P2P環境中基于信任度的服務路由系統的研究
2006-12-31 00:00:00蘇瀚汪蕓
計算機應用研究 2006年9期
摘要:隨著網絡的飛速發展,基于P2P結構的分布式應用越來越多。P2P系統節點之間的資源高度共享,節點之間的信息搜索和交換往往需要第三方節點進行信息中轉,這為信息竊取和信息竄改類型的網絡攻擊帶來了便利。為了提高P2P應用的可用性,提出了在P2P環境下一種新的以可信度為標準的服務路由系統的模型,闡述了模型的設計思想,并詳細介紹了其實現機制。對仿真系統進行了性能測試,并對測試結果進行了分析。該模型對于信息竄改、信息竊聽及路由功能失效等類型的惡意攻擊有較好的抑制作用。關鍵詞:P2P;信任;服務路由
中圖法分類號:TP393文獻標識碼:A
文章編號:1001-3695(2006)09-0230-04
1引言
網絡技術和應用的飛速發展造就了P2P共享軟件的快速流行,出現了像Napster,Gnutella這樣著名的P2P共享軟件。P2P軟件的共享性同時在一定程度上帶來安全性的問題。很多P2P軟件在設計之初沒有將安全性作為設計的重點。針對P2P共享軟件的安全漏洞的網絡攻擊和病毒也隨著P2P軟件的流行而逐步傳播開來。
目前P2P系統面臨的安全性問題主要包括:系統的用戶未經授權卻獲得了本該對其隱藏的信息;安全控制機制被繞過;用戶假扮其他授權用戶的行為,責任被歸咎于錯誤的人;在通信線路上偵聽從而獲得機密性數據;節點間通信的數據遭到破壞,包括修改、插入、刪除信息。
P2P的安全性問題與大多數分布式系統的安全性問題很相似,并且由于P2P系統中節點之間高度共享資源,為病毒傳播和惡意破壞提供了更加便利的條件。更重要的是,P2P系統中信息的傳遞會經過若干中間節點,這使信息竊取、信息竄改和橋接攻擊成為可能(針對網絡竊聽和信息竄改,文獻[1~4]提出了通過提高節點匿名性來降低其危害;而文獻[5,6]則通過數據加密和簽名的方式提高系統安全性)。在現有研究的基礎上,本文提出了在P2P環境中通過引入信任度評估模型來抑制此類惡意攻擊的方法。在現有大多數應用中的P2P系統里,節點之間不存在或只存在很簡單的信任度關系。這對于此類惡意行為并沒有起到很好的抑止作用。
為了在一定程度上對此類惡意行為起到抑止作用,本文將根據節點的信任度在應用層服務路由表中有針對性地選擇路徑傳遞信息,因此信任度的計算和評估及可信度服務路由表的設計是解決上述問題的核心所在。
本文介紹了目前P2P信任度模型研究工作的研究現狀,提出了P2P環境下基于信任度的計算模型,并給出了基于該模型的服務路由原型系統實現,描述了仿真系統測試以及對測試結果的分析。
2研究現狀
P2P信任度模型中可信度的計算通常包括兩個部分,即節點可信度的計算和節點可信度的傳播。在現有P2P信任度模型中計算節點的信任度時,通常根據消息發送方發出消息返回的結果進行評估。在Poblano[7]和AlfarezAbdulRahman[8]的模型中,信任值的傳播是個遞減的過程,如果信任度的傳播經過多個節點,那么其信任度的值將變得很低,從而信任度評估節點將被評估節點視為不可信。在ErsinUzun和MarkResatPariente[9]的模型中信任度的值根據時間不斷衰減,最新的行為造成的信任度改變影響最大。這些模型中信任度的計算均由信息發送方完成,信任度的傳播是個遞減的過程。對于信任度的計算和傳播,現有的信任度模型,如文獻[10~13]均給出了其各自的計算方法,這些方法在一定程度上對系統的安全性起到了提高的作用。但是這些模型并沒有給出完善的實驗結果比較和結論的理論證明。
在P2P路由研究方面,Napster[14]采用集中式查找路徑的方法,Gnutella[14]則單純地依靠廣播進行路徑查找。Chord[15],CAN[15],Pastry[16]系統則通過分布式Hash表來實現路由查找的系統,采用這種方法雖然大大提升了查找效率,但是無法實現多路徑的路由。JXTA[7]模型則在路由查找算法中采用了三層路由查找結構,底層節點通過中繼節點到集合節點查找得到路由信息。由于P2P系統高度共享的特性,其安全性問題越來越突出。而現有的所有P2P路由模型算法均只是單純地根據查找請求來進行路徑查找,并沒有考慮到將安全作為路由的依據,更沒有將信任度模型和路由查找結合起來。
3信任度計算模型
3.1信任度的搜集
