Gestion de la confiance dans les communautés

Gestion de la confiance dans les communautés ouvertes Samuel Galice * Marine Minier * Stéphane Ubéda * * Centre d Innovations en Télécommunications et Intégration de services CITI/INSA-Lyon - INRIA/ARES Domaine Scientifique de la Doua - âtiment Léonard de Vinci 21, avenue Jean Capelle - 69621 Villeurbanne Cedex prénom.nom@insa-lyon.fr RÉSUMÉ. Si l objet communicant est devenu de nos jours une réalité technologique, il reste d un usage encore relativement limité car un certain nombre d obstacles majeurs - essentiellement liés à l absence de modèle de sécurité aisément réalisable et socialement acceptable - empêchent le développement de son utilisation. Afin de surmonter ces obstacles, un modèle de gestion de la confiance doit être préalablement développé dès lors qu il s agit de considérer des interactions spontanées entre des objets divers n ayant pas forcément une autorité de confiance commune. Le modèle que nous présentons ici est inspiré des résultats obtenus par l analyse des relations de confiance humaines. Il utilise des données cryptographiquement prouvables pour évaluer les niveaux de confiance à accorder aux différentes parties. Nous décrivons ici succinctement le protocole cryptographique utilisé ainsi que les contraintes inhérentes à notre modèle de gestion de la confiance. Des simulations numériques son également présentées afin d ajuster les paramètres libres du modèle pour l optimiser. Cette architecture de gestion de la confiance est également facilement instaciable. ASTRACT. In the context of ambient networks where each small device must trust its neighborhood rather than a fixed network, we propose in this paper a trust management framework based upon social patterns. As in human interaction model, our proposal builds trust using cryptographically proved history elements of past interactions to enforce the trust notion. The main features of our framework are non transitivity of the trust bond and non transferability of the history. This gives a general framework that permits the implementation of various trust models. We also presents, in this paper, some experimental results that lead to several instanciations of the framework. MOTS-CLÉS : Objets communicants, modèle de confiance, architecture de réseaux KEYWORDS: Communicating objets, trust model, network architecture

2008 NOTERE. 1. Introduction L objet communicant, s il est devenu une réalité technologique, reste d un usage encore relativement limité. La technologie de radiocommunication n est plus un facteur limitant, par contre la faible capacité de traitement est un obstacle encore important, car elle interdit de doter les objets, sinon d une intelligence, du moins d une capacité de décision. Mais il existe un facteur encore plus limitatif que celui technologique, le facteur social : dans une informatique ambiante, comment préserver les données de la vie privée? Comment éviter les configurations fastidieuses? Les réseaux ambiants forment un cas particulier de réseau communicant où seul un système distribué et non-centralisé peut être envisagé [PER 04]. L hypothèse d un réseau connecté au sens multi-saut n est pas prise en compte, les terminaux peuvent s échanger des messages de façon opportuniste lorsqu ils se trouvent à portée radio. En conséquence, chaque nœud ne peut se protéger d éventuels voisins malicieux qu en faisant appel aux informations locales dont il dispose. Adresser des communautés ouvertes est bien entendu le problème le plus difficile à traiter [LEG 03, GAL 06b]. Un bon modèle de gestion de la confiance a pour objectif de réduire l incertitude provenant d une information partielle. Notre objectif est de définir une architecture de gestion de la confiance adaptable à de très nombreux contextes avec uniquement les hypothèses que l on vient de se donner. Cette architecture doit pouvoir être instanciée en fonction de contextes très variés tout en autorisant l interaction entre deux instances différentes de l architecture. Cela n implique pas que les communications seront toujours possibles, deux politiques de sécurités propres à deux instances du modèle pouvant être incompatibles. Il s agit de mettre également en place des moyens permettant une auto-administration et une gestion de communautés auto-organisées. Nos travaux ont été réalisés au sein de l ACI KAA, projet pluridisciplinaire impliquant à la fois les sciences humaines (sociologie, économie et droit) et les sciences informatiques (cf http://citi.insa-lyon.fr/ kaa/). Dans une première partie, nous définissons la notion de confiance au regard des travaux précédemment proposés dans le cadre des objets communicants. Dans la section suivante, nous décrivons l architecture de sécurité que nous avons construit à partir du modèle précédent et les modèles de gestion et de configuration permettant sa mise en œuvre. Nous développons, dans un troisième temps, des exemples d instanciations de notre architecture à partir de données expérimentales avant de conclure cet article. 