多域环境下基于信任的P2P访问控制模型

刘浩

湖南人文科技学院计算机科学技术系，湖南娄底 417000

多域环境下基于信任的P2P访问控制模型

刘浩

湖南人文科技学院计算机科学技术系，湖南娄底 417000

有效的访问控制机制是P2P网络的研究热点之一，然而传统的访问控制机制并不能适用于P2P网络这样的分布式管理系统。针对该问题，给出了一种多域环境下的P2P网络访问控制模型（TMAC）。它采用了社会网络的基本原理，将系统节点划分成若干个不同的域，通过扩展多级安全机制来实现访问控制。节点之间进行交互时，主体节点将根据目标节点关于请求资源类别的信任等级授予不同的访问权限，以达到系统安全的目标。通过仿真实验验证了该访问控制模型的有效性。

P2P网络；社会网络；信任；多域；访问控制；多级安全

1 引言

P2P网络（Peer-to-Peer network）技术发展迅速，P2P技术能极大地提高Internet的资源共享利用率，目前已成为计算机网络技术研究领域的热点[1]。P2P网络本质上是建立在Internet上的一种分布式覆盖网络，其目标是充分利用Internet环境中各种可能的端系统进行大规模的协作工作和资源共享[2]。有关研究[3-4]表明，P2P应用的通信流量已经在Internet通信总量中占到了相当大的比重。但是，由于P2P网络的分布式管理、自组织等特点，使其安全成为了非常突出的问题，这将严重影响P2P网络应用的发展。有效的访问控制机制能保证网络资源不被非法使用和访问，是维护网络系统安全、保护网络资源的重要手段。目前的主流访问控制机制有DAC、MAC、RBAC[5]和使用控制（UCON）模型[6]。然而，传统的访问控制机制并不能适用于P2P网络这样的分布式管理系统。

文献[7]给出了一种P2P权限委托与访问控制模型，该模型包括权限委托协议、资源检索协议和访问控制协议三个主要协议；但是该权限委托机制是粗线条的，权限委托的传递有待完善。封孝生等人针对无法区分通过信任模型计算出相同结果的用户的问题，提出了基于信任和属性的访问控制[8]，然而节点属性信息的获取、语义一致性分析、转换和映射，以及属性信息的引入会带来较大的时间开销。Nguyen等提出基于上下文和风险评估的访问控制模型[9]，结合上下文参数对风险产生可能性和风险对可用性、完整性和保密性的影响分别作了分析，但是并没有考虑历史信息对当前决策的影响。Azzedin和Maheswaran提出基于行为的P2P信任模型[10]，然而该信任机制没有考虑到主观信任的模糊性等特点。文献[11]提出一种基于Bayesian信任的P2P网络访问控制模型，利用Bayesian网络技术构造P2P网络中的信任机制，从网络节点间信任的角度建立访问控制模型，根据主客体的Bayesian信任网络对实体访问权限进行动态管理。

在社会网络中，根据生物学中“物以类聚，人以群居”的原理，具有共同兴趣爱好的人，相互之间容易建立关系[12]。比如一个对天文有着浓厚兴趣的人，往往更关注与天文知识相关的资源，也更喜欢和同样爱好天文知识的人交流。人们这种心理需求上的差异，在P2P网络中表现为对资源需求的差异[13]。本文研究的基本思路是：根据社会网络的基本原理，综合节点对信息资源的共享度和节点的查询行为，作为节点对信息资源的综合喜好度，根据节点的综合喜好度，将系统内的节点划分为若干不同的域。节点之间进行交互时，主体节点将根据目标节点关于请求资源类别的信任等级授予不同的访问权限，以达到系统安全的目标。本文的分析场景为P2P网络资源共享应用，为了描述方便，称该访问控制模型为TMAC（An Access Contorl model of P2P based on Trust in Multi-domain environments）。

2 TMAC的设计与实现

2.1 TMAC的多域体系结构

在P2P网络中，用户节点的访问往往具有明显的局部特性，或者说节点对信息资源的需求具有“小世界”现象，这既反映在节点所共享的信息资源种类上，也反映在节点对信息资源种类的查询行为上[14]。因此，在TMAC中，将P2P网络中的各个小世界组成为不同的域。那么在划分域时，应该综合考虑节点对信息资源的共享度和节点的查询行为。下面给出一些相关的定义。

设TMAC系统中，所有节点的集合为P={pi|1≤i≤N}。所有共享资源的集合为R={rj|1≤j≤M}，假设系统中所有共享的资源均可以使用分类器F分为K个类别。

