Gestion de la confiance au web sémantique basée sur l’expérience

By 24 February 2013

3.3 Gestion de la confiance basée sur l’expérience

Le système comporte plusieurs entités (ou acteurs) et est de type peer-to-peer. Ces systèmes ont été largement étudiés ces dernières années. Le principe de cette approche est que l’on utilise des données sur le comportement passé de l’acteur et les recommandations des autres entités pour évaluer la confiance que l’on peut attribuer à cet acteur.

La relation entre deux acteurs, le donneur de confiance (trustor) et le demandeur de confiance (trustee), s’établit de la manière suivante : le donneur de confiance aura pour rôle d’estimer le niveau de confiance (trust level ) qu’il peut accorder au demandeur de confiance en se basant sur sa réputation; il décidera alors de lui faire confiance ou non en fonction du résultat obtenu. Cette réputation est basée sur les relations passées entre donneur et demandeur de confiance (expérience) et parfois sur le partage d’expériences avec d’autres demandeurs de confiance (recommandations).

Ces systèmes se sont beaucoup développés depuis l’apparition des sites d’enchères en ligne : le donneur de confiance est le site (ou éventuellement un ensemble de sites partenaires), les demandeurs de confiance sont les utilisateurs (clients et vendeurs) et leurs réputations sont fonction de la manière dont les achats et les ventes se sont déroulés sur le(s) site(s).

Une autre utilisation concerne les systèmes décentralisés, dans lesquels un système ne connaissant pas un client va contacter d’autres systèmes pour connaître sa réputation puis décider si celui-ci est digne ou non de confiance. Certains systèmes d’échanges utilisant le modèle peer to peer fonctionnent ainsi pour établir la priorité des échanges avec leurs clients.

Dans la section suivante, nous présentons quelques systèmes de gestion de confiance significatifs appliquant cette approche tels que modèle de Marsh [67], eBay [38], le modèle en logique subjective de Josang [55, 54], le modèle de réputation d’Abdul-Rahman et Hailes [2], le modèle de Shmatikov et Talcott[79] et le framework de Krukow et al. [59].

3.3.1 Modèle de Marsh

Marsh est le premier auteur qui a donné une formalisation du concept de confiance. Dans sa thèse [67], il propose un modèle général de gestion de la confiance dans le cadre de la coopération qui utilise la notion de réputation.

Il a défini trois sortes de réputations : Basique, Générale et Situationnelle. Ces trois réputations sont représentées par des valeurs dans [−1, +1]. Marsh estime que si la confiance aveugle existait, alors le fait de chercher à estimer la réputation d’une entité ne serait plus nécessaire. Il considère donc que la confiance aveugle n’existe pas et retire la valeur +1 du domaine des valeurs possibles pour les réputations. L’auteur ne précise

pas d’où provient l’information qui permet de calculer les réputations, ni comment les réputations sont initialisées. Il s’est intéressé principalement aux processus de décision. Les réputations sont calculées par rapport à l’ensemble des interactions.

L’auteur a proposé pour ce modèle un processus de décision entièrement automatisé. Chaque décision est prise par seuillage : si la valeur de réputation Situationnelle est supérieure au seuil de coopération, alors l’entité coopère sinon elle ne coopère pas. Marsh a proposé également plusieurs définitions de ce seuil de coopération en fonction des risques, de la compétence de la cible et de l’importance de la situation perçus par le bénéficiaire.

Un modèle manipulant des réputations fondées sur des interactions directes entre cibles et bénéficiaires est proposé dans ce système. Ces réputation sont toutes subjectives, graduées et non transitives. La notion de dimension n’est ni présente ni déductible du modèle. Les processus de décision sont indépendants de l’humain.

3.3.2 eBay

Le site de vente aux enchères eBay[38] met en œuvre un schéma d’utilisation de réputation simple et représentatif. Ce système de réputation est basé sur l’historique des transactions passées de chaque acteur. Après chaque enchère, le vendeur et l’acheteur ont la possibilité de s’évaluer mutuellement en émettant un avis positif, neutre ou négatif sur la transaction. La réputation d’un utilisateur (acheteur ou marchand) est fonction de l’ensemble de ces avis, cette information est partagée dans le système.

