法律状态公告日
法律状态信息
法律状态
2011-06-22
未缴年费专利权终止 IPC(主分类):H04L9/00 授权公告日:20100127 终止日期:20100418 申请日:20070418
专利权的终止
2010-01-27
授权
授权
2007-11-14
实质审查的生效
实质审查的生效
2007-09-19
公开
公开
所属技术领域
本发明涉及一种开放系统信任模型的建立方法,通过建立信任关系保证开放系统的安全。
背景技术
信任是安全的基石。在开放系统中,由于实体之间不存在事先的信任关系,因此不能保证与你进行交互的设备是否可信,用户的隐私信息能否得到保护,数据能否安全传输等问题。建立信任关系是保证开放系统安全的基础。
信任管理是一系列管理信任的方法。它是目前解决大规模的、开放式分布式系统授权的一种新方法。信任管理根据建立信任关系的方式不同,可以分为基于策略的信任管理和基于声誉的信任管理。
基于策略的信任管理中信任关系的建立是基于对方是否具有所需的信任书,如果有就信任对方,如果没有就不信任对方。系统中实体使用信任书将权限传递给可信实体,信任书链表示实体间的信任传播。信任关系通过信任书或信任书链获得。如果没有找到信任书或信任书链,就表示没有信任关系。这种信任管理方法结果通常是一个二元(binary)决定,请求者要么信任,要么不信任,因此服务要么允许访问,要么拒绝访问,这就是传统的信任管理。基于策略的信任管理系统将传统的“身份认证”加“访问控制”模式联合为一体,直接将公钥作为授权实体,把权限与公钥直接绑定,资源的管理者不必准确地识别出请求者的身份,比较适合大规模分布式系统中的授权处理。
信任管理简化了授权方式,比较适合管理大规模分布式网络的安全,但是信任管理主要考虑信任的静态因素,忽略了动态因素。因此信任管理存在一些不足。
(1)安全度量绝对化。采用策略一致性验证的方法进行安全度量和决策,该方法过于精确,不能很好地适应分布式环境下的多变性和不确定性。
(2)安全分析实体单一。信任管理仅考虑服务方的安全保护,没有考虑服务调用方的安全问题。
(3)信任管理实际上已经隐含了信任关系,没有说明为什么要信任。
(4)无法实时地满足动态的安全环境的变化,安全策略验证的能力和效率有限,并且大部分信任管理系统在策略一致性证明验证前必须收集足够的安全信任书。
(5)安全策略的制定过程较为复杂,阻碍了信任管理系统的应用。
基于声誉的信任管理中信任关系是根据实体的特定行为来建立的,也就是判断实体是否能提供某项应用的能力。基于声誉的信任管理考虑了信任的社会特性,目前对信任模型的研究是属于这一类。
基于声誉的信任管理主要研究如何建立信任关系,如何表示信任以及如何评估信任等,以便进行安全决策。关于基于声誉的信任管理的研究有很多,它们之间的主要区别是根据信任的行为或信任本身,使用不同的数学模型表示信任以及评估信任值。
基于声誉的信任管理的实质是采用一种相对的方法对安全信息进行度量和评估,能够较好地反映出分布式环境下的多变性和不确定性。但当前的信任模型一般只适合某个特定的领域,不适合开放系统的主要原因是:(1)没有讨论陌生实体之间如何建立信任。当前的信任模型对陌生实体的信任一般是基于第三方的推荐,或者事先安排一个信任值。(2)当前的信任模型都是平面结构,可操作性差。
发明内容
本发明的目的是为了克服上述的不足,设计一种层次信任模型建立方法。它能够在陌生实体间建立信任关系,信任值是动态变化的。该模型具有层次结构的一切优点。主要包括信任如何形成、有哪些信任要素以及如何评估这些信任要素值、如何计算层次信任值、如何表示层次信任、如何比较层次信任值大小以及如何更新信任等问题。同时解决陌生实体之间如何建立最初的信任。
