多域環(huán)境下基于信任的P2P訪問控制模型

劉浩

湖南人文科技學(xué)院計算機科學(xué)技術(shù)系，湖南婁底 417000

多域環(huán)境下基于信任的P2P訪問控制模型

劉浩

湖南人文科技學(xué)院計算機科學(xué)技術(shù)系，湖南婁底 417000

有效的訪問控制機制是P2P網(wǎng)絡(luò)的研究熱點之一，然而傳統(tǒng)的訪問控制機制并不能適用于P2P網(wǎng)絡(luò)這樣的分布式管理系統(tǒng)。針對該問題，給出了一種多域環(huán)境下的P2P網(wǎng)絡(luò)訪問控制模型（TMAC）。它采用了社會網(wǎng)絡(luò)的基本原理，將系統(tǒng)節(jié)點劃分成若干個不同的域，通過擴展多級安全機制來實現(xiàn)訪問控制。節(jié)點之間進行交互時，主體節(jié)點將根據(jù)目標節(jié)點關(guān)于請求資源類別的信任等級授予不同的訪問權(quán)限，以達到系統(tǒng)安全的目標。通過仿真實驗驗證了該訪問控制模型的有效性。

P2P網(wǎng)絡(luò)；社會網(wǎng)絡(luò)；信任；多域；訪問控制；多級安全

1 引言

P2P網(wǎng)絡(luò)（Peer-to-Peer network）技術(shù)發(fā)展迅速，P2P技術(shù)能極大地提高Internet的資源共享利用率，目前已成為計算機網(wǎng)絡(luò)技術(shù)研究領(lǐng)域的熱點[1]。P2P網(wǎng)絡(luò)本質(zhì)上是建立在Internet上的一種分布式覆蓋網(wǎng)絡(luò)，其目標是充分利用Internet環(huán)境中各種可能的端系統(tǒng)進行大規(guī)模的協(xié)作工作和資源共享[2]。有關(guān)研究[3-4]表明，P2P應(yīng)用的通信流量已經(jīng)在Internet通信總量中占到了相當大的比重。但是，由于P2P網(wǎng)絡(luò)的分布式管理、自組織等特點，使其安全成為了非常突出的問題，這將嚴重影響P2P網(wǎng)絡(luò)應(yīng)用的發(fā)展。有效的訪問控制機制能保證網(wǎng)絡(luò)資源不被非法使用和訪問，是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。目前的主流訪問控制機制有DAC、MAC、RBAC[5]和使用控制（UCON）模型[6]。然而，傳統(tǒng)的訪問控制機制并不能適用于P2P網(wǎng)絡(luò)這樣的分布式管理系統(tǒng)。

文獻[7]給出了一種P2P權(quán)限委托與訪問控制模型，該模型包括權(quán)限委托協(xié)議、資源檢索協(xié)議和訪問控制協(xié)議三個主要協(xié)議；但是該權(quán)限委托機制是粗線條的，權(quán)限委托的傳遞有待完善。封孝生等人針對無法區(qū)分通過信任模型計算出相同結(jié)果的用戶的問題，提出了基于信任和屬性的訪問控制[8]，然而節(jié)點屬性信息的獲取、語義一致性分析、轉(zhuǎn)換和映射，以及屬性信息的引入會帶來較大的時間開銷。Nguyen等提出基于上下文和風險評估的訪問控制模型[9]，結(jié)合上下文參數(shù)對風險產(chǎn)生可能性和風險對可用性、完整性和保密性的影響分別作了分析，但是并沒有考慮歷史信息對當前決策的影響。Azzedin和Maheswaran提出基于行為的P2P信任模型[10]，然而該信任機制沒有考慮到主觀信任的模糊性等特點。文獻[11]提出一種基于Bayesian信任的P2P網(wǎng)絡(luò)訪問控制模型，利用Bayesian網(wǎng)絡(luò)技術(shù)構(gòu)造P2P網(wǎng)絡(luò)中的信任機制，從網(wǎng)絡(luò)節(jié)點間信任的角度建立訪問控制模型，根據(jù)主客體的Bayesian信任網(wǎng)絡(luò)對實體訪問權(quán)限進行動態(tài)管理。

