龔 翱,劉 浩

(湖南人文科技學(xué)院信息科學(xué)與工程系,湖南婁底417000)

基于信任模糊評(píng)價(jià)的P2P訪問(wèn)控制模型

龔 翱,劉 浩

(湖南人文科技學(xué)院信息科學(xué)與工程系,湖南婁底417000)

應(yīng)用社會(huì)信任網(wǎng)絡(luò)構(gòu)建的基本原理,給出一種新的P2P訪問(wèn)控制模型。將P2P節(jié)點(diǎn)間的信任關(guān)系分為直接信任、信任知識(shí)和推薦信任3個(gè)方面,利用模糊理論對(duì)P2P節(jié)點(diǎn)進(jìn)行信任評(píng)價(jià),通過(guò)擴(kuò)展多級(jí)安全機(jī)制實(shí)現(xiàn)訪問(wèn)控制,在P2P中的節(jié)點(diǎn)間進(jìn)行交互時(shí),主體節(jié)點(diǎn)根據(jù)目標(biāo)節(jié)點(diǎn)的信任等級(jí)授予其不同的訪問(wèn)權(quán)限,以達(dá)到保護(hù)P2P網(wǎng)絡(luò)安全的目標(biāo),引入加密與數(shù)字簽名等安全機(jī)制,有效地抑制冒名、竊聽(tīng)和女巫攻擊等一系列安全性攻擊。在P2P網(wǎng)絡(luò)中惡意節(jié)點(diǎn)比重變化的情況下,對(duì)引入該訪問(wèn)控制模型前后的情況進(jìn)行對(duì)比實(shí)驗(yàn),結(jié)果表明,引入模型后P2P網(wǎng)絡(luò)中的節(jié)點(diǎn)交互成功率有較大提高。

P2P網(wǎng)絡(luò);模糊評(píng)價(jià);訪問(wèn)控制;多級(jí)安全;授權(quán);安全策略

1 概述

目前,隨著P2P網(wǎng)絡(luò)技術(shù)及其應(yīng)用的快速發(fā)展, P2P網(wǎng)絡(luò)技術(shù)極大地提高了Internet的資源共享利用率,得到了網(wǎng)絡(luò)與通信領(lǐng)域研究者的廣泛關(guān)注［1］。相關(guān)研究結(jié)果表明,P2P網(wǎng)絡(luò)應(yīng)用的通信流量在Internet通信總量中已經(jīng)占到了非常大的比重［2-3］。P2P網(wǎng)絡(luò)的分布式管理、自組織模式,一方面使P2P網(wǎng)絡(luò)技術(shù)得到了廣泛應(yīng)用;另一方面使P2P網(wǎng)絡(luò)的安全問(wèn)題日益突出,并且嚴(yán)重影響了P2P網(wǎng)絡(luò)應(yīng)用的推廣。訪問(wèn)控制是ISO網(wǎng)絡(luò)安全體系標(biāo)準(zhǔn)(ISO7498-2)定義的五大安全服務(wù)之一［4］。有效的訪問(wèn)控制是保護(hù)網(wǎng)絡(luò)資源、維護(hù)網(wǎng)絡(luò)系統(tǒng)安全的重要手段之一,目前,自主訪問(wèn)控制(Discretionary Access Control,DAC)、強(qiáng)制訪問(wèn)控制(Mandatory Access Control,MAC)、基于角色的訪問(wèn)控制(Role-

based Access Control,RBAC)［5］和使用控制(Usage Control,UCON)模型［6］等訪問(wèn)控制模型得到了廣泛得應(yīng)用,也是該領(lǐng)域的研究熱點(diǎn)。顯然,對(duì)于P2P網(wǎng)絡(luò)這樣的分布式管理系統(tǒng),傳統(tǒng)的訪問(wèn)控制模型是不適用的。

針對(duì)P2P網(wǎng)絡(luò)的特點(diǎn),文獻(xiàn)［7］給出在P2P網(wǎng)絡(luò)資源共享中基于信譽(yù)-角色的訪問(wèn)控制模型,并研究了信譽(yù)的量化機(jī)制和信譽(yù)度的計(jì)算方法,但是它們都沒(méi)有考慮到主觀信任的模糊性等特點(diǎn)。結(jié)合角色訪問(wèn)控制和基于任務(wù)訪問(wèn)控制,加入環(huán)境約束條件。文獻(xiàn)［8］提出一種精細(xì)粒度的動(dòng)態(tài)訪問(wèn)控制模型,然而,該模型層次間關(guān)系描述不清,智能性不高。文獻(xiàn)［9］對(duì)信任機(jī)制、信息的機(jī)密性和完整性及用戶興趣進(jìn)行了綜合研究,根據(jù)用戶對(duì)資源感興趣的程度并利用已有的訪問(wèn)控制策略思想,定義了一種的基于興趣分類、信任和安全等級(jí)的P2P訪問(wèn)控制策略,但是該控制策略實(shí)現(xiàn)比較復(fù)雜,時(shí)間開(kāi)銷較大。

