Um Modelo para o Gerenciamento de Confiança emDispositivos Móveis

Guilherme Nascimento Pate Santos1

1Departamento de Informática – Pontifícia Universidade Católica do Rio de Janeiro (PUC-Rio)CEP 22453-900 – Gávea – Rio de Janeiro – RJ – Brasil

gsantos@inf.puc-rio.br

Abstract. The advancements of the technology of Wireless Network have beenconsiderable in the last years and the facilities in the obtaining of equipmenthave become more and more near to the reality the computation ubiquitous.In the future will be possible see persons selling or buying his car through of hismobile device, businessmen negotiating of purchase and sell of actions amid thetraffic. Certainly available technology for this exists.What do we must ask is ourselves itself in the present state is possible initi-ate a dependable interaction between users. The efforts in become possible atrustworthy collaborations dependable between users that need interact, hasnot walked in the same speed of the advancements of the technology of WirelessNetwork. In this article we are going to discuss models proposed by researchersof highlight in the trust management area, discuss the advantages and disad-vantage of the models proposed by these researchers and on the basis of thisreflection propose a new trust management model in mobile devices for specificscenario.

Resumo.Os avanços da tecnologia de redes sem fio têm sido consideráveis nosúltimos anos e as facilidades na obtenção de equipamentos têm tornado cadavez mais próxima da realidade a computação ubíqua.No futuro será possível ver pessoas vendendo ou comprando seu carro atravésde seu dispositivo móvel, empresários negociando de compra e venda de açõesem meio ao trânsito. Certamente existe tecnologia disponível para isto.O que devemos nos perguntar é se no estado atual é possível iniciar uma inter-ação confiável entre usuários. Os esforços em tornar possível colaborações con-fiáveis entre usuários que necessitam interagir, não tem caminhado na mesmavelocidade dos avanços da tecnologia de redes sem fio. Neste artigo vamosdiscutir modelos propostos por pesquisadores de destaque na área de gerencia-mento de confiança, discutir as vantagens e desvantagem dos modelos propostospor estes pesquisadores e com base nesta reflexão propor um novo modelo degerenciamento de confiança em dispositivos móveis para cenários específicos.

1. Introdução

A evolução tecnológica das redes sem fio possibilitou uma grande diversidade de re-des como: redes AdHoc (bluetooth), redes estruturadas IEEE8002.11, etc. Com essastecnologias cada vez mais populares, torna-se comum o desenvolvimento de aplicaçõesvoltadas para educação (m-learning), negócio (m-business), serviços (m-service) entreoutras áreas, com o propósito de dar um maior conforto as pessoas, permitindo que aqualquer hora e lugar as pessoas possam usufruir de educação (m-learning), negócio (m-business), ou serviços móveis (desde que estejam em áreas cobertas por uma rede Wire-less).

Um valor que é extremamente importante para a convivência humana é a confi-ança, porém esta não tem acompanhado a evolução das tecnologias de redes sem fio nosúltimos anos.

Promover a confiança entre os usuários (dado um cenário específico entre usuáriosque pretendem iniciar uma colaboração) e o gerenciamento da mesma, é um grande de-safio, pois estamos tratando de algo extremamente subjetivo. Nos dias de hoje onde exis-tem serviços que até mesmo inferem e disponibilizam a localização dos usuários é dese-jável que os sistemas desenvolvidos sejam baseados em confiança para que ao menos osusuários possam ter um ponto de referência sobre uma pessoa desconhecida, com a qualele pretende interagir. Um modelo que gerencie a confiança deve prover a consistência dasinformações (recomendações) de confiança quando possível, dado o grau de incertezas.

Modelos de confiança serão discutidos mais a frente, porém, de ante mão sabemosque estes modelos devem ser capazes de inferir um nível de confiança para um usuário,tendo como base o nível de confiança dado por cada um dos usuário que já interagiramcom este outro.

Uma questão de grande importância é saber quais são os serviços de risco. Porexemplo, uma pessoa pode correr risco de seqüestro caso informe sua localização a umapessoa mal intencionada, desta forma devesse tentar prevenir os usuários sobre uma in-teração catastróficas (inferindo um nível de confiança a cada usuário). Um bom exemploseria: “você iniciar uma interação com um usuário que tenha um nível de confiança baixoe uma reputação péssima (e sem saber disso como é o caso dos sistemas atuais) vocêpermite que esta pessoa tenha acesso a sua localização, é possível que nada ocorra, mastambém há a possibilidade de ocorrer sequestros entre outras coisas (já que a reputaçãoda pessoa a qual pretende-se interagir é baixa).”

Outra consideração importante é o nível de conhecimento que você tem sobreum usuário, ou seja, a quanto tempo você conhece este usuário, se esta interação estáativa por bastante tempo ou não e se é constante ou se há grandes intervalos de tempoentre esta interações. Estes fatores devem ser levados em consideração já que é o quenormalmente as pessoas levam em consideração quando vão dizer se confiam numa outrapessoa (exceções devem ser consideradas a parte).

O modelo de armazenamento (centralizado ou descentralizado) das informaçõesde confiança também deve ser bastante discutido, já que isso sempre esbarra em questõesde privacidade. Para algumas pessoas a utilização de um modelo descentralizado faz comque os usuários tenham menos privacidade do que num modelo centralizado. Este seráum assunto bastante discutido mais adiante.

O objetivo desta monografia é discutir modelos propostos por pesquisadores dedestaque na área de gerenciamento de confiança avaliando as vantagens e desvantagemdestes modelos, por fim propor um modelo para do gerenciamento de confiança em dis-positivos móveis.

A Monografia está estruturada da seguinte forma na seção 2 são discutidos osmodelos de gerenciamento de confiança, na Seção 2.1 será discutido o modelo HTrust,na Seção 2.2 o modelo para confiança em redes dinâmicas, na seção 2.3 será discutido oModelo para o Gerenciamento de Confiança em Serviços Móveis, proposto neste trabalho.

2. Modelos

Nesta seção, são explicados com mais detalhes os trabalhos utilizados como base paradefinição do nosso modelo.

2.1. O Modelo HTrust

Nesta seção serão discutidos os principios e aspectos básicos de confiança, que foramutilizados para descrever este modelo de confiança.

Para descrever um modelo de gerenciamento de confiança é preciso ter umadefinição coerente e bem aceita do que seja confiança, para isto é aconselhável buscá-la em estudos feitos dentro das Ciências Humanas (Sociologia, Filosofia e Psicologia), jáque estas possuem uma grande tradição e competência em pesquisas na área de confiançahumana. Grande parte do modelo de [Capra 2003] é baseado em definições sobre confi-ança do sociólogoDiego Gambetta, com o objetivo de ser o mais fiel possível ao modelode confiança humano.

A confiança é algo extremamente subjetivo e difícil (praticamente impossível) dese definir um padrão. Numa relação entre dois agentes (usuários) o grau de confiança queum usuárioA tem no usuárioB não necessariamente é o mesmo que o usuárioB temno usuárioA. A decisão de começar uma interação ou não com outro agente (usuário)depende do nível de confiança estabelecido entre ambas as partes, do contexto e do riscoenvolvido.

Este modelo de confiança tem uma abordagem dinâmica, o que possibilita decre-mentar ou incrementar o grau de confiança de um agente em relação a outro, sem realizarconsultas ao mesmo.

Neste modelo existem dois tipos de contextos, o social e o transacional. Este mod-elo é auto ajustável e para isso utiliza a troca de informações de confiança sobre agentes

que estão presentes na população de uma rede composta de usuários, esta rede é chamadade contexto social. O contexto transacional é a rede composta por produtores e consum-idores que tem a necessidade de interagir através de serviços. O contexto transacionalutiliza as informações de confiança do contexto social para formar, disceminar e evoluir aconfiança de agentes da rede. Neste modelo é citado que a autenticação das informaçõesde confiança de um agente podem ser feitas por meio de criptografia de chave públicaonde cada agente possui o seu par de chaves pública e privada.

O Modelo divide-se em três componentes centrais, são eles:disseminação daconfiança, formação da confiançaeevolução da confiança.

Neste modelo um agenteA é chamado detrustor se ele é quem irá dar o voto deconfiança a um outro agenteB, o qual recebe o nome detrustee.

A obtenção de informações de confiança por agentes pode ser feita de duasmaneiras, por experiências diretas ou por recomendações. As experiências diretas ocor-rem quando há uma interação entre os agentes interessados em colaborar, durante essainteração o modelo (framework) coleta o histórico de interações entre os agente. Estehistórico é armazenado no ambiente local dos agentes, assim qualquerA que pretendainteragir comB antes pode verificar o histórico de interações dotrustee(VERIFICARESTA FRASE). As recomendações são indicações feitas por agentes que já tiveram umainteração com o agente o qual se deseja interagir. Essas recomendações são fornecidas poragentes que pertencem ao contexto social e dessa forma ocomponente de disseminaçãode confiançado modelo publica-as com o propósito de difundir a confiança deste agenteno contexto social. A partir de então a informação de confiança é utilizada pelocom-ponente de formação de confiançaque irá predizer a credibilidade do agentetrustee.Assumindo que ocorra uma interação entre um agenteA e um agenteB é necessário queA obtenha um feedback para assim inferir a credibilidade deB percebida porA. Issoserá utilizado como um dado de entrada para ocomponente de evolução de confiança,que por sua vez, terá como objetivo atualizar as informações de confiança armazenadasno ambiente local do agenteA.

