（计算机软件与理论专业论文）基于身份认证和信任机制的p2p安全模型的研究.pdf

南京邮电大学硕士研究生学位论文中文摘要 中文摘要 p 2 p 网络是近年来业界研究与关注的一个焦点，它在很多领域得到了应用，未来发展 空间很大。但是p 2 p 网络发展过程中，产生了一系列急需研究和解决的问题，安全就是 其中最重要的问题之一。目前p 2 p 安全的研究主要集中在信任管理方面，已经取得了一 些成就，但是也存在诸如无法避免错误推荐等等问题。另外，信任系统只能帮助用户选择 出比较可信的节点，而没有提供一种机制使用户能够确认自己的交易对象就是选中的那个 节点。因此，除了信任系统外，对等网中的安全管理还需要有合适的身份确认机制。 鉴于此，本文以混合p 2 p 网络环境为基础提出了一个基于身份认证和信任机制的p 2 p 安全模型。安全模型包括身份认证和信任管理两个模块。身份认证模块采用一种新的零知 识交互式身份鉴别的方案对节点进行身份认证，该方案利用了r s a 方法，并且在认证过 程中不需要认证中心的参与。信任管理模块负责节点信任度的评估、更新，信任度的评估 方法不仅考虑了节点自身的交易历史，同时也考虑了其它节点的推荐，并且每次交易后， 都要根据本次交易的情况，及时修改节点之间的个人交互度和推荐节点的推荐可信度，使 信任度能正确地反映节点的信誉，能够有效的预防冒名、诋毁等现象。 关键词：零知识，身份认证，信任管理，贝叶斯 南京邮电大学硕士研究生学位论文 a b s t r a c t r e c e n t l y , p 2 ps y s t e m sh a v eb e c o m eaf o c u si nn e t w o r kf i e l d p 2 ph a sb e e na p p l i e di n t o m a n yf i e l d s ，b u tt h e ya l s ob r i n gu ps o m ep r o b l e m s h o wt om a i n t a i nt h es e c u r i t yo fp 2 p n e t w o r ki sa 1 1i m p o r t a n to n e ，s i n c ep e e r sa l eh e t e r o g e n e o u s ，s o m em i g h tb eb u g g yo rm a l i c i o u s a n dc a n n o tp r o v i d es e r v i c e sw i t ht h eq u a l i t yt h a tt h e ya d v e r t i s e a tp r e s e n t ，t r u s ta n d r e p u t a t i o n m e c h a n i s m sh a v eb e e nu s e dt or e s o l v et h es e c u r i t yp r o b l e m so fp 2 pn e t w o r k ，b u tt h e yh a v e s o m es h o r t a g e f o re x a m p l e ，t h e yc a n tv o i dt h ef a l s er e c o m m e n d a t i o n b e s i d e s ，t r u s ta n d r e p u t a t i o nm e c h a n i s m sc a no n l yh e l pt h eu s e rt oc h o o s en o d ew h o s et r u s t w o r t h i n e s si sb i g g e r a n db x e n ts t i l ew h e t h e rt h en o d ei st h eo n ew h i c ht h eu s e rc h o s e t h e r e f o r e ，i ti sn e c e s s a r yt h a t i d e n t i t ya u t h e n t i c a t i o nm e c h a n i s mw i l lb ea p p l i e dt op 2 ps e c u r i t ym o d e l ，w i t ht h ea i mo f v a l i d a t i n gan o d e si d e n t i t y t h i s p a p e rp r e s e n t s ak i n do fp 2 ps e c u r i t ym o d e lb a s e do ni d e n t i t ya u t h e n t i c a t i o n m e c h a n i s ma n dt r u s tr e p u t a t i o nm e c h a n i s m s t h e r ea l et w om a i nf e a t u r e so fo u rm o d e l f i r s t , i