（计算机软件与理论专业论文）基于信任机制的p2p安全策略的研究.pdf

宙塞睦生占堂亟土班宜生堂位论窑摘要 摘要 随着i n t e m e t 的广泛普及近年来p 2 p ( p e e r - t o - p e e r ) 技术得到了蓬勃的发展，被广泛地 应用于数据共享、电子商务、协同计算等领域。尽管p 2 p 技术在有效利用网络闲置资源、 促进网络节点间资源共享等方面有明显优势，但是其自身的自主、动态、异构、匿名等特 性使得陌生节点之间交互的可能性大大增加，交互的内容也更加纷繁复杂，这就使p 2 p 网 络安全面临着新的挑战。目前，在p 2 p 网络中缺乏有效的机制来提高系统的效率和安全性， 这表现为大量欺诈行为和不可靠服务的存在，以及同益严重的f r e e r i d i n g 和“公共悲剧” ( t h et r a g e d yo f t h ec o m m o n s ) 现象。因此，在p 2 p 网络环境中建立一个基于信任机制的安全 策略以保证网络的安全和健壮就显得十分必要。 为此，本文对基于信任机制的p 2 p 安全策略进行研究。论文简要介绍了p 2 p 技术、信任 和信誉的相关理论：分析了现有的一些信任模型。在此基础上借鉴人类社会的管理模式， 提出了一种基于群组的信任模型g c r e d i t ，该模型分为宏观信任管理模型和微观信任管理 模型，将信任关系划分为三个层次：群组之间的信任关系、群组与结点之间的信任关系、 结点之间的信任关系，结点根据本地信任信息或有限时间内可获取的所属群组的推荐信任 信息确定资源或服务提供者的可信度，并据此进行选择；通过针对单纯恶意结点攻击、诋 毁恶意结点攻击、协同作弊和零代价i d 攻击这四种攻击模式的仿真实验，验证了g c r e d i t 具有较高的下载成功率，并且能使系统丌销和结点负载处于可控范围内。此外，论文还针 对大规模p 2 p 网络中结点之间由于兴趣不对称、进行重复交易可能性较小等问题，提出了 基于群组的激励模型g b i m ( o r o u p b a s e di n c e n t i v em o d e l ) ，在该激励模型中，采用互惠策略 的结点通过群组保存的历史交易信息和基于群组的信誉决策机制判断是否与其它结点进 行合作，理论分析表明，基于群组的激励模型所具有的友好性、报复性和宽容性能够促使 结点保持良好的合作关系，惩罚背叛和欺诈结点，提升网络安全性。 论文对基于信任机制的p 2 p 安全策略做了有益的研究。 关键词：p 2 p ，安全，信任，激励，信誉 a bs t r a c t w j t ht h ew i d e p o p u l a r i z a t i o no fi n t e r a c t , p 2 p ( p e e r - t o p e e r ) h a sg o t t e nf l o u r i s h i n g d e v e l o p m e n t i nr e c e n ty e a r sa n dh a sb e e nb r o a d l yu s e di nd a t as h a r i n g ，e c o m m e r c e ， c o l l a b o r a t i v ec o m p u t i n g 。a n do t h e rf i e l d s t h o u g hi th a sa d v a n t a g e si ne f f e c t i v eu s eo fn e t w o r k i d l er e s o u r c e sa n de n c o u r a g i n gt h ep e e r st oc o o p e r a t es h a r er e s o u r c e s ，t h e r ei sag r e a t e rc h a n c e f o rap e e rt om e e ts t r a n g e r sa n dt h ei n f o r m a t i o ne x c h a n g e dd u r i n gi n t e r a c t i o n sb e c o m e se v e n m o r ed i v e r s ea n dc o m p l e xd u et oi t sf e a t u r e ss u c h 豁s e l f - d e t e r m i n a t i o n , d y n a m i c ，h e t e r o g e n e i t y a n da n o n y m i t y a sar e s u l t , t h es e c u r i t yo fp 2 pn e t w o r k si sf a c i n gn e wc h a l l e n g e s a tp r e s e n t ， p 2 pn e t w o r kl a c k se f f e c t i v em e c h a n i s m st oi m p r o v et