多域環境下基于信任的P2P訪問控制模型

劉浩

湖南人文科技學院計算機科學技術系，湖南婁底 417000

多域環境下基于信任的P2P訪問控制模型

劉浩

湖南人文科技學院計算機科學技術系，湖南婁底 417000

有效的訪問控制機制是P2P網絡的研究熱點之一，然而傳統的訪問控制機制并不能適用于P2P網絡這樣的分布式管理系統。針對該問題，給出了一種多域環境下的P2P網絡訪問控制模型（TMAC）。它采用了社會網絡的基本原理，將系統節點劃分成若干個不同的域，通過擴展多級安全機制來實現訪問控制。節點之間進行交互時，主體節點將根據目標節點關于請求資源類別的信任等級授予不同的訪問權限，以達到系統安全的目標。通過仿真實驗驗證了該訪問控制模型的有效性。

P2P網絡；社會網絡；信任；多域；訪問控制；多級安全

1 引言

P2P網絡（Peer-to-Peer network）技術發展迅速，P2P技術能極大地提高Internet的資源共享利用率，目前已成為計算機網絡技術研究領域的熱點[1]。P2P網絡本質上是建立在Internet上的一種分布式覆蓋網絡，其目標是充分利用Internet環境中各種可能的端系統進行大規模的協作工作和資源共享[2]。有關研究[3-4]表明，P2P應用的通信流量已經在Internet通信總量中占到了相當大的比重。但是，由于P2P網絡的分布式管理、自組織等特點，使其安全成為了非常突出的問題，這將嚴重影響P2P網絡應用的發展。有效的訪問控制機制能保證網絡資源不被非法使用和訪問，是維護網絡系統安全、保護網絡資源的重要手段。目前的主流訪問控制機制有DAC、MAC、RBAC[5]和使用控制（UCON）模型[6]。然而，傳統的訪問控制機制并不能適用于P2P網絡這樣的分布式管理系統。

文獻[7]給出了一種P2P權限委托與訪問控制模型，該模型包括權限委托協議、資源檢索協議和訪問控制協議三個主要協議；但是該權限委托機制是粗線條的，權限委托的傳遞有待完善。封孝生等人針對無法區分通過信任模型計算出相同結果的用戶的問題，提出了基于信任和屬性的訪問控制[8]，然而節點屬性信息的獲取、語義一致性分析、轉換和映射，以及屬性信息的引入會帶來較大的時間開銷。Nguyen等提出基于上下文和風險評估的訪問控制模型[9]，結合上下文參數對風險產生可能性和風險對可用性、完整性和保密性的影響分別作了分析，但是并沒有考慮歷史信息對當前決策的影響。Azzedin和Maheswaran提出基于行為的P2P信任模型[10]，然而該信任機制沒有考慮到主觀信任的模糊性等特點。文獻[11]提出一種基于Bayesian信任的P2P網絡訪問控制模型，利用Bayesian網絡技術構造P2P網絡中的信任機制，從網絡節點間信任的角度建立訪問控制模型，根據主客體的Bayesian信任網絡對實體訪問權限進行動態管理。

在社會網絡中，根據生物學中“物以類聚，人以群居”的原理，具有共同興趣愛好的人，相互之間容易建立關系[12]。比如一個對天文有著濃厚興趣的人，往往更關注與天文知識相關的資源，也更喜歡和同樣愛好天文知識的人交流。人們這種心理需求上的差異，在P2P網絡中表現為對資源需求的差異[13]。本文研究的基本思路是：根據社會網絡的基本原理，綜合節點對信息資源的共享度和節點的查詢行為，作為節點對信息資源的綜合喜好度，根據節點的綜合喜好度，將系統內的節點劃分為若干不同的域。節點之間進行交互時，主體節點將根據目標節點關于請求資源類別的信任等級授予不同的訪問權限，以達到系統安全的目標。本文的分析場景為P2P網絡資源共享應用，為了描述方便，稱該訪問控制模型為TMAC（An Access Contorl model of P2P based on Trust in Multi-domain environments）。

