بخشی از مقاله
ارائه یک مدل ترکیبی پویا جهت مدیریت اعتماد در رایانش ابری
چکیده
در چند سال اخیر رایانش ابری به یکی از ده فناوری برتر در دنیا تبدیل شده است و بسیاری بر این باورند رایانش ابری، انقلابی است که کل صنعت فناوری اطلاعات را دگرگون خواهد نمود ؛ اما با بررسی تحقیقات انجامگرفته، مشاهده میشود که مسائل امنیتی و در رأس آن محرمانگی، حفظ حریم خصوصی و اعتماد، بهعنوان اصلیترین عوامل نگرانی و مانعی بر سر راه پذیرش فناوری ابر از سوی کاربران است. برقراری اعتماد در رایانش ابری یک موضوع مهم است که هنوز توجه زیادی از جانب دانشگاه و صنعت به آن میشود. علاوه بر این ویژگیهایی همچون پویا بودن، توزیعپذیری و طبیعت غیر شفاف سرویسهای ابری مدیریت اعتماد را بیشتر چالش برانگیز میکند.
در این مقاله یک مدل اعتماد پویا که ترکیب سه تکنیک اعتماد مستقیم، اعتماد توصیه و تکنیک مبتنی بر سیاستها میباشد، پیشنهادشده است. نتایج حاصل از آزمایشها و تحلیل های امنیتی مدل پیشنهادی بر روی مجموعه دادههای معروف Advogtao و Epinions نشان میدهند که مدل پیشنهادی علاوه بر داشتن کارایی بالا و مقاوم بودن در برابر حملات معروفی همچون رفتار متغیر بازمان و توصیههای ناعادلانه، دقت بالاتری نسبت به روشهای پیشین دارد.
کلمات کلیدی: رایانش ابری، اعتماد، مدیریت اعتماد، امنیت
مقدمه
از آغاز زندگی بشر تاکنون همواره نیاز به کار، درآمد، هزینه، ذخیره، محاسبه و ... ذهنها را مشغول خودکرده است. ازآنجاکه انسان موجودی سیر ناپذیر و تنوعطلب است همواره به دنبال راهکاری مناسب جهت برطرف سازی این قبیل نیازها بوده است. دنیا پویای ارتباطات و صنعت فناوری اطلاعات، رشد صعودی دانش و ارتباطات و از همه مهمتر شبکهی گستردهی اینترنت باعث شده است تا همواره ابزارها و راهکارهای جدیدی خلق شود.
امروزه رایانش ابری توجهات زیادی را به خود جلب کرده است. رایانش ابری این پتانسیل را داراست که در چند سال آتی روش انجام محاسبات در سازمانها را تغییر دهد. رایانش ابری مزایایی مثل حافظه بیشتر، انعطافپذیری بیشتر و از همه مهمتر کاهش هزینهها را به دنبال خواهد داشت. تمامی این مزایا برای کمک به رشد یک تجارت موفق لازم هستند. این امتیازات بارز ابرها، توجه بسیاری از سازمانها را به خود جلب کرده است، اما جنبهای که هنوز باعث عقب نشینی بسیاری از سازمانها در برابر این فنآوری میگردد، نحوه امن سازی دادهها در ابر و اعتماد از امنیت محیط است. مفاهیم ابتدایی و جرقهی اصلی این فناوری را در سال 1960 پروفسور جان مک کارتی بیان نمود. فناوری ابر در سال 2006 برای اولین بار توسط آمازون ارائه گردید و به دنبال آن در سال 2007 گوگل و IBM جهت عقب نماندن از رقبا شروع به ارائهی خدمات خود برمبنای این فناوری نمودند. باوجود مزایای فراوان رایانش ابری جنبهای که هنوز باعث عقبنشینی بسیاری از سازمانها در ابر میشود، نحوه امن سازی دادهها در ابر و اعتماد کاربران به سرویسدهندههای ابری می باشد.
