（计算机软件与理论专业论文）一种基于推荐信任度的p2p安全模型.pdf

南京邮电大学硕士研究生学位论文 中文摘要 中文摘要 目前p 2 p 安全的研究主要集中在信任管理方面，虽然已经取得了一些成就，但是也 存在诸如无法避免错误推荐，不能有效的应对冒名，诋毁等问题。鉴于此，本文设计了一 种p 2 p 环境下基于推荐信任度的p 2 p 安全模型。该模型是一个中间层模型，由p 2 p 可信 网络架构模块和信任度管理模块两部分组成。p 2 p 可信网络架构模块设计了一种非集中管 理认证的，松散自组织式的p 2 p 可信网络架构，为信任度管理模块计算p 2 p 的信任度打 下基础。它通过自适应的方式，构建超级节点，将p 2 p 网络划分为若干小规模的逻辑网 络，然后引入了相应的身份验证机制，使得在认证过程中不需要认证中心的参与，避免了 网络瓶颈的出现，同时也能防止p 2 p 网络中出现冒名现象。而信任度管理模块则通过超 级节点获得全局信任度，然后计算目标节点的最终信任度，将任务交予最可信的节点去完 成，保证了服务质量。每次交易后，都要根据本次交易的情况，及时修改节点之间的个人 交互记录和推荐节点的信任度，使信任度能正确地反映节点的信誉。同时，在该模块中也 引入了一定的访问控制机制和对恶意节点的惩罚机制。分析及仿真实验说明，我们的基于 推荐信任度的p 2 p 安全模型可以简单有效地解决p 2 p 中的信任问题，提高交易的成功率， 具有良好的工程可行性。 关键词：对等网络，信任管理，推荐信任度 南京邮电大学硕士研究生学位论文 a b s t r a c t a bs t r a c t a tp r e s e n t ，t h es t u d yo fp 2 ps e c u r i t yf o c u s e so nt r u s tm a n a g e m e n t i th a sa l r e a d ym a d es o m e a c h i e v e m e n t s ，b u tt h e r ea r es t i l ls o m ep r o b l e m s ，s u c ha sw r o n gr e c o m m e n d a t i o n ，f a l s ep h e n o m e n o n ，s l a n d e r p h e n o m e n o n ，a n ds oo n t h u s ，t h i sp a p e rp r e s e n t sap 2 pm o d e lb a s e d o nr e c o m m e n d a t i o nt r u s t t h i sm o d e li s am i d d l el a y e rm o d e lc o m p o s e do ft h ep 2 pc r e d i b l en e t w o r k sf r a m e w o r km o d u l ea n dt h ec a l c u l a t i o na n d m a n a g e m e n tm o d u l eo ft r u s t t h ep 2 pc r e d i b l en e t w o r k sf r a m e w o r km o d u l ed e s i g nan o n c e n t r a l i z e d ， l o o s e l ys e l f - o r g a n i z e da n dc r e d i b l ep 2 pn e t w o r kf r a m e w o r k i nt h i sm o d u l e ，b yc o n s t r u c t i n gs u p e rn o d e ， p a r t i t i o n i n gt h en e t w o r kl o g i c a l l ya n di n t r o d u c i n ga u t h e n t i c a t i o nm e c h a n i s mb a s e do ns u p e rn o d ei na d a p t i v e m o d e ，c a ( c e n t e ra u t h e n t i c a t i o n ) d o e s n tn e e dt op a r t i c i p a t ei nd u r i n gt h ep r o c e s so fv a l i d a t i n gn o d e s i d e n t i t y , t h eo u t c o m eo fn e c ki nn e t w o r ki sa v o i d e d ，a n dt h ef a l s ep h e n o m e n o ni ss o l v e d i nt h ec a l c u l a t i o n a n dm a n a g e m e n tm o d u l eo ft r u s t ，t h ea p p l i c a n tf o rp 2 ps e r v i c eg e t sg