2 TMAC的設計與實現

2.1 TMAC的多域體系結構

在P2P網絡中，用戶節點的訪問往往具有明顯的局部特性，或者說節點對信息資源的需求具有“小世界”現象，這既反映在節點所共享的信息資源種類上，也反映在節點對信息資源種類的查詢行為上[14]。因此，在TMAC中，將P2P網絡中的各個小世界組成為不同的域。那么在劃分域時，應該綜合考慮節點對信息資源的共享度和節點的查詢行為。下面給出一些相關的定義。

設TMAC系統中，所有節點的集合為P={pi|1≤i≤N}。所有共享資源的集合為R={rj|1≤j≤M}，假設系統中所有共享的資源均可以使用分類器F分為K個類別。

定義1設該網絡系統所有共享的資源類別集合為RS={rsj|1≤j≤K}。

定義2稱Sij為節點pi對資源類別rsj的共享度，一般約定，正比于節點pi共享資源類別rsj的數量。

定義3稱Fij為節點pi對資源類別rsj的查詢度，根據局部性原理，節點pi查詢歷史次數越多的資源類別，預期查詢的可能性也越大，因此，Fij正比于節點pi查詢資源類別rsj的歷史次數。

定義4設節點pi對資源類別rsj的喜好度為Gij=αSij+(1-α)Fij。

其中α是一個自定義參數，用以平衡資源共享度和資源查詢度的比重。

在TMAC中，根據系統資源的種類數K將所有節點劃分成K個不同的域，并且，每個節點被劃分到資源類別喜好度最高的域內。如圖1所示，假設按照網絡中的資源類別和節點對資源類別的喜好度將所有節點劃分為音樂、電影和圖片三個不同的喜好域。

圖1 TMAC域劃分的簡單示例

2.2 信任算法

根據社會學原理，信任可以簡單地描述為一個實體對另外一個實體將要實施的特定行為的預測。社會網絡中人與人之間的信任管理非常微妙和復雜，它的影響因素很多，在這方面社會學方面的研究很多，也比較成熟。在P2P網絡，用戶節點本質上代表人類的個體，兩者有著極大的相似性。一般來說，信任具有主觀性、多樣性、動態性和上下文相關性。由此，本文采用文獻[15]的信任計算方法，信任可以定義為某個體對另一個體關于特定行為且與經驗（歷史）、知識和推薦相關的一個值。那么在TMAC中，可給出如下定義：

定義6設節點pi對節點pj關于共享資源類別rst的信任經驗值可表示為：

其中，σ為時間衰減參數，并且σ∈(0.5，1)，表示過去的事件評價值隨時間逐步衰減，Ik為節點pi對節點pj關于共享資源類別rst的第k個事件的評價，ωk為第k個事件的權重，與該事件的重要性有關。

節點pi對節點pj關于共享資源類別rst的信任知識來自兩個方面，一個是直接的知識，另外一個是間接的知識，也就是節點pj關于共享資源類別rst的聲譽。

定義7節點pi對節點pj關于共享資源類別rst的信任知識可表示為：

其中，d，r分別表示直接知識和間接知識，wd和wr分別為直接知識和間接知識所占的權重；wd，wr∈[0，1]，d，r∈[-1，1]。

定義8表示節點pi得到的關于共享資源類別rst對節點pj的信任推薦值可表示為：

其中，Kpj為與節點j關于共享資源類別rst有發生過交互的節點集合，根據TMAC的域劃分原理，關于資源類別rst的共享交互多發生在資源類別rst所屬的域內，因此為了避免全局搜索，減少計算量，這里Kpj的元素在資源類別rst所屬的域內選取。wpl是節點pl的推薦可信度，一般情況下，它正比于pi對節點pl關于共享資源rst的信任經驗值。在此，假設信任值高的節點推薦可信度要高，信任值低的節點推薦可信度同樣要低。根據社會網絡的原理，這一假設往往是正確的。

