OC-Trust
Überblick
Ziel der von der DFG geförderten Forschergruppe OC-Trust war es, die Vertrauenswürdigkeit von Organic Computing Systemen zu verbessern, um so ihren Einsatz in offenen, heterogenen, sicherheitskritischen und nutzerzentrierten Szenarien zu ermöglichen. Weiterhin sollte untersucht werden, inwieweit Trust als konstitutives Element von technischen Systemen zur Verbesserung ihrer Robustheit und Effizienz beitragen kann. Dazu wurden Methoden, Modelle, Algorithmen und Benutzerschnittstellen entwickelt. Diese Techniken erlauben, Vertrauen beim Entwurf der Systeme zu berücksichtigen und diese auf ihre Vertrauenswürdigkeit hin zu untersuchen. Außerdem ermöglichen sie, Vertrauen zur Laufzeit zu messen und die Systeme in Bezug auf verschiedene Vertrauensaspekte anzupassen.
Beschreibung
An der Forschergruppe waren fünf Teams aus Augsburg und Hannover beteiligt. Sprecher der Forschergruppe ist Prof. Dr. Wolfgang Reif von der Universität Augsburg. Die folgenden Teams arbeiteten in der Forschergruppe zusammen:
-
Formal Analysis and Software Architectures for Trustworthy Organic Computing
Prof. Dr. Wolfgang Reif, Lehrstuhl für Softwaretechnik und Programmiersprachen, Universität Augsburg, Sprecher - HCI Design for Trustworthy Organic Computing
Prof. Dr. Elisabeth André, Lehrstuhl für Multimedia-Konzepte und Anwendungen, Universität Augsburg - Erzeugung selbst-organisierender Vertrauensgemeinschaften - Top-down
Prof. Dr. Christian Müller-Schloer, Fachgebiet System- und Rechnerarchitektur, Universität Hannover - Erzeugung selbst-organisierender Vertrauensgemeinschaften - Bottom-up
Prof. Dr. Jörg Hähner, Lehrstuhl für Organic Computing, Universität Augsburg - Vertrauensverhältnisse unter den autonomen Einheiten von OC-Systemen
Prof. Dr. Theo Ungerer, Lehrstuhl für Systemnahe Informatik und Kommunikationssysteme, Universität Augsburg
Organic Computing Systeme sind hochdynamisch, bestehen aus einer Vielzahl veränderbarer Komponenten und befinden sich in einer sich ständig verändernden Umgebung. Daraus ergibt sich eine Vielzahl an wünschenswerten Eigenschaften, u.a. die Fähigkeit zur Selbst-Heilung, zur Selbst-Adaptivität oder zur Selbst-Konfiguration. Allerdings sind klassische Techniken für Analyse und Entwurf von Softwaresystemen für diese Systemstrukturen nicht geeignet. Völlig neue Aspekte, wie emergentes Verhalten und die extreme Wandelbarkeit von OC-Systemen machen ein Umdenken und das Entwickeln neuer Mechanismen notwendig. Dazu gehören neben formalen Methoden für funktionale Korrektheit, Safety und Security auch Methoden für die vertrauensvolle Interaktion zwischen Teilen des Systems, der Überwachung von vordefinierten Richtlinien zur Laufzeit und die Entwicklung von Algorithmen, die Trustaspekte in selbst-organisierenden Systemen berücksichtigen. Insbesondere ist auch die Schnittstelle zum Benutzer nicht mehr mit klassischen Methoden realisierbar. Hier müssen Fragen untersucht werden, die sich mit der Darstellung von selbst-organisierenden Systemstrukturen, der adaptiven Darstellung von Informationen über verschiedene Arten von Displays und nicht zuletzt mit Privatheit von Daten auseinandersetzen.