根據(jù)社會(huì)信任網(wǎng)絡(luò)的構(gòu)建原理,信任可表述為某一實(shí)體對(duì)另一個(gè)實(shí)體將要實(shí)施的特定行為的預(yù)測(cè)。一般來(lái)說(shuō),信任具有主觀性、多樣性、動(dòng)態(tài)性和模糊性。在P2P網(wǎng)絡(luò),用戶節(jié)點(diǎn)本質(zhì)上代表人類的個(gè)體,兩者具有極大的相似性［10］。自從1978年文獻(xiàn)［11］首次提出模糊隨機(jī)變量的概念后,模糊隨機(jī)變量得到了國(guó)內(nèi)外學(xué)者的普遍關(guān)注,文獻(xiàn)［12-13］將模糊評(píng)價(jià)方法應(yīng)用于系統(tǒng)安全狀況的評(píng)價(jià),并通過(guò)若干實(shí)例驗(yàn)證了該評(píng)價(jià)方法的有效性。在一定程度上,信任具有不確定性、模糊性,在決策時(shí)是需要確定的策略,因此,可以采用模糊方法來(lái)研究。

本文提出一種基于信任模糊評(píng)價(jià)的P2P訪問(wèn)控制模型(TFEMAC)。在借鑒社會(huì)信任網(wǎng)絡(luò)構(gòu)建基本原理和模糊評(píng)價(jià)理論的基礎(chǔ)上,從多個(gè)評(píng)價(jià)因素綜合判定目標(biāo)節(jié)點(diǎn)的信任等級(jí)。為達(dá)到系統(tǒng)安全的目標(biāo),在節(jié)點(diǎn)之間進(jìn)行交互時(shí),主體節(jié)點(diǎn)將根據(jù)目標(biāo)節(jié)點(diǎn)的信任等級(jí)授予不同的訪問(wèn)權(quán)限。

2 TFEMAC的設(shè)計(jì)與實(shí)現(xiàn)

2.1 信任評(píng)價(jià)

要確定一個(gè)用戶節(jié)點(diǎn)的信任等級(jí),影響的因素較多,本文采用文獻(xiàn)［14］的信任評(píng)價(jià)方法,將信任可以定義為某個(gè)體對(duì)另一個(gè)體關(guān)于特定行為且與經(jīng)驗(yàn)、知識(shí)和推薦相關(guān)的一個(gè)值。同時(shí),時(shí)間也是對(duì)一個(gè)節(jié)點(diǎn)信任評(píng)價(jià)的重要因素。因此,給出如下定義:

定義1 主體節(jié)點(diǎn)pi對(duì)目標(biāo)節(jié)點(diǎn)pj的信任等級(jí)可分為Better,Good,Normal,Bad 4個(gè)等級(jí)。

定義2 設(shè)節(jié)點(diǎn)pi對(duì)節(jié)點(diǎn)pj的直接信任度可分為先驗(yàn)直接信任度PDT和后驗(yàn)直接信任度EDT。

設(shè)觀測(cè)時(shí)間周期為τ,其中,先驗(yàn)直接信任度PDT是指觀測(cè)時(shí)間周期之前,節(jié)點(diǎn)pi對(duì)節(jié)點(diǎn)pj的直接信任度;后驗(yàn)直接信任度EDT是指觀測(cè)時(shí)間周期之內(nèi),節(jié)點(diǎn)pi對(duì)節(jié)點(diǎn)pj的直接信任度。

定義3 設(shè)節(jié)點(diǎn)pi對(duì)節(jié)點(diǎn)pj的信任知識(shí)為TW。

節(jié)點(diǎn)pi對(duì)節(jié)點(diǎn)pj的信任知識(shí)來(lái)自2個(gè)方面,一個(gè)是直接的;另一個(gè)是間接的。間接的知識(shí)其實(shí)就是關(guān)于pj的聲譽(yù)。信任知識(shí)的獲得過(guò)程往往比較抽象,它體現(xiàn)了信任的主觀性,就像人際交往中,人往往根據(jù)各自的知識(shí)背景對(duì)另外一個(gè)人進(jìn)行信任判斷。信任知識(shí)的直接方面可以理解為節(jié)點(diǎn)pi對(duì)節(jié)點(diǎn)pj信任的主觀性方面。

