論網路信任 – 我怎麼知道網路那頭的人會不會騙我?

Posted by Mr. Friday

今天我們要談的主題是網路的信任機制。信任,英文稱之為Trust。三國演義有云:「人無信不立。」自古以來,信任即為……。(扯遠XD

拉回正題,今天並不是要寫作文,今天的主題是「如何在網路上相信他人?」或者說,該不該相信誰?的問題。談到網路交易,大家往往第一個念頭都是:「網路交易可以相信嗎?」有很多從事網路業的人,以為大家害怕的是網路駭客竊聽這類的問題,於是紛紛投入技術面的防範。這當然是個重要的課題,然而事實上,網路交易的安全性並不只在於防範「網路訊號會不會被竊聽」、「帳號會不會被盜」之類比較偏技術性的危險,還有一個比較容易被人忽略、但其實更為重要的的問題是:「我怎麼知道網路那頭的人會不會騙我?」

「我怎麼知道網路那頭的人會不會騙我」有多重要?看看新聞就知道了。打開電視與報紙統計一下,其實網路信用卡密碼被盜的駭客新聞出現的比例遠比「少女被網友詐騙失蹤」、「女恐龍網路詐騙,捲款宅男幾百萬」來得少多了。技術性帳號的盜取也許比較容易防範,但是人與人之間的信任似乎來得更重要,卻也更難以防範。數學上有一個很有名的問題,叫做「拜占庭將軍問題」,就是在討論人與人之間的信任危機。拜占庭位在今日土耳其的伊斯坦堡,是東羅馬帝國的首都,所以東羅馬帝國也稱為拜占庭帝國。既然稱為帝國,當然幅員遼闊不在話下,因此每個將軍的軍隊都分隔的很遠,彼此只能靠信差傳消息。在戰爭的時候,將軍們必須要達成一致的共識:進攻或是撤退。然而很不幸的,在這些將軍之中有叛徒(人數不明),他們的目的是擾亂整體軍隊的秩序。這個時候就衍生出一個問題:在已知有將軍謀反的情況下,其餘忠誠的將軍該如何達成一致的協議,不受叛徒的影響?這就是拜占庭問題


拜占庭問題最原始的定義包含一個Commander(指揮官)與數個Lieutanent(副官),由指揮官發布命令給副官們。題目的要求有二,第一是Agreement:所有忠誠的人最終會達成同一共識(不論共識本身是對或錯)。第二是Validity:如果指揮官是忠誠的,則底下所有忠誠的副官都會遵守指揮官的命令。拜占庭問題並沒有固定的解法:它是一個問題,可以用來驗證一個機制的有效程度。如果有一個方法能夠解決「最多有1/3的騙子」,那麼它就比能解決「最多有1/4的騙子」的方法好。事實上拜占庭問題還有很多種類的變形,包括Distributed Consensus(每個人出一種意見,最後達成協議)、Interactive Consistency(每個人出意見,接著每個人各做出一張清單,記載著聽到的每個人的意見,最後這些清單必須相同)。

生活上的很多層面都可以看到拜占庭類似問題的影子,不過在網路上這個問題特別重要。有別於傳統媒體的發言權控制在少數人手裡,網路是個人人都能夠參與且同時享有匿名特性的共同發言平台,訊息傳遞容易,但是卻難以驗證誰在說謊。這些特性恰恰近似於拜占庭問題的設定,也因此拜占庭問題的研究也廣泛用於分散式多工系統及網路應用上。舉個例子,你如何相信eMule上某個人分享的檔案是不是假檔?某個論壇上某個人說的話是不是真的?以往拜占庭問題的解法也逐漸變成網路上驗真偽的機制,例如他人仿造不來的將軍簽名真跡變成了Private/Public Key與數位浮水印,受信任的第三方變成網路追追追這種闢謠網站,還有一種,就是現在最廣泛見到的:網路推薦機制

網路上的拍賣行為就是這種機制的最佳實踐。一個賣家值不值得大家相信?每個人參考其他人對該賣家的評價,最後決定「相信」或「不相信」,這不就是前述的「Distributed Consensus」問題嗎?以奇摩拍賣為例,促使多數人最後下單的原因,相信應該都是賣家名字旁那小小的「評價」數字。這個評價數字怎麼來?靠的就是過去跟該賣家交易過的買家口碑。口碑越好,評價越高,就越能讓其他買家「信任」賣家,進而創造更高的銷售量,再創造更好的評價。這種機制在學術上稱為「Reputation Model」,直譯就是「聲望模型」。

可別以為Reputation Model就只是像eBay或是Yahoo!拍賣那樣子的機制而已,事實上,這兩個網站的聲望模型還只是最簡單的那一種,就技術上來說,並不是很健全。網路特性之一是匿名,一個人可以在Yahoo!拍賣上有非常多的帳號,所以你會見到有人開分身推薦本尊的產品,評價衝得很高,但服務品質卻不見得好。再者,一個店家賣服飾多年,已經建立起好口碑,可是有一天他突然進軍家電業賣起冰箱,在這種情況下該店家以往累積的評價是否可以轉嫁到新的產品身上呢?如果冰箱賣得不理想,在家電業的負評是否又該扣到服飾業上呢?對於多重角色(在某領域是專家,但某領域顯然是外行人)的忽略,顯然也是eBayYahoo!的不足之處。

TrustReputation Model在學術界近年來有不少討論。有非常多的論文(包括資訊科學、心理學與社會學領域)在探討各種情形下的信任問題與解決方案,例如類似Google PageRank、根據使用者交易過程或紀錄計算每個人Global Trust積分的EigentrustPeerTrust,根據你好友的推薦紀錄來計算的Foaf-Realm…等等。甚至有一些社群網站就以trust為號召來吸引網友:相信你朋友的意見! Trusted Opinion.com/Trusted Opinion

介紹了網路上這麼多的信任機制,你是不是對網路行為感到放心一點了呢不過作者我在這裡要潑大家一點冷水,正如同數千年來人總是難以信任他人,絕對沒有一種信任機制是完美的。有了更健全的評價工具,也許可以降低網路匿名制帶來的負面影響,幫助人更快的下決定,但是使用這些評價工具的我們,更應該要清楚的知道,工具有好壞,世事無絕對,世上沒有百分之百準確的評價機制,就如同一個人是好或壞連他自己心中都沒個譜。該完全倚賴工具算出來的評價還是僅作為參考?相不相信,決定權還是操縱在你我的手裡!

喜歡這篇文章嗎? 分享出去給作者一點鼓勵吧!