（计算机应用技术专业论文）非结构化对等网信任和信誉机制研究.pdf

摘要 摘要 近年来基于g n u t e l l a 协议的非结构化对等技术得到极大的普及应用，越来越 多的用户享用这种技术带来的资源共享的便捷和灵活。但恶意用户节点却利用该 技术的特性随意对路由转发的信息进行篡改或丢弃；将木马程序等恶意代码伪装 成热点信息，提供网络中的其它用户节点下载；伪造大量不存在的用户节点标识 或目的不可达信息，对网络中某一节点，甚至整个网络发动d d o s 攻击等恶意行 为。 上述安全问题产生的主要原因是g n u t e l l a 协议设计本身缺乏安全因素的考虑， 导致网络中节点间无法相互信任，网络中共享资源的可靠性无法得到保障。针对 上述安全问题的解决方案之一是在节点间构建一种信任机制，为节点选择可信的 其它节点和内容真实的共享资源，提供评判依据。但是，目前对信任和信誉机制 的研究主要基于对信任和信誉计算模型的研究，对整个机制涉及的研究内容还没 有公认的研究性结论。因此，节点信任和信誉机制的课题研究对于p 2 p 安全体系 的构建和应用扩展，具有非常重要的现实意义。 本文针对节点的信任和信誉信息是衡量用户节点信任程度的最直接依据，贯 穿节点信任与信誉机制研究的方方面面的特性分析，提出基于g n u t e l l a 协议的p 2 p 信任和信誉机制的研究内容。同时，针对研究内容所涉及的节点间信任与信誉模 型，信任与信誉信息的安全传输和安全存储分别进行深入研究，取得了以下创新 性成果： 1 提出反映节点行为动态过程的全新信任与信誉模型。通过对现有模型存在问题 的分析比较，提出节点近期状态结果对节点信任程度影响最大，并且节点的行 为过程具有马尔科夫性。在此基础上，本文提出反映节点行为动态过程的马尔 科夫信任和信誉计算模型。 2 提出了一种多路径、分片的节点信任和信誉信息的安全传输协议。针对节点信 任与信誉信息传输重在完整性的分析研究，提出将s h a m i r 门限秘密分割理论 引入传输协议，对节点的信任和信誉信息进行分割，并将分割后的多个子秘密 采用多路径方式回传。该协议为节点进行信任和信誉信息的安全传输提供了一 摘要 种新的可替代方法。 3 提出分布式的安全冗余存储策略。针对节点信任与信誉信息安全存储的特性要 求，引入柯西编码理论对节点的信任和信誉信息文件进行多节点分布式安全冗 余存储，使存储该信息的节点无法获知存储于本地的信息内容，避免存储节点 对该信息的恶意更改，提高节点信任与信誉信息文件存储的安全性，使节点信 任与信誉信息存储的有效性和安全性都得到增强。 关键词：g n u t e l l a 对等网络，信任和信誉，安全协议，分布式存储 a b s t r a c t a b s t r a c t w i t h r a p i dp r e v a l e n c eo ft h ea p p l i c a t i o no nu n s t r u c t u r e da n dd i s t r i b u t e d p e e r t o _ p e e rt e c h n o l o g yw h i c hi sb a s e do ng n u t e l l ap r o t o c o lp e o p l eh a v eb e e ne n j o y i n g i to nt h ec o n v e n i e n c eo fu s i n gr e s o u r c e - s h a r i n g h o w e v e r ，m a l i c i o u sn o d e si np 2 p n e t w o r kc a ne a s i l ym a k eu s eo ft h i st e c h n o l o g yc h a r a c t e r i s t i ct om o d i f yo rd i s c a r d m e s s a g e sr o u t e da tw i l l ；p e r s o n a t eh o ti n f o r m a t i o nw i t hv i c i o u sc o d e ss u c ha st r o j a n h o r s ef o ro t h e rn o d e sd o w n l o a d ；f o r g eag r e a tm a n yo fb o g u si d e n t i t i e so ru n r e a c h a b l e m e s s a g e st ol a u n c hd d o sa t t a c ka i m i n ga ts q m en o d e so rt h ew h o l en e t w o r k t h ec a u s eo ft h e s ep r o b l e m ss t e m sf r o mt h ei n i t i a ld e s i g nt h a tt h eg n u t e l l ap 2 p n e t w o r ka s s u