信任模型

信任模型（精选九篇）

信任模型 篇1

作为重要的信息安全保障基础设施,采用公钥基础设施PKI实现身份鉴别,结合授权管理基础设施PMI[1,2]进行授权统一管理,已经在电子政务与电子商务应用中实现。但是,随着信息化应用的深入,产生了越来越多的跨信任域之间的互操作要求,在跨信任域访问过程中,应用系统无法判断其他域用户在本域应用中对应的属性信息,无法针对跨域用户身份进行合理授权。因此,Bridge CA[3]以桥CA来实现跨域的信任体系,Shibboleth[4]通过Web中间件实现分布式的Web资源访问控制,D.Chadwick等将Shibboleth与PMI相结合进行分布式授权[6]。但是这些方法要求所有主体共享同一个基础网络平台,不能解决逻辑隔离的信任域之间的信任与授权,并且耦合过多,不利于工程实现,也不利于系统未来的升级改造。

本文提出基于身份映射、信任边界授权、信任域内部授权结合的跨信任域授权模型CTRA(Cross Trust Regions Authorization Framework),有效地解决了跨信任域信任与授权的问题,并且在该模型的基础上设计了可信边界安全网关TBSG,在实际应用中取得良好的效果。

1 跨信任域授权模型

1.1 ISO10181访问控制框架与PMI授权模型

在ISO/IEC 10181-3标准[5]中,定义了访问控制系统设计的一些基本功能组件(access control functions),并且定义了组件间的通信(如图1所示)。访问控制的组件包括:发起者主体(Initiator)、访问控制执行单元AEF(Access Control Enforcement Function)、访问控制决策单元ADF(Access Control Decision Functions)、目的客户(Target)。

在PMI的访问控制模型[2](如图2所示)中,AEF通过PKI认证发起者主体的身份,ADF从LDAP中取得访问控制策略与角色的属性证书,将决策返回AEF执行访问控制。

1.2 跨信任域授权模型CTRA

跨信任域授权模型CTRA如图2所示,实现了对信任域A中的发起者主体访问信任域B中的目标客体的授权访问控制。过程如下:

(1) 发起者主体Initiator向AEF提交签名的访问请求;

(2) AEF通过信任域A的PKI鉴别请求者身份,并验证请求合法性;

(3) AEF向ADF提交访问决策请求,访问决策请求符合信任域A的PMI接口标准;

(4) ADF从信任域A中提取策略与角色属性证书;

(5) ADF从信任域B中提取策略(包括角色映身策略)与角色属性证书;

(6) 边界授权:ADF中Local ADF 单元验证Initiator有没有访问目标客体的权限;

(7) 角色映射:ADF中的Role Map单元返回信任域A中角色所对应的信任域B中的角色;

(8) ADF用信任域B中的角色身份重新提交给信任域B中PMI的AEF单元(AEF-B);

(9) AEF-B通过信任域B的PKI鉴别请求者身份,并验证请求合法性;

(10) AEF-B向信任域B中的ADF(ADF-B)提交访问决策请求,访问决策请求符合信任域B的PMI接口标准;

(11) ADF-B从信任域B中提取策略与角色属性证书;

(12) ADF-B中验证信任域B的对应角色有没有访问目标客体的权限;

(13) ADF-B将访问决策返回AEF-B;

(14) AEF-B向目标客体执行访问。

2 跨信任域授权模型的实现

2.1 可信边界安全网关

我们设计了可信边界安全网关TBSG(Trust Boundary Security Gateway)来实现跨信任域授权模型。TBSG主要功能包括:

(1) 跨域用户身份信息认证:基于PKI的认证,验证发起者主体的用户证书信息的有效性以及获取用户的源域信息;

(2) 跨域用户授权:根据发起者主体用户证书的认证结果和用户源域判断该用户在访问目标域中的访问权限;

(3) 跨域用户证书映射:根据跨域用户权限的判断结果,将来自访问发起源域用户证书映射到访问目标域的对应权限的身份证书;

(4) 实施访问:通过使用访问目标域中的对应身份权限,利用目标域PMI机制向目标域中的客体发起再授权请求与实施访问;

(5) 安全审计:所有的访问请求将被审计。

2.2 目标客体安全域内的再授权

一个完整的跨域访问授权受到TBSG访问控制策略以及目标域内授权服务器两个因素制约,TBSG的访问控制策略与目标域授权服务器的安全策略可能会有不同,即TBSG允许访问的资源在目标域中的授权服务器中可能是被禁止访问的,而TBSG禁止访问的资源在目标域中的授权服务器中则有可能是允许访问的。本着最小授权的原则,只有两者均被授权,访问才能最终实施。

2.3 级联授权

若需要进行级联性访问授权模式扩展,可以直接在每个信任域边界进行身份信息映射以及授权控制。如图3所示。

信任域A的用户将在访问信任域N过程中受到信任域B、信任域C,直到信任域N边界认证网关以及N域的授权服务器进行授权与访问控制。

2.4 与其它认证与授权系统的比较

TBSG连接了多个不同的信任域,实现跨域的信任与授权,与文献[4,5]中Shibboleth及其PMI扩展的分布式信任与授权体系相比,有以下优点:

(1) 认证过程不需要重定向。Shibboleth在接受主体请求时,资源站点要将访问请求重定向到用户的信任域主站点进行身份的认证。CTRA 模型的实现,直接采用源信任域的PKI系统,不需要主站点,也不需要重定向的认证过程;

(2) 可以实现两个逻辑隔离的信任域的授权访问。CTRA模型连接的两个信任域可以是逻辑隔离的,除了TBSG网关以外,这两个信任域之间可以没有对方任何信息,从而保证了信任域的独立性与安全性;

(3) 采用TBSG实现CTRA模型,充分利用两个信任域现有的信任与授权体系,不需要原有的系统做任何改造;

(4) 可以实现级联的认证与授权。CTRA模型可以在多个信任域之间级联,形成跨多个域的授权访问控制机制。

3 在电子政务中的应用

《国家信息化领导小组关于我国电子政务建设的指导意见》中明确了电子政务网络的体系架构:电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。因此,在电子政务系统中,存在纵向与横向划分的多个逻辑隔离的信任域,在这样的体系结构中的电子政务信息共享是一个难点[7]。

采用TBSG连接两个不同机关的电子政务系统,利用电子政务系统的PKI与PMI基础设施,可以方便地实现从一个机关对另一个机关的资源的授权访问。该方案已经在某些电子政务的领域得到了实施,大大地提高电子政务信息共享与业务协同。

4 结束语

在复杂的大系统的信息网络环境中,解决不同等级的安全域之间的信任与授权问题,建立跨不同安全域的信息交换与共享的可信计算平台是一个重要课题。本文提出的跨信任域授权模型CTRA及其实际应用的研究为国家基础网络与重要信息系统之间的数据交换与信息共享提供安全保障。

摘要：分析ISO10181访问控制框架与权限管理基础设施PMI,提出了跨信任域的授权模型CTRA。并用可信的边界安全网关实现该模型,解决了跨不同信任域的信任与授权问题,建立了跨不同安全域的信息交换与共享的可信计算平台。

关键词：公钥基础设施,权限管理基础设施,信任域,认证,授权

参考文献

[1]ISO9594-8/ITU-TRec.X.509.The Directory:Public-key and attrib-ute certificate frameworks,2001.

[2]Chadwick D,Otenko S,Welch V.Using SAML to link the GLOBUS toolkit to the PERMIS authorization infrastructure.Proceedings of Eighth Annual IFIP TC-6TC-11Conference on Communications and Multimedia Security,Windermere,UK,15-18September2004.

[3]FBCA.US Government PKI Cross-Certification Criteria and Methodology.http://www.cio.gov/fbca/documents/crosscert-method-criteria.pdf.

[4]Cantor S.Shibboleth Architecture Protocols and Profiles,Working Draft02,22Sept.2004.http://shibboleth.internet2.edu/.

[5]ITU-T Rec X.812(1995),ISO/IEC10181-3:1996,Security Frame-works for Open Systems:Access Control Framework.

[6]Chadwick D,OtenkoS,Xu W.AddingDistributed TrustManagementtoShib-boleth,4thAnnual PKI R&D Workshop-Proceeding,NIST,August2005.

信任模型 篇2

【中文摘要】P2P(Peer-to-Peer)网络是目前的研究热点,在现实中取得了广泛的应用。P2P不同于传统的基于C/S(客户机/服务器)模式的网络,强调加入节点的逻辑对等关系,网络中的每个节点既可以作为客户端获取服务也可以作为服务器向其他节点提供服务,两个对等点可以直接互连进行文件传输,整个传输过程无需中心服务器的介入。由于P2P网络具有匿名性和高度自主性的本质属性,节点可以随意的加入、离开网络,部分节点在缺乏有效管理的情况下上传虚假资源、病毒干扰系统的正常运行,降低P2P网络的性能。对P2P的安全性提出了挑战,信任模型的引入可以很好的规范节点的行为,减少恶意节点的数量,提高P2P网络的可用性。另外,如何从众多资源中快速、准确的搜索到自己感兴趣的,安全可用的资源,是P2P搜索研究的一个重点。信任模型在P2P安全方面起着重要的作用,通过分析已有信任模型的优缺点,提出一种基于超级节点的P2P信任模型TSN(Trust Super Node)。考虑节点的响应时延因素,改进了模型节点加入算法和节点信任值的计算方法。TSN模型中对节点的信任值采用了直接信任和问接信任相结合的方式,提高了信任值计算的精确性,模型还采取了相应的健壮性策略,增强了抗攻击能力。通过仿真结果表明,与已有的信任模型相比,TSN具有较高的成功请求率和系统安全性。分析了现有搜索算法的优缺点,结合TSN信任模型,改进源节点请求算法和中继节点的转发、响应算法,提出了基于信任模型的搜索算

法SAT(Search Algorithm based on Trust Model),使查询请求能命中信任值高的节点,而信任值高的节点能提供真实可靠的资源,从而提高搜索的成功率。同时,采取了高速共享资源缓存机制和无重复转发机制以减缓搜索的时延。仿真实验表明,与Random-walk算法相比,SAT算法具有更高的搜索成功率和更短的搜索时延。

【英文摘要】P2P(Peer-to-Peer)network is a new kind of network that had obtained wildly application.P2P changes the mode of tradition network named C/S(Client/Server), demands logical reciprocal between peers, every peer in network can play two role both as client that acquires services and as server that provides services, files can transport directly between two peers without the help of center server.Peers can add in and off network as one pleases own to that P2P network’s essential attribute named anonymity and independent, some peers upload fake resource, computer virus deliberately under the situation without management in order to disturb system operation.The measure that pull trust model in P2P network can reduce the number of malicious peers and make peers’behavior standard, improve the availability of P2P network.How to search the needing resource fast and accurate from share files is a research focus for P2P technology.Author analysis features and defect about these model existed, propose a trust model

based on super node named TSN(Trust Super Node).This model improves these algorithms about joining of node, trust degree of peers between groups, Peers’similarity and response delay are considered to trust calculation.TSN model weights for direct trust and indirect trust are dynamically adjusted.Strategies are considered for model’s robustness.The simulation shows that propose model has advantages in successful request and system security over the exiting P2P trust models.Author analysis features and defect about these searching algorithm existed, propose a new algorithm named SAT(Search Algorithm based on Trust Model), this algorithm improves the query algorithm combining forward and response algorithm under the TSN trust model, the share resource cache and no-echo forward mechanism are considered to reduce search delay and make response message from the high trust value which can provide real resource.The simulation shows that propose have advantages in successful request and search delay over the Random-walk algorithm.【关键词】P2P网络 搜索技术 信任模型 超级节点

【英文关键词】P2P network search technology trust model super peer 【目录】P2P信任模型与搜索技术研究

摘要

6-711-19Abstract7目录8-1

111-1

2第1章 绪论

1.2 论文研究1.1 论文研究背景与意义现状12-1612-1

31.2.1 网络信任模型的研究现状1.2.2 P2P搜索技术的研究现状13-16

1.4 论文结构17-19

1.3 论文研究的问题16-17术19-291922-23

第2章 P2P技2.1.1 P2P网络概述2.1 P2P网络定义19-222.1.2 P2P网络分类19-222.3 P2P应用领域23-2

42.2 P2P特征

2.4 P2P网络面临的安

2.6 本章全问题24-26小结28-29-TSN29-42络信任问题的提出29-30-TSN30-40思想32-34

2.5 P2P搜索技术的优势26-28第3章 基于超级节点的信任模型3.1 P2P网络信任模型29

29-30

3.1.1 P2P网

3.1.2 现有信任模型存在的问题3.2 基于超级节点P2P信任模型

3.2.1 概念介绍30-32

3.2.2 TSN模型基本

3.2.4 TSN

3.2.3 节点的加入、退出34-37模型信任值的管理算法37-3939-403.3 本章小结40-42

3.2.5 模型的健壮性策略

第4章 基于信任模型TSN的搜索算法-SAT42-5642-4342-43

4.1 P2P搜索的原理

4.1.2 P2P搜索流程

4.2.1 4.1.1 P2P搜索原理424.2 基于信任模型的搜索技术43-45P-Grid路由算法43-4444

4.2.2 Local-indices算法

4.3 4.2.3 QAA(Query Agent Algorithm)算法44-45

基于信任模型的P2P搜索算法-SAT45-55法(Random Walk)46-47

45-46

4.3.1 随机漫步算

4.3.2 数据结构设计

4.3.4 基于TSN模

4.3.6 无第5章 仿真4.3.3 命令协议设计47-49型的搜索过程49-54重复转发机制54-55实验及结果分析56-6556-6056-5859-6060-646164-656565