2.1.1. Principios de projeto

A computação prevasiva, isto é, em qualquer lugar e a qualquer hora tem um grande potên-cial a ser explorado, ainda mais com interações em cenários móveis. Estas novas tecnolo-gias também promovem uma interação não trivial entre pessoas e/ou entidades, expostasa transações arriscadas que necessitam ter reduzidos seus riscos tanto quanto possível.Isto requer a existência de um frame work de gerenciamento de confiança (TMF)o qualpermita manter e desenvolver opiniões de confiança.

A confiança não é o único aspecto que está envolvido quando tomamos uma de-scisão, o risco inerente a uma transação e a qualidade do serviço também contribuem paradecisão final. Ou seja, uma transação de baixo risco pode tranquilizar o fato do ambi-

ente não ser seguro, ao passo que numa transação de alto risco é necessário um ambienteseguro.

Além disso, para realizar transações é necessário um grande investimento em re-cursos como largura de banda e bateria, a frequência portadora em um ambiente poucoconfiável pode ser bloqueada, devido as restrições de QoS.

Este modelo preocupa-se apenas no gerenciamento da confiança (em específicopara redes ad-hoc).

Tradicionalmente os sistemas distribuidos são centralizado. Há uma discução so-bre este ponto de vista, pois fronteiras administrativas e limites na mobilidade de enti-dades podem ocorrer neste modelo (chamado de TTP - trusted third party).

Os modelos de gerenciamento de confiança para sistemas móveis ad-hoc são bas-tantes subjetivos. Eles devem proporcionar (a usuários de) aplicações móveis a capaci-dade de formar opiniões de confiança e delegar decisões de confiança para entidades ex-ternas, o que inevitavelmente acarreta a perda da individualidade, que é a essência daconfiança humana.

O modelo descentralizado é proposto, por [Capra 2003] segundo ela própria omodelo centralizado falha em dois pontos, primeiro porque assume completamente queas entidades tem consiência social de que eles farão uma troca de informações de confi-ança a qualquer hora que forem questionados, ainda que não haja incentivo para induzira entidade a faze-lo. Dentro de ambientes forçados, provavelmente o egoísmo prevalecesobre a cooperação (por exemplo economizar bateria). Segundo, a decisão que cada en-tidade toma localmente tende de forma geral a ser muito pouco automatizada ou a nãopermitir a customização. Desta forma, argumenta-se que este modelo computacionaldeve ter um alto grau de customização sendo capaz de capturar a mutação e a complexadisposição humana para confiar. Por isto o modelo é completamente descentralizado:cada host atua como uma unidade independe, carregando uma apresentação (credenciais)mostrando suas interações passadas e isto é o que será usado para provar sua credibilidadea outras entidades.

2.1.2. Formação do Grau de Confiança

Nesta seção, é ilustrado o modelo gerência do grau de confiança dos agentes e a estruturausada numa dada situação, por exemplo, um agenteA (trustor) deseja definir um grau deconfiança sobre um agenteB (trustee) baseado em informações de confiança agregada,que é recolhida e mantida localmente pelo trust management framework (TMF). Para in-tuir a confiança queA tem emB o TMF verifica se houve interações no passado entreAeB em seu contexto transacional e analisa também recomendações enviadas ao agenteApor outros agentes do contexto social que interagiram comB. Estas Informações agre-gadas são mantidas no ambiente local do agenteA por meio de tuplas:

[A,B, l, s, c, k, t]

Essa representação de tupla afirma que o agenteA confia no agenteB com umgraul para um serviços, no contextoc, o grau de conhecimentok em opiniões de confi-ança que foram expressas, isto é, o quãoA conheceB (este parâmetro será obtido atravésdas opiniões de confiança) e o tempot indica o tempo no qual o grau de conhecimentok serefere, ou seja, tempo em queA tem esse conhecimento sobreB (o grau de conhecimentodecai em função do tempo).

Variáveis como grau de confiança e grau de conhecimento sobre um agente neces-sitam de um intervalo bem definido:

• O grau de confiançal varia num intervalo de[−1, 1], onde−1 quer dizer descon-fiança, e1 confiança total. O grau de confiança será maior ou menor conformeexperiências forem ocorrendo no contexto transacional.

• O grau de conhecimentok varia num intervalo de[0, 1], onde0 significa que oagente é desconhecido, e1 significa um grande conhecimento sobre um agente.

Neste modelo os parâmetros imprescindíveis sãol, k e t, pois assim é possívelsimplificar a notação de tuplas parao = [A,B, l, k, t] ∈ ϑ, ondeϑ é o conjunto de todasopiniões de confiança.

As recomendações também são representadas por uma estrutura de tupla semel-hante a apresentada anteriormente. A principal diferença é que cada recomendação éassinada com a chave privada de quem recomenda, para provar sua autenticidade. Porexemplo, uma recomendação enviada a um agenteA por um agenteX sobre agenteBteria a seguinte representação:

[X, B, l, s, c, k, t]SKx

ou apenas

[X,B, l, k, t]SKx

As recomendações são usadas para formar uma opinião de confiança em duascircunstâncias: Uma é para predizer o comportamento do trustee, caso o trustor queiradar início a uma colaboração e nunca tenha interagido com o agente trustee antes (i.e.,o trustor usa as recomendações, pois não há informação agregada de confiança no seuambiente local para se basear).

A segunda circunstância é quando o agente que pretende iniciar a colaboraçãoconta com avaliações de terceiros para formar uma opinião de confiança. Por exemplo,um agenteA pode estar disposto a interagir com um agenteB que foi recomendado porum agenteX ou sejaA se baseou na recomendação deX.

Além disso, também é importante manter informações sobre a credibilidade deum agente como um recomendante no ambiente local do agente através de tuplas:

[A,X, l, s, c, k, t]

Dessa forma, o agente poderá analisar se as recomendações de um dado recomen-danteX foram boas ou ruins, estas são as chamadas de informações táticas. Quanto maisrecomendações boas forem recebida deX, mais alto será o grau de confiança, e vice-versa. Quanto maior o número de recomendações vinda deX, melhor o conhecimentoqueA tem deX, como o grau de conhecimento decai com o tempo e este encontra-searmazenado na variávelt da tupla, basta saber quando (em que momento) recebemos ainformação contida na tupla através da variávelt. Este modelo armazena tupla de confi-ança para os agentes que estão recomendando comor = [A, X, l, k, t] ∈ R, ondeR é oconjunto de todas opiniões de confiança sobre quem está recomendando.

Desta forma podemos perceber queϑ é o conjunto de todas as opiniões de confi-ança eR é um sub-conjunto deϑ, poisR é o conjunto de todas as opiniões de confiançasobre quem está recomendando. Logo podemos dizer que:

oi ∈ ϑ e ri ∈ R ,masR ⊂ ϑ logooi, ri ∈ ϑ

Ondeoi representa uma tupla de confiança que é dada como entrada eri representatuplas de confiança dos recomendadores, ou seja, qualquerri∀i é confiável.

Para formar a confiança sobre um agente o modelo faz uso de uma funçãoΥ.Dada uma entrada, agregada com a tupla de informações de confiançao ∈ ϑ obtidas doambiente locale ∈ ε do agenteA e dado o conjunto de recomendaçõesO ∈ ℘(ϑ) vindodo contexto social, a funçãoΥ retornará um intervalo de valores da confiança. Ou seja, afunçãoΥ utilizará a funçãoh1 a qual utiliza dois intervalos de confiança distintos, comoparâmetro para obter um único intervalo de confiança de um agente.

Vejamos como estes dois intervalos são definidos:

O primeiro intervalo é obtido pela tupla de agregação localo = [A,B, l, k, t], ovalor de confiançaf é calculado com base em antigos graus de confiançal, no conheci-mentok que o trustor tem, e o tempo desde a última vez que a tuplao foi atualizada comnovas informações sobre o trustee.T representa o intervalo de tempo durante cada inter-ação e é um parâmetro localizado no ambiente local do trustor. O intervalo de confiançapredito é inferido com base no grau de confiançal de interações passadas e a discrepân-cia entre este valor e o valor inferidof (a funçãoΥop infere baseada em uma opinião deconfiança). Neste primeiro intervalo teremos um Mínimo e um Máximo representadospor l1 e l2, utilizados pela funçãoh1. Este é o caso chamado de confiança reflexiva, ondesó é possível definir o primeiro intervalo se já houve uma interação entre os dois agentesanteriormente, isto é,A já confia emB eB já confia emA.

O segundo intervalo é calculado com base em recomendações recebidas do con-texto social (a funçãoΥrec infere baseada emn recomendações). A cada recomendaçãooi ∈ ϑ, a funçãoΥop é utilizada para inferir o intervalo de confiança. O novo limite infe-rior llow e o novo limite superiorlhigh são computados como média de pesos o intervalo

individual de limites inferiores e superiores. Os pesos são calculados levando em consid-eração a credibilidadel′i de recomendadorX, o conhecimentok′i que o trustor tem sobreX, e o tempo desde a a ultima recomendação enviada porX.

Υ : ϑ× ℘(ϑ) −→ ε −→ [−1, 1]× [−1, 1]

Υ〈o,O〉e = h1(Υop〈o〉e, Υrec〈O〉e)Υop : ϑ −→ ε −→ [−1, 1]× [−1, 1]

Υop〈[A,B, l, k, t]〉e = [max(−1, l − |l − f |),min(l + |l − f |, 1)],

onde

f = l ∗ k ∗max(0, T−(tnow−t)T

)

O segundo intervalo de confiança é calculado através da funçãoΥrec que basea-se emmrecomendações recebidas do contexto social.