h ee f f i c i e n c ya n ds e c u r i t yp e r f o r m a n c eo f t h es y s t e m t h a ti sc h a r a c t e r i z e dw i 也t h em a s s i v ee x i s t e n c eo ff r a u db e h a v i o ra n du n r e l i a b l e s e r v i c e s t h e r e f o r e ，i tb e c o m e sq u i t en e c e s s a r yt oe s t a b l i s ha ne f f e c t i v es e c u r i t yp o l i c yb a s e do n t r u s tm e c h a n i s mi np 2 pn e t w o r k st oe n s u r et h en e t w o r ke n v i r o n m e n ts e c u r ea n dr o b u s t t h i st h e s i sc o n d u c t st h er e s e a r c ho np 2 ps e c u r i t yp o l i c yb a s e do nt h et r u s tm e c h a n i s m i n t h et h e s i st h ec o r r e l a t i o nt h e o r i e so fp 2 pt e c h n e l e g y , t h et r u s ta n dt h er e p u t a t i o ni sb r i e f l y i n t r o d u c e d ，s o m ee x i s t i n gt r u s tm o d e l sa r ea n a l y z e d ，a n dag r o u p b a s e dt r u s tm o d e l - - g c r e d i t i sp r o p o s e dc o n s u l t i n gh u m a ns o c i e t ym a n a g e m e n tp a r e m t k sm o d e lc a nb ed i v i d e di n t ot h e m a c r o s - t r u s tm a n a g e m e n tm o d e la n dt h em i c r o t r u s tm a n a g e m e n tm o d e l ， a n dt h et r u s t r e l a t i o n s h i pi ni t i sd i v i d e di n t ot h r e el e v e l s ：t h et r u s tr e l a t i o n s h i pb e t w e e ng r o u p s ，p e e r sa n d b o t h t h ep e e rc o n f i r m sr e s o u r c e so rs e r v i c ep r o v i d e r sc o n f i d e n c ed e g r e ea c c o r d i n gt ot h el o c a l t r u s ti n f o r m a t i o no rt h ea v a i l a b l er e c o m m e n d a t i o nt r u s ti n f o r m a t i o nf r o mt h e i rg r o u pi nl i m i t e d t i m e ，a n dt h e nm a k e sc h o i c e sa c c o r d i n g l y t h r o u g ht h es i m u l a t i o ne x p e r i m e n to nf o u rk i n do f a t t a c kp a t t e r n ：s i m p l em a l i c i o u sp e e ra t t a c k s ，s l a n d e r e dm a l i c i o u sp e e ra t t a c k s ，c o o r d i n a t i o n c h e a t sa t t a c k sa n dz e r o c o s ti da t t a c k s ，g - c r e d i ti sv e r i f i e dt oh a v eh i g hr a t i oo fs u c c e s s f u l d o w n l o a d ，a n dt h es y s t e mo v e r h e a da n dt h ep e e rl o a dc a nb ec o n t r o l l e di