1.2 相關技術及研究現狀

1.2.1 云計算的可信度量

可信計算技術，將硬件安全芯片嵌入云平臺，嘗試建立一個包含信任根的可信云環境，成為研究云安全的一個發展趨勢。

Terra[10]是最早把虛擬化技術與可信計算技術相結合的，提出了一種基于可信計算技術的可信虛擬機監視器（Trust Virtual Monitor Machine，TVMM）模型。該模型提供了“OpenBox”和“CloseBox”兩個虛擬機，分別執行普通安全等級和敏感安全等級的應用，達到不同安全等級的應用共同運行的效果。對于“CloseBox”虛擬機平臺，Terra采用安全啟動與安全認證等方式保證執行的安全性，另外，采用TVMM嚴格控制虛擬機間的數據通信。BERGER等[11]提出了一種基于Xen虛擬機的虛擬可信平臺模塊（virtual Trusted Platform Module，vTPM）模型。這種模型在Terra的基礎上開辟了多個虛擬機單元，每個虛擬機單元都有一個vTPM，并由vTPM控制虛擬機間的數據通信。物理TPM通過證書鏈對vTPM進行控制。基于Xen的vTPM模型較Terra的TVMM模型，安全性能更強、資源利用率更高。BERGER等[12]在原vTPM架構基礎上進行改進，提出了一種TVDc（Trusted Virtual Data center）架構，定義了虛擬機可以進行通信的實體和允許訪問的資源。TVDc架構相比vTPM架構增加了一個軟件訪問控制模塊（Access Control Module，ACM）。虛擬機間的數據通信和資源的共享，以及虛擬機對物理資源的訪問均由ACM控制。

此外，PEARSON等[13]強調使用基于物理硬件的密碼學技術與TPM的抗攻擊特性相結合的方法，保護云平臺數據加密密鑰，同時將產生的密鑰綁定于指定云平臺，使該密鑰在其他平臺上失效，能夠達到保護云平臺數據機密性的目的。NARUCHITPARAMES等[14]通過TPM、vTPM及vTPM Manager之間的協調配合，保證云計算平臺中數據、進程和系統的完整性，并通過數據遷移和遠程驗證，確保數據在其他云計算平臺上可用。YANG等[15]提出了一個基于TPM的云計算平臺存儲模型，該模型先讓對稱密鑰對平臺數據進行加密，然后將對稱密鑰利用非對稱密鑰進行加密，最后通過TPM保證非對稱密鑰的安全性，采用這種方法實現了密鑰存儲、備份和共享的有效管理。

KRAUTHEIM等[16]設計了—種針對云平臺的PVI（Private Virtual Infrastructure）架構，在該架構中云服務提供商與用戶會共享安全信息和安全策略，同時需要共同承擔安全相關的風險和責任，以這樣一種利益捆綁的方式來減少云計算平臺帶來的威脅。在PVI架構中，用戶負責管理和控制數據中心，用戶承擔數據中心的安全責任；云服務提供商不僅對云平臺有著管理權和控制權，還需要提供相應的計算資源，云服務提供商承擔云平臺的安全責任。在PVI的研究基礎上，KRAUTHEIM等[17]又提出了一種可信虛擬環境模型（Trusted Virtual Environment Module，TVEM）。TVEM在對現有TPM虛擬化的研究基礎上，定義了一種可信環境密鑰和創建雙重可信根的方法，不僅考慮了用戶和云服務提供商兩方的可信性，還實現了云計算平臺可信與虛擬環境可信的獨立。這兩種模型基于TPM來保證云計算平臺和虛擬環境的可信，但未考慮虛擬機自身的安全問題，一旦虛擬機受到破壞或攻擊，仍可能導致嚴重的安全問題。