d e n t i t y a u t h e n t i c a t i o ni s r e s p o n s i b l ef o rv a l i d a t i n gn o d e s i d e n t i t y , b yu s i n gan e w z e r o k n o w l e d g ep r o o fi d e n t i f i c a t i o ns c h e m ew h i c hc o m b i n e st h ea d v a n t a g eo fr s a d u r i n g t h ep r o c e s so fv a l i d a t i n gn o d e s i d e n t i t y , c a ( c e n t e ra u t h e n t i c a t i o n ) d o e s n tn e e dt op a r t i c i p a t e i n s e c o n d ，t r u s tm a n a g e m e n tm o d e li sr e s p o n s i b l ef o re v a l u a t i n ga n dm o d i f y i n gap e e r s t r u s t w o r t h i n e s s ，w h i c hi sc o m p o s e do ft r u s te v a l u a t i o nm o d u l e ，e x c h a n g ee v a l u a t i o nm o d u l e a n dt r u s tm o d i f i c a t i o nm o d u l e t h ep a p e rp r o p o s e san e wf l e x i b l et r u s te v a l u a t i o nm e t h o d w h i c hn o to n l yc o n s i d e r st h ee x c h a n g ee x p e r i e n c eo fs e l fb u ta l s or e f e r sr e c o m m e n d a t i o n sf r o m o t h e rp e e r s a n d ，w h e nt h ee x c h a n g ei sf i n i s h e d ，t r u s tm o d i f i c a t i o nm o d u l ew i l lm o d i f y p e e r s t r u s t w o r t h i n e s sa n de v a l u a t ep e e r sr e l i a b i l i t yi np r o v i d i n gr e c o m m e n d a t i o n sa b o u tp e e r st o m a k es u r et r u s t w o r t h i n e s sc a nr e f l e c tt h er e p u t a t i o no fp e e r s e x a c t l y k e yw o r d s ：z e r o - k n o w l e d g e ，i d e n t i t ya u t h e n t i c a t i o n ，t r u s tm a n a g e m e n t ，b a y e s i a n i i 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：王威 e l 期：趔垒墨 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生始王成导师始价“毛期： 南京邮电大学硕士研究生学位论文第一章引言 1 1 课题背景 第一章引言 p 2 p 即p e e r - t o p e e r ，通常也称为对等网，在p 2 p 网络中所有的节点是对等的，对等 点之间通过直接互连实现信息资源、处理器资源、存储资源甚至高速缓存资源等全面的共 享，每个对等点都能够发布和定位资源【l 】。p 2 p 网络的应用非常广泛，如文件共享、对等 计算、协同工作、即时通讯等，这些应用给广大用户带来了极大的便利和享受，取得了很 大的成功。但是目前p 2 p 系统并没有能够真正充分的挖掘出i n t e m e t 所蕴涵的巨大计算能 力和海量的信息资源，其主要原因之一就是p 2 p 的安全问题还没有得到很好的解决【2 】。 p 2 p 网络是一个开放的大规模分布式网络，具有高度的动态性、自治性和异构性，p 2 p 网络中存在很大的随机性和不确定性，缺乏必要的安全保障及控制机制，网络结构脆弱， 容易受到攻击，存在着大量的恶意节点，搭便车( f r e e r i d i n g ) 、公共悲剧( t r a g e d yo f c o m m o n s ) 、虚假文件( f a k e f i l e ) 、共谋( c o l l u s i o n ) 和不合作( n o n c o o p e r a t i o n ) 等问题 没有得到很好的解决1 3 , 4 , 5 】。