hyväksymispäivä arvosana arvostelija Luottamus ja maine Visa Röyskö Helsinki 22.3.2005 Tietoturva: luottamus ja varmuus -seminaari HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos
Sisältö i 1 Johdanto 1 2 Luottamus ja maine 1 2.1 Luottamus ja maine Internet-kaupassa................... 1 2.2 Maine ad hoc -verkoissa.......................... 2 2.3 Tutkimusta maineesta ja luottamuksesta.................. 3 3 Laskennallinen malli 3 3.1 Mallin esittely................................ 3 3.2 Merkintöjä mallia varten.......................... 5 3.3 Laskennallinen malli............................ 6 3.4 Maineen leviämismekanismi........................ 7 3.5 Mallin pohdintaa.............................. 8 4 Yhteenveto 9 Lähteet 10
1 Johdanto 1 Kun kaksi osapuolta ovat toistensa kanssa tekemisissä, heidän on usein kyettävä luottamaan toisiinsa. Yksi tapa arvioida toisen luotettavuutta on tutkia tämän mainetta ja tehdä siitä tarvittavat johtopäätökset. Kuitenkaan kunnollisia malleja luottamukselle ja maineelle on tehty vähän. Luottamusta ja mainetta tarvitaan monilla tietojenkäsittelyn osa-alueilla. Sitä on myös tutkittu monilla tieteenaloilla. Tässä artikkelissa käsitellään kahta tapausta erikseen. Toinen on sähköinen kaupankäynti verkossa tuntemattomien kanssa. Toinen tapaus on mobiilien ad hoc -verkkojen laitteiden luottamus toisiinsa reitityksessä. Näiden lisäksi luottamusta ja mainetta tarvitaan myös hajautetuissa järjestelmissä yleensä. Tässä artikkelissa tutkitaan myös laskennallista mallia maineelle ja luottamukselle. Artikkelin luku 2 käsittelee maineen ja luottamuksen tutkimusta. Siinä kerrotaan ensin yleiskuvausta tutkimuksesta eri aloilla, sitten analysoidaan ebay-verkkokaupan mainejärjestelmää ja maineen merkitystä mobiileissa ad hoc -verkoissa. Luvussa 3 keskitytään laskennallisen mallin yksityiskohtiin. 2 Luottamus ja maine Tämä luku käsittelee luottamuksen ja maineen tutkimusta, sekä perehtyy luottamukseen ja maineeseen kahdessa täysin erilaisessa ympäristössä. Toinen on Internetissä pyörivät huutokaupat, jossa ostajat ja myyjät voivat arvioida toistensa rehellisyyttä tämän maineen perusteella. Toinen esimerkki on mobiilit ad hoc -verkot, joissa verkon laitteet toimivat reitittiminä, jolloin laite joutuu lähettämään paketteja toisten laitteiden kautta. Lopuksi artikkeli käy läpi maineen ja luottamuksen tutkimusta eri tieteenaloilla. 2.1 Luottamus ja maine Internet-kaupassa Yksi varhaisimmista ja tunnetuimmista Internetin mainejärjestelmistä on ebay:n maineen kerääminen. ebay on Internet-huutokauppa, jossa voi ostaa ja myydä tavaraa. Se kerää
