基于信任模糊評價的P2P訪問控制模型

龔 翱,劉 浩

(湖南人文科技學院信息科學與工程系,湖南婁底417000)

基于信任模糊評價的P2P訪問控制模型

龔 翱,劉 浩

(湖南人文科技學院信息科學與工程系,湖南婁底417000)

應用社會信任網絡構建的基本原理,給出一種新的P2P訪問控制模型。將P2P節點間的信任關系分為直接信任、信任知識和推薦信任3個方面,利用模糊理論對P2P節點進行信任評價,通過擴展多級安全機制實現訪問控制,在P2P中的節點間進行交互時,主體節點根據目標節點的信任等級授予其不同的訪問權限,以達到保護P2P網絡安全的目標,引入加密與數字簽名等安全機制,有效地抑制冒名、竊聽和女巫攻擊等一系列安全性攻擊。在P2P網絡中惡意節點比重變化的情況下,對引入該訪問控制模型前后的情況進行對比實驗,結果表明,引入模型后P2P網絡中的節點交互成功率有較大提高。

P2P網絡;模糊評價;訪問控制;多級安全;授權;安全策略

1 概述

目前,隨著P2P網絡技術及其應用的快速發展, P2P網絡技術極大地提高了Internet的資源共享利用率,得到了網絡與通信領域研究者的廣泛關注［1］。相關研究結果表明,P2P網絡應用的通信流量在Internet通信總量中已經占到了非常大的比重［2-3］。P2P網絡的分布式管理、自組織模式,一方面使P2P網絡技術得到了廣泛應用;另一方面使P2P網絡的安全問題日益突出,并且嚴重影響了P2P網絡應用的推廣。訪問控制是ISO網絡安全體系標準(ISO7498-2)定義的五大安全服務之一［4］。有效的訪問控制是保護網絡資源、維護網絡系統安全的重要手段之一,目前,自主訪問控制(Discretionary Access Control,DAC)、強制訪問控制(Mandatory Access Control,MAC)、基于角色的訪問控制(Role-

based Access Control,RBAC)［5］和使用控制(Usage Control,UCON)模型［6］等訪問控制模型得到了廣泛得應用,也是該領域的研究熱點。顯然,對于P2P網絡這樣的分布式管理系統,傳統的訪問控制模型是不適用的。

針對P2P網絡的特點,文獻［7］給出在P2P網絡資源共享中基于信譽-角色的訪問控制模型,并研究了信譽的量化機制和信譽度的計算方法,但是它們都沒有考慮到主觀信任的模糊性等特點。結合角色訪問控制和基于任務訪問控制,加入環境約束條件。文獻［8］提出一種精細粒度的動態訪問控制模型,然而,該模型層次間關系描述不清,智能性不高。文獻［9］對信任機制、信息的機密性和完整性及用戶興趣進行了綜合研究,根據用戶對資源感興趣的程度并利用已有的訪問控制策略思想,定義了一種的基于興趣分類、信任和安全等級的P2P訪問控制策略,但是該控制策略實現比較復雜,時間開銷較大。

根據社會信任網絡的構建原理,信任可表述為某一實體對另一個實體將要實施的特定行為的預測。一般來說,信任具有主觀性、多樣性、動態性和模糊性。在P2P網絡,用戶節點本質上代表人類的個體,兩者具有極大的相似性［10］。自從1978年文獻［11］首次提出模糊隨機變量的概念后,模糊隨機變量得到了國內外學者的普遍關注,文獻［12-13］將模糊評價方法應用于系統安全狀況的評價,并通過若干實例驗證了該評價方法的有效性。在一定程度上,信任具有不確定性、模糊性,在決策時是需要確定的策略,因此,可以采用模糊方法來研究。

本文提出一種基于信任模糊評價的P2P訪問控制模型(TFEMAC)。在借鑒社會信任網絡構建基本原理和模糊評價理論的基礎上,從多個評價因素綜合判定目標節點的信任等級。為達到系統安全的目標,在節點之間進行交互時,主體節點將根據目標節點的信任等級授予不同的訪問權限。

2 TFEMAC的設計與實現

2.1 信任評價

要確定一個用戶節點的信任等級,影響的因素較多,本文采用文獻［14］的信任評價方法,將信任可以定義為某個體對另一個體關于特定行為且與經驗、知識和推薦相關的一個值。同時,時間也是對一個節點信任評價的重要因素。因此,給出如下定義:

定義1 主體節點pi對目標節點pj的信任等級可分為Better,Good,Normal,Bad 4個等級。

定義2 設節點pi對節點pj的直接信任度可分為先驗直接信任度PDT和后驗直接信任度EDT。

設觀測時間周期為τ,其中,先驗直接信任度PDT是指觀測時間周期之前,節點pi對節點pj的直接信任度;后驗直接信任度EDT是指觀測時間周期之內,節點pi對節點pj的直接信任度。

定義3 設節點pi對節點pj的信任知識為TW。

節點pi對節點pj的信任知識來自2個方面,一個是直接的;另一個是間接的。間接的知識其實就是關于pj的聲譽。信任知識的獲得過程往往比較抽象,它體現了信任的主觀性,就像人際交往中,人往往根據各自的知識背景對另外一個人進行信任判斷。信任知識的直接方面可以理解為節點pi對節點pj信任的主觀性方面。

定義4 節點pi得到的關于節點pj的信任推薦度可分為先驗推薦信任度PRT和后驗推薦信任度ERT。其中,先驗推薦信任度PRT是指觀測時間周期之前,節點pi對節點pj的推薦信任度;后驗推薦信任度ERT是指觀測時間周期之內,節點pi對節點pj的推薦信任度。

根據文獻［12-13］,給出主體節點pi對目標節點pj的信任等級判定方法步驟如下:

Step 1確定評價因素ui(i=1,2,…,5),其中,ui依次為PDT,EDT,TW,PRT,ERT 5個評價因素。

Step 2確定信任評價等級論域Bj(j=1,2,…, 4),其中,Bj依次為信任等級Better,Good,Normal, Bad 4級。

Step 3建立因素與評價之間的模糊關系矩陣。

若逐一對目標節點從每個評價因素ui(i=1, 2,…,5)來判定其信任等級,對其進行量化,即從單個評價因素來看目標節點對信任等級模糊子集的隸屬度R|ui,從而得到模糊關系矩陣R:

其中,矩陣R中第i行第j列元素rij表示目標節點從評價因素ui來判定對信任等級Bj模糊子集的隸屬度。

具體而言,對于評價因素u1(即先驗直接信任度PDT)和u2(后驗直接信任度EDT),是由主體節點根據和目標節點的交互歷史來判定,故由主體節點直接給出。對于評價因素u3(即信任知識TW),主體節點可查詢信任知識庫來判定。對于評價因素u4(即先驗推薦信任度PRT)和u5(后驗推薦信任度ERT),主體節點需要向其他用戶節點發起推薦請求,統計多個推薦節點的判定計算出來,為了統計方法簡單,不妨要求每個推薦節點對目標節點從4種判定(即主體節點對目標節點的Better,Good, Normal,Bad 4個信任等級評判)中給予明確的選擇,然后采用模糊統計法來確定。

Step 4確定每個評價因素的權重,即給出評價

因素的權重向量A。

一般來說,評價因素的權重向量主要與應用背景、節點屬性等有關,例如,若主體節點為新加入節點,該主體節點與目標節點的交互歷史很少,因此,主要依賴于推薦信任度和信任知識的判定,那么,這3項的權重值會高些。當主體節點與目標節點的交互歷史多,則主體節點主要依賴于直接信任度的判定,那么,這2項的權重值會高些?？傊?可由主體節點根據具體情況來確定。

Step 5計算模糊評價結果向量:

其中,bj是由A與R的第j列計算得出,表示目標節點從總體上看對信任等級模糊子集的隸屬度。

Step 6對模糊評價結果向量進行處理與分析。

一般來說,經由上述計算求出的綜合評價結果向量不能保證其各分量之和為1,所以,有時為了便于比較,還需要對它進行歸一化處理。最后,主體節點根據歸一化處理后的模糊評價結果向量,采用最大隸屬度原則來判定目標節點的信任等級。

2.2訪問控制模型

作為目前各種安全系統廣泛應用的安全策略之一的多級安全(Multi-level Security,MLS)訪問策略,正好滿足P2P網絡的分布式訪問控制的要求。在本文模型中,將根據目標節點的信任等級分配訪問控制級別,并對相應的訪問權限進行動態的管理。然后根據資源的安全性,將系統的所有資源分為4個安全等級,只有當目標節點安全等級大于或者等于資源的安全級別時,才允許訪問,否則拒絕訪問。

