（计算机软件与理论专业论文）基于dht改进的p2p信任模型的研究与设计.pdf

南京邮电大学硕士研究生学位论文 摘要 摘要 p 2 p 作为当前i n t e r n e t 最具潜力的技术之一，充分利用了网络边缘节点的资源，实现了用户 间信息的直接互换，从而在协同计算、分布式存储和文件信息共享等领域得到了广泛应用。 但其开放、匿名和高度动态等固有的特性，使得安全性和可靠性都面临着很大的挑战，从而 导致了网络的可用性不高，制约了p 2 p 技术的进一步发展。 p 2 p 网络的安全问题可通过在系统中建立可靠的信任模型来解决，参考入际网络中的信任 机制来建立信任关系，以此来保障节点间的安全交互。但是，随着系统规模不断扩大，信任 信息的频繁交换以及不断的维护更新导致存储和通信开销的加大；另外，节点不受制约地随 意加入和离开网络，令信任数据的可用性得不到保证，进而导致了安全闳题依然得不到解决。 因此，急切需要适合于p 2 p 系统的信任模型来解决以上的问题，以提高整个网络系统的性能以 及促进p 2 p 的应用与发展。 本文的工作主要分为以下两部分： 1 结合国内外现有的对信任以及信任模型的研究，通过分析p 2 p 网络中现有的一些信任 模型的优缺点，总结出适用于p 2 p 网络的信任模型的设计原则。 2 针对现有的信任模型中信任信息的可用性不能褥到有效保证，以及系统为管理节点问 的信任关系产生过大的额外开销等问题，提出了一种基于分布式存储机f f j l j ( d h t ) 改进的p 2 p 网 络信任模型。模型基于实体的行为经验构建实体间的相对信任关系，通过改进c h o r d 协议并将 其应用于全局信誉值的管理，使得网络中各节点在维护管理全局信任关系的工作中合理地分 担计算负载和存储负载，达到了降低系统的开销以及提高系统整体性能的目的。 关键词：对等网络；信任关系；可用性；d h t a b s t r a c t a so n eo ft h em o s tp o t e n t i a li n t e r n e tt e c h n i q u e s ，p 2 pm a k e sf u l lu s eo fs o u r c e sd i s t r i b u t e d a m o n g n o d e so nt h ee d g eo fn e t w o r ki nd i r e c te x c h a n g i n g i nt h i sw a y ，m o r ei m p o r t a n ti n f o r m a t i o n c a nb es h a r e da m o n gp e e r sf e a s i b l y s oi tc o u l db ew i d e l ya p p l i e di nm o r ep r a c t i c a lc a s e s ，s u c ha s c o o r d i n a t e dc o m p u t a t i o na n dd i s t r i b u t e ds t o r a g e b u ti t a l s op o s t sm o r ed e m a n d sf o rn e t w o r k s e c u r i t ya n dr e l i a b i l i t y , a n df i n a l l y l e a dt ot h ed e s c e n d i n go fn e t w o r ka v a i l a b i l i t yw i t hc h a r a c t e r i s t i c s o fo p e n n e s s ，a n o n y m i t ya n dd y n a m i c ，w h i c ha r er e s t r i c t i o n so f t h ed e v e l o p m e n to fp 2 pt e c h n o l o g y t r u s tm o d e li su s e dt oq u a n t i f ya n dt oe v a l u a t et h et r u s t w o r t h i n e s so fp e e r sa st or e d u c et h e r i s k sa n dt or e s o l v et h es e c u r i t yp r o b l e m so fp 2 pn e t w o r k h o w e v e r , t h ec o s ti nm a i n t a i n i n gt r u s t i n f o r m a t i o ni nah i g h l yd y n a m i ce n v i r o n m e n ti si n c r e a s e dw i t ht h ee x p a n s i o no fn e t w o r ks c a l e ，a n d t h ei r r e g u l a rf e a t u r e so fn o d e se n t r a n c e sa n dl e a