（计算机系统结构专业论文）p2p环境下的信任模型研究与实现.pdf

摘要 摘要 p 2 p 系统( p e e r - t o p e e r ) 已经成为i n t e m e t 中最重要的应用系统之一。然而，p 2 p 系统所具有的开放、 匿名等特性使得节点可以肆意传播非法内容，滥用网络资源，导致不可靠的服务质量及存在大量的欺诈行 为，从而使得网络的可用性较差。节点之间缺乏信任，制约了p 2 p 系统的进一步发展。目前，解决此问题 的方法之一是在p 2 p 系统中建立信任机制。信任反映的是一个用户对另一个用户行为以及能力的综合评价， p 2 p 系统中节点之间的信任是促使节点合作、激励节点共享资源的有力保障，直接影响着p 2 p 系统的整体 性能。 本文着重研究p 2 p 环境下的信任模型，相关工作主要体现在以下几个方面： 首先，归纳总结p 2 p 网络的主要特征以及由此带米的安全挑战。探讨了信任的定义和特点，对信任模 型进行了分类，讨论感性和理性信任模型的特点，并介绍信任管理系统的基本框架模型。 其次，在分析现有信任模型的基础上，以白行开发的t r u s t s h a r e 平台为基础，选择两种典型信任模型 ( e i g e n t r u s t 和p e e r t r u s t ) 加以实现，在同一个平台上进行整合。在局域网范围内进行了测试。 通过借鉴人类社会中人际信任关系建立的过程，针对全局信任模型缺乏对消息来源过滤的缺点，本文结 合局部信任模型的特点，提出了基于自身经验的黑白名单群组信任模型s e b w g t m 。以文件共享系统为背 景，在仿真平台上对s e b w g t m 和e i g e n t r u s t 模型进行性能上的比较，仿真结果表明s e b w g t m 在交易 成功率上有所提升，能够更好的抵御恶意文件攻击。 关键词：p 2 p 系统信任模型信任度群组黑白名单群组信任模型 东南大学硕士学位论文 a b s t r a c t p 2 p f p e e r - t o - p e e r ) h a sb e c o m eo n eo ft h em o s tc r i t i c a la p p l i c a t i o no ft h ei n t e m e t h o w e v e r , o w i n gt ot h e c h a r a c t e r i s t i c so fp 2 ps u c ha so p e n n e s sa n da n o n y m i t y , n o d e so fp 2 ps y s t e mc a l la r b i t r a r i l ys p r e a di l l e g a lc o n t e n t s ， a b u s i n gt h en e t w o r k i n gr e s o u r c e sa n dl e a d i n gt ou n r e l i a b l eq o s a n df r a u d u l e n c e ，r e s u l t i n gi np o o rp e r f o r m a n c eo f t h en e t w o r k l a c ko ft r u s tb e t w e e nn o d e sh o l d sb a c kt h ef u r t h e rd e v e l o p m e n to fp 2 eo n eo ft h es o l u t i o n st ot h e p r o b l e mi st ob u i l du pat r u s tm e c h a n i s m t r u s tr e f l e c t sac o m p r e h e n s i v ee v a l u a t i o no f o n eu s e rt oa n o t h e ru s e r s b e h a v i o r s t r u s tb e t w e e nt h en o d e sg u a r a n t e e st h ec o o p e r a t i o na n di n c e n t i v ea n dr e s o u r c e ss h a r i n g , w h i c hd i r e c t l y i n f l u e n c e st h eo v e r a l lp e r f o r m a n c eo ft h ep 2 ps y s t e m t h i sp a p e rf o c u s e so nt h et r u s tm o d e l si np 2 ps y s t e m ，a n dt h em a i nr e s e a r c hw o r ki n c l u d e s ： f i r s t l y , t h ed i s s e r t a t i o ns u m m a r i z e st h em a i nc h a r a c t e r i s t i c so fp 