（计算机软件与理论专业论文）面向纯评价系统的基于信任的评价模型研究.pdf

摘要 在互联掰上，借鉴网上的维荐或评价越蒋通用户了解束知事耪的一个常用方法。世魑，要借鉴 其他用户的评价，前提是用户必须相信评价蛙可信的，闲此用户就需要自融能够确定评价的作者的 可信程度。为了能够判断评价的作者的可信艘，可以采取一些传统的安全技术，如数宁证静等。但 这些技术存在系绞可扩篾性较篾等缺陷。 若建立一个开救的评价系统，诖每个壤户随时都可戳绘出对萁穗矮户或事物的评价，剃能蟹得 到尽可能多豹评价，系统具存较好的可扩展性# 但另一方蕊，如果直接利用这个系统而不来用任何 与信任相关的计算，就无法得知评价的作者的可信程度。 针对信任计算的问题，霞前已经有一些研究，国内乡 的研究者们提出了一些算法以汁舞网络中 节点，罐户静霹僖度。这些礤究走多楚裁嗣倍经网络寒迸钌诗算，整簿决瓣一乏交易系统、p 2 p 文糍簧 输系统中韵信任问题，丽这嫂系统均有f 逢特点：系统中的节点用户间能够赢接给出直接信任度或 者通过交互行为能够确定对方的直接信任度。 但在实际中还有另外种系统也很常见，如书籍的网上评价系统，在这种系统中只眷用户对日 蠡懿评徐藤势不存在用户之间矗接鞠交互行为，朝它是一个缝援赞的系统。在燕类系统中获取翅户 之阕的直接信镁度比前几释系统更为匿难。本文的1 = 1 标楚，给出一个在鳃谨价系统中龅基于信在计 算的模型，当用户提出对某个目标对象的评价查询时，系统能够利用该计算模型，找到可信用户集 合并对其评价值进行综合计冀，得到较为合理的、关于目标对象的综合评价值。 针对纯谱锛蓉统的特点，朗用户闻无鲞接交互、获取用户闾的直接馆任皮困难，本文提出了f 连蕊点：缝谨徐系统中静蕊谯应该是嗣产的浮徐为薅方赞接受魏程度，寝摄据评狯静掰史，浚蠲户 间在菜领域中评价的接近程度来计算相互的直接信任度，i 丽据此计算出豹用户间在领域内的所有直 接信任关系可阻构成本系统中的信任网络。 根据上述观点，本文针对“系统中诚实可信的用户占相对多数且他们的评价相差不很犬”的假 设提出了一个基零模型，当黎瘸户提出查询孵，可据照模黧羧寻到评价冀多数薅户新接受茨惩户集 合，然后借鉴其评侨，计算出对蟊标对象的裙对客囊的评价值。此模型的优点是：即後怒新用户也 可以奁询到相对准确的评价。本文对该模型中算法的可行性和有效性用实验进行了评估，实验结果 表明本算法能够有效降低计算结果的误差。本文还做了下述实验：让某高可信用户诋毁巢一目标对 象，或察其全局可信度的变化。实验表明，本算法能够有效防止诋毁。 鑫予基本模型骈萋予熬镁设来必对挢毒薅淀帮残立，麓茈本文义撵氆了一个改遂模誉。笼模墼 先通过计算拽剿为查询者所戡接或间接信任的用户集合，然后借鉴其评价，计算出对目标对象的、 接近查询者观点的评价值。这样，即使系统中的诚实可信用户不占多数时( 碱系统中削户按兴趣不 同可分成若干类、类闻观点不同但类内观点攒似等情况f ) ，也可以进行汁罅。改进模型还考虑了所 褥薛直接售经发误差较大时瓣佐诧闻瑟。本文不援在理论涯甥了模型中襞法匏迭健收敛接，瞧簌 实验上验 芷了模型的可行性和相对基本模撩的馥遴艟有效憔。 本文还设计实现了一个纯评价系统的功能仿真原型，给出了在实际中的应用方案。 关键词：信任、谔倏、信任网络、x m l 、r d f 、蟊名、诞毁 a b s t r a c t i ni n t e m e t ，i t sau s u a lw a yf o rp e o p l et ok n o wt h eu n k n o w no b j e c t sb yu s i n go t h e r s r e f e r e n c e ，b u th e n e e d st ok n o wh o wn m c hh ec a l lt r u s tt h ea u t h o r so ft h er a t i n g s t oj u d g et h et r u s tr e l a t i o n s h i p ，t r a d i t i o n a l n e t w o r ks e c u r i t yt e c h n o l o g yc a r tb eu s e d ，s u c ha sd i g i t a lc e r t i f i c a t e ，h o w e v e ri t ss h o r to f s c a l a b i l i t y w 浊a no p e nr a t i n gs y s t e m ，i t i o r er a t i n g sw i l la p p e a rw h e ne v e r y o n ec a ng i v eh i so w l lr a t i n g t h i s m o d e ih a sg o o ds c a l a b i l i t yb u tt h ei n q u i r e rs t i l ln e e d st ok n o wh o wm u c hh ec a r lt r u s tt h ea u t h o r s o m ea l g o r i t h m sh a v eb e e nw o r k e do u tt os o l