一种P2P网络中面向资源的信任评价方法

摘要

本发明公开了一种P2P网络中面向资源的信任评价方法，属于网络安全技术领域。本方法为：首先为网络中每个资源分配一信任管理节点；然后每个资源的信任管理节点汇总其它节点对该资源的评价数据，并计算该资源的全局信任值以及响应其他节点的信任查询；节点下载资源之前向资源的信任管理节点查询该资源的全局信任值，根据返回结果决定是否下载该资源；最后下载该资源的节点将对该资源的评价数据报告给该资源的信任管理节点，以便更新该资源的全局信任值。同时本发明针对信任评价中常见的泄漏、篡改、伪造、共谋等问题提出了相应的解决方案，使用户可以直接掌握资源的可信度，从而有效解决了恶意资源的扩散问题，大大提高了P2P网络的安全性。

说明书

技术领域

本发明涉及一种信任评价方法，尤其涉及一种P2P网络中面向资源的信任评价方法，属于网络安全技术领域。

背景技术

P2P网络的出现在很大程度上改变了互联网的发展模式，许多网络应用程序依托P2P网络技术得到迅速发展，尤其是广泛应用的多种文件共享系统，如eMule，BT等。但是由于P2P网络天生的开放性、匿名性和难以追踪性等特点，恶意节点很容易加入到网络中来，因此，P2P网络在带来便利的同时，也带来一些安全威胁，甚至成为了病毒传播的途径。为了解决这一问题，人们借鉴现实社会中人际关系网络的特征，在P2P网络中引入了信任模型机制，该机制对网络中恶意节点的活动起到了比较好的抑制作用。

现有的信任模型的共同特征是：面向节点，把节点作为信任值度量的最小单位，根据节点间的交互历史来反映节点的信任值，同时通过对具有不同信任值的节点的区别对待，达到遏制网络中恶意节点行为的目的。在实际实现中又分为集中式与分布式，局部信任模型与全局信任模型等多种类型。

但是，目前P2P网络出现的一些新变化逐渐导致这种基于个体(节点)的信任模型越来越不能满足现实的需要：第一，恶意资源的扩散程度远远超出一般人的想象。恶意资源的存在不再是一个可以忽视的小问题，必须引起足够的重视和警惕；第二，恶意资源不再仅仅存在于所谓的“恶意节点”，许多非“恶意节点”也往往保存和共享了许多恶意资源，尽管这些节点往往是在无意中保存和共享的；第三，与节点是否恶意相比，人们更关心的是资源的性质，来自所谓正常节点的恶意资源一样是不能接受的。

因此，在目前的P2P网络环境下，面向节点的信任模型的局限性越来越明显：

1)面向节点的信任模型仅将节点简单划分为正常节点与恶意节点，而不考虑资源的具体情况。这一做法已经不适应当前的现实情况。如前所述，在恶意资源大量泛滥的形势下，恶意资源已经不再是所谓“恶意节点”的独有现象，对用户行为的研究表明，大量用户无意中下载和共享恶意资源，使得恶意资源大量渗透到正常用户节点中去，并通过这些正常节点继续扩散。在这种情况下，面向节点的信任模型划分正常节点与恶意节点的做法已经不再适用，我们不能再简单地以节点是否恶意判定它所保存的资源是否恶意。

2)面向节点的信任模型以单个节点为管理对象和管理单位，只能将节点作为一个整体管理，对于节点中的资源则鞭长莫及。在目前P2P网络中恶意资源泛滥的情况下，面向节点的信任模型无法具体管理到节点中的资源，管理粒度相对较粗，不能适应目前的新形势。面向节点的信任模型尽管可以阻止一部分恶意资源的传播，但是仍有相当一部分恶意资源(特别是那些保存于所谓正常节点上的恶意资源)仍然可以继续传播，这反映了面向节点的信任模型在遏制恶意资源传播方面的局限性。

3)面向节点的信任模型从节点的角度管理网络，对用户来说针对性不强，不能真正满足用户的需要。因为对用户来说，资源才是用户所真正关心的对象，节点只是承载资源的载体。用户一般不关心他所要下载的资源保存于何处、保存该资源的节点是什么样的节点等，他更关心的是他所要下载的资源是否可信以及是否是他真正想要下载的资源，而面向节点的信任模型无法回答用户所关心的这些问题。