m e st h a tp e e r sh a v ec o n f i d e n c ei no n ea n o t h e ra n dr e s o u r c e s h a r i n ga m o n g t h e mi st r u s t f u la n dr e l i a b l e i nf a c t ，t h et r u s t f u lr e l a t i o n s h i pa m o n gp e e r si su n e x i s t e n c e s ot h a tt h em a l i c i o u sb e h a v i o rc a nb ed o n eb yu s i n gt h i sa s s u m e dt r u s tr e l a t i o n s h i p a m o n gp e e r s c o n s e q u e n t l y ，i ti si m p o r t a n tf o rp e e r si nt h en e t w o r kt oc o n s t r u c ta m e c h n i s a mo ft r u s t a n d r e p u t a t i o n t h ec o n s t r u c t i o no f t r u s t - a n d r e p u t a t i o nm e c h a n i s m a m o n gp e e r sc a np r o v i d eaw a yo fe v a l u a t i o nf o rc h o o s i n gt r u s t f u lp e e r sa n dr e l i a b l e r e s o u r c e s h a r i n g h o w e v e r ，e x i s t i n g r e s e a r c h e sa tt h i sf i e l dh a v en o tm a d e a n y a c k n o w l e d g e dc o n c l u s i o ni nt h em a s s ，a n dt h ef o c u so nt h em e c h a n i s mi sm a i n l y s t u d i e sa n di m p r o v e m e n t so ft h e s et r u s t a n d - r e p u t a t i o nm o d e l s t h a t 。i st o s a y , i ti s n e c e s s a r yf o rc o n s t r u c t i n gs e c u r ep 2 ps y s t e m sa n de x t e n d i n gp 2 pa p p l i c a t i o n st o r e s e a r c ht h et r u s t a n d r e p u t a t i o nm e c h a n i s ma m o n g p e e r s a n a l y s i s o f 、p e e r s v a l u e o f t r u s t - a n d r e p u t a t i o n ，t h e c o n t e n t so f t r u s t a n d r e p u t a t i o nm e c h a n i s mf o rg n u t e l l ap 2 p a r ep r o p o s e d ，w h i c hm a i n l yd e a lw i t h t h ev a l u eo ft h et r u s ta n dr e p u t a t i o nc o m p u t i n gm o d e l ，t h es e c u r et r a n s p o r ta n dt h e p o l i c yo fs e c u r es t o r a g e m o r e o v e r ，b a s e do ns y s t e m i cs t u d i e sf o rt h e s ea b o v ec o n t e n t s ， af e wn o v e la c h i e v e m e n t sa r eo b t a i n e da n dl i s t e da sf o l l o w s ： ( 1 ) at r u s t - a n d r e p u t a t i o nm o d e lb a s e do nt h em a r k o vp r o c e s so fd e s c r i b i n gt h e p e e r s d y n a m i cb e h a v i o ri sp r o p o s e d m o r e o v e r ，a c c o r d i n gt ot h