Υrec : ℘(ϑ) −→ ε −→ [−1, 1]× [−1, 1]

Para cada recomendaçãooi ∈ O, a funçãoΥop estima novos limites, inferiorllow e superiorlhigh que são usados como pesos na média individual dos intervalos delimite inferior e limite superior. Estes pesos são computados levando em consideraçãoo nível de credibilidadel′i de quem está recomendandoX, e o conhecimentok′i que é oconhecimento que o agente trustor sobre quem está recomendandoX, e o tempo, desdea última recomendação envianda porX. A tupla r′i = [A, i, l′i, k′i, t′i] de informaçãosubentendida que é recuperada do ambiente local deA é usada como função auxiliarlookup(i, e).

Nem todas as recomendações são utilizadas no cálculo da predição:

As recomendações só serão utilizadas no cálculo da predição da confiança se orecomendador satisfizer a restrição de qualidade mínima,qi > η (η nível mínimo). Paranão considerar a mesma recomendação mais de uma vez, assume-se que apenas recomen-dações com o parâmetrot diferente são processadas (πtime(oi) > πtime(ri)). Essa funçãoauxiliar recebe uma tupla e retorna o parâmetrot, (πtime([x, y, l, k, t]) = t). Este segundointervalo também será utilizado pela funçãoh1. O valor Mínimo e Máximo é dado porl′1 el′2. Este caso é chamado de confiança transitiva, ou seja, é quando um agente se comunicacom outro confiando em uma (ou mais) recomendação feita por um agente conhecido (Aconfia emB, B confia emC eB recomendaC ao agenteA e assimA passa a confiar emC).

Υrec〈{oi|i ∈ [1,m]}〉e = [llow, lhigh]

onde

llow =P

i{π1(Υop〈oi〉e)∗qi|qi>η}Pi(qi|qi>η)

;

lhigh =P

i{π2(Υop〈oi〉e)∗qi|qi>η}Pi(qi|qi>η)

;

sabendo que:

π1(l1, l2) = l1 eπ2(l1, l2) = l2

qi = max(η, l′i ∗ k′i ∗max(0,T−(tnow−t′i)

T));

r′i = lookup(i, e) = [A, I, l′i, k′i, t

′i]

Onde percebe-se quellow e lhigh são apenas médias ponderadas deπ1(Υop〈oi〉e) =l1 em função da qualidade mínimaqi.

Finalmente, a função de formação de confiançaΥ é usada para inferir um intervalopredito de valores de confiança,com base nos intervalos mostrados acima. A funçãoh1

faz uso desses intervalos para obter um novo intervalo de confiança. Esta função varia deagente para agente e a sua disposição natural de confiar em outros agentes esta disposiçãopode assumir a forma reflexiva ou transitiva. Geralmente é feita uma combinação:

h1([l1, l2], [l′1, l

′2]) =[h2([l1, l2])− |h2([l1, l2]− h2([l

′1, l

′2])|

, h2([l1, l2]) + |h2([l1, l2]− h2([l′1, l

′2])|]onde,

h1([l1, l2], [l′1, l

′2]) = [llow, lhigh]

A função h2 calcula um valor de confiança usando um certo padrão. Por ex-emplo, um agente “cauteloso”, que tende a desconfiar de outros agentes, pode escol-her h2(l1, l2) = l1 (isso é, o valor mais baixo do intervalo), mostrando que este agenteprovavelmente tem uma tendência a padrões de confiança reflexivo; por outro lado umagente que tem tendência em confiar em recomendações de agentes conhecidos pode es-colherh2(l1, l2) = l2 (isso é, o valor mais alto do intervalo), indicando um tendência deum padrão transitivo de confiança. Mais geralmente, temos o seguinte:

h2(l1, l2) = l1w1 + l2w2, com0 < w1, w2 < 1 ew1 + w2 = 1,

Que representa uma composição de valores cada um com seus respectivos pe-sosw1 e w2 que são escolhidos dependendo do perfil do agente, além de outros fatores,sabendo quew1 é o peso para o grau de confiança reflexiva ew2 o peso para o grau deconfiança transitiva. O que se vê é que esta função tenta personalizar o grau de confiançaatribuindo pesos as tendências reflexiva e transitiva.

2.1.3. Disseminação do nível de confiança

O protocolo de disseminação de recomendações é necessário quando um agenteA(trustor) pretende interagir com um agenteB (trustee), masA desconheceB.

Este modelo assume que cada trusteeB carrega em seu ambiente local credenciais(apresentações), ou seja, a sua história. Estas apresentações tem o formato de tuplas comopodemos ver abaixo:

[X, B, l, s, c, k, t]SKx

As apresentações tem e o mesmo significado das tuplas, a não ser pela autenti-cação representada porSKx (chave privada deX) mostrando que esta apresentação veiodeX.

Sempre que um agente trustor tem que formar uma opinião de confiança sobre umagente trustee, eA não pode contar unicamente com informações agregadas de confiançamantidas localmente pelo TMF (porque não existe tal informação ou porque é antigademais), o TMF utiliza o seguinte protocolo:

O passo 1.A −→ B : req-for-credentials(m). O protocolo começa com o agenteA enviando paraB um sinal de requisição para ver as credencias deB, o parâmetromindica o número máximo de apresentações queA está disposto a receber deB.

O passo 2.B −→ A : (oi)SKi, i ∈ [1,m]. O trustee responde comm apresen-tação (as que ele considera melhor para sua própria reputação).

O passo 3. O TMF decrypita as apresentações recebidas através da infra-estruturade chave pública. A função de formação de confiança é usada para formar uma opiniãosobreB, baseando-se nas informações contidas nas apresentações decrypitadas, mas, estainformação pode não ter um valor satisfatórioη. Neste caso, o TMF busca no contextosocial mais recomendações sobreB. Esta nova busca pode não trazer informação adi-cional paraA, caso os agentes do contexto social não queiram responder a requisição.Desta forma não será possível coletar mais informações, assim a funçãoΥ é utilizada natentativa de sintetizar um intervalo de confiança.

O passo 4. Neste passo a interação entreA e B pode acontecer ou não nocontexto transacional, pois não depende apenas do resultado da função de formaçãode confiança, mas também são levados em consideração riscos e necessidades de QoSrelacionadas à transação específica. Caso a interação aconteça, o protocolo exige queA e B troquem apresentações representadas por:A −→ B : [A,B, l′, k′, t]SKa, eB −→ A : [B, A, l′′, k′′, t]SKb

. A tupla assinada porB torna-se uma apresentação paraA e vice-versa,A pode ler o queB escreveu na apresentação e vice-versa. Neste caso,seB dá realimentação negativa paraA, A pode decidir descartar esta apresentação e nãoincluir em seu ambiente local.

Este modelo não considera que este encobrimento afetará o protocolo pelasseguintes razões: SeA repetidamente comporta-se mal, e assim mantem descartando

as apresentações recebidas, ele não construirá uma apresentação para fornecer a outrosagentes para se tornar de confiança. Encobrimentos ocasionais são mais difíceis de seremdescobertos, porém utilizando o contexto social pode-se descobrir facilmente apresen-tações de má reputação escondidas.

A funçãoΥ é aplicada em três diferentes estágios do protocolo: anterior a ex-ecução, depois de obter as apresentações do trustee e novamente, se forem recebidasrecomendações do contexto social.

A funçãoΥ decide se o protocolo continuará ou não no próximo passo atravésde resultados obtidos. Essa decisão depende da função de customizaçãoh3 : [−1, 1] ×[−1, 1] −→ {0, 1} que irá decidir se a predição é precisa ou não, no primeiro caso oretorno será1 e o retorno será0 se as predições forem distântes. Por exemploh3(l1, l2) =0 sel1 < 0 e l2 > 0, caso contrário1, isto é,l1 < 0 dá direção para desconfiança el2 > 0para confiança então há necessidade de buscar mais informações de confiança.

Observe que se um agente entra no contexto social pela primeira vez ele não teráhistórico, logo não terá como provar sua credibilidade para outros agentes. Aqui a di-ficuldade é saber se esse é um agente novo ou se é um agente malicioso. Para facilitara entrada de um novo agenteX um agenteA membro do contexto social poderá enviaruma mensagem introdutoria[A,X, l, s, c, 0, t]SKA

para a comunidade. Esta tupla informaa comunidade de queA não conheceX e quel não é baseado em experiências diretas,por exemploA pode ter tido a opiniãol deX durante um encontro (físico). Desta formaa aceitação deX no contexto social dependerá da credibilidade queA tem. O agenteXpoderá disponibilizar serviço para incentivar a interação e ganhar confiança.

2.1.4. Evolução do nível de confiança

Nesta seção, será discutia a função de agregação usada para manter informações sobrea credibilidade de um agente como fornecedor de serviços (informações agregadas deconfiança são representadas por tuplas). Será discutida também a função de extração deinformações subentendidas, usada para manter a informação sobre a credibilidade de umagente como um recomendador.

O TMF do agenteA usa a função de agregaçãoΦ para atualizar a credibilidadepercebida porA emB, assim que uma nova experiência direta entre dois agentes ocor-rer. Mesmo no caso de não ter tido nenhuma interação, a credibilidade do trustee aindapode ser atualizada, com base nas recomendações de confiança recebidas porA de umrecomendador confiável.