Ce schéma de réputation est facilement compréhensible et est la base de la confiance des utilisateurs dans le système. Grace à l’ensemble des avis disponibles, le système peut déterminer le pourcentage de transactions évaluées positivement par les utilisateurs. Cette information permettra de prendre la décision de réaliser ou non une vente ou un achat. Par contre, ce schéma de réputation est centralisé, toutes les informations concernant la réputation sont gérées par eBay qui connait donc les avis émis par chacun des utilisateurs.

Dans le cadre des sites de vente en ligne, il est possible d’utiliser un autre aspect de la réputation : l’appréciation sur les produits ou sur les marchands. Quand le client achève une transaction, il peut la noter sous la forme d’une appréciation (de 1 à 5 étoiles). L’ensemble de ces appréciations permet de disposer de la réputation des produits ou des vendeurs et les futurs clients peuvent consulter ces informations avant de se décider pour un achat. À présent, ce modèle est appliqué dans presque tous les sites de vente en ligne. Le site de vente Amazon en est un exemple typique [37].

3.3.3 Modèle d’Abdul-Rahman et Hailes

Abdul-Rahman et Hailes [2] ont proposé un modèle de calcul de confiance basé sur l’expérience et la recommandation dans le contexte spécifique d’une communauté; il s’agit de réseau de type pair-à-pair.

La valeur de confiance est discrète et appartient à l’ensemble {-2, -1, 0, +1, +2} qui correspond respectivement à {very untrustworthy, untrustworthy, neutral, trustworthy, verytrustworthy }. Chaque entité de la communauté stocke ses valeurs de confiance dans les entités avec lesquelles elle a eu des contacts (son expérience). Les recommandations des autres entités au sujet de la confiance en une autre entité permettent d’enrichir leurs propres expériences sur cet individu. Ces valeurs de confiance sont calculées à partir de l’historique complet des interactions.

3.3.4 Modèle de A. Josang

Audun Josang a proposé une logique modale spécifique, dite logique subjective [50,

51, 55, 52] pour modéliser des systèmes de réputation. C’est une logique de croyance subjective de propositions incertaines. Le composant de base de cette logique est l’opinion. Une opinion est un quadruplet qui contient les éléments suivants : b la croyance dans la proposition, d l’incrédulité (disbelief ) en la proposition, u l’incertitude de la proposition et a l’atomicité relative de la proposition. Ces valeurs sont de type numérique et sont lieés entre elles par la relation suivante : b + d + u = 1. La probabilité d’espérance est égale à b + a ∗ u.

Le calcul de la confiance sur un contexte incertain est réalisé en raisonnant sur un chemin défini en terme de probabilité sur des événements incertains. Six opérateurs sont définis (conjonction, disjonction, négation, consensus, actualisation (discounting) et inférence conditionnelle ) pour raisonner sur la confiance. Le système ne permet pas d’analyser et de faire des calculs sur la confiance si les chemins ne sont pas interconnectés.

L’opérateur inférence conditionnelle [49] permet de modéliser la situation où l’antécédent et la conséquence sont incertains, en lui donnant une valeur probabiliste. Supposons que l’affirmation x soit associée à l’opinion ox et que l’hypothèse conditionnelle x → y soit associée à l’opinion ox→y . Ce qui nous intéresse dans ce cas, c’est de connaître l’opinion oy sur la conclusion de y. C’est l’opérateur d’inférence conditionnelle qui traite cette opération.

3.3.5 Modèle de réputation de Shmatikov et Talcott

Ce modèle est proposé par Shmatikov et Talcott [79] et a été adapté par Krukow et al. [59] pour le framework qu’ils ont utilisé pour leur système de réputation. Ce modèle définit la notion de licenses. Une license formalise les restrictions et les obligations, elle explique ce que son propriétaire doit ou ne doit pas faire et ce qu’il peut ou ne peut pas faire. Une licence l est spécifiée par trois fonctions : l.permits, l.violated et l.done. L’historique H est l’ensemble des événements associés à un principal.

