Luottamuksesta ja politiikoista

Transkriptio

1 hyväksymispäivä arvosana arvostelija Luottamuksesta ja politiikoista Marko Saaresto Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

2 HELSINGIN YLIOPISTO HELSINGFORS UNIVERSITET UNIVERSITY OF HELSINKI Tiedekunta/Osasto Fakultet/Sektion Faculty Laitos Institution Department Tekijä Författare Author Marko Saaresto Työn nimi Arbetets titel Title Luottamuksesta ja politiikoista Oppiaine Läroämne Subject Työn laji Arbetets art Level Aika Datum Month and year Sivumäärä Sidoantal Number of pages Tiivistelmä Referat Abstract sivua Automatisoitu luottamuksen hallinta on ollut tutkimuksen kohteena jo vuosikymmenen. Tänä aikana on kehitetty useita erilaisia lähestymistapoja luottamuksen määrittelemiseen ja mallintamiseen, politiikkojen koneelliseen kuvaamiseen sekä hajautettuun täytäntöönpanoon. Verkottuneiden järjestelmien arkipäiväistyminen ja organisaatioiden toimintojen ohjauksen automatisoituminen ovat luoneet tarpeen kyetä edistämään ja valvomaan jokapäiväisten käytäntöjen noudattamista. Luottamuksenhallintaa peräänkuulutetaan hyvin erilaisissa käyttökohteissa, logistiikasta verkkojen reititykseen. Tämä seminaaritutkielma tarkastelee luottamuksenhallinnan motivaatiota, peruskäsitteistöä sekä joitakin esitettyjä ratkaisumalleja. Avainsanat Nyckelord Keywords turvallisuus, luottamus, hallintajärjestelmä, automatisointi Säilytyspaikka Förvaringsställe Where deposited Muita tietoja övriga uppgifter Additional information

3 Sisältö ii 1 Johdanto 1 2 Käsitteistön rakentaminen Luottamuspäätös Politiikka Identiteetti ja tunnisteet Motivaatio Organisaatiologistiikka Verkottuneet järjestelmät Luottamuksen dynaamisuus Inhimillinen tekijä Luottamuksen hallinta Formaali mallintaminen Esimerkki: Pretty Good Privacy Esimerkki: PolicyMaker Esimerkki: eräs kehys politiikanhallinnalle Yhteenveto 10 Lähteet 10

4 1 Johdanto 1 Luottamus on viime vuosina noussut kuumaksi tietojenkäsittelytieteen ja ATKjärjestelmien saralla. Markkinoinnissa käytetään termejä luottamus, luotettava laskenta (trusted computing) sekä luottettavuus (trustworthy) jotka koitetaan liittää merkityksiksi tuotteen laadusta ja sen valmistajan työn huolellisuudesta. Käsitettä hämmennetään myös käyttämällä sitä kuvaamaan salausta, tunkeutumisen estoa tai digitaalisten teosten käyttöoikeusrajoittimia. Luottamusta pyritään hyödyntämään niin maksutapahtumissa kuin verkkoreitityksessäkin [NL04]. Intuitiivisesti luottamus on kvalitatiivinen henkilöiden välinen ominaisuus [Ess97]. Se on ennakkokäsitys, usko, ennuste siitä miten luottamuksen kohde selviytyy jostakin hälle uskotusta tehtävästä. Luottamus voi kohdistua henkilön lisäksi muihinkin asioihin kuten johonkin organisaatioon, palveluun tai koneeseen. Tietokoneiden yleistyessä toiminnanohjauksen automatisoinnissa onkin herättänyt kysymyksen miten määritellä pelisäännöt ja delegoida luottamuksen arviointi ihmiseltä koneelle. Tutkielman toisessa luvussa määritellään luottamuksenhallinnan peruskäsitteistöä ja piirteitä. Kolmannessa luvussa tarkastellaan motivaatiota luottamuksenhallinnan automatisoinniksi sekä joitakin sen käsitteellisiä rajoitteita. Neljännessä luvussa käsitellään luottamushallintajärjestelmän toteuttamiseen liittyviä ongelmia, sekä esitellään muutama erilainen lähestymistapa. Viides luku tarjoaa yhteenvedon ja johtopäätökset tutkielman sisällöstä. 2 Käsitteistön rakentaminen Lähtökohtaisesti luottamusta ei tarvita sellaista tahoa kohtaan joka ei muodosta riskiä aiotulle toiminnalle. Esimerkiksi käytettäessä vahvaa salausta ja autentikointia ei tarvitse luottaa yhteydentarjoajan olevan salakuuntelematta liikennettä koska tämä on käytännössä kykenemätön murtamaan viestien luottamuksellisuuden. Luottamusta tarvitaankin vain kun jokin osapuoli on kykenevä murtamaan suojauksen tai aiheuttamaan toiminnon epäonnistumisen. Tässä luvussa käsitellään luottamuksen yleisiä piirteitä sitomatta niitä vielä voimakkaasti toteutuskysymyksiin. Luottamusjärjestelmiä ja politiikkoja voidaan tunnistaa monissa olemassaolevissa organisaatioissa. Luvussa 3 keskustellaan tarkemmin piirteiden tunnistamisesta ja niiden mahdollistamasta mallintamisesta.