本发明解决其技术问题的思路是:层次信任模型应该能够符合信任的特征和开放系统的特点。信任的特征主要有:主观性(不同的实体对同一问题的信任度有所不同);条件传递性(信任传递是有条件的,即信任者相信推荐者的推荐);信任的非对称性:上下文相关性(信任是相对于某个上下文而言);信任的非单调性;动态性(信任与环境和时间有关)等等。开放系统的主要特点是动态性和上下文感知性。
构成信任的要素很多,如经验,信任第三方的推荐,实体的属性,应用上下文等等。这些要素以不同的形式构成信任,如果已经知道对方的交互历史,可以根据经验进行信任评估,如果是陌生的双方,则可以通过信任的第三方推荐,或者通过实体具有的属性进行信任协商逐步建立信任关系。应用上下文决定信任值的动态变化。我们可以将这些要素分为两类:构成基本信任的要素(如经验,信任第三方的推荐,实体的属性等)和构成应用信任的要素(如应用上下文)。由于建立信任模型的最终目的是评价一个实体的信任值。因此可以将信任值用一个两层的结构表示,底层是基本信任值(Tb),上层是应用信任值(Td)。基本信任的要素是由实体自己的经验,或者第三方推荐而形成,如果不存在推荐的陌生实体之间的基本信任值则通过信任协商获得。一旦基本信任建立,才考虑应用信任,应用信任的要素由环境的上下文来决定,上下文变化,则应用信任值变化。
层次信任结构还需要解决如何比较层次信任值以及如何评估信任要素。可以将每一层的信任值离散表示,如表示为“不信任”、“不确定”、“低”、“中”、“高”。显然这些信任值之间的关系是偏序关系。很容易证明层次信任值(Tb,Td)之间的关系也是偏序关系。
信任要素中对经验和推荐信任可以借鉴现有的评估方法。当实体之间事先不存在信任关系时,一般通过实体的属性建立信任关系。双方根据自己的信任策略进行评估,属性不同,信任值也不同。上下文可以分为:(1)计算上下文(如网络的连接情况、通信成本、通信的带宽和附近的资源;(2)用户的上下文(用户的特性、位置、时间、附近的人员、当前的人际关系等);(3)物理的上下文(如光照、噪声程度、交通条件和温度等)。对上下文这个信任要素,系统也根据自己的信任策略,对不同的上下文的信任值进行评估,如办公室内一台打印机的信任策略是当自己空闲并且实体在办公室内时,上下文信任值为“中”;如果在打印机忙时,它的信任策略可能是任何想使用它的实体的信任值都是“低”,即使实体在办公室内部。
根据上述解决其技术问题的思路,本发明所采用的技术方案是
一种开放系统的层次信任模型建立方法,其特征在于包括以下步骤:
步骤1、建立两层结构的层次信任模型,底层为基本信任层,上层为应用信任层;
步骤2、将实体的属性、经验、第三方的推荐和应用上下文信任因素分成二个层次,实体的属性、经验和第三方的推荐信任因素形成底层基本信任层,上下文信任因素构成上层应用信任层。
所述步骤2之后还包括:
步骤3、将信任值离散表示为“不信任”、“不确定”、“低”、“中”、“高”。这里信任值“不确定”可能是表示完全不确定,也可能表示对信任值是低,中还是高的不确定,也可能表示信任值是高或者中的不确定;
步骤4、所述的两层结构的层次信任模型的信任值表示为T=(Ta,Tc),其中Ta是由底层信任因素形成,Tc由上层信任因素构成。
所述步骤4之后还包括:
步骤5、实体的属性评估,陌生实体之间通过属性建立信任关系;信任策略表示为:P←B(A1,…AK),其中B(A1,…AK)是对方可能拥有属性A1,…AK的布尔表达式;当且仅当对方出示了Ai,Ai是满足的;如果P←true,则信任值为规定的信任值;如果P←false,则属性信任值小于规定的信任值,这表示对方或者没有所需要的属性,或者没有显示该属性;