例如，一个恶意的节点中途截听请求者和服务提供者之间的消 息，重写消息中原来的服务提供者的口地址和端口，而代之以自己的d 地址和端口，这 样它就可以伪造从服务提供者那里传来的原始内容，修改甚至代替成自己的内容发送给请 求者，以众多的文件共享应用为例，2 5 的文件是伪造文件( f a k e df i l e s ) ，同时，不负责 任的用户随意中止( 文件上载) 服务使得服务质量无法得以较好的保证。 在p 2 p 系统中，每个实体参与网络是随机的、自愿的，并且不同的实体有不同的能 力和可靠性，实体间的关系更接近现实的错综复杂的社会关系【6 】。对等网中缺乏集中监控 机制和公认的可信第三方权威，因此传统的集中式安全基础设施( 例如p k t 7 】和 k e r b e r o s 圈) 都不再适用。这使得对等网中的信任管理变得非常困难。 信任系统【9 , 1 0 1 是解决信任缺失问题的一种方案。它的存在可以达到两个目的： 1 ) 以信誉的奖励或惩罚为动机，迫使大多数欲进行严肃交易的节点审视自己的行 为，同时也使它们倾向于选择一个固定的身份标识，从而降低身份管理的难度； 2 ) 使系统中的节点在需要的时候，可以借助信任系统的帮助选择自己愿意信任的陌 第1 页 南京邮电大学硕士研究生学位论文第一章引言 生节点来作为交易对象，从而扩展信任关系网。 然而信任系统只能帮助用户选择出比较可信的节点，而没有提供一种机制，使用户能 够确认自己的交易对象就是选中的那个节点。因此，除了信任系统外，对等网中的安全管 理还需要有合适的身份确认机制。 目前关于p 2 p 中身份认证机制的研究还处于尝试阶段，文献【1 提出了一种p 2 p 中的 身份认证技术，但是该技术在身份认证过程中依旧需要中心服务器的参与，文献【1 2 1 在满 足p 2 p 系统匿名性的条件下提出了一种身份认证技术，但是该文献并没有给出具体的实 现。目前国内外关于p 2 p 信任模型的研究已经取得了一定的进展，但是现有的信任模型 存在一定的问题【1 3 , 1 4 , 1 5 1 ，例如无法全面的评价一个节点提供的服务，无法避免诚实节点的 错误推荐，系统容易遭到恶意节点的操纵；对具有动态变化个性特征的节点无能为力，比 如说，某些恶意的节点会在开始的时候先建立一个良好的信誉，然后利用这个好名声去招 摇撞骗，而后又设法建立高信誉，继续进行欺骗，也就是说，它会在好声誉与声明狼藉之 间摇摆，虽然在某个时间段表现良好，但却是为欺诈别人服务的，所以本质上应该归入恶 意节点一类。另外，目前p 2 p 安全信任模型研究的重点集中在信任度的共享上，对如何 有效地评价即如何得到信任度的问题大都讨论不细，多采用简单地用频率近似概率的方 法，并未作为一个新的问题进行深入的研究【1 ”7 1 。 鉴于此，本文以混合p 2 p 网络环境为基础提出了一个基于身份认证和信任机制的p 2 p 安全模型。在这个安全模型中，如果一个节点请求交易，则首先采用一种新的结合r s a 的零知识交互式身份鉴别的方案对这个节点进行身份认证，在身份验证后，信任管理模型 计算该节点的交互信任度，根据交互信任度的大小来决定是否能与该节点进行交易。交互 信任度的计算不仅考虑了节点自身的交易历史，同时也考虑了其它节点对所要评估的节点 的推荐信任度，从而能够得出一个全面、客观的值，有效的预防了冒名、诋毁等现象，提 高了其在大规模网络工程上的可行性。 1 2 课题来源及研究目标 本课题得到国家8 6 3 项目、扬州市基金项目、华为科技基金的资助。本文的主要目标 是以混合p 2 p 网络环境为基础提出一个基于身份认证和信任机制p 2 p 安全模型，本文成 果已用在上述课题中。该安全模型主要实现以下两个功能： 第2 页 南京邮电大学硕士研究生学位论文第一章引言 1 身份认证功能。这是本文p 2 p 安全模型的一个特色。目前p 2 p 安全模型主要集中 在信任机制上，讨论身份认证技术的很少。本安全模型采用零知识身份认证的思 想，在研究现有几种零知识身份认证算法的基础上，提出了一种新的适用于p 2 p 网络环境的身份鉴别技术。 2 信任管理功能。本安全模型中的信任管理模块采用一种新的计算交互信任度的算 法，该算法不仅考虑了节点自身的交互历史，而且考虑了其它节点的推荐，并且 采用了动态信任的思想，每次交互完，都要根据本次交互的具体情况，对信任度 进行动态的更新，使信任度更加准确，提高交互的成功率。 1 3 本文组织 全文共分七个章节，内容组织如下： 本文第一章介绍了本课题的背景、来源，以及本文提出的p 2 p 安全模型的功能，并 给出了本文组织； 第二章介绍了本文所用到的相关技术，包括p 2 p 相关技术、身份认证技术的研究状 况以及p 2 p 信任管理模型的研究和发展，详细介绍了p 2 p 的概念、特点、发展及其带来 的安全隐患，分析了目前几种主要的身份认证技术及信任管理模型，找到了它们的不足之 处； 第三章主要介绍了基于身份认证和信任机制的p 2 p 安全模型的系统架构图以及模型 的流程图，并且详细介绍了身份认证模块和信任管理模块的功能； 第四章在介绍零知识身份认证的基本思想及现有的几种零知识身份认证算法的基础 上，提出了一种新的交互式零知识身份认证的方案，并详细描述了节点之间进行身份认证 的过程，最后，从完整性、健全性、隐藏性三个方面论证了新的身份认证方案的合理有效 性： 第五章详细介绍了信任管理模块。