可信云计算：组件级可靠性和安全性管理

理论计算机科学电子笔记179（2007）143-155www.elsevier.com/locate/entcs在基于安全的嵌入式系统中管理可信度*Gabriele Lenzini，Andrew TokmakoTelematica Instituut，Brouwerijstraat1，7523 XC-恩斯赫德，荷兰{Gabriele.Lenzini，Andrew.Tokmakoff}@ telin.nl约翰·马斯肯斯Philips Research，Prof. Holstlaan 4，5656 AA-Eindhoven，TheNetherlandsJohan. philips.com摘要基于固件的系统使用软件组件来实现其总体高级功能，而这些功能又可以通过启动新组件的下载来扩展。此动作可能会在心理上影响系统的整体可靠性和安全特性。我们解决的问题，增强的可靠性和安全性的基于组件的嵌入式系统，例如，在消费类和嵌入式电子设备。我们提出了一个可信度管理框架，同时代表组件（委托人），监督系统现有的委托人-受托人关系，船舶和维护整体系统的可靠性和安全性水平。这是通过监控组件行为的质量指标，通过定期评估其可信度，以及（当#36825;，通过控制它们。本文重点研究了可信性管理框架所提出的可信性评估过程。可信度评估被看作是一个信任参数化的功能。诚信体现为三重价值：顺从、仁慈和稳定。第一个衡量组件满足委托人要求的程度;第二个和第三个分别表示预期信念，这些组件会继续符合标准，而组件的外观质素亦会保持稳定。可信度管理器框架使用可信度来做出控制决策，以调节系统关键词：构件化系统、可信度评估、可信度管理架构、可信度与安全性。1引言基于组件的软件系统通过使用一些组件来实现其高级功能，这些组件反过来提供一组基本服务。对这项工作是在ITEA-EU项目“Trust 4All”内进行的1571-0661 © 2007 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi：10.1016/j.entcs.2006.08.038144G. Lenzini等人理论计算机科学电子笔记179（2007）143联网设备、软件组件还可以将新组件下载到系统中，从而在无意中托管恶意或不稳定组件的风险下扩展系统我们解决了增强基于组件的嵌入式系统的可靠性和安全性的问题，例如Robo-cop/Space 4U基础设施[13]所支持的嵌入式系统。该基础架构运行在用于嵌入式消费电子设备的各种平台上，例如Symbian和Linux。我们研究的解决方案可以用来促进这种嵌入式系统的开放性，而不会牺牲其可靠性和安全特性。为了这个目的，我们引入了一个可信度管理框架（简而言之，RISK），它扩展了现有的Robocop/Space 4U基础设施的功能，使其能够评估（代表应用程序/受托人）的组件/受托人的可信度方面的一些可靠性和安全质量要求。管理层亦负责确保系统内所有活跃的信托人与信托人关系符合本文重点研究了XML的可信度评估功能。我们将诚信表述为三重：合规、友善和稳定。合规性衡量了一个组件对一组委托人主观质量要求的满意程度。仁慈和稳定被定义为主观逻辑[7]意见;它们表达了委托人的主观期望，即组件的质量属性将分别继续符合委托人的要求和在用于最后符合性评估的值的邻域内变化。可信度被控制者用来做出控制决策。例如，负顺应性可能导致对部件的动作，其失活。稳定性的降低可以触发质量属性的重新估计和合规性重新评估，而良性的降低可以导致组件在不同的操作模式中或在受控环境中被重新实例化2相关工作信任管理是近年来计算机科学研究的热点，特别是在分布式访问控制和信誉网络管理等应用领域。(cf.、[3，9]）。我们解决的可信度评估问题与选择值得信赖的Web服务的任务有许多相似之处。用户通常喜欢他们期望将履行他们的协议的Web服务，如先前建立的服务水平协议（SLA）的形式所描述的例如，[15]建议可以根据信任值对Web服务进行排名，该信任值由受信任的注册中心使用一组用户报告随时间推移对服务进行计算。