er a n d o m c h a r a c t e r i s t i co ft h ep e e r s b e h a v i o rp r o c e s sa n do n e s s t a t er e s u l t s ，an e w - s t y l e t r u s ta n dr e p u t a t i o nm o d e lf o r e c a s t i n ga n dr e f l e c t i n gt h ep e e r s d y n a m i c i i i b e h a v i o rp r o c e s si sc o n s t r u c t e d ( 2 1a p a r t i t i o n a n d m u l t i p a t h t r a n s m i s s i o n p r o t o c o l o ft h e p e 粥 t m s t a n d r e p u t a t i o nv a l u ei sp r o p o s e d b a s e d o nt h ea n a l y s i so ft h ep e e r s t r u s t a n dr e p u t a t i o nv a l u ec o n c e r n i n g t h e i ri m e g r a l i t yd u r i n gt h ep r o c e s s o t t r a n s m i s s i o n ，t 1 1 es h a m i r s e c r e t t h r e s h o l d s c h e m ei si n t r o d u c e d i n t ot h e p r o t o c 0 1 i nt h ep r o t o c o lt r a n s m i s s i o n ，t h ep e e r s t r u s ta n dr e p u t a t i o nv a l u e a r e d i v i d e di m os e g m e m sa n dt h e nr e s e n t e db a c kt h r o u g hm u l t i 。p a t h - t h em e t h o d i sp r o v i d e dw i t han e ws u b s t i t u t ef o r s e c u r i t yt r a n s m i s s i o n o ft h ep e e r s 。 t r u s t a n d r e p u t a t i o nv a l u e ( 3 、ar e d u n d a n ts e c u r es t o r a g ep o l i c yo ft h ep e e r s t r u s t - a n d - r e p u t a t i o n v a l u e1 s p u tf o n a r d i n t h e p o l i c y ，a c c o r d i n gt o t h er e q u i r e m e n to ft h ep e e r s t m s t a n d - r e p u t a t i o ns e c u r i t ys t o r a g e ，c a u c h y c o d et h e o r yi si n t r o d u c e di n t ot h e c o n t e n to ft h ep e e r s t r u s t a n d r e p u t a t i o nd i s t r i b u t i o na n ds t o r a g et o b m j da n a l g o r i t h mo fr e d u n d a n tc o d e s i n c es e g m e n t s d i s t r i b u t i o ni sh e l da m o n g t r u s t e d p e e r s ，a n dt h o s ef r a g m e n t sa r es c a t t e r e do n e s ，s t o r a g en o d e sc a nm a k e n e a r l y n ok n o 、l e d g eo ft h el o c a lc o n s e r v i n gi n f o r m a t i o n t h i sw a y c a r le x c e l l e n t l y a v o i dm a l l c i o u sp e e r s m o d i f i c a t i o no nt h e ms ot h a tt h ev a l i d i t ya n ds e c u r i t y o ns t o r a g eo ft r u s t a n d r e