鉴于面向节点的信任模型的上述局限性，以及目前P2P网络所面临的安全威胁，本发明提出一种可以有效解决上述问题的面向资源的信任模型ROTrust(Resource OrientedTrust)，实现对资源的信任评价，该信任模型是一种完全面向资源的信任模型，与传统的面向节点的信任模型相比，该模型杜绝了渗透到“正常节点”的恶意资源的扩散问题，同时提出了若干安全措施，提高了信任模型对资源评价结果的可靠性，特别是有效的防止了节点捏造评价的问题，只有真正下载过资源的节点方可提交评价，大大提高了恶意节点攻击的难度。

发明内容

本发明的目的是提出一种P2P网络中面向资源的信任评价方法，以资源本身的信任值为考虑重点，不再考虑节点本身信任值的影响，避免了上述面向节点信任模型进行评价的种种局限性，即使在恶意资源广泛散布的网络环境中，依然可以正常运行。

本发明的技术内容：一种P2P网络中面向资源的信任评价方法。具体实现步骤如下：

首先，当资源加入到网络中时，系统为每个资源随机分配相应的信任管理节点；资源的信任管理节点负责汇总其他节点对该资源的所有评价信息，在此基础上计算得到该资源的全局信任值；节点在下载资源之前首先向相关信任管理节点该资源询问该资源的信任值；节点根据反馈结果决定是否下载该资源；下载完成后做出自己对该资源的评价，并提交给资源的信任管理节点。

本发明的技术方案为：

一种P2P网络中面向资源的信任评价方法，其步骤为：

1)为网络中每个资源分配一个信任管理节点；

2)每个资源的信任管理节点汇总其它节点对该资源的评价数据，并计算该资源的全局信任值以及响应其他节点的信任查询请求；

3)节点下载资源之前向资源的信任管理节点查询该资源的全局信任值，根据返回结果决定是否下载该资源；

4)下载该资源的节点将对该资源的评价数据报告给该资源的信任管理节点，以便该信任管理节点更新该资源的全局信任值。

进一步的，所述方法中采用分布式Hash表建立资源与信任管理节点之间的对应关系，从而实现为网络中每个资源分配所述信任管理节点；所述评价数据包括：下载资源的节点ID、下载来源节点ID、资源ID、评价结果。

进一步的，所述方法中采取如下安全措施保证所述全局信任值的计算结果可靠性：

1)采用加密措施保证评价数据在传输过程中不被泄漏或者篡改；

2)通过记录节点的下载行为防止节点提交伪造的评价数据；

3)采用IP检测机制防止某些节点共谋行为。

所述加密措施如下：下载资源的节点向该资源的信任管理节点提交评价数据前，首先获得该信任管理节点的公钥并对该评价数据进行加密，然后再将其传输到该信任管理节点；信任管理节点在收到评价数据后，使用自己的私钥对该评价数据进行解密，对于无法正确解密的提交数据视为无效数据予以废弃。

所述防止节点提交伪造评价数据的方法如下：节点i从节点j中成功下载资源k之后，节点j提交本次下载描述信息给资源k的信任管理节点M_k，所述下载描述信息包括：下载节点ID、下载来源节点ID、下载资源ID；当节点i向信任管理节点M_k提交关于资源k的评价数据时，信任管理节点M_k检索下载记录列表，如果没有节点i的下载记录，则将节点i所提交的评价数据标记为无效数据，不予考虑；如果存在节点i的下载记录，则汇总节点i所提交的评价数据，同时信任管理节点M_k将该下载记录删除。

所述IP检测机制的步骤为：

a)信任管理节点收集所有下载资源的节点的IP地址，将这些IP地址组成集合P；

b)对集合P中的IP地址进行聚类运算，按照运算结果将集合P中的节点IP分成多个聚类；

c)当接收到新的节点评价数据时，对节点IP进行聚类计算：如果该节点IP相似度计算结果表示它属于现有的聚类中的某一类，则将其加入到现有聚类中，并更新该聚类的节点数量，如果该聚类的节点数量超过规模阈值，则认为存在团体共谋；如果该节点IP不属于任何现有聚类，则为其单独建立一个聚类，将该节点加入到该新聚类中，并重复步骤c)，继续处理下一个节点评价数据。

所述对集合P中的节点IP的聚类方法如下：

1)将节点的IP地址以32位二进制形式表示，

2)引入一个32位二进制数字序列R，所述其中，后面0的个数n取值为8到16，n越小，聚类的要求越严格；

3)将二进制形式的节点IP与数字序列R进行“与”运算，将计算结果相同的节点划分为同一聚类。

所述信任管理节点汇总评价数据的方法为：信任管理节点清除被认为具有团体共谋的聚类中的节点评价数据后重新计算该资源的全局信任值。

本发明的积极效果为：

在一般的面向节点的信任模型中，用户只能查询到节点的信任值，无法把握所要下载的资源的可信度，导致恶意资源可以通过混迹于可信节点中而大肆传播。

本发明通过为每个资源分配信任管理节点，使用户可以直接掌握资源的可信程度，可以更加有效地阻止恶意资源在网络中的扩散。同时，本发明在资源信任管理节点的分配以及汇总计算资源信任值等方面都采取了若干安全措施，提高了信任模型对资源信任评价的安全性。

