【文章內(nèi)容簡介】 計算的概念，為信任模型在計算機領(lǐng)域的研究奠定了基石。Gambetta把信任定義為：主體對客體特定行為的可能性預期，取決于經(jīng)驗，并隨著客體行為的不斷變化而修正。由此可見：信任是主觀的；信任是動態(tài)的，受一些不能監(jiān)控的行為的影響；信任的級別依賴于行為，反之信任也影響行為。本文研究P2P網(wǎng)絡(luò)環(huán)境下的信任問題，在P2P環(huán)境下，一般用信譽來表示節(jié)點的可信任程度，信譽值是通過某種特定的算法，根據(jù)節(jié)點的歷史行為其評估的可信程度的數(shù)值量化表示，該信譽值可供其它節(jié)點查詢以便了解該節(jié)點的可信程度。一個網(wǎng)絡(luò)信任模型TM( Trust Model) 可以形式化的定義如下:TM = { Entry , Value , Function , Event , Protocol , Network}其中:Entry ——— 實體集合,包括節(jié)點、用戶、鏈路以及其他各種資源；Value ——— 屬性集合,即與信任計算相關(guān)的各個實體的屬性集合,如公鑰、信任度等屬性；Function ———映射或函數(shù)集合,即各實體 屬性之間的映射關(guān)系；Event ———事件集合,即網(wǎng)絡(luò)中發(fā)生的各種事件,如節(jié)點下，上載資源、節(jié)點惡意行為等；Protocol ———協(xié)議集合,即節(jié)點進行交互活動中為了維護信任管理體系所遵循的協(xié)議集合；Network ———網(wǎng)絡(luò)模型,即代表信任模型所依賴的網(wǎng)絡(luò)模型。網(wǎng)絡(luò)模型Network也可以簡單的抽象為一個有向圖G =〈U ,L〉,其中U 表示節(jié)點集合, L 表示有向邊的集合,不同的網(wǎng)絡(luò)模型中節(jié)點之間的關(guān)系不同,因而有不同的邊集合。網(wǎng)絡(luò)模型Network又可以簡單抽象為一個有向圖G =〈V ,E〉,其中V 表示節(jié)點集合, E 表示有向邊的集合,不同的網(wǎng)絡(luò)模型中節(jié)點之間的關(guān)系不同,因而有不同的邊集合。P2P網(wǎng)絡(luò)安全問題主要是缺乏可靠的信任機制對P2P網(wǎng)絡(luò)中節(jié)點的行為進行約束和控制。因此,建立P2P 網(wǎng)絡(luò)的信任模型, 使得對等節(jié)點能夠在同等服務可選的條件下選擇信任級別高的節(jié)點進行通訊, 這樣可在一定程度上有效解決P2P網(wǎng)絡(luò)的安全問題。目前基于P2P 環(huán)境的信任模型的研究可以歸為以下幾類 :1)集中控制模型：在這類系統(tǒng)中, 有少數(shù)通過CA 頒發(fā)的證書加以保證的中心節(jié)點負責整個網(wǎng)絡(luò)的監(jiān)督, 定期通告違規(guī)的節(jié)點。這類系統(tǒng)往往是中心依賴的, 存在可擴展性、單點失效等問題。這類實際系統(tǒng)的實例有On sale Exchange, eBay, eDonkey等。2)基于局部推薦：在這類系統(tǒng)中, 節(jié)點通過詢問有限的其他節(jié)點以獲取某個節(jié)點的信任值, 一般采取簡單的局部廣播的手段, 其獲取的節(jié)點信任值往往是局部的和片面的。如Cornelli對Gnutella的改進建議就是采用這種方法。