SANTOS等[18]設計了一種IaaS云模式的可信云平臺（Trusted Cloud Computing Platform，TCCP）。TCCP設計的目的是開辟一個封閉的運行環境給用戶的虛擬機，防止用戶虛擬機的內容被云服務提供商的特權管理員篡改，保證用戶虛擬機的安全；在啟動虛擬機前，用戶可以通過遠程認證云服務提供商的方式來判斷服務的可信性。TCCP提供了一種可信云計算平臺的研究思路，從宏觀上解決了IaaS的可信問題，但它也有一定的局限性。因為云計算平臺上不同節點擔任的角色不同，執行的任務也不盡相同，TCCP將云平臺上所有的節點同一化，進行同樣的可信認證有失妥當。在SANTOS的研究基礎上，KHAN等[19]利用可信計算技術設計并部署了一個Eucalyptus，這個Eucalyptus利用TPM的遠程證明功能，并引入可信完整性驗證作為可信第三方發揮CA證書的作用，確保在物理節點上啟動用戶的虛擬機時已通過完整性驗證。

MCCUNE等[20]提出了一種可信安全執行架構（Trusted Security Execution Architecture，TSEA），在完全隔離的硬件條件下運行代碼以達到保證其可信的目的；指出利用向應用程序的TCB添加代碼的方式來為敏感代碼數據通信建立安全通路，同時提供細粒度的遠程證明，這樣開發者不需要擔心底層的安全性，只需要關注自身代碼的安全性即可。Flicker[21]對這種思想進行了實現，亮點之處在于將可信執行的TCB最小化了，但是由于頻繁地調用動態可信根和較高的硬件要求，給系統造成了較大的開銷負擔。TrustVisor[22]從系統開銷和系統性能兩方面對Flicker的設計進行了改進，與Flicker相比，TrustVisor系統的開銷非常小，系統性能也得到了極大的改善。

Certicloud[23]從用戶的角度出發，來定義和保護用戶虛擬機的可信，針對基礎設施云平臺的安全性和完整性問題，利用TPM實現對遠程物理系統的完整性驗證，完成由用戶定義的對稱密鑰的分發，允許用戶按虛擬可信的方式檢測虛擬機是否有異常行為。JOSHUA等[24]設計了CV（Cloud Verifier）服務，為用戶提供完整性證據，來驗證基礎設施云平臺虛擬機應用的完整性。CV實現了整個云計算平臺的可信驗證，與此同時系統的驗證開銷也得到了有效的緩解，為規避系統的瓶頸問題提供了不小的幫助。RepCloud[25]構建了一個云平臺驗證過程管理系統，該系統能夠有效地將云計算平臺分散的驗證過程進行統一管理，把云計算平臺看作一個P2P的網絡類型，評價其中的每一個節點的可信性，并計算出每個節點的可信置信度結果，用來描述每個節點的可信程度。另外，云計算平臺的每個節點還可以依靠連接形式相互驗證并計算可信置信度。

在國內，EMC中國實驗室與清華大學、復旦大學、武漢大學和華中科技大學等多所國內頂尖高校合作，實施了一個可信云計算平臺基礎設施重大項目，該研究成果將可信計算技術與虛擬化技術相結合，來增強云計算平臺的安全性，以虛擬私有云計算的服務形式，在應用程序的層面上為用戶提供安全隔離，確保用戶代碼的安全性及數據的完整性。北京交通大學國防技術國家重點實驗室設計的MTCEM（Multitenancy Trusted Computing Environment Model）[26]指出應該將用戶的安全責任與云服務提供商的安全責任進行細膩劃分，指明清晰的責任邊界來約束二者的行為。該模型能夠很好地保證云計算平臺從物理層到虛擬層的可信，有一定的參考作用，但同時也為用戶增添了不少麻煩，通過劃分安全邊界的方式，將虛擬機的可信劃歸給了用戶，提高了用戶的使用門檻。陳文智等[27]利用虛擬化技術來提高嵌入式設備的安全特性，從而避免了基于硬件方法帶來的生產成本高、設備復雜度高和靈活性差的缺點，同時降低了實施風險，節約了時間成本。