2 pn e t w o r k s ，a s w e l la st h er e s u l t i n g s e c u r i t yc h a l l e n g e s ，d i s c u s s e st h ed e f i n i t i o na n dc h a r a c t e r i s t i c so ft r u s t , c l a s s i f i e st r u s tm o d e l ，a n di n t r o d u c e st h e b a s i cf r a m e w o r km o d e l so ft r u s tm a n a g e m e n ts y s t e m s e c o n d l y , t h i sp a p e ri m p l e m e n t st w ot y p i c a lt r u s tm o d e l s ( e i g e n t r u s ta n dp e e r t r u s t ) o nt h et r u s t s h a r ed e v e l o p e db yt h eo u rt e a m t h i sp a p e ra l s ot e s t st h ef u n c t i o no ft h e t w om o d e l si nt h el a no fo u rl a b t h i sp a p e rp r o p o s e sas e l f - e x p e r i e n c eb a s e db l a c k - w h i t eg r o u pt r u s tm o d e l ( s e b w g t m ) ，t os o l v et h e p r o b l e mo ff i l t e r i n go fm e s s a g es o u r c e so f t h eg l o b a lt r u s tm o d e l s f i n a l l y , t h i sp a p e rc h o o s e st h ef i l es h a r i n g s y s t e mt oc o m p a r et h es e b w g t m a n de i g e n t r u s tm o d e l so nt h es i m u l a t i o np l a t f o r m s i m u l a t i o nr e s u l t ss h o w t h a tt h ep e r f o r m a n c eo fs e b w g t mh a si m p r o v e di np r e v e n t i n gt h em a l i c i o u sf i l e sa t t a c k s k e y w o r d s ：p 2 ps y s t e m ，t r u s tm o d e l ，r e p u t a t i o n , g r o u p ，s e b w g t m i i 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其它人已经发表或撰写过 的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我 一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 翌蚯弋 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印 件和电子文档，可以采用影印、缩印或其它复制手段保存论文。本人电子文档的内容和纸质 论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括 刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办理。 日期：y 哆z 第一章前言 1 1 研究背景 第一章前言 如今，互联网( i n t e m e t ) 在世界上已经相当普及，越来越多的计算机加入其中，连接方式迅速由拨号 为主向宽带、光纤为主发展，网络带宽得到了极大的提高，计算资源的价格不断下降，性能却在迅速提高。 这些条件的改进，使得很多网络终端和个人计算机的能力越来越强，具备了一定的服务能力。因此，许多 人开始用自己的个人计算机对外提供特定形式的服务。如果把网络上数量巨大的个人计算机作为一个整体 联系起来，就可以提供集中式服务器无法比拟的计算资源。因此，如何更好地利用所有节点的能力搭建更 好的分布式系统自然而然地成为人们关注的问题。基于这样的思想，p 2 p ( p e e r - t o p e e r ) 网络应用迅速兴 起。 p 2 p 网络是一个全分布式的系统，用户自主地选择加入和退出，自愿共享和获取资源，p 2 p 网络的成 功取决于用户参与的热情，p 2 p 网络资源的丰富依赖于用户可用资源的共享。