v et h ep r o b l e mi nt r u s t n e t w o r k a n dm o s to ft h es t u d i e s a r ei nt h ef i e l do f e - b u s i n e s ss y s t e mo rp 2 pf i l es h a r i n gs y s t e m i nt h e s ek i n d so fs y s t e m s ，t r u s tr e l a t i o n s h i p b e t w e e nn o d e s u s e r sc a l lb eg i v e nd i r e c t l yo rb ec o m p u t e db yt h ei n t e r a c t i v i t yb e t w e e nn o d e s u s e r s a n o t h e rk i n do fs y s t e mi sa l s ov e r yp o p u l a r , s u c ha sr a t i n gs y s t e ma b o u tb o o k s ，w h i c hh a ss o m e d i f f e n r e n e cw i t ht h eu p p e rs y s t e m ：o n l yr a t i n g sf r o mu s e rt oo b j e c te x i s ta n dn or a t i n g sb e t w e e nu s e r si si n i t w ec a l li tp u r er a t i n gs y s t e m i nt h i sk i n do fs y s t e m ，i t sd i f l i c u l tt og e tt h et r u s tr e l a t i o n s h i pb e t w e e n u s e r s t h et a r g e to ft h i sp a p a ri st ow o r ko u tam o d e lb a s e do nt r u s tc o m p u t i n gi np u r er a t i n gs y s t e ma n d w h e ns o m eu s e ri n q u i r e sat a r g e to b j e c t ，t h i sm o d e lc a l lb eu s e dt of i n dr e t i a b i eu s e r sa n ds y n t h e s i z et h e i r r a t i n g so nt h et a r g e ta n df i n a l l yg e tr e a s o n a b l es y n t h e s i z e dr a t i n g a i m i n ga tt h ea t t r i b u t eo ft h ep u r er a t i n gs y s t e m t h e r ei sn oa n yi n t e r a c t i v i t yb e t w e e nu s e r sa n d o b t a i n i n gd i r e c tt r u s td e g r e ei sd i f f i c u l t ，t h i sp a p e rb r i n g sf o r w o r dt h i sv i e w p o i n t ：t h e “t r u s t i np u r er a t i n g s y s t e ms h o u l db eh o wm u c ho n eu s e r sr a t i n gi sa c c e p t e db ya n o t h e ru s s ot h en e a r u e s sd e g r e eo f r a t i n g s b e t w e e nu s e r si su s e dt oc o m p u t ed i r e c tt r u s td e g r e e 。 b a s e do nt h i sv i e w p o i n t ，t h i sp a p e rp r o p o s e sab a s i cm o d e lo nt h ea s s u m p t i o nt h a tt h em a j o r i t yo f p e o p l ei nt h es y s t e ma r er e l i a b l ea n dt h er a t i n g sb e t w e e nt h e ma r en e a r w h e ns o m e u s e ri n q u i r e sa b o u ta n o b j e c t , t h i sb a s i cm o d e lw i l lf i n dt h eu s e r sw h o s er a t i n g sa r es u p