附錄 B(資料性附錄)信息交換中的建立信任

B.1 陳述信任

在收到的陳述中，接收方的信任程度主要基于消息源頭被信任的程度和陳述中源頭自身信任。

用于執法機關和情報機構的“5*5”模型或許是對此最好的概括：

——｛A–E｝源頭中信任程度的遞減；

——｛1–5｝信息中源頭賦予的信任程度的遞減。

因此，“A-1”信息是絕對可信的，而“E-5”信息通常將被廢棄。

顯而易見，在現實世界中，“A-1”信息非常少。雖然源頭和信息都被期望是絕對可信的，但現實中總是存在偶然性誤差。可能最著名的例子就是在基于衛星導航系統的全球定位系統（GPS）的使用中，地圖定位或路線規劃系統誤差的偶然失靈，導致大型交通工具被誤導開到了小型車道上，由此經常成為新聞中“輕松幽默”項的材料。

陳述中關于信任的進一步問題是不明確的增強信任所帶來的風險。存在一種內在傾向或潛在假設，即看似不同來源的相同信息的多個實例是確定的。

在一定程度上，這顯然是準確的，但這種信任不能僅從字面上去理解，特別的，任何此類信任的數學模型不宜為附加的實例分配線性權重。

B.2 技術支持

B.2.1引言

目前已開發出多種技術，可為未知的或不常見機構產生的電子供應信息支持信任。這些技術同Web 2.0^[4]^的概念密切相關。Web 2.0不是一組技術，確切的說，它是一個有關社交媒體和融合思想的理論或概念，例如將Web用作一個平臺，從而利用集體智慧。

Web 2.0中以下兩個方面對本標準特別重要：

——偽匿名；

——信譽系統，也稱作信譽引擎。

B.2.2匿名和偽匿名

由于各種各樣的原因，信息源頭和接收方可能希望保持匿名。匿名實際能達到的強度取決于背景知識即對整個消息傳遞系統的了解。在大型、分散式的系統中，所有參與者可能不能完全了解消息傳遞系統，且在很多情況下，消息的背景將是隨著時間變化的。

匿名的概念與不可鏈接性的概念緊密聯系在一起，即觀察后得到的利益項之間的關聯與從先驗知識中得到的利益項之間的關聯是一樣的。

關系匿名意味著通信雙方一定程度上的不可追溯性，因此，不可能將發起方與其接收方或多個接收方關聯起來。

不可觀察性是指當發起方發送和接收方接收時，不能進行觀察。

關系不可觀察性意味著不能觀察發起方和接收方之間的通信。

偽匿名或筆名涉及用標簽代替個人姓名和其他身份特征，以阻止識別數據對象，或至少使這樣的識別本質上變得困難。假名化是使用偽匿名或筆名作為標識標簽的一種狀態。

有關鏈接性程度，各種類型的筆名可能是：

a）個人筆名：個人筆名是被看作代表持有人公民身份的姓名的替代品。它可用于各種環境下，例如身份證號碼、社會安全碼、昵稱、演員的藝名或移動電話號碼。

b）角色筆名：角色筆名的使用限于特定的角色，例如顧客筆名或用于相同角色“因特網用戶”的許多實例化的Internet賬戶。相同的角色筆名可能與不同的通信合作者使用。

c）關系筆名：針對不同的通信合作者，使用不同的筆名。這意味著不同的通信合作者不能分辨他們是否在與同一用戶通信。

d）角色關系筆名：對于不同的角色和不同的通信合作者，使用不同的角色關系筆名。這意味著通信合作者未必知道用于不同角色的兩個筆名是否屬于同一持有者；另一方面，與同一用戶相同角色交互的兩個不同通信合作者，僅從筆名不知道相同角色的用戶是否是同一用戶。

例如，假設信息源在非公共領域與Bernstein進行信息通信時經常使用“Wool”這個名字，而與Woodward進行相同的信息通信時使用“Touched”。后Bernstein和Woodward各自分別從“Deep Throat”和“Watergate”接收了關于某個新課題的信息。Bernstein和Woodward不知道“Deep Throat”和“Watergate”是否是同一人，也不知道“Deep Throat”是否與“Wool”或“Touched”是同一個人，或與后兩者都是同一個人。

e）事務筆名：對每一項事務，使用與所有其他事務筆名不可鏈接的，且至少在開始時與所有其他事務筆名不可鏈接的事務筆名，例如，隨機生成的網上銀行事務號碼。因此，事務筆名可用于實現盡可能強健的匿名。