1.2.2 云計算環境下信任鏈動態維護與驗證

（1）云計算環境下信任鏈動態維護研究現狀

隨著云計算的發展與廣泛應用，云計算安全越來越受到業界的關注。云計算借助虛擬化技術實現對底層硬件的封裝，以虛擬機的形式為用戶提供服務，這樣虛擬機就成了入侵者的攻擊目標。

為了向用戶提供可信服務，保障各虛擬機是安全運行、可控的。可信計算為云環境中虛擬機的安全保障提供了新思路。在技術層面，可信計算提出了在系統中構建信任根和信任鏈的基本思路，將系統的安全性置于管理和技術相結合的基礎之上，從軟硬件底層做起，綜合采取措施，能夠有效解決信息系統安全問題。所以，可信計算應用到云環境下成了研究熱點[28]。

SANTOS等[29]最先討論了可信云計算的思路，并且制定了滿足信任需求的云平臺TCCP，通過逐級度量的方式保證虛擬機的安全。WEI等[30]討論了基于授權的可信計算模型，其信任的建立由信任根傳遞所有虛擬組件，這樣就實現了對私有模型的安全管理。高陸百慧[31]結合Xen虛擬機技術和TPM（Trusted Platform Module）虛擬化技術，建立以TPM芯片為可信根的云節點平臺，以此為基礎研究信任鏈的構建和驗證。

對這些模型的研究中，采取的思路大都是將TCG信任鏈構建技術應用到云環境中，但TCG是一種靜態度量方法，僅對程序代碼和數據進行完整性度量。這種信任鏈靜態度量方法雖然簡單可行，但是并不適用于云計算這種多任務、多租戶的動態環境中。

虛擬機并不是孤立存在的，云提供商為了充分利用硬件資源，不同的客戶虛擬機很可能會被調配到同一個物理服務器，也就是虛擬機同駐（Co-Residency）。美國加州大學圣迭戈分校的RISTENPART等[32]在2009年首次指出了云計算環境中虛擬機同駐安全問題。近年來，人們研究發現多種同駐安全威脅[33]，包括資源干擾、隱蔽通道/側信道、拒絕服務與虛擬機負載監聽等，虛擬機動態可信性受到巨大挑戰。

因此，要使信任有效傳遞，除了對客戶虛擬機進行完整性度量，保障其不被篡改外，還需要相應的信任鏈維護措施使云環境的可信性維持下去。羅東俊提出基于BIBA-BLP強制訪問控制的模型構建一個平臺動態完整性保護框架，用特定安全策略使平臺虛擬域之間的信息時刻在非傳遞無干擾安全策略控制下傳遞。武少杰[34]在2012年從云基礎設施安全角度出發，提出一種基于非傳遞無干擾的可信模型和動態完整性保護TCTVM模型。JIANG[35]建議在虛擬機監視器中設計一個驗證模塊IAMV，驗證輸入者及輸入數據的完整性，保證了虛擬機之間在傳輸數據或指令時的動態完整性，但是該模型沒有對虛擬機中的惡意軟件進行動態監測，而且無法消除虛擬機在運行期間可能存在的對其他虛擬機的干擾。

（2）云計算環境下信任鏈動態驗證的研究現狀

為了向云用戶證明提供服務的基礎設施云平臺的可信性，需要對信任鏈進行動態驗證，將采集的可信證據反饋給云用戶。如果由云用戶直接驗證云平臺可信性，則云平臺采集可信證據，并向用戶提供信任鏈信息。這種用戶直接驗證云平臺配置的方式，其驗證過程難免帶來暴露物理服務或者虛擬機軟硬件配置信息、IP地址等風險。如果由云平臺自己管理信任鏈驗證過程中涉及的各類證書，那么云用戶難以信任平臺的可信性。因此，需要引入可信第三方，避免單方面可信驗證的問題，即由可信的第三方驗證云平臺信任鏈，并向用戶證明基礎設施云的可信性。