3)數(shù)據(jù)簽名：這種方法不追求節(jié)點的可信度,而是強調(diào)數(shù)據(jù)的可信度。以文件共享應用為例, 在每次下載完成時, 用戶對數(shù)據(jù)的真實性進行判定,如果認可數(shù)據(jù)的真實性, 則對該數(shù)據(jù)進行簽名, 獲取簽名越多的數(shù)據(jù)(文件) , 其真實性越高。然而, 該方法僅針對數(shù)據(jù)共享應用(如文件共享), 無法防止集體欺詐行為, 即惡意的群體對某個不真實數(shù)據(jù)的集體簽名。目前流行的文件共享應用Kazaa采用的就是該方法。4)全局可信度模型：為獲取全局的節(jié)點信任值, 該類模型通過相鄰節(jié)點間相互滿意度的迭代,從而獲取節(jié)點全局的信任值。Stanford 的e igenRep是目前已知的一種典型全局信任模型。e igenRep的核心思想是: 當節(jié)點i需要了解任意節(jié)點k的全局信任值時, 首先從k 的交互節(jié)點(曾經(jīng)與k 發(fā)生過交互的節(jié)點j)獲知節(jié)點k的信任值, 然后根據(jù)這些交互節(jié)點自身的局部信任值(從i的角度來看)綜合出k 的全局信任值。信任數(shù)據(jù)反映了網(wǎng)絡(luò)運行過程中各實體的歷史信息，通過它可以預測實體，是信任模型中最基本的組成部分。在計算信任度的過程中,需要大量相關(guān)數(shù)據(jù),但保存所有實體歷史數(shù)據(jù)的方案顯然是不可行的,將造成存儲空間的不足。但如果數(shù)據(jù)量過少,也會影響實體信任度的評估準確性，特別是無法保證信任評估的動態(tài)性。數(shù)據(jù)的存儲模式中的核心問題是數(shù)據(jù)存儲的位置、數(shù)據(jù)的分布及相互關(guān)系。為了簡化計算,目前常用系統(tǒng)都是把一個實體的信任數(shù)據(jù)集中在一點存放,而不是分散存放,因此,后兩個問題可不考慮。數(shù)據(jù)存儲的位置在不同的信任模型中不同,就節(jié)點與其檔案節(jié)點的對應關(guān)系來看,可以分為多對一 ,一對一 和多對多三種情形。多對一的模式即集中式信任數(shù)據(jù)存儲模式，就是所有節(jié)點的信任數(shù)據(jù)都存儲于單一節(jié)點。多對一模式的優(yōu)點很明顯,信任數(shù)據(jù)全部存放在同一個可信的中心信任服務器,存取方式較簡單,更新也比較方便。但是它存在著所有集中式系統(tǒng)共有的缺陷,也就是負載不均衡,可伸縮性不強,另外由于所有節(jié)點都知道其檔案節(jié)點的位置,因此容易遭受DoS 攻擊,還存在單點失效問題。因此采用集中式信任數(shù)據(jù)存儲模式不是理想的方案,不能夠體現(xiàn)P2P 的優(yōu)越性。一對一模型是指把指定節(jié)點的信任數(shù)據(jù)存放在另一個唯一對應的節(jié)點，該模式將信任數(shù)據(jù)分散在大量的其它節(jié)點中,使得單個節(jié)點用于維護信任數(shù)據(jù)的負載得以均衡,但其可靠性嚴重依賴于DHT 等散列函數(shù)的可靠性,例如Chord 和CAN 一般是針對節(jié)點的IP 地址進行Hash ,這樣IP 地址固定的節(jié)點其對應的檔案節(jié)點也就固定,因而難以防止協(xié)同作弊。由于P2P 網(wǎng)絡(luò)的動態(tài)特性,這樣的信任數(shù)據(jù)模型維護開銷也容忽視。