电子商务信任管理模型研究.docx
《电子商务信任管理模型研究.docx》由会员分享,可在线阅读,更多相关《电子商务信任管理模型研究.docx(18页珍藏版)》请在冰点文库上搜索。
电子商务信任管理模型研究
1绪论
1.1信任管理问题的提出
现有的安全技术,无论是密码算法和协议,还是更高层次的安全模型和策略,都隐含地与信任相关,或者预先假定了某种信任前提,或者目的是为了创建某种信任关系。
所以信任管理作为网络安全技术的重要前提与基础,正日益成为网络安全研究的焦点[1]。
在知识经济时代,电子商务关系的培养与发展过程中,信任是需要考虑的一项重要因素[2]。
电子商务的成功本质上取决于顾客,因此,顾客的信任对于电子商务来说是至关重要的[3]。
通过合适的手段提升商业伙伴之间的信任,如通过商业伙伴间的协作与合作等,将有助于电子商务战略目标的实现。
近年来,电子商务环境下的信任概念逐渐凸现。
顾客上网购物时,希望能得到“自己的机密信息不被误用”的保证;而商家则希望“能收到发出货物的付款”的保证。
但是,这些要求光有SET、SSL等安全协议是无法保证的。
因此,很多研究将目光转向了新的交易过程。
其中一个方案就是增加一个第三方,如信任服务提供商(trustserviceproviders,TSP)[4,5]。
实际上,信任的可计算性,信任的建模,信任管理,更早的时候就已经被人们所重视。
如1994年StevenP.Marsh在他的博士论文中,用形式化方法研究了信任的可计算性问题[6]。
信任管理(trustmanagement)的概念首先由M.Blaze等人于1996年提出[7],用于解决Internet网络服务的安全问题,他们认为必须承认开放系统中安全信息的不完整性,系统的安全决策必须依靠可信任第三方提供附加的安全信息。
“信任管理”这一概念的意义在于提供了一个适合web应用系统开放、分布和动态特性的安全决策框架。
与此同时,A.Abdul-Rahman等学者则从信任的概念出发,对信任内容和信任程度进行划分,并从信任的主观性入手给出信任的数学模型用于信任评估[8]。
信任管理将传统安全研究中,尤其是安全授权机制研究中隐含的信任概念抽取出来,并以此为中心加以研究,为解决web环境中新的应用形式的安全问题提供了新的思路。
信任管理研究可用于安全协议分析,并可结合加密技术等研究成果,指导在新的应用系统中建立安全机制[9]。
1.2信任管理的定义
1.2.1信任的含义
目前,对于信任还没有一个精确的、广泛可接受的定义,但多数学者[8,10]认为,信任是一种主观信念(belief)。
如关于人或服务的诚实性、真实性、能力、可靠性等,都有信任的含义。
人们基于各自不同的目的,从不同的角度理解信任的含义。
虽然我们主要关注计算意义上的信任概念,但是来自于社会科学的信任模型对于研究一个基础的、综合的形式化信任模型来说,是很好的起点。
文献[11]提出一种方法,将社会学、哲学、管理学、经济学和政治学等领域对信任的研究成果进行划分,并从概念上将信任分为六大类:
①倾向信任(Disposition)——当人们自然地倾向于信任实体A时,称为倾向信任;
②环境信任(Situation)——当实体A信任某一特定的情景(scenario),称之为环境信任;
③结构信任(structure)——当实体A客观地相信结构B是某个整体的一部分时,称之为结构信任;
④信念信任(belief)——当实体A相信实体B是值得信赖的时,称之为信念信任;
⑤意图信任(intention)——当实体A乐于依靠实体B时,称之为意图信任;
⑥行为信任(behaviour)——当实体A自愿依靠实体B时,称之为行为信任;
文献[12]从虚拟企业的角度分析信任,认为在信息技术中,信任可以定义为:
对一个实体可依赖地、安全地在一定环境下可靠行动的能力的坚定信念。
该定义还假定可依赖性涵盖了可靠性和及时性。
对应地,将不信任(distrust)定义为:
缺乏对一个实体可依赖地、安全地和在一定环境下可靠地行动的能力的坚定信念。
信任通常还与环境(context)有关,信任的建立需要时间。
在一种环境下,人们可能信任某个人,而在另一种环境下,又可能不相信他。
当我们说“张三信任李四”时,称“张三”为信任主体(trustor),而“李四”为信任客体(trustee)。
信任的建立还与信任主体与信任客体之间以往的经历(experience)有关。
如在商务交往中,人们更信任老的生意伙伴,而更不相信新客户。
原来没有交往的客户,可能因为好朋友的介绍,而产生信任。
这是因推荐而产生的信任。
关于信任的定义,还有许多,例如文献[13]详细分析了信任与不信任的定义。
唐文等认为,目前信任研究中所讨论的信任实际上包括两种相互关联的信任关系[1]:
一种是对客体(如标识、证书等)的信任,为了区别起见,本文称其为相信关系,相信关系是基于证据的,所以可以精确地描述、推理和验证。
另一种信任是主体之间的信任,本文称其为主观信任,或简称信任。
主体是指由人或由人和客体的混合体所构成的个体或群体。
主观信任(或简称信任)是一种人类的认知现象,是对主体的特定特征或行为的特定级别的主观判断,而这种判断是独立于对主体特征和行为的监控的。
主观信任是相信关系的重要前提和基础,它本质上是基于信念的,具有很大的主观性、模糊性,无法精确地加以描述和验证。
信息安全专家南相浩教授也提出了类似的看法[14,15]。
我们认为,在实际的电子商务应用中的信任,既有相信关系又有主观信任关系。
以往的应用侧重于研究相信关系,最近的研究则更关注主观信任关系。
基于上述看法,我们可以将信任归纳为:
信任客体B由于其能力、善行、诚实和可预测性而受到信任主体A的信任。
换言之,我们认为信任是一种态度,是信任主体对信任客体的能力和倾向的一种主观认可。
本研究中,我们将信任定义为:
信任主体根据自己的经验或别人的推荐而对信任客体在一定环境下完成某项任务的能力和态度的一种信念。
从该定义我们可以看出,信任有一些重要特征,如:
①主观性:
不同的个体对同一事物的看法会受个体喜好等因素的影响而有所不同;
②可能性预期:
信任的程度可表示为对事件发生概率的可能性
估计;
③环境相关:
信任是针对某一环境下,对事物的某个方面(如完成某项任务的能力)而言的。
另外,信任还有以下一些特征:
④动态性:
信任关系通常不是绝对的。
A不会永远信任B;
⑤非对称性:
A信任B,并不意味着B一定信任A;
⑥不可传递性:
A信任B,B信任C,并不一定A信任C;
⑦信任程度差异性:
不同实体之间的信任是有差异,通常可以度量的。
如分为高、中、低等不同程度的信任。
在很多系统中甚至用不同的数值来衡量。
1.2.2信任管理和信任管理模型
根据M.Blaze等的定义,信任管理为“采用一种统一的方法描述和解释安全策略(securitypolicy)、安全凭证(securitycredential)以及用于直接授权关键性安全操作的信任关系(trustrelationship)”[7]。
信任管理的内容包括:
制定安全策略、获取安全凭证、判断安全凭证集是否满足相关的安全策略等。
一个典型的信任管理系统用于处理所谓“遵守检查”的判断问题:
“给定一个请求和一组凭证,判断请求是否遵守提供者的本地安全策略”。
PolicyMaker[7]和KeyNote[16]是Blaze等人早期开发的两个支持信任管理的工具。
这类典型的信任管理系统还有REFEREE[17]等。
它们都是基于Blaze提出的基于信任管理引擎(trustmanagementengine,简称TME)的信任管理模型,如图1-1所示。
这一模型将信任管理从应用程序中独立出来。
信任管理独立于应用程序的思想被后来的各种信任管理系统所采纳。
图1-1基于信任管理引擎的信任管理模型
在上述基础上,D.Povey结合A.Adul-Rahman[61]等人提出的主观信任模型思想,给出一个更具一般性的信任管理定义,即信任管理是“信任意向(trustingintention)的获取、评估和实施”[18]。
基于这一定义,主体对客体的信任可以根据过去的经验利用数学方法进行评估,并根据客体行为的结果变化而不断修正。
实体之间的信任关系分为直接信任和推荐信任两种。
主体对客体的经验既可以直接获得,又可以通过推荐者获得,而推荐者提供的经验同样可以通过其他推荐者获得,直接信任关系和推荐信任关系形成了一条从主体到客体的信任链,而主体对客体行为的主观预期则取决于这些直接和间接的经验。
信任模型所关注的内容主要有信任表述、信任度量和信任度评估,信任度评估是整个信任模型的核心,因此信任模型也称为信任度评估模型。
信任度评估与安全策略的实施相结合同样可以构
成一个一般意义上的信任管理系统。
这种意义上的典型信任管理
模型有JøRsang信任度评估模型[10]。
近几年出现的各种名声系
统[19,20,21,118,31,32,117,119]都可以归类到主观信任模型中。
MarcoCarbone等认为信任管理系统的标准部署应包括信任引擎(trustengine)和风险引擎(riskengine),这两个引擎一起组成为个体的信任部件[22]。
其中,信任引擎负责根据直接或间接的观察和证据来修改信任信息,并向风险引擎提供信任信息,作为风险引擎处理请求的程序输入;而风险引擎则向信任引擎反馈关于个体行为的信息,修改信任引擎的输入。
1.2.3商业管理意义上的信任和信任管理
信任是每笔商业交易中至关重要的成分。
