（管理科学与工程专业论文）电子商务信任管理技术研究.pdf

硕士学位论文 m a s t f r st h e s l s 摘要 信任是建立社会关系的基础，也是建立社会秩序的基本工具。在社会经济活动 中，信任是经济交易的润滑剂，它可以简化交易机制、减少机会主义行为、降低交 易成本、节约社会资本、促进各方合作。在电子商务领域，信任则是交易能够发生 的前提；同时，由于匿名性、动态性等特征，信任问题在电子商务领域表现得更加 突出和复杂，信任问题解决的好坏直接影响到电子商务发展的深度和广度。 电子商务信任管理研究是一个复杂的课题，涉及到法律环境、技术等诸多方面， 建设良好的电子商务信任环境也需要从环境和技术两方面着手。首先要从技术的角 度保证能够科学合理地管理交易各方的信任。其次，还要从社会文化的角度，努力 建设一个良好的信任环境，包括培养公民的诚信意识和健全电子商务的相关法律。 从技术的角度来建设和管理电子商务信任是本文的研究重点。 本文将基于凭证和基于证据相结合的信任管理模型应用于电子商务信任管理 领域，以信任管理过程( 信任关系的建立、信任关系的传递、用户信任度评估) 为 主线，从技术的角度来分析和阐述电子商务信任管理问题。首先阐述了信用、信任、 信任模型、信任管理模型等概念的内涵，并对比分析了b 2 b 、b 2 c 、c 2 c 、b 2 g 等 模式的电子商务目前存在的信任问题及相应的信任管理现状，将基于凭证和基于证 据相结合的信任管理模型引入电子商务信任管理领域。其次，阐述了在电子商务这 种虚拟网络环境中如何建立信任关系，对比分析了基于公钥证书的身份认证、基于 生物特征的身份认证的优缺点，并引入了基于生物特征和公钥证书相结合的多模式 身份认证方式，以从根本上解决电子商务中的身份鉴别问题。再次，分析了信任路 径的两个重要属性：信任度和长度，并提出证书路径的发现和构造问题实际上属于 多因素条件( 信任度和长度) 下的路径问题，即求“最短最宽路径”问题。为适应 电子商务领域庞大而复杂的信任关系网络拓扑图，提出基于自治域的证书路径发现 和构造模型。另外，在前人研究的基础上，综合考虑相关信任度影响因素，如用户 的前信任记录、推荐用户信任度、交易金额、交易完成时间等，提出了基于多影响 因素的用户信任度评估模型。最后，对本文的研究内容进行了总结，并提出了今后 进一步的研究工作。 关键词：信任，电子商务，信任管理，信任路径，信任度，信任评估 a b s t r a c t 撇i st h ef o u n 洲0 nt oe s t a b l i s h 也es o c i a lr e l a t i o n s h i p s ，a n di ti sa l s ot h eb 懿i ct 0 0 l t ob u i l dt 1 1 es o c i a lo r d e r i i ls o c i a le c o n o m i ca c t i v i t i e s ，仃u s ti st h ee m o l l i e mo f 们m s a c t i o n s ，a n di tc 卸s i m p l i 矽t h e 衄d i n gm e c h a n i s m ，r e d i u c eo p p o n 砌s tb e h a v i o ra 1 1 d 仃a n s a c t i o nc o s t s ，缸l di tc 锄a l s os a v es o c i a lc a p i t a la n dp r o m o t et h ec o o p e r a t i o no f a n 阳r t i e s i ne l e c 仃0 n i cc o m m e r c e ，协l s ti st h ep r e m i s et h a tt h e 仃眦s a c t i o nc a i lo c c u l m e a n w h i l e ，f o rt 1 1 e 锄0 n y m i t y 锄dd 娜i cc h a r a c t e r i s t i c s ，t l l e 仇l s tp r o b l e m sa r em o r c s i 舀1 i f i c a n t 锄dc o m p l e xf o re l e c t r o n i cc 0 n 1 i n e r c e w h e t h e rt 1 1 e s e 仃u s tp r o b l e m sc a nb e s o l v e dw i l ld i r e c t l ya f l e c tm e 如n h c rd e v e l o p m e n to fe l e c 仃o m cc o m m e r c e h o wt 0s 0 1 v em et m s tm a n a g e m e n tp r o b l e m si ne l e c t r d n i cc o m m e r c ei sa c o m p l i c a t e dp 喇e c t ，锄di ti n v o l v e s st 1 1 el a we n