遗憾的是，p 2 p 的用户是人， 而人是理性的，在最小投入( 或者无投入) 的情况下获取最大利益是人类的天性，尤其是网络本身的匿名 性；节点不为自己的行为担负责任，导致部分用户产生投机取巧的行为。由此产生了p 2 p 网络应用中的一 个广泛存在的消极现象：搭便车( f r e e r i d i n g ) ，也就是一个自私的个体有意识地拒绝为某个群体的共同利 益自愿地贡献自己的资源。这种行为会对p 2 p 系统整体产生不利影响。 除了搭便车现象，p 2 p 网络中还充斥着大量的虚假文件，甚至是威胁安全的恶意病毒或特洛伊木马。 调查表明，高达2 5 的文件是伪造文件【l 】，这对于依靠大量用户支撑的p 2 p 网络来说问题相当严重。 尽管信息网络的安全研究已经持续多年，但对上述网络攻击和破坏行为的对抗效果并不理想。现有的 由防火墙、入侵检测和病毒防范等组成的网络安全系统，大多只能对抗已知攻击，对具有多样、随机、隐 蔽和传播等特点的攻击和破坏行为无法及时应对。在这样的背景下，为了加强对p 2 p 网络中的节点行为的 指导和约束，有效地识别p 2 p 网络中的恶意节点，业界引入信任机制，目的在于方便用户选择更为信任的 节点提供的服务，降低系统中节点间交互的风险。本文重点研究p 2 p 网络的信任模型。 1 2 研究目标和内容 本文研究p 2 p 网络中对等节点之间的信任问题，旨在建立一个信任模型并实现一个原型系统，来完成 交易节点的信任度的计算，以此作为决策依据，提高节点在网络中交易的成功率，降低节点交易的风险， 东南大学硕士学位论文 从而达到增强p 2 p 网络可用性的目的。 本文主要研究内容如下： 1 ) p 2 p 关键技术 底层的p 2 p 系统是信任模型实现的基础，本文对p 2 p 网络的路由算法进行了研究。 2 ) 分布式信任模型 研究信任模型的建立、信任度的计算，以及各节点历史记录的存放、维护、更新，对恶意节点如何 抑制和惩罚。重点分析e i g e n t r u s t 和p e e r t r u s t 两种典型信任模型的机理。 3 ) 考虑到人类社会的关系网络与p 2 p 网络的相似性，在借鉴人际关系网络信任机制的基础上，针对全 局信任模型对消息来源缺乏过滤的缺点，本文结合局部信任模型的特点，提出了基于自身经验的黑白名单 群组信任模型s e b w g t m 。 4 ) 信任模型的设计与实现 在t r u s t s h a r e 实验平台之上，设计并实现信任模型。在仿真平台上，对大规模网络进行模拟，分析不 同信任模型的性能特点。 本课题研究受国家8 6 3 项目“分布式多信任域间信任管理技术研究与开发”资助。 1 3 论文章节的安排 第一章前言。介绍论文的研究背景、目标以及论文的内容组织情况。 第二章基于p 2 p 的信任管理研究。探讨p 2 p 系统的特点、研究现状以及各个应用方面，对路由算法 进行改进，提高路由效率。阐述了信任的定义，信任管理的内涵，对信任模型进行分类，讨论了理想的信 任模型的设计目标，介绍了现有的研究比较成熟的各种信任模型。 第三章典型信任模型的设计与实现。e i g e n t r u s t 和p e e r t r u s t 这两种信任模型理论完备，分别代表了 一种典型的信任模型的管理思想。本文对这两者进行深入剖析，在t r u s t s h a r e 平台上加以实现，进行原型 测试。 第四章黑白名单群组信任模型s e b w g t m 。在现有模型的基础上，提出了一种基于自身经验的黑 白名单群组的信任模型。此模型吸收人际关系网络信任机制的特点，将全局信任模型和局部信任模型的特 点相结合。 第五章仿真分析。构建仿真平台，结合文件共享系统，对各个模型进行仿真，进行性能上的比较， 并分析黑白名单群组模型权重参数设定对网络的影响。 第六章论文总结和展望。对论文进行了总结性的叙述，总结论文工作中重点研究的内容，有待改进 2 第一章前言 的问题以及进一步研究的方面。 最后是致谢、参考文献和论文发表情况。 3 东南大学硕七学位论文 第二章基于p 2 p 的信任管理研究 p 2 p 网络研究的核心问题是如何构造良好的拓扑结构，一般采用以下三个主要尺度进行评估：拓扑的 可扩展性、拓扑的可维护性、拓扑的动态适应性。根据资源的组织方式，p 2 p 网络大致分为非结构化和结 构化两类。目前p 2 p 应用日益广泛，但网络具有的开放、匿名等特性使得节点可以恣意散布非法内容，滥 用网络资源，节点之间缺乏信任，制约了p 2 p 系统的进一步发展。 社会网络中，信任关系是人际关系的核心，个体间的信任度往往取决于其它个体的推荐，同时，作为 推荐者的可信度也决定其推荐个体的可信度。实际上，这种互相依赖的信任关系组成了一个所谓的信任网 络。在这样的信任网络中，任何个体的可信度都未必绝对可靠的，但可以作为其它个体决定其交互行为的 依据。 本章组织结构如下：第一节从p 2 p 的定义、特点等方面介绍了p 2 p 系统，探讨了p 2 p 系统的拓扑结构 等等现状，并对本文所使用的底层p 2 p 拓扑进行了叙述。第二节从信任的定义、信任管理的含义等方面介 绍了信任模型，并对现有的典型信任度评估模型进行了分类总结。 