該系統中,每個節點均只對與其信息交互的節點的信任度進行評估,而并不將信任度評估結果進行傳播。
3.1.1接收方信任度計算模式
在該模式下信任度的收集和評估由信息接收方完成。信息發送方在發送信息時對信息使用MD5進行信息摘錄,并對摘錄信息加密。經加密后的摘錄信息將隨原文一同發送。信息接收方解密摘錄信息后進行摘錄驗證。如果經過某路徑的信息存在惡意節點對信息竄改,信息接收方將此次交互視為失敗并更新其上一跳節點的信任度矢量,同時路徑上所有節點均對其上一跳節點的信任度矢量進行更新。計算方法參見3.3節。該模式能較好地抑制信息竄改類型的惡意節點。
3.1.2發送方信任度計算模式
在該模式下信任度的搜集和評估由信息發送方完成。節點接收到上一節點的信息后將信息轉發,如果其下一跳節點沒有將信息正常轉發,即在規定時間內沒有收到下一跳節點的轉發回應,則將該事件通知其上一跳節點。信息發送方節點將此次交互視為失敗并更新其下一跳節點的信任度矢量,同時路徑上所有節點均對其下一跳節點的信任度矢量進行更新。計算方法見3.2.3節。該模式能夠在一定程度上抑制路由功能失效和路由竄改類型的惡意節點。
3.2信任度的更新計算方式
信任度采取分級標準,共有五級。最初的新加入節點的信任度均為0,一般可信的節點信任度為1,比較可信的節點信任度為2,完全可信的節點信任度為3,不可信節點的信任度為-1。節點的可信度越高,該節點成為路由節點的概率越高。
3.2.1信任度矢量
信任度的更新計算方式采用ErsinUzun和MarkResatPariente[9]的信任度管理模型的實現方法。每個Peer都將與其他Peer的交互記錄以信任矢量的方式記錄下來。信任矢量是一個二進制向量,長度可以為8,16,32。1代表可信,0代表不可信。例如某節點A對另一節點B的信任度矢量為11101000。A在與B節點進行信息交互后,如果交互成功,則A對B的信任度矢量改為11110100,反之則結果為01110100,即交互之后信任度矢量右移一位,并將最新一次交互的結果(0或者1)放在信任度矢量的最高位。本模型中信任度矢量采用16位。
3.2.2信任率和不信任率的計算
(1)方案一
如果信任度矢量為11101000,那么信任率的值應該為(11101000)2/(28)=0.90625,不信任率的值為(00010111)2/(28)=0.0898。該方案中最新一次的結果對信任率的影響最大,占到信任率的50%左右。
(2)方案二
如果信任度矢量為11101000,那么信任率的值為信任度矢量中1的數量與總數的比值50%,不信任率的值為信任度矢量中0的數量與總數的比值50%。該方案信任率的搜集需要經過一定過程,并且通過對交互中成功失敗次數的對比來表示信任率和不信任率。
3.2.3信任值的修改
Tn=αTo+Tr+β
式中Tn表示計算后的信任值;To表示計算前的信任值;Tr是信任率的大小;α,β為調整參數;α為0~1之間的數;β為-1,0,或1,其初始為0。我們定義θ1和θ2為β變化的閾值(0<θ1<θ2<1)。當Tr<θ1時,惡意行為較多,β為-1;當Tr>θ2時,正常行為較多,則β為1。其余情況下,我們設β為0。θ1和θ2的設置如表1所示。
表1To,θ1和θ2的關系
To-10123θ140%30%20%10%θ270%80%90%100%3.3路由選擇標準
在本系統中每個節點的路由選擇均按照下一跳節點的信任度隨機選擇。我們假設選擇的概率為Ps,在本系統中Ps=(Tn+1)/10。如果某節點的信任值為2,那么該節點被上一跳節點選中的概率為30%。
4基于信任度模型的服務路由系統
4.1P2P應用環境的構建
4.1.1節點加入
每個節點在加入系統之前都將自己加入一個固定的多播組,以某個固定的TTL用組播發送加入消息,加入消息使用非對稱密鑰加密。如果在其報文TTL可達范圍內存在已加入系統的節點,則節點返回消息,并將新加節點加入路由表。新節點收到消息后,同樣將返回消息的節點加入其路由表。此外,收到信息的節點將新節點的加入信息廣播到整個網絡。
4.1.2節點退出
節點退出之前首先在域內發送退出信息的組播報文,接收到信息的節點將路由表中該節點路由信息設置為不可達,同時將該節點的退出信息廣播到整個網絡。
4.2路由表的設計