p o r t e db ym o s tp e o p l ea n d u s et h e i rr a t i n g s a sr e f e r e n c e t h er e s u l to fs i m u l a t i o ne x p e r i m e n t ss h o wt h a tt h i sa l g o r i t h mc a l lr e d u c ec m n p u t i n ge r r o r s a n ds o l v es l a n d e r i n g b u tt h ef o r m e ra s s u m p t i o nd o e sn o ta l w a y sc o m ei n t oe x i s t e n c e ，s ot h i sp a p e rp r o p o s e sa ni m p r o v e d m o d e l ：f i r s tf i n dt h eu s e r sw h o s er a t i n g sa r en e a rt h ei n q u i r e r ( d i r e c t l yo ri n d i r e c t l y ) a n du s et h e i rr a t i n g sa s r e f e r e n c et og e tt h es y n t h e s i z e dr a t i n gw h i c hi sn e a rt h ei n q u i r e r sv i e w p o i n t 。s ot h i si m p r o v e dm o d e lc a n a l s ow o r kw e l lw h e nt h er e l i a b l eu s e r sa r en o ti nt h em a j o r i t y , e t c t h ei m p r o s e dm o d e la l s oc o n s i d e r sh o w t od oo p t i m i z i n gw h e nt h ed i r e c tt r u s td e g r e eh a sc o m p a r a t i v e l yb i ge i t o r s i m u l a t i o ne x p e r i m e n t s a l s os h o wt 1 1 a tt h i sn l o d e li sa v a i l a b l ea n dm o r ee f f i c i e n tt h a nb a s i cm o d e l si ns o m ec o n d i t i o n s s i m u l a t i o np r o t o t y p eo np u r er a t i n gs y s t e mi sa l s ow o r k d e do u tt os h o wh o wi tw o r k si np r a c t i c e 。 k e yw o r d s ：t r u s t ，r a t i n g ，t r u s tn e t w o r k ，x m l ，r d f ，s y b i la t t a c k ，s l a n d e r i n g l | 东南人学学位论文独刨性声明 f 7 # 1 1 1 2 本久声鞠衡量交静学经论文是我个入在导师措簿f 进行的磅究工作及取褥静研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果，墩不包含为获褥东南大学或茭它教育极构的学位或证书丽使用过 的榜辩。与我一丽工律静弼志对本磺究所骰的任褥贡献均已在论文中 乍了明确的说明并 表示了谢意。 研究生签名：兹逸日期；坦兰! ：型 东南大学学位论文使用授权鬻阴 东南大举、中国科学技术信息磷究所、国家图书馆有权保留本人所送交学位论文的 复印件和电予文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内 鸯霸纸质论文夔内容秘一致。除在保密麓蠹款保密论文终，竞诲谂文被查阕酾谂耀，霹 以公布( 包插于0 登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研 究生院办理。 研究生签名：三! i 公鼋 导师签名 日期：越：兰：三z 第一章前善 1 1 研究背景 第一章前富 在互联麟上，借鉴隧上的攘荐或者谔徐燕善逶瑙户j 孵寒缎事耪的一个零翅方法。跑翔，鹾户 通过借鉴菜些入或者组织鹣评价王e 确了解瓷濂对象，魏提供的f 载文件楚甭不可卜载域富有病毒， 在线服务提供者提供的服务飚否可靠等等。但是要借鉴其他用户的评价，薄提是用户必；砸相信这些 评价是可信的，这就需要用户自己能够确定评价作者的可信性。 但在目前情况下，不大研能有一个集中控制的机制表对所有的资源做漤准确的评债( b 搬一个 试涯壤稳霹黪簿嬲夏熬正确穗帮攫藏瞧都骰滋曩拖瓣译稔) 。 