設向量Q為系統用戶節點集合,向量Zs為資源集合,二元關系向量L=Q×Zs決定了哪些節點可以合法訪問哪些資源。(qi,zj)∈L表示節點qi可以訪問資源zj。

定理設(Q,?)和(Zs,?)都是偏序集,按以下方式定義Q×Zs上的二元關系?,任意(q1,z1), (q2,z2)∈Q×Zs,當且僅當q1?q2,z1?z2時有(q1,z1)?(q2,z2)。那么L=Q×Zs也是一個偏序集。

顯然,定理容易證明是成立的。

［15］,TFEMAC的多級安全策略如下:

規則1當目標節點的信任等級高于資源的安全等級,則目標節點對該資源可具有“讀”操作的權限。

規則2當目標節點的信任等級低于資源的安全等級,則目標節點對該資源可具有“寫”操作的權限。

規則3當主體節點具有對某一資源的訪問權限,并且可以將這一訪問權限進行傳遞,則主體節點可以授予目標節點對該資源的訪問權限。

規則4當主體節點具有對某一資源的訪問權限,并且具有對這一訪問權限的撤銷權,則主體節點可以撤銷目標節點對該資源的訪問權限。

規則5任何合法的主體節點都具有創建資源的權限。

規則6只有資源的擁有者才可以改變資源的安全等級。

規則7當目標節點的信任等級變化時,主體節點可以改變該目標節點的訪問權限。

本文模型主要包括用戶授權、安全策略、訪問控制決策和審計和信任評價等模塊,如圖1所示。

圖1 TFEMAC的模塊組成

在圖1中,安全策略模塊主要是定義用戶訪問等級與授權、定義資源的訪問安全等級與授權以及訪問控制規則等;訪問控制決策主要是確定是否與目標節點交互以及判斷用戶是否具有它所請求操作的權限;審計模塊主要是用來實現對操作的記錄和跟蹤;用戶授權信息主要有安全策略與安全分級,安全策略文件定義了所有的授權信息,授權信息不能超過預定的安全策略范圍;主體節點將根據目標節點信任等級的不同,授予不同的權限;目標節點得到主體節點授權之后,就得到了一個安全級別,節點就能訪問主體節點擁有的同級或者較低級的資源集。

2.3 模型的實現

以文件共享系統為應用場景來說明TFEMAC在P2P網絡中的實現。TFEMAC的處理流程如圖2所示。其中,信任知識庫就是主體節點用來存儲關于系統中其他節點的信任知識數據庫,用以指導主體節點對目標節點在信任知識方面的判斷。所謂授權,是授予目標節點對主體節點上的資源的訪問權限。只有當目標節點獲得一定的訪問級別時,才能得到相應的資源訪問授權。節點要想獲得相應的權限,就必須達到相應的訪問控制級別,而達到一定的

訪問控制級別,就需要使自己的信任等級達到一定的級別,才能獲得對特定資源的訪問權限。

圖2 TFEMAC的處理流程

身份認證是每個系統的第一道安全屏障,當某目標節點有訪問請求時,主體節點必須對其身份進行識別,然后才能依據目標節點的信任等級來確定是否與之交互,以及提供何種訪問權限。由于P2P網絡系統中沒有權威的第三方參與,只能由參與交互的雙方來確認對方的身份。TFEMAC中,每個節點獨立地生成一個非對稱密鑰對(Kp,Ks),并將Kp公開。當目標節點發送訪問請求時,需要先使用主體節點的公開密鑰對請求信息進行加密,使用目標節點自己的秘密密鑰簽署該訪問請求信息的密文。當主體節點接收到該訪問請求信息的密文時,則先使用目標節點的公開密鑰檢查簽名,若簽名能夠被正確地檢查,則目標節點的身份認證通過,并用自己的秘密密鑰進行解密;否則目標節點的身份認證不能通過或者訪問請求信息在通信過程被篡改。

在確認了目標節點的身份后,主體節點需要對目標節點進行信任評價,即根據PDT,EDT,TW, PRT,ERT 5個評價因素來判定目標節點的信任等級,具體方法見2.1節。每次交互,在TFEMAC中有交互監控機制來監視交互過程中節點的行為,以保證交互朝期望的方向發展。并且,通過監控機制,雙方將對本次交互進行評價,以更新交互歷史信息。