2 kommentteja ostajilta ja myyjiltä ympäri maailmaa. Mainejärjestelmän palautetta tutkittaessa on tehty seuraavia havaintoja: Läheskään kaikki ostajat eivät anna palautetta, joten tiedon laatu vääristyy. Myös suurin osa palautteesta tuntuu olevan positiivista. Tätä kutsutaan Pollyanna-efektiksi ja tiedot ovat kaukana oikeista. Hyvämaineiset myyjät eivät saaneet enempää rahaa kuin huonomaineiset. Lisäksi myyjien ja ostajien palautteiden korrelaatio oli korkea, eli silloin kun kaupan toinen osapuoli on vaivautunut kommentoimaan, niin on yleensä myös toinen osapuoli. [Res01] Vaikka ostajillakin on maine ebay- systeemissä, se kuitenkin merkitsee vähemmän kuin myyjien silloin kun myyjä voi vaatia kaupan tehtäväksi siten, että tavara lähetetään vasta kun rahat on tilillä. Olisin kaivannut artikkelissa huomiota kiinnitettävän tahallaan negatiivisen palautteen jakamiseen, eli mainetta vastaan kohdistuneisiin hyökkäyksiin. Joukko hyökkääjiä voi mustata jonkun toisen maineen väittämällä tämän toimineen väärin. 2.2 Maine ad hoc -verkoissa Mainetta tarvitaan myös muualla kuin kaupallisissa tapauksissa. Mobiileissa ad hoc - verkoissa verkon koneet usein toimivat myös reitittiminä. Tällöin niiden täytyy lähettää usein viestejä toisille solmuille muiden solmujen kautta, sillä mobiilien laitteiden kantama on lyhyt. Tässä on kuitenkin ongelmana se, että solmun täytyy luottaa siihen, että solmu todella reitittää paketin eteenpäin. Mobiilit ad hoc -verkot ovat dynaamisia, eli niihin voi liittyä uusia solmuja ja solmuja voi myös poistua. On kehitetty sellaisia maineeseen perustuvia mekanismeja, jota voi hyödyntää mobiileissa ad hoc -verkoissa. Kuitenkin niissä on omat ongelmansa siinä, miten maineen arvo määritellään ja lasketaan, sekä väärän käytöksen havaitsemisessa. Myös tietojen muille järjestelmällisesti agenteille on ongelmallista. [Po]
3 2.3 Tutkimusta maineesta ja luottamuksesta Mainetta ja luottamusta on tutkittu pitkään monella sektorilla. Sitä on tutkittu sosiologiassa, evoluutiobiologiassa ja ekonomistit ovat tutkineet sitä peliteorian kautta. Myös tietojenkäsittelytieteessä asia on havaittu tärkeäksi ja siihen on yritetty keksiä toimivia malleja. Artikkelin mukaan kaikki aikaisemmat luottamuksen ja maineen tutkimukset kärsivät yhdestä tai useammasta heikkoudesta. Nämä heikkoudet on listattu seuraavassa [Mui01]: Luottamusta ja mainetta ei käsitellä erillisinä, tai ne erottava mekanismi ei ole yksiselitteinen. Luottamusta ja mainetta käsitellään siten, että kontekstilla ei ole merkitystä. Mallit eivät vastaa täysin ymmärrä luottamusta ja mainetta. Näihin kohtiin pyrkii seuraavassa luvussa esiteltävä laskennallinen malli antamaan parannuksen. 3 Laskennallinen malli Tässä luvussa esitellään laskennallinen malli luottamuksen ja maineen määrittämiseen. Luvussa käsitellään ensin mallia yleisesti, sitten sen matemaattista esitystä. Lopuksi tutkitaan mallia sellaisessa tapauksessa, että osapuolet eivät ole toistensa naapureita vaan joutuvat keskustelemaan muiden agenttien kautta. [Mui01] 3.1 Mallin esittely Luottamuksen ja maineen lisäksi vastavuoroisuus (reciprocity) on nostettu mallissa tärkeäksi käsitteeksi. Mallissa käsitellään verkkoa A, jonka toimijat nimetään tässä esityksessä agenteiksi. Joukko A = {a 1, a 2,..., a 3 }. Agentin a i maine on suhteessa verkkoon A, missä a i on.