多對多模式中每個節(jié)點的信任數(shù)據(jù)保存于多個節(jié)點,因而可以避免因節(jié)點失效造成信任數(shù)據(jù)丟失節(jié)點的信任數(shù)據(jù)就被冗余存儲在多個檔案節(jié)點中,從任意一個檔案節(jié)點都可以取到相同的信任數(shù)據(jù),不但可以保證信任系統(tǒng)的可靠性,同時也可以用來鑒別信任數(shù)據(jù)的真?zhèn)?。但是這種方法存儲和更新開銷過大,保持多個備份的同步也比較困難,給系統(tǒng)帶來不必要的負擔。還有一種方案是預先路由表中存儲各鄰居節(jié)點的信任數(shù)據(jù),在傳遞查詢請求的過程中預先計算下一跳節(jié)點的信任度,選擇可信的路由和目的節(jié)點,稱為信任敏感的路由技術(shù)。這種方法的特點是在查詢過程就可以進行信任數(shù)據(jù)的統(tǒng)計和計算,最終定位可信節(jié)點,而不需要獲取全部信任數(shù)據(jù)后再一并計算,因而效率比較高,但節(jié)點的信任數(shù)據(jù)存儲在鄰居節(jié)點,同樣存在安全性和同步困難問題,而在某些拓撲感知的P2P系統(tǒng)中,地理位置接近的節(jié)點往往ID 也相近,因此無法防止協(xié)同作弊的出現(xiàn)。由于P2P 網(wǎng)絡(luò)中信任模型使用場合較多,在保證系統(tǒng)安全性、可靠性、公平性等特性的同時,用戶更關(guān)心的是它的開銷問題,需要將其自身維護開銷降至最低。為了降低信任模型的開銷,首先需要降低信任評估算法的復雜度,但信任算法過于簡單,則會抵消信任機制的效果。另外由于信任計算是一種分布計算方式,信任數(shù)據(jù)的存儲模式對計算信任度的開銷也有重要影響,如果數(shù)據(jù)存儲過于分散,數(shù)據(jù)量過大,在計算信任度時網(wǎng)絡(luò)傳輸開銷也較大。那么信任數(shù)據(jù)的存儲模式應該具有哪些特征,才能保證信任模型的安全、高效、快捷呢?我們認為,理想的信任數(shù)據(jù)存儲模式應當具有以下特性:(1) 全局性。應當存儲整個網(wǎng)絡(luò)對實體的信任數(shù)據(jù),而不應只考慮自身或者局部的信任數(shù)據(jù),以防止片面地評價。這一點主要取決于信任模型采用的信任計算模型。(2) 均衡性。即信任數(shù)據(jù)的存儲不能過于集中,集中不符合P2P 網(wǎng)絡(luò)的設(shè)計初衷,而應當均勻地分布在P2P 網(wǎng)絡(luò)中,采取基于DHT 算法的方式可以達到這種均衡性。(3) 安全性。信任數(shù)據(jù)本身的安全性是保證信任機制安全性的關(guān)鍵因素,因而信任數(shù)據(jù)必須以安全的方式存放。這就要求任意節(jié)點不應知道本身的信任數(shù)據(jù)存放的確切位置,檔案節(jié)點也不了解存放的數(shù)據(jù)的具體情況,以防作弊,惡意篡改其信任數(shù)據(jù)。這就需要強大的加密機制和DHT 機制,最好是將邏輯地址和物理地址分離的方法。(4) 可用性。P2P 環(huán)境具有動態(tài)性,節(jié)點會動態(tài)地加入和退出,因而要保證信任數(shù)據(jù)的可用性,就要保證檔案節(jié)點隨時可用,要求對信任數(shù)據(jù)冗余存放,在部分檔案節(jié)點失效后,信任機制仍然能夠正常運行。(5) 高效性。需要提高計算效率和傳輸效率,降低計算開銷和傳輸開銷。由于信任數(shù)據(jù)的分散存儲,信任數(shù)據(jù)的讀取和更新都需要借助網(wǎng)絡(luò)傳輸,從而增加了帶寬開銷。