在社會網(wǎng)絡(luò)中，根據(jù)生物學(xué)中“物以類聚，人以群居”的原理，具有共同興趣愛好的人，相互之間容易建立關(guān)系[12]。比如一個對天文有著濃厚興趣的人，往往更關(guān)注與天文知識相關(guān)的資源，也更喜歡和同樣愛好天文知識的人交流。人們這種心理需求上的差異，在P2P網(wǎng)絡(luò)中表現(xiàn)為對資源需求的差異[13]。本文研究的基本思路是：根據(jù)社會網(wǎng)絡(luò)的基本原理，綜合節(jié)點對信息資源的共享度和節(jié)點的查詢行為，作為節(jié)點對信息資源的綜合喜好度，根據(jù)節(jié)點的綜合喜好度，將系統(tǒng)內(nèi)的節(jié)點劃分為若干不同的域。節(jié)點之間進行交互時，主體節(jié)點將根據(jù)目標節(jié)點關(guān)于請求資源類別的信任等級授予不同的訪問權(quán)限，以達到系統(tǒng)安全的目標。本文的分析場景為P2P網(wǎng)絡(luò)資源共享應(yīng)用，為了描述方便，稱該訪問控制模型為TMAC（An Access Contorl model of P2P based on Trust in Multi-domain environments）。

2 TMAC的設(shè)計與實現(xiàn)

2.1 TMAC的多域體系結(jié)構(gòu)

在P2P網(wǎng)絡(luò)中，用戶節(jié)點的訪問往往具有明顯的局部特性，或者說節(jié)點對信息資源的需求具有“小世界”現(xiàn)象，這既反映在節(jié)點所共享的信息資源種類上，也反映在節(jié)點對信息資源種類的查詢行為上[14]。因此，在TMAC中，將P2P網(wǎng)絡(luò)中的各個小世界組成為不同的域。那么在劃分域時，應(yīng)該綜合考慮節(jié)點對信息資源的共享度和節(jié)點的查詢行為。下面給出一些相關(guān)的定義。

設(shè)TMAC系統(tǒng)中，所有節(jié)點的集合為P={pi|1≤i≤N}。所有共享資源的集合為R={rj|1≤j≤M}，假設(shè)系統(tǒng)中所有共享的資源均可以使用分類器F分為K個類別。

定義1設(shè)該網(wǎng)絡(luò)系統(tǒng)所有共享的資源類別集合為RS={rsj|1≤j≤K}。

定義2稱Sij為節(jié)點pi對資源類別rsj的共享度，一般約定，正比于節(jié)點pi共享資源類別rsj的數(shù)量。

定義3稱Fij為節(jié)點pi對資源類別rsj的查詢度，根據(jù)局部性原理，節(jié)點pi查詢歷史次數(shù)越多的資源類別，預(yù)期查詢的可能性也越大，因此，F(xiàn)ij正比于節(jié)點pi查詢資源類別rsj的歷史次數(shù)。

定義4設(shè)節(jié)點pi對資源類別rsj的喜好度為Gij=αSij+(1-α)Fij。

其中α是一個自定義參數(shù)，用以平衡資源共享度和資源查詢度的比重。

在TMAC中，根據(jù)系統(tǒng)資源的種類數(shù)K將所有節(jié)點劃分成K個不同的域，并且，每個節(jié)點被劃分到資源類別喜好度最高的域內(nèi)。如圖1所示，假設(shè)按照網(wǎng)絡(luò)中的資源類別和節(jié)點對資源類別的喜好度將所有節(jié)點劃分為音樂、電影和圖片三個不同的喜好域。

圖1 TMAC域劃分的簡單示例

2.2 信任算法

根據(jù)社會學(xué)原理，信任可以簡單地描述為一個實體對另外一個實體將要實施的特定行為的預(yù)測。社會網(wǎng)絡(luò)中人與人之間的信任管理非常微妙和復(fù)雜，它的影響因素很多，在這方面社會學(xué)方面的研究很多，也比較成熟。在P2P網(wǎng)絡(luò)，用戶節(jié)點本質(zhì)上代表人類的個體，兩者有著極大的相似性。一般來說，信任具有主觀性、多樣性、動態(tài)性和上下文相關(guān)性。由此，本文采用文獻[15]的信任計算方法，信任可以定義為某個體對另一個體關(guān)于特定行為且與經(jīng)驗（歷史）、知識和推薦相關(guān)的一個值。那么在TMAC中，可給出如下定義：