定義4 節(jié)點(diǎn)pi得到的關(guān)于節(jié)點(diǎn)pj的信任推薦度可分為先驗(yàn)推薦信任度PRT和后驗(yàn)推薦信任度ERT。其中,先驗(yàn)推薦信任度PRT是指觀測(cè)時(shí)間周期之前,節(jié)點(diǎn)pi對(duì)節(jié)點(diǎn)pj的推薦信任度;后驗(yàn)推薦信任度ERT是指觀測(cè)時(shí)間周期之內(nèi),節(jié)點(diǎn)pi對(duì)節(jié)點(diǎn)pj的推薦信任度。

根據(jù)文獻(xiàn)［12-13］,給出主體節(jié)點(diǎn)pi對(duì)目標(biāo)節(jié)點(diǎn)pj的信任等級(jí)判定方法步驟如下:

Step 1確定評(píng)價(jià)因素ui(i=1,2,…,5),其中,ui依次為PDT,EDT,TW,PRT,ERT 5個(gè)評(píng)價(jià)因素。

Step 2確定信任評(píng)價(jià)等級(jí)論域Bj(j=1,2,…, 4),其中,Bj依次為信任等級(jí)Better,Good,Normal, Bad 4級(jí)。

Step 3建立因素與評(píng)價(jià)之間的模糊關(guān)系矩陣。

若逐一對(duì)目標(biāo)節(jié)點(diǎn)從每個(gè)評(píng)價(jià)因素ui(i=1, 2,…,5)來(lái)判定其信任等級(jí),對(duì)其進(jìn)行量化,即從單個(gè)評(píng)價(jià)因素來(lái)看目標(biāo)節(jié)點(diǎn)對(duì)信任等級(jí)模糊子集的隸屬度R|ui,從而得到模糊關(guān)系矩陣R:

其中,矩陣R中第i行第j列元素rij表示目標(biāo)節(jié)點(diǎn)從評(píng)價(jià)因素ui來(lái)判定對(duì)信任等級(jí)Bj模糊子集的隸屬度。

具體而言,對(duì)于評(píng)價(jià)因素u1(即先驗(yàn)直接信任度PDT)和u2(后驗(yàn)直接信任度EDT),是由主體節(jié)點(diǎn)根據(jù)和目標(biāo)節(jié)點(diǎn)的交互歷史來(lái)判定,故由主體節(jié)點(diǎn)直接給出。對(duì)于評(píng)價(jià)因素u3(即信任知識(shí)TW),主體節(jié)點(diǎn)可查詢信任知識(shí)庫(kù)來(lái)判定。對(duì)于評(píng)價(jià)因素u4(即先驗(yàn)推薦信任度PRT)和u5(后驗(yàn)推薦信任度ERT),主體節(jié)點(diǎn)需要向其他用戶節(jié)點(diǎn)發(fā)起推薦請(qǐng)求,統(tǒng)計(jì)多個(gè)推薦節(jié)點(diǎn)的判定計(jì)算出來(lái),為了統(tǒng)計(jì)方法簡(jiǎn)單,不妨要求每個(gè)推薦節(jié)點(diǎn)對(duì)目標(biāo)節(jié)點(diǎn)從4種判定(即主體節(jié)點(diǎn)對(duì)目標(biāo)節(jié)點(diǎn)的Better,Good, Normal,Bad 4個(gè)信任等級(jí)評(píng)判)中給予明確的選擇,然后采用模糊統(tǒng)計(jì)法來(lái)確定。

Step 4確定每個(gè)評(píng)價(jià)因素的權(quán)重,即給出評(píng)價(jià)

因素的權(quán)重向量A。

一般來(lái)說(shuō),評(píng)價(jià)因素的權(quán)重向量主要與應(yīng)用背景、節(jié)點(diǎn)屬性等有關(guān),例如,若主體節(jié)點(diǎn)為新加入節(jié)點(diǎn),該主體節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)的交互歷史很少,因此,主要依賴于推薦信任度和信任知識(shí)的判定,那么,這3項(xiàng)的權(quán)重值會(huì)高些。當(dāng)主體節(jié)點(diǎn)與目標(biāo)節(jié)點(diǎn)的交互歷史多,則主體節(jié)點(diǎn)主要依賴于直接信任度的判定,那么,這2項(xiàng)的權(quán)重值會(huì)高些?？傊?可由主體節(jié)點(diǎn)根據(jù)具體情況來(lái)確定。

Step 5計(jì)算模糊評(píng)價(jià)結(jié)果向量:

其中,bj是由A與R的第j列計(jì)算得出,表示目標(biāo)節(jié)點(diǎn)從總體上看對(duì)信任等級(jí)模糊子集的隸屬度。

Step 6對(duì)模糊評(píng)價(jià)結(jié)果向量進(jìn)行處理與分析。

一般來(lái)說(shuō),經(jīng)由上述計(jì)算求出的綜合評(píng)價(jià)結(jié)果向量不能保證其各分量之和為1,所以,有時(shí)為了便于比較,還需要對(duì)它進(jìn)行歸一化處理。最后,主體節(jié)點(diǎn)根據(jù)歸一化處理后的模糊評(píng)價(jià)結(jié)果向量,采用最大隸屬度原則來(lái)判定目標(biāo)節(jié)點(diǎn)的信任等級(jí)。

2.2訪問(wèn)控制模型

作為目前各種安全系統(tǒng)廣泛應(yīng)用的安全策略之一的多級(jí)安全(Multi-level Security,MLS)訪問(wèn)策略,正好滿足P2P網(wǎng)絡(luò)的分布式訪問(wèn)控制的要求。在本文模型中,將根據(jù)目標(biāo)節(jié)點(diǎn)的信任等級(jí)分配訪問(wèn)控制級(jí)別,并對(duì)相應(yīng)的訪問(wèn)權(quán)限進(jìn)行動(dòng)態(tài)的管理。然后根據(jù)資源的安全性,將系統(tǒng)的所有資源分為4個(gè)安全等級(jí),只有當(dāng)目標(biāo)節(jié)點(diǎn)安全等級(jí)大于或者等于資源的安全級(jí)別時(shí),才允許訪問(wèn),否則拒絕訪問(wèn)。

設(shè)向量Q為系統(tǒng)用戶節(jié)點(diǎn)集合,向量Zs為資源集合,二元關(guān)系向量L=Q×Zs決定了哪些節(jié)點(diǎn)可以合法訪問(wèn)哪些資源。(qi,zj)∈L表示節(jié)點(diǎn)qi可以訪問(wèn)資源zj。

定理設(shè)(Q,?)和(Zs,?)都是偏序集,按以下方式定義Q×Zs上的二元關(guān)系?,任意(q1,z1), (q2,z2)∈Q×Zs,當(dāng)且僅當(dāng)q1?q2,z1?z2時(shí)有(q1,z1)?(q2,z2)。那么L=Q×Zs也是一個(gè)偏序集。

顯然,定理容易證明是成立的。

［15］,TFEMAC的多級(jí)安全策略如下:

規(guī)則1當(dāng)目標(biāo)節(jié)點(diǎn)的信任等級(jí)高于資源的安全等級(jí),則目標(biāo)節(jié)點(diǎn)對(duì)該資源可具有“讀”操作的權(quán)限。

規(guī)則2當(dāng)目標(biāo)節(jié)點(diǎn)的信任等級(jí)低于資源的安全等級(jí),則目標(biāo)節(jié)點(diǎn)對(duì)該資源可具有“寫”操作的權(quán)限。

規(guī)則3當(dāng)主體節(jié)點(diǎn)具有對(duì)某一資源的訪問(wèn)權(quán)限,并且可以將這一訪問(wèn)權(quán)限進(jìn)行傳遞,則主體節(jié)點(diǎn)可以授予目標(biāo)節(jié)點(diǎn)對(duì)該資源的訪問(wèn)權(quán)限。

規(guī)則4當(dāng)主體節(jié)點(diǎn)具有對(duì)某一資源的訪問(wèn)權(quán)限,并且具有對(duì)這一訪問(wèn)權(quán)限的撤銷權(quán),則主體節(jié)點(diǎn)可以撤銷目標(biāo)節(jié)點(diǎn)對(duì)該資源的訪問(wèn)權(quán)限。

規(guī)則5任何合法的主體節(jié)點(diǎn)都具有創(chuàng)建資源的權(quán)限。

規(guī)則6只有資源的擁有者才可以改變資源的安全等級(jí)。

規(guī)則7當(dāng)目標(biāo)節(jié)點(diǎn)的信任等級(jí)變化時(shí),主體節(jié)點(diǎn)可以改變?cè)撃繕?biāo)節(jié)點(diǎn)的訪問(wèn)權(quán)限。