4.3.5 高速缓存机制544.4 本章小结

55-56

5.1 TSN信任模型仿真实验

5.1.2 P2PSim的类结构5.1.4 实验结果分析5.1.1 仿真环境565.1.3 仿真过程58-595.2 基于信任模型的P2P搜索算法仿真实验5.2.1 仿真环境60-615.2.3 仿真结果分析61-64第6章 总结与展望65-676.2 后续工作展望65-67

5.2.2 评价标准5.3 本章小结6.1 工作总结6.2.1 展望

信任模型 篇3

摘要：已有文献在探讨和实证学习导向对企业创新绩效的正向影响的同时，却缺乏学习导向对企业创新绩效的影响机制的探索。文章把视线投向学习导向、团队信任与企业创新绩效的三者关系，从理论层面分析了学习导向、团队信任对企业创新绩效的影响，探讨了团队信任在学习导向和企业创新绩效关系中的地位和作用，并构建起学习导向对企业创新绩效作用机制的理论模型。

关键词：学习导向；团队信任；企业创新绩效

一、 引言

近年来，随着学习型组织浪潮的兴起，诸多学者以学习导向为前因变量，从理论和实证两方面探讨和检验了其对企业创新绩效显著的正向影响（Hurley & Hult，1998； Baker & Sinkula，1999；Garrido & Camarero，2014）。然而，在学习导向对企业创新绩效的影响机制这一问题上，仅有少数文献从知识整合、知识转移、知识吸收能力和创新能力（蒋天颖等，2009；康青松，2015）等几个角度进行了探讨，难以完全打开学习导向对企业创新绩效影响机制的黑箱。

研究表明：在有信任关系的人之间才会发生知识分享和互相学习（郑任伟和黎士群，2001），如果企业成员间无法相互信任，无论有多少技术支持，其结果也只能是失败，信任是分享知识和合作的基础（Davenport，1998），认知型信任和情感型信任都会对复杂知识共享产生显著影响，且认知型信任的影响强于情感型信任（Chowdhury，2005）。

虽然已有学者把团队信任作为中介变量，对团队气氛、变革型领导行为与创新绩效的关系进行了研究（Aryee，Budhwar & Chen，2002；Ng & Chua，2006），但对学习导向与团队信任和创新绩效三者间的关系研究极为匮乏，特别是从认知型团队信任和情感型团队信任两个维度对学习导向和创新绩效的中介关系研究更是不足。

本文把视线投向学习导向、团队信任与企业创新绩效的三者关系，试图从理论层面分析学习导向、团队信任对企业创新绩效的影响，通过探讨认知型团队信任和情感型团队信任在学习导向和企业创新绩效关系中的地位和作用，构建起学习导向、团队信任对企业创新绩效的作用机制模型。

二、 文献回顾

1. 学习导向。学习导向是组织创造和利用知识以增强竞争优势的活动，既包括获得和分享顾客需求、市场变化、竞争者行动等信息（Sinkula，Baker & Noordewier，1997），也包括如何影响信息收集以及如何解释、评价和分享信息（Argyris & Schon，1978）。

作为一种组织特征，学习导向表现为：组织鼓励或要求员工以批判的眼光不断地质疑公司既有的准则、价值观以及组织和环境关系的框架假设，不断以新知识进行资源重组，实施适应创新的价值观（Baker & Sinkula，1999）；组织成员能够把他们依循的旧思维方式放在一边，广泛地认识与理解组织的实质性工作，彼此开放学习，形成一致的想法，共同合作完成新的战略（于洪彦和朱辉煌，2013）。

与绩效导向相比，学习导向更注重了解或掌握新知识，追求能力增加，强调与自己过去相比绩效有多少改进（Dweck & Elliott，1983），因此，选择学习导向，必然会在一定程度上牺牲业绩。从成就动机的角度看，学习导向体现了组织关注长远、重视成长的行为倾向和深层价值观。从能力发展的角度看，学习导向能够使企业长期处于高水平的信息处理过程中，并产生有益于理解任务的策略。因此，学习导向有利于企业核心竞争能力的不断提高。研究表明：企业是否选择学习导向，对创新绩效的影响差别很大（Payne，Youngcourt，& Beaubien，2007）。

2. 团队信任。多学科的研究成果表明：人际信任是一切信任的基础。人际信任是不同行为主体因相互交往而形成的一种对对方行为积极稳定的心理预期和相互依赖的关系，表现为：①发自内心的善意，即对交往对象的意图和行为具有积极的心理预期，相信对方不会损害自己的利益，这是人际信任产生的前提（Dirks，2001）；②接受风险的意愿，即便事态发展和预期不匹配，个人也愿意承担自身利益受到损害的后果，而不会怀疑对方是在欺骗或利用自己（Mcknight，Cumings & Chervany，1998）；③认知与情感的融合，人际信任并非凭空产生，而是建立在认知和情感融合的基础上，只有认知没有情感属于理性的预测，只有情感没有认知则是盲目的信心。

学界通常把信任分为认知型信任和情感型信任。就团队信任而言，前者是个体对团队成员是否值得信任的分析和判断，后者是个体与团队成员以情感为基础的相互注意和关心（Chua，Paul & Morris，2008）。认知型信任通常先于情感型信任而存在。Lewick和Bunker（1996）指出：人们最初的信任都是建立在理性计算的基础上的，通过对自己的投入和回报进行计算，期望通过交换带来更好的收益，当人们通过多次重复交易实现了与预期相当或者超预期的回报时，信任关系就会继续发展。在此过程中，通过观察、信息收集和分析，个体对团队成员的需求、偏好和问题解决方式有了更多的了解，并对他们的能力和可靠性产生了稳定的预期，这就形成了认知型团队信任。在此基础上，人们逐渐建立起信任的习惯模式，也就是基于对团队成员意图、角色和身份的认同，下意识启动以往的信任决策，形成不依赖认知评价和第三方信息的习惯性信任，这种习惯性信任就是情感型团队信任（张长征和李怀祖，2006）。

3. 企业创新绩效。熊彼特（1912）认为：创新是通过引进新产品、采用新工艺、开辟新市场、取得原材料的新来源和实现工业的新组织等方式建立一种新的生产函数，以把一种从来没有过的关于生产要素和生产条件的“新组合”引入生产体系，使其技术体系发生变革。创新并不等同于技术发明，也不局限于产品创新，而是一种经济性或社会性的用语，其实质在于赋予现有资源以新的生产能力，从而提升其创造价值的方式和效率（德鲁克，1989）。因此，任何一种可以提升现有生产经营过程的技术、程序、服务或产品都可以视为创新。

企业创新绩效是对企业创新活动效率、产出成果及其对商业成功贡献的总体评价，通常包括创新产出绩效和创新过程绩效两类（高建等，2004），前者是指企业将发明创造市场化的程度，后者涵盖了企业从新概念生成一直到将发明引入市场的整个过程中取得的包括发明、技术以及创新三方面的总体绩效（Hagedoorn & Cloodt，2003）。

三、 理论模型与研究假设

1. 学习导向与企业创新绩效。学习导向对创新绩效的影响主要可分为两个方面：

一是通过改变组织学习方式来提升企业创新绩效。研究表明：组织学习方式的差异会直接导致企业创新形态（McKee et al.，1992）和创新程度的差异。绩效导向的组织学习仅仅是对错误和漏洞的修正，并不改变既有的制度和规范，这种浅层次的利用式学习只能产生温和的适应性创新，而学习导向的组织学习则是通过对企业现有规范和制度的质疑和挑战，以比竞争对手更快的速度持续增强市场信息的处理能力，这种深层次的探索式学习才能产生激进的突破性创新（缪小明等，2010）。

二是通过促进创新氛围的形成进一步提升企业创新绩效。学习导向作为企业的价值观和重要特征，其影响的深入性和持久性突出表现为在企业内部形成了外部组织难以复制和效仿的学习氛围（Dickson，1996）。这种组织氛围是企业特有的竞争优势，不仅能影响个体对绩效和学习的选择，还可以带来更为持久的创新动力，从而提升企业的创新绩效。

Calantone，Cavusgila和Zhao（2002）通过建立学习导向与企业创新和企业绩效之间的关系模型，并对187家大型企业进行实证研究后发现：企业创新和绩效是学习导向的结果变量，学习导向可以显著增加企业的创新能力，提高企业绩效和竞争优势。Garrido和Camarero（2014）的实证研究也表明：学习导向和创新战略影响组织的社会经济绩效。

基于以上分析，我们提出如下假设：

H1：学习导向与企业创新绩效直接正相关。

2. 学习导向与认知型团队信任。学习导向的企业通过知识在企业内部的传递、消化和创造，形成了契合企业价值观的特定认知场域。在这样的场域内，内行的、高绩效的专家团队成员对其绩效环境关键要素的认知理解具有一致性，不需要公开沟通就能有效执行任务。这种建立在团队成员共有的知识结构基础上的、能使他们对团队作业形成正确的解释和预期并协调自己的行为使之适应于团队及其他成员需求的认知解释机制就是共享心智模式。它表明：在学习导向型企业组织内部，对于团队相关环境中关键因素的知识，团队成员共同拥有有组织的理解和心理表征（Klimoski & Mohamed，1994）。

可以看出，学习导向型企业通过知识的传递和整合，促进了团队沟通、加强了团队成员间的工作反馈，激发了信息交流、团队讨论以及计划和策略的产生，从而使企业团队共享心智模型得以产生发展（Mohammed & Dumville，2001）。正是在共享心智模式的基础上，团队成员才能开放地实现深度知识共享，并能立足企业长远发展判断和预测其他成员的行为，也正是在此过程中，团队成员不断加深了对企业的认知型信任度。

基于以上分析，我们提出如下假设：

H2：学习导向与认知型团队信任直接正相关。

3. 学习导向与情感型团队信任。通过在企业内开展一系列的精诚合作、互相学习和帮助，学习导向的企业在实现了组织内部角色和专长、方法和信息互补的同时，通过频繁的讨论、密切的交往在团队中分享认知与理解，培养起面对特殊、复杂情境时的彼此信任（Walter，GuPta & Giambatista，2004）。

团队成员的默契感和信任会极大推动企业整体环境的和谐，进而形成开放、分享和值得信赖的组织氛围，并进一步增进团队成员在思想交流和经验分享时的信任，避免团队成员间因认知冲突产生的情绪紧张和行为对峙，使他们逐步产生互惠的情感，更多地关注他人的情绪和行为，并在彼此关系中倾注更多的情感因素（张涛等，2008），最终在企业内部形成情感认同型的共享心智模式。

研究表明：组织成员在情感方面的共享心智模式越成熟，群体效能感就越强、越能将密切的关系延续到工作以外（武欣、吴志明，2005），这反过来又促进了情感型信任的进一步加深，最终使组织成员行为策略的合适性、集体努力扩散的水平、资源利用效率和人际关系的质量全部达到优化。

基于以上分析，我们提出如下假设：

H3：学习导向与情感型团队信任直接正相关。

4. 认知型团队信任与企业创新绩效。认知型团队信任是基于知识驱动所产生的对他人能力和可靠性的认可，对复杂知识的团队共享（Chowdhury，2005），特别是对显性知识的共享具有显著正向影响（McAllister，1995）。被信任者的能力越强、所掌握的知识越丰富，认知型团队信任度就越高。研究表明：认知型团队信任强度与团队知识分享和互相学习的频率正相关（郑任伟、黎士群，2001），也与团队知识和信息的共享程度正相关，同时，领导者的认知信任能够正向影响员工的创新绩效。

基于以上分析，我们提出如下假设：

H4：认知型团队信任与企业创新绩效直接正相关。

5. 情感型团队信任与企业创新绩效。情感型团队信任是由情感和关系驱动的、强调人际间感情纽带的信任。

情感型团队信任对企业创新绩效具有积极影响（程德俊，2010），其强度大小取决于团队成员的关系强度和情感依赖度。实证研究表明：高水平的上下级信任， 不仅可以极大地节约组织管理和监督的成本，还能促使员工以更高的热情投入，产生比监督更好的效果（Jung & Avolio，2000）。此外，组织中大量非正式网络也能够强化团队成员的高支持感、推动知识分享，提升员工绩效（Aryee，Budhwar & Chen，2002）。

基于以上分析，我们提出如下假设：

H5：情感型团队信任与企业创新绩效直接正相关。

6. 学习导向、团队信任与企业创新绩效。作为组织长远发展的价值观和行为模式，学习导向为企业及其团队成员构建起了共享的心智模式，其中，倾向于形成有关组织任务及目标一致的是任务式共享心智模式，倾向于组织成员间密切相关的互动与协作是协作式共享心智模式。

在任务式共享心智模式基础上形成的认知型团队信任是提高知识传递效率、推动创意产生、完成艰巨任务的必要条件（Tsai，1998），而在协作式共享心智模式基础上形成的情感型团队信任则有利于加深相互了解，促进组织成员自身优势最大化。两种团队信任模式互为支持，共同形成了安全、可信、支持创新的组织氛围。

基于以上分析，我们提出如下假设：

H6：认知型团队信任在学习导向与企业创新绩效间起中介作用；

H7：情感型团队信任在学习导向与企业创新绩效间起中介作用。

据此，我们构建起学习导向、团队信任与企业创新绩效三者间关系的理论模型（如图1所示）。

四、 结论

通过对学习导向、团队信任与企业创新绩效三者关系的理论分析，我们发现：

学习导向、认知型团队信任和情感型团队信任都对企业创新绩效的提升有显著的正向促进，但学习导向还能通过加快共享心智模式的构建增强企业的认知型团队信任和情感型团队信任，并通过这两种团队信任间接提升企业的创新绩效。

本文的理论贡献在于以团队信任为中介变量，分析了学习导向对创新绩效的作用机制，特别是从认知型团队信任和情感型团队信任两个维度分别探讨了它们对学习导向和创新绩效间关系的影响。本文的实践意义在于：提升企业创新绩效的传统思路总是从技术和市场两个方面入手，忽视了企业内部学习导向和团队信任的重要性。而在知识经济时代，知识更新和人员流动的速度不断加快，企业想要保持竞争优势必须具有学习导向，还必须要提升团队信任，只有在这两方面下大力气，才能取得更好的创新绩效。因此，本研究为企业管理创新实践提供了新的发展思路。下一步，我们将在大范围内发放问卷搜集数据，对本文构建的理论模型的实践生命力进行实证检验。

参考文献：

[1] 程德俊.组织中的认知信任和情感信任及构建机制[J].南京社会科学，2010，（11）：51-63.