v i r o n m e n ta n ds e c u r i t yt e c l u l o l o g y e t c t h l s te n v i r o n m e n to fe l e c t l d n i cc o m m e r c eh a v et ob ec o n s t n l c t e d6 o mm os i d e so f s o c i a le n v i r 0 砌e n t 锄dt e c h n o l o g y f i r s ti st h et e c l l l l o l o g y w l l i c hi n c l u d i n gi d e n t i t y a u t l l e n t i c a t i o n 、t m s tp a t hp r 0 i c e s s i n g 、们塔td e 黟c ee v a l w l t i o n e t c s e c o n di s t l l es o c i a l e n v i r 0 姗e n t ，w h i c hi n c l u d i n gt t l el a w so fe l e c 臼o n i cc o m m e r c e锄dt l l ec r c d i t c o n s c i o u s n e s so fc i t i z e n s a n d t h ef i r s to n ei so u rr e s e a r c he m p h a s i s w bi n 仃) d u c en l e 仇l s tm a r m g e m tm o d e lw 1 1 i c hc o m b i n i n gc r e d e n t i “b 嬲e d 粕d e v i d e n c e b a s e di n t oe l e c 臼o n i cc o m m e r c e t h j sp a p e rr e s e a r c h e so nt l l e 细l s t m 锄a g e m e n to fe l e c 仃o n i cc o m m e r c ef 而mm et e c l u l o l o g y 邪p e c ta n dt a k e st h e 仃i l s t m a i l a g c m e n tp r o c e s s 舔i t sm a i nc l u e f i r s t l yw ed e s c 矗b et l l ec o r m o t a t i o n so fc r e d i t 、 t m s t 、t m s tm o d c l 孤dt m s tm 缸a g e m e n tm o d e l ，粕dc o n t r 弱tt h ee x i s t i n gt n l s tp m b l e m s 觚dt h ep r c s e n t 仃u s tm 锄a g e m e ms i t u a t i o ni nt l l ee l e c 钾o n i cc 0 m m e r c em o d e l so fb 2 b 、 b 2 c 、b 2 g 觚dc 2 c ，柚dt l l e ni n t r o d u c et h et r u s tm a n a g e m e n tm o d e lc o m b i n i n g c i c d e n t i a l b a s e da n de v i d e n c e b a s e di n t oe l e c 仃o n i cc o n u l l e i i c e s e c o n d l vw ed i s c u s s h o wt oe s t a b l i s h 仃1 l s tr e l a t i o n s h i pi nm ev i r t i 璩lr l e t 、o r ka p p l i c a t i o ne n v i r o 珈 i l e n ts u c ha s e l e c 仃o i l i cc o m m e r c e ，锄dw ea n a l y s i st l l ea d v 锄t a g e 锄dd i s a d v 锄t a g eo ft h ei d e n t i t y a u t l l e n l i c a t i o nb a s e do nt h ep u b l i ck e yc e r t i f i c a t i o na n do nt l l eb i o m e t r i c ，t h e ni n 仃o d u c e 也ea u t h e n t i c a t i o nm o d ew ，h i c hc o m b i n i n gc e n 讯c a t i o n - b a s e da n db i o m e t r i c - b a s e di n t o e l e c t r 0 i l i cc o 