一种通用信任系统

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一种通用信任系统

JØsang A, Knapskog S J.

摘要:

本文提出一种在IT设备中关于信任评价和探求的模型。信任是主观的,本模型包含一个信任模型和一系列构成信任的因素。安全评估被认为是决定信任的一种方法。信任也可能基于其他类型的证据,例如ISO9000认证,而且这个模型可以用于评价和比较各类因素对总体信任结果的贡献。

关键词:信任、安全、保证、安全评估、主观逻辑

1.概述

安全评估是一个关于优秀的决定系统因素的信任的评估方法的例子。这个方法基于一系列评价准则,例如TCSEC,ITSEC,CC等等,和为国家监管提供评价的官方认证的实验室的研究。一个成功的评估能决定TOE或者系统因素的可信度的可靠性。

正如我1997年提到,在实际系统中,可靠性评估不能反映使用者自身可信度,但是官方相当推荐。此外,在生产中,可靠性评估仅仅决定用户可信度的因素之一。

本文,我提出一种正式的模型,用于评估信任和评价安全性。我们的成果是基于主观逻辑。主观逻辑适用于通用和特殊信任模型。它提供了一种公共标准和一系列信任评估因素,因此关于信任的各种情况可以建模描述。

2.主观逻辑

为了确定是否信任一个系统的描述,我假设它可能是真也可能是假,而且不会处于两者之间。然而,无法确定是真还是假,因而我们只能选择其中之一。我将用数学表示:

b+d+u=1,{b,d,u}[0,1]

b,d,u分别表示可信、不可信和不确定读。公式(1)定义了图1的三角形,此外w表示的一个选择可以被三角形内的点{b,d,u}唯一表示。

主观逻辑的操作者选取各种关于真实陈述的观点。观点是主观的,而且在相关时有自己的特征。上标表明身份,而且上标表示描述指向的观点申请对象。例如,是A关于p的信任描述的观点,而且这一观点表示图1中一点。由于空间有限,我不能完全描述操作过程,我只在这介绍记号:

联合:类似逻辑中的AND

分离:类似逻辑中的OR

3.评估建模方法

3.1建立阶段

权威机构将信任评估者标明身份后,给予一个合适的组织进行评估,该组织被未来所有的方案参与者所信任。

想成为认证者的组织可以像信任评估者提出申请,并提供证据证明他们能满足必须的要求。如果信任评估者满意,将会回颁发信任的证书给新的认证者。这将成为所有有兴趣信任新的评估者的组织的证据,如图2a所示。在图2b中,一种类似的方法取代了评估者的信任建立。

信任评估者仅需检查申请是否满足一系列要求,同时严格申明不必信任申请者或者评价者。然而,我们发现在获取证书以前,信任评估组织中的个体应该实际地信任一个申请者。因此,信任凭证可以被视为向公众推荐信任信任评估对象提供的服务。

3.2评价阶段

开发者为评估者提供证据,评估者检查一系列条件是否满足。评估者不必信任实际系统。例如,信任评估实验室的工作人员发现现有证据不足以很好的覆盖安全方面,但是通过测试表明实际证据符合要求。基于信任评估报告,证明者决定是否证明评估结果发布。需要注意的是,证明者不能技术性的信任这一系统,但是只是证明评估结果正在体现,和发布的证明由评估的发现构成。这些证明不是对系统的信任的推荐,但是只是证明这个系统经过了对比一系列标准。因此,使用者必须考虑这个证明会使他们一定程度上信任这个系统。这一流程可由图3表示。

4.目录建模

使用者对于系统的总体信任通常基于不同来源的证据,如图4所示。

令A表示一个使用者,该使用者必须分析和结合如图4所示不同来源的证据。通过不同类型的证据,他必须决定他对系统安全性的看法。结果,结合证据得出他对系统的个人信任值。统一操作员模拟这个心理过程。

在此分析之中,使用者将被认为是由不同的个人特点构成,每特点对应一类证据,并且基于这种观点,对于系统安全性不同使用者持有不同观点。最后,所有的意见可以结合在一起,使用统一的规则来获取期望的使用者普遍意见。

我们的目标是分析和决定使用者关于陈述的意见。

p:“该系统将足以抵御恶意攻击”。让使用者A和他的个人特点A1,…A6符合图4表示的每类证据。A对系统的信任可以表示为:

我们假设部分相关,因为系统声望受安全评估结果的影响。且部分相关,因为操作者的声望受ISO9000认证的影响。

5.总结

现有模型提供了一个通用的标准和方法评估IT系统的安全可信度。由于该系统比较有用,他必须可能持续的由输入参数得到决定的观点。

我们相信该模型能集成于IT系统的安全评估的标准化成果。这将使他可能见证来自不同类型证据的认证结果的总体影响。

6.参考文献

[1]EC1992,信息技术安全评估标准,欧盟委员会。

[2]ISO:1998,IT安全评价标准(通用标准),文件

N-2052,N-2053,N-2054,ISO/IEC,JTC1/SC27.

[3]Josang,A:1997,信息安全信任建模,博士学位论文,挪威科技大学。

[4]Josang,A.,Van Laenen,F.,Knapskog,S.and Vandewalle,J.:1997,如何信任某系统,

国际信息安全会议。

[5]USDoD:1985可信电脑系统评价标准(TCSEC),美国国家安全局。

相关文档
最新文档