[2] 高建，汪剑飞，魏平.企业技术创新绩效指标：现状、问题和新概念模型[J].科研管理，2004，（5）：45-47.

[3] 胡恩华，单红梅.企业技术创新绩效的综合模糊评价及其应用[J].科学学与科学技术管理，2002，（5）：51-57.

[4] McAllister D J.Affect-and cognition-based trust as foundations for interpersonal cooperation in organizations[J].Academy of Management Journal，1995，38（1）：24-59.

基金项目：国家自然科学基金重点项目“中国企业雇佣关系模式与人力资源管理创新研究”（项目号：71332002）。

作者简介：赵曙明（1952-），男，汉族，江苏海安人，南京大学商学院名誉院长、特聘教授、博士生导师，研究方向为人力资源管理、企业跨国经营；葛晓永（1976-），男，汉族，江苏睢宁人，南京大学商学院管理学博士生，研究方向为人力资源管理；吴青熹（1981-），女，汉族，江苏南京人，中共江苏省委党校社会学教研部讲师，南京大学商学院管理学博士，研究方向为创新管理。

信任模型 篇4

基于信任域的移动ad hoc网络信任模型的设计思想是:利用移动ad hoc网络的分级结构,将网络划分为若干自治簇,将网络中的节点之间的信任关系分为簇内的信任关系和簇间的信任关系,对于这两种不同的信任关系分别设置不同的策略,此类信任模型通常采用以下策略来实现:

1)簇内信任关系:任意节点维护两张表:直接信任表和推荐信任表。

假设A、B两节点在同一个簇内,如果A节点需要和B节点发生交易,则需要观察B节点的信任值。

2)簇间信任关系:簇间关系的计算比较复杂,为了计算的方便,为每个簇设置信任代理,根据簇的分级结构,将簇头设置为信任代理,称为簇代理,它维护两张表:簇间信任关系表和本簇节点权值表。簇间信任关系表:存储与本簇发生过直接交易的簇的整体信任值。若簇A中的节点A1需要与簇B中的节点B1发生交易,需要得到B1的信任值。

2 模型的基本设计思想

通过对现有基于信任域的信任模型进行分析,针对其存在的缺陷,本文提出以下改进方法:

1)分层的思想。在信任关系上引入分层的思想符合人类社的现实情况,相关研究表明分层思想的引入还能降低信任问题的复杂度[1,2,3]。由于各个簇都有各自不同的安全策略,簇内的信任管理相对容易,但是,各个簇之间由于安全策略不同,很难建立一种通用的安全策略。针对这个特点,本文提出在分层的基础上建立基于信任簇的信任管理模型,在不同的簇之间建立安全信任关系。将采取相同或者相似管理策略的节点归类到同一个簇中,根据管理策略重新对簇进行划分,建立能够有效沟通的簇与簇的信任关系,从而有效的节省网络资源,提高网络使用效率。

模型分为上下两层,上层负责建立簇之间的推荐信任关系,并根据需要进行修改,移动ad hoc网络中的各个节点在发生交易之前根据簇间推荐信任关系和簇内各节点的信任值确定交易是否发生;下层负责对簇内的节点进行行为的监控和评估,对每一个节点赋予信任值,并把该值向其他的簇进行声明。

簇内信任关系的管理是采用集中的方式进行,目的是对簇中的节点信任值进行管理和维护。在每个簇内将簇头设置为管理者,称为簇代理,它为簇内的节点维护一张节点信任表,表中包含每个节点的信任值。当簇内增加一个新节点时,新节点通过簇代理获取一个初始的信任值,然后根据节点在网络中的表现进行相应的调整。

本论文用fA-Ai表示簇A给出的节点Ai的信任值。如果一个节点在与其它节点发生交易的行为中失败的几率很高,它将获得较低的信任值,同时它与其他节点的协作将受到限制。同理,如果一个簇的簇代理错误的或者不能较为准确的提供簇内节点的信任值,这个簇在整个移动ad hoc网络中将获得较低的推荐系数。

在簇间信任关系的管理中,各个簇之间需要建立推荐信任关系。移动ad hoc网络中的各个簇,如果需要与其它簇发生交易,必须要有初始的推荐信任值。例如:簇A的节点需要与簇B的节点发生交易,簇A可以选择曾经与它发生过交易的一个或多个簇作为“推荐人”,相应的簇A也必须为其他的簇提供信任推荐服务。初始的推荐信任值通常并不能真正反映簇之间的推荐信任关系,一般是根据簇与其“推荐人”的熟悉程度,由各个簇自行设定,取值范围为[0,1],这个初始值表示簇A在多大程度上信任簇B的推荐信息[4,5]。该信任值可以根据簇A、B中节点的实际交易情况进行调整,最终可以获得能准确反映簇之间信任关系的信任值。

2)移动ad hoc网络环境中各个簇内节点之间具备自主交易的能力。例如,同一个簇内的节点A1,若A1需要获得某资源,它可以查找A1上直接信任表,得到簇内曾经与A1发生过直接交易的节点列表,并选择信任值高的节点,根据节点的ID号与节点发生交易。这个过程不需要依赖簇代理,可以在簇内部的两节点之间自主进行,从而减少簇代理的工作量,提高网络的吞吐率和工作效率。

3)簇代理作为管理者维护各个节点的信任值。由于各节点退出信任域后,节点上维护的信任表立即消失,因此,为了降低节点退出后,信任值消失,对系统的整体信任造成的巨大影响,降低节点的负担,降低网络的阻塞,在本模型中,各个节点的信任值不仅仅由自身来维护而且是簇代理中也同时对节点的信任值进行维护,因此,节点的加入和退出并不影响整个策的信任情况。

4)由于移动ad hoc网络动态性强,节点的移动对簇的影响较大,随着时间的推移,簇的成员将发生改变,同时将对簇的整体信任值以及簇内节点的信任值带来较大的影响,因此,有必要寻找合适的衰减函数,考虑时间因素对信任值的影响。

5)节点之间发生交易后,交易的结果对信任值也是有影响的,通常交易成功次数多的节点信任值高,反之则低,因此需要考虑节点交易情况(成功或失败)对信任值的影响。

3 模型中的数据结构

1)簇内节点保存节点信任关系表,该表中存储了本簇节点之间的交往信息与本簇节点与其他簇节点的交往信息,存储在节点的数据库中,如表1所示。

具体取值如表2所示。

注:rstv:recently successful trust value,即最近成功的交易信任值的英文缩写。

其中x:两节点交易成功次数;y:两节点交易失败次数;x+y:两节点交易的总次数;t:两节点最后一次成功交易的时间;rstv(Ai-Bi):两节点最后一次成功交易产生的信任值。

2)簇代理节点保存节点信任关系表,该表中存储了本簇内所有节点的信任值和本簇对于其它簇的推荐信任值,存储在簇代理的数据库中,如表3所示。

具体取值如表4所示。

注:rtv:recommend trust value是推荐信任值的英文缩写

其中,fA-Ai表示簇A对簇内节点的Ai信任值;rtv(A-B)表示簇A对邻居簇B的推荐信任值。

3)节点之间交易的对象对应有相应的资源,例如:办公文件、程序、视频文件等,因此,簇内还需要保存各节点能提供的资源类型。在节点请求资源时,簇代理可根据簇内各个节点拥有的资源类型来选择合适的节点进行交易。此外,备注信息用来保存节点的基本情况信息。

4 簇代理的安全性保障措施

在模型中,每个簇的簇头即为簇代理,因此,簇代理的安全性显得十分重要。簇代理不仅存储整个簇的节点信任值,还存储了曾经发生过交易的其它簇的推荐信任值,因此,一旦若簇被黑客攻击,信任关系表被恶意更改、销毁,那么整个簇就会瘫痪,而且将对其它簇的安全构成严重威胁。

为保证簇代理的安全性,本文提出两点措施对簇代理的安全性进行维护。

1)在各簇内选择合适的节点对簇代理所存储的节点信任关系表创建副本,称为副本节点。该副本可作为簇代理丢失数据或被恶意更改后的备份。该副本节点必须在簇内有较高的信誉,信誉不仅仅体现在信任值的大小,还与该副本节点成功交易的次数和比例有关,因此,本文提出使用公式1对簇内的节点进行信誉评估。

x、y:表示节点交易成功与失败的次数;rstvi:表示最后一次成功交易的信任值;m:表示与该节点发生过直接交易的节点数量。

通过计算,即可以得到信誉较高的节点,并进行副本的创建。

2)设定更新时间。由于移动ad hoc网络动态性较强,因此,需要设置更新时间,实时的对簇代理以及节点上的信任关系表进行更新和维护。副本节点也同样根据该时间对副本进行更新。

3)簇代理的更换。当簇代理出现异常情况无法正常工作时,例如:能量耗尽、受到攻击等,必须更换簇代理,新的簇代理可以从存储副本的节点上获得所需的簇内以及簇间的信任关系表,然后分别向簇内节点以及邻居的簇代理发送广播信息,告知自己的身份。

5 信任值的计算方法

5.1 簇内信任关系

簇内信任关系是指簇内节点之间的交易。

在新的信任模型中,采用的计算方法是:若A、B两节点均为簇内节点,A节点若需要与B节点发生交易关系,首先需要得到B节点对A节点的信任值(也就是A节点能多大程度的信任B节点)。A节点将首先查看A节点上的信任关系表,若两节点曾经发生过交易,则存在直接信息关系,从而得到B节点对A节点的信任值;若两节点未曾发生过交易,则将寻找与两节点发生过交易的其它节点作为推荐者,并选择信任值高的推荐者通过计算获得推荐信任值;若两节点既无直接关系也不存在间接关系,则认为它们之间的信任程度为0(即B节点对A节点的信任值为0),两节点不存在信任关系,无法进行交易。

5.2 簇间信任关系

簇间信任关系是指簇间节点之间的发生交易行为。两个簇之间的信任值的计算不同上一节中所描述的簇内信任值的计算方法,而是根据直接信任关系和其他簇的评估综合计算得出。

每个自治簇有一个簇代理,它负责维护两张表,分别是:

1)域间信任关系表:包括与该簇发生过直接交易的簇信息;

2)权值表:包括了该簇内所有节点的权值信息。

由于每个簇包含了多个节点,因此,簇间的节点之间的交易也会对簇间信任关系产生一定影响。

在移动ad hoc网络环境中,每个自治簇中都包含多个节点,簇内的节点根据其行为的合法性对该簇信任值的影响是不同的。交易合法并有较高信任值的节点的行为可以增加该簇的信任值,否则将降低该簇的信任值。因此,模型中引入了权值表,该表给簇内的每个节点赋一个权值,表示不同的节点对该簇信任值的影响因子。例如:新加入的节点将获得一个较低的的权值,在该节点与其它节点发生交易的过程中如果存在不诚信的行为,其权值将将会降低并对该簇的信任值产生负面影响。相反的,如果节点长期存在并行为合法,它对簇的信任值的贡献就更多,这类节点的权值就较高。

5.3 信任值的修正

在信任模型中,信任值计算的精确性是模型能正常发挥功能的关键因素,因此,应该充分考虑影响信任值的各个因素,并加以修正,通过上一章的分析可知,对影响信任值变化的因素主要包括:时间的衰减等因素,本模型将定义时间衰减函数,考虑时间的衰减对信任值的影响

