（计算机应用技术专业论文）p2p对等网络的安全管理机制研究.pdf

南京| i i i j i u 人学形il ：研究生学化论文摘要 摘要 p 2 p 网络是近年来业界研究与关注的一个焦点，它在很多领域都得到了应 用，未来发展空间很大。但是，p 2 p 网络发展过程中，也产生了一系列急需研究 和解决的问题，安全就是其中最重要的问题之一。由于p 2 p 网络自身的特点使得 在p 2 p 网络环境中解决安全问题十分复杂。早期的p 2 p 网络应用基本没有考虑安 全因素；后来发展的一些p 2 p 网络应用系统，虽然有自己的安全机制，但是不具 有通用性，而且安全功能有限；当前一些较好的开发平台也只是为开发安全的应 用系统提供一定支持。因此有必要研究和完善安全管理机制。 本文首先讨论了p 2 p 网络的体系结构、特点和应用，通过对p 2 p 网络安全模 型的分析，归纳出p 2 p 网络应用的一般安全需求，指出信任关系是p 2 p 网络应用 的核心问题；然后研究了j x t a 平台的体系结构、核心协议以及安全技术，分析 了j x t a 平台在安全性上的优势；总结了p 2 p 网络中信任关系的特点；最后在 s p k i s d s i 理论的基础上，给出了一个基于信任管理系统的p 2 p 网络安全模型 p 2 p _ t m s ( p 2 p _ t r u s tm a n a g e m e n ts y s t e m ) 设计方法，详细地描述了p 2 pt m s 体系 结构的设计和功能的说明，并在j x t a 平台上实现了p 2 p t m s 的主要功能，较好 地解决了p 2 p 应用环境中的安全问题。通过构建仿真环境，验证了p 2 p - t m s 的正 确性和有效性。 关键词：p 2 p ，安全模型，信任管理系统，s p k i s d s i ，j x t a 平台 南京邮l u 人学颂i ：研究生学位论文 a b s t r a c t a b s t r a c t t h ep r o m i s i n ga p p l i c a t i o nu s i n gs m a r tp 2 pn e t w o r kw i t h i nm a n yf i e l d s ， w h i c hi sf o c u s e do nb yal o to fr e c e n ta c a d e m i cr e s e a r c h e s ，i n d i c a t e s t r e m e n d o u ss p a c ef o rf u r t h e rd e v e l o p m e n ti nf u t u r e ，w h e r e a st h e r ea r ea g r e a td e a lo fs e r i o u si s s u e s ，w h i c he x p e c te m e r g e n tr e s e a r c ha n ds o l u t i o n ， e m e r g i n gd u r i n gt h ee v o l u t i o no fp 2 pn e t w o r k g e n e r a l l ys p e a k i n g ，t h e s e c u r i t yi st h em o s ti m p o r t a n to n e d u et ot h es p e c i f i cf e a t u r e so fp 2 p n e t w o r k ，t h i si s s u ei sp r e t t yc o m p l i c a t e dt od e a lw i t h ，at r i c k yt a s k r e a l l y n o w a d a y st h es e c u r i t yi so n l ys u p p o r t e db yc e r t a i ns m a r td e s i g n p l a t f o r m s ，w h i1 et h e r ew a s1 i t t l ec o n s i d e r a t i o na b o u ts e c u r i t yo nt h e a p p lic a ti o no fp 2 pn e t w o r ki nit se a r l ya g ea n dt h el a t e rs y s t e m sm e r e l y i m p l e m e n t e ds o m es e c u r i t ym e c h a n i s m sw i t hu n i v e r s a la n df u n c t i o n a l1 i m i t s a f t e ra 1 1 t h u si t i sn e c e s s a r yt od i s c o v e ra n de s t a b l i s hap e r f e c t s e c u r i t ym