本文模型主要包括用戶授權(quán)、安全策略、訪問(wèn)控制決策和審計(jì)和信任評(píng)價(jià)等模塊,如圖1所示。

圖1 TFEMAC的模塊組成

在圖1中,安全策略模塊主要是定義用戶訪問(wèn)等級(jí)與授權(quán)、定義資源的訪問(wèn)安全等級(jí)與授權(quán)以及訪問(wèn)控制規(guī)則等;訪問(wèn)控制決策主要是確定是否與目標(biāo)節(jié)點(diǎn)交互以及判斷用戶是否具有它所請(qǐng)求操作的權(quán)限;審計(jì)模塊主要是用來(lái)實(shí)現(xiàn)對(duì)操作的記錄和跟蹤;用戶授權(quán)信息主要有安全策略與安全分級(jí),安全策略文件定義了所有的授權(quán)信息,授權(quán)信息不能超過(guò)預(yù)定的安全策略范圍;主體節(jié)點(diǎn)將根據(jù)目標(biāo)節(jié)點(diǎn)信任等級(jí)的不同,授予不同的權(quán)限;目標(biāo)節(jié)點(diǎn)得到主體節(jié)點(diǎn)授權(quán)之后,就得到了一個(gè)安全級(jí)別,節(jié)點(diǎn)就能訪問(wèn)主體節(jié)點(diǎn)擁有的同級(jí)或者較低級(jí)的資源集。

2.3 模型的實(shí)現(xiàn)

以文件共享系統(tǒng)為應(yīng)用場(chǎng)景來(lái)說(shuō)明TFEMAC在P2P網(wǎng)絡(luò)中的實(shí)現(xiàn)。TFEMAC的處理流程如圖2所示。其中,信任知識(shí)庫(kù)就是主體節(jié)點(diǎn)用來(lái)存儲(chǔ)關(guān)于系統(tǒng)中其他節(jié)點(diǎn)的信任知識(shí)數(shù)據(jù)庫(kù),用以指導(dǎo)主體節(jié)點(diǎn)對(duì)目標(biāo)節(jié)點(diǎn)在信任知識(shí)方面的判斷。所謂授權(quán),是授予目標(biāo)節(jié)點(diǎn)對(duì)主體節(jié)點(diǎn)上的資源的訪問(wèn)權(quán)限。只有當(dāng)目標(biāo)節(jié)點(diǎn)獲得一定的訪問(wèn)級(jí)別時(shí),才能得到相應(yīng)的資源訪問(wèn)授權(quán)。節(jié)點(diǎn)要想獲得相應(yīng)的權(quán)限,就必須達(dá)到相應(yīng)的訪問(wèn)控制級(jí)別,而達(dá)到一定的

訪問(wèn)控制級(jí)別,就需要使自己的信任等級(jí)達(dá)到一定的級(jí)別,才能獲得對(duì)特定資源的訪問(wèn)權(quán)限。

圖2 TFEMAC的處理流程

身份認(rèn)證是每個(gè)系統(tǒng)的第一道安全屏障,當(dāng)某目標(biāo)節(jié)點(diǎn)有訪問(wèn)請(qǐng)求時(shí),主體節(jié)點(diǎn)必須對(duì)其身份進(jìn)行識(shí)別,然后才能依據(jù)目標(biāo)節(jié)點(diǎn)的信任等級(jí)來(lái)確定是否與之交互,以及提供何種訪問(wèn)權(quán)限。由于P2P網(wǎng)絡(luò)系統(tǒng)中沒(méi)有權(quán)威的第三方參與,只能由參與交互的雙方來(lái)確認(rèn)對(duì)方的身份。TFEMAC中,每個(gè)節(jié)點(diǎn)獨(dú)立地生成一個(gè)非對(duì)稱密鑰對(duì)(Kp,Ks),并將Kp公開(kāi)。當(dāng)目標(biāo)節(jié)點(diǎn)發(fā)送訪問(wèn)請(qǐng)求時(shí),需要先使用主體節(jié)點(diǎn)的公開(kāi)密鑰對(duì)請(qǐng)求信息進(jìn)行加密,使用目標(biāo)節(jié)點(diǎn)自己的秘密密鑰簽署該訪問(wèn)請(qǐng)求信息的密文。當(dāng)主體節(jié)點(diǎn)接收到該訪問(wèn)請(qǐng)求信息的密文時(shí),則先使用目標(biāo)節(jié)點(diǎn)的公開(kāi)密鑰檢查簽名,若簽名能夠被正確地檢查,則目標(biāo)節(jié)點(diǎn)的身份認(rèn)證通過(guò),并用自己的秘密密鑰進(jìn)行解密;否則目標(biāo)節(jié)點(diǎn)的身份認(rèn)證不能通過(guò)或者訪問(wèn)請(qǐng)求信息在通信過(guò)程被篡改。