naa d m i s s i b l er a n g e b e s i d e s ，a i m i n ga tt h ei n t e r e s ta s y m m e t r yb e t w e e np e e r si nl a r g e s c a l ep 2 pn e t w o r k ，l i t t l e p o s s i b i l i t yo ft h er e p e t i t i v et r a n s a c t i o na n ds oo n ，t h i st h e s i sa l s op r o p o s e sag r o u p b a s e d i n c e n t i v em o d e l - - - g b i m t h r o u g ht h eh i s t o r i c a lt r a n s a c t i o ni n f o r m a t i o ns a v e di ng r o u p sa n dt h e r e p u t a t i o nd e c i s i o n - m a k i n gm e c h a n i s mb a s e do nt h eg r o u p ，t h ep e e r sa d o p t i n gr e c i p r o c a l s t r a t e g yj u d g ew h e t h e rc o o p e r a t ew i t ho t h e rp e e r s 1 1 1 et h e o r e t i c a la n a l y s i sh a si n d i c a t e dt h a tt h e g b i m sc h a r a c t e r i s t i c ss u c ha sf r i e n d l y , r e t a l i a t o r ya n dt o l e r a n tc a l lu r g et h ep e e r st oc o o p e r a t e w e l l ，p u n i s ht r e a c h e r o u sa n df r a u dp e e r sa n de n h a n c en e t w o r ks e c u r i t y t h ep a p e rh a sd o n et h eb e n e f i c i a lr e s e a r c ho np 2 ps e c u r i t yp o l i c yb a s e do nt h et r u s t m e c h a o i s m k e y w o r d s ：p 2 p , s e c u r i t y , t r u s t ，i n c e n t i v e ，r e p u t a t i o n i l 缩略词 缩略词英文全称译文 原子性，一致性， a c i d a t o m i c i t ，c o n s i s t e n c y ，i s o l a t i o n , d u r a b i l i t y 隔离性，持久性 b tb i t t o r r e n t 比特洪流 c ac e r t i f i c a t ea u t h o r i t y 认证中心 c ，sc l i e n t s e r v e r 客户服务器 d h td i s l r i b u t e dh a s ht a b l e分布式哈希表 g s ig r i ds e e u r t i yi n f r a s t r u c t u r e 网格安全设施 g p dg e n e r a l i z e dp r i s o n e rd i l e m m a一般囚徒困境 i di d e n t i f i c a t i o n 、 身份标示 i p di t e r a t e dp r i s o n e r sd i l e m m a重复囚徒困境 m t b fm e a nt i m eb e t w e e nf a i l u r e s平均无故障时间 m o d m u l t i p l ep r i s o n e r sd i l e m m a 多人囚徒困境 p 2 pp e e r - t o p e e r 对等 p l ( ip u b l i ck e yi n f r a s t r u c t u r e 公钥基础设施 q o sq u a l i t yo fs e r v i c e 服务质量 r s dr a t i oo fs u c c e s s f u ld o w n l o a d 下载成功率 s r c s s i m p l er e p u t a t i o n - c r e d i ts y s t e m简单信誉系统 t f tt i t f o r - t a t 针锋相对策略 t t lt i m e t ol i v e生存时间 5 l 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名： 日期： 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：导师签名：日期： 第一章引言 1 1p 2 p 的概念及需要解决的问题 随着i n t e r n e t 的广泛普及、端用户系统资源的丰富及计算能力的迅速增强、网络带宽 的快速增加，传统的c l i e n t s e r v e r 网络应用模式中服务器的性能瓶颈以及单点失效的问 题不仅限制了端系统资源的充分利用，同时越来越无法满足新的分布式应用的需求。 