第4章-物联网接入安全第2次课

4.2信任管理与计算

信任是信息安全的基石，是交互双方进行身份认证的基础。用户在访问物联网系统之前，首先要经过基于信任的身份认证系统来验证身份，然后根据用户凭证或行为决定用户是否能够访问某个资源。信任是信息安全的基石，是交互双方进行身份认证的基础.正确错误AB提交单选题10分一、信任1、信任的定义词源学上：（因）相信（身份、能力、为人）而敢于托付、任用；经济学上：市场交易中，交易一方对另一方（以往/今后）履约行为及能力所持的认可态度及正向的预期，依赖或任用他（它），愿意与他（它）进行交易，并承担一定的风险。例：惯例去一个地方买东西；

找认同的理发师信任是一个多学科的概念，描述了在特定的情境下，一个个体（A）在可能产生不利后果的情况下（包括风险因素），愿意相信另一个个体（B）具有某种能力或能够完成某项任务的主观信念，或该个体（A）根据自己的经验或同时参考其他个体（C、D等）推荐信息而得出的被信任方（B）的可信赖程度。信任涉及假设、期望和行为，信任是与风险相联系的，并且信任关系的建立不可能总是全自动的，这意味着信任的定量测量比较困难。

但是，信任可以通过级别进行度量和使用、以决定身份认证和访问控制的级别。例：家族企业下列说法正确的是（）信任是与风险相联系的信任关系的建立总是全自动的相信是敢于托付、任用信任涉及假设、期望和行为ABCD提交多选题10分(1)信任的动态性信任关系不是绝对的，而是动态变化的。实体A、B交互前，双方不存在信任关系，即A不信任B在某方面执行特定操作或者提供特定服务的能力。通过推荐或介绍，A与B建立交互关系，如果B总能按照A的预期完成任务，A对B的信任程度会逐渐提高。2、信任的特征(2)信任的不对称性信任的不对称性又称为信任的主观性。实体A信任B，不等价于B也信任A;同样，实体A对B的信任程度也不一定和B对A的信任程度相同。几种信任关系模式如下：ABa）一对一ABCDb）一对多c）多对多DEFABC(3)信任的传递性两个实体间存在多次交互的历史时，双方就可以根据对方的历史行为评价对方，这种信任关系称为直接信任;如果交互的双方事先不存在协作关系，或者交互的一方需要更多地了解另一方，往往会通过第三方实体的推荐信息来为信任决策提供参考，这种信任关系称为间接信任，即A信任B，B信任C，那么A也信任C。这种推荐关系说明信任在一定程度上具有传递性。(4)信任的衰减性信任有随时间衰减的趋势。在某一时刻T，实体A信任实体B，但是经过一段时间，如果与B在该时间段内不存在交互关系，则随时间的推移，A对B的认知程度下降，即不确定B当前是否能够如同时刻T那样可信，表现为A对B的信任程度降低。属于信任特征的是（）不对称性传递性衰减性动态性ABCD提交多选题10分如果Bob信任Alice，Alice信任Oscar，那么Bob也信任Oscar。说明信任在一定程度上具有()。ABCD提交不对称性传递性衰减性动态性单选题10分如果Bob信任Alice，但是Alice不信任Bob说明信任在一定程度上具有()。ABCD提交不对称性传递性衰减性动态性单选题10分

为了解决物联网网络环境带来的新的安全问题，1996年M.Blaze等人首次提出使用“信任管理（trustmanagement）”的概念，其思想是承认开放系统中安全信息的不完整性，系统的安全决策需要依靠可信的第三方提供附加的安全信息。

信任管理的意义在于提供了一个适合开放、分布和动态特性网络环境的安全决策框架。而且信任管理将传统安全研究中，尤其是安全授权机制研究中隐含的信任概念抽取出来，并以此为中心加以研究，为解决互联网、传感网等网络环境中新的应用形式的安全问题提供了新的思路。二、信任管理1、基于策略(或凭证)的静态信任管理技术

根据Blaze和Jósang提出的信任管理的概念，在实体可信的基础上为实体提供资源访问权限，并以信任查询的方式提供分布式静态信任机制，对于解决单域环境的安全可信问题具有良好效果。