P2P路由表與傳統路由表的設計基本一致。路由表分為四項:目標節點、下一跳節點、下一跳節點可信度、路徑長度。此外路由表將所有能夠到達目標節點的路徑的下一跳節點全部列出。下一跳路徑選擇則根據可信度在所有可達路徑中隨機選擇。這樣既可保證盡量選擇可信的下一跳節點進行數據傳輸,同時在傳輸過程中又無須對路徑進行固定。從而降低了泄密的危險程度。
4.3路由算法的設計
4.3.1路由信息擴散方式
網內各個節點向自己所有的鄰節點發送它對網內其他節點的可達信息,并通過逐級擴散的方式使這種可達信息在網內傳播,從而使各個節點能推算出自己到網內其他非鄰接節點的路由。
4.3.2初始化過程
在整個系統剛剛啟動時,網絡環境中的節點數目很少,各節點的路由表均為空,需要經過一段時間的廣播擴散才能建立起各節點的路由表。在初始期間,節點數目很少,網內節點的路由表也不完備,因為有些路由尚未廣播到。隨著節點數目的增加,網絡覆蓋范圍更廣,可選路徑隨之不斷增加,各節點的路由表變得更加完備,并且路徑的可選擇范圍也更多。
4.3.3路由表的更新與維護
每隔一段時間,節點將自己的路由信息打包發送給相鄰節點,信息中省略從對方節點得到路由信息,以防止反彈效應。如果某節點退出網絡或者被鄰居節點檢測到不可達,則鄰居節點將該節點的TTL設置為無窮大,同時將該消息廣播。為了在一定程度上抑制循環路由,在收到某個網絡不可達信息后的一段固定時間內,忽略任何有關該網絡的路由信息。
為了防止節點定期同時進行路由信息交換,在網絡中產生周期性的流量高峰,不但需要定期讓節點做時間同步,而且要為節點隨機地設置不同的廣播間隔。
4.3.4信息發送與轉發
節點在發送信息前首先需根據信任度來隨機選擇下一跳節點,并在發送報文中加入源節點到目的節點的路徑信息。中間節點收到消息后以同樣的方式進行消息轉發,同時將自身節點名加入傳輸路徑。為了防止循環路由,如果發現下一跳節點與收到的路徑信息中節點重合,則重新選擇下一跳節點。
5系統分析和仿真測試結果
5.1系統安全性分析
5.1.1防竊聽
系統使用報文分拆和組裝技術并對每一段發送數據進行加密處理,發送方將每個待發信息分成若干條,分開傳送,并由接收方完成信息的組裝。由于每條信息的傳輸都需要經過多個中間節點轉發,雖然對于每段報文來說其安全性降低了,但是總的來說,由于使用多路徑傳輸,竊聽者很難找出不同報文的相關性,從而無法完成報文組裝以得到正確的信息。此外,數據加密技術的使用使系統的防竊聽能力得到了進一步提升。
5.1.2防竄改
發送方節點使用MD5技術用事先商量好的密鑰對報文進行信息摘錄,當傳輸路徑中出現惡意節點,并對傳輸數據進行竄改之后,數據接收方能夠容易地辨別出來,并通知源節點,此時源節點可以選擇兩種方式重新傳輸數據:①將報文直接傳送給信息接收方;②選擇另外一條路徑進行重新傳輸。實際上當系統出現報文錯誤時我們先使用方法②進行恢復,如果連續選擇三次不同的路徑均無法恢復出錯報文,再使用方法①。實際情況中如果系統的惡意節點數量m 5.1.3防路由失效 本文定義路由失效的節點為不能正常地執行路由功能的節點,包括非法的路由重定向和不執行路由轉發工作的節點。信息接收節點在每次收到消息后都會向發送方返回一個ACK,如果在規定時間內沒有收到ACK,源節點將重新選擇路徑進行數據傳輸。為了防止中間的惡意節點偽造ACK造成數據傳輸的失效,接收方并不按照原路徑返回數據。這里采用與防止信息竄改同樣的方式。而在實際的網絡環境中很難將路由失效類的惡意節點與網絡鏈路斷開的情況加以區分。 5.2系統測試結果 5.2.1仿真測試環境 仿真測試在一臺PC機上執行,該PC機運行的操作系統為Windows2000,編程語言為VC6.0。仿真測試實現了模擬總數為100個節點的P2P網絡的運行情況。 5.2.2信任率的計算方式采用方案一條件下的仿真測試數據 (1)系統僅考慮單純的惡意節點情況 仿真系統在僅考慮單純的惡意節點情況下的測試數據如圖1(a)所示。圖1(a)中橫坐標是信息交互次數,縱坐標是每100次信息交互的路徑中出現惡意節點的次數。從圖1(a)可知當交互次數達到1300次以上時,系統能基本將惡意節點排除,即路徑選擇中出現惡意節點的次數很少。 (2)系統考慮時好時壞類型的惡意節點的情況 仿真系統考慮時好時壞類型的惡意節點情況的測試結果如圖1(b)所示。圖中橫坐標是信息交互次數,縱坐標是每1000次信息交互的路徑中出現惡意節點的次數。從圖1(b)可知雖然系統路徑選擇中選到惡意節點的次數有了一定程度的降低,但是惡意節點仍然大量存在于路徑選擇中。 