制造网格下基于域的信任管理研究

李 林，李陶深，葛志辉，廖其耀

（广西大学计算机与电子信息学院，广西南宁530004）

在计算机网络技术的高速发展和企业的区域化、全球化合作发展趋势推动下，利用网络技术服务制造企业在合作生产、资源调配、信息共享等方面是大势所趋。由于制造企业的地理环境具有分散性、独立性和随机性，采用局域网和城域网搭建的快速网络无法适应制造企业的资源共享和分工协作的需求，因此促使制造网格技术[1]的产生。制造网格以网格平台作为基础和支撑，采用面向服务模式为制造企业和个体提供各类需求服务，?支持服务之间以及企业之间的协同。制造网格继承了具有分布式异构平台提供的共享性、开放性和协同性等特点，同时也有其自己的特点，如规模庞大、专业分工精细、终端异构性复杂、数据流通量大、实时交互性强、安全需求高等。

安全问题是网络技术中一个重要且尚待解决的难题。当前主要的安全技术包括加密、数字签名、访问控制和信任管理等。网格系统不可避免地也存在信息安全隐患，而缺乏有效的安全机制将会限制制造网格技术的进一步发展。所以，研究制造网格环境下的信任管理具有十分重要的意义。

本文以制造网格中的机械零件CAD/CAM协作系统为研究对象，设计一种基于域划分的信任管理模型，以便为制造网格协同环境的机械加工提供安全保证。

1 制造网格CAD/CAM协作信任现状

1.1 制造网格的信任研究

目前，因为制造网格技术还处于初期发展阶段，其安全技术中在信任管理方面的研究相对较少。武汉理工大学胡叶发、陶飞等人提出了制造网格资源服务Trust-QoS评估模型[3]，给出了资源服务信任评估具体量化算法、信任值的实时动态更新算法。该模型在每一个MGrid虚拟组织 (Virtual organization，VO)中，将资源划分为9个自治的资源域(Resources domain，RD)，试图以此分类计算信任值。但该模型与实际企业合作项目中涉及到很多资源的协调合作（即一个项目合作可能包含多个资源子类）的情况很难适应。例如一个飞机引擎的合作设计不但要考虑人力资源，还要考虑设备资源及技术资源等方面，人们无法将该合作设计归并到某一个子资源类。同时该模型忽略了恶意行为惩罚问题，而一次恶意欺诈行为可能会导致企业生存问题。为了有效预防下次合作失败，在制造网格环境中增加恶意行为惩罚机制是十分必要的。

西北工业大学的张涛等人提出了一种面向制造网格环境的制造资源信誉度模型[4]。该模型把企业的信誉度分为资质信誉和服务信誉，以资质信誉作为初始信任值，然后通过事后合作的服务信誉互评来更新信任值。该模型结构简单，实现起来比较容易，同时考虑到了企业本身的资质，能够有效地评价出一定信任值。但该模型更新中没有看到推荐信任收集的过程，并且该模型也没有考虑到信任的时间衰减性和恶意行为惩罚等问题。

1.2 制造网格信任模型的分析

分析目前制造网格及信任机制的国内外研究现状，有关制造网格环境下信任管理研究主要考虑了以下方面的问题：

（1）制造网格环境中企业信任域的划分。制造企业在地理上分布比较广，异构性复杂，如何合理划分信任域关系到信任关系建立和信任值的存储。

（2）制造网格环境下角色级别的影响。在制造业合作过程中，企业的不同角色级别在合作的过程中信任度不同，如何根据不同的角色划分信任等级并合理使用到信任评价中是一个重要因素。

（3）制造网格环境下信任更新方式。信任更新是保证企业用户能及时得到最新的需求方信任值，还可以及时给出协作者公正的评价。它关系到以后协作的成败和协作者的积极性。

（4）制造网格环境下信任的时间衰减性和恶意行为惩罚等问题。如何反映信任具有随着时间的消逝而衰减的特性，及恶意行为对制造企业的影响等问题也是制造网格下协同制造不可缺少的因素。

2 制造网格下基于域的信任机制

本节介绍一种能实现企业间协同设计的基于域的信任管理机制，内容包括：域的划分、信任关系的建立、信任关系的形式化表示和信任更新等。

2.1 域的划分

根据在物理和逻辑上的不同，我们将域划分为地域和职能域。地域是按照企业所处的地理位置不同来区别；职能域则是指企业中可以根据行业不同来区别。这两种划分并不是并行的，即同一地域内存在不同的职能域，同一职能域内企业分布在不同地域。在机械制造CAD/CAM中，我们可以抽象出职能域-地域的二层信任域结构，如图4就是以零件设计为例作为一个父域，而分布在不同地域作为子域，建立的二层域结构。