Herrmann和Krumm在[5]中讨论了一种类似的方法，但是在基于组件的系统领域中;组件的可信度是从信任信息服务中获得的，该服务作者还提出了一个安全增强框架，G. Lenzini等人理论计算机科学电子笔记179（2007）143145在J2EE环境中运行;在这里，组件由Java-bean安全包装器控制，该包装器检查组件的实际行为是否符合安全检查的级别取决于组件虽然我们的方法与Herrmann和Krumm的方案有一些相似之处，但所提出的解决方案不能有效地应用于资源受限的嵌入式系统领域。我们的组件运行在Robo-cop/Space 4U基础设施中，该基础设施无法从Java虚拟机提供的安全机制中受益。此外，我们感兴趣的是确保关于可靠性和安全性定性特征的可信度，例如CPU消耗、内存使用、加密机制的存在、通过校验和的完整性数据、平均故障间隔时间等。我们的嵌入式组件的中间件，并与资源管理框架采取行动，在组件的实例化时间的决定在这种情况下，可能需要低级别的机制，例如BSD jail或沙箱;或者，可以重新配置组件以在不同的操作模式下运行当新组件被允许进入系统时，也可以重新考虑对每个信任者-信任者关系的可信度的总体重新评估，因为这可能影响组件之间的总体资源分配最后，我们的框架被设计为参数化，在运行时，由应用程序/委托人指定他们的主观可信度要求的指标和可信度阈值。在[10]中，可信度度量由两个量定义：交付承诺的服务质量的能力（称为“一致性”），以及交付商定质量水平的恒定性（称为“真实性”），定义为一致性随时间的变化。我们的信任值的仁慈和稳定性表示为主观逻辑的意见，这有利于他们在推荐管理系统中的使用。第三章信任与可信度“可信赖性”的概念与“信任”的概念有关。一个实体是值得信赖的（对于某个任务），当我们有一个保证，它将履行其承诺的服务预期[2]。不幸的是，在许多情况下，几乎不可能对实体的可信度有一个毫无疑问的保证;因此，选择认为某个实体对于某个任务是可信的，这涉及到信任的决定。在本文中，我们使用以下信任的定义[12]：定义3.1信任是一方（委托人）在特定情况下愿意依赖另一方（受托人）的程度，即使可能产生负面后果，也会有相对的安全感。根据具体情况，可以将委托人和受托人角色146G. Lenzini等人理论计算机科学电子笔记179（2007）143可信性评估可信性评估初始决定不信任决定信任进行观察Fig. 1. 信托人与受托人关系的状态。由不同类型的实体填充。从可靠性和安全性的角度出发，本文将委托者和受托者看作是软件构件。例3.2对于她的日常跑步锻炼，Alice穿了一件T恤，上面有传感器和一个开放的基于组件的计算设备。 该设备的主要组件C收集和存储来自传感器的数据。 C可以通过获取新的组件来扩展其功能，例如“Sweat-Heart”类中的组件。 这些组件能够与训练中心通信，训练中心反过来分析心跳数据，并在检测到任何异常时向C提供实时通知。 在这种情况下，Trustor是组件C，负责选择和与“Sweat-Heart”组件实例交互，而Trustee是所选择的特定“Sweat-Heart”组件。4可信度经理角色图1显示了信任者-受信任者关系的状态。在决定信任之前，委托人要评估受托人的可信度。如果评估结果是肯定的，委托人决定支持受托人。随后，对受托人行为的观察结果的分析当委托人是嵌入式系统中的软件组件时，委托人-受托人关系的“健康”可以由可信 度 管 理 器 （ Trustworthiness Manager ） 协 助 ， 这 是 由 可 信 度 管 理 器（Trustworthiness Manager）在图1中的可信度评估转换之前，使用委托人的要求进行参数化的可信度管理器可以代表委托人评估特定受托人的可信度。我们将此功能称为一旦做出了到信任的过渡决定，可信度管理器就可以执行关于受托人的操作的观察（例如，性能统计）。通过对这些数据的分析，可信度经理能够（代表委托人）维护委托人与受托人的关系，并防止当受托人开始无法满足委托人的可靠性和安全要求时（即，当其情况变得“更糟”时）可能发生的潜在损害。在这种情况下，委托人间接受益于“损害控制”机制（例如，BSD Jail [11]、沙箱[1]等）信托管理人可以对受托人使用。这些控制机制还可以在系统内存在新的委托人-受托人关系的情况下由可信度管理器激活。