定义1设该网络系统所有共享的资源类别集合为RS={rsj|1≤j≤K}。

定义2称Sij为节点pi对资源类别rsj的共享度，一般约定，正比于节点pi共享资源类别rsj的数量。

定义3称Fij为节点pi对资源类别rsj的查询度，根据局部性原理，节点pi查询历史次数越多的资源类别，预期查询的可能性也越大，因此，Fij正比于节点pi查询资源类别rsj的历史次数。

定义4设节点pi对资源类别rsj的喜好度为Gij=αSij+(1-α)Fij。

其中α是一个自定义参数，用以平衡资源共享度和资源查询度的比重。

在TMAC中，根据系统资源的种类数K将所有节点划分成K个不同的域，并且，每个节点被划分到资源类别喜好度最高的域内。如图1所示，假设按照网络中的资源类别和节点对资源类别的喜好度将所有节点划分为音乐、电影和图片三个不同的喜好域。

图1 TMAC域划分的简单示例

2.2 信任算法

根据社会学原理，信任可以简单地描述为一个实体对另外一个实体将要实施的特定行为的预测。社会网络中人与人之间的信任管理非常微妙和复杂，它的影响因素很多，在这方面社会学方面的研究很多，也比较成熟。在P2P网络，用户节点本质上代表人类的个体，两者有着极大的相似性。一般来说，信任具有主观性、多样性、动态性和上下文相关性。由此，本文采用文献[15]的信任计算方法，信任可以定义为某个体对另一个体关于特定行为且与经验（历史）、知识和推荐相关的一个值。那么在TMAC中，可给出如下定义：

定义6设节点pi对节点pj关于共享资源类别rst的信任经验值可表示为：

其中，σ为时间衰减参数，并且σ∈(0.5，1)，表示过去的事件评价值随时间逐步衰减，Ik为节点pi对节点pj关于共享资源类别rst的第k个事件的评价，ωk为第k个事件的权重，与该事件的重要性有关。

节点pi对节点pj关于共享资源类别rst的信任知识来自两个方面，一个是直接的知识，另外一个是间接的知识，也就是节点pj关于共享资源类别rst的声誉。

定义7节点pi对节点pj关于共享资源类别rst的信任知识可表示为：

其中，d，r分别表示直接知识和间接知识，wd和wr分别为直接知识和间接知识所占的权重；wd，wr∈[0，1]，d，r∈[-1，1]。

定义8表示节点pi得到的关于共享资源类别rst对节点pj的信任推荐值可表示为：

其中，Kpj为与节点j关于共享资源类别rst有发生过交互的节点集合，根据TMAC的域划分原理，关于资源类别rst的共享交互多发生在资源类别rst所属的域内，因此为了避免全局搜索，减少计算量，这里Kpj的元素在资源类别rst所属的域内选取。wpl是节点pl的推荐可信度，一般情况下，它正比于pi对节点pl关于共享资源rst的信任经验值。在此，假设信任值高的节点推荐可信度要高，信任值低的节点推荐可信度同样要低。根据社会网络的原理，这一假设往往是正确的。

定义9根据应用背景定义一个权重向量，W= [WE，WΦ，WΠ]。其中，WE，WΦ，WΠ分别表示信任经验、信任知识和信任推荐所占的权重。

最后，得到节点pi对节点pj关于共享资源类别rst的信任值：

2.3 访问控制模型

多级安全（MLS）访问策略是目前各种安全系统广泛应用的安全策略之一，并且这种多级安全策略正好满足P2P系统的分布式访问控制的要求。在TMAC中，将根据请求节点的信任值等级分配访问控制级别，并对相应的访问权限进行动态的管理。由于信任值具有一定的上下文相关性，并且资源的安全级别也具有一定类别属性；所以本文的基本思想是将系统的所有资源进行分类，然后按类别对资源的安全性进行分等级，同样，根据每个用户节点关于某类资源共享的信任值对其分安全等级，只有当用户节点关于某类资源共享的信任等级大于或者等于资源（在其所在资源类别中）的级别时，才允许访问，否则拒绝访问。

设rs1是某类资源，下面就以该类资源为例进行说明，显然，对于其他类别的资源是相同的。设R1={r1，r2，…}表示系统中资源类别rs1的资源集合，P、R1上的二元关系A=P×R1决定了哪个节点可以合法访问该类别的哪个资源。(pi，rj)∈A表示节点pi可以访问资源rj。

定理1设＜A，≤＞和＜R1，≤＞都是偏序集，按以下方式定义A×R1上的二元关系≤，任意(a1，r1)，(a2，r2)∈A×R1，当且仅当a1≤a2，r1≤r2时有(a1，r1)≤(a2，r2)。那么＜A×R1，≤＞也是一个偏序集。