l o b a lt r u s tv a l u er e f e r e n c e df r o ms u p e r n o d ea n dc o m p u t e sf i n a lt r u s tv a l u e ，a n dt h e n ，t h em o s tt r u s t w o r t h yp e e r sw o u l dc o m p l e t et h et a s ks oa st o e n s u r eq u a l i t yo fs e r v i c e a f t e rt h ee x c h a n g ei sf i n i s h e d ，t h i sm o d u l ew i l lm o d i f yp e e r si n t e r a c t i v er e c o r d a n de v a l u a t ep e e r sr e l i a b i l i t ya c c o r d i n gt ot h er e s u l t so ft h i st r a n s a c t i o nt om a k es u r et h a tt r u s tv a l u ec a n r e f l e c tt h er e p u t a t i o no fp e e r se x a c t l y m e a n w h i l e ，s o m er e l e v a n tm e c h a n i s mi sr e f e r r e di nt h i sm o d e lt od e a l w i t ha c c e s sc o n t r o la n dm a l i c i o u sn o d e a n a l y s i sa n ds i m u l a t i o ne x p e r i m e n t ss h o wt h a tt h i sm o d e lb a s e do n r e c o m m e n d a t i o nt r u s ti sa b l et os o l v et r u s tp r o b l e m si np 2 pe a s i l ya n de f f e c t i v e l y , a n dt h i sm o d e li so f f a v o r a b l ef e a s i b i l i t y k e yw o r d s ：p e e r - t o p e e rt r u s tm a n a g e m e n t , r e c o m m e n d a t i o nt r u s t u 南京邮电大学硕士研究生学位论文 第一章引言 1 1 课题背景 第一章引言 p 2 p ( 即p e e r - t o p e e r ) 是一种新兴的不依赖服务器的分布式网络模型，该技术可以简 单地定义为通过直接交换信息，共享计算机资源和服务，对等计算机兼有客户机和服务器 的功能。在这种网络中所有的节点是对等的( 称为对等点) ，各节点具有相同的责任与能 力并协同完成任务。对等点之间通过直接互联实现信息资源、处理器资源、存储资源甚至 高速缓存资源等的全面共享，无需依赖集中式服务器支持，消除了信息孤岛和资源孤岛 【l 】。 由于p 2 p 网络模型使计算机系统之间可以直接共享信息和计算资源，消除了客户机 与服务器的差别，与传统的c s 模型相比，它在有效利用网络上大量闲置的信息资源、存 储空间、处理器周期等资源，避免服务器带来的瓶颈问题，降低服务器成本等方面有明显 的优势。 但是随着p 2 p 技术在文件交换、对等计算、协同工作、即时通讯、搜索引擎等诸多 方面得到了广泛和深入地研究，p 2 p 技术本身存在的不易管理、安全性差等缺陷越来越受 到关注。p 2 p 网络中系统安全面临着巨大的挑战。因此如何解决p 2 p 的安全问题，将会成 为计算机领域关注的热点问题，对该问题的研究具有重要的意义。 通过研究文献 1 1 2 】 3 5 4 2 】发现，当前的p 2 p 系统的安全机制尚存在以下不尽如人意 的地方： 首先，目前p 2 p 中信任度计算方法及理论可分为以下几类，并各有优劣。 ( 1 ) 基于p k i 的信任模型 2 】。在这类系统中，存在少数领袖节点( 1 e a d e rp e e r s ) ，领 袖节点负责整个网络的监督，定期通告违规的节点这些领袖节点的合法性通过c a 颁发的 证书加以保证。这类系统往往是中心依赖的，具有可扩展性、单点失效等问题。如e d o n k e y 的诸多s e r v e r 。 第l 页 南京邮电大学硕士研究生学位论文 第一章引言 ( 2 ) 基于局部推荐。在这类系统中，节点通过询问有限的其他节点以获取某个节点的 可信度。在这类系统中，往往采取简单的局部广播的手段，其获取的节点可信度也往往是 局部的和片面的。如c o m e l l i 对g n u t e l l a 的改进建议中采用的就是这种方法 2 1 】。 ( 3 ) 全局可信度模型。s t a n f o r d 的e i g e n r 印 3 】是目前已知一种典型的全局信任模型。 