4 Kuva 1: Kuva 1. Kuvaus luottamuksen, maineen ja vastavuoroisuuden suhteista. [Mui01]. Vastavuoroisuus tarkoittaa molemminpuolista toimimista, joita ovat joko hyvätahtoinen tai pahantahtoinen käytös. Positiivinen teko johtaa yleensä positiiviseen vastaukseen ja toisinpäin. Vastavuoroisuutta on kahdenlaista. Suora vastavuoroisuus jossa agentit ovat suoraan toistensa kanssa tekemisissä. Epäsuoralla vastavuoroisuudella tarkoitetaan sitä, että muut verkon agentit havaitsevat muiden toimia. Vastavuoroisuutta voidaan mitata kahdella tavalla. Sitä voidaan ajatella sosiaalisena normina, joka on yhteinen kaikilla verkon agenteilla. Mitä suurempi yhteisöllinen vastavuoroisuus on, sitä suuremmalla todennäköisyydellä satunnaisesti valittu agentti suostuu tekemään yhteistyötä. Vastavuoroisuus voidaan myös määritellä kahden agentin väliseksi. Mitä suurempi tällainen vastavuoroisuus on, sitä suuremmalla todennäköisyydellä juuri nämä agentit tekevät yhteistyötä. Agentin maine määräytyy siitä, miten vastavuoroisesti se on toiminut. Maine määritellään sosiaalisuuden määräksi, joka lasketaan agentin toiminnoista, sekä muun verkon tästä tekemistä havainnoista. Luottamus agenttiin riippuu siitä, minkälainen maine tällä on. Luottamus mittaa agentin subjektiivisen uskon siihen, että jokin toinen agentti suostuu tekemään yhteistyötä. Se lasketaan agenttien aikaisempiin kahdenvälisiin kohtaamisiin perustuen.
5 Käsitteillä on seuraavanlainen suhde toisiinsa: Mikäli agentti ai:n maine kasvaa verkossa A, se myös lisää muiden verkon A agenttien luottamusta ai- agentiin. Mikäli aj:n luottamus agenttiin ai kasvaa, tällöin aj suhtautuu positiivisesti mahdolliseen yhteistyöhön ai:n kanssa. Agentin ai vastavuoroisten toimintojen lisääntyminen muiden verkon A agenttien kanssa lisää myös ai:n mainetta verkossa A 3.2 Merkintöjä mallia varten Tässä luvussa esitellään määrittelyitä malliin. Mallissa tarvitaan seuraavia määrittelyitä: toiminta, vastavuoroisuus, maine, tapahtuma, historia ja luottamus. Tässä esityksessä on tehty malliin kaksi yksinkertaistamista. Verkot ovat staattisia, eli uusia agentteja ei tule eikä vanhoja poistu verkosta. Lisäksi agentti voi toimia vain kahdella tavalla. Agentti voi olla yhteistyössä tai kieltäytyä siitä. Eli sen toiminta määritellään seuraavasti: α tee yhteistyötä, kieltäydy. Vastavuoroisuus y määritellään kaavalla γ [0, 1] Se saa arvoja väliltä [0, 1]. Se mittaa kuinka suuri vastavuoroisuuden normin määrä verkossa on. Mikäli arvo on pieni, tällöin verkon vastavuoroisuus on pieni. Maine määritellään kaavalla: θ ab (c) [0,1]. Kaavassa c on tutkittava konteksti, joka kuuluu joukkoon C, joka on kaikkien kontekstien joukko. Mikäli agentin maine on pieni, se tarkoittaa ettei se ole kovin halukas yhteistyöhön. Kohtaaminen on kahden agentin välinen tapahtuma, jossa molemmat tekevät toiminnot. Kohtaaminen merkitään kaavalla: e E = α 2 C { }.
