2020/6/71有关Internet的信任问题研究李海华2008-04-192020/6/72互联网的困惑我能相信它吗?2020/6/73研究背景网络环境的开放性,自治性,不确定性和欺骗性等特征第三方提供商出于某种不正当商业利益,可能会提供不完整的、虚假的甚至恶意的信息愚弄消费者网络交易受骗的例子比比皆是交易双方的信息不对称性会严重影响交易质量构建有效和规范的网络信任管理机制2020/6/74什么是信任?信任是一个非常主观的概念信任是一种社会行为信任是一种心理状态轻信可能会被别人利用信任管理需要成本聪明的人,懂得用平和以及宽大的胸怀去接纳别人,这就是信任……2020/6/75信任的决定因素决定者因素(Decision-MakerFactors)环境因素(SituationalFactors)*RobertF.Hurley.TheDecisiontoTrust.HarvardBusinessReviewArticle,2006,R0609B:55-65.2020/6/76决定者因素定义:与我们自身个性相关的因素主要包括:风险的容忍度(RiskTolerance)调整能力(LevelofAdjustment)相对权力(RelativePower)2020/6/77环境因素定义:涉及主客体之间的关系等主要内容:安全性(Security)相似性(NumberofSimilarities)利益倾向性(AlignmentofInterests)善意的关心(BenevolentConcern)能力(Capability)沟通(LevelofCommunication)2020/6/78信任的衡量途径:利用信任度衡量信任度是用来衡量主体所能达到可信程度的函数建立实体间正确的信任关系是实现高效信任管理的前提和基础。2020/6/79如何计算信任度?数字证书加密反馈信息交易上下文惩罚因子相似性+声明etc推荐信任度声誉时效因素数字签名2020/6/710信任度计算的途径保障实体信息本身安全行为识别数字证书加密声明反馈信息相似性推荐声誉惩罚因子时效因素激励机制数字签名2020/6/711安全性的信任贡献度2020/6/712一些密码学基本概念对称式加密(SymmetricCryptographic)非对称式加密(AsymmetricCryptographic)密钥交换协议(KeyAgreement/Exchange)哈希算法(Hash)报文认证码(MAC)数字签名(DigitalSignature)数字证书(DigitalID/Certificate)认证中心(CertificateAuthority)2020/6/713数字签名Internet老李小王老李和小王使用不同的密钥老李使用小王的公钥对签名进行核实小王使用私钥对消息进行签名私钥公钥核实签名对消息摘要“我们亟需定购100套Windows2000”“dkso(Sc#xZ02f+bQaur}”“我们亟需定购100套Windows2000”“我们亟需定购100套Windows2000”2020/6/714数字证书证书的目的,身份信息,公钥–由认证中心(CertificateAuthority)发布拥有者公钥认证中心标识Subject:老李NotBefore:10/18/99NotAfter:10/18/04Signed:Cg6&^78#@dxSerialNumber:29483756Subject’sPublickey:公钥SecureEmailClientAuthentication扩展域拥有者身份信息有效期限Issuer:INETCA1认证中心(CA)的数字签名证书发布ID号2020/6/715在电子签名、加密中的应用流程“我们的五年计划是...”明文这是HASH算法算出摘要“Py75c%bn...”“g5v’r…”电子钥匙明文数字证书签字签字A私钥签名对称加密(如:3DES)会话密钥数字信封B公钥电子签名包密文加密过后的文件A方Internet/Intranet数字信封密文会话密钥对称加密(如:3DES)明文数字证书签字“我们的五年...”明文A公钥“g5v’r…”签字摘要二签名解出经A签字的摘要摘要一由明文生成的摘要B方作比较如果摘要一和二相同则确定是A发送的文件且内容完整B私钥电子钥匙2020/6/716安全性的信任贡献度定义:用来衡量主体对数据的真实性和完整性的保障程度数据的真实性保证运行数据未被篡改数据的完整性是指运行结果无缺失假定:越安全越值得的信赖实现:验证是否有数字证书保障验证是否有数字加密技术保障验证是否使用声名技术……2020/6/717恶意行为识别2020/6/718什么是恶意行为?虚假评价虚假服务恶意行为孤立的恶意行为协同的恶意行为伪装的恶意行为混合的恶意行为基于反馈信息的方法识别2020/6/719反馈信息的信任贡献度其中succ(s)表示服务s在最近一段时间内的成功交易次数,fail(s)表示最近一段时间内的失败交易次数1.