Les fonctions l.violated et l.done prennent H comme paramètre d’entrée et rendent une valeur booléenne. La fonction l.violated rend true si l’historique H viole la license. La fonction l.done rend true si la licence l a expiré dans l’historique H. La fonction l.permits prend deux paramètres en entrée : un événement e et l’historique H, elle rend true si et seulement si l’événement e peut être ajouté (autorisé) à la licence.

Comment un principal p qui disposerait d’une licence l et d’un historique H peut accéder à une ressource ? Le propriétaire de la ressource r effectue un contrôle des droits d’accès en prenant la licence l et l’historique H comme paramètre. Le droit d’accès à la ressource r est spécifié par son propriétaire en utilisant la méthode r.useOK(l,H). La valeur de retour de cette méthode est true si le principal p peut accéder à la ressource avec sa licence l et son historique H. Dans le même temps, cet événement sera pris en compte et ajouté à l’historique H.

En utilisant les différents éléments définis ci-dessus : la licence l, les fonctions et la méthode de contrôle d’accès à la ressource useOK , un principal peut définir une politique qui donne ou non le droit d’accès à sa ressource r aux autres principals en fonction de leurs historiques.

3.3.6 Framework de réputation de Krukow et al.

Krukow et al. [59] ont proposé un framework qui utilise la logique de type LTL [74] pour formaliser des systèmes de réputation. Le framework se compose d’une structure d’événements, d’un langage de politique et d’un vérificateur de politique.

Dans ce framework, tous les comportements des entités sont observés en tant qu’événements. Lors d’une interaction, ces événements apparaissent dans un ordre qui est compatible avec la structure d’événements (structure qui décrit les relations entre les événements). Les événements relatifs à une interaction sont conservés sous la forme d’une séquence d’événements : une session. Les sessions sont sauvegardées dans l’historique des interactions de l’entité. Une logique modale (de type LTL [74]) qui s’applique aux faits ayant eu lieu dans le passé est mise en oeuvre comme langage d’expression de la politique. Avec ce langage, la politique de sécurité d’une entité est spécifiée sous la forme d’une formule logique. Le module de vérification a pour objectif de vérifier en

permanence si un historique H satisfait ou pas une politique ψ : H |= ψ. C’est cette

valeur de vérité qui permet de déterminer si l’on peut faire confiance ou non.

Voici un bref exemple proposé par [59]. Nous nous plaçons dans le contexte d’un client qui veut effectuer une enchère sur le site eBay. Son comportement est modélisé sous la forme d’événements :
pay : il paie pour la transaction quand le vendeur le lui demande,
ignore : il ne paie pas et abandonne la transaction,
confirm : il veut avoir une confirmation du vendeur après avoir réalisé le paiement,
time_out : le vendeur a reçu le paiement et a abandonné la transaction,
positive/neutral/negative : évaluation de la transaction avec le vendeur. Le client peut avoir à un moment donné un historique H tel que :

H = {pay,confirm,positive}{pay,confirm,neutral}{pay}

Le client dispose de la politique (représentée par une formule logique) :

ψ ≡ ¬F −1(time_out)

Cette politique indique que le client ne participe qu’à des enchères proposées par les vendeurs qui ont toujours envoyé les produit payés. La vérification H |= ψ fournit un résultat binaire (oui/non) qui indique au client s’il peut continuer ou non la transaction en cours. Une explication détaillée de ce scénario sera présentée dans le chapitre 4.

Ce framework permet de formaliser parfaitement les systèmes de réputation avec une syntaxe stricte. Les problèmes que posent ce framework sont le volume nécessaire au stockage de l’historique et l’algorithme de vérification de la politique qui est de complexité exponentielle (vérifier la satisfiabilité d’une formule de logique est un problème NP-complet).

Lire le mémoire complet ==> (Infrastructure de gestion de la confiance sur Internet )
Thèse pour obtenir le grade de Docteur – Spécialité : Informatique
École Nationale Supérieure des Mines de Saint-Étienne