p u t a t i o nv a l u e a r ee n h a n c e d k e yw o r d s ：g n u t e l l a p e e r - t o p e e rn e t w o r k ，t f i a s ta n dr e p u t a t i o n ，s e c u r i t yp r o t o c o l ， d i s t r i b u t e ds t o r a g e i v 缩略语 b a p c s c r s d h t i m l d p c m d s m e p n t p 2 p p d m p p p s p l ( i r s t r m 缩略语 b y z a n t i n ea g r e e m e n tp r o t o c o l c l i e n t s e r v e r c a u c h yr e e d s o l o m o n d i s t r i b u t e dh a s ht a b l e i n s t a n tm e s s a g e l o wd e n s i t yp a r i t yc h e c k m a x i m u md i s t a n c es e p a r a b l e m a r k o ve v a l u a f i o np r o t o c o l n e i g h b o rt a b l e p e e r - t o p e e r p e e r - b a s e dd e c e n t r a l i z e dm o d e l p o l l i n gp r o t o c o l p e e rs i m u l a t i o n p u b l i ck e yi n f r a s t r u c t u r e r e e d s o l o m o nc o d e s t r u s ta n dr e p u t a t i o nm e c h a n i s m v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：三略日期：6 7 年月4 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：导师签名 日期：d7年z 月枯日 第一章引言 第一章引言 对等技术 1 , 2 1 ( p e e r t o p e e r ) 3 持大规模分布式系统中众多节点间共享各种资源 的特性，使其近年来被广泛研究并得到迅速应用。目前，p 2 p 技术的应用主要包括 资源文件的共享和存储如b t 3 】：分布式数据存储如o c e a n s t o r e 4 】和北大的m a z e 【5 1 ： 大规模并行计算如s e t h o m e 6 1 等。对等网络将传统网络的中心服务器的处理响应 分布于网络中各节点上，弱化或取消中心服务器的地位并由网络中的各节点共同 承担，由于资源和服务分散于网络中，网络呈现开放性、自治性、动态性和匿名 性等。这些特性在给对等技术应用带来便捷的同时，也产生了许多安全性方面的 问题。 1 1对等网络面临的安全问题 传统分布式环境下，节点间的协作和交互需要一定的信任和安全支撑机制。 因此，用户往往向集中式的可信任第三方注册身份，由可信的第三方提供身份验 证、授权和审计服务。但p 2 p 网络因其具有的特性，产生如下一系统的安全问题： 首先，由于不存在中心服务器提供的基于节点身份或资源内容的鉴别，资源共享 严重依赖资源提供者和需求者间的相互信任，资源内容的真实性没有保证，使得 恶意信息容易被伪装成正常文件进行传播；其次，对等网络中节点之间相对独立， 彼此之间没有事实上的信任关系，导致请求者对资源真实内容和声称内容是否一 致无法判断；第三，网络中节点间以匿名方式进行的通信，导致网络中提供欺骗 性或者恶意服务的节点的定位无法标识、跟踪；第四，节点的自治性、动态性使 拥有信息资源或服务的节点的行为无法确定，提供文件信息资源的节点行为的可 信程度无法评估，对信息内容或资源无法进行验证；第五，在对等网络中，当用 户节点获取资源或寻址定位其它节点时，为获取较高的命中率，查询常采用广播 方式进行。这种查询方式有可能被恶意节点利用，伪造大量的查询消息以发动针 对p 2 p 网络的d d o s l 7 , 8 】攻击，迅速消耗网络中受害对象的资源或网络带宽；第六， 在c s 模式中，服务端提供网络资源或服务的响应和处理，是恶意节点攻击的主 要对象，因此是安全防护的重点，防护主要是对进入服务端的请求采取防护措施， 防护具有单向性，并且受防护的系统和外界有明确的安全边界。但在p 2 p 网络中， 资源或服务分散在网络各节点上，不仅需要对提供资源或服务的节点进行验证， 电子科技大学博士学位论文 对请求资源或服务的节点也要进行防护，这种安全防护的双向性导致对等网络无 明确的安全边界，造成传统的防护措施无法适用于对等网；第七，由于对等网络 没有相应的信任机制，节点间基于彼此互信的假设，而没有真正建立信任关系， 节点的状态不确定，节点标识不唯一，各节点基于同一兴趣，自主的处理与其它 节点的交互，用户节点只能自行承担因下载其它节点的资源信息带来的风险。 