定義6設(shè)節(jié)點pi對節(jié)點pj關(guān)于共享資源類別rst的信任經(jīng)驗值可表示為：

其中，σ為時間衰減參數(shù)，并且σ∈(0.5，1)，表示過去的事件評價值隨時間逐步衰減，Ik為節(jié)點pi對節(jié)點pj關(guān)于共享資源類別rst的第k個事件的評價，ωk為第k個事件的權(quán)重，與該事件的重要性有關(guān)。

節(jié)點pi對節(jié)點pj關(guān)于共享資源類別rst的信任知識來自兩個方面，一個是直接的知識，另外一個是間接的知識，也就是節(jié)點pj關(guān)于共享資源類別rst的聲譽。

定義7節(jié)點pi對節(jié)點pj關(guān)于共享資源類別rst的信任知識可表示為：

其中，d，r分別表示直接知識和間接知識，wd和wr分別為直接知識和間接知識所占的權(quán)重；wd，wr∈[0，1]，d，r∈[-1，1]。

定義8表示節(jié)點pi得到的關(guān)于共享資源類別rst對節(jié)點pj的信任推薦值可表示為：

其中，Kpj為與節(jié)點j關(guān)于共享資源類別rst有發(fā)生過交互的節(jié)點集合，根據(jù)TMAC的域劃分原理，關(guān)于資源類別rst的共享交互多發(fā)生在資源類別rst所屬的域內(nèi)，因此為了避免全局搜索，減少計算量，這里Kpj的元素在資源類別rst所屬的域內(nèi)選取。wpl是節(jié)點pl的推薦可信度，一般情況下，它正比于pi對節(jié)點pl關(guān)于共享資源rst的信任經(jīng)驗值。在此，假設(shè)信任值高的節(jié)點推薦可信度要高，信任值低的節(jié)點推薦可信度同樣要低。根據(jù)社會網(wǎng)絡(luò)的原理，這一假設(shè)往往是正確的。

定義9根據(jù)應(yīng)用背景定義一個權(quán)重向量，W= [WE，WΦ，WΠ]。其中，WE，WΦ，WΠ分別表示信任經(jīng)驗、信任知識和信任推薦所占的權(quán)重。

最后，得到節(jié)點pi對節(jié)點pj關(guān)于共享資源類別rst的信任值：

2.3 訪問控制模型

多級安全（MLS）訪問策略是目前各種安全系統(tǒng)廣泛應(yīng)用的安全策略之一，并且這種多級安全策略正好滿足P2P系統(tǒng)的分布式訪問控制的要求。在TMAC中，將根據(jù)請求節(jié)點的信任值等級分配訪問控制級別，并對相應(yīng)的訪問權(quán)限進行動態(tài)的管理。由于信任值具有一定的上下文相關(guān)性，并且資源的安全級別也具有一定類別屬性；所以本文的基本思想是將系統(tǒng)的所有資源進行分類，然后按類別對資源的安全性進行分等級，同樣，根據(jù)每個用戶節(jié)點關(guān)于某類資源共享的信任值對其分安全等級，只有當用戶節(jié)點關(guān)于某類資源共享的信任等級大于或者等于資源（在其所在資源類別中）的級別時，才允許訪問，否則拒絕訪問。

設(shè)rs1是某類資源，下面就以該類資源為例進行說明，顯然，對于其他類別的資源是相同的。設(shè)R1={r1，r2，…}表示系統(tǒng)中資源類別rs1的資源集合，P、R1上的二元關(guān)系A(chǔ)=P×R1決定了哪個節(jié)點可以合法訪問該類別的哪個資源。(pi，rj)∈A表示節(jié)點pi可以訪問資源rj。