定義9根據應用背景定義一個權重向量，W= [WE，WΦ，WΠ]。其中，WE，WΦ，WΠ分別表示信任經驗、信任知識和信任推薦所占的權重。

最后，得到節點pi對節點pj關于共享資源類別rst的信任值：

2.3 訪問控制模型

多級安全（MLS）訪問策略是目前各種安全系統廣泛應用的安全策略之一，并且這種多級安全策略正好滿足P2P系統的分布式訪問控制的要求。在TMAC中，將根據請求節點的信任值等級分配訪問控制級別，并對相應的訪問權限進行動態的管理。由于信任值具有一定的上下文相關性，并且資源的安全級別也具有一定類別屬性；所以本文的基本思想是將系統的所有資源進行分類，然后按類別對資源的安全性進行分等級，同樣，根據每個用戶節點關于某類資源共享的信任值對其分安全等級，只有當用戶節點關于某類資源共享的信任等級大于或者等于資源（在其所在資源類別中）的級別時，才允許訪問，否則拒絕訪問。

設rs1是某類資源，下面就以該類資源為例進行說明，顯然，對于其他類別的資源是相同的。設R1={r1，r2，…}表示系統中資源類別rs1的資源集合，P、R1上的二元關系A=P×R1決定了哪個節點可以合法訪問該類別的哪個資源。(pi，rj)∈A表示節點pi可以訪問資源rj。

定理1設＜A，≤＞和＜R1，≤＞都是偏序集，按以下方式定義A×R1上的二元關系≤，任意(a1，r1)，(a2，r2)∈A×R1，當且僅當a1≤a2，r1≤r2時有(a1，r1)≤(a2，r2)。那么＜A×R1，≤＞也是一個偏序集。

顯然，容易證明定理1是成立的。

TMAC的多級安全策略：

規則1當用戶節點的級別高于資源的級別，并且信任度高于最低信任閾值，則用戶節點對該資源可具有“讀”操作的權限。

規則2當用戶節點的級別低于資源的級別，并且信任度高于最低信任閾值，則用戶節點對該資源可具有“寫”操作的權限。

規則3當主體節點具有對某一資源的訪問權限，并且可以將這一訪問權限進行傳遞，則主體節點可以授予目標節點對該資源的訪問權限。

規則4當主體節點具有對某一資源的訪問權限，并且具有對這一訪問權限的撤銷權，則主體節點可以撤銷目標節點對該資源的訪問權限。

規則5任何合法的主體節點都具有創建資源的權限。

規則6只有資源的擁有者才可以改變資源的安全級別。

規則7當目標節點的信任值變化時，主體節點可以改變該目標節點的信任等級。

TMAC主要包括用戶授權、安全策略、訪問控制決策、審計和信任計算等模塊，如圖2所示。

圖2 TMAC的模塊組成圖

其中，安全策略模塊主要是定義用戶訪問級別和授權、定義資源的訪問級別和授權以及訪問控制規則等。訪問控制決策主要是確定是否與目標節點交互以及判斷用戶是否具有它所請求操作的權限。審計模塊主要是用來實現對操作的記錄和跟蹤。

2.4 模型的實現

下面以文件共享系統為應用場景來說明TMAC在P2P網絡中的實現。TMAC的處理流程如圖3所示。

圖3 TMAC的處理流程

身份認證是每個系統安全的第一道屏障，當某節點有訪問請求時，必須對其身份進行識別，然后才能依據節點的信任度來確定是否與之交互，以及提供何種訪問權限。由于P2P系統沒有權威的第三方參與，只能由參與交互的雙方來確認對方的身份。TMAC中，每個節點的標識符是個二元組（DomainID，PeerID），其中DomainID稱為域標識符，根據節點對各種資源類別的喜好度來確定，每個節點被劃分到喜好度最大的資源類別域內；PeerID稱為域內標識符，每個節點獨立地生成一個非對稱密鑰對，其中公鑰用來生成節點的域內標識符，或者說PeerID是這個公鑰的哈希值。