时间衰减函数:由于移动ad hoc网络的动态变化具有瞬时性的特点,因此,必须考虑时间因素对信任值的影响,节点之间两次交易之间间隔的时间越长,那么上次成功交易后节点获得的信任值将会有较大的减少,仍然使用之前的信任值显然是不合理的。模型中设时间衰减函数为T(t),它的表达式为公式2:

公式中,At为节点之间两次交易的时间差,显然两次交易之间相隔的时间越长,T(t)的值越小。

5.4 信任的初始化

对于新加入簇的节点,簇代理对其赋初始的信任值,这个值必须满足两个原则:

1)不能太低。如果初始值过低,那么该节点很难与簇内的其它节点发生交易,将造成资源的浪费。

2)不能过高。如果该节点是恶意用户,那么过高的信任值将会对簇内的节点造成安全威胁。

模型中提出,初始值的赋予应根据该节点加入簇时为其提供推荐的节点的信任值来决定。

6 信任值的改变

6.1 节点信任值的改变

由于直接信任值可以反映节点之间信任的变化,如果节点之间成功进行交易,则直接信任值增加,反之,则直接信任值减少,因此,节点之间的信任值的变化可以用直接信任值来更新。

6.2 簇间信任值的改变

簇间的信任值的变化是与簇内节点之间的交易情况相关的,如果簇之间的节点交易成功,则参与推荐的簇间信任值也增加,反之,则减少。可以根据节点Ai与节点Bj交易成功的次数来计算簇间信任值的变更情况。

其中O表示变化系数,取值范围是(0,1),S表示变化前的信任值,x,y分别表示节点交易成功和失败的次数,公式O(m)=e-1/m是根据Beth模型[6],O(m)随着m的增大而增大,且其取值范围是(0,1)。显然,在变化系数恒定的情况下,成功次数x越高,信任值将迅速变大,反之,则迅速变小。一旦某个节点的总体信任值降至某一较低水平以下时,就将被当做恶意节点从簇中除名。

7 节点的加入和退出

在移动ad hoc网络环境中,节点可以动态加入或离开某个簇。当节点P加入簇A中时,簇代理为防止恶意节点的非法加入,将根据该节点的“推荐人”的信任值来赋予该节点的初始信任值。此后,将根据该节点在簇中的交易表现不断更新P的信任值。

若P节点被攻击成为恶意节点,其信任值将随着其交易情况的恶化降低,当信任值下降到零或者零以下时,该节点将被认为是恶意节点,簇代理将会把该节点从簇中删除,同时修改簇代理上的信任关系表。

参考文献

[1]王珊,高迎,程涛远,等.服务网格环境下基于行为的双层信任模型研究[J].计算机应用,2005,25(9).

[2]马德芳.基于信任的网格动态访问控制研究[D].武汉:华中师范大学,2007.

[3]杨艺,代春燕,青虹宏.基于主观信任和推荐的信任模型[J].重庆工商大学学报,2006,23(2).

[4]王东安,徐浩,南凯,等.基于推荐的网格计算的信任模型[J].计算机应用研究,2006.

信任管理模型的研究及应用 篇5

传统的安全机制集中在验证对象的某些特征的吻合, 但是在目前分布式网络的应用环境下, 这样的安全机制并不能解决所有问题。原因在于, 传统安全机制只能通过其“身份标识”来确定节点的真假, 而不能通过对其行为变化的分析确定节点是善意还是恶意, 因此不能及时地识别恶意实体。信任管理模型的引入, 可以弥补这些传统安全机制的不足, 同时, 信任管理模型自身也已经可以作为一种独立的安全机制而存在。在安全领域, 传统的安全机制被称为“硬安全”, 而信任管理模型则被称为“软安全”。目前信任管理模型的应用集中在电子商务、文件共享系统、P2P网络、MANET (移动自组网) 等应用环境中。

2 信任管理模型的相关概念

2.1 信任的定义

信任是人类社会的一种自然属性, 通常作为一种直觉上的概念加以理解[1]。虽然“信任”这一概念已经长期存在于人类日常生活中, 但是计算机科学研究领域对信任的研究才刚刚兴起。由于研究的出发点不同, 导致信任在学术界也有不同定义, 大多集中抽象反映了信任的几个重要特性。

(1) 信任反映的是一个实体对其他实体未来行为的主观期望;

(2) 信任与周围环境密切相关;

(3) 信任具有随时间衰减的特性。

信任基于特定环境而存在, 信任要根据具体内容来推导。譬如, 你信任一个商人, 内容是:他会诚实交易;你若信任一个医生, 内容是:可以医治病痛。在一定环境中, 存在着多个影响信任的因素, 这些因素可被称为信任属性。譬如, 交易过程中的交易金额、交易对象的诚实度、交易时间的长短, 都是影响信任的因素。

2.2 信任关系

信任关系按其获得方式, 分为直接信任和推荐信任。

(1) 直接信任

直接信任是指通过实体之间的直接交互信息得到的信任关系。直接信任建立在源实体对目标实体经验的基础上, 随着双方事务的不断深入, 源实体对目标实体的信任关系更加明晰。

(2) 推荐信任

推荐信任是指通过其他中间推荐实体间接获得的对目标实体的信任关系[2]。推荐信任建立在中间推荐实体的推荐信息基础上, 根据源实体对这些推荐实体信任程度的不同, 会对推荐信任有不同程度的取舍。

在推荐信任中, 根据推荐路径的长度不同, 又可以分为直接推荐信任 (推荐路径长度等于1) 和间接推荐信任 (推荐路径长度大于1) 。由于在间接推荐信任的计算复杂度和有效性上仍然存在疑问, 如何采纳间接推荐信任是目前信任管理模型研究的热点问题 (目前的可信计算中一般只采用直接推荐信任) 。

当实体A对实体B进行信任评估时, 则A与B之间可能存在三类信任关系, 如图1所示。

1) 直接信任关系, A具有对B能够完成某项协作活动的信任;

2) 直接推荐信任关系, A具有对B提供的关于目标实体C的推荐的信任;

3) 间接推荐信任关系, A具有对C经过其他节点B等的信任路径所传递的信任。

(3) 综合信任

综合信任指的是源实体根据直接事务得到对目标实体的直接信任关系, 以及根据推荐得到目标实体的推荐信任关系。两种信任关系的合成, 即得到了对目标实体的综合信任评价。

2.3 信任管理模型

随着分布式应用的发展, 许多研究人员都认识到了信任机制的安全保障作用, 利用信任来保证分布的实体间的可靠交互, 并引入信任管理模型, 该技术以人际信任关系的观点来处理开放分布式环境的问题, 为实体提供决策保障。

3 信任管理模型的工作过程

在开放网络环境中, 一个实际的信任管理模型一般由信任信息收集、信任信息综合处理和行为评价与决策三部分组成, 如图2所示。这个过程中存在3种角色:评估主体、推荐者、评估客体。评估主体是信任评估的发起者;评估客体是被评估的对象;推荐者是向评估主体提供关于评估客体的相关信息的节点。评估过程中, 评估主体A将综合利用自己的直接经验和从推荐者C处获得的间接经验, 来评估客体B的信任值。

(1) 信任信息收集

信息收集步骤主要完成参与网络事务实体的身份识别并收集信任信息。A只拥有自己对B的直接信任经验 (如果他们没有先前交互记录, 则使用系统给出的默认信任值) , 由于A认为自己个人的经验是有限的, 要获得对B的正确评价需要向其他更多人获得对B的了解。A将在网络中广播一条查询信息, 信息内容为:“你与B有过交易吗?他在你们的交互中表现如何, 请反馈给我。”那些推荐者C接到该信息后, 如果自己跟B有过交互将会给A发回反馈。最终, 节点A拥有了自己的直接信任资料和推荐者C推荐的间接信任资料。

(2) 信任信息综合处理

信任管理模型的信任计算引擎[3] (Trust Computer Engine TCE) 将对信任信息收集过程中收集的信任原始信息进行综合处理, 最后给出备选实体的信任信息计算结果, 这一过程又称为可信计算。原始信息即信任信息收集阶段所获得的直接和间接信任资料。可信计算是信任模型系统的核心, 它直接决定了该信任管理模型的正确有效性, 其考虑的重点问题是:如何处理收集到的间接经验, 以及如何综合直接经验和间接经验得到一个最终的评价信任值。最终的评价信任值将为决策提供依据, 一般来说, 用户会选择信任值最大的服务提供者。但是考虑到负载均衡问题, 系统可能会将信任值作为选择概率 (信任值大小一般在0和1之间) , 这样, 信任值越高的节点提供服务的机会越大, 低信任值的节点也有被选择为服务者的可能。

(3) 行为评价与决策

在信任信息综合处理阶段以后, 节点将进入事务之中;事务完成后, 对该次事务的结果是否符合双方的预期, 双方将进行评价。正面或则负面的评价将起到激励或惩罚的作用, 从而可以抑制网络中的不良或恶意行为。

评价可以是单维, 也可以是多维的。“单维评价”只对整个交易的整个过程给出评价;而在“多维评价”中, 用户对交互的满意程度被分为多个方面 (如买卖过程中:对方的态度, 发货的速度, 物品的质量等) , 用户对每个方面都给出一个评价。评价结果的表述方式可以只表示为满意、不满意, 也可以细化为-1、0、1, 分别表示差评、一般、好评。目前行为评价方面所面临的主要困难, 是行为评价能否自动化、智能化, 减少用户的参与 (现在很多用户嫌麻烦, 而不愿在事务结束后提交对事务的行为评价) 。

4 信任管理模型的应用[4]

目前, 在电子商务网络和文件共享式P2P网络等方面, 已经有一些采用信任管理模型技术与具体应用场景结合的信任管理模型系统。

4.1 电子商务领域的应用

在电子商务领域, 目前已存在许多商用的信任管理模型系统, 并取得了相当大的成功, 其中最具代表性的是eBay。在使用信任模型系统后, e Bay取得了显著的效益。到1999年第三季度, eBay已有六百万注册用户, 每个月有15亿浏览页, 完成了六千万项拍卖。

eBay的信任管理模型系统叫“Feedback Forum”, 是一个基于反馈的集中式声誉系统, 交易双方在交易结束后根据交易结果给对方一个评分。每笔交易完成后, 买方和卖方可以根据对对方的满意程度相互打分。评分由数值 (如{1, 0, -1}) 和一段文字描述组成。在对数值部分进行简单的累加后, 给出一定周期内 (一周、一月、六个月) 的总的评估值。

4.2 文件共享系统的应用

Kazaa是一个文件共享系统, 登录Kazaa的用户可以和其它用户共享文件。用户通过搜索可以知道哪个用户共享了他所需要的文件, 然后可以从共享这些文件的用户那里下载文件。Kazaa的信任管理模型系统对用户节点给出了两种评估值来实现信任模型的目的。这两个值分别是“诚信值” (Integrity Rating) 和“参与程度” (Participation level) 。

(1) Kazaa信任管理模型系统的诚信值

在Kazaa系统中, 诚信值是用户节点peer对自己所共享文件给出的评价分值, 其分值的高低是由文件的一些技术参数决定的。系统希望加入的每个用户能够为他们所共享的文件打出分值, 并且删除不应该被共享的文件 (例如, 被病毒感染的文件或损坏的文件) , 这样, 其它用户就能较容易地找到并下载高质量的文件。

(2) Kazaa信任模型系统的参与度值

在Kazaa的信任管理模型系统中, 根据节点所共享文件的质量和数量的不同, 每个节点有一个参与度值。一个节点的参与度是一个自然数, 它反映出这个节点在Kazaa系统中下载和上传的行为。参与度的取值范围被划分为六个区间, 每个区间代表一定的参与度级别, 一个节点共享的给过诚信度分值的文件的数量越多, 这个节点在从别的节点下载文件时就会享有越多的带宽。一个节点的参与度采用节点上传数据的数量 (单位MB) 和从别的节点上下载数据的数量的比值来表示。

4.3 P2P网络中的服务选择

P2P网络是一个协作系统, 其中的节点可以自主地选择交互对象来交换服务或资源。交互对象的选择一定程度上决定了交互的质量, 如在P2P文件共享网络中, 若文件提供节点仅有较小的上载带宽, 从该处下载文件将消耗较长的时间甚至可能会中断;若从恶意节点处下载了含有恶意内容的文件, 则可能会危害本地计算机的安全。信任管理模型系统可以在使用服务之前, 评估和分析目标节点的服务性能, 并建立对目标节点所提供服务的信任。节点在服务查询结束时, 根据查询反馈获得多个候选节点, 从中选择可信的节点作为交互对象, 可以有效提高节点所接受的服务质量, 并抑制恶意节点的活动以及恶意内容的传播。

4.4 Ad Hoc网络中的路由选择

在Ad Hoc网络中, 每一个节点都充当了转发流量的路由器, 然而, 网络中可能有自私的节点为节省自己的能量而不按协议规定的操作进行消息转发, 恶意节点可能利用消息转发的机会实施安全攻击以破坏网络运行。在路由协议中, 集成信任模型技术可以通过信任机制减少自私的或恶意的节点的消息转发机会, 并将其排除于消息路由路径之外。信任管理模型系统通过监控邻居节点, 评估对其的直接信任值, 并向网络中其他节点询问其声望, 从而建立对其总的信任值, 并用于路由选择决策, 保证了消息从源节点到目的节点的可靠路由。因此, 在路由协议中集成信任管理模型技术可以减少对不良节点的依赖, 改善网络吞吐量, 减少消息的丢失, 增强网络的健壮性。