v e sc a u s em a n yd i f f i c u l t i e s i nm a n a g i n ga l l a v a i l a b l et r u s ti n f o r m a t i o na st op r o v i d ee f f i c i e n ta c c e s st o t h e s ef a c t ss i g n i f i c a n t l yr a i s et h el e v e l o fc o m p l e x i t yi n v o l v e di nm a n a g i n gt r u s tr e l a t i o n s h i p s oas o l u t i o nt ob u i l dt r u s tm o d e ls u i t a b l e f o rp 2 ps y s t e m si su r g e n t l yi nn e e d t h ed i s s e r t a t i o nf o c u s e so nt h e s et w om a i np r o b l e m s ，a n dm a k e sa n u m b e ro fc o n t r i b u t i o n s ： 1 ac o m p r e h e n s i v es u r v e yo ft r u s tm o d e l si np 2 pe n v i r o n m e n t si sm a d e n e w l y - p r o p o s e d m o d e i sa r ea n a l y z e d ，c l a s s i f i e da n dc o m p a r e d an u m b e ro fr e a s o n a b l ed e s i g np r i n c i p l e st oa d d r e s s h o wt oe s t a b l i s ht r u s tm o d e li np 2 pn e t w o r ka r ep r o p o s e d 2 ag l o b a lt r u s tm o d e li sp r e s e n t e d ，w h i c hi n c l u d e sam a t h e m a t i c a ld e s c r i p t i o na n da d i s t r i b u t e di m p l e m e n t a t i o n t h i st h e s i se x p l a i n sh o wt h et r u s tr e l a t i o n s h i pi se s t a b l i s h e db a s e do n e v a l u a t i o n sa m o n gp e e r s ，a n di n t r o d u c e sa ni m p r o v e dd h tm e t h o dt o c o n s t r u c tt r u s ts t o r a g e s t r u c t u r e i tc a ne n s u r et h ea v a i l a b i l i t yo ft r u s ti n f o r m a t i o na n dr e s o l v et h ep r o b l e mo fh i g h m a i n t e n a n c ec o s t sc a u s e db yt h ej o i na n de x i to fn o d e sf r e q u e n t l y ，t h u se n h a n c et h ep e r f o r m a n c eo f t h ep 2 ps y s t e m k e yw o r d s ：p 2 pn e t w o r k ；t r u s tr e l a t i o n s h i p ；a v a i l a b i l i t y ；d h t i i 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及所取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得南京邮电大学或其它教育机构的学位或证书而使用 过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说明并 表示了谢意。 研究生签名：遣兰塞：日期：日：衅! 殳了 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术研究所、国家图书馆有权保留本人所送交学位论文的复 印件和电子文档，可以采用影印、缩印或其它复制手段保存论文。本人电子文档的内容和 纸制论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权南京邮电大学研究生 部办理。 研究生签名：三睦导师签名：二瑾! 