…nie dla każdego…

Autonomiczne obliczanie i tworzenie sieci (ACN) zainicjowało kilka obszarów funkcjonalnych systemu autonomicznego: system autonomiczny obejmujący właściwości autonomiczne z samym sobą (świadomość, organizacja, optymalizacja, rekonfiguracja, regulacja, leczenie i ochrona). Obecny Internet to sieć wzajemnie połączonych i nieskoordynowanych sieci. ACN ma na celu zapewnienie nieprzerwanych usług milionom użytkowników Internetu ze względu na swoje właściwości. Przyszły scenariusz internetowy, w którym usługi są świadczone od początku do końca w kontekście łańcuchów wartości w połączonych przedsiębiorstwach, obszarach domowych, sieciach dostępowych i rdzeniowych, zarówno stacjonarnych, jak i bezprzewodowych. Podstawowe nowe paradygmaty projektowe muszą holistycznie uwzględniać fakt, że ogólne środowisko jest silnie dynamiczne. Na przykład właściwość samonaprawy odnosi się do automatycznego przewidywania i wykrywania potencjalnych awarii i zagrożeń oraz automatycznej korekty w celu ewentualnego uniknięcia przestojów systemu komputerowego. W tym rozdziale przedstawiono niektóre wyzwania związane z bezpieczeństwem, które przewidywałaby architektura autonomiczna. Zbadano zachowanie zbieżności schematu wykorzystującego wykres algebraiczny [12]. Schemat zaproponowany przez Jianga i Barasa wykorzystuje dystrybucję dokumentów zaufania w sieciach autonomicznych w oparciu o kodowanie sieciowe, a badanie symulacyjne pokazuje, że schemat jest wydajny i szybko dostosowuje się do zmian w sieci. Model zaufania wprowadzony przez Ermona i innych rozwinął temat szacowania zaufania w sieciach autonomicznych przy użyciu podejścia statystycznego. Przyszłe sieci będą złożonymi środowiskami dynamicznych domen składających się z tysięcy węzłów. Zapewnia to automatyzacja i zarządzanie zaufaniem konkretną strukturę umożliwiającą zarządzanie, skalowalność i bezpieczeństwo takich sieci. Przyszłe prace badawcze powinny pokazać, w jaki sposób te nowe ramy zaufania są przystosowane do technologii i infrastruktury hybrydowej. Wydajność tych struktur w różnych topologiach i ustawieniach sieci musi zostać zbadana i zbadana pod kątem skutków mobilności i złośliwych węzłów. Dochodzenia muszą wykazać, jak odporne są nowe systemy na awarie i błędy. Skalowalność to także kolejny wymiar, na którym będą się zwracać badania w zakresie hostingu nowatorskich podejść i algorytmów.

Reguła głosowania umożliwia wielokrotne ocenianie każdego węzła przez jego sąsiadów. W szczególności wyrażają swoje opinie poprzez głosowanie nad ich wiarygodnością, a zasada głosowania uwzględnia ich wraz z aktualnym szacowanym statusem wiarygodności uczestników głosowania. Aby naśladować algorytm Metropolisa-Hastingsa, wprowadzamy do reguły stochastyczność, dzięki czemu uzyskujemy pożądaną strukturę łańcucha Markowa z odpowiednim rozkładem prawdopodobieństwa stanu ustalonego. W każdym kroku czasowym węzeł i jest wybierany losowo. Wiarygodność S_j(k + 1) węzłów j, które są różne od i, są utrzymywane na stałym poziomie, podczas gdy, węzeł i przyjmuje następującą regułę głosowania do obliczania S_i(k +1):

gdzie m_i(k) definiuje się następująco:

N_i to zbiór sąsiadów węzła i, a t(k) to parametr temperatury w iteracji k. W ten sposób łańcuch Markowa z przestrzenią stanów uzyskuje się jako [- 1, 1]^N i z prawdopodobieństwem przejścia p[S,R]:= P[S(k +1) = R |S(k) – S], czyli równe zero, jeśli odległość Hamminga S i R jest większa niż 1. Jeśli odległość Hamminga S i R jest mniejsza lub równa 1, mamy to

gdzie i jest indeksem takim, że S_j  = R_j dla wszystkich j ≠ i

Ustalając parametr temperatury t w czasie, reguła głosowania jest po prostu zmodyfikowaną wersją klasycznego algorytmu Metropolisa-Hastingsa, w którym łańcuch Markowa ma różne prawdopodobieństwa przejścia, ale z tym samym rozkładem prawdopodobieństwa stanu ustalonego. Graf powiązany z łańcuchem Markowa jest silnie powiązany i składa się ze skończonej liczby (2N) stanów, z których każdy ma własną pętlę. Dlatego macierz przejść jest prymitywna, a wynikowy łańcuch jest regularny. Korzystając z twierdzenia Perrona-Frobeniusa, udowodniono, że istnieje unikalny rozkład prawdopodobieństwa w stanie ustalonym, który można uzyskać z dowolnego początkowego rozkładu prawdopodobieństwa. Dlatego wyciągnięto wniosek, że jeśli t = 1/β jest ustalone, to reguła głosowania definiuje łańcuch Markowa, którego rozkład prawdopodobieństwa stanu ustalonego π jest rozkładem Boltzmanna:

gdzie:

Wybór reguły głosowania nie jest jednak fundamentalny, ponieważ rozkład prawdopodobieństwa stanu ustalonego podany w Równaniu 8.26 można uzyskać przy użyciu standardowego Algorytmu Metropolisa, czyli wybierając następujące prawdopodobieństwo przejścia:

gdzie:

ΔU = 2S_i[η – m_i(S)]

S i R to stany z odległością Hamminga równą 1,

 i jest takie, że S_j = R_j dla wszystkich j ≠ i oraz S_i ≠ R_i

Z równań powyższyvh gwarantuje się, że powiązany łańcuch Markowa zbiegnie się do równania rozkładu Boltzmana, rozkładu prawdopodobieństwa w stanie ustalonym. Jednak współczynnik konwergencji zależy od wartości własnych macierzy przejścia, a tym samym od zastosowanej reguły głosowania.

Rola parametru β to współczynnik, który pozwala dostroić trudność problemu, który waha się od trywialnego przypadku, gdy β = 0 (wysoka temperatura)) i bardzo trudnego, jak β → ∞, a układ zamraża, koncentrując całą wagę na stanie podstawowym. W rzeczywistości, nawet jeśli użyjemy algorytmów do próbkowania takiego rozkładu prawdopodobieństwa dla dowolnej wartości β > 0, ich prędkość zbieżności jest określona przez wartości własne macierz przejścia do pożądanego rozkładu prawdopodobieństwa stanu ustalonego maleje wraz ze spadkiem temperatury.

Wynika to z faktu, że łańcuch Markowa jest ergodyczny dla każdej wartości β, ale stopień ergodyczności maleje jako β wzrasta, ponieważ ruch w dół staje się mniej prawdopodobny i dlatego łatwiej jest utknąć w lokalnych minimach H(S) Z drugiej strony, dla małych wartości β występuje szybsza zbieżność, ale wynikowy stały rozkład prawdopodobieństwa jest hałaśliwy z powodu rozkładu masy w wysokich temperaturach.) W tej sekcji, matematycznie poprawne ramy oceny zaufania w zdecentralizowanych sieciach autonomicznych Algorytm wykorzystuje podstawową właściwość polegającą na tym, że jest całkowicie oparty na lokalnych interakcjach między węzłami bez potrzeby centralnej koordynacji. Te lokalne interakcje charakteryzują się kilkoma poziomami losowości, obydwa są nieuniknione ze względu na niepewność co do opinii, że węzły mają swoich sąsiadów i sztucznie wprowadzone przez algorytm w regule głosowania. Wysoki stopień odporności algorytmu sprawia, że ​​nadaje się on do różnych ustawień w sieciach rozproszonych, ponieważ zapewnia, że ​​do pewnego stopnia system jest odporny na nieprawidłowe działanie lub nawet złośliwych użytkowników, którzy próbują zagrozić systemowi. W tej sekcji przedstawiono solidne matematycznie ramy oceny zaufania w przedstawione zdecentralizowane sieci autonomiczne. Algorytm wykorzystuje podstawową właściwość polegającą na tym, że jest całkowicie oparty na lokalnych interakcjach między węzłami, bez potrzeby centralnej koordynacji. Te lokalne interakcje charakteryzują się kilkoma poziomami losowości, z których oba są nieuniknione z powodu niepewności co do opinii węzłów o swoich sąsiadach i sztucznie wprowadzone przez algorytm w regule głosowania. Wysoki stopień niezawodności algorytmu sprawia, że ​​nadaje się on do różnych ustawień w sieciach rozproszonych, ponieważ zapewnia, że ​​do pewnego stopnia system jest odporny na nieprawidłowe działanie, a nawet złośliwych użytkowników, którzy próbują zagrozić systemowi.

Zaufanie jest szeroko interpretowane jako zależność między przekonaniami, w której jednostka jest przekonana, że ​​inny partner będzie działał uczciwie lub zgodnie z jego przeznaczeniem. Jak wskazano większość prac dotyczących zarządzania zaufaniem w literaturze opiera się głównie na heurystyce i symulacji jako metodzie oceny i prawie żadna z nich nie jest wdrażana i testowana w rzeczywistym środowisku. Rozwiązania są często trudne do porównania, nawet na podstawie symulacji, ponieważ często opierają się na różnych hipotezach i są ukierunkowane na różne scenariusze zastosowań. Porównanie różnych metod jest zatem niezwykle trudne do wykonania, głównie z powodu dużego wysiłku symulacyjnego, który byłby wymagany. Modele szkła wirującego, takie jak słynny model Sherringtona-Kirckpatricka, już okazały się niezwykle wszechstronne i cenne w zrozumieniu globalnego zachowania złożonych systemów, takich jak sieci neuronowe, których dynamikę można modelować za pomocą mechaniki statystycznej Isinga o nieskończonym zasięgu. szklanki wirowe. W tej sekcji pokazano, w jaki sposób metody statystyczne mogą być również wykorzystywane do zrozumienia złożonej dynamiki, która wynika z lokalnych interakcji rówieśników w zdecentralizowanych sieciach, zgodnie z pracą Ermona i inych. Rozważmy sieć składającą się z N węzłów, reprezentowaną przez skierowany graf G = (V, E), w którym każda jednostka może komunikować się z pewnym podzbiorem innych węzłów zgodnie z macierzą sąsiedztwa A. Przedstawiony jest rzeczywisty stan wiarygodności każdego węzła i tak jak w przypadku zmiennej bitowej T_i Œ {—1,1}, abyśmy wspólnie opisali stan zaufania sieci za pomocą rzeczywistego wektora zaufania T  {—1,1}^N, przyjmując konwencję