5 结束语

结合社会科学已有的理论知识, 在现有网络技术的基础上建立信任管理模型, 是网络安全的一个重要研究方向。如今, 信任管理模型在P2P网络、电子商务等方面的研究开展得如火如荼, 如果能增进沟通、取长补短, 那么对于推动信任管理模型的更深入研究将大有裨益。

参考文献

[1]M.Blaze, J.Feigenbaum, J.Lacy.Decentralized trust manage ment[A].In:Proc.of the1996IEEE Symp.On Security and Privacy[C], Washington IEEE Computer SocietyPress, 1996, 164-173

[2]田春岐, 邹仕洪, 王文东, 程时端.一种基于推荐证据的有效抗攻击P2P网络信任模型[J].计算机学报, 2008, 31 (2) :270-281

[3]窦文, 王怀民, 贾焰, 邹鹏.构造基于推荐的Peer-to-Peer环境下的Trust模型[J].Journal of Software, 2004, 15 (4) :571-583

信任模型 篇6

社会网络是由一些个人或组织以及它们之间的联系所构成的集合,这种关系可能是同事、朋友、亲属等各种关系[1]。社会网络对于虚拟网络最大的意义在于成员间的信息交流。如何在虚拟网络中发现潜在的社区结构,近年来的研究取得了长足的进步。文献[2]提出的G-N算法是具有代表性的优秀算法之一。该算法是一种基于去边的方法,认为社区之间较少的边的链接是社区间的通信瓶颈,因此这些边具有很高的通信量,找到这些边并去掉它们,将得到网络最自然的分解。文献[3]提出的算法则是基于贪婪的社区发现算法。该算法的优势在于将整个网络储存在一个邻接矩阵之中,通过合并相对应的行列来对社区进行合并。

在移动多Agent系统中,利用不同的方法建立了许多种信任关系模型。现阶段应用最广泛的是基于声誉机制的信任模型。在这个机制下,Agent通过相互的交互评价可以得到直接信誉值,通过其他Agent的推荐来获得推荐声誉值。最后综合考虑其他因素得到综合信誉值。以综合信任值来判断Agent之间的信任程度。比较典型的模型为文献[4,5]等。文献[6]介绍一种利用证据理论(D-S theory)进行建模,而具体的信任评估则利用概率加权平均的方法。这种模型最大的不足在于简单地采用了算术平均来获得推荐信誉值,没考虑到信任的动态性。文献[7]则利用Bayesian网络提出了一种基于概率的信任模型,该方法的优点在于Bayesian理论天然的动态性,也有良好的适应性;不足则在于运算过于复杂,特别是网络规模比较大时可扩展性较低。

在基于信誉机制的信任模型中,由于移动多Agent系统相对巨大,两个Agent之间通常难以发生直接交易,因此常常需要依靠其他Agent的评价来判断相互之间的信任度。因此,推荐信息的准确和可靠不仅关系到推荐信誉值的计算,很大程度上也关系到综合信誉值计算的准确与否。现有信任机制中虽然普遍使用了信任度来评价其他Agent的推荐信息,但是并不考虑从何处获得推荐信息,因此难以避免恶意Agent的干扰。如同在现实生活中人与人的相处一样,遵循两条原则可以使得获得的推荐信息更为准确和可靠:(1) 朋友总是比陌生人值得信赖;(2) 如果有众多的推荐可以参考,信任来自我们最信任的人发出的推荐。由此,为了得到正确、可靠的信息推荐,本文将使用社会网络和声誉信任机制结合的方法,利用社会网络的发掘,来得到包含代理Agent的一组社会网络。这组Agent里的成员将会获得高度的信任度,它们给出的推荐信任值会得到充分的信任。这将获得几个方面的好处:首先,提高推荐信息来源的可靠性;其次,提高推荐信息的准确度;第三,减少来自恶意Agent的欺骗和干扰的风险。

1 模型概述

从本文提出的模型流程图(如图1)可以看出,该模型与一般基于声誉信任机制的其他模型在计算直接声誉值没有太多不同。最大区别在于在计算推荐信誉值之前通过社会网络的发掘,获得了与代理Agent有潜在社会关系的一组Agent。当这组Agent中能够提供对目标Agent的推荐信息时,使用这些信息来计算推荐声誉值。如未能提供推荐信息,则使用式(5)计算推荐信誉值。下面将详细介绍模型每一步的具体步骤。

1.1 社会网络的挖掘

对社会网络的发掘方面本文使用CNM算法。具体流程参考文献[3]。CNM是基于凝聚的贪婪的社区发现算法,该算法相对于G-N算法最大的优势在于时间复杂度为O(n×log2n),比G-N算法至少低一个数量级,适合规模较大的潜在社会网络的挖掘。一些实践也表明该算法在大规模的网络中可以更为有效地进行社区的发现。挖掘的结果可以图形化地表示为一组一组的网络簇,如图2所示。

通过该算法的计算,可以从整个移动Agent系统中得到一组与代理Agent存在潜在社会关系的Agent。对每一个网络簇内的潜在社会关系网络,把它建模为一个图G=(V,E)来表示。其中V为节点的集合,在这个图中代表Agent节点,E为边的集合,代表Agent之间的连接。图3为这个网络的图形化表示。

1.2 信誉值的计算

在基于声誉信任机制的多Agent系统中,Agent a对于Agent b的信任度评价主要基于两个方面,一方面如果A有过和B的直接交易,根据双方交易的评价可以得出A对B的直接信誉值;另一方面, A向网络中其他与B有过交易的Agent请求相关信息,得到关于B的推荐信誉值;最后聚合直接信誉值和推荐信任值得出综合信誉值。

(1) 直接信誉值的计算

直接信誉值Dab代表了Agent a对Agent b直接的信任程度。一般来说,计算直接信誉值Dab最重要的因素是由Agent a与Agent b之间n次直接交易之后的评价Ui得出,还应综合考虑交易时刻、交易金额等综合因素。

$D{}_{ab}^k=\frac{F{}_{ab}^{k-1}\times D{}_{ab}^{k-1}+△t{}_{ab}^k\times {\rm M}{}_{ab}^k\times U{}_{ab}^k}{F{}_{ab}^k}(1)$

F${}_{ab}^k$=∑${}_{j=1}^k$t${}_{uv}^j$×M${}_{ab}^j$ (2)

其中D${}_{ab}^k$表示在时间段k后Agent a关于Agent b的直接信誉。△t${}_{ab}^k$表示时间段k中两头两次交易的时间差。M${}_{ab}^k$表示时间段k内所有交易的金额总和。U${}_{ab}^k$表示在时间段k内所有交易评价的平均值。

若Agent之间没有过直接交易记录,由文献[4,5],直接信誉值取值为0.5。

(2) 推荐信誉值的计算

推荐信誉值的计算需要解决两个主要的问题:(1) 如何确定推荐者的信任程度;(2) 如何聚集所获得的推荐信息。在本文的模型中,Agent将首先使用它所处的社会关系网络内的节点提供的推荐信息,并为提供者划分权重来聚合这些信息。

在所获得的潜在的社会关系网络中,通常来说,离目标越近的节点,社会关系越紧密。因此,在此模型中,距离代理Agent越近的节点的推荐信息越能够受到信任,他们的信任度也越高。具体的权重划分如表1所示。

与代理Agent的距离:即节点距离代理Agent的最短边数。

由于六度空间理论,即通过6个人就能认识世界上任何一个其他人。因此,一般只需考虑距离4以内的推荐即可。

例如,在图3中,与A距离为1信任度为0.95的节点为[B,D],与A距离为2信任度为0.90的节点为[C,E,F]。与A距离为3信任度为0.85的节点为[G]。

使用如下算法聚合社会网络内各节点的推荐信息:设有社会关系网络内有g个节点,有1个社会关系距离1的针对Agent b的推荐信息为X1={D${}_{b1}^1$,D${}_{b2}^1$,…,D${}_{bl}^1$},n个社会关系距离为2的推荐信息X2={D${}_{b1}^2$,D${}_{b2}^2$,…,D${}_{bn}^2$},m个社会关系距离为3的推荐信息X3={D${}_{b1}^3$,D${}_{b2}^3$,…,D${}_{bm}^3$},o个社会关系距离为4的推荐信息X4={D${}_{b1}^4$,D${}_{b2}^4$,…,D${}_{bo}^4$},TD表示信任度,推荐信誉值为Rab。

$\begin{array}{l}R{}_{ab}=\frac{{\displaystyle {\sum }_{4=1}^l{\rm T}}D\times D{}_{b1}^1/l}{h}+\frac{{\displaystyle {\sum }_{4=1}^n{\rm T}}D\times D{}_{b1}^2/n}{h}+\\ \frac{{\displaystyle {\sum }_{4=1}^m{\rm T}}D\times D{}_{b1}^3/m}{h}+\frac{{\displaystyle {\sum }_{4=1}^o{\rm T}}D\times D{}_{b1}^4/o}{h}(3)\end{array}$

h=4-β (4)

参数β为l,n,m,o中同时为0的个数。

然而还有另外一种情况:处于社会网络内的Agent并没有提供推荐信息,那么推荐信息将全部来自社会关系网外的Agent。在这种情况下,对推荐信息的计算回归到了一般的信任算法中推荐信任值的计算。可以采用文献[5]中推荐信誉值的计算方法。

(3) 聚合直接信任值与推荐信任值

在不考虑其他因素的情况下,综合信誉值构成由直接信誉值和推荐信誉值组成,它代表的是代理Agent对目标Agent的信任程度,是Agent判断是否与对方交易的首要标准。本文中综合信誉值的计算公式为:

Tab(a,b,i)=αDab(a,b,x)+(1-α)Rab (5)

参数α与Agent a、Agent b之间的直接交互次数、交易量相关。在聚合直接信誉值和推荐信誉值时考虑两个Agent发生过的直接交互的频率,如果Agent a与Agent b之间的直接交易频繁,那么Agent a应该更倾向于相信直接信誉值,反之,两个Agent之间的交易次数很少,那么Agent a将会选择倾向于信任推荐誉值。由下述公式进行参数α的计算:

$\alpha \{\begin{array}{l}\text{e}{}^{-\frac{1}{n{}_{ab}\times k}}n\ge 1\\ 0.2n=0\end{array}(6)$

其中nab表示Agent a与Agent b之间直接互相交易的次数。k为常数,与两个Agent之间的交易量相关。例如Agent a与Agent b之间有过5次直接交易记录,取k=1,直接信誉值Dab=0.62,获得的推荐信誉值Rab=0.77,则:

$\alpha =\text{e}{}^{-\frac{1}{g\times 1}}=0.81$

Tab=0.81×0.62+(1-0.81)×0.77=0.645

2 实验与有效性验证

2.1 实验设计

本节将通过实验来验证本文提出模型的有效性。实验在Windows 7操作系统下借助ART Testbed完成的。ART测试床[8]是多Agent系统的仿真器,可以设计游戏规则并可以在竞争模式下用于评价各种算法,得出相对客观结果。如图4所示。

实验将模拟300个Agent,这300个Agent中的30个将分布于一个社会关系网内,而其他算法将忽略此社会关系网。实验将模拟买家Buyer和卖家Sellers进行交易,并且存在一定量的恶意代理。恶意代理将总是提供错误的推荐,他们将夸大或者诋毁目标Agent,诚实代理则提供正确的推荐。

实验将对比本文提出的基于社会网络的信任模型与AgentRep[4]、PeerTrust[5]模型的预测准确度,即成功交易次数与总交易次数的比值。实验床初始参数设置见表2。

2.2 实验结果与分析

表3和图5为实验结果。

AgentRep与PeerTrust算法在初始时相差不大,但在恶意节点增多时差距被迅速拉开。这是由于在考虑计算直接信任值时,PeerTrust只考虑了交易的次数,并没有考虑时间的因素,而是按同等比重计算。另一方面,PeerTrust没有给出惩罚机制,导致恶意Agent信任度计算不准确,造成交易的失败。

本文算法在计算直接信任值时和AgentRep算法一致,但是在计算推荐信誉值时,首先考虑的是与它在同一个社会关系网内的节点提供的信息。这些节点不会提供虚假和错误的信息,只有在这些节点无法提供推荐信息时,才继续采用AgentRep推荐信誉值的算法步骤。因此,在恶意节点比例增大时,它更能避免错误信息的干扰,提高预测准确度。

3 结 语

本文提供了一种移动多Agent系统信任机制的新思路。以前虽然也把移动多Agent系统看成与类似人类社会相关的一个系统[9]。但是这些视角只是简单地把移动多Agent系统看成一个整体,不关心推荐信息的来源,也不关心Agent之间是否存在某些联系。在本文中,把社会网络与移动多Agent系统的结合再往前推进一步,通过社会网络的挖掘,得到一组潜在现实中社会关系的Agent。如同真正的人类社会一样,这组Agent彼此互相信任,由这组Agent提供的推荐信息,更应该得到信赖。在这种划分下,对最后推荐信誉值的影响是非常正面的。

摘要：基于信任机制的移动多Agent系统中,代理Agent一般通过直接信誉值和推荐信誉值来判断对于另一个Agent的信任程度。由于系统相对巨大,直接信誉值通常难以获得,判断的正确性很大程度上依赖于推荐信誉值的准确性和可靠性。通过对整个多Agent系统进行社会网络的挖掘,用以得到与代理Agent存在潜在社会关系的一组Agent。对这组Agent提供的推荐信息充分信任,并优先使用这些Agent提供的信息进行推荐信誉值的计算。最后通过双方直接交易的多寡判断综合信任值中直接信誉值与推荐信誉值的权重。通过实验验证了该模型的有效性。

关键词：社会网络,多Agent系统,信任模型

参考文献

[1] Scott J.Social network Analysis: A Handbook[M].2nd ed.London:Sage,2000.