在確認(rèn)了目標(biāo)節(jié)點(diǎn)的身份后,主體節(jié)點(diǎn)需要對(duì)目標(biāo)節(jié)點(diǎn)進(jìn)行信任評(píng)價(jià),即根據(jù)PDT,EDT,TW, PRT,ERT 5個(gè)評(píng)價(jià)因素來(lái)判定目標(biāo)節(jié)點(diǎn)的信任等級(jí),具體方法見(jiàn)2.1節(jié)。每次交互,在TFEMAC中有交互監(jiān)控機(jī)制來(lái)監(jiān)視交互過(guò)程中節(jié)點(diǎn)的行為,以保證交互朝期望的方向發(fā)展。并且,通過(guò)監(jiān)控機(jī)制,雙方將對(duì)本次交互進(jìn)行評(píng)價(jià),以更新交互歷史信息。

在TFEMAC中,將訪問(wèn)控制級(jí)別分為4級(jí):一般(U),秘密(C)、機(jī)密(Sc)、絕密(Ts)。并且有U?C?Sc?Ts。對(duì)于目標(biāo)節(jié)點(diǎn),主體節(jié)點(diǎn)將根據(jù)它的信任等級(jí),指定相應(yīng)的訪問(wèn)級(jí)別。對(duì)于某一資源,主體節(jié)點(diǎn)將根據(jù)該資源的機(jī)密程度指定相應(yīng)的級(jí)別;那么所有資源被劃分為4個(gè)互不相交的子集,分別為H(U),H(C),H(Sc),H(Ts)。對(duì)應(yīng)關(guān)系如表1所示。

表1 信任等級(jí)與訪問(wèn)級(jí)別的對(duì)應(yīng)關(guān)系

現(xiàn)假定目標(biāo)節(jié)點(diǎn)pj需要訪問(wèn)某一資源,并且通過(guò)搜索機(jī)制找到主體節(jié)點(diǎn)pi有該資源。則:

(1)主體節(jié)點(diǎn)pi對(duì)目標(biāo)節(jié)點(diǎn)pj進(jìn)行身份認(rèn)證,若認(rèn)證通過(guò)則繼續(xù)下步操作,否則直接拒絕交互。

(2)根據(jù)2.1節(jié)的信任評(píng)價(jià)方法,主體節(jié)點(diǎn)pi判定目標(biāo)節(jié)點(diǎn)pj的信任等級(jí)。

(3)若目標(biāo)節(jié)點(diǎn)pj的信任等級(jí)為Bad,則主體節(jié)點(diǎn)pi將分配訪問(wèn)控制級(jí)別U給目標(biāo)節(jié)點(diǎn)pj,若r1∈H(U),則交互,否則拒絕。

(4)若目標(biāo)節(jié)點(diǎn)pj的信任等級(jí)為Normal,則主體節(jié)點(diǎn)pi將分配訪問(wèn)控制級(jí)別C給目標(biāo)節(jié)點(diǎn)pj,若r1∈H(U)∪H(C),則交互,否則拒絕。

(5)若目標(biāo)節(jié)點(diǎn)pj的信任等級(jí)為Good,則主體節(jié)點(diǎn)pi將分配訪問(wèn)控制級(jí)別Sc給目標(biāo)節(jié)點(diǎn)pj,若r1∈H(U)∪H(C)∪H(Sc),則交互,否則拒絕。

(6)若目標(biāo)節(jié)點(diǎn)pj的信任等級(jí)為Better,則主體節(jié)點(diǎn)pi將分配訪問(wèn)控制級(jí)別Ts給目標(biāo)節(jié)點(diǎn)pj,若r1∈H(U)∪H(C)∪H(Sc)∪H(Ts),則交互,否則拒絕。

針對(duì)一些典型攻擊,通過(guò)分析該訪問(wèn)控制模型的防御性能來(lái)說(shuō)明其安全性。

所謂女巫攻擊,是指某惡意節(jié)點(diǎn)在系統(tǒng)中非法地以多個(gè)身份出現(xiàn),以影響系統(tǒng)的整體效率和可用性。一般情況下,對(duì)系統(tǒng)中每個(gè)節(jié)點(diǎn)的身份進(jìn)行驗(yàn)證,對(duì)其權(quán)限進(jìn)行確認(rèn),可以有效地防御女巫攻擊。該模型采用數(shù)字簽名來(lái)進(jìn)行節(jié)點(diǎn)的身份驗(yàn)證,采用安全策略對(duì)用戶權(quán)限進(jìn)行了確認(rèn)。因此,能夠有效地抑制女巫攻擊。

冒名是指惡意節(jié)點(diǎn)偽裝成別的節(jié)點(diǎn)并使用其身份信息進(jìn)行訪問(wèn)。由于所有的請(qǐng)求信息都需要目標(biāo)節(jié)點(diǎn)的簽名密鑰進(jìn)行了簽名,并且與目標(biāo)節(jié)點(diǎn)唯一的身份信息聯(lián)系在一起,因此理論上惡意節(jié)點(diǎn)不可能通過(guò)獲得別的節(jié)點(diǎn)的密鑰對(duì)而進(jìn)行偽裝。