W rzeczywistych warunkach pełny rzeczywisty wektor zaufania T jest nieznany rówieśnikom, a węzły są zwykle w stanie ocenić swoich sąsiadów na podstawie historii ich poprzednich interakcji, które są statystycznie skorelowane z rzeczywistym stan wiarygodności węzłów. Zakłada się, że T nie zmienia się w czasie i jest powiązane z macierzą opinii C R^NxN  za pomocą następującego równania:

C = f (T, w) w (  W)

gdzie:

Ω to przestrzeń próbna

f(·) reprezentuje sposób, w jaki powstają opinie

Każdy element c_ij macierzy opinii C to opinia, którą węzeł i ma na węźle j i zakładamy, że jest on istotny tylko wtedy, gdy i i j są sąsiadami, ponieważ opiera się na historii ich wcześniejszych interakcji. W tym modelu rolą algorytmu zarządzania zaufaniem jest szacowanie T z C, zakładając, że C i postać f(·)  w równaniu są znane. Rolą algorytmu szacowania zaufania jest znalezienie konfiguracji zaufania które szacuje rzeczywisty wektor zaufania T. Podejście zastosowane tutaj polega na poszukiwaniu konfiguracji, która z większym prawdopodobieństwem wygenerowała pewną obserwowaną macierz opinii C, lub innymi słowy, konfigurację zaufania o najwyższym prawdopodobieństwie a posteriori LH (S; ) dowolnej konfiguracji S, biorąc pod uwagę macierz opinii, C jest zilustrowane następującym równaniem:

gdzie:

jest prawdopodobieństwem T z warunkiem

Zgodnie z regułą Bayesa,

gdzie:

p(T) jest prawdopodobieństwem a priori dyskretnej zmiennej losowej T  {-1,1}^N p(C) i p(C|T) są gęstością i gęstością warunkową ciągłej zmiennej losowej C  R^NxN

Przyjrzyjmy się symetrycznemu zachowaniu wiarygodnych i niewiarygodnych węzłów. Jeśli p(T) jest symetryczne, wynikowa funkcja prawdopodobieństwa LH(T;C) staje się symetryczna w T, co jest sytuacją, w której skuteczne rozróżnienie między dwoma rodzajami węzłów byłoby wyraźnie niemożliwe. Dlatego skoncentrujemy się na rozkładach a priori rzeczywistego wektora zaufania p(T), które są niezrównoważone, to znaczy uprzywilejowują obecność jednego rodzaju węzła. Załóżmy, że rozkład prawdopodobieństwa a priori ma rozkład Bernoulliego z parametrem p, mianowicie

p : P(T_i = 1).

Następnie zakładając niezależność, jeśli zdefiniujemy w(T) = |{iIT = 1}|, otrzymamy:

Ponieważ

równanie powyższe staje się

W ten sposób to uzyskaliśmy

gdzie:

γ normalizuje się do rozkładu prawdopodobieństwa

W przypadku, gdy rozkład a piori jest ukierunkowany na węzły godne zaufania lub odwrotnie dla λ = 0 (lub równoważnie p = 0,5), mamy przypadek symetryczny, w którym nie możemy oczekiwać dobrych wyników estymacji. Podsumowując, otrzymujemy:

Dlatego z równania tego można łatwo wywnioskować, że prawdopodobieństwo LH(T;C) konfiguracji T jest proporcjonalne do monotonicznej funkcji rosnącej

gdzie

η = σ²

Dlatego możemy obliczyć oszacowanie maksymalnego prawdopodobieństwa rzeczywistego wektora zaufania, ustawiając i maksymalizując Równanie powyższe dla wszystkich możliwych konfiguracji T. Jest bardzo ważne, ponieważ reprezentuje energię lub hamiltonian konfiguracji S w modelu Isinga w obecności zewnętrznego pola magnetycznego o sile η, które łamie symetrię układu. Potwierdza to w przypadku symetrycznego rozkładu a priori T, czyli p – 0,5, pole magnetyczne zanika i układ staje się całkowicie symetryczny.

