【文章內(nèi)容簡(jiǎn)介】 機(jī)領(lǐng)域的研究奠定了基石。Gambetta把信任定義為：主體對(duì)客體特定行為的可能性預(yù)期，取決于經(jīng)驗(yàn)，并隨著客體行為的不斷變化而修正。由此可見(jiàn)：信任是主觀的；信任是動(dòng)態(tài)的，受一些不能監(jiān)控的行為的影響；信任的級(jí)別依賴于行為，反之信任也影響行為。本文研究P2P網(wǎng)絡(luò)環(huán)境下的信任問(wèn)題，在P2P環(huán)境下，一般用信譽(yù)來(lái)表示節(jié)點(diǎn)的可信任程度，信譽(yù)值是通過(guò)某種特定的算法，根據(jù)節(jié)點(diǎn)的歷史行為其評(píng)估的可信程度的數(shù)值量化表示，該信譽(yù)值可供其它節(jié)點(diǎn)查詢以便了解該節(jié)點(diǎn)的可信程度。一個(gè)網(wǎng)絡(luò)信任模型TM( Trust Model) 可以形式化的定義如下:TM = { Entry , Value , Function , Event , Protocol , Network}其中:Entry ——— 實(shí)體集合,包括節(jié)點(diǎn)、用戶、鏈路以及其他各種資源；Value ——— 屬性集合,即與信任計(jì)算相關(guān)的各個(gè)實(shí)體的屬性集合,如公鑰、信任度等屬性；Function ———映射或函數(shù)集合,即各實(shí)體 屬性之間的映射關(guān)系；Event ———事件集合,即網(wǎng)絡(luò)中發(fā)生的各種事件,如節(jié)點(diǎn)下，上載資源、節(jié)點(diǎn)惡意行為等；Protocol ———協(xié)議集合,即節(jié)點(diǎn)進(jìn)行交互活動(dòng)中為了維護(hù)信任管理體系所遵循的協(xié)議集合；Network ———網(wǎng)絡(luò)模型,即代表信任模型所依賴的網(wǎng)絡(luò)模型。網(wǎng)絡(luò)模型Network也可以簡(jiǎn)單的抽象為一個(gè)有向圖G =〈U ,L〉,其中U 表示節(jié)點(diǎn)集合, L 表示有向邊的集合,不同的網(wǎng)絡(luò)模型中節(jié)點(diǎn)之間的關(guān)系不同,因而有不同的邊集合。網(wǎng)絡(luò)模型Network又可以簡(jiǎn)單抽象為一個(gè)有向圖G =〈V ,E〉,其中V 表示節(jié)點(diǎn)集合, E 表示有向邊的集合,不同的網(wǎng)絡(luò)模型中節(jié)點(diǎn)之間的關(guān)系不同,因而有不同的邊集合。P2P網(wǎng)絡(luò)安全問(wèn)題主要是缺乏可靠的信任機(jī)制對(duì)P2P網(wǎng)絡(luò)中節(jié)點(diǎn)的行為進(jìn)行約束和控制。因此,建立P2P 網(wǎng)絡(luò)的信任模型, 使得對(duì)等節(jié)點(diǎn)能夠在同等服務(wù)可選的條件下選擇信任級(jí)別高的節(jié)點(diǎn)進(jìn)行通訊, 這樣可在一定程度上有效解決P2P網(wǎng)絡(luò)的安全問(wèn)題。目前基于P2P 環(huán)境的信任模型的研究可以歸為以下幾類 :1)集中控制模型：在這類系統(tǒng)中, 有少數(shù)通過(guò)CA 頒發(fā)的證書(shū)加以保證的中心節(jié)點(diǎn)負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的監(jiān)督, 定期通告違規(guī)的節(jié)點(diǎn)。這類系統(tǒng)往往是中心依賴的, 存在可擴(kuò)展性、單點(diǎn)失效等問(wèn)題。這類實(shí)際系統(tǒng)的實(shí)例有On sale Exchange, eBay, eDonkey等。