上述因素促使原先在其它网络计算模式中通常被忽视且广泛存在的端用户设备成为 一种宝贵的计算资源。与传统的客户端服务器( c s ) 模式相比，p 2 p 技术在有效利用网络 上大量闲置资源( 如：信息数据、存储空间、处理器周期等) 、避免服务器带来的瓶颈问题 和降低服务器成本等方面有明显的优势。p 2 p 技术成功地使网络资源从集中走向分散，使 个人用户真正参与到网络应用和计算中来。因此，“h a m e s st h ee d g eo f i n t e m e t 成为当前 一个新的研究和应用目标。这里，“e d g eo fi n t e m e t 是指那些在传统的应用模式中作为 客户端而往往被忽略的计算设备。到目前为止，p 2 p 的应用已涵盖了诸多领域，如：商业 和民用领域的文件、数据的存储和共享l 、科研领域的协同和并行计算础3 1 、军事领域的士 兵协作和战场网络( b a t t l e f i e l dn e 似o r k ) 构造等【4 1 ，并出现了一些成果和产品，体现出巨大 的商业和技术上的发展潜力。 p 2 p 技术并不是什么新概念，它是i n t e r n e t 的本质特征之一。互联网最基本的协议 t c p i p 并没有客户机和服务器的概念，所有的设备都是通讯的平等的一端。以前，所有的 互联网上的系统都同时具有服务器和客户机的功能。当然，后来发展的那些构建在t c p i p 之上的软件的确采用了客户机服务器的结构：浏览器和w e b 服务器，邮件客户端和邮件服 务器；但是，对于服务器来说，它们之间仍然是对等联网的。 m k h a m b a t t i 5 】在其博士论文中将p 2 p 系统定义为分布式系统，在该系统中称之为p e e r 的网络可寻址计算单元具有对等的角色和职责，进行信息交流并共享和消费他们之间的服 务和资源。这种定义指出了p 2 p 技术的核心思想：是所有参与系统的结点处于完全对等的 地位，没有客户机和服务器之分，也可以说每个结点既是客户机，也是服务器：既向别人 提供服务，也享受来自别人的服务。p 2 p 系统这种非集中的工作方式吸引了许多终端用户 的加入，因为这些用户可以独立地选择并改变策略、角色和职责。任何具有网络连接功能 及服务功能的网络可寻址的计算单元都可以作为结点加入系统，从而达到通过整合端用户 设备闲置的各种资源来提供服务的根本目的。典型的p 2 p 网络d ：l i n t e m e t 终端以自组织的方 斑塞坚虫厶堂亟上班珏生堂位i 金塞 一 笙= 熏呈i 直 式形成具有如下特点： 1 ) o v e r l a y 拓扑特性旧。p 2 p 网络是工作在应用层的覆盖网络所谓覆盖网络，是指为 了实现特定的功能而建立在一个或多个已存在的网络之上的网络，该网络需要维护一些额 外的信息，例如网络中结点的连接关系、结点的位置信息等。p 2 p 网络的应用层o v e r l a y 拓 扑特性使p 2 p 网络能够灵活容纳处于不同物理网络域的各种i n t e r n e t 终端。 2 ) 自组织性：p 2 p 网络具有自组织性，结点可以在没有仲裁者的情况下自己维护网络 的连接和性能，其网络拓扑会随着结点的加入和离去而重新组织。p 2 p 网络的自组织性使 其能够适应动态变化的应用环境。 3 ) 自主性：p 2 p 网络中的结点可以依据自己的意愿选择参与策略和行为模式。p 2 p 网 络的自治性对结点的自主行为给予了充分的尊重。 4 ) 资源定位及共享：在p 2 p 网络中，结点贡献自己的空闲资源，并利用p 2 p 网络提供 的资源定位功能发现其它结点的可利用资源，然后进行彼此之间的资源共享。因此，p 2 p 网络提供了将i n t e r n e t 终端闲散资源聚集的能力并促成了这些终端之间的协作。 5 ) 对等性：p 2 p 网络中的结点承担相同的职责，并采用对等的通信模式。在纯p 2 p 网 ) 络中，系统的维护开销( 路由、消息转发、维护修复等) 由结点共同来承担，不再有服务器 和客户机之分，也可以说每个结点既是客户机，也是服务器，既向别人提供服务，也享受 来自别人的服务。 6 ) 异构性：p 2 p 网络结点间广泛存在计算、存储能力和网络带宽等因素的差别，忽视 它往往会造成拓扑的不稳定性和网络的低效。 p 2 p 网络因其资源共享、结点的对等通信及网络灵活自组织的特性赢得了广大网络终 端用户的青睐而得到了蓬勃的发展。