Istnieją różne typy poświadczeń zaufania z różnymi wartościami zaufania lub innymi słowy, poświadczenia zaufania w sieci są heterogeniczne. Dobry schemat dystrybucji poświadczeń zaufania powinien uwzględniać taką niejednorodność. Poświadczenia o wysokich wartościach zaufania i dużym znaczeniu powinny mieć wysoki priorytet w transmisji i powinny być odzyskiwane i aktualizowane szybciej niż zwykłe poświadczenia. W tym schemacie poświadczenia o wysokim priorytecie są oddzielnie łączone i również oznaczane. Jeśli węzeł v wykryje poświadczenie o wysokim priorytecie lub poświadczenie o wysokim priorytecie zaktualizowane w czasie t, natychmiast wysyła nowe połączone dokumenty do wszystkich wychodzących krawędzi w następujący sposób:

1. Sprawdź ostatni węzeł dokumentu v przesłany do krawędzi e, oznaczony jako W_e(t’) w czasie t’.
2. Utwórz nowy połączony dokument W_e(t) = aX_H + bW_e(t’), gdzie X_H to poświadczenie o wysokim priorytecie. Węzeł v przesyła natychmiast W_e(t) do krawędzi e.

Z powyższego wynika, że ​​tylko dwa liniowe niezależne wektory współczynników W_e(t’) i X_H są potrzebne do odzyskania X_H zamiast czekać na całe zależne od umysłu wektory współczynników. W związku z tym poświadczenia o wysokim priorytecie mają znacznie większą szansę na odzyskanie i zaktualizowanie. Jeśli w węźle v zostanie znalezionych więcej niż jedno poświadczenie o wysokim priorytecie, dla każdego poświadczenia o wysokim priorytecie zostanie utworzony jeden dokument łączony. Okazuje się, że ten schemat przywraca i aktualizuje poświadczenia o wysokim priorytecie znacznie szybciej niż bez tego schematu. W tej sekcji omówimy schemat dystrybucji dokumentów zaufania w sieciach autonomicznych w oparciu o kodowanie sieciowe. Schemat jest wysoce zdecentralizowany, bez globalnej wymiany informacji i bardzo łatwy do wdrożenia w trybie samoorganizacji. Analiza wyników badania symulacyjnego pokazuje, że schemat jest wydajny i szybko dostosowuje się do zmian w sieci.

W tej sekcji opiszemy liniowe kodowanie sieci , które zapewnia wydajną propagację poświadczeń zaufania i powiązane operacje, które są zdecentralizowane. Kodowanie sieci to nowa dziedzina teorii informacji, której zaproponowano w celu poprawy wykorzystania przepustowości danej topologii sieci. Ahlswede i inni jako pierwsi wprowadzili kodowanie sieciowe. Przedstawmy powierników, którzy są zainteresowani wiarygodnością konkretnego użytkownika zwanego powiernikiem. Poświadczenia zaufania dotyczące powiernika są początkowo przechowywane w rozproszonych węzłach w całej sieci. Węzły te wystawiają poświadczenia zaufania lub pobierają je od innych. Poświadczenia zaufania będą wskazywać tylko jednego powiernika, a wszystkie operacje są stosowane na tych poświadczeniach dotyczących powiernika. Każde poświadczenie zaufania, w postaci dokumentu cyfrowego, ma unikalny identyfikator, który uzyskuje się poprzez zastosowanie funkcji skrótu do dokumentu. W sieciach autonomicznych węzły komunikują się bezpośrednio tylko z niewielkim podzbiorem innych węzłów zwanych sąsiedztwem, a węzły często sprawdzają u swoich sąsiadów nowe poświadczenia. Nowe poświadczenia są przekazywane do węzła, gdy wykryje je w swoim sąsiedztwie. Za każdym razem, gdy węzeł przekazuje dalej poświadczenia zaufania, tworzy liniową kombinację wszystkich poświadczeń, które ma obecnie w pamięci, i połączonych dokumentów, które otrzymał od sąsiadów.

Rozważmy sieć jako graf G = (V, E), gdzie V to zbiór węzłów, a E to zbiór krawędzi. Krawędzie są oznaczone przez e – (v, v’)  E, gdzie v = head(e) i v’ =  tail(e). Zbiór nadchodzących krawędzi jest oznaczony jako I(v) = {e   E: head (e) = v}, a stopień wejściowy v to deg₁(v) =  |I (v)|. Podobnie zbiór  wychodzących krawędzi jest oznaczony jako O(v) = {e  E: tail (e) = v}, a stopień wyjściowy v to deg₀ (v) = |O(v)|. Oznaczmy przez X^v_l ,l= 1, … , h jedno z h poświadczeń, które przechowuje węzeł v, a przez W^v_e’, połączony dokument przesłany do v przez krawędź e’. Rozważ jedną wychodzącą krawędź v, krawędź e. Połączony dokument przesyłany za pośrednictwem łącza e jest zdefiniowany następująco:

Wszystkie te operacje mają miejsce w skończonym polu F_q. Współczynniki a_l,e i b_e’e są wybierane losowo z F_q, a zawartość danych każdego dokumentu zaufania jest reprezentowana przez d elementy z F_q. Wektor współczynnika połączonego dokumentu  W_e jest definiowany jako C_e = [c_e,1, c_e,2r …, c_e,m], gdzie m to całkowita liczba dostępnych poświadczeń zaufania. Zgodnie z równaniem powyzej, współczynnik referencji X^l_v to a_l,e. Załóżmy, że współczynnik referencji X_l’ w połączonym dokumencie W^e_v wynosi c_e’l Wtedy mamy to

Rysunek przedstawia przepływ dokumentów od krawędzi e’ do węzła v i dalej do krawędzi e

Obserwuje się, że mając m różnych dokumentów zaufania, węzeł może je odzyskać po odebraniu m połączonych dokumentów, dla których powiązane wektory współczynników są od siebie liniowo niezależne. Proces rekonstrukcji jest podobny do rozwiązywania równań liniowych. Schemat oparty na kodowaniu sieci obejmuje tylko interakcje lokalne. Węzły nie muszą być świadome istnienia jakichkolwiek poświadczeń zaufania i ich lokalizacji. Kontaktują się tylko z sąsiadami, aby sprawdzić, czy są nowe poświadczenia lub nowe połączone dokumenty. Jest to zaleta w porównaniu z jakimkolwiek schematem żądanie-odpowiedź, takim jak schemat oparty na Freenet [30]. Schematy odpowiedzi na żądania wymagają tablic routingu. Jeśli topologia sieci zmienia się, gdy nowe węzły wchodzą do sieci lub niektóre węzły się przenoszą, tablice routingu należy natychmiast zaktualizować. Schemat kodowania sieci szybko dostosowuje się do zmian topologii, ponieważ węzły kontaktują się tylko ze swoimi obecnymi sąsiadami. Ponadto schematy żądanie-odpowiedź wymagają, aby węzły znały identyfikatory dokumentów przed wysłaniem żądań, co wymaga globalnej wymiany informacji. Schemat kodowania sieciowego działa bez znajomości identyfikatora dokumentu.

Sieci autonomiczne to sieci samoorganizujące się, kontrolowane i zarządzane w sposób zdecentralizowany. Relacje zaufania między sąsiadami są niezbędne, aby zapewnić, że transmitowane wiadomości nie przedostaną się do wroga. Ze względu na mobilność i dynamikę sieci autonomicznych często wymaga aktualizacji wartości zaufania. Ponadto ważność danych uwierzytelniających zaufania zmienia się wraz z upływem czasu oraz warunkami środowiskowymi. W związku z tym ustanawianie i utrzymywanie zaufania w sieciach autonomicznych jest znacznie bardziej dynamicznym problemem niż w tradycyjnych sieciach serwerowych. W sieciach autonomicznych poświadczenia zaufania są zwykle wystawiane i często przechowywane w sposób rozproszony. Scentralizowane zarządzanie zaufaniem, w którym wszystkie poświadczenia są przechowywane w jednej lokalizacji, jest zawodne. W przypadku trybu zdecentralizowanego dystrybucja poświadczeń rodzi wiele interesujących pytań, takich jak najlepsze miejsca do przechowywania danych uwierzytelniających, aby można je było łatwo zlokalizować, dobrze chronić i szybko dostrzec.

Po uzyskaniu przez użytkownika niezbędnych danych uwierzytelniających zaufania dla użytkownika docelowego, stosuje politykę oceny, aby wyciągnąć wnioski dotyczące wiarygodności użytkownika docelowego. Opracowano i przeanalizowano różne zasady. Chociaż wybór odpowiedniego modelu oceny zaufania i uzyskanie poświadczeń do obliczenia zaufania idą w parze, dystrybucja danych uwierzytelniających zaufania jest dość niezależna od konkretnego modelu oceny. Poświadczenia zaufania są wyświetlane jako pliki do udostępnienia w celu zarządzania zaufaniem. Problem dystrybucji danych uwierzytelniających zaufania wywodzi się z wielu cech rozproszonych systemów wymiany plików peer-to-peer (P2P), Jiang i Baras zaproponowali schemat dystrybucji danych uwierzytelniających zaufania, który wykorzystuje metodę liniową  kodowania sieciowego w celu łączenia danych uwierzytelniających podczas transmisji. W proponowanym zdecentralizowanym schemacie zastosowano podejście typu żądanie-odpowiedź, które skutecznie rozwiązuje dynamiczny charakter problemu. Schemat zwany kodowaniem sieciowym został również wykorzystany w udostępnianiu plików P2P. Gkantsidis zaprojektował system wymiany plików P2P o nazwie Avalanche, w którym rówieśnicy pośredniczący tworzą liniowe kombinacje bloków plików, jak w przypadku kodowania sieciowego. Acedanski przeanalizował pamięć masową opartą na losowym kodowaniu liniowym. Różne konteksty zaufania wymagają różnych typów poświadczeń, takich jak certyfikat cyfrowy i zintegrowany system automatycznej identyfikacji odcisków palców (IAFIS). Certyfikat cyfrowy jest wydawany przez urząd certyfikacji lub jednostkę i weryfikuje, czy klucz publiczny jest własnością określonej jednostki. Certyfikaty cyfrowe służą do udaremniania prób zastąpienia klucza jednej osoby innym. Certyfikaty cyfrowe są szeroko stosowane w PGP i X.509. IAFIS używa ludzkich odcisków palców jako tożsamości. Wartość zaufania określa stopień zaufania, jakim wystawca poświadczeń darzy użytkownika docelowego. Wartość może być binarna, zaufana lub nieufna, lub wielowartościowa, na przykład cztery poziomy zaufania do PGP , lub nawet ciągła w przedziale, powiedzmy [-1,1]. Poświadczenia zmieniają się w czasie i przestrzeni. Każdy użytkownik ma wartości zaufania dotyczące przechowywanych danych uwierzytelniających. Wartość ufności zależy od kilku czynników, takich jak czas, jaki upłynął od wydania poświadczenia lub odległość komunikacyjna, jaką poświadczenie zajęło, aby dotrzeć do użytkownika. Gdy wartość ufności jest poniżej określonego progu, odpowiednie poświadczenie uważa się za nieważne.