对于评价作者可信程度的问题，已有研究从计算机网络安全领域的端劁端的信任的角度来解决， 目前处理信任问题的方式基本上是采用数学签名认证的方式来解决，比如采用p k i ( p u b l i ck e y i n f r a s t r u c t u r e ) 戚是p g p ( p r e t t y g o o d p r i v a c y ) 的方式。建立信任的传统方式通常基于磷钢的传递： 驻务提供方或赣第三方建立对筵个嗣户数傣侄j 纛枣翅密锈体系帮话书寒转遂稿验涯信任关系。这个 方式菲常严密，敲可珏保证评绥作者的可楼任槛。但是考露到互联网是一个分布式的环境，确傈服 务提供方或者第三方能准确地判断每个用户的可信度是一件非常困难的工作，这样就使得系统的可 扩展性较差。 如果我们建立一个开放的t 平伶( 或评论) 系统，让每个用户睫时都可以绘出对事物的谭徐，这 群裁缝褥到尽霹箍多戆箨户辩套静事簪豹译侩，其毒霰好熬扩器性，毽存在的离题是：魏繁不采取 任何与信任相荧的处理方式，宜接利用这个系统，我们就凭法得知评价的作者的可信任程度，其给 出评价的可信程度也无法进行判断。 日前已有不少研究讨论了利用分布式的信任关系来解决开放网络中的债任问题 i - 6 , 1 1 - 2 3 j 。信任关 系楚章主会网络审戆概念，稠嗣鞠户之舞的囊缓痿钰关系，鲻户之闼霹戬避符售荏推荐，遮整萤任关 系构成了一个信任网络。利用信任网络，羽户可以计算出其他耀户的可箔铰程度，并檄糖冀他用户 可信度的高低，有所选择地借鉴他们的看法，这个方法的突出优点是可以对信任采用量化的方式进 行评估。 针对分农式环境中的信谯网络嗣题，髫翦已经舂a 提出了一些计算网络中节点的可傣镊程度的 算法。孬秀究骏多豹篷剥舞信馁嚣络著逶遘信强计算采孵凌嘲上交荔系统、p 2 p 文 孛建输系统中酶蓿 任问题。这些系统的特点是：每个对象之间均有直接的交飙关系。例如在网上交易系统中，可以利 用交易的成功与否计算出用户之间的直接信任度；在p 2 p 的文件传输系统中，可以利用以往传输文 件的速度与质娥来计算出结点之间盼直接信任度。有了直接信任度，才可以利用信任网络的相关算 法遴嚣下一步的诗算。 本文要讨论的系统是一个纯评价的系统，和上述的几种系统有一些送别：在纯评价系统中，对 象分为用户和目标两类，只有用户对目标的评价而并不存在用户之间直接的交互行为，因此与前面 几种系统相比，其获取用户z 间的局部信任媵更凼难。一个比较常见的例子就是：在c h i n a p u b 上， 矧户可以对黪有的1 瞎籍做出自已的评价，毽怒嗣户之闻事先由于不了鳃蔼翼法给定信任关系，在译 价过程中，掰户只麓觅到其他j 户对书籍的评价，纛与萁德辩j 户之闯不会肖任何静撩互谱徐或者是 以别的方式进行交互。 在这种系统中，用户虽然可以得到很多熟他j ；i 户对目标对象( 书籍) 的评价。但是由丁_ 不知道 这些评价者的可信程度，也就无从了解各个评价的可信程度。特别是当系统中存在恶意川户时，如 莱采填平圭棼艨有浮徐的方式袋囊莲蠢选择鞠缓菜些麓产弱方式寒鬃决，整个评赞系统豹谈美就会援 夫。 另外，面向纯评价系统的训f 究中也存在葳它一些需要解决的问题： ( 1 ) 由r 用户对其他用户的信任程度烂这个用户的隐私问题，所以用户之间相互的蛊按信任度 末鬻太学颤士学位论文 一般不可以泄漏。 ( 2 ) 更爨要的是，目前考虑信任问题的思路都是假定可以得到用户之间的直接信任糨度，但是 互联网上垂冬糟户来源广泛，氨穗之间不熟舶，不容易建立越部售经关系。 ( 3 ) 颤鬃考虑通过诗算来得到两个弼户( 或结点) 之闻鹩赢接信任瓣寝，往往会考虑统计两个 用户的交互历史，此时会出现的问题是：如聚两个用户( 蛾结点) 之间可用来判断直接信任度的信 息很少，可能导致计算出来的误蔫很大。而、当用户之间可用米判断直接信任度的信息很多时，直接 信任程度的计舞误差耜对就比较小，医两他们2 闻的直接信任度的数值就受加确定一些。对交互历 雯壹接袁平臻麓方式无法考露至9 这一点。 ( 4 ) 由于信任有上下文相关等特性，传统互联网对于傣任和评价的语义描述有一定幽难。另外， 还需要解决给出的评价存在冒名的问题。 本文在第4 牵中给出的信证模型可以很好地解决问题1 - 3 。对于问题4 ，本文则在第5 意采用了 x m l r d f 戆方式绘予了播述，劳讨论了譬名瓣题戆解决。 1 2 论文的目标 本论文戳缝评傍系统必鹾究对象，在信经隧终计算瓣鏊戳之上，撵氆一个逶翅于该癸系统戆信 任模型并实现一个原銎啄统，这个信任模墅重要包括： ( 1 ) 采用适当的方式对评价进行描述，襄求能体现信任各个属性的要求； ( 2 ) 给出算法，在没有辩它信息的前提下，利用系统仪有的各个用户对于目标对象的评价，建 立用户之间的德任关系，最终提供对目标对象的相对台理、精确的综合评价。 1 3 论文的安排 第一章f 前言j 介绍研究背景。简单分橱了在借鉴嬲上的推荐或评价孵，目前的些技术鲍局 限往，著捂爨在采爱努毒式戆信任弼络时仍然嚣要簿决瓣一嫠阚蘧，对零文将要避谂戆缝浮徐系统 进行简单舟绑。然后说明论文的研究目标。 第二章信任问题及传统处理方式j 介绍p k i 、p g p 等数字签名角度解决信任问题的方案，及 荩对于解决互联网上大量资源认证问题的局限性。 第三章 羹予售任喇络瓣慧程模型l 蓥宠介绍信任彀概念秘特性。