總的來說，角色筆名和關系筆名的匿名性強于個人筆名。匿名的強度隨著角色關系筆名應用的增強而增強，但角色關系筆名的使用僅限于相同角色和相同關系。

筆名持有者與筆名有關的個人數據越少，匿名性越強。

B.2.3信譽引擎

信譽引擎的概念是構成Web上許多社交媒體和社交網絡的基礎。信譽引擎用于篩選與之相關度最高的信息，且隨著信息數量和信息種類的顯著增加，它們相關度變得越來越高。

信譽引擎是指正式的一組策略和規程，這些策略和規程主要用于計算基于個體過去活動的信譽分數。在網絡世界中，信譽引擎與數字足跡的思想緊密聯系在一起，而數字足跡即數字環境中追溯某人活動的痕跡。

信用報告和其他機制總是可以提供手段以量化信譽，但相比傳統信用報告，Web信譽機制（如Internet拍賣評級）更令人關注。當在Web上交易（買、賣、借、還）時，就創建了數字數據。盡管此數據屬于個人，但它會被信用評級機構之類的第三方獲取并占有。（事實上，為了獲取它們可能需要支付費用！）

現在已經有越來越多形式完善的信譽引擎，如如eBay信譽引擎。由于是透明的，因此它不同于信用分數。且每一個反饋(包括負反饋)都返給評論的當事人，因此這也提供了一個申訴的機會。

信譽引擎可通過確認新的信息源頭、確認內容源頭、實時告警諸如Twitter 搜索和Google告警、增強未知源頭的信任、通過外部洞察力補充搜索、為可信共享域引入新的或外部思想、預測來自外部源頭的機會與威脅等任務，融合更廣泛團體源頭的洞察力來增加信任。然而，目前Web 2.0的許多技術（如wikis）由于內部沒有一個強健的信任模型，因此在用于建立信任時存在限制。

B.3 評估信息的可信度

支撐信任的概念本質上是主觀而非客觀的，就這點而論，它未必符合其機械的表述。雖然如此，一種Pareto^[5]^方法可用于解決上述問題：這種方法只需要付出相對少的努力就可獲得大部分的期望結果，而要解決全部問題，完善整個模型需要付出與收獲不成比例的努力。

這種方法的可能組成部分包括：

a）信息的發起方宜在他們發布的信息中賦予信任等級[1]^）^。

b) 理想情況下，宜使用結構化數據格式清晰的識別所有信息的源頭。

c) 除了源頭標識的概念，還宜支持匿名報告，因為安全領域的經驗表明，匿名措施極大的增加了信息共享。

d）可用于封裝任何信息交換實質內容的邊界對象。邊界對象是對團體利益有一定程度的相互承認的信息的結構化組合，這樣就可跨越語言和域邊界進行通信：例如Mitre的公共漏洞和暴露（CVE）標記的成功，在一定程度上要歸功于其實際采用了這種邊界對象。

e）可信信息交換的發起方和接收方都宜提供一份關于信息是否支持以前所接收的內容以及支持次數的評估：盡管在一些范圍內存在為此目的進行的自動信息分析，但應該認識到，在當前最新技術下為此目的進行的自動信息分析是不可靠的。為了最小化似是而非的增強信任所帶來的風險，需要將回報遞減的累積分布函數用于以前實例的計數，這將意味著附加信息的加權值隨著計數值的增大而減小。

f）源頭或接收方就信息是否已獨立的經過確認的問題為信息賦予一個標志，以避免將所謂的都市傳說當作有用信息。這樣體現了對接收的信息保持進一步一定程度的關鍵性懷疑。

g）信息接收方宜基于5*5模型為源頭賦予一個主觀評價。（見B.1）

這些準則經過合適的加權可以使信息共享團體成員量化信任，信任量化值可以且宜加入從團體其他成員處收到的信息中，如圖B.1所示。

---

1) 該方法的有效性已得到英國國家基礎設施保護中心確認，并用于自動配置和分發預警信息給各類信息共享團體。