但是e i g e n r e p 存在以下几个问题： 该协议通过分布h a s h 表机制存储p e e r 的全局信誉度，而这在p 2 p 动态环境中就存 在可用性和安全性的问题。 该模型没有考虑惩罚因素，模型没有对造成服务失败的p e e r 在信誉度上作出惩罚。 该模型的协议实现未考虑网络的性能开销，每次交易都会导致在全网络内的迭代。 其次，当前p 2 p 信任模型在网络架构( 认证模式) 和身份认证方面尚存在着不足的地 方： 1 ) 已有的p 2 p 模型往往依赖于可信的第三方，比如认证中心( c a ) 。但是在这样的情 况下，网络的架构变为c s 模式，这在p 2 p 的分布式环境中将不可避免的存在用户排斥 c a 现象。 2 ) 可能存在不良的p e e r ，通过冒名，夸大，诋毁的方式对系统产生不良的影响。 3 ) 在p 2 p 系统中，由于提供网络服务的p e e r 是用户自愿行为，用户可以随意中止服 务，甚至可能存在欺诈行为，因而服务的质量无法得到保证。 4 ) 各对等点随时可以动态地加入和退出网络，网络中存在更大的随机性和不确定性， 会造成网络带宽和信息存在的不稳定。 5 ) 另外，网络和节点的负载平衡也是应考虑的问题。如果构建一个面向整个网格用户 的集中认证节点，则开销太大，将不可避免的出现网络瓶颈。一旦出现网络瓶颈，将严重 影响到网络的正常运行。 因此，在p 2 p 中建立一种轻载高效的信任机制是十分必要的。本文中我们借鉴以 e i g e n r e p 为代表的全局推荐思想，将提出一种非集中管理认证的，松散自组织式的p 2 p 安全信任机制。在该机制中，通过利用超级节点计算全局信任，然后计算节点的最终信任 度评估，并以此为依据选择可靠的服务提供节点；同时能应对p 2 p 网络中出现的冒名， 第2 丽 南京邮屯大学硕士研究生学位论文 第一章引言 夸大等问题。 本文中我们将设计为一种类似于中间层的p 2 p 安全模型。即将p 2 p 系统抽象为一个三 层的协议模型( 如图1 1 所示) 。该协议模型中，基于d h t 的p 2 p 网络位于最下层，最高 层是p 2 p 应用层，提供各种不同的具体的p 2 p 服务。而我们的工作集中在中间层一- - p 2 p 安全模型层。在该层中，以基于d h t 的p 2 p 网络为基础，架构了一个可信的p 2 p 网络， 通过对信任度的计算，将信任度较低的p e e r 从网络中过滤出去，使得信任度较高的p e e r 能被p 2 p 应用层访问到。 p 2 p 应用层 l l p 2 p 安全协议层 l 8 7 p 2 p 2 p 网络层( d h t 网络)l 图1 1 通过在p 2 p 网络和p 2 p 应用之间定义p 2 p 安全模型，我们希望建立一种轻载高效的 信任机制，避免用户的集中认证带来的开销太大等问题，避免网络瓶颈的出现。同时在我 们的信任度计算的算法中，考虑惩罚因素，建立相应的机制防止不良的p e e r 通过冒名， 夸大，诋毁的方式对系统产生不良的影响。确保p 2 p 服务的申请者能够和可信的节点去 共享p 2 p 资源，得到较好的服务。 1 2 课题来源及研究目标 本课题来源于华为科技基金基于重叠网络的p 2 p 安全模型的研究，该项目从p 2 p 流量的控制、p 2 p 中节点的身份认证以及p 2 p 的信任模型三个方面进行了研究，本论文中 的内容属于该项目中一个子模块。 本文的主要目标是通过定义中间层模型，构建面向p 2 p 的安全管理机制，该机制是一 个基于信任度推荐的p 2 p 安全模型。该模型主要实现以下两个功能： 第3 贾 南京邮电大学硕士研究生学位论文 第一章引言 1 p 2 p 可信网络的架构。这是本文p 2 p 安全模型的一个特色。目前p 2 p 网络的认证 大多采用集中认证模式。本文中通过引入超级节点的概念，将p 2 p 网络划分为若 干小规模的逻辑网络，利用超级节点对之网络进行局部的可信度计算，以及认证 管理。该方案具有避免了网络瓶颈的出现，且计算量小，降低了集中认证和计算 信任度造成的系统开销。 2 信任度管理功能。本部分采用一种改进计算方法计算全局信任度，该方法不仅考 虑了自身的交互历史，同时也考虑了其它节点对所要评价的节点的推荐信任度。 另外，本模型在设计时也考虑到了对于p 2 p 网络中恶意节点抑制和惩罚问题，提 出算法和策略对恶意节点进行控制，提高了交易的成功率。最后，结合信任度的 评估，还引入了对于访问节点的访问权限控制。 1 3 本文组织 全文共分七个章节，内容组织如下： 本文第一章介绍了本课题的背景、来源，以及本文提出的p 2 p 安全模型的功能，并 给出了本文组织； 第二章介绍了本文所用到的相关技术，包括p 2 p 相关技术、基于d h t 的发现技术及 其在p 2 p 中的应用，以及p 2 p 信任管理模型的研究和发展。详细介绍了p 2 p 的概念、特 点、发展及其带来的安全隐患，分析了目前几种主要的信任管理模型，找到了它们的不足 之处； 第三章主要介绍了基于推荐信任度机制的p 2 p 安全模型的系统架构图以及相应的流 程图，并且概述了p 2 p 可信网络架构模块和信任度管理模块的功能； 第四章详细介绍了p 2 p 可信网络架构模块。