2)基于局部推薦：在這類系統(tǒng)中, 節(jié)點(diǎn)通過(guò)詢問(wèn)有限的其他節(jié)點(diǎn)以獲取某個(gè)節(jié)點(diǎn)的信任值, 一般采取簡(jiǎn)單的局部廣播的手段, 其獲取的節(jié)點(diǎn)信任值往往是局部的和片面的。如Cornelli對(duì)Gnutella的改進(jìn)建議就是采用這種方法。3)數(shù)據(jù)簽名：這種方法不追求節(jié)點(diǎn)的可信度,而是強(qiáng)調(diào)數(shù)據(jù)的可信度。以文件共享應(yīng)用為例, 在每次下載完成時(shí), 用戶對(duì)數(shù)據(jù)的真實(shí)性進(jìn)行判定,如果認(rèn)可數(shù)據(jù)的真實(shí)性, 則對(duì)該數(shù)據(jù)進(jìn)行簽名, 獲取簽名越多的數(shù)據(jù)(文件) , 其真實(shí)性越高。然而, 該方法僅針對(duì)數(shù)據(jù)共享應(yīng)用(如文件共享), 無(wú)法防止集體欺詐行為, 即惡意的群體對(duì)某個(gè)不真實(shí)數(shù)據(jù)的集體簽名。目前流行的文件共享應(yīng)用Kazaa采用的就是該方法。4)全局可信度模型：為獲取全局的節(jié)點(diǎn)信任值, 該類模型通過(guò)相鄰節(jié)點(diǎn)間相互滿意度的迭代,從而獲取節(jié)點(diǎn)全局的信任值。Stanford 的e igenRep是目前已知的一種典型全局信任模型。e igenRep的核心思想是: 當(dāng)節(jié)點(diǎn)i需要了解任意節(jié)點(diǎn)k的全局信任值時(shí), 首先從k 的交互節(jié)點(diǎn)(曾經(jīng)與k 發(fā)生過(guò)交互的節(jié)點(diǎn)j)獲知節(jié)點(diǎn)k的信任值, 然后根據(jù)這些交互節(jié)點(diǎn)自身的局部信任值(從i的角度來(lái)看)綜合出k 的全局信任值。信任數(shù)據(jù)反映了網(wǎng)絡(luò)運(yùn)行過(guò)程中各實(shí)體的歷史信息，通過(guò)它可以預(yù)測(cè)實(shí)體，是信任模型中最基本的組成部分。在計(jì)算信任度的過(guò)程中,需要大量相關(guān)數(shù)據(jù),但保存所有實(shí)體歷史數(shù)據(jù)的方案顯然是不可行的,將造成存儲(chǔ)空間的不足。但如果數(shù)據(jù)量過(guò)少,也會(huì)影響實(shí)體信任度的評(píng)估準(zhǔn)確性，特別是無(wú)法保證信任評(píng)估的動(dòng)態(tài)性。數(shù)據(jù)的存儲(chǔ)模式中的核心問(wèn)題是數(shù)據(jù)存儲(chǔ)的位置、數(shù)據(jù)的分布及相互關(guān)系。為了簡(jiǎn)化計(jì)算,目前常用系統(tǒng)都是把一個(gè)實(shí)體的信任數(shù)據(jù)集中在一點(diǎn)存放,而不是分散存放,因此,后兩個(gè)問(wèn)題可不考慮。數(shù)據(jù)存儲(chǔ)的位置在不同的信任模型中不同,就節(jié)點(diǎn)與其檔案節(jié)點(diǎn)的對(duì)應(yīng)關(guān)系來(lái)看,可以分為多對(duì)一 ,一對(duì)一 和多對(duì)多三種情形。多對(duì)一的模式即集中式信任數(shù)據(jù)存儲(chǔ)模式，就是所有節(jié)點(diǎn)的信任數(shù)據(jù)都存儲(chǔ)于單一節(jié)點(diǎn)。多對(duì)一模式的優(yōu)點(diǎn)很明顯,信任數(shù)據(jù)全部存放在同一個(gè)可信的中心信任服務(wù)器,存取方式較簡(jiǎn)單,更新也比較方便。