6 Se lasketaan molempien agenttien toiminoista. { } tarkoittaa tyhjää kohtaamisjoukkoa. Kohtaamisten historia määritellään kaavalla D i j (c) = {E }. Historiaan ja maineeseen perustuen agentti voi nyt mitata luottamuksen kaavalla τ(c) = E[θ(c) D(c)]. 3.3 Laskennallinen malli Mallissa keskitytään nyt agentteihin a ja b, joihin vaikuttavat toistensa toiminnot kontekstissa c. Nyt käsitellään b:n mainetta a:n silmissä. Tässä keskustelussa on yksinkertaistettu tilannetta siten, että a on yhteistyöhaluinen. Asetetaan binäärinen muuttuja x ab (i), joka määrittelee a:n ja b:n i:nnen kohtaamisen. Aikaisempien kohtaamisten historia samassa kontekstissa määritellään kaavalla historia = x ab1, x ab2,..., x ab(i 1). Mikäli a ja b ovat olleet aikaisemmin tekemisissä samassa kontekstissa c, voidaan vastavuoroisuuden arvioija ˇθ(c) voidaan voidaan mallintaa Betajakaumalla seuraavalla tavalla: p(ˇθ) = Beta(c1,c2). θ esittää arvioijaa maineelle ja c 1 ja c 2 ovat parametreja, jotka määritellään aikaisemmista olettamuksista. Asetetaan aikaisempien kohtaamisten lukumääräksi n kontekstissa c ja olkoon p niiden kohtaamisten lukumäär, joissa tapauksessa b suostui yhteistyöhön. Uskottavuus (likelihood) siihen, että p yhteistyötä ja (n-p) kieltäytymistä voidaan mallintaa kaavalla L(D ab ˇθ) = (ˇθ p ) (1 ˇθ) n p. Beta-jakaumaa käyttäen kaava saadaan seuraavaan muotoon: p(ˇθ D) = Beta(c 1 + p,c 2 + n p). Nyt voidaan laskea kohtaamisen keskiarvo ja varianssi seuraavilla kaavoilla: E[ˇθ D] = c 1+p c 1 +c 2 +n. σˇθd 2 = (c 1 +p)(c 2 +n p) (c 1 +c 2 +n 1)(c 1 +c 2 +n) 2 Tästä johtamalla saadaan kaava luottamukselle: τ ab = p(x ab (n + 1) = 1 D) = E[ˇθ D].
Olkoon m minimimäärä agenttien välisiä kohtaamisia, mitä tarvitaan siihen, että saadaan tarpeeksi luotettavia tuloksia. m voidaan laskea kaavalla: m 1 2ε 2 ln( δ 2 ). Tääs ε on arvioijan poikkeama alkuperäisestä parametrista. δ on virhemarginaali. Olkoon γ c = 1 δ. γ c mittaa luottamuksen arvioijaan ˇθ. Mikäli γ c lähestyy yhtä, tarvitaan suurempi minimimäärä m, jotta pysytään rajan ε sisällä. Vastavuoroisuus on mallissa agenttien vastavuoroisen käytöksen mittari. Olkoon γ ab on mitattu kahdenvälinen vastavuoroisuus agenttien a ja b välillä. Mikäli γ ab on liian pieni, tulos ei ole luotettava. 7 3.4 Maineen leviämismekanismi Aikaisemmin tässä kirjoituksessa on käsitelty naapureiden välistä kommunikointia. Agentti a voi kuitenkin myös haluta olla toiminnassa kauempana olevan agentin b kanssa. Tilannetta on hahmoiteltu kuvassa 2. Siinä on ketjuja agentteja a:sta b:hen, joista kaikista on vähintään yksi linkki eteenäin. Agentti a voi kerätä aineistoa agentin b maineesta, mikä on muilla verkon agenteilla. Jotta tulokset ovat luotettavia, tarvitaan tarpeeksi kohtaamisia. Kohtaamisia täytyy olla tarvittava määrä luotettavan aineiston saamiseksi, kuten luvussa 3.3 esitetään. Luotettavuus saadaan seuraavalla kaavalla: w ab = m ab m,jos m ab < m w ab = 1 muulloin Kaavassa m ab on agenttien a ja b keskinäiset kohtaamiset. Ketjujen luotettavuuden laskeminen käy seuraavalla kaavalla: w i = π n j=1 w i j missä 0 i k Kaavassa I i on kaikkien siirtymien määrä ketjussa i. Nyt kokonaispaino kaikille ketjuille lasketaan kaavalla r ab = σ k j=1 t ab(i)w i