例如，考虑一个组件已被允许进入系统的情况，G. Lenzini等人理论计算机科学电子笔记179（2007）143147考虑到它的断言，它将永远不会使用超过25%的CPU在任何给定的1分钟内。例如，如果系统中有另一个组件在给定的1分钟内保证了65%的CPU，并且观察到新添加的组件消耗了40%的CPU，则信任管理器可以检查第一个组件是否仍然兼容，尽管使用较少的CPU，并且如果不决定综合而言，可信度管理器能够确保整个系统保持在尊重所有委托人-受托人关系的“稳定状态”。例4.1（续）Alice决定试用组件“Sweat-Heart”的一个版本，条件是新组件永远不会向第三方披露她的数据（例如，（培训中心）在培训期间 只有当爱丽丝参加比赛时，她才会接受信息泄露的小风险，而不是关于可能的心脏功能障碍的即时反馈。由组件C参数化的可信度管理器积极评价由公司“FastWell”提供的组件“Sweat-Heart”&。 该组件可以在两种模式下工作，“安全”或“快速”。“安全”模式实现安全（但较慢且更耗电）通信（例如，确保资料的完整性及保密性），而“快速”模式则利用更快的网络通讯机制， 在新组件被接纳到系统中之后，可信度管理器继续监视其性能。 当Alice在比赛中跑步并且组件的通信速度变慢时，可信度管理器（代表C）决定将组件切换到“快速”模式。5可信度管理框架使用Robocop/Space 4U基础设施[13]开发的信任管理器，执行第4节中讨论的信任管理器的角色。此外，控制器利用“致动器”将逻辑“控制”决策转换为动作，例如，这些动作可以降低部件的优先级或向其发出信号以改变到不同的操作模式（具有不同设置例如，当一个组件（通过观察）表现出偏离其预期QA的QA度量时，可能需要停止该组件，或者可能重新启动它。在这种情况下，决策过程做出传递给致动器的高级决策（动作原语）。这些执行器负责将决策映射为具体行动。这一区分将决策与行动分开，一部分是“头”，另一部分是“手”。 致动器还可以 为决策过程提供事件，形成反馈循环。对该系统设计的深入探讨148G. Lenzini等人理论计算机科学电子笔记179（2007）143诚信经营可信度模型信任管理框架模型质量诚信Profile ModelProfile Model可信度评价函数控制机制监测设施图二.可信度管理是根据可信度模型和信任管理模型框架来定义的。6可信度管理模型本节解释我们在设计该系统时采用的方法。它基于两个主要模型的定义：可信度模型和信任管理框架模型，如图2所示。可信度模型定义了可信度评估和委托人决策所需的信息结构我们的可信度模型表明，受托人我们将在第7节中描述这些模型。信任管理框架模型描述了用于监控受托人的质量属性度量和用于控制某些受托人质量属性的机制和解决方案监视包括可以获得测量结果的机制，CPU负载、进程内存占用、网络使用（套接字数量、带宽利用率）、组件的控制级别、访问未授权资源的尝试、组件锁定、组件不可用性等。质量属性的控制例如通过将受托方切换为在某些模式下操作的可能性或通过受托方可以“安全”运行的受控环境的可用性来最后，该模型指定了可信度评估功能，该功能被提供给委托人用于评估受托人7可信度模型诚信模型由与受托人相关的质量概况模型和与委托人/受托人关系相关的诚信概况模型组成。7.1质量概况模型质量概况模式界定描述受托人的业务特征所需的资料。形式上，质量概况模型QP是G. Lenzini等人理论计算机科学电子笔记179（2007）143149集合{M1，.，Mk}，其中每个模式M是模式的集合{QA1，.，QAh}，并且每个质量属性QA是质量属性的元组[m1，...，m个度量。组件可以具有多种操作模式（例如， 在其可靠性、可用性等方面。每个QA都由一个定义的度量元组指定在[2]中，AviZien等提出了一个新的概念。提供了一种用于实现可靠性和安全性的方法的分类。例如，QA可用性（定义为Quality Profiles（我们也写QA）携带度量的值，它们可以很容易地编码到XML文件中。示例7.1（续）“Sweat-Heart”组件的质量概况模型包含两种模式：“安全”和“快速”。这两种模式都由“可用性”QA（以毫秒为单位的“响应时间”和以百分比为单位的“响应时间”）和“安全性”QA（以是否存在能够确保机密性和完整性的安全功能为单位）组成。