2 1p 2 p 系统简述 2 1 1p 2 p 特点 随着i n t e r a c t 的普及，端用户系统资源的丰富，以及网络带宽的快速增加，传统的客户服务器( c s ) 网络应用模式中服务器的性能瓶颈以及单点失效的问题不仅限制了端系统资源的充分利用，也越来越无法 满足新的分布式应用的需求。而p e e r - t o p e e r ( p 2 p ) 技术在协同工作，分布式信息或资源共享，大规模并 行计算等方面显示出的独特优势，使其成为新的发展热点。 相关p 2 p 的解说很多，下面两个定义颇具代表性。 1 p e e r - t o p e e ri sat y p eo fi n t e m e tn e t w o r ka l l o w i n gag r o u po fc o m p u m ru s e r sw i t ht h es a m en e t w o r k i n g p r o g r a mt oc o n n e c tw i t he a c ho t h e rf o rt h ep u r p o s e so fd i r e c t l ya c c e s s i n g f i l e sf r o mo n ea n o t h e r sh a r dd r i v e s 【2 1 2 p 2 p 是一种分布式网络，网络的参与者共享他们所拥有的一部分硬件资源( 处理能力、存储能力、 网络连接能力、打印机等) ，这些共享资源需要由网络提供服务和内容，能被其它对等节点( p e e r ) 直接访 问而无需经过中间实体。在此网络中的参与者既是服务和内容等资源的提供者( s e r v e r ) ，又是资源获取者 ( c l i e n t ) 。 如图2 1 和2 2 所示，这种模式和广泛使用的客户服务器( c s ) 模式形成了鲜明的对比。 4 第= 章基于p 2 p 的信任管理橇迹 明 1 传统c 1 5 模式图2 - 2p 2 p 模式 c s 模式是i n t e r a c t 上昂流行的网络计算模式，数据和信息都保存在服务器端，只有服务器端具有控制 能力，服务器和网络的带舞决定了网络的性能。信息和致据的管理比较集中、规范服务器根据适当的算 法和规则管理本地信息，应答客户端的访问请求或进行计算。与此有明显差别的p 2 p 模式是非集中式的， 具有以下特点： ( 1 ) 每一个对等点具有相同的地位，弱化了服务器的功能，甚至取消了专用服务器。 ( 2 ) 系统采用无中心结构，没有中心节点负责一致性控制、任务调度、决策仲裁等工作，而是通过 参与系统的节点之间充分台作来完成用户提交的任务，缺乏集中管理。事实上。根多p 2 p 系统规模非常太， 往往有上百万节点同时参与，在这种情况下也很难有节点能够有能力进行中心控制和全局管理。 ( 3 ) p 2 p 网络中对等点的加 和退出非常的自由和方便。在l 2 p 的计算环境中的任何设备均可以方 便的加入进来，网络中的节点也很可能经常从蜘络中退出。 通过上面的比较，可蛆看出p 2 p 模式相对于c s 模式的主要优点：对等点的闲散壹源有机会得到充分 的利用，整个网络可以被视为具有海量存储能力和巨大计算处理能力的超级计算机，不存在服务器瓶颈。 为了达到资源麸享的目的有必要将资源组织起来，咀利于发现和使j ；i 资源。根据资源的组织方式， p 2 p 网络大致分为非结构化和结构化两类。非结构化p 2 p 网络指节点或者资源的组织没有特定的结构，典 型的非结构化p 2 p 网络的资源发现采用广播( 或者洪泛) 的工作方式，网络带宽浪费严重。结构化p 2 p 厨 络指依据某种结构来组织节点和可菇享资源，典型的结构化p 2 p 系统基于分布式散列表( d i s 州b u t eh 掷h t a b l e ，d h d ，有良好的可扩展性和查询教率。 d h t 实际上是一个由广域范围大量节点共同维护的巨大散列表。通过加密散列函数( 也称哈希函数) ， 一个对象的名字或关键词被映射为1 2 8 位或1 6 0 位的散列值。散列表被分割成不连续的块，每个节点被分 配给一个散列块，并成为这个敞列块的管理者。d h t 的节点是动态的，节点数量也是巨大的，因此非中心 化和原予自组织成为设计的两个重要目标。一个采用d h t 的系统内所有节点被映射到一个空间。 典型的结构化p 2 p 网络的基本傲法是：首先，将每个节点通过一个哈希函数映射为一个整数，作为该 节点在地址空问的唯一标识，称为n o d e - l d 。接着按照某种方式( 如数值大小) 将所有的n o d e i d 组织 5 东南大学硕士学位论文 起来，这样系统中的所有节点将形成一种特定的拓扑结构并以此决定路由规则。在消息传递时，给定地址 空间的一个点作为消息目标地址，然后消息在节点之间根据路由规则不断转发，最终到达目标节点。 以业界探讨较多的c h o r d 为例，它利用相同的哈希算法( 或者d h t ) 计算节点和资源的n o d e i d 和 r e s i d ，根据n o d e i d 的数值大小构成节点的逻辑环路( 简称c h o r d 环) ，用户共享的资源信息存储在n o d e i d 大于等于且最接近r e s i d 的节点上( 称为对应资源的直接后继节点) 。