综上所述，p 2 p 网络一系列安全问题的主要原因是无集中的管理机制和节点的 动态性，这导致网络中节点间的信任关系很难建立。然而，节点之间共享资源信 息的安全通信协作又需要节点间彼此信任，p 2 p 技术应用的进一步推广和深化，也 取决于能否在网络中各节点间建立信任关系和对等信任模型。因此，如何实现一 种安全机制，来对p 2 p 网络中存在的提供欺骗性或恶意服务的节点进行隔离，避 免此类节点恶意行为影响的扩大，避免其它节点使用这些伪造的、错误的或误导 性的信息或服务，成为p 2 p 网络安全面临的主要问题。本文对目前应用最为广泛 的基于g n u t e l l a 9 】的非结构化p 2 p 中的信任和信誉机制进行深入分析研究。 1 2 g n u t e l l a 面临的安全威胁和隐患 在g n u t e l l a 网络中各节点基于共同的兴趣加入网络，以泛洪方式进行共享资 源的查询，而资源共享基于节点彼此相互信任、共享资源内容可靠的假设前提， 这一假设在一个局部环境( 如某个部门或组织建立的可信环境) 中是成立的，该 环境中所有节点基于共同的兴趣爱好共享彼此间拥有的资源。但在开放的i n t e m e t 网络中各节点多数是不熟悉，甚至是陌生的，网络中每一节点对其行为产生的后 果没有任何追究责任，且每一节点都有可能出于私心，尽可能最大化的利用网络 资源，而本身却不进行任何资源的贡献。更严重的是，对等网中每个节点由于地 位对等，都可以充当路由具有对收到的数据包进行中继转发的能力，恶意节点可 以随意的对进出的数据包进行截取、捕获、恶意更改路由转发信息或丢弃信息； 将木马程序等恶意代码伪装成热点信息，提供给其它节点进行下载；伪造大量不 存在的节点标识和目的不可达信息，针对整个网络发动d d o s 攻击。同时，基于 g n u t e l l a 协议的对等网络没有对节点传输的信息的安全问题进行考虑，以g n u t e l l a 协议进行通信的消息包都是以明文方式进行传输，没有对消息内容进行加密、对 信息资源的真实性进行验证、对传输过程中信息资源的一致性进行校验，以及没 有对节点用户进行审计和认证等安全措施。 2 第一章引言 上述安全漏洞为恶意用户篡改、伪造信息资源的内容提供了便利，如在利用 g n u t e l l a 协议本身漏洞进行的攻击中，当查询节点彳广播q u e r y 消息，网络中的回 应节点b 接收并回应消息包时，在节点彳和节点b 之间通信路由上的恶意节点会 截获b 的回应消息包q u e r y h i t ，并使用自身对应信息对该消息包中回应节点的i p 地址和端口号进行篡改。当查询节点彳接收到恶意节点的回应消息后，会选择从 恶意节点处下载所需资源信息，而恶意节点会将恶意信息传输给查询节点彳，从而 达到破坏、入侵查询节点彳的目的。有些恶意用户甚至会主动响应所有的查询， 向请求信息的节点发送垃圾信息内容，而网络中一些无知的良性行为节点往往会 在不知晓的情况下，帮助这些恶意节点转发伪造的消息，使这些信息充斥整个网 络。更为糟糕的是，恶意节点会利用这一安全隐患发起d d o s 攻击，该攻击不受 限制，攻击的对象可以是某一个特定节点也可以是整个p 2 p 网络。 由于非结构化对等网络中不存在公认的可信第三方，用户节点即使发现恶意 节点的行为，也无法将其i p 地址等信息公布到网络中，这是因为对等网络中节点 在多数情况下使用动态i p 地址。此外，网络中各节点间彼此通信的匿名特性，使 恶意节点可以利用匿名通信的便利条件，主动响应所有查询请求并返回伪造的信 息内容，而正常节点因为没有察觉伪造的恶意内容而进行共享转发，造成恶意信 息的扩散，这种因用户节点对自身行为的不负责任产生了节点是否可信的问题。 同时，用户节点间彼此共享的资源文件类型多样，如可执行文件、二进制文件等， 各种共享资源信息相关验证机制的缺乏，也产生了资源不可靠的问题。 综上分析，由于g n u t e l l a 协议本身缺乏安全因素的考虑，造成节点间信任关 系事实上的不可靠，进一步导致节点间共享资源内容的真实性无法得到保证。因 此，研究对等网络中节点间信任和信誉机制，通过节点间信任机制的构建为节点 选择可信的其它节点，选择内容真实可靠的共享资源提供评判依据，实现节点可 信，共享资源可靠的对等网络环境的目的。 1 - 3信任和信誉机制提出的动机和背景 目前已有的对等网络大多基于文件共享应用【1 0 1 。在文件共享应用系统中，当 用户节点查询需要的文件信息时，如果所需内容存在就进行下载，典型的文件共 享应用分为二个阶段：内容搜索和内容下载，在内容搜索阶段中，请求节点发起 查询并将查询消息发送到网络中的其它节点，收到查询请求消息的节点如果拥有 电子科技大学博士学位论文 请求的资源内容，就会对该查询消息进行响应；而在内容下载阶段中，查询请求 节点在收到查询回复消息后，会选择相应节点进行内容下载。二个阶段进行的过 程中都需要各节点协同配合，共同维护整个网络的正常运行。