质量概况模型的实例载有与特定组件相关的行为信息例如，下表可用性安全响应时间uptime保密完整性170.9810代表“Fast Well”组件的“安全”模式的QA实施例4.1）。 它表明“响应时间”为17毫秒，“响应时间”平均为98%，并且它实现了在通信时确保机密性但不完整性的机制。7.2可信度轮廓模型由委托人指定的可信度概况模型与每个委托人/受托人关系相关联，并且它陈述：（i）委托人认为对于某种组件的可信度评估重要的质量度量;（ii）评估相关度量时要使用的标准;（iii）本地决策要采用的标准。在这里，我们仅描述与可信度评估函数有关的可信度轮廓模型的一部分（即，第㈠至㈡项）。该模型与质量概况模型的结构相似，不同之处在于其目的是代表委托人对受托人的可信度轮廓模型TP是集合{M1，.，MkJ}的模式。与质量概况一样，可信度概况也有代表不同背景下不同判断模式的模式每个模式M是集合{（QA1，W1），...，（QAhJ，WhJ）}的QA属性和QA权重。 权重，这样，150G. Lenzini等人理论计算机科学电子笔记179（2007）143J.J.i=1Wi = 1，表示委托人对特定质量美德.先知-愿在这里，委托人只能考虑判断字符的一个子集潜在受托人的质量概况模型中规定的特征每个质量 属性QA是元组n（m1，nP1，f-，f+n，w1，n1），.，（ml，nPl，f−，f+n，wl，nl）n11l l度量、度量标准、度量权重和公差百分比。度量权重，例如，权重w= 1，表示委托人给予的重要性我每一个公制委托人1) 明确的谓词P：T→ {0; 1}。这里T是度量的数据域。它从委托人的角度识别QA2) 两个模糊集f−，f+：T→[0，1].这里，f−和f+分别测量正合规性和负合规性的水平，相对于谓词的度量。这些模糊集通过一对函数c+：{x：T，P（x）}→[0， 1]和c-：{x：T，<$P（x）}→[0， 1]（分别称为度量正和度量负顺应性函数）定义，如下所示⎧如果P（x）为零，f+（x）=00，否则⎧c−（x），如果<$P（x）f−（x）=00，否则3) 容许百分比α m，其表示委托人将容许受托人的观测度量值的变化的程度，谓词、模糊集、权重和公差百分比用于参数化可信度评估函数，如第8节所述。例7.2（续）Alice的“训练”模式Trustworthiness Profile表示，应根据其可用性和安全性QA评估Trustee组件：组件的响应时间必须小于12msec，其可靠性至少为95% ;此外，它必须执行保密机制，而完整性的保证是赞赏的，但可选的。下表总结了相关标准。Wq1 = 0。6Wq2 = 0. 4可用性（第一季度）保安（第二季）wx1 = 0。1 = 0。01wx2 = 0。5;x2 = 0。01wy1 = 0. 75;平均值1= 0wy2 = 0. 25;平均值2= 0响应时间（x1）（x2）确认（y1）完整性（y2）P（x112）<（x2> 0. （95）（x2−0. （95）20的情况。051 −x20的情况。95（y1= 1）（y2= 1）C+c−1 −x1121 −12X110y2y2在这里，可用性的权重为0.6，而安全性为0.4;这意味着前者对信任者来说比后者更重要 在可用性中，这两个指标的权重相等，而在安全性中，确保机密性的机制的存在比完整性机制的存在重要两倍。最后，i=1G. Lenzini等人理论计算机科学电子笔记179（2007）143151质量属性诚信档案上下文诚信值图三.可信度评估功能的功能块。在观察受托人的“服务中”行为时，受托人接受测量的可用性的 1 % 的 差 异 。8可信度评价函数可 信 度 评 估 （ TEF ， 在 图 3 中 ） 被 认 为 是 一 个 函 数 tef ： TPro 文 件×2QAttributes×Context→TValues，作为输入，给定一个可信度轮廓模型的实例，一组QA（即，受托人的质量概况模型的实例这里TPro文件、QAttribute、Context和TValues 分 别 代 表 输 入 和 输 出 的 数 据 域 。 我 们 将 tef （ tp ， c ） （ Q ） 表 示 为 在c∈Context中用信任者配置文件tp∈TPro文件实例化的tef。