里a 二一日期：辫 南京邮电大学硕士研究生学位论文第一章绪论 第一章绪论 1 1 课题的研究背景与意义 1 1 1 课题背景 随着网络规模的发展，网络中的计算资源和信息资源日趋丰富，传统的网络计算模型( 例 如c l i e n t s e r v e r 模式) 在处理海量资源时，瓶颈问题越来越明显。为了能合理有效地利用这些资 源，p 2 p 网络计算模型作为一种分布式计算模型应运而生。在网络边缘设备的计算能力和资源 价值不断提升的条件下，p 2 p 技术的价值正体现得越来越明显，已被列为影响i n t e m e t 未来的四 项科技之一【1 1 。 p 2 p 技术一个显著特点是改变了互联网以门户网站为中心的这种大型的网状结构，重新给 予了“非中心化”结构中网络用户应有的权力，所有网络节点上的设备都可直接建立对话。从 i n t e m e t 发展历史来看，其网络初期本身就是分布的、自治的、对等的。而不对等模式随着w e b 应用的出现兴行一时，c s 模式成为主流。尽管近年来网络带宽成倍增长，但热门站点仍然不 堪重负，主要因为空闲的链路带宽被白白浪费，网络边缘设备大部分有价值的计算能力被闲 置。因此利用同样快速发展的网络技术将闲置的资源整合在一起，从而实现高性能的分布式 计算和资源的高效利用，已经被广泛地认同。p 2 p 技术充分利用i n t e m e t 环境中各种可能的计算 设备进行大规模的协作计算和资源共享，目的正是为了有效地均衡负载，充分地利用带宽。 但目前p 2 p 系统并没能真正充分挖掘出i n t e m e t 所蕴涵的巨大计算能力和海量的信息资源， 得到最广泛应用的还是低安全性的文件共享系统，主要原因之一是p 2 p 的安全问题还没有得到 很好的解决。p 2 p 网络由于缺乏集中控制管理机制，出现了欺诈行为大量存在以及服务质量不 可靠等弊端。以众多的文件共享应用为例，p 2 p 技术为资源的共享和交换提供了极大的方便， 但资源的真实性无法得到保证，2 5 的文件是伪造文件；系统允许仟意节点自由加入，一些 恶意节点可能对系统造成危害，如不负责任的用户随意中止服务等行为使得服务质量无法得 以较好的保证【l8 1 。应用环境的复杂性及网络的不可控性、用户的自主性与匿名性等，使得实 南京邮电大学硕十研究生学位论文 第一章绪论 体之间的相对信任关系总是难以度量，必须采取有效的安全机制来防范并减少恶意节点对系 统的破坏。传统的安全技术( 如基于身份的访问授权机制) 通过规定严格的客观信任关系来控制 实体之间的行为，在自主开放、高度动态的p 2 p 环境下已趋于无效。因此，迫切需要一种适合 于p 2 p 网络以及其应用环境的信任机制来解决系统的安全问题，以提高系统的可用性。p 2 p 信 任模型( 也称为信任度评估模型) 作为信任机制中的高层构件，成为了p 2 p 网络信仟安全方面的 研究热点。 1 1 2 课题意义 p 2 p 引导网络计算模式从集中式向分布式偏移，使得网络应用的核心从中央服务器向网络 边缘的终端设备扩散，使人们真正参与到网络共享中，大大提高了i n t e m e t 上的个人为网络的 资源和功能扩展的贡献。目前，对p 2 p 的研究已经涉及网络拓扑构造、安全与可靠性、分布 式数据存储、大规模并行计算等多个方面。p 2 p 技术更在文件共享、电子商务、即时通信、深 度搜索引擎等各个领域得到了实际的应用，文献【1 6 】【3 5 1 【3 6 】【3 7 1 给出了p 2 p 环境下信任管理技术与 路由选择、资源搜索等新领域的一些尝试与初步设计。 尽管p 2 p 应用已经得到了关注，但其安全问题却阻碍了它的进一步发展，只有在解决包 括信任、安全策略等一系列安全问题后，p 2 p 技术才有可能在军事、金融、医疗等一些关键 领域得到应用。如何构建一个安全高效的网络环境成为了p 2 p 系统中的一个基础问题，它直 接决定了分布式系统的可用性。因此，p 2 p 网络环境下信任模型的研究有着较大的学术价值和 应用价值，信任评估技术作为节点协作决策重要的信任支持应得到更多重视。 1 2 信任模型的研究现状 面对信任技术的巨大发展前景，越来越多的人力物力投入到该研究领域中。对于信任与信 任评估的研究，国内外已有不少的学者提出了对信任进行量化的模型。 m a r s h 等人首先针对多代理系统中的信任与合作问题，系统地阐述了信任的形式化问题 【3 1 ，为信任模型在计算机领域的应用奠定了基石。他们将社会学和心理学中有关信任的所有属 性都集成到所提出的信任模型中，设想引入了大量的变量。仙这只是一个理论设计模型，在 现实的p 2 p 对等环境中无法实现。而且，该模型忽视了收集网络中其它节点对某个节点评价， 过于强调自身经验的重要性。 2 南京邮电大学硕士研究生学位论文 第一章绪论 a d u lr a h m a n 等学者从信任的概念出发，提出了一个信任评估的数学模型【l l 】，并给出了一 种虚拟社区中基于信誉的解决方案。 随着越来越多的应用模式的出现，p 2 p 领域的信任机制的研究取得了更多的成果，包括基 于反馈的信任管理方法、基于推荐的信任模型以及基于信誉的全局信任模型等。目前的研究 主要集中全局信任模型上，在全局信任模型中，节点的信誉来自于所有与它交互过的节点。 