然而，恶意节点会 破坏这种合作机制，如不向相连节点转发查询消息，甚至是发送不真实的查询请 求内容等，而目前对等网络中没有良好的信任机制，节点间没有明确的信任关系， 信任的缺乏使得资源的可靠性和真实性无法得到保障。 目前，已有的p 2 p 网络是由互不相识的陌生节点动态构成的，它们之间不存 在事先建立的信任关系，它们之间的直接交互没有第三方、特别是权威第三方的 监督，如在p 2 p 文件共享网络中，用户无法在下载完一个文件并亲自检查之前， 确定对方提供的文件是否是他声称的文件，甚至无法确定是否是病毒或其它类型 的恶意软件。资源共享是用户的自愿行为，用户不为自身的行为担负责任。对等 体之间相对独立，彼此之间的信任关系难以确定。因此，对等体之间能否相互信 任，根据什么来判断是否信任，这一系列问题就引发了p 2 p 分布式环境下的信任 模型研究。一种合理的考虑是参考人际关系网络中基于推荐的信任关系，采用基 于经验验证的信任机制，通过对一个个体的历史行为来判断其可信程度1 1 1 l 。 信任关系是人类社会中人际关系的核心。在人际关系中，个体间的交往大多 由个体信誉度的高低来维系，个体在彼此不熟悉的情况下，会借助其它个体的推 荐，对他人的可信程度进行评判。同时，推荐个体自身的信誉度，也决定了其推 荐个体的可信程度，这种个体间信任评估的计算和相互更新，形成了一个分布式 的信任网络。虽然在这种信任网络中，个体的可信度会和其行为特征出现偶尔偏 差，每一个个体的可信度也并不绝对可靠，但它可以作为其它个体决定是否进行 交互的参考依据。 在对等网络中，用户节点的可信度也不是绝对可靠的，但该结果可以作为对 其它节点可信评判的参考依据，这一特点与人际社会网络有很大的相似性【l2 。首 先，网络中的用户节点在与其它用户节点进行交互的过程中，会留下与节点信誉 相关的信息；其次，用户节点可以自主选择交互对象；第三，用户节点不看重绝 对的可靠性或服务质量；第四，网络中的用户节点有义务为网络中的其它用户提 供信息，以共同维护网络。基于以上四点，可以将人类社会中通过人际关系建立 的信任机制引入对等网络，通过该机制在用户节点间构建信任关系，从而为节点 选择可信度高的节点、可靠性强的资源内容提供评判依据，提高对等网络中资源 交互的有效性以及用户节点获取共享资源的可靠性和安全性。 4 第一章引言 1 4信任与信誉机制研究现状及意义 目前，p 2 p 信任与信誉机制的研究还没有公认的结果，机制的构成要素还没有 统一的描述。信任系统的研究，侧重于对节点信任与信誉计算模型的研究，层出 不穷的信任模型说明现阶段的研究还处于初期阶段。 m a r s h 【1 3 】最早提出将信任关系引入对等网络进行研究，并给出了信任的框架， 该框架中节点间信任关系的建立，主要根据彼此间直接交往的历史经验或信任的 其他节点的推荐，通常由这两种直接和间接的信任关系构成信任网络。在这样的 网络中，每一个节点都根据其历史交互行为的可信度，决定其它节点可信或可靠 的程度。在p 2 p 网络环境下，节点间的信任涉及两方面：一方面是对节点本身所 提供的服务质量的信任：另一方面是节点对其它节点的评价或推荐的信任。 文献u 4 , 1 5 】进一步提出了基于资源信誉内容的信誉机制。该信誉机制提供了对 资源请求者所需资源真实性和可靠性的直接评估，能直接反映资源请求者对资源 内容可靠性的要求。节点从声称拥有所请求资源的节点处下载时，会选择那些信 誉好的节点进行资源的下载，而对那些信誉不好的节点拥有的资源则不进行下载。 在文献【1 6 】中提出的节点信任与信誉机制，通过节点具有的独立标识符进行判 断( 如通过节点公钥进行节点标识符的唯一性识别) ，判断依据是基于人类社会人与 人之间的交往经验，即节点可信则节点所拥有的资源可信。但是，信誉度高的节 点有可能会存放不正确的文件如病毒，这说明信誉高的节点并不总能提供高可靠 的信息资源，需要相应的安全机制和手段确保信誉机制的安全性。基于此，在文 献【l7 】中提出了面向资源的信任与信誉机制，该机制通过给每个节点的文件资源对 应一个摘要，提供文件正确性的依据，从而保证下载文件资源的可靠，防止病毒 文件的传播。但该机制因为只考虑资源文件的可靠性，而忽略了节点自身的可信 度，无法对拥有资源文件的节点提供的服务质量进行评估选择。 在模型计算方面，文献【l8 】提出节点信任与信誉的局部计算模型，该模型通过 采取简单的局部广播的手段，询问有限的其它节点以获取某个节点的可信度，其 优点是计算简便、计算结果收敛快。不足在于计算结果是局部的，反映节点的可 信度具有片面性。文献【1 9 j 中提出了节点信任与信誉的全局计算模型，该模型建立 在基于分布式哈希( d h t ) 结构化对等网络之上。实现的基本原理是，当一个节点f 需要了解任意节点k 的全局可信度时，它会从其它节点，( 和节点k 曾发生过历史交 互活动的节点) 处获得目标节点k 的历史信息，并根据这些交易伙伴自身的局部可 电子科技大学博士学位论文 信度( 从f 的主观判断角度) ，综合出k 的全局可信度。该模型的优点在于，计算可 信度基于全局范围，得出的计算结果没有遗漏，但没有考虑计算结果的收敛性问 题。 