如m e r c et 0s o l v et l 坨p r o b l 锄o fi d e n t i t ya u m e n t i c a t i o n 7 r t l i r d l yw ea n a l y s i s t h et w oi m p o r t 锄tp r o p e n y 仃u s td e g l l e e 锄dl e n g t l l ，o ft 1 1 e 仇l s tp a t l l ，锄dc o m et om e c o n c l u s i o nt h a tc e n i f i c a t i o n p a t l lc o i l s 仇l c t i o np r o b l e mb e l o n g st op a t l ls w e 印i n g p r o b l e m su n d e rm u l t i p l ec o n d i t i o n ，m a ti st 0s e e kt h es h o r t e s t - w i d e s tp a t l l a i l df o rm e l a r g ec o m p l e xt o p o l o g i c a l 蓼a p ho f 协l s tr e l a t i o 璐h i pi i l 蛇r e a la p p l i c a t i o n ，w ep l l t 硕士学位论文 m a s t t 三r st h e s l s f o n a r d 仃u s tp a t hd i s c o v e r ym o d e lb 雒e d0 nt l l e ”s e l f l l l l e dd o m a ”f o u r a l l y b 舔e do n p r e v i o u sr e s e a r c h ，t h i sp a p e rp r o p o s e sm e 仇i s td e 伊e ee v a l u a t i o nm o d e lc o m b i n e dw i t ha l a r g e 锄o u n to fi m p o r t 觚tf a c t o 瑙s u c h 觞p r e v i o u st n 塔td e 粤e e 、r c c o m m e n 拙i o n 仃u s t d e g r e e 、胁s a c t i o nv a l u e 、t h et i m ef i n i s h e dt h ed e a l e t c l a s t l y w em a l 【eas u n 衄a d ，f o r t i l i sp a p e r 粕dp u t 如删峨r dt 1 1 e 舢胁e rr e s e a r c hw o r k k e yw b r d s ：1 m s t ，e l e c 仃0 n i cc 彻 1 i t l e r c e ，t r 憾tm 锄a 醇m e n t ，1 m s tp a t l l ，1 m s td e g 陀e ， t l u s te v a 】u a t i 伽 i 硕士学位论文 m a s t e r st h e s r s 华中师范大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作 所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本声明的法律结果由本人承担。 名：干尚叮 日期：肿 学位论文版权使用授权书 多月弓日 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中师范大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。同时授权 中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通 过网络向社会公众提供信息服务。 ：翥黧唰日 嘲：讲6 月弘 本人已经认真阅读“c a l i s 高校学位论文全文数据库发布章程 ，同意将本人的 学位论文提交“c a l i s 高校学位论文全文数据库 中全文发布，并可按“章程”中的 规定享受相关权益。回重途塞握銮蜃溢卮；旦圭生；旦二生；旦三生发查! 作者签 日期： 撕张协名 ：日期妙a 妒) a 多日 瑚彬 名k 签n 荔 硕士学位论文 m a s t e r st h e s i s 1 1 选题背景 第1 章绪论 由于其经济、便捷、不受时空限制等特性，相对传统商务模式来说，电子商务 具有更大的发展优势。然而据中国互联网信息中心( c n n i c ) 2 0 0 8 年1 月发布的第 2 1 次 中国互联网络发展状况统计报告表明，截至2 0 0 7 年1 2 月，网民数已增至 2 1 亿人，其中购物人数规模为4 “0 万，中国网民网络购物比例仅为2 2 1 。目前 大多数网民( 占7 7 9 ) 对电子商务还是持观望或不信任的态度。