竊聽(tīng)攻擊是指信息在通信過(guò)程中被惡意用戶通過(guò)一些技術(shù)手段獲取到。由于所有的信息在傳輸過(guò)程中,該模型均采用了公鑰密碼體制進(jìn)行了加密,因此就算惡意用戶獲取了這些信息,在理論上也無(wú)法解密。

3 仿真實(shí)驗(yàn)與分析

為了驗(yàn)證訪問(wèn)控制模型TFEMAC的有效性,采用P2Psim設(shè)計(jì)TFEMAC的網(wǎng)絡(luò)模型。先給出該實(shí)驗(yàn)的4個(gè)假設(shè)條件:

(1)系統(tǒng)節(jié)點(diǎn)總數(shù)為1 000,系統(tǒng)共享不同種類的文件數(shù)為50,并且隨機(jī)分布在各個(gè)節(jié)點(diǎn)中。

(2)系統(tǒng)中只有行為良好節(jié)點(diǎn)(Good)和純惡意節(jié)點(diǎn)(Bad)2類,Good節(jié)點(diǎn)總是提供好的交互, Bad將提供大量失敗的交互,但是不提供虛假的推薦信息。

(3)系統(tǒng)各節(jié)點(diǎn)隨機(jī)發(fā)起100次資源訪問(wèn)請(qǐng)求,前50次的數(shù)據(jù)為觀測(cè)時(shí)間周期τ之前的實(shí)驗(yàn)數(shù)據(jù),后50次的數(shù)據(jù)為觀測(cè)時(shí)間周期τ之內(nèi)的實(shí)驗(yàn)數(shù)據(jù)。

(4)評(píng)價(jià)因素的權(quán)重向量:

假設(shè)Good類節(jié)點(diǎn)在系統(tǒng)中所占的比重為PG,獲得成功交互的概率為SPG;而B(niǎo)ad類節(jié)點(diǎn)在系統(tǒng)中所占的比重為PB;獲得成功交互的概率為SPB。在理想狀況下,系統(tǒng)中只有行為較好的節(jié)點(diǎn),則一次隨機(jī)交互獲得成功的概率為Pideal=SPG。若沒(méi)有引入訪問(wèn)控制機(jī)制,則正常情況下一次隨機(jī)交互獲得成功的概率為Pnature=SPG×PG+SPB×PB。那么,引入了訪問(wèn)控制機(jī)制后系統(tǒng)節(jié)點(diǎn)之間交互成功的概率Preality應(yīng)該滿足Pnature≤Preality≤Pideal,并且Preality越趨于理想狀態(tài)Pideal,訪問(wèn)控制機(jī)制越有效。

現(xiàn)假定SPG=0.9,SPB=0.3?？疾飚?dāng)惡意節(jié)點(diǎn)在系統(tǒng)中所占比重變化時(shí)Pnature,Preality,Pideal的變化情況。比較結(jié)果如圖3所示?？梢钥闯?引入了TFEMAC之后,系統(tǒng)中節(jié)點(diǎn)交互的成功率有較大的提高,這說(shuō)明TFEMAC達(dá)到了預(yù)期的設(shè)計(jì)目標(biāo)。

圖3 Pnature,Preality,Pideal的變化比較

4 結(jié)束語(yǔ)

本文根據(jù)社會(huì)信任網(wǎng)絡(luò)構(gòu)建的基本原理與多級(jí)安全訪問(wèn)控制策略,采用模糊理論對(duì)系統(tǒng)節(jié)點(diǎn)進(jìn)行信任評(píng)價(jià),建立一種P2P網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制模型。為提高該訪問(wèn)控制模型的安全性,引入加密與數(shù)字簽名等安全機(jī)制。仿真結(jié)果表明,系統(tǒng)中節(jié)點(diǎn)交互的成功率有較大提高,達(dá)到了預(yù)期安全設(shè)計(jì)的目標(biāo)。如何解決訪問(wèn)速度和信任評(píng)價(jià)粒度的平衡問(wèn)題是今后的研究方向。

參考文獻(xiàn)

［1]黃桂敏,周 婭,武小年.對(duì)等網(wǎng)絡(luò)［M］.北京:科學(xué)出版社,2011.

［2]Azuri C.Internet Study 2007:P2P File Sharing Still Dominates the World Wide Internet［EB/OL］.(2007-11-21).http://ww.ipoqpe.com.

［3]劉 浩,賀文華.具有小世界特性的語(yǔ)義覆蓋網(wǎng)絡(luò)模型［J］.計(jì)算機(jī)工程,2012,38(13):79-82,88.