这里，上下文以最简单的方式管理，即，要在tp中选择适当的模式，请参阅[16]关于如何在可信度评估中处理上下文的高级讨论因此，tef（tp，c）将一组QA，Q ∈ 2个QAttributes转换为可用于决策的主观可信度值。参考图3，我们可以看到不同的QA作为输入，即Q = QA eQoQA r。它们对应于对受托人QA的不同意见• QAe是估计的QA。这是委托人理解的QA。最初（如图1所示，当在做出任何信任决定之前需要进行可信度评估时），这些是组件（或代表组件的某个人，例如，组件的提供者）已经“断言”。此外，这些是可信度管理框架估计的QA，以更好地代表受托人的• Qo是观察到的QA的集合。这是一套问答填写的，这是反复监测活动的结果。最初，这个集合是空的。后来，它表示了观测器收集的观测数据集• QAr是委托人从其代理人网络获得的推荐集合（例如，见[8]）。在这份文件中，建议只进行了少量的讨论。作为一个可信度值v∈TValues，我们提出了一个三元组（CV，B，S）。 CV，称为符合性，是从QAe分析得到的值。它衡量QAe对委托人标准的遵守程度（例如，谓词，模糊集和权重）;B，称为亲切，是Qo分析的结果QA河它表达了委托人的主观输入期望，QAeQoQArTEF152G. Lenzini等人理论计算机科学电子笔记179（2007）1432P组件将继续符合其要求;S，称为稳定性，来自Qo的分析。 它表达了委托人的主观信念，即当前组件的QA将保持在委托人指定的公差百分比内。（CV，B，S）的计算使用模糊集[14]和主观逻辑[7]。模糊集用于计算QAe上的CV，算法如下：给定qa∈QAe的度量m，tp中相应的模糊集f+，f−用于计算单个（关于该度量）顺应性，如cv（m）=f+（m）−f−（m）。这里cv：T→[-1，1]，其中T是度量的定义域。 （0， 1]中的输出示出了正的顺应性（属于所述顺应性在[-1，0]中的一个表示负顺应性（属于非顺应性集合的程度），而值0表示中性顺应性。 的CV超过QAe是根据单个合规值计算的，如下加权求和，使用tp中规定的权重：CV=ΣΣWqa（（m）qa∈QAem∈qa例8.1（续）让我们考虑例7.1中规定的质量属性CV中给出的可信度分布计算如下.ΣCV= 0。60. 5cv（响应时间）+0。5cv（cv）+.Σ0的情况。40. 75 cv（置信度）+ 0。25CV（完整性）.120的情况。98比0。952英尺。Σ=0。60. 5（−（1−=0。319））+0。5（170的情况。95） +0。40. 75（1）+0。25（0）这表明受托人的质量保证要求总体上这里使用主观逻辑（SL）[7 SL意见表示为ωP=（bP，dP，uP）。这里bP，dP，uP∈[0，1]分别表示对陈述P的真实性的主观相信、不相信和不确定性，其中bP+dP+uP= 1。从一个观点ωP出发，我们可以利用关系式E（ωP）=bP+1uP得到信念期望的概率E（ωP）。例如，当陈述P可以使用SL操作符组合意见给定对两个谓词P和Pj有两个意见ωP和ωPJ，则ωP<$ωJ会认为在谓词PPJ上。 给定两个观点ωA和ωB在P上从P P源A和B，则ωA<$ωB是表达共识的意见，例如，一P P贝叶斯融合了两种观点。 感兴趣的读者可以找到更多的细节，SL算子在[6，7]中。意见可以从证据空间中产生[6]。该程序是相当标准的SL，与我们的情况略有个性化。给定一个证据空间S和一个谓词P，可以从S得到关于P的一个意见ωP=（b，d，u）G. Lenzini等人理论计算机科学电子笔记179（2007）143153具有以下公式：rr+s+t+1sr+s+t+1电话+1r+s+t+1（一）其中r，s是S中分别满足，不满足，谓词P，而t是谓词的评估不确定的项目的数量数据被破坏或丢失，或者我们使用三值谓词，结果不能被解释为既不是正数也不是负数）。良性是以Qo为证据空间计算出的意见ωPCV 这里PCV是三值谓词，如果CV为0，则返回-1;如果CV= 0，则返回0;否则返回-1。非正式地说，善意塑造了委托人符合其要求。从委托人的角度来看，在处理过去受托人先前的良性值B过去可以与当前良性B组合，以获得（依赖于历史的）良性BJ=BB过去。善意值还可以用于向其他信托人推荐信托人。 