1、2019/6/28,1,有关Internet的信任问题研究,李海华 2008-04-19,2019/6/28,2,互联网的困惑,我能相信它吗?,2019/6/28,3,研究背景,网络环境的开放性,自治性,不确定性和欺骗性等特征 第三方提供商出于某种不正当商业利益,可能会提供不完整的、虚假的甚至恶意的信息愚弄消费者 网络交易受骗的例子比比皆是 交易双方的信息不对称性会严重影响交易质量,构建有效和规范的网络信任管理机制,2019/6/28,4,什么是信任?,信任是一个非常主观的概念 信任是一种社会行为 信任是一种心理状态 轻信可能会被别人利用 信任管理需要成本 聪明的人,懂得用平和以及宽大的胸怀去
2、接纳别人,这就是信任 ,2019/6/28,5,信任的决定因素,决定者因素(Decision-Maker Factors),环境因素(Situational Factors),*Robert F. Hurley. The Decision to Trust. Harvard Business Review Article, 2006, R0609B: 55-65.,2019/6/28,6,决定者因素,定义:与我们自身个性相关的因素主要包括: 风险的容忍度(Risk Tolerance) 调整能力(Level of Adjustment) 相对权力(Relative Power),2019/6/
3、28,7,环境因素,定义 :涉及主客体之间的关系等主要内容: 安全性(Security) 相似性(Number of Similarities) 利益倾向性(Alignment of Interests) 善意的关心(Benevolent Concern ) 能力(Capability) 沟通(Level of Communication),2019/6/28,8,信任的衡量,途径:利用信任度衡量信任度是用来衡量主体所能达到可信程度的函数建立实体间正确的信任关系是实现高效信任管理的前提和基础。,2019/6/28,9,如何计算信任度?,数字证书,加密,反馈信息,交易上下文,惩罚因子,相似性,+
4、,声明,etc,推荐,信任度,声誉,时效因素,数字签名,2019/6/28,10,信任度计算的途径,保障实体信息本身安全,行为识别,数字证书,加密,声明,反馈信息,相似性,推荐,声誉,惩罚因子,时效因素,激励机制,数字签名,2019/6/28,11,安全性的信任贡献度,2019/6/28,12,一些密码学基本概念,对称式加密(Symmetric Cryptographic) 非对称式加密(Asymmetric Cryptographic) 密钥交换协议(Key Agreement/Exchange) 哈希算法(Hash) 报文认证码(MAC) 数字签名(Digital Signature) 数
5、字证书(Digital ID/Certificate) 认证中心(Certificate Authority),2019/6/28,13,数字签名,Internet,老李,小王,老李和小王使用不同的密钥,老李使用小王的公钥对签名进行核实,小王使用私钥对消息进行签名,私钥,核实,签名,对消息摘要,“我们亟需定购100套Windows2000”,“dkso(Sc#xZ02f+bQaur”,“我们亟需定购100套Windows2000”,“我们亟需定购100套Windows2000”,2019/6/28,14,数字证书,证书的目的,身份信息,公钥 由认证中心(Certificate Authorit
6、y)发布,拥有者公钥,认证中心标识,Subject: 老李,Not Before: 10/18/99 Not After: 10/18/04,Signed: Cg6&78#dx,Serial Number: 29483756,Subjects Public key:,公钥,Secure Email Client Authentication,扩展域,拥有者身份信息,有效期限,Issuer: INET CA1,认证中心(CA)的数字签名,证书发布ID号,2019/6/28,15,在电子签名、加密中的应用流程,“我们的五年计划是.”,明文,这是算法算出摘要,“Py75c%bn.”,“g5vr”,电
7、子钥匙,明文,数字证书,签字,签字,A私钥,签名,对称加密(如:3DES),会话密钥,数字信封,B公钥,电子签名包,密文,加密过后的文件,A方,Internet/ Intranet,数字信封,密文,会话密钥,对称加密(如:3DES),明文,数字证书,签字,“我们的五年.”,明文,A公钥,“g5vr”,签字,摘要二,签名,解出经A签字的摘要,摘要一,由明文生成的摘要,B方,作比较,如果摘要一和二相同则确定是A发送的文件且内容完整,B私钥,电子钥匙,2019/6/28,16,安全性的信任贡献度,定义:用来衡量主体对数据的真实性和完整性的保障程度 数据的真实性保证运行数据未被篡改 数据的完整性是指运