介绍了个人交互度、推荐信任度、推荐可信度、交 互信任度的计算方法和具体的计算公式，并描述了信任评估及信任更新过程，最后通过对 比总结了本模块信任度计算所采用的算法的优点； 第六章对基于身份认证和信任机制的p 2 p 安全模型及所采用的算法进行了多次仿真， 通过与现有安全模型进行比较，可以看出本文提出的安全模型的性能较现有的安全模型有 第3 页 南京邮电大学硕士研究生学位论文第一章引言 了很大的改善； 第七章总结了本文所做的工作，并对该课题进一步研究的方向进行了展望。 第4 页 南京邮电大举硕士研究擞学位论文 第二章相关技术简介 2 1p 2 p 相关技术简介 2 1 。1p 2 p ，的概念及应用 第二章相关技术简介 p 2 p ( p e e r - t o - p e e r ) 即对等网络，它可以箍单她定义为通过壹接交换信息，共享计 算机资源和服务，对等计算机兼有客户机和服务器的功能磷。在这种网络中所有的节点是 对等的( 称茺对等点) ，各节点具有箍园的责任与麓力并协同完成彳壬务。对等点之闻通过 童接互连实现信息资源、处理器资源、存储资源甚至高速缓存资源等的全面共享，无需依 赖集中式服务器支持，消除僖意孤岛帮资源孤岛瑟】。 从互联网的发展历史看，p 2 p 并不是一个全新的概念。t c p i p 是现代互联网整体架 梅静基础，僵在t c p i p 孛并没有客户端和殿务器的概念，所嘉设备都是遥弦中平等的一 端。早在3 0 年前，许多公司的计算结构就可以用现在的p 2 p 构建，只不过由于带宽和处 理能力等的限制，在信息沟逶孛出现了许多中闻环节，铡翔审闻簸务器、导航翮站和第三 方信息交易平台等。现在，廉价的计算能力、网络通信能力和计算机京储能力强有力地推 动这项技术迅速发展。 p 2 p 技术与c s 模式的根本区别在予两者的拓扑结构不网，或者说两个系统中节点的 连接方式不同 1 8 , 1 9 , 2 0 1 。p 2 p 的构架方式是随着p 2 p 技术发展而发展的，从最开始的集中式 维构，到焉来的完全分布式模式，舞到现在流行豁混合模式，各有箕优点和不足之处。 最开始的集中管理模式节点之间的每一次交互必须与服务器有关，由服务器作为中介 来完成，虽然管理方便，但缺乏灵活性，没有真正的实现p 2 p 。由子最初静集串式方式太 过于封闭，所以后来出现了完全开放的p 2 p 框架分布式p 2 p 框架，但是融于其节点 乏淘关系完全对等，没有重心，所以容易搬现管理混魏，惑容冗余等不是。随着p 2 p 技 术的进一步发展，出现了介子集中和分布之间的混合模式，由于结构中有集中的因素，所 以便予管理和维护，蔼盈因为节点阅的交置量连接上，不需要孛心节点介入，又具有缀 好的灵活性，现阶段正被广泛的使用中【2 。 霹前，对等网络的应用主要体现在对等计算、协同工作、搜索孳l 擎、文件交换等方面， 销5 页 南京邮电大学硕士研究生学位论文 第二章相关技术简介 此外，还有诸如边缘服务、智能代理、实时通信技术和广域网络存储系统等其它几种应用 方式。另据报道，美国c y b i k o 及瑞典p o e il a b sa b 等公司正试图将p 2 p 技术应用到无线 通信中，使得不必经过基站就可连接具有无线通信功能的移动终端【1 6 1 。 2 1 2p 2 p 系统的特点 与其它网络模型相比，p 2 p 系统具有以下特点【2 2 】： 分散化( d e c e n t r a l i z a t i o n ) 网络中的资源和服务分散在所有节点上，信息的传输和服务的实现都直接在节点之间 进行，可以无需中间环节和服务器的介入，避免了可能的瓶颈。即使是在混合p 2 p 中， 虽然在查找资源、定位服务或安全检验等环节需要集中式服务器的参与，但主要的信息交 换最终仍然在节点中间直接完成。这样就大大降低了对集中式服务器的资源和性能要求。 分散化是p 2 p 的基本特点，由此带来了其在可扩展性、健壮性等方面的优势。 可扩展性 在传统的c s 架构中，系统能够容纳的用户数量和提供服务的能力主要受服务器的资 源限制。而在p 2 p 网络中，随着用户的加入，不仅服务的需求增加了，系统整体的资源 和服务能力也在同步地扩充，始终能较容易地满足用户的需要。即使在诸如n a p s t e r 等混 合型架构中，由于大部分处理直接在节点之间进行，大大减少了对服务器的依赖，因而能 够方便地扩展到数百万个以上的用户。而对于纯p 2 p 来说，整个体系是全分布的，不存 在瓶颈。理论上其可扩展性几乎可以认为是无限的。p 2 p 可扩展性好这一优点已经在一些 得到应用的实例中得以证明，如n a p s t e r ，g n u t e u a ，f r e e n e t 等。 健壮性 在互联网上随时可能出现异常情况，网络中断、网络拥塞、节点失效等各种异常事件 都会给系统的稳定性和服务持续性带来影响。