Vertrauenskritische Organic Computing Systeme unterscheiden sich von herkömmlichen Organic Computing Systemen, wie sie z.B. im Rahmen des Schwerpunktprogrammes 1183 betrachtet worden sind, vor allem durch ihre Offenheit, die Heterogenität der beteiligten Agenten und durch die Berücksichtigung von menschlichen Benutzern. Ein weiteres Merkmal ist die höhere Autonomie der Agenten durch eine zunehmende Verlegung von Entscheidungen aus der Designzeit in die Laufzeit, die im Extremfall zu einem rein egoistischen Agentenverhalten führt. Damit ist auch die Gutwilligkeitsannahme, also die Annahme der prinzipiellen Kooperationsbereitschaft der Agenten, nicht mehr zu halten. Durch all diese Faktoren steigt die Unsicherheit, die über das System, seine Umgebung und die zukünftigen Entwicklungen vorliegt, und emergentes Verhalten wird schwieriger zu kontrollieren.
In der ersten Phase des am 01.10.2009 gestarteten Projektes wurden Basistechnologien entwickelt, um mit diesen Problemen umgehen zu können. Dazu gehören formale Methoden zur Kontrolle emergenten Verhaltens, Gemeinschaften vertrauenswürdiger Agenten, Modelle zur Messung von Nutzervertrauen und von Verfügbarkeit, Algorithmen, die Vertrauenswerte in ihre Berechnungen mit einbeziehen, sowie Konstruktionsmethoden und adaptive Benutzerschnittstellen. Diese Technologien wurden anhand offener, heterogener Organic Computing Systeme evaluiert.
Während der zweiten und dritten Phase sollten diese Technologien ausgebaut und die Komplexität der betrachteten Probleme erhöht werden. Dabei rückte der Umgang mit unsicheren Daten, Konflikten, Wechselwirkungen und einer zunehmenden Hierarchisierung der Systeme in den Vordergrund. Diese Aspekte wurden durch Arbeiten abgedeckt, die in enger Kooperation zwischen den Projektgruppen entstanden. Außerdem rückten Anwendungsaspekte zunehmend in den Vordergrund. Dazu wurden die Techniken aus den Gruppen kombiniert und in Demonstratoren umgesetzt.
Förderung
Eckdaten
- Start:
- 01.10.2009
- Ende:
- 31.07.2017
Einsatzgebiete und Fallstudien
Im Rahmen der Forschergruppe OC-Trust entstanden mehrere Fallstudien. Die dabei betrachteten Einsatzgebiete zeichnen sich vor allem dadurch aus, dass der Einsatz von Organic Computing Prinzipien und die Berücksichtigung von Vertrauenswürdigkeit es ermöglichen, deutliche Vorteile gegenüber herkömmlichen Ansätzen zu realisieren. Im Folgenden werden jeweils die Einsatzgebiete und die darin zu findenden Probleme beschrieben, sowie die in OC-Trust dafür entwickelten Lösungsansätze skizziert.
Die beschriebenen Lösungsansätze wurden im Rahmen des Projektes als Anwendungsplattformen umgesetzt. Diese stellen darauf aufsetzenden Anwendungen die Konzepte des Einsatzgebietes zur Verfügung und dienen als Grundlage für andere Anwendungen im selben Gebiet. Einzelne Anwendungen wurden in der ersten Projektphase als Demonstratoren implementiert. Die Abbildung auf der rechten Seite zeigt den Aufbau der Anwendungsplattformen auf der gemeinsamen Infrastruktur, die darauf aufsetzenden Anwendungen und die Zuständigkeiten der einzelnen Projektgruppen.
Einsatzgebiet: Offenes Desktop Grid Computing (Gruppe Müller-Schloer/Hähner)
In einem Desktop Grid Computing System werden vernetzte Rechenressourcen zur verteilten Berechnung auf großen Datenmengen genutzt. Frameworks wie Condor oder BOINC stellen diese Funktionalität generisch zur Verfügung und lassen sich für die Ausführung beliebiger, verteilbarer Rechenaufgaben nutzen.Die berechneten Aufgaben werden zentral verteilt und die Ergebnisse anschließend ebenfalls zentral gesammelt. In der Praxis werden diese Systeme vor allem im wissenschaftlichen Bereich eingesetzt und innerhalb einer administrativen Domäne verwendet. Die Vertrauenswürdigkeit der Teilnehmer spielt somit in der Regel keine Rolle.