附图说明

图1为面向资源的信任模型示意图。

图2为面向资源的信任评价方法流程图。

具体实施方式

首先为每个资源分配信任管理节点，其次由信任管理节点汇总计算资源信任值，建立资源的信任管理体系，然后，当节点需要下载资源时，预先向信任管理节点查询该资源的信任值，根据返回结果决定是否下载。

参考附图，下面给出详细过程：

第一步，为每个资源分配信任管理节点：

评价数据本身的安全对于所有的信任模型来说都是至关重要的，不合适的数据存储方式容易导致评价数据遭受篡改、伪造等攻击。一般来说，首先要避免将评价数据本地存储，因为在这种情况下，评价数据很容易被篡改，我们无法保证评价数据的可靠性与完整性；其次要保证信任管理节点分配的随机性，不但资源无法自主选择信任管理节点，而且信任管理节点也不能自主选择它的管理对象，避免双方串通作弊。

为了保证评价数据的安全，ROTrust采用分布式处理机制保存和管理资源评价数据。ROTrust通过分布式Hash表建立资源k与信任管理节点M_k之间的对应关系。具体实现过程是通过P2P网络定位算法得到负责管理该资源信任值的节点M_k，从而在资源k与信任管理节点M_k之间建立对应关系，信任管理节点M_k负责计算和保存资源k的信任值，同时也负责响应其他节点对资源k信任值的查询请求。

由于Hash运算的随机性和单向性，资源无法指定自己的信任管理节点，同时，节点也无法指定自己所管理的资源，这样，就避免了节点恶意操纵评价数据的情况，保证了评价数据的安全性。

第二步，通过信任管理节点汇总计算资源信任值

信任管理节点M_j根据其他节点提交的评价数据计算资源的全局信任值，计算结果的可靠是建立在接收到数据可靠的基础上的，但是在实际网络环境中，节点所提交的数据可能在提交过程中被其他节点截获并篡改，甚至某些节点故意提交伪造数据。如果不能对这些数据进行有效的检测和甄别，我们将无法相信由此而得出的计算结果。因此为保证正常运行，安全的信任模型必须要有一定的检测和防范措施，这也是信任值计算过程中最为重要和复杂的一部分。

ROTrust模型分别就信任模型中常见的数据泄漏、篡改、伪造以及节点共谋等问题采取了相应的解决方案，分别具体说明如下：

1数据泄漏、篡改问题

数据的泄漏和篡改是指在节点向信任管理节点提交数据的过程中，如果以明文传输，则所提交的评价数据很容易被第三方截获，造成敏感数据的泄漏。同时，截获数据的第三方也可以将此数据进行一定的修改，然后重新发送到信任管理节点。这样不但严重威胁到原始数据的安全性，也使得某些节点可以很方便的冒用其他节点的身份发起攻击。

为避免此类问题，我们在ROTrust中引入公钥机制对传送信息进行加密处理。评价数据提交者在向信任管理节点提交数据前，首先获得该信任管理节点的公钥并对该评价数据进行加密，然后再将其传输到该信任管理节点。这样，在传输过程中，即使评价数据被某些节点截获，也无法解读其内容，更无法进行篡改。该信任管理节点在收到该评价数据后，使用自己的私钥对该评价数据进行解密，对于无法正确解密的提交数据视为无效数据予以废弃。

我们对此过程举例说明如下：

节点i准备向资源k的信任管理节点M_k提交它对资源k的信任评价，则它首先与信任管理节点M_k取得联系，节点M_k返回自己的公钥p给节点i，节点i使用公钥p加密所要提交的评价数据，并传送给信任管理节点M_k。在这个过程中，除了信任管理节点M_k之外，其他节点因为不知道对应的私钥，无法阅读和修改此数据，保证了评价数据的保密性和完整性。