在文献【2 0 】中提出了基于贝叶斯( b a y e s i a n ) 的信任模型。该模型的特点在于，以 信任的概率值作为节点的属性，使用贝叶斯规划来表示评估节点和文件提供者间 的信任值，并给出了一个根据其它节点的推荐，计算某一节点信任值的迭代模型。 文献【2 1 】根据节点资源的重要性，提出对节点资源可信进行研究的计算模型， 该模型提出的方法不追求节点的可信度，而是强调数据的可信度。以文件共享应 用为例，用户在每次下载完成时，对数据的真实性进行判定，如果认可数据的真 实性，则对该数据进行签名，获取签名越多的数据( 文件) 其真实性越高。然而，该 方法仅适用于数据共享应用( 如文件共享) ，且无法防范恶意群体对某一不真实的数 据集体签名的欺诈行为。 国内对于信任和信誉机制的研究也在逐渐进行深入【2 2 , 2 3 , 2 4 , 2 5 】，但侧重点还在对 已有信任与信誉计算模型的改进，而对整个信任与信誉机制所涉及到的内容，如 信任与信誉信息的安全传输和存储安全性等相关的内容没有进行深入、系统的分 析研究。 信任和信誉机制的研究主要是针对p 2 p 网络中节点无事实上的信任关系，导 致一系列安全隐患的产生这一核心本质。同时，p 2 p 网络无集中管理机制和节点的 动态性，导致网络中节点间的信任关系很难建立，然而节点之间共享资源信息的 安全通信协作又需要节点间彼此信任，p 2 p 技术应用的进一步推广和深化，也取决 于能否在网络中各节点间建立信任关系和对等信任模型。因此，开展该对信任和 信誉机制课题的研究，对于p 2 p 安全体系的构建和应用扩展，在学术价值和应用 前景上都具有非常重要的现实意义。 1 5论文的主要工作及创新点 本论文的研究工作得到国家自然科学基金“对等网络中的分布式路由技术研 究 ( 编号：6 0 4 7 3 0 9 0 ) 课题、“泛洪的非结构化p 2 p 系统中分布式拒绝服务攻击 防范研究”( 编号：6 0 5 7 3 1 2 9 ) 课题的资助。 本文主要研究内容包括对信任和信誉机制研究内容的提出，对该研究内容所 6 第一章引言 涉及的节点间信任与信誉模型，信任与信誉信息的安全传输和安全存储策略分别 进行深入研究。针对节点的信任和信誉信息是衡量用户节点信任程度的最直接依 据，贯穿节点信任与信誉机制研究的方方面面的特性分析，提出了对等网络节点 信任和信誉机制的主要研究内容，为对等网络节点信任和信誉机制的系统研究提 供理论依据；针对现有信任和信誉计算模型存在的问题，提出反映节点行为动态 过程的马尔科夫信任和信誉计算模型：针对节点信任和信誉信息的安全传输，提 出以s h a m i r 门限理论为基础的多路径、分片传输选举协议；针对信任和信誉文件 的安全存储，提出分布式的安全存储策略，对该策略中的路由算法和安全存储算 法进行深入的研究。研究过程中取得了以下创新性成果： ( 1 ) 提出反映节点行为动态过程的全新信任与信誉模型。通过对现有模型存在问题 的分析比较，提出节点近期状态结果对节点信任程度影响最大，并且节点的行 为过程具有马尔科夫性。在此基础上，本文提出反映节点行为动态过程的马尔 科夫信任和信誉计算模型。 ( 2 ) 提出了一种多路径、分片的节点信任和信誉信息的安全传输协议。针对节点信 任与信誉信息传输重在完整性的分析研究，提出将s h a m i r 门限秘密分割理论 引入传输协议，对节点的信任和信誉信息进行分割，并将分割后的多个子秘密 采用多路径方式回传。该协议为节点进行信任和信誉信息的安全传输提供了一 种新的可替代方法。 ( 3 ) 提出分布式的安全冗余存储策略。针对节点信任与信誉信息安全存储的特性要 求，引入柯西编码理论，对节点的信任和信誉信息文件进行多节点分布式安全 冗余存储，使存储该信息的节点无法获知存储于本地的信息内容，避免存储节 点对该信息的恶意更改，使节点信任与信誉信息存储的有效性和安全性都得到 增强。 1 6论文的章节安排 第二章对对等网络中信任和信誉机制所涉及的概念、构成要素及特性进行了 全面的分析研究。在此基础上，提出信任与信誉机制的研究内容，为后续章节内 容的有序展开提供研究依据。 第三章首先对目前主要的节点信任和信誉计算模型进行分析比较，其次对节 点信任和信誉计算模型所采用的基本原理和方法进行深入研究。在此基础上，提 7 电子科技大学博士学位论文 出了一种基于马尔科夫过程的节点信任与信誉计算模型，并对该模型防范对等网 络中d d o s 攻击的有效性进行仿真实验。 第四章针对在节点信任和信誉信息传输过程中，主要采用节点自主产生的密 钥进行加密传输而产生的安全问题，从节点信任和信誉信息本身与传统秘密信息 进行分析、比较的基础上，提出了一个多路径、分片无密钥加密的传输协议，并 对该传输协议的安全性能，进行了详细的分析比较和仿真实验验证。 第五章在对对等网络中的存储策略所涉及的相关技术内容，分别进行描述和 分析的基础上，提出基于邻居节点列表二级缓存的节点信任与信誉信息的查询路 由算法。同时，针对节点信任和信誉信息的特性分析，提出了基于柯西理论的分 片冗余算法，实现节点信任和信誉信息文件冗余存储的有效性和安全性。 第六章对本文研究所运用的仿真实验平台进行描述，并编码实现基于g n u t e l l a 协议的对等网络仿真环境。 