定理1設(shè)＜A，≤＞和＜R1，≤＞都是偏序集，按以下方式定義A×R1上的二元關(guān)系≤，任意(a1，r1)，(a2，r2)∈A×R1，當且僅當a1≤a2，r1≤r2時有(a1，r1)≤(a2，r2)。那么＜A×R1，≤＞也是一個偏序集。

顯然，容易證明定理1是成立的。

TMAC的多級安全策略：

規(guī)則1當用戶節(jié)點的級別高于資源的級別，并且信任度高于最低信任閾值，則用戶節(jié)點對該資源可具有“讀”操作的權(quán)限。

規(guī)則2當用戶節(jié)點的級別低于資源的級別，并且信任度高于最低信任閾值，則用戶節(jié)點對該資源可具有“寫”操作的權(quán)限。

規(guī)則3當主體節(jié)點具有對某一資源的訪問權(quán)限，并且可以將這一訪問權(quán)限進行傳遞，則主體節(jié)點可以授予目標節(jié)點對該資源的訪問權(quán)限。

規(guī)則4當主體節(jié)點具有對某一資源的訪問權(quán)限，并且具有對這一訪問權(quán)限的撤銷權(quán)，則主體節(jié)點可以撤銷目標節(jié)點對該資源的訪問權(quán)限。

規(guī)則5任何合法的主體節(jié)點都具有創(chuàng)建資源的權(quán)限。

規(guī)則6只有資源的擁有者才可以改變資源的安全級別。

規(guī)則7當目標節(jié)點的信任值變化時，主體節(jié)點可以改變該目標節(jié)點的信任等級。

TMAC主要包括用戶授權(quán)、安全策略、訪問控制決策、審計和信任計算等模塊，如圖2所示。

圖2 TMAC的模塊組成圖

其中，安全策略模塊主要是定義用戶訪問級別和授權(quán)、定義資源的訪問級別和授權(quán)以及訪問控制規(guī)則等。訪問控制決策主要是確定是否與目標節(jié)點交互以及判斷用戶是否具有它所請求操作的權(quán)限。審計模塊主要是用來實現(xiàn)對操作的記錄和跟蹤。

2.4 模型的實現(xiàn)

下面以文件共享系統(tǒng)為應(yīng)用場景來說明TMAC在P2P網(wǎng)絡(luò)中的實現(xiàn)。TMAC的處理流程如圖3所示。

圖3 TMAC的處理流程

身份認證是每個系統(tǒng)安全的第一道屏障，當某節(jié)點有訪問請求時，必須對其身份進行識別，然后才能依據(jù)節(jié)點的信任度來確定是否與之交互，以及提供何種訪問權(quán)限。由于P2P系統(tǒng)沒有權(quán)威的第三方參與，只能由參與交互的雙方來確認對方的身份。TMAC中，每個節(jié)點的標識符是個二元組（DomainID，PeerID），其中DomainID稱為域標識符，根據(jù)節(jié)點對各種資源類別的喜好度來確定，每個節(jié)點被劃分到喜好度最大的資源類別域內(nèi)；PeerID稱為域內(nèi)標識符，每個節(jié)點獨立地生成一個非對稱密鑰對，其中公鑰用來生成節(jié)點的域內(nèi)標識符，或者說PeerID是這個公鑰的哈希值。

在確認了目標節(jié)點的身份后，主體節(jié)點需要確定目標節(jié)點請求訪問的資源所屬類別，然后關(guān)于該資源類別，對目標節(jié)點進行信任評估，即根據(jù)交互歷史、知識和推薦三個方面來計算目標節(jié)點的信任值，計算方法見2.2節(jié)。每次交互，在TMAC中有交互監(jiān)控機制來監(jiān)視交互過程中節(jié)點的行為，以保證交互朝期望的方向發(fā)展。并且，通過監(jiān)控機制，雙方將對本次交互進行評價，以更新交互歷史信息。