但是它存在著所有集中式系統(tǒng)共有的缺陷,也就是負(fù)載不均衡,可伸縮性不強(qiáng),另外由于所有節(jié)點(diǎn)都知道其檔案節(jié)點(diǎn)的位置,因此容易遭受DoS 攻擊,還存在單點(diǎn)失效問(wèn)題。因此采用集中式信任數(shù)據(jù)存儲(chǔ)模式不是理想的方案,不能夠體現(xiàn)P2P 的優(yōu)越性。一對(duì)一模型是指把指定節(jié)點(diǎn)的信任數(shù)據(jù)存放在另一個(gè)唯一對(duì)應(yīng)的節(jié)點(diǎn)，該模式將信任數(shù)據(jù)分散在大量的其它節(jié)點(diǎn)中,使得單個(gè)節(jié)點(diǎn)用于維護(hù)信任數(shù)據(jù)的負(fù)載得以均衡,但其可靠性嚴(yán)重依賴于DHT 等散列函數(shù)的可靠性,例如Chord 和CAN 一般是針對(duì)節(jié)點(diǎn)的IP 地址進(jìn)行Hash ,這樣IP 地址固定的節(jié)點(diǎn)其對(duì)應(yīng)的檔案節(jié)點(diǎn)也就固定,因而難以防止協(xié)同作弊。由于P2P 網(wǎng)絡(luò)的動(dòng)態(tài)特性,這樣的信任數(shù)據(jù)模型維護(hù)開(kāi)銷也容忽視。多對(duì)多模式中每個(gè)節(jié)點(diǎn)的信任數(shù)據(jù)保存于多個(gè)節(jié)點(diǎn),因而可以避免因節(jié)點(diǎn)失效造成信任數(shù)據(jù)丟失節(jié)點(diǎn)的信任數(shù)據(jù)就被冗余存儲(chǔ)在多個(gè)檔案節(jié)點(diǎn)中,從任意一個(gè)檔案節(jié)點(diǎn)都可以取到相同的信任數(shù)據(jù),不但可以保證信任系統(tǒng)的可靠性,同時(shí)也可以用來(lái)鑒別信任數(shù)據(jù)的真?zhèn)巍５沁@種方法存儲(chǔ)和更新開(kāi)銷過(guò)大,保持多個(gè)備份的同步也比較困難,給系統(tǒng)帶來(lái)不必要的負(fù)擔(dān)。還有一種方案是預(yù)先路由表中存儲(chǔ)各鄰居節(jié)點(diǎn)的信任數(shù)據(jù),在傳遞查詢請(qǐng)求的過(guò)程中預(yù)先計(jì)算下一跳節(jié)點(diǎn)的信任度,選擇可信的路由和目的節(jié)點(diǎn),稱為信任敏感的路由技術(shù)。這種方法的特點(diǎn)是在查詢過(guò)程就可以進(jìn)行信任數(shù)據(jù)的統(tǒng)計(jì)和計(jì)算,最終定位可信節(jié)點(diǎn),而不需要獲取全部信任數(shù)據(jù)后再一并計(jì)算,因而效率比較高,但節(jié)點(diǎn)的信任數(shù)據(jù)存儲(chǔ)在鄰居節(jié)點(diǎn),同樣存在安全性和同步困難問(wèn)題,而在某些拓?fù)涓兄腜2P系統(tǒng)中,地理位置接近的節(jié)點(diǎn)往往ID 也相近,因此無(wú)法防止協(xié)同作弊的出現(xiàn)。由于P2P 網(wǎng)絡(luò)中信任模型使用場(chǎng)合較多,在保證系統(tǒng)安全性、可靠性、公平性等特性的同時(shí),用戶更關(guān)心的是它的開(kāi)銷問(wèn)題,需要將其自身維護(hù)開(kāi)銷降至最低。為了降低信任模型的開(kāi)銷,首先需要降低信任評(píng)估算法的復(fù)雜度,但信任算法過(guò)于簡(jiǎn)單,則會(huì)抵消信任機(jī)制的效果。另外由于信任計(jì)算是一種分布計(jì)算方式,信任數(shù)據(jù)的存儲(chǔ)模式對(duì)計(jì)算信任度的開(kāi)銷也有重要影響,如果數(shù)據(jù)存儲(chǔ)過(guò)于分散,數(shù)據(jù)量過(guò)大,在計(jì)算信任度時(shí)網(wǎng)絡(luò)傳輸開(kāi)銷也較大。