5 2 luottaa luottaa A B C A luottaa C:hen luottaa luottaa A B C A ja C eivät luota toisiinsa Kuva 1: Ensimmäisessä A luottaa C:hen välillisesti B:n kautta. Jälkimmäisessä A ei luota C:hen. 2.1 Luottamuspäätös Luottamus on subjektiivinen käsite jossa jokin taho arvioi toisen kykenevyyttä ja halua suorittaa jokin toimenpide. Suhteessa on siis aina luottaja ja luotettu [Ess97]. Esimerkiksi ajokortti on osoitus yhteiskunnan luottamuksesta (lisenssi) henkilön kykyyn hallita ajoneuvoa. Lisenssi on osoitus luottamussuhteen olemassaolosta, joka tarvitaan suojatun toiminnon suorittamiseen (kuten autolla ajoon). Luottamussuhteet voivat olla vaihtelevan kestoisia: lupa auton ajamiseen on pitkäkestoinen, henkilöllisyys käteistä nostettaessa puolestaan hyvin lyhyt. Tapahtumaa missä luottaja arvioi kohteen luotettavuutta jossakin tehtävässä kutsutaan luottamuspäätökseksi (trust decision [Ess97]. Luottamuspäätös on totuusarvoinen funktio luotettavuuteen vaikuttavista asioista. Yksinkertaisimmillaan tämä tarkoittaa olemassaolevien luottamussuhteiden suunnatun verkon läpikäyntiä, etsien polkua luottajasta luotettavaan (kuva 1) [Wee01]. Pitkäikäisten luottamussuhteiden verkko voi kuitenkin muuttua ajan myötä, jonka takia yksittäiseen toimenpiteeseen oikeuttava luottamuspäätös tulee evaluoida aina erikseen. Positiivinen luottamuspäätös muodostaa luvan toiminnon, esimerkiksi tiedoston kirjoittamisen suorittamiseen. Päätös on tällöin lisenssi luottajalta luotettavalle [Wee01]