接下来舟缨采雳分蠢式豹方 式来处理信任的模型的基本聪路，详细讲述铸任模蘩静稳兼理论帮技术，毽括信任评髂机制、名誉 传递机制，介蜊已有的利用信任网络的主要算法及其思路。 第四章面向纯评价系统的信任模型j 详细分析本文所讨论的研究对象，针对f 述两种情况， 分别提出相应的鳃决模型： ( 1 ) 在粪询者簸泰接擞避整夺系统孵，摄据系统悫憨爨麓户总是少数麴一觳经验程竣，考莲诗 算全局信任度的方式，并最终计算出目标对豫的全局评价，给出相对接近多数用户观点( 即客观) 的结果。在该章中对模型的收敛性还给予了诚明，对模毅的计算效果给出t 与普通计算方式的对比 结果。该章还讨沦了虚假评价等问题的解决方法。 ( 2 ) 当套诲蠹在整个系统海袁过一定瓣浮徐历史时，援握菸评蛰历史，毒卡算彝链最接近夔援户 的评价。荠越在计算塌户闻的局部信任关系对，采用了部分优化技巧，弼：通过计冀两个翊户矗接 信任度的置信赋问以得到直接信任度的可靠獠度，从而影响这个直接信任艘= 被采用时的杈熏等。模 喇在求解综台信任度的迭代中不考虑直接信任度低的用户对直接信任度高的用户的信任科废的任何 影响。 第j i ! 王章 评价的箍述方法鞠系统功链爨巍j 撵密语後攒述采瑁豹蠢法蛩能反映售任麴蓊注两蔓 能防l 冒名问题。该章在讨论机器可以理解的x m l r d f 语畜的基础上，利用x m l r d f 的清晰描 述能力，针对信任的上r 文棚关等特性米描述评价。另外，针对冒名问题绘 土 了解决方法。在第四 鼙讨论的算法朝第五章所提出的描述方法的基础上，给出了系统的功能仿黛实现。 2 第一章前言 第八章总结了本文的主骤研究内容和主薅贡献，并总结了今后仍需继续研究的内容。 枣蒲天学硕士学垃论文 第二章信任问题及传统处理方式 互联嘲怒一个开放的网络，网络开放的联机制提供了广泛豹可访问性，从而使得网络环境中 存在人量互相不了解的用户和可能的恶意的系统。在互联网上，用户一个很常见的需求就是获取其 他腰户或者其它蜜源的可信性。丽对互联嘲上资源的_ _ _ e 确性、可信性和安全性的鉴定问题，传统土 葳于诗冀樵掰终安垒领壤的壤蘩蠛安全鳇翊麓。强兹有一黧簧装的跫理方式，主要蹩禚终安全孛静 数字签名认证的方式，它 f 、j 熊够有效解决一部分信任和安全的问题。由_ 本文的讨论内容涉及开放 系统中的信任与评价问题，所以本章将对越拨传统处理方法进行总结，并分析它们对于解决互联网 大量资源的可信程度的认证问题的可行性。 2 。1 传统的处理方式 数字证书( d i g i t a lc e r t i f i c a t e ) 是传统的网络安全的处理方式中最主要的一种，它是数字世界中 信任关系的载体，依赖证书上第三方的数字签名，用户可以离线确认一个公钥的真实性。数字证书 作为种数字标识，它的作用类似于身份证或护照。各类终端用户和最终用户利用数字证郫来实现 网上信息交流和商务活动的身份证明。 数字证书利用现代密码学中的公钥密码技术，即利用一对互相匹配的密钥进行加密、解密。每 个用户拥有一把特定的仅为本人所有的私有密钥( 私钥) ，用它进行解密和签名；同时拥有一把向公 众公开的密钥( 公钥) ，用于公众加密和验证签名。当发送方发送一份保密文件时，使用接收方的公 钥对数据加密，而接收方则使用自己的私钥进行解密，这样就可以实现信息的安全通信。通过数字 的手段保证加密过程是一个不可逆过程，即只有用私钥才能解密。 在数字证书的具体应用中，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份 认证体制，能够保证信息除发送方和接收方外不被其他人窃取，避免信息在传输过程中被他人篡改； 发送方能够通过数字证书来确认接收方的身份；发送方对于自己发送的信息不能抵赖。因此，数字 证书可广泛用于信息系统的各个领域，其范围涉及到需要身份认证及数据安全的各个行业。 数字证书的形式有很多，不同证书所携带的属性亦不同，其最主要的形式有以f 儿种。 ( 1 ) p k i p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 是利用公共密钥理论和技术建立的提供安全服务的基础设施。 所谓基础设施，就是在某个大环境下普遍适用的系统和准则。p k i 体系结构采用证书管理公钥，通过 第三方的可信机构c a ( c e r t i f i c a t e a u t h o r i t y ) ，把用户的公钥和用户的其它标识信息( 如名称、e m a i l 、 身份证号等) 捆绑在一起，在i n t e m e t 网上验证用户的身份。 在p k i 中通常采用的是x5 0 9 证书。它是由一可信的c a 发布的、关于某一公开密钥属于某一 实体的事实的数字化声明。发布者在证书上的数字签名，保证了证书在传递、存储过程中被篡改后 一定会被发现，亦即证书的分发过程无需特殊的保护。 认证机构c a 是数字证书的签发机构，也是p k i 的核心，c a 必须具备权威性的特征。它负责签 发证i5 、认证证r 瞰管理已颁发证书，以及制定政策和具体步骤来验证、识别用户身份，并对用户 汪书进行签名，以确保证书持有者的身份和公钥的拥有权。c a 自身也拥有一个证书，任何人都可以 得到c a 的证t s ( 含公钥) ，用以验证它所签发的证+ 5 。