信任是信息安全的基石,是交互双方进行身份认证的基础。信任涉及假设、期望和行为。信任与风险相关联,信任关系的建立不可能总是完全自动的,这意味着信任的量化衡量比较困难,但信任可以按级别衡量和使用,以确定身份和访问控制的级别。一、信任的分类信任通常分为两类:身份信任和行为信任。基于身份的信任采用静态控制机制,即在用户实现对目标对象的访问之前限制用户的访问权限。基于行为的信任通过实体的行为历史和当前行为特征动态判断目标实体的可信度。基于行为的信任包括直接信任(DirectTrust)和反馈信任(IndirectTrust)。反馈信任也可以称为推荐信任、间接信任或声誉(Reputation)。(1)基于身份的信任基于身份的信任使用静态认证机制(StaticAuthenticationMechanism)来决定是否授权一个实体。常用的技术包括加密、数据隐藏、数字签名、身份验证协议和访问控制策略。目前,基于身份的信任技术研究已经相当成熟并得到广泛应用。大多数应用系统通过用户认证、安全身份相互认证、通信加密、私钥保护、安全委托、单点登录等安全技术,防止非法用户通过网络使用或获取目标对象的任何资源,从而保护数据和计算结果。安全点。例如,当实体A与实体B交互时,他们首先需要验证对方的身份。也就是说,信任的首要前提是确认对方的身份,否则,与虚假、恶意的实体进行交互,很可能造成损失。基于身份的信任是信任的基础。在传统安全领域,身份信任问题得到了广泛的研究和应用。在当今复杂多变的网络环境中,基于身份的信任在安全模块的设计中固然是必要的,但仅靠它并不能解决网络系统面临的所有安全问题。虽然基于身份的信任机制可以在一定程度上保护网络系统的安全,但是在开放的网络环境中,明显存在以下问题。1)在基于身份信任的系统中,必须预先确定管理域内和管理域间的资源是可信的,用户是可靠的,应用是无害的。然而,在基于网络的计算系统中,交互实体之间的不熟悉和共享资源的敏感性已经成为跨管理域信任建立的障碍。该网络涉及不同安全域中的数百个计算资源。大量计算资源的介入,将导致各个实体(如应用、用户、资源)之间无法直接建立事先信任关系。2)在基于身份的信任系统中,以前受信任的用户或资源也可能随着时间的推移变得不可信,期望所有用户对自己的行为负责是不现实的。由于大多数网络平台都允许应用程序运行在计算资源上,因此网络计算资源会被应用程序部分控制,恶意用户可以通过运行网络应用程序来攻击系统。应用程序运行在网络计算资源上时,需要占用一定的计算资源,即使用计算机上的CPU计算能力、内存空间、磁盘空间等资源,同时也使用操作系统的系统调用。在这种情况下,如果合法注册的用户是恶意用户,他可以发现计算机系统的漏洞,获取其他用户的信息资源,甚至可以通过在网络计算环境中执行应用程序(或任务)来攻击网络系统,破坏了网络资源的完整性。(2)基于行为的信任基于行为的信任是指两个或多个实体,一个实体评价其他实体在交互过程中的历史行为表现,即评价其他实体产生的能力的可靠性。确认。基于行为的信任在实体安全验证中往往比身份或授权更具不可否认性和权威性,更符合社会实践中的信任模型,因此具有较高的研究价值。2.信任的属性信任的属性包括信任的动态性、不对称性、传递性和衰减性,分别解释如下。(1)信任的动态性信任关系不是绝对的,而是动态的。在实体A和实体B交互之前,双方之间不存在信任关系,即A不信任B在某一方面进行特定操作或提供特定服务的能力。通过推荐介绍,A和B建立互动关系后,如果B总能按照A的期望完成任务,A对B的信任度就会逐渐增加。(2)信任的不对称性信任的不对称性也称为信任的主观性。具体来说,A对B的信任不等同于B对A的信任;实体A对B的信任不一定等于B对A的信任。信任可以是一对一、一对多甚至多对多的关系。图1显示了这些信任关系模型。图1信任关系模型(3)信任的传递性当两个实体之间存在多次交互历史时,双方可以根据历史行为相互评价,这种方式建立的信任关系称为直接信任;当没有协作关系时,或者当交互的一方需要更多地了解另一方时,第三方实体的推荐信息往往被用来为信任决策提供参考。这样建立的信任关系称为反馈信任,即A信任B,B信任C,则A也信任C。信任中存在的推荐关系表明信任在一定程度上具有传递性。(4)信任衰减信任有随时间衰减的趋势。