［4]劉義春.一個(gè)基于信任的P2P訪問(wèn)控制模型［J］.計(jì)算機(jī)工程與應(yīng)用,2008,44(1):145-147.

［5]洪 帆,崔國(guó)華,付小青.信息安全概論［M］.武漢:華中科技大學(xué)出版社,2005.

［6]林 闖,封富君,李俊山.新型網(wǎng)絡(luò)環(huán)境下的訪問(wèn)控制技術(shù)［J］.軟件學(xué)報(bào),2007,18(4):955-966.

［7]趙貴方,李 真,張學(xué)杰.P2P網(wǎng)絡(luò)資源共享中基于信譽(yù)的訪問(wèn)控制［J］.云南大學(xué)學(xué)報(bào):自然科學(xué)版,2007, 29(s2):238-240.

［8]李俊青,李新友,謝圣獻(xiàn),等.P2P網(wǎng)絡(luò)動(dòng)態(tài)精細(xì)粒度訪問(wèn)控制研究［J］.計(jì)算機(jī)應(yīng)用研究,2009,26(4): 1467-1470.

［9]劉益和.基于興趣分類、信任和安全等級(jí)的P2P訪問(wèn)控制［J］.北京工業(yè)大學(xué)學(xué)報(bào),2010,36(5):674-678.

［10]王汝傳,徐小龍,李致遠(yuǎn),等.對(duì)等網(wǎng)絡(luò)安全技術(shù)［M］.北京:科學(xué)出版社,2012.

［11]Kwakernaak H.An Algorithm for Rating Multiple-aspect Alternatives Using Fuzzy Sets［J］.Automatica,1979, 15(5):615-616.

［12]孫林柱,楊 芳.非確定信息評(píng)價(jià)的變權(quán)模糊方法［J］.數(shù)學(xué)的實(shí)踐與認(rèn)識(shí),2009,39(6):12-17.

［13]謝季堅(jiān),劉承平.模糊數(shù)學(xué)方法及其應(yīng)用［M］.武漢:華中科技大學(xué)出版社,2000.

［14]雷建云,崔國(guó)華,邢光林,等.可計(jì)算的基于信任的授權(quán)委托模型［J］.計(jì)算機(jī)科學(xué),2008,35(10):73-75,85.

［15]洪 霞.P2P網(wǎng)絡(luò)中基于多域信任的訪問(wèn)控制研究［D］.武漢:華中科技大學(xué),2007.

編輯 劉 冰

Access Control Model of P2P Based on Trust Fuzzy Evaluation

GONG Ao,LIU Hao
(Department of Information Science and Engineering, Hunan University of Humanities,Science and Technology,Loudi 417000,China)

Drawing lessons from the basic principles of social trust network,this paper proposes an access control mode of P2P based on trust of fuzzy evaluation.The trust relationship between nodes is divided into three aspects,direct trust, knowledge of trust,and recommendation trust.It adopts fuzzy theory to evaluate the trust of nodes in P2P network,and realizes access control by extending the Multi-level Security(MLS)mechanism.Before the transaction can be generated between the nodes,according to the trust level of the object node,the subject node grants it different access privileges,so that,the goal of P2P network security is achieved.Some security mechanisms,such as encryption and digital signature,are introduced into this model,as a result,this model is capable of effectively restraining several typical security attacks such as impostor,eavesdrop,and sybil attack.When the proportion of malicious nodes in P2P network is changing,the contrast experiment is doing with the network containing the access control model and without this model.Results show that the success interaction rate of nodes is greatly improved.

P2P network;fuzzy evaluation;access control;Multi-level Security(MLS);authorization;security strategy

龔 翱,劉 浩.基于信任模糊評(píng)價(jià)的P2P訪問(wèn)控制模型［J］.計(jì)算機(jī)工程,2015,41(3):125-129.

英文引用格式:Gong Ao,Liu Hao.Access Control Model of P2P Based on Trust Fuzzy Evaluation［J］.Computer Engineering,2015,41(3):125-129.

1000-3428(2015)03-0125-05

:A

:TP393

10.3969/j.issn.1000-3428.2015.03.024

湖南省自然科學(xué)基金資助項(xiàng)目(11JJ3074);湖南省科技計(jì)劃基金資助項(xiàng)目(2012GK3117);湖南省教育廳科學(xué)研究基金資助項(xiàng)目(12C0744)。

龔 翱(1981-),男,講師、碩士,主研方向:網(wǎng)絡(luò)安全,軟件工程;劉 浩,副教授、博士后。

2014-01-28

:2014-05-09 E-mail:fluxshadow@126.com