Assumi-se que apenas as recomendações com qualidadeqi > η poderão contribuirpara um novo valor de confiança sintetizado, também supõem-se que apenas as recomen-dações recentes são processadas(πtime(oi) > πtime(ri)), oi é uma recomendação emO, eri é uma tupla de informações subentendidas relacionadas ao recomendadori que se en-

contra no ambiente local do agenteA. A função de agregaçãoΦ é definida formalmenteabaixo:

Φ : [−1, 1]× ℘(ϑ) → ε → ε

Φ⟨l̃, O

⟩e=

e {[A,B, l, k, t]} ∪ {[A,B, l′, k′, t′]} |o = lookup(b, e) = [A,B, l, k, t]∧l′ = h4(l̃, l, h2(Υrec 〈O〉e)) ∧ k′ = min(k + kmin, 1) ∧ t′ = tnow

Φ 〈ε, O〉e =e {[A,B, l, k, t]} ∪ {[A,B, l′, k′, t′]} |o = lookup(b, e) = [A,B, l, k, t]∧l′ = h4(ε, l, h2(Υrec 〈O〉e)) ∧ k′ = k ∧ t′ = max(t,maxi({πtime(oi), oi ∈ O}))

A primeira equação descreve o caso onde a tupla de informações agregadaso =[A,B, l, k, t], que é mantida no ambiente locale do agenteA, é atualizada com resul-tados da interação entreA eB. Após esta interação o antigo grau de confiançal guardadoporA, é substituído pelo novo graul′ que depende de:

l̃ ∈ [−1, 1] (credibilidade deB como percebida porA ao fim da interação),l eh2(Υrec 〈O〉e), ondeΥrec 〈O〉e = (llow, lhigh) e aplicando a funçãoh2 obtem-se um novograul, assim fica claro queh4(l1, l2, l3 = h4(l̃, l, l), isto é, a credibilidade deB é calcu-lada usando recomendações recebidas do contexto socialO. A funçãoh4 é uma funçãode customização e retorna uma nova opinião de confiança, através da combinação de trêsopiniões. A funçãoh4 tem a seguinte forma:h4(l1, l2, l3) = w1∗l1+w2∗l2+w3∗l3

w1+w2+w3, ondel1

corresponde ao grau de credibilidade deB como percebida porA em uma interação com-pleta,l2 é a opinião previamente armazenada porA sobreB, el3 é o grau de credibilidadeesperada deB com base nas recomendações recebidas. Os pesoswi diferentes corre-spondem a disposições diferentes para confiar em algum agente, um exemplo éw1 = 1,w2 = 1, w3 = 0 , os pesos iguais são dados aw1 e w2 na tentativa de representar a dis-posição humana de mudar de opinião rapidamente. Outro exemplo éw1 = 1, w2 = n,w3 = 0, comn = k

kmin, ondek é o grau de confiança ekmin representa o incremento de

conhecimento sobre um agente que ocorreu em uma transação; neste caso, cada uma dasn experiências acontecidas entreA e B tem pesos iguais dentro do cálculo do novo graude confiançal′, o que representa um comportamento mais cauteloso, com uma tendenciaa não mudar rapidamente de opinião.

Em ambos os casos, as recomendações não foram levadas em conta, como infor-mação de confiança. Quando o grau de confiança é ajustado ajusta-se também, o times-tamp que garante informações recentes.

A segunda equação considera o caso onde a informação de confiança sobreB éatualizada unicamente com base em recomendações recentemente recebidas deO (i.e.sem interação). Isto é útil quando são coletadas informações sobre a credibilidade deagentes com quem ainda não ocorreu uma interação. Neste caso, uma nova opinião de

confiança é calculada unicamente com base no graul. A opinião antiga é guardada porA, junto com a credibilidade predita que é calculada usando as recomendações recebidasrecentemente. Neste caso, o conhecimento que o trustor tem sobre um agente não éincrementado pois apenas experiências diretas aumentam o grau de conhecimento. Atupla agregada então pode ser assinada com a chave privada do trustor e usada para trocade recomendações.

A função de extração de informação subentendidaΨ que será discutida agora, éutilizada quando um agenteA deve construir uma decisão de confiança sobre um agenteB, com quemA não teve experiências diretas prévias, neste casoA conta apenas comrecomendações. A subjetividade da confiança atrapalha bastante no caso de recomen-dações conflitantes, neste caso uma solução é dar mais peso a recomendações vindas deagentes que são confiáveis como recomendadores e dar menos peso ou descartar as re-comendações vindas de outros agentes. O TMF mantém, a favor do agente, um conjuntode tuplas que avalia a credibilidade dos agentes como recomendadores. Esse conjuntode tuplas recebe o nome de informação subentendida e seu conteúdo é sempre atualizadoapós uma interação, usando uma função de extração de informação subentendida, quepode ser vista abaixo.

Ψ : [−1, 1]× ℘(ϑ) −→ ε −→ ε

Ψ 〈l′, O〉e = e {ri = lookup(i, e) = [A, i, li, ki, ti],∀oi ∈ O}∪{r′i[A, i, l′i, k′i, t

′i], ∀oi ∈ O} |

k′i = min(ki+kmin, 1)∧l′i = {max(−1, h5(li, δli))ifδli > δmax; min(h5(li, δli), 1), ifδli ≤ δmax

δli =

∣∣∣l′ − h2(li −∣∣∣πl(oi)− πi(oi) ∗ T−(tnow−ti)

T

∣∣∣ , li +∣∣∣πi(oi)− πi(oi) ∗ T−(tnow−ti)

T

∣∣∣)∣∣∣

= |l′ − h2(linf , lsup)|

A tupla de informações subentendidas são armazenadas no ambiente local doagenteA e trás a credibilidadeli do agentei como recomendador, a atualização da mesmase dá através da credibilidadel′ percebida porA após interações comB e recomendaçõessobreB dada pelo recomendadori ao agenteA. Para não utilizar a mesma recomendaçãomuitas vezes será feita a discrepânciaδli entre a credibilidade observadal′ e a credibil-idade vinda de opiniõesli (a qual tem um alta grau de incerteza, pois recomendaçõespodem referenciar a um passado distante). O novo valorl′i de i é caculado com base nacredibilidade antigali e na discrepânciaδli, usando a funçãoh5 que usa o parâmetroδmax

para comparar comli da seguinte forma: seli < δmax então a credibilidade dei é incre-

mentadali =n∗li+ 2−δli

2

n+1caso contrario é decrementadali =

n∗li− 2−δli2

n+1, onden = ki

kmin.

Neste caso damos pesos iguais para recomendações antigas vindas dei (troca de opiniãocautelosa); outra possibilidade é pesar recomendações antigas como um total (troca de

opinião rapida)li =li+

2−δli2

2.

Este modelo trata agentes maliciosos sobre duas visões: Os agentes ou um grupode agentes que criam falsas recomendações, afim de denegrir a imagem de outro agentechamadosfake bad recomendationse agentes que criam falsas recomendações, afim decriar uma falsa boa reputação chamados defake good recomendations. A ação dessesagentes se dá no contexto social, uma das grandes dificuldades é a detecção dessesagentes, outra dificuldade é a punição. O TMF usa um modelo anárquico onde cadaagente irá cuidar do seu destino já que o framework faz uso de um mecanismo de de-tecção de conflitos que funciona da seguinte forma: quando um agenteA recebe umanova recomenadação vinda de um agenteX sobre um agenteB, a funçãoΨ é usadapara comparar a credibilidade deB, percebida porA com a credibilidade deB vindana recomendação feita porX. Se ocorrerem conflitos de opinão esporadicamente comX a tendência é chegar a conlusão queX apenas tem opinão diferente, caso contrário acredibilidade deX como recomendador assumirá valor−1 (desconfiança total).

2.1.5. Conclusão

O modelo discutido apresenta um alto grau de complexidade, porém há uma ingênua (oumaliciosa) crença de que um modelo computacional seja capaz de retratar toda a complex-idade e imprevisibilidade da confiança humana. Este é um ponto que indiscutivelmente omodelo não trata. Qualquer cenário onde há uma repentina mudança de grau de confiança(o que frequentemente ocorre numa relação de confiança humana) facilmente derruba omodelo proposto. Além disso, há alguns pontos obscuros no modelo como por exemplo,o parâmetro de tolerância da discrepânciaδmax (visto na seção evolução da confiança) queaparece no cálculo dek′i que é utilizado pela funçãoΨ, porém não é fornecido um padrão(fórmula) para obtê-lo (se é que é calculado), e nem de onde é extraído (caso não sejenecessário calcula-lo). Neste modelo algo que também não foi visto (na seção discemi-nação da confiança) é como definir o nível mínimo de confiança (η) de um recomendador,e também não foi mencionado quem irá definir este valor se é o usuário ou o próprioframework.

A funçãoh2 que dá um grau de confiança inicial para um agente segundo a suapré-disposição em confiar (reflexiva ou transitiva) gera dúvidas quanto ao seu uso, princi-palmente com relação aos pesos (w1 e w2), não fica claro como os valores são atribuídosaw1 ew2 nem mesmo qual o intervalo que os referidos pesos podem ser encontrados.

Apesar de tudo, se o referido modelo fosse direcionado para representar a confi-ança que uma pessoa tem em um serviço provavelmente este seria muito bem sucedido,por tratar muitas dificuldades (como agentes maliciosos) de forma clara.