其中最有代表性的就是s t a n f o r d 大学的学者提出的信任模型e i g e n r e p 【4 】。e i g e n r e p 的基本思想 就是当节点i 想要知道节点k 的信誉时，i 从曾经与k 发生过交互的节厕处得到节点k 的信誉，通 过迭代方法计算节点的全局可信度。 在e i g e n r e p 中，迭代的可收敛性以及网络的性能开销等问题没有考虑，并且由于存放节 点信任信息的节点身份不是匿名的，有可能受到攻击。针对以上问题，s i n g h 等人提出了一个 匿名的信任管理协议t m s t m e 【5 1 ，模型中管理其它节点信任信息的节点是随机分配的，节点在 交互之前，首先通过广播寻找目标节点的管理节点并与其通信得到全局信任度。协议使用公 钥加密机制实现匿名性，但严重地依赖于广播，签名验证和网络流量的开销也较大，而且也 会引起大范围迭代。 针对e i g e n r e p 和t r u s t m e 的运行开销问题，清华学者在文献【6 】中提出了p 2 p t r u s t 模型，其 基本思想是：当节点i 收到资源列表时，先在本地的局部信任表查找相应节点的信任度，若没 有，则向他的朋友( 即局部信任表中的节点) 询问，如果还找不到，再通过哈希函数寻找全局信 誉表。 以上的研究从不同的角度与方式来阐述信任，但仍存在一些需要改善的地方：( 1 ) 信任的 表述和度量不够准确，在计算局部可信度时往往考虑不周全而导致不能准确地反映被描述对 象的可信状态，即过于片面、客观，缺乏合理性和丰观性，表现在很多评估模型都忽略了信 任行为发生的外部环境因素；其次，没有考虑时间对信任度的影响。( 2 ) 缺少灵活的机制来监 视和管理信任关系，比如对恶意诋毁或夸大没有具体的抵制措施。( 3 ) 实用性和可扩展性问题， - 丰要体现在网络通信开销和存储需求两方面。如全局信任管理模型e i g e n r e p ，每次交易都会 导致在全网络范围内的迭代，引起较大的通信开销，如此可能会严重影响到网络性能，因此 它在大规模网络环境中缺乏工程上的可行性。虽然通过推荐的形式也可以传递经验信息，但 每个实体必须维护庞杂的数据来表示对整个网络的全局认识，存储需求和计算负载等问题更 加明显。 南京邮电人学硕士研究生学位论文 第一章绪论 1 3 本课题主要工作 分布式、匿名性和自治是p 2 p 网络的本质属性，p 2 p 环境下的信任模型要解决的核心问题 正是在不损失这些本质属性的前提下，管理分布节点之间的信任关系进而对网络中节点的行 为提供信任决策的依据。 在分析已有的一些分布式p 2 p 网络信任模型的研究基础上，本课题主要针对已有研究存在 的不足之处，提出p 2 p 信任模型在信任的评估计算以及信任信息的分布管理上合理的解决方 案。主要研究内容有： 1 分析了p 2 p 网络中的安全问题以及问题现有的解决办法，并在此基础上总结国内外关于 分布式p 2 p 网络信任模型的各类研究，分析其设计原理以及各个模型的优缺点，并指出其存在 的问题。 2 针对已有信任模型的研究存在的不足之处，提出p 2 p 网络信任模型的设计原则与方法。 3 针对具体如何实现p 2 p 环境下较为合理的信任评估以及如何提高评估的效率、降低代价 等问题，提出一种改进的信任模型p n t m ，通过实体之间的经验信息来形成实体问的相对信任 关系，并通过全局协作结合分布式存储机制实现信誉共享，在提高信任评估的准确度与效率 的同时达到减少网络开销的目标。 1 4 本文的组织结构 本文余下部分首先从p 2 p 安全问题出发，提出信任模型的背景，然后从模型的整体协作出 发阐述总体设计思想，接着具体介绍模型的设计，包括局部信任的计算，信任信息的分布式 存储以及全局信誉值的分布式求解与查找，最后结合仿真实验从整体上评价模型在优化性能 和提高系统的稳健性方面发挥的作用。全文共分为五章，各章节内容安排如下： 第一章绪论首先介绍了论文的选题背景及研究意义；其次总结和分析了当前p 2 p 系统信任 模型的研究进展；然后提出本文的丰要研究内容及研究目标；最后给出本论文的组织结构和 编排。 第二章介绍了p 2 p 网络以及安全方面存在的一些问题以及可用来解决这些问题的理论和方 法。包括p 2 p 网络的特点与拓扑结构的介绍，p 2 p 网络与牛俱来的一些特性所带来的问题以及 网络中存在的各种恶意行为的分析，最后是信任机制在解决以上些问题上发挥的作用简单 4 南京邮电大学硕十研究生学位论文 第一。章绪论 的介绍。 第三章对p 2 p 网络信任模型进行了概述，包括信任模型的基本概念与不同的评估方法，然 后结合一些具体例了对p 2 p 网络中几类信任模型的优缺点进行概括，最后总结出了适合p 2 p 网 络的信任模型的设计原则。 第四章提出了一种基- 于d h t 改进的p 2 p 网络信任模型p n t m ( p o w e r n o d e t r u s t m o d e l ) ，在标 准c h o r d 的基础上提出加入了准入规贝j j ( s u p e r v i s o r yr u l e ) 的r e p _ c h o r d 协议，通过排序算法，让 全局信誉度高的节点( p o w e r n o d e ) 作为信誉档案节点。