目前，p 2 p 流量己经占到了主干网流量的6 0 h 1 。但是， 也正是因为这些特性使p 2 p 网络存在着以下需要解决的问题： 1 ) f r e e r i d i n g 以及“公共悲剧”( t h et r a g e d yo ft h ec o m m o n s ) 问题：f r e e r i d i n g 结点只消费其它结点贡献的资源，而不共享自己的资源，整个系统的运作依赖于少量的用 户的利他行为。在目前大多数p 2 p 文件共享应用中，绝大多数( 例如，有超过7 0 的g n u t e ll a 用户m 1 ) 的用户不共享任何文件。公共悲剧阳1 ，即网络资源作为一种非排他占有的公共物品， 被大多数结点无节制地使用。g n u t e l a 中对5 0 的文件查找请求的响应来自l 结点，这些结 点由于愿意共享文件而被拥塞m 1 。事实上，p 2 p 网络理性用户的根本目的是最大化自己的效 用，而并不考虑网络的整体效用。因此，设计有效的激励机制来激励p 2 p 网络中的结点进 行有效的协作、提供优质服务并合理使用网络资源是关系至u p 2 p 网络生存性的重要问题。 2 ) 不可靠服务及大量欺诈行为的存在：p 2 p 网络环境中结点动态性无以避免，导致p 2 p 2 直塞鳗出厶堂硒苎：鲤宜生堂位硷室簋= 塞曼l 直 网络的高动态性从而造成了p 2 p 服务难以控制管理、服务可用性无法保证等问题造成 高动态性的主要原因是：a ) o v e r l a y 底层物理网络的不可靠性及结点高自治性有研究表 明n 町具有i n t e r n e t 连接的计算机的平均无故障时间( m t b f ) 为1 3 个小时左右，也就是说， 在规模为1 0 0 0 0 的网络环境中，平均每两分钟就有至少一个结点失效除物理设施故障外， 结点的自治性使得结点可以自主选择参与到系统中的参与策略，随意加入或离开网络，很 大程度上造成了网络的高动态性。b ) 结点的异构性：结点的异构体现于结点间广泛存在的 计算、存储能力以及网络带宽等方面的差别。有研究指出u ，目前存在于i n t e r n e t 上的计 算设备的网络连接能力呈p o w e r - l a w 分布。这也在一定程度上影响了网络的可用性和可靠 性。同时，还应指出的是，结点异构性并不是完全由这些物理差异决定的，很多时候它与 用户的自主选择有关。以p 2 p 文件共享应用e m u l e 为例，结点的上下行流量、网络连接数等 属性都可由用户自行设定，换言之，用户的自主参与策略的差异也许才是导致异构性的根 本原因。 p 2 p 网络中不仅存在着大量的f r e e - r i d e r ，还存在着大量不可靠的服务以及欺诈行为。 以众多的文件共享应用为例，2 5 的文件是伪造文件( f a k e df i l e s ) 。同时，i n t e r n e t 基础 设施上构建的p 2 p 系统还具有开放性以及结点匿名性的特征，这些都为计算机病毒和垃圾 数据的传播提供了有利的条件，这些缺陷严重影响了p 2 p n 艮务的可用性。 可见，要提高p 2 p n 昆务可用性，必须充分考虑底层物理网络的动态性以及结点的自主 参与策略和相关的信任机制。因此，引入有效的信任机制，建立安全、可靠的安全策略， 引入激励机制，提高资源的共享度，促进结点之间的合作，对于识别结点行为，提高p 2 p 网络整体效用是至关重要的。 1 2 本文的贡献 本文的研究内容是国家高技术研究发展计划( 8 6 3 计划) 专题课题“新型对等计算网络 安全关键技术”的一部分。 本文的工作重点为p 2 p 网络的信任模型和激励模型的设计。研究了现有的p 2 p 网络信任 模型，对之进行分类、评价；在分析现有p 2 p 网络安全需求的基础上，进行p 2 p 网络中基于 群组的信任模型和基于信誉的激励机制设计。因此，本文的贡献可以归纳为以下两个方面： 1 ) 在大规模p 2 p 网络中，结点之间由于兴趣不对称发生重复交易的可能性较小，大量 恶意结点的存在导致结点间的信任关系往往很难通过传统的信任机制建立。针对该问题， 本文模拟人类社会信任关系的建立过程，提出了种基于群组的信任模型。该信任模型将 群组的意见与评价者个人的经验进行融合，将信任关系划分为群组之间的信任关系、群组 3 直瘟鳗出占堂鲤班红生星位论塞 蕴= 童星i 主 与结点之侧的信任关系和结点之间的信任关系三个层次：在p 2 p 网络内，使用一种全局信 任评价方法，得到p 2 p 网络对每个群组的整体信任评价：最后，将群组对其成员p e e r 的内 部评价与p 2 p 网络对群组的整体评价进行组合，得到p 2 p 网络对单个p e e r 最终的信任评价。 该信任模型能够有效识别恶意结点，根据响应者的信任值进行下载源选择，使p 2 p 网络中 合作结点在不同的恶意结点攻击模式下具有较高的下载成功率。 2 ) 结点之间的合作是提高p 2 p 网络整体效益的关键问题。本文针对大规模p 2 p 网络中结 点之间由于兴趣不对称、进行重复交易可能性较小而难以建立互惠关系、结点状态变化频 繁以及零代价i d 的问题，希望通过利用结点信誉值产生对资源共享的激励，对普遍存在的 “f r e e - r i d i n g 和“t r a g e d yo fc o m m o n s 现象进行抑制。