对于那些参与电 子商务交易的网民来说，由于担心其安全问题，也多是集中在服饰、化妆品、书籍 等低价值交易领域。电子商务发展的广度和深度都没有达到其应有的水平，究其原 因，主要是因为大部分的网民对目前日趋复杂和混乱的电子商务交易环境，没有充 分的信任。 因此，研究电子商务信任管理问题，从技术和社会文化的角度建设一个良好的 电子商务信任环境，消除人们的掣受骗之忧 ，吸引更多的个人和企业积极参与电 子商务，以促进电子商务的快速发展，是当前发展电子商务急需解决的问题。 1 2 研究的主要内容及创新点 信任是人类社会的认知现象，在人类社会关系中，信任关系是人际关系的核心， 是建立社会关系的基础，也是建立社会秩序的基本工具。在电子商务领域，信任是 交易能够发生的前提。如何管理信任，则是电子商务安全领域的核心内容。 电子商务信任管理需要从两个方面来进行。首先要从技术的角度保证能够科学 合理地管理交易各方的信任。这些技术包括：身份认证技术、信任路径发现与构建 技术、交易实体信任度评估技术等。其次，还要从社会文化的角度，努力建设一个 良好的信任环境。建设社会信任环境，一是要培养公民的诚信意识。有了诚信意识， 在进行电子商务交易时才有可能自觉遵守交易规则：二是，要健全电子商务交易方 面的相关法律，从法律行政的角度去监督人们的交易行为。当交易过程中出现抵赖、 欺骗行为时，才能做到有法可依，。能够根据相关法律给予打击和制裁。 在具体的电子商务实践中，技术和社会文化两方面必须综合平衡、不可偏颇。 片面地依靠技术手段来约束人们的交易行为，势必会影响电子商务交易的快捷性和 。h t t p ： r w c n n i c n e t c n u p l o a d f i l e s p d f 2 0 0 8 l 1 7 1 0 4 1 5 6 p d f ，2 8 3 5 硕士学位论文 m a s t l ! r st h e s l s 方便性，这违背了电子商务的初衷。一厢情愿地希望人们自觉去遵守交易规则，而 没有技术手段作保证，同样会造成电子商务交易的混乱。这样当欺骗行为发生时， 即使有法可依，也会由于不能取证，而使得这种法律执法无门。 本文主要是从技术的角度研究如何管理电子商务中的信任问题，主要内容包括 信任关系的建立、信任关系的传递和实体信任度的评估。在电子商务这种虚拟网络 环境中，信任关系是建立在实体身份认证的基础之上，实体身份认证是指实体身份 可以被准确的鉴定，不被他人冒充，即可以根据网络身份信息追寻到现实世界中的 实际对象。传统的基于公钥证书的身份认证是建立在私钥安全的基础之上，这种方 式只能证明证书的持有者拥有数字证书中公钥所对应的私钥，但并不能证明持有者 就一定是数字证书的所有者。因此，本文引入将生物特征和公钥证书相结合的多模 式身份认证方式，多模式身份鉴别方式能够证明持有者即是所有者，可以从根本上 解决电子商务中的身份认证问题。 电子商务的交易对象相互之间事先可能是完全陌生的，如何将信任关系安全传 递到陌生的交易实体是电子商务信任管理研究的重要内容。文中给出的电子商务信 任管理模型是基于凭证和基于证据相结合的，信任关系通过凭证链来传递，这里的 凭证链表现为信任路径( 公钥证书链) 。因此，信任路径的发现和构造是本文研究 的又一个重点内容。长度和信任度是度量一条信任路径好坏的重要属性指标，而现 有的多数信任路径发现算法在构建证书路径时却没有考虑这两个因素，鉴于此，本 文借鉴“路由优化 的相关思想，提出了基于多限制条件( 长度和信任度) 的信任 路径发现思想和算法。另外，在一个大型的电子商务交易环境中，信任关系拓扑图 往往是非常复杂和庞大的，在整个信任关系拓扑图中如果单纯地采用一种算法来构 造信任路径是很困难的，而且效率较低。因此，本文提出基于“自治域 的信任路 径发现思想。 实体信任度评估也是电子商务信任管理的重要研究内容。实体信任度是根据交 易之前的交易行为表现来确定其未来交易行为是否可信的一种数量性预测，它是电 子商务中选择交易对象的主要依据。在现有的电子商务应用中，多是单纯采用正向 好评和负向差评相加的方式来计算实体信任度，这种方式是不科学的，没有考虑交 易额、交易时间等重要信任度影响因素。本文分析了目前的用户信任度影响因素， 提出了基于多因素的用户信任度计算模型。 本文的创新点主要有： ( 1 ) 从技术的角度，系统地对电子商务信任管理过程进行研究，给出了电子 商务信任管理模型，即将基于凭证和基于证据相结合的综合信任管理模型，并以此 2 硕士学位论文 m a s t e r st h e s i s 来解决电子商务领域的信任问题。 ( 2 ) 分析了基于公钥证书的身份鉴别方式不能证明证书的持有者和证书所有 者的统一性问题，将基于生物认证和p 认证相结合的多模式身份认证方式引入电 子商务领域，以从根本上解决电子商务交易中的实体身份认证问题。 ( 3 ) 分析了信任路径的两个重要属性：信任度和长度，并提出证书路径的发 现和构造问题实际上属于多因素条件( 信任度和长度) 下的路径问题，即求“最短 最宽路径 问题。 ( 4 ) 借鉴路由优化中的“自治系统”的思想，提出在大型信任关系拓扑图中， 基于自治域的证书路径发现和构造模型思想。 ( 5 ) 根据交易风险理论，提出基于价格、前信任记录、交易完成时间、其他 用户推荐信任度等多因素的用户信任度评估模型。 