摘 要: 在开放动态的Web信息服务框架中,网络信息安全问题日益突出,因服务和请求之间的不均衡关系导致部分服务受到攻击,在开放、动态的区域内难以对单个服务请求者信任度进行量化评估和计算,本文将模糊数学引入到服务请求者的信任度评估流程中,并在模糊评估的基础上扩充了评估因素集,让信任度评估更加科学化和精细化,在信任度评估模型基础上面给出评估流程,并在评估流程中引入多元化考核因子来灵活决定不同评价因素对最终信任度评估影响,同时反映出评价之间对信任的模糊性和多样性,提高了信任评估的灵活性,增强了评估的合理性,从而进一步提升了web服务的安全。
关键词: 模糊数学; 信任度; 评估;
Abstract: Web as the information service is in the dynamic and open framework, network information security problems become increasingly prominent, due to imbalance between service and service request lead to some attacks, in an open and dynamic region is difficult to single service requester trust evaluation and calculation, this paper applies the fuzzy mathematics to the service requester's trust the degree of the assessment process, and expands the evaluation factors based on fuzzy evaluation, it make trust evaluation more scientific and meticulous, the trust evaluation model based on evaluating process, and the introduction of diversified evaluation factors in the evaluation process of flexible decision effects of different evaluation factors on the final assessment of trust, at the same time it reflects the fuzziness of trust between evaluation and diversity, improves the flexibility of the trust evaluation, enhances the rationality of evaluation, and steps up the security of Web services.
Keyword: fuzzy mathematics; trust; evaluation;
1、 引言
伴随Web服务的发展和用户的多样性需求驱动下,Web服务的规模越来越大,业务种类也日益丰富,但是一直面临各种网络信息安全的挑战。
针对Web服务来说,网络信息安全关联着服务请求者和服务提供者之间的一种请求与提供服务的关系的建立和结束的全生命周期之中,如何去评估和计算服务请求者和服务提供者之间的信任关系是一个研究热点和难点,尤其是在当Web服务愈加呈现为一种开放式、互动式的新型框架的背景下,要做好网络信息安全就需要加强访问控制和信任度的评估研究[1,2,3]。
信任度在加强Web服务网络安全研究中是一个重要的研究分支,通过信任度的评估和考核能精细化掌握服务请求者的信任状态,对信任度不高的服务请求者不予开放服务,这样一定程度能够避免其对服务和网络产生危害,由此可见,信任度作为访问控制中重要的评价元素,对其量化的评估和计算有着重要的研究意义,本文研究和总结信任度和信任评估模型的相关现状,给出信任度的评价流程,并结合信任度评估需求扩展评估对象集合,通过引入多元的评价对象来灵活控制评估的权重值,使得最终的信任度评价更加科学和灵活。
2、 基于模糊数学的评估定义