提出了基于群组的激励机制。 该机制通过将具有相同或相近兴趣的结点组织成群组，实现个人贡献资源的群组化。以群 组为单位进行博弈，提高结点之间发生重复交易的概率。结点通过群组存储的历史交易信 息或基于群组的信誉决策机制判断是否与其它结点进行合作。对群组而言，群组内部结点 发生交易则根据结点对群组的友好程度来决定是否合作：群组之间结点发生交易则根据群 组之间的友好程度来做出行为决策。这种共享资源的群组化使得结点之间更容易建立广泛 的合作；基于群组的“学习 机制使结点更容易了解和学习到收益更好的策略，遏制背叛 策略的蔓延，使得系统收益维持在一个较高的水平上。因此，基于群组的激励机制能快速 促进结点之间的合作，提高系统的整体收益。 1 3 论文的组织 本文的后续章节内容安排如下： 第二章p 2 p 环境下的信任模型：首先界定了本文研究的信任的范畴；然后讨论了计算 机领域的对信任的研究现状；接下来从实际运行的信任评估系统丌始，根据p 2 p 网络应用 的安全需求，对p 2 p 环境下的信任模型的研究作了总结和分类，并介绍p 2 p 网络信任管理机 制及其特点。 第三章基于群组的信任模型的研究：结合现有信任模型的优缺点，提出了基于群组 的信任模型和管理机制；然后给出具体的算法实现；最后，用仿真的方法验证了基于群组 的信任模型能够有效识别恶意结点，使p 2 p 网 络中合作结点在不同的恶意结点攻击模式下 具有较高的下载成功率。 第四章基于群组的p 2 p 激励机制的研究：介绍了研究背景及在p 2 p 网 络中设计激励机 制遇到的问题；设计了基于群组的p 2 p 网络激励机制，并从理论上分析了基于群组的p 2 p 激 励机制能快速促进结点之间的合作，惩罚背叛结点，遏制联合欺诈的发生，保障了服务的 4 直盛鲤虫太堂亟土班窟生堂位i 幺窑 笙= 童星i 直 可靠性，提高了网络安全性优化了网络的整体收益。 第五章总结和展望：对全文进行了总结，指出了目前的研究中存在的一些问题和不 足。并给出了进一步研究的设想。 2 1 信任的概念 2 1 1 信任的定义 第二章p 2 p 环境下的信任模型 在社会网络中，信任关系是人际关系的核心，个体间的信任度往往取决于其它个体的 推荐，而推荐者的可信度也决定其推荐个体的可信度。实际上，这种互相依赖的信任关系 组成了一个所谓的信任网络( y e bo ft r u s t ) 。在这样的信任网络中，任何个体的可信度都 不是绝对可靠的，但可以作为其它个体决定其交互行为的依据。基于信任网络的p 2 p 系统 与人际网络有很强的相似性n 引。体现在以下几个方面n 副：1 ) p 2 p 网络中个体之间的彼此交 互会为彼此留下零星的“信用”信息；2 ) 个体对交互对象具有充分的选择权利；3 ) 个体往 往不看重绝对的可靠性或服务质量，即个体可以忍受少量因错误的选择而带来的损失，比 如文件共享应用：4 ) 个体有义务为网络中的其它个体提供推荐信息。因此，可以利用信任 关系刻画p 2 p 网络中结点之间的关系。 信任是一个多学科的概念，研究信任和信任现象的领域很多，如心理学、社会学、经 济学、进化生物学、组织行为学、哲学以及计算机科学等，各个领域的学者从各自学科的 角度探讨了信任的性质、类型、功能、模式和机制，因而对信任的定义，也存在不一致性。 本文研究的范畴是p 2 p 计网络环境下对等结点间的信任关系。因此采用如下定义们： 定义：信任是一个对等结点基于与另一个结点的交互经验而产生的对该结点能力、诚 信和可靠性的一种信心。 由定义可知，信任是对一个结点身份和行为的“可信程度”的评估。通过结点间的交 互历史所反映出的结点的“可信程度”，本质上是结点的实际物理属性与其参与策略的一 个综合能力的“投影”，既可以反映结点的物理能力，也同时体现了结点参与网络的主观 态度1 。因此，可信程度与这个结点的可靠性、诚信和性能( 如带宽) 有关。它还是一个主 观概念，取决于该结点参与行为策略。 本文研究的主要问题是信任模型。信任模型是指建立量化的评价体系，以信任值度量 结点的“可信程度”、表示信任等级的高低，信任值随结点的行为的丌展而动态变化。 作为本文的研究对象，“信任 实际上是一个可计算的变量，是对p 2 p 计算环境下的 对等结点的可信程度的量化表示，“信任产生的背景是模型化的对等结点问的交互关系。 因此，“信任 在本文中，是在特定的应用背景之下的计算性问题。 6 直塞鲤生厶堂亟煎红生堂僮论塞笙三重堑珏缝工数值堡燕型 2 1 2 信任与信誉 一个与信任紧密联系的概念是信誉，信誉来自个体的社会网络中，在社会学家看来信 誉往往是社会网络中的一个网络参数，是基于观察到的个体过去行为或过去行为的信息而 对个体行为的期望。 信誉和信任之间的差别可以用如下简单描述来说明：1 ) 我信任你因为你有好的信誉； 2 ) 我信任你尽管你的信誉不好。由此可见，信誉强调的是一个群体对某一个体或群体的共 同的可信赖度，而信任更多强调的是信任个体对被信任方的主观信赖。