如果用户想得到一份属丁| 自己的证1 0 ，他应 先向c a 提出中请。在c a 判明中请者的身份后，便为他分配一对密钥( 公钥和私钥) ，同时将该公 钥与申请者的身份信息绑在一起、并为之签字后，形成证持发给申请者。如果一个j = j 户想鉴别另一 个证书的真伪，他就用c a 的公钥对那个证书上的签名进行验证，一旦验证通过，该证粥就被认为 是有效的。 ( 2 ) p g p p g p ( p r e t t yg o o dp r i v a c y ) 遵从“大众化的密码i 一具”的概念，摒弃了传统的层次信任结构， d 第一章信任问题及传统处理方式 而采用了信任网结构( w e bo ft r u s t ) 。在信任网中，没有大家都信任的中心权威机构，而是_ h j 户以 各自为中心，相互认证公钥，相互签名公钥证 5 。这些签名使得用户的公钥彼此相连，形成白然的 网状结构，这就是所谓的信任网。p g p 可独立提供数据加密、数字签名、密钥管理等功能，适用于 电子邮件内容和文件内容的加密。 ( 1 ) 基本结构 假设a 和b 彼此熟悉。通过某种方式，a 获得rb 的公钥( 证书) ，井且确认b 的公钥是真实 的，冈此，a 就在b 的公钥证书上签名。此时，a 认为b 的证忙是有效的，并可以利用b 的公钥将 加密后的信息传给b ，加密后的信息只有b 能够解读。这种联系就是信任网的基础结构。 假设c 知道a ，并有a 的有效证书。c 相信a 不会欺骗他，就将a 没为可信介绍人，并从a 那里得到b 的证书( 或者由b 传给c ) 。由于b 的公钥证书中有a 的签名，所以c 可以相信b 的公 钥是有效的。 ( 2 ) 信任网 对于多用户而言，基于他们彼此之间的关系，每个用户为自己认为可信的证书签名，将自己值 得信赖的朋友或同事设为介绍人，这样在他们之间就形成了一个信任网络。两个相对独立的团体， 往往由于一些用户之间的相互信任，组成更大的信任网络。由于用户签发证书的随意性，全球的p g p 用户都有可能被连接到同一个信任网内，但是研究这样一个庞大的、毫无规则的网络并无实际意义。 在p g p 中给出了相关的规则以用于信任推理，使得对下每个用户而言，他都能够据此确定一个给定 的公钥是否有效。 在p g p 中，每个用户都可以作为c a 来签名其他用户的证书；而且每个用户也能够像p k i 中的 用户一样，作为客户端来验证证书的有效性。这使得p g p 跟p k i 相比具有独特的优点：不依赖丁：全 局性的c a ，管理负担小：能够很容易的在对等网中实施。 然而，在p g p 中缺乏有效的证书管理体系，证书的管理完全由用户自己来完成。错误的信任假 设和管理的不当，会影响到p g p 的安全性。主要包括以下儿方面的问题： ( 1 ) p g p 公钥的有效性 p g p 公钥的正确性是通过多个其他公钥的签名米保证的，遮嚣求所有这些签发证f s 的公钥趄独 立靛，毽是p g p 对越是无法援证的。p g p 中公钥滞的修改、增翔域删除等维护擞作是认迁者的随搬 偶然攀俘，浚寄辊翻保证公钥环受耨是全局闻步静。 ( 2 ) 介绍人的信任问题 介绍人的引入为获取陌生人的公钥提供了方法，但也带来了新的问题：即信任问题。这里的信 任指的是一个用户相信另个用户能够签发有效的公钥证书。信任等级( 完全信任、部分信任、不 僖援) 装划分实骣一 二绘出了黠赍缀人箍饪程度 毫蹙囊，说鞠穗嚣l 掰签名公锾的囊实程凄。毽在p g p 中，却没有任何依据来判断一个入遮什么样的僚侄等级，用户只能通过直觉采对一个用户的倍任 度谶行设置，如果设置不当就会造成安全隐患，尤其是遇到规模较大且物理地址分散的情况。 ( 3 ) 证书撤销中的闯题 个密镅总是蠢麓自己的生命期，生命期的长短由算法强度、计算能力以及嶷用策酶等方西决 定。密钥最好在生念期内总是寄效，健在菜些 l 孽嚣下+ 如稻锯瓣漩瀛、遗失或瘸户隽份的改变，都 需要使该密钥无效。在公钥系统中，证书撤销是饿公钥无效的常用方式。证j 件撇销问题的真正难点 不；畿于撤销本身，而在于将撤销信息通知每一个潜在的使用者。用户使用被撤销的证节是件很危险 的事特，稂有可能造贼泄密，冈此在每次使用证书时都应该确信该证书没有被撤销。p g p 中虽然提 撰了擞镑迁书麓功旋，毽没有撬镶经薅将擞镁蔼惑遴知萁缝翅户瓣方式，这是p g p 黥一个馥愈弱点。 2 2 数字证书在解决对互联网大量资源认证问题上的局限性 淹过上嚣麓讨论霹以看爨，数= 孛：谖书能够较好蟪瓣凌翊户身份汉纛e 蕊翊趣，劳搜褥列户畿够到 h j 公钥进行菲对称拍密以保障俦输的安全。但楚数字证箨在某些方赫也存龟一臻髑限性。 东南大学硕上学位论文 2 2 1 对信任的定义 前面所讨论的p k i 、p g p 的目的也是在用户之间建立信任关系。然而，它们对信任的定义不尽 相同，闻此在最终实现中，建立的信任也不相同。 在p k i 系统中，x5 0 9 对于信任的定义是：通常，一个实体可以说“信任”第二个实体，是指 第一个实体可以做山如f 假设：第二个实体将严格按照第一个实体所希望的去做。此类信任只能应 用丁某些特殊领域。一个认证框架中信任的关键任务是描述个认证实体和c a 的关系：一个认证 实体相信c a 只创建止确有效、可靠的证f5 。 