因此，资源的发布或者查询实质上 是对应资源的直接后继节点的查询。为了支持这种查询，c h o r d 的每个节点维护o ( 1 0 9 n ) 个表项的指针表， n 表示c h o r d 网络最多可以容纳的节点数。指针表包含三项，即开始项、区间和开始项的后继。同时，每 个节点还维护了自己的前继、后继相关信息。 c h o r d 节点会周期性的检查它的指针表和后继表中各项的有效性。通过该过程，c h o r d 可以适应节点 失效和节点加入等动态情况。为了提升c h o r d 环的可维护性，本文对c h o r d 做出了两个小的改进： ( 1 ) 后继队列维护算法 后继节点在维护c h o r d 环路和故障恢复中起着至关重要的作用，在原有的算法中，一旦后继失效，c h o r d 环路将无法继续维护下去。本文沿用文献 9 】的思路，提出后继队列使用方案和维护算法( 见图2 - 3 ) 。 r 1 s u c c e s s o r f ix0 i f ( n s u c c e s s o ri su n a v a il a b l e ) r e s e t d i r e c t s u c c e s s o r0 ： r e f r e s h u n d i r e c t s u c c e s s o r s0 ； n r e s e t o i r e c t s u c c e s s o r0 f o r ( = l ：i 2s u c c e s s o rlis t s i z e ：i 抖) i f ( s u c c e s s o r _ l i s t i3 i sa v a i f a b l e ) c u r r e n t _ s u c c e s s o r 。s u c c e s s o r _ l i s te l i ： n r e f r e s h g n d i r e c t s u c c e s s o r s0 f o r ( i n ti = l ：i s u c c e s s o r _ l i s t ，s i z e ；i + ” s u c c e s s o rl i s t i + 1 s u c c e s s o rl i s t i g e t s u c c e s s o r ( ) 图2 3 后继队列维护算法 引入后继队列后，队列中的首个后继被称为直接后继d i r e c t s u c c e s s o r ，其它后继称为备用后继 u n d i m c t s u c c e s s o r 。节点周期性的运行s u c c e s s o r f i x ，当直接后继不可用时，从备用后继中选取一个作为新 的直接后继。同时，s u c c e s s o r f i x 每次运行都会更新所有的备用后继，保证了直接后继的可用性以及备用 厉继的可用性和正确性。 通过引入后继队列，c h o r d 的容错性得到了一定的提高。 ( 2 ) f i n g e rt a b l e 更新算法 在原有的指针表更新算法中，c h o r d 每次随机选择指针表中的一项进行更新。这种简单的策略将导致 两个问题：首先，指针表中每项的更新时机是随机的，错误表项可能长时间得不到更正，部分表项可能被 6 第二章基于p 2 p 的信任管理概述 反复更新。其次，算法没有挖掘指针表同有的一些特点，对部分可以通过推论得出的表项也进行了更新， 延长了指针表更新的时间。 图2 4 是提出的一种新的指针表更新算法，算法每次运行都确保指针表中的每一项都得到了更新，并 且充分利用了指针表固有的特点。如果更新项的开始标识处于前项的开始标识和前项的开始标识的后继区 间内，则该更新项的后继与前项的后继相同，避免了重复更新导致的网络流量负担。新的指针表更新算法 f i n g e r f i x 由定时器周期性的启动。 n f i n g e r f x 0 f i n g e r _ t a b l e 1 】s u c c2n f i n d s u c c e s s o r ( f i n g e r _ t a b l e i t ，s t a r t ) ； f o r i = 2 ：i = f i n g e r _ t a b l e s i z e ：i + _ ) i f ( f i n g e r t a b l e i s t a r ti sb e t w e e n ( f i n g e rt a b l e i - i s t a r t ， f i n g e r 】。_ t a b i e i - 1 s u e t ) f i n g e r _ t a b l e i s u c c 。f i n g e r _ t a b l e i i 】s t l c c ； e l s e f i n g e r _ t a b l e i 。s u c c 。n lf i n d s u c c e s s o r ( f i n g e rt a b l e i 。