这样有效地控制低性能节点的加入，一 方面可以减少普通节点的频繁加入与退出产生的网络波动，另一方面在全局信誉的更新与维 护部分也能得到相应的性能保障和安全保障，从而提高系统的稳定度。最后通过对此信任模 型进行了实验和仿真分析。 第五章总结及展望。对全文进行总结，并对p 2 p 环境下的信任模型研究进行了展望，指出 下一步的工作方向。 南京邮电大学硕+ 研究生学位论文 第二章p 2 p 网络以及安全问题 第二章p 2 p 网络以及安全问题 2 1p 2 p 网络的特点与结构 计算机系统可分为集中式和分布式两类，分布式系统可进一步划分为c s 和p 2 p 模式。p 2 p 起源于最初的联网通信方式，它实质上是互联网整体架构的基础。互联网最基本的协议t c p i p 并没有客户机和服务器的概念，所有的设备在网络通讯中都是平等的。当然，后来发展的那 些架构在t c p i p 之上的软件，的确也有采用c s 结构，如：浏览器和w e b 服务器，邮件客户端 和邮件服务器等。但是，对于服务器而言，它们之间仍然是对等联网的。以e m a i l 为例，互联 网上并没有一个巨大的、唯一的邮件服务器来处理所有的e m a i l ，而是对等联网的邮件服务器 相互协作把e m a i l 传送到相应的服务器上去。所以可以说，p 2 p 不是新技术，而是基于瓦联网环 境的一种新的应用模式。p 2 p 这种网络设计模型不同于c s 模型，其特点主要体现在以下几个 方面： 非中心化：p 2 p 系统是彻底的分布式系统，在系统层面上可以没有任何集中式机制。网络 中的资源和服务分散在所有结点上，信息的传输和服务的实现都直接在结点之间进行，无需 中间环节和服务器的介入。节点利用资源定位机制发现其它节点的可利用资源，然后进行彼 此之间的资源共享。 节点的自治性：系统中的任意一个节点主要关注本地的事务；以文件共享系统为例，节点 可以独立自丰地决定本地文件的共享范围以及共享权限等。此外，节点完全可以“利润最大 化”原则来决定自己的参与系统的策略，以最少的代价获得最大的利润。节点以自组织原则 来决定自己的邻居节点，组成整个网络。 动态性：p 2 p 网络允许结点a 由地加入和离开。系统中的任意一个节点可以随时离开网络。 由于节点的自治性，在p 2 p 系统中考虑的动态性不同于传统的分布式系统。对于动态性的考虑 主要围绕如何将影响最小化，例如，当节点离开系统时如何利用当前所有可用的资源提供继 续提供最好的服务。p 2 p 网络还能够根据网络带宽、结点数、负载等变化不断地做自适应式的 调整。 6 自京邮m 太学顸研究生学位论女第= 章p 2 p 网络咀厦安全题 异构性：节点在处理能力、网络带宽、硬盘容量和在线时间等方面部存在较大的差异。节 点的异构性方面增强了p 2 p 系统的灵活性同时也带来了负面的影响。 可护展性：在p 2 p 网络中，随着用户的加入，系统整体的资源和服务能力都在扩充始终 能较容易地满足同样不断增加的用户需要。理论上其i j 扩展性几乎可以认为是无限的。 健壮性：p 2 p 架构天生具有耐攻击、高容错的优点。由于服务是分散在各个结点之间进行 的，部分结点或网络遭到破坏对其它部分的影响撮小。p 2 p 网络般在部分结点失教时能够自 动调整整体拓扑，保持其它结点的连通性。 高性材价格比：性能优势是p 2 p 被广泛关注的一个重要原因。随着硬件技术的发展，个 人计算机的计算和存储能力咀及网络带宽等性能高速增长。采用p 2 p 架构可以有效地利用互 联网中散布的大量普通结点，将计算任务或存储资料分布到所有结点上。利用其中闲置的计 算能力或存储宅问，达到高性能计算和海量存储的目的。通过利用网络中的大量空闲资源， 可以用更低的成本提供更高的计算和存储能力。 拓扑结构是指分布式系统中各个计算单元之问的物理或逻辑的互联关系，结点之间的拓 扑结构一直是确定系统类型的重要依据。根据搜索机制和逻辑拓扑的不同可以把当前的p 2 p 体系结构分为集中式，分布式无结构和分布式结构化。 1 集中式的p 2 p 系统 该类系统使用中心服务器来维护所有节点的地址和所保存共享文件的索引目录。当一个 节点需要某种资源时，首先通过查找中心服务器来获取所请求资源的位置，服务返回所存资 源节点的地址，请求节点即直接同该位置的节点进行交耳，获得所需要的资源，而不再依赖 服务器。第一代p 2 p 网络均采用此类型的结构模式，经典案例是m p 3 共享软f s n a p s t e r r s 】。 南京邮m 太# 研r 生学位论文第章f 2 p 日络以及安全h 艇 f i g 21w o r kp r i n c i p l eo f n a p s t e r 图2 l n a p s t e r 的工作原理图 此类结构最大的优点是维护简单，由于资源的发现必须依赖中心化的目录系统，发现算 浊灵活高教并能够实现复杂查询。但是此类p 2 p 系统并不足严格意义上对等网络，并未能解决 扩展性的问题，系统的扩展都依赖于中心节点的性能，存在着单点失败的危险。 2 分布式非结构化p 2 p 系统 此类结构的p 2 p 系统并不存在任何中心节点，在重叠网络采用了随机图的组织方式，无单 点失败的风险但查询消息是以从邻居节点向整个列络广播，需要遍历整个网络导致其搜 索效率相对较低，广播查询消息也导致了较高的网络负载。 