在传统的集中式服务模式中，集中式服务器 成为整个系统的要害所在，一旦发生异常就会影响到所有用户的使用。而p 2 p 架构则天 生具有耐攻击、高容错的优点。由于服务是分散在各个节点之间进行的，部分节点或网络 遭到破坏对其它部分的影响很小。而且p 2 p 模型一般在部分节点失效时能够自动调整整 体拓扑，保持其它节点的连通性。事实上，p 2 p 网络通常都是以自组织的方式建立起来的， 并允许节点自由地加入和离开。一些p 2 p 模型还能够根据网络带宽、节点数、负载等变 第6 页 南京邮电大学硕士研冤生学位论文第二章相关技术简介 化不断地做自适应式的调整。 隐私性 目前的i n t e m e t 通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量 特征，获得i p 地址。在p 2 p 网络中，由于信息的传输分散在各节点之间进行而无需经过 某个集中环节，用户的隐私信息被窃听和泄漏的可能性大大缩小。在p 2 p 中，所有参与 者都可以提供中继转发的功能，因而大大提高了匿名通讯的灵活性和可靠性，能够为用户 提供更好的隐私保护。 2 1 3p 2 p 的信息安全问题 安全问题是一直伴随互联网发展的重要课题，在p 2 p 网络中尤其如此。p 2 p 技术自从 出现以来一直受到广泛的关注，目前，在在线交流、文件共享、分布式计算，甚至是企业 计算与电子商务等应用领域p 2 p 已经充分显示出了其强大的技术优势，但由于其自身的 特点，也为信息安全带来了新挑战】。 尽管目前g n u t e l l a ，k a z a a 等p 2 p 共享软件宣传其骨干服务器上并没有存储任何涉及 产权保护的内容的备份，而仅仅是保存了各个内容在互联网上的存储索引，但是p 2 p 共 享软件的繁荣加速了盗版媒体的分发，提高了知识产权保护的难度，因此在p 2 p 共享网 络中普遍存在着知识产权保护问题。如何更加合法合理的应用这些共享软件，是一个新时 代的课题，这就要求在不影响现有p 2 p 共享软件性能的前提下，加强知识产权保护机制， 这应该成为下一代p 2 p 共享软件面临的挑战性技术问题之一。另外，知识产权保护问题 也依赖于相关的法律法规的健全。 随着计算机网络应用的深入发展，计算机病毒对信息安全的威胁日益增加。特别是在 p 2 p 环境下，方便的共享和快速的选路机制，为某些网络病毒提供了更好的入侵机会。由 于p 2 p 网络中逻辑相邻的节点，地理位置可能相隔很远，而参与p 2 p 网络的节点数量又 非常大，因此通过p 2 p 系统传播的病毒，波及范围大，覆盖面广，只要有一个节点感染 病毒，就可以通过内部共享和通信机制将病毒扩散到附近的邻居节点，在短时间内可以造 成网络拥塞甚至瘫痪，甚至病毒完全控制整个网络。随着p 2 p 技术的发展，甚至出现专 门针对p 2 p 系统的网络病毒，如名为v b s g n u t e l l a 的蠕虫病毒【2 4 1 ，利用系统漏洞，达到 迅速破坏、瓦解、控制系统的目的。因此，网络病毒的潜在危机对p 2 p 系统安全性和健 第7 页 南京邮电大掌硬士研究捻学位论文第二章相关技术简介 壮性提越了更高的要求，追切需要建立一套完整、高效、安全的防毒体系。 由于p 2 p 系统自身的特点，内容鉴别也存在一定的问题。在获取资源的时候我们首 先需要保证所下载的资源正是我们需要薛资源。在最好的情况下，我们还要确定所下载的 资源只包含符合要求的文件，即是说没有其它不需要或是不希望有的垃圾文件。但是在目 前已实现的p 2 p 系统中，不存在中心服务器提供的基于内容的鉴别，资源共事严重依赖 予资源提供者和需求者之间的相互信任【2 5 1 ，事实上只能保证所请求资源的标志( 通常是 名称) 与希望的标志一致，例如，请求节点只能确定从提供节点下载的音乐文件标题与希 望获取的音乐文件标题一致，至于能否保证内容的一致性就无法判断。我们也可以加入一 螳更多的判断，如要求一些扩展信息一致，标志文件的元数据一致，但是无法从根本上解 决问题。这也使褥些垃圾文件伪装成正常文件进行传播。 ：p 2 p 特有的结构使得系统缺乏对共享资源的管理，难以有效地验证每个共享资源的正 确性。某些怀有特定匿的的资源共辜者可能在资源中加入其它信息，如病毒、木马、广 告或其它的垃圾信息。再有一部分就是所谓的“f r e e l o a d e r 问题【2 6 】，即网络中存在只下 载资源，丽不上传资源的用户，长麓下去只会形成网络中资源的枯竭。虽然这是个非技术 性的问题，但是可以通过技术手段实现对网络中用户信用的评价，形成鼓励用户上传资源 的机制。 另外，网络和节点的负载平衡也是应考虑的问题，通讯量的增加将影响网络的鲁棒性， 即洪水般的恶意请求引发的拒绝服务攻击可能导致系统的崩溃。节点在p 2 p 网络中获取 资源或是寻找其它节点之前，酋先要发出查询报文以定位资源和获取邻属节点的位置。但 是查询算法为了获得较高的准确性，一般采用广播式进行查询，这就造成了一定的隐患。 