在某一时刻T,实体A信任实体B,但经过一段时间后,A和B在这段时间内没有交互关系,那么A对B的认知度会随着时间的推移而降低,即A不确定B当前是否能够像在时间T那样行事,从而表明A对B的信任度下降了。这表明在实体交互过程中,近期的交互活动更能体现实体的可信度。3.信任管理1996年,Blaze等人为了解决Internet上网络服务的安全问题,提出了信任管理(TrustManagement)的概念,并首次将信任管理机制引入到分布式系统中。随着基于互联网的各种大型开放应用系统(如网格、普适计算、P2P、Adhoc、Web服务、云、物联网等)的出现和应用,信任关系、信任模型和信任管理研究逐渐成为信息安全领域的研究热点。近10年来,科研人员在信任关系、信任模型和信任管理等方面开展了深入的研究工作,取得了很大的研究进展,主要体现在以下三个层面。(1)基于策略(或凭证)的静态信任管理技术Policy-BasedorCredential-BasedStaticTrustManagement(基于策略或凭证的静态信任管理)技术主要是基于Brazer等人提出的信任管理。该概念在实体可信的基础上为实体提供资源访问权限,并以信任查询的形式提供分布式静态信任机制,对于解决单域环境的安全可信具有很好的效果。在这种可信保证体系中,信任关系是通过证书或证书链获得的。如果没有证书链,则表示不存在信任关系,否则为完全信任。可以通过撤销凭证来撤销信任关系。基本原理继承自基于身份的静态信任验证机制。主要方法是应用策略建立信任、集中管理和交换凭证,从而增强访问控制能力。为了使信任管理独立于特定的应用程序,Blazer等人。还提出了通用的信任管理框架,如图2所示。其中,信任管理引擎(TrustManagementEngine,TME)是整个信任管理模型的核心,它体现了一种通用的、应用无关的一致性检查算法,并可以输出请求是否Permitted的判断结果。图2基于策略(或证书)的信任管理框架信任管理引擎是信任管理系统的核心。信任管理引擎的设计将涉及以下主要问题:①描述和表达安全策略和安全信任凭证;②设计一致的策略③划分信任管理引擎和应用系统的功能。基于策略(或证书)的静态信任管理技术本质上是用一种精确的、静态的方式来描述和处理复杂的、动态的信任关系,即通过程序以形式化的方式验证信任关系。其研究的核心问题是访问控制信息的验证,包括凭证链的发现、访问控制策略的表达与验证等。应用开发者需要为信任评估制定复杂的安全策略,这种方法显然不适合处理运行时动态演化的信任关系。此外,基于策略(或证书)的静态可信保证技术主要分析身份和授权信息,重点研究授权关系、委托等实体行为对实体信任关系的影响。而且,在基于策略(凭证)的静态可信保障体系中,必须预先确定管理域内和管理域之间的资源是可信的,用户是可靠的,应用是无害的。然而,在云计算、边缘计算、物联网等大规模开放式网络计算系统中,交互实体之间的生疏性和共享资源的敏感性已经成为跨管理域建立信任的障碍。大规模开放网络计算涉及不同安全域的数以万计的计算资源。大量计算资源的介入将导致各种网络实体(如应用、用户、资源等)之间无法直接建立事先信任关系。(2)基于证书和访问控制策略相互公开的自动信任协商技术,应用于开放自治网络环境下的在线服务、供应链管理、应急响应等具有多个安全管理自治域的应用。虚拟组织之间的资源共享和协同计算需要一种快速有效的机制在大量动态分散的个人和组织之间建立信任关系,而服务之间的信任关系通常是动态建立和调整的。需要依靠协商来达到协作或资源访问的目的,以维护服务自治和隐私等安全需求。为解决上述问题,Winslett和Winsborough提出了自动信任协商(AutomatedTrustNegotiation,ATN)的概念。ATN通过协作网络实体之间信任凭证和访问控制策略的交互公开,逐步为各方建立信任关系。当访问者与资源或服务提供者不在同一个安全域时,传统的基于凭证和策略的访问控制方法无法有效控制访问者的行为,而ATN可以为合法用户访问资源提供安全保障,防止未经授权的访问非法用户访问。ATN的优势在于:陌生人之间的信任关系是通过参与者属性信息的交换建立起来的,并通过数字证书的公开来实现;协商双方可以定义访问控制策略来规范对方对其敏感资源的访问;协商过程不需要受信任的第三方(如CA)的参与。近年来,对ATN的研究取得了较快的发展,并已应用于一些分布式应用系统中。通过信任凭证和访问控制策略的交互公开,资源请求者和提供者可以轻松建立初始信任关系。