2009年SANTOS首次提出引入可信第三方。為了防止虛擬機被管理員窺探或控制，由可信第三方代替云用戶驗證基礎設施云配置信息的完整性，降低云平臺中敏感數據泄露的概率。2011年，KHAN等[36]通過可信第三方驗證云平臺的物理設施可信后，才允許虛擬機在其上啟動。這兩種機制僅在云平臺啟動時提供可信驗證。

針對可信第三方驗證的不足，王小亮考慮現有研究成果中的驗證協議只是針對虛擬機生命周期中的個別時刻，而云平臺可信性是動態變化的，提出虛擬機整個生命周期的驗證協議。RepCloud從另一個角度提出解決方案，借助其他參考機制來判斷可信性，即在利用可信計算驗證服務器的基礎上，借鑒信譽系統的評價和匯聚機制，通過將驗證結果設為介于0和1的可信置信度區間，來綜合評估宿主服務器以及相鄰服務器的信任鏈。梁元[37]在基于屬性的遠程證明的基礎上，增加了基于平臺身份的認證，通過雙層認證，來增加用戶平臺的可信性。

增加可信第三方驗證機制，在一定程度上克服了云平臺信息泄露的問題，提高了安全性，但也要充分考慮云平臺的特點，解決云環境下信任鏈驗證機制的靜態性帶來的不足。

在信任鏈的動態維護和動態驗證方面還存在較多的挑戰，可通過增加審計模塊并結合可信計算，以動態維護和動態驗證信任鏈的方法來保證云環境的實時可信性。在相關研究的基礎上，改進云計算環境中信任傳遞模型IAMV和傳統信任鏈靜態驗證機制，本書進行以下兩方面的研究：（1）信任鏈的動態維護，針對靜態信任鏈不足，用動態策略保證信任鏈的實時可信；（2）信任鏈的動態驗證，利用可信第三方平臺驗證和審計信任鏈，并向用戶提供信任鏈實時的列表和狀態信息。

1.2.3 云計算訪問控制與無干擾理論

（1）云計算中的訪問控制

訪問控制起源于20世紀70年代，其基本概念是由LAMPSON提出的，目標是防止非法用戶訪問資源、保證合法用戶使用資源和防止用戶非法操作[38]。訪問控制是保證系統安全的核心技術[39-40]，該技術自提出以來在國內外研究成果眾多，但傳統的訪問控制模型并不能滿足云計算環境開放性、共享性的要求。相比傳統訪問控制，云計算環境下的訪問控制體系更為復雜，不僅包括從網絡基礎環境設施到用戶（租戶）這個自底向上的主體模塊，還包含云計算監控與審計以及可信云平臺計算模塊，如圖1-1所示。

對云計算中訪問控制模型的研究處于蓬勃發展階段，由于云環境下訪問控制要求的功能不盡相同，因此對其的研究方法也有所差別。目前，針對云計算訪問控制的研究方法主要包括：基于任務的訪問控制模型（Task-Based Access Control，TBAC）、基于角色的訪問控制模型（Role-Based Access Control，RBAC）、基于UCON的訪問控制模型、基于BLP的訪問控制模型和基于屬性的訪問控制模型（Attribute-Based Access Control，ABAC）等。THOMAS等[41]提出了基于任務的動態多點訪問控制模型（TBAC），從任務和授權管理的角度對安全模型與安全機制予以建立和實現。趙明斌等[42]在分析了云計算環境虛擬化和彈性化的特性后，提出一種基于角色的云計算訪問控制模型。ANASTASI等[43]通過持續監測和重新評估用戶對資源的權限，利用UCON概念建立了云聯邦的原型。周向軍[44]則根據信息安全等級保護技術的保密性和完整性要求，在BLP模型和Biba模型的基礎上構建了一個形式化描述的混合安全模型。楊庚等[45]提出了一種基于屬性的訪問控制方法（ABAC），該方法在提高系統計算效率的同時降低了單一權威授權的負擔，增強了云計算環境的安全性。

