CN102023999A - 一种高防御力的p2p文件共享系统 - Google Patents

Abstract

一种高防御力的P2P文件共享系统，包括：将整个系统抽象成一张信任评价有向图，节点间的信任评价可看作有向图中的边，权值代表信任评价值；每个节点存储其余节点的信任评价信息；系统通过信任评价运作机制对各节点的信任值进行计算以及更新；系统通过分组机制对节点进行分组管理，以节省系统资源；系统通过white washing防御机制来抵御white washing攻击，所述的white washing防御机制包括：建立恶意节点数据库以及恶意文件数据库，通过上述两个数据库对新加入节点进行过滤；对新节点的惩罚机制。本发明具有良好的运作机制，对协同作弊，free riding都有较高的防御力，最重要的特点在于采取了双重防御的机制，对white washing有很高的防御力。

Description

一种高防御力的P2P文件共享系统

技术领域

本发明涉及P2P文件共享系统，特别是涉及一种高防御力的P2P文件共享系统。

背景技术

P2P一般建立在由若干节点所构成的叠加网(overlay)之上。叠加网的特点包括匿名性，自组织性，动态可扩展性等等。任何节点都可参与其中，其行为不为人知，从而为病毒传播、恶意行为等等提供了便利，安全问题也变得更加复杂。可能存在某些节点提供差的、欺骗性的服务(恶意节点)，或者只享受服务却拒绝提供服务(free rider)，也有些节点在信用过低时，会通过重新注册转变为新节点(white washing)获取新的享受服务的权力。

发明内容

本发明所要解决的技术问题就是为了克服上述现有技术存在的缺陷而提供一种高防御力的P2P文件共享系统。

本发明的目的可以通过以下技术方案来实现：一种高防御力的P2P文件共享系统，其特征在于，包括：

(1)系统结构

将整个系统抽象成一张信任评价有向图，节点间的信任评价可看作有向图中的边，权值代表信任评价值，将对节点的信任度评价的计算建模成最短路径的选择，将信任推荐路径的选择抽象为路由算法；每个节点存储其余节点的信任评价信息；

(2)信任评价运作机制

系统通过信任评价运作机制对各节点的信任值进行计算以及更新；

(3)分组机制

系统通过分组机制对节点进行分组管理，以节省系统资源；

(4)对恶意节点或自私节点信任值很低企图通过重新注册时(white washing)的防御机制

系统通过white washing防御机制来抵御white washing攻击，所述的white washing防御机制包括：

(51)建立恶意节点数据库以及恶意文件数据库，通过上述两个数据库对新加入节点进行过滤；

(52)对新节点的惩罚机制。

所述的信任评价运作机制包括信任值的计算以及时槽化的信任值更新。

所述的信任值的计算包括以下步骤：

(31)节点的推荐信任值计算以推荐可信度进行加权：

$\mathrm{RTmkj}\⇐\mathrm{RTmkj}*\mathrm{RCmk};$

(32)去头去尾：

对推荐信任值的前δ个最大值及最小值都加权考虑或置成0，即慎重考虑这些比较极端的推荐，或者干脆删除；

(33)采用迪杰斯特拉Dijkstra算法，计算出节点m到组内其它所有节点的最短路径：

SRVm＝{SRmj}；

(34)将SRV与DTV以λ进行取舍，得到最终信任值(FTV)：

$\mathrm{FTmj}\⇐\mathrm{DTmj}*\mathrm{\λ}+\mathrm{SRmj}*(1-\mathrm{\λ}).$

所述的时槽化的信任值更新包括以下步骤：

(40)设定一个时槽；

(41)将一个时槽内所有需要更新的信任值先暂存起来，等到时槽结束后，算出平均值再更新。

(42)信任值的更新采用慢增快减的方式，使得节点的信任等级积累到一定程度后增加会更加困难，而一旦从事恶意行动，信任等级则迅速降低。

所述的分组机制包括：

根据兴趣、拓扑分布以及参与应用节点数目将节点分为多个组；

为每个组设置一个管理节点GMA，用于管理本组其他节点，并设置一个中心服务器，用于管理所有的管理节点GMA，所有的管理节点GMA构成了一个新的组，该组通过信任评价运作机制对其内各节点的信任值进行计算以及更新；