a n a g e m e n ts y s t e m t h ef i r s tp a r to ft h i sp a p e rp r e s e n t sad i s c u s s i o no fp 2 pn e t w o r ko n t h ea r c h i t e c t u r e ，f e a t u r e sa n da p p l i c a t i o n a c c o r d i n gt or e l e v a n t a n a l y s i so nt h es e c u r i t ym o d e lo fp 2 pn e t w o r k ，t h er e q u i r e m e n to fc o m m o n s e c u r i t yi si n d u c e da n dt h et r u s t i n gr e l a t i o n s h i pi sp o i n t e do u tt ob e t h ec o r ei s s u eo fn e t w o r k a p p l i c a t i o n ，t h ef o l l o w i n g r e s e a r c h c o n c e n t r a t e so nt h ea r c h i t e c t u r e ，c o r ep r o t o c o la n ds e c u r it yt e c h n o l o g y ， w h i l ea n a l y z i n gt h es e c u r i t ym e r i to fp l a t f o r mj x t aa n ds u m m i n gu pt h e f e a t u r e so ft r u s t i n gr e l a t i o n s h i pa sw e l l a tl a s t ，t h es e c u r i t ym o d e l o fp 2 pn e t w o r kb a s e do nt r u s t i n gm a n a g e m e n ts y s t e m ，p 2 pt m s ( p 2 pt r u s t m a n a g e m e n ts y s t e m ) ，w h i c hi se s t a b l i s h e do n t h es p k i s d s i t h e o r y ，i s b r o u g h tf o r w a r d ，d e m o n s t r a t i n gt h ed e s i g no fa r c h i t e c t u r ea n di n s t r u c t i o n o fa p p li c a t i o ni nd e t a i1 b e s i d e s 。m a i nf u n c t i o n so fp 2 pt m sm o d e la r e i m p l e m e n t e do nj x t aa n dt h es e c u r i t yp r o b l e m sa r ep r o p e r l ys e t t l e du n d e r t h ep 2 pa p p l i c a t i o ne n v i r o n m e n t ，w i t ht h ev a l i d i t ya n dc o r r e c t n e s s v e r i f i e db vc o n s t r u c t i n gt h ec e r t a i ns i m u l a t i o ne n v i r o n m e n t k e yw o r d s ：p 2 p ，t r u s tm a n a g e m e n ts y s t e m ，s e c u r it ym o d e l ，s p k i s d s i ， p l a t f o r mj x t a n 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：丁锐日期：研究生签名： j 川 日期： 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名： 丁么门 导师签名：研究生签名： u 匆u 导师签名： 南京邮l u 人学顾i ：研究生学位论文 第一章绪论 1 1p 2 p 网络的发展 第一章绪论 p 2 p 即p e e r t o p e e r ，通常也称为对等网。2 0 世纪7 0 年代中期，源于局域网 中文件共享的p 2 p 网络技术就开始流行起来。随着w e b 服务需求的增长，人们感到 有必要直接控制、改变和共享资源。9 0 年代后期，p c 机的性能在速度和处理能力 上突飞猛进，人们- 丌始意识到可以将服务器软件放在单独的p c 上，而且可以在p c 机之问初始化全双工的信息流，这就导致了p 2 p 网络技术的广泛应用。