因此要求存取信任數(shù)據(jù)所經(jīng)過的網(wǎng)絡(luò)跳數(shù)盡可能少,這樣才能減少傳送時間,降低傳輸開銷。另外也可采取數(shù)據(jù)壓縮方法進一步減少實際傳遞的數(shù)據(jù)量。其中,某些特征之間是相互制約的,比如可用性和高效性,如果單考慮可用性,片面地增加檔案節(jié)點的數(shù)量,可能在獲取信任數(shù)據(jù)時效率比較高,但在更新信任數(shù)據(jù)時則效率較低。因此,在設(shè)計信任模型時,需要全面考慮,根據(jù)實際系統(tǒng)的需求作好取舍。通過對信任模型的闡述了解到在沒有有效管理機制的P2P網(wǎng)絡(luò)中，建立能夠抑制所有攻擊模式的信任模型是非常困難的，除了要能夠抑制節(jié)點的攻擊外，在建立信任模型的時候，要充分考慮信任模型是否具有規(guī)模可擴展性，在信任計算以及信任信息存儲方面的可擴展性，以及信任信息傳播過程中的帶寬開銷問題。此外，在節(jié)點動態(tài)進出網(wǎng)絡(luò)頻繁的情況下，信任模型的容錯性或健壯性也是需要特別強調(diào)的。第三章 典型的信任模型研究信任, 目前作為解決分布式網(wǎng)絡(luò)安全性的重要手段, 主要解決網(wǎng)絡(luò)節(jié)點的可信性問題, 也就是說一個節(jié)點對另一個節(jié)點所采取的策略是不是信任的問題。信任是社會生活的基本事實, 是一種預期, 是相信他人未來的可能行動的賭博。所謂賭博, 也就是博弈。博弈論是20 世紀80年代以來由一般的應用數(shù)學理論, 一躍成為主流經(jīng)濟學的核心內(nèi)容, 成了幾乎所有領(lǐng)域經(jīng)濟學家的基本分析工具和共同語言。經(jīng)典博弈論是基于一種“完全理性”的假設(shè), 要求行為主體應具有完善的判斷和預測能力, 并且始終追求其自身利益的最大化。但完全理性的假設(shè)并不普遍, Alchian 基于生物學進化論“自然選擇”思想, 允許人通過模仿、試錯以適應不斷變化的環(huán)境, 提出了進化博弈理論?！安┺恼摗弊g自英文Game Theory，以前翻譯為“對策論”。所謂博弈論，就是根據(jù)信息分析和能力判斷，研究多決策主體之間的行為相互作用及其相互平衡，以使收益或效用最大化的一種理論。 P2P網(wǎng)絡(luò)在復雜多樣、動態(tài)多變、層次交疊環(huán)境中, 進行數(shù)據(jù)、信息、服務之間的相互交換、轉(zhuǎn)移，形成網(wǎng)絡(luò)系統(tǒng)的動態(tài)、連續(xù)、不確定的狀態(tài)。然而由于長期的不同形式及過程的演化的發(fā)展，使整個系統(tǒng)趨向更高級的有序化發(fā)展，自組織形成一個動態(tài)、有機的整體，整個系統(tǒng)通過各節(jié)點的交互和協(xié)作解決問題。節(jié)點之間的交互與協(xié)作的基礎(chǔ)就是信任。信任策略的選取也保證了網(wǎng)絡(luò)節(jié)點之間的協(xié)作，從而也保證了網(wǎng)絡(luò)的安全性與穩(wěn)定性。節(jié)點信任策略的選取是通過與其他節(jié)點反復交互即博弈, 不斷地模仿與試錯,動態(tài)調(diào)整自身策略，從而保證了信任策略的進化穩(wěn)定，也保證了網(wǎng)絡(luò)的安全性與穩(wěn)定性。為清楚地討論網(wǎng)絡(luò)進化的可能趨向和穩(wěn)定性, 下面是理論模型, 進一步深入討論。