[2] Girvan M,Newman M E J.Community structure in social and biological networks[J].PNAS,2002,99(12):7821-7826.

[3] Clauset A,Newman M E J.Finding community structure in very large networks[J].Physical Review E,2004,70:066111.

[4]Gan Zaobing,Li Yijie,Xiao Gouqinget,et al.A Novel Reputation Com-puting Model for Mobile Agent-Based E-Commerce Systems[C]//Pro-ceedings of the2nd International Conference on Information Security and Assurance,Busan,South Korea,Apr.24-26,2008.IEEE Computer Society Press,2008:253-260.

[5]Li Xiong,Ling Liu.PeerTrust:Supporting Reputation Based Trust in P2P Communities[J].IEEE Transactions on Data and Knowledge En-gineering,Special Issue on P2P Based Data Management,2004,16(7):843-857.

[6]Almenarez F,Matin A,Diaz D,et al.Developing a model for trust man-agement in pervasive devices[C]//Proc.of the3rd IEEE Int’1Work-shop on Pervasive Computing and Communication Security,Privacy and Trust.Washington:IEEE Computer Society,Press,2006:267-272.

[7] Clauset A,Newman M E J.Finding community structure in very large networks[J].Physical Review E,2004,70:066111.

[8]Fullam K,Klos T,Muller G,et al.A specification of the Agent Reputa-tion and Trust(ART)Testbed[C]//Experimentation and Competition for Trust in Agent Societies.Proceedings of the Fourth International Joint Conference on Autonomous Agents and Multiagent Systems(AA-MAS-2005),2005:512-518.

基于云计算的服务信任评估模型 篇7

关键词：信任,云计算,直接信任,推荐信任

1 云计算概述

云计算是一种全新的网络服务方式, 根据维基百科的定义, 云计算是一种动态的、易扩展的且通常是通过互联网提供虚拟化的资源计算方式, 用户不需要了解云内部的细节, 也不必具有云内部的专业知识或直接控制基础设施。其主要特点是能够快速部署资源或获得服务, 能够按需扩展和使用, 可以按使用量付费, 并且通过互联网提供服务。

中国云计算专案会认为, 云计算最基本的概念是:通过整合、管理、调配分布在网络各处的计算资料, 并以统一的界面同时向大量用户提供服务。借助云计算, 服务提供者可以在瞬息之间, 处理数以千万计甚至亿计的信息, 实现和超级计算机同样强大的效能, 同时, 用户可以按需计量地使用这些服务, 从而实现让计算成为一种公用设施来按需而用的梦想。

2 相关工作

2.1 信任的相关概念

信任是一个多学科的概念, 目前还没有形成统一的定义。在计算领域中, 关于信任的定义, 最早由Marsh引入, Marsh、Rahman和其他几位计算领域的研究人员都引用Gambetta给出的信任定义:“信任 (或与之相对应的, 即不信任) 是指一个Agent执行某一特定行为的主观可能性的特定层次, 它出现在行为被监控前 (与Agent原本能否监控这一行为无关) , 并且该行为对其自身行为产生影响的情况下进行。

从该定义我们可以看出信任具有如下特点:①主观性, 不同的用户实体对同一服务提供实体的看法受主观喜好的影响;②不确定性, 用户实体和服务提供实体之间的信任关系是模糊、不确定的;③可预期性, 信任的程度可以通过一定的方法对其进行可能性估计;④上下文相关性, 信任的评估都是与一定背景相关的。

根据我们对信任的理解, 可以对云计算环境下的信任定义如下:

信任是指在给定背景和时段中, 用户实体对服务提供实体提供服务的能力和体现出的可靠性、诚实度的信念。

与信任相关的一个概念是信誉, 信誉是指在给定背景和时段中, 根据云计算环境下其他用户实体对同一服务提供实体历史行为的评价而对其未来行为的预期。

信任分为直接信任和推荐信任。直接信任是指用户实体与服务提供实体通过直接的服务交互建立的一种信任关系, 用户实体对服务提供实体j的直接信任度用Dij表示。推荐信任度是指用户实体根据其他用户实体的推荐与服务提供实体建立的一种信任关系, 推荐信任度用Rij表示。综合信任度是指通过对直接信任度与推荐信任度进行加权计算得到的信任度用Tij表示。

2.2 现有的信任评估模型

目前, 国内外许多专家学者对信任评估模型进行了深入研究, 并提出各种信任评估模型, 其中有代表性的信任评估模型有:①Beth等提出的基于简单算术平均的信任评估模型。该模型提出了推荐信任的概念, 提供推荐信任的计算方法, 但是该模型对直接信任的定义比较严格, 仅采用肯定经验对信任关系进行度量。此外, 其信任度的计算采用简单的算术平均, 无法消除恶意推荐的影响;②Jφsang等提出的基于主观逻辑的信任评估模型。该模型引入事实空间和观念空间的概念, 用三元组 (b, d, u) 来描述和度量信任关系。其中, b, d, u分别表示信任、不信任和不确定的程度。该模型提供一套主观逻辑算子用于描述及计算信任度的传递、推导和综合, 但是该模型不区分直接信任和推荐信任, 采用统一的方法计算信任度, 同样无法消除恶意推荐带来的影响;③LiXiong等提出一种利用置信因子来综合局部声誉和全局声誉的信任模型—PeerTrust。该模型综合考虑了影响信任度的多个信任因素, 并提供了一种纯分布式的信任度计算方法, 对虚假评价也能起到一定的抵抗作用, 但该模型没有给出信任因素的度量方法以及置信因子的确定方法, 也难以抵抗合谋攻击行为。

3 面向云计算的信任评估模型

3.1 模型的建立

针对现有信任评估模型的不足, 参照SOA架构模式, 提出一种面向云计算的信任评估模型。模型描述如下:①服务提供实体在UDDI注册中心注册的每一个服务节点, 注册中心都会分配一个初始信任度, 该信任度在服务交互完成后进行更新;②在云计算环境下, 用户实体在向服务提供实体提出服务请求前, 先对其信任度进行计算, 如果其值大于阈值 (保障交易进行的某一信任度ε) , 就向服务提供实体提出服务请求;③每一个用户实体在与服务提供实体完成交易后, 要对该服务提供实体进行信任度评价, 并将其存入信任度数据库, 用户实体可以随时查询服务提供实体的信任度数据;④由于云计算环境下用户实体在向其它服务提供实体请求服务时, 同时其服务结果也可以作为其它用户实体请求的服务, 因此用户实体在提交完服务提供实体信任数据的同时, 也能够生成使用该服务结果的用户实体对其评价的信任数据, 这样用户实体之间同样可以建立信任关系;⑤如果用户实体是第一次使用服务提供实体提供的服务, 可以根据其他用户实体的推荐评价与服务提供实体建立信任关系, 在进行交易后, 对该服务提供实体进行信任评估, 更新信任度数据, 并建立起与服务提供实体的直接信任关系;⑥如果用户实体对已经使用过的服务, 可以根据直接信任度和推荐信任度来计算评估服务提供实体的信任度。同时考虑到越近的信任评估数据越重要, 我们引入了时间对历史信任数据的影响因子, 因为历史数据会随着时间的推移而逐渐失去对信任度计算的参考价值。

3.2 信任的计算

3.2.1 服务属性的选取

考虑到服务请求的多样性, 于是有必要建立服务属性集, 用A= (a1, a2, ……, an) 表示, 其中al表示服务提供实体提供服务的第l种属性。这里我们选用服务的质量、服务描述的符合度、服务的可靠性、服务的时效性、服务的重要性作为评估服务属性的依据。引入服务属性的权重因子来衡量服务属性相对于服务实体信任度的重要程度。设第l种服务的权重因子wl, 它满足以下条件:

undefined

3.2.2 直接信任度与推荐信任度

在信任的评估中, 服务提供者的综合信任度Tij的大小与直接信任度Dij和推荐信任Rij有关。用户实体i对服务提供实体j提供第k次服务前的信任评估方法如下:

undefined

其中, α表示直接信任度在综合信任度中的权重, k表示用户实体与服务提供实体进行的第k次交易。随着交易次数的增加, 直接信任度在综合信任度中的比重也就越来越大, 即用户实体更有理由相信自己对服务提供实体信任度的评估。这既符合人们在交往中建立信任关系的事实, 又可以有效地抵制恶意推荐。

为了计算直接信任度, 用户实体在完成交易后, 根据第k次服务的情况对各项服务属性进行评估得到服务质量评估值Qundefined, 计算公式为undefined。结合第k-1次交易后的直接信任度, 同时考虑到信任度与交易背景和时间相关的因素, 引入交易次数对直接信任度的影响因子η, 通过交易次数影响因子η的调节, 可以激励服务提供实体长期坚持提供优质可靠的服务。得到第k次服务的直接信任度计算公式:

undefined

其中, λ为历史信任参考因子, 表示在计算直接信任度时, 第k-1次直接信任度在第k次信任度计算中的所占的比重, λ越小表示历史信任数据对直接信任度计算的参考价值就越小;参数Cundefined表示第k次交易的上下文环境影响因子, η表示交易次数影响因子, 计算公式为undefined, 其中s为服务提供实体提供满意服务的次数, k为交易的次数。这样, 服务提供实体要想获得更高的信任度, 必须争取提供更多让用户满意的服务。

为了计算推荐信任度, 我们根据Stanley提出的Small World理论, 对推荐信任信息进行整合处理, 采用基于信任网络的推荐信任计算方法。

在云计算环境下, 用户实体与服务提供实体大都互不认识, 但是用户可以根据第三方对其做出的信誉评价而建立一种信任关系。研究表明, 正是因为这种推荐信任关系的存在, 使他们之间的关系由陌生转变成了信任。Stanley Mailgram[]通过实验发现, 经过平均6人次的熟人传递就可以把社会中的任意两个人联系起来, 这种现象称为Small World现象。人类社会是存在时间最长的“网络”, 这种存在于人类社会的关系网络同样也存在于云计算环境中。

于是我们就可以根据云计算环境下自己信任的其他实体对服务提供实体做出的信誉评价 (直接信任度) , 参照对他们的了解和信任情况, 得到我们对服务提供实体推荐信任度的计算方法。

undefined

其中n是推荐实体的个数, 本文以用户实体对推荐实体的直接信任度作为推荐实体对服务提供实体的推荐系数, 这样可以避免推荐实体进行的不实推荐等行为。

4 实验仿真与分析

为了测试上述模型保障服务质量的情况, 本文使用Stanford大学开发的Query Cycle Simulator软件构建仿真实验平台, 在此平台上进行实验仿真分析。仿真实验环境配置如表1所示:

仿真实验设置实体总数为200个, 下载文件为8000个, 查询周期为100也就是每个实体在此周期内完成100次文件下载服务交易, 仿真实验参数设置如表2所示:

为了检测模型的有效性, 本文在此环境下选取实体总数10%到70%的虚假反馈评价实体和合谋欺骗攻击实体分别作为攻击者, 用以和PathTrust信任评估模型作对比。

如图1 (a) 所示, 为虚假反馈评价实体对下载服务实体的不真实评价。通过1 (a) 的数据对比, 可以看出本文所用的信任模型没有受太大的影响, 原因在于做出虚假评价评价的实体推荐度的也将降低, 同时直接信任度的对综合信任度的影响将越来越大, 这样对虚假反馈评价实体起到了一定的抵制作用, 显示出了模型的健壮性。

如图1 (b) 所示, 为合谋欺骗攻击实体结成联盟共同诋毁诚信下载服务实体, 相互夸大区域内部实体的信任度。通过图1 (b) 的数据对比, 可以看出本文所用的信任模型没有受太大的影响, 原因在于随着交易次数的增加, 合谋欺骗实体的信任度积累的来源趋于稳定, 用户实体可以通过查询历史信任数据, 通过和其他的评价数据做比较, 发现并抵制合谋欺骗实体所做出的虚假评价, 从而有效的抵制合谋欺骗攻击, 同时直接信任度的对综合信任度的影响将越来越大, 这样模型不会因为节点的合谋欺骗而失去健壮性。

5 结束语

本文所提出的信任评估模型是面向云计算环境的, 同时该模型也广泛适用于各种分布式系统环境。该信任模型综合考虑了直接信任和推荐信任两种信任关系, 给出了直接信任和推荐信任的计算方法, 通过引入一系列影响因子, 不断强化直接信任在信任度评估中的重要作用, 使得所做出信任更加科学合理。仿真实验结果表明, 该模型相比其他信任评估模型能更加准确地评估实体的信任度, 能有效地抵抗各种不同类型的恶意攻击行为, 显示出较强的健壮性, 为用户与服务提供商间的交易提供了质量保障。

参考文献

[1]MARSH S.Formalising Trust As a Computational Concept[D].Scotland:PhD Thesis University of Stirling, 1994.