2 0 0 0 年用 于共享m p 3 音乐的n a p s t e r l l j 软件与美国唱片界的一场官司将p 2 p 网络技术重新带 回人们的视线。继n a p s t e r 之后，各种基于p 2 p 网络的应用更是风起云涌，在文件 交换方面比较有代表性的软件有g n u t e l l a ，f r e e n e t 等；对等计算方面的软件有 s e t i h o m e y l 项目；协同工作方面的软件有i n t e l 内部处理器开发工具n e t b a t c h ： g r o o v e 则是应用相当广泛的企业级协同工作软件。 i b m 给出的p 2 p 定义为：p 2 p 系统由若干互联协作的计算机构成，且至少具有 如下特征之一：系统依存于边缘化( 非中央式服务器) 设备的主动协作，每个成员 直接从其他成员而不是从服务器的参与中受益：系统中成员同时扮演服务器与客 户端的角色；系统应用的用户能够意识到彼此的存在，构成一个虚拟或实际的群 体。p 2 p 网络在通讯过程中，所有的设备都是平等的一端。 p 2 p 应用系统的发展历程大致可分为三个阶段，第一个阶段是以n a p s t e r ， f r e e n e t 和g n u t e ll a 等为代表的文件共享系统，这一类系统取得了极大的成功， 直接带来了p 2 p 技术的复兴。第二阶段以g r o o v e ，s e t i h o m e 以及即时通讯软件等 为代表，p 2 p 开始进入企业应用，应用系统也不再局限于文件共享，而是出现了 各种各样的应用，如：对等计算、协同工作、分布式搜索等。第三阶段以j x t a 等基础平台为代表，p 2 p 技术逐渐平台化和标准化，进一步走向成熟和完善，形 成了大规模的企业应用。经过初期的热潮后，目i 芤j p 2 p 技术己经进入一个稳定的 发展期。2 0 0 0 年8 月i n t e l ，i b m 和h p 等公司发起成立了p 2 p 工作组，目标集中在p 2 p 技术标准、安全性及可靠性等，现在p 2 p - v 作组己经和全球网格论坛( g c f ) 合并， 成立了统一的分布式计算标准组织。 南京邮i l 三人学颐i 研究生学位论文 第一章绪论 相对于国外来说，国陕 p 2 p 发展要滞后许多，基本处于以文件共享和即时通 讯为主的阶段，现有的应用系统大多与n a p s t e r 或g n u t e l l a 相类似，主要应用于 娱乐领域，如：k u r o ，b t 下载软件等。但近年来国内p 2 p 网络的研究与应用逐步 兴起，吸引了众多的研究机构和研究人员从事这项工作，以点击科技为代表的企 业已经致力于开发企业级的应用系统，并取得不错的成效，同时也有一些研究机 构着力于p 2 p 基础平台的研究和丌发。 i 2p 2 p 网络安全问题的研究现状 p 2 p 网络的应用非常广泛，如文件共享、对等计算、协同工作、即时通讯等， 这些应用给广大用户带来了极大的便利和享受，取得了很大的成功。但是，同任 何一种新兴技术一样，p 2 p 网络还不够成熟和完善，存在着很多函待解决的问题， 如：路由问题，信息检索问题，带宽占用问题，知识产权问题和安全问题等等。 在上述问题中，安全是各种p 2 p 网络应用都必须面临的一个关键问题，而且在很 大程度上决定了p 2 p 网络应用的进一步发展。然而，由于p 2 p 网络自身的特点， 使得安全问题在p 2 p 网络中非常难以解决，可以说是p 2 p 网络中最关键、最迫切 的一个问题。 早期的p 2 p 应用系统并没有考虑很多的安全问题，如n a p s t e r 不能保证共享 内容确实是h i p 3 文件，曾经发生过用户将其他类型文件伪装成m p 3 文件进行传输 的事例。s e t i h o m e 虽然对节点进行评估，但还是发现有节点对系统进行了欺骗。 后来发展的一些p 2 p 网络应用系统，如g r o o v e 等，虽然都有自己的安全机制， 但是它们都是针对特定的应用，不具有通用性，而且安全功能有限，不能成为 p 2 p 网络安全问题的通用解决方案。随着p 2 p 应用的发展，各大公司陆续推出p 2 p 应用丌发平台，如i n t e l 公司的p tp ，i l t 和s u n 公司的j x t a 等，这些平台中己经 提供了对安全方面的支持，包括终端认证、安全存储、加密和电子签名等功能。 但这些只是为丌发安全的应用系统提供一个基础，还有待于在此基础上设计完善 的安全解决方案。p 2 p 安全问题既有c s 结构网络中的传统安全问题，又有p 2 p 网络中产生的新安全问题。这主要是由于p 2 p 网络和应用的特点而产生的。p 2 p 网络的最大特点是网络结构从集中式转变为分散式，集中控制可以解决目前网络 中多数安全问题，而在分散式环境中，不仅存在网络环境的安全威胁，也带来了 2 南京邮i u 人学坝i ：研究生学位论义 第帝绪论 动态环境中如何保障资源和系统安全的新课题。如果不解决这些问题，p 2 p 网络 的发展将受到严重的制约。 