自动信任协商技术解决了跨多个安全域的隐私保护和信任建立问题,已成为广域安全合作的一个新的研究领域。其研究和应用在国际上备受关注。但是对于网络实体行为之间的关系,例如如何描述网络实体的信任属性,如何对网络实体行为之间的关系进行动态建模,如何建立信任属性与实体行为之间的内在关系及其严格描述等,尚未进行深入研究。在复杂开放的网络环境中,随着网络规模的增加、涉及资源的种类和范围、应用复杂度的增加、计算模型的创新等,都需要学者研究信任和信任的动态属性。它与他人的关系。深入探讨网络实体行为的关系问题。(3)基于行为的动态信任管理1994年,马什首先从社会学和行为学的角度对基于行为的信任管理技术(BTMT)进行了开创性的研究。BTMT,也称为动态信任管理技术(DTMT),最初被广泛研究用于在在线交易社区中建立信任和促进合作。例如在eBay中,用户的高度动态性使得传统的质量保证机制失效,而动态的信任机制可以使松散的系统用户相互评价,系统综合后可以得到每个用户的信任值。不同于基于策略的静态信任管理技术和基于证书和访问控制策略交互公开的自动信任协商技术,动态信任管理技术和相关理论的主要思想是:在建模和管理信任关系时,强调综合考察影响实体可信度的多种因素(尤其是行为情境),重点对实体行为可信度的多个属性进行建模;强调动态收集相关主观因素和客观证据的变化,在a中及时实现对主体信用的评价、管理和决策,动态更新和演化主体信用。信任管理技术在电子商务交易平台中得到广泛应用。与传统信任管理相比,动态信任关系管理具有以下新特点:①需要尽可能多地收集与信任关系相关的信息,并将其转化为影响信任关系的不同量化输入;②在信任管理上,着重于信任关系的动态监管和调整,考察信任关系的多重属性,考虑不同信任关系之间的关联性。因此,需要管理的信任网络的复杂性和不确定性增加了;③在决策支持方面,强调综合考虑信任关系中的主要因素和其他相关安全因素做出决策。因此,动态信任管理中的可信决策需要更复杂的政策支持;④动态信任管理技术需要采用分布式信任评估和分布式决策的形式,需要同时解决不同实体间信任管理的协调问题,根据实体能力的差异采用不同的信任管理策略。4.动态信任管理Blaser将信任管理定义为描述和解释安全策略(securitypolicy)、安全凭证以及用于直接授权关键安全操作的信任关系的统一方法。信任管理系统的核心内容是用于描述安全策略和安全凭证的安全策略描述语言,以及对请求、安全凭证和安全策略进行一致性证明验证的信任管理引擎。具体来说,动态信任管理的主要任务包括以下几个方面。(1)信任关系的初始化主体与客体之间信任关系的建立需要经历两个阶段:主体的服务发现阶段和客体的信任度赋值与评估阶段。当一个对象需要某种服务时,可能有多个服务提供者可以提供某种服务,对象需要选择一个合适的服务提供者。这时候就需要根据服务商的口碑等因素进行选择。(2)行为观察监测主体之间所有交互作用的影响和产生的证据是动态信任管理的关键任务之一,信任评估和决策的依据在很大程度上依赖于观察者。信任值的更新需要根据观测系统的观测结果动态更新。行为观察主要有两个任务:实体间交互上下文的观察和存储,触发信任值的动态更新。当观察系统检测到实体的行为超出权限或实体的行为是攻击性行为时,需要触发对信任值的重新评估。(3)信任评估与计算信任管理的核心工作是根据数学模型建立的运算规则,在时间和观察到的证据上下文的触发下动态地重新计算信任值。实体A与实体B交互后,实体A需要更新信任信息结构表中实体B的信任值。如果这种交互是基于推荐者的交互,那么主体A不仅需要更新自己对实体B的信任值,还要评估向其提供推荐的主体的信任值。这样,信任评价可以部分解决信任模型中存在的问题。恶意推荐问题。5.信任评价与计算(1)信任度信任关系通常有不同的程度,信任计算的目的是为了更准确地描述这种程度。正是因为信任度,它的评价过程才变得重要和有意义。信任的可度量性使得源实体可以利用历史经验来判断目标实体未来的行为,进而获得具体的信任度。信任度是信任程度的量化表示,用于衡量信任程度。信任度(TrustDegree,TD)是信任度的量化表示。信任度可以根据历史交互经验推导出来。它反映了主体(Trustor,也称为源实体)对客体(Trustee,也称为目标实体)的能力、诚实和可靠性的理解,以及目标实体的未来。行为判断。TD可以指信任度、信任值、信任度、可信度等。