O modelo discutido foi um dos melhores visto até agora. As falhas discutidas sãopraticamente impossíveis de serem dizimadas pela subjetividade do assunto que o mesmose propõem a tratar.

2.2. Modelo para Confiança em Redes Dinâmicas

O modelo discutido nesta seção tem como base a computação global que surgiu de as-pectos de ciência da computação e tecnologia da computação. Sistemas de computaçãoglobal são aqueles compostos de entidades autônomas, descentralizadas, móveis, dinâmi-camente configuráveis, e capazes de operarem sujeitos a informações parciais.

Sistemas semelhantes como por exemplo a internet, podem se tornam facilmentemuito complexos e levam novamente a necessidade de garantir a segurança de pro-priedade.

O modelo corrente tem como base para formalização da confiança utilizando paraisto definições vindas das ciências humanas. Sua motivação é criar um sistema baseadoem confiança e com isso transferir para o cenário computacional um modelo semelhanteao modelo de colaboração humana. Neste modelo a confiança é classificada em seis cat-egorias:DISPOSIÇÃO - Ocorre quando uma entidadeA tem a inclinação a confiar emB; SITUAÇÃO - quandoA tem confiança emB, apenas quando se encontra em um de-terminado cenário;ESTRUTURA - quandoA confia emB impessoalmente por causa daestrutura deB; CRENÇA - quandoA acredita queB é fidedigno;INTENÇÃO - quandoA está disposto se sujeitar aB; COMPORTAMENTO - quandoA voluntáriamente sesujeita aB. O modelo permite a classificação por categoria com relação a confiança da en-tidade (trustee) que é dada por: COMPETÊNCIA, BENEVOLÊNCIA, INTEGRIDADEe POSSIBILIDADE DE ATRIBUIÇÃO.

Segundo [M. Carbone and Sassone 2003] com um bom modelo matemático eatravés de estruturas complexas é possível representar combinações de tipos de confiançapara o cenário da computação global.

O sistema de gerenciamento da confiança é composto de:mecanismo de confiançae mecanismo de riscoque juntos fazem parte doprincipal. O mecanismo de confiançaé o responsável por atualizar informações de confiança obtidas através de observaçõesdiretas ou indiretas (evidências também são consideradas neste modelo) e fornecer infor-mações de confiança como entrada para omecanismo de riscoo qual dará um feedback,com informações para os procedimentos doprincipal como por exemplo a atualização daentrada paramecanismo de confiança.

Os aspectos principais deste modelo são a formação, evolução e propagação daconfiança.

O framework utiliza a funçãoGTrust para associar a cada principalB um graude confiança que um outro principal tem nele. Esta função representa o menor ponto fixodo arranjo universal de políticas locais (a teoria do ponto fixo é utilizada para desenvolvera teoria de políticas de segurança).

A funçãoGTrust é representada da seguinte forma:

GTrust : Principal −→ Principal −→ TrustDegree

TrustPolicy : GTrust −→ Principal −→ TrustDegree

A funçãoGTrust(A) associa a cada principalB o grau de confiança queA tememB. Desta forma uma direção é tomada para o modelo de política local.

A funçãoTrustPolicy tem como objetivo dar uma estrutura de confiança quedeve ser seguida e esta estrutura é definida através da teoria de ponto fixo.

Como os domínios destas funções são completos e parcialmente ordenados, o graude confiança utiliza relações de ordem possibilitando a aplicação da teoria de ponto fixode acordo comTrustDegree. Veja o seguinte cenário: Um principalA pergunta aBinformações sobreC. Uma das grande preocupações desse modelo é não confundir con-fiança com o conhecimento sobre um principal, pois isto pode fazer com queB demoreum pouco mais a responder e assim faça com queA tome uma decisão errada, fazendocom que o ponto fixo evolua o grau de confiança queA tem emC para o grau mais baixo.Outro possível cenário é queB pode estar temporariamente offline ou ainda não estápronto para falar comA. Em função disto são mantidas duas estruturas de ordem paraos valores de confiança, são eles a ordenação da confiança e a ordenação da informação.O grau de credibilidade é representado da seguinte forma: o menor elemento representadesconfiança absoluta e o maior elemento representa confiança absoluta. O grau de con-hecimento é representado da mesma forma, onde dado um intervalo o menor elementorepresenta desconhecimento e o maior elemento representa conhecimento total sobre umprincipal.

Neste modelo o campo da teoria da ordenação é fortemente utilizado para calculara função de confiança global é a ordenação de informação. O framework utiliza a seguinteestrutura de confiança:(D,¹,v) onde as duas relação¹ ev referenciam-se ao conjuntoD. O framework possibilita a construção da estrutura de confiança, através da construçãode intervalos, preservando a noção natural da incerteza.

2.2.1. Modelo para Confiança

Nos cenários feitos para este modelo a confiança envolveentidades, onde o grau de con-fiança é baseado emobservaçõese finalmente determina-se ainteraçãoentre entidades,esse é o objetivo (primeiro) do modelo.

Uma entidade é dita principal, e possui um conjunto de intervaloP e assume-seque o conjuntoT é um conjunto de valores de confiança onde estes valores são represen-tados portrusted, distrusted ou por valores estruturados por exemplo em pares onde oprimeiro elemento representa as ações (por exemplo acesso ao arquivo) e o segundo sendoo grau de confiança associando a ação; ou talvez o uso de vetores onde os elementos rep-resentam benevolência em diferentes situações.

A confiança varia conforme resultados de observações de interações entrePrinci-pals, cada principal deve terTrust Boxque é um módulo que contém todas as informações(dados) e operações para o gerenciamento da confiança.

2.2.2. Modelo da Trust Box

A confiança mútua de Principals pode ser modelada como uma função associada a cadapar de Principals onde o grau de confiança é dado port ∈ τ

A função utilizada pelaTrust Boxpara determinar o grau de confiança de um Prin-cipal é a funçãom representada por:m : ℘ −→ ℘ −→ τ , ondem(A)(B) ∈ τ , ou seja,mretorna um valor de confiançat que um Principal tem pelo outro por exemplo a funçãomaplicadaA e aB retornat que é o grau de confiança queA tem porB. A funçãoπA rep-resenta a política local do Principal, a qual contribiu para delegar a confiança globalm. Apolítica expressa como o Principal computa a informação de confiança dada, não apenaspor informações de sua própria confiança, mas também por informações de confiança deoutros Principals. A políticaπA é representada por:πA : (℘ −→ ℘ −→ τ) −→ (℘ −→ τ)que significa que um PrincipalA confia emB com um grau de confiançat (na primeiraparte) e queA delega aB a função de determinar a confiança sobreC (queB tem emC).

Junto com a coleção de políticas individuais, obtem-se a funçãoΠ∆︷︸︸︷= λp : ℘πp

representada por:Π : (℘ −→ ℘ −→ τ) −→ (℘ −→ ℘ −→ τ). Para interpretar essacoleção de políticas locais mutualmente recursiva como a função de confiança globalmaplica-se algums campos básicos da teoria, principalmente ponto fixo e ordem parcialcompleta.

Dada a ordem parcial(T,v) onde o encadeamento deC, ou seja,(C0 v C1 vC2 v ...) é uma função monótona de números naturaisW paraT , isto é,C = (Cn)n∈W

(teorema dos intervalos encaixados "Análise Matemática").

A ordem parcial(T,v) também é completa se ela tem o menor elemento (repre-sentado por)⊥ e cadaC encadeado emT tem o menor limite superior∪C. A funçãof écontinua se para cadaC encadeado conserva-se a seguinte propriedade∪f(C) = f(∪C),ou seja,f é uma função ímpar. Aqui a importância da ordem parcial completa é que todaa função contínuaf : (T,v) −→ (T,v) na ordem parcial completa tem o menor pontofixo fix(f) ∈ T , isto é, o menorx tal quef(x) = x. SendoΠ contínua é possível definir

a confiança global comom∆︷︸︸︷= fix(Π), o menor ponto fixo deΠ.

Uma questão é o que será usado na medida de ordemv, o modelo deixa claronão será o grau de confiança. Sendoτ ordem parcial completalow ≤ medium ≤ highconsiderando a políticaπA, que delega paraB a descoberta do grau de confiança deC,casoB não garanta informação sobreC o PrincipalA atribuirálow ao grau de confiançaqueA tem emC. A pode ter cometido um erro, pois pode ter ocorrido uma interrupção

na rede e por isso não foi possível obter informação sobreA, porém uma conlusão certa équeA não desconfia deC, mas não o conhece por isso não sabe se pode confiar ou não.

É necessário sempre termos conhecimento sobre o Principal mesmo que tenhamosapenas um conhecimento parcial. Assim é considerado aaproximaçãode valores deconfiança, o que personifica o grau deincerteza. Logo após a usualordenação de valoresde confiança, os valores de confiança são equipados com aordenação de informações deconfiança.

O conjuntoτ de (aproximações de) valores de confiança é a ordem parcial com-pleta com relação a ordenaçãov, sejat v t′ que significa quet′ é um refinamento det, ouseja,t′ fornece mais informação quet a respeito de valor de confiança que é inicialmenteaproximado.

Como a funçãoΠ é contínua podemos ver que ela chega na melhor informaçãodeterminada sobre outros Principals e o melhor valor de retorno determinado de políticas.