管理节点GMA由本组内所有成员联名投票产生并进行定期重选。

所述的管理节点GMA由本组内所有成员联名投票产生并进行定期重选包括：

(61)组中的节点会对本组内的其余各个节点计算出其可信度，从中选出最大值，将此节点作为推荐管理节点GMA的候选者，然后，用自己的私钥进行签名，生成一项投票发送到中心服务器；

(62)在中心服务器处保存一个数据库，用于记录每个组内的每个用户的投票及被投票数，在一轮投票完毕后，会选出各个组内得票最多的那个成员作为该组内的GMA，并发送用自己的私钥进行签名的任命状；

(63)新的管理节点GMA一被选出，就会将从中心服务器处得到的任命状发送给本组内所有成员；如果在职期间发现该管理节点GMA信任值下降或有恶意行为，其余节点会向中心服务器要求发起重选GMA的活动，并选出自己认为当前更适合成为本组GMA的节点，并将新的投票更新至中心服务器，这时中心服务器会将原先管理节点GMA的票数相应减少，同时会将新被投节点的票数增加，当中心服务器发现某组内当前管理节点GMA少于或另一节点的票数达到一定的阀值，则会启动GMA更迭过程，发送新的GMA任命状至新的管理节点GMA以及旧的管理节点GMA，并由新的管理节点GMA转发到组内所有节点。

所述的恶意节点数据库内存储有恶意节点的相关信息，该恶意节点的相关信息包括节点IP地址、节点ID号。

所述的恶意文件数据库内存储有恶意文件的相关信息，该恶意文件的相关信息包括大小、名称以及检验值。

所述的对新节点的惩罚机制为当节点相网络请求服务时，对于网络返回的候选节点列表中，该节点首先计算各节点的最终信任评价trust_final，并验证时间令牌，然后计算各请求信任评价trust_requesl，选择合适的节点请求服务。

与现有技术相比，本发明具有良好的运作机制，对协同作弊，free riding都有较高的防御力，最重要的特点在于采取了双重防御的机制，对white washing有很高的防御力。

附图说明

图1为本发明的系统结构示意图。

具体实施方式

下面结合附图对本发明作进一步说明。

一、系统结构概述

从整个网络的角度考虑计算各节点的信任等级，将整个网络抽象成一张信任评价有向图，节点间的信任评价可看作有向图中的边，权值代表信任评价值。如图1所示，节点i对节点j进行信任评价，就是在图中寻找一条路径，其权值最佳。这样对某节点信任度评价的计算可被建模成最短路径的选择，而信任推荐路径的选择可被抽象成为路由算法。图1中I结点对J结点的推荐路径应为：I-＞M5-＞M4-＞J。

模型选择类似链路状态(Link State)路由算法的原理进行计算。一方面链路状态路由算法没有距离矢量(Distance Vector)路由算法因“信任推荐环”产生的“慢收敛问题”，另一方面当系统中某些节点信任值有更新时，会将新信息以增量更新的方式主动广播给网络中其它节点，因而系统的实时性很好，即关于获取两个节点之间的推荐路径的请求可以很快得到响应及答复。

二、信任评价运作机制

A.信任值的计算

为了计算推荐路径，系统中每个节点都要存储其余节点的信任评价相关信息，分别用DT_mij，RT_mij，RC_mij表示在组G_m中i节点对j节点的直接信任评价，推荐信任评价，以及推荐可信度评价。考虑到在协同作弊的情况下，某些节点会恶意夸大或缩小其他节点的信任等级，我们对Dijkstra算法做了四点改进，以此计算节点之间的最终信任评价。改进后的Dijkstra算法如下：

1、节点的推荐信任值计算要以推荐可信度进行加权

$\mathrm{RTmkj}\⇐\mathrm{RTmkj}*\mathrm{RCmk}---\left[1\right]$

2、去头去尾

对推荐信任值的前δ个最大值及最小值都加权考虑或置成0，即慎重考虑这些比较极端的推荐，或者干脆删除。

3、采用Dijkstra算法，计算出节点m到组内其它所有节点的最短路径(The Shortest Route，简称SR)。路径的权值采用积运算：

SRVm＝{SRmj}                [2]