2. Définition de la confiance et premiers exemples de mise en oeuvre Selon Gambetta [GAM 00], la confiance est vue comme la fiabilité en quelque chose ou quelqu un : La confiance est la probabilité subjective par laquelle un individu Alice prévoit qu un autre individu, ob, exécute une action dont son bien-être dépend. Cette définition met en évidence la notion de dépendance en la personne dite de confiance et la notion de fiabilité au sens probabiliste fonction de la personne

Gestion de la confiance 2009 donnant sa confiance. Le concept est plus complexe que ce que ne le laisse supposer cette définition. Ainsi, Falcone et Castelfranchi [FAL 00] reconnaissent qu avoir une forte confiance en une personne n est pas nécessairement suffisant pour décider d entrer dans une situation de dépendance vis à vis d elle. McKnightet et Chervany [CHE 02] définissent la confiance comme la dépendance qu une entité est prête à atteindre vis à vis d une chose ou d une personne dans une situation donnée avec un sentiment de sécurité relative, même si des conséquences négatives sont possibles. Selon [SUR 04], les systèmes de gestion de la confiance peuvent être décrits selon trois catégories : les systèmes fondés sur une politique de confiance et les credentials (lettres de change), les systèmes de confiance fondés sur la réputation et les systèmes fondés sur les réseaux sociaux. L approche envisagée dépend essentiellement de la manière dont la confiance est établie puis évaluée dans les relations entre chaque nœud du réseau. Si une politique de confiance est définie [LA 99a, LA 96], un nœud vérifie des credentials afin d établir une relation de confiance avec d autres nœuds. La gestion de la confiance est alors simplement limitée à cette vérification tandis que la politique de confiance qui est prédéfinie, permet de restreindre ou non l accès aux ressources. Un nœud possédant des ressources fournit à un demandeur un accès restreint à cette ressource seulement si celui-ci peut vérifier les credentials de ce dernier directement ou via un anneau de confiance [KHA 97]. Ce mécanisme de gestion de confiance n est pas complet, notamment en ce qui concerne les applications décentralisées car le nœud requérant le service fait implicitement confiance au nœud fournisseur de ressources. Dans les systèmes de gestion de confiance fondés sur la réputation, un nœud requérant une ressource peut construire sa propre note de confiance sur la fiabilité de la ressource demandée ainsi que sur le nœud fournisseur lui-même. La note de confiance associée à une relation est calculée à partir de la réputation globale des nœuds et d une évaluation locale propre aux nœuds particuliers impliqués dans la relation. Le troisième type de système de gestion de la confiance se fonde sur l analyse du réseau social à l intérieur de chaque communauté pour calculer des notes de réputation. On peut citer le systèmes Regret [SA 02] où les groupes sont identifiés selon leur valeur sociale, NodeRanking [PUJ 02] qui identifient des experts toujours en fonction du réseau social. 3. Architecture et protocoles Le modèle de gestion de la confiance que nous avons construit repose sur la notion d historique qui stocke des informations sur les interactions réussies entre les objets (comme celui proposé dans [CAP 04] et dans [LEG 03]). Dans notre modèle, l identité sociale d un objet se confond avec son passé. Le protocole Common History Extraction (CHE) présenté dans [GAL 06a, GAL 06b] permet de s assurer que les informations sont cryptographiquement prouvées et donc sûres. Chaque objet est muni d une identité unique ID (par exemple une adresse IP ou un nom) et de deux paires de clés cryptographiques (une pour le chiffrement, l autre pour la signature) liées à cette identité qui permettent la mise en œuvre des algorithmes cryptographiques choisis