由于对等网络的人人参与性质，决定了用户的信息和数据来自各个方面，网 络中各个用户是平等和自由的。用户不能强制其他用户不提供某些信息或是资 源，但随着网络不断扩大，网络的虚拟性始终存在，用户不能保证其它的用户没 有对其提供有害信息或是做出侵犯行动。如果用户不能确信其他用户的可信程 度，就贸然采用他提供的或是为他提供更多的信息和资源，总有一天，你会发现 你的机器被病毒蹂躏的一塌糊涂，你的机器被黑客光顾了一次又一次，你不希望 泄露的公司机密或是个人隐私信息被公布在因特网上。到了那个时候，用户会发 现网络就不会再变的那么可爱了，而是变的可怕了。 个人用户对p 2 p 网络的安全性的考虑必然会引发商业公司对其商用价值的 怀疑，事实上一个没有商用价值网络的生命力是不会长久的。现实的i n t e r n e t 网络模型已经凌驾于标准的o s i 模型1 3 1 之上就是一个明证。如果要广泛应用 p 2 p ，技术上面临的诸多挑战中数据安全无疑是最为严重的挑战。由于在p 2 p 网 络中节点的硬盘需要被其他节点访问，节点用户安全意识的缺乏以及p 2 p 协议 和p c 操作系统的安全漏洞使得节点很容易受到黑客攻击。节点受到攻击会造成 两种后果：一是用户个人信息被剽窃，文件被病毒感染，其他从该节点下载文件 的用户也会被感染；二是用户站点被黑客控制成为分布式拒绝服务的发起者。 在商业应用中，使用这种结构来共享关键数据可能导致严重的安全问题，因此安 全因素是必须首先要解决的问题。在网络中，数据的安全不仅仅体现在数据安全 的存储，更重要的是体现在数据的安全的传输上面。安全的传输，包括传输信息 的无误、防范窃听或恶意的篡改，保证通信双方正确的交流信息等。 1 3 本文的主要研究工作和内容安排 本文的主要工作和内容安排如下： 第一章主要论述了p 2 p 网络的发展，p 2 p 网络安全问题的研究现状，说明了 本文的主要研究工作和论文的结构。 第二章介绍了p 2 p 网络安全模型，较详细地说明了相关的理论基础和技术方 法。 3 南京i l l um u 人学硕i j 研究生学位论文 第一章绪论 第三章分析了j x t a 平台的优势，介绍了j x t a 平台的体系结构、重要概念和 核心协议，对j x t a 平台目前采用的安全技术进行研究，分析了j x t a 平台的安全 性：然后介绍了信任管理系统，分析了p 2 p 网络中信任关系的特点，总结了信任 管理系统的研究现状以及在p 2 p 网络中面临的问题。 第四章给出了基于j x t a 的p 2 p 安全模型设计方法，并说明了相关技术的实 现技术。 第五章说明了仿真实验环境与实验方法，并分析和比较了实验结果。 第六章给出了全文工作的总结、并指出进一步研究和应用的方向。 4 南京l l i i ；i u 人学硕l ：j i j f 究生学位论义第二章p 2 p 网络安伞模型 第二章p 2 p 网络安全模型 在分布式系统中，节点间的协作和交互需要一定的信任和安全支撑机制。在 一个封闭的或者小型的系统中，由于节点是固定或者节点的数量不大，节点间的 信任建立也是可以采用静念的方式。但在p 2 p 网络中，由于p 2 p 网络环境的开发 性、分布性、协作性和动态性的大大提高，使得p 2 p 环境下的应用系统安全问题 具有许多不同于传统的集中式单一主机系统或封闭的分布系统的一些新特点和 需求。针对p 2 p 网络存在的安全问题，人们提出了一些模型，如证据理论模型、 分御式的p o b l a n o 模型以及信誉体制等。研究p 2 p 网络安全模型是保证p 2 p 应用 环境下数据安全传输的重要前提。 2 1 证据理论 证据理论( t h e o r yo fe v i d e n c e ) 也称为d s ( d e m p s t e r s h a f e r ) 理论。在d s 理论中，可以分别用信任函数、似然函数来描述知识的精确信任度、不可驳斥信 任度。设d 为样本空间，领域内的命题都由d 的子集表示。设函数m ：2 d 一 0 ，1 而且满足m ( ) = o ，m ( 彳) = 1 则称m 是2 d 上概率分配函数，m ( a ) 为a 的基 函) 本概率数。信任函数b e i ( a ) = m ( b ) ，b e l 函数又称为下限函数，b e l ( a ) 表示 面 对a 命题为真的信任程度。 似然函数用：2 d 一【0 ，l 】为尸，( 彳) = l b e l ( 一彳) ，对所有的ac _ d 其中 a = d a 。由于b e l ( a ) 表示对a 为真的信任程度，所以b e t ( 一a ) 就表示对一彳为 真的信任程度，因此p i ( a ) 表示对a 为非假的信任程度。似然函数又称为不可斥 函数或上限函数。 证据理论可处理不确定性和数据冗余问题。它采用信任函数作为度量，通过 对一个事件的概率加以约束，建立信任函数，并用决策方法消除信息的不确定性 和冗余。 有人提出用证据理论( d - s ) 来解决信任传递问题，j e s a n g 等建立其信任模型 时也使用了证据理论，国内也有利用证据理论解决p 2 p 网络中信任传递的问题。 