節(jié)點1不信任信任不信任信任節(jié)點2表31顯示了一次博弈中博弈雙方的收益矩陣其中，為一次博弈中雙方都選擇信任策略時的收益；當一方策略為信任, 而另一方的策略為不信任時， 為信任方的收益，為不信任方的收益, 為雙方都選擇不信任策略時的收益。博弈論的非零和博弈中具代表性的例子是囚徒困境，它反映個人最佳選擇并非團體最佳選擇。在經(jīng)典的“囚徒困境”中, 存在唯一的納什均衡為博弈雙方都選擇不信任策略。但當博弈無限進行下去，博弈雙方都會采用相互信任的策略進行博弈，信任策略成為了唯一的納什均衡，這在經(jīng)濟學中的非合作重復博弈理論中被稱為子博弈精練納什均衡，是得到證明存在的。這樣，將非合作博弈理論引入到P2P網(wǎng)絡(luò)，分析解決節(jié)點間的信任進化機制,從理論上保證了策略均衡的存在性和網(wǎng)絡(luò)進化的穩(wěn)定性。現(xiàn)在考慮在網(wǎng)絡(luò)全部節(jié)點參與的情況下，在節(jié)點間隨機配對進行博弈。假設(shè)有比例為x的節(jié)點采取信任策略，而比例為1 x的節(jié)點采取不信任策略。因為網(wǎng)絡(luò)帶寬等資源的限制，博弈節(jié)點的學習速度比較慢，也就是說，當一節(jié)點改變策略時，其他節(jié)點模仿學習的速度是比較慢的。那么，如果采用信任策略博弈節(jié)點的期望收益為，采用不信任策略博弈節(jié)點的期望收益為，全部節(jié)點的平均期望收益為Q，那么有： （31） （32） （33） 則采取信任策略的節(jié)點在t階段策略的動態(tài)變化速度，可由下列動態(tài)微分方程表示： （34）將式( 1) ~ ( 3)代入式( 4) 可得復制動態(tài)方程為： （35）在式( 5)的基礎(chǔ)上進一步討論博弈的進化穩(wěn)定策略。也就是說信任策略，如何才能成為網(wǎng)絡(luò)進化的穩(wěn)定策略。因而，要使信任策略成為一個進化穩(wěn)定的策略，就應該滿足以下3個條件：1. 2. 3. 根據(jù)上面的條件，下面對節(jié)點的策略選擇，即信任策略的選擇及其動力基礎(chǔ)進行分析。信任策略的選擇，動力學基礎(chǔ)主要是由博弈收益矩陣的相應參數(shù)所決定，此，接下來對，，四個參數(shù)的大小取值進行討論，對信任計算進行詳細的動力分析。為實現(xiàn)上述目的，可以采取以下措施:1) 當 增大，即建立相應的懲罰機制，加大懲罰力度，使選擇不信任策略成為一種風險很大、收益很小的行為。2) 當增大，即提高信任策略的收益，鼓勵和促進博弈方選擇信任策略，降低失信的機會收益，從而使信任成為一種自動約束機制。3) 當遠大于，這樣趨向0，初始狀態(tài)選擇信任策略的概率遠大于選擇不信任策略的概率。雖說 = 0在最初狀態(tài)也是一個穩(wěn)定解，但隨著博弈次數(shù)的增加，節(jié)點在博弈過程中會不斷模仿、學習，博弈雙方的比例因策略動態(tài)調(diào)整而不斷發(fā)生變化，最終 逐步退化為，此時，就成為唯一的一個進化穩(wěn)定策略。信任是人們進行社會交往的基礎(chǔ)，在日常生活中，人們總是選擇那些他們認為值得信任的人作為合作伙伴，并且，在不斷的深入交往中，人們之間的信任關(guān)系也在不斷地更新和傳遞。信任的參數(shù)是因人而異的，因為每個人對信任的理解都不一樣。這樣就形成了一個社會信任網(wǎng)絡(luò)。基于社會信任關(guān)系的分布式網(wǎng)絡(luò)模型，