可信度概念
可信主要体现的是一种信任关系,信任关系存在于信任实体(即信任者和被信任者)之间,信任者信任被信任者,即“trustor trust trustee”,则被信任者被认为是可信的(trustworthy或者trusted)。为了方便描述,本文将信任者实体记为trustor,被信任者实体记为标准坐姿trustee。果trustee能够满足它所声明的或者trustor所期待的行为,trustor认为truatee可信。因此,trustor若要信任trustee,一方面trustee需要具有可信特性,包括安全性、可用性、可靠性、时效性等[28];另一方面trustor需要对trustee所声称的可信特性进行度量,从而决定是否信任 trustee,进而确定是否采用trustee的服务等。可信度的定义如下:
定义2-2:可信度是对主体(trustee)可信特性的评估,判断主体是否具有作为可信主体应具有的可信特性,其用T表示,且T∈[O,l],其值越大,可信度越高。
主体为具有可信特性,trustee需要保障机制进行支撑和维护,有了这些机制后,可以更方便地进行度量,如何保障和度量trustee具有某种可信特性,在某些研究领域己取得了卓有成效的研究成果,例如为保障安全的授权机制[29,30] (包括从信任的角度研究授权问题的信任管
理系统[31,32]),为保障可靠和可用的容错机制[33,34],保障网上交易可信度的信誉管理系统[35]等,但从信任角度分析这些工作存在一定的局限性,主要有:
(l)这些特性和机制基本上都是从各自的角度考虑问题,难以覆盖信任的内涵。例如,维护可靠性的容错机制如何让trustee可信zara加盟?如何让trustor信任trustee?此类问题少有提及;或者,它们只是针对单一的可信特性,将信任等同于某一种特性和机制,例如授权或容错,即使像文献[31]中的信任管理系统,也只针对授权。
(2)这些可信特性彼此独立,对于有多种特性需求的系统来说(例如,有些使用者只关注系统的安全特征,而忽略时效性;有些使用者只根据可靠程度或可用程度来判定可信度;而有些使用者却可能既要求可靠性,又要求时效性,而且需求的程度不一样)很难有一致的执行效果,也缺乏统一的管理框架。
(3)度量方法和机制比较欠缺,例如国际通用安全度量准则(CC)和《中国计算机信息系统安全保护等级划分准则》等定义了作为度量信息技术产品和系统安全性的基础准则,但是,这种度量一般要求可信第三方存在,并且很难适应于运行时刻可信特性值的动态更改。
根据以上的分析,对主体可信度的计算可通过以下几种途径来计算:
(1)根据主体在进行身份认证时所获得的可信特征信息来计算。这些信息包括主体通过认证的时间、主体的认证位置、以及主体所在的客户机信息等。
(2)根据主体在访问客体时所表现出来的属性计算。这些属性可以是在某个客体上的停留时间、在客体上的资料输入方式等。
(3)通过预测主体访问客体的序列来计算。预测主体下一步访问中选择某个客体的可能性,可以作为主体可信度计算的参考值。
下面分别详细描述这3类可信度计算方法[36]。
(l)规则型主体可信度计算
前两类计算途径使用的是规则型的信息,可以归结为IF-THEN形式的规则表示,即我谁都不爱
IF E THEN H T(H,E)
这里的E表示证据,即上述方法中所获得的信息或属性;H为结论,表示为OWN(s),即某个访问会话中的主体s确实是用户本身。因此该规则可以解释为:证据E发生的前提下,那么主体s确实是用户本身,这个规则的可信度为T(H,E)。计算主体的可信度就是求解结论可信度T(H)的过程。根据可信度理论,T(H)的计算方法可用以下计算公式:
l)证据不是肯定存在的
T(H)=T(H,E)*max(0,T(E)) 式(l)
2)证据是合取连接的,即E=El∧E2镇脑宁胶囊说明书∧…∧En
T(E)=min(T(E1),T(E2),T(E3),…,T(En)) 式(2)
3)证据是析取连接的,即 E=El∨E2∨…∨En
T(E)=max(T(E1),T(E2),T(E3),…,T(En)) 式(3)
4)多条规则,具有相同结论的,
则合成的可信度为:
式(4)
在上述公式中,需要先求得规则可信度T(H,E)和证据的可信度T(E),才能计算T(H)。而对于规则可信度T(H,E),一般是采用人为的判断决定它的取值。证据的可信度的计算方法,解释如下。
在上述两类计算途径中,有的证据可信度可以用精确的值来表示,有的则需要用模糊值才能表达,如“主体在晚上登录系统”。因此,规则的描述需要支持模糊信息的表达。同时称系统在某个具体的身份认证过程或访问会话中获得的证据为事实值。则在计算事实值对应的结论可信度时,需要将事实值模糊化,并运用模糊运算得到结论的可信度。假设某个事实值为,算法如下:
算法1 计算事实值的可信度
如果与之匹配的规则中的证据是采用模糊数表示的设对应的模糊概念为Y,它的论域为U,则模糊概念Y可以用一个隶属度函数e的笔顺怎么写来表示。
则事实值对应的可信度否则求得相应规则中的证据E与之间的相对距离(偏差)
其中是证据对应的属性值的一种评价函数事实值对应的可信度:。
求得和之后,就可以根据式(1)∽式(4)计算不同规则和事实值条件下的主体可信度。
(2)访问序列下的主体可信度计算
主体在访问会话过程中所表现出来的可信度,可以通过对客体访问序列的分析计算得到。根据可能性-概率一致性原理,可能性与概率存在某种线性关系。因此,事件的可能性在某种程度上也是反映了它的可信度,这是计算访问序列下主体可信度的依据。
可以通过计算某一时刻主体所访问的客体相对于所有可能的客体的可能性,并作为主体的当前可信度,而这种可能性可以通过对访问序列进行预测分析来计算。下面具体描述基于Markov模型的计算方法。
设在某个时刻团结口号t的主体所处的状态,因为主体在一个访问会话中不可能同时访问不同的客体,所以中只有l项不等于0。假设马尔可夫模型对应的概率转移矩阵为A,Al表示对应的l步概率转移矩阵,依次类推,An表示n步概率转移矩阵。则在已知t时刻的访问序列情况下,计算t+1时刻主体可信度的算法如下:
算法2 计算t+l时刻主体的可信度算法
输入:t时刻主体的可信度,t+1时刻被访问的客体
处理:
计算t时刻状态对t+l时刻的预测结果:,
计算t-l时刻状态对t+l时刻的预测结果:,依此类推。
计算t+i时刻的综合预测值:
其中,表示过去的每个预测值对t+l时刻的影响因子。
则相应地可以得到t+1时刻主体的可信度的更新值:
根据式(4)计算t+l时刻主体的可信度,即:
输出:t+l时刻主体的可信度
[28] 周明辉,梅宏等.基于中间件的可定制信任管理框架[J]电子学报,2005,5(5):820-826.
[29] B Lampson,M Abadi,M Burrows, E Wobber. Authentication in distributed system
我自己英语
s: Theory and practice[J]. ACM Transactions on Computer systems,1992,10(4):265-310.
[30] P Samarati,S C Vimercati. Access control: Policies,models, and mechanisms[A] .FOSAD2000[C].LNCS2171,2001:137-196.
[31] M Blaze,J Feigenbaum,J Lacy. Decentralized trust management[A]. Proceedings of 17th,symposium on Security and Privacy[C],Oakland,IEEE Society Press. 1996:164-173.
[32] Tyrone W A Grandison. Trust Management for Internet Applications[D]. Department of C0mputing,Imperial College,London,2003.
[33] Dhiraj K,pradham. Fault Tolerant Computer System Design[M].移动手机邮箱 prentice Hall PTR, June 1996.
[34] priya Narasimhan. Transparent Fault Tolerance for CORBA[D]. University of California,santa Barbara, December 1999.
[35] L Xiong,L Liu. A reputation bad trust model for Peer to Peer ecommerce communities[A]. IEEE Conference on Electronic Commerce (CEC03)[C], Newport Beach,USA,June 2003.
[36] 曾剑平,郭东辉. 一种基于可信度计算的集成身份认证与访问控制的安全机制[J]. 计算机工程,2005,24(31):30-32