显然，容易证明定理1是成立的。

TMAC的多级安全策略：

规则1当用户节点的级别高于资源的级别，并且信任度高于最低信任阈值，则用户节点对该资源可具有“读”操作的权限。

规则2当用户节点的级别低于资源的级别，并且信任度高于最低信任阈值，则用户节点对该资源可具有“写”操作的权限。

规则3当主体节点具有对某一资源的访问权限，并且可以将这一访问权限进行传递，则主体节点可以授予目标节点对该资源的访问权限。

规则4当主体节点具有对某一资源的访问权限，并且具有对这一访问权限的撤销权，则主体节点可以撤销目标节点对该资源的访问权限。

规则5任何合法的主体节点都具有创建资源的权限。

规则6只有资源的拥有者才可以改变资源的安全级别。

规则7当目标节点的信任值变化时，主体节点可以改变该目标节点的信任等级。

TMAC主要包括用户授权、安全策略、访问控制决策、审计和信任计算等模块，如图2所示。

图2 TMAC的模块组成图

其中，安全策略模块主要是定义用户访问级别和授权、定义资源的访问级别和授权以及访问控制规则等。访问控制决策主要是确定是否与目标节点交互以及判断用户是否具有它所请求操作的权限。审计模块主要是用来实现对操作的记录和跟踪。

2.4 模型的实现

下面以文件共享系统为应用场景来说明TMAC在P2P网络中的实现。TMAC的处理流程如图3所示。

图3 TMAC的处理流程

身份认证是每个系统安全的第一道屏障，当某节点有访问请求时，必须对其身份进行识别，然后才能依据节点的信任度来确定是否与之交互，以及提供何种访问权限。由于P2P系统没有权威的第三方参与，只能由参与交互的双方来确认对方的身份。TMAC中，每个节点的标识符是个二元组（DomainID，PeerID），其中DomainID称为域标识符，根据节点对各种资源类别的喜好度来确定，每个节点被划分到喜好度最大的资源类别域内；PeerID称为域内标识符，每个节点独立地生成一个非对称密钥对，其中公钥用来生成节点的域内标识符，或者说PeerID是这个公钥的哈希值。

在确认了目标节点的身份后，主体节点需要确定目标节点请求访问的资源所属类别，然后关于该资源类别，对目标节点进行信任评估，即根据交互历史、知识和推荐三个方面来计算目标节点的信任值，计算方法见2.2节。每次交互，在TMAC中有交互监控机制来监视交互过程中节点的行为，以保证交互朝期望的方向发展。并且，通过监控机制，双方将对本次交互进行评价，以更新交互历史信息。

在TMAC中，将访问控制级别分为4级：U（一般），C（秘密）、Sc（机密）、Ts（绝密）；并且有U≤C≤Sc≤Ts。对于目标节点，主体将根据它对请求访问资源所属类别的信任值，指定相应的级别。对于某一资源，主体节点将根据该资源在所属类别中的机密程度指定相应的级别；那么每类资源被划分为四个互不相交的子集，分别为H(U)，H(C)，H(Sc)，H(Ts)。就特定的某一类资源来说，对应关系如表1所示。

表1 信任值与访问级别对应关系

现假定目标节点pj需要访问资源类别rst中某一资源r1，并且通过搜索机制找到主体节点pi有该资源。则：

（1）主体节点pi对目标节点pj进行身份认证，若认证通过则继续下步操作，否则直接拒绝交互。

（2）根据2.2节的信任算法，计算主体节点pi对目标节点pj关于资源所属类别rst的信任值。（3）若＜0.2，则主体节点pi将拒绝与目标节点pj交互。

所谓授权，是授予目标节点对主体节点上的资源的访问权限。只有当目标节点获得一定的访问级别时，才能得到相应的资源访问授权。节点要想获得相应的权限，就必须达到相应的访问控制级别，而达到一定的访问控制级别，就需要使自己的信任度达到一定的阈值，才能获得对特定资源的访问权限。

3 仿真实验与分析

为了验证TMAC的有效性，采用JAVA语言设计了一个类似P2Psim的系统模拟软件，通过该模拟软件设计TMAC的网络模型。实验假设系统节点总数为1 000，系统共享的文件类别数为10，节点随机分布在10个域内。系统中只有行为良好节点（Good）和纯恶意节点（Bad）两类。Good节点总是提供好的交互，该类节点在系统中所占的比重为PG，获得成功交互的概率为SPG；而Bad节点将提供大量失败的交互，该类节点在系统中所占的比重为PB，获得成功交互的概率为SPB。在理想情况下，系统中只有行为良好的节点，则一次随机交互获得成功的概率为Pideal=SPG，如果没有引入访问控制机制，则一次随机交互获得成功的概率为Pnature=SPG* PG+SPB*PB。显然，引入了访问控制机制后系统节点之间交互成功的概率Preality应该满足Pnature≤Preality≤Pideal，并且Preality越趋于理想状态Pideal，访问控制机制越有效。其中系统参数设定d=r=0.5，WE=0.4，WΦ= 0.3，WΠ=0.3。