反馈信息格式不一样2.反馈信息中可能会存在虚假或恶意的成分3.反馈信息量也不均衡4.反馈信息是否太旧了5.……3()(),()()0()()()0,sucssfaisssucssfaisssucssfaissdotssothers特点:一般具有时间滞后性,利用定期统计用户反馈信息实现2020/6/720反馈信息的改进方法利用提供商的信任度,衡量他的反馈信息的可靠性利用激励机制利用交易或团体上下文信息利用行为相似性识别协同欺骗……2020/6/721相似性的信任贡献度基本思想:在P2P环境下,比较不同节点间的行为(即给其他节点的评分行为)向量之间的相似性(如cosine方法),识别协同欺骗如何评价用户评分的可靠性?P2P中可以通过每个节点的可信度进一步衡量它评分行为的可信性Web服务环境下,消费者和提供商是往往分离的,那么如何评价用户评分的可靠性呢?*李景涛,荆一楠等。基于相似度加权推荐的P2P环境下的信任模型。软件学报,2007,18(1);157~167.2020/6/722信任关系的划分定义:信任关系是指主体能够符合客体所假定的期望值的程度弱信任关系中等信任关系强信任关系信任度小大如何管理这些信任关系2020/6/723信任模型层次信任模型网状信任模型对等信任模型混合信任模型2020/6/724层次信任模型实现最简单的模型,使用也最为广泛定义:所有的信任关系都基于根(信任锚)来产生。在根CA的下面是零层或多层的中间CA(子CA),最后是树的叶子,被称作终端实体或称为终端用户优点:结构简单,管理方面,易于实现缺点:一旦信任根出现问题,那么信任的整个链路就被破坏了2020/6/725层次信任模型的例子2020/6/726层次信任模型的适用范围适用于层状的企业,而不适用于有组织边界交叉的企业主要包括以下三种环境:严格的层次结构,例如美国国防部支持防御系统(DMS)分层管理的PKI商务环境PEM(Privacy-EnhancedMail,保密性增强邮件)环境2020/6/727对等信任模型定义:建立信任的两个认证机构不是从属关系,而它们是点对点的对等关系(peer-to-peer)他们既是被验证的主体,又是进行验证的客体举例:具体的交换协议报文等BA2020/6/728网状信任模型网状信任模型可以看成是对等信任模型的扩充定义:网状结构中包含多个CA提供PKI服务,这些CA以点对点方式互发证书对于N个主客体而言,需要建立N×(N-1)/2个信任链优点:非常灵活,单个CA安全性的削弱不会影响到整个PKI域的运行缺点:存在多条信任路径,使路径发现较为困难;当CA数量增多时,有可能建立一个无止境的证书环路2020/6/729体系结构实体信任信息可分为全局信任信息和局部信任信息问题:当前体系结构的实现版本中缺乏对全局信任信息的管理解决:可以采用multi-agent的方法2020/6/730举例*E.MichaelMaximilien,MunindarP.Singh.TowardAutonomicWebServicesTrustandSelection.ICSOC’04,November15–19,2004,NewYork,USA.2020/6/731信任风险评估为了解和确定交易中的风险所在以及进一步完善信任管理机制,信任风险评估(Trustriskevaluation)是必不可少的步骤定义:即对客体使用主体的信任风险度进行评估信任风险度计算:51(|)*()()(|)(|)*()iiijjjPABPBdotrkssPBAPABPB其中表示“执行的是一次失败交易”,表示“在强度i信任关系下执行交易”,且i=1表示“strong”,i=2表示“medium”,i=3表示“weak”,i=4表示“none”,i=5表示“unknown”。2020/6/732结论与下一步工作构建有效的信任管理机制是降低交易双方风险的至关重要因素如何提高信任评估的准确度问题?如何识别协同欺骗,伪装欺骗?如何建立信任风险评估机制?2020/6/733谢谢!Q&A2020/6/734信任列表结构信任列表是一种在应用层设置的动态二维控制列表,表中列有被信任的CA的根证书,每个CA自身可以是层次结构或网状结构(中央管理员)。优点:a.为单纯性,减少了信任路径寻找的复杂步骤;增加删除信任CA方便容易;b.可以解决不同信任模型之间的交互性缺点:a.从使用者的角度,将某一CA放入其信任列表中的主要目的是与该CA的某些用户进行沟通与验证其证书的需求,而对所列于信任列表中的CA本身,并无充分了解与信任b.随着列表所列出的CA数量的增加,使用者的负担也随之增加c.信任列表结构无法适当处理列表上的某个已失效、不再运作的CA情况