（计算机系统结构专业论文）p2p分布式文件系统中信任计算模型的研究.pdf

重庆大学硕士学位论文 中文摘要 摘要 随着各种p 2 p 软件的广泛应用，p 2 p 网络中安全问题已经成为一个研究的热 点。而信任机制是p 2 p 网络中安全问题的重要方面。信任计算模型是信任机制 的核心，它应使得信任的计算和处理有相当的灵活性，能够适应网络环境的变化； 同时，也让人们能够通过某种途径方便的改变信任的管理策略。 本文研究了p 2 p 网络中信任计算模型的现状及其一般的构建思路，在此基 础上结合p 2 p 分布式文件系统的具体特点，设计了一种适用于p 2 p 分布式文件系 统的信任计算模型。 第一章指出了本文所研究的信任计算模型的背景p 2 p 分布式文件系统，并对 这样的系统作了简要介绍。接着，论文介绍了目前的一些典型的信任计算模型， 简要分析了他们优缺点。最后阐述了信任机制对于分布式文件系统的应用和发展 所具有的重要意义。 第二章分析了p 2 p 网络的安全需求，信任问题在安全领域中的地位以及p 2 p 环境下信任问题的特点。在p 2 p 分布式文件系统中，一般不存在完全意义上的中 心服务器，其信任机制的建立依靠的是非中心化的信任管理。在这样的系统中， 信任的计算往往以过往历史以及其他结点的推荐为基础，所以其计算结果是对信 任的一种近似的衡量，即不能完全保证每次对信任的判断都正确。而p 2 p 系统本 身的健壮性较好，少数的判断失误所造成的影响是可以接受的。在此基础上，论 文进一步分析p 2 p 环境下构建信任模型的一般方法。 第三章简要介绍了模糊数学理论在信任问题领域中的应用，分析了使用模糊 集合理论来处理信任问题的合理性、可行性，并对模糊集合理论的基础知识作了 简要介绍。 第四章首先阐述了本文的信任计算模型的构建思路。本文提出在p 2 p 分布式 文件系统下，可以将信任的概念进行外延，把影响文件传输质量的相关因素( 这 些因素由p 2 p 系统的运行参数来刻画) 加入到信任的计算中来。由此得出了信任 计算模型的框架，并以模糊数学为基础，构建了具体的信任计算模型，定义了相 关的算法。这其中，由于p 2 p 分布式文件系统的运行参数很多，参数的选择是一 个值得探讨的问题。本文在这方面作了尝试性的工作。 第五章使用模拟软件对提出的算法进行了验证，证明了其合理性、有效性。 第六章是对所做工作的总结与展望。 关键词：p 2 p 分布式文件系统、安全、信任计算模型、模糊集理论 重庆大学硕士学位论文 英文摘要 a b s t r a c t w i t ht h ea b r o a da p p l i c a t i o no f p 2 ps o f t w a r e ，t h es e c u r i t yp r o b l e mh a sb e c o m et h e f o c u so fr e s e a r c h t h et r u s tm e c h a n i s mi sav e r yi m p o r t a n ts u b j e c ti nt h ef i e l do fp 2 p s c a l r i t y 1 1 l ec o m p u t a t i o n a lm o d e lo f t r n s ti st h ec o r eo f t r n s tm e c h a n i s m ，w h i c hm a k e s t h et r u s tc o m p u t a t i o na n dm a n a g e m e n tf l e x i b l ea n da d a p t i v et ot h en e t w o r k e n v i r o n m e n t a n di ta l s of a c i l i t a t e st h ec h a n g eo fs t r a t e g yo ft r u s tm a n a g e m e n tb y p e o p l e t i l i st h e s i ss t u d i e st h ec o m p u t a t i o n a lm o d e l so ft r u s ti np 2 pd i s t r i b u t e df i l e s y s t e m b a s e do nt h es t u d yo nt h en o r m a lt h o u g h t sf o rc o n s t r u c t i o no ft h em o d e la n d t h ef e a t h e r so fp 2 pd i s t r i b u t e df i l es y s t e m ，an e wc o m p u t a t i o n a lm o d e lo ft r u s ti s d e s i g n e d i nc h a p t e ro n et h eb a c k g r o u n do ft h et h e s i si sp 2 pd i s t r i b u t e df i