6 3 tietyn toiminnon suorittamiseen joko kertaluonteisesti tai jollekin ajanjaksolle (24h, sessio, kolme kertaa), riippuen kohteesta ja luottamusjärjestelmästä. Toiminto itsessään voidaan jakaa operaatioksi (kirjoittaminen) ja toiminnan kohteeksi (tiedosto). Luottamuspäätökseen vaikuttavia asioita voi olla monia, osa pysyviä, osa hetkellisiä - luottamusjärjestelmästä riippuen. Mikäli päätökseen vaikuttavat tekijät, sitä vaativat operaatiot tai luottamuksen osapuolet vaihtelevat riittävästi voi luottamuksen kuvaaminen staattisesti muodostua hyvin monimutkaiseksi [Ess97]. Päätösjärjestelmistä ja niiden malleista keskustellaan tarkemmin jäljempänä (kappale 3). 2.2 Politiikka Politiikka on yleisen tason käsite kuvaamaan käytäntöä jota järjestelmässä tulee noudattaa sen toimivuuden takaamiseksi [Ess97]. Politiikkoja ovat esimerkiksi vaatimus ajokortista autoa ajavilta, käytäntö miten hakemuksia tulee käsitellä tai lista ihmisistä joilla on oikeus tehdä hankintoja. Politiikat voivat määritellä ehtoja milloin tiettyjä toimenpiteitä voidaan suorittaa tai on välttämätöntä suorittaa. Ne voivat myös ottaa kantaa minkä tai kenenkä on sallittua olla suorittajana. Esimerkiksi: Kaikki projektipäälliköt voivat tehdä hankintoja enintään 200 eurolla kuussa. Hankinnat tulee hyväksyttää taloudenhoitajalla kahden viikon kuluessa. Ylläolevasta politiikasta voidaan suoraan johtaa luottamussuhde yrityksen ja projektipäälliköiden välille. Se osoittaa kuitenkin myös muuttujan (käyttöraja) jota ei voida tarkastella staattisessa luottamusverkossa. Mikäli yrityksessä on mahdollista tehdä luottamuspäätöksiä hankinnoista ennen niiden tapahtumista, pitäisi päätöksissä ottaa huomioon kuluvan kuukauden toteutuneet hankintamenot. Politiikat ovat ennalta sovittuja tai määrättyjä menettelytapoja. Joissakin tapauksissa ne voivat pohjautua koko järjestelmää sitoviin ulkopuolisiin politiikkoihin kuten vaikkapa lainsäädäntöön. 2.3 Identiteetti ja tunnisteet Koska luottamuspäätöksestä seuraava lisenssi on aina jonkin tahon toiselle myöntämä on tärkeää kyetä varmistumaan osapuolten identiteetistä, erityisesti jos jonkin

7 4 kolmannen osapuolen tulee varmistua päätöksen autenttisuudesta. Tietojärjestelmissä päätöksen varmenne voi olla esimerkiksi lipuke (ticket). Järjestelmissä missä on hankalaa tuottaa tapauskohtaisia luottamuspäätöksiä on käytännöllistä osoittaa laajat identiteettiin sidotut oikeudet. Monissa arkipäivän tilanteissa tämä tarkoittaa henkilöllisyyden varmentamista esimerkiksi luottokortilla maksaessa. Luotetun pitää toki kyetä osoittamaan että lipuke on myönnetty juuri hänelle. Identiteetin osoittaminen, lipukkeet, salaus- ja allekirjoitusmenetelmät jms. ovat tieteenhaara johon automatisoitu luottamusjärjestelmä nojaa vahvasti [Ess97]. Identiteetti ei välttämättä ole pelkästään yksilöivä vaan vois myös kuvata kohteen suhdetta muuhun organisaatioon (ryhmä X:n jäsen, isopomo tms.). Tässä tutkielmassa identiteetinhallinta ja varmentaminen oletetaan itsestäänselvyytenä: muualla ratkaistuna ja toteutettuna kenttänä. 3 Motivaatio Motivaatio automatisoiduille luottamusjärjestelmille on syntynyt tietotekniikan ja - verkkojen yleistymisen luomista niin haasteista kuin mahdollisuuksistakin. Haasteena on monimutkaistuvan, sulautuvan, liikkuvan ja laajasti verkottuvan laiteympäristön käytön hallinta [BFL96]. Ihmislähtöiset politiikat tulee voida pitää voimassa myös sähköisessä kanssakäymisessä. Mahdollisuutena ovat puolestaan politiikkojen täytäntöönpanon, hienojakoisuuden, ajantasaisuuden sekä valvonnan tehostaminen [Ess97]. 3.1 Organisaatiologistiikka Monilla organisaatioilla on kirjattuna ja toteutettuna laaja kokoelma toimintaa ohjaavia ja säänteleviä poltitiikkoja. Joissakin ympäristöissä kuten teollisuudessa ja terveydenhoidossa näiden politiikkojen noudattamisella voi olla keskeinen rooli työntekijöiden ja asiakkaiden terveyden kannalta [Ess97]. Finanssilaitoksissa puolestaan politiikat pyrkivät mm. estämään väärinkäytöksiä sekä takaamaan tasapuolisen ja luottamuksellisen asioinnin [BFL96]. Organisaatioiden politiikat voivat ottaa kantaa mm. siihen kuka henkilö on oikeutettu tekemään rahasiirron, päättämään hoidosta tai säätämään laitteistoa. Toisin sanoen kenen luotetaan vastaavan mistäkin toimesta. Osan käytännöistä työntekijät kykenevät omaksumaan osana päivärutiiniaan mutta joissakin tapauksissa päätös