图1 域结构图

2.2 信任关系的建立

制造网格环境下根据地域的差异和合作关系的不同主要可分为域内信任关系和域外信任关系两种。一般考虑到域内的信任关系一般会比域外的信任关系更高，因此我们在建立域内的信任关系建立不再考虑域间的推荐信任。域间的合作关系除了合作双方有直接信任关系外，在推荐信任方面还存在本域内的信任推荐和域间的信任推荐，其信任关系如图2所示。

图2 域内和域间信任关系图

若用aij表示i域中j的节点。图2(a)表示在某个域内节点存在的协作信任关系，其中“→”表示两个节点有直接信任关系。图2(b)表示域1、域2、域3等多个域间的协作信任关系。以域1内节点为例，其中a11到a12存在域内直接信任关系，a11到 a32，a11到 a23，a12到a23存在域间直接信任关系。

分析图2的信任关系，我们可以得到如图3表示的域内域间的信任数据组成结构。无论是域内信任值或域间信任值都包含两部分：直接信任和推荐信任。在域间推荐信任中，还包括经过域内节点推荐路径和域外节点推荐路径。

在现信任关系建立过程中，仅考虑直接信任和推荐信任是不够的，因为机械协作加工中参与人员的角色对信任关系也有影响（一般认为人员角色级别高的信任值相应较高，同时对合作过程的决策作用也比较大，相应对合作行为的责任也比较重，反之亦然）。再者，在制造业中对某个企业来说其他企业的生存空间是很难掌控的，如存在一定时间内因缺少某方面的生产合作而导致该方面生产能力下降或直接停止生产。为了更好地反映这一现象，在信任模型中应该具有反映信任随时间消逝而衰减的参数。最后，对于企业合作的一次失败可能会关系到企业的发展空间，为了尽量避免下次的失败，都要分析失败的原因，划分责任范围。在制造协作过程中，对于故意破坏行为应给予严重责罚，对于无意或无法避免的行为都应量情处理，为此在合作失败结束后的惩罚措施也是必然的需求。

图3 域内和域间信任值结构图

2.3 信任关系的公式化表示

通过以上对信任关系的建立，可归纳信任建模主要包括：域内直接信任(Vd)、域内推荐信任(Vr)、域间直接信任(Vd’)、域间推荐信任(Vr’)、角色级别函数(f(r))、时间衰减函数(g(t))及惩罚因子(p)。

假设企业总信任值为W，则W的计算公式为：

其中，α 和 β是权重参数，0≤α，β≤1,且 α+β=1，一般情况α≥β。信任值有两种选择情况：即域内信任值VD或域间信任值VE，计算公式为：

其中，λ、μ、λ'、μ'是权重参数，0≤λ，μ，λ'，μ'≤1，且 λ +μ =1，λ'+μ'=1，Vd，Vd'为域内和域间的直接信任值，Vr，Vr’为域内和域间的推荐信任值，g(t)为时间衰减函数。域内和域间的直接信任值是已知存在的值，而域内域间推荐信任值需要由多个直接信任值通过串联运算(用“〇”表示)或并联运算（用“⊙”表示）生成。

对于推荐信任的串联运算和并联运算，Dempster-Shafer[5]分别给出了求信任值的基本原则：

(1)信任衰减原则：如果节点A对节点B的信任值的大小为V(A，B)，节点B对节点C的信任值大小为V(B，C)，由此推断出A和C之间的信任关系值VB(A，C)=V(A，B)〇V(B，C)。这里 VB(A，C)≤ min(V(A，B)，V(B，C))。

(2)信任聚合原则：从节点A到节点D存在两条独立的推荐路径，这两条推荐路径分别给出了他们的信任值VB(A，D)和VC(A，D)，由此推断出A和D之间的信任关系值V(A，D)=VB(A，D)⊙VC(A，D)。这里 V(A,D)≥max(VB(A，D)，VC(A，D))，这是信任聚合原则认为节点被推荐的路径越多信任度越高。

从图2所示的信任关系图中我们可以分析在制造网格环境下推荐信任的情况：首先分析域内推荐信任Vr，可能存在多条独立推荐路径，每条路径经过一个或一个以上的推荐节点；还可能存在推荐的多条路径中有交叉的情况。如果把其中的直接信任值看做边权值，则整个推荐关系可以形成带有边权限的有向图G，如图2所示。

域内和域间的信任推荐过程除了权值参数的不同外，推理的过程是相同的，为此以图2(a)中域内推荐信任Vr的情况为例：若a11需要a14的推荐信任值，从中可以得到域内结构存在串联路径和并联路径。总推荐路径有四条，即：a11→a12→a13→a14，a11→a15→a13→a14，a11→a15→a14，a11→a16→a14