l es y s t e ma r e i n d i c a t e d ，w h i c h i si l l u s t r a t e db yt h eg n u t e l l as y s t e m t h e ns e v e r a lc u r r e n t c o m p u t a t i o n a lm o d e l so ft r u s t a r c , i n t r o d u c e da n da n a l y z e db f i e f ly _ a tl a s tt h e s i g n i f i c a n c eo f t r u s tm e c h a n i s mf o rt h ea p p l i c a t i o na n dd e v e l o p m e n to f p 2 ps y s t e ma r e s t a t e d i nc h a p t e rt w o t h es e c u r i t yr e q u i r e m e n t si np 2 ps y s t 锄a r ed i s c u s s e d t h e nt h e r o l eo ft r u s ti nt h ef i e l do fs e c u r i t ya n dt h ef e a t u r e so ft r u s ti np 2 ps y s t e ma s t u d i e d i np 2 pd i s t r i b u t e df i l es y s t e m ，t h e r ea g en o ta n yc e n t r a ls e v e r sw i t hc o m p l e t e f o u n c t i o i l s t h a tm e a n st h ec o n s t r u c t i o no ft r u s ts y s t e md e p e n d so nn o n c e n t r a lo r d i s t r i b u t e dm e t h o d s i ng e n e r a l ，t h ec o m p u t a t i o no ft r u s tr e l y so nt h eh i s t o r yo f b e h a v i o ra n dt h er e c o m m e n d a t i o n sf r o mo t h e rp e e r s ，a n di tc a n n o te 1 l s u i et h e c o l t e c t u e s so fc o m p u t a t i o n b u ts e v e r a ll 薯t o i sc o u l db et o l e r a b l eb e c a u s eo ft h e r o b u s t n e s so fp 2 ps y s t e m f u r t h e r m o r e , c o m p u t a t i o n a lm o d e lo f t r n s ta r ea n a l y z e d i nc h a p t e rt h r e e ，t h er e a s o n sa n df e a s i b i l i t yo fu t i l i z i n gf u z z yt h e o r yf o rt h e c o n s t r u c t i o i lo fc o m p u t a t i o n a lm o d e lo ft r u s ta r c ! c a r e f u l l ys t u d i e d a tl a s tt h e f u n d a m a n t a l so ff u z z yt h e o r ya r ei n t r o d u c e d i nc h a p t e rf o u r , a tf i r s t , ag e n e r a lt h o u g h tf o rt h ec o n s t r u c t i o no fc o m p u t a t i o n a l m o d e lo ft r u s ti nt h i st h e s i si ss t a t e d a ni d e at h a tt h ec o n c e p to ft r u s tw o u l db e e x t e n d e da n dt h ef a c t o r s ( r e p r e s e n t e db yp a r a m e t e r s ) c o n c e r n i n gw i t hq o so ff i l e s y s t e mc o u l db et a k e ni n t oc o n s i d e r a t i o ni n t h ec o m p u t a t i o no ft r