在TMAC中，將訪問控制級別分為4級：U（一般），C（秘密）、Sc（機密）、Ts（絕密）；并且有U≤C≤Sc≤Ts。對于目標節(jié)點，主體將根據(jù)它對請求訪問資源所屬類別的信任值，指定相應(yīng)的級別。對于某一資源，主體節(jié)點將根據(jù)該資源在所屬類別中的機密程度指定相應(yīng)的級別；那么每類資源被劃分為四個互不相交的子集，分別為H(U)，H(C)，H(Sc)，H(Ts)。就特定的某一類資源來說，對應(yīng)關(guān)系如表1所示。

表1 信任值與訪問級別對應(yīng)關(guān)系

現(xiàn)假定目標節(jié)點pj需要訪問資源類別rst中某一資源r1，并且通過搜索機制找到主體節(jié)點pi有該資源。則：

（1）主體節(jié)點pi對目標節(jié)點pj進行身份認證，若認證通過則繼續(xù)下步操作，否則直接拒絕交互。

（2）根據(jù)2.2節(jié)的信任算法，計算主體節(jié)點pi對目標節(jié)點pj關(guān)于資源所屬類別rst的信任值。（3）若＜0.2，則主體節(jié)點pi將拒絕與目標節(jié)點pj交互。

所謂授權(quán)，是授予目標節(jié)點對主體節(jié)點上的資源的訪問權(quán)限。只有當目標節(jié)點獲得一定的訪問級別時，才能得到相應(yīng)的資源訪問授權(quán)。節(jié)點要想獲得相應(yīng)的權(quán)限，就必須達到相應(yīng)的訪問控制級別，而達到一定的訪問控制級別，就需要使自己的信任度達到一定的閾值，才能獲得對特定資源的訪問權(quán)限。

3 仿真實驗與分析

為了驗證TMAC的有效性，采用JAVA語言設(shè)計了一個類似P2Psim的系統(tǒng)模擬軟件，通過該模擬軟件設(shè)計TMAC的網(wǎng)絡(luò)模型。實驗假設(shè)系統(tǒng)節(jié)點總數(shù)為1 000，系統(tǒng)共享的文件類別數(shù)為10，節(jié)點隨機分布在10個域內(nèi)。系統(tǒng)中只有行為良好節(jié)點（Good）和純惡意節(jié)點（Bad）兩類。Good節(jié)點總是提供好的交互，該類節(jié)點在系統(tǒng)中所占的比重為PG，獲得成功交互的概率為SPG；而Bad節(jié)點將提供大量失敗的交互，該類節(jié)點在系統(tǒng)中所占的比重為PB，獲得成功交互的概率為SPB。在理想情況下，系統(tǒng)中只有行為良好的節(jié)點，則一次隨機交互獲得成功的概率為Pideal=SPG，如果沒有引入訪問控制機制，則一次隨機交互獲得成功的概率為Pnature=SPG* PG+SPB*PB。顯然，引入了訪問控制機制后系統(tǒng)節(jié)點之間交互成功的概率Preality應(yīng)該滿足Pnature≤Preality≤Pideal，并且Preality越趨于理想狀態(tài)Pideal，訪問控制機制越有效。其中系統(tǒng)參數(shù)設(shè)定d=r=0.5，WE=0.4，WΦ= 0.3，WΠ=0.3。

現(xiàn)假定SPG=0.9，SPB=0.3?？疾飚攼阂夤?jié)點在系統(tǒng)中所占比重變化時Pnature，Preality，Pideal的變化情況。比較結(jié)果如圖4所示?？梢钥闯?，引入了TMAC之后，系統(tǒng)中節(jié)點交互的成功率有較大的提高，這說明TMAC達到了預(yù)期的設(shè)計目標。

圖4 Pnature，Preality，Pideal的變化比較圖

4 結(jié)束語

本文依據(jù)社會網(wǎng)絡(luò)構(gòu)建的基本原理和多級安全訪問控制策略，給出了一種多域環(huán)境下基于信任的P2P訪問控制模型。如何解決訪問速度和訪問控制粒度的平衡問題，或者說在保證訪問速度的前提下，以更加靈活的方式來提高訪問控制粒度，是未來的研究工作之一。

[1]Moore D，Hebeler J.對等網(wǎng)[M].蘇忠，戰(zhàn)曉雷，譯.北京：清華大學(xué)出版社，2003.