南京娜l u 学坝i 侧f 究生学位论女 鹅一章p 2 p 镕宜争模型 用证据理论推导信任的传递，信任程度可以用信任函数来表示 相信程度：b e l ( t ) = 州 r ) ) 不相信程度：b e l ( 一n ) = 州 一r ) ) 不确定程度：b e l ( t ，一r ) = 埘( r ，丁) ) 不可信域 匕生兰竺竺g：艺到 豳隧闺 卜1 不确定性域 图21d - s 理论对信息的不确定性表示 图21 是 j - s 理论对信息的不确定性表示。信任的合成使用了信任函数的合 成法则： 叫。= 急锱 虽然证据理论模型在一定的程度上解决了信任问题，但是通过深入的研究与 分析，可以发现在证掘理论模型中，信任度的传播仍存在不足之处，那么数据的 传输就可能是不安全的。 k j 。 图2 2 推荐信任传递与合成 一。 南京邮l 【1 人学硕l j 研究生学位论文第二章p 2 pl i ) 9 络安伞模型 如图2 2 所示，若实体i 对两个推荐者a 、b 完全信任，且a 、b 对目标实体 j 信任程度都为0 8 ，即： m ( r ) ) = 0 8 ，m i ( 一r ) = 0 2 ，m 1 ( 丁，一r ) ) = 0 m 2 ( 丁) ) = 0 8 ，m 2 ( 一丁) ) = 0 2 ，m 2 ( r ，一丁) ) = 0 则根据证据理论的合成法则有： 。 m 1 2 ( r ) = 0 9 4 ，m 1 ( 一r ) = 0 0 6 ，m l ( r ，一r ) ) = 0 如果将这个结论置于推荐信任传递与合成的环境考虑，会发现与直觉有很大 差距，也不符合社会中的实际情况。设想如下情况，用户i 想确定陌生人j 的可 信任程度，他会通过询问熟人a 和b ( 等同于这里的推荐者，而且i 对每个熟人 都有一定的相信程度) ，a 、b 都说j 的可信程度是0 8 ，那么根据j 下常的理解， 用户i 对j 的相信程度会接近0 8 ，如果有更多的熟人都认为j 的可信程度是o 8 ， 那么i 对j 的相信程度会更加接近0 8 。从这个意义上讲，中间实体a 、b 对j 的推荐信任程度与证掘理论的信任函数不同。这里，a 、b 对j 的推荐信任程度 对应的是证据理论的结论，而用户i 对a ，b 的信任程度才对应于证据理论的信 任函数。 2 2p o b l a n o 分布式的安全模型 在p 2 p 网络中，信任表示某个用户对于获得的服务或者信息的信任程度。这 是一个主观的评价，比如用户a 请求对等体c 上的服务s 时，对等体c 这边的网 络十分畅通，用户a 的请求很快得到答复，而用户b 请求时，由于网络的阻塞， 或者对等体c 的崩溃，服务迟迟得不到响应，a 和b 对服务s 的不同评价都是由 在以前的请求中服务的满意程度来决定的。因此，没有一个c a ( 认证中心) 可 以为对等体c 和服务s 颁发一个证书来说明它们的可靠性。只有将c 过去得到的 用户评价进行交换，综合评估后，得到一个客观的比较可靠的数据，才是c 的信 任度。把这些数据作为搜索的标准，根据这个标准来向其他的请求推荐信息源和 服务，这就是分布式的置信模型。 p o b l a n o 4 1 就是一种分布式的安全模型，它提供了一种可以在对等体之间传 播信任关系的方法。如果能运用p o b l a n o 安全模型传播信任关系的方法，完成基 南京邮l 【1 人学顺i ：研究生学位论文第二章p 2 p 州络安伞模型 于信心值的发现，那么会在安全方面得到一个很大的提高。p o b l a n o 模型是分布 式安全模型中比较完善的模型。 信任的程度根据对于一个给定的对等体完成任务的能力、诚实度、可靠性等 的计算。建立的安全模型，不仅要体现对等体之间的信任关系，而且要能够表现 对等体和服务之问的关系。在一个对等体请求服务时，对等体通过关键字表示自 己所关注的内容，目前可以响应的服务通过查找与自己提供服务相关的关键字找 到请求的对等体，从而建立了对等体与服务之间的数据关联。因此，建立服务、 关键字和对等体之间的联系，表现在对于指定关键字，对等体之间和对等体对服 务的信任关系评估，如图2 3 所示。 评估目标 信任关系 图2 3 信任关系评估 首先，对等体p e e r 一0 评估它对于服务s e r v i c e j 的信任程度，而建立p e e r _ 0 与s e r v i c e - l 之间的信任关系，s e r v i c e _ 1 属于p e e r j 。将p e e r 一0 所关注的 信息以关键字k 表示，考察s e r v i c e - l 与k 的关联程度等，得到评估结果e ，e 由s e r v i c e 的主体p e e r _ l 传递给p e e ro 。e 就是对于一个给定的关键字集合k ， p e e r 一0 对于信息源p e e r _ l 上的服务s e r v i c e _ 1 的信任度。对p e e r 一1 上的所有 服务s e r v i c e i 分别进行评估，取其加权平均值得到评估结果e ，e 就是对于给定 的关键字k ，p e e r 一0 对于p e e r 1 的信任。