u s ti sp r e s e n t e d 1 l i 重庆大学硕士学位论文 英文摘要 a c c o r d i n gt ot h i s ，an e wc o m p u t a t i o nm o d e lo f t r u s ti sc o n s t r u c t e db a s e do nt h ef u z z y t h o e r y a n dr e l e v a n ta l g o r i t h m sa r eg i v e n b e c a u s et h e r ea r em a n yp a r a m e t e r sf o rp 2 p d i s t r i b u t e df i l es y s t e m ，i ti sap r o b l e mt oc h o i c ep r o p e rp a r a m e t e r sf o rt h ec o m p u t a t i o n o f t r u s t t h et h e s i sa t t e m p t st om a k et h er i g h tc h o i c e i nc h a p t e rf i v e ，t h ee x p e r i m e n tr e s u l t sa n da n a l y s i sf o rt h en e wm o d e la r e p r e s e n t e d i nt h el a s tc h a p t e r , c h a p t e rs i x ，t h e r ei sac o n c l u s i o nf o rt h i st h e s i s k e y w o r d s ：p 2 p d i s t r i b u t e df i l es y s t e m ，s p 戈 i i i i t y , c o m p u t a t i o n a lm o d e lo f t r u s t , f u z z y t h e o r y 独创性声明 本人声明所呈交的学位论文是本人在导师指导f 进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重迭盍堂 或其他教育机构的学位或证书而使用过的材料。与我一同： 作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：罗冯 签字日期：功。)年6 月f 目 学位论文版权使用授权书 本学位论文作者完全了解重庆太堂有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许 论文被查阅和借阅。本人授权重废太堂可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存、汇编学位论文。 保密( ) ，在年解密后适用本授权书。 本学位论文属于 不保密( v ) 。 ( 请只在上述一个括号内打“”) 学位论文作者繇罗冯 签字日期：枷7 年占月r 日 导师签名：右挈 签字日期：夕t 刁年乡月牛日 重庆大学硕士学位论文1 绪论 1 绪论 1 1 研究背景和意义 自1 9 9 9 年以来，p e e r - t o pe e ：r ( p 2 p ) 网络模式i l 】正在逐渐成为研究和应用的热 点。在2 0 0 1 年评出的美国网络科技和电子商务发展的十大趋势中，第一位就是 p 2 p 技术。著名互联网评论家c l a ys h i r k y 给p 2 p 下了一个相对固定的定义： p 2 p 就是能够把位于互联网边缘的一切存贮资源、c p u 时钟、信息和人等加以 利用的应用。从s h i r k y 的定义中我们可以看出，几乎所有的网络资源都可以被 p 2 p 网络利用。 由于p 2 p 模式所具有的技术特点，很多计算机公司、研究部门都认为该技术 蕴含着巨大的商业和技术潜在价值，并从不同的角度应用和研究该技术。目前主 要的研究角度有：文件交换、对等计算、协同工作、即时通讯、搜索引擎、网络 游戏、基于i n t e r n e t 的文件存储系统、基于i n t e r n e t 的操作系统等。另外，还有对 p 2 p 开发平台的研究和p 2 p 安全框架的构建等。 其中的文件交换( 文件共享) 是p 2 p 最初的应用和基本功能之一，甚至可以 说文件交换的需求直接引发了p 2 p 技术热潮。在过去的几年中，基于p 2 p 的分布 式文件系统得n t 极大地应用和发展。像早期的n a p s t e t l 2 1 和g n u t e l l a 3 1 ，现在的 b i t t o r r e n t ”、e m u l e 5 1 等在i n t c m e t 上迅速传播，用户数量急剧增长。很多这样的 系统共享了海量数据。这些数据被保存在用户的计算机中而不象以往的客户服务 器模式那样把数据存放在集中的服务器上。目前，p 2 p 的体系结构已经成为很多 个人用户交换数据的基本模式。 