顾客必须相信销售商将提供他们广告中宣称的服务,不会泄露顾客的隐秘信息(如姓名、地址、信用卡细节、采购内容等)。
对供货方的能力和诚实的信任将影响顾客决定用哪一个供货商。
销售商必须相信购买者能够支付商品或服务的款项,有权以组织或个人的身分采购物品,达到了对进入某些服务或采购某些商品的年龄等。
因此,电子商务要与传统商务一样被人们接受,信任管理必须成为电子商务的内在组成部分[23]。
1.3与电子商务中的信任管理技术相关的
术语及词汇
1.3.1信息安全
信息安全关注的对象,主要是信息系统的安全,如计算机软硬件的正常工作、网络设备的安全、网络的通畅、计算机存储数据的完整性、保密性等。
几个主要术语是:
访问控制:
实施允许被授权的主体对某些客体的访问,同时拒绝向非授权的主体服务的策略。
主体可以是人,也可以是任何主动发出访问请求的智能体,包括程序、进程、服务等;客体包括所有受访问控制保护的资源。
信息加密:
又称为数据加密,是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同的数字信息(密文)的过程。
一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。
PKI(Publickeyinfrastructure):
公钥体系结构。
这是一种网络安全平台,是一种用来建立信息交换的安全方法的策略和程序,包括了对CA、数字签名及相关软硬件。
1.3.2电子商务安全交易协议
SSL(SecureSocketsLayer):
是由Netscape公司开发的一套Internet数据安全协议,已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
SSL协议可分为两层:
(1)SSL记录协议(SSLRecordProtocol),它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持;
(2)SSL握手协议(SSLHandshakeProtocol),它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SET(SecurityElectronicTransaction):
是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。
SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份以及可操作性。
SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。
SET协议比SSL协议复杂,因为前者不仅加密两个端点间的单个会话,它还可以加密和证实三方间的多个信息。
1.3.3信任方面的常用术语
风险(Risk):
信任与风险紧密相连,如果没有风险,也就不用考虑信任问题。
缺乏风险隐含着信心,即具有积极结果的必然性。
相反,风险隐含着不可预知的未来事件,需要信任去克服不确定性并使人际关系得以建立。
换言之,我们应将信任看成是面对风险时的信心[24]。
信任值(trustvalue):
表示信任主体对信任客体的信任关系的一种度量。
根据实际情况,它可以有多种表示形式,如访问控制一般是指对资源的读、写、读写、拒绝访问等四种授权。
而在PKI系统中,通常就是对证书的信任和不信任两种认证结果。
许多主观信任模型中,信任值常用0至1之间的实数表示。
信任度(trustdegree):
信任值的一种。
信任度表示主体对客体的主观可能性预期,通常是0至1之间的实数,值越大,表示信任程度越高。
信任度通常用数学评估模型进行计算。
信任策略(trustpolicy):
安全策略的推广,规定信任主体与信任客体之间的信任行动和信任关系的一种形式描述。
通常以某种信任策略语言表示。
名声(reputation):
基于实体过去行为的信息或观察而对实体未来行为的一种期待。
也可以看成实体在社区中树立的一种形象。
在电子商务社区中,通常是指实体通过其过去参与的电子交易中表示出来的诚实性或服务质量而获得的其他实体对其商业信誉的一种认可。
名声系统(reputationsystem):
基于名声的信任管理系统的简称,在该类系统中,实体间的信任关系建立在各个实体的名声基础之上。
1.3.4其他术语
普适计算(ubiquitous/pervasivecomputing):
指人们能够使用任意设备、通过任意网络、在任意时间都可以获得一定质量的网络服务的技术。
普适计算是在网络技术和移动计算的基础上发展起来的,其重点在于提供面向客户的、统一的、自适应的网络服务。