8 5 voi vaatia taustatietojen, kuten vaikkapa osakeomistuksen, tarkastelua eturistiriidan tms. huomioimiseksi. Politiikat voivat myös tarjota kehyksen arvioida eri vaihtoehtojen paremmuutta sekä luotettavuuttaa. [Ess97] Organisaatioiden kattavastakaan politiikkajärjestelystä ei ole hyötyä mikäli jäsenet eivät tiedosta, ymmärrä tai muusta syystä sitä noudata. Tässä suhteessa politiikkojen käsittely sekä luottamuspäätösten tekeminen - tai siinä avustaminen (ks. kappale 3.4) - voivat tehostua automatisoinnin myötä. Automatisointi ja digitaalinen käsittely vaativat politiikkojen formalisointia, mikä omalta osaltaa voi edesauttaa koko järjestelmän tarkempaa analysointia ja tehostamista. [Ess97] 3.2 Verkottuneet järjestelmät Verkottuneet ja liikkuvat järjestelmät aiheuttavat uusia haasteita turvallisuudelle ja sitä kautta myös luottamusjärjestelmille. Käyttöympäristön muuttuessa (liikkuvuus) sekä kanssakäymisessä ulkopuolisiin järjestelmiin (organisaatioiden väliset rajapinnat) käyttäjän ja hänen laitteensa voivat joutua tekemään luottamuspäätöksiä ja politiikkatulkintoja paikallisesti. Esimerkiksi tietoturva- ja käyttöpolitiikan ylläpitäminen hajautetussa järjestelmässä jossa ei ole käytännöllistä omata yhtä keskitettyä auktoriteettiä on ongelma. Tietoturvapolitiikan ylläpitäminen hajautetusti, jota tarvitaan mm. hajautetuissa palomuureissa, onkin ollut yksi motivaattori luottamusjärjestelmien synnyssä. Hajautetuissa järjestelmissä pääsylistat ovat hankalasti ylläpidettäviä rakenteita, erityisesti organisaatioden rajapinnoissa ja leikkauksissa. Politiikkoja kuvaamaan on kehitetty järjestelmiä ja kieliä jotka ovat myös jossain määrin yleiskäyttöisempiä. [BFIK99] 3.3 Luottamuksen dynaamisuus Joissakin tapauksissa luottamuspäätökseen tulee ottaa huomioon tapauskohtaisia tilanne- ja asiayhteystekijöitä jotka voivat vaikuttaa luotettavien tahojen arviointiin. Esimerkiksi historiatieto aiemmasta politiikan noudattamisesta sekä suoriutumisesta voi vaikuttaa arvioon toimijan luotettavuudesta johonkin tiettyyn tehtävään. Luottamukseen voidaan laskea mukaan tapauskohtaisia riskejä ja kustannusfuktioita mikä voi johtaa jonkin tietyn toimintatavan valitsemiseen (ks. kappale 4.4). Tällöin ennen varsinaista luottamuspäätös tehdään eri käytäntö- ja luotettu-vaihtoehtojen