[2]BETH T, BORCHERDING M, KLEIN B.Valuation of trust inopen networks.In Proceedings of the European Symposiumon Re-searchin Computer Security[C].Springer-Verlag, Brighton UK, 1994.

[3]J SANG A, ISMAIL R.The Beta Reputation System E-Reality:Constructing the e-Economy[C].Proceedings of the 15thBled Elec-tronic Commerce Conference, 2002.

[4]姜守旭, 李建中.一种P2P电子商务系统中基于声誉的信任机制[J].软件学报, 2007 (10) .

对等网络中的一种信任模型 篇8

P2P (Peer to Peer) 网络是一种开放、匿名的网络, 节点之间以松散自由的方式联系, 所有节点都是对等的, 每个节点既是服务的提供者, 也是服务的接受者。P2P 系统具有负载均衡、资源丰富等优点, 目前已获得广泛应用。在P2P网络中, 用户可以随意终止服务, 并且可能存在欺诈行为, 服务质量无法得到保证。因此, 在P2P网络中引入有效的信任机制对于提高网络整体性能至关重要。

1相关工作

好的信任模型是保证网络提供高质量服务的关键。目前, 已经有不少基于P2P的信任模型, 大致可分为以下几类[1,2]:

(1) 基于PKI[3]的信任模型 这类系统中, 存在少数被称为Leader Peer 的节点, Leader Peer 负责监督整个网络运营状况, 定期向网络发出通告通知不可信任节点。这些Leader Peer 的合法性通过CA 颁发证书加以保证。但是目前的CA认证技术并不完善[4], 从而影响了系统的可靠性;同时由于引入了CA和Leader Peer, 这类系统往往具有中心依赖性, 容易引起单点失效和性能瓶颈问题。如edonkey中采用的就是这种方法[5]。

(2) 基于局部推荐的信任模型[6,7] 这类系统中, 节点访问局部范围内的其它节点获取其它节点对目标节点的推荐, 最终得到目标节点的信任度。如F. Cornelli对Gnutella的改进建议[2]中采用的就是这种方法。

(3) 数据签名 该方法基于数据的可信度进行访问, 被用于文件的转发存储中。用户下载完数据后, 如果认可数据的真实性就对数据进行签名认证, 因此可以认为获得签名越多的数据就是被越多用户确认的数据, 也相应地拥有较高的可信度。这种方法只适合数据文件共享的应用环境。如Kazaa采用的就是这种方法。

(4) 全局可信度模型[8] 该模型是一种分布式信任模型, 在已有的全局可信度信任模型中, 节点大多是通过和邻居节点间相互满意度的迭代来获取全局可信度的。这种模型的计算开销较大, 而且可能导致Zadeh 悖论问题[9]。如Stanford的eigenRep[8] 采用的就是这种方法。

结合以上模型的优点和不足, 提出了一种新的基于P2P的信任模型, 该模型结合自己的交易历史、熟悉节点的推荐及陌生节点的推荐三部分来综合评价目标节点的信任度。它具有如下优点: (1) 没有采用迭代方法来计算信任度, 计算简单, 工程可行性好; (2) 充分考虑了时间因素对信任度的影响, 引入了时间衰减因子, 在计算信任度时更加合理; (3) 无论是交易频繁还是交易稀少的网络, 只要适当地调整参数, 都会有很好的适应性, 增强了系统的灵活性。

2信任模型

2.1基本概念及模型说明

· 满意度 设TDij表示在最近时间段t内节点i对节点j的满意度, t一般包含N个评价周期EP。引入时间段t 是为了使满意度更能反映节点j近期的行为, 该满意度刻画了节点i和节点j在最近t时间段内交易的情况。

· 信任度 设Pij表示节点i对节点j的信任度, 其大小由公式 (1) 来计算, 在节点i与节点j交易前, 节点i首先需要知道其对节点j的信任度Pij, 根据Pij的大小来决定是否与节点j进行某次交易。

Pij = αTDij + βRt + γRu (1)

一般情况下, α+β+γ=1, α>β>γ, 如α=0.6, β=0.3, γ=0.1。其中, TDij为其自身对目标节点的满意度, Rt为其熟悉节点对目标节点的推荐度, Ru为陌生节点对目标节点的推荐度。在不同的交易环境中, 我们可以适当调整α、β、γ的大小。在交易频繁的网络中, 节点自身的交易历史比较多, 用户一般更倾向于相信自己的交易历史, 所以可以适当增大α值, 当α=1时, 用户完全凭借自己的交易历史来决定是否进行当前的交易, 不再参考其它节点的推荐;在交易稀少的环境中, 节点自身的交易历史非常有限, 甚至其熟悉节点的交易历史也很有限, 此时, 仅仅凭借节点自身的交易历史和其熟悉节点的推荐很难得到准确的信任度信息, 需要更多参考那些陌生节点的推荐情况, 这时可以适当增大β、γ的值。${\rm T}{}_{D{}_{ij}}=\frac{{\displaystyle \sum _{n=1}^{{\rm N}}{\rm I}}nfo{}_n(i,j)*\sigma {}^n}{{\displaystyle \sum _{n=1}^{{\rm N}}\sigma }{}^n}$ (2)

$R{}_t={\displaystyle \sum _k^{|\phi {}_k|}\frac{{\rm T}{}_{D{}_{ik}}*{\rm T}{}_D{}_{{}_{kj}}}{|\phi {}_k|}}$ (3)

$R{}_u={\displaystyle \sum _l^{|\phi {}_l|}\frac{{\rm T}{}_{D{}_{lj}}}{|\phi {}_l|}}$ (4)

其中:Infon (i, j) 为在第n个评价周期内, 节点i对节点j的信任评价值, n值越大, 表示距离计算时刻越久远。σ为时间衰减因子。φk和φl为节点集, 其中φk为节点i熟悉的且保留有关节点j的交易评价的节点集, φl为节点i不了解的但保留有关节点j的交易评价的节点集。|φk|和|φl|为节点集中节点的数量。为了控制计算的复杂度, 需要设定一个上限值来控制节点集中节点的数量, 如设定|φk|≤m, |φl|≤n。m和n值选择要合适, 太大会增加计算复杂度和网络负担, 太小难以准确反映出信任度。

在该模型中, 我们进行如下设定:

(1) 评价时间距离计算信任值的时刻越远, 交易评价对信任值的影响越小, 这种现象称为时间衰减效应, 其强度可以用时间衰减因子σ表示。σ值越大, 时间衰减效应越小。当σ=1时, 时间衰减效应为0, 即计算信任度时不考虑交易评价时间的远近的影响。通常, σ取0.8～1之间。

(2) 选取一个合适的时间段作为整个交易历史时间跨度中的一个评价周期EP, 可以把整个交易历史划分为若干个EP, 如图1所示。假定在同一个EP内的所有交易评价, 其时间衰减效应相同。

(3) 考察整个交易历史, 选取某一时刻为基准时间, 把它作为第一个评价周期EP的开始时间。通常选定距离当前最近的N个EP参与信任度的计算。若整个交易历史的时间跨度不足N×EP, 则对其前向扩展至N×EP, 并设扩展EP内的满意度为0;若整个交易历史的时间跨度超出N×EP, 则把基准时间右移最少个EP, 使得当前计算时刻正好处于第一个EP内, 而整个交易历史的时间跨度为N×EP, 同时删除时间范围外的评价信息。N值选取要合适, N值过大, 保存相关信息时会占用较多的空间;N值过小, 会影响计算的准确度。通常N取值范围为[10]。

(4) 在一个EP内, 如果某节点对同一节点j作出多次评价, 则只有最后一次评价有效。即在一个EP内, 一个节点对同一用户只能作出一次有效评价。

2.2信任度的计算

在P2P系统中, 每个节点都与系统中的其它节点相连接, 系统中所有节点及其连接形成一个覆盖在物理网络上的虚拟网络, 该虚拟网络为覆盖网, 在覆盖网中任意两个节点可以通信, 消息通过网络中的边进行传播, 节点之间地位平等。

当节点i提交一个查询的时候, 收到查询的节点首先检查自身是否有满足查询的结果, 如果有, 则直接返回查询命中的消息;如果没有, 则按照某种策略沿覆盖网的边向邻居节点转发, 当邻居节点收到查询后, 进行同样的处理, 以此类推。

当节点收到查询结果时, 如果是节点j有满足查询的结果, 在确定是否与节点j交易之前, 节点i需要知道节点j的信任度。若一个查询收到多个响应结果 , 则选择信任度大的节点进行交易。

节点i计算对节点j的信任度时, 节点i首先查询自身维护的信任度表, 若表中有关于节点j的记录, 且计算时间和当前时间处在同一个EP内, 则直接根据表中记录的信任值来决定是否进行此次交易, 不再重新计算对节点j的信任度;否则, 节点i根据其自身以及其熟悉的$\left|\phi {}_k\right|$个节点和其不了解的$\left|\phi {}_l\right|$个节点来计算其对节点j的当前信任度。交易完成后, 记录交易评价结果及评价时间等相关数据。各个节点分别维护自身的交易评价表, 并进行相应的更新操作。

算法的主要部分伪码如下:

If (Pi 节点信任度表存在Pj 的信任度, 并且计算时间和当前时刻处于同一个时间周期内)

begin

从节点信任度表读取对Pb 的信任度值;

If (信任度超过可信信任度阈值)

执行一些操作;

Else结束算法;

End

Else begin

向网上发出查询Pb 的信任值的请求

从响应中取m个熟悉节点, 计算公式 (3) , 求得Rt;

从响应中取n个陌生节点, 计算公式 (4) , 求得Ru;

根据求得的Rt和Ru值, 结合自身对节点j的满意度TDij, 计算公式 (1) , 求得i 对j 的信任度Pij;

保存信任度值;

If (信任度Pij超过可信任度阈值)

执行一些操作;

Else结束算法;

End

2.3信任模型分析

(1) 该模型中, 在计算信任度时, 综合考虑了三部分信息:自身交易历史、熟悉节点的推荐、陌生节点的推荐。在不同的交易环境中, 通过α、β、γ对这个三部分赋予不同的权值, 获得了一个相对精确的信任度信息, 有效地提高了交易质量。目前已有的信任模型大多仅根据自身的交易历史及熟悉节点的推荐来计算信任度值, 这在交易频繁的网络中确实是可行的, 但对于交易稀少的网络, 节点自身及其熟悉节点的交易历史十分有限, 仅凭这两个方面无法对节点作出准确的信任度评价, 甚至不能作出任何评价, 从而无法有效地指导交易。而该模型在交易稀少的环境中可以查询大量的陌生节点的信任推荐, 同时赋予一个较高的权值, 这样仍能得到一个相对准确的信任值。

(2) 对于恶意诋毁和故意炒作问题, 它们是指恶意节点在某一时间段内通过提交大量差评或好评而进行的攻击行为。由于在该模型中, 一个节点在一个EP中对同一节点的评价只有最后一次有效, 因此明显削弱了同一用户在短时间内作出的多次差评或好评对服务节点可信度的影响。

(3) 在该模型中, 充分考虑了时间因素对信任度的影响。通常认为, 时间久远的交易评价对信任值的意义不如近期交易评价大。时间衰减因子的引入, 使得对信任度的计算比以往模型更合理。

3实验结果

在单机环境下, 我们构造了多个仿真试验来检测模型。实验规模包括1000个节点, 应用场景是文件共享服务, 文件总数为10000个, 节点的分布符合幂规律[10], 文件的分布满足Zipf定律。节点包括可靠节点和欺骗节点, 可靠节点为其它节点提供诚实可信的文件下载服务, 欺骗节点提供虚假文件下载服务。设每个节点平均完成100次交易, 每次交易目标为从其不曾拥有的文件中随机选择一个并试图进行下载。交易的成功使得该用户拥有该文件, 失败的交易不会增加该用户拥有的文件。在这里, 仍然假定文件共享网络是理想的, 即任意用户可以找到任意文件及其声称为该文件拥有者的所有节点[8]。

实验中对比了不同规模 (0-50%) 的欺骗节点对引入了该信任模型的P2P系统和没有引入信任模型的P2P系统的影响, 结果如图2所示。

从图中可以看出, 随着欺骗节点比例的增加, 引入该信任模型的下载成功率仍然能维持在一个较高水平, 即使欺骗节点达到50%, 其下载成功率仍然达60%以上, 而没有引入信任模型的P2P系统其下载成功率仅20%多。由此可见, 该信任模型有效地提高了系统的下载成功率。

4结论

本文提出的信任模型, 结合自己的交易历史、熟悉节点的推荐及陌生节点的推荐三部分来综合评价目标节点的信任度, 计算信任度时没有采用迭代的方法, 计算简单, 工程可行性好, 不会引起迭代收敛性问题, 同时引入了时间衰减因子, 充分考虑了时间因素对信任度的影响, 在计算信任度时更加合理, 能有效地指导交易。仿真实验证明该模型是有效的。

摘要：在诸如文件共享等无中心的Peer-to-peer环境中, 资源共享是用户自愿的行为。在这类系统中, 由于用户不为自身的行为担负责任, 因而节点间的信任关系往往很难通过传统的信任机制建立。现有模型在计算信任度时往往采用迭代方法, 计算复杂, 同时缺乏对时间因素的考虑。针对上述问题, 提出了一种新的基于P2P的信任模型, 它结合自己的交易历史、熟悉节点的推荐及陌生节点的推荐三部分来综合评价目标节点的信任度, 同时考虑了时间因素对信任度的影响。分析及实验结果表明, 该模型能准确地评估节点的信任度, 提高系统的可用性。

关键词：对等网络,满意,信任

参考文献

[1]窦文, 王怀民, 贾焰, 等.构造基于推荐的Peer-to-Peer环境下的Trust模型[J].软件学报, 2004, 15 (4) :571-583.