普适计算的环境称为普适环境,主要包括网络、设备和服务。
网络环境包括Internet、移动网络、电话网、电视网和各种无线网络等。
普适计算设备更是多种多样,包括计算机、手机、汽车、家电等能够通过任意网络上网的设备;服务内容包括计算、管理、控制、资源浏览等[25]。
电子市场(e-marketplace):
通过网络技术将不同的企业、消费者连接在一起,将企业内部和外部连接在一起,高效率地实现买家与卖家的匹配,减少了交易成本,简化了贸易关系的管理。
电子商务可以是B2B、B2C、C2C等任何模式。
点到点的虚拟社区(peer-to-peervirtualcommunities):
无中心控制点的环境、资源共享是用户自愿的行为。
每个peer既可以作为服务方,又可以作为服务请求方。
虚拟企业(virtualenterprises):
企业间通过组建动态联盟进行合作,根据特定的市场机遇,集成了各伙伴企业满足机遇所需的相关核心资源。
不同企业针对某一机遇的经营过程组织起来,所有的人员设备分散在不同的地方,通过信息基础设施共同参与经营活动。
社会网络模型(socialnetworkmodel):
社会学家用于分析社会群体中人们的动态特性的一种模型,模型表示了社会群体的结构和个体间的关系。
在以网络为中介的虚拟社区中,人们通过共享信息和知识、建立社交圈、开展交易等形式建立了社会网络,因此该模型已经作为研究虚拟社区中实体之间关系的一种重要手段。
小世界理论(Smallworldmodel):
小世界现象是一个社会现象,源于美国60年代的一个实验,即任何两个美国人,通过1~6层关系就能找到自己想要找的人[26]。
小世界网络的特征:
①不考虑网络拓扑结构,结点间有很小的平均距离;②有较大的相识系数,某结点
,在其所有邻居中,邻居间的连边数占包括
在内的子网连边总数比例,称为相识系数,它反映了某结点邻居间的相识程度,它与网络规模无关且恒小于1[27]。
本文后续章节将讨论社会网络模型和小世界理论对于研究信任管理的作用。
1.4信任管理主要实现方案
自从Blaze提出信任管理的概念以来,研究人员提出了许多信任管理的实现方案。
因为信任概念本身的复杂性,所以分类比较困难。
根据文献[1]将信任分为相信关系和主观信任,而最近名声系统[21]已经成为信任管理的一个重要领域,需要单独介绍。
相信关系和主观信任关系模型的详细介绍见2.5.4部分和2.5.5部分,名声系统的详细介绍见第五章。
1.5信任管理模型的研究现状
早期的信任管理模型是围绕PKI有关的一些技术进行的,如对于电子商务交易协议(SSL、SET)等协议的分析,此时的信任研究主要是相信关系的验证,信任管理与安全管理是混在一起的,并没有从安全管理中独立出来。
因此这方面的介绍,本文不涉及。
后来在Blaze提出将信任管理的概念从信息安全中独立出来后,才显现出信任管理的研究高潮。
此时,一方面用新的思想来研究PKI,一方面讨论信任本身的含义及电子商务中的信任问题。
研究的对象,除了传统的PKI外,近两年来主要是集中在P2P的框架以及虚拟电子商场等方面。
关于电子商务环境下的在线信任的各种研究见文献[126]。
1.5.1国外信任管理模型领域的研究现状
Friend-Of-A-Friend(FOAF)
利用FOAF的扩充表达信任。
网络上的主体构成一个社会网络,将信任看做为一个人在某一主题下的可信度和可靠性。
对每个用户,信任计算算法都要在社会网络图中漫游[29]。
每个用户赋予三个度量指标:
最小容量的路径层次、最大容量的路径层次和加权平均容量路径层次。
通过计算每条路径的网络流量,来决定计算最小和最大容量路径。
在给定路径上,信任源能给予的信任最大量限制在不大于沿着该路径上边的最小权。
PeerTrust[31]
基于名声的信任管理模型,主要强调对等网络中的电子商务应用。
其网络计算模型为P-Grid[32]。
该项目也是作者的博士论文的一部分。
P2PRep[33]
基于名声的信任管理模型,用于文件共享的对待网络,采用投票表决的方式评估文件提供方的名声,根据不同投票方的信任度估算提供方的可信度。
所投票传输时采用公钥加密,进一步提高了系统的安全性。
SECURE[22,35,36]
一个欧盟研究项目(IST-2001-32486),主要研究如何建立一个适合于普适环境下漫游的实体的安全环境,这是一个雄心勃勃的计划。
其中心任务是开发一个可计算的信任模型,该模型将为信任的推理和可验证的安全策略的部署提供形式化基础。
同样,试图理解信任如何在系统形成、进化和应用,安全策略如何以信任和反映了策略实现的存取控制的名义表达,信任管理算法如何能够方便地适用于范围广泛的不同应用。