在该可信性保障系统中，信任关系通过凭证或凭证链获得。如果没有凭证链，表示没有信任关系，否则具有完全信任关系。可以通过撤销凭证来撤销信任关系。其基本原理继承了基于身份的静态信任验证机制，主要方法是应用策略建立信任、聚焦管理和交换凭证、增强访问控制策略等。为了使信任管理能够独立于特定的应用，M.Blaze等人还提出了一个通用的信任管理框架。基于策略的静态信任管理技术本质上是使用一种精确的、静态的方式来描述和处理复杂、动态的信任关系，即通过程序以形式化的方法验证信任关系，其研究的核心问题是访问控制信息的验证，包括凭证链的发现、访问控制策略的表达及验证等。

应用开发人员需要编制复杂的安全策略，以进行信任评估，这样的方法显然不适合处理运行时动态演化的可信关系。

另外，基于策略(或凭证)的静态信任管理技术主要分析的是身份和授权信息，并则重于授权关系、委托等的研究，一旦信任关系建立，通常将授权绝对化，没有考虑实的行为对实体信任关系的影响。而且，在基于策略(凭证)的静态信性管理系统中,必须事先确定管理域内和管理域间的资源是可信赖的、用户是可靠的且应用程序是无恶意的。但在云计算、边缘计算和物联网等大规模开放网络计算系统中，交互实体间的生疏性以及共享资源的敏感性成为跨管理域信任建立的屏障。由于大规模网络计算涉及数以万计的处在不同安全域的计算资源，大量的计算资源的介入将导致无法直接在各个网络实体间建立事先的信任关系。2、基于证书和访问控制策略交互披露的自动信任协商技术开放、自主的网络环境中，在线服务、供应链管理和应急处理等具有多个安全管理自治域的应用为了实现多个虚拟组织间的资源共享和协作计算，需要通过一种快速有效的机制为数量庞大动态分散的个体和组织建立信任关系。而服务间的信任关系常常是动态建立和调整的，需要依靠协商方式达到协作或资源访问的目的，并能维护服务的自治性、隐私性等安全需要。为了解决以上问题，Winslett和Winsborough等人提出了自动信任协商(ATN)的概念。ATN是通过协作网络实体间信任证书、访问控制策略的交互披露，逐渐为各方建立信任关系的过程。当访问者与资源/服务提供方不在同一个安全域时，基于凭证和策略的常规访问控制方法不能有效地对访问者的行为进行控制，ATN可以为合法用户访问资源提供安全保障，防止非法用户的非授权访问。ATN技术的优点：陌生者之间的信任关系是通过参与者的属性信息交换确立的，通过数字证书的暴露来实现;协商双方都可定义访问控制策略，以规范对方对其敏感资源的访问;在协商过程中，并不需要可信第三方(如CA)的参与。3、基于行为特征的动态信任管理1994年，Marsh首先从社会学、行为学等角度对基于行为特征的信任管理技术(BTMT)进行了开创性的研究。BTMT称为动态信任管理技术(DTMT)，它最初在“在线交易社区”构建信任和促进合作中得到了广泛的研究。动态信任管理技术的主要思想是:在对信任关系进行建模与管理时，强调综合考察影响实体可信性的多种因素(特别是行为上下文)，针对实体行为可信的多个属性进行有侧重的建模;并且强调动态地收集相关的主观因素和客观证据的变化，以一种及时的方式实现对实体可信性的评测、管理和决策，对实体的可信性进行动态更新与演化。动态信任关系的管理有以下新的特征:①需要尽可能多地收集与信任关系相关的信息，并将其转化为影响信任关系的不同量化输入;②在信任管理中强调对信任关系进行动态的监督和调整，考察信任关系的多个属性，同时考虑不同信任关系之间的关联性。因此，需要管理的信任网络的复杂性和不确定性提高了;③在决策支持方面，强调通过综合考虑信任关系中的各主要因素以及其他相关联的安全因素来进行决策，因此，动态信任管理中的可信决策制定需要更加复杂的策略支持;④动态信任管理技术要求采用分布式信任评估和分布式决策的形式，同时要求解决不同实体之间的信任管理的协调问题，根据能力的差异采取不同的信任管理策略。采用统一方法描述和解释安全策略、安全凭证以及用于直接授权键性安全操作的信任关系的过程，称为信任计算。下面分别介绍信任计算的主要任务、信任度量与评估方法。