1 3 本文组织结构 本文按电子商务信任管理模型中各相关过程来组织论述，具体安排如下： 第l 章分析研究背景，概述了本文的主要研究内容和创新点。 第2 章首先阐述了信用与信任的含义，阐述了信任管理和传统安全管理的差别； 其次，介绍了目前常用的六种信任模型，分析了各自的优缺点，并对比分析了b 2 b 、 b 2 c 、c 2 c 、b 2 g 等模式的电子商务中存在的信任问题及相应的信任管理现状。 第3 章对比分析了基于凭证的信任管理模型、基于证据的信任管理模型和基于 凭证和证据相结合的综合信任管理模型的特点，并提出了基于综合信任管理模型的 电子商务信任管理技术框架。 第4 章阐述了在电子商务这种网络环境中如何建立信任关系，对比分析了目前 的基于公钥证书的身份认证、基于生物特征的身份认证的优缺点，并将基于生物特 征和公钥证书相结合的多模式身份认证方式引入电子商务领域，以从根本上解决身 份鉴别问题。 第5 章阐述了在虚拟的网络环境中如何传递信任关系。在本文的电子商务信任 管理模型中，信任关系是靠信任路径来传递，因此信任路径的发现和验证是本章的 研究重点。 第6 章阐述了如何评估电子商务交易实体的信任度。首先分析了目前的电子商 务应用中实体信任度评估模型的缺点，提出了基于多因素的用户信任度评估模型。 第7 章对本文的研究做总结，并提出进一步的研究工作。 3 硕士学位论文 m 人s t f r st h e s i s 第2 章信任与信任管理 信任是人类社会的认知现象，在人类社会关系中，信任关系是人际关系的核心， 这种相互依赖关系组成信任网络。在社会经济活动中，信任是经济交易的润滑剂， 它可以简化交易机制、减少机会主义行为、降低交易成本、节约社会资本、促进各 方合作等。信任管理着重于对这种信任关系进行处理，其内容包括“信任意向的获 取、评估和实施”，在具体实现时，信任管理一般是通过信任管理系统来实施。 缺乏一定的信任关系，将会导致交易成本上升，社会秩序复杂化、混乱化。由于匿 名性、动态性的特征，信任问题在电子商务领域表现得更加突出。建立良好的信任 关系，进而建设完善的信任环境，将会促进电子商务的发展，进而带动社会经济的 增长。 2 1 信任与信用 在阐述信任和信任管理之前，首先要了解信任、相信和信用的含义，通过对比 分析三者的含义，可以更加深刻地理解信任和信任管理的内涵。 1 相信 关于相信的定义，目前公认的是现代汉语词典给出的，相信是“认为正确、 确实而不怀疑 的意思。 2 信任 对于信任，学术界还没有一个统一的定义。信任在现代汉语词典中被定义 为“相信而敢于托付 。传统的个性心理学家认为，信任是一种信念和期望，或是 深深植根于个性中的情感，它起源于个人早期的心理发展中。社会心理学认为，信 任是一个人在互动中对其他人行为的期望，研究信任的重点应放在加强或阻碍信任 发展与维持的相关因素上。社会学家们认为，信任不只是个人道德，还是一种社会 机制。德国社会学家卢曼认为，信任是一种简化机制，依靠简化机制是人类生存的 策略，因为人类生活的自然与社会环境很复杂且日益复杂，必须建立一些简化系统 来应对它们，如语言、货币、分数和考试系统等，信任就是一种简化系统。英国社 会学家吉登斯从结构上将信任分为人格信任和制度信任两种。人格信任一般是在熟 人中发生和维持；制度信任则往往发生在由不确定的陌生人组成的制度系统当中， 如科学技术、货币等。信息安全领域，对信任的定义更加具体，在i t u t 推荐标准 。d p o v e y ( 1 9 9 9 ) d e v e l o p i n ge 1 e c t r o n i ct r u s tp o l i c i e su s i n gar i s km a n a g e m e n tm o d e l i n ：p r o c e e d i n g s o ft h el 9c q 腿c g r e s s 1 9 卜1 6 4 硕士学位论文 m a s t f r st h e s i s x 5 0 9 规范中将信任定义为：如果实体a 认为实体b 是严格地按照a 所期望的那样 行动的，则a 信任b ，这里的实体可以是用户、计算机终端和服务器等。在电子商 务领域，信任可定义为基于过去交易的客观事实的基础上的对交易对象遵守交易规 则的主观可能性预测，信任度则是对这种可能性大小的度量。 从上面的这些关于信任的定义中可以看出，信任是一个看似简单其实复杂的概 念，不同的学科、不同的学者对其都有自己的理解和定义。综合起来，信任具有以 下属性： ( 1 ) 信任至少包括施信者和受信者两方，而且两方之间的信任关系可以是非 对称的也可以是对称的。对称信任关系也称双向信任，在这种关系中，每个实体都 承担着两种角色，既是施信者又是受信者，即施信者信任受信者的同时，受信者也 信任施信者。非对称信任关系也称单向信任关系，即施信者信任受信任者但受信者 不信任施信者。 ( 2 ) 信任是一种主观行为，而且有程度之分。不同的观察者对同一个实体的 可信性与否有不同的理解。而且，即使同是信任的话也有程度之分，信任的程度可 以使用模糊的语义变量( 如非常、一般、不等) 或使用0 一l 的实数、甚至可以使 用一个概率来表示。 ( 3 ) 信任总是和风险联系在一起的。信任是对实体承诺的未来实现的主观积 极预期。由于是一种预期行为，就必然存在风险。实体a 在信任实体b 的同时，就 对b 能够或者是否愿意按其“言”而“行”、将其“承诺兑现承担风险。由于施 信者和受信者双方之间的信息不对称，这种风险是无法规避的。 ( 4 ) 信任双方信息是不对称自q 。信任是一种主观的倾向和愿望，施信者是根 据被信者的先前行为和有限依据的基础上，对受信者未来行为的一种主观积极判断 和愿望。 ( 5 ) 信任是可以进行有条件传递的。信任不能进行无条件传递，但是却可以 通过声望机制进行推荐扩散，以辅助其他实体进行决策。 ( 6 ) 信任同样有其生命周期。信任是一个动态的概念，其发展可以分为初始 建立、维持、下降三个阶段。而且，随着对一个实体的了解和守信交易次数的增多， 信任程度会逐渐增强；反之，随着关系的疏远和不守信交易次数的增多，信任程度 会逐渐减弱。 3 信用 关于信用的概念，不同的研究角度对其也有不同的解释。在现代汉语词典 中信用被解释为“能履行跟人的约定的事情而取得的信任 ；从经济学的观点看， 5 硕士学位论文 m a s t e r st h e s i s 信用是指采用借贷货币资金或延期支付方式的商品买卖活动的总称；从社会学研究 角度上看，信用则是指对一个人( 自然人或法人) 履行义务能力尤其是偿债能力的 一种社会评价。西方国家从纯经济学的角度将信用定义为：因价值交换的滞后而产 生的赊销活动，是以协议和契约保障的不同时间间隔下的经济交易行为。在电子商 务领域，可把信用定义为是实体本身的一种静态属性，是根据实体的交易记录，对 其之前的遵守交易规则、履行诺言等情况所作的客观综合评价。它反映了用户在交 易过程中履行承诺的能力，体现了与该用户交易的可信任程度。 在经济活动当中，一个实体要守信用，必须具备两个条件： ( 1 ) 实体必须有能力兑现承诺，这里的能力主要是指经济和技术能力； ( 2 ) 实体必须是诚实的，这是和道德、制度约束密切相关的。 而且这两个条件是必须同时具备，一个实体不仅必须有能力去兑现其承诺，而 且在道德和制度的监督下，该实体诚实地去兑现了其承诺，才能说这个实体是讲信 用的。 相信、信任和信用这三个概念既有联系又有区别的。相信和怀疑相对，信任比 相信的程度要深，除了不怀疑之外，还有敢于托付的意思。信任是主观的，是根据 对对方的了解，而主观上决定相不相信对方；而且，信任总是和风险联系在一起的， 信任对方的同时就潜在地承担着对方是否兑现承诺的风险。信用则是客观的，是根 据实体之前的行为，对实体遵守规则的行为的客观评价，信用和信任都有程度之分， 在本论文中分别定义为信用度和信任度。信用度指实体遵约守信的程度，信任度则 是相信并敢于托付实体的程度。一般来说，一个实体的信用度越高，则其他实体对 其的信任度也越高。 2 2 信任管理 所有基于h l t e m e t 的网络服务都必须解决一个共同的安全问题，即访问控制问 题，就是根据一定的安全策略来确定允许或拒绝用户对资源的访问请求。传统的访 问控制机制分两步进行：认证和授权。认证是对访问者身份确认的过程。授权则是 根据安全策略确定主体( 包括用户、终端和程序等) 对客体( 数据、程序等) 的支 配权利，即是规定了谁可以对什么做些什么。 传统的访问控制机制是基于资源请求者的身份而做出授权决定。然而，在现今 的许多新的基于m e t 的分布式系统都具有开放、分布和动态的特性，在这种系 。北京大学网络经济研究中心北大网研：信用与中国电子商务 h t t p ：e c y i d a b a c 伽d z s - g j b d z s - g j h z d a 们1 d 2 0 0 7 0 1 1 5 0 2 0 8 0 7 7 8 1 d o c 6 硕士学位论文 m a s t e r st h e s l s 统中，主体和客体可能并不熟悉，甚至完全陌生。当资源的主人和请求者彼此不认 识时，基于身份的访问控制可能就无效了。在i n t e m e t 授权方案中，请求发生之前， 请求者和授权者之间往往没有关系。因为授权者不直接认识请求者，它必须使用来 自更好地知道请求者的第三方的信息。一般来说，授权者仅仅在某些事情上信任这 些第三方，并且只在一定程度上信任。这种信任和委托使得i n t e m e t 授权不同于传 统的访问控制。传统的访问控制安全机制对这种新的分布式系统则显得无能为力。 针对上述问题，m b l a z e 等人认为需要一个一致的智能框架来研究安全策略、 安全证书和信任关系，网络服务的这些问题被统一地称为信任管理问题，其基本思 想是承认开放系统中安全信息的不完整性，系统安全决策需要依靠可信任第三方提 供附加的安全信息。并将信任管理定义为“采用一种统一的方法描述和解释安全策 略、安全信任状以及用于直接授权关键性安全操作的信任关系，安全策略一般是本 地策略，信任状是指证书或者公钥，本地策略也是一种特殊的信任状。 信任管理是一种以密钥为中心的授权机制，它把公钥作为主体，直接对公钥进 行授权。使用表达性更强的凭证，此类凭证可以将公钥绑定到授予的权限，密钥持 有者的各种属性或者完全可编程的能力。