2010 NOTERE. (fondés sur les modèle IE/IS, Identity ased Encryption/Signature). A partir d un historique vide, un nœud enregistre toutes les interactions réussies faites avec d autres nœuds dans le but de favoriser les interactions spontanées futures. Pour prouver ces interactions passées, il crée avec chacun des nœuds rencontrés un élément d historique qui est lié à leurs identités respectives et signé par les deux parties. Avant tout, les nœuds doivent construire un germe de confiance, soit en comptant le nombre de nœuds qu ils ont en commun dans leur historique, soit en forçant manuellement la relation : cela forme la phase de bootstrap. Si le nombre d interactions communes est suffisant (supérieur à un seuil p qui est fonction de la taille n de la communauté et de la taille k maximale d éléments que peut contenir l historique), ils peuvent alors interagir. La première étape de notre protocole suppose que les deux entités Alice et ob ont déjà une première fois interagi et construit un lien de confiance : c est un message m signé par ob qu Alice publie dans la partie publique de son historique (m, sign (m)) tandis que ob rend publique (m, sign A (m)) dans son propre historique. De même, on suppose qu à un autre instant de la vie du groupe, ob et Charlie ont construit à travers un tunnel sécurisé le message commun m de confiance mutuelle. A création du tunnel sécurisé (IE) création du tunnel sécurisé (IE) C création du message m= ID A et ID se font confiance création du message m = ID et ID C se font confiance A C A A signe m avec IS signe m avec IS C A signe m avec IS C signe m avec IS C La deuxième étape de notre protocole décrit alors le moyen d établissement de la confiance via l historique entre deux entités (ici Alice et Charlie) qui ne se sont jamais rencontrées. Ainsi, quand Alice rencontre Charlie pour la première fois, ils échangent la concaténation de toutes les identités qu ils ont dans leur historique. Une fois ce premier échange effectué, Alice et Charlie se rendent compte qu ils ont tous les deux rencontré ob auparavant et veulent se prouver l un à l autre cette rencontre mutuelle. Charlie, tout d abord, prouve à Alice que ob lui fait confiance grâce à la possession du message m. Le même procédé est répété pour Alice, le protocole garantissant les propriétés cryptographiques usuelles décrites dans [GAL 06b] : l authenticité (Charlie connaît la clé publique de ob, il peut authentifier sa signature et l identité d Alice), l intégrité est garantie par l utilisation de fonctions de hachage dans le schéma IS comme dans le cas classique du certificat, la confidentialité est garantie par le tunnel sécurisé. Ce dernier permet également de construire une authentification faible afin de se prémunir contre les attaques de l homme du milieu.

Gestion de la confiance 2011 4. Evaluation du modèle L évaluation de notre modèle passe par l utilisation de simulations numériques permettant de déterminer les valeurs optimales des différents paramètres libres du modèle pour le rendre le plus autonome possible. Dans une communauté de taille n, il s agit alors d étudier l influence de la taille maximale k de l historique et le niveau du seuil p d éléments communs. Deux types de réseau d interaction ont été envisagés. Le premier est bâti sur le tirage aléatoire et uniformément distribué des pairs de nœuds en interaction. Le second repose sur le tirage aléatoire des noeuds mais avec cette fois-ci une distribution qui suit une loi de puissance. Notons également que deux nœuds ayant interagi plusieurs fois gardent en commun un unique élément d historique qu ils réactualisent à chaque fois. Deux modes de remplacement d éléments d historiques ont également été envisagés lorsque l historique d un noeud est saturé. Le premier est le mode FIFO (First In,First Out) dans lequel l élément le plus ancien de l historique est enlevé le premier (l horodatage étant toujours possible, au moins avec une horloge locale). Le deuxième est le mode LFU (Least Frequently Used) qui consiste à retirer en premier l élément le moins fréquemment utilisé dans le comparatif des historiques. La Fig. 1 montre indépendamment du mode de remplacement et du type d interaction envisagée, que l évolution de la phase de bootstrap vue pour l ensemble du réseau est très rapidement décroissante et donc que le nombre d interactions forcées correspondant à une validation manuelle de couples de nœuds devient rapidement faible, le système dynamique prenant rapidement le pas dans le processus de prise de décision. Figure 1. Représentation de l évolution en pourcentage des interactions forcées par tranche de 50 pas de temps pour un réseau de taille n = 100 en considérant un historique de taille infini. Une deuxième expérience (Fig. 2) montre l évolution de la probabilité qu un couple de noeuds tiré au hasard puisse avoir un nombre suffisant de noeuds en commun dans leur historique respectif au temps t. Cette probabilité est égale à P (t) = 2 n(n 1) i j σ i,j