在g u n t e l l a 网络中查询协议具有一个7 h o p 限制，即查询深度最多不超过7 个节点，假设 每个节点又能找到4 个相邻的节点，那么次查询能够广播到1 3 0 0 个节点犯7 】，在这种情 况下如果有恶意节点伪装成受害节点发送大量不同的查询报文，并在应答摄文回传之前结 束伪装，受害节点将因为受到巨量应答而当机。有关文献已经实现了利用g u n t e l l a 协议中 的4 种基本报文进彳亍查询洪泛婆霹。一般在校园网，企业网和某些住宅小区采用的是蜀域 网通过代理服务器上网方式，其连接i n t e r a c t 的带宽存在上限。又由于p 2 p 节点在下载的 同时又能够上传，因焉在局域网络内部若有相当数量的用户使用p 2 p 软件交换数据，就 会使带宽迅速耗尽以致妨碍正常的网络访闯。例如，b i t t o r r e n t 协议俐将下载速度与上传 速度关联起来，使得上下载速度相当，因此一个节点下载1 g 的数据，同时也要上传大约 第s 页 南京邮电大学硕士研究生学位论文第二章相关技术简介 1 g 的数据，若同时有5 0 0 个节点进行上下载，那么短时间内就会有0 5 t 的数据通过代理 服务器，从而造成网络拥塞。 由于p 2 p 专注于提高共享效率而忽视安全因素，因此也对现有的网络安全体系产生 了影响，p 2 p 协议的缺陷导致了一些外部安全隐患。根据m 地址，p 2 p 网络节点可以分 为两种：一种是具有公网i p 的节点；另一种是具有非公网地址的节点，通常是经由代理 服务器和防火墙接入网络的局域网用户。p 2 p 软件经过特殊设计能够通过防火墙使内外网 用户建立连接，这样就像是在防火墙上打开了一个秘密通道( s e c u r i t yh o l e ) ，使得内网 直接暴露在不安全的外部网络环境下。根据w w w b i t e o m e t c o r n 发布的客户端更新1 3 0 1 ，他 们为了提高局域网用户下载速度已经实现了连接两个在不同内网中的内网节点，并且采用 监听随机端口的方式避免防火墙封锁端口，这事实是在两个防火墙上开了一个相互连通的 隧道，安全问题更加突出。 从以上各方面可以看出，在p 2 p 网络中，系统安全面临着巨大的挑战1 4 1 ，p 2 p 网络的 安全性研究是当前的研究热点之一，是对p 2 p 网络发展的挑战。 2 2 身份认证技术的研究 信息安全技术涉及到多个方面，包括身份认证、访问控制、数据加密、保密通信、消 息摘要、数字签名、鉴别等，而身份认证是一切安全应用的基石，在保护信息安全中起着 举足轻重的作用。信息之所以被窃取、破坏，很大程度上归因于认证系统的脆弱性。 身份认证技术必须要能确保对方身份的真实性。目前网络环境下主要的身份认证技术 概括起来有二类f 3 1 1 。 1 ) 根据约定的口令和身份标识的身份认证 根据约定的口令和身份标识等进行身份认证【3 2 1 ，最简单也最常用的是用户名口令方 式。它是基于“w h a ty o uk n o w 的验证手段。每个用户的口令是由用户自选定，是计算 机和用户双方共享一个秘密，用户通过向计算机提交口令表示自己知道该秘密，计算机从 而相信该用户是合法用户。但这种认证方式存在很多安全隐患：口令通常是一组字符串， 由于用户记忆能力有限，因此口令长度不会很长，很多系统选择6 8 个字符长度：用户为 了方便记忆倾向于选择有规律或者含义的字符串，例如生日或者电话号码，这就使得口令 分布不随机，攻击者进行猜测时搜索空间大大缩小。这些因素使得口令认证安全性很差。 第9 页 雨京邮电大学硕士研冗生学位论文第二章相关技术简介 1 口令的泄露是口令认证系统面临的最大威胁； 2 联机状态下，攻击者可以对用户口令进行在线猜测攻击； 3 用户口令还面临着被窃听的危险。 总之，根据口令和身份标识的身份认证系统在网络实际应用过程中，由于许多用户为 了防止忘记密码，经常采用生日、简单数字、电话号码等容易被猜测的字符串作为密码， 或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。即使能保证 不泄漏，由于密码是静态的数据，在验证过程中需要在计算机内存中和网络中传输，而每 次验证使用的验证信息都是相同的，很容易被内存中的木马程序或网络中的监听设备截 获。所以，从安全性上讲，用户名密码方式是一种极不安全的身份认证方式。 2 ) 采用密码技术进行身份认证 基于密码技术的身份认证是指通过采用密码技术设计安全的身份认证协议实现身份 认证的技术，这种技术比基于口令或者基于主机地址的认证方法更加安全可靠，而且能够 提供更多的安全服务。各种密码算法，如单钥密码算法、公钥密码算法和哈希函数算法都 可以用来构造身份认证协议，各自具有不同的特点。基于密码技术的身份认证协议分为共 享密钥认证、公钥认证等几类。目前最常见的是对称密钥加密和非对称密钥加密。 对称密码体制下，使用s y m 原则来设计：如果一个用户能用一个密钥正确地加密一 个消息，且验证者认为这个密钥仅为被声称的身份的那个人所知道，则这件事包含足够的 身份证明。 用对称加密技术进行身份认证( k 是密钥源中通过安全通道共享的密钥) ： p ：产生m - t 我是 计算m = 肌泌 尸一q ：m ，m q ：验证锄扭= ? 