该模块设计了一种非集中管理认证的， 松散自组织式的p 2 p 可信网络架构。并引入了相应的身份验证机制，以防止p 2 p 可信网 络中出现冒名现象。 第五章详细介绍了信任度管理模块。介绍了局部推荐信任度，全局信任度，局部推荐 信任度评估，最终信任度评估的的概念和计算思想，并给出了具体的计算公式。并描述了 信任评估及信任更新过程。同时也提出算法和策略对恶意节点进行控制，引入了对于访问 节点的访问权限控制。 笕4 面 南京邮电大学硕士研究生学位论文 第一荦弓l 言 第六章对基于推荐信任度机制的p 2 p 安全模型及其所采用的算法进行了多次仿真， 通过与现有安全模型进行比较，可以看出本文提出的安全模型的性能较现有的安全模型有 了一定的改善： 第七章总结了本文所做的工作，并对该课题进一步研究的方向进行了展望。 第5 页 南京邮电大学硕士研究生学位论文 第二章相关技术简介 2 1p 2 p 相关技术简介 2 1 1p 2 p 的概念及应用 第二章相关技术简介 p 2 p 技术是在i n t e m e t 现有资源组织和查找形式之外研究新的资源组织与发现方法， p 2 p 技术最大的意义在于不依赖中心结点而依靠网络边缘结点自组织对等协作的资源发 现( d i s c o v e r y ，l o o k u p ) 形式【4 “】。 顾名思义，对等网络打破了传统的c l i e n t s e r v e r 模式，对等网络中的每个结点的地位 都是对等的。每个结点既充当服务器，为其他结点提供服务，同时也享用其他结点提供的 服务。 从互联网的发展历史看，p 2 p 并不是一个全新的概念。t c p i p 是现代互联网整体架 构的基础，但在t c p i p 中并没有客户端和服务器的概念，所有设备都是通信中平等的一 端。早在3 0 年前，许多公司的计算结构就可以用现在的p 2 p 构建，只不过由于带宽和处 理能力等的限制，在信息沟通中出现了许多中间环节，例如中间服务器、导航网站和第三 方信息交易平台等。现在，廉价的计算能力、网络通信能力和计算机存储能力强有力地推 动这项技术迅速发展。 p 2 p 的网络组成模式主要分为中心化网络拓扑模式，全分布式网络拓扑模式。 最开始的中心化网络拓扑模式的p 2 p ( 例如n a p s t e r ) 是由一群高性能的中央服务器 保存着网络中所有活动对等计算机共享资源的目录信息。当需要查询某个文件时，对等机 会向一台中央服务器发出文件查询请求。中央服务器进行相应的检索和查询后，会返回符 合查询要求的对等机地址信息列表。查询发起对等机接收到应答后，会根据网络流量和延 迟等信息进行选择，和合适的对等机建立连接，并开始文件传输。 但是这种集中目录式对等网络模型存在很多问题，主要表现为：中央服务器的瘫痪容 易导致整个网络的崩馈，可靠性和安全性较低；随着网络规模的扩大，对中央索引服务 器进行维护和更新的费用将急剧增加，所需成本过高；中央服务器的存在引起共享资源在 版权问题上的纠纷，并因此被攻击为非纯粹意义上的p 2 p 网络模型。对小型网络而言， 第6 页 南京邮电大学硕士研究生学位论文 第二章相关技术简介 集中目录式模型在管理和控制方面占一定优势。但鉴于其存在的种种缺陷，该模型并不适 合大型网络应用。 而全分布式网络拓扑模式的p 2 p 系统( 例如g n u t e l l a ) 由于没有索引服务器，网络中 的计算机节点采用洪泛方式( f l o o d i n g ) 来搜索网络和发现共享资源。为了控制搜索消息 的传输，通过t t l ( t i m et ol i v e ) 的减值来实现。但是随着联网节点的不断增多，网络规模 不断扩大，通过这种洪泛方式定位对等点的方法将造成网络流量急剧增加，从而导致网络 中部分低带宽节点因网络资源过载而失效。 当前比较流行的是基于超级节点的半分布模式的p 2 p 系统( 例如 k a z z a ，e d o n k e y ，b i t t o r r e n t ) 。该模式之所以它如此的成功，在于其吸取了中心化结构和全 分布式非结构化拓扑的优点，选择性能较高( 处理、存储、带宽等方面性能) 的结点作为 超级点( s u p e r n o d e s ，h u b s ，u l t r a p e e r s ，r e f l e c t o r s ，s u p e r p e e r 、r e n d e z v o u s ) ，在各个超级 点上存储了系统中其他部分结点的信息，发现算法仅在超级点之间转发，超级点再将查询 请求转发给适当的叶子结点。半分布式结构也是一个层次式结构，超级点之间构成一个转 发层，超级点和所负责的普通结点构成若干层次。 同时，这类半分布模式的p 2 p 往往采用了基于d h t ( 分布式散列表) 技术的发现和 路由算法，这些算法都避免了类似n a p s t e r 的中央服务器，也不是像g n u t e l l a 那样基于广 播进行查找，而是通过分布式散列函数，将输入的关键字惟一映射到某个结点上，然后通 过某些路由算法同该结点建立连接。 总之，采用半分布式结构的优点是性能、可扩展性较好，较容易管理，但对超级点依 赖性大，易于受到攻击，容错性也受到影响。