2012 NOTERE. où le facteur n(n 1)/2 correspond au nombre total de couples distincts possibles, la distribution σ i,j valant 1 si le cardinal de l intersection des historiques est supérieur à p, 0 sinon. L analyse des résultats montre bien évidemment que le mode LFU est bien Figure 2. Représentation de l évolution de la probabilité P au cours du temps t pour différentes valeurs de la taille k de l historique selon le mode de remplacement LFU ou FIFO choisi, (seuil : p = 3 pour n = 100 noeuds). plus efficace pour garder la cohésion d une communauté de noeuds en interaction régulière que le mode FIFO : plus les éléments très actifs sont gardés, plus il y aura de chances de les retrouver dans les autres historiques, et par conséquent d en avoir un nombre excédant le seuil p. Cette politique permet également de faire disparaître plus rapidement des références à des objets de la communauté qui pourraient ne plus être actifs. Les résultats obtenus sont sensiblement identiques dans le cas d un tirage aléatoire ou d un tirage en loi de puissance avec cependant un léger gain pour ce dernier. La Fig. 3 montre l évolution de la probabilité P (t) pour des valeurs croissantes du seuil p et de la taille k de l historique, au bout d un temps fini supérieur au temps nécessaire au bootstrap. Les valeurs de k sont prises entre 0, 5 n/ ln(n) et 1, 2 n/ ln(n) tandis que le seuil p varie lui entre 0, 5 n/ ln(n) et 1, 5 n/ ln(n). Ces bornes sont obtenues par une étude simple du modèle s inspirant du paradoxe des anniversaires. L analyse des résultats montre qu un seuil fixé à 3 ou 4 semble très raisonnable pour des communautés qui se veulent ouvertes et ne dépassant pas une centaine d objets. Au delà, la communauté deviendrait logiquement plus fermée car une plus grande cooptation manuelle serait nécessaire. 5. Conclusion et extensions du modèle Notre modèle de confiance a pour objectif de s appliquer à des communautés ouvertes et auto-administrables. Il se fonde sur l utilisation systématique d informations prouvables. Cette approche a une justification tant du point de vue du modèle technologique - éviter d avoir à se fonder sur des critères statistiques - que du modèle social en facilitant l enquête sur les événements passés lorsque c est nécessaire. Le facteur qui au premier abord apparaissait limitant était la taille de l historique : celle-

Gestion de la confiance 2013 P(10.000) p=3 p=4 p=5 p=6 p=7 k=25 99% 97% 88% 20% 2,5% k=22 95% 85% 60% 11% 2% k=19 83% 60% 30% 4,7% 1,5% k=13 30% 10% 2,5% 0% 0% Figure 3. Calculs de la probabilité P (t) pour t = 10.000 pas, n = 100 pour différentes valeurs de k (taille de l historique) et de p (seuil). La sélection des couples de nœuds suit une loi de puissance et le mode de remplacement est le mode LFU. ci augmentant à première vue en la racine carrée de la taille du réseau. Cependant, les simulations numériques ont prouvé que des communautés assez larges peuvent se gérer avec quelques dizaines d éléments d historique. Le modèle peut être naturellement instancié selon des comportements sociaux reconnus. Ainsi, le sentiment de sécurité vis-à-vis du contexte permet de définir la notion de climat de confiance. En effet, rien n empêche un mobile de réaliser une écoute passive des canaux de communications lorsque deux de ses voisins s échangent leurs historiques. Ce mobile pourra ainsi calculé un niveau de climat de confiance fonction du nombre d éléments d historique communs entre ceux de son propre historique et ceux perçus lors de l écoute passive. Cette valeur sera utilisée pour ajuster localement les paramètres libres du protocole renforçant ainsi l aspect auto-administration du modèle. Il n est bien évidemment pas possible simplement à l écoute de vérifier l exactitude de ces éléments, mais tricher à ce niveau là nécessiterait la coalition de pairs de mobiles écoutés, ainsi que la connaissance de l historique de l écouteur à abuser. Il est donc raisonnable de penser que ces éléments sont exacts et de s en servir pour inférer sur le paramètres d un mobile particulier. De manière plus globale, la triche sur l historique est rendue inintéressante et difficile à mettre en œuvre dans notre modèle car elle nécessiterait une part importante de social engineering : la présence active du ou des tricheurs dans l environnement immédiat est nécessaire pour s inscrire dans les historiques d un grand nombre de nœuds du système. 6. ibliographie [LA 96] LAZE M., FEIGENAUM J., LACY J., «Decentralized Trust Management.», IEEE Symposium on Security and Privacy, IEEE Computer Society, 1996, p. 164-173. [LA 99a] LAZE M., FEIGENAUM J., IOANNIDIS J., KEROMYTIS A. D., «The KeyNote Trust-Management System Version 2 - RFC 2704», RFC 2704, Available from http: //www.faqs.org/rfcs/rfc2704.html, September 1999. [CAP 04] CAPRA L., «Engineering human trust in mobile system collaborations.», TAYLOR R. N., DWYER M.., Eds., SIGSOFT FSE, ACM, 2004, p. 107-116.