朋 ：相等则接受，否则拒绝 此认证的缺点是：攻击者截获m 、m ，冒充p ，获得本应是对尸的服务，这种攻击， 我们通常叫做重现攻击。并且由于仍是基于s y m 原则，本质上没有解决密码强度较弱的 缺点。 非对称加密使用两把密钥( 一把公开密钥，由全部想给密钥的拥有者发送数据的人使 第1 0 页 南京邮电大学硕士研究生学位论文第二章相关技术简介 用；另一把私人密钥，只有密钥的拥有者知道) 。非对称加密的概念依赖于如下的假设： 寻找由两个素数( 公钥和私钥) 相乘而得到的大数的因子是极其困难的。非对称加密的基 本设计原剥( a s 隧) 是：如果一个用户巍够用健所声明的身份的私人密钥正确遮给一个 消息签名，那么这个行为足以证明他的身份。 使用a s y m 较之s y m 加密强度好褥多，但a s y m 的运算速度较慢，并且也无法避 免重现攻击。最重要的一点是上面介绍的方法，在认证过程中需要中心服务器的参与，不 适用于p 2 p 系统。 2 。3 信任管理模型的研究与进展 在社会网络中，信任关系是人际关系的核心，个体闻酶信任度往往取决予其它个体的 推荐，同时，作为推荐者的可信度也决定其推荐个体的可信度。实际上，这种互相依赖的 信任关系组成了一个所谓的信任网络瑟羹( w e bo f t r u s t ) 。在这样的信任网络中，任何个体 的可信度都不是绝对可靠的，但可以作为其它个体决定其交易行为的依据。基于信任的 p e e r - t o p e e r 系统与人际网络有很大的相似性湖，这表现在：( 1 ) 网络中的个体在与其它 个体的交易中会留下零星的“信用 信息；( 2 ) 个体对于交易对象具有充分的选择权；( 3 ) 个体往往不看重绝对的可靠性或服务质量，即个体可以忍受少量错误的选择带来的损失， 比如文件共享应用；( 4 ) 个体有义务为网络中的其它个体提供推荐信息。因此，这为借鉴 社会学研究的某些结论提供了可能。 霹蓠，p 2 p 孛信任模型豹研究已经取得了一定的成果，可以归为以下足类： ( 1 ) 基于角色的信任模型。在这类系统中，节点依据其兴趣，加入不同的社区，社 区是拥有共同兴趣的节点集合，阕一节点可以加入不同的社区：蔹据节点对予不同社区的 隶属程度，决定其在不同方面的可信度。 ( 2 ) 基予推荐的信任模型。该模型分为两种：基于局部推荐的信任模型帮全局可信 度模型。在基于局部推荐的信任模型中，节点通过询问有限的其它节点以获取某个节点的 信誉度，一般采取简单的局部广播的手段，其获取的节点信誉度往往是局部的和片面的， 如c o m e l l i 对g n u t e l l a 的改进建议就是采用这种方法【3 5 1 。全局可信度模型通过相邻节点问 相互满意度的迭代，从而获取节点全局的信誉度，其中著名的全局可信度模型是s t a n f o r d 大学的e i g e n r e p 3 6 1 。 第1 1 页 南京邮电大学硕士研究生学位论文第二章相关技术简介 ( 3 ) 基于b a y e s i a n 的信任模型。这类系统的核心思想是：依据一定的参数( 如文件 质量、下载速率等) ，利用b a y e s i a n 概率的方法计算可信度。 分析现有的信任模型，虽然在信任定量化方面投入了大量工作，但是从具体应用来讲， 都存在一些问题，下面对现有的几种典型的信任模型进行分析。 2 3 1e i g e n r e p 模型 s t a n f o r d 大学的e i g e 叔e p 【3 6 】是目前已知的一种典型的全局信任模型。e i g e n r e p 的核 心思想是当节点a 需要了解任意节点仇的全局可信度时，首先从p 七的交易伙伴( 曾经与 p 。发生过交易的节点) 获知节点p 七的可信度信息，然后根据这些交易伙伴自身的局部可 信度( 从p ，的眼光来看) 综合出仇的全局可信度，即： 瓦= b 曩) j 对于任意节点a ，p ，c o 为节点p ，对节点p _ ，的局部信任度，互为节点f 的全局信任 度。这儿应当注意的是所谓的全局可信度，也是相对于一个选定的节点而言的。公式中的 瓦就是相对于节点p ，的全局可信度。 s a t ，一“, u n s a t q 2 器等而訇 s a t ，禾1u n s a t 扩分别为节点p ，对节点p j 在历史交易过程中积累的满意次数和不满意 次数。 e i g e n r e p 模型存在以下几个问题： 1 ) 该协议没有考虑到信誉度本身所具有的不确定性。在该模型中一个节点对另一个 节点只有信任与不信任之分( 用信誉度值的大小来表示) ，而没有考虑到信任的不确定性。 2 ) 该模型没有考虑惩罚因素。模型没有对造成服务失败的节点在信誉度上做出惩罚。 3 ) 该模型的协议实现没有考虑网络的性能开销，每次交易都会导致在全网络范围内 的迭代，这在大规模网络环境中缺乏工程上的可行性。 e i g e n r e p 模型虽然在具体的实施过程中，存在很多问题，但对我们求全局信任度给 出了一个总的框架，具有一定的指导意义。 第1 2 页 南京邮电大学硕士研究生学位论文第二章相关技术简介 2 3 2 基于贝叶斯网络的信任模型 由于对等网络中的节点有不同的偏好，在判断问题时也有不同的标准。