9 6 arviointi ja vertailu. Mitä hienojakoisemmaksi ja enemmän asioita huomioonottavaksi luottamus- tai politiikkajärjestelmä voidaan rakentaa, sitä enemmän samaa tapausta ja luotettavaa tapausta koskevan päätöksen tulos voi vaihdella. Jäljempänä esiteltävässä Essinin käsitemallissa politiikoilla voi olla sisäinen tila joka johtaa siihen että luottamuspäätös voi tuottaa identtisellä syötteellä aiemmasta poikkeavan tuloksen. 3.4 Inhimillinen tekijä Automatisoitujen luottamusjärjestelmistä on hyvä ymmärtää niiden rajallisuus. Koska on mahdotonta ennakoida kaikkia eri tekijöitä politiikkojen laadinnassa pitää tietyissä tilanteissa sallia ihmisen oman harkinnan ohittaa järjestelmän tarjoama päätös. Esimerkiksi juuri terveydenhuollossa ihmisharkinnan tulee tarvittaessa ohittaa luottamusjärjestelmän päätelmät. Järjestelmää ei siis pidä toteuttaa niin että se haittaa toimintaa tai on jopa vaaraksi ollessaan väärässä. Yksi ongelma politiikkojen käytössä on se että niitä noudattavien henkilöiden tulee tuntea ja muistaa ne. Mikäli politiikat ovat kansiollinen paperia ihminen voi hyvin olla tiedostamatta monia harvemmin kohtaamiaan politiikkoja. Luottamusjärjestelmä voi kuitenkin edesauttaa politiikkojen omaksumista muistuttamalla organisaation jäseniä mikä olisi politiikan mukaan oikea toimintatapa sekä esittämällä kulloinkin aktivoituvat politiikat ja niiden seuraukset selkeästi. 4 Luottamuksen hallinta Luottamus- ja politiikkajärjestelmän toteuttaminen koneellisesti on ollut tutkimuksen aiheena ainakin jo vuosikymmenen. Luottamusrakenteet ja niiden vaatimukset vaihtelevat kuitenkin suuresti organisaatioiden välillä, mikä hankaloittaa yleisenpätevän luottamusjärjestelmän laatimista. Sovellusalakohtaiset järjestelmät puolestaan ovat ongelma yhteensopivuuden kannalta. 4.1 Formaali mallintaminen Politiikat laaditaan tyypillisesti luonnollisen kielen muotoon koska ne ovat tarkoitettu ihmisten ymmärrettäviksi ja sovellettaviksi. Politiikkojen koneellinen valvonta

10 7 ja soveltaminen vaativat kuitenkin että niiden sisältö pyritään jollakin tapaa formalisoimaan. Formaalin mallin pohjalta on helpompaa arvioida politiikkojen välisiä kytköksiä ja vaikutuksia jolloin voidaan tunnistaa muuten vaikeasti havaittavia ristiriitoja tai muita ongelmia. [Ess97]. Formaalin mallin on vastattava luonnollisen sisältöä, mikä voi johtaa kaksisuuntaiseen muunnosprosessiin. Ensinnäkin politiikat on helpointa laatia luonnollisella kielellä jonka pohjalta ne voidaan formalisoida. Politiikan formaalin esityksen ja luottamuspäätöksen perusteista puolestaan voisi olla mahdollista tuottaa luonnollisen oloinen esitys järjestelmän käyttäjille. Vastaavasti mikäli formaali esitys on tarpeaksi selkolukuinen tavalliselle ihmiselle voidaan sitä käyttää politiikan esittämiseen. Luottamusjärjestelmien formaali mallintaminen puolestaan mahdollistaa niiden toimintaperiaatteiden varmentamisen. Matemaattisesti mallinnettuja luottamusjärjestelmiä on helpompi verrata keskenään mm. argumentoidessa parannuksista. Formaali mallintaminen saattaa myös mahdollistaa politiikkojen optimoimisen se. alkuperäinen joukko politiikkoja voidaan kuvata pienemmällä määrällä helpommin ymmärrettäviä politiikkoja. [Wee01] 4.2 Esimerkki: Pretty Good Privacy Pretty Good Privacy (PGP) on varhainen yksinkertainen hajautettu luottamusjärjestelmä. Se ei varsinaisesti ole tarkoitettu luottamuksen hallintaan vaan sähköpostiliikenteen salaamiseen ja sähköiseen allekirjoittamiseen. Sen tapa hajauttaa avainten hallinta johti käsitteen luottamusverkko (web of trust) syntyyn. Luottamusverkko muodostuu käyttäjistä jotka allekirjoittavat sähköisesti vakuutuksen että heidän jokin tietty avain kuuluu tietylle identiteetille. Arvioitaessa allekirjoituksen oikeellisuutta keskinäisistä vakuutuksista muodostuvaa verkkoa käydään läpi etsien polkua jota kautta avain voidaan todentaa. Luottamus tässä yhteydessä tarkoittaa siis ainoastaan uskomusta siitä että tiettyä avainta käyttää vain ja ainoastaan tietty henkilö tai taho. Tämä implikoi myös luottamusta että kyseinen taho pitää avaimensa salaisena. Järjestelmän politiikka on siis täysin implisiittinen ja ainoa luottamusta vaativa toiminto on identiteetin varmistaminen.