现假定SPG=0.9，SPB=0.3。考察当恶意节点在系统中所占比重变化时Pnature，Preality，Pideal的变化情况。比较结果如图4所示。可以看出，引入了TMAC之后，系统中节点交互的成功率有较大的提高，这说明TMAC达到了预期的设计目标。

图4 Pnature，Preality，Pideal的变化比较图

4 结束语

本文依据社会网络构建的基本原理和多级安全访问控制策略，给出了一种多域环境下基于信任的P2P访问控制模型。如何解决访问速度和访问控制粒度的平衡问题，或者说在保证访问速度的前提下，以更加灵活的方式来提高访问控制粒度，是未来的研究工作之一。

[1]Moore D，Hebeler J.对等网[M].苏忠，战晓雷，译.北京：清华大学出版社，2003.

[2]刘浩，张连明，朱同林.基于Cayley图的P2P覆盖网络模型研究[J].吉林大学学报：工学版，2011，41（5）：1414-1420.

[3]Azuri C.iPoque，Internet study 2007：P2P file sharing still dominates the world wide Internet[EB/OL].[2012-12-15]. http：//www.ipoque.com.

[4]ThetruepictureofPeer-to-Peerfile-sharing[EB/OL]. [2012-12-15].http：//www.Cache-logic.com/researh/Cache-Logic_Analyst_Presnetation_july2004.Pdf.

[5]洪帆，崔国华，付小青.信息安全概论[M].武汉：华中科技大学出版社，2005.

[6]林闯，封富君，李俊山.新型网络环境下的访问控制技术[J].软件学报，2007，18（4）：955-966.

[7]刘仁芬，张常有，李彦华.P2P权限委托与访问控制模型[J].计算机工程，2009，35（4）：165-166.

[8]封孝生，王桢文，黎湘运.P2P中基于信任和属性的访问控制[J].计算机科学，2011，38（2）：28-31.

[9]Nguyen N D，Le X N，Yonil Z，et al.Enforcing access control using risk assessment universal multiservice networks[C]//Proceedings of the 4th European Conference on Universal Multiservice Networks.Washington DC：IEEE Computer Society，2007.

[10]Azzedin F，Masheswaran M.Trust modeling for peer-topeerbasedcomputingsystems[C]//Proceedingsofthe 17th International Symposium on Parallel and Distributed Processing.Washington DC：IEEE Computer Society，2003.

[11]刘义春，张焕国.基于Bayesian信任网络的P2P访问控制[J].小型微型计算机系统，2011，32（6）：1059-1063.

[12]Paul C，James D，Victor G.Social network model of construction[J].Journal of Construction Engineering and Management，2008，134（10）：804-812.

[13]刘浩.具有社会网络特性的P2P分层搜索机制[J].计算机工程，2012，38（24）：86-89.

[14]刘浩，贺文华.具有小世界特性的语义覆盖网络模型[J].计算机工程，2012，38（13）：79-82.

[15]雷建云，崔国华，邢光林，等.可计算的基于信任的授权委托模型[J].计算机科学，2008，35（10）：73-75.

LIU Hao

Department of Computer Science,Hunan Institute of Humanities,Science and Technology,Loudi,Hunan 417000,China

Effective access control mechanism is one of research hotspots in the domain of P2P network,however,the traditional access control mechanisms are not suitable for P2P network,the distributed management system.This paper proposes an access control model of P2P network in multi-domain environments（TMAC）.It adopts the rationale of social network.The nodes of system will be distributed in several domains.By extending the multiple level security mechanism, this model realizes the access control.Before the transaction would be generated between the nodes,according to the trust level of the object node about the resource category,the subject node grants it different access privileges,so that,the goal of system security is achieved.The results of experiment show that this access control model is effective.

Peer-to-Peer network;social network;trust;multi-domain;access control;multiple level security

A

TP393

10.3778/j.issn.1002-8331.1302-0148

LIU Hao.Access control model of P2P based on trust in multi-domain environments.Computer Engineering and Applications,2014,50（21）：116-120.

湖南省自然科学基金（No.11JJ3074）；湖南省科技计划资助项目（No.2012GK3117）；湖南省教育厅科研资助项目（No.12C0744）；中南大学博士后科研基金的资助项目；湖南省计算机应用技术重点学科资助。

刘浩（1977—），男，博士后，讲师，研究领域为P2P网络及其安全。E-mail：lhkd0407@126.com

2013-02-25

2013-04-22

1002-8331（2014）21-0116-05

CNKI出版日期：2013-05-13，http://www.cnki.net/kcms/detail/11.2127.TP.20130513.1601.001.html