以下4 个类用来构造信任关系： 1 ) c l a s sc o n f i d e n c e 信心值类。c l a s sc o n f i d e n c e i n tp o p u l a r i t y ；i n t r e l e v a n c e 其中，p o p u l a r i t y 的值在服务被请求时单调递增。r e l e v a n c e 表示服 务与关键字的相关程度，在( 一l ，0 ，l ，2 ，3 ，4 ) 的范围内取值。 2 ) c l a s ss e r v c o n f id e n c e 给定关键字k ，根据服务s e r v i d 与关键字k 的关 联程度衡量服务的可靠程度。c l a s ss e r v c o n f i d e n c e s t r i n gk e y w o r d ：l o n g s e r v i d ：b o o l e a nl o c a lf l a g ；c o n f i d e n c es e t c o n f i d ) 。 南京i i l l , l ! 人学顺i j 研究生学位论文 第二帝p 2 p 州络安全模型 3 ) c l a s sp e e r c o n f i d e n c e 给定的关键字k ，对服务所属的对等体的信心值。 c l a s sp e r c o n f i d e n c e s t r i n gk e y w o r d ；l o n gp e e i d ；c o n f i d e n c ep e r c o n f i d 。 其中，p e e r _ c o n f i d 是这个对等体中所有与关键字相关的s e t c o n f i d 的加权平均 值。 4 ) c l a s sr i s k 给定一个对等体，衡量请求这个对等体提供服务所承担的风 险。c l a s sr i s k l o n gp e e r i d ；i n ti m e g r i t y ：i n ta c c e s s i b i l i t y ； i n t p e r f o r m a n c e 。其中，i n t e g r i t y ，a c c e s s i b i l i t y ，p e r f o r m a n c e 分别表示 这个对等体数据和代码的完整性，可存取性和性能。 p e e r c o n f i d e n c e 和r i s k 类分别用来衡量目标对等体的可用程度和可信程 度。可用程度是指，对等体目前是否可以提供服务，如提供服务的对等体由于系 统崩溃、网络阻塞或者对等体提供的服务与请求的关键字无关可能会造成这个对 等体的不可用。可信程度则是指，一个可用的对等体，因为在某一次或者多次提 供服务的过程中存在作弊行为，如窃取不符合自己权限的信息，冒用他人的名义， 这都直接导致这个对等体的可信程度降低。考虑到用户的因素，由于对一次服务 进行评价比对予一个对等体进行整体的评价更加直观，可以先根据关键字相关的 搜索结果和用户的评价计算s e r v c o n f i d e n c e ，然后综合一个对等体提供的所有 服务的s e r v c o n f i d e n c e 得到p e e r c o n f i d e n c e 值。综上所述，信任( t r u s t ) 分为 2 个部分，信心值( p e e r c o n f i d e n c e ) 和风险值( r i s k ) 。 p o b l a n o 安全模型主要是提供一种传播信任关系的方式。在点对点的网络 中，假设从对等体a 到对等体b 的路径要经过对等体c ，要计算这条路径的信任 值需要了解这条路径上各个点的可信任程度。这种信任程度可以数字化为一 1 ( 不信任) ，0 ( 忽略) ，l ( 最小信任) ，2 ( 平均信任) ，3 ( 相当信任) ，或者4 ( 非常 信任) 。在搜索服务时，可信任值为一1 和0 的服务一般不予考虑。一条从对等 点s 到对等点t 的路径，通过了只，f = l ，2 ，n ，对于s ，对等点t 的t r u s t 值( 丁) - i p a 用如下的公式计算： 当y ( c ) 之l 时，( 厂) 2 去( 善矿( 枷矿( 丁) 其中，v ( 4 ) 是对等点i 的可信任值，只只是信息供应方。v ( 7 ) 是目标对等体的 9 南京i | i l ；i u 人学顾i 研究生学位论文 第二章p 2 p 蜘络安伞模型 可信任值。如果从s 到7 有多条路径，那么r 在s 上的可信任值是所有传播路径 的可信任值的平均值。 用一个例子来说明。假设：从对等点a 到对等点d 有2 条路径，第l 条通过 b 和c ，另外一条是通过b ，e 和f 。d 在c 上的信任值是3 ，c 作为一个推 荐者在8 上的信任值是2 ，b 作为一个推荐者在爿上的信任值是3 ，因此有用同 样的算法可以得出第2 条路径的信任值是v 2 ( d ) 是2 1 5 。那么，对等体a 在对等 体d 上的信任值是1 8 8 。 