需要说明的是，虽然我们在这里使用了公钥机制，但是并不需要中心CA的存在，因为我们不需要将公钥与节点身份一一对应，只需保证信任管理节点私钥的私密性即可。

2数据伪造问题

数据伪造是指节点在没有访问过某资源的情况下，凭空捏造对该资源的信任评价数据并将其提交给信任管理节点，使信任管理节点得到错误的计算结果，企图以此操纵资源信任值。

下面我们考虑一种典型的伪造数据攻击过程。

节点i并未下载过资源k，但是它伪造了一个对于资源k的信任评价，并将其提交给资源k的信任管理节点M_k。如果没有有效的检测机制，资源k的信任管理节点M_k将无从分辨评价数据的真伪，同时，如果不能有效的剔除伪造数据，整个信任模型的可靠性将受到严重损害。现有的信任管理机制尚缺乏对此类攻击的抵御措施。

在ROTrust模型中，我们提出了一种检测数据伪造行为的新方案，该方案的核心思想是，信任管理节点除了对资源的信任值进行管理外，同时也负责对资源的下载情况进行跟踪记录，以便识别那些伪造评价的节点并将其排除在外。具体过程如下：

当节点i从节点j中成功下载资源k之后，节点j提交如下的下载描述信息给资源k的信任管理节点M_k：

<download>

<from>j</from>

<to>i</to>

<resource>k</resource>

</download>

该数据表示节点i从节点j中成功的下载了资源k，信任管理节点M_k通过汇总所有接收到的下载记录数据，就可以掌握所有真正下载过资源k的节点的完整记录。由此，当节点i向信任管理节点M_k提交关于资源k的信任评价数据时，信任管理节点M_k检索下载记录列表，如果没有发现关于节点i的下载记录，则认为节点i企图提交伪造数据，将节点i所提交的评价数据标记为无效数据，不予考虑，从而阻止了节点i的攻击行为。如果发现存在节点i的下载记录，则认为节点i所提交的评价数据是真实的，予以采纳，同时，为了避免下载记录数据过多占用信任管理节点M_k的存储空间，在查询过之后，M_k将该下载记录删除，这样使得针对每个下载记录只能提交一次信任评价数据，可以保证：1)避免节点i重复多次提交信任评价；2)避免其他节点利用节点i的下载记录提交伪造数据。

我们通过信任管理节点汇总保存资源下载记录的方法，只采信真正下载过该资源的节点所提交的评价数据，从而避免了未曾下载过资源的节点提交伪造数据的攻击行为。

3节点共谋问题

实践证明，在分布式结构的P2P网络中，单个节点的攻击所能造成的损害比较有限，真正能造成威胁的是多个节点共谋协同发起攻击，而且，参与共谋的节点数量越多，能够造成的危害就越大。如何阻止网络中多个节点共谋一直是P2P网络安全研究的重点问题之一。

如前所述，ROTrust模型通过汇总资源保存节点所提交的下载记录，可以有效识别没有下载过该资源的虚假数据提交者，并将这些节点所提交的伪造数据自动滤除，在这种情况下，没有真正下载过该资源的节点无法参与共谋攻击。对于意图发起协同攻击的节点来说，发起攻击的第一步，就是要集合足够数量的真正下载过该资源的节点，由于下载过某一特定资源的节点在整个网络中的分布一般是随机的和稀疏的，这就使得集合足够数量的下载节点成为一件相当困难的任务，从而大大提高了多个节点共谋发起攻击的难度，增强了ROTrust信任模型的安全性。

尽管如此，多个节点发起共谋攻击的可能性依然存在，尤其在某些特殊情况下，ROTrust模型中的伪造数据检测机制甚至可能被绕过而无法发挥作用。我们考虑下面两种情形：

1)资源保存节点与其他节点一起参与共谋攻击；

2)多个真正下载过该资源的节点参与共谋攻击；

在情形1中，当资源保存节点本身直接参与共谋时，由于信任管理节点所保存的下载记录就是由资源保存节点提交的，在这种情况下，即使某节点从未下载过资源，它也可以在资源保存节点的配合下向信任管理节点提交伪造的评价数据，所以，这些节点可以轻而易举的发起共谋攻击。

在情形2中，足够多的下载过资源的节点集合在一起，组成共谋团体发起攻击。由于该团体的成员都是真正下载过资源的节点，所以他们可以越过ROTrust模型的检测机制发起共谋攻击。

上述两种情况虽然都属于小概率事件，但是在复杂多变的现实网络环境中确实可能发生并被攻击者利用发起攻击。为了阻止上述两种情况下的攻击行为，进一步增强信任模型的安全性，我们在ROTrust模型中引入IP检测机制。

IP检测机制的原理是：由于节点无法自由选择自己的IP地址，所以多个共谋节点的IP分布往往呈现与正常状态不同的聚集状态，通过检测这种IP分布上的差异，我们可以检测出节点的共谋行为。