p g p 虽然使用了“w e bo f t r u s t ”等词汇，但是并没有明确的信任定义，p g p 采用现实社会可接 受的方式，由相对封闭的集体米管理信任问题。它只能通过由用户凭直觉主观地设定对另一个用户 的信任度的方式来建立信任。 s p k l s d s i 则干脆同避了信任的问题，直接解决授权的问题，即权限的传递问题。但是权限的 传递过程中也必须考虑信任的问题，冈为对丁- 经过的每个实体都需要有信任评价标准，否则权限传 递的有效性和正确性是很有疑问的。 也就是说，传统的网络安全领域能够保证用户去相信那些假定可以信任的用户的行为，但是， 用户的可信任程度究竟是多少，以及哪些用户可以信任、哪些片j 户不可以信任等问题，就很难判断。 本文的主要目标，是针对纯评价系统，找到一个能够判断用户的可信任程度的方式。显然，传 统的网络安全的方式无法单独解块这个问题。但在本文中仍然利用了数字签名，以解决评价的冒名 问题。不过，我们并不是利用传统的网络安全的途径去判断用户的信任程度，而是利用它判断评价 中有没有出现冒名现象。 2 2 2 可扩展性 耍对互联网上浩如烟海的事物或者资源的可信程度进行考察，如果采用p k i 的方式，利用集中 的c a 来认证，则首先它不可能直接认证互联网上数量无比巨大的资源的可靠性；其次，若采用认 证一些可信用户来对互联网上的资源进行评价( 即服务提供方或者第三方建立对某些用户的信任后， 利用密钥体系和证书来传递和验证信任关系，其他用户在验证评价作者的可信性之后来借鉴他们给 出的评价) ，过程虽然1 f 常严密，可以保证评价作者的可信任性，但是考虑到互联网是一个开放的环 境，确保服务提供方或者第三方能准确地判断每个用户的可信度是一件非常困难的1 作，所以系统 通常只能认证少量可信的专家来进行评价，这样就使得系统的可扩展性较差。 如果采用p g p 的方式使用户可以颁发自己的证书，则由于证书缺乏集中管理，正确评价资源的 工作会变得困难，因为在一个规模较大的对等网中，经常会碰到证书链很长的情况( 涉及到多个介 绍人) ，这时证书的有效性验证就会变得相当困难。造成这个问题的根本原阏，在于缺乏有效的信任 评价标准，在证书链变长时不能确保评价的合理性。 总之，无论是否采用集中式的c a ，对互联网上无数的资源进行认证是一个工作量相当大的任务， 而且系统中存在的恶意对等点会使保证认证的可信度一事变得更加困难。 基于以上讨论，我们认为数字证书的方式在解决互联网中大量资源的认证问题上有一定的局限 性，尤其是在可扩展性方面，故有必要讨论针对这个问题的其它处理方式。而在基于信任网络的方 式米处理开放式系统中的信任问题方面，目前已有了不少的研究，其中有些做法我们可以借鉴。因 此，下一章我们将讨论与信任计算相关的基本概念，：j j ：讨论如何利用基于信任网络的模型米建立和 管理互联网中的信任、从而有效解决研究目标中提出的对互联网上的资源的可信度进行有效评价的 问题。 6 第三章耩于薷任瘸络的信强模型 第三章基于信任网络的信任模型 信任是人们生活的一个擞耍方面。人们依靠信任处理人际交往等各种校会事务。在社会学、心 理学、哲学等顿域中，信任被厂。泛研究。计算机网络实际上也是人类社会的缩影，互联网e 用户一 个根常见的需求就是获取其他用户或者其它搽源的可信性，遮就涉及到了傣任问题。 互联薅终麴开放牲使褥鲻络中售强关系的建立毒羹困难，由魏导致了备静餐群静安全阏嚣。安全 技术的发展德戏们能够建立一定程度的信任。但是上一章也已提到，由于强联网的开放性和自由性， 采用数字签名认证的方式在互联网中解决信任问题有其一窥的局限性。 信任关系煺社会网络中的概念，利用用户之间的直接倍任关系，用户之间可以进行信任推荐， 这些信任关系毒每残了一个信任鼹络。剥罔僖经网终，用户瑶戬计算出其德塌产酶可信任程度，著提 据萁氇矮产w 傣瘦的高骶岱黧缝们静看法。本章将先阐述信任网络中静鏊本概念，然后说明基予信 任网络的方式是如何来处理开放系统中的信任评估和管理问题的，最后给出目前的一些常见算法以 及处理方式。 3 1 信任及相关概念 3 1 1 信任的定义 由于信任是无形的，因此很难对它进行严格精确的定义。目前有很多学者都对信任进行了定义， 但尚没有被j “泛认可的标准。 2 6 1 给出t ) l 个心理学和社会学学者对信任的定义。 d i e g og a m b e t t a 的定义如下： “信任( 或不信任) 是一个代理( a g e n t ) 评价其它代理或代理团体实际行为的主观可能性程度， 评价在对该行为进行监控( 或根本不可能监控该行为) 之前和该行为对其自身行为产生影响的情况 下进行。”f 2 6 1 对信任d i e g og a m b e t t a 还有进一步的说明：“当我们说我们信任某人或某人是可信的，意味着他 执行一个有益的或者说至少对我们是无害的动作的可能性是足够高的，以使我们愿意同他进行某种 形式的合作。” 2 6 】“相应的当我们说某人是不可信的，意味着那种可能性对我们来说是低的，因此 尽量避免合作。”【2 6 】 d i e g og a m b e t t a 的这个定义表达了信任的三个要素： ( 1 ) 信任是主观的，不同的个体对同一事物的看法会受个体喜好等因素影响而有所不同； ( 2 ) 信任被我们监控不到的行为所影响； ( 3 ) 依赖于我们自己行为的信任等级同样受到代理( 代理指有能力作出信任决定的用户) 的影响。 