本文中对p 2 p 系统的分析研究，主要是指 这类半分布模式的p 2 p 系统。 目前，对等网络的应用主要体现在对等计算、协同工作、搜索引擎、文件交换等方面。 其中有s u n 公司的j x t a ；g o o g l e 等搜索引擎公司开展的p 2 p 搜索系统：国内开展的上 海城市网格中p 2 p 虚拟协同平台的研究；以及文件共享下载系统；与w e bs e r v i c e 技术融 合的协同工作系统、即时通信、即时e m a i l 等。 2 1 2p 2 p 系统的特点 与其它网络模型相比，p 2 p 系统具有以下特点【4 8 】： 第7 页 南京邮屯大学硕士研究生学位论文 第二章相关技术简介 非中心化( d e c e n t r a l i z a t i o n ) 网络中的资源和服务分散在所有结点上，信息的传输和服务的实现都直接在结点之间 进行，可以无需中间环节和服务器的介入，避免了可能的瓶颈。即使是在混合p 2 p 中， 虽然在查找资源、定位服务或安全检验等环节需要集中式服务器的参与，但主要的信息交 换最终仍然在节点中间直接完成。这样就大大降低了对集中式服务器的资源和性能要求。 可扩展性 在p 2 p 网络中，随着用户的加入，不仅服务的需求增加了，系统整体的资源和服务 能力也在同步地扩充，始终能较容易地满足用户的需要。整个体系是全分布的，不存在瓶 颈。理论上其可扩展性几乎可以认为是无限的。p 2 p 可扩展性好这一优点已经在些得到 应用的实例中得以证明，如n a p s t e r ，g n u t e l l a ，f r e e n e t 等。 健壮性 在互联网上随时可能出现异常情况，网络中断、网络拥塞、节点失效等各种异常事件 都会给系统的稳定性和服务持续性带来影响。在传统的集中式服务模式中，集中式服务器 成为整个系统的要害所在，一旦发生异常就会影响到所有用户的使用。而p 2 p 架构则天 生具有耐攻击、高容错的优点。由于服务是分散在各个节点之间进行的，部分节点或网络 遭到破坏对其它部分的影响很小。而且p 2 p 模型一般在部分节点失效时能够自动调整整 体拓扑，保持其它节点的连通性。事实上，p 2 p 网络通常都是以自组织的方式建立起来的， 并允许节点自由地加入和离开。一些p 2 p 模型还能够根据网络带宽、节点数、负载等变 化不断地做自适应式的调整。 高性能价格比 性能优势是p 2 p 被广泛关注的一个重要原因。随着硬件技术的发展，个人计算机的 计算和存储能力以及网络带宽等性能依照摩尔定理高速增长。采用p 2 p 架构可以有效地 利用互联网中散布的大量普通结点，将计算任务或存储资料分布到所有结点上。利用其中 闲置的计算能力或存储空间，达到高性能计算和海量存储的目的。通过利用网络中的大量 空闲资源，可以用更低的成本提供更高的计算和存储能力。 隐私性 目前的i n t e m e t 通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量 特征，获得i p 地址。在p 2 p 网络中，由于信息的传输分散在各节点之间进行而无需经过 某个集中环节，用户的隐私信息被窃听和泄漏的可能性大大缩小。在p 2 p 中，所有参与 箱8 面 南京邮电大学硕士研究生学位论文 第二章相关技术简介 者都可以提供中继转发的功能，因而大大提高了匿名通讯的灵活性和可靠性，能够为用户 提供更好的隐私保护。 2 1 3p 2 p 的信息安全问题 安全问题是一直伴随互联网发展的重要课题，在p 2 p 网络中尤其如此。p 2 p 技术自从 出现以来一直受到广泛的关注，目前，在在线交流、文件共享、分布式计算，甚至是企业 计算与电子商务等应用领域p 2 p 已经充分显示出了其强大的技术优势，但由于其自身的 特点，也为信息安全带来了新挑战 9 1 1 2 9 - 3 1 。 1 ) 知识产权保护问题。 n a p s t e r 1 0 的案例已经让人们认识到版权的重要性。目前p 2 p 系统中的大部分资源 仍然存在版权问题。正是由于这个问题，p 2 p 的前景受到人们的质疑。p 2 p 网络中，资源 可以在大范围内被迅速的复制，这就对资源拥有者的版权保护提出要求。软件开发商采取 各种措施进行防范，较为常见的如在线激活、注册、数字许可证等多种方式，这是新的网 络环境下对于数字版权的保护，并且这些措施起到了一定的效果。除了技术手段外，加强 人们对于数字版权的意识，健全相关的法律法规，通过一定的法律手段加以维护，会对 p 2 p 网络中的版权保护起到更加有效的作用。 2 ) 网络病毒防范问题。 。 随着计算机网络应用的深入发展，计算机病毒对信息安全的威胁日益增加。特别是在 p 2 p 环境下，方便的共享和快速的选路机制，为某些网络病毒提供了更好的入侵机会。由 于p 2 p 网络中逻辑相邻的节点，地理位置可能相隔很远，而参与p 2 p 网络的节点数量又 非常大，因此通过p 2 p 系统传播的病毒，波及范围大，覆盖面广，只要有一个节点感染 病毒，就可以通过内部共享和通信机制将病毒扩散到附近的邻居节点，在短时间内可以造 成网络拥塞甚至瘫痪，甚至病毒完全控制整个网络。随着p 2 p 技术的发展，甚至出现专 门针对p 2 p 系统的网络病毒，如名为v b s g n u t e l l a 的蠕虫病毒 1l 】，利用系统漏洞，达到 迅速破坏、瓦解、控制系统的目的。