8、行结果无缺失 假定:越安全越值得的信赖 实现: 验证是否有数字证书保障 验证是否有数字加密技术保障 验证是否使用声名技术 ,2019/6/28,17,恶意行为识别,2019/6/28,18,什么是恶意行为?,虚假评价,虚假服务,恶意行为,孤立的恶意行为,协同的恶意行为,伪装的恶意行为,混合的恶意行为,基于反馈信息的方法,识别,2019/6/28,19,反馈信息的信任贡献度,其中succ(s)表示服务s在最近一段时间内的成功交易次数,fail(s)表示最近一段时间内的失败交易次数,1. 反馈信息格式不一样 2.反馈信息中可能会存在虚假或恶意的成分 3.反馈信息量也不均衡 4.反馈信息是否太旧了
9、5.,特点:一般具有时间滞后性,利用定期统计用户反馈信息实现,2019/6/28,20,反馈信息的改进方法,利用提供商的信任度,衡量他的反馈信息的可靠性 利用激励机制 利用交易或团体上下文信息 利用行为相似性识别协同欺骗,2019/6/28,21,相似性的信任贡献度,基本思想:在P2P环境下,比较不同节点间的行为(即给其他节点的评分行为)向量之间的相似性(如cosine方法),识别协同欺骗如何评价用户评分的可靠性? P2P中可以通过每个节点的可信度进一步衡量它评分行为的可信性 Web服务环境下,消费者和提供商是往往分离的,那么如何评价用户评分的可靠性呢?,* 李景涛,荆一楠等。基于相似度加权推
10、荐的P2P环境下的信任模型。软件学报,2007,18(1);157167.,2019/6/28,22,信任关系的划分,定义:信任关系是指主体能够符合客体所假定的期望值的程度,弱信任关系,中等信任关系,强信任关系,信任度,小,大,如何管理这些信任关系,2019/6/28,23,信任模型,层次信任模型,网状信任模型,对等信任模型,混合信任模型,2019/6/28,24,层次信任模型,实现最简单的模型,使用也最为广泛定义:所有的信任关系都基于根(信任锚)来产生。在根CA的下面是零层或多层的中间CA(子 CA),最后是树的叶子,被称作终端实体或称为终端用户优点:结构简单,管理方面,易于实现缺点:一旦信
11、任根出现问题,那么信任的整个链路就被破坏了,2019/6/28,25,层次信任模型的例子,2019/6/28,26,层次信任模型的适用范围,适用于层状的企业,而不适用于有组织边界交叉的企业主要包括以下三种环境: 严格的层次结构,例如美国国防部支持防御系统(DMS) 分层管理的PKI商务环境 PEM(Privacy-Enhanced Mail,保密性增强邮件)环境,2019/6/28,27,对等信任模型,定义:建立信任的两个认证机构不是从属关系,而它们是点对点的 对等关系(peer-to-peer ) 他们既是被验证的主体,又是进行验证的客体 举例:具体的交换协议报文等,B,A,2019/6/2
12、8,28,网状信任模型,网状信任模型可以看成是对等信任模型的扩充 定义:网状结构中包含多个CA提供PKI服务,这些CA以点对点方式互发证书 对于N个主客体而言,需要建立N(N1)/2个信任链 优点:非常灵活 ,单个CA安全性的削弱不会影响到整个PKI域的运行 缺点:存在多条信任路径,使路径发现较为困难; 当CA数量增多时,有可能建立一个无止境的证书环路,2019/6/28,29,体系结构,实体信任信息可分为全局信任信息和局部信任信息问题:当前体系结构的实现版本中缺乏对全局信任信息的管理解决:可以采用multi-agent的方法,2019/6/28,30,举例,*E. Michael Maxim
13、ilien, Munindar P. Singh. Toward Autonomic Web Services Trust and Selection. ICSOC04, November 1519, 2004, New York, USA.,2019/6/28,31,信任风险评估,为了解和确定交易中的风险所在以及进一步完善信任管理机制,信任风险评估(Trust risk evaluation)是必不可少的步骤 定义:即对客体使用主体的信任风险度进行评估 信任风险度计算:,其中表示“执行的是一次失败交易”,表示“在强度i信任关系下执行交易”,且i=1表示“strong”, i=2表示“medi
14、um”, i=3表示“weak”,i=4表示“none”,i=5表示“unknown”。,2019/6/28,32,结论与下一步工作,构建有效的信任管理机制是降低交易双方风险的至关重要因素 如何提高信任评估的准确度问题? 如何识别协同欺骗,伪装欺骗? 如何建立信任风险评估机制?,2019/6/28,33,谢谢!,Q & A,2019/6/28,34,信任列表结构,信任列表是一种在应用层设置的动态二维控制列表,表中列有被信任的CA的根证书,每个CA自身可以是层次结构或网状结构(中央管理员)。 优点:a.为单纯性,减少了信任路径寻找的复杂步骤; 增加删除信任CA方便容易 ;b.可以解决 不同信任模型之间的交互性 缺点:a.从使用者的角度,将某一CA放入其信任列表中的主要目的是与该CA的某些用户进行沟通与验证其证书的需求,而对所列于信任列表中的CA本身,并无充分了解与信任 b.随着列表所列出的CA数量的增加,使用者的负担也随之增加 c.信任列表结构无法适当处理列表上的某个已失效、不再运作的CA情况,