在d i e g og a m b e t t a 的定义中，信任被表达为近似数学的形式，使得信任可以在某种程度上定量 表示。对于信任计算来说，信任能够被定量表达，信任的处理就不再是只能进行定性授权，而是有 了进行定量分析、并通过计算得到更为精确的信任程度的可能了。本文所讨论的信任网络的计算， 也是基丁此定义的。 3 1 2 名誉的定义 通常，一个用户不可能仅仅依靠自身来进行信任决定( 信任决定是指：一个用户决定是否信任 另一个用户，以及信任的程度是多少) ，必须依靠其它信息资源。在社会中，我们可以通过谈话的方 式获得其它资源的信息，实际上这就是一种名誉传递的方式。这种机制也是一种社会控制( s o c i a l c o n t r 0 1 ) 的形式。在这个系统里，一个片j 户的行为是受其他州户行为所影响的。比如一一个不减实的商 省会很快得到不诚实的名誉，因为它的顾客会把它不诚实的行为告诉身边的人。这样就会使得这个 商店要么关门，要么改善服务质量咀提高它的名誉。 冈此，耍做。个有效可靠的信任决定，必须获得足够多的名誉( r e p u t a t i o n ) 信息。m i s z t a l 指山： 东南大学顾十学位论文 “( 名誉) 帮助我们挑选出值得信赖的人，以处理复杂的社会生活。” 2 7 1 实际上，名誉就是做信任决 定的参考材料，3 3 节要讨论的间接信任实际也是基于某h j 户的名誉而做出的信任决定。对于名誉， 本文使用下述定义： 名誉是其他用户对一个用户行为的期望，这种期望基丁与该用户以前的行为相关的信息或者是 对该用户以前的行为的观察。 本文使用此定义的出发点是基丁这样的考虑：用户想得知另一用户的名誉信息，不仅需要其他 人的观点，也要基于用户自身的经历，即需要综合用户白身观点和其他用户的观点来归纳出需要的 名誉信息。 本章3 4 2 节将提到的间接信任的计算，包括串联信任的连接与并联信任的聚合等实质上是名誉 的传递，信任的连接和聚合都只是在信任网络中名誉传递的结果。综合自己观点与其他用户的推荐 得到用户自己观点的过程，实质是对名誉信息综合后做信任决定的过程，而不是简单地进行了信任 的传递，我们在3 i 3 节将详细讨论信任的非传递性。 3 1 3 信任的特性 3 i i 的定义表达了信任最重要的一个特性：主观性。信任不是一个用户的客观属性，而拦其他 用户对他的主观评价。只有和其他用户联系在一起，信任才有意义。信任对一个孤立的用户毫无意 义。 信任是非对称的，或者说是单向的。a 信任b 并不表示b 就信任a ，即使a 和b 之间存在相互 的信任关系，他们信任对方的程度通常也是不同的。 信任不具有传递性。a 信任b ，b 信任c ，并不表示a 就信任c 。虽然经过b 的推荐，在a 到 c 之间可能会建立信任关系。这并不是信任的传递，而是名誉的传递，最终a 是否信任c 仍然要由 a 自己决定，这也再次反映了信任的主观性。 本文认为，对于一个结果不可预知的行为，只要被认为将会产生正面的结果，它就更有可能被 接受。这不同于盲目的猜测。一个信任决定是基于本身相关的经历和知识。这些经历和知识形成了 在一个熟悉的环境中的信任基础，此时是否信任是以一种主观感性的形式出现。这也使得信任是动 态的、非单调的咀后的经历和有关的事件将会增加或者降低我们自身在其他用户上的信任等级。 而且，最近发生的事件往往对信任等级的影响更大。 信任是上下文有关的，在不同的情况r 一个用户对另一个用户有不同的信任评价。l l 女n d , - e 的 自行车坏了，他会第一个想到去老张那儿修，因为他认为老张修车的技术好。然而，如果小王的冰 箱坏了，他不能因为老张修车好就找老张修理冰箱，而且老张根本就不会修冰箱，这时，小王可能 去找其他擅长修冰箱的人。在这里修自行车和修冰箱就是不同的上下文，在这两个上f 文中，小王 对老张有不同的信任评价。 因此，在信任计算的过程中，就必须要考虑到信任的上述这些特性。比如，因为考虑到信任是 上下文相关的，所以在本文中给出的信任计算都要基丁| 某个领域来讨论，而且描述方式也要能够表 达各种事物和领域、并反映事物对领域的从属关系以及领域之间的层次关系。 3 2 信任模型的目标 在开放网络中利用用户之间的信任关系进行计算，讨论的是分布式的信任模型。分布式信任模 型实现的信任是： ( 1 ) 主观的，4 i 同用户对同一个用户的评价是不同的； ( 2 ) 单向的，a 对b 信任的程度不一定等丁b 信任a 的程度( 不排除两者的也可能相同) ； ( 3 ) 非传递的，a 信任b ，b 信任c ，但是a 不一定信任c ，他需要根据c 的名誉来确定，这涉及 信任的综合； ( 4 ) 量化的表示，a 对b 的信任程度可以用一个数字来表示； 第三章基于信任网络的信任模型 ( 5 ) 基于用户的经历来进行评价，并且这种评价是动态改变的； ( 6 ) 上下文相关的，即对信任的计算与讨论是与领域相关的： ( 7 ) 人与人之间的信任，而人对非人的对象给出的是评价，不是信任 ( 8 ) 建立合理的名誉传递机制，为信任决定提供参考。 3 3 信任评价中的基本概念 3 3 1 信任度 信任度是一个用户对另一个用户信任程度的定量表示。 在很多研