可信度概念

可信度概念

可信主要体现的是一种信任关系，信任关系存在于信任实体(即信任者和被信任者)之间，信任者信任被信任者，即“trustor trust trustee”，则被信任者被认为是可信的(trustworthy或者trusted)。为了方便描述，本文将信任者实体记为trustor，被信任者实体记为trustee。果trustee能够满足它所声明的或者trustor所期待的行为，trustor 认为truatee可信。因此，trustor若要信任trustee，一方面trustee需要具有可信特性，包括安全性、可用性、可靠性、时效性等[28]；另一方面trustor需要对trustee所声称的可信特性进行度量，从而决定是否信任 trustee，进而确定是否采用trustee的服务等。可信度的定义如下：

定义2-2:可信度是对主体(trustee)可信特性的评估，判断主体是否具有作为可信主体应具有的可信特性，其用T表示，且T∈[O,l]，其值越大，可信度越高。

主体为具有可信特性，trustee需要保障机制进行支撑和维护，有了这些机制后，可以更方便地进行度量，如何保障和度量trustee具有某种可信特性，在某些研究领域己取得了卓有成效的研究成果，例如为保障安全的授权机制[29,30](包括从信任的角度研究授权问题的信任管理系统[31,32])，为保障可靠和可用的容错机制[33,34]，保障网上交易可信度的信誉管理系统[35]等，但从信任角度分析这些工作存在一定的局限性，主要有:

(l)这些特性和机制基本上都是从各自的角度考虑问题，难以覆盖信任的内涵。例如，维护可靠性的容错机制如何让trustee可信?如何让trustor信任trustee?此类问题少有提及；或者，它们只是针对单一的可信特性，将信任等同于某一种特性和机制，例如授权或容错，即使像文献[31]中的信任管理系统，也只针对授权。

(2)这些可信特性彼此独立，对于有多种特性需求的系统来说(例如，有些使用者只关注系统的安全特征，而忽略时效性；有些使用者只根据可靠程度或可用程度来判定可信度；而有些使用者却可能既要求可靠性，又要求时效性，而且需求的程度不一样)很难有一致的执行效果，也缺乏统一的管理框架。

(3)度量方法和机制比较欠缺，例如国际通用安全度量准则(CC)和《中国计算机信息系统安全保护等级划分准则》等定义了作为度量信息技术产品和系统安全性的基础准则，但是，这种度量一般要求可信第三方存在，并且很难适应于运行时刻可信特性值的动态更改。

根据以上的分析，对主体可信度的计算可通过以下几种途径来计算:

(1)根据主体在进行身份认证时所获得的可信特征信息来计算。这些信息包括主体通过认证的时间、主体的认证位置、以及主体所在的客户机信息等。

(2)根据主体在访问客体时所表现出来的属性计算。这些属性可以是在某个客体上的停留时间、在客体上的资料输入方式等。

(3)通过预测主体访问客体的序列来计算。预测主体下一步访问中选择某个客体的可能性，可以作为主体可信度计算的参考值。

下面分别详细描述这3类可信度计算方法[36]。

(l)规则型主体可信度计算

前两类计算途径使用的是规则型的信息，可以归结为IF-THEN形式的规则表示，即

IF E THEN H T(H，E)

这里的E表示证据，即上述方法中所获得的信息或属性；H为结论，表示为OWN（s)，即某个访问会话中的主体s确实是用户本身。因此该规则可以解释为:证据E发生的前提下，那么主体s确实是用户本身，这个规则的可信度为T(H,E)。计算主体的可信度就是求解结论可信度T(H)的过程。根据可信度理论，T(H)的计算方法可用以下计算公式:

l)证据不是肯定存在的

T(H)=T(H ，E)*max(0，T(E)) 式(l)

2)证据是合取连接的，即E=El ∧E2∧…∧En

T(E)=min(T(E1)，T(E2)，T(E3)，…，T(En)) 式(2)

3)证据是析取连接的，即 E=El ∨E 2∨…∨En

T(E)=max(T(E1)，T(E2)，T(E3)，…，T(En)) 式(3)

4)多条规则，具有相同结论的,

12()(,)*max{0,(1)}

()(,)*max{0,(2)}

T H T H E T E T H T H E T E ==

则合成的可信度为: 121212*********

2()()-()() ()0 ()0()()()()() ()0 ()0()() T H T H T H T H T H and T H T H T H T H T H T H T H and T H T H T H others +⨯≥≥⎧⎪=++⨯≤≤⎨⎪+⎩ 式（4）

在上述公式中，需要先求得规则可信度T （H ，E ）和证据的可信度T(E)，才能计算T(H)。而对于规则可信度T （H ，E ），一般是采用人为的判断决定它的取值。证据的可信度的计算方法，解释如下。

在上述两类计算途径中，有的证据可信度可以用精确的值来表示，有的则需要用模糊值才能表达，如“主体在晚上登录系统”。因此，规则的描述需要支持模糊信息的表达。同时称系统在某个具体的身份认证过程或访问会话中获得的证据为事实值。则在计算事实值对应的结论可信度时，需要将事实值模糊化，并运用模糊运算得到结论的可信度。假设某个事实值为e V ，算法如下:

算法1 计算事实值的可信度

如果与之匹配的规则中的证据是采用模糊数表示的设对应的模糊概念为Y ，它的论域为U ，则模糊概念Y 可以用一个隶属度函数()y u x 来表示。

则事实值e V 对应的可信度()()y e T E u V =否则求得相应规则中的证据E 与e V 之间的相对距离(偏差)

()()()

e er ve

f E f V D f E --= 其中()f x 是证据x 对应的属性值的一种评价函数事实值e V 对应的可信度: ()er ve T E D -=。

求得()T E 和(,)T H E 之后，就可以根据式(1)∽式(4)计算不同规则和事实值条件下的主体可信度()T H 。

(2)访问序列下的主体可信度计算

主体在访问会话过程中所表现出来的可信度，可以通过对客体访问序列的分析计算得