کارهای گذشته
تاکنون مطالعات و پژوهشهای زیادی در زمینهی مدیریت اعتماد در فضای رایانش ابری صورت گرفته است. علاوه بر این، بر اساس گزارش پژوهشگران دانشگاه برکلی (Armbrust, et al., 2010) ، مدیریت اعتماد و امنیت بهعنوان یکی از 10 مانع پذیرش رایانش ابری محسوب میشود. در ادامه به برخی کارهای تحقیقاتی مرتبط با مدل پیشنهادی پرداخته میشود.
جو و همکارانش یک روش ارزیابی برای محاسبه اعتماد توصیهای و یک روش ارزیابی برای بیان اعتماد مستقیم ارائه کردند. مزیت کار آنها این بود که از ترکیب دو روش اعتماد توصیهای و مستقیم استفاده کردند اما مشکل کار آنها این بود که از تابع مبتنی بر زمان برای اعتماد مستقیم استفاده کردند که این
تابع برای بررسی اعتماد کافی نیست زیرا فاکتورهای دیگری مثل شهرت بر روی اعتماد مستقیم تأثیر میگذارد (Guo, Sun, Chang, & Wang, .2011)
خان و همکارانش فاکتورهایی که بر روی اعتماد مشتریان در ابر تأثیر میگذارند و نیز بعضی فناوریهای نوظهور مثل امکان بررسی دادههای کاربران از طریق کنترل دسترسی از راه دور، شفافیت در قابلیتهای امنیتی ارائه شده توسط ارائهدهندگان، استقلال گواهی سرویسهای ابر برای ویژگیهای امنیتی که میتوانند برای برقراری اعتماد در ابر بکار روند را موردبررسی قرار دادهاند. مشکل این روش این است که هیچ کدام از تکنیکهای مدیریت اعتماد مثل تکنیک مبتنی بر توصیه، تکنیک مبتنی بر شهرت و... موردبررسی قرار نگرفته است(. (Khan & Mulluhi, 2010
موضوع بررسی دادههای کاربران از طریق کنترل دسترسی از راه دور، توسط هی و همکارانش که علاوه بر این مکانیسم شامل کانال ارتباطی امن و محاسبات بر رویدادههای رمز شده بهعنوان راهی برای بهبود بعضی چالشهای اعتماد میشد، در سال 2011 موردبررسی قرارگرفته است (Hay, Nance, & .Bishop, 2011)
جوشی و همکارانش اهمیت امنیت و اعتماد در ابر را موردبررسی قراردادند. آنها همچنین چندین موضوع در مورد اینکه چگونه اعتماد در ابر با توجه به طبیعت پویای آن میتواند برقرار شود را موردبررسی قراردادند و استفاده از »اصول واگذاری1« را پیشنهاد دادند(. (Joshi, Takabi, & Ahn, 2010
بهمنظور بهبود روشهای مدیریت اعتماد در محیطهای ابری نور و همکارانش ساختاری تحت عنوان »اعتماد بهعنوان خدمات2« را پیشنهاد دادند. به دلیل اینکه مدلهای اعتماد که به صورت معماری متمرکز مورداستفاده قرار میگیرند امنیت پایینتری دارند، آنها سرویسهای مدیریت اعتماد به صورت مدیریت توزیعشده را پیشنهاد دادند(. (Noor & Sheng, 2011
عماد و همکارانش به تشریح برخی از خصوصیات برای ارزیابی اعتماد در ابر پرداختند .(Martin, 2011 Abbadi) آنها ویژگیهایی همچون سازگاری، انعطافپذیری، مقیاسپذیری، در دسترس بودن، قابلیت اطمینان و حریم خصوصی در اعتماد را موردبررسی قراردادند. مزیت کار آنها بررسی اکثر جنبههای ارزیابی اعتماد در ابر بود اما عدم ارائه یک مدل اعتماد ازجمله معایب کار آنها به حساب میآید.