步骤6、经验评估,经验是信任实体记录被信任实体完成一些任务的情况,完成每一个任务的过程称为一个事件,一个事件降低信任值,或者增加信任值;因此经验分为正信任经验和负信任经验,由于事件的重要性不同,每个事件分配一个权值,权值越大表示事件越重要,经验值增加或者降低的多少依赖不同的经验评估策略;
步骤7、第三方的推荐信任评估:陌生实体之间通过第三方的推荐建立信任关系,每个实体保存一个与其他实体信任关系的信任图,在信任图中存在不同的信任路径,每条信任路径的信任值为该路径上最小的信任值,如果存在多条信任路径,推荐综合信任值取决于不同路径的推荐效果;
步骤8、上下文信任评估,在不同的应用上下文有不同的信任策略;
步骤9、当规定的时间已过时、应用上下文变化或者存在恶意推荐时更新信任值。
所述步骤9之后还包括:
步骤10、经验评估策略1-公平策略,完全根据发生的事件数计算其经验值,最开始经验值为完全不确定,随后对发生在特定时间和特定上下文中的事件重要性分配权值,总的经验值的变化完全根据正负信任事件计算得出;
步骤11、经验评估策略-2乐观策略,在发生的事件中,选取权值最大的正信任事件计算其经验值,而不管是否存在负信任事件;
步骤12、经验评估策略3-悲观策略,在发生的事件中,选取权值最大负信任事件计算其经验值,而不管是否存在正信任事件;
步骤13、经验评估策略4-惩罚策略,对发生的事件中,对同样的事件,负信任事件的权值大于正信任事件,则对发生负信任事件进行惩罚。
由上面的技术方案可知,本发明具有以下的有益效果:
1、解决了最初的信任问题,能够在陌生环境对数据进行保护。
2、层次结构模型的可操作性好,简化了开放系统的安全决策。
附图说明
图1为层次信任模型结构图。
具体实施方式
主要包括下面几个方面。
信任分层:构成信任的要素很多,如经验,信任第三方的推荐,实体的属性,应用上下文等等。将这些信任要素分为两个层次:底层的信任形成因素是:实体属性、第三方推荐和经验;上层的信任形成要素是应用上下文。一个分层信任模型的信任值表示为T=(Ta,Tc)。其中Ta是由低层信任因素形成,Tc由上层信任因素构成。
信任表示:我们将信任离散地表示为“不信任”、“不确定”、“低”、“中”、“高”。“不确定”是表示完全不确定,或者表示对信任值是低,中还是高的不确定,或者示信任值是高或者中的不确定。
信任值(低,高)表示底信任值为“低”,上层信任值为“高”。
层次信任值大小比较:只有当信任值T1大于信任值T3,且T2大于T4时,层次信任值(T1,T2)大于(T3,T4),如信任值(高,中)大于信任值(中,中)。
信任评估:
(1)经验评估:经验是信任实体记录被信任实体完成一些任务的情况,完成每一个任务的过程称为一个事件。一个事件可能降低信任值,也可能增加信任值。因此经验可以分为正信任经验和负信任经验。由于我们用离散方法表示信任值,所以经验不能用概率表示。由于事件的重要性不同,每个事件分配一个权值。权值越大表示事件越重要。一个经验值可以用一个阶梯函数表示。经验评估策略是对已经发生的事件给出评估方法。每个事件有不同的权值,权值大的正信任事件,经验值增加快。相反权值大的负信任事件,经验值降低快。经验值增加或者降低的多少依赖不同的经验评估策略。下面给出几个评估策略:
公平策略完全根据发生的事件数计算其经验值。最开始经验值为完全不确定,随后对发生在特定时间和特定上下文中的事件重要性分配权值,由于经验值是离散分级的,权值可以用1/15、1/10、1/2、1等表示。如当正信任权值是1/15时,表明需要15个这样的正信任事件,经验值才增加一级。反之,如个负信任权值是1/15时,表明发生15个这样的负信任事件时,经验值降一个级别。总的经验值的变化完全根据正负信任事件计算得出。
乐观策略是在发生的事件中,选取权值最大的正信任事件计算其经验值。如存在权值分别为1/15、1/10、1/2、1的几个正信任事件,乐观策略是选取最大权值为1的正信任事件,而不管是否存在负信任事件,因此经验值增加一个级别。
悲观策略是在发生的事件中,选取权值最大负信任事件计算其经验值。如存在权值分别为1/15、1/10、1/2、1的几个负信任事件,悲观策略是选取权值为1的负信任事件,而不管是否存在正信任事件,因此经验值降低一个级别。
惩罚策略是对发生的事件中,对同样的事件,负信任事件的权值大正信任信任事件。这是对发生负信任事件进行惩罚。
(2)实体的属性评估:陌生实体之间主要通过属性建立信任关系。信任策略可以表示为:P←B(A1,…AK),其中B(A1,…AK)是对方可能拥有属性A1,…AK的布尔表达式。Ai是满足的,当且仅当对方出示了Ai。如果P←true,则信任值为规定的信任值。如果P←false,则属性信任值小于规定的信任值,这表示对方或者没有所需要的属性,或者没有显示该属性。
(3)上下文信任评估:在不同的应用上下文有不同的信任策略。如办公室内一台打印机的使用策略是信任值为“中”。上下文信任评估根据当前的上下文信息对实体进行信任评估,假设当打印机空闲并且实体在办公室内时,上下文信任值为“中”;实体在办公室外部时,上下文信任值为“低”;打印机忙时,上下文信任值是“低”。因此当实体不在办公室或者在办公室内,但打印机忙时,实体都不能使用打印机。
(3)推荐信任评估:陌生实体之间也可以通过推荐建立信任关系。为了方便计算推荐信任综合值,这里使用了实体的信任图,每个实体保存一个与其他实体信任关系的信任图。
信任图是实体与实体之间的单向信任关系图。在信任图中存在一个实体与另一个实体之间存在多条信任路径。
每条信任路径的信任值为该路径中最小推荐信任值。
多条路径综合信任值取决于不同路径的推荐效果决定。
信任更新:
当下面情况发生时,应该重新评估信任值:
(1)当规定的时间已过时,重新评估基本信任值和应用信任值;
(2)当应用上下文变化时,重新评估应用信任值;
(3)当存在恶意串通(如恶意推荐)时,重新评估基本信任值,重新评估时不考虑恶意推荐者的推荐结果,并对推荐者给予惩罚,如增大惩罚权值。
恶意推荐判断:如果一个推荐者对一个实体的推荐值与计算的综合信任值差的绝对值大于规定的恶意阈值时,则称该推荐者是恶意的。
下面根据附图1,对信任形成过程进行详细描述:
步骤1、应用层是建立在基本层上,没有基本层信任就没有应用层信任;
步骤2、基本层信任的形成由经验、推荐和实体的属性组成;
步骤3、首先判断是否存在历史交互记录,如果存在,根据评估策略评估经验值;然后计算推荐信任值;两者按照一定的权值计算出基本信任值;
步骤4、判断基本信任值是否满足服务提供方的信任策略,如果满足则转步骤6,如果不满足,则要求实体出示一些属性,根据属性评估基本信任值;
步骤5、如果不存在历史交互记录和推荐,实体必须出示某些属性,直到基本信任值达到规定的信任门槛值;
步骤6、根据用户上下文、计算上下文和物理上下文评估应用层信任值。
机译: 一种用于生物质处理的近红外模型的建立方法
机译: 一种用于生物质处理的近红外模型的建立方法
机译: 一种生成通信任务模型的方法