4、将SRV与DTV以λ进行取舍，得到最终信任值(FTV)：

$\mathrm{FTmj}\⇐\mathrm{DTmj}*\mathrm{\λ}+\mathrm{SRmj}*(1-\mathrm{\λ})---\left[3\right].$

B.时槽化的信任值更新：

在每次提供服务之后节点之间的直接信任评价会有所改变，需要广播更新。由于一方面可能存在某些节点，在很短时间内企图大量更新以迅速哄抬或者哄降某节点的信任等级，进行协同作弊；另一方面若某个时间段内信息更新次数过多，节点也会因太过于频繁的信任度收敛计算而负荷太重，从而造成系统紊乱、出错、瘫痪。为避免以上状况，我们考虑引入时槽化。即将一个时槽内所有需要更新的信任值先暂存起来，等到时槽结束后，算出平均值再更新。信任值的更新应体现慢增快减的思想，使得节点的信任等级积累到一定程度后增加会更加困难，而一旦从事恶意行动，信任等级则迅速降低。时槽化和慢增快减的更新是本文的一个特点，这样可以更有效的打击恶意节点。

C.Free riding

由于采用了全局化地相互评级方式，某些只享受服务却拒绝服务的节点，会由于拒绝提供服务被给予低的信任评价，久而久之，信任值会逐渐降低。同时，周围节点与之联系也会减少，其对其他节点的评价及信任推荐与真实情况会越差越远，最后，信任等级降到很低，也成为网络中的孤岛，无法再影响网络运行的效率。

二、分组机制

当系统内部节点越来越多，开销也会越来越大。因为每个节点都要存储其它节点的相关信任信息，当节点数很大时，会造成巨大的存储空间浪费。设系统共有N个节点，若将系统分为K组，每组节点数分别为n₁，n₂，n₃…n_k，时间复杂性：

根据Dijkstra算法可得，不分组的时间复杂性为

O(N²)*N                                  ①

分组后系统时间复杂性为

$O\left(k^2\right)*k+\underset{i=1}{\overset{i=k}{\mathrm{\Σ}}}O\left(n_i^2\right)*n_i$ ②

空间复杂性：

由每个节点都要存储其他节点信任值相关信息及相互之间的信任评价，可得不分组时空间复杂性为

O(N²)*N                                 ③

分组后系统空间复杂性为

$O\left(k^2\right)*k+\underset{i=1}{\overset{i=k}{\mathrm{\Σ}}}O\left(n_i^2\right)*n_i$ ④

①与②相比，③与④相比，显然分组后的复杂性要低很多。我们在overlay上把节点根据兴趣，拓扑分布，以及参与应用节点数目等因素分为很多组。这样一方面使得节点开销更小；另一方面使资源搜索更有效率，每组节点在组内就可以满足大部分需求。当组内成员不能满足需求时，会考虑其他组的节点。系统内部有一台中心服务器，这台服务器是绝对可靠的，每组会有一个管理者(Group Management Agent，简称为GMA)，管理本组其他节点，由中心服务器管理所有GMA。所有的GMA构成了一个新的组，在这个新的组内可以仿效组内节点的信任值的算法继续进行信任值计算和更新。