بعضی از پژوهشگران استفاده از 3TPM برای برقراری اعتماد در ابر و گواهی راه دور را پیشنهاد دادند((Ruan & (Schiffman, et al., 2012 . (Santos, Gummadi, & Rodrigues, 2009)Martin, 2011 ) کار انجامشده در((Santos, Gummadi, & Rodrigues, 2009 اعتماد بین کاربران ابر را بر پایه رفتارشان برقرار میکند. برای مثال موجودیتها در لایه فیزیکی تشکیل یک دامنه همکاری را میدهند که اغلب باهم بیارتباطاند و گاهی اوقات هرگز ارتباط مستقیم با یکدیگر ندارند. مشکل این روش این است که اگر یک دامنه فیزیکی از کار بیفتد درنتیجه همهی منابع میزبان آن باید سریعاً دوباره در دامنه فیزیکی دیگری شروع به کار کنند.
سومش و همکارانش یک مدل اعتماد مبتنی بر اعتماد توصیهای ارائه دادند. مزیت کار آنها استفاده از اعتماد مستقیم و غیرمستقیم بود اما مشکل کار آنها این بود که فقط از تکنیک مدیریت اعتماد مبتنی بر توصیه استفاده کرده بودند. گاهی اوقات یک فرد در یک کار حساس هرچند تعداد توصیههای افراد مختلف زیاد باشد، به دلایلی میزان درجهی اعتماد خودش مهمتر و بیشتر از دیگر افراد است که این مسئلهی مهم در اینجا پوشش داده نشده است. مشکل دیگر مربوط به تکنیک شهرت می باشد. بدین ترتیب که وقتی که یک سرویس وب، تازه برای کسب و کار راه اندازی شده است، هیچ سرویس دیگری قبلا با آن تعامل نداشته است و بنابراین سابقه ای از رفتار گذشته او وجود ندارد. برای این که این گونه سرویس های تازه راه اندازی شده به کلی نادیده گرفته نشوند، سازو کاری در نظر گفته شده که به تشریح آن خواهیم پرداخت. .(Somesh, Prajapati, & Sarkar, 2013)
رایانش ابری
اصطلاح ابر در اوایل سال 1990 در کاربرد تجاری برای اشاره به شبکههای بزرگ ATM (حالت انتقال ناهمگام)4 وارد شد. به نوبهی خود از قرن 21، اصطلاح رایانش ابری پدیدار شده است، اگرچه تمرکز عمدهی آن در این زمان بر روی نرمافزار بهعنوان سرویس (SaaS) بوده است (Diakaiakos, et al., .2009)
به دلیل اینکه رایانش ابری مفهومی پویا و در حال گسترش است و تقریباً روزانه شاهد پیدایش زمینههای مختلف در این فناوری هستیم، تعاریف مختلفی را از آن شاهد هستیم و ممکن است در تعاریف امروزی امکاناتی افزوده و یا بنا به دلایلی حذف گردد. در سال 2008 مدیرعامل شرکت اوراکل آقای لری الیسون
به این موضوع اشاره کرد که کلیت موضوعاتی که در مورد رایانش ابری گفته میشود، اصطلاحی است که قبلاً نیز مورداستفاده بوده و همهچیز در دنیای کامپیوتر قبلاً استفاده میشده است. وی افزود صنعت کامپیوتر تنها صنعتی است که بیشتر از صنعت مد زنانه، مد محورتر و به دنبال چیزهای تازهتری بوده است. این چیزی بود که او به تحلیل گران اوراکل گفت. فنآوری رایانش ابری ازنظر محققان علم کامپیوتر چنان مهم بوده که در لیست ده فنآوری برتر دنیا قرارگرفته است و انتظار میرود همانند اینترنت که شیوه جدیدی از زندگی را به مردم معرفی کرد، زندگی افراد جوامع را تغییر دهد؛ اما متأسفانه پیچیدگیهای مباحث مطرحشده در این فنآوری جدید و نوظهور بودن آن سبب شده است که حتی کسانی که دانشآموخته علم کامپیوتر هستند، اطلاعات
دقیقی در مورد این فنآوری نداشته باشند.
