1992，10(4):265－310.

［4］BLAZE M，FEIGENBAUM J，LACY J.Decentralized trust management［C］//Proceedings of the IEEE Symposium on Security and Privacy.Oakland，1996:164－173.

［5］LI N，MITCHELL J C，WINSBOROUGH W H.Design of a role－based trust management framework［C］//Proceedings of the 2002 IEEE Symposium on Security and Privacy.Berkeley，2002:114－130.

［6］MOSES T.Trust management in the public key infrastructure［EB/OL］.［2002－06－03］.http://www.entrust.corn/resources/pdf/trustmodels.pdf.

［7］GRANDISON T，SLOMAN M.A survey of trust inInternet applications［J］.IEEE Communications Surveys，2000，4 (4):2－16.

［8］J?SANG A.The right type of trust for distributed systems［C］//Proceedings of the 1996 Workshop on New security Paradigms.San Diego，USA，1996:119－131.

［9］SIPSER M.Introduction to the theory of computation［M］.Boston:PWS Publishing Company，2008:136－145.

［10］FOMIN F V，GRANDONI F.A measure＆conquer approach for the analysis of exact algorithms［J］.Journal of the ACM，2009:56(5):25－27.