s t a r t ) ： 图2 - 4 指针表更新算法 2 1 2p 2 p 系统面临的安全问题 传统c s 环境中的大部分安全问题，如数据的机密性、真实性、完整性等问题，都同样存在于p 2 p 网 络中，另外，p 2 p 应用中还存在新的安全问题，主要有以下几个方面： ( 1 ) 搭便车者和“公共物品的悲哀” 搭便车者指节点只消费其它节点共享的资源，而不共享自己的资源。“公共物品的悲哀”指网络资源 作为一种公共资源，被大多数节点无节制的使用。据统计，p 2 p 用户数据流量占因特网总流量达6 0 ，并 且在用户总数没有显著增长的情况下，数据流量仍然在快速持续增长。因为p 2 p 网络用户的根本目的是最 大化自己效用，而不考虑网络的整体效用。 ( 2 ) 不可靠的服务 对等网络中控制用户的行为是一件比较困难的事情。例如，一个文件共享系统，因为没有一个集中的 权限控制，很难确保所有的用户能正确的使用。一个用户可能共享无效的文件，共享染上病毒的文件或者 经常不在线导致服务不可用。 产生这些问题的主要原因并不是节点自身在计算、存储和网络带宽能力等方面的物理客观差异，相反 的，节点的自治性使得节点可以自主选择参与到系统中的程度，最终导致了p 2 p 节点能力上的差异性。因 此，要提高p 2 p 系统的可用性，必须设计有效的激励机制激励网络中的节点进行有效地协作并合理使用网 络资源。 7 东南大学硕士学位论文 2 2 信任模型概述 2 2 1 信任定义和特点 目前研究信任和信任现象的领域很多，如心理学、社会学、经济学、进化生物学、组织行为学、哲学 以及计算机科学等。各个领域的学者从各自学科的角度探讨了信任的性质、类型、功能、模式和机制，对 信任的定义，也存在不一致性2 2 1 。 s m a r s h 最早将信任形式化为计算的概念【2 3 1 ，并在其中借鉴了社会学等学科的知识。这种思想认为信 任是一种理性的概念，可以在一个特定程度上使用逻辑方法表示和推理，也称为理性信任。而感性信任， 也称为主观信任，认为信任是一种经验的体现，表达为信任主体主观相信信任客体的程度，对信任进行量 化或者分等级。它与实体行为相关，且随交互结果不断调整。主观信任已成为近年来研究的热点，并广泛 应用子电子商务等领域。 在信任机制的研究中，另一个重要的概念就是信誉。大多数文献中认为，信誉是一个全局的概念，是 所有个体对某一个体的平均信任度。信誉可以是集中式的，由可信的第三方计算得出；也可以是分布式的， 由一个体从其它个体获取推荐信息后独立计算得到。 本文不严格区分“信任”和“信誉”，而是将其当作同一个概念，并沿用文献 2 4 】给出的定义：信任是 一个对等节点基于与另一个节点的交互经验而产生的对该节点能力、诚信和可靠性的一种信心。 信任是对一个节点身份和行为的可信度的评估，与这个节点的客观能力和主观参与策略有关。节点的 客观能力指节点实际具有的物理能力，这些实际能力受节点主观参与策略的影响。例如，对一个参与感不 强的节点来说，即使其拥有较强的物理计算资源，其自私的参与策略也可能导致该节点表现出“弱”计算 节点的特征。因此，通过节点间的交互历史所反映出的节点的“可信程度”，本质上是节点的实际物理属 性基于其参与策略的一个综合能力的“投影”。体现节点参与策略的一个合理的尺度是其在p 2 p 网络中与 其它节点的交互历史所表现出的可信度。信任度是主观和客观相结合的概念，取决于历史经验。可以用具 体信任值表示信任等级的高低，信任值随节点行为而动态变化。 2 2 2 信任管理 1 9 9 6 年，m b l a z e 等人为了解决i n t e m e t 网络服务的安全问题首次使用了“信任管理( t r u s tm a n a g e m e n t ) ” 的概念，它的基本思想是承认开放系统中安全信息的不完整性，提出系统的安全决策需要附加的安全信息， 从而将信任与分布式系统安全结合在一起。它的意义在于提供了一个适合w e b 应用系统开放、分布和动态 8 第二章基于p 2 p 的信任管理概述 特性的安全决策框架。 m b l a z e 等人将信任管理定义为采用一种统一的方法描述和解释安全策略( s e c u r i t yp o l i c y ) 、安全凭证 ( s e c u r i t yc r e d e n t i a l ) ，以及用于直接授权关键性安全操作的信任关系1 5 ( t r u s tr e l a t i o n s h i p ) 。他们认为信任管理 要回答的问题可以表述为“安全凭证集c 是否能够证明请求r 满足本地策略集p ”。为了使信任管理能够独 立于特定的应用，m b l a z e 等人还提出了一个基于信任管理引擎( t r u s tm a n a g e m e n te n g i n e ，简称t m e ) 的信任 管理模型，如图2 5 所示。 动作请求 一j i 倍臣 边界 图2 5t m e 模型 t m e 是整个信任管理模型的核心，根据输入的三元组( 请求描述、签名凭证、本地策略库) ，经过通用 的、应用独立的一致性证明验证算法，输出策略是否被满足的判断结果( 响应) 。几个典型信任管理系统1 4 l 【1 5 】 均以该模型为基础进行设计并加以实现。 信任管理引擎的设计主要涉及以下几个主要问题： ( 1 ) 描述和表达安全策略和安全凭证； ( 2 ) 设计策略一致性证明验证算法； ( 3 ) 划分信任管理引擎和应用系统之间的职能。 