[2]Cornelli F, Damiani E, Sabrina.S De Capitani di Vimercati, etc.Choosing reputable servents in a p2p network.Proceedings of the11th International World Wide Web Conference[C].USA:ACM Press, May2002:376-386.

[3]Altman J.PKI security for JXTA overlay networks, TR-I2-03-06[R].Palo Alto:Sun Microsystem, 2003.

[4]孙鹏, 黄鑫, 庄雷.认证技术在P2P网络中的应用研究[J].计算机应用与软件, 2005, 22 (6) :115-118.

[5]Albrecht K, Ruedi AR.Clippee:Alarge-scale client/peer system, TR-410[R].Swiss Federal Institute of Technology, 2003.

[6]Abdul-Rahman A, Hailes S.A distributed trust model.Proceedings of the1997New Security Paradigms Workshop[C].Cumbria, UK:ACM Press, 1998:48-60.

[7]Blaze M, Feigenbaum J, Ioannidis J, et al.The role of trust management in distributed system s security.Secure Internet Programming:Issues in Distributed and Mobile Object Systems[C].volume1603of Lecture Notes in Computer Science, July1999:183-210.

[8]Kamvar SD, Schlosser MT.EigenRep:reputation management in p2p networks.Proceedings of the12th Int’l World Wide Web Conf[C].USA:ACMPress, 2003:123-134.

[9]林作铨, 牟克典, 韩庆.基于未知扰动的冲突证据合成方法[J].软件学报, 2004, 15 (8) :1150-1156.

基于PKI的电子商务信任模型研究 篇9

目前Internet上商家不少, 但由于缺乏相应的安全保障、支付手段和管理机制, 我国电子商务的发展尚未完善, 还不能充分利用Internet无时空限制的优势。网络安全问题给电子商务的发展带来的威胁、风险日益严重, 是制约其发展的重要因素。随着公钥加密技术在网络安全领域的应用, 公钥基础设施PKI (Public Key Infrastructure) 能够提供身份认证、数据完整性和消息保密性等安全服务, 已成为在网络环境中为各类应用提供安全支撑的重要技术, 是目前解决电子商务安全问题的首选技术。

1 公钥基础设施 (PKI)

公钥基础设施PKI是以密码学中的公钥概念及加密技术为基础, 为网上通信提供的符合标准的一整套安全基础平台。PKI将用户公钥与身份绑定在一起形成数字证书, 为用户建立可信的数字身份, 从而为各种不同安全需求的用户提供诸如数据保密、数据完整性、不可否认性及时间戳等各项安全服务。利用PKI能够建立一个可信的网络应用环境, 保证网上传递信息的安全、真实、完整和不可抵赖性, 维护买卖双方信任关系, 降低交易风险, 保证电子商务的持续发展。

一个典型的PKI系统通常由端实体EE (End Entity) 、认证机构CA (Certification Authority) 、注册机构RA (Registration Authority) 和PKI存储库及证书撤销列表CRL (Certification Revocation Lists) 组成。

(1) 端实体是证书的主体, 即持有数字证书的用户。用户通过客户端软件, 访问相应网站, 完成申请证书、获得证书以及验证数字证书等功能。

(2) 认证机构:可信权威机构, 负责颁发、管理和撤销证书。认证机构是PKI的信任基础, 其主要功能包含以下三个方面: (1) 发放数字证书; (2) 规定数字证书的有效期; (3) 通过定期发布CRL, 在必要的时候废除数字证书。CA的作用贯穿公钥的整个生命周期。

(3) 注册机构:可选的管理实体。执行CA委托的一部分管理职能。注册机构是用户与CA之间的接口, 它在获取并确认用户的身份之后, 向CA提出证书请求。

(4) PKI存储库及证书撤销列表。PKI存储库包括LDAP (Light Directory Access Protocol) 目录服务器和普通数据库。PKI存储库是认证机构中的关键组成部分, 负责用户信息、密钥、操作日志等统计信息的存储和管理, 并响应用户的服务请求, 提供相关信息查询功能。在证书的有效期内, 如果证书持有者的私钥丢失或解除了与某一组织或单位的关系, 则该用户的数字证书应该予以撤销。证书撤销列表提供了一种检验证书有效性的方式, 保证了证书的时效性、可靠性。

2 X.509数字证书

数字证书是公钥基础设施PKI中最基本的元素。PKI使用数字证书管理公钥, 通过可信任机构CA把用户的公钥及其相关标识信息捆绑在一起, 从而达到证明用户身份的功能。证书管理是构建PKI系统的核心工作。在网上进行电子商务活动时, 交易双方需要使用数字证书来表明自己的身份, 并使用数字证书来进行相关的交易操作。

现有的数字证书多采用X.509标准。X.509数字证书的通用格式由如下的十个组成域构成。

(1) 证书版本号 (Version) :此域指明数字证书的格式版本。目前最新的版本为X.509 v4。

(2) 证书序列号 (Serial Number) :此域是由CA分配的惟一数字型标识符, 由此证明数字证书的惟一性。

(3) 签名算法标识符 (Signature) :此域用来指定该数字证书所使用的公开密钥算法及哈希函数算法。

(4) 颁发机构名 (Issuer) :此域标识签发数字证书的CA名称, 包括国家、省市、地区、组织机构、单位部门和通用名。

(5) 有效期 (Validity) :此域包括证书开始生效以及失效的日期和时间。

(6) 实体名称 (Subject) :此域指定证书持有者在X.509中的惟一名字。除国家、省市、地区、组织机构、单位部门和通用名外, 还可以包含电子邮件地址等个人信息。

(7) 证书的公钥信息 (Subject Public Key Info) :此域包含两个重要信息: (1) 证书持有者的公钥; (2) 该公钥所使用的密钥算法及哈希函数算法。

(8) 颁发机构惟一的标识符 (Issuer Unique Identifier) :此域为可选项, 当同一个X.509名字用于多个认证机构时, 用一位字符串来彼此区别。

(9) 证书持有者惟一标识符 (Subject Unique Identifier) :此域为可选项, 当同一个X.509名字用于多个证书持有者时, 用一位字符串来彼此区别。

(10) 签名值 (Issuer’s Signature) :证书颁发机构对证书中所有其它字段内容的签名值。

CA生成数字证书的流程如图1所示:

通过数字证书可以使网络的四大安全要素:信息传输的安全性、数据交换的完整性、发送信息的不可否认性以及交易者身份的确定性, 得以保障。

3 基于PKI的角色访问控制模型

自主访问控制DAC (Discretionary Access Control) 和强制访问控制MAC (Mandatory Access Control) 是访问控制机制的两种主要表现形式。其中, 自主访问控制DAC又被称为基于身份的访问控制, 其主要思想是系统的主体可以自主地将其拥有的对客体的访问权限授予其他主体, 且这种授予具有可传递性。而强制访问控制MAC又叫基于规则的访问控制, 其主要思想是将主体和客体分级, 根据主体和客体的级别标识来决定访问控制。该方式便于管理, 但灵活性差, 完整性方面控制不够。

角色是给用户分配权限的一种间接手段, 是对数字证书拥有者所拥有的职能和权限的一种抽象。基于PKI的角色访问控制RBAC (Role Based Access Control) 同时具备自主访问控制和强制访问控制两种特征, 该技术可以减少授权管理的复杂度, 降低管理开销, 提高访问控制的安全性, 而且能够实现基于策略的授权管理和访问控制。与传统的访问控制机制相比, 在PKI系统中的基于角色的授权管理模式主要具有以下三个方面的优势:

(1) 授权管理的灵活性;

(2) 授权操作与业务操作相分离;

(3) 多授权模型的灵活支持。

3.1 角色访问控制模型的组成

基于PKI的角色访问控制模型, 将整个访问控制过程分为两步, 首先将访问权限与角色相关联, 其次将角色与用户关联, 从而实现了用户与访问权限的逻辑分离。

基于PKI的角色访问控制模型, 主要包含以下两部分内容:

(1) 角色是由数字证书拥有者在整个系统中所处的位置决定的, 角色是一定数量的权限的集合, 引入角色的目的是隔离用户与权限之间的关联。由于角色与权限之间的变化比角色与用户之间的变化相对要少, 因此通过修改角色所拥有数字证书的有效期, 可以灵活地进行授权管理, 提高授权的可管理性及安全性, 简化授权管理的复杂度, 降低资源管理成本, 提高访问控制的效率。

(2) 该模型一改传统理论中将访问数据库的权限分配给角色的做法, 而是依据角色的级别, 将应用系统功能层的不同权限分配给相应的角色。不同级别的角色通过操纵系统的功能项来实现操纵数据库资源的功能, 从而使得数据库的安全得到进一步的保护。

3.2 角色访问控制模型的功能分配

基于PKI的角色存取控制模型包含两个基本层次:一是对应用系统功能层的访问权限管理。二是对数据库访问权限的管理。这种分层的权限管理能够进一步提高系统管理的安全性。

角色作为一个用户与权限的代理层, 解耦了权限和用户的关系。从用户访问的角度考虑, 角色划分类似于单位的组织结构。不同角色的权限可用单重或多重继承来实现。在角色继承关系中, 处于最上面的角色拥有最大的访问权限, 越下端的角色拥有的权限越小。角色之间具有偏序关系。权限是权限颗粒, 所有的授权应该给予角色, 而不是直接给用户或组。

3.2.1 系统模块控制权限

(1) 设P表示存取控制属性, C表示可能取值的集合, 则权限级别二元组, 表示数据存取控制属性P取值为一个集合C。

(2) 设R表示关系, P表示R上的一个属性, 则权限级别二元组, 表示任何用户都必须在进行权限级别检查之后, 才可对R进行操作。

(3) 设U表示操作员用户, C1是属性值集合C的子集, 则用户权限级别集合, C1>, 表示U可处理的关系元组, 其值属于C1。

(4) 设G是R上一个元组, V表示G在P上的值。则关系元组<, G, V>的权限检查算法为:如果存在X, 使得一个U与一个R相对应, 并且如果R的一个元组G, 对于X中每个属性P, 都有VC1时, 则操作员用户拥有G元组的存取权限。

3.2.2 数据库访问权限

数据库系统中常用的固定服务器角色有7种: (1) 系统管理员 (2) 服务器管理员 (3) 磁盘管理员 (4) 进程管理员 (5) 安全管理员 (6) 安装管理员 (7) 数据库创建者。

在实际应用中, 通常的访问控制方案主要有如下三种:

(1) 建立一个通用用户默认角色, 该角色只有连接权限, 将该角色授予任一角色, 并设置成默认角色。在每次与数据库中断连接之前, 屏蔽其他角色, 只有该角色有效;在与数据库连接后, 只有该角色有效, 其后根据用户的需要, 在应用程序中设置其他角色有效。

(2) 依据应用系统特点, 首先建立相关核心用户, 然后将序号生成器、触发器、存储过程、表、视图等数据库对象建立在相应的核心用户中。

(3) 根据系统用户的特点, 首先建立各类角色, 然后将步骤 (2) 所建立的核心用户中的数据库对象的相应权限及一些系统权限授予相应角色。

数据库管理系统根据对不同角色的功能分配, 修改后台数据库相关条目, 从而实现前后台权限控制的一致性。

4 结语

电子商务系统的安全与安全风险分析是密切相关的。本文以基于非对称密码技术的公钥基础设施PKI为安全服务平台, 提出了一种基于角色存取控制技术的电子商务信任模型, 并据此提出了相应的权限检查算法, 模拟实验证明该模型有效建立维护买卖双方信任关系, 降低恶意操作行为发生的概率, 提高电子商务交易的安全性。

摘要：电子商务系统的安全与安全风险分析紧密相关, 信任是影响电子商务发展的重要因素。本文以PKI作为实现电子商务安全的技术支撑, 从角色存取控制的角度提出了一种安全的电子商务信任模型。

关键词：电子商务,公钥基础设施,层次型信任模型,数据库

参考文献

[1]张旭珍等.电子商务安全技术的研究[J].计算机与数字工程, 2008, 5.

[2]陈雪刚等.基于XML的电子商务数据模式的转换研究[J].计算机技术与发展, 2008, 9.