（2）無干擾理論

1982年GOGEUN和MESEGUER最早提出無干擾思想[46]。他們通過用戶、狀態、命令、輸出等元素建立了一個系統模型，并給出了無干擾定義：在安全系統中，一個用戶不能發現任何不由他所支配的其他用戶的操作。HAIGH和YOUNG則對無干擾進行了新的應用，HAIGH等[47]首先提出用無干擾的語義對訪問控制以及MLS進行解釋，并研究了其在SAT系統中的實現。1992年，RUSHBY[48]提出了基于狀態機的無干擾模型，在“域”概念的基礎上給出安全策略中傳遞無干擾和非傳遞無干擾的定義，并確認“參考監視器假設”在實現健全的訪問控制中發揮的關鍵作用。

定義1.1　在無干擾模型中，系統包含7個元素。

① 系統狀態集合S，其中s, t等小寫字母表示狀態。初始狀態s0∈S。

② 系統安全域（即模型中的虛擬機）集合D。

③ 系統操作集合A，包括系統執行的輸入、輸出、命令、指令等。具體符號表示見表1-1。

④ 系統輸出集合O。

⑤ 系統進程集合P，其中p表示進程。

⑥ 系統函數F={step, output, run, proc, purge}，5個子函數組成如下。

·狀態單步轉移函數step:S×A→S，表示系統在操作A的作用下由一個狀態向另一個狀態轉換。

·系統輸出函數output:S×A→O，表示狀態S和操作A同時決定輸出O。

·狀態多步轉移函數run:S×A*→S，其中A*為操作序列，該式表示在狀態S下執行操作序列A*后的狀態轉換。同時，該函數滿足和。

·映射函數proc表示動作與進程間的映射A→P，其中proc(a)=p表示動作a由進程p發出。

·清除函數purge:A*×P→A*，滿足

⑦ 定義進程間安全策略，其中p,q∈P，表示p可以干擾q。其補關系為，表示無干擾。

定義1.2　一個系統M對于安全策略是安全的，如果下式成立。

定義1.3　系統的初始狀態s0=(p, a)，若其中的p是可信進程，a是合法操作，則稱s0為系統的可信根。

可信根是一種無條件可信，它的可信性是由系統設計者通過密碼技術和物理方法實現的而不能從進程可信和動作序列中推出。

定理1　對于安全策略和系統M，如果滿足輸出一致性、單步一致性、局部遵從性，那么，系統M對于安全策略是安全的。其中，3個性質的具體內容如下。

①輸出一致性，即

②單步一致性，即

③局部遵從性，即

設進程p滿足上述性質，要證明系統M對于安全策略是安全的，則先證明式（1-5）成立。

式（1-5）中α代表的是一個操作序列，長度可以采用數學歸納法對其進行證明。

當α的長度為0，即α=Λ時，式（1-5）成立。若α的長度不為0，則考慮操作序列，則式（1-5）左邊有

對式（1-5）右邊的，分兩種情況討論。

第一種情況如下。

proc（a）對p無干擾，即。由purge函數可知

由于進程p局部服從無干擾屬性，即

根據等價關系。

根據歸納假設有

再根據式（1-6）、式（1-7）可得

第二種情況如下。

Proc(a)對p存在干擾，即

由purge函數可知

由于進程p滿足單步一致性，即

根據歸納假設有

再根據式（1-6）、式（1-3）可得

綜上所述，條件①在時成立。若令s=t=s0，則由式（1-5）可得

由上述歸納總結可知，進程p滿足定理1中的條件①，所以系統M對于安全策略是安全的。

根據以上無干擾的相關定義與定理可知，對于系統而言，只要確保進程間的通信是無干擾的，就可以說明整個系統是安全的。RUSHBY的傳遞無干擾模型成功解釋了BLP模型和Biba模型并驗證了多級安全系統的安全策略[49-50]。因此，可以將該思想應用到云計算環境中。對于云計算環境而言，為了確保整個系統環境的安全性，可以將這個復雜的系統進行層次劃分，并對系統中的各層進行安全等級劃分；根據劃分的層次與設定的安全等級分析進程間的通信，若在程序通信的過程中，云系統中各層之間的通信是無干擾的，則說明整個云系統是安全的。