在TFEMAC中,將訪問控制級別分為4級:一般(U),秘密(C)、機密(Sc)、絕密(Ts)。并且有U?C?Sc?Ts。對于目標節點,主體節點將根據它的信任等級,指定相應的訪問級別。對于某一資源,主體節點將根據該資源的機密程度指定相應的級別;那么所有資源被劃分為4個互不相交的子集,分別為H(U),H(C),H(Sc),H(Ts)。對應關系如表1所示。

表1 信任等級與訪問級別的對應關系

現假定目標節點pj需要訪問某一資源,并且通過搜索機制找到主體節點pi有該資源。則:

(1)主體節點pi對目標節點pj進行身份認證,若認證通過則繼續下步操作,否則直接拒絕交互。

(2)根據2.1節的信任評價方法,主體節點pi判定目標節點pj的信任等級。

(3)若目標節點pj的信任等級為Bad,則主體節點pi將分配訪問控制級別U給目標節點pj,若r1∈H(U),則交互,否則拒絕。

(4)若目標節點pj的信任等級為Normal,則主體節點pi將分配訪問控制級別C給目標節點pj,若r1∈H(U)∪H(C),則交互,否則拒絕。

(5)若目標節點pj的信任等級為Good,則主體節點pi將分配訪問控制級別Sc給目標節點pj,若r1∈H(U)∪H(C)∪H(Sc),則交互,否則拒絕。

(6)若目標節點pj的信任等級為Better,則主體節點pi將分配訪問控制級別Ts給目標節點pj,若r1∈H(U)∪H(C)∪H(Sc)∪H(Ts),則交互,否則拒絕。

針對一些典型攻擊,通過分析該訪問控制模型的防御性能來說明其安全性。

所謂女巫攻擊,是指某惡意節點在系統中非法地以多個身份出現,以影響系統的整體效率和可用性。一般情況下,對系統中每個節點的身份進行驗證,對其權限進行確認,可以有效地防御女巫攻擊。該模型采用數字簽名來進行節點的身份驗證,采用安全策略對用戶權限進行了確認。因此,能夠有效地抑制女巫攻擊。

冒名是指惡意節點偽裝成別的節點并使用其身份信息進行訪問。由于所有的請求信息都需要目標節點的簽名密鑰進行了簽名,并且與目標節點唯一的身份信息聯系在一起,因此理論上惡意節點不可能通過獲得別的節點的密鑰對而進行偽裝。

竊聽攻擊是指信息在通信過程中被惡意用戶通過一些技術手段獲取到。由于所有的信息在傳輸過程中,該模型均采用了公鑰密碼體制進行了加密,因此就算惡意用戶獲取了這些信息,在理論上也無法解密。

3 仿真實驗與分析

為了驗證訪問控制模型TFEMAC的有效性,采用P2Psim設計TFEMAC的網絡模型。先給出該實驗的4個假設條件:

(1)系統節點總數為1 000,系統共享不同種類的文件數為50,并且隨機分布在各個節點中。

(2)系統中只有行為良好節點(Good)和純惡意節點(Bad)2類,Good節點總是提供好的交互, Bad將提供大量失敗的交互,但是不提供虛假的推薦信息。

(3)系統各節點隨機發起100次資源訪問請求,前50次的數據為觀測時間周期τ之前的實驗數據,后50次的數據為觀測時間周期τ之內的實驗數據。

(4)評價因素的權重向量:

假設Good類節點在系統中所占的比重為PG,獲得成功交互的概率為SPG;而Bad類節點在系統中所占的比重為PB;獲得成功交互的概率為SPB。在理想狀況下,系統中只有行為較好的節點,則一次隨機交互獲得成功的概率為Pideal=SPG。若沒有引入訪問控制機制,則正常情況下一次隨機交互獲得成功的概率為Pnature=SPG×PG+SPB×PB。那么,引入了訪問控制機制后系統節點之間交互成功的概率Preality應該滿足Pnature≤Preality≤Pideal,并且Preality越趨于理想狀態Pideal,訪問控制機制越有效。

現假定SPG=0.9,SPB=0.3?？疾飚攼阂夤濣c在系統中所占比重變化時Pnature,Preality,Pideal的變化情況。比較結果如圖3所示?？梢钥闯?引入了TFEMAC之后,系統中節點交互的成功率有較大的提高,這說明TFEMAC達到了預期的設計目標。

圖3 Pnature,Preality,Pideal的變化比較

4 結束語

本文根據社會信任網絡構建的基本原理與多級安全訪問控制策略,采用模糊理論對系統節點進行信任評價,建立一種P2P網絡系統的訪問控制模型。為提高該訪問控制模型的安全性,引入加密與數字簽名等安全機制。仿真結果表明,系統中節點交互的成功率有較大提高,達到了預期安全設計的目標。如何解決訪問速度和信任評價粒度的平衡問題是今后的研究方向。

參考文獻

［1]黃桂敏,周 婭,武小年.對等網絡［M］.北京:科學出版社,2011.