k ( d ) ：兰垡学y ( d ) ：1 8 8 2 3 信誉反馈体系 信誉体制是基于实体的反馈行为的模型，是对使用后服务的一种评价系统， 广泛应用于交易系统中，也是解决p 2 p 安全问题的有效方法之一。信任是人们进 行社会交往的基础，在同常生活中，人们总是选择那些他们认为值得信任的人作 为合作伙伴，并且，在不断的深入交往中，人们之间的信任关系也在不断地更新 和传递。信任的参数是因人而异的，因为每个人对信任的理解都不一样。这样就 形成了一个社会信任网络。基于社会信任关系的分布式网络模型，在合作中，端 点之间的信任关系根据合作结果的满意度，以及每个端点的可访问性，稳定性和 安全性不断进行调整，根据信任的大小来选择协作对象。这个网络模型和人类社 会信任网络有很大的相似性，当这样的一个社会信任模型应用于一个分布式网络 结构上时，端点之间的信任就像现实生活中人们之间的关系一样。因此，在这个 模型罩，一切合作以端点之间的信任度为基础，不断的合作也导致网络中信任度 的值也不断变化，端点不断收集信任信息，并进行交流和评估，使得每个端点都 保存有相关端点的最新信任表，可以作为将来搜索信息、推荐信息源的指导，这 样可以使一个用户始终与一个信任度最好的端点进行合作，保证任务完成的币确 性、安全性。 p 2 p 网络高度的自治性和动态性也导致了许多网络管理和安全策略方面的 问题。常见的问题有信息泄漏，病毒传播等。在这种情况下，需要建立实体认证 机制以保证网络的安全和健壮。对于很多应用来说，应用构建的平台的灵活性和 l o 南京i l l f f i t ! 1 人学顾i ：研究生学位论文第一二章p 2 p 叫络安令模型 自由性，实体加入和离丌的自由性，导致应用平台无法要求实体提供关键认证信 息，只能对实体进行注册登记而无法进行严格的认证。这些应用并不适合使用基 于p k i 和数字证书的认证技术。 在无法通过证书认证确定实体是否可信任的情况下，需要其他方式提供同样 的功能。一种普遍被采用的方式是基于群体信息共享的反馈和评价推荐机制。这 种机制引入社团的概念，在社团内为社团成员提供评价和信息反馈。实体的历史 活动信息是建立信任的基础。只依靠直接交互信息是不够的，而且具有滞后性， 因此引入社团的概念，在社团范围内进行信息共享和统计，可以大大增加评价推 荐的准确性。 根据这种机制建立的信任模型称为基于信息反馈的信任模型。这类信任模型 具有相同的工作方式：提取反馈信息中的关键属性，对关键属性进行评价得到关 键级别向量，对关键级别向量进行计算得到实体的效用，并与预先设定的最小效 用闭值比较来建立信任关系。 在p 2 p 电子交易中，信誉反馈信任模型1 5 】是通过以下4 个重要的因素的鉴定 来评价节点的信任度的。在计算点的信任度时，信任度值是要结合这些信任参数 的。 计算节点u 信任度的公式为： m 胁宰鳘罂咿咖) ( 2 _ 3 ) i “ i ( u ) 参数代表的是交易的总的节点数；s ( u ，f ) 参数代表的是节点i 对节点u 交易的类型内容；c ( u ，f ) 参数代表的是节点i 对节点u 用户交易成功后对此次交 易的满意评价值；c f ( u ) 参数代表的是过去的社团对u 节点的评价的信任度。为 了提高信任模型的准确度和灵活性，引入口，是修j 下因子1 6 1 ，对模型参数进行修 正。 基于反馈信息的信任模型是一种和常用的证书认证方式完全不同的信任产 生方式，具有很好的应用灵活性和较低的成本，很适合小额、自由的电子商务应 用和非电子商务应用。 南京i i | l j i 【1 人学倾i ： i j f 究生学位论文第二章p 2 p 网络安伞模型 2 4s p k i s d s i 理论 近年来一种分布式信任管理的新理论逐渐引起了大家的关注，成为研究的热 点，它能为分布式计算环境提供简单而精确的命名及授权体制，这就是 s p k i s d s i 理论。 ： 为了克服基于x 5 0 9 标准p k i 系统过于复杂以及在证书授权方面的局限， c a r l e l l i s o n 等人共同提出了简单公钥基础设施1 7 j ( s i m p l ep u b l i ck e y i n f r a s t r u c t u r e ，s p k i ) 。它描述了一个更为简单、实用的p k i 技术，其主要目的 是提出一种简单的、易于理解和执行的证书格式和关联协议，同时实现可信的认 证和授权。s p k i 认为绑定公钥和名字的身份证书机制需要定义一个全局的命名 空间机制来分配全局名，如：x s o o d n m 。然而，这样一个全球的命名机制很难 实现，而且也不是必需的，因为更多情况下，人们希望知道的是密钥拥有者的特 权而不是名字。因此，s p k i 建议用公钥来作为实体的全局标识，并通过授权证 书和允许权限的进一步委托来实现灵活的授权机制。 现在所说的s p k i 其实是个混合体，1 9 9 6 年l a m p s o n 和r i v e s t 提出“简单 分布式安全基础设施i 引( s i m p l ed i s t r i b u t e ds e c u r i t yi n f r a s t r u c t u r e ， s d s i ) ”的概念，与此同时，c a r le l l i s o n ，b i l lf r a n t z 等人设计出“简单公 钥基础设施( s p k i ) 。