1.2.4 云服務質量評價

（1）QoS模型

基于QoS屬性的服務評價方法是現今服務評價的主要手段，該類方法通過確定QoS評價指標集來建立服務評價模型，為服務提供多樣化的非功能屬性描述。所以，如何對云服務QoS屬性建模以及如何選取各個屬性下的測量指標是基于QoS對云服務進行評價之前需要考慮的關鍵問題，更是云用戶選擇云服務的重要依據。無論是在Web服務評價領域還是云服務評價領域，國內外一些學者從不同角度對服務質量屬性進行了建模研究。

① Web服務QoS模型

Web服務（Web Services，WS）是采用面向服務架構（Service-Oriented Architecture，SOA）的分布式計算技術[51]，是通過Internet實現遠程訪問并獲取資源這一類服務的總稱。Web服務建立在XML標準上，具有低耦合性、高互操作性、高可重用性、編程語言和平臺獨立性等特性。Microsoft 對其定義為[52]：Web服務是用于為其他應用或者服務進行數據傳輸的邏輯單元，在Internet端到端之間實現互操作性，Web服務通過標準Web服務描述語言（Web Services Description Language，WSDL）對所提供的服務進行功能描述，然后將描述發布在獨立的第三方平臺通用描述、發現與集成服務（Universal Description，Discovery and Integration，UDDI）注冊中心中，用戶可以通過交換簡單對象訪問協議（Simple Object Access Protocol，SOAP）消息來發現公開的Web服務并與之交互。

目前，各個組織和學術界研究者根據對Web服務的不同理解，從多個角度定義了一系列Web服務QoS屬性并對QoS屬性進行建模，建立了各類Web服務QoS模型，見表1-2，表中忽略了各個質量屬性的測量指標。通過分析表1-2，可以發現Web服務的通用QoS模型主要包括服務安全、可用性、可靠性、服務價格以及信譽度等質量屬性。

②云服務QoS模型

在云服務評價領域，國內外諸多學者對QoS屬性建模同樣開展了大量有意義的工作，主要從參照Web服務通用QoS模型、結合云服務特點、針對具體云服務類型、不同應用領域以及服務質量保障等多個角度進行云服務QoS建模研究。

王澤[59]在Web服務通用QoS模型基礎上進行改進，建立包括云服務使用周期、可擴展性、實用性、安全性、穩定性、服務性能等質量屬性在內的云服務QoS模型，并基于QoS模型結合歷史數據特征修正局部最佳評價結果，重點評價云服務實時質量數據。ABDO等[60]針對云計算移動服務進行QoS屬性建模，建立了包括服務價格、服務特性、服務性能的3維云服務QoS模型，各個質量屬性下包括聲譽度、價格、可用性、響應時間、可擴展性、資源利用率等12個測量指標。HEYDARI等[61]主要考慮了云用戶所處特定領域對服務性能的需求，建立的云服務QoS模型包括可靠性、靈敏性、易用性、安全等級、響應時間等質量屬性以及相應的若干測量指標。ZHANG等[62]從云服務質量保障角度建立了包括云服務安全性、可靠性、正確性、資源利用率、服務價格等質量屬性在內的5維云服務QoS模型，旨在保障云服務商提供高質量云服務。

（2）云服務評價研究

云服務評價是服務選擇的重要前提，目前國內外學者在云服務評價領域已經開展了大量研究，這些研究主要集中在根據云服務QoS屬性建立服務質量模型，并從不同角度提出多種云服務評價方法。