那么信任數(shù)據(jù)的存儲(chǔ)模式應(yīng)該具有哪些特征,才能保證信任模型的安全、高效、快捷呢?我們認(rèn)為,理想的信任數(shù)據(jù)存儲(chǔ)模式應(yīng)當(dāng)具有以下特性:(1) 全局性。應(yīng)當(dāng)存儲(chǔ)整個(gè)網(wǎng)絡(luò)對(duì)實(shí)體的信任數(shù)據(jù),而不應(yīng)只考慮自身或者局部的信任數(shù)據(jù),以防止片面地評(píng)價(jià)。這一點(diǎn)主要取決于信任模型采用的信任計(jì)算模型。(2) 均衡性。即信任數(shù)據(jù)的存儲(chǔ)不能過(guò)于集中,集中不符合P2P 網(wǎng)絡(luò)的設(shè)計(jì)初衷,而應(yīng)當(dāng)均勻地分布在P2P 網(wǎng)絡(luò)中,采取基于DHT 算法的方式可以達(dá)到這種均衡性。(3) 安全性。信任數(shù)據(jù)本身的安全性是保證信任機(jī)制安全性的關(guān)鍵因素,因而信任數(shù)據(jù)必須以安全的方式存放。這就要求任意節(jié)點(diǎn)不應(yīng)知道本身的信任數(shù)據(jù)存放的確切位置,檔案節(jié)點(diǎn)也不了解存放的數(shù)據(jù)的具體情況,以防作弊,惡意篡改其信任數(shù)據(jù)。這就需要強(qiáng)大的加密機(jī)制和DHT 機(jī)制,最好是將邏輯地址和物理地址分離的方法。(4) 可用性。P2P 環(huán)境具有動(dòng)態(tài)性,節(jié)點(diǎn)會(huì)動(dòng)態(tài)地加入和退出,因而要保證信任數(shù)據(jù)的可用性,就要保證檔案節(jié)點(diǎn)隨時(shí)可用,要求對(duì)信任數(shù)據(jù)冗余存放,在部分檔案節(jié)點(diǎn)失效后,信任機(jī)制仍然能夠正常運(yùn)行。(5) 高效性。需要提高計(jì)算效率和傳輸效率,降低計(jì)算開(kāi)銷和傳輸開(kāi)銷。由于信任數(shù)據(jù)的分散存儲(chǔ),信任數(shù)據(jù)的讀取和更新都需要借助網(wǎng)絡(luò)傳輸,從而增加了帶寬開(kāi)銷。因此要求存取信任數(shù)據(jù)所經(jīng)過(guò)的網(wǎng)絡(luò)跳數(shù)盡可能少,這樣才能減少傳送時(shí)間,降低傳輸開(kāi)銷。另外也可采取數(shù)據(jù)壓縮方法進(jìn)一步減少實(shí)際傳遞的數(shù)據(jù)量。其中,某些特征之間是相互制約的,比如可用性和高效性,如果單考慮可用性,片面地增加檔案節(jié)點(diǎn)的數(shù)量,可能在獲取信任數(shù)據(jù)時(shí)效率比較高,但在更新信任數(shù)據(jù)時(shí)則效率較低。因此,在設(shè)計(jì)信任模型時(shí),需要全面考慮,根據(jù)實(shí)際系統(tǒng)的需求作好取舍。通過(guò)對(duì)信任模型的闡述了解到在沒(méi)有有效管理機(jī)制的P2P網(wǎng)絡(luò)中，建立能夠抑制所有攻擊模式的信任模型是非常困難的，除了要能夠抑制節(jié)點(diǎn)的攻擊外，在建立信任模型的時(shí)候，要充分考慮信任模型是否具有規(guī)?？蓴U(kuò)展性，在信任計(jì)算以及信任信息存儲(chǔ)方面的可擴(kuò)展性，以及信任信息傳播過(guò)程中的帶寬開(kāi)銷問(wèn)題。此外，在節(jié)點(diǎn)動(dòng)態(tài)進(jìn)出網(wǎng)絡(luò)頻繁的情況下，信任模型的容錯(cuò)性或健壯性也是需要特別強(qiáng)調(diào)的。