具有代表性的全分布非结构化网络就是p 2 p 文件共享系统g n u t e l l a 嗍【3 s 1 ，它是纯粹的p 2 p 系统，没有索引服务器，它采用了基于完全随机图的洪泛( f l o o d i n g ) 发现和随机转发( r a n d o m w a l k e r ) 机制。其工作原理如图2 2 所示： f i g2 2 w o r k p r i n c i p l e o f g n u t e l l a 图2 2 g n u t e l l a 的i ，作原理圈 发现的准确性和可扩展性是非结构化网络面临的两个重要问题，h 前对此类结构的研究 丰要集中于改进发现算法和复制策略以提高发现的准确率和性能。 3 分布式结构化p 2 p 系统 3 i!i 、一1文， 毒一导蠡 摹訾袅 南京邮电人学硕士研究生学位论文第二章p 2 p 网络以及安令问题 该类系统中，使用了分布式哈希表( d i s t r i b u t e dh a s ht a b l e ，d h t ) 2 9 】来维护节点的逻辑拓 扑结构。由于采用了确定性拓扑结构，只要目的结点存在于网络中就总能发现它，发现的准 确性得到了保证。d h t 实际上是一个由广域范围大量结点共同维护的巨大散列表。散列表被 分割成不连续的块，每个结点被分配给一个属于自己的散列块，并成为这个散列块的管理者。 d h t 的结点既是动态的结点，数量也是巨大的，因此非中心化和原子自组织成为两个设计的 重要目标。d h t 类结构能够自适应结点的动态加入退出，有着良好的可扩展性、鲁棒性、结 点i d 分配的均匀性和自组织能力。最大的问题是维护机制较为复杂，尤其是结点频繁加入退 出造成的网络波动会极大增加d h t 的维护代价。 这类系统查询文件的速度比前面的几种快，但由于它缺乏对对等网络动态性的支持，其 对结构性要求又过于严格，所以难以大规模使用。 目前互联网络中广泛使用集中式、层次式等拓扑结构。集中式拓扑结构系统目前面临着 过量存储负载等一些难以解决的问题。因此大型p 2 p 系统一般要构造一个非集中式的拓扑结 构，在构造过程中需要解决系统中所包含的大量结点如何命名、组织以及确定结点的加入离 开方式、出错恢复等问题。 2 2p 2 p 网络安全问题概述 p 2 p 网络应用模式的兴起得益于i n t e m e t 的广泛普及、网络带宽的大幅增加以及端设备计算 能力的迅速增强。上述因素促使原先在其它网络计算模式中通常被忽视且广泛存在的端用户 设备成为一种宝贵的计算资源。但随着p 2 p 网络的大规模应用，其本身高度动态、极端异构等 特性所带来的问题也日益明显。节点可以动态地加入和退出，使得网络中存在很大的随机性 和不确定性；系统缺乏必要的安全保障及控制机制，存在着大量的恶意节点，如搭便车、虚 假文件、共谋等问题没有得到很好的解决；另外，p 2 p 网络的负载平衡也是应考虑的问题。因 此，在p 2 p 网络中系统安全面临着巨大的挑战。 目前的系统安全性低、健壮性差，难以得到持续的良性的发展，也难以支持复杂的任务 稳定、高效、便捷的协作完成。丰要是由于早期的p 2 p 网络应用基本没有考虑安全因素；后来 发展的一些p 2 p 网络应用系统，虽然有自己的安全机制，但安全功能有限。依靠传统的安全方 法和相关技术已经不足以保护p 2 p 网络及其应用系统的安全。p 2 p 系统中节点之间是的关系比 较接近于现实的错综复杂的人类社会关系。在安全管理方面具有许多与传统的封闭式系统不 9 南京邮电人学硕士研究生学位论文第二章p 2 p 网络以及安令问题 同的新特点： 1 安全信息的分布性。p 2 p 对等网络不存在中心服务器，实体之间是平等的关系，安全信息 分布存放； 2 节点高度自治。p 2 p 网络中各节点各自制定安全策略； 3 节点间信任关系的动态性。加入网络之前，实体之间并不存在确定的信任关系。实体问的 信任关系随着实体的行为表现而动态改变； 4 安全协作的双向性。p 2 p 网络中实体之间一次协作由作为客户端和服务器的两个实体共同 合作完成，是客户端和服务器根据自身安全策略双向选择的结果； 5 拓扑结构的新特点。p 2 p 系统本身不同的拓扑结构以及搜索模式为访问控制的实现提供了 新的思路。 p 2 p 的安全问题分为三类：数据安全，包括数据的完整性，数据的有效性以及数据内容的 安全性等；p 2 p 网络中对等节点的安全，包括节点本身的信息、运行环境的安全以及节点间的 相互认证或安全传输隧道等；网络信息内容和版权监督管理等。其中针对信息的隐私查看和 内容不恰当修改，需要通过访问控制来限定用户或用户的程序能做什么，这关系到用户信息 机密性和数据完整，因此这一需求尤其重要。早期的做法主要采用自主型的访问控制d a c 和 强制型的访问控n m a c 。采用将访问权限直接授予每个应用程序的这一方法，存在的丰要问 题是使得管理涉及到许多用户和应用程序，不利于实现统一的全局访问控制以及授权管理等， 存在操作困难，效率不高的明显问题。 1 9 9 2 年r b a c ( r o l e b a s e d a c c e s sc o n t r 0 1 ) 模型【9 】应运而生，rr b a c 模型的突出贡献是引入 了“角色 的概念，将访问权限分配给角色，实现了用户与权限的逻辑分离，减少了授权管 理的复杂性并降低了管理开销，为p 2 p 系统提供了一个比较好的实现安全政策的环境，从而有 效地克服了传统的访问控制技术存在的不足之处。