①參照Web服務評價

HAN等[63]在Web服務QoS基礎上考慮到云服務商提供不同的虛擬機性能，在建立的云服務推薦系統中引入協同過濾算法，幫助云用戶根據自身需求對云服務商進行排序選擇。WANG等[64]認為用于評價面向SOA的Web服務評價選擇方法在云服務評價領域同樣適用，基于Web服務通用QoS模型對云服務質量屬性進行建模從而對云服務評價排序。CHOI等[65]認為Web服務質量和云服務質量在一定程度上具有相關性并指出了二者之間存在的聯系，然后在通用質量模型的基礎上分析云服務每個質量屬性的影響因素構建云服務QoS評價模型，對云服務進行綜合評估。鮑冬梅[66]將SOA的思想應用到服務質量測量中，基于傳統Web服務常用的服務質量測量技術和評估方法，采用分布式技術建立云資源質量測量框架，實現對云服務質量的測量與評估。

②結合云服務特點評價

孫天昊等[67]考慮到云服務質量歷史數據的動態變化性，在基于云服務質量歷史數據的評價算法[68]上進行了改進，使用ARIM時間序列預測模型對原QoS數據預測并結合舊質量數據集形成新的數據集，在云服務質量評價中充分發揮了服務質量歷史數據的動態變化性。蔣冰婷等[69]提出一種基于時間感知排序對云服務質量進行預測的方法，將特定云用戶檢測服務的排序作為基于服務質量排序相似度的預測，排序相似度通過分時段按權計算，從而對云服務QoS排序進行預測。周超等[70]在云服務QoS評價問題中引入量子遺傳算法，利用量子操作和量子編碼的特性對云服務質量進行量化評價，量子遺傳算法的引進為云服務質量評價提供了一種新思路。CHEJERLA等[71]將專家意見和云服務的特點相結合，建立了包括安全屬性、服務價格、聲譽度等在內的云服務QoS評價模型，并通過AHP法確定評價指標權重，最后結合SaaS服務模式的云服務特點進行了實例驗證。

③多屬性決策評價

云服務質量評價本質上屬于多屬性決策問題，所以很多學者考慮使用一些常用的多屬性決策方法，如逼近理想解排序法（Technique for Order Preference by Similarity to Ideal Solution，TOPSIS）、偏好順序結構評估法（Preference Ranking Organization Methods for Enrichment Evaluations，PROMETHEE）、優序關系法（ELimination Et Choix Traduisant la REalité，ELECTRE）、層次分析法（The Analytic Hierarchy Process，AHP）等，對云服務進行質量評價。UPADHYAY[72]提出一種基于QoS的云服務評價框架，該框架使用TOPSIS評價方法對候選云服務進行評價排序，并通過實例驗證了TOPSIS在云服務評價中的有效性。趙卓[73]提出一個基于QoS的云服務二級評價模型，該模型在帕累托優化的基礎上引入PROMETHEE方法得到Top-k帕累托最優解。李小林和張力娜[74]在云服務評價中引入ELECTRE排序方法，對云服務質量屬性進行描述，通過建立矛盾性矩陣和一致性矩陣計算各個云服務的優先級別關系，從而得到服務評價排序結果。陳衛衛等[75]將模糊數學和AHP法相結合對云服務質量進行評估，構建包括服務價格、安全性、聲譽度、服務性能等在內的云服務QoS指標體系，利用自然語言、布爾類型、實數類型異構數據描述評價指標，使用AHP法對云服務質量進行量化評價。

（3）TOPSIS評價方法研究

云服務評價實際上是多屬性決策問題，多屬性決策的本質是利用已有的方案信息選擇特定的評價算法對一組或幾組候選方案進行評價排序。其中，TOPSIS方法是典型的多屬性決策方法，該方法是由HWANG和YOON在1981年提出的[76]，主要思想是根據各個待評價方案到理想化目標的相對貼近度，對有限目標進行相對優劣排序，其中理想化目標包含兩個概念：正理想解（Positive-Ideal Solution）和負理想解（Negative-Ideal Solution）。正理想解是相對最優解，它表示各個評價指標都達到了待評價方案在該指標下的最優值；負理想解則是相對最劣解，它表示各個評價指標都達到了待評價方案在該指標下的最劣值。