例如，对于一 个提供电影的节点，可能有的节点因为它提供的电影质量很好而对它的评价很高，但也可 能有其它节点因为它提供的下载速度太慢而认为这个节点不好。如果节点p ，和节点p ，有 相似的评估标准，当节点p 。认为节点p j 是真实的时候，节点p 。将会接受节点p j 的推荐。 然而，当这两个节点具有不同的评估标准时，即使节点p ，是真诚的，节点p ，都不会接受 它的推荐。由于用户节点在不同的情况下选择文件提供者的需要及偏好是不同的，它可能 想了解提供者总的信任度，也可能仅仅只对提供者的某些特定的方面感兴趣。为了满足这 种需求，文献【3 7 提出了一种贝叶斯网络模型来计算信任度。 以文件共享应用程序为例，由于用户节点在不同的情况下选择文件提供者的需要及偏 好是不同的，它可能想了解提供者总的信任度，也可能仅仅只对提供者某些特定的方面感 兴趣。其贝叶斯模型如图2 1 所示( 根据实际情况，可以考虑更多的方面，即增加更多的 叶子节点) ： t r u s t i n a f i l c p r o v i d e r d o w n l o a ds p d f i l eq u a l i t y f i l et y p e 图2 - 1 文件共享的b a y e s i a n 模型 b a y e s i a n 网络利用统计学的方法来显示不同方面的信任度在总的信任度中所占的比 例。每个用户节点都将为与它发生过交易的提供者生成一个如上图所示的b a y e s i a n 网络。 每个b a y e s i a n 网络都有一个根节点t ，它表示用户节点对提供者的总信任度，是对交易 满意程度的百分数。下面的叶子节点反映了用户节点对提供者不同方面的信任度。用f t 标记的叶子节点表示的提供的文件类型，假设它包括五种类型音乐、电影、文献、图片、 软件；用d s 标记的叶子节点表示文件下载速度，假设它有三个等级快速、中等、低 速，每个等级包含了一段范围的下载速度；用f q 标记的叶子节点表示文件质量，也包含 三个等级高质量、中等、低质量。根据以上分析，用户节点都能够推出不同的情况下提 第1 3 页 南京邮电大学硕士研究生学位论文 第- t 相关技术绚介 供者的信任度，例如，在提供音乐文件时提供者的信任度，在提供高质量文件时提供者的 信任度，在提供高质量音乐文件时的信任度。这种方法在用户创建个别的信任度或当情况 发生变化时生成新的信任度时，都能够节省精力。 2 4 本章小结 本章简单介绍了p 2 p 的概念、p 狰系统的特点以及p 艚系统所带来的信息安全闯题， 并且介绍了目前身份认证和信任管理模型的所采用的技术，对口令核对、密码技术的优缺 点进行了总结，并对霉前比较著名的e i g e n r e p 模型、基于b a y e s i a n 网络的模型徽了比较 详细的介绍，归纳出了它们的优缺点。 第1 4 页 南京邮电大学硕士研究生学位论文 第三章p 2 p 安全模型的设计 第三章p 2 p 安全模型的设计 p 2 p 给互联网的分布、共享精神带来了无限的遐想，使人们在i n t e r a c t 上的共享行为 提到了一个更高的层次上，使人们以更主动的方式参与到网络中去。但同时缺乏管理的 p 2 p 网络也带来了一些安全问题，对传统的网络信息安全技术带来了挑战。在大规模的 p 2 p 网络中，用户如何有效地管理和控制网络上实体对自己共享资源和服务的访问和使 用，成为一个重要的现实问题。p 2 p 系统中对安全有如下需求： 在某些应用环境下，对等实体间需要相互确认身份； 某些实体可能只希望已获得自己授权或满足一定信任要求的对等实体才可访问 或使用自己控制的共享资源或服务； 某些实体可能只希望从自己比较信任的对等实体那里获得需要的共享资源和服 务。 对第一个需求，可以通过实体间的认证协议来实现。对于后两个需求，根据p 2 p 系 统的特点( 详见第二章) 则需要通过有效的信任管理模型来实现。为了解决p 2 p 系统中 的安全问题，通过对现有安全技术的分析，本文以混合p 2 p 网络环境为基础，提出了一 种基于身份认证和信任机制的p 2 p 安全模型。 3 1 系统的总体架构 设计一个模型的时候，最好能够考虑到对现有应用的兼容，使现有的应用或协议改动 最少。因此，本文考虑把p 2 p 安全模型作为一个独立的模块加在应用层和传输层之间， 对已有的应用不需要做任何改动，如图3 1 所示。 第1 5 页 南京邮电大学硕士研究生学位论文第三章p 2 p 安全模型的设计 图3 1p 2 p 安全模型 本文提出的p 2 p 安全模型主要包含两个功能模块：身份认证模块和信任管理模块。 身份认证模块主要负责节点之间的身份认证，身份认证是一切安全应用的基石，身份认证 模块分为系统组建阶段和身份认证过程两个阶段，系统组建阶段是节点加入系统时进行注 册的阶段，是身份认证前的预处理阶段，身份认证过程是两个节点进行身份认证的阶段； 信任管理模块主要负责信任度的计算、交易的评估以及信任度的更新，该模块包括三个子 模块：信任评估模块、交易评估模块、信任更新模块，信任评估模块负责对节点进行信任 评估，交易评估模块负责每次交易完对节点提供的服务进行评估，信任更新模块负责每次 交易完对信任度进行及时动态的更新。系统的总体架构