为了不断完善基于r b a c 思想的访问控制技 术，先后出现了多种r b a c 模型。但是由于r b a c 模型还是从系统的角度出发保护资源，是基 于被动的安全模型，对于操作的上下文发生变化、执行操作的用户发生改变等动态特性不能 做出相应变化。为了解决这些问题，新的访问控制模型如基于任务的访问控制t b a c 模型、基 于任务和角色的访问控制t - r b a c 模型等被相继提出。但是，所有这些访问控制模型从根本上 说都是基于属性的，即授权或分配资源的决定是基于用户( 丰体) 、客体( 资源或服务) 及被请求 的权限的属性，这导致了在将这类访问控制策略应用于以“动态性”、“分布性”、“异构性” 等为显著特征的p 2 p 计算环境下必然导致一定的缺陷，必须针对p 2 p 网络的特点制定相应的访 l o 南京邮电大学硕十研究生学位论文第二章p 2 p 网络以及安全问题 问控制模型。 目前p 2 p 的安全问题已经得到了重视，而信任机制作为解决安全问题的一种重要技术手段 更受到了广泛的关注。 2 3 信任机制及其在p 2 p 网络中的作用 p 2 p 网络中信任机制的引入是为了有效地解决p 2 p 网络中的安全问题，具体就是如何发现 可信的节点以及寻找可信的信息和及时发现和有效预防恶意攻击，以保证网络的正常运行。 信任机制作为p 2 p 网络安全机制的一部分，在整个系统中的作用非常重要，主要由以下构件组 成： 1 认证机制 认证就是决定某些实体实际上是否就是它们自称的人或东西的过程。在实际中认证有两种 形式。第一种形式涉及在一个网络( 如因特网) 中对等点向其它对等点认证它们自己，表明白己 的身份。第二种形式涉及一个p 2 p 应用的用户向该应用认证它们自己。 2 授权机制 授权就是授予一个认证过的实体实施某些行为或访问某些资源的许可的过程。在不同的 p 2 p 系统中，授权也分为不同的形式，有通过专门的机构进行的集中式授权，颁发统一的证书 来确定用户的权限；也有简单的用户之间临时授权。一般来说，对安全措施要求越严格的系 统，对授权要求越严格，对授权等级的划分越细致。认证和授权都是为了在用户之间建立安 全的通信。 3 加密技术 加密是为了保证信息内容的安全性。如果您信任一个用户对象，您可能很理所当然地就信 任了它提供的内容。在某些情况下，这种假设是合理的。如果被访问的内容包含了一些信息， 而这些信息确实是可信任对象所提供的，那么就足以信任从该对象取得的内容。但是，如果 可信任对象不是内容的来源，而是作为内容的一个缓存或中转站，比较明智的做法就是验证 内容。许多方法可以验证内容，包括简单的校验、加密、数字签名技术。 4 信任模型 信任模型通过对信任度的传递和搜集，增加了用户对网络的认知程度，有效地提高用户 对可信任资源使用的效率。信任模型是信任机制中很重要的部分，它可以使用信任机制的其 南京邮电人学硕士研究生学位论文 第二章p 2 p 网络以及安全问题 它构件来反映机制在应用环境中的作用，并且根据不同的应用环境，采取相应的措施。现在 大多数的信任模型，对系统中信任的级别限定在可信任的用户以及内容上，强调通过用户的 行为以及所提供的内容来划分信任程度。一种比较可行的办法是根据通过记录实体的历史行 为来进行评估，即基于行为经验构建信任评估模型，并根据评估结果来限制恶意节点的行为， 或以此作为依据指导用户如何作出信任选择等，从而能够使整个对等网络总体更加的公平， 稳定。信任模型认为，信任是主体对客体特定行为的主观可能性预期，它取决于经验并随着 客体行为的结果不断被修正。 社会网络中，信任关系是入际关系的核心，交易行为是以一定的信誉依赖为前提的。同 样，在计算机网络环境中，节点之间的信任关系是进行安全交易的前提。信任是促使节点合 作、激励节点进行资源共享等积极网络活动的有力保障，直接影响着p 2 p 系统的整体性能以及 提高网络的可用性。信任机制在p 2 p 网络中的具体作用主要表现在以下几个方面： 1 由于网络的一个重要目的就是提供匿名性，使得用户在选择交易对象时对于整个网络的 状态无法了解。信任机制通过预测网络的状态来提供网络的可靠性。 2 p 2 p 网络中由于用户参与程度更高，所以各种不可预测的行为和恶意行为更加难以避免， 网络中存在多种危险，如恶意攻击、欺诈及冒名等。信任机制可以对这些行为进行隔离和惩 罚，减少它们对系统以及其它用户的危害。 3 由于p 2 p 网络的特点以及应用的限制，网络中缺少绝对可信的管理者和强制性的措施。系 统为了吸引更多用户的参与，只提供较弱的安全措施和自愿的原则。通过信任机制，用户可 以参与到其认同的行为群体之中，更加安全、有效地利用网络资源。 由于信任机制在解决p 2 p 网络安全问题方面发挥出了巨大的优势和作用，因此成为了研究 的热点。随着研究的深入，有关信任机制各种理论、技术在快速发展中越来越成熟，在整个 安全系统中发挥的作用也越来越大，但到目前为止信任机制也存在一些有待解决的问题： l 。信任过于依赖于成员的品质、能力及诚实度。 