第七章对全文进行总结，并提出在本文基础上进一步开展的研究工作。 8 第二章非结构化对等网信任和信誉机制 第二章非结构化对等网信任和信誉机制 本章对对等网络中节点信任和信誉机制所涉及的概念、构成要素及特性进行 深入分析研究的基础上，提出了基于g n u t e l l a 对等网络节点信任和信誉机制的研究 内容。内容涉及节点信任和信誉计算模型、信任和信誉信息的安全传输协议以及 信任和信誉信息的安全存储策略，后续章节将对上述这些内容，依次进行系统阐 述和深入研究。 2 1信任和信誉机制涉及的相关内容 ( 1 ) 信任和信誉机制的基本概念 在非结构化对等网络信任和信誉机制中，节点间信任关系的建立，是根据彼 此间直接交往的历史经验或取决于信任的其它节点的推荐。这里通过直接交往的 历史经验获取到的对特定节点的信任程度，称为信任度；通过其它节点的推荐获 取到的对特定节点的信任程度，称为信誉度；综合信任度和信誉度获取到的对特 定节点的信任程度，称为评估度。上述三种不同的信任评估，构成节点间信任关 系的基本要素。下面就上述提到的信任度、信誉度和评估度的具体定义及三者之 间的关系分别进行如下描述： 信任度( t r u s t ) ： 指某一节点根据以往和其它节点发生直接历史交互活动所产生的结果，得出 对其它节点的可信程度高低的定量评估，是评估节点的直接主观评估，是一对多 的关系。 信誉度( r e p u t a t i o n ) ： 指根据其它节点推荐，得出对某一特定节点的信任评估，是评估节点在和未 知或不熟悉的节点进行交互活动前，从其它相识或熟悉的节点处得到的间接主观 评估，是多对一的关系。 评估度( e v a l u a t i o n ) 指节点根据对某一特定节点的信任度和该特定节点自身的信誉度，而综合得 9 电子科技大学博士学位论文 出对该节点信任程度的主观评估，是对节点信任度和信誉度两者分别加权的综合 评估。 信任度、信誉度和评估度三者之间彼此独立又相互关联，它们之间的关系如 图2 1 所示，图中实线代表节点间的信任度，虚线代表节点间的信誉度。节点b 和 节点d 发生直接的交互，节点艿对节点d 具有一定的信任度，节点彳对节点b 来说是 未知的，但节点d 和节触发生直接交互，节点d 向节点丑推荐其对节点么的信任度， 节点厦庚取节点彳的信誉度，节点b 综合节点d 的信任度和节点么的信誉度，获取对 节点彳的评估度。 节点 节点c 节点e 信誉度 一- 一- 图2 1 信任和信誉关系图 ( 2 ) 信任和信誉的性质 首先，信任是一个节点对其它节点或节点群，将来某一时刻，实际行为的主 观可能性程度的评价。此外，由于不同的节点偏好不同，对同一事物会有不同评 价，而且信任的程度不仅取决于主观评价的节点，还被其它不可知因素所影响， 比如对某一特定节点的信任依赖程度；其次，信任是非对称的，例如一个节点么 信任另一个节点曰，并不表示此节点口也信任节点彳；第三，信任不具有传递性， 例如一个节点彳信任一个节点b ，而该节点口信任另一个节点c ，不能表示节点彳 就信任节点c ，即节点间的直接信任不存在传递性【2 7 】；第四，信任的评价是基于 已有的信任关系或节点本身的经验，去预见其它节点未来的可能行为，这决定了 信任是动态的、非单调的，而且最近历史行为结果对信任的主观评价影响更大； 最后，信任是基于上下文的，不同的情况会使一个节点对另一个节点的信任，产 生不同的主观评价，这里的上下文指一个节点受自身或外来因素的影响而具有的 可能行为。 1 0 第二章非结构化对等网信任和信誉机制 信誉是数个以上的节点对同一个节点的主观评价的传播，是将一个节点对某 一个节点的直接信任，转变成另一节点对同一个节点的主观评价。这说明信誉具 有传递性，是节点彼此间对某一个节点信任的共享。 ( 3 ) 信任和信誉机制的研究对象 用户节点是构成对等网络的基本要素，也是节点信任和信誉机制的直接研究 对象。根据用户节点行为特征本文对用户节点进行分类，如图2 2 所示。 r 正常行为节点 节点_ r 自私行为节点 l 不良行为节点 t d 时所处状态的条件分布，具 有与时刻t o 之前所处的状态无关的特性【5 8 , 5 9 , 6 0 】，不同时刻的状态是指客观事物在未 来某时刻可能出现或存在的状态，客观事物由一种状态转移到另一种状态的过程 称之为状态转移。这里一个过程的将来状态仅依赖于现在的状态而不依赖过去状 态。这一预测过程可用分布函数表述如下： 设，为随机过程 x o ) ，f k ) 的状态空间，如果对时刻，的任意n 个数值满足 x ( 乙) 在条件彤( ) = 薯下的条件分布函数： 尸 x ( 乙) 吒iz ( f 1 ) = ，x ( 岛) = x 2 ，x 也一1 ) = x n 1 ) ( 3 - 7 ) 则x ( 乙) 在条件x ( 乙一) = 吒一。下的条件分布函数如下： 尸 x ( 乙) 矗ix ( 乙一1 ) = 一1 ) ，r ( 3 8 ) 也可用如下函数方程表示： f i l ”一( ，乙f 葺，x 2 ，矗一1 ； ，t 2 ，乙一1 ) ，n 、 = j i i “( 吒，t ni 吒-