11 8 4.3 Esimerkki: PolicyMaker PolicyMaker [BFL96] oli yksi ensimmäisiä esitettyjä järjestelmiä luottamuksen hallintaan johon liittyvästä tutkimuksesta poiki myös Internet-standardin KeyNote - politiikankuvauskielestä [BFIK99]. Järjestelmän esittelevässä artikkelissaan Matt Blaze tutkimusryhmineen tunnistavat luottamuksen hallinnan erilliseksi ongelmaalueeksi. Artikkelissaan he perustelevat tarvetta yhtenäiselle, sovellusriippumattomalle luottamusjärjestelmälle joka implisiittisten ja järjestelmään upotettujen sääntöjen sijaan käsittelisi erillisellä kuvauskiellä esitettyjä politiikkoja. PolicyMaker-lähetymistavassa pyrittiin erottamaan politiikkojen ja luottamuksen hallinta varsinaisista sovellusohjelmista. Tällöin politiikat voisivat ulottua yli sovellusrajojen ja niitä voitaisiin käsitellä erillisesti ja joustavammin. PolicyMakerin hajautettu rakenne perustui väitteelle että järjestelmä jossa on keskitetty monoliittinen luottamusauktoriteetti ei skaalaudu tehokkaasti pienen yhteisön yli. Tämän takia järjestelmässä jokainen laite kykenee tekemään luottamuspäätöksen paikallisesti, tarpeen mukaan konsultoiden muita tahoja verkon ylitse esimerkiksi varmisteiden käsittelemiseksi. PolicyMaker ei ota suoraan kantaa jonkin tahon luotettavuuden arviointiin: jokin auktoriteetti joko luottaa tutkittavaan kohteeseen kysytyssä toiminnossa tai ei. Vaikka kyseinen piirre olisi toteutettavissa käyttäen järjestelmään upotettavilla aliohjelmilla ei luotettavuuden arvioimista ilmeisesti vielä tutkittu tuossa vaiheessa. 4.4 Esimerkki: eräs kehys politiikanhallinnalle Daniel Essin on esittänyt artikkelissaan Patterns of Trust and Policy käsitteellisen mallin luottamukselle ja politiikoille. Pohjimmiltaan ajatus on sama kuin PolicyMakerjärjestelmässä mutta käsitteitä on laajennettu ja tarkennettu. Essinin mallissa luottamuspäätökseen liittyy useita muuttujia: asiayhteys tai tilanne jossa toiminta suoritetaan, luotettava taho jonka luotettavuutta arvioidaan, toiminto joka on tarkoitus suorittaa, kohteet joihin toiminta voi vaikuttaa, arvo joka liitetään kohteeseen kyseisessä asiayhteydessä,