GMA在系统中起到重要的作用，作为每组的代理节点，要与其他组的GMA进行信任值交流。一旦GMA是恶意节点，或与一些节点协同作弊会比普通节点对系统造成大的多的影响。因此GMA应由本组内所有成员联名投票产生，此外还需要定期重选。可采用如下机制：对于组Gm中的成员i，它会对本组内的其余各个节点计算出其可信度，从中选出最大值，将此节点作为推荐GMA的候选者，然后，用自己的私钥进行签名，生成一项投票发送到中心服务器。在中心服务器处保存一个数据库，用于记录每个组内的每个用户的投票及被投票数，在一轮投票完毕后，会选出各个组内得票最多的那个成员作为该组内的GMA，并发送用自己的私钥进行签名的“委任状”。新的GMA一被选出，就会将从中心服务器处得到的“委任状”发送给本组内所有成员，宣布其上任。如果在职期间发现GMA信任值下降或有恶意行为，一些节点会向中心服务器要求发起重选GMA的活动，并选出自己认为当前更适合成为本组GMA的节点，并将新的投票更新至中心服务器。这时中心服务器会将原先GMA的票数相应减少，同时会将新被投节点的票数增加。当中心服务器发现某组内当前GMA少于或另一节点的票数达到一定的阀值，则会启动GMA更迭过程，发送新的GMA任命状至新的GMA以及旧的GMA，并由新的GMA转发到组内所有节点。整个overlay中所有有关GMA的管理，都由中心服务器统一负责。当然，GMA也对组内成员提供了相应服务，可以享受相应的奖励政策，如更高的信任值及享受服务机率等。

三、white washing防御

由以上对全局模型的表述可知，协议同其它全局信任模型类似，在设计时着重考虑了协同作弊免疫力。因此当协议运作一段时间后，可以很快的将恶意节点，协同作弊团体以及Free Rider节点从网络中隔离。但大多数全局信任模型忽视了以下攻击形式：当一个恶意节点感知到自己已经遭遇信任危机时，它可重新注册一个新的ID，以一个新的身份加入到此P2P网络中，从而享受到与普通新加入节点相同的待遇。在普通信任模型中，对新节点都采取鼓励机制，给予较多的享受服务的权力。显然，只依赖全局信任模型抵制white washing显得过于保守，其网络收敛速度也不能让人满意。

为了抵御white washing攻击，我们引入双重机制：1，通过恶意节点及文件数据库过滤，2，对新节点的惩罚机制。

模型在中心服务器处维护一恶意节点数据库，其中存储恶意节点的相关信息，如IP地址ID号等。关于恶意节点的报告工作应由GMA定期完成。但完全基于节点的信息会使协议可操作性不大，恶意节点重新注册进入时，很可能更换ID及伪造IP地址，而处于同一NAT地址保护下的多台主机也会有相同的IP地址信息。因此模型中也同时维护恶意文件数据库，其中存储有恶意文件的大小、名称以及检验值(如CRC)等信息。此信息亦可由GMA代理定期从网络中各善意节点处收集。当新节点注册加入时，网络向其要求可共享文件的基本信息列表，并与病毒数据库中列表项进行匹配，若发现文件列表中可疑文件数达到一定比例，则拒绝其加入。

对于所有成功注册进入的节点，网络会依据各节点的新老程度区分对待。对于有相同最终信任评价的节点，其存在于网络的时间越短，则其享受到服务的可能性越小，而其对外提供服务的可能性越高。若为善意节点，因为会高频度地向外提供好的服务及正确的信任推荐，其信任等级很快得到提高，进而也以更高的比例成功享受到服务；而企图white washing的恶意节点虽然能通过伪造IP地址，伪造共享文件列表等方式成功注册进入网络，则会因为高频度地向外提供恶意服务或恶意推荐，很快被信任模型孤立。Free Rider亦是如此。

不同于一般信任模型，本模型中新注册节点享受服务受限，这种措施实际上是对新节点的一种惩罚。这种惩罚机制的合理性证明如下：

设系统的服务等级为x(即系统中善意节点比例)反映整个系统服务状态，用户可以获得的服务利益(其中α＞0，0＜β＜1为系统常数)，R为节点提供服务的开销，Q为即接受的服务，实际收益为Q-R。

对于恶意节点的惩罚因子p＜1，则

W_bad＝αx^β-pαx^β分别为单个善意节点和恶意节点实际获得的利益。在动态平衡情况下，设新加入和退出系统节点比例都是d，可以得到以下结果：

1.静态状态下，实际利益为W₁＝x*W_good

2.不惩罚所有新节点，实际利益为： $W2=({\mathrm{\αx}}^{\mathrm{\β}}-\frac{(1-d)x+d+(1-x)(1-d)(1-p)}{x})*x$