8 Kuva 2: Kuva verkosta, jossa on agenttiketjuja agenttien a ja b välillä [Mui01].. Kaavassa r ab (i) on määritelmä b:n maineesta polkua i käyttämällä. 3.5 Mallin pohdintaa Yksi määritelmä hyvälle mainejärjestelmälle on seuraavanlainen [Op]: Tässä esitelmässä esitellyn mallin perusteella rakennettava mainejärjestelmä täyttäisi nämä ehdot. Se myös välttää luvussa 2.3 esitellyt luottamus- ja mainejärjestelmien yleisimmät puutteet. Omasta mielestäni mallissa on paljon hyviä ideoita. Se on onnistunutta, että maine ja luottamus on eroteltu toisistaan ja vastavuoroisuuden käsittely on toimivaa. Kuitenkin mallissa on jätetty joitakin seikkoja turhan pienelle huomiolle. Yksi tärkeä esimerkki tästä on toiminto- muuttajan yksinkertaistus binääriseksi. Tämä kuitenkin on mielestäni raaka yksinkertaistaminen. Herää kysymys siitä, miten yhteistyö ja kieltäytyminen määritellään. Toiminnon pitäisi myös olla mielestäni muuttuja, joka saa arvoja esimerkiksi väliltä [0, 1]. Tämä taas herättää kysymyksen siitä, kuinka tämä määritellään ja monimutkaistaa mallia huomattavasti. Toinen kysymys herää siitä, miten kieltäytymistä pitäisi käsitellä. Oletetaan jokin taho,
9 joka tekee suuren rikkeen yhteistyön aikana. Mallin mukaan kuitenkin sitä käsitellään vain yhtenä virheenä, ja mikäli joku käyttäytyy normaalisti hyvin mutta tekee rikkeen kun katsoo, että siitä on hyötyä, ei tätä noteerata erikseen kunnolla. Kuitenkin jos joku on esimerkiksi verkkohuutokaupassa saanut rahan tuotteesta mutta ei ole sitä lähettänyt, tämän pitäisi olla suuri hälytysmerkki muille. Yksi seikka on jäänyt artikkelissa täysin kommentoimatta. Mainetta voi käyttää myös hyökkäämiseen, eli hyökkääjä tai hyökkääjät voivat tarkoituksella mustata jonkin viattoman maineen. Koska huono maine on varoitusmerkki muille, hyökkääjät kääntävät asetelman päälaelleen. Mikäli useampi on mukana hyökkäyksessä, uhrin asema on vaikea. 4 Yhteenveto Luottamus ja maine ovat tärkeässä roolissa nykyaikana. Maineen avulla voidaan saada tietoa jonkin agentin aikaisemmasta käyttäytymisestä ja sen avulla voidaan määrittää voiko siihen luottaa. Maineeseen perustuvia järjestelmä on muun muassa ebay verkkohuutokaupoissa. Tässä verkkokaupassa kauppojen osapuolet voivat antaa toisilleen palautetta, joka näkyy myös muille asiakkaille. abay- huutokaupan maineen laskennasta on löytynyt selviä puutteita, eikä maine välttämättä anna oikeanlaista kuvaa henkilöstä. Toinen esimerkki maineen hyödyntämisestä ovat mobiilit ad hoc -verkon reitittiminä toimivat laitteet. Koko toiminta perustuu luottamukseen, eli laite on luotetteva, jos se laite jolle se viestin lähettää, todellakin lähettää paketin eteenpäin oikeaan osoitteeseen. Mainetta ja luottamusta on tutkittu monilla eri tieteenaloilla. Kuitenkin kaikissa ratkaisuissa on jotakin vikaa. Tässä paperissa on esitelty nämä laskennallinen malli luottamukseen ja maineeseen, joka pyrkii välttämään näitä vikoja. Mainetta ja luottamusta käsitellään erillään ja myös vastavuoroisuus on suuressa roolissa. Mallissa kahdenvälinen luottamus voidaan rakentaa maineen perusteella.
Lähteet 10 Mui01 Res01 Po Lik Mui, Mojdeh Mohtashemi, A. H., A computation model of trust and reputation. 35th Annual Hawaii Int. Conf. on System Sciences. P. Resnick, R. Z., Trust among strangers in internet transactions: Empirical analysis of ebay s reputation system. Working Paper for the NBER Workshop on Empirical Studies of Electronic Commerce, 2001. Po-Wah Yau, C. J. M., Reputation methods for routing security for mobile ad hoc networks.