TOPSIS方法具有計算方便、易于理解、應用廣泛等特點，該方法自提出后，就廣受國內外社會、經濟、工程等各個領域學者的青睞。但該方法在具體應用時也存在一定的局限性，如評價指標的權重由專家根據經驗直接賦值導致主觀性太強以及當指標之間存在線性相關時歐幾里得距離失效等，另一點不足是在AHP、ELECTRE、PROMETHEE等經典多屬性決策方法普遍存在的逆序現象。目前為止，國內外諸多專家學者對這些不足進行了不斷的改進。

①評價指標賦權方式的改進

針對評價指標權重無法準確定量且指標較為模糊的決策問題，王應明等[77]提出將前景理論與TOPSIS相結合的方法，使用模糊猶豫熵理論計算評價指標權重，引入了決策者的風險心理因素，用前景價值函數計算收益損失比代替相對貼近度對候選方案進行排序，從而使決策結果更符合決策者意圖。KUMAR等[78]使用熵值法計算評價指標的權重來減少決策過程中主觀性的影響，但卻忽略了決策者的個人偏好。TORFI等[79]提出將AHP與TOPSIS相結合進行改進，使用AHP法計算各個評價指標權重，AHP法是基于主觀意愿的權重賦值法，評價結果仍然會存在主觀性太強的問題。張欣等[80]采用熵值、專家打分、標準離差法融合計算評價指標主客觀權重，調整個性偏好與客觀分析下的權值，但在如何融合專家群的意見和客觀權值上還有待進一步完善和改進。

②理想化目標距離計算方式的拓展

張目等[81]將正理想解與負理想解看作確定不確定系統中相互對立的集合，考察候選方案與正負理想解之間的聯系度，使用聯系向量距離替代歐幾里得距離計算各個方案的貼近度對方案進行優劣排序。王先甲等[82]針對TOPSIS應用評價指標間存在相關性導致歐幾里得距離失效的問題，基于馬哈拉譜比斯距離（簡稱馬氏距離）具有消除變量之間相關性的特性，提出使用馬氏距離代替歐幾里得距離，計算各個方案相對貼近度。KIM等[83]使用灰色關聯度對TOPSIS進行改進，利用熵值法計算指標權重，結合歐幾里得距離和灰色關聯度計算相對貼近度進行方案的優劣排序。

③逆序問題的解決

李艷凱等[84]提出使用參照標準對正負理想解方案的確定進行改進，解決了由于正負理想解的變動導致TOPSIS產生的逆序問題，但忽略了標準化法對指標無量綱化處理導致決策矩陣變化同樣可能導致逆序的問題。BROUMI[85]對TOPSIS進行了拓展，使用閔可夫斯基距離對歐幾里得距離進行改進，閔可夫斯基距離不是一種距離而是一組距離的定義，隨著調節參數p的變化（當p=1時，就是曼哈頓距離；當p=2時，就是歐幾里得距離；當p→∞時，就是切比雪夫距離）動態計算各個方案到正負理想解的距離以及各個方案的相對貼近度，但沒有考慮各個分量的分布（期望、方差等）可能是不同的。

綜上所述，目前對云服務評價的研究工作主要集中在兩方面：一方面基于傳統的Web服務評價；另一方面是結合云服務特有質量屬性來開展工作。雖然已有的研究一定程度上可以完成對云服務的評價，但是仍然存在以下3點不足。

·云服務質量評價指標的選取缺乏科學性、合理性、全面性，對評價指標的參數化測量不夠精確，且已有研究針對不同類型的云服務評價問題多數根據主觀判斷選取相適應的評價指標，缺乏完善的指標篩選機制。

·諸多研究未能充分結合云服務特點構建云服務QoS模型，大部分云服務評價只是籠統地套用Web服務QoS模型，忽略了不同應用場景下云服務特點以及用戶偏好，因此使云服務評價缺乏針對性。

·在TOPSIS評價方法與具體領域相結合時，現有研究更多關注指標賦權對評價結果產生的影響，對TOPSIS可能帶來的逆序現象關注較少，尚未提出相對有效的方法解決逆序問題。