无结构的p 2 p 系统 6 1 ( u n s t r u c t u r e dp 2 pn e t w o r k ) ，由于其与生俱来的扩展性、 容错性等优点，在分布式文件系统领域得到了较快的发展。g n u t e i l a 模型是应用较 广泛的无结构p 2 p 系统，其拓扑结构见图1 1 。 对等结点a 在初始化时知道已经在g n u t e l l a 系统中的对等结点b 的i p 地址，当a 和b 连接后，a 可以获得b 所知道的所有系统结点信息，这样a 就可以和它所感兴趣 的结点建立直接的t c p i p 连接。每个g n u t e l l a 节点都定义了本地的共享文件夹，它 们可以根据文件名的部分或者完全匹配进行查找。查找按照简单洪泛( f l o o d i n g ) 的方式进行，首先传播到所有相邻结点，然后再传播到相邻节点的相邻节点，直 到达到预先确定的层次为止。每条查找消息都带有全局唯一的标识符，防止对同 样的查找消息进行多次响应。用户可以基于查找结果，选择合适的文件进行下载 并可以和每个文件所有者结点建立类似h t t p 的连接。 重庆大学硕士学位论文1 绪论 o 客户 客户 ( 1 ) 搜索( 2 ) 位置 ( 3 ) 请求( 4 ) 应答 图1 1g n u t e l l a 系统 f i g1 1 g n u t d l as y s t e m 虽然类似g n u t a l l a 的p 2 p 分布式文件系统应用日益广泛，但是其所面临的问题 也比较多。安全问题是一个主要的问题，而安全问题比较突出表现为是结点之间 的“信任”问题。每个p 2 p 结点的背后是不同的用户，一般来说，这些用户是陌生 的，它们之间没有信任感。同时由于在无结构的p 2 p 环境下，系统中没有所谓的 中心结点来充当管理者的角色，所以结点的行为基本上是不受约束。很多用户总 是试图多使用别人的资源，少贡献自己的资源。实验测算，在g n u t e l l a 中有2 5 的 结点从不共享数据给别人，只从别人那里下载数据 7 1 。并且有大量的用户( 大约占 3 0 ) 低报自己的带宽以降低其他用户下载其数据的意愿。同时，不负责任的用户 随意地中止( 文件上载) 服务，使得服务质量无法得以较好的保证。我们认为这样的 自利行为会导致系统性能的降低，同时加剧系统的脆弱性，最终有可能导致系统 的崩溃。因此，对于目前日益广泛的诸多p e e r t o p e e r 环境，建立合理的信任机制是 十分必要的。这种必要性不仅体现在用户对p 2 p 网络的有效使用上，也体现在共享 系统的良性发展上，特别是对某些应用是意义重大的，例如电子交易等。而信任 计算模型是信任机制的核心，它应使得信任的计算和处理有相当的灵活性，能够 适应网络环境的变化；同时，也让人们能够通过某种途径来改变信任的管理策略。 1 2 国内外研究现状 目前，由于p 2 p 分布式文件系统的广泛应用，p 2 p 环境下的信任问题已经成 2 重庆大学硕士学位论文1 绪论 为一个研究的热点。下面，我们介绍几个具有代表性的信任模型： 1 2 1 基于局部推荐的信任计算模型 在这类系统中，节点通过询问有限的其他节点以获取某个节点的可信度。在 这类系统中，往往采取简单的局部广播的手段，其获取的节点可信度也往往是局 部的和片面的。如c o m e l l i 对c m u t e l l a 的改进建议【8 】中采用的就是这种方法。 1 2 2 全局可信度的信任计算模型 该类模型通过邻居节点间相互满意度的迭代，从而获取节点全局的可信度。 例如： s t a n f o r d 的e i g e a r e p t ”。 e i g d l r e p 的核心思想是，当节点f 需要了解任意节点k 的全局可信度时，首先 从k 的交易伙伴( 曾经与k 发生过交易的节点) 获知节点k 的可信度信息，然后根据 这些交易伙伴自身的局部可信度( 从i 的眼光来看) 综合出k 的全局可信度。即 a = ( c # x 6 0 ( 1 1 ) ， 对于任意节点f 、，o 为节点f 对节点，的局部信任度，乃为节点i 全局的 可信度。 白：害坐塑 ( 1 2 ) 嘶2 豇面面 u z 了 其中：s a t # 和u n s a t 分别为节点i 对，在历史交易中积累的满意次数和不满意次 数。 该模型试图通过迭代方法计算节点的全局可信度，但是没有考虑信任计算中 的迭代收敛性问题、协议实现没有考虑网络的性能开销以及对冒名、诋毁以及协 同欺诈防止等问题。 1 2 3 基于推荐的全局信任计算模型 文献【1 0 】认为，基于信任网络的p e e r - t o p e e r 系统与人际网络有很大的相似性， 表现在： a 周络中的个体在与其他个体的交互中会留下零星的“信用”信息； b 个体对于交户对象具有充分的选择权； c 个体往往不看重绝对的可靠性或服务质量，即个体可以忍受少量错误的选择 带来的损失，比如文件共享的应用中； d 个体有义务为网络中的其他个体提供推荐信息。 