将授权问题转化为回答一个一致性证明问 题：凭证集合c 是否证明了请求r 符合本地安全策略p ? 并且，凭证编程思想使得 信任管理可以统一标识安全策略、凭证以及信任关系，并以灵活、通用、可靠的方 式解决开放分布式的授权问题。管理的内容主要有安全策略的制定、信任关系的建 立、维持、评估和撤销等。与传统的访问控制机制相比，信任管理系统有许多特有 的优点： ( 1 ) 直接处理授权，而非传统的身份认证加授权控制模式，更好的适应了 h l t e m e t 应用系统开放、分布和动态的特点。它将公钥作为授权实体，把授权和公钥 直接绑定，能够更加安全准确地处理请求。 ( 2 ) 将证书、本地安全策略和信任管理结合起来考虑，而不像传统方式那样 分开处理。 ( 3 ) 实现了控制的本地性：网络中每一部分都能做出相应的安全决定或一些 有关安全的行为，更加适应m e t 中的应用的需要。 om a t tb 1 a z e ，j o 肌f e i g e n b a 岫， j o h ni o 锄n i d i s ， 鲫da n g e l o sd k e r 伽y t i s t h er 0 1 eo ft r u s tl l a n a g e m e n t i nd i s t r i b u t e ds y s t e m ss e c u r i t y i n ：s e c u r ei n t e r n e tp r o g r a 哪i n g ：i s s u e sf o rm o b i l ea n dd i s t r i b u t 6 d 0 b j e c t s b e r l i n ：s p r i n g e r v e r l a g 1 9 9 9 1 8 5 2 l o 7 硕士学位论文 m a s t f r st h e s l s 2 4 信任模型分析 信任模型是建立和管理信任关系的框架。p 是建立网络信任的基础，目前在 i n t e m e t 应用中多是利用p 技术来建立信任模型，p 系统给每一个实体颁发可信 数字证书，在通信或交易时，实体出示证书，当证书被验证可信时，则该实体被认 为可信。 在研究基于p 的信任模型时，需要解决以下问题： ( 1 ) 实体之间能够信任的证书是怎样被确定的? ( 2 ) 实体之间的信任关系是怎样被建立的? ( 3 ) 在特定的环境下，实体之间的信任在什么情形下能够被限制或控制? 在讨论基于p 的信任模型之前，有必要先了解与信任相关的一些概念，如信 任锚、信任域、证书路径、信任路径等。 信任锚( t m s ta n c h o r ) ：信任关系建立的起点，在信任模型中，只有当人们可 以确定实体的身份，或者有一个信任锚来证明这个实体的身份时，人们才信任这个 实体。 信任域( t m s td o m a i n ) ：是公共控制下或服从于一组公共策略的系统集，策略 可以通过明确规定，也可通过操作过程指定。信任域可以按照组织或地理界限来划 分。 证书路径( c e n i 矗c a t i o np a t h ) ：也称为证书链，在一个实体需要确定另一个实 体身份时，它首先需要确定信任锚，再构造一条由信任锚到待确认实体根c a 的各 个证书，这些证书组成的路径称为证书路径。 信任路径( t m s tp a t h ) ：信任路径和证书路径是有差别的，只有当建立起来的 证书路径上的证书验证全部通过时，这条证书路径才可称为信任路径。在p 信任 模型中，信任关系是通过信任路径进行传递的。 目前常用的基于p 的信任模型主要有单c a 信任模型、严格层次结构信任模 型、网状信任模型、桥c a 信任模型、w - e b 信任模型及以用户为中心的信任模型。 下面将对这些信任模型进行简略的对比分析。 1 单c a 信任模型 单c a 信任模型是最基本的_ 种信任模型，在这个信任模型中，整个p 体系 只有一个c a ，这个c a 负责为p 系统中所有的终端和用户签发和管理证书，p 中所有的终端用户都信任这个c a 。每条证书路径都起始于该c a 的公钥，并且该 c a 的公钥成为p 体系中唯一的用户信任锚，如图1 所示。 硕士学位论文 m a s t e r st h e s i s 根c a 用户a用户b用户c用户d 图l 单c a 信任模型 此模型的优点有： ( 1 ) 模型系统结构简单，容易实现，易于管理，只需要建立一个根c a ，所有 终端用户都能实现相互认证。 ( 2 ) 密钥管理相对简单。 此信任模型的缺点有： ( 1 ) 所有用户只能从一个唯一的根c a 获取证书，因此随着用户的增多，根 c a 的工作负担过大，因此该信任模型应用范围有限，不适用于大范围的信任关系 管理。 ( 2 ) 对于一个国家甚至全球，很难找出都信任的组织结构来担任根c a 。 ( 3 ) 根c a 成为系统的安全瓶颈，一旦根c a 的私钥泄漏，则所有的证书都会 报废，整个系统安全被破坏。 2 严格层次结构信任模型 严格层次结构信任模型是一个以主从c a 关系建立的分级p 融结构。如图2 所 示，它可以被描述为一颗倒置的树，根在项上，树枝向下伸展，树叶在下面。