每一条路径都是串联路径，四条并行为并联路径。要想算出a14的综合推荐信任值，需要分别算出四条路径的推荐信任值，然后合成为唯一的综合推荐信任值。推荐信任值可以用如下公式求得：

该公式的思想是先对串联路径求积（∏），然后对并联路径求和（∑），这符合Dempster-Shafer原则。式中的xi为第i条串联路径的权重，它可以由各条串联路径的推荐信任值所占全部串联路径的推荐信任值总和的比例求得：

经过分析我们发现，在前三条的推荐路径中存在推荐节点交叉的情况，为了消弱单个节点在整体路径中比重，应从中去掉一些路径。这样，求各条串联路径的推荐信任值就转化成有向图中求一个节点到其他各节点的综合路径信任值。为了利用有向图查找方法，我们可以采取如下策略：

(1)对有向图采用广度优先遍历策略，直到查到一条抵达目的节点的路径；

(2)如果已经查找到目的节点还存在其他非目的节点，则采用直接舍弃策略；

(3)对已经遍历过的非目的节点，就不再查找它的邻接点。

如图2(a)中查询a11到a14的信任推荐路径，我们从a11节点出发按照广度优先遍历查找到a12，a15，a16；然后由a12查找到a13；由 a15查找到 a13，a14，终止查找（因为 a12已经查找过 a13，根据策略把a15→a13路径舍弃）；由a16查找到a14，终止查找；最后由a13查找到a14，终止查找。经过这些过程就可以查找出所有的不带重复节点推荐路径，然后即可参加计算。

综合上述的过程，我们可以得到某域内协作一个节点的最终信任值W的计算公式：

其中，Vd为两个节点间的直接信任值，g(t)为时间衰减函数，f(r)为角色级别函数，p为惩罚因子，α，β，λ，μ是权重参数，0≤α，β，λ，μ≤1，且 α + β=1，λ + μ=1。α，λ 应通过多次实验综合得到，而p为合作需求方主观给出。

2.4 信任值更新策略

为了能及时了解制造网格协作方的最新信任情况，在经过一段时间或一次及多次合作后都应有新的信任评价。如何把最新信任评价值反映到下次合作前的信任评价中，这就是信任更新机制需要解决的问题。目前更新的策略主要有三种方法：第一种是时间驱动更新，一般是在固定周期时间内更新，这种方法有一定的滞后性；第二种是新信任值生成触发更新，即在一次合作完成进行相互信任评价后立即更新信任值，这种方法可能会增加网络或系统负担；第三种是用户需求触发更新，是在用户的信任需求得不到满足时触发信任值更新，这种方法不适用于大型网络环境。本设计方案考虑到网络资源的负载，采用时间触发机制。主要的思想是：当发现有新的信任评估时，和以前的信任值进行比例合成，同时也考虑到时间的衰减，如果没有新的信任更新值则φ=0，γ=1。更新的公式如下：

利用W'更新原有表格中W的值，然后保存在各个信任关系节点表，这就完成了更新的工作。

3 结束语

制造网格下的CAD/CAM协作是制造企业在全球化经济发展的必然趋势。信任管理作为网格安全管理的有效途径发展前景十分广阔。本文采用域划分的技术，构建机械协同制造环境下的信任管理机制，计算出资源节点的信任值。通过角色级别的加入能够实时反映出人员角色对信任的影响；采用加入时间衰减函数有效地体现信任随时间流逝而衰减的特性；增加了恶意惩罚因子，以便可以及时对恶意站点的信任度进行降低，保证了下次合作的成功率。我们下一步的工作是实现该模型的程序设计，并在实验平台进行修正，确定出中间的参数因子。

[1]范玉顺.制造网格的概念与系统体系结构[J].航空制造技术，2005，（l0）：42-45.

[2]蔡红霞.制造网格安全技术的研究与实现[D].上海：上海大学，2007.

[3]胡业发，陶 飞，周祖德.制造网格资源服务Trust-QoS评估及其应用[J].机 械 工 程 学 报，2007，(12)：23.

[4]张 涛，何岩利，邓磊，吴 健.制造网格环境下的制造资源信誉度模型研究[J].计算机工程与应用,2009,(1)：45.

[5]D.H.McKnight&N.L.Chervany(1996).The Meaning of Trust.Technical Report MISRC Working Paper Series96-04,University of Minnesota.Management InformationSystems Research Center.

[6]F Azzedin&Muthucuman Maheswaran(2002).Evolving and Managing Trust in Grid Computing Systems In:Canadian Comference on Electrical and Computer Engieering.1424-1429.IEEE ComputerSociety.Available

[7]A.Josang,T.Grandison,,Research Proposals on Trust Modelling,Thursday,September 19,2002.

[8]唐 文，陈 钟.基于模糊集合理论的主观信任管理模型研究[J].软件学报，2003，14(8):1401-1408.