定义1 1 设毋代表节点f 对节点的局部看法，即局部信任度该看法来自于节点i 与，的交互历史这里设 重庆大学硕士学位论文 1 绪论 而：s _ z ( 1 3 ) 其中而为节点i 与_ ，在最近某个固定时间f ( f 随具体应用而定，例如1 个月) 实 际交互的次数，岛为在i 看来交易成功的次数，而为在节点f 看来交易失败的次数， 如果而= 0 ，则设功= 0 。 定义1 2 信任国代表了节点i 对节点j ( i ，) ( 对于i = 的情况，而无实际意义， 设o u = 1 ) 的信任程度在信任范围五中的投影，设 l = 口p f + ( 1 一a ) 乃】x 兄 ( 1 4 ) 这里，乃为节点，的全局可信度，乃s l 。其中口为常量且o 口 l 。 对一个自信的用户而言，可设“= 1 ，这时该用户只相信自己的交互历史，同 时由于其交往有限，从而选择余地较小对于一个无主见的用户而言，可设口= 0 ， 这时该用户完全依靠其他用户的意见来决定取舍。一般地，可设口= 0 5 。 定义1 3 称二元组( s 0r ，) 为节点“对节点y 的评价，表示为五品 舣1 4 称耐2 常黼胤舯点_ ，腓鞭( c n d 加e 酬棚果 两= o ，或两一而 o ，则设厨= o a 定义1 5 称矩阵r = 忸卜为网络的信任关系矩阵，即 r = 0r 1 2 r 2 lo 尼n h 2 o r i r 2 o o 0 ( 1 5 ) 该矩阵对角线上元素为零，因为由定义1 2 3 2 ，自己对自己的推荐度为零。 其中n 为节点数。 定义1 6 网络中对于任意节点i 的全局可信度矗，设 乃= m ) t 其中k 为与i 发生过交易的所有节点的编号。 设全局可信度向量 4 重庆大学硕士学位论文1 绪论 t = t l t 2 l 则称r 7 x t ( ) = f “1 为网络关于信任关系矩阵r 的信任方程 我们可得到对于任意节点全局可信度的迭代公式： t - ( + 1 ) = r 2 i t 2 ( + r ，i t 3 ( ) + + r h l 兀( ) t 2 ( “1 ) = r 1 2 t l ( + r ，2 t ，( ) + + r _ 2 l ( ) ( 1 6 ) l ( + 1 ) = r h t l ( ”+ r 2 n t 2 ) + + r n i l l ( ” 1 2 4 基于可信度方法的信任计算模型 可信度方法是肖特里菲( e h s h o r t l i f f e ) 等人在确定性理论( t h e o r yo f c o m f i r m a t i o n ) 的基础上，结合概率论等提出的一种不确定性推理方法，首先在专 家系统m y c i n 中得到成功的应用。由于该方法比较简单、直观，而且效果也比较 好，因而受到人们的重视。目前，许多专家系统都是基于这一方法建造起来的。 文献【l l 】根据这一方法，提出了一种在对等网络中计算节点信任度的方法。设 c f ( h ，垆一习缸+ f h t ) “7 ) 表示节点e 对节点h 的推荐度；跏= 0 表示在节点e 看来，与节点h 交易 成功的次数；胁表示在节点e 看来，与节点h 交易失败的次数。当鼢= 0 时， c f ( h ，司= - 1 ；当鼢= 0 时，c f ( h ，d = 1 ，故c f ( h ，e ) 卜1 ，1 】。 设c f ( h ) 表示节点日的全局可信度，日的全局可信度是由与节点h 交易的所 有节点的推荐度综合计算得来的。设e 2 和e 2 为与节点日交易的两个不同节点， c f l ( h ) = c f ( h ，e 1 ) m a x 0 ，c f ( e 1 ) ) ( 1 8 ) c f 2 ( h ) = c f ( h ，e 2 ) x m a x o ，c f ( e 2 ) ( 1 9 ) 合并式( 1 ) 和( 2 ) 得： 若c f l ( 加o r c f 2 ( h ) 0 ， 则c f j 2 ( 忉= c n ( 胃) + c f 2 ( 曰) 一c f l ( h ) x c f 2 ( 日) ； 若c f i ( h ) o 且c f 2 ( h ) 0 ，则 c f n ，2 = c f l ( 日) + c f 2 ( h ) + c f i ( h ) xc f 2 ( h ) 若c f i ( h ) 与c f 2 ( h ) 异号，则 c f i 。2 ( ) = 【c f i ( h ) + c f 2 ( h ) ) 其中，= l - m i n i c f i ( h ) i , i c f 2 ( h ) i 】。 如果还有与节点h 交易的节点，例如节点历，则将c f i ：( ) 与c f 3 ( h ) 合并， 重庆大学硕士学位论文1 绪论 依次进行下去，直到全部合并为止。最后得到节点日的可信度。 信任度= a c f ( h ，刃+ ( 1 一a ) c f ( h ) 表示节点e 对节点抒的信任度，其中 0 口l 。当口= 0 时，t h e = c f ( h ) 表示节点劂罔拘信任仅仅取决于其他节点的 意见；当a = l 时，t m e = c f ( h ，e ) 表示节点e 对日的信任取决于自己交往的历史， 而不考虑其他节点的意见( 即不考虑其他节点的信任推荐) 。一般说来，可以设 定口= 0 5 。 