2014 NOTERE. [CHA 06] CHAINTREAU A., HUI P., CROWCROFT J., DIOT C., GASS R., SCOTT J., «Impact of Human Mobility on the Design of Opportunistic Forwarding Algorithms», IEEE INFOCOM, arcelona, Spain, April 2006, page to appear. [CHE 02] CHERVANY N. L., KNIGHT D. H. M., «What trust means in e-commerce customer relationships : an interdisciplinary conceptual typology», International Journal of Electronic Commerce, 6, 2, pp. 35-59, 2002. [DL02] The First International Joint Conference on Autonomous Agents & Multiagent Systems, AAMAS 2002, July 15-19, 2002, ologna, Italy, Proceedings, ACM, 2002. [FAL 00] FALCONE R., CASTELFRANCHI C., «The Socio-cognitive Dynamics of Trust : Does Trust Create Trust?», FALCONE R., SINGH M. P., TAN Y.-H., Eds., Trust in Cybersocieties, vol. 2246 de Lecture Notes in Computer Science, Springer, 2000, p. 55-72. [GAL 06a] GALICE S., LEGRAND V., MINIER M., MULLINS J., UÉDA S., «A History- ased Framework to uild Trust Management Systems», Second International IEEE SECURECOMM Workshop on the Value of Security through Collaboration, 2006, to appear. [GAL 06b] GALICE S., MINIER M., MULLINS J., UÉDA S., «Cryptographic Protocol to establish trusted history of interactions», Third European Workshop on Security and Privacy in Ad hoc and Sensor Networks, 2006, LNCS to appear. [GAM 00] GAMETTA D., «Can We Trust Trust?», GAMETTA D., Ed., Trust : Making and reaking Cooperative Relatioins, chapitre 13, p. 213-237, Published Online, 2000. [GRA 00] GRANDISON T., SLOMAN M., «A Survey of Trust in Internet Applications.», IEEE Communications Surveys and Tutorials, vol. 3, n o 4, 2000. [KHA 97] KHARE R., RIFKIN A., «Weaving a Web of trust», issue of the World Wide Web Journal (Volume 2, Number 3, Pages 77-112), Summer 1997. [LEG 03] LEGRAND V., HOOSHMAND D., UÉDA S., «Trusted Ambient community for self-securing hybrid networks», Research Report n o 5027, 2003, INRIA. [MUN 05] MUNDINGER J., LE OUDEC J.-Y., «Analysis of a Reputation System for Mobile Ad-Hoc Networks with Liars», The 3rd International Symposium on Modeling and Optimization in Mobile, Ad-Hoc and Wireless Networks (WiOpt 2005), p. 41-46, IEEE Computer Society, 2005. [PER 04] PERICH F., UNDERCOFFER J., KAGAL L., JOSHI A., FININ T., YESHA Y., «In Reputation We elieve : Query Processing in Mobile Ad-Hoc Networks», mobiquitous, vol. 00, 2004, p. 326-334, IEEE Computer Society. [PUJ 02] PUJOL J. M., SANGÜESA R., DELGADO J., «Extracting reputation in multi agent systems by means of social network topology.», AAMAS [DL02], p. 467-474. [SA 02] SAATER J., SIERRA C., «Reputation and social network analysis in multi-agent systems.», AAMAS [DL02], p. 475-482. [SUR 04] SURYANARAYANA G., TAYLOR R. N., «A Survey of Trust Management and Resource Discovery Technologies in Peer-to-Peer Applications», ISR Report UCI-ISR-04-6, http://citeseer.ist.psu.edu/suryanarayana04survey.html, July 2004.