因此，网络病毒的潜在危机对p 2 p 系统安全性和健 壮性提出了更高的要求，迫切需要建立一套完整、高效、安全的防毒体系。 3 ) p 2 p 内容鉴别问题 由于p 2 p 系统自身的特点，内容鉴别也存在一定的问题。在获取资源的时候我们首 第9 页 查室坚皇奎堂堡主塑窒竺兰堡垒茎 釜三童望茎垫查竺! ! 。_ _ _ _ _ l - 。_ - - _ _ - _ _ - - - _ - _ - _ _ - 。_ _ _ _ _ - _ _ _ _ _ - _ _ i _ _ - _ _ _ _ _ _ _ _ _ _ - _ _ - - _ _ - _ _ - _ _ _ _ _ _ _ _ _ _ _ _ - _ - _ _ _ _ - _ i _ _ _ _ - - _ _ _ _ 。_ - 。_ 。一一一 先需要保证所下载的资源正是我们需要的资源。在最好的情况下，我们还要确定所下载的 资源只包含符合要求的文件，即是说没有其它不需要或是不希望有的垃圾文件。但是在目 前已实现的p 2 p 系统中，不存在中心服务器提供的基于内容的鉴别，资源共享严重依赖 于资源提供者和需求者之间的相互信任【1 2 】，事实上只能保证所请求资源的标志( 通常是 名称) 与希望的标志一致，例如，请求节点只能确定从提供节点下载的音乐文件标题与希 望获取的音乐文件标题一致，至于能否保证内容的一致性就无法判断。我们也可以加入一 些更多的判断，如要求一些扩展信息一致，标志文件的元数据一致，但是无法从根本上解 决问题。这也使得一些垃圾文件伪装成正常文件进行传播。 4 ) 信用问题 p 2 p 特有的结构使得系统缺乏对共享资源的管理，难以有效地验证每个共享资源的 正确性。某些怀有特定目的的资源共享者可能在资源中加入其他信息，如病毒、木马、广 告或其他的垃圾信息。再有一部分就是所谓的“f r e e l o a d e r 问题 1 3 1 ，即网络中存在只下 载资源，而不上传资源的用户，长期下去只会形成网络中资源的枯竭。虽然这是个非技术 性的问题，但是可以通过技术手段实现对网络中用户信用的评价，形成鼓励用户上传资源 的机制。当前的研究主要是通过为用户划分等级来评价用户的信用，但是这种机制仍然无 法保证用户有积极的“上传 行为，要形成一种有效的机制还有很长的路要走。 5 ) 网络和节点的负载平衡问题 p 2 p 节点在寻找其它节点之前，首先要发出查询报文以定位资源和获取邻居节点的位 置。但是查询算法为了获得较高的准确性，一般采用广播式进行查询，这就造成了一定的 隐患。在g u n t e l l a 网络中查询协议具有个7 h o p 限制，即查询深度最多不超过7 个节点， 假设每个节点又能找到4 个相邻的节点，那么一次查询能够广播到1 3 0 0 个节点【1 4 】，在 这种情况下如果有恶意节点伪装成受害节点发送大量不同的查询报文，并在应答报文回传 之前结束伪装，受害节点将因为受到巨量应答而当机。有关文献已经实现了利用g u n t e l l a 协议中的4 种基本报文进行查询洪泛【1 5 】。一般在校园网，企业网和某些住宅小区采用的 是局域网通过代理服务器上网方式，其连接i n t e m e t 的带宽存在上限。又由于p 2 p 节点在 下载的同时又能够上传，因而在局域网络内部若有相当数量的用户使用p 2 p 软件交换数 据，就会使带宽迅速耗尽以致妨碍正常的网络访问。例如，b i t t o r r e n t 协议 1 6 1 1 7 将下载 速度与上传速度关联起来，使得上下载速度相当，因此一个节点下载1 g 的数据，同时也 要上传大约1 g 的数据，若同时有5 0 0 个节点进行上下载，那么短时间内就会有0 5 t 的 第1 0 页 南京邮电大学硕士研究生学位论文 第二章相关技术简介 数据通过代理服务器，从而造成网络拥塞。 此外，由于p 2 p 专注于提高共享效率而忽视安全因素，因此也对现有的网络安全体 系产生了影响，p 2 p 协议的缺陷导致了一些外部安全隐患。根据i p 地址，p 2 p 网络节点 可以分为两种：一种是具有公网i p 的节点；另一种是具有非公网地址的节点，通常是经 由代理服务器和防火墙接入网络的局域网用户。p 2 p 软件经过特殊设计能够通过防火墙使 内外网用户建立连接，这样就像是在防火墙上打开了一个秘密通道( s e c u r i t yh o l e ) ，使 得内网直接暴露在不安全的外部网络环境下。根据w w w b i t c o m e t t o m 发布的客户端更新， 他们为了提高局域网用户下载速度已经实现了连接两个在不同内网中的内网节点，并且采 用监听随机端口的方式避免防火墙封锁端口，这事实是在两个防火墙上开了一个相互连通 的隧道，安全问题更加突出。 从以上各方面可以看出，在p 2 p 网络中，系统安全面临着巨大的挑战，p 2 p 网络的安 全性研究是当前的研究热点之一，是对p 2 p 网络发展的挑战。 2 2 基于d h t 的发现技术 由于在非结构化网络中将分布式网络认为是一个完全随机图，结点之间的链路没有遵 循某些预先定义的拓扑来构建。