[2]劉浩，張連明，朱同林.基于Cayley圖的P2P覆蓋網(wǎng)絡(luò)模型研究[J].吉林大學(xué)學(xué)報：工學(xué)版，2011，41（5）：1414-1420.

[3]Azuri C.iPoque，Internet study 2007：P2P file sharing still dominates the world wide Internet[EB/OL].[2012-12-15]. http：//www.ipoque.com.

[4]ThetruepictureofPeer-to-Peerfile-sharing[EB/OL]. [2012-12-15].http：//www.Cache-logic.com/researh/Cache-Logic_Analyst_Presnetation_july2004.Pdf.

[5]洪帆，崔國華，付小青.信息安全概論[M].武漢：華中科技大學(xué)出版社，2005.

[6]林闖，封富君，李俊山.新型網(wǎng)絡(luò)環(huán)境下的訪問控制技術(shù)[J].軟件學(xué)報，2007，18（4）：955-966.

[7]劉仁芬，張常有，李彥華.P2P權(quán)限委托與訪問控制模型[J].計算機工程，2009，35（4）：165-166.

[8]封孝生，王楨文，黎湘運.P2P中基于信任和屬性的訪問控制[J].計算機科學(xué)，2011，38（2）：28-31.

[9]Nguyen N D，Le X N，Yonil Z，et al.Enforcing access control using risk assessment universal multiservice networks[C]//Proceedings of the 4th European Conference on Universal Multiservice Networks.Washington DC：IEEE Computer Society，2007.

[10]Azzedin F，Masheswaran M.Trust modeling for peer-topeerbasedcomputingsystems[C]//Proceedingsofthe 17th International Symposium on Parallel and Distributed Processing.Washington DC：IEEE Computer Society，2003.

[11]劉義春，張煥國.基于Bayesian信任網(wǎng)絡(luò)的P2P訪問控制[J].小型微型計算機系統(tǒng)，2011，32（6）：1059-1063.

[12]Paul C，James D，Victor G.Social network model of construction[J].Journal of Construction Engineering and Management，2008，134（10）：804-812.

[13]劉浩.具有社會網(wǎng)絡(luò)特性的P2P分層搜索機制[J].計算機工程，2012，38（24）：86-89.

[14]劉浩，賀文華.具有小世界特性的語義覆蓋網(wǎng)絡(luò)模型[J].計算機工程，2012，38（13）：79-82.

[15]雷建云，崔國華，邢光林，等.可計算的基于信任的授權(quán)委托模型[J].計算機科學(xué)，2008，35（10）：73-75.

LIU Hao

Department of Computer Science,Hunan Institute of Humanities,Science and Technology,Loudi,Hunan 417000,China

Effective access control mechanism is one of research hotspots in the domain of P2P network,however,the traditional access control mechanisms are not suitable for P2P network,the distributed management system.This paper proposes an access control model of P2P network in multi-domain environments（TMAC）.It adopts the rationale of social network.The nodes of system will be distributed in several domains.By extending the multiple level security mechanism, this model realizes the access control.Before the transaction would be generated between the nodes,according to the trust level of the object node about the resource category,the subject node grants it different access privileges,so that,the goal of system security is achieved.The results of experiment show that this access control model is effective.

Peer-to-Peer network;social network;trust;multi-domain;access control;multiple level security

A

TP393

10.3778/j.issn.1002-8331.1302-0148

LIU Hao.Access control model of P2P based on trust in multi-domain environments.Computer Engineering and Applications,2014,50（21）：116-120.

湖南省自然科學(xué)基金（No.11JJ3074）；湖南省科技計劃資助項目（No.2012GK3117）；湖南省教育廳科研資助項目（No.12C0744）；中南大學(xué)博士后科研基金的資助項目；湖南省計算機應(yīng)用技術(shù)重點學(xué)科資助。

劉浩（1977—），男，博士后，講師，研究領(lǐng)域為P2P網(wǎng)絡(luò)及其安全。E-mail：lhkd0407@126.com

2013-02-25

2013-04-22

1002-8331（2014）21-0116-05

CNKI出版日期：2013-05-13，http://www.cnki.net/kcms/detail/11.2127.TP.20130513.1601.001.html