موسسه ملی استاندارد و فناوری(NIST) 5 رایانش ابری را اینگونه تعریف میکند:
رایانش ابری مدلی است برای فراهم کردن دسترسی آسان، بر اساس تقاضای کاربر از طریق شبکه به مجموعهای از منابع رایانشی قابلتغییر و پیکربندی مثل شبکهها، سرورها، فضای ذخیرهسازی، برنامههای کاربردی و سرویسها که این دسترسی بتواند با کمترین نیاز به مدیریت منابع و یا نیاز به دخالت مستقیم فراهمکنندهی سرویس به سرعت فراهم شده یا آزاد گردد که از مجازی سازی و قابلیت استفاده چندگانه نیز پشتیبانی میکند (Overby, Eric, .Bharadwaj, Anandhi, & Sambamurthy, 2006)
انواع سرویس ها در رایانش ابری
· )SaaS6نرم افزار بهعنوان خدمات): به نرمافزاری خاص گفته میشود که توسط توسعهدهندگان آن در بستر اینترنت و با استفاده از یک مرورگر
اینترنتی برای عموم مردم قابلدسترس است. برای نمونه، سرویس Gmail از شرکت Google یک SaaS است که جایگزین نرمافزارهای قدیمی مانند Outlook که بر روی رایانهی کاربر اجرا میشود شده است.
· PaaS7 (بستر بهعنوان خدمات): محیطی است که هر آنچه یک توسعهدهندهی وب برای ایجاد یک برنامهی کاربردی نیاز دارد فراهم میکند. این
محیط باعث کاهش هزینه و پیچیدگی کار برای توسعهدهندگان نرمافزار می شود. برای نمونه، Google App Engineو Microsoft Windows AzureازجملهPaaS های محبوب در این زمینه بهحساب میآیند.
· IaaS8 (زیرساخت بهعنوان خدمات): به شرکتهای فعال در حوزهی رایانه و فناوری اطلاعات این امکان را میدهد که با در اختیار گرفتن منابع
مختلف مانند سرورها، ابزار شبکه، ابزار ذخیرهسازی و مراکز داده، محصول موردنظر خود را با کمترین هزینهی ممکن (چه مالی چه انسانی) تولید و ارائه کنند. ازآنجاییکه این خدمات مخصوص شرکتها و سازمانها است استفاده از آن رایگان نیست (برخلاف دو مورد اول) و نیازمند صرف هزینه و زمان است. برای نمونه، IBM SmartCloud Enterprise از این دسته محسوب می شود.
شکل :1 انواع مدل های سرویس در رایانش ابری
چالش های رایانش ابری
شرکتهای زیادی هستند که سرویسهای رایانش ابری را ارائه میدهند. رایانش ابری این امکان را به کاربران و توسعهدهندگان میدهد که بدون درگیر شدن بادانش فنی یا کنترل زیرساختفنّاوری موردنیازشان، از این سرویسها استفاده نمایند. ولی از طرف دیگر روزبهروز اطلاعات بیشتری از اشخاص و شرکتها در داخل ابرها ذخیره میشود که این خود یک چالش امنیت دادهها را پیش روی کاربران قرار میدهد. بیشترین استفاده ازفنّاوری مجازیسازی، پیادهسازی زیرساخت رایانش ابری است که منجر به مشکلات امنیتی برای مشتریان میشود. مجازیسازی، رابطه بین سیستمعامل و سخت افزار مربوطه را تغییر میدهد. بنابراین یکلایه دیگر به نام مجازیسازی اضافه میکند که باید بهدرستی پیکربندی، مدیریت و امن سازی شود. یکسری نگرانی در مورد رایانش ابری وجود دارد. این نگرانیها در دودسته قرار میگیرند: مسائل امنیتی که از جانب ارائهدهندهی سرویس رایانش ابری است (سازمانهایی که از طریق سرویس ابری، زیرساخت، نرمافزار و پلت فرم ارائه میدهند) و مسائل امنیتی که از جانب مشتریان است. شرکت ارائهدهندهی سرویس ابری باید مطمئن باشد که زیرساخت آن، امن است و دادهها و برنامههای مشتریان، محافظتشده هستند.