这些系统一般不提供性能保证，但容错性好，支持复杂的 查询，并受结点频繁加入和退出系统的影响小。但是查询的结果可能不完全，查询速度较 慢，采用广播查询的系统对网络带宽的消耗非常大，并由此带来可扩展性差等问题。而基 于d h t ( d i s t r i b u t eh a s ht a b l e ) 【7 】的分布式发现和路由算法避免了类似n a p s t e r 的中央 服务器，也不是像g n u t e l l a 那样基于广播进行查找，而是通过分布式散列函数，将输入的 关键字惟一映射到某个结点上，然后通过某些路由算法同该结点建立连接。 在d h t 技术中，网络结点按照一定的方式分配个唯一结点标识符( n o d ei d ) ，资 源对象通过散列运算产生一个唯一的资源标识符( o b j e c ti d ) ，且该资源将存储在结点i d 与之相等或者相近的结点上。需要查找该资源时，采用同样的方法可定位到存储该资源的 结点。因此，c h o r d 的主要贡献是提出了一个分布式查找协议，该协议可将指定的关键字 ( k e y ) 映射到对应的结点( n o d e ) 。从算法来看，c h o r d 是相容散列算法的变体。m i t 的 g r i d 和r o n 项目则提出了在分布式广域网中实施查找资源的系统框架。 采用d h t 技术，其优点在于d h t 类结构能够自适应结点的动态加入退出，有着良 第l l 页 南京邮电大学硕士研究生学位论文 第二章相关技术简介 好的可扩展性、鲁棒性、结点i d 分配的均匀性和自组织能力。由于重叠网络采用了确定 性拓扑结构，d h t 可以提供精确的发现。只要目的结点存在于网络中d h t 总能发现它， 发现的准确性得到了保证。 但是，d h t 类结构最大的问题是d h t 的维护机制较为复杂，尤其是结点频繁加入退 出造成的网络波动( c h u m ) 会极大增加d h t 的维护代价。d h t 所面临的另外一个问题 是d h t 仅支持精确关键词匹配查询，无法支持内容语义等复杂查询。 首先采用d h t 组织重叠网络的p 2 p 系统主要有： t a p e s t r y 提供了一个分布式容错查找和路由基础平台，在此平台基础之上，可以开发 各种p 2 p 应用( o c e a n s t o r e 即是此平台上的一个应用) 。t a p e s t r y 的思想来源于p l a x t o n 。 在p l a x t o n 中，结点使用自己所知道的邻近结点表，按照目的i d 来逐步传递消息。t a p e s t r y 基于p l a x t i o n 的思想，加入了容错机制，从而可适应p 2 p 的动态变化的特点。o c e a n s t o r e 【1 6 】是以t a p e s t r y 为路由和查找基础设施的p 2 p 平台。它是一个适合于全球数据存储的 p 2 p 应用系统。任何用户均可以加入o c e a n s t o r e 系统，或者共享自己的存储空间，或者 使用该系统中的资源。通过使用复制和缓存技术，o c e a n s t o r e 可提高查找的效率。 t a p s t r y 为适应p 2 p 网络的动态特性，作了很多改进，增加了额外的机制实现了网络 的软状态( s o f ts t a t e ) ，并提供了自组织、鲁棒性、可扩展性和动态适应性，当网络高负 载且有失效结点时候性能有限降低，消除了对全局信息的依赖、根结点易失效和弹性 ( r e s i l i e n c e ) 差的问题。 p a s t r y 是微软研究院提出的可扩展的分布式对象定位和路由协议，可用于构建大规模 的p 2 p 系统。在p a s t r y 中，每个结点分配一个1 2 8 位的结点标识符号( n o d e l d ) ，所有的 结点标识符形成了一个环形的n o d e l d 空间，范围从o 到2 1 2 8 1 ，结点加入系统时通过 散列结点i p 地址在1 2 8 位n o d e i d 空间中随机分配。 目前，包括b i t t o r r e n t ，e d o n k e y 等在内的p 2 p 主流软件都采用了d h t 技术作为发现 和路由算法。 2 3 信任管理模型的研究与进展 在社会网络中，信任关系是人际关系的核心，个体间的信任度往往取决于其它个体的 推荐，同时，作为推荐者的可信度也决定其推荐个体的可信度。实际上，这种互相依赖的 第1 2 页 南京邮电大学硕士研究生学位论文 第二章相关技术简介 信任关系组成了一个所谓的信任网络 1 8 】( w e bo f t r u s t ) 。在这样的信任网络中，任何个体 的可信度都不是绝对可靠的，但可以作为其它个体决定其交易行为的依据。基于信任的 p e e r - t o p e e r 系统与人际网络有很大的相似性1 1 9 - 2 1 1 ，这表现在： ( 1 ) 网络中的个体在与其它个体的交易中会留下零星的“信用信息： ( 2 ) 个体对于交易对象具有充分的选择权； ( 3 ) 个体往往不看重绝对的可靠性或服务质量，即个体可以忍受少量错误的选择带 来的损失，比如文件共享应用； ( 4 ) 个体有义务为网络中的其它个体提供推荐信息。 