信任度可以通过直接信任度和反馈信任度来综合衡量。在这里,直接信任来自与其他实体的直接接触,而反馈信任是一种口耳相传的名声。图3给出了直接信任和反馈信任的图形描述。图3直接信任和反馈信任一般来说,信任关系不是绝对的,而是动态的。A信任B提供某种服务的能力。随着与B交互次数的增加,A会根据每次交互的成功与否,逐渐调整对B的信任,形成A对B的直接信任。此外,信任还存在反馈关系。当一个实体之前没有与一个实体直接交互过时,它只能参考其他实体提供的反馈信息,根据自己的策略判断交互实体的信任度。图3中,如果A信任B,B信任C,则A对B提供的某个信任目标对目标C有一定程度的信任,B为推荐人,A直接信任B,A信任C.反馈信任。如果D对E有直接信任,而A对D没有直接信任(不信任),那么A对E是一种什么样的信任关系?目前有两种看法。一种是接受来自陌生节点的推荐信息。在该方法中,如果E请求A提供的服务,而A事先并没有关于E的任何信息,A将使用广播的方式在全网查询E的推荐信息,然后进行收集到的推荐信息。聚合得到E的反馈信任度。另一种是A只相信可信节点的反馈信息,不采纳陌生节点的反馈信息。因此,图3中A不会通过D形成对E的反馈信任度。第一种方式虽然简单,但不符合人类社会对推荐过程的认知,容易引起陌生人的恶意反馈节点。第二种方式是更符合人类认知的反馈聚合机制。根据以上描述,下面给出直接信任度、反馈信任度和整体信任度的定义。直接信任度(DirectTrustDegree,DTD)是指实体之间通过直接交互体验获得的信任关系的度量值。直接信任度是基于源实体和目标实体之间的交互体验。随着双方交互的深入,源实体和目标实体之间的信任关系将变得更加清晰。与来自其他来源的信任关系相比,源实体将更倾向于根据直接经验来评估目标实体的信任度。反馈信任度(FeedbackTrustDegree,FTD)是指实体之间通过第三方的间接推荐而形成的信任程度,也称为Reputation、RecommendationTrustDegree、IndirectTrust等(本书统称为反馈信任)。反馈信任基于中间推荐实体的推荐信息。根据源实体对这些推荐实体的信任程度,也会在不同程度上选择推荐信任。然而,由于推荐实体的不稳定性,或恶意伪装的推荐实体的存在,反馈信任的可靠性难以衡量。总体信任度(OverallTrustDegree,OTD),又称综合信任度或全局信任度。信任关系的评估是指源实体基于直接交互获得对目标实体的直接信任关系,并基于反馈获得目标实体的推荐信任关系,对目标实体的综合信任评估可以将两种信任关系结合起来得到。(2)信任度计算信任度计算是身份认证的前提。下面介绍一种典型的信任度计算方法。1)基于加权平均的整体信任度计算目前的信任模型在获取整体信任度时大多采用直接信任度和反馈信任度的加权平均法进行聚合计算:其中,Pi和Pj为两个交互实体,Γ(Pi,Pj)为整体信任度,ΓD(Pi,Pj)为直接信任度,ΓI(Pi,Pj)为反馈信任度,W1、W2为直接信任度和反馈信任度的分类权重分别度。当W1=0时,信任由推荐决定;但当W2=0时,信任是由行为观察决定的。(2)基于历史证据窗口的整体信任度计算在信任管理系统中,信任评估和预测是基于系统检测到的一些交互上下文数据,这些数据存储在主节点的本地数据库中。这些上下文数据称为历史证据。信任管理系统设定的参与信任评估的最大历史记录数称为历史证据窗口(HEW)。基于HEW的整体信任度计算方法可以定义如下:其中,h为信任评价主体本地数据库中存在的Pi与Pj交互的历史证据(样本)总数,H为系统参与信任度评价设置的最大历史记录数,即历史证据窗口HEW,W1和W2分别为直接信任度和反馈信任度的权重。当服务请求者(ServiceRequester,SR)向服务提供者(ServiceProvider,SP)提出服务请求时,SP需要评估和预测SR的整体信任度,然后根据预测结果,进行访问控制module的决策函数决定了SR可以获得的服务级别(ServiceLevel)。为了预测SR的整体信任度,SP会先在本地数据库(EvidenceBase)中检索与SR直接交互过的证据,统计系统设定的有效时间内证据的数量h。如果h≥H,说明SP可用的有效直接证据数量足以判断SR的可信度。此时信任管理系统只需要计算直接信任度,计算结果即可作为SR的整体信任度。花费。如果0