مشکلات امنیتی مربوط به سرویسهای ابری و Web 2.0، بیش از امنیت سرویسهای ابری به حریم خصوصی و حفاظت از اطلاعات شخصی کاربران مرتبط میشوند. در سرویسهای عرضه شده توسط اغلب سرویسدهندگان اصلی اینترنت نیز مشکلات مشابهی به چشم میخورند. بهعنوانمثال، میتوان به شکایتهای متعددی اشاره کرد که در رابطه با ردیابی اطلاعات کاربران، علیه شرکتهای گوگل و مایکروسافت مطرح می شود ,Wang, Jian, Zhao, Le)
.(Jiajin, 2009
یکی از تحلیلگران مؤسسه 9IDC که در ماه فوریه 2009 در انجمن رایانش ابری IDC سخنرانی کرد، میگوید: » مهمترین نگرانی سازمانهایی که تمایل دارند از سرویسهای ابری استفاده کنند، امنیت اطلاعات است. بر اساس اظهارات IDC حدود 88 درصد از مدیران IT نگران امنیت سرویسهای رایانش ابری هستند.«
بزرگترین کابوس مدیران IT وجود مشکلات امنیتی مربوط به عملکرد بسترهای سرویسدهنده است. برای اغلب این افراد، یافتن شیوه مناسبی برای تأمین امنیت سیستمی که امکان کنترل مستقیم آن وجود ندارد، فرایند سادهای نیست. اصلیترین مشکل امنیتی رایانش ابری از وجود اشکال در اعتبار و اعتبارسنجی سرویسدهندگان ناشی میشود و درواقع دنباله همان مشکلاتی است که در جریان محول کردن بخشی از امور سازمانها به تأمینکنندگان خارجی بروز میکند(. (Diakaiakos, et al., 2009
مؤسسه تحقیقاتی گارتنر در یک مقاله کوتاه با عنوان »ارزیابی خطرات امنیتی رایانش ابری« به بررسی هفت مورد از مهمترین مشکلات امنیتی سرویسهای ابری میپردازد. اغلب این مشکلات به نحوه عملکرد سیستمهای ابری مربوط میشوند. مؤسسه گارتنر بهویژه بررسی سیستمهای ابری را از جنبههای توزیع حق دسترسی به اطلاعات، قابلیتهای بازیابی اطلاعات، پشتیبانیهای تحقیقی و بازبینیهای دورهای توصیه میکند (Gertner, et al., .1998)
رایانش ابریذاتاً امن نیست. امنیت در ابر اغلب نامحسوس است و کمتر قابلمشاهده است که به ناچار یک حس کاذب از امنیت و اضطراب در مورد چیزی که درواقع امن و کنترلشده است ایجاد میکند. این ویژگی رایانش ابری، نگرانیهای زیادی در امنیت دادهها، بهویژه صحت و محرمانگی دادهها، به وجود میآورد بهطوریکه ارائهدهندگان خدمات ابر ممکن است کنترل کاملی بر روی زیرساختهای محاسباتی داشته باشند تا از خدمات پشتیبانی کنند
.(Zhao , et al., 2010)
شکل :2 چالش های پذیرش رایانش ابری
مدیریت اعتماد
برای مدیریت اعتماد نیز تعریفهای مختلفی ارائه شده است که به دو مورد زیر اشاره میکنیم:
· مدیریت اعتماد عبارت است از سیستمها و روشهای محاسبه و تصمیمگیری افراد یا موجودیتها درباره میزان قابل اتکا بودن تراکنشهای بالقوه دربردارنده ریسک .(Gambetta, Can we trust ? Trust: Making and braking cooperative relations, 1988)