5.2.3信任率的計算方式采用方案二 (1)系統僅考慮單純的惡意節點的情況 仿真測試僅考慮單純的惡意節點情況下的測試結果如圖2(a)所示。圖中橫坐標是信息交互次數,縱坐標是每100次信息交互的路徑中出現惡意節點的次數。從圖2(a)可見,當交互次數達到3000次以上時,系統能基本將惡意節點排除,即路徑選擇中出現惡意節點的次數很少。 (2)系統考慮時好時壞類型的惡意節點的情況 仿真測試考慮時好時壞類型的惡意節點情況下的測試結果如圖2(b)所示。圖中橫坐標是信息交互次數,縱坐標是每1000次信息交互的路徑中出現惡意節點的次數。從圖2(b)可見,在信息交互達到20000次以上時,系統內的惡意節點的數目降到很低的水平。 5.2.4實驗結果分析 在方案一中,如果選擇系統存在10個惡意節點的情況,10000次交互仿真后未被正常評估的惡意節點的比率約為5%。被誤判的正確節點小于總數的2%。說明方案一對于正確節點和單純惡意節點能做出判斷,并在路徑選擇中盡量選擇正確節點,但是當系統出現時好時壞節點時,實驗結果很難收斂。 在方案二中,如果選擇系統存在10個惡意節點的情況,10000次交互仿真后,對于單純惡意節點,未被正常評估的惡意節點的比率約為5%。被誤判的正確節點達到總數的6%。對于時好時壞節點,未被正常評估的惡意節點的比率約為5%。被誤判的正確節點達到總數的15%。但經過50000次以上的交互仿真后,未被正常評估的惡意節點的比率低于5%。被誤判的正確節點低于總數的2%。說明方案二對于單純惡意節點收斂時間明顯變長,對于時好時壞類的節點能夠在一段時間內將其排除掉,但是系統仍然殘存少量惡意節點。對于正確節點的誤判問題,我們可以在路由表中稍微提高選擇惡意節點的概率,以降低正常節點被無辜牽連的概率。 此外,我們可以通過調整θ1和θ2的大小,在一定程度上改變系統的誤判率。但是降低判斷惡意節點的門檻同樣會導致正確節點誤判率的升高,反之,將導致惡意節點誤判率的升高。對于這個問題的改進方法是可以通過加強數據報文的安全性,如數據加密和數據簽名技術來降低系統中殘余的惡意節點的危害的。 6結束語 本文對P2P環境下的基于信任度的路由安全系統的設計與實現做了探討。對于此類系統,路由算法的設計和信任度的評估與計算是實現此類安全路由系統的關鍵所在。現有的P2P路由系統只是實現單路徑的路由,即選擇最短路徑作為路由選擇的唯一路徑。而本系統則在信任度的計算和評估基礎上實現了多路徑的路由算法,從而通過根據信任度隨機選擇路徑,在一定程度上提高了系統的安全性。 參考文獻: [1]Sherwood R, Bhattacharjee B, Srinivasan A. P5: A Protocol for Sca ̄lable Anonymous Communication[C].IEEE Symposium on Security and Privacy, 2002.5870. [2]Michel K, Aviel D. Crowds:Anonymity for Web Transactions[J].ACM Transactions on Information and System Security, 1998,1(1):6692. [3]Reed M, Syverson P, Goldschlag D. Anonymous Connections and Onion Routing[J].IEEE Journal on Selected Areas in Communications, 1998, 16(4):482494. [4]Guan Y, Fu X, Bettati R, et al. An Optimal Strategy for Anonymous Communication Protocols[C].Vienna, Austria:Proceedings of the 22nd IEEE International Conference on Distributed Computing Systems, 2002.120126. [5]Chaum D. The Dining Cryptographers Problem: Unconditional Sender and Recipient Untraceability[J].Journal of Cryptology, 1988, 1(1):6575. [6]Merkle