信任机制要求各个成员不仅仅能够得到其它成员的服务，而且要自愿的为其它成员提供相 应的服务。对成员主动性的依赖是p 2 p 网络中信任机制的一大特点，在某种意义上也可以说是 与生俱来的弊端。 2 信任是比较主观、容易变化和难以预测的。 信任很难用统一的标准来量化，每一个成员都可以有自己的尺度来评价其它节点。由于 p 2 p 网络的动态性，成员的信任度往往也是动态变化的。 南京邮电大学硕十研究生学位论文第二章p 2 p 网络以及安全问题 3 缺乏提供信任的依据。 对于信任的评价，一般是通过成员的历史行为来判断，但是由于系统中对于成员的弱约束， 不能保证成员行为的一致性。另外一方面，在网络中对成员行为的收集能力也非常有限，成 员可以匿名的发布、或者否认其不良行为。 以上这些问题限制了信任机制的进一步发展，为使信任机制在安全领域发挥出更加巨大 的作用，应该从信任机制的各个组成构件着手，完善其在解决安全问题上的功能。因此，无 论在用户对p 2 p 网络的有效使用上，还是在有利于网络的良性发展上，建立一种合适的分布 式信任机制是十分必要的。 2 4 本章小结 本章首先介绍- t p 2 p 技术的一些基本特性，包括p 2 p 网络技术特点与优势，网络拓扑结构 的分类与各类结构的特点等，并在此基础上分析- j p 2 p 网络特性所带来的一些无可避免的安全 问题以及网络中存在的各种恶意行为；最后从对安全机制方面的基本知识入手，介绍了信任 机制在解决以上安全问题上发挥的作用。 南京邮电人学硕士研究生学位论文第三章p 2 p 信任模型 3 1 信任模型概述 第三章p 2 p 信任模型 信任模型是信任机制中比较高层的构件，它的作用是规范成员的行为，保证成员的可信 性和资源的可信性。在网络环境尤其分布式网络环境( 如p 2 p 网络) ，实体之间传递任何关键数 据之前需要先确定双方之间的可信度。 信任有两层含义，包括对实体身份的信任和对实体行为的信任。 对实体身份的信任一般采用传统的安全机制来保障，主要通过密码技术、访问控制机制 等来完成授权和认证。这种机制只能解决信任关系中的身份信任问题，不能保证交互行为符 合主体的丰观期望。目前使用较多的p k i 体系也有不少的信任模型，如文献【2 】中，而这些模 型一般是采用证书实现“个体一公钥”属性的绑定，以确定对方身份，建立信任关系。这样只 是能保证证书的真实性，并不能传播真正的信任关系，因为证书持有者的具体行为是否按预 期进行是不能控制的。而且，在此类的机制中，端实体之间通过认证即被完全信任，否则就 完全不被信任。例如p g p 网状信任模型【1 1 1 【1 2 】，它假定一方可以完全信任某一实体，实体虽然 可以验证来自别的实体的证书，同时也信任第三方证书的有效性，但模型中最多只有一个推 荐信任，这样不利于信任关系的传递；而且由于这种模型里面信任只分为离散的几个等级， 衡量信任度的粒度不够细，因此也很难准确地反映出推荐者对所推荐的公钥的信任程度。因 此这种传统的信任机制在很多安全要求较高的服务中已不适用，并且，此类安全技术都只能 保证一次交易的有效性，无法事先预测交易的风险和服务质量。 另外一种是对实体行为的信任。以前的一些研究都认为信任只是类似于人类的一个基本 行为事件，但事实上，信任是一种一对一的主观行为，带有很大的不确定性【l3 1 。为了用计算 机进行模拟分布式的网络环境中实体之间的信任关系，必须认为信任是可度量，且带有一定 的传递性和结合性。实体的行为可以实时反映其可信度，一段时期的行为数据从实质上就反 映了该实体的信任度。这种信任机制充分借鉴人类社会学的行为规律，可以方便地构造数学 模型对信任关系进行度量和评估。在分布式网络环境中，巨大以及多样的信息使得很难对信 南京邮电大学硕士研究生学位论文第三章p 2 p 信任模型 息的质量和内容进行集中控制【1 4 】，所以信任管理机制也是不能缺少的。 本研究丰要就是介绍这种区别于传统安全机制的信任模型一基于行为的信任模型，它在 分布式环境中有着重要作用，尤其是在无法通过证书认证确定实体身份是否可信任的情况下， 基于行为的信任机制就显得更为关键。它利用信任评估来构造节点之间一对一的信任关系， 并且一般会采用一些辅助的存储定位机制管理分布式复杂的信任关系。因此本研究描述的信 任模型的作用可以概括为：通过建立量化的评价体系，以信任值度量节点的可信度，并组织 实施实体间信任关系的管理与更新工作。 3 2 信任模型的基本概念和方法 3 2 1 基本概念 人类社会网络中对个体的信任一般取决于直接接触的经验和间接推荐或者公共声誉。信任 也不是简单的“黑或白”，有不同程度的划分。把现实生活中的信任模型映射至u p 2 p 环境中，可 以得出信任、信誉、信任度以及信任评估等概念。 1 信任与信任度 目前对信任没有统一的定义，一般认为，信任是一种主观信念，可理解为一个实体评价其 它实体行为的主观可能性程度。这里先引用一下文献【b 1 关于信任的描述：“信任是指节点依据 历史交往记录形成的对另一节点未来行为的能力、诚实、可靠方面的丰观期望”。也就是说如 果一个实体假设另一个实体会严格地像它所期望地那样行动，那么就能称它信任那个实体。 在给出本文对信任的定义之前，首先明确信任应具有如下特性： ( 1 ) 动态性。信任关系不是绝对的，而是动态的。主体对客体特定行为的主观可能性预期， 取决于经