Teraz rozważamy więcej niż jednego, powiedzmy M, przeciwników jest obecnych w sieci. Zgodnie z założeniami przeciwnicy ci znają się nawzajem i potrafią zmowy, aby maksymalnie zniszczyć schemat głosowania. Podobnie, jak w powyższym argumencie, najgorszą strategią tych przeciwników M jest zawsze głosowanie – 1 na dobre węzły i odwrotnie 1 na innych przeciwników i nigdy nie zmieniają swoich głosów. Zatem w dwuznakach przeciwnicy są modelowani jako stany absorbujące. Załóżmy, że system ocenia dobry węzeł, powiedzmy 0. Załóżmy, że istnieją nagłówki H, a ich głosy w węźle 0 są oznaczone przez vh0 dla dowolnego nagłówka h. Jeśli przyjmiemy, że wykres zaufania jest idealnie regularny w tym sensie, że prawdopodobieństwa absorpcji nagłówków i przeciwników są takie same i są oznaczone jako q , a następnie q(H + M) = 1. Wartość zaufania określa następujące równanie:

co jest takie samo dla wszystkich węzłów oceniających. Następnie należy oszacować wpływ na bezpieczeństwo jako funkcję liczby przeciwników. Zgodnie z regułą progową, węzeł 0 nie jest zaufany, jeśli t < η⁺ i mamy q(S_hvho -M) < h⁺.

Zatem jeśli liczba przeciwników M > (S_hvho – h^*H)/(1+h⁺) = M^* schemat nie jest w stanie ocenić wiarygodności węzła 0. Dlatego M^* jest progiem odporności na atak dla schematu głosowania. W bardziej realistycznym scenariuszu jednostki o niskich wartościach ufności są łatwe do oszukania przez przeciwników. Adwersarze, którzy łączą się z podmiotami o niskim zaufaniu, mają mniejsze prawdopodobieństwo absorpcji, wtedy próg odporności na atak jest w rzeczywistości większy niż M^*, co oznacza, że ​​schemat jest odporny na więcej przeciwników. Argumenty dotyczące wykrywania przeciwników są podobne do oceny, z tym wyjątkiem, że liczba przeciwników jako stanów absorbujących wynosi (M – 1) zamiast M, ponieważ przeciwnik M-ty jest teraz celem oceny. W tej sekcji formalnie zdefiniowano strategię ustanawiania zaufania opartą wyłącznie na lokalnych interakcjach. Wprowadził również nowe pojęcie nagłówków, które pomagają w tworzeniu rozproszonego zaufania. Zachowanie zbieżności schematu wykorzystującego teorię grafów algebraicznych jest badane i interpretowane jako łańcuch Markowa na dwuznaku. Ponadto omówiono wpływ topologii na rozprzestrzenianie zaufania, co wyjaśnia nowy sposób zarządzania siecią. Ponieważ zarządzanie zaufaniem jest ważnym elementem bezpieczeństwa sieci, badane są kwestie dotyczące ustanowienia zaufania w obecności adwersarzy.

W rozproszonym ustanowieniu zaufania przeciwnik bierze również udział w ocenie innych węzłów. Ponieważ stosuje się nieufność w jednym kroku, nikt nie weźmie pod uwagę opinii przeciwnika. Przeciwnik nie może nic zrobić dla oceny zaufania. To właściwie jedna z zalet jednostopniowego modelu nieufności. Jednak w scenariuszu rozproszonym przeciwnik może oszukiwać, aby zdobyć zaufanie niektórych dobrych węzłów; wtedy głosy dostarczone przez przeciwnika są również propagowane w sieci. Celem przeciwników jest maksymalne obniżenie wartości zaufania celu poprzez wybór strategii głosowania i oceny. Zakładamy, że przeciwnik stosuje najgorszą strategię, która minimalizuje wartość zaufania: zawsze głosuje – 1 na dobre węzły i nigdy nie zmienia głosów. Biorąc pod uwagę łańcuch Markowa, przeciwnik korzystający ze strategii najgorszego przypadku jest również modelowany jako nagłówek z vm0 = -1. Rysunek  przedstawia przykład, w którym node1 błędnie ufa złośliwemu węzłowi m z wartością ufności 0,2. Jeśli wartość zaufania jest obliczana przy użyciu równania  T = (Z + Y – C )^-1YB przy

Następnie mamy T = [0,45, 0,60, 0,60] ‘w porównaniu z oryginalnym T = [0,75, 0,75, 0,75]’ bez złośliwego węzła.