在確認了目標節點的身份后，主體節點需要確定目標節點請求訪問的資源所屬類別，然后關于該資源類別，對目標節點進行信任評估，即根據交互歷史、知識和推薦三個方面來計算目標節點的信任值，計算方法見2.2節。每次交互，在TMAC中有交互監控機制來監視交互過程中節點的行為，以保證交互朝期望的方向發展。并且，通過監控機制，雙方將對本次交互進行評價，以更新交互歷史信息。

在TMAC中，將訪問控制級別分為4級：U（一般），C（秘密）、Sc（機密）、Ts（絕密）；并且有U≤C≤Sc≤Ts。對于目標節點，主體將根據它對請求訪問資源所屬類別的信任值，指定相應的級別。對于某一資源，主體節點將根據該資源在所屬類別中的機密程度指定相應的級別；那么每類資源被劃分為四個互不相交的子集，分別為H(U)，H(C)，H(Sc)，H(Ts)。就特定的某一類資源來說，對應關系如表1所示。

表1 信任值與訪問級別對應關系

現假定目標節點pj需要訪問資源類別rst中某一資源r1，并且通過搜索機制找到主體節點pi有該資源。則：

（1）主體節點pi對目標節點pj進行身份認證，若認證通過則繼續下步操作，否則直接拒絕交互。

（2）根據2.2節的信任算法，計算主體節點pi對目標節點pj關于資源所屬類別rst的信任值。（3）若＜0.2，則主體節點pi將拒絕與目標節點pj交互。

所謂授權，是授予目標節點對主體節點上的資源的訪問權限。只有當目標節點獲得一定的訪問級別時，才能得到相應的資源訪問授權。節點要想獲得相應的權限，就必須達到相應的訪問控制級別，而達到一定的訪問控制級別，就需要使自己的信任度達到一定的閾值，才能獲得對特定資源的訪問權限。

3 仿真實驗與分析

為了驗證TMAC的有效性，采用JAVA語言設計了一個類似P2Psim的系統模擬軟件，通過該模擬軟件設計TMAC的網絡模型。實驗假設系統節點總數為1 000，系統共享的文件類別數為10，節點隨機分布在10個域內。系統中只有行為良好節點（Good）和純惡意節點（Bad）兩類。Good節點總是提供好的交互，該類節點在系統中所占的比重為PG，獲得成功交互的概率為SPG；而Bad節點將提供大量失敗的交互，該類節點在系統中所占的比重為PB，獲得成功交互的概率為SPB。在理想情況下，系統中只有行為良好的節點，則一次隨機交互獲得成功的概率為Pideal=SPG，如果沒有引入訪問控制機制，則一次隨機交互獲得成功的概率為Pnature=SPG* PG+SPB*PB。顯然，引入了訪問控制機制后系統節點之間交互成功的概率Preality應該滿足Pnature≤Preality≤Pideal，并且Preality越趨于理想狀態Pideal，訪問控制機制越有效。其中系統參數設定d=r=0.5，WE=0.4，WΦ= 0.3，WΠ=0.3。

現假定SPG=0.9，SPB=0.3。考察當惡意節點在系統中所占比重變化時Pnature，Preality，Pideal的變化情況。比較結果如圖4所示。可以看出，引入了TMAC之后，系統中節點交互的成功率有較大的提高，這說明TMAC達到了預期的設計目標。

圖4 Pnature，Preality，Pideal的變化比較圖

4 結束語

本文依據社會網絡構建的基本原理和多級安全訪問控制策略，給出了一種多域環境下基于信任的P2P訪問控制模型。如何解決訪問速度和訪問控制粒度的平衡問題，或者說在保證訪問速度的前提下，以更加靈活的方式來提高訪問控制粒度，是未來的研究工作之一。

[1]Moore D，Hebeler J.對等網[M].蘇忠，戰曉雷，譯.北京：清華大學出版社，2003.