信誉和信任相比， 后者的主观性更强，是两个实体间一对一的关系；而前者是整体的，全局的观点，是一个 实体在由实体组成的公众中的总体形象与综合评价结果的体现。 在本文中，将信誉定义为一个实体基于其它若干个实体对另一个目标实体的信任评价 而计算得到的对目标实体的一种可信程度的评估。而信任是基于信誉之上的一种对实体服 务能力和质量的综合评估指标。 2 2 信任的分类 计算领域对信任的研究可追溯到1 9 7 2 年，j a m e s p a n d e r s o n 首次提出了“可信系统” 的概念，将信任一词引入计算机安全领域。基于不同的应用背景，计算机领域内对于信任 的定义有很多，迄今为止还没有一个统一的定义。一般地，可将信任归类为客观信任和主 观信任。 在客观信任模型中，信任定义为：实体a 信任实体b 是指a 相信b 在特定环境下会以一定 的方式执行某项活动或具有某种属性，其特点为： ( 1 ) 信任是精确的、客观的；非此即彼：要么信任，要么不信任； ( 2 ) 信任与活动没有直接的关系，活动的执行与否不会影响信任关系的存在。 客观信任可以理解为一般实体之问存在固定的关系。例如，p k i ( p u b li ck e y i n f r a s t r u c t u r e ) 系统中对数字证书的信任可以归类为客观信任，因为对证书的信任实质 上是对证书持有者和其所声称的身份的一种绑定关系的认可。 大量的对p k i 系统中信任关系的研究可以被理解为是对客观信任模型的研究： b a n - l o g i c 和安全评价标准“i t s e c “是客观信任模型中两种常用的理论模型，这些模型为 信任模型的逻辑分析奠定了理论基础。在实际应用中的信任模型有p e m 信任模型等。 在主观信任模型中，信任是表征一个对象( 开放系统中可以推荐信任和接受推荐的实 体，实体是开放系统中存在的对象) 执行特定活动的主观可能性程度，该特定活动在事先 7 直塞堡! 乜厶皇亟硒红生堂丝监塞箍三空垫噩缝工鲍篮堡燕型 是不可监控的( 与能否被监控无关) ，并且被它自己的活动所影响 它包括三个特性： ( 1 ) 信任是主观的： ( 2 ) 信任不仅反映实体的固有属性，还反映其主观态度： ( 3 ) 信任关系是动态变化的，信任程度随实体活动的结果而不断修正。 主观信任模型放弃了实体间的固定关系，认为是一种经验的体现，对信任进行量化或 者分等级，成为近来研究热点。在不同的主观信任模型中，信任的量化和计算也不同。目 前所研究的p 2 p 计算环境下的信任模型多属于属于主观信任模型。 2 3 已有的p 2 p 网络信任模型 针对p 2 p 网络强自主性、高动态性等特点，结合p 2 p 网络中存在的欺诈，服务不可用和 f r e e - r i d i n g 等问题，传统的安全策略己经无法解决这些问题，信任模型作为一种新型的 软安全机制可以抑制上述问题。现有的p 2 p 信任模型多是基于已有的安全模型，或多或少 地存在一定的问题，没有很好地与p 2 p 网络的特点相结合，现将已有的p 2 p 网络信任模型作 一个简介。 2 3 1 基于p ki 的信任模型 在传统的网络环境( 如i n t e r n e t ) 和应用( 如电子商务) 中，信任关系的建立依赖于可信 的第三方，比如认证中心( c a ) 。只要网络实体持有该c a 所颁发的证书即被认为是可信的， 同时恶意用户必须承担( 法律) 责任n 射。 在p 2 p 环境下，引入p k i 系统中一些成熟的安全机制来实现信任模型是一种可行的方案 n 引。在这类系统中，有一个或一组权威结点维护一个可信的结点集合，这些权威结点可以 颁发证书给可信的新加入的结点，结点以证书作为其身份的凭证使用网络中的资源，这类 系统往往是中心依赖的，与p 2 p 的分布式属性不相符合，并且认证丌销大，存在单点失效 的问题。这类模型的主要缺陷是对数字证书的信任是客观的，可用于验证结点的实际身份， 却无法反映结点参与网络的主观态度，同时破坏了p 2 p 网络的匿名性，因此不能很好地解 决p 2 p 环境下的信任相关问题。 2 3 2 基于数据签名的信任模型 这种方法不追求结点的可信度，而是强调数据的可信度，以文件共享应用为例，每次 8 窟塞塑虫厶竺亟班坦生堂僮盈塞堑三童婴墅缝工竣篮堡燕垒 下载完成时，用户对数据的真实性进行判定。如果认可数据的真实性则对该数据进行签 名，获取签名越多的数据( 文件) 其真实性越高 在目前流行的p 2 p 文件共享系统k a z a a “町中，用户就可使用s i 9 2 d a tt 具计算他们所共 享的数据文件的哈希值并签名。然而，该方法仅仅针对数据共享的p 2 p 应用( 如文件共享) ， 同时无法防止集体欺诈行为( 即恶意群体对某不真实的数据集体签名) 。 2 3 3 基于社会网络的信任模型 在目前广泛存在的p 2 p 环境( 如文件共享系统) 中，有一种排斥集中方式的倾向，这主 要基于以下考虑：( 1 ) 集中式的认证往往伴随着额外的费用和开销，而p 2 p 环境通常追求零 开销，用户自愿参与网络、自由交易并且不准备为自己的行为负( 法律) 责任；( 2 ) 对单点 失效的顾虑，由于可信( 认证) 服务器的崩溃可能会导致整个p 2 p 网络的服务不可用。