No exemplo abaixo a importância das políticas:

O objetivo desse exemplo é refinar o conjunto de valoresτ discutidos, com valoresintermediários adcionados{⊥, ∗, low, medium, high}, considerando as informações deordemv especificada no diagrama.

Figura 1. TabelaInicial

Figura 2. Dia-grama

Figura 3. TabelaResultante

Esta ordenação não diz nada sobre o que é mais confiável. O limite de qualquerencadeamento reflete uma boa informação. O elemento∗ representa a incerteza de decisãoentre o valorhigh ou medium, enquanto⊥ aconselha a todos sobre o atual grau deconfiança. Seja o seguinte conjunto de Principals℘ = {a, b, c} com políticas mostradasna figura 1. Cada linha representa a política do Principal, por exemplo com base na tabelainicial vemos que a confiança quec tem ema deve ser respondida porb, ou seja, é amesma é a mesma confiança queb tem ema (que será representada na tabela 2), e aconfiança quec tem emb éhigh pois já está definida inicialmente. Desta forma todo graude confiança, ou∗ e são definidos a priore e mantidos na tabela final. O valorask vistona tabela inicial representa uma forma de referência.

2.2.3. Estrutura de confiança

Nesta seção será discutida a tripla(τ,¹,v) a qual é chamada de estrutura de confiança. Anoção de treliça completa tem um papel relevante na definição da estrutura de confiança.

2.2.4. Treliça Completa

A ordem parcial(D,≤) é dita treliça completa se todoX ⊆ D tem o menor limitesuperior (lub) e conseqüentemente o maior limite inferior (glb), onde∨ = lub e∧ = glb.

O sistema de gerenciamento de confiança é definido através de um conjuntoD devalores e graus de confiança, são feitas comparações e combinações entre os elementos deD como forma de definir o grau de compreensão do dado conjunto de valores de confiançaou representar o nível de confiança comum entre os vários Principals. As combinações em(D,≤) podem ser consideradas como lub ou glb do conjunto de valores e para quantificara incerteza é definido um operadorI que estenda a treliça(D,≤) da estrutura de confiança(τ,¹,v). O conjuntoτ consiste no conjunto de intervalos sobreD o qual contém aimagem precisa deD.

2.2.5. Construção de Intervalos

Nesta seção é definida a ordenação¹ que também é considerada em[Kulish and Miranker 1981], vejamos algumas definições:

Definição 1: Dada uma treliça completa(D, 6) e X,Y ⊆ D subconjuntos nãovazios diz-se que:

X ¹ Y ⇔∧X ≤ ∧Y e∨X ≤ ∨Y

Desta forma vemos que a antisimetria falha logo6 não é a ordem parcial no subconjuntodeD. As classes de equivalência utilizadas para obter a ordem parcial são∼=¹ ∩ º.

Definição 2:Para(D,≤) a treliça completa do conjuntoI(D) = {[d0, d1]|d0, d1 ∈D, d0 ≤ d1}, onde [d0, d1] = {d|d0 ≤ d ≤ d1} é o intervalo (de confiança) deDdeterminado pord0 ed1.

Proposição 1:SejaX = [d0, d1] onde o dado intervalo pertence aD, então∧X =d0 e∨X = d1.

A proposição tem a seguinte consequência: Dado um grau de confiançaX istoimplica queX ∼ [∧X,∨X], ∀X ⊆ D. Obtendo novos intervalosd′0 e d′1 temos que[d0, d1] ∼ [d′0, d

′1] ⇒d0 = d′0 e d1 = d′1, dessa forma com lema abaixo é possível carac-

terizar¹ em termos de≤.

Lema 1: Seja[d0, d1] e [d′0, d′1] intervalos deD, temos que[d0, d1] ¹ [d′0, d

′1] ⇔

d0 ≤ d′0 ed1 ≤ d′1.

Em função do lema apresentado podemos mostrar a estrutura(D,≤) através daestrutura(I(D),¹), a qual representa uma treliça completa.

Definição 3: Para(D,≤) a treliça completa eX,Y ∈ I(D) defineX v Y seY ⊆ X.

Com isso vamos caracterizarv em termos de≤ vejamos o lema.

Lema 2: Seja[d0, d1] e [d′0, d′1] intervalos deD, temos que[d0, d1] v [d′0, d

′1] ⇔

d0 ≤ d′0 ed1 ≤ d′1.

Através desse lema podemos ter uma ordenação prévia dos intervalos de confiançae por (I(D),v) conseguimos a ordem parcial completa. E por fim podemos concluirque¹ é contínua em relação av e quev é contínua em relação a¹ o que expressa apropriedade(I(D),¹,v).

Vejamos um exemplo:

SejaR um conjunto com números reais entre0 e 1, o qual é intrelaçado atravésda ordenação usual≤, consideraremos também o intervaloI(R) ∈ R. O domínio deconfiança obtido é de grande importância por expressar políticas complexas e por mostrara incerteza, onde o intervalo[d0, d1] ∈ I(R) é visto como grau de confiança onded0 échamado de grau de confiança e1− d1 grau de desconfiança.

2.2.6. Operadores para Aumento de Confiança

O aumento ou decremento da confiança se dá em função do aumento ou decremento dointervalo de confiança o qual representa a incerteza intrínseca ao problema. Vejamosalgumas definições:

Definição 4: Para (D,≤) e (D′,≤′) treliças completas ef : D −→ D′

(função contínua), comI(f) : I(D) −→ I(D′) sendo uma extensão def definida por:I(f)([d0, d1]) = [f(d0), f(d1)].

O fato def ser contínua implica emI(f) ser bem definida.

Os intervalos encaixadosw ∈ (D,≤) são definidos pela função monotonamentedecrescentec : w −→ T , ou sejai ≤ j ⇒ cj ≤ ci. Desse modof : (D,≤) −→ (D′,≤′)é dita co-contínua⇔ ∀w, c ∈ D o que significaf ser uma função impar∧f(c) = f(∧c).E f é dita bi-contínua se é contínua e co-contínua.

Proposição 2:Dado[dn0 , d

n1 ] sew ∈ (I(D),v), entãou[dn

0 , dn1 ] = [∧dn

0 ,∨dn1 ].

O que significa que∀w ∈ (I(D),v) existe um glbs.

Teorema 1: Para(D,≤) e (D′,≤′) treliça completa ef : D −→ D′ função bi-contínua o ponto de extensãoI(f) é bi-contínuo com respeito a ordem de informações ede confiança.

2.2.7. Operadores Soma e Multiplicação

O operador multiplicação tem como entrada dois intervalos[d0, d1] e [d′0, d′1] e é definido

por:

[d0, d1] · [d′0, d′1] = [d0 · d′0, d1 · d′1]O operador soma funciona de modo análogo é definida por:

[d0, d1] + [d′0, d′1] = [d0 + d′0 − (d0 · d′0), d1 + d′1 − (d1 · d′1)]

Esse operador é apresentado em[Josang 2001]

2.2.8. Operadores de Decremento

[d0, d1] B [d′0, d′1] = [d0 · d′0, 1− d0 · (1− d′1)]

Esse operador é apresentado em[Josang 2001]

Exemplo: SejaD = {N,W,R, RW} como já vimos anteriormente os elementosdeD estão ordenados pela relação≤ ou sejaN ≤ W ≤ R ≤ RW desta forma podemosconsiderar o seguinte cenário:

Lia confia em Bob com um intervalo de valor menor que[W,RW ] o qual dependedo que ela pensa sobre Claudio. Porém, a confiança que Lia tem em Claudio dependeráda confiança dela em Bob. Vejamos: Se a confiança que Lia tem em Bob é maior que[W,W ], então Claudio terá confiança[R,RW ] senão[N, RW ].

Para obter os valores dados são usadas as estruturas(D,v) e (D,¹) onde(D,¹)retornará[N,R] e (D,v) retornará[W,R], comoW é o maior limite inferior define-se[W,W ] como padrão para comparação. Se a confiança passa de[W,W ] então é atribudoum limite inferior imediatamente acima deW , ou seja,R e o limite superior assume omais alto valor, caso contrário o limite inferior assume o valor mais baixo queW , ou seja,N e o limite superior o mais alto possívelRW .

2.2.9. Conclusão

Este modelo foi desenvolvido por pesquisadores que participaram do projeto SECURE[B. Shand and Serugendo 2003]. Este modelo serve como base para a aplicação propostapor [B. Shand and Bacon 2004], a aplicação tem como principal objetivo o uso de agendascompartilhadas em PDA. O modelo SULTAN desenvolvido por [Grandison 2003], tevecomo base o modelo visto (num total 4 modelo que fortemente o influenciaram).

Como visto o modelo é extremamente complexo, que requer um grande conheci-mento matemático que muitas pessoas da área de informática não possuem como a teoria

de Análise Matemática e Algebra (grupo e anéis), isto talvez seja umas das maiores bar-reiras.

Apesar do autor não discutir bons cenários para melhorar o entendimento do mod-elo, e assim verificar o bom funcionamento do mesmo, através de outros artigos percebeceo bom funcionamento para cenários específicos.

2.3. Modelo para o Gerenciamento de Confiança em Serviços Móveis

O novo modelo o qual chamei de Modelo para o Gerenciamento de Confiança em ServiçosMóveis tem como foco principal redes Wireless802.11

O grande mercado para os serviços móveis deverá ser mais eficiente com redesde grande alcance como WiMax, onde provavelmente a grande procura por serviços degerenciamento de confiança ocorrerá, já que o grau de confiança pode ser um ponto de-cisivo para muitas pessoas na hora de decidir onde almoçar, ou qual serviço de mecânicachamar. Desta forma um modelo de gerenciamento de confiança pode ser um divisor deáguas que decidirá quem vencerá uma concorrência.