Im Unterschied dazu stellen im generellen Fall des Volunteer Computing Individuen aus unterschiedlichen administrativen Domänen, die keine Form von Beziehung zueinander haben, Ressourcen bereit. Rechenaufgaben können von allen Teilnehmer erstellt werden. Wesentliche Probleme in solchen Netzwerken sind dabei unzuverlässige Teilnehmer, die zwar Arbeitsaufträge annehmen, diese aber nicht abschließen, und Teilnehmer, die zwar Aufgaben im Netzwerk berechnen lassen, selbst aber keine Ressourcen zur Verfügung stellen. In existierenden Systemen wird von einem prinzipiellen Wohlwollen der Teilnehmer ausgegangen und diesen Phänomenen somit nicht oder nur unzureichend begegnet.
Das Trusted Computing Grid (TCG) macht diese Probleme beherrschbar. Die Teilnehmer am TCG messen die Vertrauenswürdigkeit der anderen Teilnehmer und stellen diese Daten einander zur Verfügung. Damit ist es möglich, gezielt vertrauenswürdige Partner zu suchen und egoistische Teilnehmer auszuschließen. Außerdem können die Agenten ihre Verhaltensweisen so anpassen, dass die Effizienz und Robustheit des TCG erhöht werden. Durch die Nähe zu existierenden Systemen ist es möglich, die entwickelten Prinzipien relativ schnell in eine konkrete Software zu übertragen und ihren Nutzen zu realisieren. Eine der konkreten Anwendungen, die untersucht wird, ist die verteilte Gesichtserkennung im TCG.
Einsatzgebiet: Dezentrale Steuerung der Energieversorgung (Gruppe Reif)
Der Energiemarkt befindet sich in der größten Umwälzung seiner Geschichte. Die massive Zunahme regenerativer Stromquellen und nutzungsabhängiger Energieerzeuger (zusammengefasst als stochastische Erzeuger), sowie steuerbarer Kleinsterzeuger stellt die aktuellen Techniken zur Steuerung von regelbaren Kraftwerken vor massive Probleme: einerseits wird es schwieriger, mit der großen Anzahl an Kraftwerken umzugehen, andererseits sind die Schwankungen, die durch die Veränderungen in der Produktion stochastischer Erzeuger entstehen, schwierig vorherzusagen und zu kompensieren.
Für die Lösung dieses Dilemmas bieten sich Organic Computing Systeme an. Eine wesentliche Eigenschaft dieser Systeme ist die Verlagerung von Entscheidungen in die Agenten und die Benutzung von lokalem Wissen. Dies passt zu der verteilten Natur der modernen Energieversorgung und erlaubt es, mit der hohen Dynamik und sich ständig verändernden Situationen umzugehen. Allerdings müssen in einer so kritischen Domäne wie der Energieversorgung besondere Vorkehrungen getroffen werden, um die Versorgungssicherheit zu gewährleisten und Schäden zu vermeiden.
Das Trusted Energy Grid (TEG) stellt Methoden bereit,um mit Hilfe von Vertrauenswerten Unsicherheiten auszugleichen und die autonome Steuerung regelbarer Kraftwerke zu ermöglichen. Gleichzeitig wird durch die Verwendung von Verhaltenskorridoren die Betriebssicherheit und funktionale Korrektheit sichergestellt. Durch Selbstorganisation entsteht ein System of Systems, das in Autonome Virtuelle Kraftwerke (Autonomous Virtual Power Plants, AVPP) gegliedert ist. Innerhalb der AVPPs kann unter Berücksichtigung der Vertrauenswürdigkeit der Teilnehmer sowie anhand von Prognosen und dafür gemessenen Gütekriterien effizient geplant werden. Das TEG stellt damit eine Zukunftsvision zur Lösung eines wichtigen gesellschaftlichen Themas dar, das zusätzlich aus systemtechnischer und ökonomischer Perspektive äußerst relevant ist.