因此， 对于目前同益广泛应用的诸多p 2 p 环境，建立一种新型的分布式信任模型是十分必要的。 这种必要性不仅体现在用户对p 2 p 网络的有效使用上，也体现在有利于网络的良性发展上。 一种更合理的考虑是借鉴人际网络中基于推荐的信任关系建立方法。在社会网络中，信任 关系是人际关系的核心，实体间的信任度往往取决于自身的信誉和其它实体的推荐。实际 上，这种互相依赖的信任关系组成了一个信任网络。在这样的信任网络中，任何实体的可 信度都不是绝对可靠的，但可以作为其它实体决定其交互行为的依据。基于信任网络的p 2 p 系统与社会网络有很强的相似性。 2 3 3 1 局部信任模型 局部信任模型，又叫做基于局部推荐的模型。结点通过询问有限的其它结点以获取它 们对某个结点的推荐意见，再综合自己和该结点交互的历史经验，确定结点的信任值。在 这类系统中，消息的传播采取简单的局部广播的方式，容易引起局部的广播信息泛洪。 现有的p 2 p 网络的信任模型大多是基于共享信息的局部信任模型，女h e b a y 等。与全局 模型相比，此模型的算法迭代开销小，易于实现，但所得到的信任值往往比较局部和片面， 不如全局模型准确n 们，同时易受到联合欺诈等恶意结点的攻击。 下面给出一个适用于p 2 p 电子社区的局部信任模型，结点的可信度是对以往该结点向 其它结点提供服务的水平的综合评价。模型考虑较全面，引入了结点对交互的反馈、反馈 的可信度、结点参与交互的次数、交互的属性和结点所在社区五个因素度量结点的可信程 度。其信任值的度量公式为： ，“v l 丁( “) = 4 s ( 越，妒c ，( p ( 秘，嘞r f ( u ，f ) + 声c f ( u ) 岫 t = l 9 直塞竖出太堂亟坌鲤红生堂位论塞 一一 玺兰空婴堑笼工酸伍任搓型 相关参数的定义为。r ( u ) 是结点材的信任值：c ，( v ) 是结点的推荐意见的可信程度； t r ( u ，) 是结点”第f 次交互的属性；c f ( u ) 是结点“所在社区的属性：j ( ，v ) 是结点。和y 之间交互的总数；p ( u ，f ) 是结点”第，次交互的对象：s ( ”，f ) 是归一化的结点“的第f 次交 互后p ( u ，f ) 对它的信任评分；口是与”交互过的结点对u 的综合评价的权重；夕是社区的 对评估的影响所占的权重。 2 3 3 2 全局信任模型 主观信任一般可分为直接信任和间接信任，直接信任是两个曾经有过直接交互的对等 结点，根据交互情况对对方的一种直接经验。间接信任是两个没有进行过直接交互的结点， 根据其它结点的推荐而建立的一种信任关系。在p 2 p 计算环境下，对等结点间的联系较松 散，有直接信任关系的结点是非常有限的，因此间接信任对信任评估起着很重要的作用。 全局信任模型将网络中所有p e e r 之间的相互信任评价进行迭代运算，如果能证明运算收 敛，那么最终得到的就是整个网络对其中的每个p e e r 的信任评价。这样得到的信任评价综 合了整个p 2 p 网中所有p e e r 的意见，是比较准确的。同时也减小了恶意结点协同作弊的可 能性。但同时带来的问题是迭代计算开销太大，并且容易引起查询消息泛洪，不利于大型 动态p 2 p 网络的建设。； 。s e p a n d a rd k a m v a r 等提出的e i g e n t r u s t 模型是最具代表性的一种全局信任模型。 其核心思想可归结为： ( 1 ) 归一化的本地信任值0 ，本地信任值c 是结点f 总结与结点以往交互的历史而产 生的对的信任评分，也是f 对j f 的推荐度，可简单定义如下： ，1 s a t 口一u n s a t “ q 2 豇哥丽劫 s a t , ju n s a t , ，分别为结点f 对在历史交易中积累的满意次数和不满意次数。归一化 的目的是使网络中任意两个结点之间的推荐度均在o 和1 2 _ 问，恶意结点无法伪造大于1 的 推荐度来夸大其同伙结点。 ( 2 ) 迭代计算全局信任值向量 丁= ( c r ) 点p ( 2 一1 ) 其中r = 【石，瓦，7 ：，】7 ，刀为网络规模，乃为结点f 的全局信任值：p 是初始信任值； l o 直塞鲣虫厶翌亟尘鲢宜生堂位论毫 一 笙三至婴鳌控工的位廷燕型 c = ( 勺) 是f 行列元素为气的矩阵；右上角的小“r 一表示转置由于勺是经过归一化处 理的，c 是一个万状态m a r k o v 链的转移矩阵，由此可以证明，对任意初始向量p ，经过足 够大的七次迭代后r 会收敛成为全局信任值向量。 然而，e i g e n t r u s t 没有解决以下几个问题刀： ( a ) 解的存在性问题。e i g e n t r u s t 模型假定网络中始终预先存在一个固定的亚可信的 结点集合尸，尸的结点拥有至少五肿) 少的全局信任值，从而保证了矩阵c 的不可约性和 非周期性，并由此证明了公式( 2 - 1 ) 中线性方程组的可解性。该假定的合理性值得商榷， 因为这本质上使得这些结点拥有了“先天 的特权；此外，指定哪些结点组成集合p 也是 一个较难操作的问题。 ( b ) 该模型没有考虑惩罚因素，即模