3.惩罚所有新节点，实际利益为

$W_3=({\mathrm{\αx}}^{\mathrm{\β}}-\frac{(1-d)x+d(1-p)+(1-x)(1-d)(1-p)}{x})$

$*(1-d)x+\mathrm{dx}({\mathrm{\αx}}^{\mathrm{\β}}(1-p)-$

$\frac{(1-d)x+d(1-p)+(1-x)(1-d)(1-p)}{x}$

显然W₁＞W₂＞W₃，可以看出对恶意节点的惩罚是有利的，如果考虑到新加入节点中恶意节点所占比例可能更大，更应该对新节点进行惩罚。因为系统无法区分出新节点的性质，所以必须对所有新节点进行一定的惩罚。而这样做，对新加入的善意节点有失公平，因此鼓励新节点通过为别的节点提供善意服务迅速提高信任等级，而新加入的恶意节点会因恶意服务更快地降低等级从而被屏蔽掉。

具体实现如下：

Token_i＝{Timestamp_register，NodeID_i，NodeID_server}-K_private(server)

其中Token_i为节点i注册时所获时间令牌，Timestamp_register是节点的注册时间戳，NodeID_server是注册服务器的节点ID，NodeID_new为新注册节点ID。注册服务器通过自己的私钥对新节点的时间戳加密进行身份证明。

基于以上概念，对于每个节点的信任评价会有以下三种形式：

trust_final＝α*DT+(1-α)*RT        [4]

trust_request＝trust_final*γ₁+β*   [5]

(Timestamp-Timestamp_base)*(1-γ₁)

trust_serve＝trust_final*γ₂-β*     [6]

(Timestamp-Timestamp_base)*(1-γ₂)

其中trust_final为节点根据全局信任模型计算出的信任评价，而trust_request及trust_serve分别为节点需请求服务或提供服务时对端节点的信任评价。DT和RT分别表示对某节点的直接评价和推荐评价；α，β，γ₁，γ₂分别为权值，其中γ₁会比较低，γ₂会比较高，其意义在于表示对新节点享受服务的权利进行限制，即对新节点进行惩罚，但优先让其为别的节点服务；Timestamp_base是时间戳的基准值。

从以上各式可知，当节点i向网络请求服务时，对于网络返回的候选节点列表中，i首先计算各节点的trust_final，并验证时间令牌，然后计算各trust_request，选择合适的节点请求服务。显然注册时间越晚的节点其提供服务的可能性越高；当节点i收到节点j发起的服务请求时，其会计算对j的tru_stserve，若节点j注册时间越晚，则信任值越低，享受到服务的可能性越小。

以上两种机制积极主动，在恶意节点或Free Rider刚注册尚未进入网络时就尝试加以屏蔽，在其成功注册后逼迫其在很短时间内暴露恶意行为并加以屏蔽，所以算法收敛性会很高。尽管恶意节点在成功地重新注册后能通过提供好的服务累积信任值，而全局信任模型本身的恶意节点免疫力能保证其在暴露恶意行为后很快被孤立。因此这一机制与全局信任模型相互协作，能对协同作弊，Free Riding及whitewashing提供全方位的防御，使协议本身具有很高的可靠性。

Claims (9)

1.一种高防御力的P2P文件共享系统，其特征在于，包括：

(1)系统结构

将整个系统抽象成一张信任评价有向图，节点间的信任评价可看作有向图中的边，权值代表信任评价值，将对节点的信任度评价的计算建模成最短路径的选择，将信任推荐路径的选择抽象为路由算法；每个节点存储其余节点的信任评价信息；