Einsatzgebiet: Adaptive öffentliche Mehrbenutzerschnittstellen (Gruppe André)
Die Anforderungen an Privatsphäre und Transparenz eines Systems sind dann besonders hoch, wenn Benutzer öffentliche Displays nutzen, um alleine oder mit anderen private Daten zu visualisieren und zu bearbeiten. Tritt z.B. ein Unbekannter in den Interaktionsbereich, muss sichergestellt sein, dass die privaten Daten nicht mehr angezeigt werden. Gleichzeitig jedoch muss der Benutzer die Möglichkeit haben, die autonomen Veränderungen durch Selbstanpassung des Systems nachzuvollziehen und unter Umständen rückgängig machen zu können.
Multi-User Multi-Display Umgebungen (MUMD) liegen in diesem Spannungsfeld zwischen Privatsphäre, Transparenz, Kontrollierbarkeit und Nutzungskomfort. Die Einbeziehung der sozialen Beziehungen zwischen den Benutzern eines solchen Systems ermöglicht es, vertrauenskritische Situationen, in denen die Privatheit der Daten geschützt werden muss, von unkritischen Situationen zu unterscheiden und entsprechend zu reagieren. Einsatzgebiete finden sich im Ambient Assisted Living oder überall, wo der öffentliche Raum mit interaktiven Geräten angereichert ist, die sich mit Anwendungen auf privaten Endgeräten koppeln lassen. Ein Beispiel dafür ist der Friend Finder, ein System, das z.B. in großen öffentlichen Einrichtungen oder auf Messen eingesetzt werden kann, um Bekannte auf dem Gelände zu lokalisieren.
Gemeinsame Basis: Infrastruktur für vertrauenswürdige Systeme (Gruppe Ungerer)
Den skizzierten Lösungsvorschlägen liegen gemeinsame Elemente zu Grunde. So basieren alle Anwendungen auf Agenten, die miteinander kommunizieren. Die Agenten messen Vertrauenswerte, speichern, verarbeiten und analysieren diese. Außerdem benötigen sie Dienste, um andere Agenten zu lokalisieren, Daten persistent im System abzuspeichern und Daten über die Verfügbarkeit anderer Agenten abzurufen.
Bereits auf Infrastruktur-Ebene lassen sich Vertrauenswerte dafür verwenden, die Vertrauenswürdigkeit eines Systems zu verbessern. So lässt sich auf dieser Ebene die Ausfallsicherheit erhöhen, indem unzuverlässige Knoten, also solche, die wiederholt nicht erreichbar sind, identifiziert werden. Anschließend werden wichtige Dienste auf zuverlässige Knoten migriert. Außerdem können in der Infrastruktur Verfahren angesiedelt werden, um Vertrauenswerte zu speichern und mit applikationsspezifischen Metriken auszuwerten.
Die Trust-Enabling Middleware (TEM) stellt diese Dienste zur Verfügung. In Zusammenarbeit aller Gruppen wurden dabei Schnittstellen entwickelt, die es erlauben, die einzelnen Anwendungsplattformen auf der Basis der TEM zu entwickeln. Die TEM stellt eine Agentenabstraktion sowie eine Infrastruktur und Primitive für die Kommunikation zur Verfügung. Verfügbarkeitsdaten der einzelnen Agenten werden komplett über die Infrastruktur erhoben und können von den Plattformen ausgewertet und weiterverwendet werden. Zusätzlich ist es möglich, Vertrauenswerte, die in der Anwendung erhoben wurden, in der TEM abzulegen und nach Bedarf aufzurufen und auszuwerten.
Team
- Telefon: +49 821 598 - 2340
Prof. Dr. Christian Müller-Schloer
Professor a.D.
Leibniz Universität Hannover
Telefon: +49 511 762 19730
Institut für Software & Systems Engineering
Das Institut für Software & Systems Engineering, geleitet von Prof. Dr. Wolfgang Reif, ist eine wissenschaftliche Einrichtung in der Fakultät für Angewandte Informatik an der Universität Augsburg. Das Institut unterstützt sowohl Grundlagen- als auch angewandte Forschung in allen Bereichen der Software & Systems Engineering. In der Lehre ermöglicht es die weitere Entwicklung des relevanten Kursangebots von Fakultät und Universität.