通过形式化模型来理解信任并进而表达上述要求,也有助于理解信任作为一种嵌入在模型中的安全决策制定的可行基础。
研究结果将发展成包括信任管理算法的软件框架,信任管理包括处理信任形成、信任演化和信任传播的算法。
TrustBuilder[37,38,39,40,41]
这是目前在谈判研究领域中一个最有影响的方法。
为了实现在多个安全领域间的交互,TrustBuilder信任管理系统通过逐渐暴露数字凭证,在陌生人之间建立信任关系。
Trust-X[42,43,44]
对等网络中的信任建立框架,也是一个基于协商的信任管理模型。
P2P系统中信任与名声问题[30]
美国史坦福大学计算机系的博士生毕业论文,重点研究P2P系统中的信任与名声机制。
网络口牌(“wordofmouth”)[97,122]
MIT的Dellarcas教授领导的一个小组,专门研究口牌与名声机制。
IBM信任模型建立框架[28]
IBM把信任建立看做为电子商务使能技术组件。
他们认为可以用证书来解决电子商务交易中的根本信任。
证书可以由各种各样的主体发布,担保特定角色中的实体,例如担保某人是买者或卖者或者
既是卖者又是买者。
IBM用证书开发了一个基于角色的存取控
制模型,一个基于Java的信任建立模型和信任策略语言。
这一系统与PolicyMaker很相似,但允许否定策略阻止存取。
默认证书版本是X.509v3,也支持其他形式的证书。
信任建立模型验证客户的证书并把它映射到一个角色中去。
证书不需要和用户的身份绑定,但只能说明用户是XYZ公司的雇员或用公钥映射到一个角色中去。
用信任策略语言规定本地策略,规定允许哪些角色。
信任策略语言语法用XML描写。
与信任管理有关的几个国际会议
近两年来,除了在电子商务、信息安全、网络通讯以及P2P网络的国际会议中出现在大量的关于信任管理的论文外,还举行了几个重要的国际会议:
信任管理国际会议(Trust:
InternationalConferenceonTrustManagement),2003和2004年分别举行一届,2005年在法国举行。
这是信任管理最重要的一个专门学术会议;
电子商务中的信任、隐私和安全国际会议(TrustBus:
InternationalConferenceonTrust,Privacy,andSecurityinDigitalBusiness),2004年为第一届,2005年在丹麦的哥本哈根(Copenhagen)举行。
信任、安全和名声国际研讨会(TheInternationalWorkshoponTrust,Security,andReputation),这是国际语义网络(ISWC2004)中的一个专题研讨会;
信任、推荐、证据以及其他协作问题研讨会(ACMSAC'05TRECKTrack:
Trust,Recommendations,EvidenceadotherCollaborationKnow-how),这是一个关于信任管理的专题研讨会。
1.5.2国内信任管理模型领域的研究现状
1.基于模糊集合理论的主观信任管理模型研究[1]
北京大学的唐文等人,研究了开放网络环境中基于模糊集合的主观信任管理模型,考察了主观信任的模糊性,运用模糊集合理论对信任管理问题进行了建模,引入模糊集合论中隶属度的概念来描述信任的模糊性,并定义了信任向量作为信任的度量机制,提出了运用概念树来描述和定义信任类型的方法,定义了主体信任的形式化表示,并提出了信任关系的推导规则,构造了一个完整的主观信任管理模型。
2.软件服务协同中信任评估模型的设计[45]
南京大学的徐锋等人面向基于Web的多个软件服务组成的软件服务协同系统,从解决软件服务之间的信任问题的角度,提出了一个信任评估模型,用于度量软件服务间的信任关系。
在模型中,信任被抽象成一个由信任评估主体对客体的主观期望和客观经验共同作用的函数,模型还提供了一个合理的方法用于综合直接经验和第三方推荐经验。
该信任评估模型强调了合理性和可操作性,可为软件服务之间的协同与安全决策提供依据。
3.构造基于推荐的peer-to-peer环境下的Trust模型[46]
国防科学技术大学的窦文等人,针对文件共享等对等网络环境中节点间的信任关系的困难,参考人际网络中基于推荐的信任关系建立方法,分析了现有模型的迭代收敛性、冒名、诋毁等方面存在的问题,提出在节点推荐的基础上建立peer-to-peer环境的信任模型,给出了模型的数学分析和分布式实现方法。
4.普适计算领域中的基于信任云的信任管理模型[47]
北京航空航天大学的HeRui等人,针对普适计算领域实体间信任关系的不确定问题的处理,提出了一个基于云理论的信任管理模型,该模型将实体间的信任看做是一片云,并定义为“信任云”,信任云应用概率来表示,
升级会员 