(2)信任评价运作机制

系统通过信任评价运作机制对各节点的信任值进行计算以及更新；

(3)分组机制

系统通过分组机制对节点进行分组管理，以节省系统资源；

(4)对恶意节点或自私节点信任值很低企图通过重新注册时(white washing)的防御机制

系统通过white washing防御机制来抵御white washing攻击，所述的white washing防御机制包括：

(41)建立恶意节点数据库以及恶意文件数据库，通过上述两个数据库对新加入节点进行过滤；

(42)对新节点的惩罚机制。

2.根据权利要求1所述的一种高防御力的P2P文件共享系统，其特征在于，所述的信任评价运作机制包括信任值的计算以及时槽化的信任值更新。

3.根据权利要求2所述的一种高防御力的P2P文件共享系统，其特征在于，所述的信任值的计算包括以下步骤：

(31)节点的推荐信任值计算以推荐可信度进行加权：

$\mathrm{RTmkj}\⇐\mathrm{RTmkj}*\mathrm{RCmk};$

(32)去头去尾：

对推荐信任值的前δ个最大值及最小值都加权考虑或置成0，即慎重考虑这些比较极端的推荐，或者干脆删除；

(33)采用迪杰斯特拉Dijkstra算法，计算出节点m到组内其它所有节点的最短路径：

SRVm＝{SRmj}.

(34)将SRV与DTV以λ进行取舍，得到最终信任值(FTV)：

$\mathrm{FTmj}\⇐\mathrm{DTmj}*\mathrm{\λ}+\mathrm{SRmj}*(1-\mathrm{\λ}).$

4.根据权利要求2所述的一种高防御力的P2P文件共享系统，其特征在于，所述的时槽化的信任值更新包括以下步骤：

设定一个时槽；

将一个时槽内所有需要更新的信任值先暂存起来，等到时槽结束后，算出平均值再更新。

(42)信任值的更新采用慢增快减的方式，使得节点的信任等级积累到一定程度后增加会更加困难，而一旦从事恶意行动，信任等级则迅速降低。

5.根据权利要求3或4所述的一种高防御力的P2P文件共享系统，其特征在于，所述的分组机制包括：

根据兴趣、拓扑分布以及参与应用节点数目将节点分为多个组；

为每个组设置一个管理节点GMA，用于管理本组其他节点，并设置一个中心服务器，用于管理所有的管理节点GMA，所有的管理节点GMA构成了一个新的组，该组通过信任评价运作机制对其内各节点的信任值进行计算以及更新；

管理节点GMA由本组内所有成员联名投票产生并进行定期重选。

6.根据权利要求5所述的一种高防御力的P2P文件共享系统，其特征在于，所述的管理节点GMA由本组内所有成员联名投票产生并进行定期重选包括：

组中的节点会对本组内的其余各个节点计算出其可信度，从中选出最大值，将此节点作为推荐管理节点GMA的候选者，然后，用自己的私钥进行签名，生成一项投票发送到中心服务器；

在中心服务器处保存一个数据库，用于记录每个组内的每个用户的投票及被投票数，在一轮投票完毕后，会选出各个组内得票最多的那个成员作为该组内的GMA，并发送用自己的私钥进行签名的任命状；

新的管理节点GMA一被选出，就会将从中心服务器处得到的任命状发送给本组内所有成员；如果在职期间发现该管理节点GMA信任值下降或有恶意行为，其余节点会向中心服务器要求发起重选GMA的活动，并选出自己认为当前更适合成为本组GMA的节点，并将新的投票更新至中心服务器，这时中心服务器会将原先管理节点GMA的票数相应减少，同时会将新被投节点的票数增加，当中心服务器发现某组内当前管理节点GMA少于或另一节点的票数达到一定的阀值，则会启动GMA更迭过程，发送新的GMA任命状至新的管理节点GMA以及旧的管理节点GMA，并由新的管理节点GMA转发到组内所有节点。

7.根据权利要求1或6所述的一种高防御力的P2P文件共享系统，其特征在于，所述的恶意节点数据库内存储有恶意节点的相关信息，该恶意节点的相关信息包括节点IP地址、节点ID号。

8.根据权利要求7所述的一种高防御力的P2P文件共享系统，其特征在于，所述的恶意文件数据库内存储有恶意文件的相关信息，该恶意文件的相关信息包括大小、名称以及检验值。

9.根据权利要求1或8所述的一种高防御力的P2P文件共享系统，其特征在于，所述的对新节点的惩罚机制为当节点相网络请求服务时，对于网络返回的候选节点列表中，该节点首先计算各节点的最终信任评价trust_final，并验证时间令牌，然后计算各请求信任评价trust_request，选择合适的节点请求服务。

Images