第三章 典型的信任模型研究信任, 目前作為解決分布式網(wǎng)絡(luò)安全性的重要手段, 主要解決網(wǎng)絡(luò)節(jié)點(diǎn)的可信性問(wèn)題, 也就是說(shuō)一個(gè)節(jié)點(diǎn)對(duì)另一個(gè)節(jié)點(diǎn)所采取的策略是不是信任的問(wèn)題。信任是社會(huì)生活的基本事實(shí), 是一種預(yù)期, 是相信他人未來(lái)的可能行動(dòng)的賭博。所謂賭博, 也就是博弈。博弈論是20 世紀(jì)80年代以來(lái)由一般的應(yīng)用數(shù)學(xué)理論, 一躍成為主流經(jīng)濟(jì)學(xué)的核心內(nèi)容, 成了幾乎所有領(lǐng)域經(jīng)濟(jì)學(xué)家的基本分析工具和共同語(yǔ)言。經(jīng)典博弈論是基于一種“完全理性”的假設(shè), 要求行為主體應(yīng)具有完善的判斷和預(yù)測(cè)能力, 并且始終追求其自身利益的最大化。但完全理性的假設(shè)并不普遍, Alchian 基于生物學(xué)進(jìn)化論“自然選擇”思想, 允許人通過(guò)模仿、試錯(cuò)以適應(yīng)不斷變化的環(huán)境, 提出了進(jìn)化博弈理論?！安┺恼摗弊g自英文Game Theory，以前翻譯為“對(duì)策論”。所謂博弈論，就是根據(jù)信息分析和能力判斷，研究多決策主體之間的行為相互作用及其相互平衡，以使收益或效用最大化的一種理論。 P2P網(wǎng)絡(luò)在復(fù)雜多樣、動(dòng)態(tài)多變、層次交疊環(huán)境中, 進(jìn)行數(shù)據(jù)、信息、服務(wù)之間的相互交換、轉(zhuǎn)移，形成網(wǎng)絡(luò)系統(tǒng)的動(dòng)態(tài)、連續(xù)、不確定的狀態(tài)。然而由于長(zhǎng)期的不同形式及過(guò)程的演化的發(fā)展，使整個(gè)系統(tǒng)趨向更高級(jí)的有序化發(fā)展，自組織形成一個(gè)動(dòng)態(tài)、有機(jī)的整體，整個(gè)系統(tǒng)通過(guò)各節(jié)點(diǎn)的交互和協(xié)作解決問(wèn)題。節(jié)點(diǎn)之間的交互與協(xié)作的基礎(chǔ)就是信任。信任策略的選取也保證了網(wǎng)絡(luò)節(jié)點(diǎn)之間的協(xié)作，從而也保證了網(wǎng)絡(luò)的安全性與穩(wěn)定性。節(jié)點(diǎn)信任策略的選取是通過(guò)與其他節(jié)點(diǎn)反復(fù)交互即博弈, 不斷地模仿與試錯(cuò),動(dòng)態(tài)調(diào)整自身策略，從而保證了信任策略的進(jìn)化穩(wěn)定，也保證了網(wǎng)絡(luò)的安全性與穩(wěn)定性。為清楚地討論網(wǎng)絡(luò)進(jìn)化的可能趨向和穩(wěn)定性, 下面是理論模型, 進(jìn)一步深入討論。節(jié)點(diǎn)1不信任信任不信任信任節(jié)點(diǎn)2表31顯示了一次博弈中博弈雙方的收益矩陣其中，為一次博弈中雙方都選擇信任策略時(shí)的收益；當(dāng)一方策略為信任, 而另一方的策略為不信任時(shí)， 為信任方的收益，為不信任方的收益, 為雙方都選擇不信任策略時(shí)的收益。博弈論的非零和博弈中具代表性的例子是囚徒困境，它反映個(gè)人最佳選擇并非團(tuán)體最佳選擇。在經(jīng)典的“囚徒困境”中, 存在唯一的納什均衡為博弈雙方都選擇不信任策略。但當(dāng)博弈無(wú)限進(jìn)行下去，博弈雙方都會(huì)采用相互信任的策略進(jìn)行博弈，信任策略成為了唯一的納什均衡，這在經(jīng)濟(jì)學(xué)中的非合作重復(fù)博弈理論中被稱為子博弈精練納什均衡，是得到證明存在的。