1、信任计算的主要任务信任计算的核心内容包括用于描述安全策略和安全凭证的描述语言，以及用于对请求、安全凭证集和安全策略进行一致性证明、验证的信任管理引擎。具体来说，信任计算的主要任务包括以下：三、信任计算（1）信任关系的初始化主体和客体信任关系的建立需要经历两个阶段:主体的服务发现阶段以及客体的信任度赋值和评估。当一个客体需要某种服务时，可能有多个服务者能够提供该服务，客体需要选择一个合适的服务提供者，这需要根据服务者的声誉等因素来选择。（2）行为观测监控主体间所有交互的影响，产生证据是动态信任管理的关键任务之一，信任评估和决策依据在很大程度上依赖于观察者。信任值需要根据观测系统的观测结果进行动态更新。主要涉及两个任务:一是实体之间交互上下文的观测、存储和触发信任值的动态更新;二是当一个观测系统检测到某个实体的行为超出许可或者实体的行为是一个攻击性行为时，需要触发一个信任度的重新评估。（3）信任评估与计算根据数学模型建立的运算规则，在时间和观测到的证据上下文的触发下动态地重新计算信任值，是信任管理的核心工作。实体A和实体B交互后，实体A需要更新信任信息结构表中对实体B的信任值。如果这个交互基于推荐者的交互，主体A不仅要更新它对实体B的信任值，而且要评估对它提供推荐的主体的信任值。这样，信任评估可以部分解决信任模型中存在的恶意推荐问题。信任计算的任务有（）信任关系的初始化行为观测信任评估信任计算ABCD提交多选题10分2、信任关系的度量信任通常分为基于身份的信任和基于行为的信任两部分。基于身份的信任采用静态的控制机制基于身份的信任采用静态的控制机制，即在用户对目标对象实施访问前就对访问权限进行了限制。信任关系通常有程度之分，信任计算的目的就是要准确地刻画信任程度。正是由于信任有程度区分，其评价过程才变得重要而有意义。信任的可度量性使得源实体可利用历史经验对目标实体的未来行为进行判断，进而得到信任的具体程度。信任度是信任程度的定量表示，它是用来度量信任大小的。定义4-1信任度----信任的定量表示。信任度可以根据历史交互经验推理得到，它反映的是主体对客体的能力、诚实度、可靠度的认识，以及对目标实体未来行为的判断。TD又为信任程度、信任值、信任级别、可信度等。定义4-2直接信任度通过实体之间的直接交互经验到的信任关系的度量值。直接信任度建立在源实体对目标实体经验的基础上，随着双方交互的不断深入，源实体对目标实体的信任关系逐渐明晰。相对于其他来源的信任关系，源实体更倾向于根据直接经验来对目标实体做出信任评价。定义4-3反馈信任度实体间通过第三者的间接推荐形成的信任度，也称为声誉、推荐信任度、间接信任度等(本文统一称为反馈信任度)。反馈信任建立在中间推荐实体的推荐信息基础上，根据源实体对中间推荐实体信任程度的不同，会对推荐信任有不同程度的取舍。但是由于中间推荐实体的不稳定性,以及存在伪装的恶意推荐实体，导致反馈信任度的可靠性难以度量。定义4-4总体信任度也叫作综合信任度或者全局信任度。信任关系的评价，就是源实体根据直接交互得到对目标实体的直接信任关系，以及根据反馈得到目标实体的推荐信任关系，两种信任关系的合成就得到了对目标实体的综合信任评价。信任计算是实现身份认证的前提。典型的信任计算方法包括基于加权平均的信任计算和基于历史证据窗口的总体信任度计算两种。关于信任度说法正确的是（）信任度就是信任的定量表示信任度可以用直接信任和反馈信任综合衡量信任度可以根据历史交互经验推理得到信任度时用来度量信任大小的ABCD提交多选题10分属于反馈信任度的是（）推荐信任度间接信任度声誉直接信任度ABCD提交多选题10分实体之间的直接交互经验到的信任关系的度量值是（）直接信任度反馈信任度AB提交单选题10分3、基于加权平均的信任计算信任模型在获取总体信任度时大多采用直接信任度和反馈信任度加权平均的方式进行聚合计算得到：

总信任度直接信任度间接信任度W1,W2是权重系数开始计算直接信任度计算反馈信任度计算总体信任度结束4、基于历史证据窗口的总体信任度计算信任评估和预测的依