2.1 、信任管理定义及信任度细分
信任管理最早于1996年M.Blaze等人为解决Internet网络服务的安全问题首次提出的,并且将信任引入到授权管理中[4,5]。
M.Blaze等人提出并实现的信任管理系统的本质是使用一种精确的、理性的方式来描述和处理复杂的信任关系。他们将信任管理定义为采用一种统一的方法描述和解释安全策略、安全凭证以及用于直接授权关键性安全操作[6,7]的信任关系。
信任度是一种对个体对象信任关系的通俗解释,很难给出唯一、统一的描述,特别是在开放的交互环境下,服务请求者和服务提供者之间信任关系影响元素多,结合Web服务特性,本文抽取两种评价对象,分别是请求者互评、权威对请求者评价,并定义如下:
定义1:请求者互评值Re(Request Evaluate):主要是服务请求者之间的互相信任度的评价,依托信任关系模糊评价来确定信任度,信任度越大,表示越值得信任,其值范围分为几个档次,而总体分布在0到1之间。
定义二:权威评价值Ae(Authoritative Evaluate):主要由某一个特定区域的权威机构对该区域内的服务请求者进行评价,依托信任关系模糊评价来确定信任度,信任度越大,表示越值得信任,其值范围分为几个档次,而总体分布在0到1之间。
定义三:权威因子Q,表达信任度的一个综合评价中权威评价占据的比率,里面Q值越大,则表示权威评价占据的影响力越大。
定义四:信任度值R,由请求者互评值Re、权威评价值Ae和权威因子Q综合计算出来信任度值,而总体分布在0到1之间,值越高,信任度越高。
2.2 、基于模糊数学的评估流程设计
评估流程如下:
第一步确定好评估的对象、评估元素集、评估的规模和范围,分别对N个服务请求者进行互评,并且评价指标包括满足度、持续性等细则,此外,还为权威中心对服务请求者进行评价做好准备;
第二步选取一定量的拥有服务使用权限用户,依据服务的相关评价标准,对其进行评价,分别就可靠性与可用性进行评价,依据服务的可用与可靠对服务权值,得出用户对服务评价值Re;
第三步,权威机构针对相关的评价标准对服务进行评价,分别就信任度进行评价,依据服务的可用与可靠对服务权值,得到权威对服务评价值Ae;
第四步,依据用户对服务评价值和权威对服务评价值,以及请求者与注册中心对服务权值和权威因子Q,计算最后的用户和权威对服务评价值R;
第五步,再给用户授予相应的拥有权限的信任度值,并且依靠信任度值和其他一些策略结合来控制访问控制。
3、 基于模糊数学的评估流程设计
3.1 、传统信任评估模型分析
针对信任度具体计算,国内外有几个有代表性的信任度评估模型在上述内容的处理上存在差异:Beth信任度评估模型[8,9]引入了经验的概念来表述和度量信任关系,并给出了由经验推荐所引出的信任度推导和综合计算公式。J sang等人引入了事实空间和观念空间的概念来描述和度量信任关系,并提供了一套主观逻辑运算子用于信任度的推导和综合计算。
国内学者张艳群[2]提出一种基于模糊数学的评价模型,探讨了一个领域中依靠用户自评来确定用户之间的信任度,不足之处,对于用户的信任度评价标准单一,仅依靠可信与否来评价一个用户的综合信任度值缺乏合理性;此外,针对评价的对象也仅局限在用户自身,缺乏权威机构和公正监督来保障评价的准确性和公正性,没有考虑权威评价机构可以与普通用户拥有不同的权重,服务对于请求者信任度计算不够灵活,对于后期的信任度的管理没有涉及到。
上述评估模型主要有如下不足:首先是评价的细则不够全面,因为影响服务的信任度的因素是多元的,每个因素对信任度阀值的影响程度也不一样,依靠单一的元素来评价信任是不全面的,而且针对评价服务的对象,仅仅依靠普通用户也是不合理的,因为有些用户,比如权威机构,其拥有的权威性要更强,其评价的影响力重要性占据更加重要的地位。
3.2、 基于模糊数学的信任评估模型
针对此,本文在丰富了评价对象,在依靠普通用户来评价服务的前提下,引入了权威机构来对服务进行评价,其评价的准则得到了扩充,这样评价的合理性和灵活性得到加强,不足是计算的代价增加。
同时由于评估存在不确定性,这样一个用户很难对一个服务有确切的评价,本文借助模糊数学的理论和方法对其进行评价,将评价的领域分为不同的档次,依据评价的档次最终计算出评价的具体值。
(1)设定用户请求者评价域D为[2]:
其中的n一般取3、5、7等奇数,这样确保评价领域中有一个中间的区域;如果以五个评价等级为评价域,其信任描述可以为D={绝对信任,比较信任,一般信任,有点不信任,不信任}。
(2)设定模糊评价关系举证,这个举证主要是依靠请求者之间进行相互评价而设定,模糊关系R如下:
矩阵R[2]中的rij表示用户i对用户j的信任向量,当起为(1,0,0,0,0)时,可以认为其是绝对信任。其中当i=j时,评价是基于自己的,所以评价无效,全部取0,即为(0,0,0,0,0)。
(3)设定模糊评价权重向量RV为:
依据评估需求设置rv1、rv2、rv3、rv4、vr5其为各个评价等级下的不同评价值,比如绝对信任的权值为1。
(4)计算评价结果
依据模糊评价矩阵和模糊评价权重向量即可算出来具体的值,并进行归一化处理。当N>=2时候,其评价结果计算公示如下:
3.3 、评估案例分析
信任度在请求者之间互相评价之后,还需要对其进行基于更加权威的信任度考核,为特定区域内设定一个权威评价中心,评价流程和上述流程类似,区别在于其评价矩阵由N*N的矩阵变成1*N的矩阵。
评价中权威中心对请求者j的评价可以通过如下算式计算:
设定D={绝对信任,比较信任,一般信任,有点不信任,绝对不信任}。
设定rv1=1;rv2=0.8;rv3=0.5;rv4=0.4;rv5=0,则RV=(1,0.8,0.5,0.4,0)。
选取4个服务请求者A、B、C、D为评价对象集合,其模糊信任举证为:
由此得到A、B、C、D的信任向量累计分别为:
则通过归一化评价计算获得A=1;B=0.53;C=0.67;D=0.3。
同理设定权威中心评估给出来的模糊评价矩阵为R=[比较信任,一般信任,比较信任,有点不信任],则由权威中心给出的计算结果分别是A=0.8;B=0.5;C=0.8;D=0.4。
在请求者评价矩阵和权威中心评价矩阵最终确定之后,则最终的信任度评价可以由:
当Q值越大的时候,最终的信任度值是由权威中心影响越深,如果服务请求者和权威中心的权值比为1的时候,计算得出最终的信任度值R分别为:
可以得出来A的信任度最高,C次之,B再次之,D最低。如果某一项服务的信任度阈值为0.6,则以信任度为考核元素的授权对象则是A和C,而信任度较低的B和D没有访问控制权限。
由此可见,依托模糊评价矩阵分别能够方便评估计算出请求者之间的相对信任度和权威中心对服务请求者的信任度,并通过权威因子Q值来最终灵活调节。以增强访问控制中的精细化操作的策略配置,进而提升网络信息访问控制安全水平。
4 、结束语
本文分析和总结信任评估相关研究情况,详细介绍了评估流程和评估模型,在信任度评估中细化评估对象,并讲模糊数学理论引入到信任度评价中,一定程度将定性的信任评估量化为数字,方便访问控制的精细化管理。
参考文献
[1]郑鹏.基于FUZZY-SVM的软件质量综合评价[J].长春工业大学学报,2018,39(3):278-281.
[2]张艳群,张辰.基于模糊理论的信任度评估模型[J].计算机工程与设计,2007,28(3):532-534.
[3] FENGYING WANG,FEI WANG.The Research and Application of Resource Dissemination Based on Credibility and UCON[C].2007 International Conference on Computational Intelligence and Security,2007:584-588.
[4]李勇军,代亚非.对等网络信任机制研究[J].计算机学报,2010,33(3):1-18.
[5]赵延喜,何培玲.基于模糊综合评判的应用型本科教学质量评价[J].南京工程学院学报(社会科学版),2018,18(4):67-71.
[6]蔡志荣.基于熵权的模糊综合评价法在学习质量评价中的应用[J].计算机时代,2018(12):75-77.
[7]夏新涛,刘斌,李云飞,张纪祥.基于模糊权重的轴承品质实现可靠性研究[J].航空动力学报,2018,33(12):3013-3021.
[8]马莹,陈志龙,刘贺,卢厚清.公式赋权-灰色模糊评价法的构建与应用[J].计算机应用,2018,38(S2):34-37,46.
[9]刘玉华.基于模糊数学方法学科教学硕士研究生复试指标体系的研究[D].南昌:东华理工大学,2018.