Aby ocenić dany węzeł, opinie o zaufaniu rozpoczynają się od węzłów, które mają bezpośrednie relacje zaufania z celem. Opinie te rozprzestrzeniają się po całej sieci i ostatecznie docierają do wszystkich węzłów w sieci. Rozważmy teraz konwergencję systemu, a także zbadajmy rozprzestrzenianie się zaufania, gdy system osiąga stan ustalony. Rozważmy sieć cnotliwą bez przeciwników, w której wszystkie węzły zachowują się racjonalnie, to znaczy wszystkie węzły stosują się do wstępnie zaprojektowanej reguły oceny, a ten przypadek skutkuje C⁺ = C. Analiza przedstawiona poniżej pokazuje, że zaufania nie można ustanowić za pomocą prostej reguły głosowania. Zdefiniuj macierz M = Z^-1C. Następnie równanie 8.6 aktualizacji stanu można zapisać w następujący sposób:

T(t) = MT(t-1) = M^TT(0)

M można postrzegać jako ważoną macierz sąsiedztwa wykresu zaufania. Konieczne jest sprawdzenie, czy M jest matrycą stochastyczną. Macierz nazywana jest macierzą stochastyczną, jeśli suma elementów każdego wiersza wynosi 1. Ponieważ M jest macierzą stochastyczną, największa wartość własna Mis 1. Mówi się, że graf zaufania jest silnie połączony, jeśli do każdego węzła można dotrzeć z każdego innego węzła podążającego za kierunkiem krawędzi. Można wykazać, że wykres, którego (ważona) macierz sąsiedztwa jest M, jest silnie powiązany wtedy i tylko wtedy, gdy macierz jest błędnie nieredukowalna. Niech wektor wierszowy π będzie lewym wektorem własnym (wektorem wierszowym) odpowiadającym wartości własnej 1 z |π| = 1, a następnie πM = π. Można to udowodnić przez ergodyczność, która mówi

Zatem i, 1 ≤ i  ≤ N -1

Ponieważ t_i0 jest niezależne od i, każdy węzeł osiąga tę samą wartość zaufania w stanie ustalonym. Jak widać, wartości zaufania zależą wyłącznie od początkowego wektora zaufania T (0). Jeśli węzeł jest na początku zaufany przez dużą część węzłów w sieci, jego wartości zaufania są wysokie w stanie ustalonym. Jednak w sieciach rozproszonych początkowo tylko niewielka liczba węzłów ma bezpośrednie relacje zaufania z celem, to znaczy T (0) jest rzadki i zawiera kilka niezerowych wpisów. Ponadto wpisy n są zwykle małe, gdy N jest duże. Na przykład rozważmy wykres regularny / c, na którym wszystkie łuki mają wartość ufności 1. Następnie lewy wektor własny p = [1 /(N -1), …, 1 /N -1)]^¢ Ponieważ wykres zaufania jest rzadki, k << N, mamy

t_i0 = k /N – 1 << 1

Wynik wskazuje, że nawet w sieci, w której wartości ufności wszystkich sąsiadów są równe 1, wartości zaufania w stanie ustalonym są bardzo małe, to znaczy bliskie 0. W związku z tym, zgodnie z prostą regułą głosowania, ustanowienie zaufania jest prawie niemożliwe, nawet jeśli wszystkie wartości głosów to 1. W celu przezwyciężenia tego problemu wprowadza się nagłówki, które są wstępnie zaufanymi podmiotami o wartości zaufania 1. Jednostkę można uznać za nagłówek tylko wtedy, gdy udowodniono, że jest niezawodna i odporna na ataki. Zdefiniujmy liczbę nagłówków i, którym ufam, jako y_i, a średnią algebraiczną głosów dostarczonych przez te y_i, nagłówki dla węzła 0 jako b_i Niech macierz Y = diag[y₁….y_N-1] i wektor B = [b1…b_N-1]. A później aktualizacja reguły w Równaniu  zmienia się na

Jeśli wykres zaufania jest silnie powiązany, to znaczy C jest nieredukowalny, wektor zaufania zbiega się do unikalnego wektora zaufania z