· مدیریت اعتماد عبارت است از فعالیت جمعآوری، کدگذاری، تحلیل و ارزیابی مدارک مرتبط با شایستگی، صداقت، امنیت و قابلیت اتکا باهدف
انجام قضاوتها و تصمیمگیریهای مربوط به روابط اعتماد (Grandison & Sloman, Specifying and analysing trust for .internet applications, 2002)
در سالهای اخیر مدیریت اعتماد بهطور گسترده بهعنوان یک رویکرد جدید و کارآمد در حوزهی امنیت سیستمهای اطلاعاتی موردتوجه قرارگرفته است. با اینوجود، این مبحث از جهت کاربردها و یا روشهای مورداستفاده در آن توجه محققان زیادی از شاخههای دیگر علوم کامپیوتر مانند مدیریت دانش، سیستمهای چندعاملی، سیستمهای تصمیم گیر و ... را به خود جلب کرده است.
برای مدیریت اعتماد تکنیک های متعددی وجود دارد که می توانیم آنها را به چهار دسته تقسیم کنیم: سیاست ها، توصیه ها، شهرت و پیش بینی .(2013)
· مدیریت اعتماد بر اساس سیاست ها :(PocT10) این تکنیک از مجموعه ای از سیاست ها استفاده می کند که هر کدام از آنها شامل چندین نقش می باشند که سطوح مجوزهای دسترسی و آستانه اعتماد را به منظور اجازه دسترسی مشخص می کند.
· مدیریت اعتماد بر اساس توصیه ها :(RecT11) توصیه ها می توانند به دو صورت توصیه های ضمنی و توصیه های تعدی ظاهر شوند. توصیه ضمنی وقتی اتفاق می افتد که یک مصرف کننده سرویس ابری، یک سرویس ابری را به دیگر مصرف کنندگان یا دوستان خود پیشنهاد کند و توصیه تعدی زمانی اتفاق می افتد که یک مصرف کننده در ابر به یک سرویس ابری اعتماد می کند چون حداقل یکی از دوستان او به سرویس مربوطه اعتماد دارد.
· مدیریت اعتماد بر اساس شهرت(:(RepT12 شهرت پیش بینی ای از آینده نمی باشد بلکه دانشی از گذشته و بازخوردی از مصرف کننده های مختلف سرویس می باشد که می تواند تاثیر زیادی چه مثبت و چه منفی بر شهرت یک سرویس ابری بگذارد. باربارا میزال جامعه شناس معروف (Alexander Ljung, 2008) می گوید شهرت حافظه ای است که هویت را مشخص می کند.
· مدیریت اعتماد بر اساس پیش بینی((PrdT13این: تکنیک می تواند خیلی مفید باشد مخصوصاً زمانیکه هیچ سابقه قبلی از تعاملات سرویس دهنده ابری وجود ندارد. ایده این تکنیک این است که هرچه شباهت بین ایده های دو عامل بیشتر باشد، بیشتر می توانند به یکدیگر اعتماد کنند.
چهارچوب مدل پیشنهادی
در ابتدای راه اندازی سیستم اعتماد، برای هر جفت رأس گراف مربوط به روابط اعتماد، مقدار اعتماد بین آنها برآورد میشود.بعداً در هر مدت زمان معین یا بهعنوانمثال هرگاه تعداد تعاملات، توصیهها و مدارک یا گواهینامهها از یک مقدار آستانه بیشتر شد، دوباره الگوریتم موردنظر اجرا میشود. در ادامه با توجه به نمودار گردش کار پروتکل پیشنهادی مراحل مختلف آن تشریح میشود.