R. Secure Communications over Insecure Channels[J].Communications of the ACM (CACM),1978,21(4):294299. [7]Rita C, William Y Poblano. A Distributed Trust Model for PeertoPeer Networks[EB/OL]. http://www.sun.com,2001. [8]Alfarez A, Stephen H. A Distributed Trust Model\\[C\\]. ACM New Security Paradigms Workshop,1997.4860. [9]Ersin U, Mark RP. A Reputationbased Trust Management System for P2P Networks\\[C\\]. Atlanta, Georgia:ACM International Conference on Information and Knowledge Management(CIKM’01),2001.6573. [10]Aberer K, Despotovic Z. Managing Trust in a Peer2Peer Information System\\[C\\].Atlanta,Georgia: ACM International Conference on Information and Knowledge Management (CIKM’01),2001.310317. [11]Blaze M, Feigenbaum J, Lacy J. Decentralized Trust Management[C].Oakland,California: Proceedings of the 17th IEEE Symposium on Security and Privacy,1996.164173. [12]Damiani E, Paraboschi S, Samarati P, et al. Reputationbased Approach for Choosing Reliable Resources in PeertoPeer Networks[C]. Washington, DC:Proceedings of the 9th ACM Conference on Computer and Communications Security,2002.8795. [13]Zacharia G, Maes P. Trust Management Through Reputation Mechanisms[J]. Applied Artificial Intelligence Journal, 2000,14(9):881908. [14]Krishna G, Stefan S, Steven D. A Measurement Study of Napster and Gnutella as Examples of PeertoPeer file Sharing Systems[C].ACM SIGCOMM Computer Communication Review,2002.8284. [15]Ion S, Robert M. Chord: A Scalable PeertoPeer Lookup Protocol for Internet Applications[J].IEEE/ACM Transactions on Networking (TON),2003,11(1):1732. [16]Fredrik B, Lars A. Performance of Pastry in a Heterogeneous System[C].Zurich,Switzerland:Proceedings of the 4th International Confe ̄rence on PeertoPeer Computing (P2P’04),2004.278279. 作者簡介: 蘇瀚(1979),男,碩士研究生,主要研究方向為分布計算和分布式算法;汪蕓(1967),女,教授,主要研究方向為分布計算和分布式算法。