1 2 5 基于d s 理论( 证据理论) 的信任计算模型 证据理论是由德普斯特( a p d e m p s t e r ) 首先提出，并由沙佛( g s h a f e r ) 进 一步发展起来的一种处理不确定的理论，因此又称为d s 理论。由于该理论满足比 概率论弱的公理，能够区分“不确定”与“不知道”的差异，并能处理由“不知道”引起 的不确定性，具有较大的灵活性，因而受到了重视。 文献【1 2 】中提出，根据d c m p s t c r - s h a f e r i 正据理论来定义对等体之间的信任关系 和置信区间。 定义1 7 信任辨识框【，为集合 r ( 信任) ，d ( 不信任) ) ，则u 的幂集2 ”为 m ， r ) ， d ) ，( r ，d ) ) 。 定义1 8 基本信任概率分配函数脚为幂集合2 ”上的函数“和y 均代指p 2 p 网络 中的对等点) ， 脚：2 ”一 o ，1 】 使m r 满足 y = 脚= 州) + 脚( d ) ) + 脚( d ) ) = l ( 1 1 0 ) 尊。 这里脚并非概率函数，而狮，( r ，d ) ) 的直观含义为“不知道”该值如何分配 定义1 2 5 3 信任函数占匆岛定为? 曰e 岛：2 “专【o ，1 】，且 & 岛( 一) = 脚( 曰) ，a c 2 v ，b g 2 v ( 1 1 1 ) 口c a 可以推出： 曰p 如= 姆( b ) = 脚( r ) ) ( 1 1 2 ) 口c f n 肌岛( 口) ) 的含义为对等体工认可y 的程度 定义1 8 似然函数p 岛定义为7 ：2 “j 【o ，1 1 ，且 p i x y ( a ) = 1 - b e l x y ( - - , a ) = 脚( 占) ，a c 2 ”，b g 2 ” ( 1 1 3 ) 可以推出尸( r ) ) = 脚( 研) + 焱锣d ”= l 一& 幻( ( d ) ) ( n ) 的含义为对等体 工不否认y 的程度。( ( ) - b e l 一( 口 ) 为对等体_ ：【对y 的不确定度 6 重庆大学硕士学位论文1 绪论 定义1 9 【b e h y ( t ) ，尸岛( 乃) 】为对等体石对y 的置信区间 接下来，按照证据理论的定义的运算规则和信任传递衰减原则，可以进行信 任的传递计算和基于多个证据源的信任聚合计算。 1 2 6 基于极大似然法的信任计算模型 这种模型是基于概率估计的。根据文献 1 3 1 ，我们考虑这样的p 2 p 网络，网络 中的对等点在于其他对等点的交互中，所表现出诚实行为的概率是固定的，设结 点毋的这个概率为口j 假设结点，与结点p - ，p 2 ，p 3 “r 有过交互，它在这些交互中的表现为 这里朋f o ，1 1 ，l 代表诚实行为；0 代表不诚实行为。当要求报告结点，的表 现时，见证者( w i t n e s s e s ) p i ，p 2 ，p 3 r 可能会撒谎或者误报。假设它们撒谎 或者误报的概率是固定，对结点a 来说是厶。则观察到结点r 报告p 的概率可以 这样来计算： p k = p 】= i 加h ( ，1 - + ( o l 一) + 巩( ) l 【- 1 h 一) 厶o ) p y l ：= ： ( 1 1 4 ) 现在，给定独立报告的随机变量y 的样本y - ，j ，：，y 3 伽，我们有关于此样本 的似然函数 ( = p 【r l = 川【】，- - - y , 【k = p 】 ( 1 1 5 ) 接下来，按照极大似然法的思路，寻找使上式( 1 1 5 ) 最大的参数日，的值，该值就 是参数的极大似然估计值。 值得注意的是，该模型中，没有自身的推断。进行信任计算的结点f 设置p f = l 给自己的经验值舶。( 即默认自己是诚实的) 1 3 本文研究主要内容和组织结构 信任概念本身具有主观性、不确定性、模糊性的特点，用一般的数学方法难以 对其进行描述。本文在以往的信任问题的研究基础之上，设计了一种适用于p 2 p 分 布式文件系统中的信任计算模型。通过对p 2 p 系统运行数据的分析来论证了该计算 模型的合理性，最后用实验方法来验证其有效性。 本文的组织结构如下： 1 绪论 介绍本课题研究的背景和意义，简要概述已有的信任计算模型。 2 p 2 p 分布式文件系统中的信任问题的分析 分析了p 2 p 网络的特点，及其安全需求。进一步，对p 2 p 分布式文件系统中信 7 重庆大学硕士学位论文1 绪论 任问题进行了概述。分析了建信任计算模型的一般思路。 3 模糊集合理论与信任问题的研究 阐述了将模糊集合理论引入信任研究的合理性，介绍了这方面的已有工作和 成果。对模糊集合的概念和术语进行了简要介绍。 4 基于模糊集合论的信任计算模型研究 结合p 2 p 分布式文件系统的特点，本文设计了一种适合p 2 p 分布式文件系统的 信任计算模型。叙述了信任计算模型的构建思路，以及构建的详细过程和相关算 法的定义。结合p 2 p 系统的实际运行数据，对模型中的相关参数进行了讨论。 5 模拟实验 在模拟软件o m n e t + + 的平台上，对提出的信任计算模型进行了模拟实验，和 基于推荐的信任计算模型进行了对比。分析了实验结果。 6 总结与展望 总结本文所做的工作，提出了今后研究的方向。 