在这 颗倒置树上，根代表对整个p 信任域内所有实体都特别有意义的c a ，即根c a 。 系统中所有的实体，都以根c a 的公钥作为它们的信任锚，根c a 的公钥还是所有 证书验证决策中的信任始点或终点。根c a 通常不直接为终端实体颁发证书，而只 为其下层子c a 颁发证书，下层子c a 再为其下层子c a 颁发证书，最低一层的子 c a 负责为终端用户颁发数字证书。 9 根c a 2 终端实体 图2 严格层次结构信任模型 在严格层次结构中的所有实体都信任唯一的根c a ，这个模型依据以下规则建 立： ( 1 ) 根c a 直接认证其下级c a ，即是为下级c a 创建和签发证书。 ( 2 ) 每个中间c a 都认证零个或多个直接下级c a 。 ( 3 ) 倒数第二层的c a 认证终端实体。 严格层次结构信任模型的优点有： ( 1 ) 便于扩展。如果需要增加新的信任域，该信任域可以直接加到根c a 下面， 也可以加到某个子c a 下，其他系统结构可以基本保持不变。 ( 2 ) 证书路径构造简单，每个实体都只有唯一的一个上级c a ，因此从终端用 户到信任锚的证书路径构造简单。 ( 3 ) 由于它是建立在一个比较严格的层次机制之上，建立的信任关系可信度 高。而且，和现实组织结构中的层次关系相似，便于实施。 此信任模型的缺点有： ( 1 ) 同样根c a 是整个系统的安全瓶颈，根c a 密钥的安全决定了整个系统的 安全。 ( 2 ) 在大范围内，如国家和全球，难以选择一个组织结构担当根c a 的角色。 3 网状信任模型 网状信任模型和现实当中的信任关系最相似，模型中的c a 之间存在着交叉认 证。通过不同c a 之间的交叉认证，将整个信任域连成网状结构，如图3 所示。和 前两种信任模型不同，网状信任模型中不是存在唯一的可信c a ，而是把信任分散 到两个或更多的c a 上。 l o 硕士学位论文 m a s t e r st h e s i s c a 7c a 6 图3 网状信任模型 这种信任模型的优点有： ( 1 ) 具有更好的灵活性和可扩展性。增加新的认证域更为容易，只需该信任 域的根c a 与网状信任模型中的相关c a 进行交互认证即可，用户不需要改变信任 锚。 ( 2 ) 因为存在多个信任锚，单个c a 安全性的消弱只会影响数量较少的用户， 影响范围有限；而且，从安全性较弱的c a 中恢复相对容易； ( 3 ) 由于信任关系可以传递，从而减少颁发的证书个数，使证书管理更加简 单容易，能够很好地应用到企业之间。 网状信任模型的缺点有： ( 1 ) 证书路径的发现比较困难。在网状信任模型中每个c a 都可能和多个c a 发生交叉认证，因此当某个节点进行证书路径选择时，都有两个或两个以上的c a 可以选择，路径构建比较困难。而且，在网状信任模型的p 中，还可能会形成证 书环路。 ( 2 ) 证书管理复杂。不同的c a 之间存在交叉认证，对c a 来讲，除了管理好 一般垂直关系的证书外，还要管理交叉认证证书，因此证书管理相对比较复杂。 4 桥c a 信任模型 桥c a 信任模型也叫中心辐射式信任模型。在这种信任模型中，有一个处于中 心地位的c a ，称之为桥c a ，如图r 4 所示。桥c a 作为信任传递的中介点和汇聚点， 可以使得任何结构类型的p 结构都可以通过这个中心结构连接在一起，实现彼此 之间的信任，并将每个单独的信任域通过中心的桥c a 扩展到整个p 体系中。桥 c a 作为信任的中介机构，它不同于一个根c a ，不直接给用户颁发证书，也不是整 个信任关系的起止点，其他各个c a 信任域仍保留着他们原有的信任锚。在桥信任 模型中，中心桥c a 可以是一个，也可以根据需要是多个。 硕士学位论文 m a s t f r st h e s l s 终端实体 终端实体 图4 桥信任模型 桥c a 信任模型的优点有： ( 1 ) 现实性强。该模型分散化的特性比较准确地代表了现实世界中的证书机 构间的相互关系。 ( 2 ) 证书路径较易发现。用户只需要确定从桥c a 到目标用户证书的证书路径， 但这比严格层次结构信任模型困难一些。 ( 3 ) 证书路径相对较短。桥c a 架构的p 比起具有相同数量c a 的随机网状 结构p 具有更短的信任路径。 ( 4 ) 采用桥接c a 方式，n 个c a 需要的交叉认证证书数量仅为n 个，从管理 角度来讲，非常经济和简捷。 这种信任模型的缺点有： ( 1 ) 在桥c a 信任模型中，证书路径发现的难点在于子c a 系统中证书路径发 现，当子c a 系统结构比较复杂时，其证书路径发现也比较困难。 ( 2 ) 大型p 目录的互操作性仍不方便。 ( 3 ) 证书复杂。基于桥c a 信任模型的p 体系中，桥c a 需要利用证书信息 来限制不同企业p k i 的信任关系，这会导致证书的处理更为复杂。 5 w e b 信任模型 这种模型构建在浏览器的基础上，浏览器厂商在浏览器中内置了多个c a 的公 钥，浏览器用户最初相信这些公钥所对应的c a ，并把他们作为证书验证的信任锚。 而且，这些密钥中的任何一个都可以被用户修改，如删除或增加。这种模型和严格 层次结构信任模型比较接近，如图5 所示，它通过与相关域进行互连而不是扩大现 有的主体群来使客户实体成