IP检测的两个重要参数是规模阈值和相似度阈值，前者规定了属于同一聚类的节点数量的可接受上限，后者规定了可归为同一聚类的节点相似度下限。这两个参数的具体取值可以根据实际情况的需要设定。

进行IP检测时，将信任管理节点已经接收到并通过审核的评价数据的来源IP进行聚类运算，将其分成若干个聚类。当接收到新的评价数据时，将此数据的来源IP进行同样的聚类运算，根据聚类运算结果将其加入现有的某聚类中或者自己单独构成一个新聚类。若新人加入某聚类后该聚类的节点数量超过规模阈值，则认为存在共谋攻击的嫌疑，将新数据标记为可疑数据。按照ROTrust模型的规定，可疑数据不参与全局信任值的计算。

更详细的IP检测过程AuditIP(ip)算法如下所述：

1，收集所有下载资源的节点的IP地址，将这些IP地址组成集合P；

2，对集合P中的IP地址进行聚类运算，按照运算结果将集合P中的节点IP分成多个聚类；

具体聚类过程如下：

首先，我们将节点的IP地址以32位二进制形式表示，如IP地址126.59.2.3表示为

0111 1110 0011 1011 0000 0010 0000 0011

其次，我们引入一个形式如下的32位二进制数字序列R：

其中，后面0的个数n一般取值为8到16。我们可以通过改变n的大小以调节相似度阈值的高低，n越小，聚类的要求越严格，可以根据实际情况采取合适的聚类标准。

然后，将二进制形式的节点IP与数字序列R进行与(AND)运算，将计算结果相同的节点划分为同一聚类。

3，接收到新的节点评价数据时，按照节点IP聚类计算的不同结果处理如下：

1)如果该节点IP相似度计算结果表示它属于现有的聚类中的某一类，则将其加入到现有聚类中，并更新该聚类的节点数量，如果超过规模阈值，则认为存在团体共谋，转到步骤4；

2)如果该节点IP不属于任何现有聚类，即与现有节点IP差别很大，则为其单独建立一个聚类，将该节点加入到该新聚类中，并转到步骤3，继续处理下一个节点评价数据。

4，信任管理节点清除被认为具有团体共谋可能的聚类中的节点评价数据后重新计算该资源的全局信任值，不允许具有共谋嫌疑的节点所提交的数据参与对资源全局信任值的计算，以保证计算结果的可靠性。

通过引入IP检测机制，进一步提高了多个节点协同作弊与攻击的难度，实践表明，相当一部分共谋企图可以在IP检测过程中被识别出来，即使在上述两种特殊情况下，也很难发起真正有效的共谋攻击，使节点的共谋攻击行为得到有效的遏制。

本发明提出的信任模型通过上述的加密和检测过程之后，我们将通过筛选的数据都认为是真实可信的，信任管理节点将经过筛选的数据集中起来，计算得到资源的全局信任值。

第三步，节点在下载前向信任管理节点查询资源的信任值

节点在下载资源之前，首先根据资源ID得到该资源的信任管理节点，然后向该信任管理节点查询该资源的全局信任值。信任管理节点在接收到查询请求后，返回相应资源的全局信任值。节点根据从信任管理节点接收到的资源信任值，判断该资源的恶意程度，从而决定是否下载该资源。

由于同一节点可能同时是多个资源的信任管理节点，所以节点在查询信任值时需要说明查询目标资源ID。信任管理节点根据目标资源ID得到相应的信任值并返回。

第四步，对于信任值满足要求的资源，节点执行下载过程，在下载完毕后，下载来源节点需要立即把本次下载行为报告给该资源的信任管理节点，下载节点在得出对资源的评价后，将评价数据报告给该资源的信任管理节点。

报告下载行为时，数据格式如下所示：

<download>

  <from>j</from>

  <to>i</to>

  <resource>k</resource>

</download>

其中，i为下载节点，j为来源节点，k为被下载的资源。上述数据描述了这样一个事实：节点i从节点j成功下载了资源k。

评价数据的格式如下所示：

<rating>

  <from>j</from>

  <to>i</to>

  <resource>k</resource>

  <result>R_ik</result>

</rating>

其中，i为作出评价的节点，k为被评价的资源，R_ik为i对k的评价结果。上述数据主要包含了如下信息：节点i对资源k做出的评价为R_ik。

上述过程基本描述了面向资源的信任模型的结构和运行流程，本发明的核心在于将资源作为信任管理的基本单位。对于本领域技术人员，还可以根据该模型的设计思想设计自己的算法和利用方法，在具体环境中达到最好的效果，从而更有效地提高P2P网络的安全性。

尽管为说明目的公开了本发明的具体实施例和附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。因此，本发明不应局限于最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。