1 4 本章小结 本章首先提出了论文的选题背景和研究意义，其次介绍了国内外关于信任计 算模型的研究现状，简要分析了一些模型的应用背景和优缺点。介绍了本文的研 究内容和主要的工作，引出了p 2 p 环境下信任问题的研究。最后介绍了本文的组 织和安排。 重庆大学硕士学位论文 2p 2 p 分布式文件系统中信任问题的分析 2p 2 p 分布式文件系统中信任问题的分析 2 1p 2 p 网络结构和特点 一般来说，根据实现的功能，将p 2 p 网络的协议占分成若干层，每层完成相对 独立的功能。目前不同的研究人员在划分的具体细节上有所不同。文献 1 4 】提出， p 2 p 网络基本上可以分成四层，自下而上依次为：网络连接层、p 2 p 中间层、p 2 p 服务层和p 2 p 应用层。如下图所示： p 2 p 应用层 ( t o o l s 、a p p l i c a t i o n s 、s e r v i c e se t e ) p 2 p 服务层 ( s e c u r i t y 、r e l i a b i l i t y 、r e s o u i t t , ea g g r e g a t i o n p 2 p 中间层 ( d i s c o v e r y 、l o c a t i n g 、r o u t i i l ge t c ) 网络连接层 ( t c p c p 、b l u e t o o t h 、w l a ne t e ) 图2 1p 2 p 网络体系结构示意图 f i g2 1p 2 p a r c h i t e c t u r e 网络连接层：为p 2 p 中间层提供可靠的网络连接，可以是t c p i p 的传输层，或 其它任何能够提供可靠数据传输的网络结构，如：无线网络、蓝牙等。 p 2 p 中间层：是p 2 p 系统的核心层，因为这一层包括了p 2 p 系统中最根本的部分， 如：对等点、对等组以及对等点发现、定位、路由的算法等。此外，穿透防火墙 和n a t 的机制实现也在该层。 p 2 p j 艮务层：包括p 2 p 网络通用的一些功能，如：安全、内容管理、资源整合 和可靠性等。这些服务将对具体的p 2 p 应用提供支持，如：内容管理服务，包括网 络中内容的标识、索引、查找以及缓存等。该层中的安全服务是至关重要的，它 必须对上层提供核心安全服务。 p 2 p 应用层：该层包括建立在服务层的基础上的各种具体的应用系统，可以是 应用开发工具、应用程序或者各种具体的服务。 p 2 p 最根本的思想，同时也是它与c s 最显著的区别在于网络中的结点 ( p e e r ) 既可以获取其它结点的资源或服务同时又是资源或服务的提供者。根据文 献【1 5 】，简要叙述p 2 p 特点如下： 9 重庆大学硕士学位论文2p 2 p 分布式文件系统中信任问题的分析 1 在p e e r - t o p e e r 网络中，不存在一个可以控制和管理全网的主管机构，各实体 之间是彼此独立或基本独立的。 2 结点数量大。很多p 2 p 系统已经达到上百万结点同时在线的规模，这样大的 规模导致的一个直接后果是不可能使用全连接的拓扑结构。这样一来如何让结点 知道更多其他结点的信息并保证任意两个结点之间能够通信成为一个棘手的问 题。 3 结点动态性高。对于用户来说，使用p 2 p 系统的标准模式是“进入系统一查 找资源一获得资源一离开系统”。这一过程通常时间不会很长，因此p 2 p 系统的一 个显著特点就是结点的平均在线时间短。实验测算，在n a p s t e r 和g n u t e l l a 系统中 结点的平均在线时间仅为2 个多小时【7 l 。结点的高动态性使得维护数据可用性的工 作变得非常困难。另外网络的拓扑结构也随着结点的加入和退出而变化。 4 结点异构性强。i n t e m e t 中结点的硬件能力不同、接入方式不同。这就造成 了参与p 2 p 系统的结点在存储能力、计算能力和带宽能力上都有很大差异，如何针 对这种异构性把所有结点的可用资源都充分利用起来以提高系统各方面性能是 p 2 p 系统必须仔细研究的问题。 5 结点分布广泛。p 2 p 系统的结点在全球范围内分布，由于时区不同，系统的 不同部分会在不同时间处于繁忙状态。这对负载平衡、任务迁移、复制策略等方 面都提出了新的挑战。 6 结点的自利倾向严重。很多用户总是试图多使用别人的资源少贡献自己的 资源。实验测算，在g n u t e l l a 中有2 5 的结点从不共享数据给别人，只从别人那里下 载数据。并且有大量的用户( 大约占3 0 ) 低报自己的带宽以降低其他用户下载其 数据的意愿。 由于p 2 p 网络的这些特点，使得其安全和信任问题也与其他的分布式系统不同。 2 2p 2 p 网络安全问题分析 2 2 1p 2 p 网络安全需求概述 虽然不同p 2 p 网络的安全需求不尽相同，但是一些基本的安全需求是各种应 用所共同需要的。文献 1 4 1 提出p 2 p 系统一般的安全需求包括如下几点： 1 ) 信任关系 在分布式系统中，建立不同网络节点间的信任关系是建立系统安全的一个基 础。