T = (Z + Y – C)^-1YB

Wiarygodność węzła 0 jest funkcją liczby nagłówków i ich głosów. Aby zwiększyć swoje wartości zaufania, aby były powyżej progu η⁺, węzeł 0 musi uzyskać większe zaufanie z nagłówków. Co ciekawsze, schemat głosowania można interpretować jako łańcuch Markowa na ważonym, ukierunkowanym wykresie. Każdy węzeł jest stanem w łańcuchu Markowa z macierzą przejścia M; załóżmy, że rozważamy wartość zaufania t_i0, łańcuch Markowa zaczyna się od stanu i i wybiera następny stan zgodnie z macierzą przejścia. Zdefiniuj p^τ_ij jako prawdopodobieństwo, że łańcuch Markowa znajduje się w węźle j w czasie τ. Następnie tymczasowa wartość zaufania reprezentuje oczekiwaną wartość zaufania w bieżącym czasie, co jest prawdopodobieństwem, że łańcuch Markowa znajduje się w węźle j w czasie τ. Wówczas tymczasowa wartość zaufania reprezentuje oczekiwaną wartość zaufania w bieżącym czasie, czyli

Z macierzy przejść nagłówki w rzeczywistości absorbują stany w łańcuchu Markowa, które nie mają łącza wychodzącego. Następnie poprzedni wykres zaufania przedstawiony na rysunku wcześniejszym można zmodyfikować tak, aby przedstawiał ocenę węzła 0 jako łańcucha Markowa, jak pokazano na rysunku.

Łańcuch Markowa ostatecznie zatrzyma się w jednym z absorbujących stanów. Załóżmy, że prawdopodobieństwo zatrzymania się w nagłówku h zaczynając od i wynosi q_ih, a wartość zaufania h na węźle 0 wynosi v_h0. Następnie ostateczną wartość zaufania nadaje

Łańcuch Markowa można postrzegać jako przypadkowy spacer po dwuznakach. Załóżmy, że agent mobilny porusza się po digrafie zgodnie z macierzą przejścia. Jako następny przeskok wybiera sąsiada o wysokim prawdopodobieństwie przejścia. Prawdopodobieństwa przejścia zależą od wartości ufności. Dlatego agent mobilny ma tendencję do odwiedzania węzłów, które są silnie połączone i mają wysokie wartości ufności. Tak więc oczekiwane wartości zaufania mają większe znaczenie dla wysoce połączonych i wysoce zaufanych węzłów, które zwykle dostarczają stosunkowo dokładnych informacji.

Przedstawiamy prostą regułę oceny zwana prostą regułą głosowania do oceny wartości ufności. Załóżmy, że bezpośrednie wartości ufności są stałe, to znaczy za każdym razem τ ≥  0, c_it(τ) = c_ik, i nie zawsze jest to prawdą, ponieważ węzły zawsze są skłonne dostosować swoje opinie w oparciu o nowe informacje. Ta sekcja dotyczy konwergencji zasad oceny. Zmieniając wartości głosów, czas konwergencji będzie się różnił, ale ostatecznie wartość zaufania zbiegnie się do tego samego stanu ustalonego, biorąc pod uwagę, że opinie zostaną ostatecznie ustalone. t_ij(t) jest używane jako wartość zaufania i na j w czasie t .Wtedy

gdzie

ponieważ brane są pod uwagę tylko opinie sąsiadów o pozytywnym przekonaniu, i

W regule głosowania węzeł k, sąsiad i, głosuje na cel j z bieżącą wartością zaufania, jaką ma t_kj(τ – 1) Węzeł i łączy wszystkie te głosy za pomocą średniej ważonej, gdzie wagi są równe bezpośrednim wartościom ufności i dla jego sąsiadów. Zwróć uwagę, że obliczenie f, y jest niezależne od wartości zaufania w innych węzłach. Jedyne wartości, które mają znaczenie, to wartości zaufania dotyczące j i bezpośrednie wartości zaufania. Oceńmy zaufanie w konkretnym węźle, powiedzmy na węźle 0. Zdefiniujmy macierz (N – 1) x (N – 1), c⁺⁰ = {c_tj^*}, i, j = 1 … N-1 i wektor zaufania na 0 jako T⁽⁰⁾ = [t₁₀, t₂₀ … ,t_(N-i)0] – Następnie przepisuje się pierwsze równanie  w formacie macierzowym w następujący sposób:

gdzie:

Z(0) = diag [z₁, …, z_N-1].

Powyższe równanie działa również dla oceny w innych węzłach. Równanie można wykorzystać, pomijając indeks 0, jak poniżej:

Gdy τ stanie się duży, wektor zaufania zbiegnie się do stanu ustalonego, który decyduje o wartościach zaufania w celu. Niech t_i0 = lim_τ→∞ t_i0(τ), oznacza wartość zaufania i na 0 w stanie ustalonym. Wartości zaufania w stanie ustalonym nazywane są ostatecznymi wartościami zaufania, a te w dowolnym momencie przed konwergencją nazywane są tymczasowymi wartościami zaufania. Do ostatecznych wartości zaufania stosuje się regułę progową. Reguła progowa jest definiowana za pomocą parametrów η^– i  η⁺ w taki sposób, że wartość zaufania jest neutralna między η^– i  η⁺, podczas gdy warunek zaufania przeważa, gdy 1> wartość zaufania >  η⁺, a warunek braku zaufania występuje, gdy η^–   < wartość zaufania <-1.