1 9 9 7 年，s d s i 和s p k i 合并，成为“s p k i s d s i ”，为了 简单起见，称它为“s p k i 或者“s d s i 都是可以的。1 9 9 9 年，i e t f 组织将s p k i 标准化，成为r f c 标准。 s p k i 证书分为授权证书和名字证书，其中授权证书定义访问控制权限，而 名字证书将公钥与名字或属性绑定在一起。需要注意的是，s p k i 完全可以在没 有名字证书的情况j 下常工作。s p k i 授权证书可以被抽象为一个五元组 ，s 个字段的信息，分别为：颁布者( i s s u e r ) 、持有者( s u b j e c t ) 、权限 传递( d e l e g a t i o n ) 、具体权限( a u t h o r i z a t i o n ) 和有效时间( v a l i d i t yd a t e s ) 。 字段的具体内容说明如下： 1 ) 颁布者：该字段说明谁颁布了这个证书，或是谁对这个证书签名。它可以是 一个公钥或公钥的哈希值，该公钥对应的私钥对证书进行签名。由于证书是 由密钥直接颁发的，故不涉及任何人名或计算机名。任何拥有公钥私钥对的 1 2 第二二章p 2 p 嗍络安伞模型 实体都可以颁发证书。 2 ) 持有者：该字段说明谁来持有这个证书。这个字段可以是一个公钥、一个公 钥的哈希值或是一个名字。只有持有者字段中的公钥或名字可以使用该证 书。 3 ) 权限传递：该字段决定持有者是否可以将它拥有的权限传递给其他人，这个 字段是一个布尔变量。 4 ) 具体权限：该字段定义了证书持有者拥有的权限和权限的范围等。颁布者可 以自由定义这些信息。该字段的内容完全取决于具体的应用。不同的应用有 不同的控制权限，比如：文件服务器定义对某个目录的操作权限，银行定义 某账户金融活动的权限等。 5 ) 有效时i 日j ：该字段说明了证书的有效时间段。 名字证书将公钥与名字或属性绑定在一起。名字证书的结构与授权证书类 似，但它只有4 个字段：颁布者( i s s u e r ) 、持有者( s u b j e c t ) 、名字( n a m e ) 和有 效时间( v a l i d i t yd a t e s ) 。它们通常表示为( c ，i ，s ，n ，v ) 这样的四元组形式。 除了名字字段外，其它字段的具体内容与授权证书中的一样，而名字字段定义被 绑定的名字或属性。名字是任意字节的字符串，可以是人的名字，可以是任何实 体的名字，也可以是一串引用，比如：a l i c e ss i s t e r ，还可以是实体的布尔属 性，比如：a g e - o v e r - 1 8 。 现在的s p k i 中没有全局名字，所有名字都是局部的，而这种局部的划分是 由颁发者的公钥决定的。这些公钥拥有自己的名字空间。也就是说，对于名字证 书来说，不同的颁发者可以使用相同的名字。 在s p i ( i 中，授权的可传递性是一个适合p 2 p 网络环境的突出特点。如果一 个证书主体( s u b j e c t ) 得到了可以进一步传递权限的许可，就可以签发新证书， 将所获得的授权的部分或者是全部再传递给其它的实体，同样地，下一个持有者 也可能可以传递权限。采用这种授权委托方式，所有的相关授权证书就形成了证 书链l i o l ( c e r t i f i c a t ec h a i n ) ，某个持有者所拥有的权限由证书链来决定。 由于实体的访问权限由相关授权证书形成的证书链来决定，所以证书链的验 证和简化问题就变得非常重要。证书的验证主要是指证书签名的验证和有效期检 查，证书的简化主要指利用五元组压缩规则进行证书归并。当用户或一个公钥( 本 南京邮i 乜人学硕i ：研究生学位论文 第二章p 2 p 网络安伞模型 文称为申请者) 试图获得某项服务，它必须向该服务的控制者出示他的授权证书。 如果权限币确，请求则被批准。证书归并算法用于计算申请者的权限，然后将申 请者的证书链简化为一个单独的权限证书。当证书链中的一系列证书的数字签 名被验证后，这些证书可以被简化为五元组的形式，通过五元组压缩规则可以获 得最终的实际权限。五元组压缩规则如下： + = 其中，第一个证书的主体s 1 是第二个证书的颁布者，a 1 a 2 表示取a 1 和a 2 的 交集，v 1 “v 2 表示取v 1 和v 2 的交集。这样就完成了由1 1 到s 2 的一个权限传递， 该权限等价于一个虚拟证书 。 如果一个五元组证书的持有者项是一个名字，则需要构造名字证书链来将该 证书的名字替换为公钥。例如，假设现在有这样一个授权证书和两个名字证书： ， ， 。这罩，k l ，k 2 和k 3 分别为三个实体的公钥。那么就可以简化出一个k 1 颁 布给k 3 的授权证书： 。 基于s p k i s d s i 证书的信任管理系统具有如下特点，使得它适合用来实现