這樣，將非合作博弈理論引入到P2P網(wǎng)絡(luò)，分析解決節(jié)點(diǎn)間的信任進(jìn)化機(jī)制,從理論上保證了策略均衡的存在性和網(wǎng)絡(luò)進(jìn)化的穩(wěn)定性?，F(xiàn)在考慮在網(wǎng)絡(luò)全部節(jié)點(diǎn)參與的情況下，在節(jié)點(diǎn)間隨機(jī)配對(duì)進(jìn)行博弈。假設(shè)有比例為x的節(jié)點(diǎn)采取信任策略，而比例為1 x的節(jié)點(diǎn)采取不信任策略。因?yàn)榫W(wǎng)絡(luò)帶寬等資源的限制，博弈節(jié)點(diǎn)的學(xué)習(xí)速度比較慢，也就是說(shuō)，當(dāng)一節(jié)點(diǎn)改變策略時(shí)，其他節(jié)點(diǎn)模仿學(xué)習(xí)的速度是比較慢的。那么，如果采用信任策略博弈節(jié)點(diǎn)的期望收益為，采用不信任策略博弈節(jié)點(diǎn)的期望收益為，全部節(jié)點(diǎn)的平均期望收益為Q，那么有： （31） （32） （33） 則采取信任策略的節(jié)點(diǎn)在t階段策略的動(dòng)態(tài)變化速度，可由下列動(dòng)態(tài)微分方程表示： （34）將式( 1) ~ ( 3)代入式( 4) 可得復(fù)制動(dòng)態(tài)方程為： （35）在式( 5)的基礎(chǔ)上進(jìn)一步討論博弈的進(jìn)化穩(wěn)定策略。也就是說(shuō)信任策略，如何才能成為網(wǎng)絡(luò)進(jìn)化的穩(wěn)定策略。因而，要使信任策略成為一個(gè)進(jìn)化穩(wěn)定的策略，就應(yīng)該滿足以下3個(gè)條件：1. 2. 3. 根據(jù)上面的條件，下面對(duì)節(jié)點(diǎn)的策略選擇，即信任策略的選擇及其動(dòng)力基礎(chǔ)進(jìn)行分析。信任策略的選擇，動(dòng)力學(xué)基礎(chǔ)主要是由博弈收益矩陣的相應(yīng)參數(shù)所決定，此，接下來(lái)對(duì)，，四個(gè)參數(shù)的大小取值進(jìn)行討論，對(duì)信任計(jì)算進(jìn)行詳細(xì)的動(dòng)力分析。為實(shí)現(xiàn)上述目的，可以采取以下措施:1) 當(dāng) 增大，即建立相應(yīng)的懲罰機(jī)制，加大懲罰力度，使選擇不信任策略成為一種風(fēng)險(xiǎn)很大、收益很小的行為。2) 當(dāng)增大，即提高信任策略的收益，鼓勵(lì)和促進(jìn)博弈方選擇信任策略，降低失信的機(jī)會(huì)收益，從而使信任成為一種自動(dòng)約束機(jī)制。3) 當(dāng)遠(yuǎn)大于，這樣趨向0，初始狀態(tài)選擇信任策略的概率遠(yuǎn)大于選擇不信任策略的概率。雖說(shuō) = 0在最初狀態(tài)也是一個(gè)穩(wěn)定解，但隨著博弈次數(shù)的增加，節(jié)點(diǎn)在博弈過(guò)程中會(huì)不斷模仿、學(xué)習(xí)，博弈雙方的比例因策略動(dòng)態(tài)調(diào)整而不斷發(fā)生變化，最終 逐步退化為，此時(shí)，就成為唯一的一個(gè)進(jìn)化穩(wěn)定策略。信任是人們進(jìn)行社會(huì)交往的基礎(chǔ)，在日常生活中，人們總是選擇那些他們認(rèn)為值得信任的人作為合作伙伴，并且，在不斷的深入交往中，人們之間的信任關(guān)系也在不斷地更新和傳遞。信任的參數(shù)是因人而異的，因?yàn)槊總€(gè)人對(duì)信任的理解都不一樣。這樣就形成了一個(gè)社會(huì)信任網(wǎng)絡(luò)?；谏鐣?huì)信任關(guān)系的分布式網(wǎng)絡(luò)模型， 在無(wú)法通過(guò)證書(shū)認(rèn)證確定實(shí)體