［2]Azuri C.Internet Study 2007:P2P File Sharing Still Dominates the World Wide Internet［EB/OL］.(2007-11-21).http://ww.ipoqpe.com.

［3]劉 浩,賀文華.具有小世界特性的語義覆蓋網絡模型［J］.計算機工程,2012,38(13):79-82,88.

［4]劉義春.一個基于信任的P2P訪問控制模型［J］.計算機工程與應用,2008,44(1):145-147.

［5]洪 帆,崔國華,付小青.信息安全概論［M］.武漢:華中科技大學出版社,2005.

［6]林 闖,封富君,李俊山.新型網絡環境下的訪問控制技術［J］.軟件學報,2007,18(4):955-966.

［7]趙貴方,李 真,張學杰.P2P網絡資源共享中基于信譽的訪問控制［J］.云南大學學報:自然科學版,2007, 29(s2):238-240.

［8]李俊青,李新友,謝圣獻,等.P2P網絡動態精細粒度訪問控制研究［J］.計算機應用研究,2009,26(4): 1467-1470.

［9]劉益和.基于興趣分類、信任和安全等級的P2P訪問控制［J］.北京工業大學學報,2010,36(5):674-678.

［10]王汝傳,徐小龍,李致遠,等.對等網絡安全技術［M］.北京:科學出版社,2012.

［11]Kwakernaak H.An Algorithm for Rating Multiple-aspect Alternatives Using Fuzzy Sets［J］.Automatica,1979, 15(5):615-616.

［12]孫林柱,楊 芳.非確定信息評價的變權模糊方法［J］.數學的實踐與認識,2009,39(6):12-17.

［13]謝季堅,劉承平.模糊數學方法及其應用［M］.武漢:華中科技大學出版社,2000.

［14]雷建云,崔國華,邢光林,等.可計算的基于信任的授權委托模型［J］.計算機科學,2008,35(10):73-75,85.

［15]洪 霞.P2P網絡中基于多域信任的訪問控制研究［D］.武漢:華中科技大學,2007.

編輯 劉 冰

Access Control Model of P2P Based on Trust Fuzzy Evaluation

GONG Ao,LIU Hao
(Department of Information Science and Engineering, Hunan University of Humanities,Science and Technology,Loudi 417000,China)

Drawing lessons from the basic principles of social trust network,this paper proposes an access control mode of P2P based on trust of fuzzy evaluation.The trust relationship between nodes is divided into three aspects,direct trust, knowledge of trust,and recommendation trust.It adopts fuzzy theory to evaluate the trust of nodes in P2P network,and realizes access control by extending the Multi-level Security(MLS)mechanism.Before the transaction can be generated between the nodes,according to the trust level of the object node,the subject node grants it different access privileges,so that,the goal of P2P network security is achieved.Some security mechanisms,such as encryption and digital signature,are introduced into this model,as a result,this model is capable of effectively restraining several typical security attacks such as impostor,eavesdrop,and sybil attack.When the proportion of malicious nodes in P2P network is changing,the contrast experiment is doing with the network containing the access control model and without this model.Results show that the success interaction rate of nodes is greatly improved.

P2P network;fuzzy evaluation;access control;Multi-level Security(MLS);authorization;security strategy

龔 翱,劉 浩.基于信任模糊評價的P2P訪問控制模型［J］.計算機工程,2015,41(3):125-129.

英文引用格式:Gong Ao,Liu Hao.Access Control Model of P2P Based on Trust Fuzzy Evaluation［J］.Computer Engineering,2015,41(3):125-129.

1000-3428(2015)03-0125-05

:A

:TP393

10.3969/j.issn.1000-3428.2015.03.024

湖南省自然科學基金資助項目(11JJ3074);湖南省科技計劃基金資助項目(2012GK3117);湖南省教育廳科學研究基金資助項目(12C0744)。

龔 翱(1981-),男,講師、碩士,主研方向:網絡安全,軟件工程;劉 浩,副教授、博士后。

2014-01-28

:2014-05-09 E-mail:fluxshadow@126.com