d p o v e y 在m b l a z e 定义的基础上，给出了一个更具一般性的信任管理定义，即信任管理是信任意向 的获取、评估和实施【1 6 1 。授权委托和安全凭证实际上是一种信任意向的具体表现。与m b l a z e 同时， a a d u i r a h m a n 等学者从信任的概念出发，对信任内容和信任程度进行划分，并从信任的主观性入手给出 信任的数学模型用于信任评剧1j 【l l 】【1 2 】【1 3 1 ； 主观信任模型认为，信任是主体对客体特定行为的主观可能性预期，取决于经验并随着客体行为的结 果变化而不断修正【1 7 】。在主观信任模型中，实体之间的信任关系分为直接信任关系和推荐信任关系，分别 用于描述主体与客体、主体与客体经验推荐者之间的信任关系。也就是说，主体对客体的经验既可以直接 获得，又可以通过推荐者获得，而推荐者提供的经验同样可以通过其它推荐者获得，直接信任关系和推荐 9 请求描述 应胃 系统 响应 东南大学硕上学位论文 信任关系形成了一条从主体到客体的信任链，而主体对客体行为的主观预期则取决于这些直接的和间接的 经验。 信任模型所关注的内容主要有信任表述、信任度量和信任度评估。信任度评估是整个信任模型的核心， 因此信任模型也称信任度评估模型。信任度评估与安全策略的实施相结合同样可以构成一个一般意义上的 信任管理系统。p h e r r m a n n 等人提出了一个“信任适应的安全策略实施( t r u s t a d a p t e de n f o r c e m e n to f s e c u r i t y p o l i c y ) ”的概念，并在这方面做了一些初步的研列1 引。 2 2 3 信任模型 在信任管理思想提出前后，有一些学者，认为信任是一种经验的体现，不仅要有具体的内容，还应有 程度的划分，并提出了一些基于此观点的信任模型。信任模型主要涉及信任的表述和度量，以及由经验推 荐所引起的信任度推导和综合计算。而信任模型也正是我们接下来研究的重点。 根据信任管理和信任数据存储方式的不同，可以将信任模型分为集中式信任模型和分布式信任模型。 集中式信任模型中，存在少数领袖节点( 1 e a d e rp e e r s ) 。领袖节点负责收集网络参与节点的历史事务记 录信息，然后再把所有节点的信任评分的记录公布出来。请求服务的节点可以参考公布出来的节点信任评 分来选择服务节点。这样，拥有良好信任的服务节点会获得更多的提供服务的机会与回报，诚实可信的节 点也会获得更高的信任，从而抑制网络中的不良行为，最终促进网络的良性发展。 集中式信任模型主要应用于电子商务领域，其实例有：e b a y ，e d o n k e y ，淘宝等。这类模型大都采用 p k i 对用户身份进行认证，采用给参与者评价打分的方法来描述信任度，采用简单的数值计算方式来实现 信任度的聚合。这类模型往往是中心依赖的，具有可扩展性差、单点失效等问题。 分布式信任模型中，所有节点间的关系是对等自治的，没有领袖节点，不再存在某一中心节点负责收 集信任评价信息和提供每一节点的信任信息，每个节点会记录自己经历的每次历史事务。节点的信任信息 被分散保存在每一个有过交易历史的节点上。 分布式信任模型更符合开放网络环境的应用要求，根据信任计算模型中信任信息来源的范围不同又可 分为局部和全局两类分布式信任系统。 1 基于局部推荐的分布式信任模型 在这类系统中，节点通过询问( 如局部广播) 有限的其它节点以获取某个节点的信任度信息，并据此 形成自身的信任观点，如c o m e l l i 对g n u t e l l a 的改进建议就是采用这种方法【2 1 1 。在局部信任模型中，获取 的节点信任度往往是局部的和片面的，此外，由于信任是主观的，对同一节点的可信度，不同的观察者可 能会得到不同的判断。不同的参与者可能会采用不同的方法来评价其它参与者的性能，这反映了不同用户 1 0 第二章基于p 2 p 的信任管理概述 对行为的不同理解【2 2 1 。 目前基于局部推荐的分布式信任模型主要有以下几种： ( 1 ) 基于概率的局部信任模型。 很多研究者借助于概率方法描述主观信任，提出了多种基于概率的信任模型2 1 1 。b e t h 模型采用了贝叶 斯公式对节点的信任相关经验进行了建模，对节点间信任度进行定量研究。但是b e t h 模型在评价直接信任 关系时，仅采用肯定经验进行度量，会造成信息的缺失，同时在推荐信任综合计算过程中，仅采用算术平 均的方法，无法有效地消除恶意推荐所带来的影响。比如说，当b 向a 推荐c 的信任度为1 0 0 ，而a 对 b 的信任度仅为1 时，b e t h 模型却推导出a 对c 的信任度也是1 0 0 。这显然与事实不符。 除b e t h 模型外，文献 2 0 1 和【2 4 】针对p 2 p 文件共享系统，提出了一个基于贝叶斯网络的信任管理模型。 该模型认为信任来自与参与者的直接经验，信誉则基于其它参与者的推荐，信任和信誉都具有上下文相关 性、多面性和动态性等特点。同时，提出用贝叶斯网络对参与者提供文件的能力进行评价，并在此基础上 进一步给出了推荐可靠性的评价、更新方法，以及对多个推荐进行综合的计算方法。 ( 2 ) 基于主观逻辑的信任模型。 j g s a n g 模型中将行为的结果( 成功或失败) 作为经验，根据二项事件后验概率服从b e t a 分布的思想， 提出了基于主观逻辑( s u b j e c t i v el o g i c ) 的信任度评估模型米解决信任的推导和综合计算p 7 1 。 ( 3 ) 基于模糊理论的局部信任模型。 有些学者注意到了信任的不确定性和模糊性，采用模糊理论来描述和度量信任关系渊。比较典型的工 作有文献【2 7 1 中提出的基于模糊集合理论的主观信任评估模型。c a r b o 等人研究了电子商务领域节点间的信 任【3 0 1 ，认为信任涉及到用户对服务的期望，而这种期望往往是不明确的。在开放网络分布式应用环境中， 节点动态不可控的特点则进一步导致了相关信息的不完全性和不确定性。因此c a r b o 等提出采用模糊逻辑 有助于描述和处理带有不确定性、模糊性的信任，并认为采用语言变量表示信任比单纯采用数值更有利于 用户的理解和使用。c a r b o 模型用语言变量描述信任，用梯形函数表示语言变量所代表的模糊集合，梯形 函数的形状则表示信任的可靠性，而“v e r y ”等修饰词则被用于控制梯形函数的梯度和宽度。当基于信任 的预测正确时，描述信任的梯形函数变窄，表示在新的事务经验支持下，信任的模糊性和不确定性下降。 ( 4 ) 其它局部信任模型。 除上述局部信任模型外，其它研究者还提出了基于轮询投票的信任模型f 1 9 1 1 2 9 1 。其中，d a m i a n i 等人基 于p 2 p 文件共享协议g n u t e l l a 提出了d a m i a n i 模型，该模型以g n u t e l l a 协议的资源搜索和响应消息q u e r y 和q u e r y h i t 为基础，提出了轮询协议x r e p ，参与者在下载资源之前先请求其它节点对某目标节点进行投 票，投票的消息采用公钥技术实现签名和加密，在对投票结果进行聚集分析和c h a l l e n g e r e s p o n s e 检查，排 除可疑投票之后，根据其结果确定是否访问该目标节点。在实际与目标节点进行事务之后，还要更新目标 1 1 东南大学硕士学位论文 节点及投票者的可信度。 2 基于全局推荐分布式信任模型 为获取全局节点可信度，该类模型通过相邻节点间交易历史的交互，经过数次迭代，从而获取全网络 节点的信任度。 s t a n f o r d 的e i g e n t r u s t 是目前一种典型的全局信任模型【3 0 l ，该信任模型在信任问题研究领域具有重要 的指导意义，成为大部分研究工作的参考标准。其核心思想是当节点i 需要了解节点k 的全局信任度时， 首先从k 的事务节点( 与k 发生过交易的节点) 处获知k 的信任度信息，然后根据这些事务节点自身的局 部可信度综合出k 的全局信任度。p r t m s t 1 基于概率模型假设，根据用户的历史信息推测未来的用户行 为模式，并用信任测度来度量。 z a c h a r i a 等提出了另一全局信任模型s p o r a s l 3 2 1 ，其特点是在计算参与者i 的信任黜的同时，还计算 了全局信任融的可靠性。 在开放网络中，信任信息的可信存储与传播是信任与信任系统的重要基础。为解决分布式环境中信任 信息的存放与访问问题，a b c r e r 等人提出将信任相关的事务历史信息保存在由所有参与者构成的p g r i d 网 络( 虚拟的二维查找树) 中【2 2 1 【3 3 1 ，并在不同节点上保存多个备份，通过查询p - g r i d 中的节点，即可获得 参与者的信任度。 s i n g h 等人则基于公钥技术提出了信任管理系统t r u s t m e 3 4 1 ，在该系统中参与者的信任信息保存在其它 参与者处( 由分布式散列表d h t 确定) ，可以保证存放信任信息的参与者的匿名性。但t r u s t m e 为实现匿 名性大量采用了广播技术，这可能会影响p 2 p 应用的正常运转以及t r u s t m e 自身的可伸缩性。 2 2 4 信任模型的目标 p 2 p 环境下的信任模型必须符合节点对等的原则，系统的功能不能依赖于特定的中心节点。一般来说， 模型需要满足如下的具体要求【3 5 1 ： 1 节点自治。系统中的节点必须是自主的平等的，不需要中心节点来监督控制。 2 节点的身份匿名性。在p 2 p 网络中，由于节点在网络中的身份标识自主管理，不受任何中心限制， 信任信息都维系在身份上，因此节点的身份应该是可认证的、不可冒充或篡改的。d o u c e u r 3 6 1 认为在无中 心节点参与下建立节点标识是可行的。如p r i d e l 3 7 1 中每个节点都可以自己生成的公钥私钥对，并将公钥 作为其身份标识。这里的身份标识不同于节点主机用户的真实身份，身份标识只是假名，通常并不破坏 匿名的要求。 3 新加入节点获益小。良好的信任度应由长期的持续的和其它节点的交互过程中获得，系统不应该给 1 2 第二章基于p 2 p 的信任管理概述 新节点过高的信任度。由于节点自主管理其身份，这可能导致恶意节点在信任下降后不断地改变身