[2]劉浩，張連明，朱同林.基于Cayley圖的P2P覆蓋網絡模型研究[J].吉林大學學報：工學版，2011，41（5）：1414-1420.

[3]Azuri C.iPoque，Internet study 2007：P2P file sharing still dominates the world wide Internet[EB/OL].[2012-12-15]. http：//www.ipoque.com.

[4]ThetruepictureofPeer-to-Peerfile-sharing[EB/OL]. [2012-12-15].http：//www.Cache-logic.com/researh/Cache-Logic_Analyst_Presnetation_july2004.Pdf.

[5]洪帆，崔國華，付小青.信息安全概論[M].武漢：華中科技大學出版社，2005.

[6]林闖，封富君，李俊山.新型網絡環境下的訪問控制技術[J].軟件學報，2007，18（4）：955-966.

[7]劉仁芬，張常有，李彥華.P2P權限委托與訪問控制模型[J].計算機工程，2009，35（4）：165-166.

[8]封孝生，王楨文，黎湘運.P2P中基于信任和屬性的訪問控制[J].計算機科學，2011，38（2）：28-31.

[9]Nguyen N D，Le X N，Yonil Z，et al.Enforcing access control using risk assessment universal multiservice networks[C]//Proceedings of the 4th European Conference on Universal Multiservice Networks.Washington DC：IEEE Computer Society，2007.

[10]Azzedin F，Masheswaran M.Trust modeling for peer-topeerbasedcomputingsystems[C]//Proceedingsofthe 17th International Symposium on Parallel and Distributed Processing.Washington DC：IEEE Computer Society，2003.

[11]劉義春，張煥國.基于Bayesian信任網絡的P2P訪問控制[J].小型微型計算機系統，2011，32（6）：1059-1063.

[12]Paul C，James D，Victor G.Social network model of construction[J].Journal of Construction Engineering and Management，2008，134（10）：804-812.

[13]劉浩.具有社會網絡特性的P2P分層搜索機制[J].計算機工程，2012，38（24）：86-89.

[14]劉浩，賀文華.具有小世界特性的語義覆蓋網絡模型[J].計算機工程，2012，38（13）：79-82.

[15]雷建云，崔國華，邢光林，等.可計算的基于信任的授權委托模型[J].計算機科學，2008，35（10）：73-75.

LIU Hao

Department of Computer Science,Hunan Institute of Humanities,Science and Technology,Loudi,Hunan 417000,China

Effective access control mechanism is one of research hotspots in the domain of P2P network,however,the traditional access control mechanisms are not suitable for P2P network,the distributed management system.This paper proposes an access control model of P2P network in multi-domain environments（TMAC）.It adopts the rationale of social network.The nodes of system will be distributed in several domains.By extending the multiple level security mechanism, this model realizes the access control.Before the transaction would be generated between the nodes,according to the trust level of the object node about the resource category,the subject node grants it different access privileges,so that,the goal of system security is achieved.The results of experiment show that this access control model is effective.

Peer-to-Peer network;social network;trust;multi-domain;access control;multiple level security

A

TP393

10.3778/j.issn.1002-8331.1302-0148

LIU Hao.Access control model of P2P based on trust in multi-domain environments.Computer Engineering and Applications,2014,50（21）：116-120.

湖南省自然科學基金（No.11JJ3074）；湖南省科技計劃資助項目（No.2012GK3117）；湖南省教育廳科研資助項目（No.12C0744）；中南大學博士后科研基金的資助項目；湖南省計算機應用技術重點學科資助。

劉浩（1977—），男，博士后，講師，研究領域為P2P網絡及其安全。E-mail：lhkd0407@126.com

2013-02-25

2013-04-22

1002-8331（2014）21-0116-05

CNKI出版日期：2013-05-13，http://www.cnki.net/kcms/detail/11.2127.TP.20130513.1601.001.html