因此，这为借鉴社会学研究的某些结论提供了可能。 目前，p 2 p 中信任模型的研究已经取得了一定的成果，可以归为以下几类： ( 1 ) 基于角色的信任模型。在这类系统中，节点依据其兴趣，加入不同的社区，社 区是拥有共同兴趣的节点集合，同一节点可以加入不同的社区，依据节点对于不同社区的 隶属程度，决定其在不同方面的可信度。 ( 2 ) 基于推荐的信任模型。该模型分为主要分为三类： 基于p k i 的信任模型【2 】。在这类系统中，存在少数中心p e e r 负责整个网络的监督， 定期通告违规的p e e r ，中心p e e r 的合法性通过c a 颁发的证书加以保证。这类系统往往 是中心依赖的，具有可扩展性、单点失效等问题。这类实际系统的实例有：e d o n k e y 的诸 多s e r v e r 等。 基于局部推荐。在这类系统中，p e e r 通过询问有限的其它p e e r 以获取某个p e e r 的信 誉度，一般采取简单的局部广播的手段，其获取的p e e r 信誉度往往是局部的和片面的。 如c o r n e l l i 对g n u t e l l a 的改进建议就是采用这种方法 2 1 】。 全局可信度模型。为获取全局的p e e r 可信度，该类模型通过相邻p e e r 间相互满意度 的迭代，从而获取p e e r 全局的信誉度。s t a n f o r d 的e i g e n r e p 3 】是目前已知一种典型的全 局信任模型。e i g e n r e p 的核心思想是，当p e e ri 需要了解任意p e e rk 的全局信誉度时， 首先从k 的交互p e e r ( 曾经与k 发生过交互的p e e rj ) 获知p e e r k 的信誉度信息，然后根 据这些交互p e e r 自身的局部可信度( 从i 的角度看来) 综合出k 的全局信誉度。即： 互= 鸭书啄)协。) 对于任意p e e ri 、j ，c 为p e e r i 对p e e r j 的局部可信度，z 为p e e ri 综合信誉度( 全局 第1 3 页 南京邮电大学硕士研究生学位论文 第二章相关技术简介 的信誉度) 。 c 扩= 疑s a i t o - 磊u n s a 司t o ( 2 - 2 ) 服务申请节点鼢乇和服务申请节点踟勋扩分别为p e e ri 对j 在历史交易中积累的满意 次数和不满意次数。 e i g e n r e p 存在以下几个问题： 该协议通过分布h a s h 表机制存储p e e r 的全局信誉度，而这在p 2 p 动态环境中就 存在可用性和安全性的问题。 该模型没有考虑惩罚因素，模型没有对造成服务失败的p e e r 在信誉度上作出惩 罚。 该模型的协议实现没有考虑网络的性能开销，每次交易都会导致在全网络范围内 的迭代。 该协议没有考虑到信誉度本身所具有的不确定性。在该模型中一个节点对另一个节 点只有信任与不信任之分( 用信誉度值的大小来表示) ，而没有考虑到信任的不确定性。 e i g e n r e p 模型虽然在具体的实施过程中，存在很多问题，但对我们求全局信任度给出了 一个总的框架，具有一定的指导意义。 ( 3 ) 基于b a y e s i a n 的信任模型。这类系统的核心思想是：依据一定的参数( 如文件质 量、下载速率等) ，利用b a y e s i a n 概率的方法计算可信度。 2 。4 本章小结 本章简单介绍了p 2 p 的概念、p 2 p 系统的特点以及p 2 p 系统所带来的信息安全问题， 并且介绍了p 2 p 中所应用的d h t 技术，同时对目前p 2 p 信任管理模型的研究与进展做了 简单的概述，尤其是对比较著名的e i g e n r e p 模型模型做了比较详细的介绍，归纳出了它 们的优缺点。 第1 4 页 南京邮电大学硕士研究生学位论文 第三章p 2 p 安全模型的总体设计 第三章p 2 p 安全模型的总体设计 p 2 p 软件正在逐渐变成i n t e m e t 上的主流网络软件，有许多知名的产品，如软件 k a z a a ，e - d o n k e y ， g n u t e l l a 等，已在网络中得到了大量的应用。但是随着p 2 p 的逐渐 发展，缺乏管理的p 2 p 网络也出现了一些安全问题，需要运用网络信息安全技术对其进 行解决。针对p 2 p 的这些安全问题，在当前通常采用基于信任度推荐的方法来解决这些 问题。但是如同第一章所述，这一类的解决方案还存在如下需求： 在p 2 p 网络环境下，如何设计安全信任模型的架构，计算网络节点的全局信任度， 有效的在p 2 p 网络中查找到可信的目标节点。 p 2 p 的安全信任模型中需要引入一定的机制，以应对冒名及诋毁问题。 某些p 2 p 节点可能只希望已获得自己授权的对等节点对自己提供的共享资源或 服务进行带权限的访问。 因此，在本文中我们借鉴以e i g e n r e p 为代表的全局推荐思想，将提出一种非集中管 理认证的，松散自组织式的p 2 p 安全信任模型。该模型通过利用超级节点计算全局信任， 然后计算节点的最终信任度评估，并以此为依据选择可靠的服务提供节点；同时能应对 p 2 p 网络中出现的冒名，夸大等问题。 3 1 系统概述 有别于已有的p 2 p