Com o foco em redes de pequeno alcance (Wireless 802.11) podemos ver um mer-cado muito forte para aplicação de um sistema de gerenciamento de confiança, como porexemplo num campus universitário. Dentro de um campus universitário existem muitosserviços prestados a comunidade acadêmica, desde o serviço de xerox, papelarias à restau-rantes, monitoria, entre outros. Certamente se um serviço disponibiliza-se o grau de con-fiança de um estabelecimento prestador de serviço, este serviria como uma indicação amais para este estabelecimento (já que o grau é dado por pessoas que já utilizaram osserviços). Podemos imaginar pessoas munidas de dispositivos móveis (com cartão paraacesso a redes Wireless), assim que estas pessoas entrassem num campus com coberturateriam a relação dos serviços disponíveis, e aqueles serviços que tivessem o sistema degerenciamento de confiança poderiam disponibilizar para os clientes em potencial o graude confiança atribuído aos serviços prestados, o que funcionaria (indiretamente) comouma indicação. O grau de confiança funcionará como uma indicação, já que o grau deconfiança é dado por clientes e inevitavelmente está interligado a qualidade dos serviçosprestados, e a competência da pessoa que se propõem a prestar os serviços (este últimoprincipalmente para o caso de um monitor de uma matéria numa universidade por exem-plo).

2.3.1. Princípios de projeto

O modelo foi pensado de forma centralizada apesar de muitos outros trabalhos teremcomo ponto de partida um modelo descentralizado, onde o cliente é responsável por todoo processamento. Grande parte dos argumentos a favor deste modelo, tem como base ofato de que estamos trabalhando para criação de um modelo confiável, e como seria pos-sível este ser confiável se esbarramos em fronteiras administrativas, ou seja, a todo o mo-

mento há um administrador que tem acesso a todos os dados. Este é um fato real, porémem muitas outras situações nossos dados estão disponíveis para pessoas que nem mesmoconhecemos, como por exemplo em um banco, todos os nossos dados estão disponíveispara funcionários do banco e nem mesmo nos preocupamos com isso. Neste caso o quevemos é que na maioria das vezes um protocolo social é seguido, então intui-se que oprotocolo social continuará válido para o cenário proposto neste trabalho. A justificativapara um modelo descentralizado é estarmos trabalhando com redes Ad-Hoc, pois assimo modelo irá propiciar uma agilidade maior. Como o Modelo para Gerenciamento deConfiança em Serviços Móveis foi pensado para redes wireless estruturadas, o modelocentralizado vem em primeira opção, pois desta forma seria possível um cliente magro(thin client), e assim o modelo seria acessível a um número maior de pessoas. A mobil-idade deste modelo não será afetada pois o objetivo é gerenciar a reputação de serviçosdentro de um campus coberto com redes wireless.

O grau atribuído à confiança ou reputação de um estabelecimento ou serviço, estáintimamente ligada a qualidade dos serviços prestados (boa comida no caso de um restau-rante), bem como o ambiente onde este serviço está sendo disponibilizado e a competênciada pessoa que está prestando o serviço (um bom atendimento num restaurante ou o bomdomínio da matéria por monitor).

2.3.2. Formação do nível de confiança

A formação de confiança de maneira simples e objetiva será feita através de questonáriosque devem ser respondidos, ou seja, devem ser atribuidos valores dentro de um determi-nado intervalo.

O modelo solicitará a todas as pessoas que já utilizaram serviços como aulas demonitoria, restaurantes, entre outros (que tenham um sistema para o gerenciamento deconfiança) que avaliem os serviços prestados pelos mesmos, fornecendo valores "inteirospositivos"dentro do seguinte intervalo [0,10]. Os itens que serão utilizados para inferir aconfiança (credibilidade) de um serviço são os seguintes:

1. Há um domínio daquilo que se pretende fazer, por parte do prestador de serviços?2. A qualidade do serviço prestado é condizente com o custo benefício?3. O tempo de espera e/ou pontualidade é satisfatório?

Após o preenchimento do questionários será definido em qual intervalo se encon-tra a confiança de um serviço, esta poderá ser classificada em três níveis: baixa, média oualta. Os intervalos são os seguintes:

Confiança Baixa - [0, 4];

Confiança Média - [5, 6];

Confiança Alta - [7, 10];

Para obter a confiança inicial de um serviço será necessário que um usuárioXatribua valores de confiança que ele tem em um serviçoY , seguindo os itens citadosacima. Feito isso, o componente "definir confiança"irá calcular através de média ponder-ada o valor da confiança queX tem em relação ao serviço prestado porY .

Vejamos como o componente definir confiança faz este cálculo:

Apesar de todos os itens do questionário terem uma grande importância optou-sepor dar pesos diferentes para cada pergunta do questionário.

Os pesos são distribuidos da seguinte forma: A primeira questão terá peso 5, asegunda terá peso 4 e a terceira terá peso 1.

Os pesos e os valores serão definidos por:

pesos =∑

fi evalores =∑

xi

Desta forma para obtermos o nível de confiaça inical basta utilizar a função abaixo.

σ =

∑xifi∑fi

Este valor será armazenado num banco de dados e caso um outro usuárioK in-teraja com o serviçoY , será feito o mesmo cálculo descrito anteriormente para obtermosa confiança queK tem em relação ao serviçoY . Porém é necessário definir uma novaconfiança "geral", ou seja, uma confiança gerada com base na confiança queX teve emY e queK teve emY e assim sucessivamente. Para inferir este tipo de confiança o com-ponente "definir confiança"definirá uma média entre os respectivos valores de confiança.

O sistema também utilizará pesos que variaram de [0, 1], a fim de valorizar asopiniões mais recentes dos usuários em relação aos serviços prestados.

Representados por:

γi ∈ [0, 1]

Todos os graus de confiança, dados no instante em que será caculado o grau deconfiança geral, terão sempre peso 1 e serão chamados deγ′. Os graus de confiançaσserão chamados deσ′ se são recentes eσ′′ se são graus já armazenados.

O grau de confiança geral é calculado da seguinte forma:

σ =

∑ni=1 γ′iσ

′i +

∑mj=1 σ′′j γj∑n

i=1 i +∑m

j=1 1γj

onde∀γ′i, γj temosγj ∈ [0, 1]eγ′i = 1

O grau de confiança geral deve ser armazenado em servidor disponível para osprestadores de serviço. Desta forma as opiniões dadas por usuários estarão presentesna média por cerca da11 semanas para serviços de restaurante e cerca de11 dias paraserviços de xerox, monitoria e outros que são utilizados com mais frequência.

Desta forma o sistema manterá os usuários a par da confiabilidade de um serviçosegundo outros usuários.

2.3.3. Disseminação do nível de confiança

A disseminação do nível de confiança é uma parte importante do modelo. A disseminaçãoserá feita através de mensagens, enviadas pelo próprio local que presta os serviço.

Um cenário que podemos imaginar é o seguinte:

Uma pessoa está passando por uma área com cobertura Wireless, porém esta nãotem conhecimento sobre bons serviços. Os locais que prestam serviços (munidos de umsensor de presença) ao perceber um usuário dentro da área de cobertura enviariam men-sagens aos clientes em potencial, (isto certamente já é utilizado em alguns lugares) maso interessante seria que estes serviços enviassem aos clientes em potencial, alem da pro-paganda o grau de confiança geral de seus serviços, e também especificar de três à cincousuários com os respectivos graus de confiança que cada um avaliou o serviço (isto certa-mente se o cliente concordar em expor sua opinião).

Um ponto de extrema importância neste cenário de disseminação da confiança é acriação de uma rede de amizade entre os usuários em função dos serviços. Assim, se você(usuário) está em uma área de cobertura que você desconhece a qualidade dos serviços(como descrito acima), mas seu amigo tem este conhecimento, você pode verificar se eleavaliou o serviço que você esta procurando e assim verificar qual foi grau de confiançaatribuído ao serviço por seu amigo. Desta forma é possível ter um ponto de referênciacom relação ao grau de confiança geral, já que a idéia dessa rede de amigos é que umamigo seja adicionado se ele tem um gosto parecido.

Assumindo que a disseminação de serviços é um ponto de grande importânciapara os prestadores de serviços, é certo que cada serviço desejará disseminar o seu graude confiança. O componente de disseminação de confiança faz uso das mensagens (propa-gandas) providas de grau de confiança para mostrar para o usuário o intervalo de confiançaque se encontra a área de cobertura segundo o serviço desejado por ele.

Esta função é expressa da seguinte forma:

δ(ser) ∈ [0, 10], ondeser ∈ ϕ

O conjuntoϕ representa o conjunto de serviços disponíveis em uma área cobertapor redes Wireless.

Cada usuário poderá ter uma rede de amigos que poderão recomendar algumserviço como dito anteriormente.

Esta recomendação será feita da seguinte forma:

Se um usuárioA tem como amigo para serviços de xerox o usuárioB, ele Apode fazer uma requisição ao usuárioB sobre bons serviços de xerox, ou até mesmo ousuárioB (sem receber requisições) pode recomendar ao usuárioA os melhores serviçosno campus.