但是由于p 2 p 网络的特点，信任模型是p 2 p 网络应用中一个十分难以解决 的问题。 2 ) 标识 对等用户必须能够通过标识建立唯一的、可验证的数字身份。如何选择或产 1 0 重庆大学硕士学位论文2p 2 p 分布式文件系统中信任问题的分析 生标识将深刻影响到它们以后如何被验证和如何被用于访问控制。由于p 2 p 网 络的分散性，标识管理显得尤为重要，也较为困难。 3 ) 认证和授权 网络用户必须能够通过网络远程，安全地验证一个对等点的标识，并通过授 权控制对本地资源和服务的访问。由于p 2 p 网络的分散性、自主性和对等性， p 2 p 应用需要采用本地的、自主的和双向的认证和授权。 4 ) 机密性和完整性 机密性和完整性是指数据和信息在存储、传输过程中必须确保不被非授权用 户读取和篡改。 在任何一个有一定规模的分布式应用中信任关系都是重要的，在p 2 p 网络 应用中，信任关系显得更为重要。这主要表现在如下两个方面：一方面，p 2 p 网 络应用的特殊性使得信任关系必不可少，主要原因如下 1 4 1 ： 首先，在p 2 p 网络的各种应用中，无论是对等计算、文件共享，还是协同 工作，其应用环境都是复杂而不可控的i n t e r n e t 环境，如：s e t i h o m e 项目的桌 面用户遍布全球，在不安全的网络环境下区分可信对象和不可信对象是保证安全 的基本要求。 其次，p 2 p 网络应用中，各用户往往可以扮演多重角色，具有很大的自主性 和对等性，管理员难以进行管理和控制，所以p 2 p 网络应用的顺利进行更有赖 于用户间的相互信任。再者，部分p 2 p 应用追求匿名性、自由自主和零开销的 目的，使得信任关系成为系统可用性的保证。如：文件共享系统中，相当一部分文 件是伪造或失效的，通过建立信任管理系统就可以对系统用户评定信任等级，信 任等级高的节点成为首选，从而提高了系统可用性。 因此，上述p 2 p 网络应用的一般安全需求中，信任关系是最基本、最核心 的安全需求，是保证p 2 p 网络应用安全的关键。 2 2 2 文件共享的安全性分析 文献【1 4 】认为，非商业化文件共享系统( n a p s t e r 和f r e e n e t l l 6 】) 的主要成员就 是一般的i n t e m e t 用户，他们既是共享文件的发布者又是消费者。用户共享自己 文件的目的只是为了传播和交换，因此只需确保非共享内容不被非法访问，不关 注是哪些用户访问了他的文件和访问了哪些文件。 这种文件共享系统所需要的安全性不是很高。在信任关系上，一般认为，系 统中的可信赖的发布者发布的内容是“真实的”，消费用户信任发布者，但是发布 者对消费用户的信任度没有特别的要求。但是，文件共享应用中信任关系管理仍 然是十分必要的，对等点之间上述信任关系的建立是系统可用性的基础。 文件共享的威胁来自两个方面：共享文件的无效性和文件内容的真实性、完 重庆大学硕士学位论文 2p 2 p 分布式文件系统中信任问题的分析 整性。当发布者或消费用户有意或无意的妨碍其他合法用户访问系统中的文件时， 则共享文件的有效性遭到了破坏，典型的情况是文件存储位置的过期失效和d o s 攻击。另外，管理员或文件发布机制本身应该适当的重复发布共享文件，以便在 文件的某些存储结点发生故障时，仍然能够保证共享文件的有效性。文件内容的 真实性和完整性是指文件实际内容和发布者声称的相一致，并且能够防止文件内 容的篡改，这就需要文件内容的验证机制和访问控制。 此外，某些文件共享系统( 如f r e e n e t ) 对系统用户的匿名性要求较高，某些 共享文件内容还需考虑版权问题。由上面的分析，文件共享应用的安全需求大致 包括如下方面【1 4 】： ( 1 ) 必要的信任关系管理。可采用一些简单易行的信任关系管理系统。在这 些系统中，信任的计算往往是对信任的一种近似的衡量，即不能完全保证每次对 信任的判断都正确。而p 2 p 分布式文件系统本身的健壮性较好，少数的判断失误 所造成的影响是可以接受的。 ( 2 ) 方便易行的用户标识、认证和授权。一般采用自注册用户标识，基于口 令的认证方式既可。授权可由系统或个人根据用户对整个网络贡献的大小来决定 其访问权限。 ( 3 ) 保证共享文件的有效性、真实性、完整性。包括共享文件能够为用户获 取，共享文件的内容可验证为真实的，并且没有被篡改或截取。 ( 4 ) 系统成员的匿名性。包括发布者、存储者和获取者的匿名性，以防跟踪、 防审查的能力。 ( 5 ) 某些共享内容版权识别。 下面，我们围绕信任问题展开讨论。 2 3 信任问题分析 信任是人类生活的一个重要方面，我们做的许多事情是与信任相关的。信任 是相当复杂的概念。关于信任的研究主要来自社会学、心理学和哲学三个不同的 领域。信任的定义也非常多，如基于期望( e x p e c t a t i o n ) 的信任，基于机构( i n s t i t u t i o n l 的信任，基于认知( c o g n i t i v e ) 的信任，基于知识的信任和基于计算的信任等等。 在今天的i n t e r n e t ，有越来越多的应用要求做出授权决定，如电子商务，合 作组织内的资源共享等。这些应用中的授权不同于集中式系统和封闭