在这种情况下，QA r中的QA其他系统所经历的价值观，它们可以与当地的善意达成最终共识。为了处理推荐网络，并应对相关问题，可以利用[8]中开发的技术。.Σ稳定性计算为S=qa∈QA（m∈qaωPm，c. 这里，ωPm，c是使用Qo和谓词Pm，m来计算，如果m∈[me−n·me，me+n·m e，则返回1。me]，否则为-1。这里，m是与tp中的m相关联的容差，并且me是用于估计的QA的度量值。稳定性对委托人对受托人行为的信任进行建模如果我们将当前的稳定性与过去的稳定性相结合，则可以使稳定性从委托人例8.2参考例7.1和例7.2，让我们假设从100个“汗心”组件行为的观察中{2017，0. 98，1，0}，50 a QA{11，0. 96，1，0}，和一个QA{12，0. 95分，100分，1分}。我们获得的良性值（0.98，0.01，0.01）表明了对组件继续符合要求的信念（参见实施例7.2）。稳定性结果为（0.23，0.75，0.02），表明不相信组件总体QA的稳定性（相对于合规性评价中使用的值）。在这种情况下，怀疑的存在意味着最好重新-估计QAe. 通过使用相同的观测值集，我们获得平均QAe为{14。四，零。96块，100块。5，0}，其顺应性为-0.338。9结论和今后的工作本文介绍并讨论了一个可信性管理框架的开发，它是一个实用的软件解决方案，用于增强网络化、可扩展、基于组件的嵌入式系统的可靠性和安全性该系统运行在中间件中，支持组件B=u=D=154G. Lenzini等人理论计算机科学电子笔记179（2007）143(in信任者的角色）来采取正确的信任决定，并实现用于监视组件行为的解决方案和可以在组件上激活的控制机制（以信任者的角色），以保护可靠性和安全性。我们重点讨论了由受托人管理委员会提出的可信度评估函数（TEF），该函数的组成部分可以根据评估受托人合规性时希望使用的标准进行参数化。此外，可信赖性根据以下方面进行评估：“善意”（即， 相信受托人将继续遵守）和“稳定性”（即，（相信受托人仁慈和稳定性用于决策的决策者，其值的计算是根据主观逻辑算子定义的。TEF已经在Ocaml1中原型化，它已经与用C编写的Robocop [13我们现在正在开始验证阶段，在此阶段，我们将评估在医疗保健、娱乐和通信领域的各种应用程序中使用该产品的情况。10确认本文中报告的工作已经在Trust4All项目中进行。作者谨此感谢项目成员在开发本文件中所做的贡献。我们现在可以使用Francis c oGomezMolinero、Arantx a Lar anana n ama a miz 和 Rube/nAlons ， 以 供 运 行 时 使 用 。 我 们 感 谢FrannciscoGo'mezMolinero、HansZandbelt、Zheng Yan和Arnoud Gouder以及匿名评论者的有用评论。引用[1] Acharya，A.和M. Raje，Mapbox：使用参数化行为类来限制不受信任的应用程序，在：美国科罗拉多州丹佛市第9届USENIX安全研讨会论文集，8月14日-17，2000（2000），pp. 1-18号。[2] Avizienis，A.，J.-C.拉普里亚，B。RandellandC.Landwehr，Basicconceptsandtaxonomofdependableand secure computing ， IEEE ， Transactions on DependencyAnd Secure Computing 1（2004），pp. 11-34[3] 格兰迪逊，T.和M. Sloman，互联网应用信任调查，IEEE通信和调查，第四季度3（2000），pp. 2比16[4] Herrmann，P.，基于信任的软件组件用户和设计者保护。，在：P.尼克松和S. Terzis，editors，Proc. of Trust Management，First International Conference on Trust Management（iTrust 2003），Heraklion，Crete，Greece，May 28-30，2002，LNCS2692（2003），pp.75比90[5] Herrmann，P.