Este serviço pode ter implementado um modelo de chave publica e privada paraverificar a identidade do usuário requisitante e do usuário recomendador.

ψrec(keyA) −→ B

A função ψrec(keyA) faz a requisição aB para que ele envie dicas de bonsserviços. O usuárioB retorna uma função de recomendação descrita por:

ξσB(keyB) −→ A

Esta função indica os serviços com o maior nível de confiança, na opinião deB.

Também foi pensada a possibilidade das recomendações diretas serem feitasatravés de Chat, porém, neste caso deve haver uma grande preocupação com o nível deenergia do dispositivo móvel. Uma solução é caso uma pessoa esteja na internet atravésde dispositivo móvel ou não, também tenha a possibilidade de fazer requisições, dar re-comendações e etc.

2.3.4. Evolução do nível de confiança

Neste modelo a evolução (acréscimo ou decréscimo) da confiança se dá principalmenteem função dos pesos atribuídos as questões que irão definir o grau de confiança de umserviço. O principal problema é que pessoas podem atribuir valores a fim de diminuiro grau de confiança de um determinado serviço ou atribuir valores com o objetivo deaumentar o grau de confiança de um serviço. Estes usuários são chamados de agentesmaliciosos, e a detecção destes agentes é uma das maiores dificuldades e sem essa de-tecção não é possível manter a qualidade do serviço de confiança.

O modelo proposto aposta em estratégias simples para detectar agentes mali-ciosos, como a utilização de logs para que possam ser feitas comparações entre as avali-ações armazenadas. Desta forma, é possível verificar se uma pessoa está dando um graude confiança muito acima do que a maioria das pessoas ou muito abaixo, e a partir daí jáé possível observar os agentes maliciosos em potêncial. Certamente através de pesquisasde campo e estudos estatísticos (em função do serviço prestado) é possível determinaro tempo de observação de um agente malicioso em potencial, e então após este instantetodo o grau de confiança atribuído pelo agente malicioso será desconsiderado da média.

Outra técnica utilizada na tentativa de evitar agentes maliciosos é utilizar umafunção de troca de pesos. Desta forma as questões utilizada para definir o grau de con-fiança nunca terão um peso fixo e assim se um agente a cada hora está com uma iden-tificação (o que certamente dificulta o uso da técnica anterior) e se ele costumeiramenteatribui o valor máximo na primeira questão, daqui a algum tempo este valor terá um pesomais baixo em função da rotação de pesos.

2.3.5. Cenários

Nesta seção descrevemos alguns cenários que serviram de base para o desenvolvimentode nosso modelo.

• Primeiro CenárioPesquisas mostram que ao longo dos anos os dispositivos móveis vem se tornandocada vez mais potentes e acessíveis. Estes aparelhos vêm sendo bastante utilizadosem educação através de aplicações m-learning, principalmente na Ásia. Pensandona previsão de uma grande demanda de aplicações m-learning em todo o mundo,podemos supor o seguinte cenário: Uma matéria de curso de graduação ministradaapenas a distância, (i.e. através de dispositivos móveis). O curso seria divididocomo em uma sala de aula presencial, aulas para discussão e busca de materiais, eaulas de dúvidas. As avaliações do curso seriam baseadas em presença e trabalhos.Muitas questões interessantes envolvem este cenário, a que será abordada é daresponsabilidade dos alunos para com a aula e os trabalhos, a partir dessas duasvariáveis podemos inferir a reputação de cada um destes alunos, utilizando o mod-elo de gerênciamento de confiança que foi definido.A reputação do aluno influenciará diretamente na posição do mesmo na fila de es-pera para aula de dúvida, ou seja, se um aluno tem uma reputação ruim certamenteele não tem comparecido as aulas e/ou os atrasos tem sido freqüentes, desta formaseguindo o modelo este aluno deverá ceder (o sistema fará esta reordenação dafila) sua vez na aula de duvida para outros alunos que tem uma reputação melhor.

• Segundo CenárioEste cenário sugere uma aplicação para localização de serviços mais próximoscom base na reputação (localizado num campos coberto com rede wireless) comopor exemplo num campus universitário. Este sistema será baseado em confiançanos serviços (o que está intimamente ligado a qualidade dos serviços), este serviçodisponibilizará para seus usuários um espaço para cadastro (idealizando o cadastrode pessoas as quais você mais confie). O tipo de sistema pode ser utilizado parao serviço de monitoria que é fornecido nas Universidades, bem como para outrosserviços como restaurantes e xerox.O serviço de monitoria é um serviço de extrema importância para os alunos degraduação. Podemos imaginar um serviço que utilizará a rede wireless de um cam-pus universitário com o objetivo de localizar o(s) monitor(es) mais próximo(s),

com sua(s) agenda(s) e devida reputação, com relação ao(s) serviço(s) prestado(s).Certamente o cenário pode ser estendido para serviços de xerox, restaurantes, en-tre outros.Mesmo numa universidade renomada com bons serviços prestados à comunidadediscente, há muitos problemas de comunicação/localização no caso do serviço demonitoria, e desta forma não conseguem atender de forma eficaz o corpo discenteda universidade. O serviço proposto visa aumentar a credibilidade do serviço demonitoria.Podemos ver a grande utilidade do sistema com o seguinte cenário:Suponha que você é um aluno de graduação de uma universidade e pretende uti-lizar o serviço de monitoria de uma disciplina para tirar dúvidas sobre um exercí-cio que precisa ser entregue. Você se dirige ao local onde o monitor geralmentese encontra para tirar dúvidas e/ou dar aulas de revisão, mas por algum motivoele não se encontra e nem há recado indicando a sala onde possa ser encontrado(você sabe que ele está no campus "pois este assinou a lista de presença"). Devidoà importância do trabalho você pretende procurar o monitor por todas os locaispossíveis o que causaria um desperdício de tempo e grande desconforto, além dainsatisfação com este serviço fornecido pela universidade.A fim de aumentar a satisfação dos alunos e evitar esse tipo de situação foi con-cebido o modelo para o gerenciamento de confiança em serviços móveis, quefornecerá a credibilidade dos monitores, aos alunos munidos de um dispositivomóvel. Além disso, após cada interação (aula) o aluno poderá opinar sobre oserviço prestado, dando o grau de confiança que ele atribui a este monitor, ou seja,se ele tem domínio da matéria, se explica bem e se é pontual. Com esse tipo deserviço implantado, o aluno descrito no cenário acima, facilmente encontraria osmonitores, já que o sistema fornece uma lista com os monitores ordenados porproximidade, com as respectivas agendas (dia e horário disponível) e seus respec-tivos (graus) níveis de confiança, inferidos através de opiniões dadas por outrosalunos que já interagiram com os monitores presentes.Não estamos preocupados com usuários maliciosos, assumimos que os alunosseguirão o protocolo social uma vez que são os grandes beneficiários desseserviço.

2.3.6. Conclusão

Este é um modelo simples desenvolvido com base em cenários cotidianos, como de umcampus universitário onde muitas pessoas utilizam o serviço de xerox, ou um campusempresarial onde há uma grande demanda para o serviço de restaurantes.

O modelo se propõe a gerenciar a confiança que uma pessoa tem em relação a umserviço oferecido. A utilização deste modelo também incentiva o aumento da qualidadedos serviços prestados por aumentar a competitividade.

Certamente que antes da aplicação do modelo em algum campus devem ser feitasestatísticas e pesquisas, para verificar os requisitos dos estabelecimentos situados no cam-pus, como quantas vezes um cliente freqüenta um restaurante (uma vez no mês, uma vezno ano, etc). A partir desta análise o modelo pode ser implantado seguindo os requisitosdos serviços locais.

O modelo não se propõe a gerenciar a confiança que uma pessoa tem em relaçãoa outra. Desta forma o modelo tenta não repetir o mesmo erro do modelo proposto em[Capra 2003] que tenta modelar a confiança humana em qualquer situação. O nosso mod-elo tenta gerenciar a confiança que uma pessoa tem em um serviço, assim como modelodescrito em [Grandison 2003] que se limita a falar de aplicações para internet. O nossomodelo tenta de forma simples descrever um modelo para o gerenciamento da confiança,desta forma espero que o modelo seja de fácil entendimento para a maioria das pessoasjá que não foram usadas ferramentas matemáticas extremamente pesadas como é feito notrabalho de [M. Carbone and Sassone 2003] e [B. Shand and Serugendo 2003]. Por fimcenários foram sugeridos a fim de tentar facilitar o entendimento do modelo e dar idéia deonde se aplicar o modelo, assim como [B. Shand and Bacon 2004]. Com isso espera-seque o modelo seja de fácil entendimento e grande aplicação dentro do que se propõe afazer.

Referências

B. Shand, M. Carbone, M. N. K. K. C. B. and Serugendo, G. M. (2003). Using trust forsecure collaboration in uncertain environments.SECURE Project IEEE CS and IEEEComSoc.

B. Shand, N. N. and Bacon, J. (2004). Trust for ubiquitous, transparent collaboration.

Capra, L. (2003). Engineering human trust in mobile system collaborations.

Grandison, T. W. A. (2003).Trust Specification and Analysis for Internet Applications.PhD thesis.

Josang, A. (2001). A logic for uncertain probabilities.Fuzziness and Knowledge-BasedSystems.

Kulish, U. W. and Miranker, W. L. (1981). Computer arithmetic in theory and practice.Academic Press.

M. Carbone, M. N. and Sassone, V. (2003). A formal model for trust in dynamic networks.