12 9 tuotot ja riskit jotka liittyvät kysytyn kaltaisiin toimiin, kyky tai osaaminen mitä luotettavalla on kohteeseen ja toimintoon liittyen, maine joka luotettavalla on kyseisees toimintaan liittyen, varmuus luotettavan identiteetistä sekä panos joka luotettavalla on kiinni toiminnan kohteessa ja asiayhteydess. Luottamusfunktion syötteistä osa on haastavia käsiteltäviä. Esimerkiksi arvo, kyky ja panos ovat monissa tapauksissa varsin kvalitatiivisia piirteitä. Maine puolestaan vaatii historiatiedon keräämistä, tarkastelua ja kvantifiointia [TB04]. Koska Essin tarjoaa vain käsitemallia, jää näiden tekijöiden ratkaiseminen muun tutkimuksen tehtäväksi. Essinin käsitemallia perustellaan pääosin sairaaloiden logistiikan tukemisesta. Tässä ympäristössä on tarve osoittaa tehtäviä nopeasti ja joustavasti joukolle työntekijöitä. Valinnassa painaa erityisen paljon taustatieto potilaasta, työntekijän osaamisesta, onnistumishistoriasta, toimenpiteen vaativuudesta, riskeistä jms. Miten varsinainen luotettavuuspäätös (kyllä/ei) näistä tiedoista on Essinin mukaan sovellusaluekohtaista. Essinin mallissa politiikat ovat tietorakenteita jotka sisältävät ohjelmistokomponentin (executable policy component) itse politiikan logiikan kuvaamiseen. Politiikalla voi olla aktivointiehtoja, liipaisimia, esittelyt päätökseen tarvittavista tiedoista ja monia muita ominaisuuksia [Ess97]. Tässä suhteessa malli on huomattavasti kehittyneempi kuin esimerkiksi PolicyMaker [BFL96] koska järjestelmällä ylläpitää tarkempaa semantiikkaa politiikkoihin liittyen. Mallissa politiikat järjestyvät keskinäisten riippuvuuksien myötä verkoksi. Essinin mukaan onkin tärkeää varmistaa että tällaiseen verkkoon ei synny kehäriippuvuuksia: vaikka kehät olisi helppo havaita suoritusaikaisesti kielivät ne kuitenkin virheestä politiikkojen laatimisessa. Sallimalla politiikkojen sisältää muistilla varustettuja logiikkakomponentteja, jotka voivat lisäksi perustaa uusia politiikkariippuvuuksia, eheyden tarkistaminen voi olla vaikeaa. Essinin käsitemallissa keskeistä on myös ajatus takaisinkytkennästä: järjestelmä seuraa miten politiikkoja on noudatettu ja mikä on ollut toimintojen lopputulos. Tällainen kytkentä tukee osittain myös mainejärjestelmän tarpeita. Tutkimalla toteutumia on mahdollista joko automaattisesti tai manuaalisesti muokata politiikkoja

13 toimivammiksi. Toteumat voivat myös hälyttää toimimattomista, haitallisista tai jopa vaarallisista politiikoista Yhteenveto Luottamuksenhallintajärjestelmät ovat aktiivinen tutkimusalue tietojenkäsittelytieteessä. Luottamusta - sen perustamista ja arviointia - tarvitaan monella eri osaalueella poistamaan epävarmuutta tai parantamaan kykyä valita eri vaihtoehdoista. Luottamuksen kysynnästä syntyy kysymys voisiko eri sovellusalueiden tai jopa yksittäisten sovellusten hallintamenetelmiä yhtenäistää. Eri alueiden tarpeita luottamuksen hallinnalle tuskin on tarkoituksenmukaista koittaakaan sulauttaa yhdeksi kokonaisuudeksi sovellusalueiden tarpeiden erilaisuuksien takia. Integraation sijaan voisi olla hyödyllistä tutkia yleistä semantiikkaa luottamuksen sekä politiikkojen ilmaisuun luottamusjärjestelmien suunnittelemisen suoraviivaistamiseksi. Kenties yhteinen kieli ainakin osittaiseen kuvaukseen voisi mahdollistaa politiikkojen federoinnin erilaisten järjestelmien rajapinnoissa. Yhteiset kuvastavat ja evaluointikirjastot voivat edistää politiikkojen käyttöä, ylläpidettävyyttä ja mukautuvuutta erilaisissa ohjelmistoissa. Lähteet BFIK99 Blaze, M., Feigenbaum, J., Ioannidis, J. ja Keromytis, A. D., RFC 2704: The KeyNote trust-management system version 2. IETF, syyskuu BFL96 Ess97 NL04 Blaze, M., Feigenbaum, J. ja Lacy, J., Decentralized trust management. Proceedings of the 1996 IEEE Symposium on Security and Privacy. ACM Press, 1996, sivut Essin, D. J., Patterns of trust and policy. Proceedings of the 1997 New Security Paradigms Workshop. ACM Press, 1997, sivut Nekkanti, R. K. ja Lee, C., Trust based adaptive on demand ad hoc routing protocol. Proceedings of the 42nd annual Southeast regional conference. ACM Press, 2004, sivut

14 11 TB04 Wee01 Theodorakopoulos, G. ja Baras, J. S., Trust evaluation in ad-hoc networks. Proceedings of the 2004 ACM workshop on Wireless security. ACM Press, 2004, sivut Weeks, S., Understanding trust management systems. Proceedings of the IEEE Symposium on Security and Privacy. IEEE, 2001, sivut