در پروتکل پیشنهادی از سه پایگاه داده تعاملات، توصیه ها و گواهینامه استفاده شده است. در پایگاه داده تعاملات، مقادیر مربوط به اعتماد مستقیم ذخیره میشود. در مدل پیشنهادی مقادیر مربوط به روابط اعتماد مستقیم، از مجموعه داده های معروف Advogato که روابط واقعی بین حدود 14000 برنامه نویس را بیان میکند و همچنین Epinions استفادهشده است.
در بسیاری از شرایط، فرد مبدأ سابقه تعامل مستقیم با فرد مقصد را ندارد و مدارک و نشانههای دیگری نیز که بر مبنای آنها تخمین اعتماد مستقیم ممکن باشد، را در اختیار ندارد. در چنین شرایطی فرد مبدأ میتواند نظرات افراد دیگر (افراد واسطه یا شخص ثالث) در مورد سطح قابلاعتماد بودن فرد مقصد را بهعنوان توصیههایی14 دریافت کند و بر مبنای آنها بهطور غیرمستقیم سطح قابلاعتماد بودن مقصد را تعیین کند. این روش، محاسبه اعتماد بهصورت غیرمستقیم یا بهاختصار محاسبه اعتماد غیرمستقیم15 خوانده میشود. در پایگاه داده مربوط به توصیهها مقادیر اعتماد غیرمستقیم که بهواسطهی توصیهها بهدستآمدهاند، ذخیره میشوند.
گواهینامهها شرایط لازم برای کسب اعتماد را توصیف میکنند و همچنین میتوانند تعیین کنند که در صورت برقراری شرایط معینی چه اقداماتی باید صورت گیرد و چه نتایجی حاصل خواهد شد. این گواهینامههامعمولاً شامل مبادله و بررسی گواهینامههایی است که قابلیتهای فرد ارائهکننده آن را نشان میدهد. در پایگاه داده گواهینامهها، مدارک مربوط به گواهینامههای سرویسدهنده ذخیره میشود. در این پایگاه داده سه نوع گواهینامه به ترتیب با مقادیر 0,4، 0,6 و 1 ذخیره شده اند و این مقادیر به طور تصادفی به سرویس دهندگان داده شده است.
در قسمت مربوط به محاسبه اعتماد مستقیم و غیر مستقیم پسازاینکه گراف مربوط به روابط اعتماد تشکیل شد، مقادیر اعتماد مستقیم بهاینترتیب که اگر ارتباط مستقیم بین گره مبدأ و مقصد وجود داشت، از گراف استخراج میشود. در بخش اعتماد غیرمستقیم بر اساس توصیهها مقادیر اعتماد غیرمستقیم بر اساس خاصیت تعدی که اگر A به B اعتماد دارد و B به C اعتماد دارد (و این اعتماد را در قالب توصیه به A گزارش کرده است)، پس A میتواند به C اعتماد داشته باشد، بر اساس دو تکنیک انتشار و تجمیع به دست میآید. مرحله بعد که مربوط به اعتماد غیرمستقیم بر اساس گواهینامهها می باشد، به این صورت می باشد که اگر گره مبدأ هیچگونه تعاملی با گره مقصد نداشته باشد چون هیچگونه ارزیابی از سطح قابلاعتماد بودن او به دست نیاورده نمیتواند بهطور مستقیم به آن اعتماد کند. یا از طرف دیگر گره مبدأ با گره مقصد به صورت مستقیم تعامل داشته اما این تعامل را جهت اعتماد کافی نمیداند. همچنین اگر توصیه ای در مورد گره موردنظر وجود نداشته باشد و از طرف دیگر سرویس تازهوارد باشد و شهرتی هم نداشته باشد از تکنیک اعتماد غیرمستقیم بر اساس گواهینامهها استفاده میشود. سپس مقدار کلی اعتماد برآورد شده و در مرحله بعد بر اساس شرایط موجود تصمیم گیری می شود.