电子商务信任管理模型研究

1 绪论

1.1 信任管理问题的提出

现有的安全技术，无论是密码算法和协议，还是更高层次的安全模型和策略，都隐含地与信任相关，或者预先假定了某种信任前提，或者目的是为了创建某种信任关系。所以信任管理作为网络安全技术的重要前提与基础，正日益成为网络安全研究的焦点[1]。

在知识经济时代，电子商务关系的培养与发展过程中，信任是需要考虑的一项重要因素[2]。电子商务的成功本质上取决于顾客，因此，顾客的信任对于电子商务来说是至关重要的[3]。通过合适的手段提升商业伙伴之间的信任，如通过商业伙伴间的协作与合作等，将有助于电子商务战略目标的实现。

近年来，电子商务环境下的信任概念逐渐凸现。顾客上网购物时，希望能得到“自己的机密信息不被误用”的保证；而商家则希望“能收到发出货物的付款”的保证。但是，这些要求光有SET、SSL等安全协议是无法保证的。因此，很多研究将目光转向了新的交易过程。其中一个方案就是增加一个第三方，如信任服务提供商（trust service providers, TSP）[4,5]。

实际上，信任的可计算性，信任的建模，信任管理，更早的时候就已经被人们所重视。如1994年Steven P. Marsh在他的博士论文中，用形式化方法研究了信任的可计算性问题[6]。

信任管理（trust management）的概念首先由M. Blaze等人于1996年提出[7]，用于解决Internet网络服务的安全问题，他们认为必须承认开放系统中安全信息的不完整性，系统的安全决策必须依靠可信任

第三方提供附加的安全信息。“信任管理”这一概念的意义在于提供了一个适合web应用系统开放、分布和动态特性的安全决策框架。与此同时，A. Abdul-Rahman等学者则从信任的概念出发，对信任内容和信任程度进行划分，并从信任的主观性入手给出信任的数学模型用于信任评估[8]。信任管理将传统安全研究中，尤其是安全授权机制研究中隐含的信任概念抽取出来，并以此为中心加以研究，为解决web 环境中新的应用形式的安全问题提供了新的思路。信任管理研究可用于安全协议分析，并可结合加密技术等研究成果，指导在新的应用系统中建立安全机制[9]。

1.2 信任管理的定义

1.2.1信任的含义

目前，对于信任还没有一个精确的、广泛可接受的定义，但多数学者[8，10]认为，信任是一种主观信念（belief）。如关于人或服务的诚实性、真实性、能力、可靠性等，都有信任的含义。人们基于各自不同的目的，从不同的角度理解信任的含义。

虽然我们主要关注计算意义上的信任概念，但是来自于社会科学的信任模型对于研究一个基础的、综合的形式化信任模型来说，是很好的起点。文献[11]提出一种方法，将社会学、哲学、管理学、经济学和政治学等领域对信任的研究成果进行划分，并从概念上将信任分为六大类：

①倾向信任（Disposition）——当人们自然地倾向于信任实体A 时，称为倾向信任；

②环境信任（Situation）——当实体A信任某一特定的情景（scenario），称之为环境信任；

③结构信任（structure）——当实体A客观地相信结构B是某

个整体的一部分时，称之为结构信任；

④信念信任（belief）——当实体A相信实体B是值得信赖的时，称之为信念信任；

⑤意图信任（intention）——当实体A乐于依靠实体B时，称之为意图信任；

⑥行为信任（behaviour）——当实体A自愿依靠实体B时，称之为行为信任；

文献[12]从虚拟企业的角度分析信任，认为在信息技术中，信任可以定义为：对一个实体可依赖地、安全地在一定环境下可靠行动的能力的坚定信念。

该定义还假定可依赖性涵盖了可靠性和及时性。对应地，将不信任（distrust）定义为：缺乏对一个实体可依赖地、安全地和在一定环境下可靠地行动的能力的坚定信念。

信任通常还与环境（context）有关，信任的建立需要时间。在一种环境下，人们可能信任某个人，而在另一种环境下，又可能不相信他。

当我们说“张三信任李四”时，称“张三”为信任主体（trustor），而“李四”为信任客体（trustee）。

信任的建立还与信任主体与信任客体之间以往的经历（experience）有关。如在商务交往中，人们更信任老的生意伙伴，而更不相信新客户。原来没有交往的客户，可能因为好朋友的介绍，而产生信任。这是因推荐而产生的信任。

关于信任的定义，还有许多，例如文献[13]详细分析了信任与不信任的定义。

唐文等认为，目前信任研究中所讨论的信任实际上包括两种相互关联的信任关系[1]：

一种是对客体（如标识、证书等）的信任，为了区别起见，本文称其为相信关系，相信关系是基于证据的，所以可以精确地描述、推理和验证。

另一种信任是主体之间的信任，本文称其为主观信任，或简称信任。主体是指由人或由人和客体的混合体所构成的个体或群体。

主观信任（或简称信任）是一种人类的认知现象，是对主体的特定特征或行为的特定级别的主观判断，而这种判断是独立于对主体特征和行为的监控的。主观信任是相信关系的重要前提和基础，它本质上是基于信念的，具有很大的主观性、模糊性，无法精确地加以描述和验证。信息安全专家南相浩教授也提出了类似的看法[14，15]。

我们认为，在实际的电子商务应用中的信任，既有相信关系又有主观信任关系。以往的应用侧重于研究相信关系，最近的研究则更关注主观信任关系。基于上述看法，我们可以将信任归纳为：信任客体B由于其能力、善行、诚实和可预测性而受到信任主体A的信任。换言之，我们认为信任是一种态度，是信任主体对信任客体的能力和倾向的一种主观认可。本研究中，我们将信任定义为：信任主体根据自己的经验或别人的推荐而对信任客体在一定环境下完成某项任务的能力和态度的一种信念。

从该定义我们可以看出，信任有一些重要特征，如：

①主观性：不同的个体对同一事物的看法会受个体喜好等因素的影响而有所不同；

②可能性预期：信任的程度可表示为对事件发生概率的可能性估计；

③环境相关：信任是针对某一环境下，对事物的某个方面（如完成某项任务的能力）而言的。

另外，信任还有以下一些特征：

④动态性：信任关系通常不是绝对的。Ａ不会永远信任Ｂ；

⑤非对称性：Ａ信任Ｂ，并不意味着B一定信任A；

⑥不可传递性：A信任B，B信任C，并不一定A信任C；

⑦信任程度差异性：不同实体之间的信任是有差异，通常可以度量的。如分为高、中、低等不同程度的信任。在很多系统中甚至用不同的数值来衡量。