和H.Krumm，分布式组件结构应用程序中安全策略的信任适应实施。，in：Proc. 第六届IEEE计算机与通信研讨会（ISCC 2001），2001年7月3日至5日，哈马马特，突尼斯（2001年），pp. 2-8.[6] Jøsang，A.，认证的主观度量，在：J.- J. Quisquater，Y. 德瓦特角 Meadows和D.Gollmann，editors，Proc. 第五届欧洲计算机安全研究研讨会（ESORICS 98），比利时，Louvain-la-Neuve，1998年9月16-18日，会议记录，LNCS 1485（1998），pp. 329-3441http://caml.inria.frG. Lenzini等人理论计算机科学电子笔记179（2007）143155[7] Jøsang，A.，不确定概率的逻辑，International Journal of Uncertainty，Future and Knowledge-BasedSystems9（2001），pp.279-312.[8] Jøsang ， A. ， L. Gray 和 M. Kinateder， 可 传 递 信 任 网 络 的 简 化 和 分 析 ， Web Intelligence and AgentSystems Journal（2006）。[9] Jøsang ， A. ， R. Ismail 和 C.Boyd ， A survey of trust and reputation systems for online serviceprovision，Decision Support Systems（2005），（available on line on ScienceDirect）in press.[10] Kalepu ， S. ， S. Krishnaswamy 和 S.W. Loke ， Reputation = f （ user ranking ， compliance ，verity），IEEE Transactions on Software Engineering30（2004），pp.311[11]坎 普 ， P.H. 和 R. N. M. Watson ， Jails ： Confining the omnipotent root ， in ： in Proc. of the 2ndInternational Conference System Administration and Networking（SANE 2000），May 22 - 25，2000，Maastricht，The Netherlands，2000，pp. 1-15。[12] 麦克奈特，D。H.和N. L.陈文辉，信任的意义，技术报告MISRC 96-04，明尼苏达大学管理信息系统研究中心（1996）。[13] Muskens，J.和M. Chaudron，基于组件的系统的完整性管理，第30届欧洲微型会议，2004年9月1日至3日，法国，2004年。[14] 阮氏H.T. 和E.A. Walker，[15] Sherchan，W.，S. W. Loke和S. Krishnaswamy，一个模糊模型用于推理Web服务中的信誉，在：H。Haddad，editor，Proc. of the 21st ACM Symposium on Applied Computing（ACM SAC 2006）-Trust ， Recommendations ， Evidence ， and other Collaborative Know-how （ TRECK ） ， 23-27April 2006，Lyon，France（2006），pp. 1886-1892年。[16] Toivonen ， S. ， G. 伦 齐 尼 和 我 。 Uusitalo ， Context-aware Trust Evaluation Functions for DynamicReconfigurable Systems，in：Proc. of the Models of Trust for the Web workshop（MTW